Ein gewählter-ciphertext Angriff (CCA) ist ein Angriffsmodell für cryptanalysis, in dem der cryptanalyst Information, mindestens teilweise, durch die Auswahl eines ciphertext und das Erreichen seiner Dekodierung unter einem unbekannten Schlüssel sammelt. Im Angriff hat ein Gegner eine Chance, ein oder bekannterer ciphertexts ins System hereinzugehen und den resultierenden plaintexts zu erhalten. Von dieser Information kann der Gegner versuchen, den verborgenen heimlichen für die Dekodierung verwendeten Schlüssel wieder zu erlangen.

Mehrere sonst sichere Schemas können unter dem gewählten-ciphertext Angriff vereitelt werden. Zum Beispiel ist der El Gamal cryptosystem unter dem gewählten-plaintext Angriff semantisch sicher, aber diese semantische Sicherheit kann unter einem gewählten-ciphertext Angriff trivial vereitelt werden. Frühe Versionen von RSA im SSL Protokoll verwendetes Polstern war für einen hoch entwickelten anpassungsfähigen gewählten-ciphertext Angriff verwundbar, der SSL Sitzungsschlüssel offenbart hat. Gewählte-ciphertext Angriffe haben Implikationen für einige gleichzeitig selbstseiende Strom-Ziffern ebenso. Entwerfer von gegen den Stampfer widerstandsfähigen kryptografischen klugen Karten müssen von diesen Angriffen besonders bewusst sein, wie diese Geräte völlig unter der Kontrolle eines Gegners sein können, der eine Vielzahl von gewählten-ciphertexts in einem Versuch ausgeben kann, den verborgenen heimlichen Schlüssel wieder zu erlangen.

Wenn ein cryptosystem für den gewählten-ciphertext Angriff verwundbar ist, muss implementers darauf achten, Situationen zu vermeiden, in denen ein Gegner im Stande sein könnte, gewählt-ciphertexts zu entschlüsseln (d. h., vermeiden Sie, ein Dekodierungsorakel zur Verfügung zu stellen). Das kann schwieriger sein, als es erscheint, weil sogar partially-chosen-ciphertexts feine Angriffe erlauben kann. Zusätzlich verwenden einige cryptosystems (wie RSA) denselben Mechanismus, Nachrichten zu unterzeichnen und sie zu entschlüsseln. Das erlaubt Angriffe, wenn hashing auf der zu unterzeichnenden Nachricht nicht verwendet wird. Eine bessere Annäherung soll einen cryptosystem verwenden, der unter dem gewählten-ciphertext Angriff, einschließlich (unter anderen) RSA-OAEP, Cramer-Shoup und viele Formen der beglaubigten symmetrischen Verschlüsselung nachweisbar sicher ist.

Varianten von gewählten-ciphertext Angriffen

Gewählte-ciphertext Angriffe, wie andere Angriffe, können anpassungsfähig oder nichtanpassungsfähig sein. In einem nichtanpassungsfähigen Angriff wählt der Angreifer den ciphertext oder ciphertexts, um im Voraus zu entschlüsseln, und verwendet den resultierenden plaintexts nicht, um ihre Wahl für mehr ciphertexts zu informieren. In einem anpassungsfähigen gewählten-ciphertext Angriff macht der Angreifer ihre ciphertext Wahlen anpassungsfähig, d. h. abhängig vom Ergebnis von vorherigen Dekodierungen.

Mittagspause-Angriffe

Eine besonders bekannte Variante des gewählten-ciphertext Angriffs ist die "Mittagspause", "Mitternacht" oder "gleichgültiger" Angriff, in dem ein Angreifer anpassungsfähige gewählte-ciphertext Abfragen machen kann, aber nur herauf bis einen bestimmten Punkt, nach dem der Angreifer eine verbesserte Fähigkeit unter Beweis stellen muss, das System anzugreifen. Der Begriff "Mittagspause--Angriff" bezieht sich auf die Idee, dass ein Computer eines Benutzers, mit der Fähigkeit zu entschlüsseln, für einen Angreifer verfügbar ist, während der Benutzer aus ist, um Mittagessen einzunehmen. Diese Form des Angriffs war die erste allgemein hat besprochen: Offensichtlich, wenn der Angreifer in der Lage ist, anpassungsfähige gewählte Ciphertext-Abfragen zu machen, würde keine encrypted Nachricht mindestens sicher sein, bis diese Fähigkeit weggenommen wird. Dieser Angriff wird manchmal den "nichtanpassungsfähigen gewählten Ciphertext-Angriff" genannt; hier, "nichtanpassungsfähig" bezieht sich auf die Tatsache, dass der Angreifer ihre Abfragen als Antwort auf die Herausforderung nicht anpassen kann, die gegeben wird, nachdem die Fähigkeit, gewählte Ciphertext-Abfragen zu machen, abgelaufen ist.

Anpassungsfähiger gewählter-ciphertext Angriff

Ein (voller) anpassungsfähiger gewählter-ciphertext Angriff ist ein Angriff, in dem ciphertexts anpassungsfähig gewählt werden kann, vorher und nach einer Herausforderung wird ciphertext dem Angreifer mit nur der Bedingung gegeben, dass die Herausforderung ciphertext nicht selbst gefragt werden darf. Das ist ein stärkerer Angriffsbegriff als der Mittagspause-Angriff, und wird allgemein einen CCA2-Angriff, verglichen mit einem CCA1 (Mittagspause) Angriff genannt. Wenige praktische Angriffe sind dieser Form. Eher ist dieses Modell für seinen Gebrauch in Beweisen der Sicherheit gegen gewählte-ciphertext Angriffe wichtig. Ein Beweis, dass Angriffe in diesem Modell unmöglich sind, deutet an, dass jeder realistische gewählte-ciphertext Angriff nicht durchgeführt werden kann.

Ein praktischer anpassungsfähiger gewählter-ciphertext Angriff ist der Angriff von Bleichenbacher gegen

Cryptosystems bewiesen sicher gegen anpassungsfähige gewählte-ciphertext Angriffe schließen das System von Cramer-Shoup und RSA-OAEP ein.

Siehe auch

• Ciphertext-nur Angriff
• Bekannter-plaintext Angriff
• Gewählter-plaintext Angriff