Galois/Counter Mode

Galois/Counter Mode (GCM) ist ein Betriebsmodus, in dem Blockchiffren für eine symmetrische Verschlüsselungsanwendung betrieben werden können. Als wesentliche Eigenschaft bietet er Authenticated Encryption with Associated Data (AEAD), also einen authentifizierten Verschlüsselungsmodus mit assoziierten Daten, um sowohl die Authentifikation als auch die Verschlüsselung von Nachrichten zu ermöglichen. Weiter ist das Verfahren auf einen hohen Datendurchsatz, mit der Option zur Parallelisierung der Datenströme, ausgelegt und findet daher bei der Echtzeitverschlüsselung von Netzwerkdaten und bei Speicher wie Festplattensystemen Anwendung. Der Galois/Counter Mode wurde von David A. McGrew und John Viega entwickelt und im Jahr 2004 auf der Indocrypt vorgestellt.^[1] Seit 2007 ist das Verfahren im NIST-Standard 800-38D spezifiziert.^[2]

Allgemeines

Blockstruktur von GCM bei der Verschlüsselung

Der Betriebsmodus einer Blockchiffre, beispielsweise des Advanced Encryption Standard (AES), ermöglicht es, Nachrichten zu verschlüsseln, die länger sind als die Blocklänge der Blockchiffre. In der Praxis häufig verwendete Betriebsmodi sind unter anderem der Cipher Block Chaining Mode (CBC) und der Counter Mode (CTR), auf dem auch GCM basiert.

Wie bei CTR wird auch bei GCM ein pro Block eindeutiger Zähler verwendet, die Blockgröße der Blockchiffre ist auf 128 Bit festgelegt. Werden die verschlüsselten Daten nicht verwendet, reduziert sich GCM auf die Authentifikation und wird dann als GMAC (Galois Message Authentication Code) bezeichnet. Es kann in diesem Anwendungsbereich auch als Ersatz für Fehlererkennungsverfahren verwendet werden.

Während die Verschlüsselung der Daten im Wesentlichen auf dem Betriebsmodus des adaptierten Counter Mode (CTR) basiert, wird die Authentifikationsfunktion durch parallel dazu laufende Multiplikationen im Galoiskörper ${\displaystyle \operatorname {GF} \left(2^{128}\right)}$ realisiert.

Hinweise zum Ablaufdiagramm

• iv ist der Initialisierungsvektor. Für jeden Verschlüsselungsvorgang sollte hier ein anderer Wert gewählt werden. Damit wird sichergestellt, dass der ausgegebene Ciphertext randomisiert wird. Die Verwendung gleicher ivs führt zu einer Angriffsmöglichkeit auf diesen Betriebsmodus. Dies wird auch im RFC 8452^[3] beschrieben, welcher diesen Angriff für AES-GCM verhindert durch AES-GCM-SIV.
• incr steht für Increment, also das Erhöhen eines Wertes.
• Plaintext ist der zu verschlüsselnde Klartext
• len(A) ist „Länge von A“

Anwendungen

GCM findet unter anderem Anwendung im Netzwerkstandard IEEE 802.11ad, als Option bei IPsec^[4][5] und in Verbindung mit dem Advanced Encryption Standard (AES) als AES-GCM in Secure Shell (SSH),^[6] in TLS 1.2^[7][8] sowie im LTO-Standard ab Generation 4.

Literatur

• David A. McGrew, John Viega: The Galois/Counter Mode of Operation (GCM). 2012 (luca-giuzzi.unibs.it [PDF]).