Cipher Feedback Mode (CFB) ist eine Betriebsart (Modus), in der Blockchiffren betrieben werden, damit Klartexte verschlüsselt werden können, die länger als die Blocklänge des Chiffrierverfahrens sind. Beispiele für Blockchiffre sind der Data Encryption Standard (64 Bit) oder der Advanced Encryption Standard (128 Bit, 192 Bit, 256 Bit). Der CFB kann auch als Stromchiffre verwendet werden.

Die Verschlüsselung im CFB-Modus kann wie folgt grafisch dargestellt werden:

In diesem Modus wird, wie in der Abbildung dargestellt, die Ausgabe der Blockchiffre mit dem Klartext bitweise XOR (exklusives ODER) verknüpft um daraus den Geheimtext zu bilden. Diese Betriebsart bzw. dieser Modus ergibt damit eine Stromchiffre. Die ausgegebenen Geheimtextdaten fließen als Eingabe in den nächsten Block zur Verschlüsselung.

Damit ergibt sich als wesentlicher Unterschied zu dem Output Feedback Mode (OFB) eine Selbstsynchronisation. Dies bedeutet, dass der Empfänger bei der Entschlüsselung nicht den genauen Inhalt (inneren Zustand) der Blockchiffre kennen muss bzw. durch geeignete, zusätzliche Übertragungsverfahren im Rahmen der Übertragungsprotokolle mitgeteilt bekommen muss.

Der Initialisierungsvektor (IV) dient ähnlich wie bei dem Cipher Block Chaining (CBC) als Startwert.

Bezeichne <math>E_K</math> die Verschlüsselungsfunktion mit dem Schlüssel <math>K</math>, sei <math>D_K</math> die zugehörige Entschlüsselungsfunktion. Bezeichne <math>P_i</math> den i-ten Klartextblock, <math>C_i</math> den i-ten Geheimtextblock und sei <math>IV</math> der Initialisierungsvektor. Außerdem bezeichne <math>\oplus</math> das logische XOR. Dann ist die Verschlüsselung im CFB-Modus mathematisch wie folgt rekursiv definiert:

<math>\begin{align} C_0 & = P_0 \oplus E_k (\mathrm{IV}) \\

      C_i & = P_i \oplus E_k ( C_{i-1} ) \end{align}</math>

Die Entschlüsselung kann nun grafisch wie folgt dargestellt werden:

Die Entschlüsselung beim Empfänger, wie in obiger Abbildung dargestellt, funktioniert wie Verschlüsselung, erzeugt also bei gleichem Initialisierungsvektor und gleichem Schlüssel die gleiche binäre Datenfolge mit der die XOR-Operation des Sender rückgängig gemacht werden kann. Die Grafik zeigt auch den wesentlichen Nachteil dieser Stromchiffre: Durch nur einen einzigen Bitfehler der bei der Übertragung auftreten kann, wird im aktuellen Klartextdatenblock genau ein Bitfehler erzeugt und zusätzlich im nachfolgenden Datenblock im Mittel 50 % der Datenbits zerstört. Diese Fehlerfortpflanzung ist ähnlich wie bei der Betriebsart Cipher Block Chaining (CBC) und erschwert die Entschlüsselung des Klartextes.

Mathematisch kann man die Entschlüsselung im CFB-Modus wie folgt definieren:

<math>\begin{align} P_0 & = C_0 \oplus E_k (\mathrm{IV}) \\

      P_i & = C_i \oplus E_k ( C_{i-1} ) \end{align}</math>

Dabei kann man sehen, dass die Entschlüsselung im Gegensatz zur Verschlüsselung nicht rekursiv ist.

Trotz des Vorteils der Selbstsynchronisation wird der CFB in der Praxis nur selten eingesetzt: Spielt die Fehlerfortpflanzung auf den nächsten Block in einer bestimmten Anwendung keine Rolle bzw. wird durch geeignete zusätzliche Verfahren kompensiert, wird meist der CBC verwendet. Wird eine Stromchiffre ohne Fehlerfortpflanzung in einer Anwendung benötigt, wird meist der Modus OFB verwendet.