"선택암호문공격"의 두 판 사이의 차이

2020년 12월 24일 (목) 19:46 기준 최신판

선택암호문공격(Chosen Ciphertext Attack, CCA)은 임의로 선택된 암호문과 일치하는 평문으로부터 암호키를 알아내기 위해 시도하는 공격이다. 공개키 암호 방식에서 응용되는 것으로 사설 키가 한번 알려지면 같은 종류의 메시지에서는 모두 복호화된다.

개요[편집]

다른 많은 보안 체계는 선택암호문공격에 의해 무효화될 수 있다. 예를 들어, 엘가말(ElGamal)은 선택평문공격(CPA)에는 안전하지만, 선택암호문공격에 의해 쉽게 무시 될 수 있다. SSL 프로토콜에 사용된 RSA 패딩의 초기 버전은 정교한 적응형 선택암호문공격에 취약하여 SSL 세션 키를 노출했다. 선택암호문공격은 일부 자체 동기화 스트림 암호(Stream Cipher)에도 영향을 미친다. 변조 방지(tamper-resistant) 암호화 스마트 카드의 설계자는 기기의 숨겨진 비밀키를 복구하기 위해 다량의 선택암호문을 발행 할 수 있는 상대방의 통제를 받을 수 있기 때문에 이러한 공격에 주의해야 한다. 1990년 무결성 증명을 통한 이중 암호화 방식을 제안했던 모니 나오르(Moni Naor)와 모티 융(Moti Yung)의 초기 작업 단계에는 공개키 암호 시스템이 선택암호문공격을 견딜 수 있는지 알 수 없었다. 이 연구는 이전보다 훨씬 더 명료하게 선택암호문공격에 대한 보안 개념을 이해하고 공격의 변형에 대한 다양한 보호 기능을 갖춘 시스템 구축 연구 방향을 열었다.^[1]

종류[편집]

선택암호문공격은 다른 공격과 마찬가지로 적응형 또는 미적응형일 수 있다. 적응형 선택암호문공격에서 공격자는 이전 암호해독의 결과를 사용하여 암호문을 선택할 수 있는 정보를 제공할 수 있고, 미적응형 선택암호문공격에서 공격자는 결과를 보지 않고 해독할 암호문을 선택할 수 있다. 공격자는 평문을 본 후, 추가 암호문 해독이 불가능하다.

런치타임 공격(lunchtime attack)

선택암호문공격의 특수 변형은 런치타임(lunchtime), 미드나잇(midnight), 무관심(indifferent) 공격으로, 공격자가 선택 암호문 질의를 적용할 수 있지만, 특정 시점까지만 수행할 수 있으며, 시스템을 공격할 수 있는 향상된 기능을 보여준다. "런치타임 공격"이라는 용어는 암호 해독 능력을 갖춘 사용자 컴퓨터가 사용자가 점심을 먹으러 나가는 동안 공격자가 사용할 수 있다는 개념이다. 공격자가 선택암호문질의를 사용 가능하다면 암호화된 메시지는 안전할 수 없다. 이 공격은 미적응형 선택암호문공격이라고 불리는데, 여기에서 미적응형은 공격자가 선택암호문 질의의 기능이 만료된 후에 도전에 대응하여 질의를 적용할 수 없다는 것을 의미한다.

적응형 선택암호문공격

적응형 선택암호문공격은 공격 암호 문자 자체가 질의되지 않을 수 있다는 규정만을 가지고, 공격 암호 문자를 공격자에게 주기 전, 후에 적응형으로 선택할 수 있는 공격이다. 이는 런치타임 공격보다 강력한 공격으로, CCA1(런치타임)공격과 비교하여 CCA2공격이라고한다. 이 모델은 선택암호문공격에 대한 보안 증명에서 사용해야 하므로 중요하다. 이 모델에서 공격이 불가능하다는 증거는 선택암호문공격을 수행할 수 없다는 것을 의미한다. 수 많은 암호 시스템이 선택암호문공격에 대해 안전하다는 것이 증명되었다. 일부는 대수적 가정에만 근거하여 이 보안 속성을 증명하고, 일부는 이상화된 무작위 오라클 모델을 추가로 요구한다. 예를 들어, Cramer-Shoup 시스템은 이론적인 가정과 이상화가 없다는 것에 근거하여 안전하고, 여러 가지 조사 후에 RSA-OAEP가 이상적인 무작위 오라클 모델에서 RSA가정에 의하여 안전하다는 것도 확인되었다.^[1]

특징[편집]

선택암호문공격에서는 평문 값과 암호문 값 모두를 선택한다. 공격자가 선택하는 모든 평문에 대응하는 암호문을 얻고 공격자가 선택한 각 암호문에 대응하는 평문을 얻는다. 이 공격은 선택평문공격보다 강력하다. 공격자가 자유롭게 평문을 선택할 수도 있고, 암호문을 선택할 수도 있기 때문이다. 결론적으로 모든 공격은 키값을 알아내는 것이 목적이다.^[2] 또한, 암호분석가가 복호화 장치에 접근 가능한 상황에 사용이 가능하며, 선택한 암호문에 해당하는 평문을 얻을 수 있고, 다른 관측된 암호문에 해당하는 평문 도출이 가능하다.^[3]

각주[편집]

↑ ^1.0 ^1.1 〈Chosen-ciphertext attack〉, 《위키피디아》
↑ 물한방울, 〈암호공격의 종류〉, 《네이버 블로그》, 2013-12-14
↑ 전주현, 〈암호문 공격 유형 4가지〉, 《네이버 카페》, 2013-04-04

참고자료[편집]

〈Chosen-ciphertext attack〉, 《위키피디아》
emzei, 〈암호 공격 방식〉, 《티스토리》, 2016-07-06
물한방울, 〈암호공격의 종류〉, 《네이버 블로그》, 2013-12-14
〈선택 암호문 공격〉, 《네이버 지식백과》
전주현, 〈암호문 공격 유형 4가지〉, 《네이버 카페》, 2013-04-04

같이 보기[편집]

이 선택암호문공격 문서는 암호 알고리즘에 관한 글로서 검토가 필요합니다. 위키 문서는 누구든지 자유롭게 편집할 수 있습니다. [편집]을 눌러 문서 내용을 검토·수정해 주세요.

블록체인 : 블록체인 기술, 합의 알고리즘, 암호 알고리즘^□^■^⊕, 알고리즘, 블록체인 플랫폼, 블록체인 솔루션, 블록체인 서비스

암호기술	개인키 • 경량암호 • 다자간 계산(MPC) • 다중서명(멀티시그) • 동형암호 • 디지털서명 • 링서명 • 배타적 논리합(XOR) • 복호화 • 블랙박스 암호 • 서명 • 소수 • 소인수분해 • 슈노르서명 • 스케인 • 스키테일 • 스테가노그래피 • 안전한 다자간 계산(SMPC) • 암호 • 암호경제학 • 암호문 • 암호키 • 암호학 • 암호화 • 이산로그 • 전자봉투 • 전자서명 • 전치암호 • 종단간 암호화 • 치환암호(대체암호) • 키 • 패딩 • 패스워드 • 평문 • 합성수 • 해독 • 해시 • 형태보존암호 • 혼돈 • 화이트박스 암호 • 확산

논리연산	논리곱(AND) • 논리연산 • 논리합(OR) • 배타적 논리합(XOR) • 부울곱 • 부울대수 • 부울합 • 부정논리곱(NAND) • 부정논리합(NOR) • 부정연산(NOT)

SHA	SHA • SHA0 • SHA1 • SHA2 • SHA224 • SHA256 • SHA384 • SHA512 • SHA512/224 • SHA512/256 • SHA3 • SHA3-224 • SHA3-256 • SHA3-384 • SHA3-512

MD	MD • MD2 • MD4 • MD5 • RIPEMD • RIPEMD-128 • RIPEMD-160 • RIPEMD-256 • RIPEMD-320

기타 해시	CRC-16 • CRC-32 • CRC-64 • Keccak-256 • Keccak-384 • Keccak-512 • Shake-128 • Shake-256 • 베이스32 • 베이스32 파일 • 베이스58 • 베이스64 • 베이스64 파일 • 순환중복검사

대칭키	AES • ARIA(아리아) • DES • HIGHT(하이트) • LEA • SEED(시드) • 대칭키 • 대칭키 암호 알고리즘 • 디피-헬만 • 디피-헬만 키교환 • 레인달 • 블로피시 • 블록암호 • 스트림 암호 • 에스박스(S-Box) • 트리플 DES

비대칭키	PKI • RSA • 공개키 • 공개키 암호 알고리즘 • 비대칭키 • 엘가말 • 타원곡선 • 타원곡선 디지털서명 알고리즘 • 타원곡선암호

영지식증명	영지식 상호 증명(ZKIP) • 영지식 스나크 • 영지식 스타크 • 영지식증명

양자암호	BB84 프로토콜 • E91 프로토콜 • B92 프로토콜 • 비밀키 오류율 • 안전성 증명 • 양자난수생성기 • 양자내성암호 • 양자암호 • 양자얽힘 • 양자역학 • 양자중첩 • 양자컴퓨터 • 양자키 • 양자키분배 • 양자통신 • 연속 변수 프로토콜

암호해독	기지평문공격(KPA) • 선택암호문공격(CCA) • 선택평문공격(CPA) • 암호공격 • 암호문 단독공격(COA) • 암호해독

암호학 인물	라이언 플레이페어 • 레너드 애들먼 • 로널드 리베스트 • 마틴 헬만 • 블레즈 드 비즈네르 • 아디 샤미르 • 앨런 튜링 • 웨슬리 피터슨 • 찰스 휘트스톤 • 휫필드 디피

위키 : 자동차, 교통, 지역, 산업, 기업, 단체, 업무, 쇼핑, 블록체인, 암호화폐, 인공지능, 개발, 인물, 행사, 일반

[.EC.9C.84.ED.82.A4.ED.94.BC.EB.94.94.EC.95.84-1] 1.0 ^1.1 〈Chosen-ciphertext attack〉, 《위키피디아》

[2] 물한방울, 〈암호공격의 종류〉, 《네이버 블로그》, 2013-12-14

[3] 전주현, 〈암호문 공격 유형 4가지〉, 《네이버 카페》, 2013-04-04

[1]

[2]

[3]

@@ 1번째 줄: / 1번째 줄: @@
-'''선택암호문공격'''(CCA)은
+'''선택암호문공격'''<!--선택 암호문 공격, Chosen Ciphertext Attack, CCA-->(Chosen Ciphertext Attack, CCA)은 임의로 선택된 [[암호문]]과 일치하는 [[평문]]으로부터 [[암호키]]를 알아내기 위해 시도하는 공격이다. [[공개키]] 암호 방식에서 응용되는 것으로 사설 키가 한번 알려지면 같은 종류의 메시지에서는 모두 [[복호화]]된다.
 == 개요 ==
+다른 많은 보안 체계는 선택암호문공격에 의해 무효화될 수 있다. 예를 들어, [[엘가말]](ElGamal)은 [[선택평문공격]](CPA)에는 안전하지만, 선택암호문공격에 의해 쉽게 무시 될 수 있다. [[SSL]] 프로토콜에 사용된 [[RSA]] 패딩의 초기 버전은 정교한 적응형 선택암호문공격에 취약하여 [[SSL]] 세션 키를 노출했다. 선택암호문공격은 일부 자체 동기화 [[스트림 암호]](Stream Cipher)에도 영향을 미친다. 변조 방지(tamper-resistant) 암호화 스마트 카드의 설계자는 기기의 숨겨진 [[비밀키]]를 복구하기 위해 다량의 선택암호문을 발행 할 수 있는 상대방의 통제를 받을 수 있기 때문에 이러한 공격에 주의해야 한다. 1990년 [[무결성]] 증명을 통한 이중 암호화 방식을 제안했던 [[모니 나오르]](Moni Naor)와 [[모티 융]](Moti Yung)의 초기 작업 단계에는 공개키 암호 시스템이 선택암호문공격을 견딜 수 있는지 알 수 없었다. 이 연구는 이전보다 훨씬 더 명료하게 선택암호문공격에 대한 보안 개념을 이해하고 공격의 변형에 대한 다양한 보호 기능을 갖춘 시스템 구축 연구 방향을 열었다.<ref name="위키피디아">〈[https://en.wikipedia.org/wiki/Chosen-ciphertext_attack Chosen-ciphertext attack]〉, 《위키피디아》</ref>
+==종류==
+선택암호문공격은 다른 공격과 마찬가지로 적응형 또는 미적응형일 수 있다. 적응형 선택암호문공격에서 공격자는 이전 암호해독의 결과를 사용하여 암호문을 선택할 수 있는 정보를 제공할 수 있고, 미적응형 선택암호문공격에서 공격자는 결과를 보지 않고 해독할 암호문을 선택할 수 있다. 공격자는 평문을 본 후, 추가 암호문 해독이 불가능하다.
+* '''런치타임 공격'''(lunchtime attack)
+: 선택암호문공격의 특수 변형은 런치타임(lunchtime), 미드나잇(midnight), 무관심(indifferent) 공격으로, 공격자가 선택 암호문 질의를 적용할 수 있지만, 특정 시점까지만 수행할 수 있으며, 시스템을 공격할 수 있는 향상된 기능을 보여준다. "런치타임 공격"이라는 용어는 암호 해독 능력을 갖춘 사용자 컴퓨터가 사용자가 점심을 먹으러 나가는 동안 공격자가 사용할 수 있다는 개념이다. 공격자가 선택암호문질의를 사용 가능하다면 암호화된 메시지는 안전할 수 없다. 이 공격은 미적응형 선택암호문공격이라고 불리는데, 여기에서 미적응형은 공격자가 선택암호문 질의의 기능이 만료된 후에 도전에 대응하여 질의를 적용할 수 없다는 것을 의미한다.
+* '''적응형 선택암호문공격'''
+: 적응형 선택암호문공격은 공격 암호 문자 자체가 질의되지 않을 수 있다는 규정만을 가지고, 공격 암호 문자를 공격자에게 주기 전, 후에 적응형으로 선택할 수 있는 공격이다. 이는 런치타임 공격보다 강력한 공격으로, CCA1(런치타임)공격과 비교하여 CCA2공격이라고한다. 이 모델은 선택암호문공격에 대한 보안 증명에서 사용해야 하므로 중요하다. 이 모델에서 공격이 불가능하다는 증거는 선택암호문공격을 수행할 수 없다는 것을 의미한다. 수 많은 암호 시스템이 선택암호문공격에 대해 안전하다는 것이 증명되었다. 일부는 대수적 가정에만 근거하여 이 보안 속성을 증명하고, 일부는 이상화된 무작위 [[오라클]] 모델을 추가로 요구한다. 예를 들어, Cramer-Shoup 시스템은 이론적인 가정과 이상화가 없다는 것에 근거하여 안전하고, 여러 가지 조사 후에 RSA-OAEP가 이상적인 무작위 오라클 모델에서 [[RSA]]가정에 의하여 안전하다는 것도 확인되었다.<ref name="위키피디아"></ref>
+==특징==
+선택암호문공격에서는 평문 값과 암호문 값 모두를 선택한다. 공격자가 선택하는 모든 평문에 대응하는 암호문을 얻고 공격자가 선택한 각 암호문에 대응하는 평문을 얻는다. 이 공격은 선택평문공격보다 강력하다. 공격자가 자유롭게 평문을 선택할 수도 있고, 암호문을 선택할 수도 있기 때문이다. 결론적으로 모든 공격은 [[키]]값을 알아내는 것이 목적이다.<ref>물한방울, 〈[https://m.blog.naver.com/asd7979/30181271704 암호공격의 종류]〉, 《네이버 블로그》, 2013-12-14</ref> 또한, 암호분석가가 복호화 장치에 접근 가능한 상황에 사용이 가능하며, 선택한 암호문에 해당하는 평문을 얻을 수 있고, 다른 관측된 암호문에 해당하는 평문 도출이 가능하다.<ref>전주현, 〈[https://cafe.naver.com/boangisa/100 암호문 공격 유형 4가지]〉, 《네이버 카페》, 2013-04-04</ref>
 {{각주}}
 ==참고자료==
+* 〈[https://en.wikipedia.org/wiki/Chosen-ciphertext_attack Chosen-ciphertext attack]〉, 《위키피디아》
+* emzei, 〈[https://emzei.tistory.com/231 암호 공격 방식]〉, 《티스토리》, 2016-07-06
+* 물한방울, 〈[https://m.blog.naver.com/asd7979/30181271704 암호공격의 종류]〉, 《네이버 블로그》, 2013-12-14
+* 〈[https://terms.naver.com/entry.nhn?docId=852268&cid=42346&categoryId=42346 선택 암호문 공격]〉, 《네이버 지식백과》
+* 전주현, 〈[https://cafe.naver.com/boangisa/100 암호문 공격 유형 4가지]〉, 《네이버 카페》, 2013-04-04
 ==같이 보기==
+* [[평문]]
+* [[복호화]]
+* [[암호문]]
+* [[선택평문공격]]
+* [[비밀키]]
+* [[공개키]]
+* [[SSL]]
+* [[RSA]]
+* [[씨씨에이]]
 {{암호 알고리즘|검토 필요}}

위키

이름공간

변수

보기

더 보기

검색