Betriebsmodi bei Blockchiffren

Betriebsmodi - Übersicht

Modus	Beschreibung	Typische Anwendung
Electronic Codebook (ECB)	Jeder Block von Klartextbits wird unabhängig voneinander mit demselben Schlüssel verschlüsselt.	Sichere Übertragung einzelner Werte (z. B. eines Verschlüsselungsschlüssels)
Cipher Block Chaining (CBC)	Die Eingabe für den Verschlüsselungsalgorithmus ist die XOR-Verknüpfung des nächsten Klartextblocks mit dem vorangegangenen Chiffretextblock.	Universelle blockorientierte Übertragung Authentifizierung
Cipher Feedback (CFB)	Die Eingabe wird Bit für Bit verarbeitet. Der vorhergehende Chiffretext wird als Eingabe für den Verschlüsselungsalgorithmus verwendet, um eine pseudozufällige Ausgabe zu erzeugen, die mit dem Klartext XOR-verknüpft wird, um die nächste Einheit des Chiffretextes zu erzeugen.	Allgemeine stromorientierte Übertragung Authentifizierung
Output Feedback (OFB)	Ähnlich wie CFB, mit dem Unterschied, dass die Eingabe für den Verschlüsselungsalgorithmus die vorangegangene Verschlüsselungsausgabe ist, und volle Blöcke verwendet werden.	Stromorientierte Übertragung über verrauschte Kanäle (z. B. Satellitenkommunikation)
Counter (CTR)	Jeder Klartextblock wird mit einem verschlüsselten Zähler XOR-verknüpft. Der Zähler wird für jeden nachfolgenden Block erhöht.	Blockorientierte Übertragung für allgemeine Zwecke Nützlich für Hochgeschwindigkeitsanforderungen

Grundlegende Blockchiffren

Electronic Codebook

Autor: https://commons.wikimedia.org/wiki/User:WhiteTimberwolf

Probleme bei der Verwendung der Verschlüsselung im ECB-Modus

ECB-Tux - der Linux-Pinguin verschlüsselt im ECB-Modus:

Quelle: https://github.com/robertdavidgraham/ecb-penguin

opensource-drawings/tux.ecb.from_robert_david_graham.png

Kriterien und Eigenschaften für die Bewertung und Konstruktion von Blockchiffre-Betriebsarten, die ECB überlegen sind.

Overhead
Fehlerbehebung
Fehlerfortpflanzung
Streuung
Sicherheit

Cipher Block Chaining

Autor: https://commons.wikimedia.org/wiki/User:WhiteTimberwolf

Blockchiffren, die als Stromchiffren verwendet werden können.

Konvertierung von Blockchiffren in Stromchiffre

Bei AES, DES oder jeder anderen Blockchiffre erfolgt die Verschlüsselung immer Block-für-Block mit Blockgrößen von b Bits:

Im Fall von (3)DES: \(b=64\)
Im Fall von AES: \(b=128\)

Cipher Feedback Mode

Autor: https://commons.wikimedia.org/wiki/User:WhiteTimberwolf

Cipher Feedback Mode als Stromchiffre

Output Feedback Mode

Autor: https://commons.wikimedia.org/wiki/User:WhiteTimberwolf

Counter Mode

Autor: https://commons.wikimedia.org/wiki/User:WhiteTimberwolf

Counter Mode - Vorteile

Hardware-Effizienz:: kann von der Parallelisierung der Hardware profitieren
Software-Effizienz:: leicht parallelisierbar in Software
Vorverarbeitung:: die Verschlüsselung der Zähler
Zufälliger Zugriff:: der i-te Block des Klartextes/des Chiffretextes kann im Zufallszugriff verarbeitet werden
Nachweisbare Sicherheit:: genauso sicher wie die anderen Verfahren
Einfachheit:: es wird nur der Verschlüsselungsalgorithmus benötigt

Rückkopplungseigenschaften[1] der Betriebsmodi

drawings/operationsmodi/feedback_characteristics.svg

Spezielle Betriebsmodi

XTS-AES Modus für blockorientierte Speichergeräte

2010 vom NIST als zusätzlicher Blockchiffre-Betriebsmodus genehmigt.

Modus ist auch ein IEEE-Standard, IEEE Std 1619-2007

Die Norm beschreibt eine Verschlüsselungsmethode für Daten, die in sektorbasierten Geräten gespeichert sind, wobei das Bedrohungsmodell einen möglichen Zugriff des Gegners auf die gespeicherten Daten beinhaltet.
Hat breite Unterstützung der Industrie erhalten.

Tweakable Blockchiffren - Bestandteile

Der XTS-AES-Modus basiert auf dem Konzept einer veränderbaren (tweakable) Blockchiffre.
Allgemeine Struktur:

Um Chiffriertextes a zu berechnen, wird benötigt:
- Klartext
- Symmetrischer Schlüssel
- Tweak
Der Tweak muss nicht geheim gehalten werden; der Zweck ist, Variabilität zu bieten.

Tweakable Blockchiffren - grundlegende Struktur

drawings/operationsmodi/tweakable_block_cipher.svg

Anforderungen an die Speicherverschlüsselung

Die Anforderungen an die Verschlüsselung gespeicherter Daten, die auch als data at rest bezeichnet werden, unterscheiden sich von denen für übertragene Daten.

Die Norm P1619 wurde in Hinblick auf folgende Eigenschaften entwickelt:

Der Chiffretext ist für einen Angreifer frei verfügbar.
Das Datenlayout wird auf dem Speichermedium und beim Transport nicht verändert.
Der Zugriff auf die Daten erfolgt in Blöcken fester Größe und unabhängig voneinander.
Die Verschlüsselung erfolgt in 16-Byte-Blöcken, die unabhängig voneinander sind.
Es werden keine weiteren Metadaten verwendet, außer der Position der Datenblöcke innerhalb des gesamten Datensatzes.
Derselbe Klartext wird an verschiedenen Stellen in verschiedene Chiffretexte verschlüsselt, aber immer in denselben Chiffretext, wenn er wieder an dieselbe Stelle geschrieben wird.
Ein standardkonformes Gerät kann für die Entschlüsselung von Daten konstruiert werden, die von einem anderen standardkonformen Gerät verschlüsselt wurden.

XTS-AES Operation auf einem Block

Schlüssel: es gilt: \(Schlüssel = Schlüssel_1\, ||\, Schlüssel_2\)
\(P_j\): Der j-te Block des Klartexts. Alle Blöcke haben eine Länge von 128 bits. Eine Klartextdateneinheit – in der Regel ein Festplattensektor – besteht aus einer Folge von Klartextblöcken.
\(C_j\): Der j-te Block des Chiffretextes.
\(j\): Die fortlaufende Nummer des 128-Bit-Blocks innerhalb der Dateneinheit.

\(i\): Der Wert des 128-Bit-Tweaks.
\(\alpha\): Ein primitives Element des \(GF(2^{128})\) welches dem Polynom \(x\) (d. h. 0000...0010) entspricht.
\(\alpha^j\): \(\alpha\) \(j\) mal mit sich selbst multipliziert im Körper \(GF(2^{128})\)
\(\oplus\) Bitwise XOR
\(\otimes\) Modulare Multiplikation mit Binärkoeffizienten modulo \(x^{128}+x^7+x^2+x+1\).

Übung

Warum ist es bei CBC wichtig, den Initialisierungsvektor (IV) zu schützen?

MTAwMDAw:DFYVS1M4ktwUjkDARaSluX7v3u0w8Fy15ZTJZ+2i9aM=:RvoQxZXgY/FvL6QQ:CTlnOUmJX2BaLaYUuRUOG91se97nrO5ob3GFQbKdhlLze2gGyWCntEkfdxTH5V2SlMvbTZ1g4KRPvt/I6F1yw16QMkg7Nuwp2s4PlkCb4ktK4unaYsqB+OWAiXwAmgLmnMSWRUMD0tmQVMKFGsSule3FsryefaDFLdeJR+a4pQAeJ6lga00EZUGiZrrMr46bxiH/A1AZoen8HBl6Ms1lPelyK4vSny7sjdTNRt5VpUbNtYv2ow==
In welchen Betriebsarten ist eine Auffüllung (Padding) notwendig?

MTAwMDAw:ySRn50ZfrVlVaULlZVakviNwqByA7ByHHqNQKJumEkg=:P0ovL5q79YjTmfz9:tVI1up6pWCt5NKmibW+WUt5Be/rX10ImFiGdSAvPF9C55lMIPyhfvC5ELrifv5kYDU6vqlerJAh3fikFenSn5JDseQP0An4OuJKzPpRlU/rCIpm+C7Mh5KDZsnx68SmHo2GxuLDxmXni6ZBSutfyR+k=
Was geschieht im Falle eines Übertragungsfehlers (einzelner Bitflip im Chiffretext) bei ECB, CBC, CFB, OFB, CTR?

MTAwMDAw:GLOMcz0V3Ngo9L4P99w/q71XbKsQx35cFK1WxuynF60=:c0tl/XjHOB+HlZOg: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
Warum muss der IV im Falle von OFB eine Nonce (Number used ONCE) sein (d. h. eine Zahl, die nur einmal für die Ausführung des Verschlüsselungsalgorithmus verwendet wird)?

MTAwMDAw:2tFMOmu4W5+D1JKobFu4HzlHxdnA7lzw8uQKgLnf3oc=:xntTl68JaJQC2ax/:62GZx7lhUhL0l9d0mUYdchkbPR2pQDHD2slAQUNhKE5FmrjxDBHmuHMewXFzfmEPIQzb64xBooCy18nyyuAbrPhfR1MfUm3EYb46k9zBLMsdIoiBS9KO1M6WHLAb4r9ScM0LU2YB7aKscrZH8seYCzNG8ySMZaejQzG4x/ecf3TZCa/ObDCZaXIzmu0uLscqeC9sn0K7MOUSeEcX0sgodRmAa8gpuYAjxvLKRJDdIL4W8MnDteOLvzFBp7Nsgfi2pSoSpPv27lks8pMgEkx/kD3lWSH7XHYLl1REvXrQi6+bN4EFNzBNj94OVAWyJp8z5LJHgPd5GQ852gtNrMvapoTzOzb4kyEb1l/wfidD1Jj7Cp3318frazdj+qKR2HPl6QFQ97Hkhnqah4lepIgjZEySrA==
Sie möchten feststellen, ob ein Programm zur Verschlüsselung von Dateien den ECB-Modus verwendet. Was müssen Sie tun?

MTAwMDAw:rVF+EbzPAXUGLnrtiSKm3qFKicuKagewhPXYzGqJQqc=:ajA066l9aj9W3wRQ:rCABonCmDFdsMkTbzsIg6+JUTdSFJ5du6ueB2oQbT+kZW0Jk8WuNgdqRbBjvtu9i0JDAyvF9WF2LTNFcEer09g1Hauvo4zD/JDY4vuxN/9lSmWeM+pqxeGb9zTFOJS6Ga/JXOgjloCI1EeC5dxfCXmr5MRfTgx9Vnsu6Ky5gCt3DEHFvTk6VlzgkAZ96SjPc/f53N0+Z2ClHmGxQ7cCsi0tgs691H9rFaJ0wrFOHnaYvExhxqw5MufNkB/CbjUwUg83u+lWAXzNlUsCS2i9IBKskxpZ740cLCkNRZVSZPzA6Lk9nc8GfFV+mV1FQNT4EFufOIR5nJsDuuomeoDTHV3Xz2P+/Fm5vFkWoWSQrc8mOjfei3IRu

Übung

Verwenden Sie den OFB-Modus in Kombination mit einer Caesar-Chiffre. Die Blockgröße ist ein einzelnes Zeichen. Der Schlüssel ist die Anzahl der Zeichen, um die Sie ein Zeichen verschieben wollen - wie zuvor. Die IV ist ein Zeichen. Damit sie ein XOR durchführen können, ordnen wir jedem Zeichen einen Wert zu und erweitern das Alphabet um die Ziffern 1 bis 3, "!", "?" und das "_". Auf diese Weise ist es immer möglich, ein sinnvolles Zeichen auszugeben.

Daraus ergibt sich die folgende Kodierung:

Index	Zeichen	Binärdarstellung
0	A	00000
1	B	00001
2	C	00010
3	D	00011
4	E	00100
5	F	00101
6	G	00110
7	H	00111
8	I	01000
9	J	01001
10	K	01010

Index	Zeichen	Binärdarstellung
11	L	01011
12	M	01100
13	N	01101
14	O	01110
15	P	01111
16	Q	10000
17	R	10001
18	S	10010
19	T	10011
20	U	10100
21	V	10101

Index	Zeichen	Binärdarstellung
22	W	10110
23	X	10111
24	Y	11000
25	Z	11001
26	1	11010
27	2	11011
28	3	11100
29	!	11101
30	?	11110
31	_	11111

Verschlüsseln Sie nun einige Nachrichten mit dieser Chiffre. Welchen Effekt hat die Anwendung des OFB-Modus auf die Nachrichten?

MTAwMDAw:fnYxXEF4P9k3KUev7uA+thiYLIQ3dE1gnFWzLke76og=:i7cZGxVznooL33S7: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