Galois/Counter Mode הוא מצב הפעלה של צופן בלוקים שפותח ב-2005 על ידי ג'ון ויגה מחברת Secure Software ודייוויד מקגרו מסיסקו, המשלב צופן סימטרי במצב מונה ופונקציית גיבוב אוניברסלית מעל שדה סופי מורחב, כדי לייצר הצפנה מאומתת עם מידע נלווה המסומנת בקיצור AEAD לפי פרדיגמה של "הצפנה ואז אימות". השיטה מבוססת על רעיון שהוכח כבטוח על ידי בלייר, קיליאן, רוגווי ואחרים ומסתמך גם על ביטחון הצופן הסימטרי שבבסיסו, בהנחה שהוא תמורה פסאודו-אקראית (צופן AES נראה כעונה להגדרה זו, אם כי לא קיימת הוכחה פורמלית). כמו כן GCM יעיל וקל להטמעה בחומרה ומאפשר ביצועים טובים גם בתוכנה, בעיקר אם מנצלים טבלאות אחזור (lookup table). האלגוריתם מצפין את המידע ומייצר טקסט מוצפן ותג אימות מהמידע המוצפן ומידע נלווה נוסף אם קיים, כאשר תג האימות מבטיח מעצם ההגדרה שלא ניתן יהיה לזייף טקסט מוצפן ותג מתאים ללא ידיעת מפתח ההצפנה הסודי המשותף, כך שפונקציית האימות של המקבל תחזיר 'אמת'.

GCM חופשי לשימוש ואינו מעוגן בפטנט או זכויות יוצרים. והוא אומץ על ידי המכון הלאומי לתקנים וטכנולוגיה של ממשלת ארצות הברית בתקן NIST SP800-38D[1] להצפנה מאומתת ובתקן IEEE 802.1AE. הוצע ב-RFC 5288 ונכלל בפרוטוקול SSL. הוא פופולרי בשל ביצועיו הטובים, תפוקתו מהמהירות הידועות כיום להצפנה מאומתת (בערך 3.7 cpb על מעבד אינטל 64 ביט).

תיאור הערכים

עריכה
 
תרשים לדוגמה של הצפנה מאומתת עם מסר   המכיל שני בלוקים ומידע נלווה   המכיל בלוק אחד. הסמל   מייצג את צופן הבלוקים (לדוגמה AES) עם המפתח  . הסמל   מייצג כפל פולינומים מעל   (הסבר בהמשך), עם מפתח הגיבוב   אותו מייצרים על ידי הצפנה של מחרוזת אפסים. הסמל   מייצג את פונקציית קידום המונה. פלט האלגוריתם הוא  .
  • מפתח הצפנה   באורך המתאים לצופן הבלוקים שבשימוש (בדרך כלל 128 סיביות). מפתח ההצפנה צריך להיות משותף גם למקבל.
  • וקטור אתחול   שאינו סודי, בגודל הנע בין בית אחד ל-  בתים. הערך המומלץ לצורך ביצועים אופטימליים הוא 96 סיביות.
  • טקסט מקור   בגודל שבין אפס בתים ל- . מחרוזת ריקה מסומנת כאן "{}".
  • דטה מאומתת נוספת המסומנת כאן  . זהו מידע גלוי נלווה, שאמור להיות מאומת אך לא מוצפן. בגודל של עד   בתים.
  • טקסט מוצפן   שגודלו בדיוק כגודל  .
  • תג אימות   שגודלו יכול להיות בין 64 ל-128 סיביות (בין שמונה לשישה עשר בתים). אורך התג מסומן כאן ב- .

פענוח ואימות

עריכה

אלגוריתם הפענוח המאומת מקבל את   ומפיק את הטקסט המקורי   או סימן מיוחד "FAIL" המציין שהאימות נכשל, אם הייתה שגיאה. לפי הגדרת האלגוריתם, הפענוח המאומת יחזיר את   רק אם הערכים חושבו על ידי פונקציית ההצפנה המאומתת של GCM. במידה שאחד מהם שונה אפילו במעט, בסיכוי גבוה מאוד אלגוריתם הפענוח יחזיר הודעת שגיאה. כאשר אז המשמעות היא שאחד הערכים שגוי בגלל תקלה או בשל שינוי זדוני. המידע הנלווה   משמש כמידע תפעולי ועשוי להכיל כתובות IP, פורטים, מספרי גרסאות וכיוצא בזה. אילו בדרך כלל מהווים חלק מהכותר הנלווה למידע כדי לאפשר למערכת בצד השני לטפל בו בצורה נכונה, לכן אמור להיות במצב גלוי. הפרוטוקול מאפשר לאמת ולהבטיח את שלמות המידע הנלווה כדי להגן על סודיות המידע המוצפן מפני התקפת מוצפן-נבחר.

המטרה העיקרית של ה-  שנקרא גם Nonce היא לספק ערך ייחודי וחד פעמי שנדרש בכל פעם שמפעילים את האלגוריתם עם מפתח   נתון. ה-  אינו חייב להיות סודי ויכול להיות מספר אקראי או נומרטור כלשהו שצריך להיות ידוע גם לצד המקבל, המגבלה היחידה היא שלא יחזור על עצמו עם מפתח נתון. ב-GCM וקטור האתחול מאומת. אם   מכיל 0 בתים, ו-  מכיל בתים כלשהם, אזי למעשה מתקבל אימות של   בלבד. והיות ש-  נותר גלוי, במקרה זה GCM מתנהג כקוד אימות מסרים ללא הצפנה. זאת ללא שינוי באלגוריתם. לצורך ההבחנה מסמנים מקרה זה כ-GMAC. הערך   צריך להיות לפחות 64 כדי לקבל רמת ביטחון מינימלי של  . לטענת המפתחים התקפה על GCM של חיפוש רנדומלי של תגים עד שנמצא זיוף, תצליח בהסתברות של   כאשר   הוא מספר הבלוקים שהוצפנו. לכן אפקטיבית חוזק התג הוא בסדר גודל של   סיביות. מסיבה זו לא מומלץ להצפין עם מפתח נתון יותר מ-  בתים.

תיאור האלגוריתם

עריכה

באלגוריתם הבא   מייצג את צופן הבלוקים, פירוש   הוא הצפנה של   עם המפתח  . הפונקציה   מחזירה ערך בגודל 64 סיביות המייצג את מספר הסיביות של  . הביטוי   מתייחס למחרוזת של   אפסים. הביטוי   מייצג שרשור, כלומר חיבור של   עם   למחרוזת ארוכה יותר המכילה את שניהם בזה אחר זה. הפונקציה   מחזירה את   הסיביות המשמעותיות ביותר של  . הערכים   מייצגים את חלוקת המסר למקטעים לפי הנוסחה  . כאשר   כך ש-  מורכב למעשה ממערך של   בלוקים בגודל 128 סיביות פלוס בלוק אחד בגודל   סיביות המרופד באפסים לפי הצורך כדי להשלימו לגודל בלוק מלא. למעשה מתקבל   (הכוכבית מציינת שאורכו של הבלוק האחרון יכול להיות קטן מ-128). וכן לגבי  . והמידע הנלווה   הוא  . כאשר סך כל סיביות   הוא  . ו- . הפונקציה   מייצגת קידום ערכו של   באחד מודולו  . למעשה   יכול להיות גדול מ-32 סיביות אך המונה נשאר בשל הצמצום המודולרי בגודל 32 סיביות. הסימן   מייצג XOR והפונקציה GHASH מוגדרת להלן.

מהלכי ההצפנה

עריכה
  1.  
  2.  
  3.  
  4.  
  5.  
  6.  

במילים, תחילה מצפינים מחרוזת של 128 אפסים עם המפתח הסודי  , לאחר מכן מכינים את ערכו ההתחלתי של המונה   לאחר מכן מבצעים איטרציה ומכינים את כל ערכי המונה הדרושים: מחברים את המונים עם בלוקי הטקסט הקריא אחד אחרי השני באמצעות XOR להפקת הטקסט המוצפן ולאימות משתמשים ב-GHASH עם מפתח האימות והמידע הנלווה ומחברים ב-XOR עם הצפנת צופן הבלוקים עם המפתח   (שהוא טקסט מוצפן של וקטור האתחול שהוצפן עם המפתח  .

הפונקציה GHASH

עריכה

פונקציה רקורסיבית המגדירה את ערכי   החל מ-  עד   כדלהלן:

 

מהלכי הפענוח

עריכה
  1.  
  2.  
  3.  
  4.  
  5.  
  6.  

תג האימות   מושווה לתג המקורי   שהגיע יחד עם  . אם הם שווים מוחזר   אם לא, מוחזר "FAIL". שים לב שכדי למנוע התקפת תזמון, התהליך מתנהל באופן זהה גם במקרה של שגיאה כלומר במקרה של כישלון FAIL יוחזר רק לאחר שורה 6. אף על פי שאפשר לדעת אם חל שינוי בחלק מהערכים שהתקבלו כבר בשורה 3.

כפל פולינומים מעל השדה

עריכה

בפונקציה GHASH מבוצע כפל מודולרי בשדה הבינארי   מודולו  . כלומר רואים במחרוזות הסיביות 'כמקדמים בינאריים' של פולינומים ממעלה נמוכה מ-128 לפי סדר בתים גדול (כלומר הסיבית הכי המשמעותית מייצגת את המקדם הראשון). לצורך הצמצום המודולרי משתמשים בפולינום פרימיטיבי קבוע   המיוצג על ידי המחרוזת   (כלומר הבית הראשון מכיל את 11100001 (0xE1) והיתר אפסים, בסך הכול 128 סיביות או 16 בתים).

בפונקציה מתבצע הכפל של הקבוע   (שהוא תוצאת הצפנה של מחרוזת אפסים) במשתנה   הדרך הארוכה לחישוב   אינה יעילה, אפשר לפשט את התהליך על ידי רקורסיה של הכפלות בפולינום   המיוצג על ידי האלמנט   המקביל למחרוזת הבינארית '10' (או בבסיס הקסדצימלי 0x02). פעולה זו שוות ערך לפעולת Shift left, כלומר הזזה של כל הסיביות שמאלה (למעלה) פוזיציה אחת, הסיבית המשמעותית ביותר נפלטת והסיבית הראשונה מתאפסת, הפעולה Shift מובנית בכל המעבדים והיא יעילה. אם הסיבית המשמעותית ביותר של   (לפני ההזזה) המיוצגת על ידי   היא אפס, מתקבל למעשה פולינום ממעלה 127, אחרת התרחשה גלישה ולכן לפי כללי החשבון המודולרי יש צורך לחלק את התוצאה בפולינום הפרימיטיבי   ולקחת את השארית. כלומר למצוא   ו-  המקיימים  . קל לפתור את המשוואה עבור המקרה   כי אז מתקבל  . יוצא שהצמצום המודולרי מקביל למעשה לפעולת חיסור אחת במקדמים הנמוכים של  . בשדה בינארי פעולת חיבור מתבצעת על כל המקדמים בנפרד מודולו 2 שהיא מקבילה למעשה לפעולת XOR. היות ש-XOR הופכי של עצמו חיסור זהה לחיבור.

בסיכומו של דבר הכפל ב-  דורש רק הזזת כל סיביות המחרוזת פוזיציה אחת ופעולת XOR מותנית אחת עם הקבוע לעיל. שהן כידוע פעולות מהירות וזולות במונחי מחשוב. מכאן הדרך לביצוע כל כפל ביעילות רבה ברקורסיה. כדי לחשב את   מייצגים את   כחזקות של האלמנט  , מבצעים רקורסיה   כלומר בכל שלב מכפילים את   ב-  בשיטה המתוארת ואם   מבצעים חיבור אחד נוסף ב-XOR (מלבד החיסור המותנה בכפל ב- ), התוצאה היא ב-  כדלהלן:

 
 
 
 
 

מספר הפעמים שיש להפעיל את אלגוריתם הכפל בהצפנה אחת של טקסט בגודל   סיביות הוא  . וכן אם יש מידע נלווה בגודל   סיביות יש להוסיף   פעולות כפל. יתרה מזו, אם הזיכרון זמין, אפשר להאיץ את פעולת הכפל על ידי הכנה מוקדמת של טבלאות כפל. כלומר כדי לחשב את   אפשר להכין טבלה של תת-קבוצה של חזקות של  . אם מחלקים את 128 הסיביות של   ל-16 בתים, ומכינים 16 טבלאות   של 256 ערכים כל אחת, פעולת הכפל של   כלשהו יכולה להיות:

 .

הערך   מתייחס לבית ה-  של  . הרעיון הוא שאם מבודדים שמונה סיביות של   כלשהו פעולת הכפל ב-  היא תוצאה אחת מתוך   תוצאות אפשריות, כלומר 256 אלמנטים. אם מכפילים ב-16 מתקבל למעשה כל האפשרויות כאשר סך כל הזיכרון המנוצל הוא 65,536 בתים. ויקטור שופ הציע[2] רעיון לצמצם את דרישות הזיכרון במחיר של חישוב ארוך יותר. אפשר להיפטר מכל הטבלאות   למעט   ולבצע את הכפל כדלהלן:

 

כלומר אפשר לבצע את הכפל ב-  רקורסיבית יחד עם פעולות XOR. וכן להיעזר בטבלה   כדי לחשב את  . אולם תהיה בעיה של עם   כי הוא חורג מגודל 16 בתים. אפשר להוסיף טבלה   שתכלול את כפולות   ב- . בשיטת שופ אפשר לצמצם את דרישות הזיכרון של שתי הטבלאות   ו-  לסך הכול 256 ועוד 64 בתים במחיר של מעט עבודה נוספת. להלן תיאור אלגוריתם שופ:

 
 
 
 
 
 
 
 
 

האלגוריתם להכנת הטבלה   הוא:

 
 
 
 
 
 
 
 

באותה דרך אפשר להכין את יתר הטבלאות  .

ביטחון ויעילות

עריכה

GCM בנוי לפי פרדיגמה של הצפנה מאומתת שנקראת "הצפנה ואז אימות" (encrypt-then-authenticate) שידועה בביטחון שהיא מספקת, בתנאי שהמרכיבים הבסיסיים כמו הצופן הסימטרי ופונקציית הגיבוב בטוחים. ההעדפה של מצב מונה נובעת מתכונת המקביליות ומהפשטות שלו. וניצול כפל פולינומים מעל השדה המורחב   נובע גם בשל תכונת האקראיות המוכחת ובשל היעילות במימוש במיוחד בחומרה. פחות מעגלים ופחות עיכובים בצינור עיבוד נתונים. הפולינום של השדה נבחר באופן שיכיל משקל נמוך (מספר סיביות אחד נמוך) והוא נלקח מטבלה של גדיאל סרוסי מהטכניון. לצורך האלגוריתם נדרש רק מפתח הצפנה יחיד, בעוד שמפתח פונקציית האימות נגזר ממנו. השימוש בכפל פולינומים מעל שדה בינארי מורחב, הוכח כבטוח נגד התקפת גלוי-נבחר על ידי בלייר, קיליאן, רוגווי ואחרים. השימוש בפונקציית גיבוב 'אוניברסלית' להבטחת שלמות ואימות כמו בקוד אימות מסרים הוכח כבטוח על ידי ווגמן וקרטר. מצב מונה שהועלה לראשונה על ידי דיפי והלמן ב-1979 הוכח על ידם כיעיל ובטוח. לפי הצהרת המפתחים תפוקת האלגוריתם עם זיכרון של 256 בתים עומדת על כ-90 מחזורי שעון לבית בממוצע. וכן הסיכויים להתקפה מוצלחת כנגד מנגנון האימות הם בהסתברות של  .

ניילס פרגוסון (ממפתחי אלגוריתם Twofish) גילה[3] שתי חולשות במנגנון האימות של GCM כאשר משתמשים בתג אימות קצר כמו 32 או 8 סיביות, בנוסף להערות טכניות לגבי התכנון של GCM. הבעיה הראשונה שהעלה מראה שאפשר להעלות את הסיכויים לזיוף מוצלח לכדי חצי ממה שצפוי, לדוגמה עבור תג אימות בגודל 32 סיביות הסיכויים הם  , שזה גבוה במידה ניכרת ממה שהצהירו המפתחים. הסיבה לבעיה אינה GHASH עצמה כיוון שהפונקציה מוכחת כחד כיוונית והתנגשויות הן בהסתברות של   עבור   בלוקים. הסיבה לנקודת התורפה נעוצה בעובדה שתוצאת GHASH מוצפנת על ידי המפתח באמצעות XOR שכידוע אינו מגן מפני מניפולציה של סיביות הפלט (כלומר קלט עם סיבית שגויה אחת ישפיע רק על הסיבית המקבילה בפלט, זוהי פרצה שמאפשרת התקפה כאשר ידוע איזו סיבית שגויה). אבל הבעיה היותר חמורה היא שבעקבות זיוף מוצלח אחד ניתן להגביר את הסיכויים לחשיפת סיביות אחרות של מפתח האימות   עד כדי חשיפת המפתח כולו אחרי מספר ניסיונות די קצר. ההמלצה שלו היא להשתמש בתג אימות באורך 128 סיביות ולא פחות או במנגנון אימות אחר. אם למשל משנים את GCM כך שלפני XOR עם המפתח מצפינים את התוצאה באמצעות צופן הבלוקים נראה שהבעיה תיפתר על חשבון יעילות.

כמו כן מעלה נילס פרגוסון כמה מגבלות ראויות לציון בתכנון GCM. העובדה שאורך המסר המאומת הוגבל ל-  שזה יחסית קצר וכן העובדה שהאלגוריתם אינו מגביל את אורך המסר לגבולות בתים מה שעלול ליצור בעיות תאימות וכן העובדה שבמצב אופטימלי נדרשות טבלאות גדולות כדי להגיע לביצועים גבוהים, מה שלטענתו אינו מעשי.

יתרונות

עריכה
  • מצב מונה נחשב בעיקרון למצב הפעלה מהיר, בטוח ויעיל. השימוש בפעולות אלגבריות פשוטות בשדה   ניתן למימוש יעיל ומאפשר ביצועים טובים הן בתוכנה והן בחומרה (להלן שיטות יישום מהירות ואלגוריתמים).
  • אפשר להשתמש ב-GCM גם כקוד אימות מסרים עצמאי, כאשר אין צורך בהצפנה, ללא מאמץ מיוחד.
  • במקרה שבוצע שינוי במסר לאחר שתג האימות עבורו הוכן, אפשר לחשב את התג מחדש במאמץ שהוא פרופורציונלי למספר הסיביות ששונו.
  • האלגוריתם מקבל וקטור אתחול באורך שרירותי. כך שאפשר לנצל קטע נתונים כלשהו גם אם גודלו עולה על גודל הבלוק שהצופן מקבל.

ראו גם

עריכה

לקריאה נוספת

עריכה
  • McGrew, David A.; Viega, John (2005). "The Galois/Counter Mode of Operation (GCM)". p. 5. Retrieved 20 July 2013. Note that there is a typo in the formulas in the article.

הערות שוליים

עריכה