Un ataque de texto cifrado elegido ( CCA ) es un modelo de ataque para el criptoanálisis en el que el criptoanalista puede reunir información obteniendo los descifrados de textos cifrados elegidos. A partir de estos datos, el adversario puede intentar recuperar la clave secreta utilizada para el descifrado.
Para conocer las definiciones formales de seguridad contra ataques de texto cifrado seleccionado, consulte, por ejemplo: Michael Luby [1] y Mihir Bellare et al. [2].
Muchos esquemas que de otro modo serían seguros pueden ser derrotados por un ataque de texto cifrado elegido. Por ejemplo, el criptosistema El Gamal es semánticamente seguro bajo un ataque de texto plano elegido , pero esta seguridad semántica puede ser derrotada trivialmente bajo un ataque de texto cifrado elegido. Las primeras versiones del relleno RSA utilizadas en el protocolo SSL eran vulnerables a un sofisticado ataque adaptativo de texto cifrado elegido que revelaba las claves de sesión SSL. Los ataques de texto cifrado elegido también tienen implicaciones para algunos cifrados de flujo autosincronizados . Los diseñadores de tarjetas inteligentes criptográficas resistentes a la manipulación deben ser particularmente conscientes de estos ataques, ya que estos dispositivos pueden estar completamente bajo el control de un adversario, que puede emitir una gran cantidad de textos cifrados elegidos en un intento de recuperar la clave secreta oculta.
No estaba claro en absoluto si los criptosistemas de clave pública podrían resistir el ataque de texto cifrado elegido hasta el trabajo innovador inicial de Moni Naor y Moti Yung en 1990, que sugirieron un modo de cifrado dual con prueba de integridad (ahora conocido como el paradigma de cifrado "Naor-Yung"). [3] Este trabajo hizo que la comprensión de la noción de seguridad contra el ataque de texto cifrado elegido fuera mucho más clara que antes y abrió la dirección de investigación para construir sistemas con varias protecciones contra variantes del ataque.
Cuando un criptosistema es vulnerable a un ataque de texto cifrado elegido, los implementadores deben tener cuidado de evitar situaciones en las que un adversario podría descifrar textos cifrados elegidos (es decir, evitar proporcionar un oráculo de descifrado). Esto puede ser más difícil de lo que parece, ya que incluso los textos cifrados parcialmente elegidos pueden permitir ataques sutiles. Además, existen otros problemas y algunos criptosistemas (como RSA ) utilizan el mismo mecanismo para firmar mensajes y descifrarlos. Esto permite ataques cuando no se utiliza hash en el mensaje que se va a firmar. Un mejor enfoque es utilizar un criptosistema que sea demostrablemente seguro bajo un ataque de texto cifrado elegido, incluyendo (entre otros) RSA-OAEP seguro bajo la heurística de oráculo aleatorio, Cramer-Shoup , que fue el primer sistema práctico de clave pública en ser seguro. Para los esquemas de cifrado simétrico se sabe que el cifrado autenticado , que es un primitivo basado en el cifrado simétrico, brinda seguridad contra ataques de texto cifrado elegido, como lo demostraron por primera vez Jonathan Katz y Moti Yung . [4]
Los ataques de texto cifrado seleccionado, al igual que otros ataques, pueden ser adaptativos o no adaptativos. En un ataque de texto cifrado seleccionado adaptativo, el atacante puede utilizar los resultados de descifrados anteriores para decidir qué textos cifrados descifrar. En un ataque no adaptativo, el atacante elige los textos cifrados que descifrará sin ver ninguno de los textos sin formato resultantes. Después de ver los textos sin formato, el atacante ya no puede obtener el descifrado de textos cifrados adicionales.
Una variante especialmente conocida del ataque de texto cifrado elegido es el ataque de "hora del almuerzo", "medianoche" o "indiferente", en el que un atacante puede realizar consultas adaptativas de texto cifrado elegido, pero solo hasta cierto punto, después del cual el atacante debe demostrar alguna capacidad mejorada para atacar el sistema. [5] El término "ataque de hora del almuerzo" se refiere a la idea de que la computadora de un usuario, con la capacidad de descifrar, está disponible para un atacante mientras el usuario está almorzando. Esta forma de ataque fue la primera que se discutió comúnmente: obviamente, si el atacante tiene la capacidad de realizar consultas adaptativas de texto cifrado elegido, ningún mensaje cifrado estaría seguro, al menos hasta que se le quite esa capacidad. Este ataque a veces se llama "ataque de texto cifrado elegido no adaptativo"; [6] aquí, "no adaptativo" se refiere al hecho de que el atacante no puede adaptar sus consultas en respuesta al desafío, que se da después de que la capacidad de realizar consultas de texto cifrado elegido ha expirado.
Un ataque de texto cifrado elegido (completo) adaptativo es un ataque en el que los textos cifrados pueden elegirse de forma adaptativa antes y después de que se le entregue al atacante un texto cifrado de desafío, con la única condición de que no se pueda consultar el texto cifrado de desafío. Este es un concepto de ataque más fuerte que el ataque a la hora del almuerzo, y se lo conoce comúnmente como un ataque CCA2, en comparación con un ataque CCA1 (a la hora del almuerzo). [6] Pocos ataques prácticos son de esta forma. Más bien, este modelo es importante por su uso en pruebas de seguridad contra ataques de texto cifrado elegido. Una prueba de que los ataques en este modelo son imposibles implica que no se puede realizar ningún ataque realista de texto cifrado elegido.
Un ataque práctico de texto cifrado adaptado es el ataque Bleichenbacher contra PKCS#1 . [7]
Numerosos criptosistemas han demostrado ser seguros contra ataques de texto cifrado adaptado; algunos demuestran esta propiedad de seguridad basándose únicamente en suposiciones algebraicas, mientras que otros requieren además una suposición de oráculo aleatorio idealizado. Por ejemplo, el sistema Cramer-Shoup [5] es seguro basándose en suposiciones de teoría de números y sin idealización, y después de una serie de investigaciones sutiles también se estableció que el esquema práctico RSA-OAEP es seguro bajo la suposición RSA en el modelo de oráculo aleatorio idealizado. [8]
{{cite journal}}: Requiere citar revista |journal=( ayuda )