CCMP
CCMP (Counter Cipher Mode with Block Chaining Message Authentication Code Protocol, CCM mode Protocol) je v kryptografii název šifrovacího protokolu pro bezdrátové sítě, které používají standardy novely IEEE 802.11i. Nahrazuje prolomený protokol WEP a méně bezpečný protokol TKIP.[1] CCMP je založen na režimu čítače s CBC-MAC (CCM) v AES standardu.[1]
Technické detaily
CCMP používá CCM, který kombinuje CTR pro důvěrnost dat a CBC-MAC pro autentizaci a integritu. CCM chrání integritu MPDU datového pole a vybrané části IEEE 802.11 hlavičky MPDU. CCMP je založen na AES zpracování a používá 128bitový klíč a 128bitovou velikost bloku. CCMP používá CCM s následující dvojicí parametrů:
- M = 8; což znamená, že MIC je 8 oktetů (osm bajtů).
- L = 2, což znamená, že délka pole jsou 2 oktety.
CCMP Medium Access Control Protocol Data Unit (MPDU) se skládá z pěti částí. Prvním z nich je hlavička MAC, která obsahuje cílovou a zdrojovou adresu datového paketu. Druhým je CCMP hlavička, která je složena z 8 oktetů a obsahuje číslo paketu (PN), Ext IV a ID klíče. Číslem paketu je 48bitové číslo uložené do 6 oktetů. PN kódy jsou první dva a poslední čtyři oktety CCMP hlavičky a jsou navyšovány pro každý následující paket. Mezi kódy PN je vyhrazený oktet a oktet s ID klíče. Oktet s ID klíče obsahuje Ext IV (bit 5), ID klíče (bity 6–7), a vyhrazené podpole (bity 0–4). CCMP používá tyto hodnoty pro šifrování datové jednotky a také MIC. Třetí úsek je datová jednotka, která obsahuje data odeslané v paketu. Na konci je autentizační kód zprávy (MIC), který chrání integritu a autenticitu paketu a sekvence rámcové kontroly (FCS), která se používá pro detekci chyb a korekci. Z těchto částí se šifruje pouze datová jednotka a MIC.[1]
Zabezpečení
CCMP je standardní šifrovací protokol standardu WPA2 a je mnohem bezpečnější než WEP nebo WPA s TKIP. CCMP poskytuje následující bezpečnostní služby:[2]
- Důvěrnost dat – zajišťuje, že pouze oprávněné osoby mohou přistupovat k informacím
- Ověřování – poskytuje důkaz o pravosti uživatele
- Řízení přístupu ve spojení se správou vrstev
Vzhledem k tomu, že CCMP je režimem blokové šifry, je zabezpečen proti útokům se složitostí 2128, pokud je klíč pro šifrování 256bitový nebo větší. Existují ovšem generické útoky Meet-in-the-middle (zkratka MITM, ale nezaměňujte s Man in the middle), které mohou být použity ke snížení teoretické síly klíče na 2(n/2) (kde n
je počet bitů v klíči).[3]
Známé útoky
Reference
- ↑ a b c COLE, Terry. IEEE Std 802.11-2007 [online]. New York, New York: The Institute of Electrical and Electronics Engineers, Inc, 12 June 2007 [cit. 2011-04-11]. Dostupné v archivu pořízeném dne 2011-08-24. (anglicky)
- ↑ CIAMPA, Mark. Security Guide To Network Security Fundamentals. 3. vyd. Boston, MA: Course Technology, 2009. ISBN 1-4283-4066-1. S. 205, 380, 381. (anglicky)
- ↑ WHITING, Doug, Hifn, R. Housley, Vigil Security, N. Ferguson, MacFergus. Counter with CBC-MAC (CCM) [online]. The Internet Society, September 2003 [cit. 2011-04-11]. Dostupné online. (anglicky)