Vald chiffertext (CCA)

Författare: Leandro Alegsa Skapandedatum: 21 februari 2022

En attack med vald chiffertext (CCA) är en attackmodell för kryptoanalys där kryptoanalytikern samlar information, åtminstone delvis, genom att välja en chiffertext och få den dekrypterad med en okänd nyckel.

När ett kryptosystem är känsligt för angrepp med utvalda chiffertexter måste de som implementerar systemet vara noga med att undvika situationer där en angripare skulle kunna dekryptera utvalda chiffertexter (dvs. undvika att tillhandahålla ett dekrypteringsschema). Detta kan vara svårare än det verkar, eftersom även delvis valda chiffertexter kan möjliggöra subtila attacker. Dessutom använder vissa kryptosystem (t.ex. RSA) samma mekanism för att signera meddelanden och för att dekryptera dem. Detta möjliggör angrepp när hashning inte används för det meddelande som ska signeras. Ett bättre tillvägagångssätt är att använda ett kryptosystem som bevisligen är säkert mot angrepp med vald chiffertext, inklusive (bland annat) RSA-OAEP, Cramer-Shoup och många former av autentiserad symmetrisk kryptering.

Varianter av attacker med vald chiffertext

Attacker med utvald chiffertext kan liksom andra attacker vara adaptiva eller icke-adaptiva. I ett icke-adaptivt angrepp väljer angriparen i förväg vilken eller vilka chiffertexter som ska dekrypteras och använder inte de resulterande klartexterna för att informera om sitt val av fler chiffertexter. I en adaptiv attack med utvalda chiffertexter väljer angriparen sina chiffertexter adaptivt, dvs. beroende på resultatet av tidigare dekrypteringar.

Attacker vid lunchtid

En särskilt uppmärksammad variant av attacken med utvald chiffertext är "lunch-" eller "midnattsattacken", där en angripare kan göra adaptiva förfrågningar om utvald chiffertext, men endast fram till en viss punkt, varefter angriparen måste visa att han/hon har förbättrad förmåga att angripa systemet. Termen "lunchtidsattack" syftar på idén att en användares dator, med möjlighet att dekryptera, är tillgänglig för en angripare medan användaren är ute på lunch. Denna form av angrepp var den första som diskuterades allmänt: om angriparen har möjlighet att göra adaptivt valda krypteringsfrågor är naturligtvis inget krypterat meddelande säkert, åtminstone tills den möjligheten tas bort. Detta angrepp kallas ibland för "icke-adaptiv attack mot vald chiffertext"; här avser "icke-adaptiv" det faktum att angriparen inte kan anpassa sina frågor som svar på utmaningen, som ges efter det att förmågan att ställa frågor om vald chiffertext har upphört.

Många attacker med vald chiffertext av praktisk betydelse är lunchattacker, till exempel när Daniel Bleichenbacher från Bell Laboratories demonstrerade en praktisk attack mot system som använder PKCS#1, som uppfanns och publicerades av RSA Security.

Adaptiv attack med vald chiffertext

Ett (fullständigt) adaptivt angrepp med utvald chiffertext är ett angrepp där chiffertexter kan väljas adaptivt före och efter det att en utmanande chiffertext ges till angriparen, med ett enda villkor som innebär att utmanande chiffertext inte själv får frågas ut. Detta är ett starkare angreppsbegrepp än lunchtidsattacken och kallas vanligen för en CCA2-attack jämfört med en CCA1-attack (lunchtidsattack). Få praktiska angrepp är av denna form. Denna modell är snarare viktig för att den används i säkerhetsbevis mot attacker med vald chiffertext. Ett bevis för att attacker enligt denna modell är omöjliga innebär att det inte går att utföra någon praktisk attack med vald chiffertext.

Kryptosystem som visat sig vara säkra mot adaptiva attacker med utvald chiffertext är Cramer-Shoup-systemet och RSA-OAEP.

Relaterade sidor

Attack med enbart chiffertext
Attack med utvald klartext
Attack med känd text

Frågor och svar

F: Vad är en attack med vald chiffertext?

S: En attack med vald chiffertext (CCA) är en attackmodell för kryptoanalys där kryptoanalytikern samlar information, åtminstone delvis, genom att välja en chiffertext och få den dekrypterad med en okänd nyckel.

F: Varför måste implementerare vara noga med att undvika situationer där angripare kan dekryptera valda chiffertexter?

Svar: När ett kryptosystem är känsligt för angrepp med utvalda chiffertexter måste de som genomför systemet vara noga med att undvika situationer där angriparna kan dekryptera utvalda chiffertexter (dvs. undvika att tillhandahålla ett dekrypteringsschema), eftersom även delvis utvalda chiffertexter kan möjliggöra subtila angrepp.

F: Vilka kryptosystem är sårbara för attacker när hash inte används för det meddelande som ska signeras?

S: Vissa kryptosystem (t.ex. RSA) använder samma mekanism för att signera meddelanden och för att dekryptera dem. Detta möjliggör angrepp när hashing inte används för det meddelande som ska signeras.

F: Vilket är det bästa sättet att undvika attacker enligt en modell med en attack med utvald chiffertext?

Svar: En bättre metod är att använda ett kryptosystem som bevisligen är säkert vid en attack med vald chiffertext, inklusive (bland annat) RSA-OAEP, Cramer-Shoup och många former av autentiserad symmetrisk kryptering.

F: Vad står RSA-OAEP för?

S: RSA-OAEP står för RSA Optimal Asymmetric Encryption Padding.

F: Vad är en av konsekvenserna av att ett kryptosystem är sårbart för en attack med vald chiffertext?

S: En av konsekvenserna av att ett kryptosystem är sårbart för en attack med vald chiffertext är att de som genomför systemet måste vara noga med att undvika situationer där angripare kan dekryptera valda chiffertexter (dvs. undvika att tillhandahålla ett dekrypteringsschema).

F: Vilken typ av angrepp kan delvis valda chiffertexter tillåta?

S: Delvis valda chiffertexter kan möjliggöra subtila angrepp.