Ataque de texto plano elegido

Modelo de ataque para criptoanálisis con presunto acceso a textos cifrados para textos claros elegidos

Un ataque de texto sin formato elegido ( CPA ) es un modelo de ataque para criptoanálisis que supone que el atacante puede obtener textos cifrados para textos sin formato arbitrarios . ^[1] El objetivo del ataque es obtener información que reduzca la seguridad del esquema de cifrado . ^[2]

Los cifrados modernos tienen como objetivo proporcionar seguridad semántica, también conocida como indistinguibilidad de texto cifrado bajo un ataque de texto sin formato elegido y, por lo tanto, son, por diseño, generalmente inmunes a los ataques de texto sin formato elegido si se implementan correctamente.

Introducción

En un ataque de texto sin formato elegido, el adversario puede (posiblemente de forma adaptativa ) solicitar los textos cifrados de mensajes de texto sin formato arbitrarios. Esto se formaliza permitiendo al adversario interactuar con un oráculo de cifrado , visto como una caja negra . El objetivo del atacante es revelar total o parcialmente la clave de cifrado secreta.

En la práctica, puede parecer inviable que un atacante pueda obtener textos cifrados para textos claros determinados. Sin embargo, la criptografía moderna se implementa en software o hardware y se utiliza para una amplia gama de aplicaciones; En muchos casos, un ataque de texto plano elegido suele ser muy factible (ver también En la práctica). Los ataques de texto sin formato elegido se vuelven extremadamente importantes en el contexto de la criptografía de clave pública, donde la clave de cifrado es pública y, por lo tanto, los atacantes pueden cifrar cualquier texto sin formato que elijan.

Diferentes formas

Hay dos formas de ataques de texto sin formato elegido:

• Ataque de texto sin formato elegido por lotes , donde el adversario elige todos los textos sin formato antes de ver cualquiera de los textos cifrados correspondientes. Este es a menudo el significado que se pretende con "ataque de texto sin formato elegido" cuando no está calificado.
• Ataque adaptativo de texto sin formato elegido ( CPA2 ), donde el adversario puede solicitar los textos cifrados de textos sin formato adicionales después de ver los textos cifrados de algunos textos sin formato.

Método general de ataque.

Un ataque general por lotes de texto plano elegido se lleva a cabo de la siguiente manera ^{[ verificación fallida ]} :

1. El atacante puede elegir n textos sin formato. (Este parámetro n se especifica como parte del modelo de ataque , puede estar limitado o no).
2. Luego, el atacante envía estos n textos sin formato al oráculo de cifrado.
3. Luego, el oráculo de cifrado cifrará los textos sin formato del atacante y se los enviará de vuelta al atacante.
4. El atacante recibe n textos cifrados del oráculo, de tal manera que sabe qué texto cifrado corresponde a cada texto sin formato.
5. Basándose en los pares de texto sin formato y texto cifrado, el atacante puede intentar extraer la clave utilizada por Oracle para codificar los textos sin formato. Dado que en este tipo de ataque el atacante es libre de crear el texto plano que se ajuste a sus necesidades, la complejidad del ataque puede reducirse.

Considere la siguiente extensión de la situación anterior. Después del último paso,

1. El adversario genera dos textos claros m ₀ y m ₁ .
2. Un bit b se elige uniformemente al azar . ${\displaystyle b\leftarrow \{0,1\}}$
3. El adversario recibe el cifrado de m _b e intenta "adivinar" qué texto sin formato recibió y genera un bit b' .

Un cifrado tiene cifrados indistinguibles bajo un ataque de texto sin formato elegido si después de ejecutar el experimento anterior con n = 1 ^{[ verificación fallida ]} el adversario no puede adivinar correctamente ( b = b' ) con una probabilidad no despreciable mejor que 1/2. ^[3]

Ejemplos

Los siguientes ejemplos demuestran cómo algunos cifrados que cumplen otras definiciones de seguridad pueden romperse con un ataque de texto sin formato elegido.

cifrado César

El siguiente ataque al cifrado César permite la recuperación completa de la clave secreta:

1. Supongamos que el adversario envía el mensaje: Attack at dawn,
2. y el oráculo regresa Nggnpx ng qnja.
3. Luego, el adversario puede recuperar la clave de la misma manera que un cifrado César. El adversario podría deducir las sustituciones A→N , T→G y así sucesivamente. Esto llevaría al adversario a determinar que 13 era la clave utilizada en el cifrado César.

Con metodologías de cifrado más intrincadas o complejas, el método de descifrado requiere más recursos; sin embargo, el concepto central sigue siendo relativamente el mismo.

Almohadillas de un solo uso

El siguiente ataque a un pad de un solo uso permite la recuperación completa de la clave secreta. Supongamos que la longitud del mensaje y la longitud de la clave son iguales a n .

1. El adversario envía una cadena formada por n ceros al oráculo.
2. El oráculo devuelve el valor exclusivo bit a bit de la clave con la cadena de ceros.
3. La cadena devuelta por el oráculo es la clave secreta.

Si bien el bloc de notas de un solo uso se utiliza como ejemplo de un criptosistema teóricamente seguro para la información , esta seguridad sólo se cumple bajo definiciones de seguridad más débiles que la seguridad CPA. Esto se debe a que, según la definición formal de seguridad CPA, el oráculo de cifrado no tiene estado. Es posible que esta vulnerabilidad no sea aplicable a todas las implementaciones prácticas: el bloc de un solo uso aún se puede hacer seguro si se evita la reutilización de claves (de ahí el nombre "pad de un solo uso").

En la práctica

En la Segunda Guerra Mundial, los criptoanalistas de la Marina de los EE. UU. descubrieron que Japón planeaba atacar un lugar denominado "AF". Creían que "AF" podría ser la isla Midway , porque otras ubicaciones en las islas hawaianas tenían palabras en clave que comenzaban con "A". Para probar su hipótesis de que "AF" correspondía a "Midway Island", pidieron a las fuerzas estadounidenses en Midway que enviaran un mensaje de texto claro sobre la escasez de suministros. Los japoneses interceptaron el mensaje e inmediatamente informaron a sus superiores que "AF" tenía poco agua, lo que confirmó la hipótesis de la Armada y les permitió posicionar su fuerza para ganar la batalla . ^{[3] [4]}

También durante la Segunda Guerra Mundial , los descifradores de códigos aliados en Bletchley Park a veces pedían a la Royal Air Force que colocara minas en una posición que no tenía abreviaturas ni alternativas en la cuadrícula de referencia del sistema naval alemán. La esperanza era que los alemanes, al ver las minas, usaran una máquina Enigma para cifrar un mensaje de advertencia sobre las minas y un mensaje de "todo limpio" después de que fueran removidas, dando a los aliados suficiente información sobre el mensaje para romper el Enigma naval alemán. . Este proceso de plantar un texto plano conocido se llamó jardinería . ^[5] Los descifradores de códigos aliados también ayudaron a elaborar mensajes enviados por el agente doble Juan Pujol García , cuyos informes de radio cifrados se recibían en Madrid, se descifraban manualmente y luego se volvían a cifrar con una máquina Enigma para su transmisión a Berlín. ^[6] Esto ayudó a los descifradores de códigos a descifrar el código utilizado en el partido de vuelta, habiendo proporcionado el texto original . ^[7]

En la actualidad, los ataques de texto plano elegido (CPA, por sus siglas en inglés) se utilizan a menudo para romper cifrados simétricos . Para que se considere seguro según CPA, el cifrado simétrico no debe ser vulnerable a ataques de texto sin formato elegido. Por lo tanto, es importante que los implementadores de cifrado simétrico comprendan cómo un atacante intentaría romper su cifrado y realizar mejoras relevantes.

Para algunos ataques de texto sin formato elegido, es posible que el atacante solo necesite elegir una pequeña parte del texto sin formato; Estos ataques se conocen como ataques de inyección de texto sin formato.

Relación con otros ataques

Un ataque de texto sin formato elegido es más poderoso que un ataque de texto sin formato conocido , porque el atacante puede apuntar directamente a términos o patrones específicos sin tener que esperar a que aparezcan de forma natural, lo que permite una recopilación más rápida de datos relevantes para el criptoanálisis. Por lo tanto, cualquier cifrado que impida ataques de texto sin formato elegido también es seguro contra ataques de texto sin formato conocido y de solo texto cifrado .

Sin embargo, un ataque de texto sin formato elegido es menos poderoso que un ataque de texto cifrado elegido , donde el atacante puede obtener textos sin formato de textos cifrados arbitrarios. Un atacante CCA a veces puede romper un sistema seguro CPA. ^[3] Por ejemplo, el cifrado El Gamal es seguro contra ataques de texto plano elegidos, pero vulnerable a ataques de texto cifrado elegidos porque es incondicionalmente maleable .

Referencias

1. Ross Anderson, Ingeniería de seguridad: una guía para crear sistemas distribuidos confiables . La primera edición (2001): http://www.cl.cam.ac.uk/~rja14/book.html
2. Barrera, John Fredy; Vargas, Carlos; Tebaldi, Myrian; Torroba, Roberto (15 de octubre de 2010). "Ataque de texto plano elegido contra un sistema de cifrado de correlador de transformación conjunta". Comunicaciones Ópticas . 283 (20): 3917–3921. Código Bib : 2010OptCo.283.3917B. doi : 10.1016/j.optcom.2010.06.009. ISSN  0030-4018.
3. Katz, Jonathan ; Lindell, Yehuda (2007). Introducción a la criptografía moderna: principios y protocolos . Boca Ratón: Chapman y Hall/CRC. ISBN 978-1584885511. OCLC  893721520.
4. Weadon, Patrick D. "Cómo la criptología permitió a Estados Unidos cambiar el rumbo de la Guerra del Pacífico". www.navy.mil . Nosotros marina de guerra. Archivado desde el original el 31 de enero de 2015 . Consultado el 19 de febrero de 2015 .
5. Morris, Christopher (1993), "Las relaciones pobres de Navy Ultra", en Hinsley, FH ; Stripp, Alan (eds.), Codebreakers: La historia interna de Bletchley Park , Oxford: Oxford University Press, pág. 235, ISBN 978-0-19-280132-6
6. Kelly, Jon (27 de enero de 2011). "El papel que engañó a Hitler". BBC . Consultado el 1 de enero de 2012 . Los nazis creían que Pujol, a quien llamaron en código Alaric Arabel, era uno de sus activos más preciados.
7. Marinero (2004). "El primer código que los alemanes le dieron a Garbo para sus comunicaciones inalámbricas resultó ser el código idéntico que se utiliza actualmente en los circuitos alemanes"

Escuche este artículo ( 11 minutos )

Este archivo de audio se creó a partir de una revisión de este artículo con fecha del 28 de diciembre de 2023 y no refleja ediciones posteriores. ( 2023-12-28 )

( Ayuda de audio  · Más artículos hablados )