OCB

בקריפטוגרפיה, Offset CodeBook^[1] היא משפחה של מצבי הפעלה מקביליים עבור צופן בלוקים המספקים הצפנה מאומתת של מסרים ארוכים. OCB1 פותח ב-2003 על ידי פיליפ רוגווי, מיהיר בלייר אוניברסיטת קליפורניה בסן דייגו וג'ון בלאק מאוניברסיטת קולורדו. OCB הם מצבי הפעלה אלגנטיים, יעילים ובטוחים לפי פרדיגמה של "הצפנה ואחריה אימות" והם שיפור של מצב ההפעלה IAPM שהוצע על ידי Charanjit Jutla. בהתבסס על צופן בלוקים בטוח כמו AES ווקטור אתחול, האלגוריתם מצפין מסר שהוא מחרוזת בינארית ארוכה $M$ , תוך הפעלה של צופן הבלוקים $\left\lceil |M|/n\right\rceil +2$ פעמים, כאשר $n$ הוא גודל הבלוק שהצופן מקבל (128 סיביות במקרה של AES) תוך חישובי היסט (offset) ותהליך הכנת מפתח מהירים מאוד. ומפיק טקסט מוצפן בליווי תג אימות באורך משתנה לפי הצורך כדי לאמת ולהבטיח את שלמות הטקסט המוצפן. תג האימות מבטיח מעצם ההגדרה שלא ניתן יהיה לזייף טקסט מוצפן עם תג אימות מתאים ללא ידיעת מפתח ההצפנה המשותף לשולח והמקבל, כך שהמקבל לא יבחין בכך. OCB1 הוכח כבטוח כנגד התקפות על שלב הסודיות או האימות בהנחה שצופן הבלוקים מוגדר פרמוטציה פסאודו אקראית (PRP). אולם התגלו בעיות בעמידות בפני התנגשויות, שמגבילות את כמות המידע הניתן להצפנה עם מפתח יחיד. ביישום אופטימלי OCB1 מהיר מאוד ויכול להגיע למהירות של 1.48 CPB על מעבד אינטל 64 ביט (עם AES-NI).

OCB מוגן בפטנט בארצות הברית, השימוש בו כרוך ברישיון מבוסס הרישיון הציבורי הכללי של גנו לשימוש פרטי, בתנאי שאינו משמש לצורך מסחרי או ממשלתי. ב-2013 המפתחים נתנו הסכמתם לרישיון חופשי בקוד פתוח המאושר על ידי OSI. האלגוריתם נכלל ברשימת האלגוריתמים המובילים שמנהל NIST^[2] לצורך תקן הצפנה מאומתת. כמו כן מומלץ על ידי IETF^[3].

תרשים לדוגמה של הצפנה מאומתת בשיטת OCB

הצפנה מאומתת

ערך מורחב – הצפנה מאומתת

הצפנה מאומתת היא סכמת הצפנה המבוססת על צופן סימטרי שמטרתה לספק סודיות והבטחת שלמות המידע. כאשר פונקציית ההצפנה מקבלת טקסט מקור, מפתח סודי המשותף לשולח והמקבל ווקטור אתחול ומחזירה טקסט מוצפן, בעוד שפונקציית הפענוח מקבלת טקסט מוצפן ווקטור אתחול ומפתח סודי ומפיקה טקסט קריא או סמל מיוחד "INVALID" אם אחד הערכים שונה כתוצאה משגיאה במהלך המשלוח או בזדון. בהקשר זה וקטור האתחול מכונה גם Nonce כלומר ערך ייחודי וחד פעמי אך אינו בהכרח סודי או אקראי כמו למשל מספר רץ. למעשה אפשר להשיג הצפנה מאומתת על ידי שילוב נכון של צופן בלוקים עם קוד אימות מסרים כמו שקורה בפועל ובתקני הצפנה. בעבר השתמשו בטכניקה של ריפוד על ידי הוספת יתירות אולם דרך זו הוכחה כלא בטוחה. שיטות רבות שבשימוש אינן יעילות וחלקן לא בטוחות. המטרה היא השגת אימות במחיר הנמוך ביותר אפשרי מהיבט של יעילות ביישום מעשי בתוכנה או בחומרה, כמעט כמו הצפנה ללא אימות, תוך שמירה על ביטחון גבוה. בנוסף רצוי שתהיה תמיכה במקביליות להשגת תפוקה גבוהה. OCB מכיל את התכונות הבאות:

אורך מינימלי של טקסט מוצפן בהתחשב באורך הטקסט המקורי. כמו כן אורך המסר לא חייב להיות כפולה של גודל הבלוק שהצופן מקבל.
הצורך בוקטור אתחול גמיש. צריך להיות שונה בכל פעם שמצפינים מסר חדש עם אותו מפתח אך אינו חייב להיות סודי או אקראי.
מספר הקריאות לצופן הבלוקים (כאשר המסר ארוך) הוא מינימלי, כמעט אופטימלי.
יש צורך במפתח הצפנה סודי יחיד כאשר מפתח האימות נגזר ממנו.
יעילות רבה בחישובי האופסט או הרצף. ההצפנה והפענוח יכולים להתבצע ללא עיכוב גם אם המסר לא הגיע בשלמותו. וכן היכולת לטפל בבלוקים קצרים ביעילות והיכולת לבצע חישוב מקבילי או לחדש תג אימות ביעילות כאשר בוצע שינוי בחלק מהמסר. זאת ללא חישובים אריתמטיים מסובכים.
תפוקה גבוהה. בניסוי שעשו המפתחים על פנטיום 3 הוכח ש-OCB איטי רק ב-6.5% לעומת הצפנה ישירה ללא אימות. ומהיר פי 54% ממצב הצפנה CBC עם MAC כמו CCM.
יישום מקבילי בחומרה ייעודית יכול להניב תפוקה של 10 Gbps.
ביטחון סמנטי מוכח לפי מודל של מיקלי וגולדווסר שנקרא indistinguishability כנגד התקפת גלוי-נבחר יחד עם אימות מוכח לפי מודל של בלייר כץ ויונג. מה שמספק הגנה כנגד ההתקפה החזקה ביותר התקפת מוצפן-נבחר בקיצור CCA שמקביל גם למודל ביטחון מחמיר שנקרא אי-חשילות של דולב ואחרים. מודלים של ביטחון אילו אינם מתקיימים במצבי הפעלה סטנדרטיים כמו PCBC שייושם בפרוטוקול קרברוס.

סימנים מוסכמים

צופן בלוקים המהווה מרכיב פרימיטיבי באלגוריתם הוא פונקציה מהצורה $E:{\mathcal {K}}\times \{0,1\}^{n}\rightarrow \{0,1\}^{n}$ המסומנת בקיצור $E_{K}(M)$ כאשר $K$ הוא מפתח ההצפנה ו- $M$ הוא המסר. גודל בלוק שהצופן מסוגל להצפין בריצה אחת הוא $n$ שמומלץ שיהיה לפחות 128 סיביות. ואורך התג מיוצג על ידי $\tau$ ומומלץ שיהיה לפחות 32 סיביות. בפרוטוקול IPSec התקן הוא 96 סיביות.

כל הערכים הם מחרוזות בינאריות והסימן $A\ \|\ B$ מייצג שרשור של $A$ ו- $B$ למחרוזת אחת. המרה של מחרוזת בינארית למספר שלם וההפך היא לפי סדר בתים קטן. הפונקציה ${\text{ntz}}(i)$ מייצגת את מספר האפסים המסיימים בייצוג הבינארי של המספר $i$ (בספרות הפחות משמעותיות של המספר) למשל ${\text{ntz}}(7)=0$ וכן ${\text{ntz}}(8)=3$ . הריפוד של $A$ באפסים מיוצג על ידי $A\ 0^{*}$ , למשל המספר 5 בייצוג בינארי הוא $0^{*}101$ הכוכבית מתייחסת למספר האפסים הדרוש כדי להשלימו לגודל בלוק $n$ , כלומר אם $n=128$ סיביות המספר 5 בייצוג בינארי מרופד ב-125 אפסים בסיביות המשמעותיות כדי להשלימו לגודל בלוק). הפעולה $A\oplus B$ נקראת XOR. הסימן $A\ll 1$ נקרא הזזה לשמאל (shift left) של סיביות המחרוזת $A$ צעד אחד, הסיבית המשמעותית ביותר נפלטת ואילו הסיבית הראשונה מתאפסת. וכן לגבי $A\gg 1$ בסדר הפוך. כאשר מחלקים את המסר $M$ לבלוקים בגודל $n$ צריך לזכור שמספר הבלוקים צריך להיות לפחות אחד, כך שהמחרוזת הריקה גודלה 1.

פעולות אריתמטיות בשדה $GF(2^{n})$

כדי לחשב את האופסט להלן, רואים במחרוזות באורך $n$ הסיביות כפולינומים מעל השדה ${\text{GF}}(2^{n})$ , כך שהמקדמים של האלמנט $a(x)=a_{n-1}x^{n-1}+\cdots +a_{1}x+a_{0}$ הן הסיביות של המספר $a$ . למשל בשדה $GF(2^{128})$ אפשר לראות במספר 5 כמחרוזת בינארית $0^{125}101$ או הפולינום $x^{2}+1$ . פעולת החיבור של שני אלמנטים בשדה היא חיבור המקדמים בנפרד מודולו 2 שהיא מקבילה לפעולת XOR. כדי לבצע פעולת כפל בשדה $c(x)=a(x)\cdot b(x)$ , יש לבחור תחילה פולינום פרימיטיבי אי-פריק $p(x)$ ממעלה $n$ (שרצוי שיהיה עם מספר מקדמים מינימלי, דהיינו משקל בינארי נמוך) שישמש כמייצג של השדה, כך שכל פעולות הכפל בין שני אלמנטים בשדה צריכות להתבצע מודולו $p(x)$ כדי שהתוצאה תהיה אלמנט בשדה. למשל עבור השדה ${\text{GF}}(2^{128})$ הפולינום $x^{128}+x^{7}+x^{2}+x+1$ מתאים.

אפשר לראות שקל לבצע כפל של כל פולינום $a(x)$ בפולינום $x$ כיוון שהתוצאה

a(x)\cdot x=a_{n-1}x^{n}+a_{n-2}x^{n-1}+\cdots +a_{1}x^{2}+a_{0}x

שקולה בעצם להזזת המקדמים שמאלה פוזיציה אחת. כעת אם הסיבית הגבוהה ביותר היא אפס התקבל פולינום ממעלה נמוכה מ-128 והתוצאה נותרת בעצם $a\ll 1$ . אך אם הסיבית המשמעותית היא 1 מתקבל פולינום ממעלה גבוהה או שווה ל-128, מה שמחייב לצמצם את הפולינום $a$ מודולו $p(x)$ . דהיינו צריך למצוא פולינומים $q$ ו- $r$ המקיימים $a^{128}+a=q\cdot p+r$ ואז לקחת את השארית $r$ . קל לפתור את המשוואה האחרונה כאשר $q=1$ כי אחרי העברת אגפים מתקבל $r=a^{128}+a-p$ . במילים אחרות צריך לחסר את $p$ מהתוצאה ואפשר להסתפק במקדמים הנמוכים של $p$ כי הסיבית הגבוהה מתבטלת. חיסור אלמנט בשדה זה מתבצע על ידי XOR כי הוא הופכי של עצמו לכן חיבור וחיסור הן פעולות זהות. לסיכום:

a\cdot x={\begin{cases}a\ll 1,&{\text{if the first bit of a }}=0\\a\ll 1\oplus 0^{120}10000111,&{\text{if the first bit of a }}=1\end{cases}}

באופן דומה אפשר לבצע חילוק עם ההופכי הכפלי של $x$ .

a\cdot x^{-1}={\begin{cases}a\gg 1,&{\text{if the last bit of a }}=0\\a\gg 1\oplus 10^{120}1000011,&{\text{if the last bit of a }}=1\end{cases}}

כעת אם $L\in \{0,1\}^{n}$ הוא מחרוזת בינארית (או פולינום) הביטוי $L(i)$ עבור $i\geq -1$ הוא סימון מקוצר של הפעולה $L\cdot x^{i}$ . כלומר כפל הפולינום $L$ בחזקות של הפולינום $x$ . בעזרת נוסחאות הכפל והחילוק לעיל קל לחשב מתוך $L$ את $L(i-1),L(0),L(1),...,L(\mu )$ . עבור $\mu$ קטן. את $L(-1)$ מחשבים על ידי $L\cdot x^{-1}$ .

לצורך האופסט בהשאלה מקוד גריי מגדירים את $\gamma ^{l}=(\gamma _{0}^{l}\ \gamma _{1}^{l}\cdots \ \gamma _{2^{l}-1}^{l})$ של מחרוזות באורך $l$ סיביות הנבדלות זו מזו רק בסיבית אחת. כאן נעשה שימוש בקוד גריי קנוני שאותו בונים על ידי חישוב $\gamma ^{1}=(0\ 1)$ ועבור כל $l$ הגדול מ-0:

\gamma ^{l+1}=(0\gamma _{0}^{l}\ 0\gamma _{1}^{l}\cdots \ 0\gamma _{2^{l}-1}^{l}1\gamma _{2^{l}-1}^{l}\ 1\gamma _{2^{l}-2}^{l}\cdots \ 1\gamma _{1}^{l}\ 1\gamma _{0}^{l})

הסיבה לבחירה זו היא שלמעשה $\gamma _{i}=\gamma _{i-1}\oplus (0^{n-1}1\ll {\text{ntz}}(i))$ . שזה XOR עם חזקה של 2 כאשר החזקה היא מספר האפסים המסיימים באינדקס $i$ . מה שהופך את המשימה לחישוב נקודות האופסט לקלה במיוחד כי כל שנדרש הוא הזזות ו-XOR בלבד. נקודות $\gamma _{i}$ האמורות שונות זו מזו בסיבית אחת לפחות ושונות מאפס וכן $\gamma _{i}<2i$ . תוך שימוש בקוד גריי, במחרוזת $L$ ובמחרוזת $R$ (שיבוארו להלן) מחשבים באופן רקורסיבי את הערכים הבאים:

\gamma _{1}\cdot L=L\oplus R,\ \ \gamma _{i}\cdot L=(\gamma _{i-1}\cdot L)\oplus L({\text{ntz}}(i))\oplus R,\ i\geq 2

.

כל נקודה מחושבת על ידי XOR של הנקודה הקודמת עם $L({\text{ntz}}(i))$ . כדי לשלב את וקטור האתחול בתהליך ההכנה תחילה מצפינים אותו עם $L$ ומחברים את התוצאה $R$ עם כל ההיסטים $\gamma _{i}$ , כאשר האופסט הראשון הוא $L\oplus R$ . כך מבטיחים ייחודיות בכל הצפנה.

תיאור האלגוריתם

באלגוריתם הבא, מתייחסים לטקסט המיועד להצפנה כאל מחרוזת סיביות המחולקת ל- $m$ בלוקים. כאשר המסר צריך להיות לפחות $m-1$ בלוקים שלמים בגודל 128 סיביות ובלוק האחרון שיכול להיות בלוק חלקי המרופד באפסים במידת הצורך או שהוא יכול להיות ריק לגמרי. על כל פנים צריך שיהיה לפחות בלוק אחד כך שיתקיים $128m\leq |M|$ .

הצפנה ואימות

${\boldsymbol {\mathbf {OCB1} .\mathbf {E} _{\mathbf {K} }(N,M)}}$

$L=E_{K}(0^{n})$
$R=E_{K}(N\oplus L)$
${\text{For }}i=1{\text{ to }}m{\text{ do: }}\ Z[i]=\gamma _{i}\cdot L\oplus R$
${\text{For }}i=1{\text{ to }}m-1{\text{ do: }}\ C[i]=E_{K}(M[i]\oplus Z[i])$
$X[m]={\text{len}}(M[m])\oplus L\cdot x^{-1}\oplus Z[m])$
$Y[m]=E_{K}(X[m])$
$C[m]=Y[m]\oplus M[m]$
$C=C[1],...,C[m]$
${\text{Checksum}}=M[1]\oplus \cdots \oplus M[m-1]\oplus C[m]0^{*}\oplus Y[m]$
$T=E_{K}({\text{Checksum}}\oplus Z[m])[{\text{first }}\tau {\text{ bits}}]$
${\text{Return }}C\ \|\ T$

פענוח ואימות

${\boldsymbol {\mathbf {OCB1} .\mathbf {D} _{\mathbf {K} }(N,C\ \|\ T)}}$

$L=E_{K}(0^{n})$
$R=E_{K}(N\oplus L)$
${\text{For }}i=1{\text{ to }}m{\text{ do: }}\ Z[i]=\gamma _{i}\cdot L\oplus R$
${\text{For }}i=1{\text{ to }}m-1{\text{ do: }}\ M[i]=E_{K}^{-1}(C[i]\oplus Z[i])\oplus Z[i]$
$X[m]=len(C[m])\oplus L\cdot x^{-1}\oplus Z[m]$
$Y[m]=E_{K}(X[m])$
$M[m]=Y[m]\oplus C[m]$
$M=M[1],...,M[m]$
${\text{Checksum}}=M[1]\oplus \cdots \oplus M[m-1]\oplus C[m]0^{*}\oplus Y[m]$
$T'=E_{K}({\text{Checksum}}\oplus Z[m])[{\text{first }}\tau {\text{ bits}}]$
${\text{If }}T=T'{\text{ Then return }}M{\text{ else return INVALID}}$

תיאור במילים

הקלט הוא מפתח סודי $K$ , וקטור האתחול $N$ והמסר $M$ אותו מחלקים ל- $m$ לבלוקים בגודל $n$ סיביות, מרפדים באפסים את הבלוק האחרון אם נדרש. לצורך הכנה, תחילה מחשבים את $L$ על ידי הצפנה של מחרוזת אפסים עם צופן הבלוקים $E$ והמפתח $K$ ואז מחשבים ומאחסנים את הסדרה $L(-1),L,L(1),L(2),...,L(\mu )$ כאשר $\mu =\left\lceil {\text{log}}_{2}m\right\rceil$ . אם אורך המסר אינו ידוע מראש אפשר לחשב ולאחסן מראש את הסדרה המתוארת עד לגבול העליון של מספר הבלוקים האפשריים עבור מפתח נתון. את הסדרה מחשבים בשיטה המתוארת לעיל, רקורסיה של כפל ב- $x$ (הזזה ו-XOR מותנה). מחשבים את האופסט הראשון על ידי הצפנה של $L$ עם וקטור האתחול $E_{K}(N\oplus L)$ ולאחר מכן באופן רקורסיבי מחשבים את כל האופסטים באמצעות הנוסחה ${\text{Offset}}={\text{Offset}}\oplus L({\text{ntz}}(i))$ עבור $i=1,...,m-1$ . באמצעות צופן בלוקים מצפינים כל בלוק כשהוא מחובר עם האופסט המתאים ב-XOR פעמיים, לפני ואחרי ההצפנה כדי לקבל את הטקסט המוצפן $C$ . מחשבים את הבלוק האחרון שהוא הצפנה של אורך המסר עם האופסט המתאים, מחשבים את סכום הביקורת אותו מצפינים באמצעות צופן הבלוקים עם האופסט המתאים. מוסיפים הצפנה של הבלוק האחרון עם קידוד של אורך המסר וכן האופסט האחרון. את תג האימות מחשבים על ידי XOR של כל הבלוקים יחד עם הבלוק המוצפן האחרון והצפנתם. $\tau$ הסיביות הראשונות של תוצאת ההצפנה האחרונה הן תג האימות $T$ שמצורף ל- $C$ . תיאור הפענוח דומה. תחילה מבצעים את אותם פעולות הכנה כמו בתהליך ההצפנה. מפענחים את כל הבלוקים המוצפנים כשהם מחוברים ב-XOR עם האופסט המתאים ומחשבים את הבלוק האחרון ותג האימות $T'$ אותו משווים עם $T$ שהתקבל מהשולח. אם כל הערכים נכונים האלגוריתם מחזיר את $M$ , אם אחד מהערכים שגוי האלגוריתם מחזיר ${\text{INVALID}}$ .

ביטחון

OCB נחשב בטוח לפי הגדרות שנהגו לראשונה ב-1984 על ידי מיקלי וגולדווסר בשם ביטחון סמנטי וכן על ידי בלייר ורוגווי ב-1997 ובשנת 2000. תאורטית זיוף תג אימות באופן כללי יכול להצליח בסיבוכיות של $1/2^{\tau }$ . מעבר לזה, ככל שמוצפנים בלוקים נוספים כמות המידע שעומדת לרשות התוקף גדלה באופן יחסי עד $1.5\sigma ^{2}/2^{n}$ . כאשר $\sigma$ מייצג את מספר הבלוקים. כך שאם $\sigma$ קטן OCB יהיה בטוח בהנחה שצופן הבלוקים בטוח. במילים אחרות מצב ההפעלה אינו גורע מביטחון הצופן אלא בשיעור נמוך שצפוי לפחות מכל מצב הפעלה אחר. איבוד הביטחון הנובע מהגדרה זו מביא למסקנה שצופן הבלוקים צריך להיות לפחות 128 סיביות כדי להגיע לרמת ביטחון ראויה לצורך מעשי. לצורך המחשה, אם תג האימות הוא 64 סיביות ולתוקף גישה ל- $2^{40}$ בתים מוצפנים שהוא בחר ושהוצפנו עם אותו מפתח. הסיכויים שלו להצליח לייצר מסר מזויף עם תג אימות תקף ללא ידיעת המפתח כאשר גודל הבלוק הוא 128, הם בערך $1.5(2^{40-4})^{2}/2^{128}+2^{-64}<2^{-55}$ . בניסוח פורמלי בהינתן יריב בעל עוצמת חישוב מוגבלת וכן שיש לו גישה לאורקל והוא מסוגל להגיש $q$ שאילתות שבסך הכול מסתכמות ב- $\sigma$ בלוקים ואז מנסה לזייף מסר מסוים תוך $c$ ניסיונות, יהי ${\bar {\sigma }}=\sigma +2q+5c+11$ , ביטחון שלב האימות של האלגוריתם יהיה

{\text{Adv}}_{{\text{OCB}}[{\text{Perm}}(n),\tau ]}^{\text{auth}}\ ({\text{A}})\leq 1.5{\bar {\sigma }}^{2}/2^{n}+1/2^{\tau }

ביטחון שלב הסודיות באלגוריתם מוגדר על ידי

{\text{Adv}}_{{\text{OCB}}[{\text{Perm}}(n),\tau ]}^{\text{priv}}\ ({\text{A}})\leq 1.5{\bar {\sigma }}^{2}/2^{n}

${\text{Adv}}$ הוא היתרון של היריב המנסה לתקוף את המערכת. ${\text{Perm}}$ מייצג פרמוטציה (PRP). והסימן ${\text{auth}}$ מייצג את חלק האימות ואילו ${\text{priv}}$ הוא הסודיות.

רוגווי הרחיב את אלגוריתם OCB כדי לכלול גם אימות של מידע גלוי נלווה. הבעיה של אימות מידע נלווה לצופן מסומנת בקיצור AEAD - הצפנה מאומתת עם מידע נלווה. הרעיון הוא שלעיתים מתעורר הצורך להצפין מידע באופן מאומת וכן לצרף אליו מידע כלשהו הקשור לטקסס המוצפן שאמור להיות גלוי, אך רצוי שיהיה מאומת בדרך כלשהי ורצוי שלא יגרום לטקסט המוצפן לגדול.

ב-2002 פרסם ניילס פרגוסון התקפת התנגשויות כנגד OCB המכוונת נגד שלב האימות. ההתקפה מאלצת להגביל את כמות המידע שניתן לאימות עם מפתח יחיד לרמה של 64GB. והוא ממליץ שלא להשתמש במצב הפעלה זה.

פסאודו-קוד

${\boldsymbol {{\textbf {OCB1-ENCRYPT}}(K,N,A,P)}}$

R=E_{K}(0^{128})

L=R\cdot x

L_{0}=L\cdot x

{\text{For }}i=1{\text{ to }}m{\text{ do: }}L_{i}=L_{i-1}\cdot x

\color {blue}{\mathit {m\ is\ the\ largest\ integer\ so\ that\ 128m\leq |P|}}

P=P_{1}\ \|\ P_{2}\ \|\ ...\ \|\ P_{m}\ \|\ P_{*}

\color {blue}{\mathit {(Note:\ P_{*}\ may\ possibly\ be\ empty)}}

{\text{Nonce}}={\text{num2str}}({\text{TAGLEN mod }}128,7)\ \|\ 0^{120-|N|}\ \|\ 1\ \|\ N

{\text{bottom}}={\text{str2num}}({\text{Nonce}}_{123\ {\text{to}}\ 128})

{\text{Ktop}}=E_{K}({\text{Nonce}}_{1\ ..\ 122}||0^{6})

{\text{Stretch}}={\text{Ktop}}\ \|\ ({\text{Ktop}}_{1..64}\oplus {\text{Ktop}}_{9..72})

{\text{offset}}={\text{Stretch}}_{1+{\text{bottom}}\ {\text{to}}\ 128+{\text{bottom}}}

{\text{checksum}}=0

{\text{For }}i=1{\text{ to }}m{\text{ do:}}

{\text{offset}}={\text{offset}}\oplus L_{{\text{ntz}}(i)}

C_{i}={\text{offset}}\oplus E_{K}(P_{i}\oplus {\text{offset}})

{\text{checksum}}={\text{checksum}}\oplus P_{i}

\color {blue}{\mathit {Process\ any\ final\ partial\ block\ and\ compute\ raw\ tag}}

{\text{offset}}={\text{offset}}\oplus R

{\text{Pad}}=E_{K}({\text{offset}})

C_{*}=P_{*}\oplus {\text{Pad}}_{1\ {\text{to}}\ |P_{*}|}

{\text{checksum}}={\text{checksum}}\oplus (P_{*}\ \|\ 1\ \|\ 0^{127-|P_{*}|})

{\text{Tag}}=E_{K}({\text{checksum}}\oplus {\text{offset}}\oplus L)\oplus {\text{HASH}}(K,A)

{\text{Return: }}C_{1}\ \|\ C_{2}\ \|\ ...\ \|\ C_{m}\ \|\ C_{*}\ \|\ {\text{Tag}}_{1\ {\text{to}}\ {\text{TAGLEN}}}

${\boldsymbol {{\textbf {hash}}(A,K)}}$

{\text{sum}}=0

{\text{offset}}=0

R=E_{K}(0^{128})

L=R\cdot x

L_{0}=L\cdot x

{\text{For }}i=1{\text{ to }}m{\text{ do: }}L_{i}=L_{i-1}\cdot x

\color {blue}{\mathit {m\ is\ the\ largest\ integer\ so\ that\ 128m\leq |A|}}

A=A_{1}\ \|\ A_{2}\ \|\ ...\ \|\ A_{m}\ \|\ A_{*}

\color {blue}{\mathit {(Note:\ A_{*}\ may\ possibly\ be\ empty)}}

{\text{For }}i=1{\text{ to }}m{\text{ do: }}

{\text{offset}}={\text{offset}}\oplus L_{{\text{ntz}}(i)}

{\text{sum}}={\text{sum}}\oplus E_{K}(A_{i}\oplus {\text{offset}})

\color {blue}{\mathit {(process\ final\ partial\ block)}}

{\text{offset}}={\text{offset}}\oplus R

{\text{sum}}={\text{sum}}\oplus E_{K}(A_{*})

{\text{Return }}sum

‎

${\textbf {OCB1-DECRYPT}}(K,N,A,C)$

\color {blue}{\mathit {(process\ OCB-ENCRYPT\ and\ then:)}}

{\text{If Tag}}_{(1\ {\text{to}}\ {\text{TAGLEN}})}=T\ {\text{then return }}P

{\text{else return }}{\textbf {INVALID}}

OCB2

החסרונות העיקריים ב-OCB הם המחיר של הצפנה נוספת בתהליך ההכנה וכן חישובי האופסטים שדורשים זמן ביצוע לא קבוע. בגרסת OCB2^[4] מ-2004 מוצע פתרון אחר המבוסס על צופן בלוקים בר התאמה להלן תיאור האלגוריתם:

$\mathbf {OCB2.Encrypt} {\boldsymbol {_{K}^{N}(M,\tau )}}$ ${\text{Let }}M=M[1],M[2],...,M[m]$ ${\text{For }}i\in [1..m-1]{\text{ do }}C[i]\leftarrow {\boldsymbol {\pi }}_{i}^{N}(M[i])$ ${\text{Pad}}\leftarrow \pi _{m}^{N}({\text{len}}(M[m]))$ $C[m]\leftarrow M[m]\oplus {\text{Pad}}$ $C\leftarrow C[1],C[2],...,C[m]$ $\Sigma \leftarrow M[1]\oplus \cdots \oplus M[m-1]\oplus C[m]0^{*}\oplus {\text{Pad}}$ ${\text{Tag}}\leftarrow {\bar {\pi }}_{m}^{N}(\Sigma )$ $T\leftarrow {\text{Tag}}[{\text{first }}\tau {\text{ bits}}]$ ${\text{return }}{\mathcal {C}}=C\ \\|\ T$	$\mathbf {OCB2.Decrypt} {\boldsymbol {_{K}^{N}}}({\boldsymbol {\mathcal {C}}},\tau )$ ${\text{Let }}{\mathcal {C}}=C[1],C[2],...,C[m],T$ ${\text{For }}i\in [1..m-1]{\text{ do }}M[i]\leftarrow ({\boldsymbol {\pi }}_{i}^{N})^{-1}(C[i])$ ${\text{Pad}}\leftarrow \pi _{m}^{N}({\text{len}}(M[m]))$ $M[m]\leftarrow C[m]\oplus {\text{Pad}}$ $M\leftarrow M[1],M[2],...,M[m]$ $\Sigma \leftarrow M[1]\oplus \cdots \oplus M[m-1]\oplus C[m]0^{*}\oplus {\text{Pad}}$ ${\text{Tag}}\leftarrow {\bar {\pi }}_{m}^{N}(\Sigma )$ $T'\leftarrow {\text{Tag}}[{\text{first }}\tau {\text{ bits}}]$ ${\text{if }}T=T'{\text{ then return }}M{\text{ else return INVALID}}$

${\text{OCB2}}[{\tilde {E}},\tau ]$ עם צופן בלוקים בר התאמה ${\tilde {E}}:{\mathcal {K}}\times {\mathcal {T}}\times \{0,1\}^{n}\rightarrow \{0,1\}^{n}$ המקבל tweak המסומן ${\mathcal {T}}=\{0,1\}\times \{0,1\}^{n}\times [1..2^{n/2}]\times \{0,1\}$ (סיבית תחילית, ערך בטווח הרצוי וסיבית סופית) ומייצר בנוסף תג אימות באורך $\tau \in [0..n]$ . למען הפשטות באלגוריתם המתואר הסימן ${\boldsymbol {\pi }}_{i}^{N}$ (כאשר ה- $\pi$ מודגש) מייצג צופן בלוקים בר התאמה ${\tilde {E}}_{K}^{1\ N\ i\ 0}$ שבו ה-tweak מורכב מטווח ערכים המיוצג על ידי $N$ בנוסף ל-'1' מוביל, המונה $i$ ו-'0' מסיים באותו אופן $\pi _{i}^{N}$ מתאים ל- ${\tilde {E}}_{K}^{0\ N\ i\ 0}$ והאחרון ${\bar {\pi }}_{i}^{N}$ מתאים ל- ${\tilde {E}}_{K}^{0\ N\ i\ 1}$ . ההבדלים בין הגרסאות הם בסיבית הפותחת והמסיימת.

OCB3

בגרסאות הקודמות בוצעו $m+2$ קריאות לצופן הבלוקים כדי להצפין $m$ בלוקים עם אימות, קריאה ראשונה לייצר את האופסט הראשון מוקטור האתחול, לאחר מכן הצפנת $m$ הבלוקים ולבסוף קריאה אחרונה להצפנת התג. אפשר להיפטר מהקריאה הראשונה לצופן הבלוקים על ידי החלפה בפונקציית גיבוב XOR אוניברסלית מהירה $\Delta =H_{K}(N)=({\text{Stretch}}\ll {\text{Bottom}}[1..128]$ כאשר ${\text{Bottom}}$ הוא 6 הסיביות הפחות משמעותיות של $N$ והמחרוזת ${\text{Stretch}}$ נוצרת על ידי הצפנה של $N$ עם שש הסיביות הפחות משמעותיות מאופסות (הפונקציה מפורטת בהמשך). מבנה זה הוכח כפונקציית גיבוב אוניברסלית. בדרך זו מתבצעות $m+1.016$ קריאות בממוצע לצופן הבלוקים בנוסף לביצוע פונקציית הגיבוב המהירה. ב-OCB3 התג אינו תלוי בטקסט המוצפן מה שמאפשר האצה נוספת בביצועים ביישום מקבילי לעומת הגרסאות הקודמות. כמו כן מסתבר שפעולת כפל בשדה $GF(2^{128})$ סובלת מביצועים גרועים ברוב הפלטפורמות לכן הוחלט על גשה אחרת לקידום המונה מאשר בגרסאות הקודמות. כעת כל הבלוקים מטופלים באותה דרך, גם הבלוק האחרון והם נפרדים זה מזה. שיפור נוסף הוא החלפת צופן הבלוקים בצופן בלוקים בר-התאמה, בדרך זו האלגוריתם פשוט יותר וקל להוכחה.

להלן תיאור האלגוריתם^[5] בגרסת $\Theta {\text{OCB3}}[{\tilde {E}},\tau ]$ מעל צופן בלוקים בר התאמה:

$\mathbf {OCB3.Encrypt} _{N,K}(M,A)$ ${\text{let }}M=M_{1}...M_{m}M_{};\ \|M_{i}\|=n,\ \|M_{}\|<n$ ${\text{Checksum}}=0^{n},\ C_{}={\text{empty}}$ ${\text{For }}i=1{\text{ to }}m{\text{ do}}$ $C_{i}={\tilde {E}}_{K}^{N\ i}(M_{i})$ ${\text{Checksum}}={\text{Checksum}}\oplus M_{i}$ ${\text{If }}M_{}={\text{empty then:}}$ ${\text{Final}}={\tilde {E}}_{K}^{N\ m\ \$}({\text{Checksum}})$ ${\text{else Pad}}={\tilde {E}}_{K}^{N\ m\ }(0^{n})$ $C_{}=M_{}\oplus {\text{Pad}}[1..\|M_{}\|]$ ${\text{Checksum}}={\text{Checksum}}\oplus M_{}10^{}$ ${\text{Final}}={\tilde {E}}_{K}^{m\ \ \$}({\text{Checksum}})$ ${\text{Auth}}={\text{Hash}}_{K}(A)$ ${\text{Tag}}={\text{Final}}\oplus {\text{Auth}}$ $T={\text{Tag}}[1..\tau ]$ ${\text{Return }}C_{1}...C_{m}C_{}\ \\|\ T$ ‎ $\mathbf {Hash} _{K}(A)$ ${\text{Sum}}=0^{n}$ ${\text{let }}A=A_{1}...A_{m}A_{};\ \|A_{i}\|=n,\ \|A_{}\|<n$ ${\text{For }}i=1{\text{ to }}m{\text{ do}}$ ${\text{Sum}}={\text{Sum}}\oplus {\tilde {E}}_{K}^{i}(A_{i})$ ${\text{If }}A_{}\neq {\text{empty then:}}$ ${\text{Sum}}={\text{Sum}}\oplus {\tilde {E}}_{K}^{m\ }(A_{}10^{})$ ${\text{Return Sum}}$	$\mathbf {OCB3.Decrypt} _{K,N}(C\ \\|\ T,A)$ ${\text{let }}C=C_{1}...C_{m}C_{};\ \|C_{i}\|=n,\|C_{}\|<n$ ${\text{Checksum}}=0^{n},M_{}={\text{empty}}$ ${\text{For }}i=1{\text{ do }}m{\text{ do}}$ $M_{i}={\tilde {D}}_{K}^{N\ i}(C_{i})$ ${\text{Checksum}}={\text{Checksum}}\oplus M_{i}$ ${\text{If }}C_{}={\text{empty then:}}$ ${\text{Final}}={\tilde {E}}_{K}^{N\ m\ \$}({\text{Checksum}})$ ${\text{else Pad}}={\tilde {E}}_{K}^{N\ m\ }(0^{n})$ $M_{}=C_{}\oplus {\text{Pad}}[1..\|C_{}\|]$ ${\text{Checksum}}={\text{Checksum}}\oplus M_{}10^{}$ ${\text{Final}}={\tilde {E}}_{K}^{N\ m\ \ \$}({\text{Checksum}})$ ${\text{Auth}}={\text{Hash}}_{K}(A)$ ${\text{Tag}}={\text{Final}}\oplus {\text{Auth}}$ $T'={\text{Tag}}[1..\tau ]$ ${\text{If }}T=T'{\text{ then return }}M_{1}...M_{m}M_{}$ ${\text{else return INVALID}}$ ‎ ‎ ‎ ‎ ‎ ‎ ‎ ‎ ‎

הסבר: צופן הבלוקים בר התאמה מסומן על ידי ${\tilde {E}}$ כשגודל הבלוק נקבע ל-128. הוא מקבל מפתח הצפנה, tweak וטקסט קריא ומחזיר טקסט מוצפן (להלן תיאור מפורט כיצד להפוך צופן בלוקים רגיל לצופן בלוקים בר התאמה). הסימן $\tau$ מייצג את אורך תג האימות בסיביות. בנוסף האלגוריתם מקבל את הטקסט הנלווה A. הסימנים * ו-$ מייצגים ערכי tweak שונים בהתאם להיסטים (מבוארים בהרחבה להלן). הביטוי $0^{n}$ פירושו מחרוזת של $n$ אפסים. בניסוי שערכו המפתחים פיליפ רוגווי וטד קרובץ לטענתם האלגוריתם מהיר הרבה יותר מ-CCM או GCM בניגוד לטענת המפתחים של האלגוריתמים הללו. ביישום ממוטב האלגוריתם יכול הגיע למהירות הצפנה של 1.5 CPB. הטכניקה להפיכת צופן הבלוקים לצופן בלוקים בר התאמה נעשית כך:

ביטוי				תיאור
$L=E_{K}(0^{128})$				הצפנת מחרוזת של 128 אפסים
$\lambda _{i}=4a(i)\$	$\lambda _{i}^{*}=4a(i)+1\$	$\lambda _{i}^{\$}=4a(i)+2\$	$\lambda _{i}^{*\$}=4a(i)+3\$	ארבעה היסטים לפי אינדקס (עם הסימנים , $ או $)
${\tilde {E}}_{K}^{N\ i}(M)=E_{K}(M\oplus \Delta )\oplus \Delta$			$\Delta ={\text{Initial}}\oplus \lambda _{i}L;\ \ i\geq 1$	tweak "N i"
${\tilde {E}}_{K}^{N\ i\ *}(M)=E_{K}(X\oplus \Delta )$			$\Delta ={\text{Initial}}\oplus \lambda _{i}^{*}L;\ \ i\geq 0$	tweak "N i *"
${\tilde {E}}_{K}^{N\ i\ \$}(M)=E_{K}(M\oplus \Delta )$			$\Delta ={\text{Initial}}\oplus \lambda _{i}^{\$}L;\ \ i\geq 0$	tweak "N i $"
${\tilde {E}}_{K}^{N\ i\ *\ \$}(M)=E_{K}(M\oplus \Delta )$			$\Delta ={\text{Initial}}\oplus \lambda _{i}^{*\$}L;\ \ i\geq 1$	tweak "N i * $"
${\tilde {E}}_{K}^{i}(M)=E_{K}(M\oplus \Delta )$			$\Delta =\lambda _{i}L;\ \ i\geq 1$	tweak "i"
${\tilde {E}}_{K}^{i\ *}(M)=E_{K}(M\oplus \Delta )$			$\Delta =\lambda _{i}^{*}L;\ \ i\geq 0$	tweak "i *"

הסבר: תחילה מצפינים מחרוזת אפסים באמצעות צופן הבלוקים עם מפתח ההצפנה המסופק על ידי המשתמש, לאחר מכן כל בלוק מסר מחובר עם tweak שונה ב-XOR לפני שהוא מוצפן. כדי לייצר את ה-tweak המתאים לכל בלוק, תחילה מייצרים אופסט $\lambda$ מתאים, אותו מכפילים ב- $L$ ומחברים ב-XOR עם תוצאת פונקציית הגיבוב האוניברסלית של המפתח (להלן). את האופסט מכינים על ידי וריאציה של קוד גריי רקורסיבי כשהביטוי $a(i-1)\oplus 2^{{\text{ntz}}(i)}$ פירושו שכדי לקבל את הקוד ה- $i$ ברצף מחברים ב-XOR את האלמנט הקודם בחזקה של מספר האפסים המסיימים (הפחות משמעותיים) באינדקס $i$ , לדוגמה ${\text{ntz}}(8)=3$ וכן ${\text{ntz}}(7)=0$ . את פונקציית הגיבוב האוניברסלית מכינים כך:

{\text{Nonce}}=0^{127-|N|}1N

{\text{Top}}={\text{Nonce}}\land 1^{122}0^{6}

{\text{Bottom}}={\text{Nonce}}\land 0^{122}1^{6}

{\text{Stretch}}=E_{K}(Top)\ \|\ (E_{K}({\text{Top}})\oplus (E_{K}({\text{Top}})\ll 8))

{\text{Initial}}=({\text{Stretch}}\ll {\text{Bottom}})[1..128]

הסבר: ה-Nonce הוא ערך ייחודי וחד פעמי הנוצר פשוט על ידי וקטור האתחול $N$ המסופק על ידי המשתמש, כשהוא מרופד בסיבית 1 ואפסים במספר הנדרש כדי להשלימו לבלוק שלם באורך 128 סיביות. ואז מחלקים את הבלוק לשני חלקים העליון באורך 122 סיביות והתחתון באורך 6 סיביות (הסימן $\land$ מייצג AND המתפקד כאן כמסכת סיביות), מצפינים את העליון באמצעות צופן הבלוקים עם המפתח $K$ . לאחר הזזה (shift), הצמדה ( $\|$ ) והצפנה כמתואר התוצאה היא הערך Initial.

ראו גם

קישורים חיצוניים

אתר האינטרנט הרשמי של OCB

הערות שוליים

הערך באדיבות ויקיפדיה העברית, קרדיט,
רשימת התורמים
רישיון cc-by-sa 3.0

30532362OCB

[1] OCB: Documentation

[2] MODES DEVELOPMENT

[The_OCB_Authenticated-Encryption_Algorithm-3] The OCB Authenticated-Encryption Algorithm

[4] Efficient Instantiations of Tweakable Blockciphers and Refinements to Modes OCB and PMAC

[5] The Software Performance of Authenticated-Encryption Modes

[1]

[2]

[3]

[4]

[5]

OCB

תוכן עניינים

הצפנה מאומתת

סימנים מוסכמים

פעולות אריתמטיות בשדה $GF(2^{n})$

תיאור האלגוריתם

הצפנה ואימות

פענוח ואימות

תיאור במילים

ביטחון

פסאודו-קוד

OCB2

OCB3

ראו גם

קישורים חיצוניים

הערות שוליים

תפריט ניווט

OCB

הצפנה מאומתת

סימנים מוסכמים

פעולות אריתמטיות בשדה G F ( 2 n ) {\displaystyle GF(2^{n})}

תיאור האלגוריתם

הצפנה ואימות

פענוח ואימות

תיאור במילים

ביטחון

פסאודו-קוד

OCB2

OCB3

ראו גם

קישורים חיצוניים

הערות שוליים

תפריט ניווט

חיפוש

פעולות אריתמטיות בשדה $GF(2^{n})$