Der OCB-Modus (Offset-Codebook-Modus) ist ein authentifizierter Verschlüsselungsmodus für kryptographische Blockchiffren. [1][2] Der OCB-Modus wurde von Phillip Rogaway entworfen, der Mihir Bellare, John Black und Ted Krovetz mit Unterstützung und Unterstützung zu Gute kommt Kommentare zu den Designs. Es basiert auf dem authentifizierten Verschlüsselungsmodus IAPM aufgrund von Charanjit S. Jutla.
Verschlüsselung und Authentifizierung [ edit ]
Der OCB-Modus wurde entwickelt, um sowohl die Nachrichtenauthentifizierung als auch den Datenschutz bereitzustellen. Es ist im Wesentlichen ein Schema zum Integrieren eines Message Authentication Code (MAC) in den Betrieb einer Blockverschlüsselung. Auf diese Weise kann im OCB-Modus nicht zwei Systeme verwendet werden: ein MAC für die Authentifizierung und eine Verschlüsselung für den Datenschutz. Dies führt zu niedrigeren Rechenkosten im Vergleich zur Verwendung separater Verschlüsselungs- und Authentifizierungsfunktionen.
Es gibt drei Versionen von OCB: OCB1, OCB2 und OCB3. OCB1 wurde 2001 veröffentlicht. OCB2 verbessert OCB1, indem zugehörige Daten in die Nachricht aufgenommen werden können (AEAD bereitgestellt wird), dh Daten, die nicht verschlüsselt sind, aber authentifiziert werden sollten, und eine neue Methode zum Generieren einer Folge von Offsets. OCB2 wurde erstmals 2003 mit dem Namen AEM (Authenticated-Encryption Mode oder Advanced Encryption Mode) veröffentlicht. OCB3, 2011 veröffentlicht, ändert die Berechnungsweise der Offsets erneut und führt zu geringfügigen Leistungsverbesserungen.
Der OCB-Modus wird im drahtlosen Sicherheitsstandard IEEE 802.11 als optionale Methode als Alternative zu CCM aufgeführt. OCB2 ist in ISO / IEC 19772: 2009 [3] und ein modifiziertes OCB3 in RFC 7253 standardisiert. [4] Der RFC kodiert die Tag-Länge in das intern formatierte Nonce.
Performance [ edit ]
Der Aufwand für die OCB-Performance ist im Vergleich zu klassischen, nicht authentifizierenden Modi wie CBC minimal. OCB erfordert eine Blockverschlüsselungsoperation pro Block verschlüsselter und authentifizierter Nachrichten und eine Blockverschlüsselungsoperation pro Block zugehöriger Daten. Am Ende des Prozesses ist außerdem eine zusätzliche Blockverschlüsselungsoperation erforderlich.
Zum Vergleich erfordert der CCM-Modus, der eine ähnliche Funktionalität bietet, doppelt so viele Blockverschlüsselungsoperationen pro Nachrichtenblock (zugeordnete Daten erfordern einen, wie in OCB).
Patente [ edit ]
Für den OCB-Modus wurden zwei US-Patente erteilt. [5] Es wurde jedoch eine besondere Ausnahme gewährt, sodass der OCB-Modus in einer Softwarelizenz verwendet werden kann unter der GNU General Public License ohne Kosten sowie für alle nicht kommerziellen, nichtstaatlichen Anwendungen. Da die Autoren nur in den USA einen Patentschutz beantragt haben, kann der Algorithmus in Software verwendet werden, die nicht in den USA entwickelt und nicht verkauft wird. [6]
Stand Januar 2013 hat der Autor dies gewährt eine freie Lizenz für jede Open Source-Lizenz, die von der Open Source-Initiative zertifiziert wurde. [7]
Angriffe [ edit ]
Niels Ferguson wies auf Kollisionsangriffe auf OCB hin, die die Datenmenge beschränken kann unter einem einzigen Schlüssel auf ungefähr 280 Terabyte sicher verarbeitet werden. [8] [9]
Im Oktober 2018 präsentierten Inoue und Minematsu einen existenziellen Fälschungsangriff auf OCB2, der dies erfordert nur eine einzige vorherige Verschlüsselungsabfrage und fast keine Rechenleistung oder Speicherung [10]. Der Angriff erstreckt sich nicht auf OCB1 oder OCB3 und erfordert, dass das zugehörige Datenfeld des gefälschten Chiffretextes leer ist. Pöttering [11] und Iwata [12] verbesserten den Fälschungsangriff nur wenige Tage später zu einem vollständigen Klartext-Wiederherstellungsangriff.
No comments:
Post a Comment