Debilidad del modo AES OFB

Esta es una afirmación extraña. Un cifrado de bloque en modo OFB es, funcionalmente, un flujo de cifrado que produce un flujo de bytes pseudoaleatorios dependiente de la clave; el cifrado es solo un XOR del flujo con los datos para cifrar (y el descifrado es idéntico). El tamaño de los datos es bastante irrelevante; por el contrario, OFB es uno de estos modos que no requiere relleno.

Lo que probablemente quiso decir el comentarista es que OFB no debe usarse con retroalimentación de menos del bloque completo. El OFB "normal" es lo que se describe en diagramas de Wikipedia : cada bloque de salida (del bloque cifrado) se utiliza como entrada para la siguiente invocación de cifrado de bloque. Sin embargo, en épocas anteriores, OFB utilizó una retroalimentación parcial , en la cual la entrada para el cifrado del bloque usó solo parte de la salida del bloque anterior. El OFB con retroalimentación parcial es más lento que el OFB normal y estaba destinado a soportar medios de transmisión que pierden la sincronización. Dado que el OFB con retroalimentación parcial resultó ser significativamente más débil que el OFB de bloque completo, el estándar lo desaprobó. Supongo que el comentario que cita fue sobre OFB con comentarios parciales.

Nadie hace OFB con comentarios parciales, excepto PHP donde la constante MCRYPT_MODE_OFB selecciona OFB con 8 Retroalimentación de bits (podemos contar con PHP para seleccionar valores predeterminados débiles e ineficientes siempre que sea posible; son muy creativos de esa manera).

Consulte el Manual de criptografía aplicada para obtener detalles (capítulo 7, sección 7.2.2). De todos modos, incluso el OFB de bloque completo puede considerarse inferior al CTR en todos los puntos y debe evitarse (consulte esta respuesta para obtener más detalles). Y, por supuesto, cifrado autenticado como EAX son mucho mejores.