Атака с выбранным открытым текстом ( CPA ) — это модель атаки для криптоанализа , которая предполагает, что злоумышленник может получить зашифрованные тексты для произвольных открытых текстов . [1] Целью атаки является получение информации, которая снижает безопасность схемы шифрования . [2]
Современные шифры направлены на обеспечение семантической безопасности, также известной как неотличимость зашифрованного текста при атаке с использованием выбранного открытого текста , и поэтому они по своей конструкции обычно невосприимчивы к атакам с использованием выбранного открытого текста, если они правильно реализованы.
При атаке с использованием выбранного открытого текста злоумышленник может (возможно, адаптивно ) запросить зашифрованные тексты произвольных сообщений с открытым текстом. Это формализуется, позволяя злоумышленнику взаимодействовать с оракулом шифрования , рассматриваемым как черный ящик . Цель злоумышленника — раскрыть весь или часть секретного ключа шифрования.
На практике может показаться невозможным, чтобы злоумышленник мог получить зашифрованные тексты для заданных открытых текстов. Однако современная криптография реализуется программно или аппаратно и используется для самых разных приложений; во многих случаях атака с использованием выбранного открытого текста часто вполне осуществима (см. также «На практике»). Атаки с использованием выбранного открытого текста становятся чрезвычайно важными в контексте криптографии с открытым ключом , где ключ шифрования является общедоступным, и поэтому злоумышленники могут зашифровать любой открытый текст по своему выбору.
Существует две формы атак с использованием выбранного открытого текста:
Общая пакетная атака с использованием выбранного открытого текста выполняется следующим образом [ неудачная проверка ] :
Рассмотрим следующее расширение описанной выше ситуации. После последнего шага,
Шифр имеет неотличимые шифрования при атаке с использованием выбранного открытого текста, если после проведения описанного выше эксперимента с n =1 [ неудачная проверка ] злоумышленник не может угадать правильно ( b = b' ) с вероятностью, не пренебрежимо лучшей, чем 1/2. [3]
Следующие примеры демонстрируют, как некоторые шифры, соответствующие другим определениям безопасности, могут быть взломаны с помощью атаки с использованием выбранного открытого текста.
Следующая атака на шифр Цезаря позволяет полностью восстановить секретный ключ:
Attack at dawn
,Nggnpx ng qnja
.A
→N
, T
→G
и так далее. Это приведет к тому, что злоумышленник определит, что 13 — это ключ, используемый в шифре Цезаря.При более сложных методологиях шифрования метод дешифрования становится более ресурсоемким, однако основная концепция остается относительно той же.
Следующая атака на одноразовый блокнот позволяет полностью восстановить секретный ключ. Предположим, что длина сообщения и длина ключа равны n .
Хотя одноразовый блокнот используется в качестве примера информационно-безопасной криптосистемы, эта безопасность соответствует только определениям безопасности, более слабым, чем безопасность CPA. Это связано с тем, что согласно формальному определению безопасности CPA оракул шифрования не имеет состояния. Эта уязвимость может быть применима не ко всем практическим реализациям - одноразовый блокнот все равно можно сделать безопасным, если избегать повторного использования ключа (отсюда и название «одноразовый» блокнот).
Во время Второй мировой войны криптоаналитики ВМС США обнаружили, что Япония планировала атаковать место, называемое «AF». Они считали, что «AF» может быть островом Мидуэй , потому что в других местах на Гавайских островах кодовые слова начинались с «А». Чтобы доказать свою гипотезу о том, что «AF» соответствует «острову Мидуэй», они попросили американские войска в Мидуэе послать открытое текстовое сообщение о нехватке запасов. Японцы перехватили сообщение и немедленно сообщили своему начальству, что у «AF» мало воды, что подтвердило гипотезу ВМФ и позволило им расположить свои силы для победы в сражении . [3] [4]
Также во время Второй мировой войны взломщики кодов союзников в Блетчли-парке иногда просили Королевские ВВС установить мины в позиции, которая не имела никаких сокращений или альтернатив в координатной сетке немецкой военно-морской системы. Была надежда, что немцы, увидев мины, будут использовать машину «Энигма» для шифрования предупреждающего сообщения о минах и сообщения «все ясно» после их удаления, давая союзникам достаточно информации о сообщении, чтобы взломать немецкую военно-морскую «Энигму». . Этот процесс внедрения известного открытого текста назывался садоводством . [5] Взломщики кодов союзников также помогали обрабатывать сообщения, отправленные двойным агентом Хуаном Пухолем Гарсиа , чьи зашифрованные радиосообщения были получены в Мадриде, вручную расшифрованы, а затем повторно зашифрованы с помощью машины «Энигма» для передачи в Берлин. [6] Это помогло взломщикам кодов расшифровать код, использованный на втором участке, предоставив исходный текст . [7]
В наши дни атаки с использованием выбранного открытого текста (CPA) часто используются для взлома симметричных шифров . Чтобы считаться CPA-безопасным, симметричный шифр не должен быть уязвимым для атак с использованием выбранного открытого текста. Таким образом, разработчикам симметричного шифрования важно понимать, как злоумышленник будет пытаться взломать свой шифр и внести соответствующие улучшения.
Для некоторых атак с использованием выбранного открытого текста злоумышленнику может потребоваться выбрать лишь небольшую часть открытого текста; такие атаки известны как атаки с внедрением открытого текста.
Атака по выбранному открытому тексту более мощная, чем атака по известному открытому тексту , поскольку злоумышленник может напрямую нацеливаться на определенные термины или шаблоны, не дожидаясь их естественного появления, что позволяет быстрее собирать данные, необходимые для криптоанализа. Следовательно, любой шифр, который предотвращает атаки с использованием выбранного открытого текста, также защищен от атак с использованием известного открытого текста и только зашифрованного текста .
Однако атака с выбранным открытым текстом менее мощна, чем атака с выбранным зашифрованным текстом , при которой злоумышленник может получить открытые тексты произвольных зашифрованных текстов. Злоумышленник CCA иногда может взломать систему, защищенную CPA. [3] Например, шифр Эль-Гамаля защищен от атак с выбранным открытым текстом, но уязвим для атак с выбранным зашифрованным текстом, поскольку он безусловно податлив .
Нацисты полагали, что Пужоль, которого они называли Аларик Арабель, был одним из их ценных активов.