Атака по выбранному открытому тексту

A Атака по выбранному открытому тексту (CPA ) - это модель атаки для криптоанализа, который предполагает, что злоумышленник может получить зашифрованные тексты для произвольных открытых текстов. Цель атаки - получить информацию, которая снижает безопасность схемы шифрования.

Современные шифры нацелены на обеспечение семантической безопасности, также известной как неразличимость зашифрованного текста при атаке с выбранным открытым текстом, и, следовательно, по своей конструкции обычно невосприимчивы к атакам с выбранным открытым текстом при правильной реализации.

Содержание

• 1 Введение
• 2 Различные формы
• 3 Общий метод атаки
• 4 Примеры
  • 4.1 Шифр ​​Цезаря
  • 4.2 Одноразовые блокноты
• 5 На практике
• 6 Отношение к другим атакам
• 7 Ссылки

Введение

При атаке с выбранным открытым текстом злоумышленник может (возможно, адаптивно ) запросить зашифрованные тексты произвольных текстовых сообщений. Это формализуется, позволяя злоумышленнику взаимодействовать с шифрованием oracle, рассматриваемым как черный ящик. Цель злоумышленника - раскрыть весь секретный ключ шифрования или его часть.

На практике может показаться невозможным, чтобы злоумышленник мог получить зашифрованные тексты для заданных открытых текстов. Однако современная криптография реализована в программном или аппаратном обеспечении и используется для разнообразных приложений; во многих случаях атака по выбранному открытому тексту очень возможна (см. также # На практике). Атаки с использованием выбранного открытого текста становятся чрезвычайно важными в контексте криптографии с открытым ключом, где ключ шифрования является открытым, и злоумышленники могут зашифровать любой открытый текст по своему выбору.

Различные формы

Существует две формы атак с выбранным открытым текстом:

• Пакетная атака с выбранным открытым текстом, когда противник выбирает все открытые тексты до того, как увидит любой из соответствующих шифртексты. Это часто означает "атака по выбранному открытому тексту", когда она не квалифицируется.
• Адаптивная атака по выбранному открытому тексту (CPA2 ), при которой злоумышленник может запросить шифрованные тексты дополнительных открытых текстов после просмотра зашифрованных текстов для некоторых открытых текстов.

Общий метод атаки

Обычная пакетная атака с выбранным открытым текстом выполняется следующим образом:

1. Злоумышленник может выбрать n открытых текстов. (Этот параметр n указывается как часть модели атаки, он может быть или не быть ограниченным.)
2. Затем злоумышленник отправляет эти n открытых текстов оракулу шифрования.
3. Затем шифровальный оракул зашифрует открытые тексты злоумышленника и отправит их обратно злоумышленнику.
4. Злоумышленник получает обратно n шифрованных текстов от оракула таким образом, чтобы злоумышленник знал, какой зашифрованный текст соответствует каждому открытому тексту.
5. Основываясь на парах открытый текст-зашифрованный текст, злоумышленник может попытаться извлечь ключ, используемый оракулом для кодирования открытых текстов. Так как злоумышленник в этом типе атаки может свободно создавать открытый текст в соответствии со своими потребностями, сложность атаки может быть снижена.

Рассмотрим следующее расширение вышеупомянутой ситуации. После последнего шага

1. злоумышленник выводит два открытых текста m0и m1.
2. . Бит bвыбирается равномерно случайным образом $b\; \leftarrow \; \{0,\; 1\}\; \{\backslash \; displaystyle\; b\; \backslash \; leftarrow\; \backslash \; \{0,1\; \backslash \}\}$.
3. Злоумышленник получает шифрование mbи пытается «угадать», какой открытый текст он получил, и выводит бит b'.

. Шифр ​​имеет неразличимое шифрование при выбранном -простая атака, если после выполнения вышеуказанного эксперимента с n= 1 противник не может правильно угадать (b=b') с вероятностью не- пренебрежимо лучше 1/2.

Примеры

Следующие примеры демонстрируют, как некоторые шифры, соответствующие другим определениям безопасности, могут быть взломаны с помощью атаки с выбранным открытым текстом.

Шифр ​​Цезаря

Следующая атака на шифр Цезаря позволяет полностью восстановить секретный ключ:

1. Предположим, злоумышленник отправляет сообщение: Атакуйте в dawn,
2. и оракул возвращает Nggnpx ng qnja.
3. Затем злоумышленник может восстановить ключ так же, как если бы вы расшифровывали шифр Цезаря. Противник может вывести замены A→ N, T→ Gи так далее. Это приведет к тому, что злоумышленник определит, что ключ 13 был ключом, используемым в шифре Цезаря.

При более сложных или сложных методологиях шифрования метод дешифрования становится более ресурсоемким, однако основная концепция остается относительно прежней.

Одноразовые блокноты

Следующая атака на одноразовый блокнот позволяет полностью восстановить секретный ключ. Предположим, что длина сообщения и длина ключа равны n.

1. . Злоумышленник отправляет оракулу строку, состоящую из nнулей.
2. Оракул возвращает поразрядно исключающее ИЛИ ключа со строкой нулей.
3. Строка, возвращаемая оракулом, является секретным ключом.

В то время как одноразовый блокнот используется в качестве примера теоретически безопасная криптосистема, эта безопасность сохраняется только при более слабых определениях безопасности, чем безопасность CPA. Это потому, что согласно формальному определению безопасности CPA оракул шифрования не имеет состояния. Эта уязвимость может быть применима не ко всем практическим реализациям - одноразовый блокнот все же можно сделать безопасным, если избежать повторного использования ключа (отсюда и название «одноразовый блокнот»).

На практике

В Второй мировой войне криптоаналитики ВМС США обнаружили, что Япония планировала атаковать место, называемое «AF». Они полагали, что «AF» могло быть островом Мидуэй, потому что в других местах на Гавайских островах были кодовые слова, начинающиеся с «A». Чтобы доказать свою гипотезу о том, что «AF» соответствует «Острову Мидуэй», они попросили американские войска в Мидуэе отправить текстовое сообщение о нехватке запасов. Японцы перехватили сообщение и немедленно доложили своему начальству, что «ВС» мало на воде, что подтвердило гипотезу ВМФ и позволило им разместить свои силы для победы в битве.

Также во время Второй мировой войны, взломщики кодов союзников в Блетчли-Парк иногда просили Королевские военно-воздушные силы установить мины в позиции, для которой не было сокращений или альтернатив в сетке координат немецкой военно-морской системы. Была надежда, что немцы, увидев мины, воспользуются машиной Enigma, чтобы зашифровать предупреждающее сообщение о минах и сообщение «все очищено» после их удаления, дав союзникам достаточно информации о сообщении. сломать немецкую военно-морскую Энигму. Этот процесс посадки с известным открытым текстом назывался садоводством. Союзные дешифровщики также помогли создать сообщения, отправленные двойным агентом Хуаном Пухолем Гарсией, чьи зашифрованные радиоотчеты были получены в Мадриде, расшифрованы вручную, а затем повторно зашифрованы с помощью машины Enigma для передачи на Берлин. Это помогло взломщикам кода расшифровать код, используемый на втором этапе, предоставив исходный текст.

. В наши дни атаки с выбранным открытым текстом (CPA) часто используются для взлома симметричных шифров. Чтобы считаться CPA-безопасным, симметричный шифр не должен быть уязвим для атак с выбранным открытым текстом. Таким образом, разработчикам симметричных шифров важно понимать, как злоумышленник попытается взломать их шифр и внести соответствующие улучшения.

Для некоторых атак с выбранным открытым текстом злоумышленнику может потребоваться выбрать только небольшую часть открытого текста; такие атаки известны как атаки с использованием инъекции открытого текста.

Связь с другими атаками

Атака с использованием выбранного открытого текста более мощна, чем атака с известным открытым текстом, поскольку злоумышленник может напрямую нацеливаться на определенные термины или шаблоны, не дожидаясь ожидания чтобы они появлялись естественным образом, что позволяет быстрее собирать данные, относящиеся к криптоанализу. Следовательно, любой шифр, который предотвращает атаки с выбранным открытым текстом, также защищен от атак известный открытый текст и только зашифрованный текст.

Однако атака с выбранным открытым текстом менее эффективна, чем атака с выбранным зашифрованным текстом , при которой злоумышленник может получить открытые тексты произвольных шифрованных текстов. CCA-злоумышленник иногда может взломать систему безопасности CPA. Например, шифр Эль-Гамаля защищен от атак с выбранным открытым текстом, но уязвим для атак с выбранным зашифрованным текстом, поскольку он безусловно податлив.

Ссылки