Режим обратной связи по шифротексту

Режим обратной связи по шифротексту, режим гаммирования с обратной связью (Шаблон:Lang-en) — один из вариантов использования симметричного блочного шифра, при котором для шифрования следующего блока открытого текста он складывается по модулю 2 с перешифрованным (блочным шифром) результатом шифрования предыдущего блока.

Шифрование может быть описано следующим образом:

${\displaystyle C_0=IV}$

${\displaystyle C_i=E_k\left(C_{i-1}\right)\oplus P_i}$

${\displaystyle P_i=E_k\left(C_{i-1}\right)\oplus C_i}$

где ${\displaystyle i}$ — номера блоков, ${\displaystyle IV}$ — вектор инициализации (синхропосылка), ${\displaystyle C_i}$ и ${\displaystyle P_i}$ — блоки зашифрованного и открытого текстов соответственно, а ${\displaystyle E_k}$ — функция блочного шифрования.

Вектор инициализации ${\displaystyle IV}$, как и в режиме сцепления блоков шифротекста, можно делать известным, однако он должен быть уникальным.

Ошибка, которая возникает в шифротексте при передаче (например, из-за помех), сделает невозможным расшифровку как блока, в котором ошибка произошла, так и следующего за ним, однако не распространяется на последующие блоки.

Существует более сложный вариант использования режима, когда размер блока CFB не совпадет с размером блока шифра^[1]:

${\displaystyle \begin{array}{c}{I}_1=\mathit{\text{IV}}\\ I_j={\mathit{\text{LSB}}}_{b-s}(I_{j-1})\parallel C_{j-1}^{\mathrm{\#}}& j=2,...,n\\ O_j=E_K(I_j)& j=1,2,...,n\\ \\ C_j^{\mathrm{\#}}=P_j^{\mathrm{\#}}\oplus {\mathit{\text{MSB}}}_s(O_j)& j=1,2,..,n\\ P_j^{\mathrm{\#}}=C_j^{\mathrm{\#}}\oplus {\mathit{\text{MSB}}}_s(O_j)& j=1,2,..,n\end{array}}$

где:

• ${\displaystyle b}$ — размер блока шифра;
• ${\displaystyle s}$ — размер блока CFB (размер сегмента), ${\displaystyle 1\le s\le b}$;
• ${\displaystyle P_j^{\mathrm{\#}}}$ — ${\displaystyle j}$-й сегмент открытого текста длины ${\displaystyle s}$ бит;
• ${\displaystyle C_j^{\mathrm{\#}}}$ — ${\displaystyle j}$-й сегмент шифртекста длины ${\displaystyle s}$ бит;
• ${\displaystyle {\mathit{\text{MSB}}}_m(X)}$ — операция взятия ${\displaystyle m}$ наибольших значащих (старших) бит битовой строки ${\displaystyle X}$;
• ${\displaystyle {\mathit{\text{LSB}}}_m(X)}$ — операция взятия ${\displaystyle m}$ наименьших значащих (младших) бит битовой строки ${\displaystyle X}$;
• ${\displaystyle \parallel }$ — операция конкатенации.

Шаблон:Примечания

• Шаблон:Книга:Прикладная криптография