AlegsaOnline.com

Chosen-Ciphertext-Angriff

Autor: Leandro Alegsa

01-11-2021

Ein Angriff mit selektiertem Chiffretext (CCA) ist ein Angriffsmodell für die Kryptoanalyse, bei dem der Kryptoanalytiker zumindest teilweise Informationen sammelt, indem er einen Chiffretext auswählt und seine Entschlüsselung unter einem unbekannten Schlüssel erhält.

Wenn ein Kryptosystem anfällig für Angriffe mit ausgewählten Chiffriertexten ist, müssen Implementierer darauf achten, Situationen zu vermeiden, in denen ein Angreifer in der Lage sein könnte, ausgewählte Chiffriertexte zu entschlüsseln (d.h. die Bereitstellung eines Entschlüsselungsschemas zu vermeiden). Dies kann schwieriger sein, als es den Anschein hat, da selbst teilweise ausgewählte Chiffriertexte subtile Angriffe ermöglichen können. Zusätzlich verwenden einige Kryptosysteme (wie RSA) den gleichen Mechanismus, um Nachrichten zu signieren und zu entschlüsseln. Dies erlaubt Angriffe, wenn für die zu signierende Nachricht kein Hashing verwendet wird. Ein besserer Ansatz ist die Verwendung eines Kryptosystems, das bei einem Angriff mit ausgewählten Chiffretexten nachweislich sicher ist, darunter (unter anderem) RSA-OAEP, Cramer-Shoup und viele Formen der authentifizierten symmetrischen Verschlüsselung.

Varianten von Angriffen mit ausgewählten Chiffretexten

Angriffe mit ausgewählten Chiffretexten können, wie andere Angriffe auch, adaptiv oder nicht adaptiv sein. Bei einem nicht-adaptiven Angriff wählt der Angreifer den oder die zu entschlüsselnden Chiffriertexte im Voraus aus und verwendet die daraus resultierenden Klartexte nicht, um seine Wahl für weitere Chiffriertexte mitzuteilen. Bei einem Angriff mit adaptiver Chiffriertextwahl trifft der Angreifer seine Chiffriertextwahl adaptiv, d.h. in Abhängigkeit vom Ergebnis der vorherigen Entschlüsselungen.

Angriffe zur Mittagszeit

Eine besonders erwähnte Variante des Angriffs mit wählbarem Text ist der "Mittags"- oder "Mitternachts"-Angriff, bei dem ein Angreifer adaptive Abfragen mit wählbarem Text durchführen kann, aber nur bis zu einem bestimmten Punkt, nach dem der Angreifer eine verbesserte Fähigkeit zum Angriff auf das System nachweisen muss. Der Begriff "Mittagsangriff" bezieht sich auf die Idee, dass der Computer eines Benutzers mit der Fähigkeit zur Entschlüsselung einem Angreifer zur Verfügung steht, während der Benutzer zum Mittagessen unterwegs ist. Diese Form des Angriffs war die erste, die allgemein diskutiert wurde: Wenn der Angreifer über die Fähigkeit verfügt, adaptiv ausgewählte chiffrierte Textabfragen durchzuführen, wäre natürlich keine verschlüsselte Nachricht sicher, zumindest solange, bis diese Fähigkeit weggenommen wird. Dieser Angriff wird manchmal als "nicht-adaptiver gewählter Chiffretext-Angriff" bezeichnet; "nicht-adaptiv" bezieht sich hier auf die Tatsache, dass der Angreifer seine Abfragen nicht an die Herausforderung anpassen kann, die nach Ablauf der Fähigkeit, gewählte Chiffretext-Abfragen durchzuführen, gegeben ist.

Viele Angriffe mit ausgewählten Chiffretexten von praktischer Bedeutung sind Mittagsangriffe, so zum Beispiel als Daniel Bleichenbacher von den Bell Laboratories einen praktischen Angriff gegen Systeme mit dem PKCS#1 demonstrierte; erfunden und veröffentlicht von RSA Security.

Adaptiver Angriff mit selektiertem Text

Ein (vollständiger) adaptiver Wahl-Verschlüsselungstext-Angriff ist ein Angriff, bei dem Verschlüsselungstexte adaptiv gewählt werden können, bevor und nachdem dem Angreifer ein Angriffsverschlüsselungstext übergeben wird, mit EINER Bedingung, dass der Angriffsverschlüsselungstext selbst nicht abgefragt werden darf. Dies ist ein stärkerer Angriffsbegriff als der Mittagsangriff und wird allgemein als CCA2-Angriff bezeichnet, im Vergleich zu einem CCA1 (Mittags)-Angriff. Nur wenige praktische Angriffe sind von dieser Form. Vielmehr ist dieses Modell wichtig für seine Verwendung bei Sicherheitsnachweisen gegen Angriffe mit ausgewählten Chiffren. Der Beweis, dass Angriffe in diesem Modell unmöglich sind, impliziert, dass kein praktischer Angriff mit ausgewählten Textbausteinen durchgeführt werden kann.

Zu den Kryptosystemen, die sich als sicher gegen adaptive Angriffe mit ausgewählten Chiffren erwiesen haben, gehören das Cramer-Shoup-System und RSA-OAEP.

Fragen und Antworten

F: Was ist ein chosen-ciphertext-Angriff?

A: Ein chosen-ciphertext-Angriff (CCA) ist ein Angriffsmodell für die Kryptoanalyse, bei dem der Kryptoanalytiker zumindest teilweise Informationen sammelt, indem er einen Chiffretext auswählt und dessen Entschlüsselung unter einem unbekannten Schlüssel erlangt.

F: Warum müssen Implementierer darauf achten, Situationen zu vermeiden, in denen Angreifer in der Lage sein könnten, ausgewählte Chiffretexte zu entschlüsseln?

A: Wenn ein Kryptosystem für Angriffe auf gewählte Chiffretexte anfällig ist, müssen Implementierer darauf achten, Situationen zu vermeiden, in denen Angreifer gewählte Chiffretexte entschlüsseln können (d.h. sie müssen vermeiden, ein Entschlüsselungsschema bereitzustellen), da selbst teilweise gewählte Chiffretexte subtile Angriffe ermöglichen können.

F: Welche Kryptosysteme sind anfällig für Angriffe, wenn für die zu signierende Nachricht kein Hashing verwendet wird?

A: Einige Kryptosysteme (z.B. RSA) verwenden denselben Mechanismus zum Signieren und Entschlüsseln von Nachrichten. Dies ermöglicht Angriffe, wenn Hashing nicht für die zu signierende Nachricht verwendet wird.

F: Was ist der bessere Ansatz zur Vermeidung von Angriffen bei einem Angriffsmodell mit ausgewähltem Chiffretext?

A: Ein besserer Ansatz besteht darin, ein Kryptosystem zu verwenden, das nachweislich sicher ist, wenn ein Angriff mit ausgewählten Chiffren erfolgt. Dazu gehören (unter anderem) RSA-OAEP, Cramer-Shoup und viele Formen der authentifizierten symmetrischen Verschlüsselung.

F: Wofür steht RSA-OAEP?

A: RSA-OAEP steht für RSA Optimal Asymmetric Encryption Padding.

F: Welche Folgen hat es, wenn ein Kryptosystem anfällig für einen Angriff mit ausgewähltem Chiffretext ist?

A: Eine der Folgen der Anfälligkeit eines Kryptosystems für einen Angriff mit ausgewählten Chiffretexten ist, dass die Implementierer darauf achten müssen, Situationen zu vermeiden, in denen Angreifer in der Lage sein könnten, ausgewählte Chiffretexte zu entschlüsseln (d.h. sie müssen vermeiden, ein Entschlüsselungsschema anzubieten).

F: Welche Arten von Angriffen können mit teilweise gewählten Chiffretexten möglich sein?

A: Teilweise gewählte Chiffretexte können subtile Angriffe ermöglichen.