Атака с выбранным зашифрованным текстом

Атака по выбранному зашифрованному тексту ( CCA ) — это модель атаки для криптоанализа , при которой криптоаналитик может собирать информацию, получая расшифровки выбранных зашифрованных текстов. На основе этих фрагментов информации злоумышленник может попытаться восстановить скрытый секретный ключ, используемый для расшифровки.

Формальные определения защиты от атак с использованием выбранного зашифрованного текста см., например: Michael Luby ^[1] и Mihir Bellare et al. ^[2]

Введение

Ряд схем, в остальном безопасных, можно разрушить при атаке с использованием выбранного зашифрованного текста. Например, криптосистема Эль-Гамаля семантически безопасна при атаке с выбранным открытым текстом , но эта семантическая безопасность может быть тривиально нарушена при атаке с выбранным зашифрованным текстом. Ранние версии заполнения RSA , используемые в протоколе SSL , были уязвимы для сложной атаки с использованием адаптивного выбранного зашифрованного текста , которая раскрывала сеансовые ключи SSL. Атаки с использованием выбранного зашифрованного текста также имеют последствия для некоторых самосинхронизирующихся потоковых шифров . Разработчики защищенных от несанкционированного доступа криптографических смарт-карт должны быть особенно осведомлены об этих атаках, поскольку эти устройства могут находиться под полным контролем злоумышленника, который может выдать большое количество выбранных зашифрованных текстов в попытке восстановить скрытый секретный ключ.

Было совершенно неясно, смогут ли криптосистемы с открытым ключом противостоять атаке с выбранным зашифрованным текстом до первой прорывной работы Мони Наора и Моти Юнга в 1990 году, которые предложили режим двойного шифрования с доказательством целостности (теперь известный как «Наор-Юнг»). парадигма шифрования). ^[3] Эта работа сделала понимание понятия защиты от атаки с выбранным зашифрованным текстом намного яснее, чем раньше, и открыла направление исследований по построению систем с различной защитой от вариантов атаки.

Когда криптосистема уязвима для атаки с выбранным зашифрованным текстом, разработчики должны быть осторожны, чтобы избежать ситуаций, в которых злоумышленник может расшифровать выбранный зашифрованный текст (т. е. избегать предоставления оракула дешифрования). Это может быть сложнее, чем кажется, поскольку даже частично выбранный зашифрованный текст может позволить провести тонкие атаки. Кроме того, существуют и другие проблемы, и некоторые криптосистемы (например, RSA ) используют один и тот же механизм для подписи сообщений и их расшифровки. Это позволяет проводить атаки, когда хеширование не используется в подписываемом сообщении. Лучшим подходом является использование криптосистемы, которая доказуемо безопасна при атаке с выбранным зашифрованным текстом, включая (среди прочего) RSA-OAEP, защищенную с помощью случайной эвристики оракула, Крамера-Шоупа , которая была первой безопасной практической системой с открытым ключом. Для схем симметричного шифрования известно, что аутентифицированное шифрование , которое представляет собой примитив, основанный на симметричном шифровании , обеспечивает защиту от атак с выбранным зашифрованным текстом, как впервые было показано Джонатаном Кацем и Моти Юнгом . ^[4]

Разновидности

Атаки с использованием выбранного зашифрованного текста, как и другие атаки, могут быть адаптивными или неадаптивными. При атаке с адаптивным выбранным зашифрованным текстом злоумышленник может использовать результаты предыдущих расшифровок, чтобы сообщить о своем выборе, какой зашифрованный текст следует расшифровать. При неадаптивной атаке злоумышленник выбирает зашифрованные тексты для расшифровки, не видя ни одного полученного открытого текста. Увидев открытый текст, злоумышленник больше не сможет получить расшифровку дополнительных зашифрованных текстов.

Атаки в обеденное время

Особо отмеченным вариантом атаки с выбранным зашифрованным текстом является атака «обеденного времени», «полночью» или «безразличная», при которой злоумышленник может выполнять адаптивные запросы выбранного зашифрованного текста, но только до определенного момента, после чего злоумышленник должен продемонстрировать некоторые улучшенные возможности атаки на систему. ^[5] Термин «атака во время обеда» относится к идее, что компьютер пользователя с возможностью расшифровки доступен злоумышленнику, пока пользователь отсутствует на обеде. Эта форма атаки была первой, которая широко обсуждалась: очевидно, что если злоумышленник имеет возможность выполнять адаптивно выбранные запросы зашифрованного текста, ни одно зашифрованное сообщение не будет безопасным, по крайней мере, до тех пор, пока эта возможность не будет отнята. Эту атаку иногда называют «атакой неадаптивного выбранного зашифрованного текста»; ^[6] здесь термин «неадаптивный» относится к тому факту, что злоумышленник не может адаптировать свои запросы в ответ на запрос, который дается после истечения срока действия выбранных запросов зашифрованного текста.

Адаптивная атака с выбранным зашифрованным текстом

(Полная) адаптивная атака с выбранным зашифрованным текстом - это атака, при которой зашифрованные тексты могут выбираться адаптивно до и после того, как злоумышленнику будет передан зашифрованный текст вызова, с только оговоркой, что зашифрованный текст вызова сам по себе не может быть запрошен. Это более сильная атака, чем атака в обеденное время, и ее обычно называют атакой CCA2 по сравнению с атакой CCA1 (обеденная). ^[6] Немногие практические атаки имеют такую ​​форму. Скорее, эта модель важна для ее использования в доказательствах безопасности против атак с выбранным зашифрованным текстом. Доказательство того, что атаки в этой модели невозможны, подразумевает, что любая реалистичная атака с использованием выбранного зашифрованного текста не может быть выполнена.

Практической адаптивной атакой с выбранным зашифрованным текстом является атака Блейхенбахера против PKCS#1 . ^[7]

Многочисленные криптосистемы доказали свою безопасность против атак с использованием адаптивного выбранного зашифрованного текста, некоторые доказывают это свойство безопасности, основываясь только на алгебраических предположениях, а некоторые дополнительно требуют идеализированного случайного предположения оракула. Например, система Крамера-Шоупа ^[5] безопасна на основе теоретико-числовых предположений и отсутствия идеализации, а после ряда тонких исследований также было установлено, что практическая схема RSA-OAEP безопасна при предположении RSA в идеализированной случайной среде. Модель оракула. ^[8]

Смотрите также

• Танцы на губе вулкана: атаки с использованием выбранного зашифрованного текста на Apple iMessage (Usenix 2016)

Рекомендации

1. Луби, Майкл (1996). Псевдослучайность и криптографические приложения . Издательство Принстонского университета.
2. Белларе, М.; Десаи, А.; Йокипии, Э.; Рогауэй, П. (1997). «Конкретные меры безопасности симметричного шифрования». Материалы 38-го ежегодного симпозиума по основам информатики . стр. 394–403. дои : 10.1109/SFCS.1997.646128. ISBN 0-8186-8197-7. S2CID  42604387.
3. «Мони Наор и Моти Юнг, криптосистемы с открытым ключом, доказуемо защищенные от атак с выбранным зашифрованным текстом» . Материалы 21-го ежегодного симпозиума ACM по теории вычислений : 427–437. 1990.
4. «Джонатан Кац и Моти Юнг, Неподдельное шифрование и выбранные безопасные режимы работы зашифрованного текста. FSE 2000: 284-299» . {{cite journal}}: Требуется цитировать журнал |journal=( помощь )
5. Рональд Крамер и Виктор Шуп , «Практическая криптосистема с открытым ключом, доказуемо безопасная от атаки с использованием адаптивного выбранного зашифрованного текста», в журнале «Достижения в криптологии - материалы CRYPTO '98», Санта-Барбара, Калифорния , 1998, стр. 13-25. ( статья )
6. Михир Белларе , Ананд Десаи, Дэвид Пойнтчеваль и Филип Рогауэй , Отношения между понятиями безопасности для схем шифрования с открытым ключом, в «Достижениях в криптологии - CRYPTO '98», Санта-Барбара, Калифорния, стр. 549-570.
7. Д. Блейхенбахер. Атаки с выбранным зашифрованным текстом против протоколов, основанных на стандарте шифрования RSA PKCS #1. Архивировано 4 февраля 2012 г. на Wayback Machine . В достижениях в криптологии - CRYPTO'98, LNCS vol. 1462, страницы: 1–12, 1998 г.
8. М. Белларе , П. Рогауэй Оптимальное асимметричное шифрование - Как шифровать с помощью RSA, расширенный реферат в журнале «Достижения в криптологии» - Eurocrypt '94 Proceedings, Конспекты лекций по информатике, том. 950, изд. А. Де Сантиса, Springer-Verlag , 1995. Полная версия (pdf). Архивировано 8 июля 2008 г. в Wayback Machine.