[JoGu]

Kryptologie

Varianten des CBC
a7Hzq .#5r<
kÜ\as TâÆK$
ûj(Ö2 ñw%h:
Úk{4R f~`z8
¤˜Æ+Ô „&¢Dø

Klartext-Autokey

Ersetzt man beim CBC das Geheimtext-Autokey-Verfahren durch Klartext-Autokey, so erhält man folgendes Schema:

[PBC]

welches man PBC = Plaintext Block Chaining nennen könnte.

Die Verschlüsselung folgt nach Wahl eines Startwertes a0 der Formel

ci := f(ai*ai-1)     für i = 1, ..., n.

Die Formel für die Entschlüsselung heißt:

ai = f-1(ci) * ai-1-1     für i = 1, ..., n.

Dieses Verfahren ist allerdings völlig unüblich, und über seine Sicherheit ist anscheinend nichts bekannt.

PCBC = error-Propagating CBC

Dieses Verfahren ist ein Mix aus CBC und PBC und folgt dem Schema

[PBC]

Formel für die Verschlüsselung:

ci := f(ai*ai-1*ci-1)     für i = 1, ..., n,
wobei a0 als das neutrale Element der Gruppe S gewählt wird - für die Bitblock-Chiffrierung also als Nullblock.

Formel für die Entschlüsselung:

ai = f-1(ci) * ci-1-1 * ai-1-1     für i = 1, ..., n.

Dieses Verfahren wurde bei älteren Versionen von Kerberos verwendet, wegen gewisser Schwächen inzwischen jedoch aufgegeben.

Verallgemeinerung

[nach MEYER/MATYAS]

ci := f(ai * h(ai-1,ci-1))     für i = 1, ..., n,
wobei im Falle S = F2n z. B. für h die Addition modulo 2n vorgeschlagen wird.

BCM = Block Chaining Mode

Schema:

[PBC]

Formel für die Verschlüsselung:

di = c0 * ... * ci-1,
ci := f(ai*di)     für i = 1, ..., n,

Eine Anwendung des CBC

Der CBC-MAC (= Message Authentication Code) ist eine schlüsselabhängige Hash-Funktion, die zur Integritätsprüfung von Nachrichten verwendet wird. Sie ist in ISO/IEC 9797 normiert und mit dem DES-Verfahren im Bankenbereich verbreitet.

Sender und Empfänger einer Nachricht - die auch identisch sein können, wenn es sich um Nachrichtenspeicherung handelt - haben den Schlüssel k gemeinsam.

Der MAC eines Textes a = (a1,...,an) ist der letzte Geheimtextblock, wenn a nach dem CBC verschlüsselt wird, also

MAC(a) = cn = f(an * f(an-1 * ... f(a1*c0)...)).

Wird MAC(a) zusammen mit a verschickt, kann der Empfänger die Echtheit von Absender und Inhalt prüfen, denn nur wer den Schlüssel hat, kann diesen Wert richtig berechnen.

Der Nachteil des geteilten Geheimnisses k ist allerdings, dass in einem Rechtsstreit zwischen den beiden Parteien jeder dem anderen eine Fälschung unterstellen kann.

Autor: Klaus Pommerening, 8. April 2000; letzte Änderung: 18. November 2002.

E-Mail an Pommerening@imsd.uni-mainz.de.