選択された暗号文攻撃(Chosen-Ciphertext Attack: CCA
選択された暗号文攻撃(Chosen-Ciphertext Attack: CCA)とは、暗号解読者が暗号文を選択し、未知の鍵の下でその復号を得ることで、少なくとも部分的には情報を収集するという暗号解読の攻撃モデルである。
暗号システムが選択された暗号文に対する攻撃を受けやすい場合、実装者は、攻撃者が選択された暗号文を復号化できる可能性がある状況を避ける(つまり、復号化スキームを提供しない)ように注意する必要があります。これは、部分的に選択された暗号文であっても微妙な攻撃を可能にするため、見た目よりも難しい場合があります。また、RSA などの一部の暗号システムでは、メッセージの署名と復号化に同じメカニズムを使用しています。このため、署名するメッセージにハッシュが使われていない場合、攻撃が可能になります。より良い方法は、選択された暗号文攻撃に対して証明可能な安全性を持つ暗号システムを使用することです。RSA-OAEP、Cramer-Shoup、および多くの認証済み対称暗号などがあります。
選択された暗号文による攻撃の種類
選択された暗号文を使った攻撃は、他の攻撃と同様に、適応型と非適応型があります。非適応型の攻撃では、攻撃者は事前に復号する暗号文を選択し、その結果得られる平文を利用してさらに暗号文を選択することはありません。適応型選択暗号文攻撃では、攻撃者は暗号文の選択を適応的に行います(つまり、以前の復号化の結果に応じて)。
ランチタイムアタック
選択された暗号文を用いた攻撃の中でも、特に注目されているのが「ランチタイム攻撃」または「ミッドナイト攻撃」です。この攻撃では、攻撃者は適応的な選択された暗号文の問い合わせを行うことができますが、それはある時点までで、その後はシステムを攻撃する能力が向上していることを示さなければなりません。ランチタイムアタック」とは、ユーザーがランチに出かけている間に、復号化機能を持つユーザーのコンピュータが攻撃者に利用されてしまうというものです。明らかに、攻撃者が適応的に選択された暗号文を照会する能力を持っていれば、少なくともその能力が奪われるまでは、どんな暗号化メッセージも安全ではありません。この攻撃は、「非適応型選択暗号文攻撃」と呼ばれることもあります。ここでいう「非適応型」とは、攻撃者が、選択暗号文の問い合わせ能力が失効した後に与えられるチャレンジに応じて、問い合わせを適応できないことを意味しています。
例えば、ベル研究所のDaniel Bleichenbacherは、RSAセキュリティが発明・公開したPKCS#1を使用したシステムに対する実用的な攻撃を実演しましたが、実用上重要な選択暗号文攻撃の多くはランチタイム攻撃です。
適応型選択暗号文攻撃
完全適応型選択暗号文攻撃とは、チャレンジ暗号文が攻撃者に与えられる前と後に、暗号文を適応的に選択することができる攻撃のことで、チャレンジ暗号文自体を照会することができないという条件が付いています。これはランチタイム攻撃よりも強力な攻撃概念であり、CCA1(ランチタイム)攻撃と比較して、一般的にCCA2攻撃と呼ばれています。実際にはこのような形式の攻撃はほとんどありません。むしろ、このモデルは、選択された暗号文攻撃に対する安全性を証明するために重要です。このモデルでの攻撃が不可能であることを証明することは、実用的な選択された暗号文による攻撃が実行できないことを意味します。
適応型選択暗号文攻撃に対して安全であることが証明されている暗号システムには、Cramer-ShoupシステムとRSA-OAEPがあります。
関連ページ
- 暗号文のみの攻撃
- チョーセンプレインテキスト攻撃
- Known-Plaintext攻撃
質問と回答
Q: 選択暗号文攻撃とは何ですか?
A: 選択暗号文攻撃(CCA)とは、暗号解読の攻撃モデルの一つで、暗号解読者が暗号文を選択し、未知の鍵の下でその解読を得ることによって、少なくとも部分的には情報を収集するものである。
Q: なぜ実装者は、攻撃者が選択した暗号文を復号できる可能性がある状況を避けるために注意しなければならないのか?
A: 暗号システムが選択暗号文攻撃に弱い場合、部分的に選択された暗号文でも微妙な攻撃が可能なため、攻撃者が選択暗号文を復号できる可能性がある状況を避ける(復号方式を提供しない)よう、実装者は注意しなければなりません。
Q: 署名するメッセージにハッシュを使用しない場合、どのような暗号方式が攻撃に対して脆弱か?
A: いくつかの暗号方式(RSAなど)は、メッセージの署名と復号に同じ機構を使用しています。このため、署名するメッセージにハッシュを使用しない場合、攻撃を受ける可能性があります。
Q: 選択暗号文攻撃モデルによる攻撃を回避するために、より良い方法は何か?
A: RSA-OAEP、Cramer-Shoup、多くの認証済み対称暗号など、選択暗号文攻撃に対して安全であることが証明されている暗号システムを使用するのがよいでしょう。
Q: RSA-OAEPは何の略か?
A: RSA-OAEPは、RSA Optimal Asymmetric Encryption Paddingの略です。
Q: 暗号システムが選択暗号文攻撃に対して脆弱であることの結果の1つは何ですか?
A: 暗号システムが選択暗号文攻撃に対して脆弱であることの結果の一つは、攻撃者が選択暗号文を復号できる可能性がある状況を避けるために、実装者が注意しなければならないことです(すなわち、復号スキームを提供しないことです)。
Q: 部分的に選択された暗号文はどのような攻撃を許すことができますか?
A: 部分的に選択された暗号文は、微妙な攻撃を可能にすることができます。
