Атака на основе подобранного шифротекста

Автор: Leandro Alegsa Дата создания: 21 февраля 2022 г.

Атака по выбранному шифртексту (CCA) - это модель атаки для криптоанализа, в которой криптоаналитик собирает информацию, по крайней мере, частично, выбирая шифртекст и получая его расшифровку под неизвестным ключом.

Если криптосистема подвержена атаке выбранного шифртекста, разработчики должны тщательно избегать ситуаций, в которых злоумышленники смогут расшифровать выбранные шифртексты (т.е. избегать предоставления схемы расшифровки). Это может быть сложнее, чем кажется, так как даже частично выбранные шифртексты могут позволить тонкие атаки. Кроме того, некоторые криптосистемы (например, RSA) используют один и тот же механизм для подписи сообщений и для их расшифровки. Это допускает атаки, когда хэширование не используется для подписываемого сообщения. Лучшим подходом является использование криптосистемы, которая доказательно безопасна при атаке на выбранный шифртекст, включая (среди прочих) RSA-OAEP, Cramer-Shoup и многие формы аутентифицированного симметричного шифрования.

Разновидности атак с выбранным шифртекстом

Атаки с выбранным шифртекстом, как и другие атаки, могут быть адаптивными или неадаптивными. При неадаптивной атаке атакующий заранее выбирает шифротекст или шифротексты для расшифровки и не использует полученные открытые тексты для выбора других шифротекстов. При адаптивной атаке с выбором шифротекста атакующий делает выбор шифротекста адаптивно, то есть в зависимости от результатов предыдущих расшифровок.

Нападения во время обеда

Особо отмеченным вариантом атаки по выбранному шифртексту является атака "обеденное время" или "полночь", при которой атакующий может делать адаптивные запросы по выбранному шифртексту, но только до определенного момента, после чего атакующий должен продемонстрировать некоторую улучшенную способность атаковать систему. Термин "атака во время обеда" относится к идее, что компьютер пользователя с возможностью расшифровки доступен злоумышленнику, пока пользователь обедает. Эта форма атаки была первой, которая обычно обсуждалась: очевидно, что если у атакующего есть возможность делать адаптивные запросы выбранного шифротекста, то ни одно зашифрованное сообщение не будет в безопасности, по крайней мере, пока эта возможность не будет отнята. Эту атаку иногда называют "неадаптивной атакой выбранного шифртекста"; здесь "неадаптивная" относится к тому факту, что атакующий не может адаптировать свои запросы в ответ на вызов, который дается после того, как способность делать запросы выбранного шифртекста истекла.

Многие атаки с использованием выбранного шифртекста, имеющие практическое значение, являются атаками в обеденное время, в том числе, например, когда Даниэль Блейхенбахер из Bell Laboratories продемонстрировал практическую атаку на системы, использующие PKCS#1; изобретенную и опубликованную RSA Security.

Адаптивная атака с выбранным шифртекстом

(Полная) адаптивная атака с выбором шифртекста - это атака, при которой шифртексты могут быть выбраны адаптивно до и после предоставления атакующему шифртекста вызова, при ОДНОМ условии, что сам шифртекст вызова не может быть запрошен. Это более сильное понятие атаки, чем атака в обеденное время, и обычно называется атакой CCA2, по сравнению с атакой CCA1 (в обеденное время). Практические атаки такой формы немногочисленны. Скорее, эта модель важна для использования в доказательствах безопасности против атак с выбранным шифртекстом. Доказательство того, что атаки в этой модели невозможны, подразумевает, что любая практическая атака с использованием выбранного шифртекста не может быть выполнена.

Криптосистемы, доказавшие свою безопасность против атак с использованием адаптивного выбранного шифртекста, включают систему Крамера-Шоупа и RSA-OAEP.

Вопросы и ответы

В: Что такое атака с выбранным шифртекстом?

О: Атака по выбранному шифртексту (CCA) - это модель атаки для криптоанализа, в которой криптоаналитик собирает информацию, по крайней мере, частично, путем выбора шифртекста и получения его расшифровки под неизвестным ключом.

В: Почему разработчики должны быть осторожны, чтобы избежать ситуаций, в которых злоумышленники могут иметь возможность расшифровать выбранные шифротексты?

О: Если криптосистема восприимчива к атаке по выбранному шифртексту, разработчики должны тщательно избегать ситуаций, в которых злоумышленники смогут расшифровать выбранные шифртексты (т.е. избегать предоставления схемы расшифровки), поскольку даже частично выбранные шифртексты могут позволить тонкие атаки.

В: Какие криптосистемы уязвимы к атакам, когда хэширование не используется для подписываемого сообщения?

О: Некоторые криптосистемы (например, RSA) используют один и тот же механизм для подписи сообщений и для их расшифровки. Это допускает атаки, когда хэширование не используется в подписываемом сообщении.

В: Какой подход лучше, чтобы избежать атак в модели атаки с выбранным шифртекстом?

О: Лучшим подходом является использование криптосистемы, которая доказательно безопасна при атаке по выбранному шифртексту, включая (среди прочих) RSA-OAEP, Cramer-Shoup и многие формы аутентифицированного симметричного шифрования.

В: Что означает RSA-OAEP?

О: RSA-OAEP расшифровывается как RSA Optimal Asymmetric Encryption Padding.

В: Каково одно из последствий уязвимости криптосистемы к атаке "выбранный шифртекст"?

О: Одним из последствий уязвимости криптосистемы к атаке выбранного шифртекста является то, что разработчики должны тщательно избегать ситуаций, в которых злоумышленники могут иметь возможность расшифровать выбранные шифртексты (т.е. избегать предоставления схемы расшифровки).

В: Какой тип атак могут допускать частично выбранные шифротексты?

О: Частично выбранные шифротексты могут допускать тонкие атаки.