Galois/Sayaç Modu

[bullvar_katip]

Kriptografide Galois / Sayaç Modu (GCM), performansı sayesinde yaygın olarak benimsenen simetrik anahtar şifreleme blok şifrelemeleri için bir çalışma modudur. Son teknoloji ürünü olan GCM, yüksek hızlı iletişim kanalları için ucuz donanım kaynakları ile üretim hızlandırabilir. Bu operasyon, hem veri doğruluğu (bütünlük) hem de gizlilik sağlamak için tasarlanmış algoritmasıdır. GCM, 128 bit blok boyutuna sahip blok şifreleri için tanımlanmıştır. Galois İleti Kimlik Doğrulama Kodu (GMAC), arttırımlı ileti doğrulama kodu olan GCM’in sadece kimlik doğrulama türüdür. Hem GCM hem de GMAC, başlatma vektörleri keyfi uzunlukta kabul edebilir. Farklı blok şifre çalışma modları, aynı blok şifresi ile kullanıldığında bile önemli ölçüde farklı performans ve verimlilik özelliklerine sahip olabilirler. GCM, paralel çalışma ve uygulamasından tam verimiyle yararlanabilir. GCM, bir boru hattını veya bir donanım boru hattını verimli bir şekilde kullanabilir. Buna karşılık, şifre bloğu zincirleme (CBC) çalışma modu, verimliliğini ve performansını etkileyecek belirgin maruz kalır. Temel operasyon Sayaç modunda olduğu gibi, bloklar sırayla numaralandırılır ve ardından bu blok numarası bir (IV) ile birleştirilir. Genellikle AES olan bir blok şifre ile şifrelenir. Bu şifrelemenin sonucu daha sonra şifreleme metnini oluşturmak için hale getirilir.Tüm sayaç modları gibi, bu da aslında bir dizi şifresidir ve bu nedenle şifrelenen her dizi için farklı bir IV kullanılması önemlidir. Şifreleme blokları, daha sonra kullanılarak anahtara bağımlı bir noktası bulunur. noktası polinomun katsayıları olarak kabul edilir. Sonuç daha sonra şifrelenir ve verilerin bütünlüğünü doğrulamak için kullanılabilecek bir kimlik doğrulama etiketi üretilir. Şifrelenmiş metin IV, şifreleme metni ve kimlik doğrulama etiketini içerir. 550x550pik|GCM şifreleme işlemi Matematiksel temel GCM, yaygın olan sayaç şifrelemeyi yeni Galois kimlik doğrulama moduyla birleştirir. Anahtarın özelliği, kimlik doğrulaması için kullanılan Galois alan çarpımının paralel hesaplama kolaylığı sağlamasıdır. Bu özellik, CBC gibi zincirleme modlarında kimlik doğrulama algoritmalarının daha yüksek verim de olmasına izin verir. Kullanılan GF (2 ) terimi polinom tarafından tanımlanır: Kimlik doğrulama etiketi, veri bloklarının GHASH işlevine aktarılması ve sonucun şifrelenmesi ile oluşturulur. Bu GHASH fonksiyonu aşağıdaki gibi tanımlanır: burada H = E (0 ), Blok şifre kullanılarak şifrelenen 128 sıfır bitlik bir dize olan Hash anahtarıdır, A sadece kimliği doğrulanmış (şifrelenmemiş) verilerdir, C , m 128- A'daki bit blokları (yukarı yuvarlanmış), n, C'deki (yukarı yuvarlanmış) 128 bitlik blokların sayısıdır ve için X değişkeni aşağıda tanımlanmıştır. İlk olarak, kimliği doğrulanmış metin ve şifre metni 128 bitlik katlara ayrı ayrı sıfır doldurulur ve tek bir mesajda S birleştirilir : len (A) ve len (C), sırasıyla A ve C bit uzunluklarının 64 bit gösterimidir, v = len (A) mod 128, A'nın son bloğunun bit uzunluğudur = len (C) mod 128, C'nin son bloğunun bit uzunluğudur ve "bit" dizelerinin birleştirmesini gösterir. X şu şekilde tanımlanır: İkinci form, birinciye uygulanması sonucu elde edilen verimli bir yinelemeli algoritmadır. (her X , X bağlıdır). Yalnızca son X çıktı olarak kalır. Hash hesaplamasını paralelleştirilmesi gerekiyorsa, k kez yapılabilir: GCM ve David A. McGrew tarafından (Carter-Wegman Counter modu) için bir gelişme olarak tasarlanmıştır. Kasım 2007'de NIST, Blok Şifreleme Modu için NIST Özel Yayın 800-38D tavsiyede bulundu: Galois/Sayaç Modu (GCM) ve GMAC'nin GCM ve GMAC resmi standartlarını oluşturması için duyurdu. Kullanım GCM modu (MACsec) Ethernet güvenliği, ( olarak da adlandırılan), ANSI Fiber Kanal Güvenlik Protokolleri (FC-SP), bant depolama, IETF IPsec standartları, SSH , TLS 1.2 ve TLS 1.3. AES-GCM, dahildir ve 2018 Ticari Ulusal Güvenlik Algoritması (CNSA) paketinde en son değiştirilmiştir . GCM modu, SoftEther VPN sunucusunda ve istemcisin de ve sürümü 2.4'ten beri kullanılmaktadır. Performans GCM, şifrelenmiş ve kimliği doğrulanmış verilerin her bloğu (128 bit) için bir blok şifreleme işlemi ve Galois alanında 128 bit çarpma gerektirir. Blok şifreleme işlemleri kolayca ardışık ya da paralel yapılabilir; çarpma işlemleri kolayca ardışık(boru) yapılabilir ve makul bir çaba ile paralelleştirilebilir (ya asıl operasyonu paralelleştirerek, ya orijinal NIST gönderimi başına uyarlayarak veya her ikisini de) Intel, GCM kullanımını vurgulayarak talimatını ekledi. 2011 yılında SPARC, 64 × 64 bit gerçekleştiren XMULX ve XMULXHI talimatlarını ekledi. 2015 yılında SPARC, 4096 bit sonuç üreten 2048 × 2048 bit giriş değerlerine kadar çok daha büyük değerlerin XOR çarpımı gerçekleştiren XMPMUL talimatını ekledi. Bu talimatlar GF (2 ) üzerinde hızlı çarpma ve herhangi bir alan gösterimi sağlar. GCM’in etkileyici performans sonuçları birçok platformda yayınlandı. Käsper ve Schwabe, 64 bit Intel işlemcilerde bayt başına 10.68 döngüyü elde eden "Daha Hızlı ve Zamanlamaya Karşı Saldırıya Dayanıklı AES-GCM " tanımladı. Dai ve diğerleri Intel'in AES-NI ve PCLMULQDQ yönergelerini kullanırken aynı algoritma için bayt başına 3,5 döngü rapor etti. Shay Gueron ve Vlad Krasnov, 3. nesil Intel işlemcilerde bayt başına 2.47 döngü elde etti. OpenSSL ve kütüphaneleri için uygun yamalar hazırlandı. İleti üzerinde hem kimlik doğrulama hem de şifreleme yapılması gerektiğinde, yazılım uygulaması bu işlemlerin yürütülmesini örtüştürerek hızlandırabilir. Birbiriyle bağlantılı olan işlemlerde komut düzeyinde paralellikten yararlanılarak performans artırılır.Bu işleme fonksiyon dikişi denir, ve prensipte herhangi bir kriptografik algoritma kombinasyonunda uygulanabilir. Özellikle GCM’e uygundur. Manley ve Gregg , GCM ile fonksiyon dikişi kullanıldığında optimizasyonun kolaylığını gösterir. Şifreleme algoritmasının açıklamalı bir C sürümünü alan ve hedef işlemcide düzgün çalışan kod oluşturan bir program oluşturucu sunarlar. GCM gömülü dünyada örneğin Silicon Labs tarafından paralel işlemlerde kriptografik donanım motorlarının performans kullanımında uygun olmadığı için eleştirildi. Bu nedenle performansa duyarlı bazı aygıtlar için şifreleme performansını azaltır. Patentler Yazarın ifadesine göre, GCM patentler tarafından serbest bırakılamaz Güvenlik GCM'nin güvenli olduğu kanıtlanmıştır. Rastgele bir permütasyondan ayırt edilemeyen bir blok şifresini alarak güvenli hale getirilir. Ancak, güvenlik aynı anahtarla gerçekleştirilen her şifreleme için benzersiz bir seçmeye bağlıdır. (bkz. ).Herhangi bir anahtar ve başlatma vektörü kombinasyonu için, GCM düz metni (64 GiB) bit şifrelemesiyle sınırlıdır. NIST Özel Yayını 800-38D, başlatma vektörü seçimi için yönergeler içerir. Kimlik doğrulama gücü, tüm simetrik ileti kimlik doğrulama kodlarında olduğu gibi kimlik doğrulama etiketinin uzunluğuna bağlıdır. GCM'le daha kısa kimlik doğrulama etiketlerinin kullanılması önerilmez. T ile gösterilen etiketin bit uzunluğu bir güvenlik parametresidir. Genel olarak, t beş değerden herhangi biri olabilir: 128, 120, 112, 104 veya 96. Bazı uygulamalar için t, 64 veya 32 olabilir, ancak bu iki etiket uzunluğunun kullanımı verilerinin uzunluğunu ve anahtarın ömrünü kısıtlar. NIST SP 800-38D'deki Ek C bu kısıtlamalar için kılavuz sağlar. (örneğin, ve maksimum paket boyutu 2 bayt ise, kimlik doğrulama şifre çözme işlevi en fazla 2 kez çağrılmalıdır; ve maksimum paket boyutu 2 ise, kimlik doğrulama şifre çözme işlevi en fazla 2 kez çağrılmalıdır). Herhangi bir ileti kimlik doğrulama kodunda olduğu gibi, eğer tehdit rastgele bir t- bit etiketi seçerse, olasılığı 2 şeklinde olan veriler için doğru olması beklenir. Ancak, GCM ile rakip başarım oranının benzerliğini n kelimeli etiketleri (şifreli metnin toplam uzunluğu artı herhangi bir ek doğrulanmış veri (AAD)) seçerek ve olasılığı 2 faktörle başarı olasılığı artırabilir. Buna rağmen unutulmamalıdır ki bu optimal etiketlerin hala keyfi olarak büyük t için algoritmanın varlığını sürdürme ölçüsü tarafından domine edilmektedir. Ayrıca, GCM çok kısa etiket uzunlukları ya da çok uzun iletilerde kullanım için uygun değildir. Ferguson ve Saarinen, saldırganın güvenliğinin alt sınırını karşılayan GCM kimlik doğrulamasına karşı en uygun saldırılarının nasıl gerçekleştirebileceğini bağımsız olarak açıkladı. Ferguson, eğer n kodlamadaki toplam blok sayısını (GHASH işlevine giriş) gösterirse, o zaman yaklaşık olarak n ⋅2 olasılığıyla başarılı olması beklenen hedeflenmiş bir şifreleme metni sahtekarlığı oluşturma yöntemi olduğunu gösterilmiş olur. Etiket uzunluğu t 128'den kısaysa, bu saldırıda başarılı olan her sahte işlem, sonraki hedeflenen sahteciliklerde başarılı olma olasılığını artırır ve hash alt anahtarı H hakkında bilgi sızdırır. Sonunda, H tamamen tehlikeye girebilir ve kimlik doğrulama güvencesi tamamen kaybolabilir. Bu saldırıdan bağımsız olarak bir düşman,kimlik doğrulamasına yönelik belirli bir giriş için birçok farklı etiketi sistematik olarak tahmin etmeye çalışabilir ve böylece bunların (veya daha fazlasının) sonunda geçerli kabul edilme olasılığını artırabilir. Bu nedenle, GCM'yi uygulayan sistem veya protokol, her bir anahtar için başarısız doğrulama girişimi sayısını izlemeli ve gerekirse sınırlandırmalıdır. Saarinen, GCM'nin tarif etti. Bu çalışma, polinom hash tabanlı kimlik doğrulamanın nasıl çalıştığı hakkında bazı değerli bilgiler vermektedir. Daha kesin olarak, bu çalışma, geçerli bir GCM mesajı verildiğinde, bir GCM mesajının, bit uzunluğundaki mesajlar için yaklaşık olasılığı ile çalışabilmesini açıkladı. Ancak, bu çalışma önceden bilindiğinden ötürü daha etkili bir saldırı gösterememektedir; bu yazının gözlemindeki bir başarı olasılığı INDOCRYPT 2004 analizinden yardımcı önerme 2 ile aynıdır ( ve ). Saarinen da GCM varyantı olan , (SGCM) 'a dayanır. Ayrıca bakınız Şifre çalışma modlarını engelle AES-GCM-SIV Kaynakça Dış bağlantılar GCM ve GMAC'ı tanımlayan NIST Özel Yayını SP800-38D RFC 4106: IPsec Kapsüllenen Güvenlik Yükü'nde (ESP) Galois / Sayaç Modu (GCM) Kullanımı RFC 4543: IPsec ESP ve AH'de Galois İleti Kimlik Doğrulama Kodunun (GMAC) Kullanımı RFC 5288: TLS için AES Galois Sayaç Modu (GCM) Şifre Paketleri RFC 6367: Kamelya Şifre Paketlerinin Taşıma Katmanı Güvenliğine Eklenmesi (TLS) IEEE 802.1AE - Medya Erişim Kontrolü (MAC) Güvenliği IEEE Depolamada Güvenlik Çalışma Grubu P1619.1 standardını geliştirdi INCITS T11 Teknik Komitesi Fiber Kanal - Güvenlik Protokolleri projesi üzerinde çalışmaktadır. Güvenli RTP'de (SRTP) AES-GCM ve AES-CCM Kimlik Doğrulamalı Şifreleme Galois / Sayıcı Çalışma Modu (GCM) Kategori:Sonlu alanlar