Атака на основі підібраного шифротексту

Атака на основі підібраного шифротексту (англ. Chosen-ciphertext attack) — криптографічна атака, за якої криптоаналітик збирає інформацію про шифр через підбір зашифрованого тексту і отримання відповідного відкритого тексту при невідомому ключі. Як правило, криптоаналітик може скористуватися пристроєм розшифрування один або декілька разів. Використовуючи отримані дані, він може спробувати відновити секретний ключ для розшифрування. Існують шифри для яких подібні атаки можуть виявитися успішними. до них зараховують: Схема Ель-Ґамаля; RSA використовний в протоколі SSL; NTRU. Для захисту використовують шрифти RSA-OAEP і Cramer — Shoup.

Атака на основі підібраного шифротексту може бути адаптивною і неадаптивною.

Атака на основі неадаптивно підібраного шифротексту

При неадаптивній атаці криптоаналітик не використовує висліди попередніх розшифрувань, тобто шифротексти підбираються заздалегідь. Такі атаки називають атаками в обідній час (англ. lunchtime, midnight, indifferent) або CCA1. Термін атака в обідній час відповідає ідеї, що комп'ютер користувача, доступний нападнику лише під час обідньої перерви.

Атака на основі адаптивно підібраного шифротексту

В протилежному випадку криптоаналітик адаптивно підбирає шифротекст, що залежить від вислідів попередніх розшифрувань (CCA2).

Визначення безпеки щодо CCA

 

Нехай ми маємо шифр ${\displaystyle (E,D)}$  на ${\displaystyle (K,M,C)}$ . Існує два експерименти ${\displaystyle b=0,1}$ . Спочатку обирається ключ ${\displaystyle k}$ . Далі супротивник може виконати два типи запитів. Перший, супротивник подає два повідомлення однакової довжини і отримує шифротекст повідомлення відповідно до експерименту. Другий, супротивник подає довільний шифротекст і отримує у відповідь відповідний відкритий текст, але шифротекст не може бути з множини отриманих через запит першого типу.

Метою супротивника є встановлення значення ${\displaystyle b}$ . Отже, якщо він не може відрізнити ці два експерименти, то шифр вважається CCA-безпечним.