Синхронные потоковые шифры чувствительны к вскрытию вставкой[93]. Пусть Мэллори записал поток шифротекста, но не знает ни открытого текста, ни потока ключей, использованного для шифрования открытого
текста.
Оригинальный открытый текст: pip! рЗ Pi Оригинальный поток ключей: U к! kj Id Оригинальный шифротекст: d с! сЗ ci
Мэллори вставляет один известный ему бит, w', в открытый текст после pi и затем пытается получить модифицированный открытый текст, шифрованный тем же потоком ключей . Он записывает получившийся новый шифротекст:
Новый открытый текст: pl p' pl pi pi Оригинальный поток: к. к! Ы ks к!, Обновленный шифротекст: cl c'z с'З c'i c'i
Так как он знает значение р', он может определить весь открытый текст после этого бита по оригинальному и новому шифротекстам:
к! = c'z s p', затем/)/ = с! s к! kj = с'З S pt, затем рЗ = сЗ S fc3 kt = с', S рЗ, затем p„ = cs S ks
Мэллори даже не нужно знать точное положение вставленного бита, он может просто сравнить оригинал ь-ный и обновленный шифротексты, чтобы обнаружить, где они начинают отличаться . Для предотвращения такого вскрытия никогда не используйте один поток ключей для шифрования двух различных сообщений .
9.8 Режим выходной обратной связи
Режим выходной обратной связи (Output-feedback, OFB) представляет собой метод использования блочного шифра в качестве синхронного потокового шифра. Этот режим похож на CFB за исключением того, что п битов предыдущего выходного блока сдвигаются в крайние правые позиции очереди (см. -2nd). Дешифрирование является обратным процессом. Такой режим называется и-битовым OFB. И при шифровании, и при дешифрировании блочный алгоритм работает в режиме шифрования. Это иногда называют внутренней обратной связью,потому что механизм обратной связи не зависит ни от потоков открытого текста, ни от потоков шифротекста [291]. Если размер блока алгоритма и, то и-битовый алгоритм OFB выглядит, как показано на :
С, = Р,© S,! S, = *1, - I,) P, = С, © Sh Si = Ek*Si, I)
s - состояние, независящее ни от открытого текста, ни от шифротекста . К числу положительных свойств OFB относится то, что большая часть работы может быть выполнена автономно, даже до того, как появится откр ы-тый текст сообщения. Когда наконец сообщение наконец появится, для получения шифротекста над сообщением и выходом алгоритма нужно будет выполнить операцию XOR.