¿La mejor protección contra un ataque de "texto cifrado elegido"?

En primer lugar, un poco de fondo criptográfico. Le proporcionaré enlaces y usted puede decidir qué tan lejos lee.

La clave para evitar CCA / CCA2 (ataques de texto cifrado seleccionados) es no proporcionar un "oráculo" (algo que el atacante puede consultar de forma limitada o a voluntad). En términos de implementaciones prácticas de dichos oráculos, responder a mensajes de correo electrónico cifrados con lo que descifraste previamente es un ejemplo de cómo proporcionar un oráculo: cualquier texto cifrado que se haya introducido ha sido descifrado y proporcionado al atacante. , una m

La clave es no proporcionar ese oráculo, para el cual hay dos soluciones. Uno es encrypt-then-mac - es decir, utilice un secreto precompartido para generar un código de autenticación de mensaje que el destinatario pueda verificar antes de descifrar. De esa manera, si el texto cifrado no es del remitente, usted lo rechaza. Una alternativa a esto es usar un modo de cifrado autenticado , un enfoque completo e integrado (combina su cifrado de bloque con un MAC).

Por lo tanto, el enfoque para resolver el problema de CCA / CCA-2 es usar algún tipo de autenticación de sus mensajes.

¿Qué puedes hacer ahora? Lee sobre los protocolos que usan tus sistemas de cifrado y asegúrate de que usen algo como EAX o MAC.

En primer lugar, ¡no diseñes tu propio protocolo criptográfico! Por favor, no se ofenda, pero: si tiene que hacer este tipo de preguntas, no está calificado para diseñar criptografía. (Francamente, incluso yo trataría de evitar el diseño de un protocolo criptográfico, aunque esté calificado).

Sé que algunas otras respuestas le han sugerido que vaya a aprender acerca de IND-CCA2 y el cifrado autenticado y las firmas y sumas de comprobación cifradas en Mac y digitales, y cosas por el estilo, y luego (probablemente) implemente su propio cripto. Personalmente, creo que es una mala idea. Hay muchas oportunidades para arruinar algo, así que creo que es un enfoque peligroso. Afortunadamente, no es necesario que diseñe su propio cripto: existen buenos esquemas que han sido examinados cuidadosamente por muchos expertos, durante un período de años. Solo puedes reutilizarlos.

Por lo tanto, en lugar de intentar diseñar su propio criptografía, le recomiendo encarecidamente que intente reutilizar algún esquema existente y bien revisado. Para la seguridad de la comunicación, recomiendo TLS. Para proteger los datos almacenados, recomiendo GPG con mensajes firmados y encriptados (u otro software que admita el formato OpenPGP). De esta manera, ni siquiera necesita saber cómo protegerse contra los ataques de texto cifrado elegidos; solo debe saber que TLS y GPG ya protegen contra ellos por usted.

¿No es genial? Obtienes una fuerte seguridad, y no tienes que esforzarte por levantarte; alguien más ya ha hecho todo el trabajo duro. ¡Es un ganar-ganar todo!

En primer lugar, vale la pena analizar si este ataque relativamente difícil es realmente un riesgo o una amenaza para su sistema y configuración específica. Si pudiera proporcionar un poco más de detalles, sería más fácil dar un consejo al respecto.

En general, la mejor protección contra el ataque de texto cifrado elegido es hacer imposible para un atacante tanto 1) insertar datos cifrados, especialmente grandes cantidades de ellos y 2) revisar las versiones descifradas de los datos que insertaron.

La transmisión de los datos cifrados a través de SSL podría ayudar a evitar la inserción de los datos en el flujo, ya que protegería contra el ataque del hombre en el medio. Otra defensa es detectar un mensaje cifrado no válido (por ejemplo, con sumas de comprobación o firmas digitales) y, en caso de que la validación de la suma de comprobación o el descifrado falle, evite proporcionar al atacante la versión desencriptada de los datos, de esta forma, incluso si el atacante logra insertar el texto cifrado. , él no podría usar tu aplicación como un "oráculo de descifrado".