- •Предисловие
- •Глава 1. Введение
- •Некоторые аспекты безопасности связи
- •Шифр Юлия Цезаря
- •Несколько основных определений
- •Коды и шифры
- •Оценка стойкости системы шифрования
- •Коды, обнаруживающие и исправляющие ошибки
- •Другие методы сокрытия содержания сообщений
- •Модульная арифметика
- •Модульное сложение и вычитание букв
- •Заключение
- •Глава 2. От Юлия Цезаря до простой замены
- •Шифры Юлия Цезаря и их вскрытие
- •Шифры простой замены
- •Вскрытие шифра простой замены
- •Частоты встречаемости букв в других языках, кроме английского
- •Сколько знаков необходимо для дешифрования простой замены?
- •Глава 3. Многоалфавитные системы
- •Усиление системы Юлия Цезаря: шифры Вижанэра
- •Вскрытие шифра Вижанэра
- •Индикаторы
- •Одноключевые сообщения
- •Распознавание одноключевых сообщений
- •Какой объем текста необходим для дешифрования шифра Вижанэра?
- •Цилиндр Джефферсона
- •Глава 4. Шифры-головоломки
- •Перестановки
- •Простая перестановка
- •Двойная перестановка
- •Другие виды перестановок
- •Регулярные перестановочные таблицы
- •Нерегулярные перестановочные таблицы
- •Оценка стойкости шифров перестановки
- •Общая концепция двойного шифрования
- •Глава 5. Двухбуквенные шифры
- •Замена "монограф-диграф"
- •МДПМ-шифры
- •Система "диграф-диграф"
- •Шифр Плейфера*)
- •Расшифрование в системе Плейфера
- •Криптоаналитические аспекты системы Плейфера
- •Двойной шифр Плейфера
- •Глава 6. Коды
- •Характеристики кодов
- •Одночастевые и двухчастевые коды
- •Код плюс аддитивное шифрование
- •Глава 7. Шифры для шпионов
- •Шифры-решетки
- •Книжные шифры
- •Использование книжного шифра
- •Частоты встречаемости букв в книжных шифрах
- •Вскрытие книжного шифра
- •Индикаторы
- •Катастрофические ошибки при использовании книжного шифра
- •Шифры "агента Гарбо"
- •Первый шифр "агента Гарбо"
- •Второй шифр "агента Гарбо"
- •Одноразовый блокнот
- •Глава 8. Получение случайных чисел и букв
- •Случайные последовательности
- •Получение случайных последовательностей
- •Бросание монеты
- •Бросание костей
- •Извлечение из урны (по типу лотереи)
- •Космические лучи
- •Шум от усилителей
- •Псевдослучайные последовательности
- •Линейные рекурренты
- •Использование последовательности двоичных знаков гаммы для шифрования
- •Двоичные линейные последовательности как генераторы гаммы
- •Криптоанализ линейной рекурренты
- •Повышение стойкости двоичной гаммы
- •Генераторы псевдослучайных чисел
- •Метод срединных квадратов
- •Линейные конгруэнтные генераторы
- •Глава 9. Шифрмашина "Энигма"
- •Историческая справка
- •Первая "Энигма"
- •Шифрование с использованием контактных колес
- •Шифрование в "Энигме"
- •Коммутатор "Энигмы"
- •Ахиллесова пята "Энигмы"
- •Цепочки индикаторов в "Энигме"
- •Выравнивание цепочек
- •Идентификация колеса R1 и его угловой установки
- •Двойное шифрование в "Энигме"
- •"Энигма" Абвера
- •Глава 10. Шифрмашина "Хагелин"
- •Историческая справка
- •Конструкция шифрмашины «Хагелин»
- •Шифрование при помощи шифрмашины "Хагелин"
- •Выбор установок барабана в шифрмашине "Хагелин"
- •Теоретический объем перебора для шифрмашины "Хагелин"
- •Вскрытие установок "Хагелина" по отрезку гаммы
- •Дополнительные возможности шифрмашины "Хагелин"
- •Смещение
- •Определение смещения по шифрованному тексту
- •Перекрытия
- •Вскрытие шифрмашины "Хагелин" только по шифрованному тексту
- •Глава 11. После "Энигмы"
- •SZ42 - предтеча электронных машин
- •Описание шифрмашины SZ42
- •Шифрование в машине SZ42
- •Вскрытие шифрмашины SZ42 и определение ее угловых установок
- •Модификации шифрмашины SZ42
- •Глава 12. Криптография с открытым ключом
- •Историческая справка
- •Вопросы безопасности
- •Защита программ и данных
- •Шифрование программ, данных и сообщений
- •Задача распределения ключей
- •Система ключевого обмена Диффи-Хеллмана
- •Стойкость системы Диффи-Хеллмана
- •Глава 13. Шифрование и Интернет
- •Обобщение шифра простой замены
- •Факторизация больших целых чисел
- •Стандартный метод факторизации
- •Малая теорема Ферма
- •Теорема Ферма-Эйлера (для случая системы RSA)
- •Ключи зашифрования и расшифрования в системе RSA
- •Процессы зашифрования и расшифрования в системе RSA
- •Каким образом хозяин ключей отвечает корреспондентам?
- •Американский Стандарт Шифрования Данных (DES)*)
- •Общие сведения
- •Процедура зашифрования
- •Процедура расшифрования
- •Стойкость DES-алгоритма
- •Зацепление
- •Реализации DES-алгоритма
- •Совместное использование алгоритмов RSA и DES
- •Полезное замечание
- •После DES-алгоритма
- •Проверка подлинности сообщения и удостоверение подлинности подписи
- •Криптография эллиптической кривой
- •Приложение. Математические вопросы
- •Глава 2
- •М1. Совпадения знаков в алфавитах замены
- •М2. Снижение стойкости при использовании взаимно-обратных алфавитов
- •M3. Парадокс дней рождения
- •Глава 3
- •М4. Евклидово доказательство бесконечности множества простых чисел
- •Глава 6
- •М5. Последовательность чисел Фибоначчи
- •Глава 7
- •М6. Частота встречаемости букв для книжного шифра
- •М7. Одноразовый блокнот дешифровать невозможно
- •Глава 8
- •М8. Частота появления случайных чисел на странице
- •М9. Комбинирование двух последовательностей двоичных знаков гаммы, имеющих отклонения
- •М10. Последовательность типа Фибоначчи
- •М11. Двоичные линейные рекурренты
- •M12. Восстановление двоичной линейной рекурренты по отрезку гаммы
- •М13. Получение псевдослучайных чисел
- •Глава 9
- •М14. Распайка колёс шифрмашины "Энигма"
- •М15. Число возможных отражателей шифрмашины "Энигма"
- •М16. Вероятность одноключевых сообщений для "Энигмы"
- •М17. Среднее число индикаторов, необходимое для построения полных цепочек
- •Глава 10
- •М18. Число возможных барабанов шифрмашины "Хагелин"
- •М19. Максимальная кратность значения зацепления, которая может встретиться при вычислении разности гаммы шифрмашины "Хагелин"
- •M20. Определение смещения шифрмашины "Хагелин" с помощью коэффициента корреляции
- •Глава 13
- •M21. (Порядок роста количества простых чисел)
- •M22. Вычисление остатка с использованием модульной арифметики
- •М23. Доказательство теоремы Ферма-Эйлера
- •М24. Нахождение чисел, "предположительно" являющихся простыми
- •M25. Алгоритм Евклида
- •М26. Эффективность возведения в степень методом последовательного возведения в квадрат
- •М27. Число ложных ответов при дешифровании DES-алгоритма методом "встречного поиска "
- •М28. Криптография эллиптической кривой
- •Решения задач
- •Глава 2
- •Глава 3
- •Глава 4
- •Глава 5
- •Глава 6
- •Глава 7
- •Глава 8
- •Глава 9
- •Глава 10
- •Глава 11
- •Глава 13
- •Литература
147
использования, являются подспорьем для криптоаналитика.
Выравнивание цепочек
В результате анализа, который показывает, что цепочки равной длины появляются в парах, также становится ясно, как использовать эту особенность для идентификации колеса R1 и его угловой установки. Для этого нам необходимо выровнять друг относительно друга пары цепочек одинаковой длины, при этом одна из цепочек такой пары должна быть выписана в обратном порядке. При этом нам придется опробовать все возможные варианты выравнивания букв. Так, для двух полученных выше 10-значных цепочек существует 20 возможных взаимных расположений, в зависимости от того, какая из двух цепочек выписывается в обратном порядке, а также от того, какая буква стоит первой. Вот одно из возможных взаимных расположений:
ABQNUMLPIR
CHGYVTJSKD
Кроме него, имеются еще 19 других, например:
CDKSJTVYGH
IPLMUNQBAR.
Если две взаимосвязанные цепочки выровнены правильно, то вертикальные пары букв при зашифровании с помощью правильного колеса R1 в его первом угловом положении дают пары составного отражателя, а пары, расположенные вдоль диагонали (из левого верхнего в правый нижний угол) при зашифровании колесом R1 в его втором угловом положении должны дать те же самые пары составного отражателя. При неправильном выборе колеса или его угловой установки получаются противоречия. Эта чрезвычайно важная особенность, являющаяся следствием порядка действий, который был предписан при работе с "Энигмой", была обнаружена польскими криптоаналитиками в 1932 году (доказательство приводится в [9.1]). В приведенном примере рассмотрены несколько коротких цепочек и, поскольку возможных вариантов выравнивания здесь меньше, с них, возможно, и следовало бы начать.
148
Идентификация колеса R1 и его угловой установки
Чтобы разобрать здесь пример идентификации колеса R1 и его угловой установки на полномасштабной "Энигме" с известными колесами, но с неизвестным коммутатором, потребовалось бы большое количество данных и многостраничный анализ. Тем не менее, криптоаналитики были вынуждены ежедневно решать именно эту задачу. Этот метод можно проиллюстрировать с помощью данных из вышеприведенного примера с 12-буквенной "мини-Энигмой". Предположим, что коммутатор известен, и что необходимо выяснить, может ли являться колесом R1 какое-нибудь из известных колес в одном из 12 возможных начальных угловых положений. Поскольку существует много неверных вариантов, мы рассмотрим только два случая: один неправильный, другой правильный.
Пример 9.3.
Допустим, что приведенные выше пары одинаковых букв в 12-буквенной "мини-Энигме" зашифрованы в последовательных угловых положениях колеса при одинаковых базовых угловых установках, причем таблица зашифрования для колеса R1 приведена в таблице 9.2.
Таблица 9.2.
Буквы |
|
|
|
|
Угловые положения колеса |
|
|
|
||||
на входе |
1 |
2 |
3 |
4 |
5 |
6 |
7 |
8 |
9 |
10 |
11 |
12 |
A |
K |
A |
G |
L |
H |
F |
I |
C |
F |
D |
L |
E |
B |
F |
L |
B |
H |
A |
I |
G |
J |
D |
G |
E |
A |
C |
B |
G |
A |
C |
I |
B |
J |
H |
K |
E |
H |
F |
D |
G |
C |
H |
B D J |
C K I |
L |
F |
I |
||||
E |
J |
H |
D |
I |
C |
E |
K |
D |
L |
J |
A |
G |
F |
H |
K |
I |
E |
J |
D |
F |
L |
E |
A |
K |
B |
G |
C |
I |
L |
J |
F |
K |
E |
G |
A |
F |
B |
L |
H |
A |
D |
J |
A |
K |
G |
L |
F |
H |
B |
G |
C |
I |
D |
B |
E |
K |
B |
L |
H |
A |
G |
I |
C |
H |
J |
I |
E |
C |
F |
L |
C |
A |
I |
B |
H |
J |
D |
K |
E |
J |
F |
D |
G |
A |
D B J |
C I |
K |
|||
L |
L |
F |
K |
G |
E |
H |
B |
E |
C |
K |
D |
J |
|
|
|
|
|
|
|
|
|
|
|
|
|
Показать, что выравнивание цепочек в виде
D AICJK
HBLFGE
(1)приводит к противоречиям, если предположить, что колесо R1 первоначально находится в 1-м угловом положении, но
(2)приводит к решению, если предположить, что колесо R1 первоначально находится во 2-м угловом положении.
149
Решение
(1) Начнем с зашифрования вертикальных пар из цепочек в 1-м угловом положении, и диагональных пар (левый верхний - правый нижний угол)- во 2-м угловом положении. 12 пар, которые мы получим, не должны противоречить друг другу; из них должны получиться 6 пар составного отражателя (см. таблицу 9.3).
Таблица 9.3.
1-е угловое положение |
2-е угловое положение |
DH GA |
DH CD |
AB KF |
AL AF |
IL DL |
IF BK |
CF BH |
CG GI |
JG IC |
JE EH |
KE EJ |
KB JL |
|
|
Получается несколько противоречий: например, 1-е угловое положение дает нам пару (A,G) составного отражателя, в то время, как 2-е угловое положение указывает на то, что (A,F) также образуют пару. Поэтому колесо R1 не может находиться в 1-м угловом положении.
(2) Повторим процедуру , но на этот раз зашифруем пары во 2-м и 3-м угловом положениях (см. таблицу 9.4)
Таблица 9.4.
2-е угловое положение |
3-е угловое положение |
DH CD |
DH HJ |
AB AL |
AL GK |
IL BF |
IF EI |
CF GK |
CG AL |
JG EI |
JE CD |
KE JH |
KB FB |
|
|
Оба множества полностью согласуются друг с другом. Таким образом, мы установили вид колеса R1 и то, что перед началом зашифрования оно находилось во 2-м угловом положении. Кроме того, нам теперь известно, каким образом сгруппированы попарно 12 букв составного отражателя:
(A,L), (B,F), (C,D), (E,I), (G,K) и (H,J).
Поскольку колесо R1 и неподвижный отражатель (U) криптоаналитику известны, теперь он может попытаться найти, с помощью каких комбинаций отражателя U с двумя другими колесами можно получить эти пары. Первая
150
модель "Энигмы" имела в комплекте только три колеса, и поскольку колесо R1 уже установлено, остается перебрать "всего лишь" 2 26 26=1352 варианта. Это число может показаться большим, однако в сравнении с перебором 105456 вариантов, с которыми криптоаналитик имел дело в начале работы, оно совсем небольшое. На этой стадии можно попробовать и другие подходы, например, перебор вероятных начал открытых текстов некоторых сообщений.
Разумеется, следует помнить, что данный пример дает лишь условное представление о способе дешифрования сообщений для первой модели "Энигмы", в комплекте которой было только три колеса и отсутствовал коммутатор. В последующие годы, и особенно с 1938 по 1945, конструкция "Энигмы" и установленный порядок шифрования подверглись значительным изменениям. Например:
(1)благодаря введению букв-"пустышек" и использованию таблицы замены диграфов изменился повторяющийся трехбуквенный индикатор;
(2)от использования общей базовой угловой установки отказались; операторы теперь выбирали свою собственную базовую угловую установку, которую они в незашифрованном виде передавали перед шифрованным текстом;
(3)у всех пользователей число колес увеличилось с трех до пяти, а в военно-морском флоте, позднее, и до восьми; там же, начиная с 1942 года, использовалась еще и четырехколесная модель "Энигмы" с новой конструкцией отражателя.
Все эти изменения поставили перед криптоаналитиками из Блетчли целый ряд серьезных задач, которые были ими решены - в некоторых случаях довольно быстро; однако дешифрование четырехколесной шифрмашины потребовало очень больших усилий.
Более подробно об этом можно прочитать в [9.2] и [9.3].
Если читатель захочет смоделировать "Энигму" на персональном компьютере и вслед за польскими криптоаналитиками повторить все шаги по ее вскрытию, то он найдет работу [9.4] весьма интересной.
Для тех, кто хотел бы попробовать определить угловую установку колеса "мини-Энигмы", предлагаем следующую задачу:
Задача 9.1 Рассмотрим "мини-Энигму" с алфавитом из 10 знаков, на которой
шифруются сообщения в цифровом алфавите (от 0 до 9). Получены следующие индикаторы (их порядок неизвестен)
(0,2), (1,6), (2,3), (3,9), (4,8), (5,5), (6,4), (7,7), (8,1) и (9,0),
которые представляют собой результаты зашифрования пар 00,11,..,99 при