Атаката с избран шифров текст (CCA)
Атаката с избран шифров текст (CCA) е модел на атака за криптоанализ, при който криптоаналитикът събира информация, поне отчасти, като избира шифров текст и получава неговото декриптиране под неизвестен ключ.
Когато дадена криптосистема е податлива на атака с избран шифротекст, изпълнителите трябва да внимават да избегнат ситуации, в които нападателите могат да декриптират избрани шифротекстове (т.е. да избегнат предоставянето на схема за декриптиране). Това може да се окаже по-трудно, отколкото изглежда, тъй като дори частично избрани шифротекстове могат да позволят фини атаки. Освен това някои криптосистеми (например RSA) използват един и същ механизъм за подписване на съобщения и за тяхното декриптиране. Това позволява атаки, когато не се използва хеширане на подписваното съобщение. По-добрият подход е да се използва криптосистема, която е доказано сигурна при атака с избран шифър текст, включително (наред с други) RSA-OAEP, Cramer-Shoup и много форми на удостоверено симетрично криптиране.
Разновидности на атаките с избран шифър текст
Атаките с избран шифровъчен текст, както и другите атаки, могат да бъдат адаптивни или неадаптивни. При неадаптивната атака нападателят предварително избира шифротекста или шифротекстовете, които да декриптира, и не използва получените явни текстове, за да се информира за избора си на повече шифротекстове. При адаптивната атака с избран шифротекст нападателят прави своя избор на шифротекст адаптивно, т.е. в зависимост от резултата от предишни декриптирания.
Нападения по време на обяд
Специално отбелязан вариант на атаката с избран шифър текст е атаката "по обед" или "в полунощ", при която атакуващият може да прави адаптивни заявки с избран шифър текст, но само до определен момент, след което трябва да демонстрира подобрена способност за атака на системата. Терминът "атака по време на обяд" се отнася до идеята, че компютърът на потребителя с възможност за декриптиране е на разположение на нападателя, докато потребителят е на обяд. Тази форма на атаката беше първата често обсъждана: очевидно е, че ако нападателят има възможност да прави заявки за адаптивно избран шифров текст, никое криптирано съобщение няма да е безопасно, поне докато тази възможност не му бъде отнета. Понякога тази атака се нарича "неадаптивна атака с избран шифротекст"; тук "неадаптивна" се отнася до факта, че нападателят не може да адаптира своите заявки в отговор на предизвикателството, което се дава, след като е изтекла възможността за извършване на заявки с избран шифротекст.
Много атаки с избран шифър текст с практическо значение са атаки по време на обяд, включително например когато Даниел Блейхенбахер от Bell Laboratories демонстрира практическа атака срещу системи, използващи PKCS#1; изобретен и публикуван от RSA Security.
Адаптивна атака с избран шифър текст
(Пълна) адаптивна атака с избран шифър е атака, при която шифрите могат да се избират адаптивно преди и след като на атакуващия е предоставен шифър на предизвикателството, с ЕДНО условие, че самият шифър на предизвикателството не може да бъде потърсен. Това е по-силно понятие за атака от атаката по време на обяд и обикновено се нарича атака CCA2 в сравнение с атаката CCA1 (по време на обяд). Малко са практическите атаки в тази форма. Този модел е важен по-скоро заради използването му в доказателствата за сигурност срещу атаки с избран шифър текст. Доказателство, че атаките по този модел са невъзможни, означава, че не може да се извърши никаква практическа атака с избран шифър текст.
Криптосистемите, които са доказано сигурни срещу адаптивни атаки с избран шифър текст, включват системата Cramer-Shoup и RSA-OAEP.
Свързани страници
- Атака само с шифротекст
- Атака с избран обикновен текст
- Атака с познат текст (Known-plaintext attack)
Въпроси и отговори
В: Какво представлява атаката с избран шифър?
О: Атаката с избран шифър текст (CCA) е модел на атака за криптоанализ, при който криптоаналитикът събира информация, поне отчасти, като избира шифър текст и получава неговото декриптиране под неизвестен ключ.
Въпрос: Защо изпълнителите трябва да внимават да избягват ситуации, в които нападателите могат да бъдат в състояние да декриптират избрани шифротекстове?
О: Когато криптосистемата е податлива на атака с избран шифър, изпълнителите трябва да внимават да избягват ситуации, в които нападателите могат да декриптират избрани шифри (т.е. да избягват предоставянето на схема за декриптиране), тъй като дори частично избрани шифри могат да позволят фини атаки.
Въпрос: Кои криптосистеми са уязвими на атаки, когато не се използва хеширане на съобщението, което трябва да бъде подписано?
О: Някои криптосистеми (като RSA) използват един и същ механизъм за подписване на съобщения и за тяхното декриптиране. Това позволява атаки, когато не се използва хеширане на подписваното съобщение.
Въпрос: Кой е по-добрият подход за избягване на атаки при модел на атака с избран шифър?
О: По-добрият подход е да се използва криптосистема, която е доказано сигурна при атака с избран шифър, включително (наред с други) RSA-OAEP, Cramer-Shoup и много форми на удостоверено симетрично криптиране.
В: Какво означава RSA-OAEP?
О: RSA-OAEP е съкращение от RSA Optimal Asymmetric Encryption Padding.
Въпрос: Какво е едно от последствията от това, че дадена криптосистема е уязвима към атака с избран шифър текст?
О.: Едно от последствията от уязвимостта на криптосистемата към атака с избран шифър е, че изпълнителите трябва да внимават да избягват ситуации, в които нападателите могат да декриптират избрани шифри (т.е. да избягват предоставянето на схема за декриптиране).
Въпрос: Какъв тип атаки могат да позволят частично избраните шифротекстове?
О.: Частично избраните шифрограми могат да позволят фини атаки.
