Chosen-ciphertext attack
Volený-ciphertext útok ( CCA ) je útok modelem pro dešifrování , v němž cryptanalyst shromažďuje informace, přinejmenším z části, výběrem ciphertexta získat jeho dešifrování podle neznámého klíče. V útoku, protivník má šanci vstoupit jedné nebo více známých ciphertexts do systému a získat výsledné holé. Z těchto kusů informací protivník může pokusit obnovit skrytý tajný klíč používaný pro dešifrování.
Počet jinak zabezpečených systémů mohou být poraženi v volený-ciphertext útoku. Například, El Gamal šifrovací je sémanticky bezpečný pod volený-útok holého textu , ale toto sémantické zabezpečení může být triviálně poražen pod zvoleným-ciphertext útok. Časné verze RSA čalounění používané v SSLprotokolu byly vystaveny sofistikované adaptivní volený-ciphertext útoku , který odhalil SSL klíče relace. Zvolený-ciphertext útoky mají důsledky pro některé osoby samostatně výdělečně synchronizaci proudových šifer stejně. Návrháři odolných proti násilnému otevření kryptografických čipových karet musí být zvláště vědomi těchto útoků, protože tato zařízení mohou být zcela pod kontrolou protivníka, který může vydat velké množství vybraných-ciphertexts ve snaze obnovit skrytý tajný klíč.
Pokud šifrovací je náchylná k volený-ciphertext útoku, musí realizátoři být opatrní, aby se zabránilo situacím, ve kterých by mohly být protivník schopen dešifrovat volený-ciphertexts (tj. zamezit poskytování dešifrovací věštce). To může být obtížnější, než se zdá, protože i částečně vybrané ciphertexts může dovolit jemné útoky. Navíc, některé kryptografické (např. RSA ) používat stejný mechanismus k označení zpráv a dešifrovat. To umožňuje útoky, když hashnení používán na tuto zprávu podepsal. Lepším přístupem je použití kryptografického, která je prokazatelně bezpečná za volený-ciphertext útoku, včetně (mimo jiné) RSA-OAEP , Cramer-Shoup a mnoho forem ověřenésymetrického šifrování .
Zvolený-ciphertext zaútočí, stejně jako dalších útoků, může být adaptivní nebo neadaptivní. V non-adaptivní útoku, útočník zvolí ciphertext nebo ciphertexts dešifrovat předem, a nepoužívá výsledné holé informovat své volby pro více ciphertexts. V adaptivní volený-ciphertext útoku, útočník činí jejich ciphertext volby adaptivně, to znamená, že v závislosti na výsledku předchozích decryptions.
Speciálně poznamenal varianta volený-ciphertext útoku je "přestávka na oběd", "půlnoc", nebo "lhostejný" útok, ve kterém útočník může adaptivní volený-ciphertext dotazy, ale jen do určité míry, po kterém útočník musí prokázat nějaký lepší schopnost zaútočit na systém. [ 1 ] Pojem "přestávka na oběd útok" se odkazuje na názor, že je počítač uživatele, s možností dešifrovat, je k dispozici pro útočníka, zatímco uživatel je na oběd. Tato forma útoku byl první, kdo běžně diskutovány: samozřejmě, pokud útočník má schopnost dělat Adaptivní volený ciphertext dotazy, by žádný zašifrovaná zpráva být bezpečné, alespoň dokud je to, že schopnost odvezen. Tento útok se někdy nazývá "non-adaptivní volené ciphertext zaútočí"; [ 2 ] zde, "neadaptivní" se vztahuje na skutečnost, že útočník nemůže přizpůsobit své dotazy v reakci na výzvu, která je dána po schopnosti provádět volený ciphertext dotazy vypršela.
Hlavní článek: Adaptivní volený-ciphertext útok
(Full) adaptivní volený-ciphertext útok je útok, ve kterém mohou ciphertexts být zvolen adaptivně před a po výzva ciphertext je uveden na útočníka, pouze s podmínkou, že výzva ciphertext nemůže být sama o sobě dotazovaný. To je silnější útok pojem než poledního útoku, a je obyčejně odkazoval se na jako CCA2 útok, ve srovnání s CCA1 (oběda) útoku. [ 2 ] Jen málo praktické útoky jsou tohoto formuláře. Spíše, tento model je důležité pro jeho použití v dokladů o bezpečnosti proti volený-ciphertext útoky. Důkaz, že útočí v tomto modelu jsou nemožné, znamená, že nějaká realistická volený-ciphertext útok nemůže být provedena.
Praktická adaptivní volený-ciphertext útok je útok Bleichenbacher proti PKCS # 1 . [ 3 ]
Kryptografické prokazatelně bezpečné proti útokům adaptivní volený-ciphertext zahrnují i Cramer-Shoup system [ 1 ] a RSA-OAEP . [ 4 ]