Attaque par texte choisi (CCA)
Une attaque par texte choisi (CCA) est un modèle d'attaque pour la cryptanalyse dans lequel le cryptanalyste recueille des informations, au moins en partie, en choisissant un texte chiffré et en obtenant son décryptage sous une clé inconnue.
Lorsqu'un système de cryptographie est susceptible d'être attaqué par un texte chiffré choisi, les responsables de la mise en œuvre doivent veiller à éviter les situations dans lesquelles un attaquant pourrait être en mesure de déchiffrer des textes chiffrés choisis (c'est-à-dire éviter de fournir un schéma de déchiffrement). Cela peut être plus difficile qu'il n'y paraît, car même des cryptogrammes partiellement choisis peuvent permettre des attaques subtiles. En outre, certains systèmes de cryptographie (comme le RSA) utilisent le même mécanisme pour signer les messages et les décrypter. Cela permet des attaques lorsque le hachage n'est pas utilisé sur le message à signer. Une meilleure approche consiste à utiliser un cryptosystème dont la sécurité est prouvée dans le cadre d'une attaque par un texte choisi, y compris (entre autres) RSA-OAEP, Cramer-Shoup et de nombreuses formes de cryptage symétrique authentifié.
Variétés d'attaques de texte choisi
Les attaques de texte choisi, comme les autres attaques, peuvent être adaptatives ou non. Dans une attaque non adaptative, l'attaquant choisit le ou les cryptogrammes à décrypter à l'avance, et n'utilise pas les clairs-obscurs qui en résultent pour informer son choix d'autres cryptogrammes. Dans une attaque adaptative à choix de texte chiffré, l'attaquant fait ses choix de texte chiffré de manière adaptative, c'est-à-dire en fonction du résultat des décryptages préalables.
Attaques à l'heure du déjeuner
Une variante particulièrement remarquable de l'attaque en texte choisi est l'attaque "à l'heure du déjeuner" ou "à minuit", dans laquelle un attaquant peut effectuer des requêtes adaptatives en texte choisi, mais seulement jusqu'à un certain point, après quoi l'attaquant doit démontrer une certaine amélioration de sa capacité à attaquer le système. Le terme "attaque à l'heure du déjeuner" fait référence à l'idée que l'ordinateur d'un utilisateur, avec la capacité de décrypter, est à la disposition d'un attaquant pendant que l'utilisateur est en train de déjeuner. Cette forme d'attaque a été la première à être communément discutée : évidemment, si l'attaquant a la capacité de faire des requêtes adaptatives de texte chiffré choisi, aucun message chiffré ne serait sûr, du moins jusqu'à ce que cette capacité lui soit retirée. Cette attaque est parfois appelée "attaque non adaptative à base de texte chiffré choisi" ; ici, "non adaptative" fait référence au fait que l'attaquant ne peut pas adapter ses requêtes en réponse au défi, qui est donné après que la capacité de faire des requêtes à base de texte chiffré choisi a expiré.
De nombreuses attaques de texte choisi d'importance pratique sont des attaques de type "lunchtime", comme par exemple lorsque Daniel Bleichenbacher des laboratoires Bell a démontré une attaque pratique contre les systèmes utilisant le PKCS#1 ; inventé et publié par RSA Security.
Attaque adaptative en texte choisi
Une attaque adaptative (complète) de texte choisi est une attaque dans laquelle les cryptogrammes peuvent être choisis de manière adaptative avant et après qu'un cryptogramme de défiance ait été donné à l'attaquant, à UNE condition que le cryptogramme de défiance ne puisse pas être lui-même interrogé. Il s'agit d'une notion d'attaque plus forte que l'attaque de midi, et elle est communément appelée attaque CCA2, par rapport à une attaque CCA1 (de midi). Peu d'attaques pratiques sont de cette forme. Ce modèle est plutôt important pour son utilisation dans les preuves de sécurité contre les attaques en texte chiffré choisi. La preuve que les attaques de ce modèle sont impossibles implique qu'aucune attaque pratique en texte choisi ne peut être réalisée.
Parmi les cryptosystèmes qui ont fait leurs preuves contre les attaques adaptatives de texte choisi, on peut citer le système Cramer-Shoup et le RSA-OAEP.
Pages connexes
- Attaque en texte chiffré uniquement
- L'attaque au texte choisi
- Attaque à l'aide d'un texte connu
Questions et réponses
Q : Qu'est-ce qu'une attaque par texte chiffré choisi ?
R : Une attaque par texte chiffré choisi (CCA) est un modèle d'attaque pour la cryptanalyse dans lequel le cryptanalyste recueille des informations, au moins en partie, en choisissant un texte chiffré et en obtenant son déchiffrement sous une clé inconnue.
Q : Pourquoi les responsables de la mise en œuvre doivent-ils veiller à éviter les situations dans lesquelles des attaquants pourraient être en mesure de décrypter des textes chiffrés choisis ?
R : Lorsqu'un système de cryptographie est susceptible d'être attaqué par un texte chiffré choisi, les responsables de la mise en œuvre doivent veiller à éviter les situations dans lesquelles les attaquants pourraient être en mesure de déchiffrer des textes chiffrés choisis (c'est-à-dire éviter de fournir un schéma de déchiffrement), étant donné que même des textes chiffrés partiellement choisis peuvent permettre des attaques subtiles.
Q : Quels sont les cryptosystèmes vulnérables aux attaques lorsque le hachage n'est pas utilisé pour le message à signer ?
R : Certains systèmes de cryptographie (tels que RSA) utilisent le même mécanisme pour signer les messages et les déchiffrer. Cela permet des attaques lorsque le hachage n'est pas utilisé pour le message à signer.
Q : Quelle est la meilleure approche pour éviter les attaques dans le cadre d'un modèle d'attaque par texte chiffré choisi ?
R : La meilleure approche consiste à utiliser un système de cryptographie dont la sécurité est prouvée en cas d'attaque par texte choisi, y compris (entre autres) RSA-OAEP, Cramer-Shoup et de nombreuses formes de cryptage symétrique authentifié.
Q : Que signifie RSA-OAEP ?
R : RSA-OAEP signifie RSA Optimal Asymmetric Encryption Padding.
Q : Quelle est l'une des conséquences de la vulnérabilité d'un système de cryptographie à une attaque par texte choisi ?
R : L'une des conséquences de la vulnérabilité d'un système de cryptographie à une attaque par texte chiffré choisi est que les responsables de la mise en œuvre doivent veiller à éviter les situations dans lesquelles les attaquants pourraient être en mesure de déchiffrer des textes chiffrés choisis (c'est-à-dire éviter de fournir un schéma de déchiffrement).
Q : Quels types d'attaques les cryptogrammes partiellement choisis peuvent-ils permettre ?
R : Les cryptogrammes partiellement choisis peuvent permettre des attaques subtiles.
