Un ataque de texto cifrado elegido ( CCA ) es un modelo de ataque para el criptoanálisis en el que el criptoanalista puede recopilar información obteniendo los descifrados de los textos cifrados elegidos. A partir de estos datos, el adversario puede intentar recuperar la clave secreta oculta utilizada para el descifrado.
Para definiciones formales de seguridad contra ataques de texto cifrado elegido, ver por ejemplo: Michael Luby [1] y Mihir Bellare et al. [2]
Un número de esquemas que de otro modo serían seguros pueden ser derrotados bajo un ataque de texto cifrado elegido. Por ejemplo, el sistema criptográfico El Gamal es semánticamente seguro bajo un ataque de texto simple elegido , pero esta seguridad semántica puede ser derrotada de manera trivial bajo un ataque de texto cifrado elegido. Las primeras versiones del relleno RSA utilizado en el protocolo SSL eran vulnerables a un sofisticado ataque adaptativo de texto cifrado elegido que revelaba claves de sesión SSL. Los ataques de texto cifrado elegido también tienen implicaciones para algunos cifrados de flujo de sincronización automática . Diseñadores de tarjetas inteligentes criptográficas resistentes a la manipulacióndebe ser particularmente consciente de estos ataques, ya que estos dispositivos pueden estar completamente bajo el control de un adversario, que puede emitir una gran cantidad de textos cifrados elegidos en un intento de recuperar la clave secreta oculta.
No estaba del todo claro si los criptosistemas de clave pública pueden resistir el ataque de texto cifrado elegido hasta el trabajo innovador inicial de Moni Naor y Moti Yung en 1990, que sugirió un modo de cifrado dual con prueba de integridad (ahora conocido como "Naor-Yung" paradigma de cifrado). [3] Este trabajo hizo que la comprensión de la noción de seguridad contra el ataque de texto cifrado elegido fuera mucho más clara que antes y abrió la dirección de investigación para construir sistemas con varias protecciones contra variantes del ataque.
Cuando un criptosistema es vulnerable a un ataque de texto cifrado elegido, los implementadores deben tener cuidado de evitar situaciones en las que un adversario pueda descifrar los textos cifrados elegidos (es decir, evitar proporcionar un oráculo de descifrado). Esto puede ser más difícil de lo que parece, ya que incluso los textos cifrados parcialmente elegidos pueden permitir ataques sutiles. Además, existen otros problemas y algunos criptosistemas (como RSA ) utilizan el mismo mecanismo para firmar mensajes y descifrarlos. Esto permite ataques cuando no se utiliza hash en el mensaje a firmar. Un mejor enfoque es usar un sistema criptográfico que sea probablemente seguro bajo un ataque de texto cifrado elegido, incluido (entre otros) RSA-OAEP seguro bajo la heurística aleatoria de Oracle, Cramer-Shoupque fue el primer sistema práctico de clave pública en ser seguro. Para los esquemas de encriptación simétrica, se sabe que la encriptación autenticada, que es una primitiva basada en la encriptación simétrica, brinda seguridad contra los ataques de texto cifrado elegidos, como lo demostraron por primera vez Jonathan Katz y Moti Yung . [4]
Los ataques de texto cifrado elegido, como otros ataques, pueden ser adaptativos o no adaptativos. En un ataque adaptativo de texto cifrado elegido, el atacante puede usar los resultados de descifrados anteriores para informar sus elecciones sobre qué textos cifrados descifrar. En un ataque no adaptativo, el atacante elige los textos cifrados para descifrar sin ver ninguno de los textos sin formato resultantes. Después de ver los textos sin formato, el atacante ya no puede obtener el descifrado de los textos cifrados adicionales.