ブロック芭规の网脱モ〖ド

誊肌 †

誊肌
离帕
网脱モ〖ド
- 网脱モ〖ドの奥链拉
ECBモ〖ド
CTRモ〖ド
- CTRモ〖ドに滦するアタック
- CTRモ〖ドの泼魔
CBCモ〖ド
- CBCモ〖ドに滦するアタック
- CBCモ〖ドの泼魔
CFBモ〖ド
OFBモ〖ド
称硷网脱モ〖ドの孺秤
徊雇矢弗

↑

离帕 †

　碰サイトにおける芭规に簇するペ〖ジでは、棱汤が颅りなかったり、疙った淡揭をしていたりするところがあります。海稿、警しずつ饯赖する徒年です。

　芭规妄侠の∝芭规祷窖のすべて≠が券卿されています。介看荚羹けの芭规塑です。これまで芭规塑に部刨か末里しつつも好擂してしまった数、池够の草玛で呛んでいる数、获呈活赋にて芭规の啼玛が鹅缄な数などにお传めです。

　督蹋がある数は离帕サイトを徊救してください。Amazonでも券卿面です。

↑

网脱モ〖ド †

　ブロック芭规の风爬はnビット笆惧蝗えないということである。网脱モ〖ドとはブロック墓nのブロック芭规Eを脱いて、nより墓い士矢M=(m1,∧,mt)を芭规步するための祷窖である。もう警し阜泰にいうと、墓さnの∈导击∷ランダム弥垂が涂えられたときに、墓さntの导击ランダム弥垂を侯るのが、网脱モ〖ドの誊弄である。

　ここで、|mi|によってmiの墓さ∈ビット墓∷を山すことにする。泼に们らない嘎り、|mi|=n∈ブロック墓がn∷とする。

↑

网脱モ〖ドの奥链拉 †

　网脱モ〖ドは奥链に墓い导击ランダム弥垂を侯るのが誊弄である。つまり、奥链な导击ランダム弥垂が侯れたら、その网脱モ〖ドは奥链といえる。

　メリットとデメリットのところで、浩栏苟封に煎いといったことも咐第しているが、簿に煎いとしても网脱モ〖ドの奥链拉には悸は簇犯がない。そもそも网脱モ〖ドとは浩栏苟封をするような墙瓢弄なアドバ〖サリ〖に滦する奥链のことを雇えて肋纷されていないのである。だから答塑弄に墙瓢弄アタックに煎いといえる。しかしながら、あらゆる苟封を雇えることは、アドバ〖サリ〖蔷を侯る繁锡としては痰绿ではない。そのため、あえて咐第している。

　また、奶慨におけるビット瓤啪やビット风禄などの疙り帕桥∈票袋はずれ∷についてを网脱モ〖ドの眷烫で卡れている豺棱今もある。牢はそういったことも网脱モ〖ドで的侠されていたが、附哼の芭规妄侠では疙り帕桥は网脱モ〖ドで的侠しないようになってきている。塑ペ〖ジで疙り帕桥に卡れているのは、蛔雇繁锡のためと蛔っておいてもらいたい。

↑

ECBモ〖ド †

　ECB∈Electronic CodeBook¨排灰射规山∷モ〖ドとは、肌の慌屯にしたがい称miを帽姐に芭规步する数及である。

[1]芭规步

　士矢M=(m1,∧,mt)に滦して、c1=Ek(m1),∧,ct=Ek(mt)を纷换して、芭规矢をC=(c1,∧,ct)とする。

[2]牲规

　芭规矢C=(c1,∧,ct)に滦して、m1=Dk(c1),∧,mt=Dk(ct)を纷换して、士矢をM=(m1,∧,mt)とする。

　なお、呵稿の士矢ブロックがブロック墓に塔たない眷圭には、パディングと钙ばれるデ〖タの低め湿を掐れる。

↑

ECBモ〖ドに滦するアタック †

↑

票じ士矢を芭规步すると票じ芭规矢になる †

　哭を斧てもらえればわかるように、mi=mjならci=cSUB{jとなる。つまり士矢ブロックと芭规矢ブロックが办滦办滦炳の簇犯にあるわけだ。これは奥链拉の的侠に木冯する。

　木囱弄にも奥链拉に啼玛があることがわかる。毋えば、士矢の面に票じ猛を积つ士矢ブロックが剩眶赂哼したとする。それらをブロック芭规のECBモ〖ドで芭规步しますと、票じ猛を积つ士矢ブロックは票じ猛の芭规矢ブロックに恃垂されてしまう。これでは芭规矢链挛を斧るだけで、士矢の面に票じ猛の帆り手しがあることが夸卢されてしまう。というのも、塑丸は芭规步の冯蔡はあたかもランダム猛に斧えるのが妄鳞弄であり、票じビット墓の帆り手しが部刨も判眷する澄唯はほとんどありえないことである。それにもかかわらず判眷しているということは、アタッカ〖は芭规矢だけを斧ただけでECBモ〖ドのような廊煎な数及などを何脱していると夸卢できるわけだ。さらに部らかのきっかけで芭规矢の办婶尸が冉汤した眷圭、それがきっかけとして芭规豺粕が乖われてしまう错副拉もあるわけである。

　ランダム簇眶ˇ导击ランダム簇眶の车前を蝗えば、肌の哭のようにもう警し眶池弄ˇ芭规池弄に的侠できる。

　アドバ〖サリ〖∈アタッカ〖と票罢∷のAは努碰にmを侯る。そして、m=m1=m2として、ペア(m1,m2)を芭规アルゴリズムMecb(Ek)に流慨する。ここでMecbとはモ〖ドのMでECBを网脱していることを汤绩する淡规とする。そうすると、芭规矢のペア(c1,c2)が流られてくる。そのときMecb(Ek)が塑碰のランダム簇眶ならばc1=c2になる澄唯はほとんどない。しかしMecb(Ek)はE CBモ〖ドの芭规步アルゴリズムなので、c1=c2となる。そうするとAはDが塑碰のランダム簇眶でなく、导击ランダム簇眶であると千急できる。つまり、芭规步アルゴリズムが千急できたということはECBの芭规步は奥链でないことになる。

　このように2つの票じ士矢が、票じ芭规矢になってしまうと、侍のレイヤ〖の泼魔と驶脱されて、アドバ〖サリ〖は部らかの评をすることがある。

　したがって、ECBモ〖ドはデ〖タを芭规步する眷圭にはあまり脱いられない。ワ〖ク赴を芭规步するときなどに脱いられることがある。

↑

芭规矢ブロックの拎侯により、牲规ブロックをピンポイントで拎侯できる †

↑

毋1 †

　墙瓢弄アドバ〖サリ〖のMallory*1がいたとする。

　ブロック墓が8ビットと簿年する。また、3つのブロックが肌のように妥燎に滦炳しているようなシステムがあったとする。

ブロック1♂流垛傅の朵乖庚郝戎规
ブロック2♂流垛黎の朵乖庚郝戎规
ブロック3♂流垛驰∈帽疤は它边∷

　毋えば、Alice∈朵乖庚郝戎规は3戎∷が朵乖のATMを拎侯して、Bob∈朵乖庚郝戎规は5戎∷に8它边を慷り哈みしたいとする。ATMと朵乖粗では惧淡のシステムに捐っ艰り、肌の士矢ブロックがECBモ〖ドで芭规步されたとする。

m1=0011∈流垛傅の朵乖庚郝戎规は3戎∷
m2=0101∈流垛黎の朵乖庚郝戎规は5戎∷
m3=1000∈流垛驰は8它边∷

　これに滦炳する芭规矢ブロックは肌の奶りである。芭规步アルゴリズムは士矢ブロックを赴KでXOR遍换する慌寥みだっとたとする。ATMと朵乖は入泰に赴K=0010を鼎铜していて、それを蝗っている。

c1=0001∈Malloryにとって、流垛傅の朵乖庚郝戎规は々戎∷
c2=0111∈Malloryにとって、流垛黎の朵乖庚郝戎规は々戎∷
c3=1010∈Malloryにとって、流垛驰は々它边∷

　この芭规矢を硼陌しても、Malloryは赴Kを梦らないので、どんなEK柒婶で部でXOR遍换されているかわからない。つまり、芭规矢から士矢を梦らない。ところが、Malloryが芭规矢ブロックのc1とc2の柒推を掐れ仑えて、朵乖に流慨する。すると、朵乖娄には肌のようなデ〖タが毗缅する。

c1'=0111
c2'=0001
c3'=1010

　朵乖は舍奶に牲规しようとする。赴はK=0010なので、0010でXOR遍换して牲规しようとする。牲规した冯蔡、肌のような猛になる。

m1'=0101∈流垛傅の朵乖庚郝戎规は5戎∷
m2'=0011∈流垛黎の朵乖庚郝戎规は3戎∷
m3'=1000∈流垛驰は8它边∷

　朵乖は、この牲规冯蔡から、≈Bob∈朵乖庚郝戎规は5戎∷からAlice∈朵乖庚郝戎规は3戎∷に8它边流慨する∽という回绩と豺坚してしまう。つまり、Malloryの苟封が碍逼读を涂えていることがわかる。

　帽に碍逼读を涂えるだけなら、Malloryがstaticアドバ〖サリ〖であっても材墙だが、Malloryがadaptiveアドバ〖サリ〖∈窗链に面粗荚苟封ができる∷とすると、もっと铜弊な苟封ができる。Mallory极咳がATMで≈极尸からAliceへ100它边流る∽ように回绩したとする。

[输颅]ただし、极尸の朵乖庚郝に100它边がなかったら、侍のレイヤ〖でチェックされることが驴いので、それはクリアしておく。また、≈Aliceから极尸へ100它边流る∽という回绩は侍のレイヤ〖でのチェックにより、できないとする。これも办忍弄な雇え数だろう。掐垛荚と流垛傅の朵乖庚郝戎规が办米しなければ、そもそも恃である。

　すると、ATMは慌屯にしたがって、Kの猛でXORして、芭规步して朵乖に流る。この奶慨をMalloryが办枚氓ってしまう。そして黎ほどと票じように妈1芭规矢ブロックと妈2芭规矢ブロックを掐れ垂えて、朵乖に流慨する。朵乖娄は≈AliceからMalloryへ100它边流る∽という回绩が丸たと蛔ってしまう。つまり、Malloryにとって铜弊な苟封が喇根したといえるだろう。

[输颅]Aliceの朵乖庚郝に100它边笆惧赂哼しないと、朵乖镑がおかしいと丹烧いてしまう材墙拉がある。よって、Malloryは前には前を掐れて、Aliceの荒光を拇べておくとよい。

↑

毋2 †

　あるコンピュ〖タシステムのパスワ〖ドファイルが、肌のようにECBモ〖ドで芭规步されていたとする。ただし、ブロック墓は128ビット∈♂16バイト∷である。

　システムの慌屯は办忍弄に给倡されているので、アドバ〖サリ〖はECBモ〖ドで芭规步されているのを梦ることができるは屡碰といえる。

m1♂2C AB 90 61∈ユ〖ザ〖1のユ〖ザ〖叹∷
m2♂DD 71 26 5F∈ユ〖ザ〖1のパスワ〖ド∷
m3♂E1 17 62 75∈ユ〖ザ〖2のユ〖ザ〖叹∷
m4♂AF 0A 0A 75∈ユ〖ザ〖2のパスワ〖ド∷

　アドバ〖サリ〖はm2にm1のデ〖タを惧今きしたとする。票屯に、m4にm1のデ〖タを惧今きしたとする。

m1'♂2C AB 90 61
m2'♂2C AB 90 61
m3'♂E1 17 62 75
m4'♂E1 17 62 75

　パスワ〖ドファイル惧すべてのユ〖ザ〖がJoeアカウントになっているので、ユ〖ザ〖叹を误刁に喇根したら、ログインさえも喇根できるわけだ。

↑

エラ〖に煎い †

　芭规矢に1ビットのエラ〖∈ビット瓤啪∷が弹こったとして牲规すると、そのエラ〖が1ブロック链挛に橙络する。エラ〖唯は呵络n擒、士堆n/2擒となる∈あるビットがランダムに联んだビットと办米する澄唯は0.5とする∷。

↑

ECBモ〖ドの泼魔 †

泼魔
- 蝗うべきではない。
メリット
- 慌寥みはもっともシンプル。
- 芭规步ˇ牲规どちらも事误借妄できる
デメリット
- 士矢の面の帆り手しが芭规矢に瓤鼻する。
- 浩栏苟封が材墙。
- 芭规矢ブロックの猴近や掐れ仑えによる士矢の拎侯が材墙。
- ビット帽疤のエラ〖がある芭规矢を牲规すると、滦炳するブロックがエラ〖になる。

↑

CTRモ〖ド †

　CTR∈CounTR¨カウンタ∷モ〖ドとは、肌の慌屯にしたがい称miを芭规步する数及である。カウンタの舔充を蔡たす恃眶c+rを网脱する。

[1]芭规步

　士矢M=(m1,∧,mt)に滦して、c1=m1+Ek(ctr+1),∧,ct=mt+Ek(ctr+1)を纷换して、芭规矢をC=(c1,∧,ct)とする。

[2]牲规

　芭规矢C=(ctr,c1,∧,ct)に滦して、m1=c1+Ek(ctr+1),∧,mt=ct+Ek(ctr+t)を纷换して、士矢をM=(m1,∧,mt)とする。ここで、DではなくEを蝗うことに庙罢。

　このCTRモ〖ドはECBモ〖ドから孺べると笺闯剩花になっている。

　泼魔としてまずブロックを扦罢の界戎で芭规步ˇ牲规步できるということがいえる。これはECBモ〖ドでも票屯である。この泼魔は悸狠に芭规をプログラムとして悸刘したときに称」の芭规步ˇ牲规の借妄を事误借妄させることができることを罢蹋する。

　また、芭规步と牲规はまったく票じ菇陇をしている。まして牲规アルゴリズムは涩妥なく芭规步アルゴリズムを牲规借妄でも网脱している。つまりプログラムとして悸刘するときはわざわざ牲规アルゴリズムに滦炳する簇眶などを脱罢する涩妥がないということである。これは肌搀笆惯疽拆するOFBモ〖ドと票じストリ〖ム芭规の泼魔である。

　それではECBモ〖ドのときと票屯に哭で雇えていこう。

　票じ士矢のペア(m1,m2)をMctr(Ek)に抨げてみる。すると芭规矢(c1,c2)が手ってくるが、CTRモ〖ドの慌屯によりc1♀c2となる。これだけ斧てもECBモ〖ドよりも奥链拉の罢蹋で动くなっていることがわる。

　悸はAが2nの纷换墙蜗があれば、CTRモ〖ドは奥链でないことが沮汤されている。しかしながら办忍のコンピュ〖タはそれほどの墙蜗は积たないので∈驴灌及箕粗しか纷换できないから碰たり涟∷、CTRモ〖ドは夸京されている。

↑

CTRモ〖ドに滦するアタック †

↑

ctrが年眶ならば廊煎 †

↑

ctrを构糠させると攫鼠妄侠弄に奥链でない †

　CTRモ〖ドではctrを涩ず般う猛に构糠させてしまうと、攫鼠妄侠弄に奥链でなくなる。办数、ctrをランダムに侯ると、井さい澄唯でctrは恃わらない。そうすると攫鼠妄侠弄に奥链になるので、ctrはランダムに侯ったほうがよい。

↑

ランダム弥垂虏をブロック芭规として脱いると攫鼠妄侠弄に奥链でない †

　啼玛を豺きながら雇えてみる。

啼¨CTRモ〖ドについて、肌の肋啼を豺け。
∈1∷士矢M=(m1,m2)に滦する芭规矢がC=(ctr,c1,c2)であった。このときのEk(ctr+1)およびEk(ctr+2)の猛を滇めよ。
∈2∷ランダム簇眶虏をブロック芭规として脱いるCTRモ〖ドを雇える。アタッカ〖が芭规矢C=(ctr,c1,c2)を掐缄した。このとき、士矢が(m1,m2)である澄唯を滇めよ。
∈3∷ランダム簇眶虏をブロック芭规として脱いたCTRモ〖ドは、攫鼠妄侠弄に奥链であることを沮汤せよ。
∈4∷ランダム弥垂虏をブロック芭规として脱いるCTRモ〖ドを雇える。アタッカ〖が芭规矢C=(ctr,c1,c2)を掐缄した。このとき、士矢が(m1,m2)である澄唯を滇めよ。
∈5∷ランダム弥垂虏をブロック芭规として脱いたCTRモ〖ドは、攫鼠妄侠弄に奥链でないことを沮汤せよ。

　まず∈1∷から豺いていく。カウンタ〖モ〖ドの芭规步では、士矢M=(m1,∧,mt)に滦して、c1=m1+Ek(ctr+1),∧,ct=mt+Ek(ctr+t)を纷换する。わかりやすいように侥に事べてみる。

$c_{1}~=~m_{1}~\oplus~E_{k}~$~ctr~+1~$$
$c_{2}~=~m_{2}~\oplus~E_{k}~$~ctr~+2~$$
∧
$c_{t}~=~m_{t}~\oplus~E_{k}~$~ctr~+t~$$

　ただし啼玛の面では士矢はm1とm2だけなので悸剂2つの及だけしかない。

$c_{1}~=~m_{1}~\oplus~E_{k}~$~ctr~+1~$$
$c_{2}~=~m_{2}~\oplus~E_{k}~$~ctr~+2~$$

　ここで+はXOR遍换であることを蛔い叫す。XOR遍换の泼魔として票じものを颅し圭わせると久えるというのがある。毋えば1+1=0になるわけである。2渴眶で雇えればこれは汤らかである。101と101をXOR遍换したとする。XOR遍换は0+0= 0,0+1=1,1+0=1,1+1=1であるので、101+101=000になる。

　惧に误刁した面で办戎呵介の及を恃妨していく。

$c_{1}~=~m_{1}~\oplus~E_{k}~$~ctr~+1~$$
$c_{1}~\oplus~m_{1}~=~m_{1}~\oplus~m_{1}~\oplus~E_{k}~$~ctr~+1~$$ 　∈㈣尉收にm1をXOR遍换する∷
$c_{1}~\oplus~m_{1}~=~E_{k}~$~ctr~+1~$$
$E_{k}~$~ctr~+1~$~=~c_{1}~\oplus~m_{1}$ 　∈㈣宝收と焊收を掐れ仑えた∷

　票屯に2戎誊の及を恃妨していく。

$c_{2}~=~m_{2}~\oplus~E_{k}~$~ctr~+2~$$
$E_{k}~$~ctr~+2~$~=~c_{2}~\oplus~m_{2}$

　肌に∈2∷を豺く。∈2∷の啼玛矢が本わんとすることは、≈M=(m1,m2)⑹ C=(ctr,c1,c2)∽が喇り惟つ澄唯を滇めなさいということである。つまり、肌のように纷换していくことができる。

$Pr~$~M~=~\(~m_{1},m_{2}~$~|~C~=~(ctr,c_{1},c_{2}~\)$
$=Pr~$~E_{k}~\(~ctr~+~1$~=~c_{1}~\oplus~m_{1},~E_{k}~$~ctr~+~2$~=~c_{2}~\oplus~m_{2}~\)$
$=Pr~$~E_{k}~\(~ctr~+~1$~=~c_{1}~\oplus~m_{1}~\)~\cdot~Pr~$~E_{k}~\(~ctr~+~2$~=~c_{2}~\oplus~m_{2}\)$ 　∈EKを鼎铜しているので、办忍弄に尸豺できない。ここでは导击ランダム簇眶なので迫惟になり、尸豺できる∷
$=~\frac{1}{2^n}~\cdot~\frac{1}{2^n}$
$=~\frac{1}{2^{2n}}$

　ところで、眶池の啼玛が井さい啼が息鲁して叫玛されているときは、涟の啼玛がヒントになっていることが驴い。ここでも∈1∷の批えを蝗って、惧淡の及恃妨の1つ誊から2つ誊に及恃妨していく。

　3つ誊から4つ誊の恃垂で悸狠に澄唯の纷换している。涟染の≈Pr(Ek(ctr+1)=c1+m1)=1/2^n∽婶尸を斧ていく。c1やm1はnビットなので、それをXOR遍换したc1+m1はnビットである。つまりc1+m1の另パタ〖ンは2^n奶りである。これがEk(ctr+1)とちょうど办米するのは、1/2^nとなる。稿染のPr(Ek(ctr+2)=c2+m2)=1/2^n∽婶尸も票屯に雇えればよい。

　それでは∈3∷を豺く。攫鼠妄侠弄な奥链拉ということなので、绩したいことは肌が喇り惟つことになる。

$Pr~$~M~=~\(m_{1},m_{2}$\)~=~Pr~$~M=\(m_{1},m_{2}$|C=(ctr,c_{1},c_{2}\)~~\)$

　ここで士矢は办屯尸邵していていることに庙罢しておこう。そうすると焊收は肌のように滇めることができる。

$Pr~$~M~=~\(m_{1},m_{2}$~\)$
$=Pr~$~M~=~m_{1},M=m_{2}~$$
$=~\frac{1}{2^n}~\cdot~\frac{1}{2^n}$

　办数、宝收は∈2∷より肌が喇り惟つことはすでに冉汤している。

$Pr~$~M=\(m_{1},m_{2}$|C=(ctr,c_{1},c_{2}\)\)~=~\frac{1}{2^n}~\cdot~\frac{1}{2^n}$

　よって澄唯が霹しくなったので、攫鼠妄侠弄に奥链であることが绩せた。

　肌に∈4∷を雇える。Ekは弥垂でctr+1♀ctr+2なので、Ek(ctr+1)♀Ek(ctr+2)となる。これは弥垂の拉剂から汤らかである。弥垂の拉剂惧、般う猛を掐れて弥垂すると、その冯蔡も佰なることになる。Ek(ctr+1)♀Ek(ctr+2)ということは、∈1∷から宝收と焊收を今き垂えることができて、c1+m1♀c2+m2になる。

$Pr~$~M=\(m_{1},m_{2}$|C=(ctr,c_{1},c_{2}\)\)$
$=Pr~$~E_{k}~\(~ctr+1$~=~c_{1}~\oplus~\m_{1}~,~E_{k}~$~ctr+2~$~=~c_{2}~\oplus~\m_{2}~\)$

　EKは弥垂だから、∈2∷のようにPrの面を帽姐に尸豺できない。

　Pr[S]=∈Sに掳する眷圭の眶∷/∈すべての眷圭の眶∷だから、肌が喇り惟つ。

$Pr~$~E_{k}~\(~ctr+1$~=~c_{1}~\oplus~\m_{1}~,~E_{k}~$~ctr+2~$~=~c_{2}~\oplus~\m_{2}~\)$
$=~\frac{~#~\{E|E_{k}~$~ctr+1$~=~c_{1}~\oplus~\m_{1}~,~E_{k}~$~ctr+2~$~=~c_{2}~\oplus~\m_{2}~\}~}{#~\{~E|~E\in~P_n~\}~}$

　尸熟は(2n)!である。
　办数、尸灰は2舱疥乖き黎がfixされているから、肌のようになる。

のとき
- $(2^n~-2)!$
のとき
- - 涂えられているのはc1,m1,c2,m2だから、≈c1+m1♀c2+m2∽のときも雇えなければならない。

　よって、肌のように2つに眷圭尸けができる。

[1]c1+m1=c2+m2のとき

$Pr~$~M=\(m_{1},m_{2}$|C=(ctr,c_{1},c_{2}\)\)$
$=~\frac{1}{2^{n}}~\cdot~\frac{1}{2^{n}-1}$

[输怪]肌の哭のように雇えてもよい。涟染婶で另パタ〖ンの2n奶りのうちからひとつが疯年したので、稿染婶では另パタ〖ンから1を苞いたもの另パタ〖ンになる。哭にすると肌のようになる。

[2]c1+m1♀c2+m2のとき

$Pr~$~M=\(m_{1},m_{2}$|C=(ctr,c_{1},c_{2}\)\)$
$=0$

　呵稿に∈5∷を雇える。海刨は∈3∷のようにランダム簇眶虏ではなく、ランダム弥垂虏を蝗う眷圭である。塑碰の芭规ではこんなことはしないが、あくまで妄豺を澄かめるためにあえてランダム弥垂虏にするということである。このように掘凤を笺闯恃构して、冯蔡がどう恃わってくるのかを极尸で澄かめるということは润撅にためになる。芭规の慌屯だけを纳いかけていても蜗はなかなかつかないのだ。

　この芭规が攫鼠妄侠弄に奥链であるには肌が喇り惟たなければならない。

$\forall~c~\in~C~,~\forall~m~\in~M~;~Pr~$~M=\(m_{1},m_{2}$|C=(ctr,c_{1},c_{2}\)\)~=~Pr~$~M=\(m_{1},m_{2}$~\)$

　しかし、∈4∷から涩ずしも喇り惟たないので∈眷圭尸けの冯蔡が佰なっているので汤らか∷、攫鼠妄侠弄に奥链でないことになる。

　警し豺棱が墓くなってしまったが、どうだっただろうか々　それほど岂しい眶池などは蝗っていない。あくまで≈攫鼠妄侠弄に奥链∽≈簇眶と弥垂の般い∽≈ビット误がある泼年のビット误に办米するときの澄唯の滇め数∽の3つをしっかり妄豺しておけば、梧击啼玛は窗帔に豺けることになるだろう。

↑

芭规矢ブロックをビット瓤啪すると、滦炳する士矢ブロックがビット瓤啪する †

↑

CTRモ〖ドの泼魔 †

泼魔
- 附哼ではCRCモ〖ドと票屯によく蝗われる。
メリット
- パディングがいらない。
- 芭规步ˇ牲规の祸涟纷换ができる。
- ブロックを扦罢の界戎で芭规步ˇ牲规できる。つまり、芭规步ˇ牲规の尉数において、事误借妄ができる。
  - 事误借妄による芭规步ˇ牲规が材墙。つまり祸涟に纷换しておける。
- 牲规アルゴリズムは芭规步アルゴリズムをそのまま网脱するので、プログラムでの悸刘が弛。
- 牲规アルゴリズムとして、芭规步アルゴリズムをそのまま网脱するので、プログラムの悸刘が弛。
  - これはOFBモ〖ドと票じストリ〖ム芭规の泼魔である。
- ビット帽疤のエラ〖がある芭规矢を牲规すると、士矢の滦炳するビットのみがエラ〖になる。
デメリット
- 墙瓢弄アドバ〖サリ〖が芭规矢ブロックをビット瓤啪すると、滦炳する士矢ブロックがビット瓤啪する。

↑

CBCモ〖ド †

　CBC∈Cipher Block Chaining¨芭规ブロック息嚎∷モ〖ドとは、肌の慌屯にしたがい称miを芭规步する数及である。

[1]芭规步

　士矢M=(m1,∧,mt)に滦して、nビットの介袋步ベクトルIV∈Initial Value∷をランダムに联び、c1=Ek(IV+m1),c2=Ek(c1+m2),∧,ct=Ek(ct-1+mt)を纷换して、芭规矢をC=(c_1,∧,c_t)とする。

[2]牲规

　芭规矢C=(IV,c1,∧,ct)に滦して、m1=Dk(c1)+IV,m2=Dk(c2)+c1,∧,m t=Dk(ct)+ct-1を纷换して、士矢をM=(m1,∧,mt)とする。

　mとcでEkを洞んだような慌寥みになっています。このEkがなければ办硷の簇眶と斧れる。

↑

CBCモ〖ドに滦するアタック †

↑

IVを年眶にすると廊煎 †

　IVを年眶∈ブロック芭规の借妄を卉す刨に∷とすると奥链でなくなる。IVを年眶にしてしまうと、ある士矢を疯まった赴で芭规步したときと票じになってしまい、いつも芭规矢が票じになってしまう。毋えばアタッカ〖がタ〖ゲットの奶慨烯をずっと雌浑していたとする。そのとき票じ芭规矢が1降粗ごとの疯まった箕粗に说减したとする。奶撅惮搂拉のある箕粗に票じ芭规矢が萎れてくる澄唯はほとんどない。それにも簇わらずそのような惮搂拉があるということは、票じ士矢を奶慨していて、しかもそれに滦炳する芭规矢が票じになってしまうという风促のある芭规を网脱していると夸卢できる。稿はこの攫鼠からどんどん攫鼠が铣れていく材墙拉がある。

↑

IVをカウンタ〖モ〖ドにすると廊煎 †

↑

回年した士矢ブロックのビットを瓤啪できる †

↑

エラ〖に煎い †

　1ビット尸のエラ〖がある芭规矢を牲规すると、2ブロックにその逼读が弓がってしまう。エラ〖唯は呵络n+1擒、士堆 $\frac{n}{2}+1$ 擒になる。

↑

CBCモ〖ドの泼魔 †

泼魔
- CTRモ〖ドと票屯によく蝗われる。
メリット
- 牲规のときだけ、事误借妄できる。
- 扦罢の芭规矢ブロックを牲规できる。
デメリット
- 芭规步のときは、事误借妄できない。
- ビット帽疤のエラ〖があると芭规矢を牲规すると、1ブロック链挛と肌のブロックの滦炳するビットがエラ〖になる。

↑

CFBモ〖ド †

　CFB∈Cipher Feed Back¨芭规フィ〖ドバック∷モ〖ドとは、肌の慌屯にしたがい称miを芭规步する数及である。

[1]芭规步

　士矢M=(m1,∧,mt)に滦して、nビットの介袋步ベクトルIV∈Initial Value∷をランダムに联び、c1=m1+Ek(IV),c2=m2+Ek(c1),∧,ct=mt+Ek(ct-1)を纷换して、芭规矢をC=(c1,∧,ct)とする。

[2]牲规

　芭规矢C=(IV,c1,∧,ct)に滦して、m1=c1+Ek(IV),m2=c2+Ek(c1),∧,mt=ct+Ek(ct-1)を纷换して、士矢をM=(m1,∧,mt)とする。牲规アルゴリズムDkではないことに庙罢。

　哭から士矢ブロックは芭规アルゴリズムによって木儡芭规步されないということがわかる。

　CFBモ〖ドで芭规アルゴリズムが栏喇するビット误のことを赴ストリ〖ムと钙ぶ。CFBモ〖ドでは赴ストリ〖ムを栏喇するための导击宛眶栏喇达として芭规アルゴリズムを脱いている。IVは导击宛眶栏喇达の硷に陵碰する。なおEkは弥垂である涩妥がありません。

　またIVをカウンタ〖モ〖ドにおけるctrのようにインクリメントするような肋纷にしてもならない。

↑

1ビットCFBモ〖ド †

　1ビットCFBモ〖ドは、润票袋及∈极甘票袋及∷芭规となる。

　帕流面でエラ〖が弹きたり票袋がはずれたりして、シフトレジスタの柒推が芭规娄と牲规娄でずれても、警なくともnクロック沸册すれば、浩びシフトレジスタの柒推が办米して、赖撅瓢侯に提る。

↑

CFBモ〖ドに滦するアタック †

↑

浩栏苟封 †

↑

エラ〖に煎い †

　帕流面のエラ〖は、エラ〖が牲规娄のシフトレジスタに荒っている粗逼读を减け鲁ける。よって、エラ〖唯は呵络 $\lfloor~\frac{(n-1+k)}{k}~\rfloor~~k+1$ 擒になり、士堆 $\lfloor~\frac{(n-1+k)}{k}~\rfloor~\frac{k}{2}~+1$ 擒になる。

　泼に、1ビットCFBモ〖ドの眷圭は、エラ〖唯は呵络n+1擒、士堆 $\frac{n}{2}+1$ 擒に橙络される。k=1のときは、票袋を艰る涩妥はないが、借妄庐刨は井さくなる。そのため、k=nのときと孺べると、n尸の1になるのである。

↑

CFBモ〖ドの泼魔 †

泼魔
- 士矢ブロックは芭规步アルゴリズムで木儡芭规步されない。
- CTRモ〖ドを蝗うほうがよい。
メリット
- パディングがいらない。
- 牲规のときだけ事误借妄できる。
- 扦罢の芭规矢ブロックを牲规できる。
デメリット
- 芭规步のときは事误借妄できない。
- 浩栏苟封に煎い。
- ビット帽疤のエラ〖があると芭规矢を牲规すると、1ブロック链挛と肌のブロックの滦炳するビットがエラ〖になる。

↑

OFBモ〖ド †

　OFB∈Output Feed Back¨芭规フィ〖ドバック∷モ〖ドとは、肌の慌屯にしたがい称miを芭规步する数及である。

[1]芭规步

　士矢M=(m1,∧,mt)に滦して、nビットの介袋步ベクトルIV∈Initial Value∷ をランダムに联び、
z1=Ek(IV),z2=Ek(z1),∧,zt=Ek(zt-1)
c1=m1+z1,c2=m2+z2,∧ct=mt+zt
を纷换して、芭规矢をC=(c1,∧,ct)とする。

[2]牲规

　芭规矢C=(IV,c1,∧,ct)に滦して、
z1=Ek(IV),z2=Ek(z1),∧,zt=Ek(zt-1)
m1=c1+z1,m2=c2+z2,∧,mt=ct+zt
を纷换して、士矢をM=(m1,∧,mt)とする。牲规アルゴリズムDkではないことに庙罢。

　哭から士矢ブロックは芭规アルゴリズムによって木儡芭规步されないということがわかる。士矢ブロックと芭规アルゴリズムの叫蜗とをXOR遍换して、芭规ブロックを侯り叫す。OFBモ〖ドはこの爬でCFBモ〖ドに击ている。

　IVは芭规步の刨ごとに佰なるランダムビット误を脱いるのが舍奶である。なおEkは弥垂である涩妥はない。

↑

IVがctrでも廊煎でない †

　EKはランダム簇眶なので、IVがカウンタ〖であっても络炬勺である。つまり廊煎でない。

↑

IVが今き垂わってしまうと、すべて芭规矢ブロックの牲规に己窃する †

↑

祸涟纷换冯蔡を硼まれたら、士矢すべてを梦られてしまう †

↑

芭规矢ブロックをビット瓤啪すると滦炳する士矢ブロックがビット瓤啪する †

↑

OFBモ〖ドの泼魔 †

泼魔
- 士矢ブロックは芭规步アルゴリズムで木儡芭规步されない。
  - 士矢ブロックと芭规步アルゴリズムの叫蜗とをXOR遍换して、芭规矢ブロックを侯り叫す。OFBモ〖ドはこの爬でCFBモ〖ドに击ている。
メリット
- パディングがいらない。
- 牲规アルゴリズムとして、芭规步アルゴリズムをそのまま网脱するので、プログラムの悸刘が弛。
- 芭规步と牲规の祸涟纷换が材墙。
- ビット帽疤のエラ〖がある芭规矢を牲规すると、士矢の滦炳するビットのみがエラ〖になる。つまり、ビット瓤啪に动い。
デメリット
- 事误借妄ができない。
- 墙瓢弄アドバ〖サリ〖が芭规矢ブロックをビット瓤啪すると滦炳する士矢ブロックがビット瓤啪する。

↑

称硷网脱モ〖ドの孺秤 †

　笆惧でブロック芭规の肩妥な网脱モ〖ドのすべての豺棱が姜った。悸狠にブロック芭规を肋纷するときはCBCモ〖ドˇCTRモ〖ドの蝗脱が夸京されている。悸狠にインタ〖ネットではCBCモ〖ドがよく判眷している。

　呵稿に簇息する年妄を警しだけ疽拆する。

[年妄]
ECBモ〖ド笆嘲の称モ〖ドは、{Ek}が导击ランダム弥垂虏であると簿年すると、联买士矢苟封に滦して奥链である。

[年妄]
CTRモ〖ドが呵も奥链である。

↑

徊雇矢弗 †

ゼミノ〖ト
∝附洛芭规の答撩眶妄≠
∝芭规妄侠掐嚏≠
∝芭规祷窖掐嚏-入泰の柜のアリス≠

*1 减瓢弄アドバ〖サリ〖のEveと佰なり、奶慨を烁巢したり、芭规矢を今き垂えたりする。胳富は≈malicious∽∈碍罢のある∷である。

Top / ブロック芭规の网脱モ〖ドブロック芭规の网脱モ〖ド

誊肌 †

离帕 †

网脱モ〖ド †

网脱モ〖ドの奥链拉 †

ECBモ〖ド †

ECBモ〖ドに滦するアタック †

票じ士矢を芭规步すると票じ芭规矢になる †

芭规矢ブロックの拎侯により、牲规ブロックをピンポイントで拎侯できる †

毋1 †

毋2 †

エラ〖に煎い †

ECBモ〖ドの泼魔 †

CTRモ〖ド †

CTRモ〖ドに滦するアタック †

ctrが年眶ならば廊煎 †

ctrを构糠させると攫鼠妄侠弄に奥链でない †

ランダム弥垂虏をブロック芭规として脱いると攫鼠妄侠弄に奥链でない †

芭规矢ブロックをビット瓤啪すると、滦炳する士矢ブロックがビット瓤啪する †

CTRモ〖ドの泼魔 †

CBCモ〖ド †

CBCモ〖ドに滦するアタック †

IVを年眶にすると廊煎 †

IVをカウンタ〖モ〖ドにすると廊煎 †

回年した士矢ブロックのビットを瓤啪できる †

エラ〖に煎い †

CBCモ〖ドの泼魔 †

CFBモ〖ド †

1ビットCFBモ〖ド †

CFBモ〖ドに滦するアタック †

浩栏苟封 †

エラ〖に煎い †

CFBモ〖ドの泼魔 †

OFBモ〖ド †

OFBモ〖ドとCFBモ〖ドの孺秤 †

OFBモ〖ドに滦するアタック †

IVが盖年なら廊煎 †

IVがctrでも廊煎でない †

IVが今き垂わってしまうと、すべて芭规矢ブロックの牲规に己窃する †

祸涟纷换冯蔡を硼まれたら、士矢すべてを梦られてしまう †

芭规矢ブロックをビット瓤啪すると滦炳する士矢ブロックがビット瓤啪する †

OFBモ〖ドの泼魔 †

称硷网脱モ〖ドの孺秤 †

徊雇矢弗 †

Top / ブロック芭规の网脱モ〖ド
ブロック芭规の网脱モ〖ド