Эта статья требует дополнительных ссылок для проверки . ( ноябрь 2015 г. ) ( Узнайте, как и когда удалить это сообщение-шаблон ) |
Выбрано по открытому тексту атака ( CPA ) является моделью атаки для криптоанализа , который предполагает , что злоумышленник может получить шифртексты для произвольных текстов . [1] Цель атаки - получить информацию, которая снижает безопасность схемы шифрования .
Современные шифры нацелены на обеспечение семантической безопасности, также известной как неразличимость зашифрованного текста при атаке с выбранным открытым текстом , и, следовательно, по своей конструкции обычно невосприимчивы к атакам с выбранным открытым текстом, если они правильно реализованы.
Введение [ править ]
При атаке с выбранным открытым текстом злоумышленник может (возможно, адаптивно ) запросить зашифрованные тексты произвольных сообщений с открытым текстом. Это формализуется, позволяя противнику взаимодействовать с оракулом шифрования , который рассматривается как черный ящик . Цель злоумышленника - раскрыть весь секретный ключ шифрования или его часть.
На практике может показаться невозможным, чтобы злоумышленник мог получить зашифрованные тексты для заданных открытых текстов. Однако современная криптография реализована в программном или аппаратном обеспечении и используется для разнообразных приложений; во многих случаях атака по выбранному открытому тексту очень возможна (см. также # На практике ). Атаки с выбранным открытым текстом становятся чрезвычайно важными в контексте криптографии с открытым ключом , где ключ шифрования является открытым, и злоумышленники могут зашифровать любой открытый текст по своему выбору.
Различные формы [ править ]
Есть две формы атак с выбранным открытым текстом:
- Пакетная атака с выбранным открытым текстом , при которой злоумышленник выбирает все открытые тексты до того, как увидит любой из соответствующих зашифрованных текстов. Это часто подразумевается под «атакой по выбранному открытому тексту», когда это не определено.
- Адаптивная атака с выбранным открытым текстом ( CPA2 ), при которой злоумышленник может запросить зашифрованные тексты дополнительных открытых текстов после просмотра зашифрованных текстов для некоторых открытых текстов.
Общий способ атаки [ править ]
Обычная пакетная атака с выбранным открытым текстом выполняется следующим образом [ неудачная проверка ] :
- Атакующий может выбрать n открытых текстов. (Этот параметр n указывается как часть модели атаки , он может быть или не быть ограниченным.)
- Затем злоумышленник отправляет эти n открытых текстов оракулу шифрования.
- Затем оракул шифрования зашифрует открытые тексты злоумышленника и отправит их обратно злоумышленнику.
- Атакующий получает обратно n зашифрованных текстов от оракула таким образом, чтобы злоумышленник знал, какой зашифрованный текст соответствует каждому открытому тексту.
- На основе пар открытый текст-зашифрованный текст злоумышленник может попытаться извлечь ключ, используемый оракулом для кодирования открытых текстов. Поскольку злоумышленник в этом типе атаки может свободно создавать открытый текст в соответствии со своими потребностями, сложность атаки может быть уменьшена.
Рассмотрим следующее расширение вышеупомянутой ситуации. После последнего шага
- Злоумышленник выводит два открытых текста m 0 и m 1 .
- Бит b выбирается равномерно случайным образом .
- Злоумышленник получает шифрование m b и пытается «угадать», какой открытый текст он получил, и выводит бит b ' .
Шифр имеет неразличимое шифрование при атаке с выбранным открытым текстом, если после выполнения вышеупомянутого эксперимента с n = 1 [ неудачная проверка ] злоумышленник не может правильно угадать ( b = b ' ) с вероятностью, отличной от пренебрежимо большей, чем 1/2. [2]
Примеры [ править ]
Следующие примеры демонстрируют, как некоторые шифры, соответствующие другим определениям безопасности, могут быть взломаны с помощью атаки с выбранным открытым текстом.
Шифр Цезаря [ править ]
Следующая атака на шифр Цезаря позволяет полностью восстановить секретный ключ:
- Предположим , что противник посылает сообщение:
Attack at dawn
, - и оракул возвращается
Nggnpx ng qnja
. - Затем злоумышленник может восстановить ключ так же, как вы расшифровываете шифр Цезаря. Противник может вывести замены
A
→N
,T
→G
и так далее. Это привело бы к тому, что противник определил, что 13 было ключом, используемым в шифре Цезаря.
С более замысловатыми или сложными методологиями шифрования метод дешифрования становится более ресурсоемким, однако основная концепция остается относительно прежней.
Одноразовые колодки [ править ]
Следующая атака на одноразовый блокнот позволяет полностью восстановить секретный ключ. Предположим, что длина сообщения и длина ключа равны n .
- Злоумышленник отправляет оракулу строку, состоящую из n нулей.
- Оракул возвращает поразрядное исключающее ИЛИ ключа со строкой нулей.
- Строка, возвращаемая оракулом, является секретным ключом.
Хотя одноразовый блокнот используется в качестве примера теоретически защищенной криптосистемы, эта безопасность сохраняется только при более слабых определениях безопасности, чем безопасность CPA. Это связано с тем, что согласно формальному определению безопасности CPA оракул шифрования не имеет состояния. Эта уязвимость может быть применима не ко всем практическим реализациям - одноразовый блокнот все же можно сделать безопасным, если избежать повторного использования ключа (отсюда и название «одноразовый блокнот»).
На практике [ править ]
Во время Второй мировой войны криптоаналитики ВМС США обнаружили, что Япония планировала атаковать место, называемое «AF». Они считали, что «AF» может быть островом Мидуэй , потому что в других местах на Гавайских островах кодовые слова начинались с «A». Чтобы доказать свою гипотезу о том, что «AF» соответствует «Острову Мидуэй», они попросили войска США в Мидуэй отправить текстовое сообщение о нехватке запасов. Японцы перехватили сообщение и немедленно сообщили своему начальству, что «ВС» мало на воде, что подтвердило гипотезу ВМФ и позволило им разместить свои силы для победы в битве . [2] [3]
Также во время Второй мировой войны взломщики кодов союзников в Блетчли-парке иногда просили Королевские военно-воздушные силы заложить мины в местах, на которых не было сокращений или альтернатив в сетке координат немецкой военно-морской системы. Была надежда, что немцы, увидев мины, воспользуются машиной Enigma, чтобы зашифровать предупреждающее сообщение о минах и сообщение «все ясно» после того, как они были удалены, давая союзникам достаточно информации о сообщении, чтобы взломать немецкую военно-морскую Enigma. . Этот процесс посадки с известным открытым текстом назывался садоводством . [4] Взломщики кодов союзников также помогли создать сообщения, отправленные двойным агентом Хуаном Пухолем Гарсией., чьи зашифрованные радиоотчеты были получены в Мадриде, расшифрованы вручную, а затем повторно зашифрованы с помощью машины Enigma для передачи в Берлин. [5] Это помогло дешифровщикам расшифровать код, использованный на втором участке, предоставив исходный текст . [6]
В наши дни атаки с выбранным открытым текстом (CPA) часто используются для взлома симметричных шифров . Чтобы считаться CPA-безопасным, симметричный шифр не должен быть уязвим для атак с выбранным открытым текстом. Таким образом, разработчикам симметричных шифров важно понимать, как злоумышленник попытается взломать их шифр и внести соответствующие улучшения.
Для некоторых атак с выбранным открытым текстом злоумышленнику может потребоваться выбрать только небольшую часть открытого текста; такие атаки известны как атаки с использованием инъекции открытого текста.
Отношение к другим атакам [ править ]
Атака с выбранным открытым текстом более мощна, чем атака с использованием известного открытого текста , поскольку злоумышленник может напрямую нацеливаться на определенные термины или шаблоны, не дожидаясь их естественного появления, что позволяет быстрее собирать данные, относящиеся к криптоанализу. Следовательно, любой шифр, предотвращающий атаки с использованием выбранного открытого текста, также защищен от атак с использованием известного открытого текста и только зашифрованного текста .
Однако атака с выбранным открытым текстом менее эффективна, чем атака с выбранным зашифрованным текстом , когда злоумышленник может получить открытые тексты произвольных зашифрованных текстов. CCA-злоумышленник иногда может взломать систему безопасности CPA. [2] Например, шифр Эль-Гамаля защищен от атак с выбранным открытым текстом, но уязвим для атак с выбранным зашифрованным текстом, поскольку он безусловно податлив .
Ссылки [ править ]
- ^ Росс Андерсон, Разработка безопасности: Руководство по созданию надежных распределенных систем . Первое издание (2001 г.): http://www.cl.cam.ac.uk/~rja14/book.html
- ^ a b c Кац, Джонатан ; Линделл, Иегуда (2007). Введение в современную криптографию: принципы и протоколы . Бока-Ратон: Чепмен и Холл / CRC. ISBN 978-1584885511. OCLC 893721520 .
- ^ Моррис, Кристофер (1993), «Плохие отношения военно-морского флота», в Хинсли, ФХ ; Стрипп, Алан (ред.), Codebreakers: The Inside Story of Bletchley Park , Oxford: Oxford University Press, стр. 235, ISBN 978-0-19-280132-6
- ↑ Келли, Джон (27 января 2011 г.). «Клочок бумаги, который обманул Гитлера» . BBC . Проверено 1 января 2012 года .
Нацисты считали Пужоль, которого они кодируют по имени Аларик Арабель, был одним из своих призовых активов.
- Перейти ↑ Seaman (2004) . «Первый код, который Гарбо был дан немцами для его беспроводной связи, оказался идентичным кодом, который в настоящее время используется в немецких сетях».