Útok zvoleným šifrovým textem (CCA)

Autor: Leandro Alegsa Datum vytvoření: 18. ledna 2022

Útok zvoleným šifrovým textem (CCA) je model útoku pro kryptoanalýzu, při kterém kryptoanalytik získává informace, alespoň částečně, výběrem šifrového textu a získáním jeho dešifrování pod neznámým klíčem.

Pokud je kryptosystém náchylný k útoku na vybraný šifrový text, musí implementátoři dbát na to, aby se vyhnuli situacím, kdy by útočníci mohli být schopni dešifrovat vybrané šifrové texty (tj. vyhnout se poskytnutí dešifrovacího schématu). To může být obtížnější, než se zdá, protože i částečně zvolené šifrové texty mohou umožnit rafinované útoky. Některé kryptosystémy (např. RSA) navíc používají stejný mechanismus k podepisování zpráv i k jejich dešifrování. To umožňuje útoky v případě, že na podepisovanou zprávu není použito hašování. Lepším přístupem je použití kryptosystému, který je prokazatelně bezpečný při útoku na vybraný šifrový text, včetně (mimo jiné) RSA-OAEP, Cramer-Shoup a mnoha forem autentizovaného symetrického šifrování.

Odrůdy útoků na vybraný šifrový text

Útoky na vybraný šifrový text mohou být stejně jako jiné útoky adaptivní nebo neadaptivní. Při neadaptivním útoku si útočník předem vybere šifrový text nebo šifrové texty, které bude dešifrovat, a výsledné otevřené texty nepoužívá k výběru dalších šifrových textů. Při adaptivním útoku s vybraným šifrovým textem útočník volí šifrový text adaptivně, tj. v závislosti na výsledku předchozích dešifrování.

Útoky v době oběda

Zvláště známou variantou útoku na vybraný šifrový text je "obědový" nebo "půlnoční" útok, při kterém může útočník provádět adaptivní dotazy na vybraný šifrový text, ale pouze do určitého okamžiku, po kterém musí prokázat určitou zlepšenou schopnost napadnout systém. Termín "útok v době oběda" odkazuje na myšlenku, že uživatelův počítač se schopností dešifrovat je útočníkovi k dispozici, zatímco uživatel je na obědě. Tato forma útoku byla první běžně diskutovanou formou: je zřejmé, že pokud má útočník možnost provádět adaptivně zvolené šifrové dotazy, nebude žádná zašifrovaná zpráva v bezpečí, alespoň dokud mu tato schopnost nebude odebrána. Tento útok se někdy nazývá "neadaptivní útok na vybraný šifrový text"; zde "neadaptivní" odkazuje na skutečnost, že útočník nemůže přizpůsobit své dotazy v reakci na výzvu, která je zadána po vypršení schopnosti provádět dotazy na vybraný šifrový text.

Mnoho útoků na vybraný šifrový text praktického významu jsou útoky v době oběda, například když Daniel Bleichenbacher z Bellových laboratoří předvedl praktický útok na systémy používající PKCS#1; vynalezla a zveřejnila jej společnost RSA Security.

Adaptivní útok na vybraný šifrový text

(Úplný) adaptivní útok vybraným šifrovým textem je útok, při kterém mohou být šifrové texty vybírány adaptivně před a po předání šifrového textu výzvy útočníkovi, přičemž JEDINOU podmínkou je, že šifrový text výzvy nesmí být sám dotazován. Jedná se o silnější pojetí útoku než obědový útok a běžně se označuje jako útok CCA2 ve srovnání s útokem CCA1 (obědový útok). Jen málo praktických útoků má tuto podobu. Tento model je důležitý spíše pro jeho použití v důkazech bezpečnosti proti útokům na vybraný šifrový text. Důkaz, že útoky podle tohoto modelu jsou nemožné, znamená, že nelze provést žádný praktický útok na vybraný šifrový text.

Mezi kryptosystémy, které se osvědčily jako bezpečné proti adaptivním útokům na vybraný šifrový text, patří Cramer-Shoupův systém a RSA-OAEP.

Související stránky

Útok pouze šifrovým textem
Útok vybraným prostým textem
Útok známým textem

Otázky a odpovědi

Otázka: Co je to útok vybraným šifrovaným textem?

Odpověď: Útok zvoleným šifrovým textem (CCA) je model útoku pro kryptoanalýzu, při kterém kryptoanalytik získává informace, alespoň částečně, výběrem šifrového textu a získáním jeho dešifrování pod neznámým klíčem.

Otázka: Proč musí implementátoři dbát na to, aby se vyhnuli situacím, kdy by útočníci mohli být schopni dešifrovat vybrané šifrové texty?

Odpověď: Pokud je kryptosystém náchylný k útoku na vybraný šifrový text, musí být implementátoři opatrní, aby se vyhnuli situacím, ve kterých by útočníci mohli být schopni dešifrovat vybrané šifrové texty (tj. vyhnout se poskytnutí dešifrovacího schématu), protože i částečně vybrané šifrové texty mohou umožnit rafinované útoky.

Otázka: Které kryptosystémy jsou zranitelné vůči útokům, pokud se na podepisované zprávě nepoužívá hashování?

Odpověď: Některé kryptosystémy (například RSA) používají stejný mechanismus k podepisování zpráv i k jejich dešifrování. To umožňuje útoky, když se na podepisovanou zprávu nepoužívá hashování.

Otázka: Jaký je lepší přístup k zamezení útoků v modelu útoku vybraným šifrovým textem?

Odpověď: Lepší přístup je použít kryptosystém, který je prokazatelně bezpečný při útoku vybraným šifrovým textem, včetně (mimo jiné) RSA-OAEP, Cramer-Shoup a mnoha forem ověřeného symetrického šifrování.

Otázka: Co znamená RSA-OAEP?

Odpověď: RSA-OAEP je zkratka pro RSA Optimal Asymmetric Encryption Padding.

Otázka: Jaký je jeden z důsledků toho, že je kryptosystém zranitelný útokem na zvolený šifrový text?

Odpověď: Jedním z důsledků zranitelnosti kryptosystému vůči útoku na vybraný šifrový text je, že implementátoři musí být opatrní a vyhnout se situacím, kdy by útočníci mohli být schopni dešifrovat vybrané šifrové texty (tj. vyhnout se poskytnutí dešifrovacího schématu).

Otázka: Jaký typ útoků mohou částečně zvolené šifrové texty umožnit?

Odpověď: Částečně zvolené šifrové texty mohou umožnit rafinované útoky.