CCSDS(Consultative Committee for Space Data System) とは、1982年に各国の宇宙機関により設立された、宇宙データ通信システムの定義・規格化を行う国際標準化検討委員会です。CCSDSにより策定された推奨規格や推奨実践規範、規格提案などはすべて文書で公開されています。なかでも、転送するデータの認証や機密性を必要とするミッションのために、データリンク層レベルでセキュリティを確保するためのデータフレーム形式や手続きをCCSDS Space Data Link Security Protocol(CCSDS 355.0-B-1)と呼ばれる推奨規格として公開しています。
CCSDS Space Data Link Security Protocolのデータフレームでは、CCSDSが別途策定しているテレメトリ・コマンドの規格であるSpace Data Link Protocolのデータフレームに、セキュリティ機能を搭載するためのヘッダとトレーラを加えたものを送受信します。これにより、SA(セキュリティアソシエーション:送受信双方で暗号化方式や暗号鍵などの情報を交換・共有した安全な通信路)を構成するエンティティ間の通信において、「暗号化」「認証」「認証付き暗号化」の機能のうち1つを選択して利用することができます。「暗号化」「認証付き暗号化」の場合はヘッダ以外が暗号文に置き換わり、「認証」「認証付き暗号化」の場合に限りトレーラとしてMAC(メッセージ認証コード)が付与されるという特徴があります。
暗号化アルゴリズムは、別途CCSDS Cryptographic Algorithms(CCSDS 353.0-B-2)にて指定されています。暗号アルゴリズムはAES128bitを使用の上、暗号化モードは「暗号化」機能を用いる場合にCTRモード、「認証付き暗号化」を用いる場合にGCMモードを使用します。メッセージ認証アルゴリズムは FIPS 198-1をベースとし、メッセージ認証方式それぞれに推奨される方式があります。HMACで使用するハッシュアルゴリズムはSHA-256を推奨していますが、 SHA-224、SHA-384、SHA-512、RIPEMD-160などの代替ハッシュアルゴリズムも利用可能です(SHA-1は非推奨です)。CMACを利用する場合は、使用する暗号アルゴリズムにAES128bit、192bit、256が利用可能です。ディジタル署名を利用する場合、RSA暗号方式(鍵長は2048bit)を使用します。
CCSDS Space Data Link Security Protocolにおいて、あるSAで使用するセキュリティ機能や暗号化方式はSAの構築時に決定されます。その際、暗号化に必要な情報をやりとりし、それらの情報と当該SAを一意に管理するためにIDを振って管理します。送受信の際は、このIDを参照することでSAを特定し、セキュリティ機能の適用に利用するパラメータを決定します。
