Adaptive chosenciphertext Attack
Adaptivní volený-ciphertext útok (zkráceně CCA2 ) je interaktivní formavolený-ciphertext útoku , ve kterém útočník pošle řadu ciphertexts se dešifrovat, pak použije výsledky těchto decryptions vyberte následné ciphertexts. Je třeba odlišovat od lhostejného volený-ciphertext útoku (CCA1).
Cílem tohoto útoku je postupně odhalit informace o šifrované zprávě, nebo o dešifrovací klíč samotného. Pro veřejného klíče systémů, adaptivní zvolená-ciphertexts jsou obecně platné pouze tehdy, když mají tu vlastnost, tvařitelnost šifrového - to znamená, že může ciphertext být upraven specifickým způsobem, který bude mít předvídatelný dopad na dešifrování této zprávy.
Adaptivní-volený-ciphertext útoky byly velmi považován teoretická až do roku 1998, kdy Daniel Bleichenbacher z Bell Laboratories prokázaly praktický útok proti systému pomocí RSA šifrování ve shodě s PKCS # 1 V1 kódování funkce, včetně verze Secure Socket vrstva (SSL) protokol používaný tisíce webových serverů v té době. [ 1 ]
V Bleichenbacher útoky, známé také jako jednoho milionu zpráv útoku, využili chyb v PKCS # 1 funkci postupně odhalit obsah RSA šifrované zprávy. Dělat to vyžaduje zaslání několik milionů testovacích ciphertexts k dešifrování zařízení (např. SSL vybavený webový server.) V praxi to znamená, že relace SSL klíč může být vystavena v rozumném množství času, možná den nebo méně.
Aby se zabránilo adaptivní volený-ciphertext zaútočí, je nutné použít šifrování nebo kódování schéma, které omezuje šifrový malleability . Počet kódování programů byly navrhoval; nejběžnější standard pro šifrování RSA je optimální Asymetrické šifrování Padding (OAEP). Na rozdíl od ad-hoc programů, jako je polstrování používané v dřívějších verzích PKCS # 1, který OAEP bylo prokázáno bezpečné v náhodném modelu Oracle . [ 2 ] OAEP, bylo začleněno do PKCS # 1 ve verzi 2.0 publikoval v roce 1998 jako nyní -doporučuje kódovací schéma, se starším systému stále podporovaného ale nedoporučuje se pro nové aplikace.
V složitosti-teoretické kryptografie, je zabezpečení proti útokům adaptivní volený-ciphertext obyčejně modelována pomocí šifrový nerozlišitelnosti (IND-CCA2).