Output Feedback Modus

Der Output Feedback Modus (OFB Mode) ist eine Betriebsart für Blockverschlüsselungen, um eine (synchrone) Stromchiffre zu bilden. In diesem Modus wird die Ausgabe der Blockchiffre mit dem Klartext bitweise per XOR verknüpft, um daraus den Geheimtext zu bilden. Dieses Verfahren ergibt eine Stromchiffre. Die Ausgabe der Blockchiffre wird wieder ihrem Eingang zugeführt, so dass ein kontinuierlicher Strom an chiffrierten Blöcken entsteht. Für die Verknüpfung mit dem Klartext werden nur so viele Bits wie nötig verwendet. Dies muss nicht einer vollen Blocklänge entsprechen. Der Bitstrom ist pseudozufällig, weil er von der Blockchiffre, dem Schlüssel und dem Initialisierungsvektor abhängig ist. Deshalb bezeichnet man dieses System auch als Pseudo-One-Time-Pad. Der Initialisierungsvektor ist als Startwert zu sehen und vom Schlüssel unabhängig.

OFB hat den Vorteil, dass sich bei der Entschlüsselung Übertragungsfehler im Chiffrat nur auf die entsprechende Bitstelle im entschlüsselten Klartext auswirken und sich der Fehler nicht im Klartext fortpflanzt. Bei anderen Betriebsmodi führt nur ein Bitfehler im Chiffrat zu mindestens einem komplett zerstörten Klartextdatenblock. Dies erschwert bzw. macht eine Vorwärtsfehlerkorrektur unmöglich. Andererseits kann es ausgenutzt werden, dass die verursachten Bitfehler im Klartext vorhersagbar sind, um Nachrichten unbemerkt zu verfälschen.

Für OFB ist keine separate Entschlüsselungsfunktion notwendig, denn Ver- und Entschlüsselung sind identisch. Ein Nachteil von OFB ist die aufwendige Synchronisation der Blockchiffren zwischen Sender und Empfänger, da OFB im Gegensatz zu Cipher Feedback Mode (CFB) grundsätzlich nicht selbstsynchronisierend ist.

Wenn mehrere Nachrichten mit dem gleichen Schlüssel verschlüsselt werden, muss für jede Nachricht ein anderer Initialisierungsvektor verwendet werden, da ansonsten der gleiche Schlüsselstrom erzeugt wird. In diesem Fall ist das Verfahren gegen einen einfachen Angriff anfällig, bei dem zwei Chiffrate XOR-verknüpft werden. Dadurch löschen sich die zur Verschlüsselung verwendeten (gleichen) Schlüsselströme aus, und als Ergebnis bleibt das XOR der beiden Klartexte, aus dem die Klartexte leicht ermittelt werden können.

Quellen, Literaturverweise und weiterführende Links

Beutelspacher, Neumann und Schwarzpaul: Kryptografie in Theorie und Praxis, Vieweg Verlag 2005, S. 102
Fumy, Walter und Rieß, Hans Peter: Kryptographie: Entwurf, Einsatz und Analyse..., Oldenbourg Verlag 1988, S. 256
Schmeh, Klaus: Kryptografie: Verfahren - Protokolle - Infrastrukturen, dpunkt Verlag, 5. Auflage 2013, iX-Edition, S. 370
Wobst, Reinhard: Abenteuer Kryptologie, Addison-Wesley-Verlag 2001, S. 188