Криптография и свобода — страница 26 из 64

B1B2B3B4B5B6B7B8B9BABBBCBDBEBFD2ABC4A96E41F0AA42AC195B1E4F945D

C0C1C2C3C4C5C6C7C8C9CACBCCCDCECF
168CFD5E95B5976CAD08BBAE96207F23

D0D1D2D3D4D5D6D7D8D9DADBDCDDDEDF
D543D14749029980D960616570AF6263

E0E1E2E3E4E5E6E7E8E9EAEBECEDEEEF
9BDF0367F268696F7172D77374757679

F0F1F2F3F4F5F6F7F8F9FAFBFCFDFEFF
ECD382E17AEDDA83849D9E9FB6BCE6E7

Что известно об открытом тексте? Это военная телеграмма, в которой содержится какой-то приказ. Начало телеграммы – стандартное: «Совершенно секретно. Приказ №», или в шестнадцатиричной записи соответствующих ASCII-символов

D1 EE E2 E5 F0 F8 E5 ED ED EE 20 F1 E5 EA F0 E5 F2 ED EE 2E 20 CF F0 E8 EA E0 E7 20 B9


Приступим к взлому, т.е. к определению неизвестного ключа х12,…х16, записанного во втором регистре сдвига.

Давайте сначала выпишем уравнения зашифрования, реализуемые этой схемой. Если (y1,y2,…,y8) – блок, записанный в первом регистре сдвига «Ангстрем-3», то за один такт работы схемы он перейдет в блок (y2,y3,…,y9), где y9 = π(y1+y2+y8+x1), х1 – первый байт неизвестного ключа. В общем случае, если последовательность всех заполнений первого регистра сдвига обозначить как у12,….,у2324, где (y1,y2,…,y8) – блок открытого текста, (y17,y18,…,y24) – блок шифртекста, то для любого i≥9 будет справедливо:


yi = π(yi-8+yi-7+yi-1+xi-8)


Преобразование блока (yi, yi+1,…yi+7) в блок (yi+1,yi+2,…,yi+8) за один такт обозначим как δxi. Очевидно, что это взаимно-однозначное преобразование, поскольку π - подстановка:


δxi (yi, yi+1,…yi+7) = (yi+1,yi+2,…, π(yi+yi+1+yi+7+xi))


δxi - это подстановка на множестве Z/264. Тогда все преобразование, осуществляемое схемой «Ангстрем-3», будет выглядеть как произведение подстановок:


δх1,х2,…,х16 = δx1δx2…δx16


Рассмотрим преобразование θ(у12,…у8) = (π (у1), π (у2),…, π (у8)). Заметим, что

θ-112,…у8) = (π-11), π-12),…, π-18)).

Имеем


θ-1δх1,х2,…,х16 θ = θ-1δx1δx2…δx16 θ = θ-1δx1θθ-1δx2θθ-1θθ-1δx16 θ = φх1φх2…φх16 = φх1,х2,…х16,


где φхi = θ-1δxiθ

Если блок открытого текста (y1,y2,…,y8) переходит в блок шифртекста (y17,y18,…,y24) с помощью преобразования δх1,х2,…,х16, т.е.

δх1,х2,…,х16(y1,y2,…,y8) = (y17,y18,…,y24),

то


θ-1δх1,х2,…,х16(y1,y2,…,y8) = θ-1 (y17,y18,…,y24) = (π-117), π-118),…, π-124)).


Тогда


-117), π-118),…, π-124)) = θ-1δх1,х2,…,х16 θθ-1 (y1,y2,…,y8) = θ-1δх1,х2,…,х16θ (π-11), π-12),…, π-18))


Итак, вот она, первая зацепка для анализа «Ангстрем-3»: заменяем позначно все буквы шифрованного и известного открытого текста по подстановке π-1 и дальше используем вместо δxi преобразования φхi. А теперь давайте посмотрим на эти преобразования повнимательнее.


φхi (yi, yi+1,…yi+7)= θ-1δxiθ(yi, yi+1,…yi+7) = θ-1δxi(π (yi), π (yi+1),… π (yi+7)) =

θ-1(π(yi+1), π(yi+2),….,π(π(yi)+π(yi+1)+π(yi+7)+хi) = (yi+1, yi+2,…., π (yi)+π (yi+1)+π (yi+7)+хi)


Жизнь прекрасна и удивительна! Какие уравнения получились!


уi+8 = π (yi)+π (yi+1)+π (yi+7)+хi


Возьмем-ка теперь парочку блоков открытого текста (y1,y2,…,y8) (z1,z2,…,z8) и соответствующие им блоки шифртекста (y17,y18,…,y24) (z17,z18,…,z24) и выпишем уравнения одни под другими…


уi+8 = π (yi)+π (yi+1)+π (yi+7)+хi

zi+8 = π (zi)+π (zi+1)+π (zi+7)+хi


Это же криптографический Клондайк! Вычитаем одно уравнение из другого и ключ пропадает!


ui+8 = vi+vi+1+vi+7 (1)

где ui = yi-zi, vi = π(yi)- π(zi).

Из (1) имеем:

vi = ui+8 –vi+1-vi+7 (2)

Линейное уравнение – мечта криптографа! Тут только надо найти все такие решения, при которых для каждой пары (ui,vi) соответствующий элемент рui,vi в матрице Р(π) был бы ненулевым. Поехали!

При Т=16 из (1) и (2) имеем:

u1,u2,…u8, v1,v2,…v8 – известны – это открытый текст

u17,u18,…u24, v17,v18,…v24 – известны – это шифртекст

Из (2) последовательно находим:

v16 = u24-v17-v23

v15 = u23-v16-v22

…………

v9 = u17-v10-v16


а затем уже из (1) – все ui. Система (1) полностью решена!

Дальше – раздолье. Ключ опробуем позначно. Для первого байта ключа x1 оставляем допустимыми только те значения, при которых пара (y9,z9) является решением системы

y9-z9 = u9

π(y9)- π(z9) = v9

Если таких значений будет несколько, то возьмем еще одну пару и истинным будут только те значения, которые содержатся в пересечении этих множеств и так поштучно определяем весь ключ.

Вот теперь пора и почитать, что там наша доблестная армия нашифровала. Военный приказ будем взламывать по-военному четко: делай раз, делай два, делай три.


1. Берем первые 24 знака известного нам открытого текста, соответствующие им знаки шифртекста и составляем две пары переходов из открытого текста в шифрованный.

Первая пара

Открытый текстШифртекст
D1 EE E2 E5 F0 F8 E5 EDD8 C7 83 EF F9 CA 71 FA
ED EE 20 F1 E5 EA F0 E507 55 16 9B 3A 1A 99 53

Вторая пара

D1 EE E2 E5 F0 F8 E5 EDD8 C7 83 EF F9 CA 71 FA
F2 ED EE 2E 20 CF F0 E887 CC 83 9D FA 1D D6 D8

2. Все байты в этих парах заменяем по подстановке π