Un attacco con testo cifrato scelto (anche attacco con testo cifrato scelto e testo in chiaro poiché l'attaccante è a conoscenza sia del testo in chiaro sia del testo cifrato) è un tipo di attacco informatico crittanalitico in cui il crittanalista raccoglie informazioni su un sistema crittografico, scegliendo un testo cifrato e ottenendo la sua versione decifrata con una chiave non nota.
Questo tipo di attacco è tra i più potenti, perché si basa sul fatto che l'attaccante abbia avuto accesso al sistema o al congegno di decifratura e possa così risalire alle versioni in chiaro dei testi cifrati in suo possesso. Lo scopo è quello di risalire alla chiave utilizzata nel sistema, affinché egli possa recuperare tutte le informazioni protette scambiate in esso.
Introduzione
[modifica | modifica wikitesto]Diversi sono gli schemi di sicurezza che risultano vulnerabili ad un attacco con testo cifrato scelto. Ad esempio, l'algoritmo crittografico a chiave pubblica ElGamal risulta sicuro verso un attacco con testo in chiaro scelto ma non verso un attacco con testo cifrato scelto. Le prime versioni del padding dell'RSA utilizzate nel protocollo SSL erano vulnerabili ad un attacco adattivo con testo cifrato scelto, che poteva condurre alla scoperta della chiave di sessione.
Non era affatto chiaro se i sistemi di crittografia a chiave pubblica potessero resistere all'attacco con testo cifrato scelto, finché Moni Naor e Moti Yung pubblicarono nel 1990 un lavoro di ricerca nel quale proponevano un sistema con doppia con prova di integrità, noto ora come il paradigma "Naor-Yung"[1]. Questo lavoro ha poi aperto la strada a ulteriori lavori di ricerca che hanno fornito sistemi e schemi sicuri contro molteplici varianti dell'attacco principale.
I disegnatori di smart card crittografiche resistenti alla manomissione devono stare particolarmente attenti a questi tipi di attacco, dato che questi dispositivi possono risultare sotto il completo controllo di un attaccante, che può testare un grande numero di testi cifrati scelti nel tentativo di recuperare la chiave segreta nascosta. Quando un sistema crittografico è vulnerabile ad un attacco con testo cifrato scelto gli implementatori devono prestare molta attenzione nell'evitare situazioni in cui un attaccante potrebbe essere in grado di decifrare dei testi cifrati scelti (ad esempio evitando di fornire una cosiddetta "macchina a oracolo"). Questo può risultare molto più difficile di quanto sembri dato che anche testi cifrati parzialmente scelti possono permettere attacchi molto sottili. Inoltre, alcuni sistemi crittografici (come l'RSA) utilizzano lo stesso meccanismo per firmare i messaggi e per decifrarli: questo permette di sferrare un attacco quando la funzione di hash non è utilizzata sul messaggio da firmare. Un miglior approccio è l'utilizzo di un crittosistema che sia "dimostrabilmente sicuro" agli attacchi con testo cifrato scelto, come ad esempio l'OAEP di RSA, il sistema Cramer-Shoup e molte altre forme di crittografia simmetrica con autenticazione.
Tipologie
[modifica | modifica wikitesto]Gli attacchi con testo cifrato scelto, come altre forme di attacchi, possono essere adattivi o non adattivi. In un attacco non adattivo, l'attaccante sceglie il testo o i testi cifrati da decifrare prima di sferrare l'attacco, e non utilizza i testi in chiaro risultanti per variare i successivi testi cifrati da usare. In un attacco adattivo con testo cifrato scelto l'attaccante sceglie i testi cifrati in maniera adattiva, basandosi sui risultati delle precedenti decifrature.
Attacchi della "pausa pranzo"
[modifica | modifica wikitesto]Una variante particolare degli attacchi con testo cifrato scelto è l'attacco della "pausa pranzo" o di "mezzanotte", in cui un attaccante può accedere al sistema crittografico dove può verificare diversi testi cifrati scelti ma solo per un determinato periodo. La locuzione "attacco della pausa pranzo" si riferisce ad una ipotetica situazione in cui il computer della vittima, che ha la possibilità di decifrare i messaggi, viene momentaneamente abbandonato mentre l'utente è fuori a pranzo. Ovviamente, se l'attaccante ha la possibilità di eseguire attacchi adattivi, nessun messaggio cifrato sarà al sicuro, almeno fino a quando non viene negata all'attaccante la possibilità di accedere al sistema crittografico.
Questo attacco viene in genere indicato come attacco non adattivo con testo cifrato scelto: "non adattivo", in questa situazione, si riferisce al fatto che l'attaccante non può adattare il testo cifrato scelto in base ai risultati ottenuti, situazione che si viene a creare dopo che la possibilità di scegliere i testi cifrati è venuta meno.
Molti attacchi con testo cifrato scelto di rilevante importanza sono spesso attacchi della pausa pranzo, come, ad esempio, l'attacco di D. Bleichenbacher contro le specifiche crittografiche di RSA PKCS[2].
Attacco adattivo con testo cifrato scelto
[modifica | modifica wikitesto]Un attacco adattivo con testo cifrato scelto è un attacco in cui i testi cifrati possono essere scelti adattivamente prima e durante l'attacco al crittosistema, in base a ciò che l'attaccante ottiene dal sistema crittografico durante la decifratura dei precedenti messaggi. Questo tipo di attacco è molto più efficiente dell'attacco della pausa pranzo perché può fornire molte più informazioni all'attaccante.
I crittosistemi che si sono dimostrati resistenti ad attacchi adattivi con testo cifrato scelto sono i già menzionati OAEP ed il sistema Cramer-Shoup.
Note
[modifica | modifica wikitesto]- ^ (EN) Moni Naor e Moti Yung, Public-key cryptosystems provably secure against chosen ciphertext attacks, in Proceedings of the twenty-second annual ACM symposium on Theory of computing - STOC '90, ACM Press, 1990, DOI:10.1145/100216.100273.
- ^ Chosen Ciphertext Attacks against Protocols Based on RSA Encryption Standard PKCS #1 Archiviato il 4 febbraio 2012 in Internet Archive. - D. Bleichenbacher - 1998