https://wiki-de.moshellshocker.dns64.de/index.php?action=history&feed=atom&title=Cipher_Block_Chaining_ModeCipher Block Chaining Mode - Versionsgeschichte2026-05-16T04:37:39ZVersionsgeschichte dieser Seite in Wikipedia (Deutsch) – Lokale KopieMediaWiki 1.43.8https://wiki-de.moshellshocker.dns64.de/index.php?title=Cipher_Block_Chaining_Mode&diff=203010&oldid=previmported>Mhmhmh: Korrektur: „homorph“ -> „homomorph“, siehe https://de.wikipedia.org/wiki/Homomorphismus2025-11-23T06:26:33Z<p>Korrektur: „homorph“ -> „homomorph“, siehe https://de.wikipedia.org/wiki/Homomorphismus</p>
<p><b>Neue Seite</b></p><div>'''Cipher Block Chaining Mode''' ('''CBC Mode''') ist eine [[Betriebsmodus (Kryptographie)|Betriebsart]], in der [[Blockchiffre]]n betrieben werden können. Vor dem Verschlüsseln eines [[Klartext (Kryptographie)|Klartextblocks]] wird dieser zunächst mit dem im vorhergehenden Schritt erzeugten [[Geheimtext]]block per [[XOR]] (exklusives Oder) verknüpft. Der Modus wurde 1976 von William F. Ehrsam, Carl H. W. Meyer, John L. Smith und Walter L. Tuchman veröffentlicht.<ref>William F. Ehrsam, Carl H. W. Meyer, John L. Smith, Walter L. Tuchman, "Message verification and transmission error detection by block chaining", US-Patent 4074066, 1976</ref><br />
<br />
== Allgemeines ==<br />
<br />
Die Struktur der Verschlüsselung im CBC-Modus ist in nachfolgender Abbildung dargestellt:<br />
<br />
[[Datei:CBC encryption.svg|CBC-Verschlüsselung]]<br />
<br />
Man kann dieses Diagramm auch mathematisch in Formeln ausdrücken, bezeichne dazu <math>E_K</math> die Verschlüsselungsfunktion mit dem Schlüssel <math>K</math>, sei <math>D_K</math> die zugehörige<br />
Entschlüsselungsfunktion. Bezeichne <math>P_i</math> den i-ten Klartextblock, <math>C_i</math> den i-ten Geheimtextblock und sei <math>IV</math> der Initialisierungsvektor; in der Regel wird <math>C_0 = IV</math> definiert. Außerdem bezeichne <math>\oplus</math> das logische XOR.<br />
Dann ist die Verschlüsselung im CBC-Modus wie folgt [[rekursiv]] definiert:<br />
<br />
<math><br />
\forall i \in \mathbb{N}^+ : C_i = E_K(P_i \oplus C_{i-1})<br />
</math><br />
<br />
Die Struktur der Entschlüsselung im CBC-Modus ist in nachfolgender Abbildung dargestellt:<br />
<br />
[[Datei:CBC decryption.svg|CBC Entschlüsselung]]<br />
<br />
Die zugehörige Entschlüsselung ist im CBC-Modus hingegen nicht rekursiv und lautet mit den gleichen Bezeichnungen wie oben:<br />
<br />
<math><br />
\forall i \in \mathbb{N}^+ : P_i = D_K(C_i) \oplus C_{i-1}<br />
</math><br />
<br />
Als [[Initialisierungsvektor]] (IV) benutzt man entweder einen [[Zeitstempel]] oder eine zufällige Zahlenfolge.<br />
Manche Anwendungen benutzen auch eine vorhersagbare, einfach aufsteigende Zahl, aber dies ist nicht sicher, weil fremde Personen unerwünscht einen [[Wasserzeichenangriff]] (''watermark attack'') auf solche Daten ausführen können.<br />
Das Modul [[dm-crypt]] benutzt zur Generierung des IV das [[ESSIV|ESS]]-Verfahren.<br />
<br />
Für die Sicherheit des [[Algorithmus]] ist es nicht notwendig, den [[Initialisierungsvektor]] geheim zu übertragen.<br />
<br />
Der CBC-Mode hat einige wichtige Vorteile:<br />
<br />
* Klartextmuster werden zerstört.<br />
* Identische Klartextblöcke ergeben unterschiedliche Geheimtexte.<br />
* Verschiedene Angriffe (Time-Memory-Tradeoff und Klartextangriffe) werden erschwert.<br />
* Eine Umsortierung von Chiffratblöcken führt zu fehlerhaften Klartextblöcken.<br />
Jedoch hat der CBC-Mode auch einige Nachteile:<br />
<br />
* Die Verschlüsselung ist nicht parallelisierbar, da <math>C_{i-1}</math> bekannt sein muss, aber sehr wohl die Entschlüsselung.<br />
* Bitfehler im Chiffrat multiplizieren sich beim Entschlüsseln im Klartext.<br />
* Das Chiffrat ist veränderbar und annähernd XOR-homomorph.<ref>{{Internetquelle |url=https://www.jakoblell.com/blog/2013/12/22/practical-malleability-attack-against-cbc-encrypted-luks-partitions/ |titel=Practical malleability attack against CBC-Encrypted LUKS partitions {{!}} Jakob Lell's Blog |sprache=en-US |abruf=2022-02-17}}</ref><br />
<br />
Da ein Geheimtextblock nur von dem vorherigen Block abhängt, verursacht ein beschädigter Geheimtextblock, wie beispielsweise ein Bitfehler bei der Datenübertragung, beim Entschlüsseln keinen allzu großen Schaden: Der Klartextblock <math>P_i</math> wird zerstört und im Klartextblock <math>P_{i+1}</math> wird das respektive Bit negiert. Dies ist unmittelbar aus der Definition der Entschlüsselung und obiger Abbildung ersichtlich, da ein beschädigter Geheimtextblock <math>C_i</math> nur die Klartextblöcke <math>P_i</math> und <math>P_{i+1}</math> beeinflusst und sich nicht unbeschränkt weiter verbreitet. Trotzdem kann diese beschränkte Vervielfachung nur eines einzigen Bitfehlers im [[Chiffrat]] bei CBC eine [[Vorwärtsfehlerkorrektur]] des Klartextes erschweren bzw. unmöglich machen. Genauso verursacht ein beschädigter Initialisierungsvektor beim Entschlüsseln keinen allzu großen Schaden, da dadurch nur der Klartextblock <math>P_1</math> beschädigt wird.<br />
<br />
Der CBC-Modus ist wesentlich sicherer als der [[Electronic Code Book Mode|ECB]]-Modus, vor allem wenn man ''keine'' zufälligen Texte hat. Unsere Sprache und andere Dateien, wie z.&nbsp;B. Video-Dateien, sind keinesfalls zufällig, weswegen der ECB-Mode gefährlich ist.<br />
<br />
== Beispiel ==<br />
<br />
;Klartext: 01 10<br />
;Aufgeteilt in Blöcke: 01 = <math>B_1</math>, 10 = <math>B_2</math><br />
;Schlüssel: 11=k<br />
;Init. Vektor (IV): 01<br />
<br />
Zur Vereinfachung wird als Verschlüsselungsfunktion <math>E</math> die [[Dualsystem#Grundrechenarten im Dualsystem|binäre Addition]] und als Entschlüsselungsfunktion <math>D</math> die binäre Subtraktion verwendet.<br />
<br />
=== Verschlüsselung ===<br />
Block 1:<br />
* <math>B_1\oplus IV = 01 \oplus 01 = 00 = C_{1}'</math><br />
* <math>E_k(C_1') = C_{1}'+k = 00 + 11 = 11 = C_1</math><br />
Block 2:<br />
* <math>B_2\oplus C_1 = 10 \oplus 11 = 01 = C_{2}'</math><br />
* <math>E_k(C_2') = C_{2}'+k = 01 + 11 = 00 = C_2</math><br />
Verschlüsselter Text:<br />
* <math>C_1 C_2 = 11 00</math><br />
<br />
Betrachtet man die Verschlüsselung von <math>B_2</math>, sieht man, dass dazu <math>C_1</math> benötigt wird. Generell bedeutet das, dass für eine Verschlüsselung von <math>B_i</math> der Chiffratblock <math>C_{i-1}</math> benötigt wird. Eine Parallelisierung des Verschlüsselungsvorgangs fällt damit aus.<br />
<br />
=== Entschlüsselung ===<br />
Block 1:<br />
* <math>D_k(C_1) = C_1 - k = 11 - 11 = 00 = C_{1}'</math><br />
* <math>C_{1}'\oplus IV = 00 \oplus 01 = 01 = B_1</math><br />
Block 2:<br />
* <math>D_k(C_2) = C_2 - k = 00 - 11 = 01 = C_{2}'</math><br />
* <math>C_{2}'\oplus C1 = 01\oplus 11 = 10 = B_2</math><br />
Klartext:<br />
* <math>B_1 B_2 = 01 10</math><br />
<br />
Betrachtet man die Entschlüsselung von <math>C_2</math>, sieht man, dass <math>B_1</math> dafür nicht benötigt wird, sondern lediglich <math>C_1</math>. Generell bedeutet das, dass für eine Entschlüsselung von <math>C_i</math> nur <math>C_{i-1}</math> benötigt wird. Damit ist eine Parallelisierung des Entschlüsselungsvorgangs möglich.<br />
<br />
== Integritätssicherung mit CBC, CBC-MAC ==<br />
<br />
[[Datei:CBC-MAC structure (en).svg|mini|300px|Struktur zur CBC-MAC-Berechnung]]<br />
<br />
CBC kann auch zur Integritätssicherung benutzt werden, indem der Initialisierungsvektor auf null gesetzt und der letzte mit CBC verschlüsselte Block als [[Message Authentication Code|MAC]] (dem sogenannten CBC-MAC oder CBC-Restwert) an die ursprüngliche unverschlüsselte Nachricht angehängt und diese samt diesem MAC versandt wird.<ref name="BKR" /> Der Empfänger kann mithilfe des CBC-Algorithmus den CBC-MAC der empfangenen Nachricht berechnen und nun vergleichen, ob der gerade selbst berechnete Wert mit dem an der Nachricht angehängten übereinstimmt. Falls eine mit CBC verschlüsselte Nachricht mit einem CBC-MAC gesichert werden soll, darf für die Generierung des CBC-MAC nicht derselbe Schlüssel verwendet werden wie für die Verschlüsselung. Würde derselbe Schlüssel verwendet, so wäre der MAC-Block gleich dem letzten Chiffratblock und ein Angreifer könnte unentdeckt die gesamte Nachricht mit Ausnahme des letzten Blocks verändern.<br />
<br />
CBC-MAC ist nur für Nachrichten fester Länge sicher. Variiert die Nachrichtenlänge, kann das Verfahren durch ''Length-Extension'' angegriffen werden. Ein Angreifer kann aus zwei gültigen Nachricht-MAC-Paaren einen gültigen MAC für eine neue Nachricht (die Konkatenation der beiden Nachrichten) erzeugen. Zwei Modifikationen können diesen Angriff verhindern: Jeder Nachricht kann die Nachrichtenlänge vorangestellt werden oder der MAC-Block wird zusätzlich mit einem zweiten Schlüssel verschlüsselt.<br />
<br />
== Literatur ==<br />
* {{Literatur<br />
|Autor=Reinhard Wobst<br />
|Titel=Abenteuer Kryptologie. Methoden, Risiken und Nutzen der Datenverschlüsselung.<br />
|Auflage=2., überarbeitete Auflage<br />
|Verlag=Addison-Wesley Longman<br />
|Ort=Bonn u. a.<br />
|Datum=1998<br />
|ISBN=3-8273-1413-5}}<br />
<br />
== Einzelnachweise ==<br />
<references><br />
<ref name="BKR"><br />
{{Literatur<br />
|Autor=[[Mihir Bellare]], Joe Kiliany, Phillip Rogaway<br />
|Titel=The Security of the Cipher Block Chaining Message Authentication Code<br />
|Sammelwerk=Journal of Computer and System Science<br />
|Band=61<br />
|Nummer=3<br />
|Datum=2000<br />
|Seiten=362–399<br />
|Online={{Webarchiv |url=http://www.cs.ucdavis.edu/research/tech-reports/1997/CSE-97-15.pdf |text=cs.ucdavis.edu |wayback=20120205061813}}<br />
|Format=PDF<br />
|KBytes=466<br />
}}<br />
</ref><br />
</references><br />
<br />
{{Navigationsleiste Blockchiffremodi}}<br />
<br />
[[Kategorie:Symmetrisches Kryptosystem]]</div>imported>Mhmhmh