Атака с выбранным открытым текстом ( CPA ) — это модель атаки для криптоанализа , которая предполагает, что злоумышленник может получить шифротексты для произвольных открытых текстов . [1] Цель атаки — получить информацию, которая снижает безопасность схемы шифрования . [2]
Современные шифры направлены на обеспечение семантической безопасности, также известной как неразличимость шифротекста при атаках с выбранным открытым текстом , и поэтому они по своей конструкции, как правило, невосприимчивы к атакам с выбранным открытым текстом, если они правильно реализованы.
В атаке с выбранным открытым текстом противник может (возможно, адаптивно ) запросить шифртексты произвольных открытых текстовых сообщений. Это формализуется путем предоставления противнику возможности взаимодействовать с оракулом шифрования , рассматриваемым как черный ящик . Целью злоумышленника является раскрытие всего или части секретного ключа шифрования.
На практике может показаться невозможным, что злоумышленник может получить шифротексты для заданных открытых текстов. Однако современная криптография реализована в программном обеспечении или оборудовании и используется для самых разных приложений; во многих случаях атака с выбранным открытым текстом часто очень осуществима (см. также На практике). Атаки с выбранным открытым текстом становятся чрезвычайно важными в контексте криптографии с открытым ключом , где ключ шифрования является открытым, и поэтому злоумышленники могут зашифровать любой открытый текст по своему выбору.
Существует две формы атак с использованием выбранного открытого текста:
Общая пакетная атака с выбранным открытым текстом выполняется следующим образом [ проверка не удалась ] :
Рассмотрим следующее расширение вышеуказанной ситуации. После последнего шага,
Шифр имеет неразличимые шифрования при атаке с выбранным открытым текстом , если после проведения вышеуказанного эксперимента противник не может угадать правильно ( b = b' ) с вероятностью, не пренебрежимо лучшей, чем 1/2. [3]
Следующие примеры демонстрируют, как некоторые шифры, соответствующие другим определениям безопасности, могут быть взломаны с помощью атаки с выбранным открытым текстом.
Следующая атака на шифр Цезаря позволяет полностью восстановить секретный ключ:
Attack at dawn
,Nggnpx ng qnja
.A
→N
, T
→G
и так далее. Это приведет злоумышленника к определению того, что 13 было ключом, использованным в шифре Цезаря.При использовании более сложных или запутанных методик шифрования метод расшифровки становится более ресурсоемким, однако основная концепция остается относительно той же.
Следующая атака на одноразовый блокнот позволяет полностью восстановить секретный ключ. Предположим, что длина сообщения и длина ключа равны n .
Хотя одноразовый блокнот используется как пример информационно-теоретически безопасной криптосистемы, эта безопасность сохраняется только при определениях безопасности, более слабых, чем безопасность CPA. Это связано с тем, что в формальном определении безопасности CPA оракул шифрования не имеет состояния. Эта уязвимость может быть применима не ко всем практическим реализациям — одноразовый блокнот все равно можно сделать безопасным, если избегать повторного использования ключа (отсюда и название «одноразовый» блокнот).
Во время Второй мировой войны криптоаналитики ВМС США обнаружили, что Япония планировала атаковать место, обозначенное как «AF». Они считали, что «AF» может быть островом Мидуэй , потому что другие места на Гавайских островах имели кодовые слова, начинающиеся с «A». Чтобы доказать свою гипотезу о том, что «AF» соответствует «острову Мидуэй», они попросили американские войска на Мидуэе отправить текстовое сообщение о низком уровне запасов. Японцы перехватили сообщение и немедленно сообщили своим начальникам, что «AF» имеет низкий уровень воды, что подтвердило гипотезу ВМС и позволило им расположить свои силы так, чтобы выиграть битву . [ 3] [4]
Также во время Второй мировой войны союзные дешифровальщики в Блетчли-Парке иногда просили Королевские ВВС заложить мины в позиции, которая не имела никаких сокращений или альтернатив в сетке координат немецкой военно-морской системы. Надежда была на то, что немцы, увидев мины, использовали машину Enigma для шифрования предупреждающего сообщения о минах и сообщения «все чисто» после их удаления, давая союзникам достаточно информации о сообщении, чтобы взломать немецкую военно-морскую Enigma. Этот процесс установки известного открытого текста назывался садоводством . [5] Союзные дешифровальщики также помогали создавать сообщения, отправленные двойным агентом Хуаном Пухолем Гарсией , чьи зашифрованные радиосообщения были получены в Мадриде, вручную расшифрованы, а затем повторно зашифрованы машиной Enigma для передачи в Берлин. [6] Это помогло дешифровальщикам расшифровать код, использованный на втором этапе, предоставив исходный текст . [7]
В наши дни атаки с выбранным открытым текстом (CPA) часто используются для взлома симметричных шифров . Чтобы считаться CPA-безопасным, симметричный шифр не должен быть уязвимым для атак с выбранным открытым текстом. Таким образом, для разработчиков симметричных шифров важно понимать, как злоумышленник попытается взломать их шифр, и вносить соответствующие улучшения.
Для некоторых атак с выбранным открытым текстом злоумышленнику может потребоваться выбрать лишь небольшую часть открытого текста; такие атаки известны как атаки с внедрением открытого текста.
Атака с выбранным открытым текстом более мощная, чем атака с известным открытым текстом , поскольку злоумышленник может напрямую нацеливаться на конкретные термины или шаблоны, не дожидаясь их естественного появления, что позволяет быстрее собирать данные, имеющие отношение к криптоанализу. Поэтому любой шифр, который предотвращает атаки с выбранным открытым текстом, также защищен от атак с известным открытым текстом и только с зашифрованным текстом .
Однако атака с выбранным открытым текстом менее мощна, чем атака с выбранным зашифрованным текстом , где злоумышленник может получить открытые тексты произвольных шифртекстов. Злоумышленник CCA иногда может взломать систему, защищенную CPA. [3] Например, шифр Эль-Гамаля защищен от атак с выбранным открытым текстом, но уязвим для атак с выбранным зашифрованным текстом, поскольку он безусловно податлив .
считали, что Пухоль, которого они называли Алариком Арабель, был одним из их ценных активов.