Cipher Block Chaining Mode

Cipher Block Chaining Mode (CBC) ist eine Betriebsart, in der Blockchiffren betrieben werden können. Vor dem Verschlüsseln eines Klartextblocks wird dieser zunächst mit dem im vorhergehenden Schritt erzeugten Geheimtextblock per XOR (exklusives Oder) verknüpft.

Die Struktur der Verschlüsselung im CBC-Modus ist in nachfolgender Abbildung dargestellt:

Man kann dieses Diagramm auch mathematisch in Formeln ausdrücken, bezeichne dazu ${\displaystyle E_{K}}$ die Verschlüsselungsfunktion mit dem Schlüssel ${\displaystyle K}$, sei ${\displaystyle D_{K}}$ die zugehörige Entschlüsselungsfunktion. Bezeichne ${\displaystyle P_{i}}$ den i-ten Klartextblock, ${\displaystyle C_{i}}$ den i-ten Geheimtextblock und sei ${\displaystyle IV}$ der Initialisierungsvektor; in der Regel wird ${\displaystyle C_{0}=IV}$ definiert. Außerdem bezeichne ${\displaystyle \oplus }$ das logische XOR. Dann ist die Verschlüsselung im CBC-Modus wie folgt rekursiv definiert:

${\displaystyle \forall i\in \mathbb {N} ^{+}:C_{i}=E_{K}(P_{i}\oplus C_{i-1})}$

Die Struktur der Entschlüsselung im CBC-Modus ist in nachfolgender Abbildung dargestellt:

Die zugehörige Entschlüsselung ist im CBC-Modus hingegen nicht rekursiv und lautet mit den gleichen Bezeichnungen wie oben:

${\displaystyle \forall i\in \mathbb {N} ^{+}:P_{i}=D_{K}(C_{i})\oplus C_{i-1}}$

Als Initialisierungsvektor (IV) benutzt man entweder einen Zeitstempel oder eine zufällige Zahlenfolge. Manche Anwendungen benutzen auch eine vorhersagbare, einfach aufsteigende Zahl, aber dies ist nicht sicher, weil fremde Personen unerwünscht einen Wasserzeichenangriff (watermark attack) auf solche Daten ausführen können. Das Modul dm-crypt benutzt zur Generierung des IV das ESS-Verfahren.

Für die Sicherheit des Algorithmus ist es nicht notwendig, den Initialisierungsvektor geheim zu Übertragen.

Der CBC-Mode hat einige wichtige Vorteile:

• Klartextmuster werden zerstört.
• Identische Klartextblöcke ergeben unterschiedliche Geheimtexte.
• Verschiedene Angriffe (Time-Memory-Tradeoff und Klartextangriffe) werden erschwert.

Da ein Geheimtextblock nur von dem vorherigen Block abhängt, verursacht ein beschädigter Geheimtextblock, wie beispielsweise ein Bitfehler bei der Datenübertragung, beim Entschlüsseln keinen allzugroßen Schaden, denn es werden nur der betroffene Klartextblock und der darauffolgende Klartextblock falsch dechiffriert. Dies ist unmittelbar aus der Definition der Entschlüsselung und obiger Abbildung ersichtlich, da ein beschädigter Geheimtextblock ${\displaystyle C_{i}}$ nur die Klartextblöcke ${\displaystyle P_{i}}$ und ${\displaystyle P_{i+1}}$ beeinflusst und sich nicht unbeschränkt weiter verbreitet. Trotzdem kann diese beschränkte Vervielfachung nur eines einzigen Bitfehlers im Chiffrat bei CBC eine Vorwärtsfehlerkorrektur des Klartextes erschweren bzw. unmöglich machen. Genauso verursacht ein beschädigter Initialisierungsvektor beim Entschlüsseln keinen allzugroßen Schaden, da dadurch nur der Klartextblock ${\displaystyle P_{1}}$ beschädigt wird.

Der CBC-Modus ist wesentlich sicherer als der ECB-Modus, vor allem wenn man keine zufälligen Texte hat. Unsere Sprache und andere Dateien, wie z. B. Video-Dateien, sind keinesfalls zufällig, weswegen der ECB-Mode Gefahren birgt.

Klartext

01 10

Aufgeteilt in Blöcke

01 = ${\displaystyle B_{1}}$, 10 = ${\displaystyle B_{2}}$

Schlüssel

11=k

Init. Vektor (IV)

01

Zur Vereinfachung wird als Verschlüsselungsfunktion ${\displaystyle E}$ die binäre Addition und als Entschlüsselungsfunktion ${\displaystyle D}$ die binäre Subtraktion verwendet.

Block 1:

• ${\displaystyle B_{1}\oplus IV=01\oplus 01=00=C_{1}'}$
• ${\displaystyle E_{k}(C_{1}')=C_{1}'+k=00+11=11=C_{1}}$

Block 2:

• ${\displaystyle B_{2}\oplus C_{1}=10\oplus 11=01=C_{2}'}$
• ${\displaystyle E_{k}(C_{2}')=C_{2}'+k=01+11=00=C_{2}}$

Verschlüsselter Text:

• ${\displaystyle C_{1}C_{2}=1100}$

Betrachtet man die Verschlüsselung von ${\displaystyle B_{2}}$, sieht man, dass dazu ${\displaystyle C_{1}}$ benötigt wird. Generell bedeutet das, dass für eine Verschlüsselung von ${\displaystyle B_{i}}$ der Chiffratblock ${\displaystyle C_{i-1}}$ benötigt wird. Eine Parallelisierung des Verschlüsselungsvorgangs fällt damit aus.

Block 1:

• ${\displaystyle D_{k}(C_{1})=C_{1}-k=11-11=00=C_{1}'}$
• ${\displaystyle C_{1}'\oplus IV=00\oplus 01=01=B_{1}}$

Block 2:

• ${\displaystyle D_{k}(C_{2})=C_{2}-k=00-11=01=C_{2}'}$
• ${\displaystyle C_{2}'\oplus C1=01\oplus 11=10=B_{2}}$

Klartext:

• ${\displaystyle B_{1}B_{2}=0110}$

Betrachtet man die Entschlüsselung von ${\displaystyle C_{2}}$, sieht man, dass ${\displaystyle B_{1}}$ dafür nicht benötigt wird, sondern lediglich ${\displaystyle C_{1}}$. Generell bedeutet das, dass für eine Entschlüsselung von ${\displaystyle C_{i}}$ nur ${\displaystyle C_{i-1}}$ benötigt wird. Damit ist eine Parallelisierung des Entschlüsselungsvorgangs möglich.

CBC kann auch zur Integritätssicherung benutzt werden, indem der letzte mit CBC verschlüsselte Block als MAC (dem sogenannten CBC-MAC oder CBC-Restwert) an die ursprüngliche unverschlüsselte Nachricht angehängt und diese samt diesem MAC versandt wird.^[1] Der Empfänger kann mit Hilfe des CBC-Algorithmus den CBC-MAC der empfangenen Nachricht berechnen und nun vergleichen, ob der gerade selbst berechnete Wert mit dem an der Nachricht angehängten übereinstimmt. Falls eine mit CBC verschlüsselte Nachricht mit einem CBC-MAC gesichert werden soll, darf für die Generierung des CBC-MAC nicht derselbe Schlüssel verwendet werden wie für die Verschlüsselung. Würde derselbe Schlüssel verwendet, so wäre der MAC-Block gleich dem letzten Chiffratblock und ein Angreifer könnte unentdeckt die gesamte Nachricht mit Ausnahme des letzten Blocks verändern.

1. ↑ Mihir Bellare, Joe Kiliany, Phillip Rogaway: The Security of the Cipher Block Chaining Message Authentication Code. In: Journal of Computer and System Science. Band 61, Nr. 3. Elsevier, 2000, S. 362–399 (ucdavis.edu [PDF]). 

• Reinhard Wobst: Abenteuer Kryptologie. ISBN 3-8273-1413-5.