Ataque por texto cifrado escolhido (CCA)

Autor: Leandro Alegsa Data de criação: 3 de abril de 2021

Um ataque por texto cifrado escolhido (CCA) é um modelo de ataque para criptanálise no qual o criptanalista reúne informações, pelo menos em parte, escolhendo um texto cifrado e obtendo sua decifração sob uma chave desconhecida.

Quando um sistema criptográfico é suscetível a um ataque de texto cifrado escolhido, os implementadores devem ter cuidado para evitar situações em que um atacante possa ser capaz de decodificar os textos cifrados escolhidos (ou seja, evitar fornecer um esquema de decodificação). Isto pode ser mais difícil do que parece, pois mesmo os textos criptográficos escolhidos parcialmente podem permitir ataques sutis. Além disso, alguns sistemas de criptografia (como o RSA) usam o mesmo mecanismo para assinar mensagens e descriptografá-las. Isto permite que ataques quando o hashing não é usado na mensagem sejam assinados. Uma abordagem melhor é usar um sistema criptográfico que seja comprovadamente seguro sob ataque por texto cifrado escolhido, incluindo (entre outros) RSA-OAEP, Cramer-Shoup e muitas formas de criptografia simétrica autenticada.

Variedades de ataques de texto esférico escolhido

Ataques de texto escolhido, como outros ataques, podem ser adaptativos ou não-adaptativos. Em um ataque não-adaptativo, o atacante escolhe o texto cifrado ou os textos cifrados para decifrar antecipadamente, e não utiliza os plaintextos resultantes para informar sua escolha por mais textos cifrados. Em um ataque adaptativo por meio de texto cifrado, o atacante faz suas escolhas de texto cifrado de forma adaptável, ou seja, dependendo do resultado de decriptações anteriores.

Ataques na hora do almoço

Uma variante especialmente notada do ataque de texto-esboço escolhido é o ataque "hora do almoço" ou "meia-noite", no qual um atacante pode fazer consultas adaptativas de texto-esboço escolhido, mas somente até um certo ponto, após o qual o atacante deve demonstrar alguma habilidade melhorada para atacar o sistema. O termo "ataque à hora do almoço" refere-se à idéia de que o computador de um usuário, com a capacidade de decodificar, está disponível para um atacante enquanto o usuário está fora para almoçar. Esta forma de ataque foi a primeira comumente discutida: obviamente, se o atacante tiver a capacidade de fazer consultas de texto criptografado adaptáveis, nenhuma mensagem criptografada seria segura, pelo menos até que essa capacidade seja retirada. Este ataque é às vezes chamado de "ataque de texto cifrado não adaptativo escolhido"; aqui, "não adaptativo" refere-se ao fato de que o atacante não pode adaptar suas consultas em resposta ao desafio, que é dado após a capacidade de fazer consultas de texto cifrado escolhido ter expirado.

Muitos ataques por texto esférico escolhidos de importância prática são ataques na hora do almoço, incluindo, por exemplo, quando Daniel Bleichenbacher dos Laboratórios Bell demonstrou um ataque prático contra sistemas usando o PKCS#1; inventado e publicado pela RSA Security.

Ataque adaptativo de texto esférico escolhido

Um ataque (completo) adaptativo de texto cifrado escolhido é um ataque no qual os textos cifrados podem ser escolhidos de forma adaptável antes e depois de um texto cifrado de desafio ser dado ao atacante, com UMA condição de que o texto cifrado de desafio não possa ser questionado. Esta é uma noção de ataque mais forte do que o ataque na hora do almoço, e é comumente referida como um ataque CCA2, em comparação com um ataque CCA1 (hora do almoço). Poucos ataques práticos são desta forma. Ao contrário, este modelo é importante para seu uso em provas de segurança contra ataques por texto cifrado escolhido. Uma prova de que os ataques neste modelo são impossíveis implica que qualquer ataque prático por meio de texto cifrado não pode ser realizado.

Os sistemas Cryptosystems provaram ser seguros contra ataques adaptativos de texto cifrado escolhido, incluindo o sistema Cramer-Shoup e o RSA-OAEP.

Páginas relacionadas

Ataque somente de texto criptografado
Ataque de texto-plano escolhido
Ataque de texto-plaintextos conhecidos

Perguntas e Respostas

P: O que é um ataque de texto de cifra escolhido?

R: Um ataque de texto cifrado escolhido (CCA) é um modelo de ataque para criptoanálise no qual o criptanalista coleta informações, pelo menos em parte, escolhendo um texto cifrado e obtendo sua descriptografia com uma chave desconhecida.

P: Por que os implementadores devem ter cuidado para evitar situações em que os invasores possam descriptografar os textos cifrados escolhidos?

R: Quando um criptossistema é suscetível a um ataque de texto cifrado escolhido, os implementadores devem ter o cuidado de evitar situações em que os invasores possam descriptografar os textos cifrados escolhidos (ou seja, evitar fornecer um esquema de descriptografia), pois mesmo os textos cifrados parcialmente escolhidos podem permitir ataques sutis.

P: Quais sistemas de criptografia são vulneráveis a ataques quando o hashing não é usado na mensagem a ser assinada?

R: Alguns sistemas de criptografia (como o RSA) usam o mesmo mecanismo para assinar mensagens e descriptografá-las. Isso permite ataques quando o hashing não é usado na mensagem a ser assinada.

P: Qual é a melhor abordagem para evitar ataques em um modelo de ataque de texto de cifra escolhido?

R: A melhor abordagem é usar um sistema de criptografia que seja comprovadamente seguro sob um ataque de texto de código escolhido, incluindo (entre outros) RSA-OAEP, Cramer-Shoup e muitas formas de criptografia simétrica autenticada.

P: O que significa RSA-OAEP?

R: RSA-OAEP significa RSA Optimal Asymmetric Encryption Padding (preenchimento de criptografia assimétrica ideal RSA).

P: Qual é uma das consequências de um sistema de criptografia ser vulnerável a um ataque de texto escolhido?

R: Uma das consequências de um sistema de criptografia ser vulnerável a um ataque de texto de cifragem escolhido é que os implementadores devem ter o cuidado de evitar situações em que os invasores possam descriptografar textos de cifragem escolhidos (ou seja, evitar fornecer um esquema de descriptografia).

P: Que tipos de ataques os textos cifrados parcialmente escolhidos podem permitir?

R: Os ciphertexts parcialmente escolhidos podem permitir ataques sutis.