创信解读丨密码学可证明安全性中的攻击模型

唯密文攻击(Ciphertext Only Attack, COA)是指攻击者在仅仅知道密文的情况下进行攻击求解密钥，攻击者可以利用密码算法的特点以及明文空间的统计特性等，通过对密文进行分析从而发起攻击。

 图 1 英文字母频率表

在香农的信息论问世后，密码算法就开始逐渐向着概率性算法发展，此时由于明文和密文不再具有相同的统计特性，唯密文攻击的攻击难度逐渐上升，例如目前唯密文攻击的主要方式便是通过穷举法进行爆破，通过设置一个足够大的密钥空间抵抗这种攻击基本是可以轻易实现的。但需要说明的是这并不意味着在唯密文攻击下安全的密码算法就一定具有很高的安全性，因为唯密文攻击中做了很强的假设来限制攻击者的攻击能力，即攻击者除了密文之外得不到任何其他信息，但在实际中攻击者其实可以很轻易的收集到明文-密文对，甚至构造特殊明文发起攻击。总体而言，一个在越强假设的安全模型下证明安全的算法可能在实际场景中呈现出更弱的安全性。

一个典型的例子是二战时图灵破解恩格玛密码机的过程，由于德军特殊的发文习惯使得电文内容具有固定的格式，图灵便从电文的固定格式中分析出密文中一定会包含的某些特定词语的加密，并利用恩格玛机中明文不会被加密为自身的特点从截获的大量电文中分析出这些词语对应的密文，从而破解了使用的密钥。

在现代密码学中已知明文攻击的一种普适方法是线性密码分析技术，这种技术在理论上适用于对任何序列密码的攻击。线性密码分析的思想在于通过分析SPN网络的结构(主要是S盒的结构)，攻击者可以确定出SPN网络中一个输入的明文比特子集与网络最后一轮代换的输入比特集之间的概率线性关系，较为直观的理解是：在理想的加密算法中，输入的明文比特经过网络中前面所有轮的代换后的输出(也就是最后一轮代换的输入)取值为0或1的概率应该是相等且为1/2的，但是由于实际S盒的结构呈现的伪随机特性，这个输出通常会显示出一定的概率偏差，攻击者利用这个偏差的概率可以计算出一个线性逼近式，通过利用持有的明-密文对，测试所有可能的候选密钥进行最后一轮解密的结果对上述的线性概率关系是否成立，实现最后一轮子密钥的恢复，Matsui等人在1993年便是利用这种技术成功破解了DES算法。

选择密文攻击模型中假设攻击者在选择明文攻击的基础上，还具有访问解密喻言机的能力，即攻击者可以选择或构造任意对自己有利的密文，并欺骗密钥持有者为自己进行解密。本文简单引用Dan Bohen在斯坦福密码学公开课中使用过的例子说明攻击者利用选择密文攻击窃取不属于自己的通信消息的方法。假设在服务器上有两个不同端口的进程，其中一个端口号为80，另一个为攻击者与服务器的通信端口，假设为25，通信流量在网络层使用了随机IV的CBC模式进行加密，当服务器接收到加密流量后会进行解密并且TCP协议栈会转发目的地址为25端口的流量发送给攻击者。攻击者已知根据CBC模式的加密规则，即第一个明文分组会与IV进行异或得到第一个密文分组，并且从报文结构中攻击者知道第一个密文分组其实是对目标端口的加密，那么假设攻击者希望窃取所有发送给80端口的消息，他可以在劫持网络层的流量后，通过对第一个密文分组异或上80端口从而抵消密文中原有的目标端口，之后再异或自己的25端口从而实现将发往80端口的流量篡改为发给自己，由于这种篡改并没有改变密文的合规性，服务器将会自然的接收并解密这个密文。

显然，选择密文攻击的核心在于攻击者发起主动攻击时可以轻易破坏密文的完整性从而实现篡改消息，事实上在实际密码应用场景中，分组加密算法通常只能满足选择明文攻击下安全性，因此需要和消息鉴别码或数字签名配套使用，以此为接收方提供一种对明文的完整性进行鉴别的方法，从而实现在选择密文攻击下的安全性。