Mode OCB

El mode de llibre de codis offset (mode OCB) és un mode d'operació de xifratge autenticat per a xifratge de blocs criptogràfics. ^[1]^[2] El mode OCB va ser dissenyat per Phillip Rogaway, qui atribueix a Mihir Bellare, John Black i Ted Krovetz l'assistència i els comentaris sobre els dissenys. Es basa en el mode paral·lelitzable conscient de la integritat(IAPM) de xifratge autenticat per Charanjit S. Jutla. Es va demostrar que la versió OCB2 era insegura, mentre que lOCB1 original i l'OCB3 del 2011 encara es consideren segurs.

Xifratge i autenticació[modifica]

El mode OCB va ser dissenyat per proporcionar tant autenticació de missatges com privadesa. Es tracta bàsicament d'un esquema per integrar un codi d'autenticació de missatges (MAC) en el funcionament d'un xifratge de blocs. D'aquesta manera, el mode OCB evita la necessitat d'utilitzar dos sistemes: un MAC per a l'autenticació i el xifratge per a la confidencialitat. Això resulta en un cost computacional més baix en comparació amb l'ús de funcions d'autenticació i xifratge separades.

Hi ha tres versions d'OCB: OCB1, OCB2 i OCB3. OCB1 es va publicar l'any 2001. OCB2 millora l'OCB1 permetent que les dades associades s'incloguin al missatge, proporcionant un xifratge autenticat amb dades associades (AEAD; és a dir, dades que no estan xifrades però que s'han d'autenticar) i un nou mètode per generar una seqüència de desplaçaments. OCB2 es va publicar per primera vegada el 2003, originalment anomenat mode de xifratge autenticat o mode de xifratge avançat (AEM) i es va demostrar que era completament insegur el 2019. OCB3, publicat el 2011, canvia de nou la manera de calcular les compensacions i introdueix millores de rendiment menors.

OCB2 es va estandarditzar a ISO/IEC 19772:2009 ^[3] (encara que es va eliminar de l'estàndard després de la publicació de l'atac) i un OCB3 modificat en RFC 7253.^[4] El RFC codifica la longitud de l'etiqueta en el nonce amb format intern.

Rendiment[modifica]

La sobrecàrrega de rendiment de l'OCB és mínima en comparació amb els modes clàssics que no s'autentiquen, com ara l'encadenament de blocs de xifratge. OCB requereix una operació de xifrat de bloc per bloc de missatge xifrat i autenticat i una operació de xifrat de bloc per bloc de dades associades. També es requereix una operació de xifratge de bloc addicional al final del procés.

Per comparar, el mode CCM que ofereix una funcionalitat similar requereix el doble d'operacions de xifratge de blocs per bloc de missatges (les dades associades en requereixen una, com a OCB).

Atacs[modifica]

Niels Ferguson va assenyalar els atacs de col·lisió a OCB, que limita la quantitat de dades que es poden processar de manera segura amb una sola clau a uns 280 terabytes.^[5]^[6]

L'octubre de 2018, Inoue i Minematsu van presentar un atac de falsificació existencial contra OCB2 que només requereix una única consulta prèvia de xifratge i gairebé cap potència computacional o emmagatzematge.^[7] L'atac no s'estén a OCB1 o OCB3, i requereix que el camp de dades associat del text xifrat falsificat estigui buit. Poettering ^[8] i Iwata ^[9] van millorar l'atac de falsificació a un atac de recuperació de text en pla complet només un parell de dies després. Els quatre autors van elaborar posteriorment un informe conjunt.^[10]

Referències[modifica]

↑ Ted Krovetz, Phillip Rogaway. «The OCB Authenticated-Encryption Algorithm» (en anglès), July 23, 2012. [Consulta: May 28, 2012].
↑ Phillip Rogaway. «OCB Mode» (en anglès). [Consulta: May 28, 2012].
↑ «ISO/IEC 19772:2009 Information technology -- Security techniques -- Authenticated encryption» (en anglès). ISO, 12-02-2009. [Consulta: May 28, 2012].
↑ Krovetz, Ted. «The OCB Authenticated-Encryption Algorithm» (en anglès). IETF, 2014.
↑ Niels Ferguson. «Collision attacks on OCB» (en anglès), 11-02-2002.
↑ Phillip Rogaway. «OCB: Background» (en anglès), 27-02-2015.
↑ Akiko Inoue and Kazuhiko Minematsu. «Cryptanalysis of OCB2» (en anglès), 26-10-2018.
↑ Bertram Poettering. «Breaking the confidentiality of OCB2» (en anglès), 08-11-2018.
↑ Tetsu Iwata. «Plaintext Recovery Attack of OCB2» (en anglès), 11-11-2018.
↑ «Cryptanalysis of OCB2: Attacks on Authenticity and Confidentiality» (en anglès), 19-03-2019.

[1] Ted Krovetz, Phillip Rogaway. «The OCB Authenticated-Encryption Algorithm» (en anglès), July 23, 2012. [Consulta: May 28, 2012].

[2] Phillip Rogaway. «OCB Mode» (en anglès). [Consulta: May 28, 2012].

[3] «ISO/IEC 19772:2009 Information technology -- Security techniques -- Authenticated encryption» (en anglès). ISO, 12-02-2009. [Consulta: May 28, 2012].

[4] Krovetz, Ted. «The OCB Authenticated-Encryption Algorithm» (en anglès). IETF, 2014.

[5] Niels Ferguson. «Collision attacks on OCB» (en anglès), 11-02-2002.

[6] Phillip Rogaway. «OCB: Background» (en anglès), 27-02-2015.

[7] Akiko Inoue and Kazuhiko Minematsu. «Cryptanalysis of OCB2» (en anglès), 26-10-2018.

[8] Bertram Poettering. «Breaking the confidentiality of OCB2» (en anglès), 08-11-2018.

[9] Tetsu Iwata. «Plaintext Recovery Attack of OCB2» (en anglès), 11-11-2018.

[10] «Cryptanalysis of OCB2: Attacks on Authenticity and Confidentiality» (en anglès), 19-03-2019.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]