Választott kódszöveges támadás (chosen-ciphertext attack, CCA) a
A választott kódszöveges támadás (chosen-ciphertext attack, CCA) a kriptoanalízis olyan támadási modellje, amelyben a kriptoanalitikus legalább részben úgy szerez információt, hogy kiválaszt egy kódszöveget, és ismeretlen kulcs alatt megszerzi annak visszafejtését.
Ha egy kriptorendszer fogékony a választott kódszöveges támadásra, a megvalósítóknak ügyelniük kell arra, hogy elkerüljék azokat a helyzeteket, amelyekben a támadók képesek lehetnek a választott kódszövegek visszafejtésére (azaz kerüljék a visszafejtési séma biztosítását). Ez nehezebb lehet, mint amilyennek látszik, mivel még a részben kiválasztott rejtjelszövegek is lehetővé tehetnek finom támadásokat. Emellett egyes kriptorendszerek (például az RSA) ugyanazt a mechanizmust használják az üzenetek aláírására és visszafejtésére. Ez lehetővé teszi a támadásokat, ha az aláírandó üzenetet nem hasheléssel kódolják. Jobb megközelítés egy olyan kriptorendszer használata, amely bizonyíthatóan biztonságos a választott kódszöveges támadás esetén, beleértve (többek között) az RSA-OAEP-et, a Cramer-Shoup-ot és a hitelesített szimmetrikus titkosítás számos formáját.
A választott kódszöveges támadások fajtái
A választott kódszöveges támadások, más támadásokhoz hasonlóan, lehetnek adaptívak vagy nem adaptívak. A nem adaptív támadás során a támadó előre kiválasztja a visszafejtendő rejtjelezett szöveget vagy szövegeket, és nem használja fel a kapott tiszta szövegeket a további rejtjelezett szövegek kiválasztásához. Az adaptív, választott kódszövegű támadásban a támadó adaptívan, azaz a korábbi visszafejtések eredményétől függően választja ki a kódszövegeket.
Ebédidőben támadások
A választott kódszöveges támadás egy különösen ismert változata az "ebédidő" vagy "éjféli" támadás, amelyben a támadó adaptív választott kódszöveges lekérdezéseket végezhet, de csak egy bizonyos pontig, amely után a támadónak bizonyítania kell valamilyen javuló képességét a rendszer megtámadására. Az "ebédidőben történő támadás" kifejezés arra az elképzelésre utal, hogy a felhasználó számítógépe a dekódolás képességével a támadó számára elérhető, miközben a felhasználó ebédelni van. A támadásnak ez a formája volt az első általánosan tárgyalt forma: nyilvánvaló, hogy ha a támadó képes adaptívan kiválasztott rejtjelezett szövegek lekérdezésére, akkor egyetlen titkosított üzenet sem biztonságos, legalábbis addig, amíg ezt a képességet el nem veszik tőle. Ezt a támadást néha "nem adaptív választott rejtjelezett szöveges támadásnak" is nevezik; itt a "nem adaptív" arra utal, hogy a támadó nem tudja adaptálni a lekérdezéseit a kihívásra válaszul, amelyet a választott rejtjelezett szöveges lekérdezés képességének megszűnése után adnak meg.
Számos gyakorlati jelentőségű, választott kódszöveges támadás ebédidőben történő támadás, például amikor Daniel Bleichenbacher a Bell Laboratories-tól bemutatott egy gyakorlati támadást a PKCS#1-et használó rendszerek ellen; ezt az RSA Security találta ki és tette közzé.
Adaptív választott kódolt szöveges támadás
A (teljes mértékben) adaptív, választott kódszöveges támadás olyan támadás, amelyben a kódszövegek adaptívan választhatók ki a kihívás kódszövegének a támadó számára történő megadása előtt és után, azzal az EGY feltétellel, hogy a kihívás kódszövege maga nem kérdezhető le. Ez egy erősebb támadási fogalom, mint az ebédidő-támadás, és általában CCA2-támadásnak nevezik, szemben a CCA1 (ebédidő) támadással. Kevés gyakorlati támadás létezik ebben a formában. Ez a modell inkább a kiválasztott kódszöveges támadások elleni biztonsági bizonyításokban való felhasználása miatt fontos. Annak bizonyítása, hogy az e modell szerinti támadások lehetetlenek, azt jelenti, hogy semmilyen gyakorlati, választott kódszöveges támadás nem hajtható végre.
Az adaptív választott kódszöveges támadásokkal szemben biztonságosnak bizonyult kriptorendszerek közé tartozik a Cramer-Shoup rendszer és az RSA-OAEP.
Kapcsolódó oldalak
- Csak a kódszövegre korlátozódó támadás
- Kiválasztott-plaintext támadás
- Ismert-plaintext támadás
Kérdések és válaszok
K: Mi az a választott kódszöveges támadás?
V: A választott kódszöveges támadás (chosen-ciphertext attack, CCA) a kriptoanalízis olyan támadási modellje, amelyben a kriptoanalitikus legalább részben úgy szerez információt, hogy kiválaszt egy rejtjelezett szöveget, és megszerzi annak dekódolását egy ismeretlen kulcs alatt.
K: Miért kell a megvalósítóknak ügyelniük arra, hogy elkerüljék azokat a helyzeteket, amelyekben a támadók képesek lehetnek a választott rejtjelszövegek visszafejtésére?
V: Ha egy kriptorendszer fogékony a választott rejtjelszöveges támadásra, a megvalósítóknak ügyelniük kell arra, hogy elkerüljék azokat a helyzeteket, amelyekben a támadók képesek lehetnek a választott rejtjelszövegek visszafejtésére (azaz ne adjanak meg visszafejtési sémát), mivel még a részben választott rejtjelszövegek is lehetővé tehetnek finom támadásokat.
Kérdés: Mely kriptorendszerek sérülékenyek a támadásokkal szemben, ha az aláírandó üzenetet nem hasheléssel írják alá?
V: Egyes kriptorendszerek (például az RSA) ugyanazt a mechanizmust használják az üzenetek aláírására és visszafejtésére. Ez lehetővé teszi a támadásokat, ha az aláírandó üzenetben nem használnak hash-t.
K: Mi a jobb megközelítés a támadások elkerülésére a választott kódszöveges támadási modellben?
V: A jobb megközelítés olyan kriptorendszer használata, amely bizonyíthatóan biztonságos a választott kódszöveges támadás alatt, beleértve (többek között) az RSA-OAEP-et, a Cramer-Shoupot és a hitelesített szimmetrikus titkosítás számos formáját.
K: Mit jelent az RSA-OAEP?
V: Az RSA-OAEP az RSA Optimal Asymmetric Encryption Padding (RSA optimális aszimmetrikus titkosítás kitöltése) rövidítése.
K: Mi az egyik következménye annak, hogy egy kriptorendszer sebezhető a választott kódszöveges támadással szemben?
V: A választott kódszöveges támadással szembeni sebezhetőség egyik következménye az, hogy a megvalósítóknak ügyelniük kell arra, hogy elkerüljék azokat a helyzeteket, amelyekben a támadók képesek lehetnek a választott kódszövegek visszafejtésére (azaz kerüljék a visszafejtési séma biztosítását).
K: Milyen típusú támadásokat engedhetnek meg a részben választott rejtjelszövegek?
V: A részlegesen kiválasztott rejtjelező szövegek finom támadásokat tesznek lehetővé.
