密码学---攻击类型

​ 在Kerchhoff假设下，按照密码分析者具有不同的攻击条件，攻击类型有大致5种：

（1） 唯密文攻击（COA）：敌手只能通过考察一些密文来试图推导出解密密钥 （即私钥）或这些密文对应的明文。

（2） 已知明文攻击（KPA）：敌手已知一定数量的明文和相对应的密文，试图推导出私钥或者其他密文对应的明文。

（3） 非适应性选择明文攻击（CPA1）：敌手可以选择明文，接着得到这些明文相对应的密文，即假设敌手可访问加密预言机 。（Encryption Oracle，加密设备） ，可以问询这个加密预言机某个明文，从而得到加密预言机的应答，即被问询明文所对应的密文。 （在挑战应答协议中就存在类似的加密预言机。 ）

【意思说：在问询加密预言机的时候，CPA1只能一次性提交所选择的所有明文】

===>>选择明文攻击对于公钥加密体制，模拟了一种非常弱的攻击模型，因为公钥加密体制中，任何人都可以访问加密算法，生成明-密文对

（4） 适应性选择明文攻击（CPA2）：敌手可以选择明文，接着得到相应的密文，且明文的选择可依赖于前面得到的密文。
【CPA1 和 CPA2 的区别在于敌手是否可以在见到第一个密文应答之后提交明文问询。CPA1 不能，CPA2 可以。 （可见在问询加密预言机的时候，CPA1只能一次性提交所选择的所有明文，而 CPA2 可以多次分阶段提交所选择的明文。 ）CPA1 和CPA2 统称为 CPA。由于公钥加密体制中，敌手总是可以任意访问加密预言机，因而选择明文攻击（CPA）是平凡的，于是，CPA2 安全是公钥加密的基本安全要求。通常将公钥体制中的 CPA 称为被动攻击（被动攻击主要是收集信息而不是进行访问，数据的合法用户一般不会有所察觉），CCA为主动攻击（对数据流的某些修改或生成一个假的数据流）】

（5） 非适应选择密文攻击（CCA1）：<一种比选择明文攻击稍强的攻击>，敌手可以选择密文，接着得到相应的明文。即敌手拥有解密预言机 （Decryption Oracle， 解密设备）的访问权，可以访问这个解密预言机某个密文，从而得到解密预言机的应答，即被问询密文所对应的明文。然后，在不访问该解密预言机的情况下 ，推导出 （先前未询问过解密预言机的）密文的明文。【午餐攻击】

​ ===>所谓的午餐攻击：就是说在中午吃饭的时间，敌手可以选择多项式个密文询问解密预言机，然后将解密后的明文发给敌手；在下午的时间，敌手就被告知一个目标密文，需要敌手在没有解密预言机的帮助下得到目标密文的明文。

（6） 适应性选择密文攻击（CCA2）：<一种非常强的攻击>，敌手可以选择密文，接着得到相应的明文。且在见到挑战密文之后还能问询解密预言机。但是，显然不允许向解密预言机问询挑战密文 （这里，挑战密文是指需要敌手解密的那个密文） 。【凌晨攻击】

​ ===>所谓凌晨攻击：在午餐攻击的基础上，我们去掉了只能在短时间内得到解密帮助这个不现实条件（因为当敌手让“天真的”目标用户解密时，“天真”会永远持续下去，比如说在询问-应答机制中，别人的询问，都会有对应的应答，这种场景还是很实际的），对敌手的解密帮助在午餐攻击前后都永远可得。就取了一个”美丽的“名字------凌晨攻击。【注意】，午夜攻击不是凌晨攻击，而是午餐攻击。

​ CCA2在公钥密码体制的很多应用中都是很实际的，比如说，某些协议可以要求对一个随机的询问执行解密操作以形成一种“询问-问答“的机制。

【CCA2 与 CCA1 的区别在于敌手是否拥有在见到挑战密文后还能访问解密预言机的能力。】

​ 很多公钥密码体制都对CCA1或CCA2特别脆弱，因为构成这些体制的基础一般都具有良好的代数性质。攻击者Malice就可以研究这些代数性质，通过巧妙地计算构造一条密文。有了解密的帮助，基于目标体制良好的代数性质，Malice对选择密文进行巧妙计算就能使他获得本来得不到的消息。

​ 1-5，密码分析者的攻击能力递增，如果一个密码系统能抵抗适应性选择密文攻击，那么他则可以抵抗其余四种攻击。对于公钥密码体制，选择明文攻击的条件总能满足，所以对于公钥密码体制，只需要分析后三种就行。

​ 目前普遍认为，任何新提出的公钥加密算法都应该在适应性选择密文攻击下达到语义安全性。