Salauslohkon ketjutustila

Salauslohkoketjutila ( CBC-tila ) on toimintatila , jossa lohkosalaajia voidaan käyttää. Ennen selkotekstisen on salattu , se on ensin liitetty salatekstin lohkon tuotettu edellisessä vaiheessa käyttämällä XOR (exclusive OR). Tilan julkaisivat vuonna 1976 William F. Ehrsam, Carl HW Meyer, John L. Smith ja Walter L. Tuchman.

Kenraali

Salausrakenne CBC-tilassa on esitetty seuraavassa kuvassa:

Tämä kaavio voidaan ilmaista myös matemaattisesti kaavoissa, merkitä salausfunktio avaimella , olla siihen liittyvä salauksen purkutoiminto. Määritä i: n selkokielinen lohko, i: s salakirjoituslohko ja olla alustusvektori; yleensä se määritellään. Merkitse lisäksi looginen XOR. Sitten salaus CBC-tilassa määritetään rekursiivisesti seuraavasti : ${\ displaystyle E_ {K}}$ ${\ displaystyle K}$ ${\ displaystyle D_ {K}}$ ${\ displaystyle P_ {i}}$ ${\ displaystyle C_ {i}}$ ${\ displaystyle IV}$ ${\ displaystyle C_ {0} = IV}$ ${\ displaystyle \ oplus}$

${\ displaystyle \ forall i \ in \ mathbb {N} ^ {+}: C_ {i} = E_ {K} (P_ {i} \ oplus C_ {i-1})}$

Salauksen purku CBC-tilassa on esitetty seuraavassa kuvassa:

Liittyvä salauksen purku ei sitä vastoin ole rekursiivinen CBC-tilassa ja sillä on samat nimitykset kuin yllä:

${\ displaystyle \ forall i \ in \ mathbb {N} ^ {+}: P_ {i} = D_ {K} (C_ {i}) \ oplus C_ {i-1}}$

Joko aikaleima tai satunnaisessa järjestyksessä numerot on käytetty , koska alustusvektorin (IV) . Jotkut sovellukset käyttävät myös ennustettavaa, yksinkertaista nousevaa numeroa, mutta tämä ei ole varmaa, koska ihmiset, jotka eivät ole toivotusti vesileimaushyökkäystä ( vesileima-isku voi suorittaa) tällaisille tiedoille. Dm-crypt- moduuli käyttää ESS- prosessia IV: n luomiseen .

Algoritmin turvallisuuden vuoksi alustusvektoria ei tarvitse lähettää salaa.

CBC-tilalla on joitain tärkeitä etuja:

Pelkät tekstinäytteet tuhoutuvat.
Identtiset pelkkätekstilohkot johtavat erilaisiin salausteksteihin.
Erilaisia hyökkäyksiä (aikamuistin vaihto ja pelkkätekstihyökkäykset) vaikeutetaan.

Koska salakirjoituslohko riippuu vain edellisestä lohkosta, vahingoittunut salakirjoitettu lohko, kuten bittivirhe tiedonsiirron aikana, ei aiheuta liikaa vahinkoa salauksen purkamisen aikana, koska vain kyseinen selkokielinen lohko ja seuraava selkokielinen lohko on purettu väärin. Tämä voidaan nähdä suoraan määritelmän salauksen ja kuvio edellä, sillä vioittunut salatekstisen estää vain vaikuttaa selkotekstisen lohkot ja ja leviä edelleen. Siitä huolimatta salauksen vain yhden bittivirheen rajoitettu kertolasku CBC: n kanssa voi tehdä pelkkän tekstin virheiden korjaamisen eteenpäin vaikeaksi tai mahdottomaksi. Samoin vaurioitunut alustusvektori ei aiheuta liikaa vahinkoa salauksen purkamisen aikana, koska se vahingoittaa vain selkokielistä lohkoa . ${\ displaystyle C_ {i}}$ ${\ displaystyle P_ {i}}$ ${\ displaystyle P_ {i + 1}}$ ${\ displaystyle P_ {1}}$

CBC-tila on paljon turvallisempi kuin EKP- tila, varsinkin jos sinulla ei ole satunnaisia tekstejä. Kielemme ja muut tiedostomme, kuten. B. videotiedostot eivät ole missään nimessä satunnaisia, minkä vuoksi EKP-tila on vaarallinen.

esimerkki

Pelkkä teksti: 01 10
Jaettu lohkoihin: 01 = , 10 = ${\ displaystyle B_ {1}}$ ${\ displaystyle B_ {2}}$
avain: 11 = k
Aloitusvektori (IV): 01

Yksinkertaisuuden vuoksi salaustoiminto , binäärinen lisäys ja salauksen purkutoiminto käyttää binääristä vähennystä. ${\ displaystyle E}$ ${\ displaystyle D}$

Salaus

Kenttä 1:

${\ displaystyle B_ {1} \ oplus IV = 01 \ oplus 01 = 00 = C_ {1} '}$
${\ displaystyle E_ {k} (C_ {1} ') = C_ {1}' + k = 00 + 11 = 11 = C_ {1}}$

Kenttä 2:

${\ displaystyle B_ {2} \ oplus C_ {1} = 10 \ oplus 11 = 01 = C_ {2} '}$
${\ displaystyle E_ {k} (C_ {2} ') = C_ {2}' + k = 01 + 11 = 00 = C_ {2}}$

Salattu teksti:

${\ displaystyle C_ {1} C_ {2} = 1100}$

Jos tarkastelet kohteen salausta , näet, että tämä on pakollista. Yleensä tämä tarkoittaa, että salaus vaaditaan salausta varten . Salausprosessin rinnakkaistaminen ei siis ole mahdollista. ${\ displaystyle B_ {2}}$ ${\ displaystyle C_ {1}}$ ${\ displaystyle B_ {i}}$ ${\ displaystyle C_ {i-1}}$

Salauksen purku

Kenttä 1:

${\ displaystyle D_ {k} (C_ {1}) = C_ {1} -k = 11-11 = 00 = C_ {1} '}$
${\ displaystyle C_ {1} '\ oplus IV = 00 \ oplus 01 = 01 = B_ {1}}$

Kenttä 2:

${\ displaystyle D_ {k} (C_ {2}) = C_ {2} -k = 00-11 = 01 = C_ {2} '}$
${\ displaystyle C_ {2} '\ oplus C1 = 01 \ oplus 11 = 10 = B_ {2}}$

Pelkkä teksti:

${\ displaystyle B_ {1} B_ {2} = 0110}$

Jos tarkastelet sivuston salauksen purkamista , näet, että sitä ei tarvita vain tähän . Yleensä tämä tarkoittaa, että vain on tarpeen salauksen purkamiseen . Tämä mahdollistaa salauksen purkamisen rinnakkain. ${\ displaystyle C_ {2}}$ ${\ displaystyle B_ {1}}$ ${\ displaystyle C_ {1}}$ ${\ displaystyle C_ {i}}$ ${\ displaystyle C_ {i-1}}$

Eheyden varmistaminen CBC: n, CBC-MAC: n kanssa

CBC-MAC-laskennan rakenne

CBC: tä voidaan käyttää myös eheyden varmistamiseksi asettamalla alustusvektori nollaksi ja liittämällä viimeinen CBC: llä MAC: ksi salattu lohko (ns. CBC-MAC tai CBC-jäännösarvo) alkuperäiseen salaamattomaan viestiin ja lähettämällä se yhdessä tämän kanssa MAC. CBC-algoritmin avulla vastaanottaja voi laskea vastaanotetun viestin CBC-MAC: n ja verrata nyt, onko juuri laskettu arvo sopusoinnussa viestiin liitetyn arvon kanssa. Jos CBC: llä salattu viesti on tarkoitus suojata CBC-MAC: lla, CBC-MAC: n luomiseen ei pidä käyttää samaa avainta kuin salaukseen. Jos käytettäisiin samaa avainta, MAC-lohko olisi sama kuin viimeinen salauslohko ja hyökkääjä voisi havaita muuttamatta koko viestiä lukuun ottamatta viimeistä lohkoa.

CBC-MAC on suojattu vain kiinteän pituisille viesteille. Jos viestin pituus vaihtelee , menetelmää voidaan hyökätä pidennyksellä . Hyökkääjä voi luoda kelvollisen MAC: n uudelle viestille (kahden viestin ketjutus) kahdesta kelvollisesta viesti-MAC-parista. Kaksi muunnosta voi estää hyökkäyksen: Kutakin viestiä voi edeltää viestin pituus tai MAC-lohko salataan lisäksi toisella avaimella.

kirjallisuus

Reinhard Wobst: Seikkailukryptologia. Tietojen salauksen menetelmät, riskit ja edut. 2. tarkistettu painos. Addison-Wesley Longman, Bonn et ai. 1998, ISBN 3-8273-1413-5 .

Yksittäiset todisteet

↑ William F. Ehrsam, Carl HW Meyer, John L. Smith, Walter L. Tuchman, "Sanomien todentaminen ja lähetysvirheiden havaitseminen lohkoketjuin", US-patentti 4074066, 1976
↑ Mihir Bellare , Joe Kiliany, Phillip Rogaway: Salauslohkoketjuviestien todennuskoodin turvallisuus . Julkaisussa: Journal of Computer and System Science . nauha 61 , ei. 3 , 2000, s. 362–399 ( digitoitu versio ( PDF; 466 kB) ( muisto 5. helmikuuta 2012 Internet-arkistossa )). Suojaus Cipher Block ketjuttaminen Message Authentication Code ( Memento of alkuperäisen päivätty helmikuussa 5 2012 in Internet Archive ) Info: arkisto yhteys oli lisätään automaattisesti, ei ole vielä tarkastettu. Tarkista alkuperäinen ja arkistolinkki ohjeiden mukaisesti ja poista tämä ilmoitus. @ 1@ 2

[1] William F. Ehrsam, Carl HW Meyer, John L. Smith, Walter L. Tuchman, "Sanomien todentaminen ja lähetysvirheiden havaitseminen lohkoketjuin", US-patentti 4074066, 1976

[BKR-2] Mihir Bellare , Joe Kiliany, Phillip Rogaway: Salauslohkoketjuviestien todennuskoodin turvallisuus . Julkaisussa: Journal of Computer and System Science . nauha 61 , ei. 3 , 2000, s. 362–399 ( digitoitu versio ( PDF; 466 kB) ( muisto 5. helmikuuta 2012 Internet-arkistossa )). Suojaus Cipher Block ketjuttaminen Message Authentication Code ( Memento of alkuperäisen päivätty helmikuussa 5 2012 in Internet Archive ) Info: arkisto yhteys oli lisätään automaattisesti, ei ole vielä tarkastettu. Tarkista alkuperäinen ja arkistolinkki ohjeiden mukaisesti ja poista tämä ilmoitus. @ 1@ 2

Languages