если мы изменим один бит в открытом тексте, то в зашифрованном тексте изменится более одного бита?
В режиме обратной связи по выходу нет. В частности, если вы измените один бит открытого текста и больше ничего (например,вы не изменяете IV), то изменится только соответствующий бит зашифрованного текста.
Режим выходной обратной связи работает путем внутренней генерации битовой строки на основе ключа и IV, а затем с помощью исключающего ИЛИ этой битовой строки с открытым текстом для формирования зашифрованного текста. Любой режим, который может быть описан таким образом (другой пример, режим счетчика), будет иметь это свойство «нераспространения».
Это имеет два непосредственных следствия:
Вы не хотите повторно использовать одну и ту же пару (ключ, IV) для шифрования нескольких сообщений; путем xoring зашифрованных текстов злоумышленник восстановит xor двух открытых текстов (что может сказать ему о многом)
Вам действительно нужно преобразование целостности (например, MAC) вместе с режимом OFB. Без этого злоумышленник, который угадает, что такое открытый текст, может изменить зашифрованный текст так, чтобы он расшифровывался до любого открытого текста той же длины. Теперь вы, как правило, хотите использовать метод шифрования, который имеет защиту от модификаций (например, MAC или альтернативно использовать режим AEAD, который обеспечивает такую защиту); это критично с ОФБ.