Attacco Chosen-ciphertext

Autore: Leandro Alegsa Data di creazione: 28 febbraio 2021

Un attacco chosen-ciphertext (CCA) è un modello di attacco per la crittoanalisi in cui il crittoanalista raccoglie informazioni, almeno in parte, scegliendo un testo cifrato e ottenendo la sua decrittazione sotto una chiave sconosciuta.

Quando un sistema crittografico è suscettibile all'attacco chosen-ciphertext, gli implementatori devono stare attenti ad evitare situazioni in cui un attaccante potrebbe essere in grado di decifrare i cifrari scelti (cioè, evitare di fornire uno schema di decifratura). Questo può essere più difficile di quanto sembri, dato che anche testi cifrati parzialmente scelti possono permettere attacchi sottili. Inoltre, alcuni crittosistemi (come RSA) usano lo stesso meccanismo per firmare i messaggi e per decifrarli. Questo permette attacchi quando l'hashing non è usato sul messaggio da firmare. Un approccio migliore è quello di utilizzare un sistema crittografico che sia dimostrabilmente sicuro sotto attacco chosen-ciphertext, incluso (tra gli altri) RSA-OAEP, Cramer-Shoup e molte forme di crittografia simmetrica autenticata.

Varietà di attacchi chosen-ciphertext

Gli attacchi Chosen-ciphertext, come altri attacchi, possono essere adattivi o non adattivi. In un attacco non adattivo, l'attaccante sceglie in anticipo il testo o i testi cifrati da decifrare, e non usa i testi in chiaro risultanti per informare la sua scelta di altri testi cifrati. In un attacco adattivo di tipo chosen-ciphertext, l'attaccante fa le sue scelte di testo cifrato in modo adattivo, cioè a seconda del risultato delle decrittazioni precedenti.

Attacchi all'ora di pranzo

Una variante particolarmente nota dell'attacco chosen-ciphertext è l'attacco "lunchtime" o "midnight", in cui un attaccante può fare query di chosen-ciphertext adattive ma solo fino ad un certo punto, dopo il quale l'attaccante deve dimostrare qualche migliore capacità di attaccare il sistema. Il termine "attacco all'ora di pranzo" si riferisce all'idea che il computer di un utente, con la capacità di decifrare, sia disponibile per un attaccante mentre l'utente è fuori a pranzo. Questa forma di attacco è stata la prima comunemente discussa: ovviamente, se l'attaccante ha la capacità di fare interrogazioni adattive del testo cifrato, nessun messaggio cifrato sarebbe sicuro, almeno fino a quando questa capacità non viene tolta. Questo attacco è talvolta chiamato "non-adaptive chosen ciphertext attack"; qui, "non-adaptive" si riferisce al fatto che l'attaccante non può adattare le sue interrogazioni in risposta alla sfida, che è data dopo che la capacità di fare interrogazioni di cifratura scelta è scaduta.

Molti attacchi chosen-ciphertext di importanza pratica sono attacchi da pranzo, tra cui, per esempio, quando Daniel Bleichenbacher dei Bell Laboratories ha dimostrato un attacco pratico contro i sistemi che utilizzano il PKCS#1; inventato e pubblicato da RSA Security.

Attacco adattivo di tipo chosen-ciphertext

Un attacco (completo) adaptive chosen-ciphertext è un attacco in cui i testi cifrati possono essere scelti in modo adattivo prima e dopo che un testo cifrato di sfida sia dato all'attaccante, con una condizione che il testo cifrato di sfida non possa essere esso stesso interrogato. Questa è una nozione di attacco più forte dell'attacco lunchtime, e viene comunemente chiamata attacco CCA2, rispetto all'attacco CCA1 (lunchtime). Pochi attacchi pratici sono di questa forma. Piuttosto, questo modello è importante per il suo uso nelle prove di sicurezza contro gli attacchi chosen-ciphertext. Una prova che gli attacchi in questo modello sono impossibili implica che qualsiasi attacco pratico di chosen-ciphertext non può essere eseguito.

I criptosistemi che si sono dimostrati sicuri contro gli attacchi adattivi di tipo chosen-ciphertext includono il sistema Cramer-Shoup e RSA-OAEP.

Pagine correlate

Attacco con solo testo cifrato
Attacco di testo scelto
Attacco Known-plaintext

Domande e risposte

D: Che cos'è un attacco di tipo "chosen-ciphertext"?

R: Un attacco di tipo chosen-ciphertext (CCA) è un modello di attacco per la crittoanalisi in cui il crittoanalista raccoglie informazioni, almeno in parte, scegliendo un testo cifrato e ottenendo la sua decifrazione con una chiave sconosciuta.

D: Perché gli implementatori devono fare attenzione ad evitare situazioni in cui gli aggressori potrebbero essere in grado di decifrare i testi cifrati scelti?

R: Quando un crittosistema è suscettibile all'attacco del testo scelto, gli implementatori devono fare attenzione ad evitare situazioni in cui gli aggressori potrebbero essere in grado di decriptare i testi scelti (cioè, evitare di fornire uno schema di decriptazione), in quanto anche i testi scelti parzialmente possono consentire attacchi sottili.

D: Quali sistemi di crittografia sono vulnerabili agli attacchi quando non viene utilizzato l'hashing sul messaggio da firmare?

R: Alcuni sistemi di crittografia (come RSA) utilizzano lo stesso meccanismo per firmare i messaggi e per decifrarli. Questo permette di sferrare attacchi quando l'hashing non viene utilizzato sul messaggio da firmare.

D: Qual è l'approccio migliore per evitare gli attacchi con un modello di attacco di tipo chosen-ciphertext?

R: Un approccio migliore consiste nell'utilizzare un crittosistema che sia dimostrabilmente sicuro sotto un attacco di tipo "chosen-ciphertext", tra cui (tra gli altri) RSA-OAEP, Cramer-Shoup e molte forme di crittografia simmetrica autenticata.

D: Per cosa sta RSA-OAEP?

R: RSA-OAEP sta per RSA Optimal Asymmetric Encryption Padding.

D: Qual è una delle conseguenze della vulnerabilità di un sistema di crittografia a un attacco di tipo chosen-ciphertext?

R: Una delle conseguenze della vulnerabilità di un sistema di crittografia ad un attacco di testo scelto è che gli implementatori devono fare attenzione ad evitare situazioni in cui gli aggressori potrebbero essere in grado di decifrare i testi cifrati scelti (cioè, evitare di fornire uno schema di decifrazione).

D: Che tipo di attacchi possono consentire i testi cifrati parzialmente scelti?

R: I testi cifrati parzialmente scelti possono consentire attacchi sottili.