Un ataque de texto sin formato elegido ( CPA ) es un modelo de ataque para criptoanálisis que supone que el atacante puede obtener textos cifrados para textos sin formato arbitrarios . [1] El objetivo del ataque es obtener información que reduzca la seguridad del esquema de cifrado . [2]
Los cifrados modernos tienen como objetivo proporcionar seguridad semántica, también conocida como indistinguibilidad de texto cifrado bajo un ataque de texto sin formato elegido y, por lo tanto, son, por diseño, generalmente inmunes a los ataques de texto sin formato elegido si se implementan correctamente.
En un ataque de texto sin formato elegido, el adversario puede (posiblemente de forma adaptativa ) solicitar los textos cifrados de mensajes de texto sin formato arbitrarios. Esto se formaliza permitiendo al adversario interactuar con un oráculo de cifrado , visto como una caja negra . El objetivo del atacante es revelar total o parcialmente la clave de cifrado secreta.
En la práctica, puede parecer inviable que un atacante pueda obtener textos cifrados para textos claros determinados. Sin embargo, la criptografía moderna se implementa en software o hardware y se utiliza para una amplia gama de aplicaciones; En muchos casos, un ataque de texto plano elegido suele ser muy factible (ver también En la práctica). Los ataques de texto sin formato elegido se vuelven extremadamente importantes en el contexto de la criptografía de clave pública, donde la clave de cifrado es pública y, por lo tanto, los atacantes pueden cifrar cualquier texto sin formato que elijan.
Hay dos formas de ataques de texto sin formato elegido:
Un ataque general por lotes de texto plano elegido se lleva a cabo de la siguiente manera [ verificación fallida ] :
Considere la siguiente extensión de la situación anterior. Después del último paso,
Un cifrado tiene cifrados indistinguibles bajo un ataque de texto sin formato elegido si después de ejecutar el experimento anterior con n = 1 [ verificación fallida ] el adversario no puede adivinar correctamente ( b = b' ) con una probabilidad no despreciable mejor que 1/2. [3]
Los siguientes ejemplos demuestran cómo algunos cifrados que cumplen otras definiciones de seguridad pueden romperse con un ataque de texto sin formato elegido.
El siguiente ataque al cifrado César permite la recuperación completa de la clave secreta:
Attack at dawn
,Nggnpx ng qnja
.A
→N
, T
→G
y así sucesivamente. Esto llevaría al adversario a determinar que 13 era la clave utilizada en el cifrado César.Con metodologías de cifrado más intrincadas o complejas, el método de descifrado requiere más recursos; sin embargo, el concepto central sigue siendo relativamente el mismo.
El siguiente ataque a un pad de un solo uso permite la recuperación completa de la clave secreta. Supongamos que la longitud del mensaje y la longitud de la clave son iguales a n .
Si bien el bloc de notas de un solo uso se utiliza como ejemplo de un criptosistema teóricamente seguro para la información , esta seguridad sólo se cumple bajo definiciones de seguridad más débiles que la seguridad CPA. Esto se debe a que, según la definición formal de seguridad CPA, el oráculo de cifrado no tiene estado. Es posible que esta vulnerabilidad no sea aplicable a todas las implementaciones prácticas: el bloc de un solo uso aún se puede hacer seguro si se evita la reutilización de claves (de ahí el nombre "pad de un solo uso").
En la Segunda Guerra Mundial, los criptoanalistas de la Marina de los EE. UU. descubrieron que Japón planeaba atacar un lugar denominado "AF". Creían que "AF" podría ser la isla Midway , porque otras ubicaciones en las islas hawaianas tenían palabras en clave que comenzaban con "A". Para probar su hipótesis de que "AF" correspondía a "Midway Island", pidieron a las fuerzas estadounidenses en Midway que enviaran un mensaje de texto claro sobre la escasez de suministros. Los japoneses interceptaron el mensaje e inmediatamente informaron a sus superiores que "AF" tenía poco agua, lo que confirmó la hipótesis de la Armada y les permitió posicionar su fuerza para ganar la batalla . [3] [4]
También durante la Segunda Guerra Mundial , los descifradores de códigos aliados en Bletchley Park a veces pedían a la Royal Air Force que colocara minas en una posición que no tenía abreviaturas ni alternativas en la cuadrícula de referencia del sistema naval alemán. La esperanza era que los alemanes, al ver las minas, usaran una máquina Enigma para cifrar un mensaje de advertencia sobre las minas y un mensaje de "todo limpio" después de que fueran removidas, dando a los aliados suficiente información sobre el mensaje para romper el Enigma naval alemán. . Este proceso de plantar un texto plano conocido se llamó jardinería . [5] Los descifradores de códigos aliados también ayudaron a elaborar mensajes enviados por el agente doble Juan Pujol García , cuyos informes de radio cifrados se recibían en Madrid, se descifraban manualmente y luego se volvían a cifrar con una máquina Enigma para su transmisión a Berlín. [6] Esto ayudó a los descifradores de códigos a descifrar el código utilizado en el partido de vuelta, habiendo proporcionado el texto original . [7]
En la actualidad, los ataques de texto plano elegido (CPA, por sus siglas en inglés) se utilizan a menudo para romper cifrados simétricos . Para que se considere seguro según CPA, el cifrado simétrico no debe ser vulnerable a ataques de texto sin formato elegido. Por lo tanto, es importante que los implementadores de cifrado simétrico comprendan cómo un atacante intentaría romper su cifrado y realizar mejoras relevantes.
Para algunos ataques de texto sin formato elegido, es posible que el atacante solo necesite elegir una pequeña parte del texto sin formato; Estos ataques se conocen como ataques de inyección de texto sin formato.
Un ataque de texto sin formato elegido es más poderoso que un ataque de texto sin formato conocido , porque el atacante puede apuntar directamente a términos o patrones específicos sin tener que esperar a que aparezcan de forma natural, lo que permite una recopilación más rápida de datos relevantes para el criptoanálisis. Por lo tanto, cualquier cifrado que impida ataques de texto sin formato elegido también es seguro contra ataques de texto sin formato conocido y de solo texto cifrado .
Sin embargo, un ataque de texto sin formato elegido es menos poderoso que un ataque de texto cifrado elegido , donde el atacante puede obtener textos sin formato de textos cifrados arbitrarios. Un atacante CCA a veces puede romper un sistema seguro CPA. [3] Por ejemplo, el cifrado El Gamal es seguro contra ataques de texto plano elegidos, pero vulnerable a ataques de texto cifrado elegidos porque es incondicionalmente maleable .
Los nazis creían que Pujol, a quien llamaron en código Alaric Arabel, era uno de sus activos más preciados.