적응형 selected-ciphertext 공격

Adaptive chosen-ciphertext attack

적응형 selected-ciphertext 공격(CCA2로 줄임말)은 우선 공격자가 적응적으로 복호화할 다수의 암호문을 전송하고 그 결과를 사용하여 챌린지 암호문에 대한 oracle을 참조하지 않고 타깃 암호문을 구별하는 선택 암호문 공격의 대화형 형식입니다.적응형 공격에서는 타겟이 공개된 후 공격자가 적응형 쿼리를 요구할 수 있습니다(단, 타깃 쿼리는 허용되지 않습니다).적응형 쿼리의 두 번째 단계가 허용되지 않는 무차별(비적응형) 암호 선택 공격(CCA1)을 확장하고 있습니다.Charles Rackoff와 Dan Simon은 CCA2를 정의하고 Moni NaorMoti Yung의 비적응형 CCA1 정의와 시스템 구축을 제안했다(이는 공개키 시스템의 선택된 암호문 공격 면역의 첫 번째 처리였다).

특정 실제 설정에서 이 공격의 목적은 암호화된 메시지에 대한 정보 또는 복호화 키 자체에 대한 정보를 점진적으로 밝히는 것입니다.공개시스템의 경우 적응형 선택 암호 텍스트는 일반적으로 암호 텍스트의 유연성이라는 속성을 가진 경우에만 적용할 수 있습니다.즉, 암호 텍스트는 해당 메시지의 복호화에 예측 가능한 영향을 미치는 특정 방식으로 변경할 수 있습니다.

실제적인 공격

적응형 선택 암호문 공격은 이론적인 우려로 여겨졌지만 실제로는 나타나지 않은 것으로 여겨졌던 1998년 Daniel Bleichenbacher(당시 Bell Laboraties의 Daniel Bleichenbacher)가 Se 버전을 포함한 PKCS#1 부호화 함수와 함께 RSA 암호화를 사용하는 시스템에 대한 실제 공격을 시연하기 전까지는 실제로 나타나지 않았습니다. [1]번에 수천 의 웹 서버에서 사용되는 SSL(cure Sockets Layer) 프로토콜입니다.

Million message attack이라고도 불리는 Bleichenbacher 공격은 PKCS #1 함수의 결함을 이용하여 RSA 암호화 메시지의 내용을 점차적으로 드러냅니다.이를 위해서는 수백만 개의 테스트 암호문을 복호화 장치(SSL을 탑재한 웹 서버 등)에 전송해야 합니다.즉, 실제로는 SSL 세션키가 하루 또는 그 이하로 적절한 시간 내에 공개될 수 있습니다.

이 취약성은 약간의 차이점이 있지만 여전히 많은 최신 서버에 "Return Of Bleichenbacher's Oracle Threat"([2]ROBOT)라는 새로운 이름으로 존재합니다.

공격 방지

적응형 선택 암호문 공격을 방지하기 위해서는 암호문 유연성과 시스템 보안 증명을 제한하는 암호화 또는 인코딩 방식을 사용해야 합니다.CCA 시큐어 시스템의 이론 및 기초 레벨 개발 후 랜덤 Oracle 모델에서 다수의 시스템이 제안되었습니다.RSA 암호화의 가장 일반적인 표준은 Optimal Asymmetric Encryption Padding(OAEP)입니다.PKCS#1의 초기 버전에서 사용된 패딩과 같은 즉흥적인 스킴과는 달리 OAEP는 랜덤 오라클 모델에서 안전한 것으로 증명되었습니다.OAEP는 1998년에 현재는 권장되고 있는 인코딩 스킴으로 PKCS#1에 포함되어 있습니다.구형 스킴은 아직 지원되지만 새로운 [4]애플리케이션에서는 권장되지 않습니다.그러나 보안의 황금 표준은 랜덤 오라클 [5]이상화에 의존하지 않고 시스템의 안전성을 보여주는 것입니다.

수학적 모형

복잡성 이론 암호학에서는 적응형 선택 암호문 공격에 대한 보안은 일반적으로 암호문 구별 불가능(IND-CCA2)을 사용하여 모델링됩니다.

레퍼런스

  1. ^ Bleichenbacher, Daniel (August 23–27, 1998). Chosen Ciphertext Attacks Against Protocols Based on the RSA Encryption Standard PKCS #1 (PDF). CRYPTO '98. Santa Barbara, California: Springer Berlin Heidelberg. pp. 1–12. doi:10.1007/BFb0055716. ISBN 978-3-540-64892-5.
  2. ^ Hanno Böck; Juraj Somorovsky; Craig Young. "ROBOT attack". Retrieved February 27, 2018.
  3. ^ Fujisaki, Eiichiro; Okamoto, Tatsuaki; Pointcheval, David; Stern, Jacques (2004). "RSA-OAEP Is Secure under the RSA Assumption" (PDF). Journal of Cryptology. 17 (2): 81–104. CiteSeerX 10.1.1.11.7519. doi:10.1007/s00145-002-0204-y. Retrieved 2009-01-12.
  4. ^ Kaliski, B.; Staddon, J. (October 1998). PKCS #1: RSA Cryptography Specifications Version 2.0. IETF. doi:10.17487/RFC2437. RFC 2437. Retrieved February 20, 2019.
  5. ^ Katz, Jonathan; Lindell, Yehuda (2015). Introduction to Modern Cryptography (2 ed.). Boca Raton: Chapman & Hall/CRC. pp. 174–175, 179–181. ISBN 978-1-4665-7027-6.