Chosen-Ciphertext attack (CCA)
Een chosen-ciphertext attack (CCA) is een aanvalsmodel voor cryptoanalyse waarbij de cryptoanalist informatie verzamelt, althans gedeeltelijk, door een cijfertekst te kiezen en de ontcijfering daarvan te verkrijgen met een onbekende sleutel.
Wanneer een cryptosysteem gevoelig is voor een aanval met gekozen cijferteksten, moeten de implementeerders zorgvuldig situaties vermijden waarin een aanvaller gekozen cijferteksten zou kunnen ontcijferen (d.w.z. vermijden dat een ontcijferingsschema wordt verstrekt). Dit kan moeilijker zijn dan het lijkt, aangezien zelfs gedeeltelijk gekozen cijferteksten subtiele aanvallen mogelijk kunnen maken. Bovendien gebruiken sommige cryptosystemen (zoals RSA) hetzelfde mechanisme om berichten te ondertekenen en te ontcijferen. Dit maakt aanvallen mogelijk wanneer hashing niet wordt gebruikt op het te ondertekenen bericht. Een betere aanpak is het gebruik van een cryptosysteem dat aantoonbaar veilig is onder een aanval met gekozen cijfertekst, waaronder (onder andere) RSA-OAEP, Cramer-Shoup en vele vormen van geauthenticeerde symmetrische encryptie.
Varianten van gekozen-cijfertekst aanvallen
Aanvallen met gekozen cijfertekst kunnen, net als andere aanvallen, adaptief of niet-adaptief zijn. Bij een niet-aanpasbare aanval kiest de aanvaller van tevoren de te ontcijferen cijfertekst of cijferteksten en gebruikt hij de resulterende klaarteksten niet om zijn keuze voor meer cijferteksten te onderbouwen. Bij een adaptieve aanval met gekozen cijfertekst maakt de aanvaller zijn cijfertekstkeuzes adaptief, d.w.z. afhankelijk van het resultaat van eerdere ontcijferingen.
Lunchtijd aanvallen
Een bijzondere variant van de aanval met gekozen cijfertekst is de "lunchtime"- of "midnight"-aanval, waarbij een aanvaller adaptieve zoekopdrachten met gekozen cijfertekst mag uitvoeren, maar slechts tot een bepaald punt, waarna de aanvaller moet aantonen dat hij beter in staat is het systeem aan te vallen. De term "lunchaanval" verwijst naar het idee dat de computer van een gebruiker, met de mogelijkheid om te ontcijferen, beschikbaar is voor een aanvaller terwijl de gebruiker aan het lunchen is. Deze vorm van de aanval was de eerste die algemeen werd besproken: het is duidelijk dat, indien de aanvaller de mogelijkheid heeft om adaptief gekozen cijfertekst te ontcijferen, geen enkel versleuteld bericht veilig zou zijn, althans totdat die mogelijkheid wordt weggenomen. Deze aanval wordt ook wel de "niet-aanpasbare gekozen cijfertekst aanval" genoemd; hier verwijst "niet-aanpasbaar" naar het feit dat de aanvaller zijn vragen niet kan aanpassen als antwoord op de uitdaging, die gegeven wordt nadat de mogelijkheid om gekozen cijfertekst vragen te stellen is vervallen.
Veel gekozen-cijfertekstaanvallen van praktisch belang zijn lunchaanvallen, zoals bijvoorbeeld toen Daniel Bleichenbacher van Bell Laboratories een praktische aanval demonstreerde tegen systemen die gebruik maken van de PKCS#1; uitgevonden en gepubliceerd door RSA Security.
Adaptieve gekozen tekst aanval
Een (volledig) adaptieve gekozen-cijfertekstaanval is een aanval waarbij cijferteksten adaptief kunnen worden gekozen voordat en nadat een uitdagingscijfertekst aan de aanvaller is gegeven, met als ENIGE voorwaarde dat de uitdagingscijfertekst niet zelf mag worden opgevraagd. Dit is een sterkere aanvalsopvatting dan de lunchtime-aanval, en wordt gewoonlijk een CCA2-aanval genoemd, in vergelijking met een CCA1-aanval (lunchtime). Er zijn maar weinig praktische aanvallen van deze vorm. Dit model is veeleer van belang voor het gebruik ervan in bewijzen van beveiliging tegen chosen-ciphertext-aanvallen. Een bewijs dat aanvallen volgens dit model onmogelijk zijn, impliceert dat geen enkele praktische gekozen-cijfertekstaanval kan worden uitgevoerd.
Cryptosystemen waarvan is aangetoond dat zij veilig zijn tegen adaptieve "chosen-ciphertext"-aanvallen zijn onder meer het Cramer-Shoup-systeem en RSA-OAEP.
Verwante pagina's
- Cijfertekst-alleen aanval
- Gekozen-plaintext aanval
- Known-plaintext aanval
Vragen en antwoorden
V: Wat is een chosen-ciphertext aanval?
A: Een chosen-ciphertext attack (CCA) is een aanvalsmodel voor cryptoanalyse waarbij de cryptoanalist informatie verzamelt, tenminste gedeeltelijk, door een cijfertekst te kiezen en de ontcijfering ervan te verkrijgen onder een onbekende sleutel.
V: Waarom moeten uitvoerders voorzichtig zijn om situaties te vermijden waarin aanvallers gekozen cijferteksten kunnen ontsleutelen?
A: Wanneer een cryptosysteem vatbaar is voor een chosen-ciphertext aanval, moeten implementeerders voorzichtig zijn om situaties te vermijden waarin aanvallers gekozen cijferteksten zouden kunnen ontsleutelen (d.w.z. vermijden om een ontsleutelingsschema aan te bieden), aangezien zelfs gedeeltelijk gekozen cijferteksten subtiele aanvallen mogelijk kunnen maken.
V: Welke cryptosystemen zijn kwetsbaar voor aanvallen wanneer hashing niet wordt gebruikt op het te ondertekenen bericht?
A: Sommige cryptosystemen (zoals RSA) gebruiken hetzelfde mechanisme om berichten te ondertekenen en te ontsleutelen. Dit maakt aanvallen mogelijk wanneer hashing niet wordt gebruikt op het te ondertekenen bericht.
V: Wat is de betere aanpak om aanvallen onder een chosen-ciphertext aanvalsmodel te vermijden?
A: Een betere aanpak is het gebruik van een cryptosysteem dat aantoonbaar veilig is onder chosen-ciphertext attack, waaronder (onder andere) RSA-OAEP, Cramer-Shoup en vele vormen van geauthenticeerde symmetrische encryptie.
V: Waar staat RSA-OAEP voor?
A: RSA-OAEP staat voor RSA Optimal Asymmetric Encryption Padding.
V: Wat is een van de gevolgen van een cryptosysteem dat kwetsbaar is voor een chosen-ciphertext aanval?
A: Een van de gevolgen van een cryptosysteem dat kwetsbaar is voor een chosen-ciphertext aanval is dat implementeerders voorzichtig moeten zijn om situaties te vermijden waarin aanvallers gekozen cijferteksten zouden kunnen ontsleutelen (d.w.z. vermijden om een ontsleutelingsschema aan te bieden).
V: Welk soort aanvallen kunnen gedeeltelijk gekozen cijferteksten mogelijk maken?
A: Gedeeltelijk gekozen cijferteksten kunnen subtiele aanvallen toelaten.