Адаптивная атака с выбранным зашифрованным текстом
 | Эта статья включает список общих ссылок , но в ней отсутствуют достаточные соответствующие встроенные цитаты . ( январь 2011 г. ) |
Атака с адаптивным выбранным зашифрованным текстом (сокращенно CCA2 ) — это интерактивная форма атаки с выбранным зашифрованным текстом , при которой злоумышленник сначала отправляет несколько зашифрованных текстов для расшифровки, выбранных адаптивно, а затем использует результаты, чтобы различить целевой зашифрованный текст, не консультируясь с оракулом. на зашифрованном тексте вызова. При адаптивной атаке злоумышленнику дополнительно разрешено задавать адаптивные запросы после раскрытия цели (но целевой запрос запрещен). Это расширение атаки безразличного (неадаптивного) выбранного зашифрованного текста (CCA1), при которой второй этап адаптивных запросов не допускается. Чарльз Ракофф и Дэн Саймон определили CCA2 и предложили систему, основанную на неадаптивном определении CCA1 и системе Мони Наора и Моти Юнга (которая была первой трактовкой иммунитета к атакам с выбранным зашифрованным текстом в системах с открытым ключом).
В определенных практических ситуациях целью этой атаки является постепенное раскрытие информации о зашифрованном сообщении или о самом ключе дешифрования. Для систем с открытым ключом адаптивно выбранные зашифрованные тексты обычно применимы только тогда, когда они обладают свойством гибкости зашифрованного текста , то есть зашифрованный текст может быть изменен определенными способами, которые окажут предсказуемый эффект на расшифровку этого сообщения.
Практические атаки
[ редактировать ]Атаки с использованием адаптивно выбранного зашифрованного текста, возможно, считались теоретической проблемой, но не проявлялись на практике до 1998 года, когда Дэниел Блейхенбахер (тогда из Bell Laboratories ) продемонстрировал практическую атаку на системы, использующие шифрование RSA совместно с Функция кодирования PKCS#1 v1.5 , включая версию протокола Secure Sockets Layer тысячами веб-серверов . (SSL), используемую в то время [1]
Атаки Блейхенбахера, также известные как атака миллиона сообщений, использовали недостатки функции заполнения PKCS #1 v1.5 для постепенного раскрытия содержимого зашифрованного сообщения RSA. В рамках этой функции заполнения дополненный открытый текст имеет фиксированный формат, которому он должен следовать. Если устройство дешифрования (например, веб-сервер, оснащенный SSL) каким-то образом обнаруживает, действительно ли заполнение, оно также служит «оракулом», раскрывающим информацию о секретном ключе. Чтобы найти весь ключ, необходимо отправить в цель несколько миллионов тестовых зашифрованных текстов. [2] На практике это означает, что сеансовый ключ SSL может быть предоставлен в течение разумного периода времени, возможно, за день или меньше.
С небольшими изменениями эта уязвимость все еще существует на многих современных серверах под новым названием «Возвращение угрозы Oracle Бляйхенбахера» (РОБОТ). [3]
Предотвращение атак
[ редактировать ]Чтобы предотвратить атаки с адаптивно выбранным зашифрованным текстом, необходимо использовать схему шифрования или кодирования, которая ограничивает гибкость зашифрованного текста и является доказательством безопасности системы. После теоретической и базовой разработки безопасных систем CCA в модели Random Oracle был предложен ряд систем: наиболее распространенным стандартом шифрования RSA является оптимальное асимметричное заполнение шифрования (OAEP). В отличие от импровизированных схем, таких как заполнение, использовавшееся в ранних версиях PKCS#1, безопасность OAEP доказана в модели случайного оракула . [4] OAEP был включен в PKCS#1 начиная с версии 2.0, опубликованной в 1998 году, как рекомендуемая сейчас схема кодирования, при этом старая схема все еще поддерживается, но не рекомендуется для новых приложений. [5] Однако золотой стандарт безопасности — продемонстрировать безопасность системы, не полагаясь на идеализацию случайного оракула. [6]
Математическая модель
[ редактировать ]В криптографии с учетом теории сложности защита от атак с использованием адаптивного выбранного зашифрованного текста обычно моделируется с использованием неотличимости зашифрованного текста (IND-CCA2).
Ссылки
[ редактировать ]- ^ Бляйхенбахер, Дэниел (23–27 августа 1998 г.). Атаки с выбранным зашифрованным текстом против протоколов, основанных на стандарте шифрования RSA PKCS #1 (PDF) . КРИПТО'98 . Санта-Барбара, Калифорния: Springer Berlin Heidelberg. стр. 1–12. дои : 10.1007/BFb0055716 . ISBN 978-3-540-64892-5 .
- ^ Порнин, Томас (2014). «Можете ли вы объяснить атаку CCA Блейхенбахера на PKCS#1 v1.5?» . Криптографический обмен стеками .
- ^ Ханно Бёк; Юрай Соморовский; Крейг Янг. «Атака РОБОТОВ» . Проверено 27 февраля 2018 г.
- ^ Фудзисаки, Эйитиро; Окамото, Тацуаки; Пойнтчеваль, Дэвид; Стерн, Жак (2004). «RSA-OAEP безопасен в соответствии с предположениями RSA» (PDF) . Журнал криптологии . 17 (2): 81–104. CiteSeerX 10.1.1.11.7519 . дои : 10.1007/s00145-002-0204-y . S2CID 218582909 . Проверено 12 января 2009 г.
- ^ Калиски, Б.; Стаддон, Дж. (октябрь 1998 г.). PKCS #1: Спецификации криптографии RSA, версия 2.0 . IETF . дои : 10.17487/RFC2437 . РФК 2437 . Проверено 20 февраля 2019 г.
- ^ Кац, Джонатан; Линделл, Иегуда (2015). Введение в современную криптографию (2-е изд.). Бока-Ратон: Чепмен и Холл/CRC. стр. 174–175, 179–181. ISBN 978-1-4665-7027-6 .