CCMP主要是两个演算法所组合而成的

1、1. CCMP 簡介CCMP主要是兩個演算法所組合而成的，分別是CTR mode以及CBC-MAC mode。CTR mode為加密演算法，CBC-MAC用於訊息完整性的運算。在IEEE 802.11i 規格書中，CCMP為default mode，在所謂的RSN network中，扮演相當重要的角色1。以下將分別簡介CTR mode以及CBC-MAC。CTR全名是Advanced Encryption Standard (AES) in Counter Mode，在CCMP使用的AES 是based on Rijndael Algorithm所發展出的演算法2，主要是經過NIST修改並且認證

2、，不再有TKIP protocol支援WEP系統的既有攻擊，所以在安全強度上，有一定的水準。Figure 1. 為CTR加密的流程圖。Figure 1. CTR encryption procedureCBC-MAC全名是Cipher Block Chaining Message Authentication Code，就如同其名，主要是針對message block作運算，最後輸出message authentication code，達到驗證message的效果(因為CTR並沒有提供authentication的機制)。CBC-MAC加解密過程主要是把Message block經由bloc

3、k cipher algorithm加密後，再把輸出給下一個block當input使用。一開始第一個block沒有input所以IV用0代入。在CCMP裡會把低位元的64-bit無條件的去掉，只取高位元64-bit當做MIC。Figure 2. 為CBC-MAC的流程圖。Figure 2. CBC-MAC procedure2. CCMP潛在的危險1. TMTO Pre-computation Attack3中已經證明了CCMP的initial counter value是可以被預測到的。在4中，也說明了任何人都可以計算出Address 2、priority field、Packet Numb

4、er還有payload的長度，此攻擊可以用在任何的cipher text上(包含沒有statistically defective)。其概念主要是以空間換取時間，attacker在攻擊secret key前會先建一個database。TMTO成功率大小取決於attack是否獲得大量有用的資料，在CCMP中，所有的MPDU payload size不可大於2296 bytes，若超過MAX size MSDU會將其切割成數個MPDU來傳送，就以2296 bytes payload size來看，CTR裡的counter在同個session中只是很簡單的在遞加，加上沒有限制一個session中可以

5、傳幾個MPDU，所以有許多可用的資料來進行TMTO attack，簡而言之，若counter value是可以被預測到的話，就有機會發生TMTO attack。目前有許多研究討論如何防止CCMP遭受TMTO attack，在5中，提出Nonce construction改善的有效方法(如random nonce、random priority field等等)。2. Chosen-Text Attack以6提出的方法來說，chosen-text最少需要2(n+1/2)個已知的text-MAC pairs還有2(n-m)chosen text-MAC pairs (n為block size)，以

6、CCMP所使用的block128-bit來計算，至少需264.5個已知的text-MAC pairs還有264 chosen text-MAC pairs，所花的time complexity可能不亞於brute-force的方法，再加上CTR有對最後的MIC加密，所以理論上可行，但是事實上不太實際。 3. Side channel attack目前AES攻擊手法中，比較有效的大概就是Side channel attack，不過此種攻擊手法較不general，要用特定的方法針對特定的安裝系統，限制較多(像有些需要在系統上有權限執行8，壓縮的metadata不能加密7)，我覺得跟brute-fo

7、rce attack比起來，所花的cost不會好多少。4. Nonce重建CCMP的nonce依序是由三個欄位所組成: priority、address(A2)、packet number。Priority 欄位長度為8-bit，目前保持為零保留到以後來標示frame的優先權。A2長度為48-bit，是從MAC address得到，唯一變動的欄位為最後一個packet number，但此數值依序增加1，因此可已經觀察一定數量的封包後，對其CCMP header的packet number進行分析，就能得到Initial packet number，並且得到packet number現在的值。因

8、此，nonce的值不必經過解密集可得到，安全性下降5，如Figure 3.所示。Figure 3. Nonce reconstruction scheme5. Initial Conter重建在802.11i中，無論是payload或是MIC都是使用counter mode來進行加密，加密的方法是將明文經過加密後的counter block value進行XOR，所得即為密文。同理，若是將密文和加密後的counter block value進行XOR就可得到明文。在CCMP中，對counter block value進行加密的方加密法為AES，而counter block value是由ini

9、tial counter block value開始計算，經過一個message block即加1，因此只需要求得initial counter block value即可得到現在counter block value，並和cipher text進行XOR求得plaintext。而counter block value是由三個資料所組成：flag、nonce、length of payload。Flag欄位總共為8 bits，前兩個bit為保留值，目前還沒定義，可為任意值；中間三個bit要保持為零；而最後三個bit用來記錄第三欄資料length of payload的長度(byte)，換句話說

10、，若是用q個byte去記錄length of payload，則flag的最後三個bit將設為q-13。Nonce欄位可利用前一項所敘述的缺點，不需要對內文作解密即可得到。然而只有最後一欄length of payload的長度不固定，由flag的最後三個bit所決定，是用二進位表示法來記錄整個封包payload的長度(byte)。在IEEE 802.11 MPDUs中，payload的最大長度為2312 bytes (2296 Data + 8 MIC + 8 CCMP Header)，若是資料大於2296 bytes，則資料將被分割放在不同的封包中，因此在有數個封包需要傳送時，第一封包的p

11、ayload長度將會是2296 bytes。因此initial counter block value的flag、nonce、length of payload都可以被計算出來5，如Figure 4.所示。Figure 4. Reconstruction of Initial counterReference:1 .2 The Rijndael algorithm Jamil, T.; Potentials, IEEE Volume 23, Issue 2, Apr-May 2004 Page(s):36 383 David A. McGrew, “Counter Mode Security:

12、 Analysis and Recommendations”, Cisco Systems, November, 20024 Vulnerabilities of IEEE 802.11i Wireless LAN CCMP Protocol M. Junaid , Dr Muid Mufti, M.Umar Ilyas TRANSACTIONS ON ENGINEERING, COMPUTING AND TECHNOLOGY V11 FEBRUARY 2006 ISSN 1305-53135 Vulnerabilities of IEEE 802.11i Wireless LAN CCMP

13、Protocol M. Junaid , Dr Muid Mufti, M.Umar Ilyas TRANSACTIONS ON ENGINEERING, COMPUTING AND TECHNOLOGY V11 FEBRUARY 2006 ISSN 1305-53136 Chosen-text attack on CBC-MAC Knudsen, L.R.; Electronics Letters Volume 33, Issue 1, 2 Jan. 1997 Page(s):48 - 497 Attacking and repairing the winZip encryption scheme Conference on Computer and Communications Security archive Proceedings of the 11th ACM conference on Computer and communicat