IAPM

מתוך המכלול, האנציקלופדיה היהודית
קפיצה לניווט קפיצה לחיפוש

Integrity-Aware Parallelizable Mode הוא מצב הפעלה של צופן בלוקים סימטרי, שפותח ב-2001 על ידי Charanjit Jutla[1] מ-IBM, המספק הצפנה מאומתת מוכחת ויעילה עם תמיכה במקביליות. האלגוריתם משתמש בצופן בלוקים כמו AES כבסיס, איתו הוא גם מצפין וגם מאמת כל מסר באורך שרירותי בריצה אחת, תוך שימוש בשני מפתחות הצפנה ווקטור אתחול. IAPM הוא האלגוריתם הראשון שהומצא המספק הצפנה מאומתת בריצה אחת והוא יעיל מאוד בהשוואה למצבי הפעלה אחרים. בשיפורים אחדים מגיע למהירות כמעט כמו של הצפנה לא מאומתת. מסיבה זו כונה "הצפנה עם אימות כמעט בחינם". האלגוריתם הוצע ל-IPSec[2] והוא פטנט רשום של IBM וייתכן אף של אחרים, מסיבה זו השימוש בו בעייתי.

IAPM מצב הפעלה מקבילי עם אימות בריצה אחת. שים לב שבהינתן ההיסטים כל בלוק מוצפן בנפרד ולכן אפשר להצפין מספר בלוקים במקביל. כמו כן אפשר להתחיל פענוח בצד השני בטרם התקבלו כל הבלוקים, אך לצורך האימות יש צורך להמתין לקבלת כולם.

Charanjit Jutla המציא למעשה שני אלגוריתמים דומים, על שניהם רשום פטנט והוכח שהם בטוחים תחת ההגדרות הסטנדרטיות, בהנחה שצופן הבלוקים בטוח. והם: Integrity-Aware CBC (בקיצור IACBC) שהוא למעשה CBC משופר, שבו נוספה טכניקה הקרויה 'הלבנה' (whitening) שהיא פעולת XOR לפני ואחרי הצפנת כל בלוק עם גרעין אקראי מסוים שנגזר מוקטור האתחול. חסרונו כמו כל מצב המבוסס על CBC שאינו תומך במקביליות, כי כל בלוק תלוי בקודמו. השני IAPM דומה יותר למצב ECB משופר, מיישם טכניקת הלבנה דומה, אך יתרונו בכך שהוא מאפשר הצפנה מקבילית ולכן עיקר ההתעניינות בו כיוון שהוא יעיל יותר. אלגוריתם OCB הוא וריאציה משופרת של IAPM.

הצפנה מאומתת

Postscript-viewer-shaded.png ערך מורחב – הצפנה מאומתת

הצפנה מאומתת נולדה עקב צורך מעשי להבטיח לא רק את סודיות המידע העובר ברשת אלא גם את שלמותו. כך שתוקף זדוני לא יוכל להתערב, לשנות, למחוק או להוסיף בלוקים של טקסט מוצפן מבלי שהמשתתפים יבחינו בכך. בתחילה הצפנה מאומתת לא הייתה מוגדרת היטב מבחינה תאורטית ואנשים נטו לפתח שיטות אד הוק, כיום קיימות הגדרות קונקרטיות להצפנה מאומתת בטוחה. השיטה הישירה נקראת 'בנייה גנרית' והיא שילוב של שני פרימיטיבים קריפטוגרפיים נפרדים כמו: מצב הפעלה CBC עם MAC באופן שכל אחד מהם פועל עצמאית. ישנן כמה דרכים לעשות זאת, מהן די מהירות למשל HMAC. מצב ההפעלה המועדף מהיבט של יעילות הוא CTR בגלל תמיכה מובנית במקביליות. הדרכים הישנות פועלות בשתי ריצות ואינן יעילות, מסיבה זו נעשים מאמצים למצוא דרכים חלופיות יותר יעילות. ישנן כמה סיבות מדוע הצפנה מאומתת מועדת לשגיאות. טעות נפוצה אחת היא להשתמש במפתח הצפנה משותף גם לאימות. טעות אחרת היא לנסות להבטיח שלמות על ידי פונקציית גיבוב לא קריפטורגפית ללא מפתח הצפנה. הוכח שגישות מסוג זה כמעט כולן ניתנות לפריצה בקלות ולמרות זאת הן קיימות. גרסת WEP המקורית למשל כללה אלגוריתם אימות לא בטוח כלל שפעל עם קוד תיקון שגיאות CRC.

הלבנה

Postscript-viewer-shaded.png ערך מורחב – הלבנה (קריפטוגרפיה)

טכניקת ההלבנה עושה שימוש בסדרה של ערכים בלתי תלויים הדדית (pairwise independent sequence) אותם מפיקים מווקטור האתחול באורך סיביות כאשר מתייחס לאורך בלוק הצופן בסיביות (128 במקרה של AES). המפתח לצורך ההלבנה הוא . Jutla הציע שתי דרכים להפקת הערכים לצורך ההלבנה.

האחת היא באמצעות הצפנה. תחילה 'מותחים' את וקטור האתחול לוקטור פסאודו-אקראי חדש בגודל שנקרא 'גרעין', על ידי הצפנה רקורסיבית עם מפתח ההצפנה לפי הנוסחה הפענוח נכשל (שגיאת המרה. השרת ("https://en.wikipedia.org/api/rest_") השיב: "Cannot get mml. Server problem."): {\displaystyle W_{i}=F_{K1}(r+i)} כאשר הפענוח נכשל (שגיאת המרה. השרת ("https://en.wikipedia.org/api/rest_") השיב: "Cannot get mml. Server problem."): {\displaystyle 1\leq i\leq t} . הערך מייצג את מספר הבלוקים של המסר לאחר שחולק לבלוקים בגודל סיביות והפונקציה היא לוגריתם בבסיס 2. הפונקציה היא צופן הבלוקים עם המפתח . לדוגמה אם הפענוח נכשל (שגיאת המרה. השרת ("https://en.wikipedia.org/api/rest_") השיב: "Cannot get mml. Server problem."): {\displaystyle m=256} בלוקים אז , דהיינו נדרשים 9 קריאות לצופן הבלוקים להכנת הגרעין האקראי (הווקטורים הפענוח נכשל (שגיאת המרה. השרת ("https://en.wikipedia.org/api/rest_") השיב: "Cannot get mml. Server problem."): {\displaystyle W_{i}} בגודל 128 סיביות כל אחד). עם הגרעין האקראי מכינים 'מסכת הלבנה' (whitening mask) שהיא סדרה של הפענוח נכשל (שגיאת המרה. השרת ("https://en.wikipedia.org/api/rest_") השיב: "Cannot get mml. Server problem."): {\displaystyle m+1} ערכים בגודל 128 סיביות כל אחד. לצורך כך משתמשים ברעיון של קוד גריי בשיטה שנקראת סכום-xor. לסיכום האלגוריתם:

הסימן מייצג סכום-xor דהיינו הסכום . הערך מייצג את הסיבית של האינדקס .

שיטה אלגברית

הדרך השנייה היא בשיטה אלגברית. תחילה בוחרים מספר ראשוני שיהיה קרוב לגודל הבלוק. במקרה של צופן 128 סיביות יהי הפענוח נכשל (שגיאת המרה. השרת ("https://en.wikipedia.org/api/rest_") השיב: "Cannot get mml. Server problem."): {\displaystyle p=2^{128}-159} . לאחר מכן מייצרים שני ערכים אקראיים על ידי הצפנה:

הפענוח נכשל (שגיאת המרה. השרת ("https://en.wikipedia.org/api/rest_") השיב: "Cannot get mml. Server problem."): {\displaystyle a=F_{K1}(r+1)} ,

אם מצמצמים . ואז הסדרה לצורך ההלבנה מתקבלת על ידי:

הפענוח נכשל (שגיאת המרה. השרת ("https://en.wikipedia.org/api/rest_") השיב: "Cannot get mml. Server problem."): {\displaystyle S_{i}=(S_{i-1}+b){\text{ mod }}2^{128}}

תיאור האלגוריתם

הצפנה

המסר מחולק ל- בלוקים בגודל סיביות (לדוגמה במקרה של AES סיביות, אם מכיל 1,000 סיביות, ו- מחולק ל-8 בלוקים כאשר הבלוק האחרון מרופד ב-24 אפסים). לצורך ההצפנה המאומתת נדרשים שני מפתחות שונים הפענוח נכשל (שגיאת המרה. השרת ("https://en.wikipedia.org/api/rest_") השיב: "Cannot get mml. Server problem."): {\displaystyle K_{1},K_{2}} כל אחד בגודל סיביות, כאשר נקבע לפי צופן הבלוקים שנבחר וכן וקטור אתחול חד פעמי גם הוא בגודל סיביות שבו משתמשים רק פעם אחת עבור מפתח נתון. להכנה תחילה מפעילים את אלגוריתם הכנה לעיל כדי לקבל את הסדרה . הטקסט המוצפן הפענוח נכשל (שגיאת המרה. השרת ("https://en.wikipedia.org/api/rest_") השיב: "Cannot get mml. Server problem."): {\displaystyle C_{0},C_{1},...,C_{m}} מתקבל על ידי:

הפענוח נכשל (MathML עם גיבוי SVG או PNG (מומלץ לדפדפנים מודרניים ולכלי נגישות): תגובה בלתי־תקינה ("Math extension cannot connect to Restbase.") מהשרת "https://en.wikipedia.org/api/rest_v1/":): {\displaystyle C_0=F_{K2}(r)}
הפענוח נכשל (MathML עם גיבוי SVG או PNG (מומלץ לדפדפנים מודרניים ולכלי נגישות): תגובה בלתי־תקינה ("Math extension cannot connect to Restbase.") מהשרת "https://en.wikipedia.org/api/rest_v1/":): {\displaystyle C_i=F_{K2}(P_i\oplus S_i)\oplus S_i}
הפענוח נכשל (MathML עם גיבוי SVG או PNG (מומלץ לדפדפנים מודרניים ולכלי נגישות): תגובה בלתי־תקינה ("Math extension cannot connect to Restbase.") מהשרת "https://en.wikipedia.org/api/rest_v1/":): {\displaystyle C_m=F_{K2}(\text{checksum}\oplus S_m)\oplus S_0}

הסימן מייצג סכום-xor דהיינו הסכום הפענוח נכשל (שגיאת המרה. השרת ("https://en.wikipedia.org/api/rest_") השיב: "Cannot get mml. Server problem."): {\displaystyle {\text{checksum}}=P_{1}\oplus P_{2}\oplus \cdots \oplus P_{m-1}} . וכן הפענוח נכשל (שגיאת המרה. השרת ("https://en.wikipedia.org/api/rest_") השיב: "Cannot get mml. Server problem."): {\displaystyle C_{0}} הוא וקטור האיתחול ו-הפענוח נכשל (MathML עם גיבוי SVG או PNG (מומלץ לדפדפנים מודרניים ולכלי נגישות): תגובה בלתי־תקינה ("Math extension cannot connect to Restbase.") מהשרת "https://en.wikipedia.org/api/rest_v1/":): {\displaystyle C_m} הוא תג האימות. שים לב שכעת הטקסט המוצפן התרחב בשני בלוקים נוספים, הראשון הוא בלוק וקטור האיתחול והאחרון הוא בלוק האימות כשבאמצע הטקסט המוצפן.

פענוח

כאמור מפתחות ההצפנה משותפים לשולח והמקבל. לפענוח הטקסט המוצפן . תחילה מחלצים את וקטור האתחול עם המפתח השני הפענוח נכשל (MathML עם גיבוי SVG או PNG (מומלץ לדפדפנים מודרניים ולכלי נגישות): תגובה בלתי־תקינה ("Math extension cannot connect to Restbase.") מהשרת "https://en.wikipedia.org/api/rest_v1/":): {\displaystyle r=F_{K2}^{-1}(C_0)} . הפונקציה היא פונקציית הפענוח של צופן הבלוקים. מפעילים את הפונקציה להכנת סדרת ההיסטים לצורך ההלבנה (באחת משתי השיטות לעיל) עם הפרמטרים הפענוח נכשל (MathML עם גיבוי SVG או PNG (מומלץ לדפדפנים מודרניים ולכלי נגישות): תגובה בלתי־תקינה ("Math extension cannot connect to Restbase.") מהשרת "https://en.wikipedia.org/api/rest_v1/":): {\displaystyle (r,m,K_1)} כדי לחשב את הסדרה ואז:

הפענוח נכשל (MathML עם גיבוי SVG או PNG (מומלץ לדפדפנים מודרניים ולכלי נגישות): תגובה בלתי־תקינה ("Math extension cannot connect to Restbase.") מהשרת "https://en.wikipedia.org/api/rest_v1/":): {\displaystyle \text{For }i=1\text{ to }m-1\text{ do }}
הפענוח נכשל (MathML עם גיבוי SVG או PNG (מומלץ לדפדפנים מודרניים ולכלי נגישות): תגובה בלתי־תקינה ("Math extension cannot connect to Restbase.") מהשרת "https://en.wikipedia.org/api/rest_v1/":): {\displaystyle P_m=F_{K2}^{-1}(C_m\oplus S_0)\oplus S_m}

הטקסט הקריא הוא . לבדיקת האימות מוודים ש-. אם לא, הטקסט המוצפן נדחה בגלל שינוי ייתכן זדוני, במהלך ההעברה.

בטחון

בטחון IAPM מתואר כצירוף של שני מאפיינים: indistingushability כנגד התקפת מוצפן-נבחר ושלמות. בכללות הכוונה שהאלגוריתם מבטיח שהטקסט המוצפן לא יהיה ניתן להבחנה מערך אקראי אמיתי וכן שלא ניתן יהיה לחשב תג אימות מתאים לטקסט מוצפן כלשהו ללא ידיעת מפתח ההצפנה המשותף לשולח והמקבל. אילו הנחות סטנדרטיות שמצפים מצופן בלוקים ו-MAC בהתאמה. ההוכחה של Jutla מראה שאלגוריתם IAPM בטוח אם צופן הבלוקים בטוח. וכן פונקציית ההלבנה היא בעצם פונקציית גיבוב אוניברסלית . הוכח שאין צורך בהגדרה מחמירה של פונקציה אקראית אוניברסלית אלא מספיק שהערכים לצורך ההלבנה יהיו 'בלתי תלויים הדדית'. ההתפלגות של פונקציות בלתי תלויות , נקראת , אם עבור כל קבוע הפענוח נכשל (MathML עם גיבוי SVG או PNG (מומלץ לדפדפנים מודרניים ולכלי נגישות): תגובה בלתי־תקינה ("Math extension cannot connect to Restbase.") מהשרת "https://en.wikipedia.org/api/rest_v1/":): {\displaystyle \Delta\in\{0,1\}^n} ועבור זוגות ערכים שונים הפענוח נכשל (שגיאת המרה. השרת ("https://en.wikipedia.org/api/rest_") השיב: "Cannot get mml. Server problem."): {\displaystyle (j,m,IV),(j',m',IV')} מתקיים

הפענוח נכשל (MathML עם גיבוי SVG או PNG (מומלץ לדפדפנים מודרניים ולכלי נגישות): תגובה בלתי־תקינה ("Math extension cannot connect to Restbase.") מהשרת "https://en.wikipedia.org/api/rest_v1/":): {\displaystyle \Pr[G_{j'}(m',IV')\oplus G_j(m,IV)=\Delta]\le\epsilon}

אזי הפונקציה נקראת אוניברסלית. הוא מספר הבלוקים ו-הפענוח נכשל (MathML עם גיבוי SVG או PNG (מומלץ לדפדפנים מודרניים ולכלי נגישות): תגובה בלתי־תקינה ("Math extension cannot connect to Restbase.") מהשרת "https://en.wikipedia.org/api/rest_v1/":): {\displaystyle \epsilon} ערך בטווח [0,1].

הערות שוליים