Counter with CBC-MAC

Counter with CBC-MAC (CCM、CCMモード)は、ブロック暗号の暗号利用モードの一つであり、認証付き暗号の一つである。CCMモードは128ビットブロック暗号に対してのみ定義されており、RFC 3610ではAESでの利用について定義されている。

CTRモードの派生として、CCMモードはストリーム暗号として振る舞う^[1]。そのため、初期化ベクトル (IV)を慎重に選択し、再使用することは避けなければならない。

暗号化と認証[編集]

名称が示すように、CCMモードはカウンター (CTR)モードとCBC-MACモードを組み合わせたものであり、前者が暗号化に、後者が認証に用いられる。同一の鍵を暗号化と認証の双方に用いることができ、暗号化に用いられたカウンター値が認証で用いられる初期化ベクトルと衝突することがない。この組み合わせについては、ブロック暗号の安全性に基づくNISTによる検証結果が存在する^[2]。この検証結果より、CCMモードは128ビットAESだけでなく任意のブロック長のブロック暗号および任意長の擬似乱数の生成に適用可能であることが示された（CTRモード、CBC-MACのいずれも一方向のみでの利用に限る）。

CCMモードはRuss Housley、Doug Whiting、Niels Fergusonによって設計された。CCMモードの開発時、Russ HousleyはRSA Laboratoriesに勤務していた。

CCM*と呼ばれるCCMモードの派生が存在し、ZigBeeでの暗号化に利用されている。CCM*はCCMモードのすべての機能を有しており、暗号化のみ、完全性の検証のみでの利用も可能である。

パフォーマンス[編集]

CCMモードは1ブロックの暗号化・認証メッセージにつき2ブロックの暗号化操作を、1ブロックの認証済みのデータにつき1ブロックの暗号化操作を必要とする。

特許[編集]

CCMモードの開発の動機は、OCBモードのIEEE 802.11iへの採用に関する問題である。OCBモードのアルゴリズムの利用に特許の主張が留保されていたことでOCBの採用に反対する意見があった。特許を必要とするアルゴリズムの採用は、標準の実装の際にライセンス問題に発展するためである。

OCBモードの採用は知的財産権の問題につながるものであるため、そのような問題を持たない新たな認証付き暗号の開発が求められた。そこで、Housleyらは特許による問題を受けない代替アルゴリズムとしてCCMモードを開発した。

CCMモードはOCBモードと比較すると効率が悪いアルゴリズムであるが、特許問題の危険性がないことから、CCMモードはIEEE 802.11iに必須要素として採用された。OCBモードは除外されるのではなく、オプションとしての位置付けとなった。

利用[編集]

CCMモードは、IEEE 802.11i（WPA2の暗号規格であるCCMPとして）、IPSec^[3]、TLS 1.2^[4]といった標準規格で採用されている。

関連項目[編集]

• 暗号利用モード
• 認証付き暗号
• Advanced Encryption Standard
• Counter mode with Cipher-block chaining Message authentication code Protocol

脚注[編集]

• NIST Special Publication 800-38C Recommendation for Block Cipher Modes of Operation: The CCM Mode for Authentication and Confidentiality

外部リンク[編集]

• RFC 3610: Counter with CBC-MAC (CCM)
• RFC 4309: Using Advanced Encryption Standard (AES) CCM Mode with IPsec Encapsulating Security Payload (ESP)
• RFC 6655: AES-CCM Cipher Suites for Transport Layer Security (TLS)
• A Critique of CCM （OCBモードの設計者による評価）

表 話 編 歴 暗号学的ハッシュ関数とメッセージ認証コード   セキュリティ要約（英語版） 一般的関数 MD5 SHA-1 SHA-2 SHA-3/Keccak SHA-3最終候補（英語版） BLAKE Grøstl（英語版） JH（英語版） Skein（英語版） Keccak (勝者) その他の関数 FSB（英語版） ECOH（英語版） GOST（英語版） HAS-160（英語版） HAVAL（英語版） Kupyna（英語版） LMハッシュ MDC-2（英語版） MD2 MD4 MD6（英語版） N-Hash（英語版） RadioGatún RIPEMD SipHash（英語版） Snefru（英語版） Streebog（英語版） SWIFFT（英語版） Tiger（英語版） VSH（英語版） WHIRLPOOL crypt(3)（英語版） (DES) MACアルゴリズム DAA（英語版） CBC-MAC HMAC OMAC（英語版）/CMAC PMAC（英語版） VMAC（英語版） UMAC（英語版） Poly1305 認証付き暗号モード CCM CWC（英語版） EAX（英語版） GCM IAPM（英語版） OCB（英語版） 攻撃 衝突攻撃（英語版） 原像攻撃 誕生日攻撃 総当たり攻撃 レインボーテーブル サイドチャネル攻撃 伸長攻撃（英語版） 差分解読法 設計 アバランシェ効果（英語版） ハッシュ衝突 Merkle–Damgård構成法（英語版） 標準化 CRYPTREC NESSIE NISTハッシュ関数コンベンション（英語版） 利用 salt（英語版） キーストレッチ（英語版） メッセージ認証（英語版） パスワードハッシュ関数 bcrypt PBKDF2（英語版） scrypt（英語版） Argon2 カテゴリ：ハッシュ関数・メッセージ認証コード・認証付き暗号 表 話 編 歴 暗号   暗号史 暗号解読 Cryptography portal en:Outline of cryptography 共通鍵暗号 ブロック暗号 ストリーム暗号 暗号利用モード 公開鍵暗号 暗号学的ハッシュ関数 メッセージ認証コード 認証付き暗号 乱数生成器 ステガノグラフィー