Ataque de texto cifrado escolhido - Chosen-ciphertext attack
Um ataque de texto cifrado escolhido ( CCA ) é um modelo de ataque para criptanálise em que o criptanalista pode reunir informações obtendo as descriptografias dos textos cifrados escolhidos. A partir dessas informações, o adversário pode tentar recuperar a chave secreta oculta usada para descriptografar.
Para obter definições formais de segurança contra ataques de texto cifrado escolhido, consulte, por exemplo: Michael Luby e Mihir Bellare et al.
Introdução
Vários esquemas de outra forma seguros podem ser derrotados sob um ataque de texto cifrado escolhido. Por exemplo, o sistema de criptografia El Gamal é semanticamente seguro sob ataque de texto simples escolhido , mas essa segurança semântica pode ser trivialmente derrotada sob um ataque de texto cifrado escolhido. As primeiras versões do preenchimento RSA usado no protocolo SSL eram vulneráveis a um ataque de texto cifrado escolhido adaptável sofisticado que revelava chaves de sessão SSL. Os ataques de texto cifrado escolhido também têm implicações para algumas cifras de fluxo de sincronização automática . Os projetistas de cartões inteligentes criptográficos resistentes à violação devem estar particularmente cientes desses ataques, pois esses dispositivos podem estar completamente sob o controle de um adversário, que pode emitir um grande número de textos criptográficos escolhidos na tentativa de recuperar a chave secreta oculta.
Não estava claro se os criptossistemas de chave pública podem resistir ao ataque de texto cifrado escolhido até o trabalho de descoberta inicial de Moni Naor e Moti Yung em 1990, que sugeriu um modo de criptografia dupla com prova de integridade (agora conhecido como "Naor-Yung" paradigma de criptografia). Este trabalho tornou o entendimento da noção de segurança contra ataques de texto cifrado escolhido muito mais claro do que antes e abriu a direção da pesquisa para a construção de sistemas com várias proteções contra variantes do ataque.
Quando um criptosistema é vulnerável a ataques de texto cifrado escolhido, os implementadores devem ser cuidadosos para evitar situações em que um adversário possa ser capaz de descriptografar os textos cifrados escolhidos (ou seja, evitar fornecer um oráculo de descriptografia). Isso pode ser mais difícil do que parece, pois mesmo textos cifrados parcialmente escolhidos podem permitir ataques sutis. Além disso, existem outros problemas e alguns criptossistemas (como RSA ) usam o mesmo mecanismo para assinar mensagens e descriptografá-las. Isso permite ataques quando o hash não é usado na mensagem a ser assinada. Uma abordagem melhor é usar um criptossistema que seja comprovadamente seguro sob ataque de texto cifrado escolhido, incluindo (entre outros) RSA-OAEP seguro sob heurística oráculo aleatória, Cramer-Shoup que foi o primeiro sistema prático de chave pública a ser seguro. Para esquemas de criptografia simétrica, sabe-se que a criptografia autenticada, que é uma primitiva baseada na criptografia simétrica, oferece segurança contra ataques de texto cifrado escolhido, como foi mostrado pela primeira vez por Jonathan Katz e Moti Yung .
Variedades
Ataques de texto cifrado escolhido, como outros ataques, podem ser adaptativos ou não adaptativos. Em um ataque de texto cifrado escolhido adaptável, o invasor pode usar os resultados de descriptografias anteriores para informar suas escolhas de quais textos criptografados devem ser descriptografados. Em um ataque não adaptativo, o invasor escolhe os textos criptografados a serem descriptografados sem ver nenhum dos textos simples resultantes. Depois de ver os textos simples, o invasor não pode mais obter a descriptografia de textos criptografados adicionais.
Ataques na hora do almoço
Uma variante especialmente observada do ataque de texto cifrado escolhido é o ataque "hora do almoço", "meia-noite" ou "indiferente", em que um invasor pode fazer consultas adaptativas de texto cifrado escolhido, mas apenas até certo ponto, após o qual o invasor deve demonstrar alguma habilidade aprimorada para atacar o sistema. O termo "ataque na hora do almoço" refere-se à ideia de que o computador de um usuário, com a capacidade de descriptografar, está disponível para um invasor enquanto o usuário sai para almoçar. Essa forma de ataque foi a primeira comumente discutida: obviamente, se o invasor tem a capacidade de fazer consultas adaptativas de texto cifrado escolhido, nenhuma mensagem criptografada estaria segura, pelo menos até que essa capacidade seja retirada. Esse ataque é algumas vezes chamado de "ataque de texto cifrado escolhido não adaptativo"; aqui, "não adaptável" refere-se ao fato de que o invasor não pode adaptar suas consultas em resposta ao desafio, que é fornecido após a capacidade de fazer consultas de texto cifrado escolhido expirar.
Ataque adaptativo de texto cifrado escolhido
Um ataque de texto cifrado escolhido (completo) adaptativo é um ataque em que os textos cifrados podem ser escolhidos de forma adaptativa antes e depois de um texto cifrado de desafio ser fornecido ao invasor, com apenas a estipulação de que o texto cifrado de desafio não pode ser consultado. Esta é uma noção de ataque mais forte do que o ataque da hora do almoço e é comumente referida como um ataque CCA2, em comparação com um ataque CCA1 (hora do almoço). Poucos ataques práticos são dessa forma. Em vez disso, esse modelo é importante para seu uso em provas de segurança contra ataques de texto cifrado escolhido. Uma prova de que os ataques neste modelo são impossíveis implica que qualquer ataque de texto cifrado escolhido realista não pode ser executado.
Um ataque prático de texto cifrado escolhido adaptável é o ataque Bleichenbacher contra PKCS # 1 .
Numerosos criptossistemas são comprovadamente seguros contra ataques de texto cifrado escolhido adaptativo, alguns provando essa propriedade de segurança com base apenas em suposições algébricas, alguns exigindo adicionalmente uma suposição de oráculo aleatório idealizado. Por exemplo, o sistema Cramer-Shoup é seguro com base em suposições teóricas numéricas e nenhuma idealização, e após uma série de investigações sutis também foi estabelecido que o esquema prático RSA-OAEP é seguro sob a suposição RSA no modelo de oráculo aleatório idealizado.