ZESZYTY NAUKOWE WYDZIAŁU ETI POLITECHNIKI GDAŃSKIEJ Nr 4 Seria: Technologie Informacyjne 2006 ANALIZA METODY SZYFROWANIA "ZT-UNITAKOD"

Transkrypt

1 ZESZYTY NAUKOWE WYDZIAŁU ETI POLITECHNIKI GDAŃSKIEJ Nr 4 Seria: Technologie Informacyjne 2006 Zakład Matematyki Dyskretnej, Wydział Fizyki Technicznej i Matematyki Stosowanej, Politechnika Gdańska ANALIZA METODY SZYFROWANIA "ZT-UNITAKOD" Streszczenie W pracy dokonano analizy protokołu kryptograficznego nazwanego "metoda szyfrowania ZT- UNITAKOD" i zaproponowanego przez Zygmunta Topolewskiego w [10]. Autor metody twierdzi, że zaproponował metodę szyfrowania nie wymagającą klucza. W pierwszej części pracy przedstawiono opis metody i wariantów niektórych proponowanych w [10] algorytmów. W drugiej części przeprowadzono analizę protokołu kryptograficznego zaproponowanego w opisie metody i wskazano na istnienie klucza niezbędnego do wykonania skutecznej deszyfracji. 1. WSTĘP Po raz pierwszy miałem okazję poznać metodę szyfrowania ZT-UNITAKOD w roku 1994 przy okazji konferencji Polman'94 [8]. Już pobieżna lektura materiałów rozprowadzanych przez autora metody wskazywała, że albo autor czegoś nie powiedział, albo czegoś nie zrozumiał. W roku 2003 ukazała się publikacja recenzowana "Komputerowe zabezpieczenie poufności informacji w zarządzaniu" [10]. Znaczna część tej publikacji to prezentacja metody ZT-UNITAKOD. Okazało się, że autor od wielu lat pracował nad swoim pomysłem. Wykonał szereg opracowań i opublikował kilka prac naukowych opisujących metodę szyfrowania nie wymagającą przesyłania klucza pomiędzy nadawcą i odbiorcą wiadomości [1, 2,3, 4. 5, 6, 7, 9]. Prace te były podstawą kariery naukowej autora metody. W [10] autor metody tak ocenia swój pomysł: "Jest to, więc dzień, w którym po raz pierwszy na świecie ukazał się program komputerowy służący zabezpieczeniu informacji z pominięciem klasycznych kluczy szyfrujących" (s.27), "Jest to pierwsza na świecie metoda bez konieczności stosowania dystrybucji kluczy" (s.57), "Klucz był, jest i pozostanie tym elementem, który obniża moc kryptograficzną każdej metody" (s.69) i "Otóż moja metoda łamie obowiązujące do tej pory zasady w kryptografii. Nie tylko, że nie dostarcza informacji przeciwnikowi (osobie nieupoważnionej), lecz ilość niewiadomych rośnie w zatrważającym tempie wraz z długością szyfrogramu" (s.105).

2 2 Sukcesy zawodowe autora metody [6] i uzyskany patent [11], sformułowane powyżej opinie oraz plany dalszych prac nad udoskonaleniem metody zachęcają do jej przeanalizowania. 2. OPIS METODY Metoda szyfrowania jest przedstawiona w [10] w rozdziałach 3 i 4. Przedstawiony tam opis metody jest bardzo chaotyczny, ale pierwszy wariant opisu można sprowadzić do następującego algorytmu szyfrowania 1 : s ( t x ) mod N (2.1) gdzie: t "element tablicy kryptograficznej" ([10]s.31); x "element tablicy zawierającej przesyłany meldunek" ([10]s.31), N "liczba znaków alfabetu; dla kodu ASCII wartość N = 256 ([10]s.35)", s "element tablicy zawierającej szyfrogram"([10]s.31). Tablica kryptograficzna jest macierzą o wymiarze N x N. Zawartość tablicy powstaje w trzech krokach: 1. Zainicjowanie tablicy kryptograficznej [t'']. 2. Utworzenie przejściowej tablicy kryptograficznej [t']. 3. Utworzenie końcowej tablicy kryptograficznej [t]. W pierwszym kroku tablica kryptograficzna jest zainicjowana przez użytkownika systemu ([10]s.32). Użytkownik systemu podaje zawartość pierwszego wiersza tablicy. Kolejne wiersze tablicy powstają przez cykliczne przesunięcie tego wiersza. Elementy t' przejściowej tablicy i elementy t końcowej tablicy kryptograficznej są generowane z zastosowaniem następującego przekształcenia (nazywanego w [ 10](s.33) "generatorem liczb pseudolosowych"!?): t ' ( a' t ( a t '' ' b')mod N b)mod N (2.2) gdzie: a, a' "liczby z przedziału od 1 do 255 spełniające warunek a 1(mod 4), a' 1(mod 4) ", b, b' "liczby nieparzyste z przedziału od 1 do 255". 1 W [10] można znaleźć przynajiej cztery inne zapisy algorytmu szyfrowania. Zapis przedstawiony w tekście referatu jest opisem najdokładniejszym i realizowalnym. Inne zależności szyfrujące podane przez autora metody to: s wk = (t + x ) mod N, w = (m+i) mod N, k = (n+j) mod N (s.29), SZYFR = (T + X ) mod N (s.31) Szyfr = (T + X) mod N (s.35), Szyfr[k] = (Meldunek[1] + Tablica_Kryptograficzna_TA_[i,j])modulo 256 (s.41)

3 Analiza metody szyfrowania ZT-UNITAKOD 3 W tworzeniu tablicy przejściowej autor proponuje zastosować tylko ożenie ("generator multiplikatywny" [10]s.36 i 37). W algorytmie szyfrowania przedstawionym na stronach [10] stosuje jednak również dodawanie. Wartości liczb a' i b' są tam odczytywane z tablic Tablica_liczb_a_31 i Tablica_liczb_b_31. Tablice te zawierają 31 liczb a' i b', ale trudno powiedzieć w jaki sposób zostały one do tych tablic wybrane ze zbioru wszystkich par spełniających warunki definicji (2.2). Przy odczytywaniu zarówno wartości a' jak i b' stosuje się zmienną nr_pary_a/b_31, której wartość jest obliczana jako reszta z dzielenia przez 31 wartości licznika sekund odczytanego z zegara systemu komputerowego realizującego algorytm: nr_pary_a/b_31 = Sekundy mod 31; a = Tablica_liczb_a_31[nr_Pary_a/b_31] b = Tablica_liczb_b_31[nr_Pary_a/b_31] W ten sposób wartości a' i b' są zależne od momentu rozpoczęcia szyfrowania. W wyznaczaniu wartości elementów końcowej tablicy kryptograficznej ponownie stosowana jest zależność (2.2) i stosowane są tablice: Tablica_liczb_a_256 oraz Tablica_liczb_b_256, a wybór wartości a i b jest zależny od wartości zmiennej nr_pary_a/b_256, która jest funkcją wartości (Iloczyn_Elementow_Czasu) mod 256. Powoduje to kolejne uzależnienie zawartości tablicy kryptograficznej od momentu rozpoczęcia szyfrowania i uzasadnia stwierdzenie autora metody: "pary a i b obowiązują na dany dzień szyfrowania (s.33)". W rozdziale 4 zaproponowano kolejny wariant wyznaczania tablicy kryptograficznej [t''] służącej do szyfrowania "informacji sterującej" oraz dwa warianty wyznaczania zawartości tablicy kryptograficznej [t] służącej do szyfrowania tekstu jawnego. Wszystkie warianty uzależniały zawartość tablicy kryptograficznej przeznaczonej do szyfrowania "informacji sterującej" od momentu rozpoczęcia procesu szyfrowania. W każdym z dwóch chaotycznie przedstawionych scenariuszy nadawca szyfrogramu generuje tablicę kryptograficzną w oparciu o "informację sterującą", a "informacja sterująca" jest szyfrowana za pomocą tablicy kryptograficznej [t''] utworzonej z zastosowaniem generatora liczb pseudolosowych. Parametry pracy tego generatora są związane w prosty sposób z numerem dnia szyfrowania. Zgodnie z powtarzającym się opisem algorytm deszyfrowania polega na odtworzeniu po stronie odbiorczej "informacji sterującej" i tablicy kryptograficznej zastosowanej do szyfrowania oraz zastosowaniu przekształcenia odwrotnego: x x s ( s, dla s ) N, dla s 0 0 (2.3) Zależność (2.3) pochodzi ze strony 31 2 [10]. 2 Inne formy zapisu metody deszyfrowania można znaleźć na stronach: 28 i 29: t swk x 36: B = S A, dla S A > 0; B = (S A) + N, dla S A 0 44: Meldunek[1] = (Szyfr[k] - Tablica_Kryptograficzna_TA_[i,j])modulo 256

4 4 4. ANALIZA METODY SZYFROWANIA Algorytmem kryptograficznym nazywamy taką parę przekształceń E() i D(), dla której przekształcenie E() na podstawie tekstu jawnego X utworzy tekst szyfrogramu S, a przekształcenie D() na podstawie szyfrogramu S pozwoli uzyskać tekst jawny X. Parametrem tych przekształceń jest klucz kryptograficzny (bądź para kluczy) znany tylko nadawcy i odbiorcy szyfrogramu. Przekształcenia E() i D() są tak skonstruowane, aby nieznajomość klucza uniemożliwiała odtworzenie tekstu jawnego. Autor analizowanej metody uważa, że proponuje taką parę przekształceń, która nie wymaga stosowania klucza. Od razu pojawia się pytanie: skoro do odczytania tekstu jawnego na podstawie szyfrogramu nie jest wymagany klucz to dlaczego ten tekst nie może być odczytany przez każdego kto zna oba przekształcenia? W ramach analizy proponowanej metody szyfrowania najpierw spróbuję sprawdzić czy opisana metoda szyfrowania pozwala na wygenerowanie takiego szyfrogramu na podstawie, którego będzie można odtworzyć tekst jawny. Następnie ocenię bezpieczeństwo metody. Zgodnie z definicją (2.1), chcąc zaszyfrować 'znak' tekstu jawnego, możemy go dodać do dowolnego elementu tablicy [t] i otrzymać 'znak' szyfrogramu. Opis metody nie wiąże pary indeksów ( i,j) z parą ( m,n) i stąd dowolność wyboru elementu tablicy [t]. Jednakże algorytm przedstawiony na stronie 41 wiąże początkowe wartości indeksów ( m,n) z wartościami zmiennych nr_liczby_5 i nr_pary_a/b_256. Zmienna nr_liczby_5 jest funkcją (Suma_Elementow_Czasu) mod 256. Zmienna nr_pary_a/b_256 jest stosowana do wyznaczenia wartości tablicy kryptograficznej [t]. Uzależnienie początkowych wartości indeksów ( m,n) od wartości tych zmiennych oznacza uzależnienie ich od czasu szyfrowania. Kolejne 'znaki' szyfrogramu otrzymujemy zwiększając indeksy m i n (mod 256). Zapewne w ten sposób powstały szyfrogramy zaprezentowane na stronach Dla wariantu metody przedstawionego w rozdziale 4 brakuje opisu powiązania wymienionych par indeksów, a wskazane w rozdziale 3 zmienne nr_... nie są tworzone i stosowane. Jak dokonać deszyfracji odebranego szyfrogramu? Odbiorca dysponuje tablicą [s] zawierającą szyfrogram. Wartości elementów tablicy kryptograficznej [t] są odbiorcy nieznane, gdyż były wygenerowane specjalnie dla każdego szyfrowanego tekstu jawnego. Autor metody szyfrowania założył, że odbiorca odtworzy tablicę [t] na podstawie "informacji sterującej". W [10] przedstawiono dwa warianty tworzenia macierzy [t''] niezbędnej do deszyfrowania "informacji sterującej". Wariant pierwszy jest przedstawiony w rozdziale 3, a wariant drugi w rozdziale 4. Pierwszy pomysł polega na tym, że odbiorca zna wartość wiersza służącego do zainicjowania tablicy kryptograficznej [t''] (s.32). Drugi pomysł polega na zastosowaniu do tworzenia tablicy [t''] generatora liczb pseudolosowych. Początkowe parametry pracy tego generatora są określone następująco: wszystkie liczby nieparzyste z przedziału (1, 255) numerujemy w dowolnej kolejności i wybieramy do generatora liczb pseudolosowych tę, która ma numer odpowiadający numerowi dnia szyfrowania mod 127. Drugi parametr początkowy generatora liczb pseudolosowych jest również wartością z tego samego ciągu ponumerowanych liczb nieparzystych, ale "przesuniętą o wartość n, gdzie n jest dowolnie ustaloną wielkością" [10]. Protokół kryptograficzny zaproponowany w metodzie ZT-UNITAKOD można podsumować następująco:

5 Analiza metody szyfrowania ZT-UNITAKOD 5 'Alicja' generuje tablicę kryptograficzną [t'']. Następnie korzystając z "informacji sterujących", związanych z wartościami zegara systemu szyfrującego w momencie rozpoczęcia szyfrowania, generuje tablicę kryptograficzną [t]. Dokładny sposób wygenerowania zawartości tej tablicy nie jest w tym momencie istotny. Ważne jest natomiast, że algorytm generowania zawartości tych tablic jest powszechnie znany. Korzystając z przekształcenia (2.1) oraz pewnych niezbyt dobrze opisanych w [ 10] metod wyznaczenia związku między parami indeksów ( i,j) oraz ( m,n) 'Alicja' tworzy: 1. szyfrogram "informacji sterujących" (korzystając z tablicy [t'']), 2. szyfrogram tekstu jawnego (korzystając z tablicy [t]), 3. jeden komunikat łączący oba szyfrogramy i przesyła go 'Bolkowi'. 'Bolek' po otrzymaniu komunikatu zawierającego dwa szyfrogramy: 1. wydziela z otrzymanego komunikatu szyfrogram "informacji sterujących" i szyfrogram tekstu jawnego, 2. korzystając z tablicy [t''] odczytuje "informacje sterujące" z szyfrogramu "informacji sterujących", 3. korzystając z odczytanych "informacji sterujących" generuje bieżącą zawartość tablicy [t], 4. korzystając z odtworzonej tablicy [t], z zależności (2.3) i metody wiązania indeksów tablicy [t] z indeksami 'znaków' szyfrogramu odczytuje tekst jawny. [t'']?? [t''] Zegar IS (2.1) E(IS [t'']) (2.3) IS [t] [t] [x] (2.1) E([x] [t]) (2.3) [x] Rys. 3.1 Ilustracja protokołu kryptograficznego zaproponowanego w metodzie ZT-UNITAKOD Rysunek 3.1 ilustruje zaproponowany protokół i jest podsumowaniem analizy metody ZT-UNITAKOD. Tuż przed zaszyfrowaniem tekstu jawnego [x] generowana jest tablica

6 6 kryptograficzna [t]. Tablica ta jest generowana na podstawie "informacji sterującej" i zawartości tablicy [t'']. U odbiorcy zawartość tablicy [t] dla każdego odebranego szyfrogramu E([x] [t]) jest odtwarzana na podstawie szyfrogramu zawierającego "informację sterującą". "Informacja sterująca" jest przekazywana odbiorcy w szyfrogramie E([IS] [t'']) zaszyfrowanym z zastosowaniem tablicy [t'']. W [10] przedstawiono dwie metody odtworzenia tablicy kryptograficznej [t''] u odbiorcy. W pierwszej odbiorca znał zawartość pierwszego wiersza tej tablicy (o długości 256 bajtów) i rekonstruował ją poprzez cykliczne przesuwanie tego wiersza o jedną pozycję w każdym następnym wierszu tej tablicy. Autor metody niestety nie wyjaśnił w jaki sposób odbiorca pozna wiersz niezbędny do wygenerowania tablicy [t'']. W drugim wariancie odbiorca na podstawie znajomości dnia nadania szyfrogramu oraz uzgodnionej z nadawcą permutacją 127 liczb nieparzystych oraz liczbę całkowitą, iejszą od 127, odtwarzał wartości niezbędne do wygenerowania tablicy. Autor analizowanej metody szyfrowania nie zastanawiał się skąd odbiorca ma znać dokładny dzień nadania szyfrogramu. Problem ten pojawi się przy szyfrogramach nadawanych tuż przed godziną 24.00, a odbieranych kilka chwil po tej godzinie. Autor metody ocenia jej moc kryptograficzną. Atak brutalny zdaniem autora wymagałby (256!) 256 prób zbudowania tablicy [t] (s. 101). Czy rzeczywiście nie ma w tej metodzie klucza? Autor po prostu nie zauważa jego obecności. Kluczem w tym rozwiązaniu jest informacja niezbędna do odtworzenia tablicy kryptograficznej [t''] po stronie odbiorczej (oznaczona na rysunku znakami zapytania). Jeśli odbiorca zna te informacje, to ma możliwość odczytania szyfrogramu. To samo dotyczy kryptoanalityka. Poznanie tych informacji umożliwi każdemu odczytanie szyfrogramu. Niezależnie od tego czy je zgadnie czy otrzyma od nadawcy. Na podstawie tego klucza jest generowana tablica kryptograficzna o ponad 60 tysiącach bajtów, tworząc u odbiorcy jednorazowy klucz sesyjny dla prostego szyfru podstawieniowego zastosowanego do zaszyfrowania tekstu wiadomości. Jednorazowy klucz sesyjny jest zapewne często dłuższy niż tekst jawny. Z przedstawionego protokołu wynika, że ocena mocy kryptograficznej tej metody nie powinna być oparta o próbę odgadnięcia zawartości tablicy [t], lecz o próbę odgadnięcia klucza, którego autor nie chciał zobaczyć, czyli informacji niezbędnych do odtworzenia tablicy [t'']. Stąd rzeczywista moc kryptograficzna metody jest znacznie niższa i wynosi ( ) w pierwszym wariancie a ( ) w drugim wariancie (dwie małe liczby nieparzyste i 112 bitów zmiennej TIME - [10](s.76)). Porównanie otrzymanych oszacowań z innymi systemami kryptograficznymi pokazuje, że w pierwszym wariancie metody proponowany klucz jest znacznie dłuższy niż klucze powszechnie stosowane w symetrycznych protokołach kryptograficznych. W praktyce w tych protokołach stosuje się klucze od 40 do 256 bitów (od 5 do 32 bajtów). W wariancie drugim jest to 126 bitów. Analizę metody można w miarę efektywnie przeprowadzić na poziomie analizy proponowanego protokołu kryptograficznego. Analiza możliwości przeprowadzenia skutecznego ataku innymi metodami niż atak brutalny nie jest możliwa, gdyż szczegóły algorytmów stosowanych zarówno do generowania tablic [t''] i [t] jak i szyfrowania są przedstawione nadzwyczaj niestarannie. Z tych samych powodów nie jest możliwa oceny sprawności algorytmów składających się na analizowany protokół.

7 Analiza metody szyfrowania ZT-UNITAKOD 7 4. ZAKOŃCZENIE Analizowana metoda szyfrowania jest przykładem szyfru blokowego o bloku długości bitów. Metoda ta nie spełnia oczekiwań jej autora i wbrew jego zapowiedziom stosuje klucz. Okazało się, że proponowana metoda nie jest 'kryptograficznym perpetum mobile' i niezauważonym przez autora metody kluczem jest informacja niezbędna do wygenerowania tablicy kryptograficznej przeznaczonej do zaszyfrowania "informacji sterującej" służącej wraz ze wspoianą tablicą kryptograficzną do wygenerowania jednorazowego klucza sesyjnego dla prostego algorytmu podstawieniowego. Ponadto sposób przedstawienia metody nie daje możliwości: zaimplementowania podstawowych algorytmów, ocenienia efektywności procesu szyfrowania i deszyfrowania, zaproponowania innych typów ataku niż atak brutalny. BIBLIOGRAFIA [1] Topolewski Z.: Ochrona systemów informatycznych w systemach przetwarzania danych, Politechnika Wrocławska, 1979 [2] Topolewski Z.: Ochrona informacji w zakresie identyfikacji i kontroli, Politechnika Wrocławska, 1979 [3] Topolewski Z.: Próba określenia rzeczywistej skuteczności dotychczasowych metod ochrony zbiorów informatycznych, Politechnika Wrocławska, 1980 [4] Topolewski Z.: Analiza i synteza ochrony informacji w procesach przetwarzania i teletransmisji danych, Politechnika Wrocławska, 1985 [5] Topolewski Z.: Ochrona informacji w procesach przetwarzania i teletransmisji danych, Politechnika Wrocławska, [6] Topolewski Z.: Komputerowe zabezpieczenie poufności informacji, Rozprawa habilitacyjna ASG, Warszawa, 1989 [7] Topolewski Z.: Komputerowe zabezpieczenie przetwarzanej i przesyłanej informacji, WSOIW, Wrocław, 1994 [8] Topolewski Z.: System kryptograficzny ZT Ultra-Perfect, materiały na prawach rękopisu dostępne na konferencji Polman'94, Poznań, [9] Topolewski Z.: Analiza i synteza szyfrowania informacji, Wyższa Szkoła Oficerska, Wrocław, 1995 [10] Topolewski Z.: Komputerowe zabezpieczenie poufności informacji w zarządzaniu, Wrocław: wydawnictwo Continuo (Wyższa Szkoła Handlowa we Wrocławiu), 2002 [11] Pantent w Stanach Zjednoczonych Ameryki: System and method ZT-UNITAKOD for encrypting and decrypting data, nr 08/ ANALYSIS OF AN ENCRYPTION METHOD "ZT-UNITAKOD" Summary This paper presents analysis of a cryptographic protocol called "encryption method ZT-UNITAKOD" hich was proposed by Zygmunt Topolewski in [10]. The author of "ZT-UNITAKOD" method claims, that this encryption method doesn't need a key to encrypt and decrypt messages. The first part of this paper contains description of proposed method and its variants. Second part presents analysis of cryptographic protocol and shows that this method uses a key, which is necessary to execute effective decryption.