Útok na vybraný šifrový text (CCA)
Útok na vybraný šifrový text (CCA) je model útoku na kryptoanalýzu, pri ktorom kryptoanalytik získava informácie aspoň čiastočne výberom šifrového textu a získaním jeho dešifrovania pod neznámym kľúčom.
Ak je kryptosystém náchylný na útok vybraným šifrovým textom, implementátori musia dbať na to, aby sa vyhli situáciám, v ktorých by útočníci mohli byť schopní dešifrovať vybrané šifrové texty (t. j. vyhnúť sa poskytnutiu dešifrovacej schémy). To môže byť ťažšie, ako sa zdá, pretože aj čiastočne zvolené šifrové texty môžu umožniť rafinované útoky. Okrem toho niektoré kryptosystémy (napríklad RSA) používajú na podpisovanie správ a ich dešifrovanie rovnaký mechanizmus. To umožňuje útoky, keď sa na podpisovanú správu nepoužíva hashovanie. Lepším prístupom je použitie kryptosystému, ktorý je preukázateľne bezpečný pri útoku na vybraný šifrový text, vrátane (okrem iných) RSA-OAEP, Cramer-Shoup a mnohých foriem overeného symetrického šifrovania.
Odrody útokov na vybraný šifrový text
Útoky na vybraný šifrový text, podobne ako iné útoky, môžu byť adaptívne alebo neadaptívne. Pri neadaptívnom útoku si útočník vyberá šifrový text alebo šifrové texty na dešifrovanie vopred a nepoužíva výsledné otvorené texty na informovanie o výbere ďalších šifrových textov. Pri adaptívnom útoku na vybraný šifrový text útočník vyberá šifrový text adaptívne, t. j. v závislosti od výsledku predchádzajúcich dešifrovaní.
Útoky v čase obeda
Špeciálne zaznamenaným variantom útoku na vybraný šifrový text je "obedňajší" alebo "polnočný" útok, pri ktorom môže útočník vykonávať adaptívne dotazy na vybraný šifrový text, ale len do určitého bodu, po ktorom musí útočník preukázať určitú zlepšenú schopnosť útočiť na systém. Pojem "útok v čase obeda" sa vzťahuje na myšlienku, že počítač používateľa so schopnosťou dešifrovania je útočníkovi k dispozícii, kým je používateľ na obede. Táto forma útoku bola prvá, o ktorej sa bežne diskutovalo: je zrejmé, že ak má útočník schopnosť robiť adaptívne vybrané šifrové dotazy, žiadna zašifrovaná správa nebude v bezpečí, aspoň kým mu táto schopnosť nebude odobratá. Tento útok sa niekedy nazýva "neadaptívny útok na vybraný šifrový text"; tu sa "neadaptívny" vzťahuje na skutočnosť, že útočník nemôže prispôsobiť svoje dotazy v reakcii na výzvu, ktorá je daná po tom, ako zanikla schopnosť robiť dotazy na vybraný šifrový text.
Mnohé útoky na vybraný šifrový text, ktoré majú praktický význam, sú útoky v čase obeda, napríklad keď Daniel Bleichenbacher z Bellových laboratórií predviedol praktický útok na systémy používajúce PKCS#1; vynašla ho a zverejnila spoločnosť RSA Security.
Adaptívny útok na vybraný šifrový text
(Úplný) adaptívny útok vybraným šifrovým textom je útok, pri ktorom sa šifrové texty môžu vyberať adaptívne pred a po tom, ako sa útočníkovi poskytne šifrový text výzvy, pričom JEDNOU podmienkou je, že samotný šifrový text výzvy nesmie byť dopytovaný. Ide o silnejší pojem útoku ako útok na obed a bežne sa označuje ako útok CCA2 v porovnaní s útokom CCA1 (útok na obed). Len málo praktických útokov má túto podobu. Tento model je dôležitý skôr pre jeho použitie v dôkazoch bezpečnosti proti útokom na vybraný šifrový text. Dôkaz, že útoky v tomto modeli sú nemožné, znamená, že žiadny praktický útok na vybraný šifrový text nemožno vykonať.
Medzi kryptosystémy, ktoré sa osvedčili ako bezpečné proti adaptívnym útokom na vybraný šifrový text, patria Cramer-Shoupov systém a RSA-OAEP.
Súvisiace stránky
- Útok len na šifrový text
- Útok vybraným textom
- Útok známym textom
Otázky a odpovede
Otázka: Čo je to útok vybraným šifrovacím textom?
Odpoveď: Útok vybraným šifrovým textom (CCA) je model útoku na kryptoanalýzu, pri ktorom kryptoanalytik získava informácie, aspoň čiastočne, výberom šifrového textu a získaním jeho dešifrovania pod neznámym kľúčom.
Otázka: Prečo musia byť implementátori opatrní, aby sa vyhli situáciám, v ktorých by útočníci mohli byť schopní dešifrovať vybrané šifrové texty?
Odpoveď: Keď je kryptosystém náchylný na útok vybraným šifrovým textom, implementátori musia byť opatrní, aby sa vyhli situáciám, v ktorých by útočníci mohli byť schopní dešifrovať vybrané šifrové texty (t. j. vyhnúť sa poskytnutiu dešifrovacej schémy), pretože aj čiastočne vybrané šifrové texty môžu umožniť rafinované útoky.
Otázka: Ktoré kryptosystémy sú zraniteľné voči útokom, keď sa na podpisovanú správu nepoužíva hashovanie?
Odpoveď: Niektoré kryptosystémy (napríklad RSA) používajú na podpisovanie správ a ich dešifrovanie rovnaký mechanizmus. To umožňuje útoky, keď sa na podpisovanú správu nepoužíva hashovanie.
Otázka: Aký je lepší prístup na zabránenie útokom v rámci modelu útoku na vybraný šifrový text?
Odpoveď: Lepší prístup je použiť kryptosystém, ktorý je preukázateľne bezpečný pri útoku vybraným šifrovým textom, vrátane (okrem iného) RSA-OAEP, Cramer-Shoup a mnohých foriem overeného symetrického šifrovania.
Otázka: Čo znamená RSA-OAEP?
Odpoveď: RSA-OAEP je skratka pre RSA Optimal Asymmetric Encryption Padding.
Otázka: Aký je jeden z dôsledkov toho, že kryptosystém je zraniteľný voči útoku na vybraný šifrový text?
Odpoveď: Jedným z dôsledkov toho, že kryptosystém je zraniteľný voči útoku na vybraný šifrový text, je, že implementátori musia byť opatrní a vyhnúť sa situáciám, v ktorých by útočníci mohli byť schopní dešifrovať vybrané šifrové texty (t. j. vyhnúť sa poskytnutiu dešifrovacej schémy).
Otázka: Aký typ útokov môžu čiastočne zvolené šifrové texty umožniť?
Odpoveď: Čiastočne zvolené šifrové texty môžu umožniť rafinované útoky.
