Attacco con testo cifrato scelto

Da Wikipedia, l'enciclopedia libera.

Un attacco con testo cifrato scelto (in letteratura Chosen-ciphertext attack o CCA) è un tipo di attacco crittanalitico in cui il crittanalista raccoglie informazioni su un sistema crittografico scegliendo un testo cifrato ed ottenendo la sua versione decifrata con una chiave non nota. Il nome corretto dovrebbe essere attacco con testo cifrato scelto e testo in chiaro perché l'attaccante è a conoscenza sia del testo in chiaro che del testo cifrato ma, per comodità, si tende ad utilizzare la forma abbreviata.

Questo tipo di attacco è tra i più potenti perché si basa sul fatto che l'attaccante abbia avuto accesso al sistema od al congegno di decifratura e può così risalire alle versioni in chiaro dei testi cifrati in suo possesso. Ovviamente lo scopo è quello di risalire alla chiave utilizzata nel sistema affinché egli possa recuperare tutte le informazioni protette scambiate in esso.

Schemi sensibili[modifica | modifica sorgente]

Diversi sono gli schemi di sicurezza che risultano vulnerabili ad un attacco con testo cifrato scelto. Ad esempio, l'algoritmo crittografico a chiave pubblica ElGamal risulta sicuro verso un attacco con testo in chiaro scelto ma non verso un attacco con testo cifrato scelto. Le prime versioni del padding dell'RSA utilizzate nel protocollo SSL erano vulnerabili ad un attacco adattivo con testo cifrato scelto, che poteva condurre alla scoperta della chiave di sessione.

I disegnatori di smart card crittografiche resistenti alla manomissione devono stare particolarmente attenti a questi tipi di attacco, dato che questi dispositivi possono risultare sotto il completo controllo di un attaccante, che può testare un grande numero di testi cifrati scelti nel tentativo di recuperare la chiave segreta nascosta. Quando un sistema crittografico è vulnerabile ad un attacco con testo cifrato scelto gli implementatori devono prestare molta attenzione nell'evitare situazioni in cui un attaccante potrebbe essere in grado di decifrare dei testi cifrati scelti (ad esempio evitando di fornire una cosiddetta "macchina a oracolo"). Questo può risultare molto più difficile di quanto sembri dato che anche testi cifrati parzialmente scelti possono permettere attacchi molto sottili. Inoltre, alcuni sistemi crittografici (come l'RSA) utilizzano lo stesso meccanismo per firmare i messaggi e per decifrarli: questo permette di sferrare un attacco quando la funzione di hash non è utilizzata sul messaggio da firmare. Un miglior approccio è l'utilizzo di un crittosistema che sia provatamente sicuro agli attacchi con testo cifrato scelto, come ad esempio l'OAEP di RSA, il sistema Cramer-Shoup e molte altre forme di crittografia simmetrica con autenticazione.

Tipologie di attacchi con testo cifrato scelto[modifica | modifica sorgente]

Gli attacchi con testo cifrato scelto, come altre forme di attacchi, possono essere adattivi o non adattivi. In un attacco non adattivo, l'attaccante sceglie il testo o i testi cifrati da decifrare prima di sferrare l'attacco, e non utilizza i testi in chiaro risultanti per variare i successivi testi cifrati da usare. In un attacco adattivo con testo cifrato scelto l'attaccante sceglie i testi cifrati in maniera adattiva, basandosi sui risultati delle precedenti decifrature.

Attacchi della "pausa pranzo"[modifica | modifica sorgente]

Una variante particolare degli attacchi con testo cifrato scelto è l'attacco della "pausa pranzo" o di "mezzanotte", in cui un attaccante può accedere al sistema crittografico dove può verificare diversi testi cifrati scelti ma solo per un determinato periodo. La locuzione "attacco della pausa pranzo" si riferisce ad una ipotetica situazione in cui il computer della vittima, che ha la possibilità di decifrare i messaggi, viene momentaneamente abbandonato mentre l'utente è fuori a pranzo. Ovviamente, se l'attaccante ha la possibilità di eseguire attacchi adattivi, nessun messaggio cifrato sarà al sicuro, almeno fino a quando non viene negata all'attaccante la possibilità di accedere al sistema crittografico.

Questo attacco viene in genere indicato come attacco non adattivo con testo cifrato scelto: "non adattivo", in questa situazione, si riferisce al fatto che l'attaccante non può adattare il testo cifrato scelto in base ai risultati ottenuti, situazione che si viene a creare dopo che la possibilità di scegliere i testi cifrati è venuta meno.

Molti attacchi con testo cifrato scelto di rilevante importanza sono spesso attacchi della pausa pranzo, come, ad esempio, l'attacco di D. Bleichenbacher contro le specifiche crittografiche di RSA PKCS[1].

Attacco adattivo con testo cifrato scelto[modifica | modifica sorgente]

Un attacco adattivo con testo cifrato scelto è un attacco in cui i testi cifrati possono essere scelti adattivamente prima e durante l'attacco al crittosistema, in base a ciò che l'attaccante ottiene dal sistema crittografico durante la decifratura dei precedenti messaggi. Questo tipo di attacco è molto più efficiente dell'attacco della pausa pranzo perché può fornire molte più informazioni all'attaccante.

I crittosistemi che si sono dimostrati resistenti ad attacchi adattivi con testo cifrato scelto sono i già menzionati OAEP ed il sistema Cramer-Shoup.

Note[modifica | modifica sorgente]

  1. ^ Chosen Ciphertext Attacks against Protocols Based on RSA Encryption Standard PKCS #1 - D. Bleichenbacher - 1998

Voci correlate[modifica | modifica sorgente]