¿Cuál es la diferencia entre la seguridad CPA y CCA?

La seguridad de ataque de texto plano elegido (CPA) asume que el adversario puede obtener cifrados de mensajes que elige. La seguridad de ataque de texto cifrado elegido (CCA) además le permite obtener descifrados de textos cifrados que elige, un modelo más fuerte necesario siempre que un atacante pueda enviar textos cifrados y observar cómo reacciona el sistema.

Si un esquema es demostrablemente seguro, ¿por qué funcionan los ataques de canal lateral?

Las definiciones de seguridad modelan un adversario que ve entradas y salidas, no fugas físicas como la temporización, el consumo de energía o las emisiones electromagnéticas. Una implementación real puede filtrar secretos a través de estos canales aunque el esquema abstracto cumpla su definición, por lo que también se requieren implementaciones de tiempo constante y resistentes a fugas.

Definiciones de Seguridad y Modelos de Adversario

Las definiciones precisas de seguridad y los modelos de adversario especifican exactamente contra qué debe proteger un esquema criptográfico y qué poderes se asume que tiene un atacante, transformando nociones vagas de 'seguro' en afirmaciones comprobables.

Encontrar tema con PaperMindPróximamenteFind papers & topics

Tools & resources

Descargar diapositivas

Learn & explore

VídeoPróximamente

Definition

Una definición de seguridad establece formalmente el objetivo que un esquema debe lograr y el modelo del adversario contra el cual debe lograrlo, típicamente como un juego o una comparación de funcionalidad ideal en la que la probabilidad de éxito del adversario debe ser insignificante.

Scope

Este tema cubre cómo se formalizan los objetivos y las amenazas de seguridad: las definiciones de objetivos (seguridad semántica, indistinguibilidad, imposibilidad de falsificación) y los modelos de ataque que otorgan a los adversarios un poder creciente (ataques de texto plano elegido, de texto cifrado elegido, adaptativos), los marcos ideal/real y basados en juegos, y la brecha entre los adversarios modelados y los del mundo real (canales laterales). Excluye las reducciones y los supuestos de dureza utilizados para satisfacer estas definiciones, tratados en temas relacionados.

Core questions

¿Por qué los objetivos de seguridad deben definirse con precisión en lugar de intuitivamente?
¿Qué distingue los objetivos de confidencialidad (seguridad semántica) de los objetivos de integridad (imposibilidad de falsificación)?
¿Cómo capturan los modelos de ataque (CPA, CCA, adaptativos) las capacidades de un adversario?
¿Cómo expresan la seguridad las definiciones basadas en juegos y las ideal/real?
¿Por qué un esquema demostrablemente seguro en su modelo puede fallar ante ataques del mundo real como los canales laterales?

Key concepts

seguridad semántica
indistinguibilidad de texto cifrado (IND)
ataque de texto plano elegido (CPA)
ataque de texto cifrado elegido (CCA)
imposibilidad de falsificación existencial
adversarios adaptativos
definiciones basadas en juegos
paradigma ideal/real
brecha de canal lateral

Key theories

Seguridad semántica e indistinguibilidad: La confidencialidad se define de modo que los textos cifrados no revelen nada útil: un adversario no puede distinguir los cifrados de dos mensajes elegidos, una definición introducida por Goldwasser y Micali que sustenta toda la seguridad moderna del cifrado.
Modelos de ataque y poder del adversario: La seguridad se establece en relación con lo que el adversario puede hacer —observar pasivamente, montar ataques de texto plano elegido o de texto cifrado elegido adaptativo—, requiriéndose modelos más fuertes (seguridad CCA) para esquemas utilizados en entornos adversarios e interactivos.

Mechanisms

Una definición basada en juegos enfrenta a un desafiante contra un adversario: para la seguridad IND-CPA, el adversario envía dos mensajes, el desafiante cifra uno al azar, y la seguridad requiere que el adversario no pueda adivinar cuál más allá del azar. Las definiciones CCA más fuertes también otorgan al adversario un oráculo de descifrado. El paradigma ideal/real, en cambio, considera que un esquema es seguro si interactuar con él es indistinguible de interactuar con una funcionalidad confiable idealizada. Los adversarios reales pueden explotar fugas de tiempo o energía fuera de estos modelos, lo que motiva definiciones conscientes de los canales laterales.

Clinical relevance

Elegir la definición correcta es trascendental: el cifrado utilizado en protocolos interactivos necesita seguridad CCA, no solo CPA, y los ataques de oráculo de relleno en sistemas reales (como las primeras versiones de TLS) resultaron directamente de la implementación de esquemas que cumplían una definición demasiado débil. Los modelos de adversario también aclaran contra qué no protege una implementación; por ejemplo, los modelos que ignoran los canales laterales explican por qué los ataques de temporización y energía tienen éxito contra implementaciones que de otro modo serían 'seguras'.

Evidence & guidelines

Los estándares modernos exigen que los esquemas cumplan definiciones sólidas: el cifrado autenticado (IND-CCA más integridad) es el predeterminado para la confidencialidad, y las firmas deben ser existencialmente infalsificables bajo un ataque adaptativo de mensaje elegido. El marco de Componibilidad Universal proporciona definiciones que permanecen seguras bajo composición arbitraria. Las implementaciones requieren además una codificación resistente a canales laterales (tiempo constante) más allá del modelo formal.

History

Antes de la década de 1980, la seguridad se juzgaba informalmente. La seguridad semántica de Goldwasser y Micali (1982-1984) introdujo definiciones rigurosas basadas en la indistinguibilidad, pronto extendidas a modelos de texto cifrado elegido y a la imposibilidad de falsificación para firmas y MACs. El paradigma de simulación ideal/real y el marco de Componibilidad Universal de Canetti (2001) abordaron la seguridad bajo composición, completando una base definicional que ahora rige todo análisis criptográfico serio.

Key figures

Shafi Goldwasser
Silvio Micali
Oded Goldreich
Ran Canetti
Mihir Bellare

Seminal works

goldwasser1984
katz2020
goldreich2004

Frequently asked questions

¿Cuál es la diferencia entre la seguridad CPA y CCA?: La seguridad de ataque de texto plano elegido (CPA) asume que el adversario puede obtener cifrados de mensajes que elige. La seguridad de ataque de texto cifrado elegido (CCA) además le permite obtener descifrados de textos cifrados que elige, un modelo más fuerte necesario siempre que un atacante pueda enviar textos cifrados y observar cómo reacciona el sistema.
Si un esquema es demostrablemente seguro, ¿por qué funcionan los ataques de canal lateral?: Las definiciones de seguridad modelan un adversario que ve entradas y salidas, no fugas físicas como la temporización, el consumo de energía o las emisiones electromagnéticas. Una implementación real puede filtrar secretos a través de estos canales aunque el esquema abstracto cumpla su definición, por lo que también se requieren implementaciones de tiempo constante y resistentes a fugas.