Izvēlētā šifrteksta uzbrukums (CCA)
Izvēlētā šifrteksta uzbrukums (CCA) ir kriptoanalīzes uzbrukuma modelis, kurā kriptoanalītiķis vismaz daļēji iegūst informāciju, izvēloties šifrtekstu un iegūstot tā atšifrēšanu ar nezināmu atslēgu.
Ja kriptosistēma ir uzņēmīga pret izvēlētā šifrteksta uzbrukumu, tās īstenotājiem jābūt uzmanīgiem, lai izvairītos no situācijām, kurās uzbrucēji varētu atšifrēt izvēlētos šifrtekstus (t. i., izvairīties no atšifrēšanas shēmas nodrošināšanas). Tas var būt grūtāk, nekā šķiet, jo pat daļēji izvēlēti šifrteksti var ļaut veikt izsmalcinātus uzbrukumus. Turklāt dažas kriptosistēmas (piemēram, RSA) izmanto vienu un to pašu mehānismu ziņojumu parakstīšanai un atšifrēšanai. Tas ļauj veikt uzbrukumus, ja parakstāmajam ziņojumam netiek izmantota šifrēšana. Labāka pieeja ir izmantot kriptosistēmu, kas ir pierādāmi droša izvēlētā šifrteksta uzbrukuma gadījumā, tostarp (cita starpā) RSA-OAEP, Cramer-Shoup un daudzas autentificētas simetriskās šifrēšanas formas.
Izvēlētā šifrteksta uzbrukumu paveidi
Izvēlētā šifrētā teksta uzbrukumi, tāpat kā citi uzbrukumi, var būt adaptīvi vai neadaptīvi. Neadaptīvā uzbrukumā uzbrucējs iepriekš izvēlas šifrtekstu vai šifrtekstus, kurus atšifrēt, un neizmanto iegūtos atklātos tekstus, lai informētu par citu šifrtekstu izvēli. Adaptīvā izvēlētā šifrteksta uzbrukuma gadījumā uzbrucējs izvēlas šifrtekstu adaptīvi, t. i., atkarībā no iepriekšējo atšifrējumu rezultātiem.
Pusdienu uzbrukumi
Īpaši atzīmēts izvēlētā šifrteksta uzbrukuma variants ir "pusdienas laika" vai "pusnakts" uzbrukums, kurā uzbrucējs var veikt adaptīvus izvēlētā šifrteksta pieprasījumus, bet tikai līdz noteiktam brīdim, pēc kura uzbrucējam jādemonstrē uzlabota spēja uzbrukt sistēmai. Termins "uzbrukums pusdienas laikā" attiecas uz ideju, ka uzbrucējam ir pieejams lietotāja dators ar spēju atšifrēt, kamēr lietotājs ir dežūrējis. Šis uzbrukuma veids bija pirmais plaši apspriestais: acīmredzot, ja uzbrucējam ir iespēja veikt adaptīvi izvēlētus šifrēta teksta pieprasījumus, tad neviens šifrēts ziņojums nebūs drošs, vismaz līdz brīdim, kad šī iespēja tiks atņemta. Šo uzbrukumu dažkārt dēvē par "neadaptīvo izvēlētā šifrteksta uzbrukumu"; šeit "neadaptīvais" attiecas uz to, ka uzbrucējs nevar pielāgot savus pieprasījumus, atbildot uz izaicinājumu, kas tiek dots pēc tam, kad iespēja veikt izvēlētā šifrteksta pieprasījumus ir beigusies.
Daudzi praktiski nozīmīgi izvēlētā šifrteksta uzbrukumi ir uzbrukumi pusdienas laikā, piemēram, kad Daniels Bleihenbahers no Bell Laboratories demonstrēja praktisku uzbrukumu sistēmām, kas izmanto PKCS#1; to izgudroja un publicēja RSA Security.
Adaptīvais izvēlētā šifrteksta uzbrukums
(Pilnīgs) adaptīvais izvēlētā šifrteksta uzbrukums ir uzbrukums, kurā šifrtekstus var izvēlēties adaptīvi pirms un pēc tam, kad uzbrucējam ir dots izaicinājuma šifrteksts, ar VIENU nosacījumu, ka izaicinājuma šifrteksts pats par sevi nedrīkst tikt pieprasīts. Tas ir spēcīgāks uzbrukuma jēdziens nekā pusdienas laika uzbrukums, un to parasti dēvē par CCA2 uzbrukumu salīdzinājumā ar CCA1 (pusdienas laika) uzbrukumu. Šāda veida uzbrukumu praksē ir maz. Drīzāk šis modelis ir svarīgs, jo to izmanto drošības pierādījumos pret izvēlētā šifrteksta uzbrukumiem. Pierādījums, ka uzbrukumi šajā modelī ir neiespējami, nozīmē, ka nav iespējams veikt jebkuru praktisku uzbrukumu izvēlētajam šifrtekstam.
Kriptosistēmas, kas ir pierādījušas, ka ir drošas pret adaptīviem izvēlētā šifrteksta uzbrukumiem, ietver Cramer-Shoup sistēmu un RSA-OAEP.
Saistītās lapas
- Uzbrukums tikai šifrtekstam
- Izvēlētā teksta uzbrukums
- Zināma teksta uzbrukums
Jautājumi un atbildes
J: Kas ir izvēlētā šifrētā teksta uzbrukums?
A: Izvēlētā šifrteksta uzbrukums (CCA) ir kriptoanalīzes uzbrukuma modelis, kurā kriptoanalītiķis vismaz daļēji iegūst informāciju, izvēloties šifrtekstu un iegūstot tā atšifrēšanu ar nezināmu atslēgu.
J: Kāpēc īstenotājiem ir jābūt uzmanīgiem, lai izvairītos no situācijām, kurās uzbrucēji varētu spēt atšifrēt izvēlētos šifrtekstus?
A: Ja kriptosistēma ir uzņēmīga pret izvēlētā šifrteksta uzbrukumu, ieviesējiem jābūt uzmanīgiem, lai izvairītos no situācijām, kurās uzbrucēji varētu atšifrēt izvēlētos šifrtekstus (t. i., jāizvairās no atšifrēšanas shēmas nodrošināšanas), jo pat daļēji izvēlēti šifrteksti var ļaut veikt viltīgus uzbrukumus.
J: Kuras kriptosistēmas ir neaizsargātas pret uzbrukumiem, ja parakstāmajam ziņojumam neizmanto hashing?
A: Dažas kriptosistēmas (piemēram, RSA) izmanto vienu un to pašu mehānismu, lai parakstītu ziņojumus un tos atšifrētu. Tas pieļauj uzbrukumus, ja parakstāmajam ziņojumam neizmanto hashing.
J: Kāda ir labākā pieeja, lai izvairītos no uzbrukumiem, izmantojot izvēlētā šifrētā teksta uzbrukuma modeli?
A: Labāka pieeja ir izmantot kriptosistēmu, kas ir pierādāmi droša izvēlētā šifrteksta uzbrukuma gadījumā, tostarp (cita starpā) RSA-OAEP, Cramer-Shoup un daudzas autentificētas simetriskās šifrēšanas formas.
J: Ko nozīmē RSA-OAEP?
A: RSA-OAEP ir RSA Optimal Asymmetric Encryption Padding.
J: Kāda ir viena no sekām tam, ka kriptosistēma ir neaizsargāta pret izvēlētā šifrteksta uzbrukumu?
A.: Viena no sekām, ko rada kriptosistēmas neaizsargātība pret izvēlētā šifrteksta uzbrukumu, ir tā, ka īstenotājiem jābūt uzmanīgiem, lai izvairītos no situācijām, kurās uzbrucēji varētu atšifrēt izvēlētos šifrtekstus (t. i., izvairīties no atšifrēšanas shēmas nodrošināšanas).
J: Kāda veida uzbrukumus var atļaut daļēji izvēlēti šifrteksti?
A: Daļēji izvēlēti šifrteksti var ļaut veikt izsmalcinātus uzbrukumus.
