Chosen-Ciphertext-Attacke

Chosen-Ciphertext-Attacke

Copyright ┬ę Shutterstock / Nokwan007

Was ist eine Chosen-Ciphertext-Attacke?

Eine Chosen-Ciphertext-Attacke (CCA) ist ein Angriffsmodell f├╝r die Kryptoanalyse, bei dem der Kryptoanalytiker Informationen sammeln kann, indem er die Entschl├╝sselungen der ausgew├Ąhlten Chiffretexte ermittelt: Aus diesen Informationen kann der Gegner versuchen, den f├╝r die Entschl├╝sselung verwendeten verborgenen und geheimen Schl├╝ssel wiederherzustellen.

Was passiert bei einer Chosen-Ciphertext-Attacke?

Eine Reihe von ansonsten sicheren Schemata kann bei einer gew├Ąhlten Chosen-Ciphertext-Attacke besiegt werden.

Zum Beispiel ist das El Gamal-Kryptosystem semantisch sicher bei einem Angriff mit gew├Ąhltem Klartext – diese semantische Sicherheit kann aber bei einer gew├Ąhlten Chosen-Ciphertext-Attacke trivial besiegt werden.

Fr├╝here Versionen des RSA-Auff├╝llens, die im SSL-Protokoll verwendet wurden, waren anf├Ąllig f├╝r einen komplexe adaptive Attacke, wodurch SSL-Sitzungsschl├╝ssel enth├╝llt wurden. Gew├Ąhlte Attacken haben auch Auswirkungen auf einige selbstsynchronisierende Stream-Chiffren. Designer von manipulationssicheren kryptografischen Chipkarten m├╝ssen diese Angriffe besonders ber├╝cksichtigen, da diese Ger├Ąte m├Âglicherweise vollst├Ąndig unter der Kontrolle eines Gegners stehen, der eine gro├če Anzahl ausgew├Ąhlter Geheimtexte ausgeben kann, um den versteckten geheimen Schl├╝ssel wiederherzustellen.

Es war ├╝berhaupt nicht klar, ob Public Key Kryptosysteme der gew├Ąhlten Chosen-Ciphertext-Attacke standhalten k├Ânnen, bis Moni Naor und Moti Yung 1990 den ersten Durchbruch erzielten. Darin wurde eine Methode der dualen Verschl├╝sselung mit Integrit├Ątsnachweis vorgeschlagen (Verschl├╝sselungsparadigma). Diese Arbeit machte das Verst├Ąndnis des Sicherheitsbegriffs gegen ausgew├Ąhlte Chosen-Ciphertext-Attacken viel klarer als zuvor und ├Âffnet die Forschungsrichtung des Aufbaus von Systemen mit verschiedenen Schutzvorrichtungen gegen Angriffsvarianten.

Wenn ein Kryptosystem anf├Ąllig f├╝r einen Chiffretext durch eine ausgew├Ąhlte Chosen-Ciphertext-Attacke ist, m├╝ssen die Implementierer darauf achten, Situationen zu vermeiden, in denen ein Gegner die Chiffrierung in bestimmten Texten entschl├╝sseln kann (d. h. keine Entschl├╝sselungs-Orakel). Dies kann schwieriger sein, als es den Anschein hat, da selbst teilweise gew├Ąhlte Geheimtexte subtile Angriffe zulassen k├Ânnen. Dar├╝ber hinaus gibt es andere Probleme, denn einige Kryptosysteme (z. B. RSA) verwenden denselben Mechanismus zum Signieren und Entschl├╝sseln von Nachrichten. Dies erlaubt Angriffe, wenn f├╝r die zu signierende Nachricht kein Hashing verwendet wird.

Arten

Gew├Ąhlte Chosen-Ciphertext-Attacken k├Ânnen wie andere Angriffe adaptiv oder nicht adaptiv sein. Bei einer adaptiven Chosen-Ciphertext-Attacke kann der Angreifer die Ergebnisse fr├╝herer Entschl├╝sselungen verwenden, um seine Entscheidungen dar├╝ber trifft, welche Texte entschl├╝sselt werden sollen. Bei einem nicht anpassungsf├Ąhigen Angriff w├Ąhlt der Angreifer die Geheimtexte aus, um entschl├╝sselt zu werden, ohne einen der resultierenden Klartexte zu sehen. Nachdem der Angreifer die Klartexte gesehen hat, kann er die Entschl├╝sselung zus├Ątzlicher Geheimtexte nicht mehr erhalten.

Eine speziell erw├Ąhnte Variante der gew├Ąhlten Chosen-Ciphertext-Attacke ist die “Lunchtime-Attacke”, bei der ein Angreifer adaptive Chiffriertextabfragen machen kann, jedoch nur bis zu einem bestimmten Punkt – denn anschlie├čend ben├Âtigt der Angreifer eine verbesserte F├Ąhigkeit das System anzugreifen. Der Begriff “Lunchtime” bezieht sich auf die Idee, dass der Computer eines Benutzers, der entschl├╝sselt werden soll, einem Angreifer nur dann zur Verf├╝gung steht, w├Ąhrend der Benutzer in der Mittagspause ist. Diese Form des Angriffs war die erste, die h├Ąufig besprochen wurde: Wenn der Angreifer adaptiv ausgew├Ąhlte Abfragen durchf├╝hren kann, w├Ąre keine verschl├╝sselte Nachricht sicher.
Ein vollst├Ąndiger adaptiver Angriff ist ein Angriff, bei dem Chiffretexte adaptiv ausgew├Ąhlt werden k├Ânnen, bevor und nachdem ein Angreifer einen Chiffretext f├╝r die Anforderung erteilt hat – wobei nur der Vorbehalt gefordert wird, dass der Chiffretext f├╝r die Herausforderung selbst nicht abgefragt wird. Dies ist ein st├Ąrkerer Angriffsbegriff als die Lunchtime-Attacke und wird im Allgemeinen als CCA2-Angriff bezeichnet. Nur wenige praktische Angriffe sind von dieser Form. Vielmehr ist dieses Modell f├╝r seine Verwendung in Sicherheitsnachweisen gegen gew├Ąhlte Chosen-Ciphertext-Attacken wichtig.

Zahlreiche Kryptosysteme sind nachweislich gegen eine adaptive Chosen-Ciphertext-Attacke gesch├╝tzt, von denen einige diese Sicherheitseigenschaft nur auf algebraischen Annahmen belegen. Einige erfordern zus├Ątzlich eine idealisierte zuf├Ąllige Orakelannahme. Beispielsweise ist das Cramer-Shoup-System auf der Grundlage zahlentheoretischer Annahmen und ohne Idealisierung sicher. Nach einigen subtilen Untersuchungen wurde auch festgestellt, dass das praktische Schema RSA-OAEP unter der RSA-Annahme in der idealisierten Zufallszahl sicher ist.


Sie haben noch Fragen?

Kontaktieren Sie uns

Kostenloser SEO-Check der OSG


Weitere Inhalte