Режим обратной связи по шифротексту , режим гаммирования с обратной связью ( англ. Cipher Feedback Mode, CFB ) — один из вариантов использования симметричного блочного шифра , при котором для шифрования следующего блока открытого текста он складывается по модулю 2 с перешифрованным (блочным шифром) результатом шифрования предыдущего блока.

Шифрование может быть описано следующим образом:

${\displaystyle C_{0}=IV}$

${\displaystyle C_{i}=E_{k}\left(C_{i-1}\right)\oplus P_{i}}$

${\displaystyle P_{i}=E_{k}\left(C_{i-1}\right)\oplus C_{i}}$

где ${\displaystyle i}$ — номера блоков, ${\displaystyle IV}$ — вектор инициализации ( ), ${\displaystyle C_{i}}$ и ${\displaystyle P_{i}}$ — блоки зашифрованного и открытого текстов соответственно, а ${\displaystyle E_{k}}$ — функция блочного шифрования .

Вектор инициализации ${\displaystyle IV}$ , как и в режиме сцепления блоков шифротекста , можно делать известным, однако он должен быть уникальным.

Ошибка, которая возникает в шифротексте при передаче (например, из-за помех), сделает невозможным расшифровку как блока, в котором ошибка произошла, так и следующего за ним, однако не распространяется на последующие блоки.

Существует более сложный вариант использования режима, когда размер блока CFB не совпадет с размером блока шифра :

${\displaystyle {\begin{array}{ll}I_{1}={\textit {IV}}\\I_{j}={\textit {LSB}}_{b-s}(I_{j-1})\parallel C_{j-1}^{\#}&j=2,...,n\\O_{j}=E_{K}(I_{j})&j=1,2,...,n\\\\C_{j}^{\#}=P_{j}^{\#}\oplus {\textit {MSB}}_{s}(O_{j})&j=1,2,..,n\\P_{j}^{\#}=C_{j}^{\#}\oplus {\textit {MSB}}_{s}(O_{j})&j=1,2,..,n\\\end{array}}}$

где:

• ${\displaystyle b}$ — размер блока шифра;
• ${\displaystyle s}$ — размер блока CFB (размер сегмента), ${\displaystyle 1\leq s\leq b}$ ;
• ${\displaystyle P_{j}^{\#}}$ — ${\displaystyle j}$ -й сегмент открытого текста длины ${\displaystyle s}$ бит;
• ${\displaystyle C_{j}^{\#}}$ — ${\displaystyle j}$ -й сегмент шифртекста длины ${\displaystyle s}$ бит;
• ${\displaystyle {\textit {MSB}}_{m}(X)}$ — операция взятия ${\displaystyle m}$ наибольших значащих (старших) бит битовой строки ${\displaystyle X}$ ;
• ${\displaystyle {\textit {LSB}}_{m}(X)}$ — операция взятия ${\displaystyle m}$ наименьших значащих (младших) бит битовой строки ${\displaystyle X}$ ;
• ${\displaystyle \parallel }$ — операция конкатенации .

Примечания

Литература

• Шнайер Б. 9.6. Режим обратной связи по шифротексту // Прикладная криптография. Протоколы, алгоритмы, исходные тексты на языке Си = Applied Cryptography. Protocols, Algorithms and Source Code in C. — М. : Триумф, 2002. — С. 232—234. — 816 с. — 3000 экз. — ISBN 5-89392-055-4 .