Un ataque de texto cifrado elegido ( CCA ) es un modelo de ataque para criptoanálisis en el que el criptoanalista puede recopilar información obteniendo los descifrados de textos cifrados elegidos. A partir de estos datos, el adversario puede intentar recuperar la clave secreta utilizada para el descifrado.
Para definiciones formales de seguridad contra ataques de texto cifrado elegido, consulte, por ejemplo: Michael Luby [1] y Mihir Bellare et al. [2]
Una serie de esquemas que de otro modo serían seguros pueden ser derrotados mediante un ataque de texto cifrado elegido. Por ejemplo, el criptosistema El Gamal es semánticamente seguro bajo un ataque de texto plano elegido , pero esta seguridad semántica puede ser derrotada trivialmente bajo un ataque de texto cifrado elegido. Las primeras versiones del relleno RSA utilizado en el protocolo SSL eran vulnerables a un sofisticado ataque adaptativo de texto cifrado elegido que revelaba claves de sesión SSL. Los ataques de texto cifrado elegido también tienen implicaciones para algunos cifrados de flujo autosincronizados . Los diseñadores de tarjetas inteligentes criptográficas resistentes a manipulaciones deben ser especialmente conscientes de estos ataques, ya que estos dispositivos pueden estar completamente bajo el control de un adversario, que puede emitir una gran cantidad de textos cifrados elegidos en un intento de recuperar la clave secreta oculta.
No estaba nada claro si los criptosistemas de clave pública podrían resistir el ataque de texto cifrado elegido hasta el innovador trabajo inicial de Moni Naor y Moti Yung en 1990, que sugirió un modo de cifrado dual con prueba de integridad (ahora conocido como "Naor-Yung"). paradigma de cifrado). [3] Este trabajo hizo que la comprensión de la noción de seguridad contra el ataque de texto cifrado elegido fuera mucho más clara que antes y abrió la dirección de la investigación para construir sistemas con diversas protecciones contra variantes del ataque.
Cuando un criptosistema es vulnerable a un ataque de texto cifrado elegido, los implementadores deben tener cuidado de evitar situaciones en las que un adversario pueda descifrar los textos cifrados elegidos (es decir, evitar proporcionar un oráculo de descifrado). Esto puede ser más difícil de lo que parece, ya que incluso los textos cifrados parcialmente elegidos pueden permitir ataques sutiles. Además, existen otros problemas y algunos criptosistemas (como RSA ) utilizan el mismo mecanismo para firmar mensajes y descifrarlos. Esto permite ataques cuando no se utiliza hash en el mensaje que se va a firmar. Un mejor enfoque es utilizar un criptosistema que sea demostrablemente seguro bajo un ataque de texto cifrado elegido, incluido (entre otros) RSA-OAEP seguro bajo la heurística aleatoria de Oracle, Cramer-Shoup, que fue el primer sistema práctico de clave pública seguro. Para los esquemas de cifrado simétrico se sabe que el cifrado autenticado , que es una primitiva basada en el cifrado simétrico, proporciona seguridad contra ataques de texto cifrado seleccionados, como lo demostraron por primera vez Jonathan Katz y Moti Yung . [4]
Los ataques de texto cifrado elegido, al igual que otros ataques, pueden ser adaptativos o no adaptativos. En un ataque de texto cifrado elegido adaptativo, el atacante puede utilizar los resultados de descifrados anteriores para informar sus elecciones sobre qué textos cifrados descifrar. En un ataque no adaptativo, el atacante elige los textos cifrados que desea descifrar sin ver ninguno de los textos sin formato resultantes. Después de ver los textos sin formato, el atacante ya no puede obtener el descifrado de textos cifrados adicionales.
Una variante especialmente destacada del ataque de texto cifrado elegido es el ataque "a la hora del almuerzo", "medianoche" o "indiferente", en el que un atacante puede realizar consultas adaptativas de texto cifrado elegido, pero sólo hasta cierto punto, después del cual el atacante debe demostrar alguna capacidad mejorada para atacar el sistema. [5] El término "ataque a la hora del almuerzo" se refiere a la idea de que la computadora de un usuario, con la capacidad de descifrar, está disponible para un atacante mientras el usuario sale a almorzar. Esta forma de ataque fue la primera que se discutió comúnmente: obviamente, si el atacante tiene la capacidad de realizar consultas de texto cifrado elegidas de forma adaptativa, ningún mensaje cifrado sería seguro, al menos hasta que se elimine esa capacidad. Este ataque a veces se denomina "ataque de texto cifrado elegido no adaptativo"; [6] aquí, "no adaptable" se refiere al hecho de que el atacante no puede adaptar sus consultas en respuesta al desafío, que se presenta después de que ha expirado la capacidad de realizar consultas de texto cifrado elegidas.
Un ataque de texto cifrado elegido (totalmente) adaptativo es un ataque en el que los textos cifrados se pueden elegir de forma adaptativa antes y después de que se entregue al atacante un texto cifrado de desafío, con la única condición de que el texto cifrado de desafío no pueda ser consultado en sí. Esta es una noción de ataque más fuerte que el ataque a la hora del almuerzo y comúnmente se conoce como ataque CCA2, en comparación con un ataque CCA1 (a la hora del almuerzo). [6] Pocos ataques prácticos son de esta forma. Más bien, este modelo es importante por su uso en pruebas de seguridad contra ataques de texto cifrado elegido. Una prueba de que los ataques en este modelo son imposibles implica que no se puede realizar ningún ataque realista con texto cifrado elegido.
Un ataque práctico adaptativo de texto cifrado elegido es el ataque Bleichenbacher contra PKCS#1 . [7]
Se ha demostrado que numerosos criptosistemas son seguros contra ataques de texto cifrado elegido adaptativo, algunos de los cuales demuestran esta propiedad de seguridad basándose únicamente en suposiciones algebraicas, otros requieren además una suposición de oráculo aleatorio idealizado. Por ejemplo, el sistema Cramer-Shoup [5] es seguro basándose en supuestos de la teoría de números y sin idealización, y después de una serie de investigaciones sutiles también se estableció que el esquema práctico RSA-OAEP es seguro bajo el supuesto RSA en el sistema aleatorio idealizado. modelo de oráculo. [8]
{{cite journal}}: Citar diario requiere |journal=( ayuda )