CCM

Counter/CBC MAC^[1] (נקרא גם CCMP) הוא מצב הפעלה גנרי של צופן בלוקים להצפנה מאומתת שמספק סודיות והבטחת שלמות שפותח ב-2003 על ידי דאג ווייטינג מחברת Hifn, רוס האוסלי לשעבר מ-RSA וניילס פרגוסון ממיקרוסופט, כמועמד לתקן הצפנה מאומתת של NIST. האלגוריתם שייך לקטגוריה AEAD (הצפנה מאומתת עם מידע נלווה), בבסיסו שני פרימיטיבים קריפטוגרפיים נפרדים והוא פועל בשתי ריצות; בריצה ראשונה המסר מוצפן באמצעות צופן בלוקים סימטרי במצב מונה המשלב הצפנה של בלוקים מרובים בתוספת אינדקס הבלוק. בריצה השנייה המסר מאומת על ידי קוד אימות מסרים CBC-MAC, המייצר תג אימות של המסר המוצפן יחד עם המסר הנלווה אם ישנו. קיימת הוכחה שמבנה זה בטוח בהנחה שצופן הבלוקים שביסודו בטוח, כמו כן אפשר להשיג בדרך זו סודיות בלבד ו/או הבטחת שלמות ואימות ללא סודיות, אם דרוש. CCM אינו תומך און ליין ואינו מתאים להזרמת מדיה. CCM נתמך בתקן SP 800-38C^[2], נמצא בשימוש IPSec הוצע ב-RFC 6655 עבור TLS והוא מצב הפעלה מנדטורי של IEEE 802.11i בתקן 802.15.4-2001 כחלק מפרוטוקול WPA2 וכן בשינויים קלים בפרוטוקול ZigBee.

הצפנה מאומתת

ערך מורחב – הצפנה מאומתת

הצורך בהצפנה מאומתת עולה בשל העובדה שצופן בלוקים מעצם ההגדרה מבטיח רק סודיות והניסיונות לשלב אימות בשיטות אד הוק הולידו מערכות לקויות. הצפנה מאומתת נותנת מענה לסודיות המידע ובמקביל גם לשלמותו ואמינותו באופן בטוח. מיהיר בלייר ופיליפ רוגווי העלו לראשונה את מושג 'הרכבה גנרית' של הצפנה עם אימות באופן שצופן הבלוקים שבשימוש מופרד מהאימות והראו שלוש דרכים בסיסיות בטוחות. הנחת העבודה היא שהשולח והמקבל משתפים ביניהם מראש מפתח הצפנה סודי, המצפין משתמש במפתח שברשותו כדי להצפין את המידע באמצעות צופן סימטרי ולייצר 'תג אימות' באמצעות קוד אימות המסרים, אותו יחד עם המסר המוצפן הוא שולח למקבל. המקבל מצידו משתמש במפתח הסודי שברשותו כדי לפענח את המידע ובאותה מידה לבדוק באמצעות פונקציית האימות את התג שקיבל כדי לוודא את שלמות המידע שקיבל. תג האימות משמש להוכחה שהמידע לא זוייף כי מעצם ההגדרה בלתי אפשרי ליריב בעל עוצמת חישוב סבירה לזייף טקסט-מוצפן ותג אימות מתאים ללא ידיעת המפתח הסודי.

AEAD - הצפנה מאומתת עם מידע נלווה נולדה עקב צורך מעשי. כאשר משתמשים מתקשרים ביניהם לצורך העברת חומר סודי, חלק מסוים מהמידע המועבר ברשת גלוי כמו קובץ כותר (header) וכן פרטים כמו כתובת IP וכדומה. המידע הגלוי משמש את השרתים ומסיבה זו חייב להיות גלוי אך יש צורך להגן עליו מפני שינוי זדוני שעלול לסכן את המידע המוצפן. הרעיון הוא שמערכת ההצפנה במחיר מועט תוכל להבטיח גם את שלמות המידע הגלוי המשויך למסר המוצפן.

תיאור האלגוריתם

תיאור CCM

המסר $P$ הוא מחרוזת סיביות באורך שרירותי. הכותר $A$ מכיל מידע נלווה כלשהו באורך שרירותי. וקטור אתחול $N$ הוא ערך ייחודי וחד-פעמי. המסר המיועד להצפנה, המידע הנלווה יחד עם וקטור האתחול מחולקים ל- $r+1$ בלוקים $B_{0},B_{1},...,B_{r}$ (כמפורט להלן) וכן $A$ או $P$ צריכים להיות כפולות של 8 סיביות ויכולים להיות ריקים מה שמרחיב את האופציות, למשל אם $P$ ריק האלגוריתם מספק אימות בלבד של המסר הגלוי $A$ . האלגוריתם מייצר בלוקים המשמשים כמונה אותם ניתן לחשב מראש עבור מפתח נתון כדי להפחית בעבודה אם צריך לאמת מספר רב של מסרים. הביטוי $Y_{0}=E_{K}(B_{0})$ מתייחס להצפנת הבלוק $B_{0}$ באמצעות צופן הבלוקים $E$ (כמו AES) עם המפתח $K$ כשהתוצאה ב- $Y_{0}$ . הפונקציה ${\text{MSB}}_{Tlen}(Y_{r})$ מחזירה את $Tlen$ הסיביות המשמעותיות ביותר של $Y_{r}$ באופן דומה מייצגת הפונקציה LSB את הסיביות הפחות משמעותיות. והסימן $\oplus$ הוא הפעולה XOR.

הצפנה ואימות

קלט: מפתח הצפנה סודי משותף $K$ , אורך תג אימות הרצוי ${\mathit {Tlen}}$ , וקטור אתחול $N$ , טקסט מקור $P$ באורך ${\mathit {Plen}}$ סיביות ומידע נלווה $A$ כשהם מפורמטים לפי הוראות התקן להלן.

פלט: טקסט מוצפן $C$ .

פורמט. מחלקים את הקלט $N,A,P$ לבלוקים $B_{0},B_{1},...,B_{r}$ בגודל 128 סיביות כל אחד, לפי ההנחיות להלן.
וקטור אתחול. מצפינים את הבלוק הראשון (שהוא וקטור האתחול): $Y_{0}=E_{K}(B_{0})$ .
חישוב תג אימות.
עבור $i=1$ עד $r$ מבצעים:
$Y_{i}=E_{K}(B_{i}\oplus Y_{i-1})$ .

תג האימות הוא $T={\text{MSB}}_{Tlen}(Y_{r})$ .
חישוב המונה. מחשבים את $Ctr_{0},Ctr_{1},...,Ctr_{m}$ כאשר $m=\left\lceil {\mathit {Plen}}/128\right\rceil$ לפי ההוראות להלן.
הצפנת המונה.
עבור $j=0$ עד $m$ מבצעים:
$S_{j}=E_{K}(Ctr_{j})$ (הבלוק $S_{0}$ משמש להצפנת תג האימות).

המונה $S$ הוא הבלוקים: $S_{1}\ \|\ S_{2}\ \|\ \cdots \ \|\ S_{m}$ .
הצפנת המסר. מצפינים את $C=(P\oplus {\text{MSB}}_{Plen}(S))$ .
הצפנת תג האימות. מצפינים את התג $(T\oplus {\text{MSB}}_{Tlen}(S_{0}))$ .
פלט. התוצאה היא $C\ \|\ T$ .

פענוח ואימות

קלט: מפתח הצפנה סודי משותף $K$ , אורך תג האימות ${\mathit {Tlen}}$ , וקטור אתחול $N$ , מידע נלווה $A$ וטקסט מוצפן $C$ באורך ${\mathit {Clen}}$ סיביות.

פלט: $P$ או סמל מיוחד המייצג כישלון INVALID.

מוודים ש- ${\mathit {Clen}}\leq {\mathit {Tlen}}$ אם לא מחזירים INVALID.
מייצרים את המונה. $Ctr_{0},Ctr_{1},...,Ctr_{m}$ כאשר $m=\left\lceil (Clen-Tlen)/128\right\rceil$ .
מצפינים את המונה. עבור $j=0$ עד $m$ מבצעים: $S_{j}=E_{K}(Ctr_{j})$ .
הבלוקים של המונה הם: $S=S_{0}\ \|\ S_{1}\ \|\ S_{2}\ \|\ \cdots \ \|\ S_{m}$ .
מפענחים את הטקסט המוצפן. $P={\text{MSB}}_{{\mathit {Clen}}-{\mathit {Tlen}}}(C)\oplus {\text{MSB}}_{Clen-Tlen}(S)$ .
מחשבים את תג האימות $T={\text{LSB}}_{Tlen}(C)\oplus {\text{MSB}}_{Tlen}(S_{0})$ .
מוודים ש- $N,A,P$ מתאימים להוראות התקן ומחלקים אותם לבלוקים $B_{0},B_{1},...,B_{r}$ . אם לא מחזירים INVALID.
מצפינים את הבלוק הראשון $Y_{0}=E_{K}(B_{0})$ .
מחשבים את תג האימות. עבור $i=1$ עד $r$ מבצעים: $Y_{i}=E_{K}(B_{i}\oplus Y_{i-1})$ .
אם $T={\text{MSB}}_{Tlen}(Y_{r})$ מחזירים את $P$ אחרת מחזירים INVALID.

שים לב שבמבנה זה נדרשת רק פונקציית ההצפנה של צופן הבלוקים. בעוד שפענוח מתבצע באופן דומה להצפנה באמצעות XOR כמו בצופן זרם. כדי למנוע התקפת תיזמון יש צורך לוודא שבמקרה שגיאה תוקף אפשרי לא יכול לדעת אם השגיאה ארעה בשלב 7 או 10.

פירוט פרמטרים

לצורך קידוד CCM יש לקבוע שני פרמטרים; $M$ אורך שדה תג האימות בבתים. גודל זה משפיע על ההסתברות שתוקף יצליח לזייף את תג האימות, ככל שהוא גדול יותר סיכוייו נמוכים יותר. מאידך ערך גדול משפיע על התנפחות הצופן, ערכים קבילים הם בטווח 4 עד 16 בתים (בין 32 ל-128 סיביות). הפרמטר השני $L$ הוא גודל השדה המכיל את אורך המסר, בטווח של 2 עד 8 בתים. העובדה ששני הפרמטרים מקודדים בבית אחד משפיעה על כמות הבתים שניתן שניתן להצפין לעומת אורך התג המקסימלי, היות שצריך לקודד את מספר הבתים להצפנה וכן את מספר הבתים שתופס התג, שניהם בבית אחד. את שני הפרמטרים מקודדים בבית הראשון (לפי הפירוט להלן). וקטור האיתחול $N$ צריך להיות בגודל $15-L$ בתים וחייב להיות חד-פעמי. אין להצפין שני מסרים עם אותו וקטור איתחול (אם המפתח לא הוחלף) כי מצב כזה ממוטט את בטחון המערכת כליל. אורך המסר המקסימלי שניתן להצפנה מאומתת יהיה עד $2^{8L}$ בתים. מגבלה זו נועדה להבטיח שאפשר יהיה לקודד את אורך המסר בשדה באורך $L$ בתים. אורך המידע הנלווה יהיה בין 0 ל- $2^{64}$ בתים. המידע הנלווה מאומת אך לא מוצפן ואינו חובה.

משרשרים את וקטור האיתחול, המידע הנלווה והמסר המיועד להצפנה למחרוזת אחת ארוכה, אותה מחלקים למקטעים בגודל 16 בתים (128 סיביות) כך שמתקבל מערך בלוקים $B_{0},B_{1},B_{2},...$ . כדלהלן: תחילה הבלוק הראשון $B_{0}$ מכיל אינפורמציה כללית ואת וקטור האתחול ומפורמט לפי סדר זה מהקטן לגדול: $b_{0},...,b_{15}$ , כך שהבית הראשון $b_{0}$ מכיל 'דגלים' (להלן), בתים $b_{1},...,b_{(15-L)}$ מכילים את וקטור האתחול. בתים $b_{(16-L)},...,b_{15}$ מכילים את קידוד אורך המסר $P$ .

הבית הראשון המכיל את הדגלים מקודד בסדר יורד כדלהלן, סיבית 8 שמורה (תמיד אפס), סיבית 7 מציינת האם קיים מידע נלווה. היא תקבע לאפס אם אורך המידע הנלווה הוא אפס. סיביות 4 עד 6 מכילות את $M'$ לפי קידוד $(M-2)/2$ . הערכים הקבילים הם 1 עד 7. אין להשתמש באפס כי משמעותו 16. סיביות 1 עד 3 מכילות את $L'$ בטווח הערכים 1 עד 7 לפי קידוד $L-1$ כאשר אפס שמור.

אם קיים מידע נלווה A תחילה משרשרים את אורכו ואז מחלקים את הכול ביחד לבלוקים בגודל 128 סיביות ומרפדים את הבלוק האחרון באפסים אם צריך. את אורכו של המידע הנלווה מקודדים כדלהלן. שני הבתים הראשונים משמשים לזיהוי הקידוד בהתאם. אם אורך המידע הנלווה בסיביות נמוך מ- $2^{16}-2^{8}$ , הוא תופס שני בתים בלבד לפי סדר בתים גדול. אם המידע הנלווה גדול יותר אך נמוך מ- $2^{32}$ , שני הבתים הראשונים יכילו את הקבועים ${\text{0xff,0xfe}}$ ואז מקודדים את אורך המידע הנלווה בארבעה בתים נוספים לפי סדר בתים גדול (סך הכול ששה בתים). אם המידע הנלווה גדול יותר (עד $2^{64}$ בתים), שני הבתים הראשונים יכילו את הקבועים ${\text{0xff,0xff}}$ ובשמונה בתים נוספים מקודדים את אורך המידע (סך הכול עשרה בתים). הטבלה הבאה מתארת את הקידוד:

שני הבתים הראשונים	אורך קידוד	טווח
0x0000	אין מידע נלווה	שמור
0x0001 עד 0xFEFF	2 בתים	בין $1$ ל- $65,280$
0xFF00 עד 0xFFFD	אין מידע נלווה	שמור
0xFFFE	4 בתים	בין $65,280$ ל- $2^{32}$
0xFFFF	8 בתים	בין $2^{32}$ ל- $2^{64}$

לאחר הבלוקים של המידע הנלווה משרשרים את המסר המיועד להצפנה כשהוא מחולק גם הוא לבלוקים בגודל 128 סיביות ומרופד באפסים בהתאם, והתוצאה היא מערך הבלוקים $B_{0},B_{1},...,B_{r}$ כאשר $r$ תלוי באורך המידע הנלווה והמסר המיועד להצפנה בהתאם פלוס הבלוק הראשון.

פורמט הבית הראשון של בלוק $B_{0}$ המכיל את הדגלים
סיבית מס'	0	1	2	3	4	5	6	7
תכולה	$M-1$			$(M-1)/2$			מידע נלווה	שמור

פורמט בלוק $B_{0}$
בית מס'	0	$1...(15-L)$	$(16-L)...15$
תכולה	דגלים	וקטור אתחול	קידוד אורך המסר בבתים

לדוגמה אם בלוק $B_{0}$ מכיל את מחרוזת הסיביות הבאה, 128 סיביות מחולקות לבתים משמאל לימין (הסיבית השמאלית בכל בית היא המשמעותית ביותר):

\color {Gray}0\color {red}1\color {blue}101\color {green}110\color {Purple}\ \ 00010011\ \ 11010100\ \ 10100011\ \ 01011101\ \ 01110001\ \ 10100101\ \ 00000000

\color {Purple}00000000\color {BurntOrange}\ \ 00000000\ \ 00000000\ \ 00000000\ \ 00000000\ \ 00000000\ \ 01001110\ \ 00100000

כיוון שהסיבית לפני האחרונה בבית הראשון (המסומנת באדום) היא 1, המשמעות היא שקיים מידע נלווה.
אורך תג האימות הוא $(5+1)\cdot 2$ (בגלל ששלוש הסיביות הבאות המסומנות בכחול הן "101" - 5 בייצוג עשרוני).
היות ששלוש הסיביות הבאות (ירוק) הן "110" אורך המסר מקודד בשבעה הבתים האחרונים בסך הכול 56 סיביות.
לפי תכולת שבעה הבתים האחרונים אורך המסר המיועד להצפנה ואימות הוא 20,000 בתים.
וקטור האתחול מאוחסן בשמונת הבתים הנותרים (בסגול) שהם בבסיס הקסדצימלי: "13D4A35D71A50000"

הכנת המונה

לצורך הצפנה במצב מונה (Counter mode), תחילה מייצרים בלוקים של מונה כל אחד בגודל 16 בתים. את המונה אפשר לחשב מראש לפני הגעת המסר. קידוד המונה מתבצע בדרך דומה, לפי סדר בתים גדול, הבית הראשון מכיל את הדגלים, הבתים $1...(15-L)$ מכילים Nonce (ערך ייחודי חד-פעמי), הבתים $(16-L)...15$ מכילים את המונה. הבית המכיל את הדגלים מקודד כך ששתי הסיביות המשמעותיות (7 ו-8) אינן בשימוש, הסיביות 4 עד 6 מכילות אפס והסיביות 1 עד 3 מכילות את $L-1$ לדוגמה ${\text{011}}$ פירושו שאורך המונה הוא 4 בתים (הערך המקסימלי הוא 8 בתים). את המונה מצפינים באמצעות צופן הבלוקים והצפנת המידע עצמו מתבצעת עם המונה המוצפן שמשמש כמפתח בשיטה דומה לצופן זרם, בה מצפינים מילה אחר מילה ב-XOR.

פורמט בלוק מונה
בית מס'	0	$1...(15-L)$	$(16-L)...15$
תכולה	דגלים	Nonce	מונה

בטחון

קיימת הוכחה שבטחון CCM עומד בשורה אחת עם אלגוריתמים אחרים כמו OCB. כדי שההוכחה תהיה תקפה יש להגביל את כמות המידע הניתן להצפנה עם מפתח יחיד שלא יעלה על $2^{61}$ בלוקים של 128 סיביות, שזה בערך 16 מיליון טרה-בית. לגבי האימות לפי הגדרת הבטחון של האלגוריתם הסיכויים שיעלה בידי תוקף לזייף טקסט מוצפן כך שאלגוריתם האימות יחזיר אמת, בלי ידיעת המפתח הסודי הוא $2^{-{\mathit {Tlen}}}$ . לכן לא רצוי להשתמש בתג הקצר מ-64 סיביות. יתרה מזו יש צורך להגביל את מספר הפעמים שהפרוטוקול יחזיר INVALID (כאשר אחד הפרמטרים שגוי) עם מפתח נתון בהתאם לסיטואציה, למשל אם רוחב הפס נמוך לא סביר שהתוקף ינסה פעמים רבות, לעומת זאת אם ביצוע הפרוטוקול מהיר יש חשש שהתוקף ינסה פעמים רבות עד שיצליח לזייף תג אימות או לפענח את המסר. בניסוח פורמלי אם מייצגים את מספר הקריאות שנכשלו (כלומר שהאלגוריתם החזיר INVALID) עם מפתח נתון MaxErrs וכן הסיכוי לזיוף מוצלח מסומן Risk אזי:

{\mathit {Tlen}}\geq {\text{lg}}({\mathit {MaxErrs}}/{\mathit {Risk}})

.

יתרונות וחסרונות

האלגוריתם מספק הצפנה מאומתת מוכחת, המשלבת הצפנה במצב מונה מהירה ואימות CBC-MAC שניהם פרימיטיבים ידועים ובטוחים.
מבנה גנרי שאינו תלוי באלגוריתמים ספציפיים, מה שמאפשר את החלפתם במידת הצורך.
הצפנה במצב מונה ניתנת לביצוע מקבילי, אך לא שלב האימות.
דרוש רק מפתח הצפנה סודי יחיד שממנו נגזר מפתח האימות. למרות הסיכון שבדבר, המפתחים היו זהירים מספיק כדי למנוע פרצה.
אפשר להכין מראש את זרם-המפתח להצפנת גוף המסר אך לא את מפתח האימות.
התנפחות הצופן מעבר לאורך המסר המקורי היא בסדר גודל בין 4 ל-14 בתים בהתאם לגודל התג.
אין דרישות זיכרון מיוחדות מעבר לדרישות הזיכרון של צופן הבלוקים.

לעומת זאת המבקרים מצביעים על כמה חולשות ביניהן:

CCM אינו מנצל היטב מצב שבו המידע הנלווה אם ישנו קבוע ממסר למסר. אלא יש צורך לעבדו מחדש בכל הצפנה גם אם לא השתנה.
אורך המסר חייב להיות ידוע מראש משום שאורך המסר מקודד בבלוק הראשון.
הפורמט של המידע המיועד להצפנה מגושם ומסובך. בייחוד שבטחון האלגוריתם נשען בין היתר גם על הפורמט.

ראו גם

EAX

קישורים חיצוניים

RFC 3610

הערות שוליים

[1] Submission to NIST: Counter with CBC-MAC (CCM)

[2] Recommendation for Block Cipher Modes of Operation: The CCM Mode for Authentication and Confidentiality

[1]

[2]

CCM

תוכן עניינים

הצפנה מאומתת