Выбранный шифротекст ( ССА ) представляет собой модель атаки для криптоанализа , где криптоаналитик может собрать информацию путем получения расшифровок выбранных шифртекстов. Из этой информации злоумышленник может попытаться восстановить скрытый секретный ключ, используемый для дешифрования.
Формальные определения защиты от атак с выбранным зашифрованным текстом см., Например, в: Michael Luby [1] и Mihir Bellare et al. [2]
Вступление
При атаке с выбранным зашифрованным текстом можно обойти ряд безопасных схем. Например, криптосистема Эль-Гамаля семантически безопасна при атаке с выбранным открытым текстом , но эта семантическая безопасность может быть тривиально побеждена при атаке с выбранным зашифрованным текстом. Ранние версии заполнения RSA, используемые в протоколе SSL , были уязвимы для сложной адаптивной атаки с выбранным зашифрованным текстом, которая раскрывала ключи сеанса SSL. Атаки по выбранному зашифрованному тексту также имеют значение для некоторых самосинхронизирующихся потоковых шифров . Разработчики защищенных от взлома криптографических смарт-карт должны быть особенно осведомлены об этих атаках, поскольку эти устройства могут быть полностью под контролем злоумышленника, который может выдать большое количество выбранных шифрованных текстов в попытке восстановить скрытый секретный ключ.
Совершенно не было ясно, смогут ли криптосистемы с открытым ключом противостоять выбранной атаке зашифрованного текста до тех пор, пока в 1990 году не была сделана первая революционная работа Мони Наора и Моти Юнга, в которой был предложен режим двойного шифрования с доказательством целостности (теперь известный как «Наор-Юнг»). парадигма шифрования). [3] Эта работа сделала понимание понятия защиты от атаки по выбранному зашифрованному тексту намного более ясным, чем прежде, и открыла направление исследований построения систем с различными видами защиты от различных вариантов атаки.
Когда криптосистема уязвима для атаки с выбранным зашифрованным текстом, разработчики должны быть осторожны, чтобы избежать ситуаций, в которых злоумышленник может расшифровать выбранный зашифрованный текст (т. Е. Избежать предоставления оракула дешифрования). Это может быть сложнее, чем кажется, поскольку даже частично выбранные шифртексты могут допускать тонкие атаки. Кроме того, существуют другие проблемы, и некоторые криптосистемы (например, RSA ) используют один и тот же механизм для подписи сообщений и их расшифровки. Это разрешает атаки, когда хеширование не используется для подписываемого сообщения. Лучшим подходом является использование криптосистемы, которая доказуемо защищена при атаке с выбранным зашифрованным текстом, включая (среди прочего) защиту RSA-OAEP с использованием эвристики случайного оракула, Cramer-Shoup, которая была первой практической системой с открытым ключом, которая была защищена. Для схем симметричного шифрования известно, что аутентифицированное шифрование, которое является примитивом, основанным на симметричном шифровании, обеспечивает защиту от атак с выбранным зашифрованным текстом, как было впервые показано Джонатаном Кацем и Моти Юнгом . [4]
Разновидности
Атаки с выбранным зашифрованным текстом, как и другие атаки, могут быть адаптивными или неадаптивными. В адаптивной атаке с выбранным зашифрованным текстом злоумышленник может использовать результаты предшествующих расшифровок, чтобы сообщить свой выбор о том, какие зашифрованные тексты нужно расшифровать. При неадаптивной атаке злоумышленник выбирает шифрованные тексты для дешифрования, не видя ни одного из результирующих открытых текстов. Увидев открытые тексты, злоумышленник больше не может получить расшифровку дополнительных зашифрованных текстов.
Обеденные приступы
Особо отмеченный вариант атаки с выбранным зашифрованным текстом - это «обеденная», «полночная» или «индифферентная» атака, при которой злоумышленник может выполнять адаптивные запросы с выбранным зашифрованным текстом, но только до определенного момента, после которого злоумышленник должен продемонстрировать улучшенную способность атаковать систему. [5] Термин «атака в обеденный перерыв» относится к идее, что компьютер пользователя с возможностью дешифрования доступен злоумышленнику, пока пользователь отсутствует на обед. Эта форма атаки была первой, которую часто обсуждали: очевидно, что если злоумышленник имеет возможность делать адаптивные запросы с выбранным зашифрованным текстом, никакое зашифрованное сообщение не будет безопасным, по крайней мере, до тех пор, пока эта способность не будет лишена. Эту атаку иногда называют «неадаптивной атакой по выбранному зашифрованному тексту»; [6] здесь «неадаптивный» относится к тому факту, что злоумышленник не может адаптировать свои запросы в ответ на вызов, который дается после того, как истек срок действия возможности делать выбранные запросы с зашифрованным текстом.
Адаптивная атака по выбранному зашифрованному тексту
(Полная) адаптивная атака с выбранным зашифрованным текстом - это атака, при которой зашифрованные тексты могут выбираться адаптивно до и после того, как шифрованный текст запроса передается злоумышленнику, с только условием, что сам шифрованный текст запроса не может быть запрошен. Это более сильное понятие атаки, чем атака в обеденное время, и ее обычно называют атакой CCA2 по сравнению с атакой CCA1 (атакой во время обеда). [6] Несколько практических атак имеют такую форму. Скорее, эта модель важна для ее использования в доказательствах защиты от атак с выбранным зашифрованным текстом. Доказательство того, что атаки в этой модели невозможны, означает, что никакая реалистичная атака с выбранным зашифрованным текстом не может быть выполнена.
Практическая адаптивная атака с выбранным зашифрованным текстом - это атака Блейхенбахера против PKCS # 1 . [7]
Многочисленные криптосистемы доказали свою безопасность против атак с адаптивным выбранным зашифрованным текстом, некоторые доказывают это свойство безопасности, основываясь только на алгебраических предположениях, некоторые дополнительно требуют идеализированного случайного предположения оракула. Например, система Крамера-Шупа [5] безопасна на основе теоретико-числовых предположений и отсутствия идеализации, и после ряда тонких исследований было также установлено, что практическая схема RSA-OAEP безопасна при предположении RSA в идеализированной случайной модель оракула. [8]
Смотрите также
Рекомендации
- ^ Люби, Майкл (1996). Псевдослучайность и криптографические приложения . Издательство Принстонского университета.
- ^ Bellare, M .; Desai, A .; Jokipii, E .; Rogaway, P. (1997). «Конкретная защита симметричного шифрования». Труды 38-го ежегодного симпозиума по основам компьютерных наук : 394–403. DOI : 10.1109 / SFCS.1997.646128 . ISBN 0-8186-8197-7. S2CID 42604387 .
- ^ «Мони Наор и Моти Юнг, криптосистемы с открытым ключом доказуемо защищены от атак с выбранным зашифрованным текстом». Труды 21-го ежегодного симпозиума ACM по теории вычислений : 427–437. 1990 г.
- ^ «Джонатан Кац и Моти Юнг, Неподдельное шифрование и безопасные режимы работы с выбранным зашифрованным текстом. FSE 2000: 284-299». Цитировать журнал требует
|journal=
( помощь ) - ^ a b Рональд Крамер и Виктор Шоуп , « Практическая криптосистема с открытым ключом, обеспечивающая надежную защиту от атак с адаптивным выбранным зашифрованным текстом », в «Достижения в криптологии - слушания CRYPTO '98», Санта-Барбара, Калифорния , 1998 г., стр. 13-25. ( статья )
- ^ a b Михир Белларе , Ананд Десаи , Дэвид Пойнтшевал и Филипп Рогавей , Отношения между понятиями безопасности для схем шифрования с открытым ключом [ мертвая ссылка ] , в «Достижения в криптологии - CRYPTO '98, Санта-Барбара, Калифорния, стр. 549 -570.
- ^ D. Bleichenbacher. Атаки с выбранным зашифрованным текстом на протоколы, основанные на стандарте шифрования RSA PKCS # 1. Заархивировано 4 февраля 2012 г. на Wayback Machine . В достижениях криптологии - CRYPTO'98, LNCS vol. 1462, страницы: 1–12, 1998 г.
- ^ М. Белларе , П. Рогавей Оптимальное асимметричное шифрование - Как зашифровать с помощью расширенного тезиса RSA в «Достижения в криптологии» -Труды Eurocrypt '94, Лекционные заметки по информатике, том. 950, изд. A. De Santis, Springer-Verlag , 1995. полная версия (pdf)