Режим обратной связи по выходу

Шаблон:О Режим обратной связи по выходу (Шаблон:Lang-en) — один из вариантов использования симметричного блочного шифра. Особенностью режима является то, что в качестве входных данных для алгоритма блочного шифрования не используется само сообщение. Вместо этого блочный шифр используется для генерации псевдослучайного потока байтов, который с помощью операции XOR складывается с блоками открытого текста. Подобная схема шифрования называется потоковым шифром (Шаблон:Lang-en).

Схема шифрования в режиме OFB определяется следующим образом:

${\displaystyle K_o=IV}$

${\displaystyle K_i=E(K,K_{i-1})}$  для  ${\displaystyle i=1,\dots ,n}$

${\displaystyle C_i=K_i\oplus P_i}$

Где ${\displaystyle IV}$ — вектор инициализации, ${\displaystyle K_i}$ — ключевой поток, ${\displaystyle K}$ — ключ шифрования, ${\displaystyle E}$ — функция шифрования блока, ${\displaystyle n}$ — количество блоков открытого текста в сообщении, ${\displaystyle C_i}$ и ${\displaystyle P_i}$ — блоки шифрованного и открытого текстов соответственно.

• Значение вектора инициализации должно быть уникальным для каждой процедуры шифрования одним ключом. Его необязательно сохранять в секрете и оно может быть передано вместе с шифротекстом.
• Алгоритм дешифрования в режиме OFB полностью совпадает с алгоритмом шифрования. Функция дешифрования блочного алгоритма не используется в данном режиме, т.к. ключевой поток генерируется только функцией шифрования блока.

Режим OFB наглядно демонстрирует одну из проблем потоковых шифров.^[1] При использовании одного и того же вектора инициализации для шифрования нескольких сообщений будет сгенерирован одинаковый поток ключей. Предположим, что ${\displaystyle P_1}$ и ${\displaystyle P_2}$ — два разных сообщения для шифрования ключом ${\displaystyle K}$. Зашифруем исходные сообщения в режиме OFB и получим два шифротекста — ${\displaystyle C_1}$ и ${\displaystyle C_2}$, соответственно. Таким образом, будет справедливо следующее тождество:

${\displaystyle C_1\oplus C_2=E(K,K_{i-1})\oplus P_1\oplus E(K,K_{i-1})\oplus P_2=P_1\oplus P_2}$

Следовательно, если потенциальному злоумышленнику известна хотя бы одна пара шифрованного и открытого текста, вычисление любых открытых текстов, зашифрованных таким же ключом и с идентичным вектором инициализации, становится тривиальной задачей.

• Появление коллизии в ключевом потоке (или совпадение вектора инициализации и одного из ключевых блоков) приведёт к циклическому повторению ключевой последовательности, что может вызвать нарушение безопасности режима шифрования, как показано в предыдущем пункте.
• Распространение ошибки в данном режиме не происходит. Изменение одного бита в шифрованном тексте приведет к изменению одного бита при дешифровании. Однако, потеря бита в шифротексте приведет к некорректному дешифрованию всех последующих битов.

Шаблон:Примечания

• Шаблон:Книга:Прикладная криптография