IAPM

Integrity-Aware Parallelizable Mode הוא מצב הפעלה של צופן בלוקים סימטרי, שפותח ב-2001 על ידי Charanjit Jutla^[1] מ-IBM, המספק הצפנה מאומתת מוכחת ויעילה עם תמיכה במקביליות. האלגוריתם משתמש בצופן בלוקים כמו AES כבסיס, איתו הוא גם מצפין וגם מאמת כל מסר באורך שרירותי בריצה אחת, תוך שימוש בשני מפתחות הצפנה ווקטור אתחול. IAPM הוא האלגוריתם הראשון שהומצא המספק הצפנה מאומתת בריצה אחת והוא יעיל מאוד בהשוואה למצבי הפעלה אחרים. בשיפורים אחדים מגיע למהירות כמעט כמו של הצפנה לא מאומתת. מסיבה זו כונה "הצפנה עם אימות כמעט בחינם". האלגוריתם הוצע ל-IPSec^[2] והוא פטנט רשום של IBM וייתכן אף של אחרים, מסיבה זו השימוש בו בעייתי.

Charanjit Jutla המציא למעשה שני אלגוריתמים דומים, על שניהם רשום פטנט והוכח שהם בטוחים תחת ההגדרות הסטנדרטיות, בהנחה שצופן הבלוקים בטוח. והם: Integrity-Aware CBC (בקיצור IACBC) שהוא למעשה CBC משופר, שבו נוספה טכניקה הקרויה 'הלבנה' (whitening) שהיא פעולת XOR לפני ואחרי הצפנת כל בלוק עם גרעין אקראי מסוים שנגזר מווקטור האתחול. חסרונו כמו כל מצב המבוסס על CBC שאינו תומך במקביליות, כי כל בלוק תלוי בקודמו. השני IAPM דומה יותר למצב ECB משופר, מיישם טכניקת הלבנה דומה, אך יתרונו בכך שהוא מאפשר הצפנה מקבילית ולכן עיקר ההתעניינות בו כיוון שהוא יעיל יותר. אלגוריתם OCB הוא וריאציה משופרת של IAPM.

הצפנה מאומתת[עריכת קוד מקור | עריכה]

ערך מורחב – הצפנה מאומתת

הצפנה מאומתת נולדה עקב צורך מעשי להבטיח לא רק את סודיות המידע העובר ברשת אלא גם את שלמותו. כך שתוקף זדוני לא יוכל להתערב, לשנות, למחוק או להוסיף בלוקים של טקסט מוצפן מבלי שהמשתתפים יבחינו בכך. בתחילה הצפנה מאומתת לא הייתה מוגדרת היטב מבחינה תאורטית ואנשים נטו לפתח שיטות אד הוק, כיום קיימות הגדרות קונקרטיות להצפנה מאומתת בטוחה. השיטה הישירה נקראת 'בנייה גנרית' והיא שילוב של שני פרימיטיבים קריפטוגרפיים נפרדים כמו: מצב הפעלה CBC עם MAC באופן שכל אחד מהם פועל עצמאית. ישנן כמה דרכים לעשות זאת, מהן די מהירות למשל HMAC. מצב ההפעלה המועדף מהיבט של יעילות הוא CTR בגלל תמיכה מובנית במקביליות. הדרכים הישנות פועלות בשתי ריצות ואינן יעילות, מסיבה זו נעשים מאמצים למצוא דרכים חלופיות יותר יעילות. ישנן כמה סיבות מדוע הצפנה מאומתת מועדת לשגיאות. טעות נפוצה אחת היא להשתמש במפתח הצפנה משותף גם לאימות. טעות אחרת היא לנסות להבטיח שלמות על ידי פונקציית גיבוב לא קריפטוגרפית ללא מפתח הצפנה. הוכח שגישות מסוג זה כמעט כולן ניתנות לפריצה בקלות ולמרות זאת הן קיימות. גרסת WEP המקורית למשל כללה אלגוריתם אימות לא בטוח כלל שפעל עם קוד תיקון שגיאות CRC.

הלבנה[עריכת קוד מקור | עריכה]

ערך מורחב – הלבנה (קריפטוגרפיה)

טכניקת ההלבנה עושה שימוש בסדרה של ערכים בלתי תלויים הדדית (pairwise independent sequence) אותם מפיקים מווקטור האתחול $r$ באורך $n$ סיביות כאשר $n$ מתייחס לאורך בלוק הצופן בסיביות (128 במקרה של AES). המפתח לצורך ההלבנה הוא $K_{1}$ . Jutla הציע שתי דרכים להפקת הערכים לצורך ההלבנה.

האחת היא באמצעות הצפנה. תחילה 'מותחים' את וקטור האתחול לווקטור פסאודו-אקראי חדש בגודל $t=\left\lceil {\text{lg}}(m+2)\right\rceil$ שנקרא 'גרעין', על ידי הצפנה רקורסיבית עם מפתח ההצפנה $K_{1}$ לפי הנוסחה $W_{i}=F_{K1}(r+i)$ כאשר $1\leq i\leq t$ . הערך $m$ מייצג את מספר הבלוקים של המסר $P$ לאחר שחולק לבלוקים בגודל $n$ סיביות והפונקציה ${\text{lg}}$ היא לוגריתם בבסיס 2. הפונקציה $F$ היא צופן הבלוקים עם המפתח $K_{1}$ . לדוגמה אם $m=256$ בלוקים אז $t=9$ , דהיינו נדרשים 9 קריאות לצופן הבלוקים להכנת הגרעין האקראי (הווקטורים $W_{i}$ בגודל 128 סיביות כל אחד). עם הגרעין האקראי מכינים 'מסכת הלבנה' (whitening mask) שהיא סדרה של $m+1$ ערכים $S_{0},S_{1},...,S_{m}$ בגודל 128 סיביות כל אחד. לצורך כך משתמשים ברעיון של קוד גריי בשיטה שנקראת סכום-xor. לסיכום האלגוריתם:

{\text{For }}i=1{\text{ to }}t{\text{ do }}

W_{i}=F_{K1}(r+i)

{\text{For }}i=1{\text{ to }}m+1{\text{ do }}

S_{i-1}=\bigoplus _{j=1}^{t}(i_{j}\cdot W_{j})

הסימן $\bigoplus$ מייצג סכום-xor דהיינו הסכום $(i_{1}\cdot W_{1})\oplus (i_{2}\cdot W_{2})\oplus \cdots \oplus (i_{t}\cdot W_{t})$ . הערך $i_{j}$ מייצג את הסיבית $j$ של האינדקס $i$ .

שיטה אלגברית[עריכת קוד מקור | עריכה]

הדרך השנייה היא בשיטה אלגברית. תחילה בוחרים מספר ראשוני שיהיה קרוב לגודל הבלוק. במקרה של צופן 128 סיביות יהי $p=2^{128}-159$ . לאחר מכן מייצרים שני ערכים אקראיים על ידי הצפנה:

a=F_{K1}(r+1)

,

b=F_{K2}(r+2)

אם $b>p$ מצמצמים $b=(b+159){\text{ mod }}2^{128}$ . ואז הסדרה לצורך ההלבנה מתקבלת על ידי:

S_{0}=a

{\text{For }}i=1{\text{ to }}m-1{\text{ do }}

S_{i}=(S_{i-1}+b){\text{ mod }}2^{128}

{\text{If }}b>S_{i}{\text{ then }}S_{i}=(S_{i}+159){\text{ mod }}2^{128}

תיאור האלגוריתם[עריכת קוד מקור | עריכה]

הצפנה[עריכת קוד מקור | עריכה]

המסר $P$ מחולק ל- $m-1$ בלוקים בגודל $n$ סיביות (לדוגמה במקרה של AES $n=128$ סיביות, אם $P$ מכיל 1,000 סיביות, $m=9$ ו- $P$ מחולק ל-8 בלוקים $P_{1},P_{2},...,P_{8}$ כאשר הבלוק האחרון מרופד ב-24 אפסים). לצורך ההצפנה המאומתת נדרשים שני מפתחות שונים $K_{1},K_{2}$ כל אחד בגודל $k$ סיביות, כאשר $k$ נקבע לפי צופן הבלוקים שנבחר וכן וקטור אתחול חד פעמי $r$ גם הוא בגודל $n$ סיביות שבו משתמשים רק פעם אחת עבור מפתח נתון. להכנה תחילה מפעילים את אלגוריתם הכנה לעיל כדי לקבל את הסדרה $S$ . הטקסט המוצפן $C_{0},C_{1},...,C_{m}$ מתקבל על ידי:

C_{0}=F_{K2}(r)

{\text{For }}i=1{\text{ to }}m-1{\text{ do }}

C_{i}=F_{K2}(P_{i}\oplus S_{i})\oplus S_{i}

{\text{checksum}}=\bigoplus _{i=1}^{m-1}P_{i}

C_{m}=F_{K2}({\text{checksum}}\oplus S_{m})\oplus S_{0}

הסימן $\bigoplus$ מייצג סכום-xor דהיינו הסכום ${\text{checksum}}=P_{1}\oplus P_{2}\oplus \cdots \oplus P_{m-1}$ . וכן $C_{0}$ הוא וקטור האתחול ו- $C_{m}$ הוא תג האימות. שימו לב שכעת הטקסט המוצפן התרחב בשני בלוקים נוספים, הראשון הוא בלוק וקטור האתחול והאחרון הוא בלוק האימות כשבאמצע הטקסט המוצפן.

פענוח[עריכת קוד מקור | עריכה]

כאמור מפתחות ההצפנה משותפים לשולח והמקבל. לפענוח הטקסט המוצפן $C_{0},C_{1},...,C_{m}$ . תחילה מחלצים את וקטור האתחול עם המפתח השני $r=F_{K2}^{-1}(C_{0})$ . הפונקציה $F^{-1}$ היא פונקציית הפענוח של צופן הבלוקים. מפעילים את הפונקציה להכנת סדרת ההיסטים לצורך ההלבנה (באחת משתי השיטות לעיל) עם הפרמטרים $(r,m,K_{1})$ כדי לחשב את הסדרה $S_{0},S_{1},...,S_{m}$ ואז:

{\text{For }}i=1{\text{ to }}m-1{\text{ do }}

P_{i}=F_{K2}^{-1}(C_{i}\oplus S_{i})\oplus S_{i}

{\text{checksum}}=\bigoplus _{i=1}^{m-1}P_{i}

P_{m}=F_{K2}^{-1}(C_{m}\oplus S_{0})\oplus S_{m}

הטקסט הקריא הוא $P_{1},...,P_{m-1}$ . לבדיקת האימות מוודים ש- $P_{m}={\text{checksum}}$ . אם לא, הטקסט המוצפן נדחה בגלל שינוי ייתכן זדוני, במהלך ההעברה.

ביטחון[עריכת קוד מקור | עריכה]

ביטחון IAPM מתואר כצירוף של שני מאפיינים: indistingushability כנגד התקפת מוצפן-נבחר ושלמות. בכללות הכוונה שהאלגוריתם מבטיח שהטקסט המוצפן לא יהיה ניתן להבחנה מערך אקראי אמיתי וכן שלא ניתן יהיה לחשב תג אימות מתאים לטקסט מוצפן כלשהו ללא ידיעת מפתח ההצפנה המשותף לשולח והמקבל. אילו הנחות סטנדרטיות שמצפים מצופן בלוקים ו-MAC בהתאמה. ההוכחה של Jutla מראה שאלגוריתם IAPM בטוח אם צופן הבלוקים בטוח. וכן פונקציית ההלבנה היא בעצם פונקציית גיבוב אוניברסלית $\epsilon {\textit {-xor-universal}}$ . הוכח שאין צורך בהגדרה מחמירה של פונקציה אקראית אוניברסלית אלא מספיק שהערכים לצורך ההלבנה יהיו 'בלתי תלויים הדדית'. ההתפלגות של פונקציות בלתי תלויות $G:{\mathcal {N}}\times \{0,1\}^{n}\rightarrow (\{0,1\})^{*}$ , נקראת $\epsilon {\textit {-xor-universal}}$ , אם עבור כל קבוע $\Delta \in \{0,1\}^{n}$ ועבור זוגות ערכים שונים $(j,m,IV),(j',m',IV')$ מתקיים