www.wikidata.de-de.nina.az

Output Feedback Mode OFB ist eine Betriebsart in der Blockchiffren betrieben werden können Dabei wird ein Blockalgorithm

Output Feedback Mode

Output Feedback Mode (OFB) ist eine Betriebsart, in der Blockchiffren betrieben werden können. Dabei wird ein Blockalgorithmus wie beispielsweise Data Encryption Standard (Blocklänge 64 Bit) oder Advanced Encryption Standard (Blocklänge 128 Bit) genutzt, um daraus eine (synchrone) Stromchiffre zu bilden.

Der Klartext wird in jedem Schritt mit der fachen Verschlüsselung des Initialisierungsvektors per XOR (exklusives ODER) verknüpft. Dabei gilt mit gleich der Anzahl an Blöcken.

In diesem Modus wird, wie in der Abbildung dargestellt, die Ausgabe der Blockchiffre mit dem Klartext bitweise per XOR verknüpft, um daraus den Geheimtext zu bilden. Dieses Verfahren ergibt eine Stromchiffre. Die Ausgabe der Blockchiffre wird wieder ihrem Eingang zugeführt, so dass ein kontinuierlicher Strom an chiffrierten Blöcken entsteht. Für die Verknüpfung mit dem Klartext werden nur so viele Bits wie nötig verwendet. Dies muss nicht einer vollen Blocklänge entsprechen. Der Bitstrom ist pseudozufällig, weil er von der Blockchiffre, dem Schlüssel und dem Initialisierungsvektor abhängig ist. Deshalb bezeichnet man dieses System auch als Pseudo-One-Time-Pad. Der Initialisierungsvektor ist ähnlich wie beim Cipher Block Chaining Mode als Startwert zu sehen und vom gewählten (geheimen) Schlüssel unabhängig.

Einer der Vorteile besteht darin, dass die Bitfolge, mit der die Klartextdaten bitweise XOR-verknüpft werden, bereits vorab berechnet werden kann. Weiter besteht bei OFB wie bei allen Stromchiffren der Vorteil, dass sich bei der Entschlüsselung Übertragungsfehler (Bitfehler) im Chiffrat nur auf die entsprechende Bitstelle im entschlüsselten Klartext auswirken und sich der Fehler nicht im Klartext fortpflanzt. Bei anderen Betriebsmodi führt nur ein Bitfehler im Chiffrat zu mindestens einem komplett zerstörten Klartextdatenblock. Dies erschwert bzw. macht eine Vorwärtsfehlerkorrektur unmöglich. Andererseits kann die Tatsache, dass die verursachten Bitfehler im Klartext vorhersagbar sind, ausgenutzt werden, um Nachrichten unbemerkt zu verfälschen.

Ein weiterer Vorteil des Verfahrens ist, dass keine separate Entschlüsselungsfunktion notwendig ist, denn Ver- und Entschlüsselung sind identisch. Außerdem wird nur die Verschlüsselung des Blockalgorithmus (oder nur die Entschlüsselung) benötigt. Die Konstruktion ist sogar so, dass sich als Blockalgorithmus auch Verfahren eignen, die nicht bijektiv sind. Beispielsweise könnte als Blockalgorithmus auch eine sichere Hashfunktion wie SHA-256 verwendet werden. Die Blockgröße wäre dann die Ausgabegröße der Hashfunktion, bei SHA-256 also 256 Bits.

Identisch zur Verschlüsselung wird bei der Entschlüsselung auch die fache Verschlüsselung des Initialisierungsvektors (IV) per XOR verknüpft. Statt wird hierbei nun der Ciphertext eingesetzt.

Ein Nachteil von OFB ist die aufwendige Synchronisation der Blockchiffren zwischen Sender und Empfänger, da OFB im Gegensatz zu Cipher Feedback Mode (CFB) grundsätzlich nicht selbstsynchronisierend ist. Der Blockchiffre am Empfänger wird dabei wie in obiger Abbildung dargestellt, ebenfalls wie bei der Verschlüsselung betrieben, erzeugt also bei gleichem Initialisierungsvektor und gleichem Schlüssel die gleiche binäre Datenfolge mit der die XOR-Operation des Senders rückgängig gemacht werden kann. Das dafür notwendige, genaue zeitliche Zusammenspiel muss, durch geeignete Verfahren, in den Übertragungsprotokollen sichergestellt werden.

Wenn mehrere Nachrichten mit dem gleichen Schlüssel verschlüsselt werden, muss für jede Nachricht ein anderer Initialisierungsvektor verwendet werden, da ansonsten der gleiche Schlüsselstrom erzeugt wird. In diesem Fall ist das Verfahren gegen einen einfachen Angriff anfällig, bei dem zwei Chiffrate XOR-verknüpft werden. Dadurch löschen sich die zur Verschlüsselung verwendeten (gleichen) Schlüsselströme aus, und als Ergebnis bleibt das XOR der beiden Klartexte, aus dem die Klartexte leicht ermittelt werden können. Ist sogar der Klartext einer Nachricht bekannt, kann ein Klartextangriff durchgeführt werden: Durch XOR-Verknüpfung von Klar- und Geheimtext kann man den verwendeten Schlüsselstrom bestimmen und die entsprechenden Abschnitte der anderen Nachrichten entschlüsseln.

Einzelnachweise Bearbeiten

  1. Matt Bishop: Computer security. art and science. Addison-Wesley, Boston 2003, ISBN 0-201-44099-7, S. 231.
wikipedia, wiki, deutsches, deutschland, buch, bücher, bibliothek artikel lesen, herunterladen kostenlos kostenloser herunterladen, MP3, Video, MP4, 3GP, JPG, JPEG, GIF, PNG, Bild, Musik, Lied, Film, Buch, Spiel, Spiele
Veröffentlichungsdatum:
Output Feedback Mode OFB ist eine Betriebsart in der Blockchiffren betrieben werden konnen Dabei wird ein Blockalgorithmus wie beispielsweise Data Encryption Standard Blocklange 64 Bit oder Advanced Encryption Standard Blocklange 128 Bit genutzt um daraus eine synchrone Stromchiffre zu bilden Der Klartext P i textstyle P i wird in jedem Schritt i textstyle i mit der i textstyle i fachen Verschlusselung des Initialisierungsvektors per XOR exklusives ODER verknupft Dabei gilt 1 i u displaystyle 1 leq i leq u mit u displaystyle u gleich der Anzahl an Blocken C i P i E K i I V displaystyle C i P i oplus E K i IV In diesem Modus wird wie in der Abbildung dargestellt die Ausgabe der Blockchiffre mit dem Klartext bitweise per XOR verknupft um daraus den Geheimtext zu bilden Dieses Verfahren ergibt eine Stromchiffre Die Ausgabe der Blockchiffre wird wieder ihrem Eingang zugefuhrt so dass ein kontinuierlicher Strom an chiffrierten Blocken entsteht Fur die Verknupfung mit dem Klartext werden nur so viele Bits wie notig verwendet Dies muss nicht einer vollen Blocklange entsprechen Der Bitstrom ist pseudozufallig weil er von der Blockchiffre dem Schlussel und dem Initialisierungsvektor abhangig ist Deshalb bezeichnet man dieses System auch als Pseudo One Time Pad 1 Der Initialisierungsvektor ist ahnlich wie beim Cipher Block Chaining Mode als Startwert zu sehen und vom gewahlten geheimen Schlussel unabhangig Einer der Vorteile besteht darin dass die Bitfolge mit der die Klartextdaten bitweise XOR verknupft werden bereits vorab berechnet werden kann Weiter besteht bei OFB wie bei allen Stromchiffren der Vorteil dass sich bei der Entschlusselung Ubertragungsfehler Bitfehler im Chiffrat nur auf die entsprechende Bitstelle im entschlusselten Klartext auswirken und sich der Fehler nicht im Klartext fortpflanzt Bei anderen Betriebsmodi fuhrt nur ein Bitfehler im Chiffrat zu mindestens einem komplett zerstorten Klartextdatenblock Dies erschwert bzw macht eine Vorwartsfehlerkorrektur unmoglich Andererseits kann die Tatsache dass die verursachten Bitfehler im Klartext vorhersagbar sind ausgenutzt werden um Nachrichten unbemerkt zu verfalschen Ein weiterer Vorteil des Verfahrens ist dass keine separate Entschlusselungsfunktion notwendig ist denn Ver und Entschlusselung sind identisch Ausserdem wird nur die Verschlusselung des Blockalgorithmus oder nur die Entschlusselung benotigt Die Konstruktion ist sogar so dass sich als Blockalgorithmus auch Verfahren eignen die nicht bijektiv sind Beispielsweise konnte als Blockalgorithmus auch eine sichere Hashfunktion wie SHA 256 verwendet werden Die Blockgrosse ware dann die Ausgabegrosse der Hashfunktion bei SHA 256 also 256 Bits Identisch zur Verschlusselung wird bei der Entschlusselung auch die i textstyle i fache Verschlusselung des Initialisierungsvektors IV per XOR verknupft Statt P i textstyle P i wird hierbei nun der Ciphertext C i textstyle C i eingesetzt P i C i E K i I V displaystyle P i C i oplus E K i IV Ein Nachteil von OFB ist die aufwendige Synchronisation der Blockchiffren zwischen Sender und Empfanger da OFB im Gegensatz zu Cipher Feedback Mode CFB grundsatzlich nicht selbstsynchronisierend ist Der Blockchiffre am Empfanger wird dabei wie in obiger Abbildung dargestellt ebenfalls wie bei der Verschlusselung betrieben erzeugt also bei gleichem Initialisierungsvektor und gleichem Schlussel die gleiche binare Datenfolge mit der die XOR Operation des Senders ruckgangig gemacht werden kann Das dafur notwendige genaue zeitliche Zusammenspiel muss durch geeignete Verfahren in den Ubertragungsprotokollen sichergestellt werden Wenn mehrere Nachrichten mit dem gleichen Schlussel verschlusselt werden muss fur jede Nachricht ein anderer Initialisierungsvektor verwendet werden da ansonsten der gleiche Schlusselstrom erzeugt wird In diesem Fall ist das Verfahren gegen einen einfachen Angriff anfallig bei dem zwei Chiffrate XOR verknupft werden Dadurch loschen sich die zur Verschlusselung verwendeten gleichen Schlusselstrome aus und als Ergebnis bleibt das XOR der beiden Klartexte aus dem die Klartexte leicht ermittelt werden konnen Ist sogar der Klartext einer Nachricht bekannt kann ein Klartextangriff durchgefuhrt werden Durch XOR Verknupfung von Klar und Geheimtext kann man den verwendeten Schlusselstrom bestimmen und die entsprechenden Abschnitte der anderen Nachrichten entschlusseln Einzelnachweise Bearbeiten Matt Bishop Computer security art and science Addison Wesley Boston 2003 ISBN 0 201 44099 7 S 231 Betriebsmodi von Blockchiffren Ohne Authentifizierung ECB CBC CFB OFB CTR XTSMit Authentifizierung CCM GCM EAX Abgerufen von https de wikipedia org w index php title Output Feedback Mode amp oldid 238212043