Usuario:Xacaranda/Taller

En el criptoanálisis, un ataque de texto en claro escogido^[1] es un tipo de ataque criptográfico en el cual se asume que el atacante es capaz de obtener el texto cifrado correspondiente de cualquier texto deseado.^[2] El ataque tiene como objetivo adquirir información que reduzca la seguridad del esquema de cifrado.^[3]

Los algoritmos de cifrado modernos buscan garantizar la seguridad semántica, y por lo tanto, generalmente son inmunes a este tipo de ataque por diseño, siempre y cuando la implementación del algoritmo sea correcta.

Introducción[editar]

En este tipo de ataque, el adversario puede (posiblemente mediante un algoritmo adaptivo) obtener los textos cifrados de cualquier texto en claro deseado. This is formalized by allowing the adversary el interactuar con un oracle, el cual es representado como una caja negra. El atacante busca revelar, parcial o totalmente, la llave de cifrado secreta.

En la práctica, puede parecer inmanejable el que un atacante pueda obtener textos cifrados para textos en claros específicos. Sin embargo, la criptografía moderna se implementa en el software y hardware, y se usa para un gran número de aplicaciones; en numerosos casos, una ataque de texto en claro elegido puede ser muy viable (ver también en la práctica). Este tipo de ataques son de gran importancia en el contexto de la criptografía de llave pública, en la cual la llave de cifrado es pública (lo cual le permite el adversario encriptar cualquier texto que este desée).

Modalidades[editar]

Este ataque tiene dos modalidades:

ataque de texto claro escogido en serie: el adversario elige todos los textos en claro antes de ver los textos cifrados resultantes. Es frecuente que esto sea lo que significa "ataque en texto en claro escogido" si no se es específico.
ataque de texto claro escogido adaptivo (CPA2 por sus siglas en inglés): el adversario puede obtener los textos cifrados de textos en claros adicionales después de ver los textos cifrados correspondientes a a algunos textos en claro.

Método general[editar]

A general batch chosen-plaintext attack is carried out as follows Plantilla:Failed verification:

The attacker may choose n plaintexts. (This parameter n is specified as part of the attack model, it may or may not be bounded.)
The attacker then sends these n plaintexts to the encryption oracle.
The encryption oracle will then encrypt the attacker's plaintexts and send them back to the attacker.
The attacker receives n ciphertexts back from the oracle, in such a way that the attacker knows which ciphertext corresponds to each plaintext.
Based on the plaintext–ciphertext pairs, the attacker can attempt to extract the key used by the oracle to encode the plaintexts. Since the attacker in this type of attack is free to craft the plaintext to match his needs, the attack complexity may be reduced.

Consider the following extension of the above situation. After the last step,

The adversary outputs two plaintexts m₀ and m₁.
A bit b is chosen uniformly at random $b\leftarrow \{0,1\}$ .
The adversary receives the encryption of m_b, and attempts to "guess" which plaintext it received, and outputs a bit b'.

A cipher has indistinguishable encryptions under a chosen-plaintext attack if after running the above experiment with n=1 Plantilla:Failed verification the adversary can't guess correctly (b=b') with probability non-negligibly better than 1/2.^[4]

Ejemplos[editar]

Los siguientes ejemplos sirven para demostrar que existen ciertos algoritmos de cifrado que, a pesar de cumplir con otros criterios de seguridad, pueden ser rotos mediante un ataque de texto en claro escogido.

Cifrado de César[editar]

El siguiente ataque hacia el cifrado de César permite recuperar por completo la llave secreta:

Suponga que el adversario envía el mensaje: Ataque al amanecer,
el oráculo responde con Nggnpx ng qnja.
El adversario puede recuperar la llave de la misma manera que un cifrado de César. El adversario puede deducir las sustituciones A → N, T → G, y así sucesivamente. Esto haría que el adversario concluya que la llave usada es 13.

Al lidiar con metodologías de cifrado más complejas o complicadas, el método de descifrado se ralentiza. Sin embargo, el concepto fundamental empleado sigue siendo relativamente igual.

Libreta de un solo uso[editar]

El siguiente ataque va dirigido a una libreta de un solo uso, y permite allows obtener la llave completa. Suponga que la longitud del mensaje y la longitud de la llave son igual a n.

El adversario envía una cadena de caracteres que contiene n ceros al oráculo.
El orácula, en respuesta, envía una cadena que es el resultado de aplicar una operación XOR o bitwise a la cadena de ceros (utilizando la llave).
El mensaje que envía (nuevamente) el oráculo es la llave secreta.

Esta vulnerabilidad puede no ser aplicable en todos las implementaciones prácticas. La libreta de un solo uso puede seguir siendo segura siempre y cuando no se reutilice la llave (de ahí el término «de un solo uso»).

En la práctica[editar]

In World War II US Navy cryptanalysts discovered that Japan was planning to attack a location referred to as "AF". They believed that "AF" might be Midway Island, because other locations in the Hawaiian Islands had codewords that began with "A". To prove their hypothesis that "AF" corresponded to "Midway Island" they asked the US forces at Midway to send a plaintext message about low supplies. The Japanese intercepted the message and immediately reported to their superiors that "AF" was low on water, confirming the Navy's hypothesis and allowing them to position their force to win the battle.^[4]^[5]

In modern day, chosen-plaintext attacks (CPAs) are often used to break symmetric ciphers. To be considered CPA-secure, the symmetric cipher must not be vulnerable to chosen-plaintext attacks. Thus, it is important for symmetric cipher implementors to understand how an attacker would attempt to break their cipher and make relevant improvements.

For some chosen-plaintext attacks, only a small part of the plaintext may need to be chosen by the attacker; such attacks are known as plaintext injection attacks.

Relation to other attacks[editar]

A chosen-plaintext attack is more powerful than known-plaintext attack, because the attacker can directly target specific terms or patterns without having to wait for these to appear naturally, allowing faster gathering of data relevant to cryptanalysis. Therefore, any cipher that prevents chosen-plaintext attacks is also secure against known-plaintext and ciphertext-only attacks.

However, a chosen-plaintext attack is less powerful than a chosen-ciphertext attack, where the attacker can obtain the plaintexts of arbitrary ciphertexts. A CCA-attacker can sometimes break a CPA-secure system.^[4] For example, the El Gamal cipher is secure against chosen plaintext attacks, but vulnerable to chosen ciphertext attacks because it is unconditionally malleable.

Referencias[editar]

↑ Capo, Evaristo J. Madarro; Cuellar, Oristela Justiz; Perez, Carlos M. Legon; Gomez, Guillermo Sosa (2016-10). Evaluation of input — output statistical dependence PRNGs by SAC. IEEE. pp. 1-6. ISBN 978-1-5090-5084-0. doi:10.1109/CIMPS.2016.7802810. Consultado el 27 de mayo de 2024.
↑ Ross Anderson, Security Engineering: A Guide to Building Dependable Distributed Systems. Primera edición (2001): http://www.cl.cam.ac.uk/~rja14/book.html
↑ Barrera, John Fredy; Vargas, Carlos; Tebaldi, Myrian; Torroba, Roberto (15 de octubre de 2010). «Chosen-plaintext attack on a joint transform correlator encrypting system». Optics Communications (en inglés) 283 (20): 3917-3921. Bibcode:2010OptCo.283.3917B. ISSN 0030-4018. doi:10.1016/j.optcom.2010.06.009.
↑ ^a ^b ^c Katz, Jonathan; Lindell, Yehuda (2007). Introduction to Modern Cryptography: Principles and Protocols. Boca Raton: Chapman and Hall/CRC. ISBN 978-1584885511. OCLC 893721520.
↑ Weadon, Patrick D. «How Cryptology enabled the United States to turn the tide in the Pacific War.». www.navy.mil. Armada de los Estados Unidos. Archivado desde el original el 31 de enero de 2015. Consultado el 19 de febrero de 2015.

Enlaces externos[editar]

Esta obra contiene una traducción derivada de «Chosen-plaintext attack» de Wikipedia en inglés, concretamente de esta versión del 29 de diciembre de 2023, publicada por sus editores bajo la Licencia de documentación libre de GNU y la Licencia Creative Commons Atribución-CompartirIgual 4.0 Internacional.

{{Control de autoridades}} [[Categoría:Ataques criptográficos]]

[1] Capo, Evaristo J. Madarro; Cuellar, Oristela Justiz; Perez, Carlos M. Legon; Gomez, Guillermo Sosa (2016-10). Evaluation of input — output statistical dependence PRNGs by SAC. IEEE. pp. 1-6. ISBN 978-1-5090-5084-0. doi:10.1109/CIMPS.2016.7802810. Consultado el 27 de mayo de 2024.

[RASE-2] Ross Anderson, Security Engineering: A Guide to Building Dependable Distributed Systems. Primera edición (2001): http://www.cl.cam.ac.uk/~rja14/book.html

[3] Barrera, John Fredy; Vargas, Carlos; Tebaldi, Myrian; Torroba, Roberto (15 de octubre de 2010). «Chosen-plaintext attack on a joint transform correlator encrypting system». Optics Communications (en inglés) 283 (20): 3917-3921. Bibcode:2010OptCo.283.3917B. ISSN 0030-4018. doi:10.1016/j.optcom.2010.06.009.

[modern-4] Katz, Jonathan; Lindell, Yehuda (2007). Introduction to Modern Cryptography: Principles and Protocols. Boca Raton: Chapman and Hall/CRC. ISBN 978-1584885511. OCLC 893721520.

[Navy_Midway-5] Weadon, Patrick D. «How Cryptology enabled the United States to turn the tide in the Pacific War.». www.navy.mil. Armada de los Estados Unidos. Archivado desde el original el 31 de enero de 2015. Consultado el 19 de febrero de 2015.

[1]

[2]

[3]

[4]

[5]