режим ККМ

Режим CCM ( счетчик с кодом аутентификации сообщения цепочки блоков шифра ; счетчик с CBC-MAC ) — это режим работы для криптографических блочных шифров . Это аутентифицированный алгоритм шифрования, разработанный для обеспечения как аутентификации , так и конфиденциальности . Режим CCM определен только для блочных шифров с длиной блока 128 бит. ^[1]^[2]

Случайный номер CCM должен быть тщательно выбран, чтобы никогда не использоваться более одного раза для данного ключа . Это связано с тем, что CCM является режимом вывода счетчика (CTR) , а последний фактически является потоковым шифром . ^[3]

Шифрование и аутентификация

Как следует из названия, режим CCM объединяет режим счетчика (CTR) для конфиденциальности с кодом аутентификации сообщений цепочки блоков шифра (CBC-MAC) для аутентификации. Эти два примитива применяются в манере «аутентификация-затем-шифрование»: CBC-MAC сначала вычисляется для сообщения, чтобы получить код аутентификации сообщения (MAC) , затем сообщение и MAC шифруются с использованием режима счетчика. Главное понимание заключается в том, что один и тот же ключ шифрования может использоваться для обоих, при условии, что значения счетчика, используемые при шифровании, не конфликтуют с (предварительным) вектором инициализации, используемым при аутентификации. Для этой комбинации существует доказательство безопасности ^[4] , основанное на безопасности базового блочного шифра. Доказательство также применимо к обобщению CCM для любого размера блока и для любого размера криптографически сильной псевдослучайной функции (поскольку как в режиме счетчика, так и в CBC-MAC блочный шифр используется только в одном направлении).

Режим CCM был разработан Рассом Хаусли, Дугом Уайтингом и Нильсом Фергюсоном . Во время разработки режима CCM Расс Хаусли работал в RSA Laboratories .

Небольшая вариация CCM, называемая CCM*, используется в стандарте Zigbee . CCM* включает в себя все функции CCM. Он позволяет выбирать длину MAC вплоть до 0 (что отключает аутентификацию и становится только шифрованием). ^[5]

Производительность

CCM требует двух операций шифрования блочным шифром для каждого блока зашифрованного и аутентифицированного сообщения и одной операции шифрования для каждого блока связанных аутентифицированных данных.

Согласно тестам Crypto++ , AES CCM требует 28,6 циклов на байт на процессоре Intel Core 2 в 32-битном режиме. ^[6]

Заметные недостатки:

CCM не является «онлайн» аутентифицированным шифрованием с сопутствующими данными (AEAD) , поскольку длина сообщения (и сопутствующих данных) должна быть известна заранее.
В конструкции MAC длина связанных данных имеет кодировку переменной длины, которая может быть короче размера машинного слова. Это может привести к пессимистичной производительности MAC, если связанные данные длинные (что встречается редко).
Связанные данные обрабатываются после данных сообщения, поэтому предварительно рассчитать состояние для статических связанных данных невозможно.

Патенты

Катализатором разработки режима CCM стало представление режима offset codebook (OCB) для включения в стандарт IEEE 802.11i . Было высказано противодействие включению режима OCB из-за ожидающей подачи патентной заявки на алгоритм . Включение запатентованного алгоритма означало значительные лицензионные осложнения для реализаторов стандарта.

Хотя включение режима OCB оспаривалось на основе этих вопросов интеллектуальной собственности , было решено, что упрощение, предоставляемое аутентифицированной системой шифрования, было желательным. Поэтому Хаусли и др. разработали режим CCM как потенциальную альтернативу, не обремененную патентами.

Несмотря на то, что режим CCM менее эффективен, чем режим OCB, решение без патента было предпочтительнее, чем решение, осложненное проблемами лицензирования патентов. Поэтому режим CCM стал обязательным компонентом стандарта IEEE 802.11i, а режим OCB был понижен до статуса необязательного компонента, прежде чем в конечном итоге был полностью удален.

Использовать

Режим CCM используется в IEEE 802.11i (как CCMP , протокол шифрования CCM для WPA2 ), IPsec , ^[7] и TLS 1.2, ^[8] , а также Bluetooth Low Energy (начиная с Bluetooth 4.0 ). ^[9] Он доступен для TLS 1.3, но не включен по умолчанию в OpenSSL . ^[10]

Смотрите также

Ссылки

^ Дворкин, Моррис (май 2004 г.). Рекомендации по режимам работы блочного шифра: режим CCM для аутентификации и конфиденциальности (PDF) (технический отчет). Специальные публикации NIST. NIST . doi : 10.6028/NIST.SP.800-38C . 800-38C.
^ Whiting, D.; Housley, R.; Ferguson, N. (сентябрь 2003 г.). Counter with CBC-MAC (CCM). IETF . doi : 10.17487/RFC3610 . RFC 3610.
^ Хаусли, Расс (декабрь 2005 г.). "rfc4309". IETF : 3. AES CCM использует режим счетчика для шифрования. Как и в случае с любым потоковым шифром, повторное использование того же значения IV с тем же ключом катастрофично.
^ Йонссон, Якоб (2003). "О безопасности CTR + CBC-MAC" (PDF) . Избранные области криптографии . Конспект лекций по информатике. Том 2595. С. 76–93. doi :10.1007/3-540-36492-7_7. ISBN 978-3-540-00622-0.
^ "Приложение B: Режим работы CCM*". Стандарт IEEE для локальных и городских сетей — Часть 15.4: Низкоскоростные беспроводные персональные сети (LR-WPAN) (PDF) . Стандарты IEEE . 2011-09-05. стр. 229 . Получено 2015-12-18 .
^ "Crypto++ 5.6.0 Benchmarks". Crypto++ . Получено 6 сентября 2015 г. .
^ RFC 4309 Использование режима CCM расширенного стандарта шифрования (AES) с инкапсуляцией полезной нагрузки безопасности IPsec (ESP)
^ RFC 6655 Наборы шифров AES-CCM для безопасности транспортного уровня (TLS)
^ "Bluetooth Low Energy Security". Архивировано из оригинала 2016-04-02 . Получено 2017-04-20 .
^ Касвелл, Мэтт (2017-05-04). "Использование TLS1.3 с OpenSSL". Блог OpenSSL . Получено 2024-10-11 .

Внешние ссылки

RFC 3610: Счетчик с CBC-MAC (CCM)
RFC 4309: Использование режима CCM расширенного стандарта шифрования (AES) с инкапсуляцией полезной нагрузки безопасности IPsec (ESP)
RFC 6655: Наборы шифров AES-CCM для безопасности транспортного уровня (TLS)
Критика CCM (автор OCB)