Modo OCB
modo de libro de códigos de compensación (modo OCB) es un modo de operación de cifrado autenticado para cifrados de bloques criptográficos. El modo OCB fue diseñado por Phillip Rogaway, quien le da crédito a Mihir Bellare, John Black y Ted Krovetz por su ayuda y comentarios sobre los diseños. Se basa en el modo paralelizable con reconocimiento de integridad (IAPM) de cifrado autenticado de Charanjit S. Jutla. Se demostró que la versión OCB2 es insegura, mientras que la OCB1 original y la OCB3 de 2011 todavía se consideran seguras.
Cifrado y autenticación
El modo OCB fue diseñado para proporcionar autenticación y privacidad de mensajes. Es esencialmente un esquema para integrar un código de autenticación de mensajes (MAC) en la operación de un cifrado de bloque. De esta forma, el modo OCB evita la necesidad de utilizar dos sistemas: una MAC para autenticación y cifrado para confidencialidad. Esto da como resultado un costo computacional más bajo en comparación con el uso de funciones de autenticación y cifrado separadas.
Hay tres versiones de OCB: OCB1, OCB2 y OCB3. OCB1 se publicó en 2001. OCB2 mejora a OCB1 al permitir que se incluyan datos asociados con el mensaje, proporcionando cifrado autenticado con datos asociados (AEAD; es decir, datos que no están cifrados pero que deben autenticarse). y un nuevo método para generar una secuencia de compensaciones. OCB2 se publicó por primera vez en 2003, originalmente se llamaba modo de cifrado autenticado o modo de cifrado avanzado (AEM) y demostró ser completamente inseguro en 2019. OCB3, publicado en 2011, cambia nuevamente la forma en que se calculan las compensaciones e introduce mejoras menores en el rendimiento.
OCB2 estaba estandarizado en ISO/IEC 19772:2009 (aunque fue eliminado del estándar tras la publicación del ataque) y un OCB3 modificado en RFC 7253. El RFC codifica la longitud de la etiqueta en el nonce formateado internamente.
Rendimiento
La sobrecarga de rendimiento de OCB es mínima en comparación con los modos clásicos sin autenticación, como el encadenamiento de bloques de cifrado. OCB requiere una operación de cifrado en bloque por bloque de mensaje cifrado y autenticado, y una operación de cifrado en bloque por bloque de datos asociados. También se requiere una operación de cifrado de bloque adicional al final del proceso.
A modo de comparación, el modo CCM que ofrece una funcionalidad similar requiere el doble de operaciones de cifrado de bloques por bloque de mensaje (los datos asociados requieren una, como en OCB).
Patentes
Si bien OCB ahora es de dominio público, Rogaway inicialmente patentó el modo OCB para poder cobrar por las licencias comerciales y en un intento de evitar que su trabajo apareciera en proyectos relacionados con el ejército. Rogaway abandonó intencionalmente sus patentes OCB en 2021.
Se emitieron dos patentes estadounidenses para el modo OCB. Las patentes han obstaculizado la aprobación por parte del Instituto Nacional de Estándares y Tecnología.
Si bien se patentó el modo OCB, Rogaway puso a disposición tres licencias para permitir que el modo OCB se usara libremente en software con licencia bajo la Licencia Pública General GNU (más tarde, cualquier licencia de código abierto certificada por la Iniciativa de Código Abierto), no comercial y no comercial. proyectos militares y en OpenSSL.
Dado que Rogaway solo solicitó protección de patente en los EE. UU., el algoritmo siempre ha sido de uso gratuito en software no desarrollado ni vendido dentro de los EE. UU.
Ataques
Niels Ferguson señaló los ataques de colisión en OCB, que limitan la cantidad de datos que pueden procesarse de forma segura bajo una única clave a unos 280 terabytes.
En octubre de 2018, Inoue y Minematsu presentaron un ataque de falsificación existencial contra OCB2 que requiere solo una única consulta de cifrado previa y casi ninguna potencia computacional o almacenamiento. El ataque no se extiende a OCB1 ni a OCB3 y requiere que el campo de datos asociado del texto cifrado falsificado esté vacío. Poettering e Iwata mejoraron el ataque de falsificación a un ataque de recuperación de texto plano solo un par de días después. Posteriormente, los cuatro autores elaboraron un informe conjunto.