Ataque Chosen-ciphertext
Un ataque de texto cifrado elegido (CCA) es un modelo de ataque para el criptoanálisis en el que el criptoanalista obtiene información, al menos en parte, eligiendo un texto cifrado y obteniendo su descifrado bajo una clave desconocida.
Cuando un criptosistema es susceptible de sufrir un ataque de texto cifrado elegido, los implementadores deben tener cuidado de evitar situaciones en las que un atacante pueda ser capaz de descifrar los textos cifrados elegidos (es decir, evitar proporcionar un esquema de descifrado). Esto puede ser más difícil de lo que parece, ya que incluso los textos cifrados parcialmente elegidos pueden permitir ataques sutiles. Además, algunos criptosistemas (como RSA) utilizan el mismo mecanismo para firmar los mensajes y descifrarlos. Esto permite ataques cuando no se utiliza el hashing en el mensaje que se va a firmar. Un enfoque mejor es utilizar un criptosistema que sea probadamente seguro bajo un ataque de texto cifrado elegido, incluyendo (entre otros) RSA-OAEP, Cramer-Shoup y muchas formas de cifrado simétrico autenticado.
Variedades de ataques de texto cifrado elegido
Los ataques de texto cifrado elegido, al igual que otros ataques, pueden ser adaptativos o no adaptativos. En un ataque no adaptativo, el atacante elige de antemano el o los textos cifrados a descifrar, y no utiliza los textos planos resultantes para informar su elección de más textos cifrados. En un ataque adaptativo de texto cifrado, el atacante elige sus textos cifrados de forma adaptativa, es decir, dependiendo del resultado de descifrados anteriores.
Ataques a la hora del almuerzo
Una variante especialmente destacada del ataque de texto cifrado elegido es el ataque "a la hora del almuerzo" o "a medianoche", en el que un atacante puede realizar consultas de texto cifrado elegido adaptables, pero sólo hasta cierto punto, después del cual el atacante debe demostrar alguna capacidad mejorada para atacar el sistema. El término "ataque a la hora del almuerzo" se refiere a la idea de que el ordenador de un usuario, con la capacidad de descifrar, está a disposición de un atacante mientras el usuario está almorzando. Esta forma de ataque fue la primera que se discutió comúnmente: obviamente, si el atacante tiene la capacidad de hacer consultas de texto cifrado elegidas de forma adaptativa, ningún mensaje cifrado sería seguro, al menos hasta que se le quite esa capacidad. Este ataque se denomina a veces "ataque de texto cifrado elegido no adaptativo"; aquí, "no adaptativo" se refiere al hecho de que el atacante no puede adaptar sus consultas en respuesta al desafío, que se da después de que la capacidad de hacer consultas de texto cifrado elegido haya expirado.
Muchos ataques de texto cifrado elegido de importancia práctica son ataques a la hora del almuerzo, incluyendo, por ejemplo, cuando Daniel Bleichenbacher de los Laboratorios Bell demostró un ataque práctico contra los sistemas que utilizan el PKCS#1; inventado y publicado por RSA Security.
Ataque de texto elegido adaptable
Un ataque de texto elegido (completo) adaptativo es un ataque en el que los textos cifrados pueden ser elegidos de forma adaptativa antes y después de que un texto cifrado de desafío sea dado al atacante, con UNA condición de que el texto cifrado de desafío no pueda ser consultado. Esta es una noción de ataque más fuerte que el ataque de la hora del almuerzo, y se conoce comúnmente como un ataque CCA2, en comparación con un ataque CCA1 (hora del almuerzo). Pocos ataques prácticos son de esta forma. Más bien, este modelo es importante por su uso en las pruebas de seguridad contra los ataques de texto cifrado elegido. Una prueba de que los ataques en este modelo son imposibles implica que no se puede realizar ningún ataque práctico de texto cifrado elegido.
Entre los criptosistemas que han demostrado ser seguros frente a los ataques de texto elegido adaptativo se encuentran el sistema Cramer-Shoup y el RSA-OAEP.
Páginas relacionadas
- Ataque de sólo texto cifrado
- Ataque de texto plano elegido
- Ataque de texto conocido
Preguntas y respuestas
P: ¿Qué es un ataque de texto cifrado elegido?
R: Un ataque de texto cifrado elegido (CCA) es un modelo de ataque para el criptoanálisis en el que el criptoanalista obtiene información, al menos en parte, eligiendo un texto cifrado y obteniendo su descifrado bajo una clave desconocida.
P: ¿Por qué los implementadores deben tener cuidado para evitar situaciones en las que los atacantes puedan ser capaces de descifrar textos cifrados elegidos?
R: Cuando un criptosistema es susceptible a un ataque de texto cifrado elegido, los implementadores deben tener cuidado de evitar situaciones en las que los atacantes podrían ser capaces de descifrar textos cifrados elegidos (es decir, evitar proporcionar un esquema de descifrado), ya que incluso los textos cifrados parcialmente elegidos pueden permitir ataques sutiles.
P: ¿Qué criptosistemas son vulnerables a los ataques cuando no se utiliza hashing en el mensaje a firmar?
R: Algunos criptosistemas (como RSA) utilizan el mismo mecanismo para firmar mensajes y para descifrarlos. Esto permite ataques cuando no se utiliza el hashing en el mensaje a firmar.
P: ¿Cuál es el mejor enfoque para evitar ataques bajo un modelo de ataque de texto cifrado elegido?
R: Un enfoque mejor es utilizar un criptosistema que sea demostrablemente seguro bajo ataque de texto cifrado elegido, incluyendo (entre otros) RSA-OAEP, Cramer-Shoup y muchas formas de cifrado simétrico autenticado.
P: ¿Qué significa RSA-OAEP?
R: RSA-OAEP son las siglas de RSA Optimal Asymmetric Encryption Padding.
P: ¿Cuál es una de las consecuencias de que un criptosistema sea vulnerable a un ataque de texto cifrado elegido?
R: Una de las consecuencias de que un criptosistema sea vulnerable a un ataque de texto cifrado elegido es que los implementadores deben tener cuidado para evitar situaciones en las que los atacantes puedan ser capaces de descifrar los textos cifrados elegidos (es decir, evitar proporcionar un esquema de descifrado).
P: ¿Qué tipo de ataques pueden permitir los textos cifrados parcialmente elegidos?
R: Los textos cifrados parcialmente elegidos pueden permitir ataques sutiles.
