A Атака по выбранному открытому тексту (CPA ) - это модель атаки для криптоанализа, который предполагает, что злоумышленник может получить зашифрованные тексты для произвольных открытых текстов. Цель атаки - получить информацию, которая снижает безопасность схемы шифрования.
Современные шифры нацелены на обеспечение семантической безопасности, также известной как неразличимость зашифрованного текста при атаке с выбранным открытым текстом, и, следовательно, по своей конструкции обычно невосприимчивы к атакам с выбранным открытым текстом при правильной реализации.
При атаке с выбранным открытым текстом злоумышленник может (возможно, адаптивно ) запросить зашифрованные тексты произвольных текстовых сообщений. Это формализуется, позволяя злоумышленнику взаимодействовать с шифрованием oracle, рассматриваемым как черный ящик. Цель злоумышленника - раскрыть весь секретный ключ шифрования или его часть.
На практике может показаться невозможным, чтобы злоумышленник мог получить зашифрованные тексты для заданных открытых текстов. Однако современная криптография реализована в программном или аппаратном обеспечении и используется для разнообразных приложений; во многих случаях атака по выбранному открытому тексту очень возможна (см. также # На практике). Атаки с использованием выбранного открытого текста становятся чрезвычайно важными в контексте криптографии с открытым ключом, где ключ шифрования является открытым, и злоумышленники могут зашифровать любой открытый текст по своему выбору.
Существует две формы атак с выбранным открытым текстом:
Обычная пакетная атака с выбранным открытым текстом выполняется следующим образом:
Рассмотрим следующее расширение вышеупомянутой ситуации. После последнего шага
. Шифр имеет неразличимое шифрование при выбранном -простая атака, если после выполнения вышеуказанного эксперимента с n= 1 противник не может правильно угадать (b=b') с вероятностью не- пренебрежимо лучше 1/2.
Следующие примеры демонстрируют, как некоторые шифры, соответствующие другим определениям безопасности, могут быть взломаны с помощью атаки с выбранным открытым текстом.
Следующая атака на шифр Цезаря позволяет полностью восстановить секретный ключ:
При более сложных или сложных методологиях шифрования метод дешифрования становится более ресурсоемким, однако основная концепция остается относительно прежней.
Следующая атака на одноразовый блокнот позволяет полностью восстановить секретный ключ. Предположим, что длина сообщения и длина ключа равны n.
В то время как одноразовый блокнот используется в качестве примера теоретически безопасная криптосистема, эта безопасность сохраняется только при более слабых определениях безопасности, чем безопасность CPA. Это потому, что согласно формальному определению безопасности CPA оракул шифрования не имеет состояния. Эта уязвимость может быть применима не ко всем практическим реализациям - одноразовый блокнот все же можно сделать безопасным, если избежать повторного использования ключа (отсюда и название «одноразовый блокнот»).
В Второй мировой войне криптоаналитики ВМС США обнаружили, что Япония планировала атаковать место, называемое «AF». Они полагали, что «AF» могло быть островом Мидуэй, потому что в других местах на Гавайских островах были кодовые слова, начинающиеся с «A». Чтобы доказать свою гипотезу о том, что «AF» соответствует «Острову Мидуэй», они попросили американские войска в Мидуэе отправить текстовое сообщение о нехватке запасов. Японцы перехватили сообщение и немедленно доложили своему начальству, что «ВС» мало на воде, что подтвердило гипотезу ВМФ и позволило им разместить свои силы для победы в битве.
Также во время Второй мировой войны, взломщики кодов союзников в Блетчли-Парк иногда просили Королевские военно-воздушные силы установить мины в позиции, для которой не было сокращений или альтернатив в сетке координат немецкой военно-морской системы. Была надежда, что немцы, увидев мины, воспользуются машиной Enigma, чтобы зашифровать предупреждающее сообщение о минах и сообщение «все очищено» после их удаления, дав союзникам достаточно информации о сообщении. сломать немецкую военно-морскую Энигму. Этот процесс посадки с известным открытым текстом назывался садоводством. Союзные дешифровщики также помогли создать сообщения, отправленные двойным агентом Хуаном Пухолем Гарсией, чьи зашифрованные радиоотчеты были получены в Мадриде, расшифрованы вручную, а затем повторно зашифрованы с помощью машины Enigma для передачи на Берлин. Это помогло взломщикам кода расшифровать код, используемый на втором этапе, предоставив исходный текст.
. В наши дни атаки с выбранным открытым текстом (CPA) часто используются для взлома симметричных шифров. Чтобы считаться CPA-безопасным, симметричный шифр не должен быть уязвим для атак с выбранным открытым текстом. Таким образом, разработчикам симметричных шифров важно понимать, как злоумышленник попытается взломать их шифр и внести соответствующие улучшения.
Для некоторых атак с выбранным открытым текстом злоумышленнику может потребоваться выбрать только небольшую часть открытого текста; такие атаки известны как атаки с использованием инъекции открытого текста.
Атака с использованием выбранного открытого текста более мощна, чем атака с известным открытым текстом, поскольку злоумышленник может напрямую нацеливаться на определенные термины или шаблоны, не дожидаясь ожидания чтобы они появлялись естественным образом, что позволяет быстрее собирать данные, относящиеся к криптоанализу. Следовательно, любой шифр, который предотвращает атаки с выбранным открытым текстом, также защищен от атак известный открытый текст и только зашифрованный текст.
Однако атака с выбранным открытым текстом менее эффективна, чем атака с выбранным зашифрованным текстом , при которой злоумышленник может получить открытые тексты произвольных шифрованных текстов. CCA-злоумышленник иногда может взломать систему безопасности CPA. Например, шифр Эль-Гамаля защищен от атак с выбранным открытым текстом, но уязвим для атак с выбранным зашифрованным текстом, поскольку он безусловно податлив.