Valitud-Kirjutusteksti rünnak (CCA
Valitud-kirjutusteksti rünnak (CCA) on krüptoanalüüsi ründemudel, mille puhul krüptoanalüütik kogub teavet vähemalt osaliselt, valides krüptoteksti ja saades selle dekrüpteerimise tundmatu võtme all.
Kui krüptosüsteem on vastuvõtlik valitud šifreeritud tekstide rünnakule, peavad rakendajad olema ettevaatlikud, et vältida olukordi, kus ründaja võib olla võimeline valitud šifreeritud tekste dekrüpteerima (st vältima dekrüpteerimisskeemi pakkumist). See võib olla keerulisem, kui tundub, sest isegi osaliselt valitud salastustekstid võivad võimaldada peeneid rünnakuid. Lisaks kasutavad mõned krüptosüsteemid (näiteks RSA) sama mehhanismi sõnumite allkirjastamiseks ja dekrüpteerimiseks. See võimaldab rünnakuid, kui allkirjastatavale sõnumile ei kasutata hashing'ut. Parem lähenemisviis on kasutada krüptosüsteemi, mis on tõestatavalt turvaline valitud krüptoteksti rünnaku korral, sealhulgas (muu hulgas) RSA-OAEP, Cramer-Shoup ja paljud autenditud sümmeetrilise krüpteerimise vormid.
Valitud šifreeritud teksti rünnakute variatsioonid
Valitud krüptoteksti rünnakud, nagu ka muud rünnakud, võivad olla adaptiivsed või mitteadaptiivsed. Mitteadaptiivse rünnaku puhul valib ründaja eelnevalt dekrüpteeritava salastusteksti või salastustekste ning ei kasuta saadud salastustekste selleks, et valida uusi salastustekste. Adaptiivse valitud krüptiteksti rünnaku puhul teeb ründaja oma krüptiteksti valiku adaptiivselt, st sõltuvalt eelnevate dekrüpteerimiste tulemustest.
Lõunasöögi rünnakud
Valitud-kirjateksti rünnaku eriliselt tuntud variant on "lõunaajal" või "keskööl" toimuv rünnak, mille puhul ründaja võib teha adaptiivseid valitud-kirjateksti päringuid, kuid ainult teatud ajani, mille järel peab ründaja näitama, et ta suudab süsteemi paremini rünnata. Mõiste "lõunarünnak" viitab ideele, et kasutaja arvuti koos dekrüpteerimisvõimega on ründajale kättesaadav, kui kasutaja on lõunatamas. See ründe vorm oli esimene, mida tavaliselt arutati: ilmselgelt, kui ründajal on võime teha adaptiivselt valitud šifreeritud teksti päringuid, ei ole ükski krüpteeritud sõnum turvaline, vähemalt seni, kuni see võime võetakse ära. Seda rünnakut nimetatakse mõnikord "mitteadaptiivseks valitud salateksti rünnakuks"; siin viitab "mitteadaptiivne" asjaolule, et ründaja ei saa oma päringuid kohandada vastuseks väljakutsele, mis antakse pärast seda, kui võime teha valitud salateksti päringuid on lõppenud.
Paljud praktilise tähtsusega valitud šifreeritud teksti rünnakud on lõunarünnakud, näiteks kui Daniel Bleichenbacher Bell Laboratories'ist demonstreeris praktilist rünnakut PKCS#1 kasutavate süsteemide vastu; leiutas ja avaldas RSA Security.
Kohandatav valitud šifreeritud tekstiga rünnak
(Täielik) adaptiivne valitud šifreeritud tekstiga rünnak on rünnak, mille puhul šifreeritud tekstid võib valida adaptiivselt enne ja pärast väljakutse šifreeritud teksti andmist ründajale, kusjuures ÜKS tingimus on, et väljakutse šifreeritud teksti ei tohi ise pärida. See on tugevam ründe mõiste kui lõunarünnak ja seda nimetatakse tavaliselt CCA2-rünnakuks, võrreldes CCA1 (lõunarünnakuga). Sellise vormiga praktilisi rünnakuid on vähe. Pigem on see mudel oluline selle kasutamise tõttu turvalisuse tõendamisel valitud salakirjade rünnakute vastu. Tõestus, et selle mudeli rünnakud on võimatud, tähendab, et ühtegi praktilist valitud-kirjutustekstiga rünnakut ei saa sooritada.
Krüptosüsteemid, mis on osutunud turvaliseks adaptiivse valitud šifreeritud teksti rünnakute vastu, hõlmavad Cramer-Shoupi süsteemi ja RSA-OAEPi.
Seotud leheküljed
- Rünnak ainult krüptograafilise teksti vastu
- Valitud lihtteksti rünnak
- Tuntud-plainteksti rünnak
Küsimused ja vastused
K: Mis on valitud-šifreeritud rünnak?
V: Valitud-kirjutusteksti rünnak (selected-ciphertext attack, CCA) on krüptoanalüüsi ründemudel, mille puhul krüptoanalüütik kogub teavet vähemalt osaliselt, valides krüptoteksti ja saades selle dekrüpteerimise tundmatu võtme all.
K: Miks peavad rakendajad olema ettevaatlikud, et vältida olukordi, kus ründajad võivad valitud salakirju dekrüpteerida?
V: Kui krüptosüsteem on vastuvõtlik valitud krüptoteksti rünnakule, peavad rakendajad olema ettevaatlikud, et vältida olukordi, kus ründajad võivad olla võimelised valitud krüptotekste dekrüpteerima (st vältida dekrüpteerimisskeemi pakkumist), sest isegi osaliselt valitud krüptotekstid võivad võimaldada peeneid rünnakuid.
Küsimus: Millised krüptosüsteemid on rünnakute suhtes haavatavad, kui allkirjastatavale sõnumile ei kasutata hashimist?
V: Mõned krüptosüsteemid (näiteks RSA) kasutavad sõnumi allkirjastamiseks ja dekrüpteerimiseks sama mehhanismi. See võimaldab rünnakuid, kui allakirjutatavale sõnumile ei kasutata hashimist.
K: Milline on parem lähenemisviis rünnakute vältimiseks valitud šifreeritud tekstiga ründemudeli korral?
V: Parem lähenemisviis on kasutada krüptosüsteemi, mis on tõestatavalt turvaline valitud krüptoteksti rünnaku korral, sealhulgas (muu hulgas) RSA-OAEP, Cramer-Shoup ja paljud autenditud sümmeetrilise krüpteerimise vormid.
K: Mida tähendab RSA-OAEP?
V: RSA-OAEP tähendab RSA Optimal Asymmetric Encryption Padding (RSA optimaalne asümmeetriline krüpteerimine).
K: Mis on üks krüptosüsteemi haavatavuse tagajärgedest valitud salastusteksti rünnaku suhtes?
V: Üks krüptosüsteemi haavatavuse tagajärg on see, et rakendajad peavad olema ettevaatlikud, et vältida olukordi, kus ründajatel on võimalik valitud salastustekste dekrüpteerida (st vältida dekrüpteerimisskeemi pakkumist).
K: Millist tüüpi rünnakuid võivad osaliselt valitud salakirjatekstid võimaldada?
V: Osaliselt valitud salastustekstid võivad võimaldada peeneid rünnakuid.