Ataque de texto sin formato elegido

Un ataque de texto sin formato elegido (CPA) es un modelo de ataque para criptoanálisis que supone que el atacante puede obtener los textos cifrados para textos sin formato arbitrarios. El objetivo del ataque es obtener información que reduzca la seguridad del esquema de cifrado.

Los cifrados modernos tienen como objetivo proporcionar seguridad semántica, también conocida como indistinguibilidad del texto cifrado bajo un ataque de texto sin formato elegido y, por lo tanto, son, por diseño, generalmente inmunes a los ataques de texto sin formato elegido si se implementan correctamente.

Introducción

En un ataque de texto sin formato elegido, el adversario puede (posiblemente de forma adaptativa) solicitar los textos cifrados de mensajes arbitrarios de texto sin formato. Esto se formaliza al permitir que el adversario interactúe con un oráculo de cifrado, visto como una caja negra. El objetivo del atacante es revelar la totalidad o parte de la clave de cifrado secreta.

Puede parecer inviable en la práctica que un atacante pueda obtener textos cifrados para textos sin formato dados. Sin embargo, la criptografía moderna se implementa en software o hardware y se utiliza para una amplia gama de aplicaciones; para muchos casos, un ataque de texto sin formato elegido suele ser muy factible (consulte también En la práctica). Los ataques de texto simple elegido se vuelven extremadamente importantes en el contexto de la criptografía de clave pública donde la clave de cifrado es pública y, por lo tanto, los atacantes pueden cifrar cualquier texto simple que elijan.

Diferentes formas

Hay dos formas de ataques de texto sin formato elegido:

• Batch elegido-plaintext attack, donde el adversario elige todos los llanos antes de ver cualquiera de los criptos correspondientes. Este es a menudo el significado que pretende el "ataque de texto escogido" cuando esto no está calificado.
• Ataque adaptador de texto ()CPA2), donde el adversario puede solicitar los criptotextos de los llanos adicionales después de ver los criptotextos para algunos llanos.

Método general de un ataque

Un ataque de texto plano elegido por lotes general se lleva a cabo de la siguiente manera:

1. El atacante puede elegir n llanos. (Este parámetro n se especifica como parte del modelo de ataque, puede o no ser atado.)
2. El atacante entonces envía estos n llanos al oráculo de encriptación.
3. El oráculo de encriptación entonces encriptará los texto del atacante y los enviará al atacante.
4. El atacante recibe n ciphertexts back from the oracle, in such a way that the attacker knows which ciphertext corresponds to each plaintext.
5. Basado en los pares de texto-ciphertexto claro, el atacante puede intentar extraer la clave utilizada por el oráculo para codificar los texto. Dado que el atacante en este tipo de ataque es libre de elaborar el texto para satisfacer sus necesidades, la complejidad del ataque puede ser reducida.

Considere la siguiente extensión de la situación anterior. Después del último paso,

1. El adversario produce dos argumentos m₀ y m₁.
2. Un poco. b es elegido uniformemente al azar b← ← {}0,1}{displaystyle bleftarrow{0,1}}.
3. El adversario recibe el cifrado de m_b, y los intentos de "escuchar" el texto que recibió, y produce un poco b '.

Un cifrado tiene cifrados indistinguibles bajo un ataque de texto sin formato elegido si después de ejecutar el experimento anterior con n=1 el adversario no puede adivinar correctamente (b=b') con probabilidad no despreciable mejor que 1/2.

Ejemplos

Los siguientes ejemplos demuestran cómo algunos cifrados que cumplen con otras definiciones de seguridad pueden romperse con un ataque de texto sin formato elegido.

Cifrado César

El siguiente ataque al cifrado César permite la recuperación completa de la clave secreta:

1. Supongamos que el adversario envía el mensaje: Attack at dawn,
2. y el oráculo regresa Nggnpx ng qnja.
3. El adversario puede entonces trabajar para recuperar la llave de la misma manera que usted descifraría un Cifra César. El adversario podría deducir las sustituciones A → N, T → G y así sucesivamente. Esto llevaría al adversario a determinar que 13 era la clave utilizada en el cifrado César.

Con metodologías de cifrado más intrincadas o complejas, el método de descifrado requiere más recursos; sin embargo, el concepto central sigue siendo relativamente el mismo.

Toallas desechables

El siguiente ataque en un bloc de notas de un solo uso permite la recuperación completa de la clave secreta. Supongamos que la longitud del mensaje y la longitud de la clave son iguales a n.

1. El adversario envía una cuerda que consiste en n ceros al oráculo.
2. El oráculo devuelve el bitwise exclusivo-o de la llave con la cadena de ceros.
3. La cuerda regresó por el oráculo es la llave secreta.

Si bien el bloc de notas de un solo uso se utiliza como ejemplo de un criptosistema de información teóricamente seguro, esta seguridad solo se mantiene bajo definiciones de seguridad más débiles que la seguridad CPA. Esto se debe a que, según la definición formal de seguridad CPA, el oráculo de cifrado no tiene estado. Es posible que esta vulnerabilidad no sea aplicable a todas las implementaciones prácticas: el bloc de notas de un solo uso puede seguir siendo seguro si se evita la reutilización de claves (de ahí el nombre de bloc de notas de un solo uso).

En la práctica

En la Segunda Guerra Mundial, los criptoanalistas de la Marina de los EE. UU. descubrieron que Japón planeaba atacar un lugar conocido como "AF". Ellos creían que "AF" podría ser Midway Island, porque otros lugares en las islas hawaianas tenían palabras clave que comenzaban con 'A'. Para probar su hipótesis de que "AF" correspondía a "Midway Island" pidieron a las fuerzas estadounidenses en Midway que enviaran un mensaje de texto sin formato sobre suministros bajos. Los japoneses interceptaron el mensaje e inmediatamente informaron a sus superiores que "AF" estaba bajo de agua, lo que confirma la hipótesis de la Marina y les permite posicionar su fuerza para ganar la batalla.

También durante la Segunda Guerra Mundial, los descifradores de códigos aliados en Bletchley Park a veces le pedían a la Royal Air Force que colocara minas en una posición que no tenía abreviaturas ni alternativas en la cuadrícula de referencia del sistema naval alemán. La esperanza era que los alemanes, al ver las minas, utilizarían una máquina Enigma para cifrar un mensaje de advertencia sobre las minas y un mensaje de 'todo despejado'. mensaje después de que fueron eliminados, dando a los aliados suficiente información sobre el mensaje para romper el Enigma naval alemán. Este proceso de plantar un texto plano conocido se denominó jardinería. Los descifradores de códigos aliados también ayudaron a elaborar mensajes enviados por el doble agente Juan Pujol García, cuyos informes de radio cifrados se recibieron en Madrid, se descifraron manualmente y luego se volvieron a cifrar con una máquina Enigma para transmitirlos a Berlín. Esto ayudó a los descifradores de códigos a descifrar el código utilizado en la segunda etapa, habiendo proporcionado el texto original.

En la actualidad, los ataques de texto sin formato elegido (CPA) se utilizan a menudo para descifrar cifrados simétricos. Para ser considerado CPA seguro, el cifrado simétrico no debe ser vulnerable a los ataques de texto sin formato elegido. Por lo tanto, es importante que los implementadores de cifrado simétrico entiendan cómo un atacante intentaría romper su cifrado y realizar mejoras relevantes.

Para algunos ataques de texto sin formato elegido, es posible que el atacante solo deba elegir una pequeña parte del texto sin formato; tales ataques se conocen como ataques de inyección de texto sin formato.

Relación con otros ataques

Un ataque de texto sin formato elegido es más poderoso que un ataque de texto sin formato conocido, porque el atacante puede apuntar directamente a términos o patrones específicos sin tener que esperar a que aparezcan de forma natural, lo que permite una recopilación más rápida de datos relevantes para el criptoanálisis. Por lo tanto, cualquier cifrado que impida ataques de texto sin formato elegido también es seguro contra ataques de texto sin formato conocido y solo de texto cifrado.

Sin embargo, un ataque de texto simple elegido es menos poderoso que un ataque de texto cifrado elegido, donde el atacante puede obtener los textos simples de textos cifrados arbitrarios. Un atacante de CCA a veces puede romper un sistema seguro de CPA. Por ejemplo, el cifrado El Gamal es seguro contra ataques de texto sin formato elegidos, pero vulnerable a ataques de texto cifrado elegidos porque es incondicionalmente maleable.