Galois/Counter Mode

GCM (аббр. от англ. Galois/Counter Mode — счётчик с аутентификацией Галуа) — широко применяющийся режим работы симметричных блочных шифров, имеющий высокую эффективность и производительность^[1]. Является режимом аутентифицированного шифрования (AEAD)^[2], предоставляя как конфиденциальность, так и аутентификацию переданных данных (гарантируя их целостность).

Режим GCM определяется для блочных шифров с размером блока в 128 бит. Существует вариант GCM под названием GMAC, предоставляющий лишь аутентификацию данных, он может использоваться как инкрементальный код аутентификации сообщений. И GCM и GMAC принимают на вход вектор инициализации произвольной длины. Алгоритм не ограничен патентами^[3].

Благодаря наличию кода аутентификации (имитовставки), данный режим аутентифицированного шифрования позволяет получателю легко обнаружить любые изменения сообщения (как зашифрованного, так и дополненного информацией, переданной открыто), прежде чем начать его расшифровку, что значительно улучшает защиту от искажений, атак активного MITM и атак на основе оракулов^[англ.] (например от Padding oracle attack^[англ.] для CBC-режима).

Стандарт NIST США с 2007 года^[4].

Принцип работы

В обычном режиме шифрования CTR (счётчик) входные блоки нумеруются последовательно, номер блока шифруется блочным алгоритмом E (обычно AES). Выход функции шифрования используется в операции XOR (исключающее или) с открытым текстом для получения шифротекста. Как и для других режимов на базе счётчиков, схема представляет собой потоковый шифр, поэтому обязательным является использование уникального вектора инициализации для каждого шифруемого потока данных.

В GCM используется функция Галуа «Mult» («GHASH(H, A, C)»), которая комбинирует блоки шифротекста и код аутентификации, чтобы получить тег аутентификации. На вход функции подается ключ хеширования H, являющийся результатом шифрования 128 нулевых битов на ключе K, т.е. H=E(K, 0^128). Тег аутентификации используется для проверки целостности сообщения. По каналу передаются: вектор инициализации^[англ.] IV, блоки шифротекста, и код аутентификации (16 байтов). По своим свойствам режим GCM (GMAC) похож на HMAC.

GCM режим подвергся критике в мире встраиваемых систем со стороны Silicon Labs, поскольку параллельная обработка не подходит для эффективного использования криптографических аппаратных движков и, следовательно, снижает производительность шифрования для некоторых наиболее чувствительных к производительности устройств^[6].

Применение

Режим GCM используется в IEEE 802.1AE (MACsec) для безопасного Ethernet, беспроводном IEEE 802.11ad (WiGig в 60-ГГц полосе), "Fibre Channel Security Protocols" (FC-SP) от ANSI (INCITS), формате хранения на цифровых лентах IEEE P1619.1, в стандартах IPsec от IETF^[7]^[8], может применяться в SSH^[9] и TLS (версии 1.2 и новее)^[10]^[11]. Применяется в VPN решениях, в OpenVPN присутствует с версии 2.3.3 (в шифрах AES-256-GCM-SHA384 и AES-128-GCM-SHA256)^[12].

См. также

Режим шифрования

Примечания

↑ Lemsitzer, Wolkerstorfer, Felber, Braendli, Multi-gigabit GCM-AES Architecture Optimized for FPGAs. CHES '07: Proceedings of the 9th international workshop on Cryptographic Hardware and Embedded Systems, 2007.
↑ В англоязычной литературе это называется AEAD — Authenticated Encryption with Associated Data. В криптографии ГОСТ такого режима нет.
↑ Архивированная копия (неопр.). Дата обращения: 20 сентября 2017. Архивировано 29 августа 2008 года.
↑ NIST Special Publication 800-38D Архивная копия от 5 августа 2011 на Wayback Machine, November, 2007, Recommendation for BlockCipher Modes of Operation:Galois/Counter Mode (GCM) and GMAC.
↑ http://ai2-s2-pdfs.s3.amazonaws.com/114a/4222c53f1a6879f1a77f1bae2fc0f8f55348.pdf
↑ Community - Silicon Labs (амер. англ.). community.silabs.com. Дата обращения: 3 ноября 2023. Архивировано 26 октября 2017 года.
↑ RFC 4106 The Use of Galois/Counter Mode (GCM) in IPsec Encapsulating Security Payload (ESP)
↑ RFC 4543 The Use of Galois Message Authentication Code (GMAC) in IPsec ESP and AH
↑ RFC 5647 AES Galois Counter Mode for the Secure Shell Transport Layer Protocol
↑ RFC 5288 AES Galois Counter Mode (GCM) Cipher Suites for TLS
↑ RFC 6367 Addition of the Camellia Cipher Suites to Transport Layer Security (TLS)
↑ David Guyton. OpenVPN Version List and Changelog (англ.) (1 октября 2019). — Last Updated: Sunday, 12 January 2020.

Ссылки

NIST Special Publication SP800-38D defining GCM and GMAC (англ.)
RFC 4106: The Use of Galois/Counter Mode (GCM) in IPsec Encapsulating Security Payload (ESP) (англ.)
RFC 4543: The Use of Galois Message Authentication Code (GMAC) in IPsec ESP and AH (англ.)
RFC 5288: AES Galois Counter Mode (GCM) Cipher Suites for TLS (англ.)
RFC 6367: Addition of the Camellia Cipher Suites to Transport Layer Security (TLS) (англ.)
IEEE 802.1AE — Media Access Control (MAC) Security (англ.)
IEEE Security in Storage Working Group Архивная копия от 2 декабря 2007 на Wayback Machine developed the P1619.1 standard (англ.)
INCITS T11 Technical Committee works on Fibre Channel — Security Protocols project. (англ.)
AES-GCM and AES-CCM Authenticated Encryption in Secure RTP (SRTP) (англ.)
[1] (рус.)
Симметричные схемы аутентичного шифрования - GCM в cryptowiki.net

[1] Lemsitzer, Wolkerstorfer, Felber, Braendli, Multi-gigabit GCM-AES Architecture Optimized for FPGAs. CHES '07: Proceedings of the 9th international workshop on Cryptographic Hardware and Embedded Systems, 2007.

[2] В англоязычной литературе это называется AEAD — Authenticated Encryption with Associated Data. В криптографии ГОСТ такого режима нет.

[3] Архивированная копия (неопр.). Дата обращения: 20 сентября 2017. Архивировано 29 августа 2008 года.

[4] NIST Special Publication 800-38D Архивная копия от 5 августа 2011 на Wayback Machine, November, 2007, Recommendation for BlockCipher Modes of Operation:Galois/Counter Mode (GCM) and GMAC.

[5] ttp://ai2-s2-pdfs.s3.amazonaws.com/114a/4222c53f1a6879f1a77f1bae2fc0f8f55348.pdf

[6] Community - Silicon Labs (амер. англ.). community.silabs.com. Дата обращения: 3 ноября 2023. Архивировано 26 октября 2017 года.

[7] RFC 4106 The Use of Galois/Counter Mode (GCM) in IPsec Encapsulating Security Payload (ESP)

[8] RFC 4543 The Use of Galois Message Authentication Code (GMAC) in IPsec ESP and AH

[9] RFC 5647 AES Galois Counter Mode for the Secure Shell Transport Layer Protocol

[10] RFC 5288 AES Galois Counter Mode (GCM) Cipher Suites for TLS

[11] RFC 6367 Addition of the Camellia Cipher Suites to Transport Layer Security (TLS)

[12] David Guyton. OpenVPN Version List and Changelog (англ.) (1 октября 2019). — Last Updated: Sunday, 12 January 2020.

[1]

Симметричные криптосистемы
Потоковые шифры	A3 A5 A8 Decim F-FCSR Grain HC-256 KCipher-2 MICKEY MUGI PIKE Phelix RC4 Rabbit SEAL SNOW SOSEMANUK Salsa20 STRUMOK Trivium VMPC
Сеть Фейстеля	ГОСТ 28147-89 (Магма) Blowfish Camellia CAST-128 CAST-256 CIPHERUNICORN-A CIPHERUNICORN-E CLEFIA Cobra DEAL DES DESX DFC E2 EnRUPT FEAL HPC IDEA KASUMI Khafre Khufu LOKI97 MacGuffin MARS MESH MISTY1 NewDES NDS RC5 RC6 SEED Simon Sinople Skipjack SM4 Speck TEA XTEA XXTEA Raiden RTEA Triple DES Twofish
SP-сеть	Кузнечик 3-WAY ABC ARIA AES (Rijndael) Akelarre Anubis BaseKing BassOmatic BelT CRYPTON Diamond2 Grand Cru Hierocrypt-3 Hierocrypt-L1 KHAZAD Kalyna Lucifer Present Rainbow SAFER SHARK SQUARE Serpent Threefish
Другие	FROG NUSH REDOC SC2000 SHACAL CS-Cipher

Galois/Counter Mode

Содержание

Принцип работы

Применение

См. также

Примечания

Ссылки

Навигация

Galois/Counter Mode

Принцип работы

Применение

См. также

Примечания

Ссылки

Навигация

Поиск