Ja er ist unsicher.
Zitat:
Im übrigen ist das übliche CTS nicht für Texte kürzer als Blocklänge definiert und auch nicht sinnvoll.
Wie du selber so schön bemerkt hast.
Ein Laie weiß soetwas nicht und verwendet den Cipher wie er ihn im Source bekommt. Er verschlüsselt also im CTS eine zu kurze Nachricht, < Blockgröße, und das ist unsicher. Ein Modus der vom Blockmodus in den 8 Bit Modus für den letzten Block wechselt muß sicherer sein. Die 8 Bit Feedback Modis wie CBC8, OFB8, CFB8 sind seit Jahren anerkannt und standardisiert. Wenn man für den letzten oder eben ersten unvollständigen Block in einen solchen Modus wechselt, dann ist das immer sicher, egal ob die Nachricht < Blockgröße ist.
Sicher, bezog sich also nicht nur auf die Mathematik, Kryptographie sondern eben besonders bezog es sich auf die Verfahrenssicherheit, die Sicherheit die ein Laie mit einer Implementierung einer Cryptolib tatsächlich erreichen kann. Je mehr Rahmenbedinungen bei der Anwednung von Kryptographie beachtet und gewusst werden müssen desto höher ist die Wahrscheinlichkeit für die Fehlbenutzung der Algorithmen. Und Kryptographie möchte Sicherheit garantieren und dazu gehört eben auch das es Anwednungssicher ist.
Das ein Ciphermodus beim AES vorgeschlagen wird sagt noch längst nichts darüber aus wie gut der Vorschlag ist. Gerade bei den Ciphermodis sind viele vorgeschlagen wurden, sehr viele wurden abgewiesen und nur die wenigsten haben es in die Endausscheidung geschafft.
Davon mal abgesehen werden ganz verschiedene Verfahren für das Cipher Text Stealing benutzt. Das Verfahren aus dem PDF ist nur eines der möglichen die es gibt. Und das einfachste Cipher Text Stealing benutzt einfach den vorherigen Ciphertext + Feedback Register um den letzten Block zu expanieren. Wenn das Feedback Register aber selber der IV war, eben weil es garkeinen vorherigen Ciphertextblock gab, so ist das unsicher. Egal ob für diesen Modus das verschlüsseln von Nachrichten kürzer als die Blockgröße definiert ist oder nicht, ob es sinnvol ist oder nicht, so wissen dies eben die meisten Anwender solcher Librarys überhaupt nicht. Sie benutzen es einfach, weil es geht. Und das ist Unsicherheit.
Ich rede hier kein theoretischen Unfug, sondern spreche aus Erfahrung. In meinen Supportmails für's
DEC sind mindestens 5 Mails von Leuten die genau das gemacht haben. Das bewog mich eben auch das Cipher Text Stealing durch ein besseres Verfahren zu ersetzen, eben den Wechsel in einen 8 Bit Feeback Modus für den letzen zu kurzen Datenblock. Übrigens empfehle ich das nicht nur weil ich meine das es sicherer wäre, sondern weil es Experten wie zb. B.Schneier auch empfehlen.
Gruß Hagen