Debolezza della modalità AES OFB

5

Ho trovato questi commenti riguardo alla modalità AES OFB "Questa modalità è leggermente meno comune, abbastanza simile al CFB sopra, ma che non dovrebbe essere usata come cifratura del flusso a causa di debolezze intrinseche quando la larghezza dei dati non corrisponde al blocca l'algoritmo di crittografia sottostante "C'è qualche ragione per cui la larghezza dei dati influenza le prestazioni della modalità AES OFB? grazie ZG

    
posta user20409 05.02.2013 - 16:46
fonte

1 risposta

4

Questa è una strana affermazione. Un cifrario a blocchi in modalità OFB è, funzionalmente, una cifra di flusso che produce un flusso dipendente dalla chiave di byte pseudocasuali; la crittografia è quindi solo un XOR del flusso con i dati da crittografare (e la decrittografia è identica). I dati taglia sono abbastanza irrilevanti; al contrario, OFB è una di queste modalità che non richiede riempimento.

Ciò che il commentatore probabilmente intendeva è che OFB non dovrebbe essere usato con meno di un feedback a blocco completo. Il "normale" OFB è ciò che è descritto nei diagrammi di Wikipedia : ogni blocco di output (dal blocco cifrario) viene utilizzato come input per la successiva chiamata al codice a blocchi. Tuttavia, nei vecchi tempi, OFB utilizzava un feedback parziale , in cui l'input per il codice a blocchi utilizzava solo una parte dell'output del blocco precedente. OFB con retroazione parziale è più lento del normale OFB e doveva supportare supporti di trasmissione che perdono la sincronizzazione. Dal momento che OFB con feedback parziale si è rivelato significativamente più debole del blocco completo OFB, lo standard lo ha deprecato. La mia ipotesi è che il commento che hai citato riguardasse OFB con feedback parziale.

Nessuno ha OFB con feedback parziale, eccetto PHP dove la costante MCRYPT_MODE_OFB seleziona OFB con 8 feedback (possiamo contare su PHP per selezionare valori predefiniti deboli e inefficienti quando possibile, sono molto creativi in questo modo).

Vedi il Manuale di crittografia applicata per i dettagli (capitolo 7, sezione 7.2.2). In ogni caso, anche l'intero blocco OFB può essere considerato inferiore al CTR su tutti i punti e dovrebbe essere evitato (vedere questa risposta per maggiori dettagli). E, naturalmente, crittografia autenticata come EAX è molto meglio.

    
risposta data 05.02.2013 - 17:15
fonte

Leggi altre domande sui tag