Cryptography Reference
In-Depth Information
Ein Chiffreblock c
i
hängt ab vom eigenen Nachrichtenblock und allen vorangehenden
Nachrichtenblöcken m
1
, m
2
, ...m
i1
, m
i
. Zwei gleiche Nachrichtenblöcke m
i
=m
j
ergeben
damit unterschiedliche Chiffreblöcke. Ein einziges verändertes Bit in einem Nachrichten-
block m
i
verändert den eigenen und alle folgenden Chiffreblöcke c
i
, c
i+1
, c
i+2
,... drastisch
(im Mittel die Hälfte aller Binärstellen, „sieht aus wie neue Zufallsmuster“).
Ebenso hängt ein Chiffreblock c
i
drastisch ab von Vertauschungen in der Reihenfolge der
Nachrichtenblöcke m
1
, m
2
, ...m
i1
, m
i
sowie vom Verlust oder einer Verdopplung von
Nachrichtenblöcken.
Identische Folgen von Nachrichtenblöcken m
1
, m
2
,... führen bei erneuter Verschlüsselung
auf identische Folgen von Chiffreblöcken c
i
, c
i+1
,... Deshalb sollten Zeitstempel im Initiali-
sierungsvektor IV benutzt werden, damit eine Wiederholung identischer Folgen von Chiff-
reblöcken vermieden wird.
Fehlerausbreitung: Ein Bitfehler bei der Übertragung eines Chiffreblocks c
i
verursacht,
dass der eigene Nachrichtenblock m
i
(drastisch falsch) und der Folgeblock m
i+1
(ein Bit
falsch) fehlerhaft entschlüsselt werden. Die folgenden Nachrichtenblöcke m
i+2
, m
i+3
,... wer-
den korrekt entschlüsselt. Die Fehlerausbreitung ist also begrenzt auf den eigenen Block
und den Folgeblock (vgl. Entschlüsselung in (2.7-4)).
Blocksynchronisation: Nach Verlust und Wiederherstellung der Blocksynchronisation für
Block i kann nach Block i (m
i+1
, m
i+2
,...) wieder korrekt entschlüsselt werden.
Speziell bei CBC ist der letzte Chiffreblock c
t
identisch dem Message Authentication Code
(MAC) von Kap. 2.2.4.1. Jedoch kann c
t
nicht für die Authentifizierung benutzt werden, weil
der Empfänger den Wert von c
t
nicht auf getrenntem Wege berechnen kann. Integrität und
Authentizität müssen durch getrennte Mechanismen bereitgestellt werden.
2.7.2.3
Cipher Feedback (CFB)
Beim „Cipher Feedback“ wird der Chiffreblock c
i
als neuer Eingangswert c
i-1
für den Blockal-
gorithmus zurückgekoppelt. Die Formeln (2.7-5) für Verschlüsselung und Entschlüsselung
unterscheiden sich nur durch eine Umformung. Man beachte, dass der Blockalgorithmus BA
auch für die Entschlüsselung in normaler Richtung benutzt wird (nicht BA
1
).
Verschlüsselung
c
BA(c
)
m
mit
c
IV
i
i 1
i
0
(2.7-5)
Entschlüsselung
m
BA(c
)
c
i
i 1
i
Als Verallgemeinerung ist es bei Cipher Feedback möglich, nur einen Teilblock, z.B. nur ein
Byte zu nutzen. Es braucht dann auch nur ein Teilblock von c
i
übertragen zu werden. Auf
diese Weise lässt sich eine Folge von Bytes byteweise verschlüsseln und übertragen. Dieser
Modus wird als „Strom-orientiert“ bezeichnet.
Wie im Datenflussbild in Abb. 2-19 ersichtlich hängt der Schlüsselstrom, der zu m
i
addiert
wird,
von der Nachricht m ab. Diese Eigenschaft erhöht
die Sicherheit vor Angriffen. Dagegen ist bei einer reinen Strom-Chiffre der Schlüsselstrom z
i
unabhängig von der Nachricht.
z
BA(c
)
BA(BA(c
)
m
)
i
i 1
i
2
i 1
