Cca-Hyökkäys (chosen-ciphertext attack
CCA-hyökkäys (chosen-ciphertext attack) on salausanalyysin hyökkäysmalli, jossa salausanalyytikko kerää tietoa ainakin osittain valitsemalla salaustekstin ja saamalla sen purettua tuntemattomalla avaimella.
Kun salausjärjestelmä on altis valittuun salakirjoitustekstiin kohdistuvalle hyökkäykselle, toteuttajien on oltava varovaisia välttääkseen tilanteita, joissa hyökkääjä voisi pystyä purkamaan valitut salakirjoitustekstit (eli välttääkseen salauksen purkujärjestelmän tarjoamista). Tämä voi olla vaikeampaa kuin miltä näyttää, sillä jopa osittain valitut salaustekstit voivat mahdollistaa hienovaraiset hyökkäykset. Lisäksi jotkin salausjärjestelmät (kuten RSA) käyttävät samaa mekanismia viestien allekirjoittamiseen ja salauksen purkamiseen. Tämä mahdollistaa hyökkäykset silloin, kun allekirjoitettavaan viestiin ei käytetä hakkerointia. Parempi lähestymistapa on käyttää kryptojärjestelmää, joka on todistettavasti turvallinen valittuun salakirjoitustekstiin kohdistuvissa hyökkäyksissä, kuten (muun muassa) RSA-OAEP, Cramer-Shoup ja monet todennetun symmetrisen salauksen muodot.
Valitun salakirjoitustekstin hyökkäysten lajikkeet
Valittu salakirjoitus -hyökkäykset, kuten muutkin hyökkäykset, voivat olla adaptiivisia tai ei-adaptiivisia. Ei-adaptiivisessa hyökkäyksessä hyökkääjä valitsee salatekstin tai salatekstit purettavaksi etukäteen, eikä käytä tuloksena saatuja selkotekstejä uusien salatekstien valintaan. Adaptiivisessa valittua salakirjoitustekstiä koskevassa hyökkäyksessä hyökkääjä tekee salakirjoitustekstiä koskevat valinnat adaptiivisesti eli aiempien salausten tulosten perusteella.
Lounasaikaiset hyökkäykset
Erityisen huomionarvoinen muunnelma valittuun salakirjoitustekstiin perustuvasta hyökkäyksestä on "lounasaika"- tai "keskiyö"-hyökkäys, jossa hyökkääjä voi tehdä mukautuvia valittuun salakirjoitustekstiin perustuvia kyselyjä, mutta vain tiettyyn pisteeseen asti, jonka jälkeen hyökkääjän on osoitettava, että hänen kykynsä hyökätä järjestelmään on parantunut. Termi "lounasaikahyökkäys" viittaa ajatukseen, että käyttäjän tietokone, jolla on kyky purkaa salaus, on hyökkääjän käytettävissä, kun käyttäjä on lounaalla. Tästä hyökkäysmuodosta keskusteltiin yleisesti ensimmäisenä: jos hyökkääjällä on kyky tehdä mukautuvasti valittuja salatekstikyselyjä, mikään salattu viesti ei ole turvassa ainakaan siihen asti, kunnes tämä kyky otetaan pois. Tätä hyökkäystä kutsutaan joskus "ei-adaptiiviseksi valitun salatekstin hyökkäykseksi"; tässä "ei-adaptiivinen" viittaa siihen, että hyökkääjä ei voi mukauttaa kyselyjään vastauksena haasteeseen, joka annetaan sen jälkeen, kun kyky tehdä valitun salatekstin kyselyjä on päättynyt.
Monet käytännön kannalta tärkeät valittuun salakirjoitustekstiin kohdistuvat hyökkäykset ovat lounasaikahyökkäyksiä, kuten esimerkiksi Daniel Bleichenbacher Bell Laboratoriesista osoitti käytännön hyökkäyksen järjestelmiä vastaan, jotka käyttävät PKCS#1:tä, jonka on keksinyt ja julkaissut RSA Security.
Mukautuva valittua salakirjoitusta vastaan tehty hyökkäys
(Täysin) adaptiivinen valittuun salakirjoitustekstiin perustuva hyökkäys on hyökkäys, jossa salakirjoitustekstit voidaan valita adaptiivisesti ennen ja jälkeen sen, kun haaste-salakirjoitusteksti on annettu hyökkääjälle, sillä edellytyksellä, että haaste-salakirjoitustekstiä ei voida itse kysyä. Tämä on vahvempi hyökkäyskäsite kuin lounasaikahyökkäys, ja sitä kutsutaan yleisesti CCA2-hyökkäykseksi verrattuna CCA1-hyökkäykseen (lounasaikahyökkäykseen). Harvat käytännön hyökkäykset ovat tämän muotoisia. Pikemminkin tämä malli on tärkeä sen vuoksi, että sitä käytetään turvallisuustodistuksissa valittuun salakirjoitustekstiin kohdistuvia hyökkäyksiä vastaan. Todiste siitä, että tämän mallin mukaiset hyökkäykset ovat mahdottomia, merkitsee, että mitään käytännön valittuun salakirjoitustekstiin kohdistuvaa hyökkäystä ei voida suorittaa.
Kryptojärjestelmiä, jotka ovat osoittautuneet turvallisiksi adaptiivisia valittuun salakirjoitustekstiin kohdistuvia hyökkäyksiä vastaan, ovat Cramer-Shoup-järjestelmä ja RSA-OAEP.
Aiheeseen liittyvät sivut
- Vain salakirjoitustekstiä koskeva hyökkäys
- Valittu-plaintext-hyökkäys
- Tunnetun tekstin hyökkäys
Kysymyksiä ja vastauksia
K: Mikä on valittu salakirjoitusteksti -hyökkäys?
A: Valittu salakirjoitusteksti -hyökkäys (selected-ciphertext attack, CCA) on kryptoanalyysin hyökkäysmalli, jossa kryptoanalyytikko kerää tietoa ainakin osittain valitsemalla salaustekstin ja hankkimalla sen salauksen purkamisen tuntemattomalla avaimella.
Kysymys: Miksi toteuttajien on oltava varovaisia välttääkseen tilanteita, joissa hyökkääjät voivat pystyä purkamaan valitun salaustekstin?
V: Kun salausjärjestelmä on altis valittuun salakirjoitustekstiin kohdistuville hyökkäyksille, toteuttajien on oltava varovaisia välttääkseen tilanteita, joissa hyökkääjät voivat pystyä purkamaan valitut salakirjoitustekstit (eli välttääkseen salauksenpurkujärjestelmän tarjoamista), koska jopa osittain valitut salakirjoitustekstit voivat mahdollistaa hienovaraiset hyökkäykset.
Kysymys: Mitkä kryptojärjestelmät ovat haavoittuvia hyökkäyksille, kun allekirjoitettavaan viestiin ei käytetä hashingia?
V: Jotkin salausjärjestelmät (kuten RSA) käyttävät samaa mekanismia viestien allekirjoittamiseen ja salauksen purkamiseen. Tämä mahdollistaa hyökkäykset silloin, kun allekirjoitettavaan viestiin ei käytetä hashingia.
Kysymys: Mikä on parempi lähestymistapa hyökkäysten välttämiseksi valittuun salakirjoitustekstiin perustuvassa hyökkäysmallissa?
V: Parempi lähestymistapa on käyttää salausjärjestelmää, joka on todistettavasti turvallinen valittuun salakirjoitustekstiin perustuvassa hyökkäyksessä, kuten (muun muassa) RSA-OAEP, Cramer-Shoup ja monet todennetun symmetrisen salauksen muodot.
K: Mitä tarkoittaa RSA-OAEP?
V: RSA-OAEP on lyhenne sanoista RSA Optimal Asymmetric Encryption Padding.
K: Mikä on yksi seurauksista siitä, että salausjärjestelmä on haavoittuvainen valittuun salakirjoitustekstiin kohdistuvalle hyökkäykselle?
V: Yksi seurauksista siitä, että salausjärjestelmä on haavoittuvainen valittuun salakirjoitustekstiin kohdistuvalle hyökkäykselle, on se, että toteuttajien on oltava varovaisia välttääkseen tilanteita, joissa hyökkääjät voisivat purkaa valitut salakirjoitustekstit (eli välttääkseen salauksen purkujärjestelmän tarjoamista).
Kysymys: Millaisia hyökkäyksiä osittain valitut salaustekstit voivat sallia?
V: Osittain valitut salaustekstit voivat mahdollistaa hienovaraisia hyökkäyksiä.
