"선택암호문공격"의 두 판 사이의 차이
잔글 |
leejia1222 (토론 | 기여) |
||
1번째 줄: | 1번째 줄: | ||
− | '''선택암호문공격'''<!--선택 암호문 공격-->(Chosen Ciphertext Attack, CCA)은 | + | '''선택암호문공격'''<!--선택 암호문 공격-->(Chosen Ciphertext Attack, CCA)은 임의로 선택된 [[암호문]]과 일치하는 [[평문]]으로부터 [[암호키]]를 알아내기 위해 시도하는 공격이다. [[공개키]] 암호 방식에서 응용되는 것으로 사설 키가 한번 알려지면 같은 종류의 메시지에서는 모두 [[복호화]]된다. |
== 개요 == | == 개요 == | ||
− | 다른 많은 보안 체계는 선택암호문공격에 의해 무효화될 수 있다. 예를 들어, | + | 다른 많은 보안 체계는 선택암호문공격에 의해 무효화될 수 있다. 예를 들어, [[엘가말]](ElGamal)은 [[선택평문공격]](CPA)에는 안전하지만, 선택암호문공격에 의해 쉽게 무시 될 수 있다. [[SSL]] 프로토콜에 사용된 [[RSA]] 패딩의 초기 버전은 정교한 적응형 선택암호문공격에 취약하여 [[SSL]] 세션 키를 노출했다. 선택암호문공격은 일부 자체 동기화 [[스트림 암호]](Stream Cipher)에도 영향을 미친다. 변조 방지(tamper-resistant) 암호화 스마트 카드의 설계자는 기기의 숨겨진 [[비밀키]]를 복구하기 위해 다량의 선택암호문을 발행 할 수 있는 상대방의 통제를 받을 수 있기 때문에 이러한 공격에 주의해야 한다. 1990년 [[무결성]] 증명을 통한 이중 암호화 방식을 제안했던 [[모니 나오르]](Moni Naor)와 [[모티 융]](Moti Yung)의 초기 작업 단계에는 공개키 암호 시스템이 선택암호문공격을 견딜 수 있는지 알 수 없었다. 이 연구는 이전보다 훨씬 더 명료하게 선택암호문공격에 대한 보안 개념을 이해하고 공격의 변형에 대한 다양한 보호 기능을 갖춘 시스템 구축 연구 방향을 열었다.<ref name="위키피디아">〈[https://en.wikipedia.org/wiki/Chosen-ciphertext_attack Chosen-ciphertext attack]〉, 《위키피디아》</ref> |
==종류== | ==종류== | ||
− | 선택암호문공격은 다른 공격과 마찬가지로 적응형 또는 미적응형일 수 있다. 적응형 선택암호문공격에서 공격자는 이전 암호해독의 결과를 사용하여 | + | 선택암호문공격은 다른 공격과 마찬가지로 적응형 또는 미적응형일 수 있다. 적응형 선택암호문공격에서 공격자는 이전 암호해독의 결과를 사용하여 암호문을 선택할 수 있는 정보를 제공할 수 있고, 미적응형 선택암호문공격에서 공격자는 결과를 보지 않고 해독할 암호문을 선택할 수 있다. 공격자는 평문을 본 후, 추가 암호문 해독이 불가능하다. |
− | * [[런치타임 공격]] | + | * [[런치타임 공격]](lunchtime attack) |
− | : 선택암호문공격의 특수 변형은 | + | : 선택암호문공격의 특수 변형은 런치타임(lunchtime), 미드나잇(midnight), 무관심(indifferent) 공격으로, 공격자가 선택 암호문 질의를 적용할 수 있지만, 특정 시점까지만 수행할 수 있으며, 시스템을 공격할 수 있는 향상된 기능을 보여준다. "런치타임 공격"이라는 용어는 암호 해독 능력을 갖춘 사용자 컴퓨터가 사용자가 점심을 먹으러 나가는 동안 공격자가 사용할 수 있다는 개념이다. 공격자가 선택암호문질의를 사용 가능하다면 암호화된 메시지는 안전할 수 없다. 이 공격은 미적응형 선택암호문공격이라고 불리는데, 여기에서 미적응형은 공격자가 선택암호문 질의의 기능이 만료된 후에 도전에 대응하여 질의를 적용할 수 없다는 것을 의미한다. |
* 적응형 선택암호문공격 | * 적응형 선택암호문공격 | ||
− | : 적응형 선택암호문공격은 공격 암호 문자 자체가 질의되지 않을 수 있다는 규정만을 가지고, 공격 암호 문자를 공격자에게 주기 전, 후에 적응형으로 선택할 수 있는 공격이다. 이는 런치타임 공격보다 강력한 공격으로, CCA1(런치타임)공격과 비교하여 CCA2공격이라고한다. 이 모델은 선택암호문공격에 대한 보안 증명에서 사용해야 하므로 중요하다. 이 모델에서 공격이 불가능하다는 증거는 선택암호문공격을 | + | : 적응형 선택암호문공격은 공격 암호 문자 자체가 질의되지 않을 수 있다는 규정만을 가지고, 공격 암호 문자를 공격자에게 주기 전, 후에 적응형으로 선택할 수 있는 공격이다. 이는 런치타임 공격보다 강력한 공격으로, CCA1(런치타임)공격과 비교하여 CCA2공격이라고한다. 이 모델은 선택암호문공격에 대한 보안 증명에서 사용해야 하므로 중요하다. 이 모델에서 공격이 불가능하다는 증거는 선택암호문공격을 수행할 수 없다는 것을 의미한다. 수 많은 암호 시스템이 선택암호문공격에 대해 안전하다는 것이 증명되었다. 일부는 대수적 가정에만 근거하여 이 보안 속성을 증명하고, 일부는 이상화된 무작위 [[오라클]] 모델을 추가로 요구한다. 예를 들어, Cramer-Shoup 시스템은 이론적인 가정과 이상화가 없다는 것에 근거하여 안전하고, 여러 가지 조사 후에 RSA-OAEP가 이상적인 무작위 오라클 모델에서 [[RSA]]가정에 의하여 안전하다는 것도 확인되었다.<ref name="위키피디아"></ref> |
==특징== | ==특징== | ||
− | 선택암호문공격에서는 | + | 선택암호문공격에서는 평문 값과 암호문 값 모두를 선택한다. 공격자가 선택하는 모든 평문에 대응하는 암호문을 얻고 공격자가 선택한 각 암호문에 대응하는 평문을 얻는다. 이 공격은 선택평문공격보다 강력하다. 공격자가 자유롭게 평문을 선택할 수도 있고, 암호문을 선택할 수도 있기 때문이다. 결론적으로 모든 공격은 [[키]]값을 알아내는 것이 목적이다.<ref>물한방울, 〈[https://m.blog.naver.com/asd7979/30181271704 암호공격의 종류]〉, 《네이버 블로그》, 2013-12-14</ref> 또한, 암호분석가가 복호화 장치에 접근 가능한 상황에 사용이 가능하며, 선택한 암호문에 해당하는 평문을 얻을 수 있고, 다른 관측된 암호문에 해당하는 평문 도출이 가능하다.<ref>전주현, 〈[https://cafe.naver.com/boangisa/100 암호문 공격 유형 4가지]〉, 《네이버 카페》, 2013-04-04</ref> |
{{각주}} | {{각주}} |
2019년 8월 1일 (목) 17:45 판
선택암호문공격(Chosen Ciphertext Attack, CCA)은 임의로 선택된 암호문과 일치하는 평문으로부터 암호키를 알아내기 위해 시도하는 공격이다. 공개키 암호 방식에서 응용되는 것으로 사설 키가 한번 알려지면 같은 종류의 메시지에서는 모두 복호화된다.
개요
다른 많은 보안 체계는 선택암호문공격에 의해 무효화될 수 있다. 예를 들어, 엘가말(ElGamal)은 선택평문공격(CPA)에는 안전하지만, 선택암호문공격에 의해 쉽게 무시 될 수 있다. SSL 프로토콜에 사용된 RSA 패딩의 초기 버전은 정교한 적응형 선택암호문공격에 취약하여 SSL 세션 키를 노출했다. 선택암호문공격은 일부 자체 동기화 스트림 암호(Stream Cipher)에도 영향을 미친다. 변조 방지(tamper-resistant) 암호화 스마트 카드의 설계자는 기기의 숨겨진 비밀키를 복구하기 위해 다량의 선택암호문을 발행 할 수 있는 상대방의 통제를 받을 수 있기 때문에 이러한 공격에 주의해야 한다. 1990년 무결성 증명을 통한 이중 암호화 방식을 제안했던 모니 나오르(Moni Naor)와 모티 융(Moti Yung)의 초기 작업 단계에는 공개키 암호 시스템이 선택암호문공격을 견딜 수 있는지 알 수 없었다. 이 연구는 이전보다 훨씬 더 명료하게 선택암호문공격에 대한 보안 개념을 이해하고 공격의 변형에 대한 다양한 보호 기능을 갖춘 시스템 구축 연구 방향을 열었다.[1]
종류
선택암호문공격은 다른 공격과 마찬가지로 적응형 또는 미적응형일 수 있다. 적응형 선택암호문공격에서 공격자는 이전 암호해독의 결과를 사용하여 암호문을 선택할 수 있는 정보를 제공할 수 있고, 미적응형 선택암호문공격에서 공격자는 결과를 보지 않고 해독할 암호문을 선택할 수 있다. 공격자는 평문을 본 후, 추가 암호문 해독이 불가능하다.
- 런치타임 공격(lunchtime attack)
- 선택암호문공격의 특수 변형은 런치타임(lunchtime), 미드나잇(midnight), 무관심(indifferent) 공격으로, 공격자가 선택 암호문 질의를 적용할 수 있지만, 특정 시점까지만 수행할 수 있으며, 시스템을 공격할 수 있는 향상된 기능을 보여준다. "런치타임 공격"이라는 용어는 암호 해독 능력을 갖춘 사용자 컴퓨터가 사용자가 점심을 먹으러 나가는 동안 공격자가 사용할 수 있다는 개념이다. 공격자가 선택암호문질의를 사용 가능하다면 암호화된 메시지는 안전할 수 없다. 이 공격은 미적응형 선택암호문공격이라고 불리는데, 여기에서 미적응형은 공격자가 선택암호문 질의의 기능이 만료된 후에 도전에 대응하여 질의를 적용할 수 없다는 것을 의미한다.
- 적응형 선택암호문공격
- 적응형 선택암호문공격은 공격 암호 문자 자체가 질의되지 않을 수 있다는 규정만을 가지고, 공격 암호 문자를 공격자에게 주기 전, 후에 적응형으로 선택할 수 있는 공격이다. 이는 런치타임 공격보다 강력한 공격으로, CCA1(런치타임)공격과 비교하여 CCA2공격이라고한다. 이 모델은 선택암호문공격에 대한 보안 증명에서 사용해야 하므로 중요하다. 이 모델에서 공격이 불가능하다는 증거는 선택암호문공격을 수행할 수 없다는 것을 의미한다. 수 많은 암호 시스템이 선택암호문공격에 대해 안전하다는 것이 증명되었다. 일부는 대수적 가정에만 근거하여 이 보안 속성을 증명하고, 일부는 이상화된 무작위 오라클 모델을 추가로 요구한다. 예를 들어, Cramer-Shoup 시스템은 이론적인 가정과 이상화가 없다는 것에 근거하여 안전하고, 여러 가지 조사 후에 RSA-OAEP가 이상적인 무작위 오라클 모델에서 RSA가정에 의하여 안전하다는 것도 확인되었다.[1]
특징
선택암호문공격에서는 평문 값과 암호문 값 모두를 선택한다. 공격자가 선택하는 모든 평문에 대응하는 암호문을 얻고 공격자가 선택한 각 암호문에 대응하는 평문을 얻는다. 이 공격은 선택평문공격보다 강력하다. 공격자가 자유롭게 평문을 선택할 수도 있고, 암호문을 선택할 수도 있기 때문이다. 결론적으로 모든 공격은 키값을 알아내는 것이 목적이다.[2] 또한, 암호분석가가 복호화 장치에 접근 가능한 상황에 사용이 가능하며, 선택한 암호문에 해당하는 평문을 얻을 수 있고, 다른 관측된 암호문에 해당하는 평문 도출이 가능하다.[3]
각주
- ↑ 1.0 1.1 〈Chosen-ciphertext attack〉, 《위키피디아》
- ↑ 물한방울, 〈암호공격의 종류〉, 《네이버 블로그》, 2013-12-14
- ↑ 전주현, 〈암호문 공격 유형 4가지〉, 《네이버 카페》, 2013-04-04
참고자료
- 〈Chosen-ciphertext attack〉, 《위키피디아》
- emzei, 〈암호 공격 방식〉, 《티스토리》, 2016-07-06
- 물한방울, 〈암호공격의 종류〉, 《네이버 블로그》, 2013-12-14
- 〈선택 암호문 공격〉, 《네이버 지식백과》
- 전주현, 〈암호문 공격 유형 4가지〉, 《네이버 카페》, 2013-04-04
같이 보기