AES-GCM
AES-GCM とは何ですか?
AES-GCMAES のカウンターモードと GHASH ベースの認証タグを組み合わせ、機密性と完全性を一度の処理で実現する認証付き暗号モード。
AES-GCM(ガロア/カウンタモード)は、NIST SP 800-38D で標準化された関連データ付き認証暗号(AEAD)モードです。AES(ブロック長 128 ビット、鍵長 128/192/256 ビット)を CTR モードで用いて暗号化し、GF(2^128) 上の GHASH 関数によって暗号文と関連認証データに対する 128 ビット認証タグを生成します。並列処理性能と AES-NI ハードウェアアクセラレーションにより、TLS 1.2/1.3、IPsec、SSH、802.11ac の既定スイートとして広く使われています。最大の弱点は IV 再利用で、同一鍵のもとで 96 ビット nonce を再使用すると認証鍵と平文が漏洩するため、鍵ごとに nonce を一意に保つ必要があります。
● 例
- 01
TLS 1.3 暗号スイート TLS_AES_128_GCM_SHA256。
- 02
クラウド KMS でのディスク暗号化やレコード単位の暗号化。
● よくある質問
AES-GCM とは何ですか?
AES のカウンターモードと GHASH ベースの認証タグを組み合わせ、機密性と完全性を一度の処理で実現する認証付き暗号モード。 サイバーセキュリティの 暗号 カテゴリに属します。
AES-GCM とはどういう意味ですか?
AES のカウンターモードと GHASH ベースの認証タグを組み合わせ、機密性と完全性を一度の処理で実現する認証付き暗号モード。
AES-GCM はどのように機能しますか?
AES-GCM(ガロア/カウンタモード)は、NIST SP 800-38D で標準化された関連データ付き認証暗号(AEAD)モードです。AES(ブロック長 128 ビット、鍵長 128/192/256 ビット)を CTR モードで用いて暗号化し、GF(2^128) 上の GHASH 関数によって暗号文と関連認証データに対する 128 ビット認証タグを生成します。並列処理性能と AES-NI ハードウェアアクセラレーションにより、TLS 1.2/1.3、IPsec、SSH、802.11ac の既定スイートとして広く使われています。最大の弱点は IV 再利用で、同一鍵のもとで 96 ビット nonce を再使用すると認証鍵と平文が漏洩するため、鍵ごとに nonce を一意に保つ必要があります。
AES-GCM からどのように防御しますか?
AES-GCM に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
AES-GCM の別名は何ですか?
一般的な別名: ガロア/カウンタモード, AES-128-GCM, AES-256-GCM。
● 関連用語
- cryptography№ 020
AES(Advanced Encryption Standard)
NIST が標準化した 128 ビットブロック暗号で、鍵長は 128・192・256 ビット。Daemen と Rijmen が設計し、世界で最も広く使われている対称暗号。
- cryptography№ 022
AES-CTR
増加するカウンタを AES で暗号化し、その出力を平文と XOR することで AES をストリーム鍵生成器として用いるモード。
- cryptography№ 161
ChaCha20-Poly1305
ChaCha20 ストリーム暗号と Poly1305 一回限り認証子を組み合わせた AEAD で、RFC 8439 で標準化され TLS 1.3 や WireGuard で採用される。
- cryptography№ 105
ブロック暗号
固定長の平文ブロックを秘密鍵で暗号化する対称暗号で、任意長のデータを扱うために通常は暗号利用モードと組み合わせて使う。
- network-security№ 1159
TLS(トランスポート層セキュリティ)
IETF が標準化した暗号プロトコルで、ネットワーク上の 2 つのアプリケーション間の通信に機密性・完全性・認証を提供する。