Seçilmiş şifreli metin saldırısı

Seçilmiş şifreli metin saldırısı (CCA, Chosen-ciphertext attack), kriptanalistin seçilen şifrelerin şifresini çözerek bilgi toplayabileceği kriptanaliz için bir saldırı modelidir. Bu bilgi parçalarından, saldırgan, şifre çözmek için kullanılan örtülü-gizli anahtarı kurtarmaya çalışabilir.

Seçilmiş şifreli metin saldırılarına karşı resmî güvenlik tanımları için örneğin bkz. Michael Luby^[1] ve Mihir Bellare ve diğ.^[2]

Giriş[değiştir | kaynağı değiştir]

Seçilmiş şifreli metin saldırısı altında bir dizi güvenli düzen mağlup edilebilir. Örneğin, El Gamal şifreleme sistemi anlamsal olarak seçilmiş düz metin saldırısı altında güvenlidir, ancak bu anlamsal güvenlik bir seçilmiş şifreli saldırı altında önemsiz bir şekilde bozguna uğratılabilir. SSL protokolünde kullanılan RSA dolgusunun ilk sürümleri, SSL oturum anahtarlarını ortaya çıkaran karmaşık bir uyarlanabilir seçilmiş şifreli metin saldırısına karşı savunmasızdı. Seçilmiş şifreli metin saldırılarının, bazı kendi kendini eşanlılandıran akış şifreleri için de etkileri vardır. Kurcalamaya dayanıklı kriptografik akıllı kartların tasarımcıları, bu saldırıların özellikle farkında olmalıdır, çünkü bu cihazlar, örtülü gizli anahtarı kurtarmak için çok sayıda seçilmiş şifreli metin yayınlayabilen bir saldırganın kontrolü altında olabilir.

Moni Naor ve Moti Yung'un 1990'da yaptığı ve bütünlük kanıtı olan, ikili şifreleme kipi öneren bir ilk atılım çalışmasına kadar (şimdi "Naor-Yung" şifreleme paradigması/yaklaşımı olarak bilinir), açık anahtarlı şifreleme sistemlerinin seçilmiş şifreli metin saldırılarına dayanıp dayanamayacağı belirsizdi.^[3] Bu çalışma, seçilmiş şifreli metin saldırısına karşı güvenlik kavramının eskisinden çok daha net anlaşılmasını sağlamış ve saldırının değişkenlerine karşı çeşitli korumalara sahip sistemler oluşturmanın araştırma yönünü açmıştır.

Bir şifreleme sistemi, seçilmiş şifreli saldırıya karşı savunmasız olduğunda, uygulayıcılar, bir saldırganın seçili şifreleme metinlerini çözebileceği durumlardan kaçınmak için dikkatli olmalıdır (diğer bir deyişle bir şifre çözme kahini sağlamaktan kaçınmalıdır). Kısmen seçili şifreleme metinleri bile incelikli saldırılara izin verebileceğinden, bu göründüğünden daha zor olabilir. Ayrıca, başka sorunlar da vardır ve bazı şifreleme sistemleri (RSA gibi) iletileri imzalamak ve bunların şifresini çözmek için aynı düzeneği kullanır. Bu, imzalanacak iletide özet (hashing) kullanılmadığında saldırılara izin verir. Daha iyi bir yaklaşım (diğerlerinin yanı sıra), seçilen şifreli metin saldırısı altında rassal kahin sezgisel tarama altında güvenli RSA-OAEP dâhil, güvenli olan ilk ortak anahtar uygulamalı sistem olan Cramer-Shoup dâhil seçilmiş şifreli metin saldırısı altında kanıtlanabilir şekilde güvenli olan bir şifreleme sistemi kullanmaktır. Simetrik/bakışımlı şifreleme şemaları için, ilk olarak Jonathan Katz ve Moti Yung tarafından gösterildiği gibi, simetrik şifrelemeye dayanan bir ilkel olan doğrulanmış şifrelemenin, seçilmiş şifreli metin saldırılarına karşı güvenlik sağladığı bilinmektedir.^[4]

Çeşitler[değiştir | kaynağı değiştir]

Seçilmiş şifreli metin saldırıları, diğer saldırılar gibi, uyarlanabilir (adaptive) veya uyarlanamaz (non-adaptive) olabilir. Uyarlanabilir seçilmiş şifreli metin saldırısında, saldırgan, önceki şifre çözme sonuçlarını, hangi şifre çözme yönteminin şifresini çözdüğüne dair seçimlerini bildirmek için kullanabilir. Uyarlanabilir olmayan (non-adaptive) bir saldırıda, saldırgan, ortaya çıkan düz metinlerin hiçbirini görmeden şifresi çözülecek şifreli metinleri seçer. Düz metinleri gördükten sonra, saldırgan artık ek şifreli metinlerin şifresini çözemez.

Lunchtime saldırıları[değiştir | kaynağı değiştir]

Seçilmiş şifreli metin saldırısının özel olarak not edilen bir çeşidi, bir saldırganın uyarlanmış seçili şifreli metin sorguları yapabileceği ancak sisteme saldırmak için bazı gelişmiş yetenekler gösterir, yalnızca belirli bir noktaya kadar saldırganın yapması gereken "lunchtime" (öğle vakti), "midnight" (gece yarısı) veya "indifferent" (kayıtsız) türünde saldırılardır.^[5] "Lunchtime saldırısı" terimi, bir kullanıcının bilgisayarının şifresinin çözülme olasılığının bulunduğu ve kullanıcının öğle yemeğine çıktığı sırada bir saldırgan tarafından bu olasılığın kullanılabileceği düşüncesini ifade eder. Saldırının bu biçimi yaygın olarak tartışılan ilk konu oldu: açıkçası, saldırgan uyarlanabilir seçili şifreleme sorguları yapma yeteneğine sahipse, hiçbir şifreli ileti, en azından bu yetenek elinden alınana kadar güvenli olmayacaktır. Bu tür saldırıya bazen "uyarlanabilir olmayan seçilmiş şifreli metin saldırısı" denir; burada "uyarlanabilir olmayan" söylemi, saldırganın, seçili şifreleme sorgusunun süresi dolduktan sonra verilen meydan okumaya yanıt olarak sorgularını uyarlayamayacağı gerçeğini belirtir.

Uyarlanabilir seçilmiş şifreli metin saldırısı[değiştir | kaynağı değiştir]

Bir (tam) uyarlanabilir seçilmiş şifreli metin saldırısı, saldırgana yalnızca meydan okuma şifresinin kendisinin sorgulanmayacağı şartı ile bir meydan okuma şifresinin verilmesinden önce ve sonra şifrelerin uyarlanabilir bir şekilde seçilebileceği bir saldırıdır. Bu, lunchtime (öğle vakti) saldırısından daha güçlü bir saldırı kavramıdır ve CCA1 (lunchtime) saldırısına kıyasla genellikle bir CCA2 saldırısı olarak adlandırılır.^[6] Birkaç kullanışlı saldırı bu biçimdedir. Daha doğrusu, bu model seçilen şifreli metin saldırılarına karşı güvenlik kanıtlarında kullanılması açısından önemlidir. Bu biçimdeki saldırıların imkânsız olduğuna dair bir kanıt, herhangi bir gerçekçi seçilmiş şifreli metin saldırısının gerçekleştirilemeyeceğini gösterir.

Kullanışlı bir uyarlanabilir seçilmiş şifreli metin saldırısı, PKCS#1'e karşı yapılan Bleichenbacher saldırısıdır.^[7]

Çok sayıda şifreleme sisteminin, uyarlanabilir seçilmiş şifreli metin saldırılarına karşı güvenli olduğu kanıtlanmıştır; bazılarının bu güvenlik özelliği sadece cebirsel varsayımlara dayanır, bazıları da kusursuzlaştırılmış rassal kahin varsayımı gerektirir. Örneğin, Cramer-Shoup sistemi^[5] sayı teorik varsayımlarına dayanarak güvenlidir ve kusursuzlaştırılma yoktur ve bir dizi incelikli soruşturmadan sonra, RSA-OAEP uygulamasının kusursuzlaştırılmış rassal kahin modelinde RSA varsayımı altında güvenli olduğu da tespit edilmiştir.^[8]

Ayrıca bakınız[değiştir | kaynağı değiştir]

Dancing on the Lip of the Volcano: Chosen Ciphertext Attacks on Apple iMessage 6 Aralık 2021 tarihinde Wayback Machine sitesinde arşivlendi. [tr: Volkanın Dudaklarında Dans Etme: Apple iMessage'da Seçilmiş Şifreli Metin Saldırıları] (Usenix 2016) (PDF)

Kaynakça[değiştir | kaynağı değiştir]

^ Luby, Michael (1996). Pseudorandomness and Cryptographic Applications [Sözde Rastgelelik ve Kriptografik Uygulamalar] (İngilizce). Princeton Üniversitesi Basımları.
^ Bellare, M.; Desai, A.; Jokipii, E.; Rogaway, P. (1997). A concrete security treatment of symmetric encryption. Proceedings 38th Annual Symposium on Foundations of Computer Science. ss. 394-403.
^ Naor, Moni; Yung, Moti (1990), "Public-key cryptosystems provably secure against chosen ciphertext attacks", Proceedings 21st Annual ACM Symposium on Theory of Computing, ss. 427-437
^ Katz ve, Jonathan; Yung, Moti, Unforgeable Encryption and Chosen Ciphertext Secure Modes of Operation, FSE 2000, ss. 284-299
^ ^a ^b Cramer, Ronald; Shoup, Victor (1998). "A Practical Public Key Cryptosystem Provably Secure against Adaptive Chosen Ciphertext Attack". in Advances in Cryptology -- CRYPTO'98 proceedings (makale). Santa Barbara, Kaliforniya. ss. 13-25.
^ Bellare, Mihir; Desai, Anand; Pointcheval, David; Rogaway, Phillip, "Relations among Notions of Security for Public-Key Encryption Schemes", in Advances in Cryptology -- CRYPTO'98, Santa Barbara, Kaliforniya, ss. 549-570 ^{[ölü/kırık bağlantı]}
^ Bleichenbacher, D. (1998). "Chosen Ciphertext Attacks against Protocols Based on RSA Encryption Standard PKCS #1". In Advances in Cryptology -- CRYPTO'98, LNCS. ss. 1-12. 15 Ağustos 2000 tarihinde kaynağından arşivlendi.
^ Bellare, M.; Rogaway, P. (1995). Santis, A. De (Ed.). "Optimal Asymmetric Encryption -- How to encrypt with RSA extended abstract in Advances in Cryptology" (PDF). Eurocrypt'94 Proceedings, Lecture Notes in Computer Science;. Springer-Verlag. 18 Ağustos 2000 tarihinde kaynağından (PDF) arşivlendi.

[1] Luby, Michael (1996). Pseudorandomness and Cryptographic Applications [Sözde Rastgelelik ve Kriptografik Uygulamalar] (İngilizce). Princeton Üniversitesi Basımları.

[2] Bellare, M.; Desai, A.; Jokipii, E.; Rogaway, P. (1997). A concrete security treatment of symmetric encryption. Proceedings 38th Annual Symposium on Foundations of Computer Science. ss. 394-403.

[3] Naor, Moni; Yung, Moti (1990), "Public-key cryptosystems provably secure against chosen ciphertext attacks", Proceedings 21st Annual ACM Symposium on Theory of Computing, ss. 427-437

[4] Katz ve, Jonathan; Yung, Moti, Unforgeable Encryption and Chosen Ciphertext Secure Modes of Operation, FSE 2000, ss. 284-299

[CRYPTO'98_proceedings-5] Cramer, Ronald; Shoup, Victor (1998). "A Practical Public Key Cryptosystem Provably Secure against Adaptive Chosen Ciphertext Attack". in Advances in Cryptology -- CRYPTO'98 proceedings (makale). Santa Barbara, Kaliforniya. ss. 13-25.

[6] Bellare, Mihir; Desai, Anand; Pointcheval, David; Rogaway, Phillip, "Relations among Notions of Security for Public-Key Encryption Schemes", in Advances in Cryptology -- CRYPTO'98, Santa Barbara, Kaliforniya, ss. 549-570 ^{[ölü/kırık bağlantı]}

[7] Bleichenbacher, D. (1998). "Chosen Ciphertext Attacks against Protocols Based on RSA Encryption Standard PKCS #1". In Advances in Cryptology -- CRYPTO'98, LNCS. ss. 1-12. 15 Ağustos 2000 tarihinde kaynağından arşivlendi.

[8] Bellare, M.; Rogaway, P. (1995). Santis, A. De (Ed.). "Optimal Asymmetric Encryption -- How to encrypt with RSA extended abstract in Advances in Cryptology" (PDF). Eurocrypt'94 Proceedings, Lecture Notes in Computer Science;. Springer-Verlag. 18 Ağustos 2000 tarihinde kaynağından (PDF) arşivlendi.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]