Cryptography Reference
In-Depth Information
geheim zu sein, darf aber nicht wieder verwendet werden (vgl. Kap. 2.4 „Stromchiffren“). Der
CTR-Modus wird durch Formel (2.7-7) sowie Abb. 2-21 beschrieben.
PN
Generator
z
BA(nc || ctr )
mit
nc
nonce
i
i
Verschlüsselung
c
z
m
(2.7-7)
i
i
i
Entschlüsselung
m
z
c
i
i
i
Der Ausgang z
i
des PN-Generators wird durch den Zähler ctr
i
getrieben. Für den Eingang des
PN-Generators bzw. von BA gibt es mehrere Möglichkeiten. Eine Möglichkeit besteht darin,
das Eingangsregister aufzuteilen in Stellen für die Nonce nc und in Stellen für den Zählerstand
ctr
i
. Aus diesem Grund wird der CTR-Modus auch als SIC-Modus (Segmented Integer Coun-
ter) bezeichnet. Als eine andere Möglichkeit kann für den Eingang von BA die Summe mod 2
gebildet werden. In diesem Fall stehen für nc und ctr
i
mehr Binärstellen zur Verfü-
gung, so dass die Periode des PN-Generators größer wird. Durch den Schlüssel k wird die
Vielfalt von PN-Folgen weiter vergrößert.
Als Verallgemeinerung ist es im CTR-Modus möglich, nur einen Teilblock, z.B. nur ein Byte
zu nutzen (siehe Markierung in Abb. 2-21). Es braucht dann auch nur ein Teilblock von c
i
übertragen zu werden. Die für Output Feedback (OFB) aufgelisteten Eigenschaften gelten auch
für den CTR-Modus. Der Counter-Modus findet Anwendung z.B. in Funknetzen (Kap. 6.5.5).
nc
ctr
i
2.7.2.6
Anmerkungen
Anmerkung zu Strom-Chiffre und Strom-orientert: Die Betriebsarten Cipher Feedback (CFB),
Output Feedback (OFB) und Counter-Modus (CTR) sind geeignet, um eine Folge von Bytes
byteweise zu verschlüsseln und zu übertragen. Sie werden deshalb auch als
Strom-orientiert
bezeichnet. Bei Output Feedback (OFB) und Counter-Modus (CTR) wird zu der Nachricht ein
Schlüsselstrom addiert, der von der Nachricht unabhängig ist. Diese Verschlüsselung wird als
Strom-Chiffre bezeichnet, vgl. RC4 in Kap. 2.4. Bei Stromchiffren ist es besonders riskant,
den Initialisierungsvektor IV nochmals zu verwenden.
Anmerkung zu Integrität und Authentizität: Durch Verschlüsselung wird der Dienst der Ver-
traulichkeit bereitgestellt. Obwohl bei den Betriebsarten Cipher Block Chaining (CBC) und
Cipher FeedBack (CFB) jede Stelle in der Nachricht den letzten Chiffreblock c
t
beeinflusst und
bei CBC sogar mit dem MAC nach Kap. 2.2.4.1 übereinstimmt, stellen diese Mechanismen
weder Integrität noch Authentizität bereit. Es fehlt die Möglichkeit einer Kontrolle. Für die
Dienste der Integrität und Authentizität sind gesonderte Mechanismen erforderlich.
Als eine Möglichkeit kann die Nachricht m zusammen mit ihrem MAC(m) verschlüsselt wer-
den, c
MAC
=f(k, [m, MAC(m)]). Als eine bessere und meist benutzte Möglichkeit wird der MAC
nach der Verschlüsselung c=f(k, m) über die Chiffre c und den benutzten Initialisierungsvektor
IV gebildet und in der Form [(c, IV), MAC(c, IV)] übertragen. Dabei erscheint der Initialisie-
rungsvektor IV und der gemeinsame MAC in Klartext. Der Empfänger kann dann vor der
Entschlüsselung prüfen, ob die Chiffre und der Initialisierungsvektor (c, IV) ihren gemeinsa-
men MAC(c, IV) erfüllen, also integer und authentisch sind. Brute-Force-Angriffe auf Schlüs-
sel, die teilweise bekannt sind, lassen sich ganz praktisch für alle implementierten modernen
symmetrischen Verfahren in CrypTool durchführen: siehe Menü Analyse \ Symmetrische
Verschlüsselung (modern).
