Ataque de texto cifrado elegido (CCA)
Modelo de criptoanálisis en el que el atacante elige textos cifrados y obtiene sus descifrados; variantes, riesgos, ejemplos prácticos y contramedidas modernas.
Visión general
Un ataque de texto cifrado elegido (conocido por sus siglas en inglés CCA, chosen-ciphertext attack) es un modelo de ataque al que se somete el análisis de un criptosistema en el que el adversario puede seleccionar uno o varios textos cifrados y obtener su descifrado bajo una clave secreta desconocida. Este poder de consulta da al atacante más información que los modelos más restringidos (como el de texto plano elegido) y, por tanto, exige criterios de seguridad más fuertes para considerar una construcción criptográfica segura.
Características y variantes
Los estudios teóricos distinguen al menos dos variantes prácticas: la no adaptativa (a veces llamada CCA1) y la adaptativa (CCA2). En CCA1 el atacante elige los cifrados antes de recibir la clave o antes de poder hacer ciertas consultas; en CCA2 puede elegirlos de forma interactiva, adaptando cada elección a la información obtenida previamente. Un criterio común de seguridad es la indistinguibilidad bajo ataque de texto cifrado elegido (IND-CCA), que formaliza que el atacante no debe distinguir entre cifrados de dos mensajes diferentes incluso teniendo acceso a un oráculo de descifrado, salvo el caso trivial del propio cifrado objetivo.
Ejemplos y consecuencias prácticas
Las vulnerabilidades tipo CCA se manifiestan en ataques reales como los llamados padding oracle attacks, donde la respuesta de un servidor ante un error de relleno permite recuperar texto plano, o en situaciones en las que el mismo mecanismo se usa tanto para descifrar como para firmar mensajes. Un ejemplo famoso en criptografía práctica es la necesidad de evitar usar texto sin procesar al firmar en RSA; la ausencia de un esquema de acoplamiento como el hashing y el acolchado apropiado posibilita explotaciones.
Mitigaciones y buenas prácticas
Para defenderse frente a ataques CCA se recomiendan esquemas diseñados y probados contra esas amenazas: por ejemplo, variantes de RSA con acolchado seguro como RSA-OAEP, esquemas de clave pública como Cramer–Shoup y cifrados simétricos autenticados que combinan cifrado y autenticación de mensajes. Otras medidas practicas incluyen separar las funciones de firma y descifrado, validar entradas y errores de forma consistente para no revelar información, y usar protocolos híbridos que emplean cifrado de clave pública para claves efímeras y cifrado simétrico autenticado para los datos.
Distinciones y notas relevantes
- Comparación con chosen-plaintext: en chosen-plaintext el atacante elige textos planos para obtener sus cifrados, mientras que en CCA las consultas son sobre cifrados.
- Prueba de seguridad: muchas propuestas actuales aseguran formalmente seguridad IND-CCA bajo supuestos estándar.
- Implementación: la seguridad práctica depende tanto del esquema teórico como de detalles de implementación; errores en el manejo de errores o en el acolchado facilitan ataques.
Enlaces y recursos
Para ampliar la información sobre definiciones, ejemplos y contramedidas consulte fuentes especializados y estándares criptográficos:
- Definición general de CCA
- Criptoanálisis y modelos de ataque
- Concepto de texto cifrado elegido
- Advertencias sobre el uso de RSA
- Importancia del hashing en firmas
- Cifrado simétrico autenticado
- Esquemas probados frente a CCA
Variedades de ataques de texto cifrado elegido
Los ataques de texto cifrado elegido, al igual que otros ataques, pueden ser adaptativos o no adaptativos. En un ataque no adaptativo, el atacante elige de antemano el o los textos cifrados a descifrar, y no utiliza los textos planos resultantes para informar su elección de más textos cifrados. En un ataque adaptativo de texto cifrado, el atacante elige sus textos cifrados de forma adaptativa, es decir, dependiendo del resultado de descifrados anteriores.
Ataques a la hora del almuerzo
Una variante especialmente destacada del ataque de texto cifrado elegido es el ataque "a la hora del almuerzo" o "a medianoche", en el que un atacante puede realizar consultas de texto cifrado elegido adaptables, pero sólo hasta cierto punto, después del cual el atacante debe demostrar alguna capacidad mejorada para atacar el sistema. El término "ataque a la hora del almuerzo" se refiere a la idea de que el ordenador de un usuario, con la capacidad de descifrar, está a disposición de un atacante mientras el usuario está almorzando. Esta forma de ataque fue la primera que se discutió comúnmente: obviamente, si el atacante tiene la capacidad de hacer consultas de texto cifrado elegidas de forma adaptativa, ningún mensaje cifrado sería seguro, al menos hasta que se le quite esa capacidad. Este ataque se denomina a veces "ataque de texto cifrado elegido no adaptativo"; aquí, "no adaptativo" se refiere al hecho de que el atacante no puede adaptar sus consultas en respuesta al desafío, que se da después de que la capacidad de hacer consultas de texto cifrado elegido haya expirado.
Muchos ataques de texto cifrado elegido de importancia práctica son ataques a la hora del almuerzo, incluyendo, por ejemplo, cuando Daniel Bleichenbacher de los Laboratorios Bell demostró un ataque práctico contra los sistemas que utilizan el PKCS#1; inventado y publicado por RSA Security.
Ataque de texto elegido adaptable
Un ataque de texto elegido (completo) adaptativo es un ataque en el que los textos cifrados pueden ser elegidos de forma adaptativa antes y después de que un texto cifrado de desafío sea dado al atacante, con UNA condición de que el texto cifrado de desafío no pueda ser consultado. Esta es una noción de ataque más fuerte que el ataque de la hora del almuerzo, y se conoce comúnmente como un ataque CCA2, en comparación con un ataque CCA1 (hora del almuerzo). Pocos ataques prácticos son de esta forma. Más bien, este modelo es importante por su uso en las pruebas de seguridad contra los ataques de texto cifrado elegido. Una prueba de que los ataques en este modelo son imposibles implica que no se puede realizar ningún ataque práctico de texto cifrado elegido.
Entre los criptosistemas que han demostrado ser seguros frente a los ataques de texto elegido adaptativo se encuentran el sistema Cramer-Shoup y el RSA-OAEP.
Páginas relacionadas
- Ataque de sólo texto cifrado
- Ataque de texto plano elegido
- Ataque de texto conocido
Preguntas y respuestas
P: ¿Qué es un ataque de texto cifrado elegido?
R: Un ataque de texto cifrado elegido (CCA) es un modelo de ataque para el criptoanálisis en el que el criptoanalista obtiene información, al menos en parte, eligiendo un texto cifrado y obteniendo su descifrado bajo una clave desconocida.
P: ¿Por qué los implementadores deben tener cuidado para evitar situaciones en las que los atacantes puedan ser capaces de descifrar textos cifrados elegidos?
R: Cuando un criptosistema es susceptible a un ataque de texto cifrado elegido, los implementadores deben tener cuidado de evitar situaciones en las que los atacantes podrían ser capaces de descifrar textos cifrados elegidos (es decir, evitar proporcionar un esquema de descifrado), ya que incluso los textos cifrados parcialmente elegidos pueden permitir ataques sutiles.
P: ¿Qué criptosistemas son vulnerables a los ataques cuando no se utiliza hashing en el mensaje a firmar?
R: Algunos criptosistemas (como RSA) utilizan el mismo mecanismo para firmar mensajes y para descifrarlos. Esto permite ataques cuando no se utiliza el hashing en el mensaje a firmar.
P: ¿Cuál es el mejor enfoque para evitar ataques bajo un modelo de ataque de texto cifrado elegido?
R: Un enfoque mejor es utilizar un criptosistema que sea demostrablemente seguro bajo ataque de texto cifrado elegido, incluyendo (entre otros) RSA-OAEP, Cramer-Shoup y muchas formas de cifrado simétrico autenticado.
P: ¿Qué significa RSA-OAEP?
R: RSA-OAEP son las siglas de RSA Optimal Asymmetric Encryption Padding.
P: ¿Cuál es una de las consecuencias de que un criptosistema sea vulnerable a un ataque de texto cifrado elegido?
R: Una de las consecuencias de que un criptosistema sea vulnerable a un ataque de texto cifrado elegido es que los implementadores deben tener cuidado para evitar situaciones en las que los atacantes puedan ser capaces de descifrar los textos cifrados elegidos (es decir, evitar proporcionar un esquema de descifrado).
P: ¿Qué tipo de ataques pueden permitir los textos cifrados parcialmente elegidos?
R: Los textos cifrados parcialmente elegidos pueden permitir ataques sutiles.
Artículos relacionados
Autor
AlegsaOnline.com Ataque de texto cifrado elegido (CCA) Leandro Alegsa
URL: https://es.alegsaonline.com/art/19992
Fuentes
- springerlink.com : A Practical Public Key Cryptosystem Provably Secure against Adaptive Chosen Ciphertext Attack
- springerlink.com : Relations among Notions of Security for Public-Key Encryption Schemes
- bell-labs.com : Chosen Ciphertext Attacks against Protocols Based on RSA Encryption Standard PKCS #1
- www-cse.ucsd.edu : full version (pdf)