Debolezza della modalità AES OFB

Questa è una strana affermazione. Un cifrario a blocchi in modalità OFB è, funzionalmente, una cifra di flusso che produce un flusso dipendente dalla chiave di byte pseudocasuali; la crittografia è quindi solo un XOR del flusso con i dati da crittografare (e la decrittografia è identica). I dati taglia sono abbastanza irrilevanti; al contrario, OFB è una di queste modalità che non richiede riempimento.

Ciò che il commentatore probabilmente intendeva è che OFB non dovrebbe essere usato con meno di un feedback a blocco completo. Il "normale" OFB è ciò che è descritto nei diagrammi di Wikipedia : ogni blocco di output (dal blocco cifrario) viene utilizzato come input per la successiva chiamata al codice a blocchi. Tuttavia, nei vecchi tempi, OFB utilizzava un feedback parziale , in cui l'input per il codice a blocchi utilizzava solo una parte dell'output del blocco precedente. OFB con retroazione parziale è più lento del normale OFB e doveva supportare supporti di trasmissione che perdono la sincronizzazione. Dal momento che OFB con feedback parziale si è rivelato significativamente più debole del blocco completo OFB, lo standard lo ha deprecato. La mia ipotesi è che il commento che hai citato riguardasse OFB con feedback parziale.

Nessuno ha OFB con feedback parziale, eccetto PHP dove la costante MCRYPT_MODE_OFB seleziona OFB con 8 feedback (possiamo contare su PHP per selezionare valori predefiniti deboli e inefficienti quando possibile, sono molto creativi in questo modo).

Vedi il Manuale di crittografia applicata per i dettagli (capitolo 7, sezione 7.2.2). In ogni caso, anche l'intero blocco OFB può essere considerato inferiore al CTR su tutti i punti e dovrebbe essere evitato (vedere questa risposta per maggiori dettagli). E, naturalmente, crittografia autenticata come EAX è molto meglio.