Режим обратной связи по выходу

Режим обратной связи по выходу (англ. Output Feedback, OFB) — один из вариантов использования симметричного блочного шифра. Особенностью режима является то, что в качестве входных данных для алгоритма блочного шифрования не используется само сообщение. Вместо этого блочный шифр используется для генерации псевдослучайного потока байтов, который с помощью операции XOR складывается с блоками открытого текста. Подобная схема шифрования называется потоковым шифром (англ. stream cipher).

Схема шифрования в режиме OFB определяется следующим образом:

${\displaystyle K_{o}=IV}$

${\displaystyle K_{i}=E(K,K_{i-1})}$  для  ${\displaystyle i=1,\dots ,n}$

${\displaystyle C_{i}=K_{i}\oplus P_{i}}$

Где ${\displaystyle IV}$ — вектор инициализации, ${\displaystyle K_{i}}$ — ключевой поток, ${\displaystyle K}$ — ключ шифрования, ${\displaystyle E}$ — функция шифрования блока, ${\displaystyle n}$ — количество блоков открытого текста в сообщении, ${\displaystyle C_{i}}$ и ${\displaystyle P_{i}}$ — блоки шифрованного и открытого текстов соответственно.

• Значение вектора инициализации должно быть уникальным для каждой процедуры шифрования одним ключом. Его необязательно сохранять в секрете и оно может быть передано вместе с шифротекстом.
• Алгоритм дешифрования в режиме OFB полностью совпадает с алгоритмом шифрования. Функция дешифрования блочного алгоритма не используется в данном режиме, т.к. ключевой поток генерируется только функцией шифрования блока.

Режим OFB наглядно демонстрирует одну из проблем потоковых шифров.^[1] При использовании одного и того же вектора инициализации для шифрования нескольких сообщений будет сгенерирован одинаковый поток ключей. Предположим, что ${\displaystyle P_{1}}$ и ${\displaystyle P_{2}}$ — два разных сообщения для шифрования ключом ${\displaystyle K}$. Зашифруем исходные сообщения в режиме OFB и получим два шифротекста — ${\displaystyle C_{1}}$ и ${\displaystyle C_{2}}$, соответственно. Таким образом, будет справедливо следующее тождество:

${\displaystyle C_{1}\oplus C_{2}=E(K,K_{i-1})\oplus P_{1}\oplus E(K,K_{i-1})\oplus P_{2}=P_{1}\oplus P_{2}}$

Следовательно, если потенциальному злоумышленнику известна хотя бы одна пара шифрованного и открытого текста, вычисление любых открытых текстов, зашифрованных таким же ключом и с идентичным вектором инициализации, становится тривиальной задачей.

• Появление коллизии в ключевом потоке (или совпадение вектора инициализации и одного из ключевых блоков) приведёт к циклическому повторению ключевой последовательности, что может вызвать нарушение безопасности режима шифрования, как показано в предыдущем пункте.
• Распространение ошибки в данном режиме не происходит. Изменение одного бита в шифрованном тексте приведет к изменению одного бита при дешифровании. Однако, потеря бита в шифротексте приведет к некорректному дешифрованию всех последующих битов.

• Шнайер Б. 9.8. Режим выходной обратной связи // Прикладная криптография. Протоколы, алгоритмы, исходные тексты на языке Си = Applied Cryptography. Protocols, Algorithms and Source Code in C. — М.: Триумф, 2002. — 816 с. — 3000 экз. — ISBN 5-89392-055-4.