Виды атак на симметричные и асимметричные шифрсистемы

В научных изданиях достаточно полно описаны возможные виды атак на системы шифрования и ЭЦП, а виды угроз – в большей степени для систем ЭЦП и, в меньшей степени, для систем шифрования.

Для уяснения проблемы рассмотрим атаки на симметричные криптосистемы (с использованием секретных ключей):

Атака на основе известных шифртекстов (ciphertext-only attack). Предполагается, что в этом случае злоумышленнику известен алгоритм шифрования и в его распоряжении имеется некоторое множество перехваченных сообщений (криптограмм) {C_i, i=1,2,…}, но не известен секретный ключ.

По исходным условиям данная атака является самой слабой из всех возможных. Многие современные криптосистемы успешно противостоят подобным атакам.

В случае атаки на основе известных открытых текстов (known-plaintext attack) дополнительно к условиям предыдущей атаки предполагается наличие у злоумышленника множества пар криптограмм и соответствующих им открытых текстов {(C_i,M_i): E_k(M_i)=C_i}.

Эффективность данной атаки такова, что ряд поточных шифров, в том числе построенных на регистрах сдвига с линейными обратными связями, оказывается нестойкими.

При исследовании простой атаки с выбором открытых текстов (chosen-plaintext attack). Здесь злоумышленник имеет возможность выбрать необходимое количество открытых текстов {C_i, i=1,2,…} и получить соответствующие им шифртексты {C_i: E_k(M_i)=C_i}. Эту атаку часто называют "полуночной" или "обеденной" (midnight attack или coffee-break attack), что соответствует ситуации, когда оператор бесконтрольно оставил средство КЗИ в рабочем состоянии и им воспользовался злоумышленник. Хотя секретный ключ ему недоступен, злоумышленник может зашифровать подготовленные им открытые тексты, что дает ему дополнительную для криптоанализа системы информацию.

Адаптивная атака с выбором открытого текста. В условиях предыдущей атаки злоумышленник имеет возможность выбора очередного открытого текста на основе знания криптограмм, соответствующих предыдущим открытым текстам.

Простая атака с выбором шифртекста (chosen-ciphertext attack). Злоумышленник имеет возможность выбрать необходимое количество криптограмм и получить соответствующие им открытые тексты. При этом все криптограммы должны быть выбраны заранее, т. е., до получения первого открытого текста.

Адаптивная атака с выбором шифртекста. В условиях предыдущей атаки злоумышленник, выбирая очередную криптограмму, уже знает открытые тексты, соответствующие всем предыдущим.

Атака с выбором текста (chosen-text attack). Злоумышленник имеет возможность атаковать криптосистему с двух сторон, т. е., выбирать как криптограммы (и расшифровывать их), так и открытые тексты (и зашифровывать их). Атака с выбором текста может быть простой, адаптивной, а также простой "с одного конца" и адаптивной с другого.

Атаки перечислены в порядке возрастания их силы, т. е., атака с выбором текста является самой сильной из перечисленных.

Для асимметричных криптосистем (с открытым ключом) классификация атак аналогична.

Следует иметь ввиду, что в этом случае злоумышленник всегда знает криптосистему и открытый ключ, а адаптивная атака с выбором открытого текста является самой слабой из возможных атак на криптосистемы с открытым ключом ‑ злоумышленник всегда имеет возможность провести такую атаку.

Кроме того, существуют атаки, специфические для криптосистем с открытым ключом. Например, если число возможных открытых текстов невелико, то злоумышленник, зная открытый ключ, может заранее заготовить достаточное количество криптограмм и затем, сравнивая эти "заготовки" с перехваченными криптограммами, с высокой вероятностью получать соответствующие открытые тексты. Такая атака называется атакой с проверкой текста (verifiable-text attack).

Типы угроз не имеют столь четкой классификации как типы атак. В литературе зачастую наблюдается следующая ситуация: дается достаточно точное определение типа атаки, относительно которой рассматривается стойкость криптосистемы, но ничего не говорится о том, что понимается под раскрытием криптосистемы, т.е., в чем состоит задача злоумышленника. Выделим следующие типы угроз (перечислены в порядке усиления).

Частичное раскрытие. Злоумышленник в результате атаки получает частичную информацию о секретном ключе или об открытом тексте. Хотя такая угроза довольно часто обсуждается в литературе, в общем случае дальше словесных формулировок дело не идет. Причина, по-видимому, в том, что само понятие частичной информации весьма расплывчато и может быть уточнено множеством различных способов. Угроза частичного раскрытия формализована лишь для абсолютно стойких в шенноновском смысле криптосистем и криптосистем вероятностного шифрования.

Раскрытие текста. В результате проведенной атаки злоумышленник полностью восстанавливает открытый текст, соответствующий перехваченной криптограмме. Обычно предполагается, что открытый текст выбирается наудачу из некоторого множества открытых текстов, а восстановление открытого текста по криптограмме составляет угрозу для безопасности, если вероятность такого восстановления не является в некотором смысле "пренебрежимо малой".

Полное раскрытие. В результате проведенной атаки злоумышленник вычисляет секретный ключ криптосистемы, либо находит алгоритм, функционально эквивалентный алгоритму расшифрования, и не требующий знания секретного ключа.

Приведем классификацию типов атак на системы ЭЦП, предложенную Голдвассером, Микалли и Ривестом. Атаки перечислены таким образом, что каждая последующая сильнее предыдущей.

Атака на основе известного открытого ключа. Злоумышленник знает только открытый ключ ЭЦП. Это – самая слабая из всех возможных атак. Очевидно, что злоумышленник всегда может провести такую атаку.

Атака на основе известных сообщений. Злоумышленнику известны открытый ключ и некоторый набор подписанных сообщений. При этом злоумышленник не может повлиять на выбор этих сообщений.

Простая атака с выбором сообщений. Злоумышленник имеет возможность выбрать необходимое количество сообщений и получить подписи для них. Предполагается, что эти сообщения выбираются независимо от открытого ключа, например, до того как открытый ключ станет известен.

Направленная атака с выбором сообщений. В условиях предыдущей атаки злоумышленник, выбирая сообщения, уже знает открытый ключ.

Адаптивная атака с выбором сообщений. Дополнительно к предыдущему случаю злоумышленник, зная на каждом шаге открытый ключ и подписи для всех ранее выбранных сообщений, последовательно выбирает новые сообщения.

Угрозами для схемы электронной подписи являются раскрытие схемы или подделка подписи. Голдвассер, Микалли и Ривест уточняют понятие угрозы, определяя следующие типы угроз (перечислены в порядке усиления).

Экзистенциальная подделка имеет целью подделку подписи хотя бы для одного сообщения, которое не было подписано во время атаки. Злоумышленник не контролирует выбор этого сообщения. Оно может оказаться случайным или бессмысленным.

Селективная подделка. Подделка подписи для сообщения, выбранного злоумышленником. При этом предполагается, что это сообщение выбирается априори (до начала атаки) и что, если злоумышленник проводит атаку с выбором сообщений, то сообщение, для которого требуется подделать подпись, не может входить в число выбираемых во время атаки.

Универсальная подделка. Злоумышленник находит алгоритм, функционально эквивалентный алгоритму вычисления подписи и не требующий знания секретного ключа.

Полное раскрытие предполагает нахождение секретного ключа.

Как было отмечено выше, стойкость схемы определяется относительно пары (тип атаки, тип угрозы). Схема считается нестойкой против данной угрозы, если существует метод ее осуществления с вероятностью, которая не может рассматриваться как пренебрежимо малая.

Системы ЭЦП теоретически уязвимы (дешифруемы), так как их практическая стойкость базируется на вычислительной сложности решения некоторых математических задач (разложение чисел на простые множители ‑ факторизация, нахождение дискретного логарифма в конечных полях) и высокой стоимости средств или ресурсов, необходимых для их решения.

Нужно иметь в виду тот факт, что практическая стойкость системы должна быть соизмерима с возможными рисками для информации, характеризующими последствия успешного "взлома".

Безусловно, не имеет смысла тратить время и средства на дешифрование, если совокупные доходы (могут измеряться в различных единицах, в зависимости от области применения криптосистемы) от успешного "взлома" существенно ниже стоимости затрат на криптоанализ.