Krypteringsblok kædefunktion

Cipher Block Chains Mode ( CBC Mode ) er en driftstilstand, hvor blokcifre kan betjenes. Før en almindelig tekstblok krypteres , linkes den først til ciphertext- blokken, der blev genereret i det foregående trin ved hjælp af XOR (eksklusiv eller). Tilstanden blev offentliggjort i 1976 af William F. Ehrsam, Carl HW Meyer, John L. Smith og Walter L. Tuchman.

Generel

Strukturen for krypteringen i CBC-tilstand vises i følgende figur:

Dette diagram kan også udtrykkes matematisk i formler, betegne krypteringsfunktionen med nøglen , være den tilknyttede dekrypteringsfunktion. Udpeg den i-almindelige tekstblok, den i-ciffertekstblok og vær initialiseringsvektoren; normalt er det defineret. Desuden betegner den logiske XOR. Derefter defineres krypteringen i CBC-tilstand rekursivt som følger : ${\ displaystyle E_ {K}}$ ${\ displaystyle K}$ ${\ displaystyle D_ {K}}$ ${\ displaystyle P_ {i}}$ ${\ displaystyle C_ {i}}$ ${\ displaystyle IV}$ ${\ displaystyle C_ {0} = IV}$ ${\ displaystyle \ oplus}$

${\ displaystyle \ forall i \ in \ mathbb {N} ^ {+}: C_ {i} = E_ {K} (P_ {i} \ oplus C_ {i-1})}$

Dekrypteringens struktur i CBC-tilstand vises i følgende figur:

Den tilknyttede dekryptering er derimod ikke rekursiv i CBC-tilstand og har de samme betegnelser som ovenfor:

${\ displaystyle \ forall i \ in \ mathbb {N} ^ {+}: P_ {i} = D_ {K} (C_ {i}) \ oplus C_ {i-1}}$

Enten et tidsstempel eller en tilfældig sekvens af tal bruges som initialiseringsvektor (IV) . Nogle applikationer bruger også et forudsigeligt, simpelt stigende tal, men dette er ikke sikkert, fordi folk uden for et uønsket vandmærkeangreb ( vandmærkeangreb kan udføre) til sådanne data. Dm-crypt- modulet bruger ESS- processen til at generere IV .

Af hensyn til algoritmen er det ikke nødvendigt at transmittere initialiseringsvektoren hemmeligt.

CBC-tilstanden har nogle vigtige fordele:

Prøver i almindelig tekst ødelægges.
Identiske blokke med almindelig tekst resulterer i forskellige krypteringstekster.
Forskellige angreb (tidsmæssig afvejning af hukommelse og angreb med almindelig tekst) gøres vanskeligere.

Da en ciphertext-blok kun afhænger af den forrige blok, forårsager en beskadiget ciphertext-blok, såsom en bitfejl under datatransmission, ikke for meget skade under dekryptering, fordi kun den pågældende almindelige tekst-blok og den følgende almindelige tekst-blok er forkert dekrypteret. Dette kan ses direkte fra definitionen af dekrypteringen og figuren ovenfor, da en beskadiget ciphertext- blok kun påvirker plaintext-blokke og ikke spredes yderligere. Ikke desto mindre kan denne begrænsede multiplikation af kun en enkelt bitfejl i chifferet med CBC gøre fremadrettet fejlkorrektion af almindelig tekst vanskelig eller umulig. Ligeledes forårsager en beskadiget initialiseringsvektor ikke for meget skade under dekryptering, da den kun beskadiger almindelig tekstblok . ${\ displaystyle C_ {i}}$ ${\ displaystyle P_ {i}}$ ${\ displaystyle P_ {i + 1}}$ ${\ displaystyle P_ {1}}$

CBC-tilstand er meget sikrere end ECB- tilstand, især hvis du ikke har nogen tilfældige tekster. Vores sprog og andre filer, såsom. B. videofiler er på ingen måde tilfældige, hvorfor ECB-tilstand er farlig.

eksempel

Simpel tekst: 01 10
Opdelt i blokke: 01 = , 10 = ${\ displaystyle B_ {1}}$ ${\ displaystyle B_ {2}}$
nøgle: 11 = k
Indledende vektor (IV): 01

For enkelheds skyld bruger krypteringsfunktionen den binære addition og som en dekrypteringsfunktion binær subtraktion. ${\ displaystyle E}$ ${\ displaystyle D}$

Kryptering

Blok 1:

${\ displaystyle B_ {1} \ oplus IV = 01 \ oplus 01 = 00 = C_ {1} '}$
${\ displaystyle E_ {k} (C_ {1} ') = C_ {1}' + k = 00 + 11 = 11 = C_ {1}}$

Blok 2:

${\ displaystyle B_ {2} \ oplus C_ {1} = 10 \ oplus 11 = 01 = C_ {2} '}$
${\ displaystyle E_ {k} (C_ {2} ') = C_ {2}' + k = 01 + 11 = 00 = C_ {2}}$

Krypteret tekst:

${\ displaystyle C_ {1} C_ {2} = 1100}$

Hvis du ser på krypteringen af , kan du se, at dette er påkrævet. Generelt betyder dette, at krypteringsblokken er nødvendig for kryptering . En parallelisering af krypteringsprocessen er derfor ikke mulig. ${\ displaystyle B_ {2}}$ ${\ displaystyle C_ {1}}$ ${\ displaystyle B_ {i}}$ ${\ displaystyle C_ {i-1}}$

Dekryptering

Blok 1:

${\ displaystyle D_ {k} (C_ {1}) = C_ {1} -k = 11-11 = 00 = C_ {1} '}$
${\ displaystyle C_ {1} '\ oplus IV = 00 \ oplus 01 = 01 = B_ {1}}$

Blok 2:

${\ displaystyle D_ {k} (C_ {2}) = C_ {2} -k = 00-11 = 01 = C_ {2} '}$
${\ displaystyle C_ {2} '\ oplus C1 = 01 \ oplus 11 = 10 = B_ {2}}$

Simpel tekst:

${\ displaystyle B_ {1} B_ {2} = 0110}$

Hvis du ser på dekrypteringen af , kan du se, at det ikke kun er nødvendigt for dette . Generelt betyder det, at kun kræves til dekryptering . Dette gør det muligt at udføre dekrypteringsprocessen parallelt. ${\ displaystyle C_ {2}}$ ${\ displaystyle B_ {1}}$ ${\ displaystyle C_ {1}}$ ${\ displaystyle C_ {i}}$ ${\ displaystyle C_ {i-1}}$

Integritetssikring med CBC, CBC-MAC

Struktur til CBC-MAC-beregningen

CBC kan også bruges til at sikre integritet ved at indstille initialiseringsvektoren til nul og tilføje den sidste blok krypteret med CBC som en MAC (den såkaldte CBC-MAC eller CBC restværdi) til den oprindelige ukrypterede besked og sende den sammen med denne MAC. Ved hjælp af CBC-algoritmen kan modtageren beregne CBC-MAC for den modtagne besked og nu sammenligne, om den værdi, der netop er beregnet, stemmer overens med den, der er knyttet til meddelelsen. Hvis en meddelelse krypteret med CBC skal sikres med en CBC-MAC, må den samme nøgle ikke bruges til generering af CBC-MAC som til krypteringen. Hvis den samme nøgle blev brugt, ville MAC-blokken være den samme som den sidste krypteringsblok, og en angriber kunne uopdaget ændre hele meddelelsen med undtagelse af den sidste blok.

CBC-MAC er kun sikker til meddelelser med fast længde. Hvis beskedlængden varierer , kan metoden angribes af længdeudvidelsen . En hacker kan generere en gyldig MAC til en ny besked (sammenkædning af de to meddelelser) fra to gyldige meddelelses-MAC-par. To ændringer kan forhindre dette angreb: Hver meddelelse kan indledes med meddelelseslængden, eller MAC-blokken krypteres desuden med en anden nøgle.

litteratur

Reinhard Wobst: Eventyrkryptologi . Metoder, risici og fordele ved datakryptering. 2., revideret udgave. Addison-Wesley Longman, Bonn et al. 1998, ISBN 3-8273-1413-5 .

Individuelle beviser

↑ William F. Ehrsam, Carl HW Meyer, John L. Smith, Walter L. Tuchman, "Message verification and transmission error detection by block chaining", US Patent 4074066, 1976
↑ Mihir Bellare , Joe Kiliany, Phillip Rogaway: Sikkerheden ved krypteringsblokeringskædebeskedgodkendelseskode . I: Journal of Computer and System Science . bånd 61 , nr. 3 , 2000, s. 362-399 ( digitaliseret version ( PDF; 466 kB) ( minde fra 5. februar 2012 i internetarkivet )). Sikkerheden i blokkædnings Message Authentication Code ( Memento af den oprindelige fra februar 5 2012 i den Internet Archive ) Info: Den arkiv link blev indsat automatisk, og er endnu ikke blevet kontrolleret. Kontroller original- og arkivlinket i henhold til instruktionerne, og fjern derefter denne meddelelse. @ 1@ 2

[1] William F. Ehrsam, Carl HW Meyer, John L. Smith, Walter L. Tuchman, "Message verification and transmission error detection by block chaining", US Patent 4074066, 1976

[BKR-2] Mihir Bellare , Joe Kiliany, Phillip Rogaway: Sikkerheden ved krypteringsblokeringskædebeskedgodkendelseskode . I: Journal of Computer and System Science . bånd 61 , nr. 3 , 2000, s. 362-399 ( digitaliseret version ( PDF; 466 kB) ( minde fra 5. februar 2012 i internetarkivet )). Sikkerheden i blokkædnings Message Authentication Code ( Memento af den oprindelige fra februar 5 2012 i den Internet Archive ) Info: Den arkiv link blev indsat automatisk, og er endnu ikke blevet kontrolleret. Kontroller original- og arkivlinket i henhold til instruktionerne, og fjern derefter denne meddelelse. @ 1@ 2

Languages