Kryptologie CFB = Cipher Feedback

a7Hzq .#5r< kÜ\as TâÆK$ ûj(Ö2 ñw%h: Úk{4R f~`z8 ¤˜Æ+Ô „&¢Dø

Beschreibung

In der einfachsten Version:

Verschlüsselung:

c_i := a_i * f(c_i-1)     für i = 1, ..., n
    = a_i * f(a_i-1 * f(... a₁ * f(c₀)...)).

Auch hier hängt jeder Geheimtextblock von allen vorhergehenden Klartextblöcken ab.

Entschlüsselung:

a_i = c_i * f(c_i-1)^-1     für i = 1, ..., n.

Eigenschaften

• Der Startwert taugt auch hier nicht als zusätzlicher Schlüssel.
  
  
• Ein Angriff mit bekanntem Klartext wird auch durch diese Betriebsart nicht erschwert.
  
  
• Bemerkenswert ist, dass man auch zum Entschlüsseln nur f braucht, nicht etwa f^-1. Im Vorgriff sei hier schon vermerkt:
  
  
  • Der CFB-Modus ist für asymmetrische Chiffren ungeeignet.
  • Er kann aber mit einer echten (natürlich schlüsselabhängigen) Einweg- oder Hash-Funktion verwendet werden.
  
  
• Der CFB reduziert sich im Falle der identischen Abbildung f = 1_S ebenfalls auf das Geheimtext-Autokey-Verfahren.
  
  
• [David Wagner] ECB ° CFB = CBC:

Dazu setzt man c₀ als Startwert für CFB und c₀' := f(c₀) als Startwert für CBC. Dann ist

• c₁ = CFB(a₁) = a₁ * f(c₀),    c₁' = ECB(c₁) = f(a₁ * f(c₀)) = f(a₁ * c₀') = CBC(a₁),
• c₂ = CFB(a₂) = a₂ * f(c₁),    c₂' = ECB(c₂) = f(a₂ * f(c₁)) = f(a₂ * c₁') = CBC(a₂),
• usw.

Die normierte Version

... verwendet ein Schieberegister und ist daher nur im Falle S = F₂^s definiert. Hier ist 1 £ t £ s, und verschlüsselt werden Blöcke m_i Î F₂^t der Länge t:

Die q_i sind dabei stets Bitblöcke der Länge s-t.

Die allgemeinere Version ist weniger sicher als die mit t = s und wird daher kaum verwendet.

E-Mail an Pommerening@imsd.uni-mainz.de.