Ataque de cifrotexto conhecido

Em criptografia, um ataque de cifrotexto apenas ou ataque de cifrotexto conhecido é um modelo de ataque para criptoanálise no qual presume-se que o adversário tenha acesso a apenas um conjunto de cifrotextos.

O ataque é bem-sucedido se o correspondente purotexto puder ser inferido, ou, ainda melhor, se a chave criptográfica puder ser descoberta. A habilidade para obter qualquer informação sobre o purotexto original é também considerada sucesso. Por exemplo, se um adversário estiver enviando crifrotextos continuamente para manter segurança do fluxo de tráfego, seria bastante útil poder ser capaz de distinguir mensagens reais de mensagens vazias. Mesmo a adivinhação informada sobre a existência de mensagens reais facilitaria a análise do tráfego.

Na história da criptografia as cifras mais antigas, implementadas com papel e caneta, eram rotineiramente quebradas usando-se apenas cifrotextos. Criptógrafos desenvolveram técnicas estatísticas para atacar cifrotextos, tais como análise de frequência. Dispositivos de encriptação mecânica, tais como a Enigma, tornaram esses ataques muito mais difíceis (apesar de que, históricamente, criptógrafos poloneses foram capazes de realizar uma critpoanálise da Enigma com cifrotextos apenas, explorando um protocolo inseguro para indicar a configuração de mensagens.

Toda cifra moderna tenta oferecer proteção contra ataques de cifrotexto conhecido. O processo de verificação para o projeto de um novo padrão de cifra usualmente leva muitos anos e inclui testes exaustivos com grandes quantidades de cifrotexto para qualquer distanciamento estatístico de ruído aleatório. Veja: Advanced Encryption Standard process. Além disso, o campo da esteganografia evoluiu, em parte, para desenvolver métodos como funções de mímica, que permitem que uma parte dos dados adote o perfil estatístico de uma outra parte. Mesmo assim, o uso inadequado de cifras ou o uso de algoritmos proprietários domésticos que não foram submetidos a um escrutínio exaustivo tem resultado em muitos sistemas modernos de encriptação que ainda são sujeitos a ataques de cifrotexto conhecido. Exemplos incluem:

  • Versões iniciais do software de rede privativa virtual PPTP da Microsoft usavam a mesma chave RC4 para o remetente e o destinatário (versões posteriores tinham outros problemas). Em qualquer caso em que uma cifra de fluxo como a RC4 é usada duas vezes com a mesma chave, ela se torna aberta para ataques de cifrotexto conhecido. Veja: ataques a cifras de fluxo;
  • Wired Equivalent Privacy (WEP), o primeiro protocolo de segurança para Wi-Fi, foi provado ser vulnerável a vários ataques, a maioria deles de cifrotexto conhecido;
  • Alguns projetos de cifras modernas foram mais tarde demonstradas serem vulneráveis a ataques de cifrotexto conhecido. Por exemplo, Akelarre;
  • Uma cifra cujo espaço de chaves é muito pequeno está sujeita à ataques de força bruta com acesso apenas à cifrotextos, pela simples tentativa de uso de todas as chaves. Tudo que é necessário é alguma forma de distinguir um purotexto válido de ruído aleatório, o que é fácil de ser feito para linguagens naturais quando o cifrotexto é mais longo do que a distância da unicidade. Um exemplo é o DES, que possui chaves de apenas 56 bits. Outros exemplos comuns correntes são produtos de segurança comerciais que geram chaves para cifras originalmente seguras tais como o AES a partir de senhas selecionadas pelo usuário. Como os usuários raramente empregam senhas que de qualquer forma se aproximam da entropia do espaço de chaves da cifra, tais sistemas são frequentemente fáceis de serem quebrados na prática usando apenas cifrotextos. A cifra CSS de 40 bits usada para encriptar vídeo discos DVD pode sempre ser quebrada com esse método, uma vez que tudo que é necessário é procurar os dados de vídeo MPEG-2.

Referências

editar
  • Alex Biryukov and Eyal Kushilevitz, From Differential Cryptanalysis to Ciphertext-Only Attacks, CRYPTO 1998, pp72–88;

Ver também

editar