CCMP主要是兩個演算法所組合而成的

1、1. CCMP 簡介CCMP主要是兩個演算法所組合而成的，分別是CTR mode以及CBC-MAC mode。CTR mode為加密演算法，CBC-MAC用於訊息完整性的運算。在IEEE 802.11i 規(guī)格書中，CCMP為default mode，在所謂的RSN network中，扮演相當(dāng)重要的角色1。以下將分別簡介CTR mode以及CBC-MAC。CTR全名是Advanced Encryption Standard (AES) in Counter Mode，在CCMP使用的AES 是based on Rijndael Algorithm所發(fā)展出的演算法2，主要是經(jīng)過NIST修改並且認(rèn)證

2、，不再有TKIP protocol支援WEP系統(tǒng)的既有攻擊，所以在安全強度上，有一定的水準(zhǔn)。Figure 1. 為CTR加密的流程圖。Figure 1. CTR encryption procedureCBC-MAC全名是Cipher Block Chaining Message Authentication Code，就如同其名，主要是針對message block作運算，最後輸出message authentication code，達(dá)到驗證message的效果(因為CTR並沒有提供authentication的機(jī)制)。CBC-MAC加解密過程主要是把Message block經(jīng)由bloc

3、k cipher algorithm加密後，再把輸出給下一個block當(dāng)input使用。一開始第一個block沒有input所以IV用0代入。在CCMP裡會把低位元的64-bit無條件的去掉，只取高位元64-bit當(dāng)做MIC。Figure 2. 為CBC-MAC的流程圖。Figure 2. CBC-MAC procedure2. CCMP潛在的危險1. TMTO Pre-computation Attack3中已經(jīng)證明了CCMP的initial counter value是可以被預(yù)測到的。在4中，也說明了任何人都可以計算出Address 2、priority field、Packet Numb

4、er還有payload的長度，此攻擊可以用在任何的cipher text上(包含沒有statistically defective)。其概念主要是以空間換取時間，attacker在攻擊secret key前會先建一個database。TMTO成功率大小取決於attack是否獲得大量有用的資料，在CCMP中，所有的MPDU payload size不可大於2296 bytes，若超過MAX size MSDU會將其切割成數(shù)個MPDU來傳送，就以2296 bytes payload size來看，CTR裡的counter在同個session中只是很簡單的在遞加，加上沒有限制一個session中可以

5、傳幾個MPDU，所以有許多可用的資料來進(jìn)行TMTO attack，簡而言之，若counter value是可以被預(yù)測到的話，就有機(jī)會發(fā)生TMTO attack。目前有許多研究討論如何防止CCMP遭受TMTO attack，在5中，提出Nonce construction改善的有效方法(如random nonce、random priority field等等)。2. Chosen-Text Attack以6提出的方法來說，chosen-text最少需要2(n+1/2)個已知的text-MAC pairs還有2(n-m)chosen text-MAC pairs (n為block size)，以

6、CCMP所使用的block128-bit來計算，至少需264.5個已知的text-MAC pairs還有264 chosen text-MAC pairs，所花的time complexity可能不亞於brute-force的方法，再加上CTR有對最後的MIC加密，所以理論上可行，但是事實上不太實際。 3. Side channel attack目前AES攻擊手法中，比較有效的大概就是Side channel attack，不過此種攻擊手法較不general，要用特定的方法針對特定的安裝系統(tǒng)，限制較多(像有些需要在系統(tǒng)上有權(quán)限執(zhí)行8，壓縮的metadata不能加密7)，我覺得跟brute-fo

7、rce attack比起來，所花的cost不會好多少。4. Nonce重建CCMP的nonce依序是由三個欄位所組成: priority、address(A2)、packet number。Priority 欄位長度為8-bit，目前保持為零保留到以後來標(biāo)示frame的優(yōu)先權(quán)。A2長度為48-bit，是從MAC address得到，唯一變動的欄位為最後一個packet number，但此數(shù)值依序增加1，因此可已經(jīng)觀察一定數(shù)量的封包後，對其CCMP header的packet number進(jìn)行分析，就能得到Initial packet number，並且得到packet number現(xiàn)在的值。因

8、此，nonce的值不必經(jīng)過解密集可得到，安全性下降5，如Figure 3.所示。Figure 3. Nonce reconstruction scheme5. Initial Conter重建在802.11i中，無論是payload或是MIC都是使用counter mode來進(jìn)行加密，加密的方法是將明文經(jīng)過加密後的counter block value進(jìn)行XOR，所得即為密文。同理，若是將密文和加密後的counter block value進(jìn)行XOR就可得到明文。在CCMP中，對counter block value進(jìn)行加密的方加密法為AES，而counter block value是由ini

9、tial counter block value開始計算，經(jīng)過一個message block即加1，因此只需要求得initial counter block value即可得到現(xiàn)在counter block value，並和cipher text進(jìn)行XOR求得plaintext。而counter block value是由三個資料所組成：flag、nonce、length of payload。Flag欄位總共為8 bits，前兩個bit為保留值，目前還沒定義，可為任意值；中間三個bit要保持為零；而最後三個bit用來記錄第三欄資料length of payload的長度(byte)，換句話說

10、，若是用q個byte去記錄length of payload，則flag的最後三個bit將設(shè)為q-13。Nonce欄位可利用前一項所敘述的缺點，不需要對內(nèi)文作解密即可得到。然而只有最後一欄length of payload的長度不固定，由flag的最後三個bit所決定，是用二進(jìn)位表示法來記錄整個封包payload的長度(byte)。在IEEE 802.11 MPDUs中，payload的最大長度為2312 bytes (2296 Data + 8 MIC + 8 CCMP Header)，若是資料大於2296 bytes，則資料將被分割放在不同的封包中，因此在有數(shù)個封包需要傳送時，第一封包的p

11、ayload長度將會是2296 bytes。因此initial counter block value的flag、nonce、length of payload都可以被計算出來5，如Figure 4.所示。Figure 4. Reconstruction of Initial counterReference:1 .2 The Rijndael algorithm Jamil, T.; Potentials, IEEE Volume 23, Issue 2, Apr-May 2004 Page(s):36 383 David A. McGrew, “Counter Mode Security:

12、 Analysis and Recommendations”, Cisco Systems, November, 20024 Vulnerabilities of IEEE 802.11i Wireless LAN CCMP Protocol M. Junaid , Dr Muid Mufti, M.Umar Ilyas TRANSACTIONS ON ENGINEERING, COMPUTING AND TECHNOLOGY V11 FEBRUARY 2006 ISSN 1305-53135 Vulnerabilities of IEEE 802.11i Wireless LAN CCMP

13、Protocol M. Junaid , Dr Muid Mufti, M.Umar Ilyas TRANSACTIONS ON ENGINEERING, COMPUTING AND TECHNOLOGY V11 FEBRUARY 2006 ISSN 1305-53136 Chosen-text attack on CBC-MAC Knudsen, L.R.; Electronics Letters Volume 33, Issue 1, 2 Jan. 1997 Page(s):48 - 497 Attacking and repairing the winZip encryption scheme Conference on Computer and Communications Security archive Proceedings of the 11th ACM conference on Computer and communicat