CCMP主要是兩個(gè)演算法所組合而成的

1、1. CCMP 簡(jiǎn)介CCMP主要是兩個(gè)演算法所組合而成的，分別是CTR mode以及CBC-MAC mode。CTR mode為加密演算法，CBC-MAC用於訊息完整性的運(yùn)算。在IEEE 802.11i 規(guī)格書中，CCMP為default mode，在所謂的RSN network中，扮演相當(dāng)重要的角色1。以下將分別簡(jiǎn)介CTR mode以及CBC-MAC。CTR全名是Advanced Encryption Standard (AES) in Counter Mode，在CCMP使用的AES 是based on Rijndael Algorithm所發(fā)展出的演算法2，主要是經(jīng)過NIST修改並且認(rèn)證

2、，不再有TKIP protocol支援WEP系統(tǒng)的既有攻擊，所以在安全強(qiáng)度上，有一定的水準(zhǔn)。Figure 1. 為CTR加密的流程圖。Figure 1. CTR encryption procedureCBC-MAC全名是Cipher Block Chaining Message Authentication Code，就如同其名，主要是針對(duì)message block作運(yùn)算，最後輸出message authentication code，達(dá)到驗(yàn)證message的效果(因?yàn)镃TR並沒有提供authentication的機(jī)制)。CBC-MAC加解密過程主要是把Message block經(jīng)由bloc

3、k cipher algorithm加密後，再把輸出給下一個(gè)block當(dāng)input使用。一開始第一個(gè)block沒有input所以IV用0代入。在CCMP裡會(huì)把低位元的64-bit無條件的去掉，只取高位元64-bit當(dāng)做MIC。Figure 2. 為CBC-MAC的流程圖。Figure 2. CBC-MAC procedure2. CCMP潛在的危險(xiǎn)1. TMTO Pre-computation Attack3中已經(jīng)證明了CCMP的initial counter value是可以被預(yù)測(cè)到的。在4中，也說明了任何人都可以計(jì)算出Address 2、priority field、Packet Numb

4、er還有payload的長(zhǎng)度，此攻擊可以用在任何的cipher text上(包含沒有statistically defective)。其概念主要是以空間換取時(shí)間，attacker在攻擊secret key前會(huì)先建一個(gè)database。TMTO成功率大小取決於attack是否獲得大量有用的資料，在CCMP中，所有的MPDU payload size不可大於2296 bytes，若超過MAX size MSDU會(huì)將其切割成數(shù)個(gè)MPDU來傳送，就以2296 bytes payload size來看，CTR裡的counter在同個(gè)session中只是很簡(jiǎn)單的在遞加，加上沒有限制一個(gè)session中可以

5、傳幾個(gè)MPDU，所以有許多可用的資料來進(jìn)行TMTO attack，簡(jiǎn)而言之，若counter value是可以被預(yù)測(cè)到的話，就有機(jī)會(huì)發(fā)生TMTO attack。目前有許多研究討論如何防止CCMP遭受TMTO attack，在5中，提出Nonce construction改善的有效方法(如random nonce、random priority field等等)。2. Chosen-Text Attack以6提出的方法來說，chosen-text最少需要2(n+1/2)個(gè)已知的text-MAC pairs還有2(n-m)chosen text-MAC pairs (n為block size)，以

6、CCMP所使用的block128-bit來計(jì)算，至少需264.5個(gè)已知的text-MAC pairs還有264 chosen text-MAC pairs，所花的time complexity可能不亞於brute-force的方法，再加上CTR有對(duì)最後的MIC加密，所以理論上可行，但是事實(shí)上不太實(shí)際。 3. Side channel attack目前AES攻擊手法中，比較有效的大概就是Side channel attack，不過此種攻擊手法較不general，要用特定的方法針對(duì)特定的安裝系統(tǒng)，限制較多(像有些需要在系統(tǒng)上有權(quán)限執(zhí)行8，壓縮的metadata不能加密7)，我覺得跟brute-fo

7、rce attack比起來，所花的cost不會(huì)好多少。4. Nonce重建CCMP的nonce依序是由三個(gè)欄位所組成: priority、address(A2)、packet number。Priority 欄位長(zhǎng)度為8-bit，目前保持為零保留到以後來標(biāo)示frame的優(yōu)先權(quán)。A2長(zhǎng)度為48-bit，是從MAC address得到，唯一變動(dòng)的欄位為最後一個(gè)packet number，但此數(shù)值依序增加1，因此可已經(jīng)觀察一定數(shù)量的封包後，對(duì)其CCMP header的packet number進(jìn)行分析，就能得到Initial packet number，並且得到packet number現(xiàn)在的值。因

8、此，nonce的值不必經(jīng)過解密集可得到，安全性下降5，如Figure 3.所示。Figure 3. Nonce reconstruction scheme5. Initial Conter重建在802.11i中，無論是payload或是MIC都是使用counter mode來進(jìn)行加密，加密的方法是將明文經(jīng)過加密後的counter block value進(jìn)行XOR，所得即為密文。同理，若是將密文和加密後的counter block value進(jìn)行XOR就可得到明文。在CCMP中，對(duì)counter block value進(jìn)行加密的方加密法為AES，而counter block value是由ini

9、tial counter block value開始計(jì)算，經(jīng)過一個(gè)message block即加1，因此只需要求得initial counter block value即可得到現(xiàn)在counter block value，並和cipher text進(jìn)行XOR求得plaintext。而counter block value是由三個(gè)資料所組成：flag、nonce、length of payload。Flag欄位總共為8 bits，前兩個(gè)bit為保留值，目前還沒定義，可為任意值；中間三個(gè)bit要保持為零；而最後三個(gè)bit用來記錄第三欄資料length of payload的長(zhǎng)度(byte)，換句話說

10、，若是用q個(gè)byte去記錄length of payload，則flag的最後三個(gè)bit將設(shè)為q-13。Nonce欄位可利用前一項(xiàng)所敘述的缺點(diǎn)，不需要對(duì)內(nèi)文作解密即可得到。然而只有最後一欄length of payload的長(zhǎng)度不固定，由flag的最後三個(gè)bit所決定，是用二進(jìn)位表示法來記錄整個(gè)封包payload的長(zhǎng)度(byte)。在IEEE 802.11 MPDUs中，payload的最大長(zhǎng)度為2312 bytes (2296 Data + 8 MIC + 8 CCMP Header)，若是資料大於2296 bytes，則資料將被分割放在不同的封包中，因此在有數(shù)個(gè)封包需要傳送時(shí)，第一封包的p

11、ayload長(zhǎng)度將會(huì)是2296 bytes。因此initial counter block value的flag、nonce、length of payload都可以被計(jì)算出來5，如Figure 4.所示。Figure 4. Reconstruction of Initial counterReference:1 .2 The Rijndael algorithm Jamil, T.; Potentials, IEEE Volume 23, Issue 2, Apr-May 2004 Page(s):36 383 David A. McGrew, “Counter Mode Security:

12、 Analysis and Recommendations”, Cisco Systems, November, 20024 Vulnerabilities of IEEE 802.11i Wireless LAN CCMP Protocol M. Junaid , Dr Muid Mufti, M.Umar Ilyas TRANSACTIONS ON ENGINEERING, COMPUTING AND TECHNOLOGY V11 FEBRUARY 2006 ISSN 1305-53135 Vulnerabilities of IEEE 802.11i Wireless LAN CCMP

13、Protocol M. Junaid , Dr Muid Mufti, M.Umar Ilyas TRANSACTIONS ON ENGINEERING, COMPUTING AND TECHNOLOGY V11 FEBRUARY 2006 ISSN 1305-53136 Chosen-text attack on CBC-MAC Knudsen, L.R.; Electronics Letters Volume 33, Issue 1, 2 Jan. 1997 Page(s):48 - 497 Attacking and repairing the winZip encryption scheme Conference on Computer and Communications Security archive Proceedings of the 11th ACM conference on Computer and communicat