Из Википедии, бесплатной энциклопедии
Перейти к навигации Перейти к поиску

Режим смещенной кодовой книги ( режим OCB ) - это режим работы с аутентифицированным шифрованием для криптографических блочных шифров . [1] [2] Режим OCB был разработан Филипом Рогэвэем , который благодарит Михира Беллара , Джона Блэка и Теда Кровец за помощь и комментарии к дизайну. Он основан на параллельном режиме с учетом целостности (IAPM) аутентифицированного шифрования, разработанном Чаранджитом С. Джутла. Версия OCB2 оказалась небезопасной, в то время как исходная версия OCB1, а также OCB3 2011 года по-прежнему считаются безопасными.

Шифрование и аутентификация [ править ]

См. Также: Аутентифицированное шифрование.

Режим OCB был разработан для обеспечения как аутентификации сообщений, так и обеспечения конфиденциальности . По сути, это схема интеграции кода аутентификации сообщения (MAC) в работу блочного шифра . Таким образом, режим OCB позволяет избежать использования двух систем: MAC для аутентификации и шифрования для конфиденциальности. Это приводит к более низким вычислительным затратам по сравнению с использованием отдельных функций шифрования и аутентификации.

Существует три версии OCB: OCB1, OCB2 и OCB3. OCB1 был опубликован в 2001 году. OCB2 улучшает OCB1, позволяя включать связанные данные в сообщение, обеспечивая аутентифицированное шифрование со связанными данными (AEAD; то есть данные, которые не зашифрованы, но должны быть аутентифицированы) и новый метод для создания последовательность смещений. OCB2 был впервые опубликован в 2003 году и первоначально назывался режимом аутентифицированного шифрования или расширенным режимом шифрования ( AEM ) и в 2019 году оказался полностью небезопасным . OCB3, опубликованный в 2011 году, снова меняет способ вычисления смещений и вносит незначительные улучшения в производительность.

Режим OCB указан как дополнительный метод в стандарте безопасности беспроводной связи IEEE 802.11 как альтернатива противодействию с режимом CBC-MAC (CCM). OCB2 стандартизирован в ISO / IEC 19772: 2009 [3], а модифицированный OCB3 - в RFC 7253. [4] RFC кодирует длину тега во внутреннем формате nonce.   

Производительность [ править ]

Накладные расходы на производительность OCB минимальны по сравнению с классическими режимами без аутентификации, такими как цепочка блоков шифрования . OCB требует одной операции блочного шифрования на каждый блок зашифрованного и аутентифицированного сообщения и одной операции блочного шифрования на каждый блок связанных данных. Также в конце процесса требуется одна дополнительная операция блочного шифрования.

Для сравнения, режим CCM, предлагающий аналогичную функциональность, требует вдвое больше операций блочного шифрования на блок сообщения (для связанных данных требуется одна операция, как в OCB).

Патенты [ править ]

На режим OCB было выдано два патента США. [5] Однако предоставляется специальное исключение, позволяющее использовать режим OCB в программном обеспечении, лицензированном по Стандартной общественной лицензии GNU, бесплатно, а также для любых некоммерческих, неправительственных приложений. Это ограничение препятствовало утверждению Национальным институтом стандартов и технологий .

Поскольку авторы подали заявку на патентную защиту только в США, алгоритм можно бесплатно использовать в программном обеспечении, которое не разрабатывается и не продается в США [6].

К январю 2013 года автор предоставил бесплатную лицензию на любую лицензию с открытым исходным кодом, сертифицированную Open Source Initiative . [7]

Патенты США были намеренно аннулированы в 2021 году [8].

Атаки [ править ]

Нильс Фергюсон указал на коллизионные атаки на OCB, которые ограничивают объем данных, которые могут быть безопасно обработаны с помощью одного ключа, примерно до 280 терабайт. [9] [10]

В октябре 2018 года Иноуэ и Минемацу представили атаку экзистенциальной подделки на OCB2, которая требует только одного предварительного запроса шифрования и почти не требует вычислительной мощности или хранилища. [11] Атака не распространяется на OCB1 или OCB3 и требует, чтобы связанное поле данных поддельного зашифрованного текста было пустым. Всего пару дней спустя Poettering [12] и Iwata [13] улучшили атаку подделки до атаки полного восстановления открытого текста. Позднее четыре автора подготовили совместный отчет. [14]

См. Также [ править ]

  • Режим работы блочного шифра
  • CCM режим
  • CWC режим
  • Режим EAX
  • Режим Галуа / Счетчик

Ссылки [ править ]

  1. ^ Тед Krovetz, Филлип Рогауэй (23 июля 2012). «Алгоритм аутентифицированного шифрования OCB» . Проверено 28 мая 2012 года .
  2. ^ Филипп Рогэвей. «Режим OCB» . Проверено 28 мая 2012 года .
  3. ^ «ISO / IEC 19772: 2009 Информационные технологии - Методы безопасности - Аутентифицированное шифрование» . ISO. 2009-02-12 . Проверено 28 мая 2012 года .
  4. ^ «Алгоритм аутентифицированного шифрования OCB» . IETF. 2014 г.
  5. ^ Филипп Рогэвей. «OCB FAQ - запатентована OCB» . Проверено 28 мая 2012 года .
  6. ^ Phillip Rogaway (29 March 2005). "OCB: Offer Letter". Retrieved May 28, 2012.
  7. ^ Phillip Rogaway (9 January 2013). "OCB: free licenses".
  8. ^ Phillip Rogaway. "OCB patents are abandoned; freely usable". mailarchive.ietf.org. Retrieved 2021-02-27.
  9. ^ Niels Ferguson (2002-02-11). "Collision attacks on OCB" (PDF).
  10. ^ Phillip Rogaway (2015-02-27). "OCB: Background".
  11. ^ Akiko Inoue and Kazuhiko Minematsu (2018-10-26). "Cryptanalysis of OCB2".
  12. ^ Bertram Poettering (2018-11-08). "Breaking the confidentiality of OCB2".
  13. ^ Tetsu Iwata (2018-11-11). "Plaintext Recovery Attack of OCB2".
  14. ^ "Cryptanalysis of OCB2: Attacks on Authenticity and Confidentiality". 2019-03-19.
  • Rogaway, Phillip; Bellare, Mihir; Black, John (August 2003). "OCB: A block-cipher mode of operation for efficient authenticated encryption". ACM Transactions on Information and System Security. 6 (3): 365–403. doi:10.1145/937527.937529. Retrieved 2018-01-30.

External links[edit]

  • OCB homepage
  • OCB FAQ
  • NIST: Modes Development