Атака по выбранному открытому тексту

Эта статья требует дополнительных ссылок для проверки . Пожалуйста, помогите улучшить эту статью , добавив цитаты из надежных источников . Материал, не полученный от источника, может быть оспорен и удален.
Поиск источников: «Атака по выбранному открытому тексту» - новости · газеты · книги · ученый · JSTOR ( ноябрь 2015 г. ) ( Узнайте, как и когда удалить это шаблонное сообщение )

Выбрано по открытому тексту атака ( CPA ) является моделью атаки для криптоанализа , который предполагает , что злоумышленник может получить шифртексты для произвольных текстов . ^[1] Цель атаки - получить информацию, которая снижает безопасность схемы шифрования . ^[2]

Современные шифры нацелены на обеспечение семантической безопасности, также известной как неразличимость зашифрованного текста при атаке с выбранным открытым текстом , и, следовательно, они по своей конструкции обычно невосприимчивы к атакам с выбранным открытым текстом, если они правильно реализованы.

Введение [ править ]

При атаке с выбранным открытым текстом злоумышленник может (возможно, адаптивно ) запросить зашифрованные тексты произвольных сообщений с открытым текстом. Это формализуется, позволяя злоумышленнику взаимодействовать с оракулом шифрования , который рассматривается как черный ящик . Цель злоумышленника - раскрыть весь секретный ключ шифрования или его часть.

На практике может показаться невозможным, чтобы злоумышленник мог получить зашифрованные тексты для заданных открытых текстов. Однако современная криптография реализована в программном или аппаратном обеспечении и используется для различных приложений; во многих случаях атака по выбранному открытому тексту очень возможна (см. также # На практике ). Атаки с выбранным открытым текстом становятся чрезвычайно важными в контексте криптографии с открытым ключом , где ключ шифрования является открытым, и злоумышленники могут зашифровать любой открытый текст по своему выбору.

Различные формы [ править ]

Есть две формы атак с выбранным открытым текстом:

Пакетная атака с выбранным открытым текстом , когда злоумышленник выбирает все открытые тексты до того, как увидит какой-либо из соответствующих зашифрованных текстов. Это часто подразумевается под «атакой по выбранному открытому тексту», когда это не определено.
Адаптивная атака с выбранным открытым текстом ( CPA2 ), при которой злоумышленник может запросить зашифрованные тексты дополнительных открытых текстов после просмотра зашифрованных текстов некоторых открытых текстов.

Общий способ атаки [ править ]

Обычная пакетная атака по выбранному открытому тексту выполняется следующим образом ^{[ неудачная проверка ]} :

Атакующий может выбрать n открытых текстов. (Этот параметр n указывается как часть модели атаки , он может быть или не быть ограниченным.)
Затем злоумышленник отправляет эти n открытых текстов оракулу шифрования.
Затем оракул шифрования зашифрует открытые тексты злоумышленника и отправит их обратно злоумышленнику.
Злоумышленник получает обратно n зашифрованных текстов от оракула таким образом, чтобы злоумышленник знал, какой зашифрованный текст соответствует каждому открытому тексту.
Основываясь на парах открытый текст-зашифрованный текст, злоумышленник может попытаться извлечь ключ, используемый оракулом для кодирования открытых текстов. Поскольку злоумышленник в этом типе атаки может свободно создавать открытый текст в соответствии со своими потребностями, сложность атаки может быть уменьшена.

Рассмотрим следующее расширение вышеупомянутой ситуации. После последнего шага

Злоумышленник выводит два открытых текста m ₀ и m ₁ .
Бит b выбирается равномерно случайным образом . $b\leftarrow \{0,1\}$
Злоумышленник получает шифрование m _b и пытается «угадать», какой открытый текст он получил, и выводит бит b ' .

Шифр имеет неразличимое шифрование при атаке с выбранным открытым текстом, если после выполнения вышеупомянутого эксперимента с n = 1 ^{[ неудачная проверка ]} злоумышленник не может правильно угадать ( b = b ' ) с вероятностью, отличной от пренебрежимо большей, чем 1/2. ^[3]

Примеры [ править ]

Следующие примеры демонстрируют, как некоторые шифры, соответствующие другим определениям безопасности, могут быть взломаны с помощью атаки с выбранным открытым текстом.

Шифр Цезаря [ править ]

Следующая атака на шифр Цезаря позволяет полностью восстановить секретный ключ:

Предположим , что противник посылает сообщение: Attack at dawn,
и оракул возвращается Nggnpx ng qnja.
Затем злоумышленник может восстановить ключ так же, как вы расшифровываете шифр Цезаря. Противник может вывести замены A→N , T→G и так далее. Это привело бы к тому, что противник определил, что 13 было ключом, использованным в шифре Цезаря.

При более сложных или сложных методологиях шифрования метод дешифрования становится более ресурсоемким, однако основная концепция остается относительно прежней.

Одноразовые колодки [ править ]

Следующая атака на одноразовый блокнот позволяет полностью восстановить секретный ключ. Предположим, что длина сообщения и длина ключа равны n .

Злоумышленник отправляет оракулу строку, состоящую из n нулей.
Оракул возвращает поразрядное исключающее ИЛИ ключа со строкой нулей.
Строка, возвращаемая оракулом, является секретным ключом.

Хотя одноразовый блокнот используется в качестве примера теоретически защищенной криптосистемы, эта безопасность сохраняется только при более слабых определениях безопасности, чем безопасность CPA. Это связано с тем, что согласно формальному определению безопасности CPA оракул шифрования не имеет состояния. Эта уязвимость может быть применима не ко всем практическим реализациям - одноразовый блокнот все же можно сделать безопасным, если избежать повторного использования ключа (отсюда и название «одноразовый блокнот»).

На практике [ править ]

Во время Второй мировой войны криптоаналитики ВМС США обнаружили, что Япония планировала атаковать место, называемое «AF». Они считали, что «AF» может быть островом Мидуэй , потому что в других местах на Гавайских островах кодовые слова начинались с «A». Чтобы доказать свою гипотезу о том, что «AF» соответствует «Острову Мидуэй», они попросили американские войска в Мидуэй отправить текстовое сообщение о нехватке запасов. Японцы перехватили сообщение и немедленно сообщили своему начальству, что «ВС» мало на воде, что подтвердило гипотезу ВМФ и позволило им расположить свои силы для победы в битве . ^[3]^[4]

Также во время Второй мировой войны взломщики кодов союзников в Блетчли-парке иногда просили Королевские военно-воздушные силы заложить мины в местах, для которых не было никаких сокращений или альтернатив в сетке координат немецкой военно-морской системы. Надежда заключалась в том, что немцы, увидев мины, воспользуются машиной Enigma для шифрования предупреждающего сообщения о минах и сообщения «все очищено» после их удаления, давая союзникам достаточно информации о сообщении, чтобы взломать немецкую военно-морскую Enigma. . Этот процесс посадки с известным открытым текстом назывался садоводством . ^[5] Взломщики кодов союзников также помогли создать сообщения, отправленные двойным агентом Хуаном Пухолем Гарсиа., чьи зашифрованные радиоотчеты были получены в Мадриде, расшифрованы вручную, а затем повторно зашифрованы с помощью машины Enigma для передачи в Берлин. ^[6] Это помогло дешифровщикам расшифровать код, использованный на втором участке, предоставив исходный текст . ^[7]

В наши дни атаки с выбранным открытым текстом (CPA) часто используются для взлома симметричных шифров . Чтобы считаться безопасным для CPA, симметричный шифр не должен быть уязвим для атак с выбранным открытым текстом. Таким образом, разработчикам симметричных шифров важно понимать, как злоумышленник попытается взломать их шифр и внести соответствующие улучшения.

Для некоторых атак с выбранным открытым текстом злоумышленнику может потребоваться выбрать только небольшую часть открытого текста; такие атаки известны как атаки с использованием инъекций открытого текста.

Отношение к другим атакам [ править ]

Атака с выбранным открытым текстом более эффективна, чем атака с использованием известного открытого текста , поскольку злоумышленник может напрямую нацеливаться на определенные термины или шаблоны, не дожидаясь их естественного появления, что позволяет быстрее собирать данные, относящиеся к криптоанализу. Следовательно, любой шифр, который предотвращает атаки с использованием выбранного открытого текста, также защищен от атак с использованием известного открытого текста и только зашифрованного текста .

Однако атака с выбранным открытым текстом менее эффективна, чем атака с выбранным зашифрованным текстом , когда злоумышленник может получить открытые тексты произвольных зашифрованных текстов. Злоумышленник CCA иногда может взломать систему защиты CPA. ^[3] Например, шифр Эль-Гамаля защищен от атак с выбранным открытым текстом, но уязвим для атак с выбранным зашифрованным текстом, поскольку он безусловно податлив .

Ссылки [ править ]

^ Росс Андерсон, Разработка безопасности: Руководство по созданию надежных распределенных систем . Первое издание (2001 г.): http://www.cl.cam.ac.uk/~rja14/book.html
^ Баррера, Джон Фреди; Варгас, Карлос; Тебальди, Мириан; Торроба, Роберто (15.10.2010). «Атака по выбору открытого текста на систему шифрования коррелятора совместного преобразования» . Оптика Коммуникации . 283 (20): 3917–3921. DOI : 10.1016 / j.optcom.2010.06.009 . ISSN 0030-4018 .
^ a b c Кац, Джонатан ; Линделл, Иегуда (2007). Введение в современную криптографию: принципы и протоколы . Бока-Ратон: Чепмен и Холл / CRC. ISBN 978-1584885511. OCLC 893721520 .
^ Уидон, Патрик Д. «Как криптология позволила Соединенным Штатам переломить ход войны на Тихом океане» . www.navy.mil . ВМС США. Архивировано из оригинала на 2015-01-31 . Проверено 19 февраля 2015 .
^ Моррис, Кристофер (1993), «Плохие отношения военно-морского флота», в Хинсли, ФХ ; Стрипп, Алан (ред.), Codebreakers: The Inside Story of Bletchley Park , Oxford: Oxford University Press, стр. 235, ISBN 978-0-19-280132-6
↑ Келли, Джон (27 января 2011 г.). «Клочок бумаги, который обманул Гитлера» . BBC . Проверено 1 января 2012 года . Нацисты считали Пужоль, которого они кодируют по имени Аларик Арабель, был одним из своих призовых активов.
Перейти ↑ Seaman (2004) . «Первый код, который Гарбо был дан немцами для его беспроводной связи, оказался идентичным кодом, который в настоящее время используется в немецких сетях».

[RASE-1] Росс Андерсон, Разработка безопасности: Руководство по созданию надежных распределенных систем . Первое издание (2001 г.): http://www.cl.cam.ac.uk/~rja14/book.html

[2] Баррера, Джон Фреди; Варгас, Карлос; Тебальди, Мириан; Торроба, Роберто (15.10.2010). «Атака по выбору открытого текста на систему шифрования коррелятора совместного преобразования» . Оптика Коммуникации . 283 (20): 3917–3921. DOI : 10.1016 / j.optcom.2010.06.009 . ISSN 0030-4018 .

[modern-3] Кац, Джонатан ; Линделл, Иегуда (2007). Введение в современную криптографию: принципы и протоколы . Бока-Ратон: Чепмен и Холл / CRC. ISBN 978-1584885511. OCLC 893721520 .

[Navy_Midway-4] Уидон, Патрик Д. «Как криптология позволила Соединенным Штатам переломить ход войны на Тихом океане» . www.navy.mil . ВМС США. Архивировано из оригинала на 2015-01-31 . Проверено 19 февраля 2015 .

[5] Моррис, Кристофер (1993), «Плохие отношения военно-морского флота», в Хинсли, ФХ ; Стрипп, Алан (ред.), Codebreakers: The Inside Story of Bletchley Park , Oxford: Oxford University Press, стр. 235, ISBN 978-0-19-280132-6

[BBC_News_Magazine-6] Келли, Джон (27 января 2011 г.). «Клочок бумаги, который обманул Гитлера» . BBC . Проверено 1 января 2012 года . Нацисты считали Пужоль, которого они кодируют по имени Аларик Арабель, был одним из своих призовых активов.

[MarkSeaman73-7] Перейти ↑ Seaman (2004) . «Первый код, который Гарбо был дан немцами для его беспроводной связи, оказался идентичным кодом, который в настоящее время используется в немецких сетях».

[1]