Эта статья включает в себя список общих ссылок , но он остается в значительной степени непроверенным, поскольку в нем отсутствует достаточное количество соответствующих встроенных ссылок . ( Январь 2011 г. ) |
Адаптивная выбранного шифротекста (сокращенно CCA2 ) представляет собой интерактивную форму выбранного шифротекста , в которой злоумышленник сначала посылает ряд шифртекстов быть расшифрованы выбранных адаптивно, а затем использует результаты , чтобы отличить целевой шифротекста без консультации с оракулом на шифрованный текст вызова, при адаптивной атаке злоумышленнику дополнительно разрешается запрашивать адаптивные запросы после того, как цель обнаружена (но целевой запрос запрещен). Он расширяет безразличную (неадаптивную) атаку с выбранным зашифрованным текстом (CCA1), где второй этап адаптивных запросов не разрешен. Чарльз Ракоффи Дэн Саймон дал определение CCA2 и предложил систему, основанную на неадаптивном определении CCA1 и системе Мони Наора и Моти Юнга (которая была первой обработкой выбранного иммунитета к атакам шифротекста систем с открытым ключом).
В определенных практических условиях цель этой атаки состоит в постепенном раскрытии информации о зашифрованном сообщении или о самом ключе дешифрования. Для систем с открытым ключом адаптивные выбранные шифротексты обычно применимы только тогда, когда они обладают свойством податливости зашифрованного текста, то есть зашифрованный текст может быть изменен определенными способами, которые будут иметь предсказуемый эффект на дешифрование этого сообщения.
Атаки с адаптивным выбранным зашифрованным текстом, возможно, считались теоретической проблемой, но не проявлялись на практике до 1998 года, когда Даниэль Блейхенбахер из Bell Laboratories (в то время) продемонстрировал практическую атаку против систем, использующих шифрование RSA совместно с PKCS # 1 v1 , включая версию протокола Secure Sockets Layer (SSL), используемого в то время тысячами веб-серверов . [1]
Атаки Блейхенбахера, также известные как атака миллиона сообщений, использовали недостатки функции PKCS # 1 для постепенного раскрытия содержимого зашифрованного сообщения RSA. Для этого требуется отправить несколько миллионов тестовых шифрованных текстов на устройство дешифрования (например, на веб-сервер, оснащенный SSL). На практике это означает, что сеансовый ключ SSL может быть раскрыт в течение разумного периода времени, возможно, за день или меньше.
С небольшими вариациями эта уязвимость все еще существует на многих современных серверах под новым названием «Return Of Bleichenbacher's Oracle Threat» (ROBOT). [2]
Чтобы предотвратить атаки с адаптивным выбранным зашифрованным текстом, необходимо использовать схему шифрования или кодирования, которая ограничивает податливость зашифрованного текста и является доказательством безопасности системы. После теоретического и базового уровня разработки систем безопасности CCA был предложен ряд систем в модели Random Oracle: наиболее распространенным стандартом для шифрования RSA является оптимальное асимметричное заполнение шифрования (OAEP). В отличие от самодельных схем , таких как обивка , используемой в ранних версиях PKCS # 1, OAEP было доказано в безопасности в модели случайного оракула , [3] OAEP был включен в PKCS # 1 начиная с версии 2.0, опубликованной в 1998 году, как рекомендованная в настоящее время схема кодирования, при этом старая схема все еще поддерживается, но не рекомендуется для новых приложений. [4] Однако золотой стандарт безопасности - показать безопасность системы, не полагаясь на идеализацию случайного Oracle. [5]
В криптографии, основанной на теории сложности, защита от атак с адаптивным выбранным зашифрованным текстом обычно моделируется с использованием неразличимости зашифрованного текста (IND-CCA2).