En el campo de la ingeniería de seguridad , un ataque de oráculo es un ataque que explota la disponibilidad de una debilidad en un sistema que puede usarse como un " oráculo " para dar una indicación simple de pasar/no pasar para informar a los atacantes qué tan cerca están de su objetivos. El atacante puede entonces combinar el oráculo con la búsqueda sistemática del espacio problemático para completar su ataque. [1]
El ataque de oráculo de relleno y los ataques de oráculo de compresión como BREACH son ejemplos de ataques de oráculo, al igual que la práctica de "arrastre de cuna" en el criptoanálisis de la máquina Enigma . No es necesario que un oráculo sea 100 % preciso: incluso una pequeña correlación estadística con el resultado correcto de pasa/no pasa con frecuencia puede ser suficiente para un ataque automatizado sistemático.
En un ataque de oráculo de compresión, el uso de compresión de datos adaptativa en una combinación de texto sin formato elegido y texto sin formato desconocido puede generar cambios sensibles al contenido en la longitud del texto comprimido que pueden detectarse aunque el contenido del texto comprimido en sí se cifre. . Esto se puede usar en ataques de protocolo para detectar cuándo el texto sin formato conocido inyectado es incluso parcialmente similar al contenido desconocido de una parte secreta del mensaje, lo que reduce en gran medida la complejidad de la búsqueda de una coincidencia para el texto secreto. Los ataques CRIME y BREACH son ejemplos de ataques de protocolo que utilizan este fenómeno.