WST P DO KRYPTOGRAFII. Grzegorz Szkibiel. Jesie«2012/13

Transkrypt

1 WST P DO KRYPTOGRAFII Grzegorz Szkibiel Jesie«2012/13

2 Spis tre±ci 1 Kryptograa a steganograa Steganograa Szyfry przestawieniowe Systemy kryptograczne Klasyczne metody szyfrowania Szyfry cykliczne Monoalfabetyczny szyfr Beauforta Kody aniczne jednowymiarowe Permutacje alfabetu Analiza cz sto±ci wyst powania liter Homofony i nulle Jednostki dwuliterowe czyli digramy Szyfr Playfaira Podwójny szyfr Playfaira szyfr Delastelle'a Jednostki wieloliterowe Szyfry polialfabetyczne Ša«cuch szyfrów i DES Maszyny szyfruj ce Zasada dziaªania Jak zªamano szyfr ENIGMY Macierze szyfruj ce Algebra liniowa modulo N Szyfry Hill'a Aniczne przeksztaªcenia szyfruj ce

3 5 Pakowanie plecaka Postawienie problemu Szybko rosn ce ci gi Kryptosystem oparty na problemie pakowania plecaka Systemy z publicznym kluczem Numeryczna funkcja jednokierunkowa Funkcje skrótu poufno± i autentyczno± Wymiana kluczy funkcje jednokierunkowe System RSA Rozkªad liczb na czynniki Liczby wybrane losowo Zasada dziaªania systemu RSA Wpadka systemowa wspólny moduª Wpadka systemowa niski wykªadnik Teorio-liczbowe podstawy RSA Systemy pozycyjne Iterowane podnoszenie do kwadratu Twierdzenie Eulera i Maªe Twierdzenie Fermata liczby pseudo-pierwsze Chi«skie twierdzenie o resztach Kongruencje stopnia Gra w orªa i reszk przez telefon Zastosowania arytmetyki modulo m do rozkªadu liczb Wzory skróconego mno»enia Metoda ρ rozkªadu na czynniki Metoda faktoryzacji Fermata Bazy rozkªadu

4 10 Logarytm dyskretny Poj cie logarytm dyskretny System DiegoHellmana uzgadniania klucza System kryptograczny Masseya-Omury System ElGamala Protokoªy o zerowej wiedzy i przekazy nierozró»nialne Kolorowanie mapy Logarytm dyskretny Przekazy nierozró»nialne Dowód faktoryzacji

5 Rozdziaª 1 Kryptograa a steganograa Kryptograa jako dyscyplina matematyczna zajmuj ca si metodami przesy- ªania wiadomo±ci w zakamuowanej formie tak, aby tylko adresat mógª odczyta wiadomo±, rozwin ªa si w drugiej poªowie dwudziestego wieku chocia» byªa ona stosowana znacznie wcze±niej. Do czasów drugiej wojny ±wiatowej szyfrów oczywi±cie u»ywano, jednak aparat matematyczny nie byª stosowany do ich tworzenia. Prawdziwa bomba wybuchªa, kiedy u»ywane od lat dwudziestych maszyny mechaniczne zostaªy zast pione przez komputery o du»ej mocy obliczeniowej. Wówczas okazaªo si,»e praktycznie ka»dy szyfr wynaleziony do tego czasu mo»e by zªamany w stosunkowo krótkim czasie. Zaistniaªa potrzeba systemu szyfruj cego, który nie tylko chroniªby tajemnice wojskowe, ale przede wszystkim informacje bankowe ukryte w ogólnie dost pnej sieci komputerowej. Wiadomo przy tym,»e tego rodzaju system b dzie,,atakowany od samego pocz tku. Z drugiej strony, na pocz tku lat siedemdziesi tych ujawniono w ko«cu, kto zªamaª tajemnic niemieckiej ENIGMY. To zmusiªo wielu matematyków i informatyków do gª bszego zainteresowania si,,now dziedzin nauki, która stanowi najszersz drog od matematyki do informatyki. Kryptograa jednak»e jest nauk si gajac jeszcze czasów staro»ytnych. W trakcie wykªadu prze±ledzimy histori tej nauki oraz wejdziemy w nowoczesne metody szyfrowania. 5

6 1.1 Steganograa Jest wiele terminów okre±laj cych, z pozoru mogªoby si wydawa, t sam rzecz: kryptograa, kryptologia, kodowanie, steganograa, szyfrowanie itd. Jednak»e dla osób dogª bnie studiuj cych temat, ró»nice mi dzy tymi poj ciami staj si wyra¹ne. Steganograa, na przykªad zajmuje si kamuowaniem tekstu w dosªownym tego sªowa znaczeniu. Zakamuowanie (zakrycie) i odkrycie tekstu nie wymagaj skomplikowanych algorytmów, tylko pewnej zasady logicznej, szablonu, b d¹ odczynników chemicznych. Opiszemy tu najpopularniejsze metody steganografów. Jedn z metod jest u»ywanie w tek±cie dwóch charakterów pisania poszczególnych liter. Litery napisane inaczej utworz ukryty tekst. Innym sposobem jest robienie maªej przerwy tu» przed liter, któr chcieliby±my»eby adresat przeczytaª. Zamiast pisa dªugi i nic nie znacz cy tekst mo»na wykorzysta tekst ju» napisany (np. gazet lub ksi»k ) i zaznaczy potrzebne litery tak, aby nikt niepowoªany nie domy±liª si, ze co± jest zaznaczone: Sto dwadzie±cia zªotych jest mi znów potrzebne. Kochany Tato przy±lij mi je w czwartek. Ryby w tym jeziorze s wyj tkowo nieuchwytne. S t o dwadzie±cia zªotych j e s t mi znów potrze bne. Kochan y Ta t o przy±lij mi je w c zwartek. R yby w tym jez iorze s wyj tkowo ni euchwytne. Inn metod jest wskazanie ci gu liczb pokazuj cych pozycj danej litery b d¹ w alfabecie, b d¹ te» w jakiej± ksi»ce. Na przykªad posªuguj c si ksi»k Neal'a Koblitza,,Wykªad z teorii liczb i kryptograi mo»emy zaszyfrowa sªowo,,mama ci giem liczb Ci g ten rozszyfrowujemy licz c litery od okre±lonego miejsca w ksi»ce. W naszym przypadku jest to pocz tek tekstu,,wst pu. By wskaza po» dany ci g liczb mo»emy posªu»y si cho by pudeªkiem domina przesªanym w paczce. Aby ukry wiadomo± mo»na te» si posªu»y rebusem, lub te» labiryntem z literami w korytarzach. Prawidªowe przej±cie takiego labiryntu ujawni nam ukryty tekst. Podobnie, wiadomo± mo»emy schowa w obrazek z dziwnymi detalami, który staje si czytelny, gdy w odpowiedniej od niego odlegªo±ci mrugniemy oczami i zobaczymy trójwymiarowy rysunek. Obraz, jako taki, te» mo»e posªu»y steganografowi do ukrycia wiadomo±ci. Na przykªad pewne detale (¹d¹bªa traw lub tym podobne) mog ukªada si w kod Morse'a. Ciekaw grup metod steganogracznych jest zamiana ukrywanej wiado- 6

7 mo±ci w ªatwo, ale na pewno ¹le zrozumian wiadomo± brzmi c caªkiem nieszkodliwie. Mo»na rozró»ni tu dwie kategorie: maskowanie i zasªanianie. Maskowanie wymaga najpierw zgody obu stron co do przekazywanego kodu. Cz sto stosuj to bryd»y±ci, którzy trzymaj c odpowiednio papierosa lub robi c szereg niewinnych czynno±ci, w istocie przekazuj sobie informacje. Mistrzami w przekazywaniu zamaskowanych informacji s te» wi ¹niowie, którzy tworz swój swoisty»argon. niektóre sªowa w tym»argonie to dziura, paka wi zienie; ±nieg, cukier kokaina; obczyszczenie kradzie» itp. W czasie drugiej wojny ±wiatowej, Amerykanie zatrudnili radiooperatorów, którzy rozmawiali w swoim ojczystym j zyku Nawaho. Japo«czycy nie mogli przechwyci i zidentykowa»adnej z wysyªanych wiadomo±ci. Bardzo dobry (jak na tamte czasy) niemiecki szyfr ENIGMA zostaª, jak wiadomo, zªamany. Mówi c o maskowaniu, trudno jest tu nie wspomnie o audycjach radia BBC w 1944 roku, gdzie w±ród tzw, prywatnych wiadomo±ci zapodziaªo si hasªo,,dªugie struny jesiennych skrzypiec, a jaki± czas pó¹niej,,rani me serce monotonnym brzmieniem. Oznaczaªo to dokªadn dat i miejsce inwazji na Francj. Niemiecka Abwehra Admiraªa Canarisa rozszyfrowaªa dokªadnie t wiadomo±, która dotarªa do wszystkich niemieckich jednostek z wyj tkiem stacjonuj cej w Normandii VII armii. Do dzi± nie wyja±niono w peªni, dlaczego armia ta nie zostaªa ostrze»ona. Wspomnie mo»emy tak»e o audycjach Polskiego Radia, nadaj cych sªynne,,uwaga, uwaga, nadchodzi, KO-MA 27. Tak»e Japo«czycy,»eby przekaza swoim statkom wiadomo± o wojnie z USA u»yli sªów,,higaszi no kaze ame (wschodni wiatr, deszcz). Sªowa te zostaªy wplecione w prognoz pogody i powtórzone dwukrotnie. Z maskowaniem sªów za pomoc zjawisk meteorologicznych trzeba jednak mocno uwa»a, o czym przekonaªa si Miss Holly Golightly w lmie,, niadanie u Tianiego. Przekazana przez ni,,wiadomo± o pogodzie, która brzmiaªa,,±nieg w Nowym Orleanie byªa mocno podejrzana i stró»owie prawa skojarzyli to sobie z handlem kokain. Zasada zasªaniania tekstu najcz ±ciej jest typu,,czytaj nt liter po okre±lonym znaku. Mo»e to by spacja, pocz tek nowej linii tekstu lub samogªoska. Zasªanianie stosowali powszechnie»oªnierze, którzy chcieli przekaza miejsce swego pobytu rodzinie, ale nie mogli tego zrobi w ocjalny sposób. Dla jednego z nich nie sko«czyªo si to dobrze, poniewa» rodzice w li±cie powrotnym spytali go:,,gdzie jest to Nutsi? Nie mo»emy znale¹ tego w»adnym atlasie!. Równie» Kornel Makuszy«ski w ksi»ce,,szatan z siódmej klasy u»yª ten rodzaj zasªaniania. Bohater ksi»ki tak sprytnie 7

8 napisaª list,»e jego przyjaciele bez wi kszego trudu rozszyfrowali wiadomo±, któr chciaª przekaza : Serdecznie ukochany panie profesorze! Trzeba byªo takiego jak ja wariata, aby nie znaj c okolicy ruszy na dalek w drówk. Takim jednak szcz ±cie sprzyja. Ziemie okoliczne s bardzo pi kne, lecz Ejgoªa pi kniejsza. al mi jedynie,»e pana tu ze mn nie ma. Caªy jestem i zdrów. Znalazªem miªe towarzystwo i dlatego nie wiem dobrze, kiedy wreszcie powróc do Ejgoªy. B d¹cie jednak»e o mnie spokojni, cho bym nawet dªugo nie powracaª. Ogromnie mi t skno za panem, panie profesorze, za pani Mari i pann Wandeczk. ciskam wszystkich i ª cz ukªony dla caªego domu. Wdzi czny Ada±. Inny sposób zasªaniania wymaga szablonu, którym zasªania si napisany tekst. W okienkach szablonu odczytujemy nasz ukryt wiadomo±. Metoda ta wymaga jednak doskonaªego wyczucia miejsca umiej tno±ci dopasowania tekstu tak, aby odpowiedni wyraz znalazª si w wyznaczonym szablonem miejscu. 1.2 Szyfry przestawieniowe Szyfry przestawieniowe (lub anagramowe) s tak»e rodzajami steganogramów, mimo»e okre±la si je mianem,,szyfry. Dokªadnie,»eby zaszyfrowa pewien tekst, przestawiamy jego litery wedªug okre±lonej zasady. Przytoczymy tu dwa przykªady szyfrów przestawieniowych. Szyfr pªotowy. Ukªadamy litery tekstu,,wzdªó» pªotu, tj. wzdªó» ªamanej zªo»onej ze sko±nych odcinków. Wysoko± pªotu jest okre±lona liczb liter przypadaj c na jeden odcinek ªamanej. Nast pnie tekst zaszyfrowany odczytujemy wierszami. Na przykªad, chc c zaszyfrowa tekst INSYGNIA MIERCI pªotem o wysoko±ci 3, zapisujemy I G R N Y N A M E C S I I I 8

9 i przepisujemy ig±rnynamecsiii. Generalnie, przy szyfrowaniu obowi zuje zasada,»e w tek±cie zaszyfrowanym nie ma znaków interpunkcyjnych ani spacji. Mo»e to prowadzi do nieporozumie«, ale zasada ta utrudnia te» ewentualne ªamanie szyfru. Przy pªocie wysoko±ci 5, zaszyfrowany tekst kªsókipr ew»i, to KSI E PÓŠKRWI. Szyfr kwadratowy. Tekst, który chcemy zaszyfrowa wpisujemy w kwadrat (lub kilka takich samych kwadratów) wierszami, a jako szyfr odczytujemy kolumnami, i to wedªug pewnej permutacji. Na przykªad, u»yjemy kwadratu 4 4 z permutacj (12)(34) i zaszyfrujemy tekst KOMNATA TA- JEMNIC. Poniewa» tekst ten ma mniej ni» 16 liter, na jego ko«cu dopisujemy dowolne litery (tzw. nulle) i wpisujemy tekst w kwadrat K O M N A T A T A J E M N I C X Odczytuj c kolumy wg kolejno±ci , otrzymujemy otjikaanntmxmaec. Istotn wskazówk identykuj c szyfr kwadratowy jest fakt,»e liczba liter w tek±cie zaszyfrowanym jest wielokrotno±ci kwadratu liczby naturalnej n. Sama liczba n oznacza dªugo± boku kwadratu. Np. tekst aeim«lkifzinocyofz ma 18 liter, co mo»e oznacza,»e zostaª u»yty szyfr kwadratowy z kwadratem o boku 3, a do zaszyfrowania u»yto dwóch kwadratów. 1.3 Systemy kryptograczne Podstawowym elementem, który odró»nia steganogra od kryptograi jest system kryptograczny. Jest to poj cie które w przypadku metod kryptogra- cznych mo»na w miar ªatwo zdeniowa. Na pocz tek zdeniujmy kilka podstawowych elementów. Aby jednak wiadomo± mogªa by wysªana, najpierw trzeba j w jaki± sposób napisa. W tym celu u»ywamy alfabetu, który deniujemy jako dowolny zbiór sko«czony. Liczb elementów zbioru A (alfabetu) b dziemy oznacza przez A, #A lub A. Do zapisywania wiadomo±ci b dziemy u»ywa alfabetu ªaci«skiego A, B, C, D, E, F, G, H, I, J, K, L, M, N, O, P, Q, R, S, T, U, V, W, X, Y, Z, 9

10 który uto»samimy z liczbami 0, 1, 2,..., 25. B dziemy te» rozwa»a inne alfabety, którym w podobny sposób odpowiada b d liczby ze zbioru Z q wszystkich liczb caªkowitych nieujemnych i mniejszych od q. Zbiór ten ma t zalet,»e jego elementy mo»na dodawa, odejmowa i mno»y zgodnie z zasadami arytmetyki modulo q. Litery alfabetu mo»na ukªada w bloki liter. Blok dwuliterowy nazywamy digramem, trzyliterowy trigramem i, ogólnie, blok nliterowy nazywamy n gramem. Litery i bloki liter ukªadaj si w tekst. Oznaczmy przez A n zbiór wszystkich ngramów z alfabetu A. Tekstem nazywamy dowolny element zbioru A = A n. n 0 Generalnie, szyfrujemy tylko wiadomo±ci, które co± oznaczaj, wi c nie mog to by przypadkowe ci gi liter. Koniecznym zatem jest zdeniowanie poj cia j zyka. J zykiem nazywamy dowolny podzbiór zbioru A. Zaªó»my wi c,»e mamy wybrany konkretny j zyk oraz pewien tekst w tym j zyku. Tekst ów nazywamy jawnym lub otwartym. Alfabet A, w którym jest on napisany tak»e nazywamy jawnym. Aby przesªa tekst, szyfrujemy go. Mo»emy w tym celu u»y jednego alfabetu szyfrowego B (szyfry monoalfabetyczne), lub te» wielu alfabetów szyfrowych (szyfry polialfabetyczne). W tym drugim przypadku, u»ywa si raczej wielu kopii tego samego alfabetu. Zawsze jednak potrzebne nam jest przeksztaªcenie szyfruj ce, czyli funkcja ró»nowarto±ciowa E okre±lona w A o warto±ciach w B. Je±li m jest tekstem jawnym, to E(m) nazywamy kryptotekstem, lub szyfrem. W dalszej cz ±ci wykªadu b dziemy u»ywa synonimów wymienionych wy»ej poj, które oznacza b d to samo, je±li nie zostanie podana inna de- nicja. Na przykªad, sªowo,,tekst b dziemy stosowa zamiennie ze sªowem,,wiadomo±. Istnieje wiele mo»liwo±ci zdeniowania przeksztaªcenia E. Najpro±ciej jest zada bijekcj e : A B. Poniewa» B ma wówczas tyle samo elementów co A, wi c przyjmujemy,»e A = B. Przeksztaªcenie e generuje E w nastepuj cy sposób. Je»eli m = l 1 l 2... l q jest wiadomo±ci, to E(m) = e(l 1 )e(l 2 )... e(l q ). W podobny sposób generujemy E z funkcji ró»nowarto- ±ciowej e : A n B m. W tym wypadku, liczba liter w szyfrowanej wiadomo±ci musi by podzielna przez n. Je±li tak nie jest, nale»y dopisa do tej wiadomo±ci odpowiedni ilo± liter. Zdeniujemy teraz poj cie kryptosystemu. Kryptosystemem nazywamy 10

11 rodzin przeksztaªce«szyfruj cych {E k : k K}, gdzie K jest pewnym zbiorem (sko«czonym lub nie) zwanym przestrzeni kluczy. Dowolny element k przestrzeni kluczy nazywamy kluczem. Skoro dla dowolnego k odwzorowanie E k jest ró»nowarto±ciowe, istnieje odwzorowanie odwrotne D k, które nazywamy deszyfrowaniem. Je±li m jest wiadomo±ci jawn, to dla dowolnego klucza k, D k (E k (m)) = m. Nie musi jednak zachodzi E k (D k (m)) = m. 11

12 Rozdziaª 2 Klasyczne metody szyfrowania Korzenie kryptograi si gaj czasów staro»ytnego Rzymu. Tam wªa±nie powstaª i byª u»ywany pierwszy system kryptograczny. Od tego systemu, zwanego te» szyfrem Cezara lub cyklicznym zaczniemy nasz przegl d metod klasycznych. Nast pnie rozwa»ymy budow innych, bardziej skomplikowanych systemów, które byªy u»ywane w historii lub te» byªy stworzone do innych celów ni» ochrona tajemnic. 2.1 Szyfry cykliczne Zostaªy wynalezione, a na pewno u»ywane przez Juliusza Cezara. Maj one bardzo ªatwy klucz, ale jednocze±nie s ªatwe do zªamania. Oznaczmy przez p jednostk tekstu jawnego i zaªó»my»e tych jednostek jest N. Wtedy funkcja szyfruj ca E k jest okre±lona wzorem E k (p) = p + k(mod N). Kluczem jest tu liczba k, a przestrze«kluczy pokrywa si z alfabetem Z N. Je±li k jest równe 3, to aby zaszyfrowa sªowo TAK, przeksztaªcamy je w ci g , nast pnie dodajemy do ka»dej z tych liczb 3 modulo 26 otrzymuj c i z powrotem przeksztaªcamy liczby na litery by otrzyma wdn. Przeksztaªcenie szyfruj ce okre±lone powy»ej nazywamy przesuni ciem. Wygodnie jest tutaj napisa alfabet, a pod nim liczby odpowiadaj ce poszczególnym literom. A B C D E F G H I J K L M N O P Q R S T U V W X Y Z

13 W celu odszyfrowania wiadomo±ci tgyfz kqyz, zaszyfrowanej kluczem 6, zamieniamy j najpierw w ci g liczb Tym razem, pd ka»dej z liczb odejmujemy 6 (modulo 26) i otrzymujemy W nast pnym kroku patrzymy jakie litery s na pozycjach z ostatniego ci gu i otrzymujemy wiadomo± jawn NASZ TEKST. Jest ogólnie przyj te,»e tekst zaszyfrowany podajemy w blokach pi cio literowych. Uªatwia to przekazywanie tekstu i zmniejsza ryzyko pomyªki przy wysyªaniu i deszyfrowaniu. Zajmiemy si teraz ªamaniem szyfrów cyklicznych. Je±li wiemy na pewno,»e mamy do czynienia z szyfrem cyklicznym i znamy ilo± liter w alfabecie, czyli N, ªamanie polega na znalezieniu liczby k. Za k wystarczy podstawi ka»d z N mo»liwo±ci i sprawdza po kolei sens otrzymanych w ten sposób wiadomo±ci. Na przykªad, przypu± my,»e chcemy zªama szyfr xolfd vhcdp nrzd. Wiemy przy tym,»e N = 26. Sprawdzamy po kolei wszystkie mo»liwe klucze. Zauwa»amy przy tym,»e odejmowanie liczby k modulo 26 jest tym samym, co dodawanie liczby 26 k modulo 26. Dodajemy wi c do liczb odpowiadaj cych literom szyfru, tj , kolejno k = 1, k = 2,..., k = 25. Cz sto, aby wyeliminowa przypadek wystarczy wypróbowa kilka pierwszych liter. Przy k = 1 mamy pocz tek YPM, co jest nieczytalne. Podobnie dla k = 2. Tym razem mamy ZQ. Szcz ±cie u±miecha si do nas dosy pó¹no, bo dopiero dla k = 23. Otrzymujemy wówczas ci g , co daje fraz ULICA SEZAMKOWA. Ten sposób ªamania szyfrów nazywa si metod brutalnej siªy, lub wyczerpania przestrzeni kluczy. Juliusz Cezar u»ywaª klucza 3, ale i tak dowódcy legionów raczej domy- ±lali si tre±ci przysªanych wiadomo±ci ni» je odszyfrowywali. Jego nast pca, Oktawian August u»ywaª klucza 2, nast pnie 1, a potem w ogóle zrezygnowaª z szyfrowania wiadomo±ci. 2.2 Monoalfabetyczny szyfr Beauforta W zasadzie szyfr ten, wynaleziony przez G. Sestri w 1710 roku, jest cz - ±ci bardziej skomplikowanej techniki szyfrowania. Tutaj przedstawimy tylko podstawowy krok tej techniki, który mo»e istnie jako samodzielny system szyfruj cy. Podobnie jak w przypadku szyfrów Cezara, przestrzeni kluczy jest Z N, 13

14 ale przeksztaªcenie szyfruj ce jest dane wzorem E k (p) = p + k(mod N). Zauwa»my,»e przeksztaªcenie deszyfruj ce ma tak sam posta. Zatem szyfrowanie i deszyfrowanie odbywa si za pomoc tego samego przeksztaªcenia. Zauwa»my te»,»e w przeciwie«stwie do kryptosystemu Cezara, gdzie E 0 byªo identyczno±ci, w kryptosystemie Beauforta, E k nie jest identyczno±ci dla»adnego k. Ze wzgl du na maª liczb kluczy, równie» i ten szyfr mo»na ªama przez wyczerpanie przestrzeni kluczy. Podamy jeszcze alfabet jawny i szyfrowy dla klucza 3. Zauwa»my,»e kolejno± liter w alfabecie szyfrowym jest odwrócona. A B C D E F G H I J K L M N O P Q R S T U V W X Y Z D C B A Z Y X W V U T S R Q P O N M L K J I H G F E 2.3 Kody aniczne jednowymiarowe Je»eli zamiast jednej liczby jeste±my w stanie zapami ta dwie, to mo»emy stosowa nieco bardziej skomplikowany kod aniczny, gdzie przeksztaªcenie szyfruj ce ma posta E(p) = ap + b (mod N). Naszym kluczem jest tu para (a, b). eby rozszyfrowa wiadomo± u»ywamy innego klucza. Dokªadnie, D(c) = a c + b ( mod N), gdzie a jest liczb odwrotn do a modulo N, a b = a b w Z N. Musimy tu uwa»a, czy NWD(a, N) jest równy 1, gdy» w przeciwnym wypadku nasz szyfr nie b dzie jednoznaczny. Kiedy a = 1, kod aniczny staje si kodem cyklicznym. Gdy b = 0, kod aniczny nazywamy szyfrem liniowym. W przypadku alfabetu 26-literowego, przestrze«kluczy ma 312 (= 12 26) elementów. Nie jest to du»a liczba z kyptoanalitycznego punktu widzenia, ale rozwa»enie takiej liczby przypadków mo»e stworzy pewne trudno±ci. Zademostrujemy metod, która ogranicza istotnie liczb rozwa»anych przypadków. 2.1 Przykªad. Zªamiemy szyfr vqtmx ozdtg hgjqm aqhcx bgkgt ag. W szyfrze tym najcz stsz liter jest g, a nast pn jest q. Podejrzewamy,»e g (pozycja 6) to zaszyfrowane a (pozycja 0), natomiast q (pozycja 16), to e (pozycja 4). Mamy wi c 6a +b 0( mod 26) 16a +b 4( mod 26) 14

15 Odejmuj c obie kongruencje stronami otrzymujemy 10a 4 (mod 26), a st d natychmiast a = 3. Chwil potem mamy b = 8 i mamy klucz deszyfruj cy. Zastosowanie tego klucza daje nam tekst jawny Ten szyfr nadaje si do zªamania. 2.4 Permutacje alfabetu Znacznie trudniejsze od szyfrów cyklicznych oraz anicznych s szyfry, w których ka»da litera alfabetu jawnego jest zast piona liter alfabetu szyfrowego bez stosowania okre±lonego algorytmu arytmetycznego. Zatem przestrze«kluczy jest równa zbiorowi wszystkich permutacji alfabetu. W celu uªatwienia zapami tania przeksztaªcenia szyfruj cego stosujemy tu innego rodzaju klucz. Jest to sªowo, którego litery zast puj pocz tkowe litery alfabetu jawnego. Dalsze litery dopisujemy tak jak wyst puj one w alfabecie jawnym przy czym pomijamy ju» wykorzystane znaki. Na przykªad stosuj c klucz,,szyfrowanie dostajemy nast puj ce przeksztaªcenie szyfruj ce: a b c d e f g h i j k l m n o p q r s t u v w x y z S Z Y F R O W A N I E B C D G H J K L M P Q T U V X Opisany powy»ej kryptosystem nazywamy permutacyjnym. Jego odmian jest stosowany w pierwszych maszynach szyfruj cych kryptosystem transpozycyjny, tj. taki, którego przestrze«kluczy jest równa zbiorowi wszystkich permutacji, które mo»na zapisa w postaci iloczynu rozª cznych transpozycji. Przykªadem tu jest nast puj ce przeksztaªcenie szyfruj ce: a b c d e f g h i j k l m n o p q r s t u v w x y z Z C B F R D W K N J H M L I O P T E Y Q X V G U S A Poniewa» szyfry tego rodzaju byªy zaprogramowane w maszynach jako metody standardowe, nikt nie musiaª pami ta klucza. Zalet szyfrów transpozycyjnych jest fakt,»e klucze szyfruj cy i rozszyfrowuj cy s identyczne. Zatem ta sama maszyna sªu»yªa zarówno do szyfrowania jak i do rozszyfrowywania wiadomo±ci. 15

16 2.5 Analiza cz sto±ci wyst powania liter Ta metoda ªamania szyfrów opiera si na prawach rachunku prawdopodobie«stwa. Wiadomo,»e pewne litery wyst puj w tek±cie cz ±ciej ni» inne. Oto alfabet angielski poukªadany wedªug cz sto±ci wyst powania liter: E 12.5%, T, A, O, I, N 9.2-7%, S, R 6%, L, D 4%, C, U, M, F, P, G, W, Y, B 3-1.5%, V, K, X, J, Q, Z 1-0.1%, Je»eli wi c przechwycimy wiadomo± na tyle dªug (lub na tyle du»o wiadomo±ci), aby wyeliminowa przypadkowo±, mo»emy przypuszcza,»e najcz ±ciej powtarzaj ca si litera to zakodowane E, T, A, O, I lub N. Je»eli mamy do czynienia z kodem cyklicznym, nasze sprawdzanie mo»liwo±ci dla b ogranicza si do sze±ciu przypadków. Okazuje si,»e na podstawie badania entropii j zyka, czyli ilo±ci informacji zawartej w jednym symbolu zaszyfrowanego tekstu, mo»na zªama ka»dy szyfr, który szyfruje tekst angielski maj cy wi cej ni» 25 liter. Oczywi±cie metoda ta nie dziaªa, je±li przechwytywane wiadomo±ci s krótkie (maj mniej ni» 25 liter) i klucz cz sto si zmienia. Na przykªad, je±li przechwycimy tylko xolfd vhcdpnrzd. jak w rozwa»anym wy»ej szyfrze cyklicznym, to nie wida tu, która litera pojawia si najcz ±ciej. Z drugiej strony jednak, jak si okazuje, klucze s bardzo niech tnie zmieniane. Rz d Stanów Zjednoczonych nie zdecydowaª si na zmian kluczy nawet po tym, jak wszystkie zgin ªy w tajemniczej kradzie»y w Zagrzebiu na pocz tku drugiej wojny ±wiatowej. Kiedy ju» wiemy, które litery pojawiaj si najcz ±ciej, zwracamy uwag na powtarzaj ce si pary. Na przykªad EA jest najcz ±ciej pojawiaj cym si digramem samogªosek. Dosy cz sty jest te» digram IO. Natomiast OI, IA, AI, OA i AO s ju» znacznie rzadsze. Digram AE nie pojawia si prawie nigdy. Ogólnie, dziesi najcz stszych digramów w j zyku angielskim, to TH, HE, AN, IN, ER, RE, ON, ES, TI oraz AT. Dla przykªadu spróbujmy rozszyfrowa nast puj cy tekst wktqr ziqzd xlzwt lsoet rvozi qfqbo lwktq rziqz olzgg fgxko liofu sqkut fqatr kqveq kkgzl qktqe ethzq wstql yggrg fsnzg ziglt vigso cto xzeit ltqut ksnqv qozof utqlz tk Aby uªatwi nieco ªamanie, przypu± my»e wiemy ju», i» najcz ±ciej pojawiaj c si w tek±cie jawnym liter nie jest e. 16

17 Z analizy cz sto±ci wynika,»e najcz stszymi literami w zaszyfrowanym tek±cie s q, t, z, g, k, l, o, i i f. Tworzymy teraz tak zwan tabel kontaktów: q t z g k l o i f q t z g k l o i f Podaje ona jak cz sto w zaszyfrowanym tek±cie wyst puj digramy zªo»one z najcz ±ciej wyst puj cych liter. Na przykªad digram kq wyst puje 3 razy (szukamy w tabeli miejsca, gdzie krzy»uje si wiersz k z kolumn q. Wiemy,»e q nie jest zaszyfrowanym E. Zgadujemy zatem,»e to t odpowiada E. Poniewa» mamy 6 par tq, a t ma by E, wi c q odpowiada zapewne A. Trzeci liter z kolei jest Z. Poniewa» T jest jeszcze,,wolne, przyporz dkujmy z T. Poniewa» zi pojawia si 4 razy, a iz w ogóle si nie pojawia, przypuszczamy,»e i H. Na koniec zauwa»amy jeszcze,»e gg pojawia si dwa razy. Dobrze jest wi c postawi,»e g to O. Podstawiamy teraz odgadni te litery do naszego kryptogramu i odgadujemy reszt liter na zasadzie,,co pasuje. Tekstem jawnym jest wi c: BREAD THAT MUST BE SLICED WITH AN AX IS A BREAD THAT IS TOO NOURISHING LARGE NAKED CARROTS ARE ACCEPTABLE AS FOOD ONLY TO THOSE WHO LIVE IN HUTCHES EAGERLY AWAITING EASTER. 2.6 Homofony i nulle kiedy przekonano si,»e analiza cz sto±ci wyst powania liter jest pot»n broni, zacz to si zastanawia, jak utrudni t analiz. Nasuwaj si tutaj dwie dosy oczywiste metody. Jedn z nich jest,,dokªadanie liter, a drug zmniejszanie ilo±ci najcz ±ciej powtarzaj cych si znaków. Prowadzi to do 17

18 dwóch denicji. Nullem nazywamy jednostk tekstu zaszyfrowanego, której nie odpowiada»adna jednostka tekstu jawnego. Oczywi±cie, nasze przeksztaªcenie szyfruj ce musi by w dalszym ci gu wzajemnie jednoznaczne. Zatem, w praktyce, do alfabetu jawnego dorzucamy,,znak pusty, któremu odpowiada pewien znak w alfabecie zaszyfrowanym. Na przykªad A B C D E F G H I J K L M N O P Q R S T U V W X Y Z s z y f r o w a n i e 3 c d g h j k 4 m p q t u v x b l W powy»szym szyfrze, wyst puj dwa nulle: b i l. Wtajemniczeni wiedz,»e po otrzymaniu zaszyfrowanej wiadomo±ci, nale»y te dwa znaki zignorowa. Na przykªad zaszyfrowane wiadomo±ci esmsbhp13m1s oraz e1sbmsh1pb3ms oznaczaj to samo, a mianowicie wiadomo± KATAPULTA. Druga denicja jest nast puj ca: homofonem nazywamy jednostk tekstu jawnego, której odpowiada wi cej ni» jedna jednostka tekstu zaszyfrowanego. I tym razem mamy problemy z wieloznaczno±ci funkcji szyfruj cej. Problem ten pokonujemy powtarzaj c elementy w alfabecie jawnym. A oto przykªad A B C D E F G H I J K L M N O P Q R S T U V W X Y Z A A T s z y f r o w a n i e 3 c d g h j k 4 m p q t u v x b 5 l Trzy homofony powy»szego alfabetu to A, A i T. Dzi ki nim wiadomo± KA- TAPULTA mo»emy zaszyfrowa tak,»e»adna litera alfabetu zaszyfrowanego nie powtarza si : esm5hp31b. Przy ukªadaniu przeksztaªcenia szyfruj cego mo»emy stosowa zarówno nulle jak i homofony. Šamanie szyfru jest wtedy jeszcze bardziej utrudnione. Oprócz tych dwóch utrudnie«stosowane s te» i inne bardziej skomplikowane. Niektóre z nich opiszemy poni»ej. 2.7 Jednostki dwuliterowe czyli digramy Digramy jako alfabet po raz pierwszy zastosowaª niejaki Giovanni Battista Porta w 1563 roku. Alfabet taki skªadaª si z czterystu digramów i do ka»dego z nich Porta z niebywaª inwencj dobraª pewien szczególny znak. Ogólnie, stosuj c digramy jako jednostki tekstu jawnego, mamy alfabet zªo»ony z N 2 liter. Jego symbole zast pujemy b d¹ pojedynczymi znakami, 18

19 Rysunek 2.1: Tablica Porty jak to zrobiª Porta, b d¹ te» (innymi) digramami. Nasze przeksztaªcenie szyfruj ce przedstawiamy w postaci tabeli, jak na przykªad w tabeli Porty. Dokªadnie, je±li A jest alfabetem, to przeksztaªceniem bazowym jest bijekcja E k : A 2 A 2. W szczególno±ci liczba liter w tek±cie jawnym m musi by parzysta. Przestrzeni kluczy jest tu oczywi±cie zbiór wszystkich permutacji zbioru A 2. Przeksztaªcenie szyfruj ce E k jest generowane przez Ek w naturalny sposób, tj. Je±li m = m 1 m 2... m p, gdzie m i s digramami, to E k (m) = E k(m 2 )E k(m 2 )... E k(m p ). Powy»sze przeksztaªcenie nazywamy 2-dzielnym. Aby zªama kod digramowy mo»emy stosowa analiz cz sto±ci wyst powania jednostek dwuliterowych. Aby metoda ta si powiodªa, przechwycony tekst musi by bardzo dªugi. Je»eli dla tekstu o jednostkach jednoliterowych potrzebowali±my N znaków, aby ªamanie si powiodªo, to teraz potrzebujemy okoªo N 2 znaków. Dla j zyka angielskiego jest to ju» ponad 525 liter. 19

20 Gªówn przeszkod przy stosowaniu szyfrów dwudzielnych jest brak efektywnego algorytmu szyfruj cego i deszyfruj cego. Próby uproszczenia ogólnej zasady doprowadziªy do powstania szyfrów opartych na kwadracie oraz na macierzach. Szyfry oparte na kwadracie omówimy w nast pnych trzech podrozdziaªach. 2.8 Szyfr Playfaira Problem zapami tania du»ej ilo±ci znaków doprowadziª w 1854 roku niejakiego Charlesa Wheatstone'a do wynalezienia prostej metody zast powania jednego bloku liter drugim. Litery alfabetu umieszczone s w kwadracie 5 5, a blok liter tekstu jawnego tworzy w tym kwadracie przek tn prostok ta. Blok dwuliterowy odczytany z drugiej przek tnej jest odpowiadaj cym blokiem kryptotekstu. Je±li litery znajduj si w tym samym wierszu lub w tej samej kolumnie, szyfrowanie jest nieco trudniejsze. Ogólnie po krótkiej praktyce, ªatwo jest posªugiwa si opisanym szyfrem. Szyfr ten nazwany szyfrem Playfaira, byª stosowany przez Anglików, prawdopodobnie, od czasów Wojny Krymskiej (1854), poprzez Wojny Burskie (1880 do 1902) a» do ko«ca pierwszej wojny ±wiatowej. Wiadomo jednak,»e od poªowy 1915 roku, Niemcy nie mieli problemów z jego zªamaniem. Szyfr ten u»ywa digramów jako jednostek tekstu. Kluczem jest macierz 5 5 zawieraj ca 25 liter (bez j). Do jej uªo»enia u»yjemy sªowa kluczowego,,szyfrowanie. s z y f r o w a n i e b c d g h k l m p q t u v x Digram xy = k ij k mn, gdzie x y oraz i, j, m, n {1, 2, 3, 4, 5} szyfrujemy jako k in k mj je±li i m oraz j n; k i,j+1 k i,n+1 je±li i = m oraz j n; k i+1,j k m+1,j je±li i m oraz j = n. (Dodanie 1 do wska¹nika 5 daje tu wynik 1.) Je»eli x = y, digram rozdzielamy, tzn. wtykamy pomi dzy x i y liter q, która jest ró»na od x i od y. 20

21 Przeksztaªcenie deszyfruj ce w pierwszym przypadku, tj. gdy deszyfrowane litery znajduj si w innych wierszach oraz kolumnach, pokrywa si z szyfruj cym. W pozostaªych przypadkach pozycje liter digramu przesuwamy w lewo lub w gór stosuj c zasad cykliczno±ci. Zauwa»my,»e w zaszyfrowanym tek±cie nie mo»e si tra digram postaci xx. Šamanie szyfru Playfaira i pozostaªych dwóch szyfrów opartych na kwadracie, polega na analizie statystycznej powi za«liter kryptotekstu i na tej podstawie odtworzeniu kwadratu. 2.9 Podwójny szyfr Playfaira Aby unikn niewygody zwi zanej z digramami zªo»onymi z takich samych liter, w latach trzydziestych XX wieku, na potrzeby faszystowskiej organizacji SD stworzono system oparty na dwóch kwadratach. Tym razem zrezygnowano z litery y, która byªa zast powana przez i. Przeksztaªcenie szyfruj ce tak»e zostaªo zmodykowane, tzn. zostaª dodany dodatkowy krok. Krok podstawowy algorytmu szyfruj cego niewiele ró»niª si od przeksztaªcenia Playfaira. Dokªadnie, wykorzystano dwa kwadraty: d o p e l k a s t n v r f h b c g i j m q u w x z s i c h e r t d n a b f g j k l m o p q u v w x z. (2.1) Pierwszej litery digramu szukamy w pierwszym kwadracie, a drugiej w drugim. W rezultacie mamy tylko dwa przypadki. Je±li l ij l mn jest digramem, przy czym l ij jest w pierwszym kwadracie, a l mn w drugim, i, j, m, n {1, 2, 3, 4, 5}, to bijekcja zbioru digramów wyglada nast puj co. { E l mj l in je±li i m, (l ij l mn ) = l i,j+1 l m,n+1 je±li i = m i znów, pierwsza litera jest w pierwszym kwadracie, a druga w drugim oraz dodanie 1 rozumiemy jako przesuni cie cykliczne w kwadracie. Jak ju» wspomnieli±my, algorytm szyfrowania skªadaª si z dwóch kroków. W pierwszym tekst jawny dzielony byª na póª lub na bloki 17-literowe w przypadku, gdy wiadomo± zawieraªa wi cej ni» 34 litery. Bloki te byªy 21

22 umieszczane jeden nad drugim, a digramy do szyfrowania zbierano pionowo. Na przykªad, aby zaszyfrowa tekst ZBIERAMY SIE W PIATEK dzielimy go na poªowy i odpowiednio umieszczamy: Z B I E R A M Y S I E W P I A T E K Digramy do przeksztaªcenia to ZI, BE, IW, EP, RI, AA, MT, YE, SK. Stosuj c kwadraty z (2.1) otrzymujemy digramy lv, lk, wo, jh, of, sr, nm, pq oraz fa, które po prostu ª czymy w tekst otrzymuj c szyfr: lvlkw ojhof srnmp qfa. Przy deszyfrowaniu, post pujemy w odwrotnej kolejno±ci. Zauwa»amy,»e przeksztaªcenie deszyfruj ce digramy jest takie samo jak szyfruj ce w pierwszym przypadku, tj. kiedy litery znajduj si w wierszach o innych numerach szyfr Delastelle'a Kwadrat zaproponowany przez felixa Delastelle'a w 1902 roku jest typowym przykªadem szyfru transpozycyjnego (przeksztaªcenie szyfruj ce jest równe deszyfruj cemu) i eliminuje wszelkie niedogodno±ci zwi zane ze stosowaniem ró»nych przypadków. W kwadracie Delastelle'a nie ma litery w, któr zast pujemy przez v. s z y f r o a n i e b c d g h j k l m p q t u v x Bazowe przeksztaªcenie szyfruj ce polega na zamianie wspóªrz dnych: E (l ij l mn ) = l im l jn. Dla przykªadu zaszyfrujemy fraz SZYFR FRANCUSKI. Pod ka»d liter piszemy pionowo jej wspóªrz dne w kwadracie, i znajdujemy litery o wspóªrz dnych zapisanych poziomo. S Z Y F R F R A N C U S K I 1 1 s 1 1 s 1 1 s 1 2 z 2 3 n 5 1 q 4 2 k 1 2 z 3 4 g 5 4 v 5 2 t 3 2 c 3 1 b 2 4 i Otrzymany kryptogram to szsgs vztnc qbki. 22

23 2.11 Jednostki wieloliterowe Aby jeszcze bardziej utrudni ªamanie tekstu mo»emy zastosowa trigramy, czyli jednostki trzyliterowe. Pojawia si tu jednak problem odpowiedniego zapisania przeksztaªcenia szyfruj cego tabelka musi by trzywymiarowa. Tym gorszy jest ten problem im dªu»sze s jednostki tekstu. Specjalne sze- ±ciany szyfruj ce na wzór kwadratów Playfaira byªy proponowane przez Luigi Gioppi di Tuerkheim w 1897 roku oraz przez Williama Friedmana w latach dwudziestych XX wieku. Zdecydowanie ch tniej przyj to popularne podczas I Wojny wiatowej ksi»ki kodowe, gdzie szyfrowano od razu caªe wyrazy a nawet zdania. Jednostkami tekstu jawnego s tu cz sto powtarzaj ce si sekwencje liter. W dalszej perspektywie oznacza to tworzenie swego rodzaju,,sªowników zwanych ksi»kami kodowymi. I tu pojawia si kolejny problem. Nikt nie jest w stanie pami ta caªej tre±ci takiej ksi»ki. Zatem musi ona zawsze by pod r k zarówno koduj cego jak i dekoduj cego. Stwarza to du»e pole manewru dla szpiegów i nie tylko. W sierpniu 1914 roku niemiecki kr»ownik Magdeburg próbowaª uciec od rosyjskiego pancernika i sztuka ta mu si nie udaªa. Co gorsza, statek zamiast zaton, osiadª na mieli¹nie i w zwi zku z tym wszystkie ksi»ki kodowe niemieckiej marynarki zamiast zaton, traªy w r ce Rosjan, którzy po przestudiowaniu ich,,podali dalej. W rezultacie ksi»ki dostaªy si w r ce niejakiego Winstona Churchilla, który wiedziaª jak je wykorzysta Szyfry polialfabetyczne Blaise de Vigenére w wydanej w 1586 roku ksi»ce Traicté des Chifres opisaª kilka ró»nych metod szyfrowania. Ostatecznie jego nazwiskiem nazwano szyfr, który opisany byª wcze±niej przez biskupa J.H. von Trittenheim'a. Idea szyfrów tego typu polega na u»yciu kilku metod szyfruj cych nast puj cych po sobie. Na przykªad, rozwa»my ci g kluczy k 0, k 1,..., k r 1 do szyfrów Cezara. Przeksztaªcenie szyfruj ce deniujemy w nast puj cy sposób. E k0 k 1...k r 1 (m 0 m 1... m n ) = (m 0 + k 0 )(m 1 + k 1 )... (m n + k n mod r ), przy czy dodawanie wykonujemy modulo liczba liter w alfabecie. Stosuj c uto»samienie liter alfabetu z liczbami modulo 26 mo»emy uto»- sami ci g kluczy i sªowo. Na przykªad zaszyfrujmy FUNKCJA POLIALFA- BETYCZNA stosuj c klucz anulka. W tym celu uªó»my tabel przesuni : 23

24 A B C D E F G H I J K L M N O P Q R S T U V W X Y Z a b c d e f g h i j k l m n o p q r s t u v w x y z n o p q r s t u v w x y z a b c d e f g h i j k l m u v w x y z a b c d e f g h i j k l m n o p q r s t l m n o p q r s t u v w x y z a b c d e f g h i j k k l m n o p q r s t u v w x y z a b c d e f g h i j a b c d e f g h i j k l m n o p q r s t u v w x y z Pierwszy wiersz powy»szej tabeli to alfabet, a ka»dy nast pny wiersz, to alfabet pisany pocz wszy od odpowiedniej litery sªowaklucza. Nast pnie nasz tekst dzielimy na bloki dªugo±ci sªowa,,anulka i szyfrujemy pierwsz liter ka»dego bloku wedªug pierwszego szyfru, drug wedªug drugiego itd. F U N K C J a n u l k a f h h v m j A P O L I A a n u l k a a c i w s a L F A B E T a n u l k a l s u m o t Y C Z N A a n u l k y p t y k Otrzymali±my zatem kryptogram fhhvm jaciw salsu motyp tyk. Deszyfrowanie odbywa si na podobnej zasadzie, tj. D k0 k 1...k r 1 (m 0 m 1... m n ) = (m 0 k 0 )(m 1 k 1 )... (m n k n mod r ), gdzie odejmowanie jest wykonywane modulo liczba liter w alfabecie. Aby uªatwi szyfrowanie i odszyfrowywanie, J.H. von Trittenheim zaproponowaª poni»sz tabel przesuni alfabetu. Nazywa si ona tablic Tryteniusza lub tabula recta. 24

25 a b c d e f g h i j k l m n o p q r s t u v w x y z b c d e f g h i j k l m n o p q r s t u v w x y z a c d e f g h i j k l m n o p q r s t u v w x y z a b d e f g h i j k l m n o p q r s t u v w x y z a b c e f g h i j k l m n o p q r s t u v w x y z a b c d f g h i j k l m n o p q r s t u v w x y z a b c d e g h i j k l m n o p q r s t u v w x y z a b c d e f h i j k l m n o p q r s t u v w x y z a b c d e f g i j k l m n o p q r s t u v w x y z a b c d e f g h j k l m n o p q r s t u v w x y z a b c d e f g h i k l m n o p q r s t u v w x y z a b c d e f g h i j l m n o p q r s t u v w x y z a b c d e f g h i j k m n o p q r s t u v w x y z a b c d e f g h i j k l n o p q r s t u v w x y z a b c d e f g h i j k l m o p q r s t u v w x y z a b c d e f g h i j k l m n p q r s t u v w x y z a b c d e f g h i j k l m n o q r s t u v w x y z a b c d e f g h i j k l m n o p r s t u v w x y z a b c d e f g h i j k l m n o p q s t u v w x y z a b c d e f g h i j k l m n o p q r u v w x y z a b c d e f g h i j k l m n o p q r s t v w x y z a b c d e f g h i j k l m n o p q r s t u w x y z a b c d e f g h i j k l m n o p q r s t u v x y z a b c d e f g h i j k l m n o p q r s t u v w y z a b c d e f g h i j k l m n o p q r s t u v w x z a b c d e f g h i j k l m n o p q r s t u v w x y Šamanie szyfrów Vigenére'a polega na dopasowaniu odpowiedniego alfabetu do pozycji danej litery. Gªównym problemem jest tutaj jednak znalezienie okresu r. I to jest zapewne gªówna przyczyna, dla której szyfr Viginére'a byª,,nieªamalny przez prawie trzysta lat! Dopiero w 1863 roku, ocer armii pruskiej, F. W. Kasiski wynalazª metod wypadkowej przypadkowo±ci 1, której nie opiszemy z uwagi na zbyt skomplikowany aparat statystyczny. Wykorzystuj c ci g kluczy k 0 k 1 k r 1 do monoalfabetycznych szyfrów Beauforta tworzymy szyfr Beauforta, w którym przeksztaªcenia szyfruj ce i deszyfruj ce pokrywaj si. E k0 k 1...k r 1 (m 0 m 1... m n ) = ( m 0 + k 0 )( m 1 + k 1 )... ( m n + k n mod r ), 1 ang. the incidence of coincidences 25

26 Dodawanie i odejmowanie, odbywa si na zasadach arytmetyki modularnej z moduªem, którym jest liczba liter w alfabecie. Stosuj c uto»samienie liter alfabetu z liczbami modulo 26 mo»emy uto»sami ci g kluczy i pewien wyraz hasªo. Dla przykªadu zaszyfrujmy FUNK- CJA POLIALFABETYCZNA stosuj c klucz anulka. W tym celu uªó»my tabel alfabetów szyfruj cych: A B C D E F G H I J K L M N O P Q R S T U V W X Y Z a z y x w v u t s r q p o n m l k j i h g f e d c b n m l k j i h g f e d c b a z y x w v u t s r q p o u t s r q p o n m l k j i h g f e d c b a z y x w v l k j i h g f e d c b a z y x w v u t s r q p o n m k j i h g f e d c b a z y x w v u t s r q p o n m l a z y x w v u t s r q p o n m l k j i h g f e d c b Nast pnie nasz tekst dzielimy na bloki dªugo±ci sªowa anulka i szyfrujemy pierwsz liter ka»dego bloku wedªug pierwszego szyfru, drug wedªug drugiego itd. F U N K C J a n u l k a v t h b i r A P O L I A a n u l k a a y g a c a L F A B E T a n u l k a p i u k g h Y C Z N A a n u l k c l v y k Otrzymali±my zatem kryptogram vthbi rayga capiu kghcl vyk. Podobnie jak dla szyfru Vigenére'a i w tym przypadku mo»emy utworzy odpowiedni tabel przesuni alfabetu. Uogólnieniem dwóch powy»szych systemów jest wariant aniczny szyfru Vigenére'a. Do konstrukcji przeksztaªcenia szyfruj cego u»ywamy tu ci gu kluczy (n 0, k 0 ), (n 1, k 1 )..., (n r 1, k r 1 ) do szyfrów anicznych. Sama konstrukcja odbywa si na podobnej zasadzie jak w poprzednich przypadkach: E(m 0 m 1... m p ) = (n 0 m 0 + k 0 )(n 1 m 1 + k 1 )... (n p mod r m p + k p mod r ). Wedªug F. Bauera, oryginalny szyfr Vigenére'a skªadaª si z serii przesuni tych alfabetów ustawionych bez okre±lonych reguª arytmetycznych: 26

27 A B C D E F G H I J K L M N O P Q R S T U V W X Y Z s z y f r o w a n i e b c d g h j k l m p q t u v x z y f r o w a n i e b c d g h j k l m p q t u v x s y f r o w a n i e b c d g h j k l m p q t u v x s z f r o w a n i e b c d g h j k l m p q t u v x s z y r o w a n i e b c d g h j k l m p q t u v x s z y f o w a n i e b c d g h j k l m p q t u v x s z y f r Generalnie, je±li mamy ci g E 0, E 1,..., E r 1 bijekcji alfabetu, to generowany przez ten ci g szyfr polialfabetyczny jest dany przez przeksztaªcenie E(m 0 m 1... m p ) = E 0 (m 0 )E 1 (m 1 )... E p mod r (m p ), gdzie m = m 0 m 1... m p jest wiadomo±ci jawn. Dla przykªadu, szyfr frazy szyfr oryginalny w powy»szym systemie, to lssnq muogk ubusc. W latach czterdziestych XX wieku C.E. Shannon stworzyª teori entropii, która zajmuje si badaniem informacji zawartej w tek±cie. Mi dzy innymi zdeniowaª on zasad bezwarunkowego bezpiecze«stwa, czyli szyfru niemo»- liwego do zªamania. Szyfr polialfabetyczny jest takim, je±li speªnione s nast puj ce warunki Klucz u»yty do szyfrowania wiadomo±ci jest dªu»szy lub równy szyfrowanej wiadomo±ci. Klucz musi by wygenerowany w sposób caªkowicie losowy (nie mo»e istnie sposób na odtworzenie klucza na podstawie znajomo±ci dziaªania generatorów liczb pseudolosowych). Klucz nie mo»e by u»yty do zaszyfrowania wi cej ni» jednej wiadomo- ±ci. Opublikowany w 1917 roku szyfr G.S. Vernama speªnia te warunki. Kryptosystem ten jest u»ywany do dzi± w poª czeniu gor cej linii mi dzy Waszyngtonem a Moskw. Idea tego szyfru polega na tym,»e klucz jest generowany pseudoprzypadkowo i ten sam generator strumienia pseudoprzypadkowego zamontowany jest na obu ko«cach linii przesyªowej. Klucz szyfruj cy i deszyfruj cy jest ten sam. Wiadomo± jest najpierw kodowana na strumie«zer i jedynek a nast pnie dodawany jest do niej modulo dwa pseudoprzypadkowy strumie«klucza. Dekodowanie odbywa si w oparciu o t sam zasad. 27

28 Zdecydowanie nie jest bezwarunkowo bezpieczny system autoklucz, gdzie sama szyfrowana wiadomo± jest kluczem (drugi warunek nie jest speªniony). System autoklucza polega na zastosowaniu pewnego systemu, gdzie litery alfabetu mo»na uto»sami z kluczem. W ten sposób pami tamy jeden klucz (starter), wedªug którego szyfrujemy pierwsz liter tekstu. Druga litera jest szyfrowana wg klucza, którym jest pierwsza litera itd. Dla szyfru Cezara, gdzie starterem jest k, mamy E(m 0 m 1 m 2... m p ) = (m 0 + k)(m 1 + m 0 )(m 2 + m 1 )... (m p + m p 1 ) Ša«cuch szyfrów i DES Do± istotn wad schematu opisanego w poprzednim paragrae, jest fakt,»e ten sam tekst szyfruje si tak samo, je±li u»yty jest ten sam klucz. Chodzi o to,»e potencjalny intruz wcale nie musi zna tekstu jawnego, by wymusi na odbiorcy szyfru okre±lone dziaªanie wystarczy,»e prze±le mu przechwycony wcze±niej (zaszyfrowany) tekst. Poniewa» intruz wie jaka reakcja byªa wcze- ±niej, podejrzewa,»e taka sama b dzie i tym razem. Jednym ze sposobów omini cia tej niedogodno±ci jest zastosowanie Ša«cuch szyfrów 1. Pomysª jest nast puj cy: Dzielimy tekst jawny (zakodowany w strumie«bitów) na bloki M i po n bitów. Potrzebny jest inicjuj cy wektor zero-jedynkowy C 0 o n bitach oraz klucz K tej samej dªugo±ci. Pierwszy blok tekstu jawnego szyfrujemy jako C 1 = M 1 C 0 K, drugi jako C 2 = M 2 C 1 K, i tak dalej. Ogólnie, C j = M j C j 1 K. W celu rozszyfrowania, dzielimy tekst zaszyfrowany na n-bitowe kawaªki C i i otrzymujemy kolejno M 1 = C 1 C 0 K, nast pnie, M 2 = C 2 C 1 K itd. Je±li który± z C i jest bª dny, to otrzymujemy bª d w co najwy»ej dwóch kawaªkach tekstu jawnego, mianowicie M i oraz M i+1. Wektor C 0 musi by przesªany innym kanaªem ni» wiadomo± jawna i klucz. Przy odpowiednio du»ym n istnieje bardzo maªa szansa,»e wiadomo±, klucz i wektor inicjuj cy powtórz si. Ša«cuch szyfrów jest wykorzystany w systemie DES 1, który byª u»ywany od 1977 roku do ko«ca lat osiemdzisi tych. W 1974 roku, National Bureau of Standards zobowiazaªo rmy ameryka«skie do napisania programu szyfruj - cego, który b dzie standardem w kodowaniu wiadomo±ci rz dowych. Miaª on 1 ang. cipherblock chaining 1 Data Encryption Standard 28

29 zastapi niewygodne w u»yciu ksi»ki kodowe. Odpowiedzi rmy IBM byª system LUCIFER, który po uproszczeniu i modykacji staª si standardem. Program szyfruj cy zostaª rozpowszechniony w postaci ko±ci, któr ka»dy zainteresowany mógª wmontowa w swój komputer. Rozszyfrowywanie polegaªo na u»yciu tej samej ko±ci. Opiszemy teraz zasad dziaªania algorytmu DES. Wej±ciowe 64 bity s najpierw pomieszane przez pocz tkow permutacj IP. Pierwsze 32 bity tworz wektor L 0, a nast pne 32 tworz R 0. Po szesnastu rundach manipulacji, wektory lewy i prawy ª cz si w caªo± i przechodz przez permutacj IP 1 generuj c ostateczn wersj szyfru. Podczas 16 rund szyfrowania tworz si kolejno wektory L 1, L 2,..., L 16 oraz R 1, R 2,..., R 16. Dla 1 i 16, mamy L i = R i 1, R i = L i 1 f(r i 1, K i ), gdzie f(r i 1, K i ) jest wektorem dwójkowym o 32 wspóªrz dnych, a wektory K i s 48-bitowymi wektorami generowanymi przez klucz K wedªug procedury, któr opiszemy pó¹niej. Dekodowanie odbywa si w odwrotn stron, tj. najpierw zaszyfrowany tekst jest poddawany permutacji IP 1, tworz si L 16 i R 16, a nast pnie obliczane s kolejno R 15 = L 16, L 15 = R 16 f(r 15, K 16 )..., R 0 = L 1, L 0 = R 1 f(r 0, K 1 ). Poª czony wektor L 0 R 0 jest poddany permutacji IP i powstaje ci g 64 bitów wiadomo±ci jawnej. Warto±ci funkcji f jest 32-bitowy ci g. Procedura jego powstawania wygl da nast puj co. Jak ju» wspominali±my, K i ma 48 bitów, a R i 1-32 bity. Aby te wektory doda, musimy rozszerzy R i 1 do 48 bitów. Rozszerzenie R i 1 odbywa si wedªug Tabeli selekcji bitów. Powstaªy 48-bitowy strumie«jest podzielony na 8 wektorow 6-bitowych, które s przepuszczone przez S- boksy (Tabela S-boksów). Aby przybli»y metod dziaªania S-boksów, rozwa»my wektor sze±ciobitowy a 1 a 2 a 3 a 4 a 5 a 6, na przykªad , który traa na S 4. Bity a 1 a 6 to numer wiersza (i), a a 2 a 3 a 4 a 5 to numer kolumny (j) zapisane w ukªadzie dwójkowym. Strumie«wyj±ciowy (w ukªadzie dziesi tnym) jest na pozycji (i, j) S-boksa. W naszym przypadku, 01 2 = 1 oraz = 9 i w S 4 znajduje si na pozycji (1, 9) liczba 7 = Zatem strumieniem wyj±ciowym jest

30 Rysunek 2.2: Tabela selekcji bitów Po wyj±ciu z S-boksów, strumienie 4-bitowe ª cz si tworz c 32-bitowy wektor, który dodatkowo przechodzi przez permutacj P. Klucz K ma 64 bity podzielone na 8-bitowe cz ±ci, z których ka»da ma 7 efektywnych bitów, a ósmy bit sprawdza parzysto±. Dokªadnie, jest on ustalony tak, by w caªej ósemce liczba jedynek byªa parzysta. W przypadku, gdyby wyst piª bª d w transmisji klucza, zostaje on wykryty z dokªadnym wskazaniem ósemki, w której wyst piª. Z 64 bitów klucza, po sprawdzeniu poprawno±ci, 8 bitów sprawdzaj cych jest odrzuconych, a pozostaªe 56 bitów przechodzi przez permutacj pocz tkow P C1. Spermutowany strumie«56 bitów jest podzielony na póª. Pierwsze 28 bitów tworzy wektor C 0, a nast pne D 0. Wektory C 1 i D 1 powstaj przez (cykliczne) przesuni cie zawarto±ci C 0, odpowiednio, D 0 o LS 1 = 1 pozycji w lewo. Ogólnie, C i oraz D i powstaj przez przesuni cie zawarto±ci, odpowiednio, C i 1, D i 1 o LS i pozycji w lewo. Wektory C i oraz D i s nast pnie ª czone i po przej±ciu selekcji P C 2 tworz 48-bitowy strumie«k i. Gªówne zarzuty wobec DES, to, po pierwsze, zbyt krótki klucz, co powoduje,»e mo»e on by znaleziony w miar szybko metod sprawdzenia wszystkich 2 56 mo»liwo±ci. Po drugie, nie wiadomo, jakie kryteria kierowaªy konstruktorami S-boksów. Testy statystyczne pokazuj,»e liczby w S-boksach nie s przypadkowe. Niewykluczone,»e kryje si tu pewna furtka pozwalaj ca ªatwo rozszyfrowa zakodowan wiadomo±. Mimo swoich wad DES byª do± dªugo u»ywany, a» w ko«cu ust piª on miejsca kryptosystemom o kluczu publicznym. Rozpowszechnienie szybkich, ªatwo programowalnych komputerów doprowadziªo do sytuacji, w której ko± szyfruj ca okazaªa si zb dna: Po co montowa do komputera dodatkowe urz dzenie, je±li mo»na napoisa program, który powoduje takie samo dzia- ªanie, a jeszcze dodatkowo mo»na go w ka»dej chwili ulepszy. 30

31 kolumna wiersz S S S S S S S S Rysunek 2.3: Tabela S-boksów 31

32 Rozdziaª 3 Maszyny szyfruj ce Kod maszyn szyfruj cych jest klasycznym transpozycyjnym szyfrem polialfabetycznym. Ze wzgl du jednak na wag, jak odegraª on w historii, po- ±wi camy mu osobny rozdziaª. 3.1 Zasada dziaªania Pomysª skonstruowania maszyny szyfruj cej powstaª zapewne wraz z ide zwykªej maszyny do pisania wystarczy inaczej poª czy klawiatur z czcionkami, a zamiast tekstu pisanego na klawiaturze, na papierze pojawi si szyfr. Aby nie u»ywa dwóch maszyn (jednej do szyfrowania, drugiej do rozszyfrowywania), powszechnie u»ywa si w maszynach szyfrów transpozycyjnych. Na rysunku 3.1. przedstawiony jest uproszczony schemat zwykªej maszyny do pisania. Je±li wci±niemy klawisz,,o, na papierze pojawi si litera,,o. Zmienimy teraz sposób zadrutowania, czyli przebieg szarych linii (rysunek 3.2). Tym razem po wci±ni ciu klawisza,,o, na papierze pojawi si litera,,i. A je±li wci±niemy po kolei S O W A, napiszemy szyfr sªowa,,sowa, czyli wisk. Nast pnym krokiem jest skonstruowanie kilku pasków z szarymi liniami, które deniuj szyfr oraz zaprojektowanie maszyny w ten sposób, by paski te mo»na byªo w dowolnym momencie wymienia. St d ju» tylko krok do zast - pienia paska walcem wystarczy umie±ci styki na obwodzie. Walec (rotor) mo»e si obraca i w ten sposób zmienia metod szyfrowania (rysunek 3.3). Naci±ni cie klawisza oznacza obrót walca o jeden styk. Zatem, po naci- ±ni ciu,,s pojawia si,,w (jak dot d), ale walec si obraca i po naci±ni ciu 32

33 Rysunek 3.1: Maszyna do pisania,,o mamy ju»,,e. W ostateczno±ci zaszyfrowane sªowo SOWA, to oeke. Nast pne ulepszenia, to doªo»enie kolejnych walców oraz reektora, który wykorzystuje walce podwójnie (sygnaª idzie z klawiatury, szyfrowany jest przez walce, a nast pnie odbijany przez reektor i ponownie szyfrowany przez wszystkie walce. Stosowano te» kilka innych metod, jak np. ruchome bolce, które powoduj,»e walce obracaj si o wi cej ni» jeden styk. U»ywana przez Amerykanów maszyna szyfruj ca Hagelin skonstruowana przez B. Hagelina posiada a» 6 rotorów z odpowiednio, 26, 25, 23, 21, 19 i 17 bolcami. Ka»dy z tych bolców mo»e by w pozycji pasywnej lub aktywnej. Po zaszyfrowaniu litery, wszystkie walce obracaj si o jedn pozycj w zale»- no±ci od pozycji bolców. Po zaszyfrowaniu 25-literowego tekstu, drugi walec (i tylko on) jest w oryginalej pozycji. Poniewa» liczby bolców na poszczególnych rotorach s kopierwsze, system Hagelin mo»na porówna do szyfru Vigenere'a z okresem równym = Elekro-mechaniczna ENIGMA, u»ywana przez Niemców i Japo«czyków, zostaªa wynaleziona w 1923 roku przez A. Scherbius'a. W pierwszej wersji byªy to trzy rotory oraz reektor. W 1941 oraz 1943 roku doªo»ono po jednym walcu. Naci±ni cie klawisza,,a powoduje szyfrowanie litery wg schematu z rysunku 3.4, tj. po wyj±ciu z klawwiatury (2), sygnaª przechodzi przez przeka¹nik (3), styki (4), trzy walce szyfruj ce (5), reektor (6) i ponownie przez walce i styki. Otrzymujemy liter,,s. Teraz mamy jeszcze dodatkow pªyt przeª czników (8), która zamienia nasze,,s na,,d. Ostatecznie zapala si»arówka (9) z liter,,d. Po caªej tej procedurze, pierwszy walec (tylko) 33

34 Rysunek 3.2: Maszyna do szyfrowania Rysunek 3.3: Maszyna do szyfrowania z obracanym walcem obracaª si o jedn pozycj. Po,,wstukaniu 26-literowego tekstu, pierwszy walec wracaª do pierwotnego ustawienia, a drugi obracaª si o jedn pozycj. Najsªabsz stron ENIGMY i gªównym powodem zªamania szyfru byª sposób przesyªania identykatorów, czyli ustawie«poszczególnych walców. Odpowiednie rotory oraz poª czenia wtyczek byªy przekazywane w odpowiednich arkuszach ustawie«. Aby zacz szyfrowanie, nale»aªo ustawi po- ªo»enie pocz tkowe rotorów (pierwszy identykator - ABC). Nast pnie zakodowa dowolny trigram (np. AAA), co dawaªo drugi identykator (JME). Po ustawieniu rotorów na AAA (nasz przykªadowy trigram) mo»na kodowa wiadomo±, np. ENIGMAKODJEDEN. Zaszyfrowany tekst do wysªania to abc jme bikrn hozyp wjls. 34

35 Rysunek 3.4: Schemat ENIGMY 35