Cipher Block Chaining Mode

aus Wikipedia, der freien Enzyklopädie

Du hast neue Nachrichten (Unterschied zur vorletzten Version).

Cipher Block Chaining Mode (CBC) ist eine Betriebsart, in der Blockchiffrierungs algorithmen arbeiten.

Vor dem Verschlüsseln eines Klartextblocks wird dieser erst mit dem im letzten Schritt erzeugten Geheimtextblock per XOR (exklusives Oder) verknüpft.

Die Verschlüsselung ist im CBC-Modus rekursiv definiert:

$\begin{matrix} & C_0 & = & IV & \\ \forall\left( i \in \mathbb{N}^+ \right):\left(\right. & C_i & = & E_K(P_i \oplus C_{i-1}) & \left.\right) \end{matrix}$

Die zugehörige Entschlüsselung ist im CBC-Modus hingegen nicht rekursiv:

$\begin{matrix} & C_0 & = & IV & & \\ \forall\left( i \in \mathbb{N}^+ \right):\left(\right. & P_i & = & D_K(C_i) \oplus C_{i-1} & & \left.\right) \\ \forall\left( i \in \mathbb{N}^+ \right):\left(\right. & C_i & = & E_K(P_i \oplus C_{i-1}) & = E_K(D_K(C_i) \oplus C_{i-1} \oplus C_{i-1}) & \left.\right) \end{matrix}$

Hierbei ist $E K$ die Verschlüsslungsfunktion mit dem Schlüssel $K$ , $D K$ ist die zugehörige Entschlüsselungsfunktion. $P i$ bezeichnet den i. Klartextblock, $C i$ den i. Geheimtextblock, $I V$ ist der Initialisierungsvektor. $\oplus$ bezeichnet das logische XOR.

Als Initialisierungsvektor (IV) benutzt man

entweder einen Zeitstempel
oder eine zufällige Zahlenfolge.
Manche Anwendungen benutzen auch eine vorhersagbare, einfach aufsteigende Zahl, aber dies ist nicht sicher, weil fremde Personen unerwünscht einen Wasserzeichenangriff (watermark attack) auf solche Daten ausführen können.
Das Modul dm-crypt benutzt zur Generierung des IV das ESS Verfahren.

Wenn man diesen Initialisierungsvektor geheim überträgt, trägt es nicht zur Sicherheit des Algorithmus bei.

Der CBC-Mode hat einige wichtige Vorteile:

Klartextmuster werden zerstört.
Jeder Geheimtextblock hängt von allen vorherigen Klartextblöcken ab.
Identische Klartextblöcke ergeben unterschiedliche Geheimtexte.
Verschiedene Angriffe (Time-Memory-Tradeoff und Klartextangriffe) werden erschwert.

Obwohl ein Geheimtextblock von allen vorherigen Blöcken abhängt, verursacht ein beschädigter Geheimtextblock beim Entschlüsseln keinen allzugroßen Schaden, denn es werden nur der betroffene Klartextblock und der darauffolgende Klartextblock unlesbar. Dies ist unmittelbar aus der Definition der Entschlüsselung ersichtlich, da ein beschädigter Geheimtextblock $C i$ nur die Klartextblöcke $P i$ und $P i + 1$ beeinflusst. Genauso verursacht ein beschädigter Initialisierungsvektor beim Entschlüsseln keinen allzugroßen Schaden, da dadurch nur der Klartextblock $P 1$ beschädigt wird.

Dennoch ist der CBC-Modus viel sicherer als der ECB-Modus, vor allem wenn man keine zufälligen Texte hat. Unsere Sprache und andere Dateien, wie z. B. Video-Dateien, sind keinesfalls zufällig, weswegen der ECB-Mode im Gegensatz zum CBC-Mode Gefahren birgt.

[Bearbeiten] Integritätssicherung mit CBC

CBC kann auch zur Integritätssicherung benutzt werden, indem der letzte mit CBC verschlüsselte Block als MAC (dem sogenannten CBC-MAC oder CBC-Restwert) an die ursprüngliche unverschlüsselte Nachricht angehängt und diese samt diesem MAC versandt wird. Der Empfänger kann mit Hilfe des CBC-Algorithmus den CBC-MAC der empfangenen Nachricht berechnen und nun vergleichen, ob der gerade selbst berechnete Wert mit dem an der Nachricht angehängten übereinstimmt.

Siehe auch: Blockchiffre