Un ataque de texto cifrado elegido ( CCA ) es un modelo de ataque para el criptoanálisis en el que el criptoanalista puede recopilar información obteniendo los descifrados de los textos cifrados elegidos. A partir de estos datos, el adversario puede intentar recuperar la clave secreta oculta utilizada para el descifrado.
Para obtener definiciones formales de seguridad contra ataques de texto cifrado elegido, consulte, por ejemplo: Michael Luby [1] y Mihir Bellare et al. [2]
Introducción
Varios esquemas que de otro modo serían seguros pueden ser derrotados bajo un ataque de texto cifrado elegido. Por ejemplo, el criptosistema El Gamal es semánticamente seguro bajo un ataque de texto sin formato elegido , pero esta seguridad semántica puede ser derrotada trivialmente bajo un ataque de texto cifrado elegido. Las primeras versiones del relleno RSA utilizado en el protocolo SSL eran vulnerables a un sofisticado ataque de texto cifrado elegido adaptativo que revelaba claves de sesión SSL. Los ataques de texto cifrado elegido también tienen implicaciones para algunos cifrados de flujo de sincronización automática . Los diseñadores de tarjetas inteligentes criptográficas resistentes a la manipulación deben ser particularmente conscientes de estos ataques, ya que estos dispositivos pueden estar completamente bajo el control de un adversario, que puede emitir una gran cantidad de textos cifrados elegidos en un intento por recuperar la clave secreta oculta.
No estaba claro en absoluto si los criptosistemas de clave pública pueden resistir el ataque de texto cifrado elegido hasta el trabajo de avance inicial de Moni Naor y Moti Yung en 1990, que sugirió un modo de cifrado dual con prueba de integridad (ahora conocido como "Naor-Yung" paradigma de cifrado). [3] Este trabajo hizo que la comprensión de la noción de seguridad contra el ataque de texto cifrado elegido fuera mucho más clara que antes y abrió la dirección de la investigación para construir sistemas con diversas protecciones contra las variantes del ataque.
Cuando un criptosistema es vulnerable al ataque de texto cifrado elegido, los implementadores deben tener cuidado de evitar situaciones en las que un adversario pueda descifrar textos cifrados elegidos (es decir, evitar proporcionar un oráculo de descifrado). Esto puede ser más difícil de lo que parece, ya que incluso los textos cifrados parcialmente seleccionados pueden permitir ataques sutiles. Además, existen otros problemas y algunos criptosistemas (como RSA ) utilizan el mismo mecanismo para firmar mensajes y descifrarlos. Esto permite ataques cuando no se utiliza hash en el mensaje a firmar. Un mejor enfoque es utilizar un criptosistema que sea demostrablemente seguro bajo un ataque de texto cifrado elegido, incluido (entre otros) RSA-OAEP seguro bajo la heurística de oráculo aleatoria, Cramer-Shoup, que fue el primer sistema práctico de clave pública en ser seguro. Para los esquemas de cifrado simétrico, se sabe que el cifrado autenticado, que es una primitiva basada en el cifrado simétrico, brinda seguridad contra ataques de texto cifrado seleccionados, como lo demostraron por primera vez Jonathan Katz y Moti Yung . [4]
Variedades
Los ataques de texto cifrado elegido, al igual que otros ataques, pueden ser adaptativos o no adaptativos. En un ataque de texto cifrado elegido adaptativo, el atacante puede utilizar los resultados de descifrados anteriores para informar sus elecciones de qué textos cifrados descifrar. En un ataque no adaptativo, el atacante elige los textos cifrados que desea descifrar sin ver ninguno de los textos sin formato resultantes. Después de ver los textos sin formato, el atacante ya no puede obtener el descifrado de textos cifrados adicionales.
Ataques a la hora del almuerzo
Una variante especialmente notada del ataque de texto cifrado elegido es el ataque "lunchtime", "midnight" o "indiferente", en el que un atacante puede realizar consultas adaptativas de texto cifrado elegido, pero solo hasta cierto punto, después del cual el atacante debe demostrar cierta capacidad mejorada para atacar el sistema. [5] El término "ataque a la hora del almuerzo" se refiere a la idea de que la computadora de un usuario, con la capacidad de descifrar, está disponible para un atacante mientras el usuario está almorzando. Esta forma de ataque fue la primera que se discutió comúnmente: obviamente, si el atacante tiene la capacidad de realizar consultas de texto cifrado elegidas de forma adaptativa, ningún mensaje cifrado sería seguro, al menos hasta que se elimine esa capacidad. Este ataque a veces se denomina "ataque de texto cifrado elegido no adaptativo"; [6] aquí, "no adaptable" se refiere al hecho de que el atacante no puede adaptar sus consultas en respuesta al desafío, que se da después de que ha expirado la capacidad de realizar consultas de texto cifrado elegidas.
Ataque de texto cifrado elegido adaptativo
Un ataque de texto cifrado elegido adaptativo (completo) es un ataque en el que se pueden elegir textos cifrados de forma adaptativa antes y después de que se le dé al atacante un texto cifrado de desafío, con la única condición de que el texto cifrado de desafío no puede ser consultado. Esta es una noción de ataque más fuerte que el ataque a la hora del almuerzo, y comúnmente se lo conoce como un ataque CCA2, en comparación con un ataque CCA1 (hora del almuerzo). [6] Pocos ataques prácticos son de esta forma. Más bien, este modelo es importante para su uso en pruebas de seguridad contra ataques de texto cifrado elegido. Una prueba de que los ataques en este modelo son imposibles implica que no se puede realizar ningún ataque realista de texto cifrado elegido.
Un ataque práctico de texto cifrado elegido adaptativo es el ataque Bleichenbacher contra PKCS # 1 . [7]
Numerosos criptosistemas han demostrado ser seguros contra ataques adaptativos de texto cifrado elegido, algunos demuestran esta propiedad de seguridad basándose solo en suposiciones algebraicas, y algunos adicionalmente requieren una suposición de oráculo aleatoria idealizada. Por ejemplo, el sistema Cramer-Shoup [5] es seguro basado en supuestos teóricos de números y sin idealización, y después de varias investigaciones sutiles también se estableció que el esquema práctico RSA-OAEP es seguro bajo el supuesto RSA en el idealizado aleatorio. modelo de Oracle. [8]
Ver también
Referencias
- ^ Luby, Michael (1996). Pseudoaleatoriedad y aplicaciones criptográficas . Prensa de la Universidad de Princeton.
- ^ Bellare, M .; Desai, A .; Jokipii, E .; Rogaway, P. (1997). "Un tratamiento de seguridad concreto de cifrado simétrico". Actas 38º Simposio anual sobre los fundamentos de la informática : 394–403. doi : 10.1109 / SFCS.1997.646128 . ISBN 0-8186-8197-7. S2CID 42604387 .
- ^ "Moni Naor y Moti Yung, criptosistemas de clave pública demostrablemente seguros contra ataques de texto cifrado". Actas 21º Simposio anual de ACM sobre teoría de la computación : 427–437. 1990.
- ^ "Jonathan Katz y Moti Yung, cifrado imperdonable y modos de operación seguros de cifrado elegido. FSE 2000: 284-299". Cite journal requiere
|journal=
( ayuda ) - ^ a b Ronald Cramer y Victor Shoup , " Un criptosistema práctico de clave pública demostrablemente seguro contra el ataque de texto cifrado elegido adaptativo ", en Avances en criptología - Actas de CRYPTO '98, Santa Bárbara, California , 1998, págs. 13-25. ( articulo )
- ^ a b Mihir Bellare , Anand Desai , David Pointcheval y Phillip Rogaway , Relaciones entre nociones de seguridad para esquemas de cifrado de clave pública [ enlace muerto ] , en Avances en criptología - CRYPTO '98, Santa Bárbara, California, págs. 549 -570.
- ^ D. Bleichenbacher. Ataques de texto cifrado seleccionados contra protocolos basados en el estándar de cifrado RSA PKCS # 1 Archivado el 4 de febrero de 2012 en Wayback Machine . En Avances en criptología - CRYPTO'98, LNCS vol. 1462, páginas: 1–12, 1998
- ^ M. Bellare , P. Rogaway Optimal Asymmetric Encryption - Cómo cifrar con un resumen extendido RSA en Advances in Cryptology -Actas de Eurocrypt '94, Lecture Notes in Computer Science Vol. 950, A. De Santis ed, Springer-Verlag , 1995. versión completa (pdf)