Quelle est la différence entre la sécurité CPA et CCA ?

La sécurité contre les attaques à texte clair choisi (CPA) suppose que l'adversaire peut obtenir des chiffrements de messages qu'il choisit. La sécurité contre les attaques à texte chiffré choisi (CCA) lui permet en outre d'obtenir des déchiffrements de textes chiffrés qu'il choisit, un modèle plus robuste nécessaire chaque fois qu'un attaquant peut soumettre des textes chiffrés et observer la réaction du système.

Si un schéma est prouvé sûr, pourquoi les attaques par canal auxiliaire fonctionnent-elles ?

Les définitions de sécurité modélisent un adversaire qui voit les entrées et les sorties, et non les fuites physiques comme le temps d'exécution, la consommation d'énergie ou les émissions électromagnétiques. Une implémentation réelle peut divulguer des secrets par ces canaux même si le schéma abstrait satisfait sa définition, c'est pourquoi des implémentations à temps constant et résistantes aux fuites sont également requises.

Définitions de sécurité et modèles d'adversaire

Des définitions de sécurité précises et des modèles d'adversaire spécifient exactement ce contre quoi un schéma cryptographique doit se protéger et quels pouvoirs un attaquant est censé posséder, transformant ainsi des notions vagues de « sécurité » en affirmations vérifiables.

Trouver un sujet avec PaperMindBientôtFind papers & topics

Tools & resources

Télécharger les diapositives

Learn & explore

VidéoBientôt

Definition

Une définition de sécurité énonce formellement l'objectif qu'un schéma doit atteindre et le modèle d'adversaire contre lequel il doit l'atteindre, généralement sous la forme d'un jeu ou d'une comparaison de fonctionnalité idéale dans laquelle la probabilité de succès de l'adversaire doit être négligeable.

Scope

Ce sujet aborde la formalisation des objectifs de sécurité et des menaces : les définitions des objectifs (sécurité sémantique, indistinguabilité, inforgeabilité) et les modèles d'attaque qui confèrent aux adversaires un pouvoir croissant (attaques à texte clair choisi, à texte chiffré choisi, adaptatives), les cadres idéal/réel et basés sur le jeu, ainsi que l'écart entre les adversaires modélisés et ceux du monde réel (canaux auxiliaires). Il exclut les réductions et les hypothèses de difficulté utilisées pour satisfaire ces définitions, qui sont traitées dans des sujets connexes.

Core questions

Pourquoi les objectifs de sécurité doivent-ils être définis précisément plutôt qu'intuitivement ?
Qu'est-ce qui distingue les objectifs de confidentialité (sécurité sémantique) des objectifs d'intégrité (inforgeabilité) ?
Comment les modèles d'attaque (CPA, CCA, adaptatifs) capturent-ils les capacités d'un adversaire ?
Comment les définitions basées sur le jeu et idéal/réel expriment-elles la sécurité ?
Pourquoi un schéma prouvé sûr dans son modèle peut-il néanmoins échouer face à des attaques du monde réel comme les canaux auxiliaires ?

Key concepts

sécurité sémantique
indistinguabilité des textes chiffrés (IND)
attaque à texte clair choisi (CPA)
attaque à texte chiffré choisi (CCA)
inforgeabilité existentielle
adversaires adaptatifs
définitions basées sur le jeu
paradigme idéal/réel
écart des canaux auxiliaires

Key theories

Sécurité sémantique et indistinguabilité: La confidentialité est définie de telle sorte que les textes chiffrés ne divulguent aucune information utile : un adversaire ne peut pas distinguer les chiffrements de deux messages choisis, une définition introduite par Goldwasser et Micali qui fonde toute la sécurité moderne du chiffrement.
Modèles d'attaque et pouvoir de l'adversaire: La sécurité est énoncée par rapport à ce que l'adversaire peut faire — observer passivement, monter des attaques à texte clair choisi ou à texte chiffré choisi adaptatif — avec des modèles plus robustes (sécurité CCA) requis pour les schémas utilisés dans des contextes interactifs et adversariaux.

Mechanisms

Une définition basée sur le jeu oppose un challenger à un adversaire : pour la sécurité IND-CPA, l'adversaire soumet deux messages, le challenger en chiffre un au hasard, et la sécurité exige que l'adversaire ne puisse pas deviner lequel au-delà du hasard. Des définitions CCA plus robustes donnent également à l'adversaire un oracle de déchiffrement. Le paradigme idéal/réel considère plutôt qu'un schéma est sûr si l'interaction avec celui-ci est indiscernable de l'interaction avec une fonctionnalité de confiance idéalisée. Les adversaires réels peuvent exploiter des fuites temporelles ou de consommation d'énergie en dehors de ces modèles, ce qui motive des définitions tenant compte des canaux auxiliaires.

Clinical relevance

Le choix de la bonne définition est lourd de conséquences : le chiffrement utilisé dans les protocoles interactifs nécessite une sécurité CCA, et pas seulement CPA, et les attaques par oracle de remplissage sur des systèmes réels (tels que les premières versions de TLS) ont directement résulté du déploiement de schémas répondant à une définition trop faible. Les modèles d'adversaire clarifient également ce contre quoi un déploiement ne protège pas — par exemple, les modèles qui ignorent les canaux auxiliaires expliquent pourquoi les attaques temporelles et par consommation d'énergie réussissent contre des implémentations par ailleurs « sécurisées ».

Evidence & guidelines

Les normes modernes exigent que les schémas satisfassent des définitions robustes : le chiffrement authentifié (IND-CCA plus intégrité) est la norme par défaut pour la confidentialité, et les signatures doivent être inforgeables existentiellement sous attaque adaptative à message choisi. Le cadre de Composabilité Universelle (Universal Composability) fournit des définitions qui restent sécurisées sous composition arbitraire. Les implémentations nécessitent en outre un codage résistant aux canaux auxiliaires (à temps constant) au-delà du modèle formel.

History

Avant les années 1980, la sécurité était évaluée de manière informelle. La sécurité sémantique de Goldwasser et Micali (1982-1984) a introduit des définitions rigoureuses basées sur l'indistinguabilité, rapidement étendues aux modèles à texte chiffré choisi et à l'inforgeabilité pour les signatures et les MAC. Le paradigme de simulation idéal/réel et le cadre de Composabilité Universelle (Universal Composability) de Canetti (2001) ont abordé la sécurité sous composition, complétant ainsi une fondation définitionnelle qui régit désormais toute analyse cryptographique sérieuse.

Key figures

Shafi Goldwasser
Silvio Micali
Oded Goldreich
Ran Canetti
Mihir Bellare

Seminal works

goldwasser1984
katz2020
goldreich2004

Frequently asked questions

Quelle est la différence entre la sécurité CPA et CCA ?: La sécurité contre les attaques à texte clair choisi (CPA) suppose que l'adversaire peut obtenir des chiffrements de messages qu'il choisit. La sécurité contre les attaques à texte chiffré choisi (CCA) lui permet en outre d'obtenir des déchiffrements de textes chiffrés qu'il choisit, un modèle plus robuste nécessaire chaque fois qu'un attaquant peut soumettre des textes chiffrés et observer la réaction du système.
Si un schéma est prouvé sûr, pourquoi les attaques par canal auxiliaire fonctionnent-elles ?: Les définitions de sécurité modélisent un adversaire qui voit les entrées et les sorties, et non les fuites physiques comme le temps d'exécution, la consommation d'énergie ou les émissions électromagnétiques. Une implémentation réelle peut divulguer des secrets par ces canaux même si le schéma abstrait satisfait sa définition, c'est pourquoi des implémentations à temps constant et résistantes aux fuites sont également requises.