AES-256-GCM: iPhone Dosyalarınızı Koruyan Doğrulanmış Şifreleme Standardı

TL;DR

AES-256-GCM, tek bir anahtar ve her mesaj için benzersiz bir nonce kullanarak verileri şifreleyen ve bütünlüğünü doğrulayan doğrulanmış bir şifreleme algoritmasıdır. NIST standartları tarafından tanımlanmıştır, modern iPhone'larda donanım hızlandırmalıdır ve TLS 1.3, WireGuard ve Signal tarafından kullanılır. AppVault, AES-256-GCM'i dosya başına benzersiz 96 bitlik bir nonce, Güvenli Bölge tarafından sarılmış PBKDF2 türevli bir anahtar ve hiçbir ağ çağrısı olmadan uygular.

AES-256-GCM tek bir algoritma değildir. İki standardın birleşimidir: 256 bit anahtarlı Gelişmiş Şifreleme Standardı (AES) ve Galois/Sayaç Modu (GCM) işletim modu. Birlikte, tek geçişte hem gizlilik hem de bütünlük doğrulaması sağlayan doğrulanmış bir şifreleme şeması oluştururlar. TLS 1.3, WireGuard, Signal ve iOS dosya düzeyinde şifrelemede varsayılan şifredir. Nasıl çalıştığını anlamak önemlidir çünkü AES-256-GCM’deki çoğu güvenlik hatası, şifrenin kırılmasından değil, uygulama hatalarından kaynaklanır.

Temel blok şifre hakkında teknik olmayan bir giriş için – “256 bit anahtar”ın ne anlama geldiği, anahtar uzayının neden kaba kuvvetle kırılamayacağı, AES’in 2001’de NIST tarafından nasıl seçildiği – önce sade dille yazılmış AES-256 Şifreleme Nedir? genel bakışını okuyun. Bu makale özellikle GCM moduna daha derinlemesine iniyor.

Blok Şifre: AES-256

AES, NIST tarafından FIPS 197 ile standartlaştırılmış simetrik bir blok şifredir. 128 bitlik bloklar halinde çalışır ve 128, 192 ve 256 bitlik anahtar boyutlarını destekler. AES-256, 256 bitlik bir anahtar kullanır ve 14 tur ikame-permutasyon işlemi gerçekleştirir. Her tur dört dönüşüm uygular: SubBytes (S-kutusu aracılığıyla doğrusal olmayan ikame), ShiftRows (bayt aktarımı), MixColumns (GF(2^8) üzerinde matris çarpımı) ve AddRoundKey (ana anahtardan türetilen tur anahtarıyla XOR).

AES-256’nın güvenlik marjı yüksektir. Bilinen en iyi kriptanalitik saldırılar azaltılmış tur varyantlarına (ör. 7 turlu AES-128) veya gerçek dünya kullanımına uygulanmayan ilişkili anahtar modellerine yöneliktir. Tam 14 turlu AES-256 için, etkili anahtar boyutunu 256 bitin altına düşüren pratik bir saldırı yoktur. Bu nedenle AES-256, ABD Ulusal Güvenlik Ajansı tarafından Çok Gizli veriler için onaylanmıştır.

AES-256, neredeyse tüm modern CPU’larda donanım hızlandırmalıdır. Intel ve AMD işlemciler AES-NI talimatlarını içerir. Apple Silicon (M serisi ve A serisi çipler), AES, SHA ve GCM işlemlerini hızlandıran ARM Crypto Extensions içerir. Bir iPhone’da 10 MB’lık bir dosyanın AES-256 şifrelemesi milisaniyeler içinde tamamlanır.

Mod: Galois/Sayaç Modu (GCM)

Bir blok şifre aynı anda yalnızca bir bloğu şifreler. 128 bitten uzun mesajları şifrelemek için bir işletim moduna ihtiyacınız vardır. NIST SP 800-38D’de belirtilen GCM, şifreleme için sayaç modu varyantını ve kimlik doğrulama için evrensel bir hash fonksiyonunu (GHASH) birleştiren doğrulanmış bir şifreleme modudur. Aynı yapı, IETF RFC 5116’da bir AEAD ilkel öğesi olarak kayıtlıdır.

GCM iki aşamada çalışır. İlk olarak, düz metin sayaç modunda AES kullanılarak şifrelenir: her blok için 128 bitlik bir sayaç artırılır, AES ile şifrelenir ve şifreli metin üretmek için düz metin ile XOR’lanır. İlk sayaç değeri, bir nonce (bir kez kullanılan sayı) artı 1’den başlayan bir sayacından türetilir. İkinci olarak, şifreli metin ve ilişkili veri (doğrulanması gereken ancak şifrelenmeyen meta veriler), GF(2^128)‘de bir polinom değerlendirmesi olan GHASH’a beslenir. GHASH çıktısı daha sonra doğrulama etiketini üretmek için AES ile şifrelenir.

Sonuç tek bir çıktıdır: şifreli metin artı 128 bitlik bir doğrulama etiketi (varsayılan uzunluk, kısaltılabilir). Alıcı, etiketi yeniden hesaplayarak ve karşılaştırarak şifreyi çözer. Etiket eşleşirse veri doğrudur. Eşleşmezse alıcı veriyi reddetmelidir.

GCM paralelleştirilebilir. Sayaç modu, birden çok bloğun aynı anda şifrelenmesine izin verir; bu nedenle donanım hızlandırması yüksek verim elde edebilir. ARM Crypto Extensions’a sahip bir iPhone’da AES-256-GCM saniyede birkaç gigabit hızında şifreleme yapabilir.

Nonce Disiplini: En Yaygın Başarısızlık Noktası

AES-256-GCM bir nonce gerektirir. Standart 96 bitlik bir nonce belirtir. Nonce, aynı anahtarla yapılan her şifreleme için benzersiz olmalıdır. Aynı anahtarla bir nonce’u tekrar kullanmak, bir saldırganın GHASH doğrulama anahtarını (H) kurtarmasına ve ardından rastgele mesajlar taklit etmesine olanak tanır.

Matematik acımasızdır: İki şifreli metin aynı nonce ve anahtarı paylaşıyorsa, iki GHASH çıktısının XOR’u düz metinlerin XOR’unu ortaya çıkarır. Oradan, bir saldırgan H’yi kurtarabilir ve herhangi bir şifreli metin için geçerli etiketler üretebilir. Bu teorik bir saldırı değildir. Pratikte, en ünlüsü 2015 tarihli “Nonce-Disrespecting Adversaries” makalesinde birkaç TLS uygulamasında nonce tekrar kullanım güvenlik açıkları bulan saldırı istismar edilmiştir.

Doğru azaltma, aynı anahtar altında bir nonce’u asla tekrar kullanmamaktır. Pratikte bu, rastgele bir nonce oluşturmak (96 bit 2^96 olasılık verir, ancak doğum günü sınırı, çakışma olasılığını ihmal edilebilir kılmak için rastgele nonce’larla 2^32 mesajdan fazlasını şifrelememeniz gerektiği anlamına gelir) veya mesaj başına garantili benzersiz olan deterministik bir sayaç kullanmak anlamına gelir.

AppVault, dosya başına benzersiz bir 96 bit nonce kullanır. Nonce, kriptografik olarak güvenli bir rastgele sayı üreteci (iOS’ta SecRandomCopyBytes) kullanılarak oluşturulur ve şifreli metnin yanında saklanır. Her dosya kendi nonce’ına sahip olduğundan ve anahtar kurulum başına türetilip Güvenli Bölge tarafından sarıldığından, nonce tekrar kullanım riski ortadan kalkar.

Donanım Hızlandırması: Neden Önemlidir

AES-256-GCM yazılımda hesaplama açısından yoğundur. GF(2^128)‘deki GHASH çarpımı, donanım desteği olmadan özellikle pahalıdır. Modern CPU’lar, AES turlarını ve GHASH işlemlerini tek bir döngüde gerçekleştiren özel talimatlar içerir.

Bir iPhone’da ARM Crypto Extensions şunları içerir:

• Bir tur AES şifreleme veya şifre çözme gerçekleştiren AES talimatları (AESE, AESD, AESMC, AESIMC).
• GHASH hesaplamasını hızlandıran GHASH talimatları (polinom çarpımı için PMULL/PMULL2).

Apple Silicon’daki Güvenli Bölge, anahtarı ana CPU’ya ifşa etmeden verileri şifreleyebilen özel bir AES motoru içerir. AppVault, dosya şifreleme anahtarını sarmak için Güvenli Bölge’yi kullanır, böylece ana CPU tehlikeye girse bile anahtar korunur.

Donanım hızlandırması olmadan, AES-256-GCM TLS el sıkışmaları veya video akışı gibi gerçek zamanlı uygulamalar için çok yavaş olurdu. Donanım hızlandırmasıyla ek yük ihmal edilebilir düzeydedir.

AES-256-GCM Nerelerde Kullanılır

AES-256-GCM, TLS 1.3’teki (TLS_AES_256_GCM_SHA384) varsayılan şifre takımıdır. TLS 1.3 kullanan her HTTPS bağlantısı ona güvenir. Modern VPN protokolü WireGuard, AES-256-GCM (veya donanım AES’i olmayan cihazlarda ChaCha20-Poly1305) kullanır. Şifreli mesajlaşma uygulaması Signal, medya dosyası şifrelemesi için AES-256-GCM kullanır. iOS, Veri Koruma dosya düzeyinde şifreleme için AES-256-GCM kullanır.

AES-256-GCM’in yaygınlığı tesadüf değildir. Bir NIST standardıdır, donanım hızlandırmalıdır ve kriptografi topluluğu tarafından iyi anlaşılmıştır. Doğrulanmış şifreleme gerektiren herhangi bir uygulama için güvenli varsayılandır.

Diğer Doğrulanmış Şifreleme Modlarıyla Karşılaştırma

AES-256-GCM tek AEAD modu değildir. ChaCha20-Poly1305, özellikle donanım AES hızlandırması olmayan cihazlarda popüler bir alternatiftir. ChaCha20 bir akış şifresidir, blok şifre değildir ve Poly1305, GHASH’e benzer bir polinom hash’tir. ChaCha20-Poly1305, yazılımda AES-256-GCM’den daha hızlıdır, ancak AES-NI donanımında AES-256-GCM daha hızlıdır.

AES-256-CCM (CBC-MAC ile Sayaç), başka bir NIST standart AEAD modudur, ancak paralelleştirilemez ve GCM’den daha yavaştır. CCM bazı IoT ve kablosuz protokollerinde kullanılır, ancak TLS ve çoğu modern uygulama GCM’yi tercih eder.

AES-256-GCM-SIV, bir nonce tekrar kullanılırsa zarif bir şekilde bozunan (yalnızca iki mesajın eşit olduğunu açığa çıkarır, düz metni değil) nonce-yanlış kullanıma dayanıklı bir varyanttır. Standart GCM’den daha yavaştır ve daha az yaygın olarak dağıtılır.

Çoğu uygulama için AES-256-GCM doğru seçimdir. Doğru uygulandığında hızlı, standart ve güvenlidir.

AppVault AES-256-GCM’i Nasıl Uygular

AppVault, kasada depolanan her dosya için AES-256-GCM kullanır. Uygulama şu adımları izler:

1. Anahtar türetme. Kullanıcının desen kilidi, 600.000 iterasyon ve kurulum başına 128 bit tuz ile PBKDF2-SHA256 kullanılarak 256 bitlik bir ana anahtara dönüştürülür. Bu anahtar asla doğrudan şifreleme için kullanılmaz.
2. Güvenli Bölge sarma. Ana anahtar, çipten asla çıkmayan yeni bir anahtar (“sarma anahtarı”) oluşturan Güvenli Bölge’ye gönderilir. Bölge, ana anahtarı sarma anahtarıyla şifreler ve sarılmış anahtarı ana CPU’ya döndürür. Düz metin ana anahtar daha sonra bellekten sıfırlanır.
3. Dosya şifreleme. Her dosya için SecRandomCopyBytes kullanılarak yeni bir 96 bit nonce oluşturulur. Sarılmış anahtar, Güvenli Bölge içinde açılır ve dosyayı AES-256-GCM ile şifrelemek için kullanılır. Şifreli metin ve nonce depolamaya yazılır. Doğrulama etiketi şifreli metnin sonuna eklenir.
4. Katalog şifreleme. Dosya listesi (isimler, tarihler, boyutlar) bile aynı ana anahtardan türetilen ayrı bir anahtar altında AES-256-GCM ile şifrelenir. Bu, cihaza ham erişimi olan bir saldırganın kaç dosya olduğunu belirleyememesi anlamına gelir.

Sonuç, aynı düz metni içerseler bile hiçbir iki dosyanın aynı şifreli metni üretmemesidir. Güvenli Bölge, şifreleme anahtarının ana işletim sistemine asla ifşa edilmemesini sağlar. Ve AppVault hiçbir ağ çağrısı yapmadığı için, anahtarları veya şifreli metinleri sızdırmak için tehlikeye atılabilecek bir sunucu yoktur.

AES-256-GCM’in Sınırlamaları

AES-256-GCM her şeye karşı koruma sağlamaz. Uygulama zamanlama veya güç tüketimi sızdırıyorsa yan kanal saldırılarına karşı savunmasızdır. GHASH hesaplaması özellikle zamanlama saldırılarına karşı hassastır; sabit zamanlı uygulamalar gereklidir. Apple’ın CoreCrypto kütüphanesi sabit zamanlı bir AES-256-GCM uygulaması sağlar ve AppVault bu kütüphaneyi kullanır.

AES-256-GCM ileri gizlilik sağlamaz. Anahtar tehlikeye girerse, tüm geçmiş şifreli metinlerin şifresi çözülebilir. İleri gizlilik protokol düzeyinde elde edilir (ör. TLS 1.3 geçici Diffie-Hellman anahtar değişimi kullanır) ve şifrenin kendisinin bir özelliği değildir. AppVault, anahtarı cihazda tutarak ve asla iletmeyerek bunu azaltır.

AES-256-GCM kuantum güvenli değildir. Grover algoritması, AES-256’nın etkili anahtar boyutunu 256 bitten 128 bite düşürür. Yeterince büyük bir kuantum bilgisayar onu kırabilir. Ancak böyle bir kuantum bilgisayar mevcut değildir ve önümüzdeki on yıl içinde beklenmemektedir. Uzun vadeli sırlar için CRYSTALS-Kyber gibi kuantum sonrası şifreler standartlaştırılmaktadır.

AES-256-GCM, kauçuk hortum kriptanalizine veya fiziksel cihaz ele geçirmeye karşı koruma sağlamaz. Bir saldırgan iPhone’unuza fiziksel erişime sahipse ve sizi kilidi açmaya zorlayabilirse, hiçbir şifreleme dosyalarınızı koruyamaz. AppVault’un tehdit modeli, cihazın sizin kontrolünüzde olduğunu varsayar.

AppVault Neden AES-256-GCM’i Seçti

AppVault, AES-256-GCM’i seçti çünkü her modern iPhone’da donanım hızlandırması bulunan en yaygın olarak dağıtılan doğrulanmış şifreleme algoritmasıdır. Standartlaştırılmış, akran denetiminden geçmiş ve dünyanın en büyük güvenlik protokolleri tarafından güvenilmektedir. AppVault’un dosyaları pili tüketmeden hızlı bir şekilde şifrelemesine olanak tanır ve bütünlük doğrulaması, depolanan dosyaların değiştirilmediğini garanti eder.

Alternatif ChaCha20-Poly1305 de güvenlidir ve AppVault tarafından donanım AES’inin mevcut olmadığı belirli işlemler için (ör. eski cihazlarda) kullanılır. Ancak iOS’ta dosya şifrelemesi için AES-256-GCM doğal seçimdir.

AppVault’taki her dosya, AES-256-GCM, benzersiz bir nonce ve desen kilidinizden türetilen ve Güvenli Bölge tarafından sarılan bir anahtarla şifrelenir. Tam kriptografik yığın, NIST FIPS 197, NIST SP 800-38D ve Apple’ın Platform Güvenlik Kılavuzu’na atıflarla birlikte [AES-