Chosen-Ciphertext-Attacke

Was ist eine Chosen-Ciphertext-Attacke?

Eine Chosen-Ciphertext-Attacke (CCA) ist ein Angriffsmodell für die Kryptoanalyse, bei dem der Kryptoanalytiker Informationen sammeln kann, indem er die Entschlüsselungen der ausgewählten Chiffretexte ermittelt: Aus diesen Informationen kann der Gegner versuchen, den für die Entschlüsselung verwendeten verborgenen und geheimen Schlüssel wiederherzustellen.

Was passiert bei einer Chosen-Ciphertext-Attacke?

Eine Reihe von ansonsten sicheren Schemata kann bei einer gewählten Chosen-Ciphertext-Attacke besiegt werden.

Zum Beispiel ist das El Gamal-Kryptosystem semantisch sicher bei einem Angriff mit gewähltem Klartext – diese semantische Sicherheit kann aber bei einer gewählten Chosen-Ciphertext-Attacke trivial besiegt werden.

Frühere Versionen des RSA-Auffüllens, die im SSL-Protokoll verwendet wurden, waren anfällig für einen komplexe adaptive Attacke, wodurch SSL-Sitzungsschlüssel enthüllt wurden. Gewählte Attacken haben auch Auswirkungen auf einige selbstsynchronisierende Stream-Chiffren. Designer von manipulationssicheren kryptografischen Chipkarten müssen diese Angriffe besonders berücksichtigen, da diese Geräte möglicherweise vollständig unter der Kontrolle eines Gegners stehen, der eine große Anzahl ausgewählter Geheimtexte ausgeben kann, um den versteckten geheimen Schlüssel wiederherzustellen.

Es war überhaupt nicht klar, ob Public Key Kryptosysteme der gewählten Chosen-Ciphertext-Attacke standhalten können, bis Moni Naor und Moti Yung 1990 den ersten Durchbruch erzielten. Darin wurde eine Methode der dualen Verschlüsselung mit Integritätsnachweis vorgeschlagen (Verschlüsselungsparadigma). Diese Arbeit machte das Verständnis des Sicherheitsbegriffs gegen ausgewählte Chosen-Ciphertext-Attacken viel klarer als zuvor und öffnet die Forschungsrichtung des Aufbaus von Systemen mit verschiedenen Schutzvorrichtungen gegen Angriffsvarianten.

Wenn ein Kryptosystem anfällig für einen Chiffretext durch eine ausgewählte Chosen-Ciphertext-Attacke ist, müssen die Implementierer darauf achten, Situationen zu vermeiden, in denen ein Gegner die Chiffrierung in bestimmten Texten entschlüsseln kann (d. h. keine Entschlüsselungs-Orakel). Dies kann schwieriger sein, als es den Anschein hat, da selbst teilweise gewählte Geheimtexte subtile Angriffe zulassen können. Darüber hinaus gibt es andere Probleme, denn einige Kryptosysteme (z. B. RSA) verwenden denselben Mechanismus zum Signieren und Entschlüsseln von Nachrichten. Dies erlaubt Angriffe, wenn für die zu signierende Nachricht kein Hashing verwendet wird.

Arten

Gewählte Chosen-Ciphertext-Attacken können wie andere Angriffe adaptiv oder nicht adaptiv sein. Bei einer adaptiven Chosen-Ciphertext-Attacke kann der Angreifer die Ergebnisse früherer Entschlüsselungen verwenden, um seine Entscheidungen darüber trifft, welche Texte entschlüsselt werden sollen. Bei einem nicht anpassungsfähigen Angriff wählt der Angreifer die Geheimtexte aus, um entschlüsselt zu werden, ohne einen der resultierenden Klartexte zu sehen. Nachdem der Angreifer die Klartexte gesehen hat, kann er die Entschlüsselung zusätzlicher Geheimtexte nicht mehr erhalten.

Lunchtime-Attacke

Eine speziell erwähnte Variante der gewählten Chosen-Ciphertext-Attacke ist die “Lunchtime-Attacke”, bei der ein Angreifer adaptive Chiffriertextabfragen machen kann, jedoch nur bis zu einem bestimmten Punkt – denn anschließend benötigt der Angreifer eine verbesserte Fähigkeit das System anzugreifen. Der Begriff “Lunchtime” bezieht sich auf die Idee, dass der Computer eines Benutzers, der entschlüsselt werden soll, einem Angreifer nur dann zur Verfügung steht, während der Benutzer in der Mittagspause ist. Diese Form des Angriffs war die erste, die häufig besprochen wurde: Wenn der Angreifer adaptiv ausgewählte Abfragen durchführen kann, wäre keine verschlüsselte Nachricht sicher.

Adaptive Chosen-Ciphertext-Attacke

Ein vollständiger adaptiver Angriff ist ein Angriff, bei dem Chiffretexte adaptiv ausgewählt werden können, bevor und nachdem ein Angreifer einen Chiffretext für die Anforderung erteilt hat – wobei nur der Vorbehalt gefordert wird, dass der Chiffretext für die Herausforderung selbst nicht abgefragt wird. Dies ist ein stärkerer Angriffsbegriff als die Lunchtime-Attacke und wird im Allgemeinen als CCA2-Angriff bezeichnet. Nur wenige praktische Angriffe sind von dieser Form. Vielmehr ist dieses Modell für seine Verwendung in Sicherheitsnachweisen gegen gewählte Chosen-Ciphertext-Attacken wichtig.

Zahlreiche Kryptosysteme sind nachweislich gegen eine adaptive Chosen-Ciphertext-Attacke geschützt, von denen einige diese Sicherheitseigenschaft nur auf algebraischen Annahmen belegen. Einige erfordern zusätzlich eine idealisierte zufällige Orakelannahme. Beispielsweise ist das Cramer-Shoup-System auf der Grundlage zahlentheoretischer Annahmen und ohne Idealisierung sicher. Nach einigen subtilen Untersuchungen wurde auch festgestellt, dass das praktische Schema RSA-OAEP unter der RSA-Annahme in der idealisierten Zufallszahl sicher ist.

Sie haben noch Fragen?

Kontaktieren Sie uns