Galois/Sayaç Modu

Kriptografide Galois / Sayaç Modu (GCM), performansı sayesinde yaygın olarak benimsenen simetrik anahtar şifreleme blok şifrelemeleri için bir çalışma modudur. Son teknoloji ürünü olan GCM, yüksek hızlı iletişim kanalları için ucuz donanım kaynakları ile üretim hızlandırabilir.^[1] Bu operasyon, hem veri doğruluğu (bütünlük) hem de gizlilik sağlamak için tasarlanmış kimliği doğrulanmış bir şifreleme algoritmasıdır. GCM, 128 bit blok boyutuna sahip blok şifreleri için tanımlanmıştır. Galois İleti Kimlik Doğrulama Kodu (GMAC), arttırımlı ileti doğrulama kodu olan GCM'in sadece kimlik doğrulama türüdür. Hem GCM hem de GMAC, başlatma vektörleri keyfi uzunlukta kabul edebilir.

Farklı blok şifre çalışma modları, aynı blok şifresi ile kullanıldığında bile önemli ölçüde farklı performans ve verimlilik özelliklerine sahip olabilirler. GCM, paralel çalışma ve uygulamasından tam verimiyle yararlanabilir. GCM, bir boru hattını veya bir donanım boru hattını verimli bir şekilde kullanabilir. Buna karşılık, şifre bloğu zincirleme (CBC) çalışma modu, verimliliğini ve performansını etkileyecek belirgin boru hattı duraklarına maruz kalır.

Sayaç modunda olduğu gibi, bloklar sırayla numaralandırılır ve ardından bu blok numarası bir başlatma vektörü (IV) ile birleştirilir. Genellikle AES olan bir blok şifre E ile şifrelenir. Bu şifrelemenin sonucu daha sonra şifreleme metnini oluşturmak için düz metinle XOR'lu hale getirilir.Tüm sayaç modları gibi, bu da aslında bir dizi şifresidir ve bu nedenle şifrelenen her dizi için farklı bir IV kullanılması önemlidir.

Şifreleme blokları, daha sonra sonlu alan aritmetiği kullanılarak anahtara bağımlı bir H noktası bulunur. H noktası polinomun katsayıları olarak kabul edilir. Sonuç daha sonra şifrelenir ve verilerin bütünlüğünü doğrulamak için kullanılabilecek bir kimlik doğrulama etiketi üretilir. Şifrelenmiş metin IV, şifreleme metni ve kimlik doğrulama etiketini içerir.

GCM, yaygın olan sayaç şifrelemeyi yeni Galois kimlik doğrulama moduyla birleştirir. Anahtarın özelliği, kimlik doğrulaması için kullanılan Galois alan çarpımının paralel hesaplama kolaylığı sağlamasıdır. Bu özellik, CBC gibi zincirleme modlarında kimlik doğrulama algoritmalarının daha yüksek verim de olmasına izin verir. Kullanılan GF (2 ¹²⁸) terimi polinom tarafından tanımlanır:

${\displaystyle x^{128}+x^{7}+x^{2}+x+1}$

Kimlik doğrulama etiketi, veri bloklarının GHASH işlevine aktarılması ve sonucun şifrelenmesi ile oluşturulur. Bu GHASH fonksiyonu aşağıdaki gibi tanımlanır:

${\displaystyle {\text{GHASH}}(H,A,C)=X_{m+n+1}}$

burada H = E _k (0 ¹²⁸ ), Blok şifre kullanılarak şifrelenen 128 sıfır bitlik bir dize olan Hash anahtarıdır, A sadece kimliği doğrulanmış (şifrelenmemiş) verilerdir, C şifreli metindir, m 128- A'daki bit blokları (yukarı yuvarlanmış), n, C'deki (yukarı yuvarlanmış) 128 bitlik blokların sayısıdır ve i = 0, ..., m + n + 1 için X _i değişkeni aşağıda tanımlanmıştır.^[2]

İlk olarak, kimliği doğrulanmış metin ve şifre metni 128 bitlik katlara ayrı ayrı sıfır doldurulur ve tek bir mesajda S _i birleştirilir :

${\displaystyle S_{i}={\begin{cases}A_{i}&{\text{for }}i=1,\ldots ,m-1\\A_{m}^{*}\parallel 0^{128-v}&{\text{for }}i=m\\C_{i-m}&{\text{for }}i=m+1,\ldots ,m+n-1\\C_{n}^{*}\parallel 0^{128-u}&{\text{for }}i=m+n\\\operatorname {len} (A)\parallel \operatorname {len} (C)&{\text{for }}i=m+n+1\end{cases}}}$

len (A) ve len (C), sırasıyla A ve C bit uzunluklarının 64 bit gösterimidir, v   =   len (A)  mod 128, A'nın son bloğunun bit uzunluğudur   =   len (C)  mod 128, C'nin son bloğunun bit uzunluğudur ve ${\displaystyle \parallel }$ "bit" dizelerinin birleştirmesini gösterir.

X _i şu şekilde tanımlanır:

${\displaystyle X_{i}=\sum _{j=1}^{i}S_{j}\cdot H^{i-j+1}={\begin{cases}0&{\text{for }}i=0\\\left(X_{i-1}\oplus S_{i}\right)\cdot H&{\text{for }}i=1,\ldots ,m+n+1\end{cases}}}$

İkinci form, Horner yöntemini birinciye uygulanması sonucu elde edilen verimli bir yinelemeli algoritmadır. (her X _i, X _{i −1'e} bağlıdır). Yalnızca son X _{m + n +1} çıktı olarak kalır.

Hash hesaplamasını paralelleştirilmesi gerekiyorsa, k kez yapılabilir:

${\displaystyle {\begin{aligned}X_{i}^{'}&={\begin{cases}0&{\text{for }}i\leq 0\\\left(X_{i-k}^{'}\oplus S_{i}\right)\cdot H^{k}&{\text{for }}i=1,\ldots ,m+n+1-k\\\end{cases}}\\[6pt]X_{i}&=\sum _{j=1}^{k}\left(X_{i+j-2k}^{'}\oplus S_{i+j-k}\right)\cdot H^{k-j+1}\end{aligned}}}$

GCM John Viega ve David A. McGrew tarafından CWC modu (Carter-Wegman Counter modu) için bir gelişme olarak tasarlanmıştır.

Kasım 2007'de NIST, Blok Şifreleme Modu için NIST Özel Yayın 800-38D tavsiyede bulundu: Galois/Sayaç Modu (GCM) ve GMAC'nin GCM ve GMAC resmi standartlarını oluşturması için duyurdu.^[3]

GCM modu IEEE 802.1AE (MACsec) Ethernet güvenliği, IEEE 802.11ad (WiGig olarak da adlandırılan), ANSI (INCITS) Fiber Kanal Güvenlik Protokolleri (FC-SP), IEEE P1619.1 bant depolama, IETF IPsec standartları,^[4][5] SSH,^[6] TLS 1.2^[7][8] ve TLS 1.3.^[9] AES-GCM, NSA Suite B Kriptografi'sine dahildir ve 2018 Ticari Ulusal Güvenlik Algoritması (CNSA) paketinde en son değiştirilmiştir.^[10] GCM modu, SoftEther VPN sunucusunda ve istemcisin de^[11] ve OpenVPN sürümü 2.4'ten beri kullanılmaktadır.

GCM, şifrelenmiş ve kimliği doğrulanmış verilerin her bloğu (128 bit) için bir blok şifreleme işlemi ve Galois alanında 128 bit çarpma gerektirir. Blok şifreleme işlemleri kolayca ardışık ya da paralel yapılabilir; çarpma işlemleri kolayca ardışık(boru) yapılabilir ve makul bir çaba ile paralelleştirilebilir (ya asıl operasyonu paralelleştirerek, ya Horner'ın yöntemini orijinal NIST gönderimi başına uyarlayarak veya her ikisini de)

Intel, GCM kullanımını vurgulayarak PCLMULQDQ talimatını ekledi.^[12] 2011 yılında SPARC, 64 × 64 bit taşıma gerektirmeyen çarpma gerçekleştiren XMULX ve XMULXHI talimatlarını ekledi. 2015 yılında SPARC, 4096 bit sonuç üreten 2048 × 2048 bit giriş değerlerine kadar çok daha büyük değerlerin XOR çarpımı gerçekleştiren XMPMUL talimatını ekledi. Bu talimatlar GF (2 ⁿ) üzerinde hızlı çarpma ve herhangi bir alan gösterimi sağlar.

GCM'in etkileyici performans sonuçları birçok platformda yayınlandı. Käsper ve Schwabe, 64 bit Intel işlemcilerde bayt başına 10.68 döngüyü elde eden "Daha Hızlı ve Zamanlamaya Karşı Saldırıya Dayanıklı AES-GCM "^[13] tanımladı. Dai ve diğerleri Intel'in AES-NI ve PCLMULQDQ yönergelerini kullanırken aynı algoritma için bayt başına 3,5 döngü rapor etti. Shay Gueron ve Vlad Krasnov, 3. nesil Intel işlemcilerde bayt başına 2.47 döngü elde etti. OpenSSL ve NSS kütüphaneleri için uygun yamalar hazırlandı.^[14]

İleti üzerinde hem kimlik doğrulama hem de şifreleme yapılması gerektiğinde, yazılım uygulaması bu işlemlerin yürütülmesini örtüştürerek hızlandırabilir. Birbiriyle bağlantılı olan işlemlerde komut düzeyinde paralellikten yararlanılarak performans artırılır.Bu işleme fonksiyon dikişi denir,^[15] ve prensipte herhangi bir kriptografik algoritma kombinasyonunda uygulanabilir. Özellikle GCM'e uygundur. Manley ve Gregg,^[16] GCM ile fonksiyon dikişi kullanıldığında optimizasyonun kolaylığını gösterir. Şifreleme algoritmasının açıklamalı bir C sürümünü alan ve hedef işlemcide düzgün çalışan kod oluşturan bir program oluşturucu sunarlar.

GCM gömülü dünyada örneğin Silicon Labs tarafından paralel işlemlerde  kriptografik donanım motorlarının performans kullanımında uygun olmadığı için eleştirildi. Bu nedenle performansa duyarlı bazı aygıtlar için şifreleme performansını azaltır.^[17]

Yazarın ifadesine göre, GCM patentler tarafından serbest bırakılamaz^[18]

GCM'nin beton güvenlik modelinde güvenli olduğu kanıtlanmıştır.^[19] Rastgele bir permütasyondan ayırt edilemeyen bir blok şifresini alarak güvenli hale getirilir. Ancak, güvenlik aynı anahtarla gerçekleştirilen her şifreleme için benzersiz bir başlatma vektörü seçmeye bağlıdır. (bkz. dizi şifresi saldırısı).Herhangi bir anahtar ve başlatma vektörü kombinasyonu için, GCM düz metni (64 GiB) 2³⁹−256 bit şifrelemesiyle sınırlıdır. NIST Özel Yayını 800-38D, başlatma vektörü seçimi için yönergeler içerir.

Kimlik doğrulama gücü, tüm simetrik ileti kimlik doğrulama kodlarında olduğu gibi kimlik doğrulama etiketinin uzunluğuna bağlıdır. GCM'le daha kısa kimlik doğrulama etiketlerinin kullanılması önerilmez. T ile gösterilen etiketin bit uzunluğu bir güvenlik parametresidir. Genel olarak, t beş değerden herhangi biri olabilir: 128, 120, 112, 104 veya 96. Bazı uygulamalar için t, 64 veya 32 olabilir, ancak bu iki etiket uzunluğunun kullanımı verilerinin uzunluğunu ve anahtarın ömrünü kısıtlar. NIST SP 800-38D'deki Ek C bu kısıtlamalar için kılavuz sağlar. (örneğin, t = 32 ve maksimum paket boyutu 2 ¹⁰ bayt ise, kimlik doğrulama şifre çözme işlevi en fazla 2¹¹ kez çağrılmalıdır; t = 64 ve maksimum paket boyutu 2 ¹⁵ ise, kimlik doğrulama şifre çözme işlevi en fazla 2 ³² kez çağrılmalıdır).

Herhangi bir ileti kimlik doğrulama kodunda olduğu gibi, eğer tehdit rastgele bir t- bit etiketi seçerse, olasılığı 2 ^{- t} şeklinde olan veriler için doğru olması beklenir. Ancak, GCM ile rakip başarım oranının benzerliğini n kelimeli etiketleri (şifreli metnin toplam uzunluğu artı herhangi bir ek doğrulanmış veri (AAD)) seçerek ve olasılığı 2 ^{- t} faktörle başarı olasılığı artırabilir. Buna rağmen unutulmamalıdır ki bu optimal etiketlerin hala keyfi olarak büyük t için algoritmanın varlığını sürdürme ölçüsü 1 − n⋅2^−t tarafından domine edilmektedir. Ayrıca, GCM çok kısa etiket uzunlukları ya da çok uzun iletilerde kullanım için uygun değildir.

Ferguson ve Saarinen, saldırganın güvenliğinin alt sınırını karşılayan GCM kimlik doğrulamasına karşı en uygun saldırılarının nasıl gerçekleştirebileceğini bağımsız olarak açıkladı. Ferguson, eğer n kodlamadaki toplam blok sayısını (GHASH işlevine giriş) gösterirse, o zaman yaklaşık olarak n ⋅2 ^{- t} olasılığıyla başarılı olması beklenen hedeflenmiş bir şifreleme metni sahtekarlığı oluşturma yöntemi olduğunu gösterilmiş olur. Etiket uzunluğu t 128'den kısaysa, bu saldırıda başarılı olan her sahte işlem, sonraki hedeflenen sahteciliklerde başarılı olma olasılığını artırır ve hash alt anahtarı H hakkında bilgi sızdırır. Sonunda, H tamamen tehlikeye girebilir ve kimlik doğrulama güvencesi tamamen kaybolabilir.^[20]

Bu saldırıdan bağımsız olarak bir düşman,kimlik doğrulamasına yönelik belirli bir giriş için birçok farklı etiketi sistematik olarak tahmin etmeye çalışabilir ve böylece bunların (veya daha fazlasının) sonunda geçerli kabul edilme olasılığını artırabilir. Bu nedenle, GCM'yi uygulayan sistem veya protokol, her bir anahtar için başarısız doğrulama girişimi sayısını izlemeli ve gerekirse sınırlandırmalıdır.

Saarinen, GCM'nin zayıf anahtarlarını tarif etti.^[21] Bu çalışma, polinom hash tabanlı kimlik doğrulamanın nasıl çalıştığı hakkında bazı değerli bilgiler vermektedir. Daha kesin olarak, bu çalışma, geçerli bir GCM mesajı verildiğinde, bir GCM mesajının, n × 128 bit uzunluğundaki mesajlar için yaklaşık n⋅2⁻¹²⁸ olasılığı ile çalışabilmesini açıkladı. Ancak, bu çalışma önceden bilindiğinden ötürü daha etkili bir saldırı gösterememektedir; bu yazının gözlemindeki bir başarı olasılığı INDOCRYPT 2004 analizinden yardımcı önerme 2 ile aynıdır (w = 128 ve l = n × 128 ). Saarinen da GCM varyantı olan Sophie Germain Sayaç Modu, (SGCM) Sophie Germain asal'a dayanır.

• Kimliği doğrulanmış şifreleme
• Şifre çalışma modlarını engelle
• AES-GCM-SIV

• GCM ve GMAC'ı tanımlayan NIST Özel Yayını SP800-38D
• RFC 4106: IPsec Kapsüllenen Güvenlik Yükü'nde (ESP) Galois / Sayaç Modu (GCM) Kullanımı
• RFC 4543: IPsec ESP ve AH'de Galois İleti Kimlik Doğrulama Kodunun (GMAC) Kullanımı
• RFC 5288: TLS için AES Galois Sayaç Modu (GCM) Şifre Paketleri
• RFC 6367: Kamelya Şifre Paketlerinin Taşıma Katmanı Güvenliğine Eklenmesi (TLS)
• IEEE 802.1AE - Medya Erişim Kontrolü (MAC) Güvenliği 3 Kasım 2017 tarihinde Wayback Machine sitesinde arşivlendi.
• IEEE Depolamada Güvenlik Çalışma Grubu 2 Aralık 2007 tarihinde Wayback Machine sitesinde arşivlendi. P1619.1 standardını geliştirdi
• INCITS T11 Teknik Komitesi 19 Aralık 2006 tarihinde Wayback Machine sitesinde arşivlendi. Fiber Kanal - Güvenlik Protokolleri 12 Mart 2007 tarihinde Wayback Machine sitesinde arşivlendi. projesi üzerinde çalışmaktadır.
• Güvenli RTP'de (SRTP) AES-GCM ve AES-CCM Kimlik Doğrulamalı Şifreleme 20 Eylül 2020 tarihinde Wayback Machine sitesinde arşivlendi.
• Galois / Sayıcı Çalışma Modu (GCM) 20 Eylül 2020 tarihinde Wayback Machine sitesinde arşivlendi.