CCMP主要是兩個(gè)演算法所組合而成的

1、1. CCMP 簡(jiǎn)介CCMP主要是兩個(gè)演算法所組合而成的，分別是CTR mode以及CBC-MAC mode。CTR mode為加密演算法，CBC-MAC用於訊息完整性的運(yùn)算。在IEEE 802.11i 規(guī)格書中，CCMP為default mode，在所謂的RSN network中，扮演相當(dāng)重要的角色1。以下將分別簡(jiǎn)介CTR mode以及CBC-MAC。CTR全名是Advanced Encryption Standard (AES) in Counter Mode，在CCMP使用的AES 是based on Rijndael Algorithm所發(fā)展出的演算法2，主要是經(jīng)過(guò)NIST修改並且認(rèn)證

2、，不再有TKIP protocol支援WEP系統(tǒng)的既有攻擊，所以在安全強(qiáng)度上，有一定的水準(zhǔn)。Figure 1. 為CTR加密的流程圖。Figure 1. CTR encryption procedureCBC-MAC全名是Cipher Block Chaining Message Authentication Code，就如同其名，主要是針對(duì)message block作運(yùn)算，最後輸出message authentication code，達(dá)到驗(yàn)證message的效果(因?yàn)镃TR並沒(méi)有提供authentication的機(jī)制)。CBC-MAC加解密過(guò)程主要是把Message block經(jīng)由bloc

3、k cipher algorithm加密後，再把輸出給下一個(gè)block當(dāng)input使用。一開(kāi)始第一個(gè)block沒(méi)有input所以IV用0代入。在CCMP裡會(huì)把低位元的64-bit無(wú)條件的去掉，只取高位元64-bit當(dāng)做MIC。Figure 2. 為CBC-MAC的流程圖。Figure 2. CBC-MAC procedure2. CCMP潛在的危險(xiǎn)1. TMTO Pre-computation Attack3中已經(jīng)證明了CCMP的initial counter value是可以被預(yù)測(cè)到的。在4中，也說(shuō)明了任何人都可以計(jì)算出Address 2、priority field、Packet Numb

4、er還有payload的長(zhǎng)度，此攻擊可以用在任何的cipher text上(包含沒(méi)有statistically defective)。其概念主要是以空間換取時(shí)間，attacker在攻擊secret key前會(huì)先建一個(gè)database。TMTO成功率大小取決於attack是否獲得大量有用的資料，在CCMP中，所有的MPDU payload size不可大於2296 bytes，若超過(guò)MAX size MSDU會(huì)將其切割成數(shù)個(gè)MPDU來(lái)傳送，就以2296 bytes payload size來(lái)看，CTR裡的counter在同個(gè)session中只是很簡(jiǎn)單的在遞加，加上沒(méi)有限制一個(gè)session中可以

5、傳幾個(gè)MPDU，所以有許多可用的資料來(lái)進(jìn)行TMTO attack，簡(jiǎn)而言之，若counter value是可以被預(yù)測(cè)到的話，就有機(jī)會(huì)發(fā)生TMTO attack。目前有許多研究討論如何防止CCMP遭受TMTO attack，在5中，提出Nonce construction改善的有效方法(如random nonce、random priority field等等)。2. Chosen-Text Attack以6提出的方法來(lái)說(shuō)，chosen-text最少需要2(n+1/2)個(gè)已知的text-MAC pairs還有2(n-m)chosen text-MAC pairs (n為block size)，以

6、CCMP所使用的block128-bit來(lái)計(jì)算，至少需264.5個(gè)已知的text-MAC pairs還有264 chosen text-MAC pairs，所花的time complexity可能不亞於brute-force的方法，再加上CTR有對(duì)最後的MIC加密，所以理論上可行，但是事實(shí)上不太實(shí)際。 3. Side channel attack目前AES攻擊手法中，比較有效的大概就是Side channel attack，不過(guò)此種攻擊手法較不general，要用特定的方法針對(duì)特定的安裝系統(tǒng)，限制較多(像有些需要在系統(tǒng)上有權(quán)限執(zhí)行8，壓縮的metadata不能加密7)，我覺(jué)得跟brute-fo

7、rce attack比起來(lái)，所花的cost不會(huì)好多少。4. Nonce重建CCMP的nonce依序是由三個(gè)欄位所組成: priority、address(A2)、packet number。Priority 欄位長(zhǎng)度為8-bit，目前保持為零保留到以後來(lái)標(biāo)示frame的優(yōu)先權(quán)。A2長(zhǎng)度為48-bit，是從MAC address得到，唯一變動(dòng)的欄位為最後一個(gè)packet number，但此數(shù)值依序增加1，因此可已經(jīng)觀察一定數(shù)量的封包後，對(duì)其CCMP header的packet number進(jìn)行分析，就能得到Initial packet number，並且得到packet number現(xiàn)在的值。因

8、此，nonce的值不必經(jīng)過(guò)解密集可得到，安全性下降5，如Figure 3.所示。Figure 3. Nonce reconstruction scheme5. Initial Conter重建在802.11i中，無(wú)論是payload或是MIC都是使用counter mode來(lái)進(jìn)行加密，加密的方法是將明文經(jīng)過(guò)加密後的counter block value進(jìn)行XOR，所得即為密文。同理，若是將密文和加密後的counter block value進(jìn)行XOR就可得到明文。在CCMP中，對(duì)counter block value進(jìn)行加密的方加密法為AES，而counter block value是由ini

9、tial counter block value開(kāi)始計(jì)算，經(jīng)過(guò)一個(gè)message block即加1，因此只需要求得initial counter block value即可得到現(xiàn)在counter block value，並和cipher text進(jìn)行XOR求得plaintext。而counter block value是由三個(gè)資料所組成：flag、nonce、length of payload。Flag欄位總共為8 bits，前兩個(gè)bit為保留值，目前還沒(méi)定義，可為任意值；中間三個(gè)bit要保持為零；而最後三個(gè)bit用來(lái)記錄第三欄資料length of payload的長(zhǎng)度(byte)，換句話說(shuō)

10、，若是用q個(gè)byte去記錄length of payload，則flag的最後三個(gè)bit將設(shè)為q-13。Nonce欄位可利用前一項(xiàng)所敘述的缺點(diǎn)，不需要對(duì)內(nèi)文作解密即可得到。然而只有最後一欄length of payload的長(zhǎng)度不固定，由flag的最後三個(gè)bit所決定，是用二進(jìn)位表示法來(lái)記錄整個(gè)封包payload的長(zhǎng)度(byte)。在IEEE 802.11 MPDUs中，payload的最大長(zhǎng)度為2312 bytes (2296 Data + 8 MIC + 8 CCMP Header)，若是資料大於2296 bytes，則資料將被分割放在不同的封包中，因此在有數(shù)個(gè)封包需要傳送時(shí)，第一封包的p

11、ayload長(zhǎng)度將會(huì)是2296 bytes。因此initial counter block value的flag、nonce、length of payload都可以被計(jì)算出來(lái)5，如Figure 4.所示。Figure 4. Reconstruction of Initial counterReference:1 .2 The Rijndael algorithm Jamil, T.; Potentials, IEEE Volume 23, Issue 2, Apr-May 2004 Page(s):36 383 David A. McGrew, “Counter Mode Security:

12、 Analysis and Recommendations”, Cisco Systems, November, 20024 Vulnerabilities of IEEE 802.11i Wireless LAN CCMP Protocol M. Junaid , Dr Muid Mufti, M.Umar Ilyas TRANSACTIONS ON ENGINEERING, COMPUTING AND TECHNOLOGY V11 FEBRUARY 2006 ISSN 1305-53135 Vulnerabilities of IEEE 802.11i Wireless LAN CCMP

13、Protocol M. Junaid , Dr Muid Mufti, M.Umar Ilyas TRANSACTIONS ON ENGINEERING, COMPUTING AND TECHNOLOGY V11 FEBRUARY 2006 ISSN 1305-53136 Chosen-text attack on CBC-MAC Knudsen, L.R.; Electronics Letters Volume 33, Issue 1, 2 Jan. 1997 Page(s):48 - 497 Attacking and repairing the winZip encryption scheme Conference on Computer and Communications Security archive Proceedings of the 11th ACM conference on Computer and communicat