选择密码文本攻击(CCA)是一种密码分析的攻击模式,其中密码分析者通过选择一个密码文本并在一个未知的密钥下获得其解密,至少部分地收集信息。
当一个密码系统容易受到选择的密码文本攻击时,实施者必须注意避免攻击者可能能够解密选择的密码文本的情况(即避免提供解密方案)。这可能比它看起来更困难,因为即使是部分选择的密码文本也可以允许微妙的攻击。此外,一些密码系统(如RSA)使用相同的机制来签署信息和解密它们。当对要签署的信息不使用散列法时,这允许攻击。一个更好的方法是使用一个在选择密码文本攻击下被证明是安全的密码系统,包括(除其他外)RSA-OAEP、Cramer-Shoup和许多形式的验证对称加密。
选择的密码文本攻击,像其他攻击一样,可能是适应性的或非适应性的。在非适应性攻击中,攻击者事先选择要解密的一个或多个密码文本,并且不使用所产生的明文来告知他们对更多密码文本的选择。在自适应选择的密码文本攻击中,攻击者自适应地选择密码文本,也就是说,取决于先前解密的结果。
选择密码文本攻击的一个特别注意的变体是 "午餐时间 "或 "午夜 "攻击,在这种攻击中,攻击者可以进行适应性的选择密码文本查询,但只到某一时刻,之后攻击者必须展示一些改进的能力来攻击系统。术语 "午餐时间攻击 "指的是,当用户外出吃午饭时,攻击者可以使用具有解密能力的用户计算机。这种形式的攻击是通常讨论的第一种形式:显然,如果攻击者有能力进行适应性选择的密码文本查询,没有任何加密信息是安全的,至少在这种能力被剥夺之前。这种攻击有时被称为 "非适应性选择密码文本攻击";在这里,"非适应性 "是指攻击者不能适应他们的查询,以应对挑战,这是在选择密码文本查询的能力过期后给出的。
许多具有实际意义的选择密码文本攻击是午餐时间的攻击,包括,例如,贝尔实验室的Daniel Bleichenbacher展示了对使用PKCS#1的系统的实际攻击;由RSA安全公司发明并发布。
一个(完全)自适应的选择密码文攻击是一种攻击,其中密码文可以在挑战密码文给攻击者之前和之后自适应地选择,有一个条件是挑战密码文本身不能被查询。这是一个比午餐时间攻击更强大的攻击概念,与CCA1(午餐时间)攻击相比,通常被称为CCA2攻击。很少有实际的攻击是这种形式的。相反,这个模型很重要,因为它被用于证明对选择密码攻击的安全性。证明这个模型中的攻击是不可能的,意味着任何实际的选择密码文本攻击都不能被执行。
被证明对自适应选择密码文本攻击安全的密码系统包括Cramer-Shoup系统和RSA-OAEP。
问:什么是选择密码文本攻击?
答:选择的密码文本攻击(CCA)是一种密码分析的攻击模式,其中密码分析者通过选择一个密码文本并在一个未知的密钥下获得其解密,至少部分地收集信息。
问:为什么实施者必须小心翼翼地避免攻击者可能能够解密所选择的密码文本的情况?
答:当一个密码系统容易受到选择的密码文本攻击时,实施者必须小心避免攻击者可能能够解密选择的密码文本的情况(即避免提供解密方案),因为即使是部分选择的密码文本也可以允许微妙的攻击。
问:当对要签名的信息不使用散列法时,哪些密码系统容易受到攻击?
答:一些密码系统(如RSA)使用相同的机制来签署信息和解密它们。这允许在未对要签署的信息使用散列法时进行攻击。
问:在选择密码文攻击模式下,什么是更好的方法来避免攻击?
答:更好的方法是使用在选择密码文本攻击下被证明是安全的密码系统,包括(除其他外)RSA-OAEP、Cramer-Shoup和许多形式的认证对称加密法。
问:RSA-OAEP代表什么?
答:RSA-OAEP是指RSA最佳非对称加密填充。
问:密码系统容易受到选择密码文攻击的后果之一是什么?
答:密码系统容易受到选择密码文本攻击的后果之一是,实施者必须注意避免攻击者可能能够解密选择的密码文本的情况(即避免提供解密方案)。
问:部分选择的密码文可以允许什么类型的攻击?
答:部分选择的密码文可以允许微妙的攻击。