S TUDIER ETNINGSP ROJEKT

Transkript

1 SRP 22. december Z Matematik A Historie A S TUDIER ETNINGSP ROJEKT Kryptologi Med Fokus På Enigma Og Dens Brydning

2 Abstract The following study examines cryptography based especially on Enigma, the German cipher machine used in World War II. By way of introduction the study outlines the classical encryption methods such as Caesar s cipher and the Vigenère cipher through which mathematical points related to decryption are presented and explained. Furthermore, the paper has particular focus on the Enigma and the Polish cryptanalysis to be explained by cyclometers developed by the Polish cryptologist, Marian Rejewski. Lastly the RSA-system is explained by an exposition of the relevant theory (number theory) and a theoretical example. From the beginning of the 1930s cryptanalysis of Enigma was mainly attended to by Polish cryptologists until the German invasion of Poland in Secretly the Polish results were handed over to the English cryptography center called Bletchley Park. To establish how it can be claimed that Poland laid down the foundation for the final decryption of Enigma different interviews with Marian Rejewski are analyzed. Through the presentation of the mathematical background of cryptanalysis and the analysis of the historical articles by Marian Rejewski it can be concluded that Poland provided a crucial breeding ground for the final decryption of Enigma achieved later by British cryptologists at Bletchley Park. Indholdsfortegnelse ABSTRACT... 2 INDLEDNING... 4 KRYPTOLOGIEN FØR 2. VERDENSKRIG... 4 DECHIFRERING AF CÆSARS KRYPTERINGSSYSTEM... 5 DECHIFRERING AF VIGENÈRES KRYPTOSYSTEM... 7 Kasiski-test... 7 Friedman-test... 7 ENIGMA OG OPTAKTEN TIL 2. VERDENSKRIG ENIGMAS OPRINDELSE Opbygning Funktion og indstilling DECHIFRERINGENS PRAKTISKE GRUNDLAG MATEMATIKKEN BAG ENIGMA Rejewskis matematiske indsats Side 2 af 36

3 KILDEANALYSE REJEWSKIS DECHIFRERING AF ENIGMA ENIGMA UNDER 2. VERDENSKRIG BETYDNINGEN AF DEN ENDELIGE DECHIFRERING KRYPTOLOGIEN EFTER 2. VERDENSKRIG RSA-KRYPTERING Modulær aritmetik Eulers funktion Inverst element Kongruenser Eksempel på RSA-kryptering KONKLUSION UNDERSKRIFT LITTERATURLISTE BØGER OG KOMPENDIER WEBSIDER ANDRE INSPIRATIONSKILDER PERSONLIG VEJLEDNING BILAG BILAG 1: LEON ALBERTIS CIFFERSKIVE BILAG 2: VIGENÈRE-SYSTEMET BILAG 3: ENIGMA MASKINE BILAG 4: ENIGMAS SCRAMBLERE BILAG 5: BRUG AF EXCEL VED RSA-EKSEMPLET Side 3 af 36

4 Indledning Kryptologien har en lang historie bag sig og kan siges kun at være én dag yngre end det skrevne sprog 1. Kodesystemerne blev brugt til at chifrere hemmelige budskaber, som kun den retmæssige modtager var i stand til at dekryptere. Den mest udbredte instans, der benyttede sig af koder, var hovedsagligt militæret, som havde stort behov for at kunne kommunikere fortroligt over afstande. Et eksempel på militært brug af koder i nyere tid er Enigma, som er fokus i det følgende. For at lede ind på emnet redegøres for kryptologien før 2. verdenskrig med Cæsars- og Vigenéres kryptosystemer inddraget. Endvidere forklares matematikken bag de to klassiske algoritmer ud fra hver deres dechifreringsmetode. I det følgende ønskes en redegørelse for brug af koder relateret til 2. verdenskrig. Der findes utallige kodesystemer f.eks. den amerikanske/svenske Hägelin og den japanske Purple. I opgaven er fokus dog den tyske Enigma og dennes dechifreringsproces, som blev varetaget af hovedsagligt Polen og England. Idet selve brydningsprocessen både matematisk og historisk set er lang og kompleks, afgrænses emnet. Fokus vil derfor ligge på Polens præstationer inden for dekryptering med Marian Rejewski i spidsen. I den forbindelse ses på den grundlæggende matematik bag Enigma i form af permutationer, som ligger forud for Rejewskis cyklometermetode. Sammen med de matematiske analyser, analyseres to historiske kilder med henblik på at undersøge, i hvor høj grad Polens arbejde dannede grobunden for den endelige brydning af Enigma. Afrundingsvist skitseres Enigmas betydning under 2. verdenskrig med blikket rettet den Bletchley Parks endelige brydning af Enigma. Slutteligt redegøres for RSA-systemet gennem et eksempel på denne nutidige form for kryptering med relevant talteori. Kryptologien før 2. verdenskrig Et af de ældst dokumenterede kryptosystemer er monoalfabetisk og kan føres tilbage til den romerske general Julius Cæsar (100 f.v.t 44 f.v.t). Chifferet benyttede han til brevudvikling med sine fortrolige under sine militære kampagner bl.a. i Gallien 2. Cæsars brug af kodesystemer nedskrives i det 2. århundrede f.v.t. af historieskriveren, Suetonius i Cæsarernes liv LVI 3. Hemmeligholdelsen er simpel, idet princippet er, at ethvert bogstav fra klarteksten erstattes med et bogstav længere fremme i alfabetet. Denne rotation tre pladser længere fremme er netop nøgleværdien til Cæsars system. F.eks. blev D erstattet med G osv. 4. Selve systemet betegnes et additiv substitutionssystem: addi- 1 Landrock, Nissen [1997], s. 5 2 Hansen [ukendt], s. 3 3 Singh [1999], s Singh, [1999], 24 Side 4 af 36

5 tiv, fordi man erstatter hvert bogstav med bogstavets nummer plus nøgleværdien (3) og substitution, idet hvert klartekstbogstav erstattes med andet. For at sikre sig mod statistiske angreb udvikledes en type kryptosystem, hvori kryptotekstens bogstaver kan repræsentere mere end ét bogstav fra klartekstalfabetet. Denne type kaldes for polyalfabetisk substitution. Som navnet antyder, benytter det sig af flere forskellige kryptosystemer. Hvilke kryptoalfabeter, der anvendes, afhænger af en nøgle. I 1581 fremlagde den franske diplomat Blaise de Vigenère ( ) et polyalfabetisk kodesystem, som i flere århundreder efter blev anset for værende umuligt at bryde og blev derfor kaldt, "Le Carré Indéchiffrable" det ubrydelige kvadrat. Vigenéres kendskab til kryptologi stammede fra nogle diplomatiske missioner til Vatikanet, hvor han blev inspireret af en af renæssancens største personligheder, Leon Alberti 5. Denne mand havde indført cifferskiven, som kan opfattes og sammenlignes med Enigmas scrambler, der tager hvert bogstav i klarteksten og omdanner det til noget andet. Dette vender vi tilbage til. Cifferskiven bestod af to kobberskiver, der kunne dreje uafhængigt af hinanden. Cifferet kunne bruges til både simpel bogstavforskydning, men Alberti fremlagde også tankerne om, at man kunne ændre skivernes indstilling i løbet af meddelelsen og gøre den polyalfabetisk 6. En illustration af cifferskiven ses på bilag 1. Selv undlod Alberti dog at videreudvikle idéen til et egentligt system 7. Dette gjorde Vigenère derimod. Styrken ved systemet er de 26 alfabeter, idet mange nøgler i form af ord/fraser muliggøres 8. Opbygningen af et Vigenère-kvadrat ses på vedlagte bilag 2. Med telegrafen, som kom på markedet i midten er 1800-tallet, opstod nye behov for datasikkerhed 9. Noget tydede altså på, at Cæsars- og Vigenéres krypteringssystemer ikke længere kunne leve op til tidens krav. Diskussionerne gik på sikkerhed og kan sammenlignes med vore dages diskussioner omkring sikkerhed på internettet. Med disse intentioner om datasikkerhed blev der opfundet adskillige instrumenter, som før nævnt herunder Enigma. Dechifrering af Cæsars krypteringssystem Ud fra en samling af danske tekster på i alt bogstaver har man samlet data om bogstavfordelingen, som giver følgende frekvensfordeling. 5 Landrock, Nissen [1997], s Singh, [1999], s Singh, [1999], s Singh [1999], s / Side 5 af 36

6 På illustrationen ser vi et histogram for en gennemsnitlig dansk teksts bogstavfordeling. På figuren ser vi, at E er det mest brugte bogstav efterfulgt af T, A, I og S 10. Disse frekvenser kan man med tilnærmelse sige er ens for enhver dansk klartekst. Man kan altså opfatte dem som almengyldige sandsynligheder for det danske sprog. Det er disse frekvenser man udnytter ved dekryptering af en monoalfabetisk system. Frekvenserne er nemlig vigtige, da de er i stand til at give viden om den anvendte nøgle. Grunden til at frekvensanalyse er særlig oplagt at anvende her er, at kryptoalfabetet, udover at være en permutation (altså en ombytning), også blot er en forskydning af klartekstalfabetet. Frekvensfordelingen er derfor den samme blot forskudt i forhold til gennemsnitsfrekvenserne. Dette kan man let forestille sig ud fra søjlerne i ovenstående histogram. F.eks. kan vi se, at E er et meget hyppigt forekommende bogstav i det danske sprog. Hvis vi analyserer og laver et histogram over bogstavfordelingen af en ukendt kryptotekst og kan se, at bogstavet L f.eks. har den nogenlunde samme forekomst som E, er der en stor sandsynlighed for, at L i kryptoteksten svarer til E i klarteksten. Denne form af brydning er særlig simpel, hvis man ønsker at dekryptere en tekst baseret på Cæsarforskydning. Fra ovenstående ved vi, at Cæsar benyttede en forskydning på tre. Laver vi da frekvensfordelingen, vil vi altså få det samme billede som for en typisk dansk tekst bare forskudt 3 pladser mod højre. Grunden til at det er nemt, er netop at Cæsars system er additiv, idet man erstatter hvert bogstav med bogstavets nummer plus nøgleværdien. Man kan altså ved hvilket som helst additivt system blot lokalisere E, det mest forekommende bogstav og herudfra få kendskab til forskydningen og hermed nøglen / Afsnittet, Dechifrering af Cæsars krypteringssystem, er skrevet med afsæt i: Landrock, Nissen [1997], s Side 6 af 36

7 Dechifrering af Vigenères kryptosystem For at forklare matematikken bag Vigenéres kryptosystem vælger vi at forklare nogle af principperne bag dekrypteringen. Vigenères chiffersystem kan brydes via to kendte metoder: Kasiski-test Indtil omkring 1863 forblev Vigenères system ubrydeligt, og man troede, at man endeligt havde gjort op med den traditionelle frekvensanalyse. Den første løsning til at kunne bestemme perioden dvs. antallet af anvendte alfabeter, blev dog opfundet af den prøjsiske major, Friedrich Kasiski. Løsningen blev fremlagt i bogen, Die Geheimschriften og die Dechiffrir Kunst (1863). Idéen bag metoden er, at man via gentagelser i kryptoteksten kan finde frem til perioden. Han fandt nemlig ud af, at afstanden mellem positionen af to identiske sekvenser er det samme som perioden. Med andre ord kan perioden siges at være en divisor i afstanden mellem identiske sekvenser 12. Definition af divisor Tallene a og b er hele. Vi siger, at a går op b altså a b, hvis der findes et tal k, så b = k a. I stedet kan vi sige, at a er en divisor til b. Når man da har fundet periodelængden, kan man anvende frekvensanalyse på de bogstaver i kryptoteksten, der er oversat med det samme bogstav i nøglen 13. Ulempen ved Kasiskis test er, at den kræver forholdsvist store kryptotekster for at man kan finde gentagelserne. Desuden kan der tilfældigt opstå gentagelser, som ikke nødvendigvis stammer fra klarteksten. Derudover kan man sige, at det manuelle arbejde i at finde gentagelserne tager meget lang tid 14. Friedman-test Som reaktion på Kasiskis metode fandt den amerikanske kryptologist William Friedman i 1920 erne ud af en smartere metode, der skulle være i stand til at klarlægge perioden. Metoden skulle være nemmere at udføre i praksis. Et polyalfabetisk systems styrke ligger i, at jo længere nøglen er, des fladere er frekvensfordelingen. Med dette udgangspunk vil vi betragte et tilfældigt kryptosystem baseret på klartekstalfabetet abcdefghijklmnopqrstuvwxyzæøå. Disse nummereres med tallene fra 1-29 i overensstemmelse med bogstavernes rækkefølge. Measure of Roughness, MR (el. fladheden) af en bogstavfordeling defineres som følgende. 12 Landrock, Nissen [1997], s / Afsnittet, Kasiski-test, er skrevet med afsæt i: Landrock, Nissen [1997], s Side 7 af 36

8 Definition af MR - fladheden Fladheden af en bogstavfordeling er et udtryk for fordelingens afvigelse af den totalt flade fordeling hvor alle bogstaver optræder lige hyppigt: 29 MR =!!p i ! i!1 I modellen er p! frekvensen af det i te bogstav. Sigmategnet betegner her summen. Hvert led i summen har formen!p!!!"!!. Idet MR er baseret på hvor jævn en fordeling er, kan vi se, at hvis p! =! for alle i = 1,2,3,4 29,!" er MR = 0. Dette betyder, at hvis alle bogstaver har frekvensen 1/29 vil et søjlediagram med frekvens på y-aksen og bogstaver på x-aksen, selvfølgelig være fladt og hermed have en MR = 0. Vi vil nu udlede Measure of Roughness, der skal vise sig at lede videre til IC Index of Coincidence. Det bør dog pointeres, at MR er af nyere dato (1968) altså ikke Friedmans oprindelig idé. Dette er IC derimod 15. Alligevel betragter man i materialet MR som en naturlig del af Friedman-testen, idet størrelserne er tæt forbundne. MR = 29 i!1 p i Vi anvender vores viden om kvadratsætningen: a b! = a! + b! 2ab nedenfor.!" = p!! !!!!" = p!! !!!!! 2 p! p! 15 Landrock, Nissen [1997], s. 47 Side 8 af 36

9 SRP Matematik A Historie A Summen (sigma) tages altså af alle led i parentesen. Derfor kan vi tage summen af leddet 𝑝!! i parentesen samt summen af leddene!!!! 𝑥!!!!"!!" 𝑝! i parentesen efter følgende regneregel:!!!!(𝑥! + 𝑧! ) =! 16!!! 𝑧! +!"!" 𝑝!! =!!!!!! 2 1 𝑝! 29 29! Vi anvender følgende regneregel for regning med summer:!" 𝑝!! =!!! !"!!! 𝑝! Vi ved, at! 2 29!!!!(𝑏 + 𝑎𝑥! ) = 𝑛𝑏 + 𝑎! 17!!! 𝑥!!" 𝑝!!!! = 1, idet 𝑝! angiver sandsynligheden for at et 𝑖 𝑡𝑒 bogstav i kryptoteksten har en vilkårlig position i=1,2,3,4 29 Summen af 𝑝! for alle 29 bogstaver må da give 1, idet alle frekvenserne summeret giver 1. Dette anvender vi til følgende omskrivning:!" 𝑝!! + 29 =!!!!" =! 𝑝!! 𝑝!! 1 29!!!!" = 1 29!!! ! Hvis vi nu udregner!" fås 0,0345.!" 𝑝!! 0,0345 𝑀𝑅 =!!! Kaiser, [2006], 11 Ibid. Side 9 af 36

10 Første del af udtrykket minder om Index of Coincidence, som er en størrelse, der udtrykker sandsynligheden for, at to tilfældige bogstaver fra en kryptoteksten er ens:!"! IC =!!! p! IC kan vi tolke på. Vi ved fra før, at p! er et udtryk for sandsynligheden for, at det i te bogstav i! kryptoteksten har en vilkårlig position i=1,2,3,4 29. Da kan p! tolkes som værende sandsynligheden for at finde det i te bogstav på to vilkårlige pladser. Sandsynligheden for, at to tilfældige bogstaver begge er f.eks. B, er dette jo produktet for sandsynligheden dvs. p! p! = p!!. IC må derfor være summen af chancerne for, at der på to pladser i en vilkårlig kryptotekst, står det samme. Ovenstående er dog i praksis ikke nemt at regne med. IC kan derfor estimeres, hvorved sandsynligheden for, at der i 2 positioner i en kryptotekst står det samme bogstav kan beregnes på følgende!" måde:!!! K(h!, 2). I modellen er h! hyppigheden af det i te bogstav, n er længden af kryptoteksten. De to positioner (vilkårlige pladser) udtrykkes K(n,2) måder. Af disse to par positioner, defineres K(h!, 2), som indeholder det i te bogstav i begge positioner. Hvis summen tages af dette, findes antallet af positioner, der indeholder det samme bogstav. Chancerne for, at der i to positioner er det samme bogstav bliver således: IC =!"!!! K(h!, 2) K(n, 2) Inden vi når i mål, omskriver vi, idet det gælder, at K n, 2 =! n(n 1).! IC =!"!!! K(h! 1) n(n 1) IC er en test til vurdering af, om en given kryptotekst er krypteret ved monoalfabetisk kryptering eller ej. Ved en monoalfabetisk kryptering vil frekvensfordelingen (jf. afsnit, Dechifrering af Cæsars krypteringssystem) ikke ændre sig, men blot rykke sig idet man jo kun anvender ét system. Herved vil altså også fladheden og IC være uændret i forhold til klarteksten. Hvis kryptoteksten formodes at være monoalfabetisk, ligger IC tæt på 0,701. Udregningen af dette vil vi ikke komme nærmere ind Side 10 af 36

11 på. Denne viden kan bruges for at finde nøglelængden l for en kryptotekst. Man gætter på en længde l (f.eks. ud fra Kasiski-testen). Man opdeler derefter teksten i rækker og udregner IC for hver række. Hvis alle IC erne viser sig at ligge nær 0,701, er der stor sandsynlig for, at der er tale om monoalfabetisk substitution i hver række, og den gættede nøglelængde kan siges at være korrekt 18. Idéen bag kodemaskinerne, der var udbredte i mellemkrigstiden og under 2. verdenskrig, er at man ønsker at gøre en nøgle meget lang, trods at den er periodisk. Denne længde skulle således umuliggøre både Kasiskis og Friedmans metoder, som hidtil havde været brugbare. Disse lange perioder produceres eksempelvis af Enigmas scramblere, som vi i de følgende afsnit vil skifte bekendtskab med. Enigma og optakten til 2. verdenskrig Som under 1. verdenskrig blev den tyske kommunikation fortsat overvåget af engelske kryptoanalytikere i Room 40. I 1926 begyndte de dog ikke længere at kunne dekryptere meddelelser. Noget tydede altså på, at tyskerne havde taget et nyt krypteringssystem til sig efter konsekvenserne af det brudte Zimmermanntelegram 19. Den såkaldte Enigma var taget i brug. Efter 1926 forsøgte stormagterne USA og Frankrig sammen med England at bryde Enigma dog uden held. Efter flere mislykkede forsøg på forcering opgav stormagterne mere eller mindre 20. Efter 1. verdenskrig så de ikke den samme trussel i Tyskland, som jo led efter krigens mange ødelæggelser. Enigma, som nu var den sikreste kommunikation i verden, skulle dog vise sig at være en del af Hitlers plan og oprustning. I 1933 kommer Hitler til magten med sit parti, NSDAP. Hitler havde i sinde at opruste og førte derfor en skarp og ekspansionistisk udenrigspolitik. Alligevel blev der i 1934 indgået en tyskpolsk ikke angrebspagt 21 en traktat, der skulle normalisere forholdet mellem landene trods de polske områder, som Tyskland havde måttet afstå i Versaillestraktaten Afsnittet, Friedman-test, er skrevet med afsæt i: Hansen [ukendt], s Zimmermanntelegrammet: Udenrigsminister Arthur Zimmermann af Det Tyske Kejserrige i 1917 havde sendt et telegram til en tysk ambassadør i Mexico. I telegrammet beordredes ambassadøren til at kontakte den mexicanske regering i håbet om at skabe en militæralliance mod USA. Uheldigvis blev telegrammet dog opsnappet af britiske kryptoanalytikere fra Room 40, der viderebragte meldingen til amerikanerne til amerikanerne. Dette resulterede bl.a. i, at amerikanerne trådte ind i krigen på allieredes side. 14/ Singh [1999], / Side 11 af 36

12 Trods direkte forbud udformet i Versaillestraktaten, oprustede Tyskland med Hitler i spidsen og havde i sinde at genvinde de tabte territorier mod øst, som var afslået til Polen efter krigen 22. På grund af dette følte Polen sig nu i den grad truet. Samtidig havde Rusland intentioner om ekspansion og udbredelse af kommunismen. Grundet trusler fra både Rusland og særligt Tyskland, syntes Polen at have haft den største motivation til at dekryptere Enigma i smug, hvilket skulle være med til at øge den nationale sikkerhed. Derfor grundlagde Polens regering efter 1. verdenskrig et cifferbureau, Biuro Szyfrów. Der blev afholdt et kursus i kryptografi, og en af de indbudte var statistikmatematikeren Marian Rejewski, som for hvem det lykkedes at knække Enigmaen i 1932 gennem kendskab til dagsnøglerne 23. Marian Rejewski blev senere ansat i bureauet pga. sine formidable kompetencer. Ved den tyske invasion af Polen 1. september 1939 blev Biuro Szyfróws og Rejewskis arbejde overdraget til det hemmelige Bletchley Park i England. Materialet omfattede bl.a. to Enigma-kopier og arbejdstegninger til bomber som viste sig at blive en særdeles væsentlig forudsætning for Englands brydning 24. Enigmas oprindelse Enigma var blevet opfundet 1918 af den tyske elektronikingeniør Arthur Scherbius og hans ven Richard Ritter. Opfindelsen var tiltænkt som en forbedring af kryptering ved udnyttelse af det tyvende århundredes teknologi. Enigma kan således opfattes som en elektrisk og betydelig mere kompliceret version af vores beskrevne cifferskive. Enigmaen var dog svær at afsætte trods forsøg både inden for militæret og forretningsverdenen. Først i 1925 lykkedes det Scherbius at afsætte Enigma-maskiner til militæret og senere regeringen. Disse Enigma-maskiner adskiller sig dog fra dem, som Scherbius tilbød f.eks. forretningsverdenen. Den type Enigma, den polske Rejewski lykkedes at knække var endvidere den militære version, som Naziregimet havde taget til sig 25. Opbygning For at kunne sætte os tilstrækkeligt ind i, hvad Rejewskis arbejde gik ud på, ser vi her på selve opbygningen af Enigma. Enigmaen, som ses på bilag 3, består af et tastatur til indtastning af klarteksten. Desuden finder man i den militære Enigma-version (indtil ) tre ombyttelige scramblere (el. rotorer), som roterer efter hver indtastning af et klartekstbogstav. Derfra sendes et elektrisk signal via den centrale scrambler og ud på den anden side, hvor lampen oplyser kryptoalfabetets om- 22 Christensen [2007], s Singh [1999], s Singh [1999], s Afsnittet, Enigma og dens oprindelse, er skrevet med afsæt i: Singh [1999], s. 141 og s Singh [1999], s. 171 Side 12 af 36

13 dannelse af et givent klartekstbogstav. Selve scrambleren består af en gummiskive omgivet af ledninger. Fra tastaturet går ledningerne ind i scrambleren i alt 26 steder (26 bogstaver i det tyske alfabet) og kommer ud på den anden side. Den interne ledningsføring afgør, hvordan klarteksten omdannes. Idéen er at scrambleren skal kunne rotere 1/26 omgang, hver gang et bogstav krypteres. På den måde vil et bogstav sjældent blive krypteret ens. Når én scrambler har bevæget sig én hel omgang, roterer den anden scrambler ét hak (1/26 omdrejning). Den første scrambler drejer nu endnu én omgang, og når den anden scrambler har roteret én hel omgang, roterer den tredje scrambler 1/26 omgang osv. Alle tre rotorer har således 26 forskellige indstillinger, svarende til et bogstav i alfabetet, som står synligt oven på hver af de tre skiver. På tysk kaldes startpositionen, Die Grundstellung 27. På vedlagte bilag 4 ses scramblerdelen. Ud over tastetur og scramblere findes også reflektoren, der en vigtig i forhold til dekrypteringen. Den er ikke-roterende med ledningsføring placeret efter de tre rotorer. Dens funktion er, at lede signalet tilbage gennem scramblerne dog af en ny rute, der slutteligt angiver klartekstbogstavets omdannelse. Ud fra dette er Enigma reciprok. Med dette menes, at ved indtastning af kryptoteksten afhængigt af hvilken scramblerindstilling, som blev brugt under enkrypteringen, så vender man automatisk tilbage til klarteksten 28. For at øge sikkerheden blev en koblingstavle placeret mellem tastatur og første scrambler, som er i stand til at ombytte typisk 6 bogstavpar, inden de kommer ind i scramblerne. Svagheden er dog, at princippet i koblingstavlen ikke rotorer. Der vil altså på et tidspunkt vise sig et mønster, som kan brydes ved frekvensanalyse. I ovenstående er der ikke taget højde for, at komponenterne ikke alle er tilføjede fra starten. Funktion og indstilling Noget andet essentielt ved Enigmas funktion er dens brug af nøgler. Systemet benyttede sig nemlig af både dagsnøgler og aktuelle, midlertidige nøgler. For at give en forestilling om, hvor omfattende Enigmaen var at bryde, var der i versionen med tre scramblere ikke mindre end forskellige nøgler 29. Dagsnøglen består af scramblerorienteringen og kunne findes i en kodebog, som blev udgivet hver måned og distribueret til alle i kommunikationsnetværket. Efter indstilling af scramblerorienteringen kan operatøren nu kryptere sin besked. Han indtaster beskedens første klartekstbogstav, ser hvilket bogstav, der lyser på lampepladen. Dette bogstav skriver han ned som den kodede version af første bogstav. Herefter går den første scrambler automatisk én position frem, og afsender kan kryptere andet bogstav i beskeden osv / Ibid. 29 Singh [1999], s. 150 Side 13 af 36

14 Til slut overdrages kryptoteksten til en radiooperatør, som transmitterer beskeden. Modtageren, hvis Enigma allerede er indstillet efter dagsnøglen, nedskriver beskeden over radioen, indtaster den på Enigmaen og får da den originale klartekst vist på lampebrættet 30. Processen svækkedes af den gentagne brug af denne dagsnøgle. Det var bl.a. dette problem, som kryptoanalytikeren, Marian Rejewski udnyttede. For at øge sikkerheden indførtes derfor den aktuelle nøgle, som er forskellig fra meddelelse til meddelelse. Den aktuelle nøgle angiver en foreløbig ny scramblerorientering, som skrives og krypteres med dagsnøglen. Dette gøres to gange for at sikre mod fejl. For at give et konkret eksempel på den aktuelle nøgles funktion laver vi et eksempel 31. Eksempel på den aktuelle nøgles funktion Vi bestemmer, at vores nøgle skal være FGH. Efter forskrifterne enkrypterer vi den aktuelle nøgle. For at sikre mod fejl gentages FGH. Vi indtaster altså FGH FGH, som ved enkrypteringen bliver til f.eks. EJT YVI. Afsenderen omstiller derefter sine rotorer efter den aktuelle nøgle og skriver meddelelsen, der ønskes krypteret. For at dekryptere teksten indtaster modtageren den enkrypterede aktuelle nøgle, EJT YVI, hvilket afkodes og bliver FGH FGH (den dekrypterede aktuelle nøgle) Modtageren kan nu indstille den midlertidige scramblerorientering og dekryptere resten af meddelelsen. Gentagelsen af den aktuelle nøgle (el. meddelelsesnøgle) skulle dog senere vise sig at svække Enigma, hvilket ses i afsnittet: Rejewskis matematiske indsats. Dechifreringens praktiske grundlag I 1929 lykkedes det Biuro Szyfrów at få fat i en kommerciel Enigma, som kunne afsløre de nødvendige principper 32. Desværre var Enigmaen ikke magen til den militære Enigma, idet ledningskoblingen var forskellig i scramblerne i forhold til den kommercielles. Et andet vigtigt grundlag for den fremtidige brydning af Enigma blev lagt af en utilfreds tysker, en Hans Thilo-Smidt. Han var blevet bitter efter at være blevet kasseret af den tyske hær under nedskæringerne som følge af kravene i Versailles-traktaten. Smidts nederlag stod i kontrast til broderen Rudolph Smidt, som efter 1. verdenskrig var blevet udråbt til øverstbefalende i Signalkorpset med ansvar inden for kommunikations- 30 Afsnittet, Funktion og indstilling, er skrevet med afsæt i: Singh [1999], s.147 og s Eksemplet er baseret på: Singh [1999], s / Side 14 af 36

15 sikkerheden. Gennem broderen fik Hans-Thilo job på Chiffrierstelle kontoret, som stod for Tysklands enkryptering. Med fri adgang til hemmelig kodemateriale kunne Hans-Thilo nu hævne sig og sælge information videre. Information blev bl.a. solgt til en fransk agent Rex, som i 1931 fik chancen for at fotografere bl.a. dokumentet: Schüsselanleitung für die Chiffriermaschine Enigma 33. Den franske sikkerhedstjeneste følte sig dog ikke truet af Tyskland og så sig derfor ikke nødsaget til at udnytte den ellers dyrebare viden om Enigma, hvorudfra man faktisk ville være i stand til at opbygge en direkte kopi. Materialet blev derfor overdraget til Polens kryptoanalytikere på Biuro Szyfrów. Overdragelsen fandt sted, idet man ti år forinden havde haft et militært samarbejde med franskmændene 34. I den forbindelse ønsker jeg at analysere en del af dokumentet Schüsselanleitung zur die Chiffriermaschine Enigma, som er et nogenlunde identisk dokument, som det Hans-Thilo Smidt var i besiddelse af, kan vi se i hvilket omfang dokumentet kunne afsløre detaljer omkring bl.a. scramblerorientering. Dokumentet, Schüsselanleitung zur Schlüsselmaschine er en original kopi fra Berlin Polens arbejde med Enigma sluttede som bekendt i Alligevel er det muligt at sammenligne med materialet, som Hans-Thilo Smidt videregav. Illustration 35 : Fra kilde, Schüsselanleitung zur Schlüsselmaschine Ligesom Smidts dokument kan kilden fra Berlin 1940 tilsvarende fortælle om koblingstavlen, scramblernes rækkefølge og ikke mindst scramblerorienteringen. Dette ses på side 9 i kilden. I eksemplet ses, at Walzenlage beskriver scramblernes rækkefølge. Derudover betegner Ringstellung scramble- 33 Singh [1999], s Afsnit om Hans-Thilo Smidt, skrevet med inspiration fra: Singh [1999], Fellgiebel, [1940], s. 9 Side 15 af 36

16 rorienteringen. På side 6 ser vi nemlig, at alle bogstaverne udtrykkes med tal. Desuden ses, at Steckerverbindung ledningskoblingerne på koblingsbrættet viser, hvorledes bogstaverne B og E, K og E, V og Z osv. skal ombyttes. Ved dette er det dog tydeligt, at dokumentet er fra Grunden til dette er, at tyskerne i december 1938 lod antallet af ledninger på koblingstavlen stige fra seks par til i alt 10 par 36. I stedet for 12 ombyttede bogstaver, var der altså nu 20 stk., og flere nøgler opstod. Dokumentet kan således sige noget om, hvilke forudsætninger Rejewski havde for arbejdet med Enigma. Matematikken bag Enigma For at give indblik i, hvilken teori Rejewski benyttede sig af, ses i det følgende på begreber inden for permutationer, som er det helt centrale, matematiske element inden for Enigma. Enigma har 26 bogstaver (a-z) og der er derfor tale om permutationer af 26 bogstaver. I sin enkelthed er en permutation bare en afbildning, hvor elementerne i en given mængde bliver ombyttet. En måde at skrive en permutation på kaldes to-række-notation. Disse permutationer kan vi hernæst opstille på cykelform. For eksempel kan vi vise, hvordan rotor 1 i en bestemt indre ledningsføring kan give anledning til permutationen, som ses nedenfor 37. Det er korrekt at kalde nedenstående for en permutation, idet er netop er en ombytning af alfabetets oprindelige rækkefølge. a b c d e f g h k q e o r v z a i j k n s u l m n o p q r s t u v w x y z b f g i l w c d h y j m p t x Illustration: Det ses hvilken indre ledningsføring, der giver en vilkårlig permutation, P. Hermed mener man, at ved kryptering omdannes a til k, f til v og n til g osv. På den måde får man en sekvens eller kæde, som altid ender i udgangspunktet. Grunden til at man altid ender i udgangspunktet er, at alfabetet er en bestemt givet mængde. Man kalder denne sekvens for en cykel og er altså en anden måde at angive en permutation. Vi vil nu finde cykelform. Man danner strukturerne, idet man opsøger f.eks. alfabetets første bogstav a, som svarer til k. Bogstavet e svarer til r. Bogstavet l svarer til b osv. Når man når h, som bliver til a altså startbogstavet, afsluttes strukturen. For at skabe den næste struktur tages det næste bogstav i alfabetet, som endnu ikke optræder i sekvensen. Herefter er fremgangsmåden den samme Singh [1999], s Eksemplet tager afsæt i: 20/ Afsnittet, Matematikken bag Enigma, er skrevet med afsæt i: 14/ , Vestergaard [2008], 3-4 Side 16 af 36

17 a k u y t h a b q w m f v j s d o i n g z x p l b c e r c Illustration: Cykelform ud fra fiktiv permutation i scrambler. For rotor 1 i vores fiktive eksempel gælder det, at den består af alt tre cykler : Én 6-cykel, én 17- cykel og én 3-cykel. Den endelige cykel-form for rotor 1 ville da være: a k u y t h b q w m f v j s d o i n g z x p l (c e r) På baggrund af dette kunne Rejewski lave et katolog for hvilke scramblerorienteringer, der passede sammen med bestemte antal kæder og bestemte antal led i kæderne. En nærmere analyse af dette ses følgende. Bag teorien om permutationer findes mange andre begreber, såsom invers permutation og konjugerende permutation. I denne opgave ses på grundprincipperne i Rejewskis brydning af Enigma, og ovenstående er derfor tilstrækkeligt. Rejewskis matematiske indsats Rejewski forsøgte at bryde Enigmaen ud fra de gentagelser, som systemet havde. Gentagelser har altid været kryptoanalytikeres stærkeste våben. Grunden til dette er, at man via gentagelser kan finde mønstre, der i sidste ende kan betyde, at en kode kan brydes. Som før nævnt blev den aktuelle nøgle gentaget. Dette ønskede Marian Rejeski at udnytte. I mange dage sad Rejewski derfor og opsnappede meddelelser i form af de første seks bogstaver altså f.eks. HJK HJK og f.eks. kunne ende som ALO FBK. I hvert af disse tilfælde vidste Rejewski, at hvert 1. og 4. bogstav oprindeligt var det samme som også 2. og 5., og 3 og 6. var. Mellem bogstaverne fandt Rejewski relationer, som han opstillede i tabeller 39. Som for eksempel: 1.bogstav a b c d e f (...) w x y x 4.bogstav f q h p l w (...) a s d k 39 Singh [1999], s. 165 Side 17 af 36

18 Han fandt dernæst ud af, at han kunne opstille relationerne i kæder eller permutationer, som beskrevet i forrige afsnit: a f w a 40. Måden han fandt disse på var, at han opsøgte a, som blev til f i fjerde bogstav. Bogstavet f bliver til w, og w bliver til a. På den måde fås en kæde på 3 led. Fremgangsmåden kan føres direkte tilbage til afsnittet, Matematikken bag Enigma. Det samme gjorde han for bogstaverne i 2. og 5. position, og 3 og 6. position. Herudaf kom en masse kæder. Disse kæder, som vi før kaldte cykel-former, benævnes også cyklometre og refererer direkte til Rejewskis arbejde 41. Cyklometrenes opbygning var således et resultat af dagens nøgle altså en konsekvens af scramblernes position og orientering, samt koblingstavlen. Fra før ved vi, at dagsnøglen ændredes hver dag, og derfor blev den aktuelle nøgle forskellig dag for dag. Dette betød, at også kædelængderne varierede. For at komme nærmere i sin søgen på at bestemme dagsnøglen fandt Rejewski ud af, at antallet af led i kæderne kun afhænger af scramblerorienteringen. Dette er ikke svært at forstå, idet koblingstavlen jo kun ombytter par af bogstaver uden at ændre på antallet af led. Ud fra dette forsøgte han nu at finde ud af, hvilket af de i alt scramblerorienteringer, der kunne høre sammen med en fordeling af ledantal i bogstavkæderne 42. Bag sig havde Rejewski et hold, som hjalp med at tjekke sammenhængene i ledantal ud fra scramblerorienteringer. Cyklometerne blev katalogiseret. Ud fra denne information kunne han nu fastslå antallet af led i kæderne og antal kæder ved at analyse 1. og 4. bogstav osv. En sådan undersøgelse kunne give en ledfordeling på 3,8,7,7 med altså i alt fire kæder. Herudfra kunne Rejewski tilslut gå tilbage i kataloget og se, hvilke scramblerorienteringer (f.eks. 14, 6, 20), der passede sammen med det rigtige antal kæder og det korrekte antal led i alle kæderne. Rejewski var på den måde i stand til at bestemme dagsnøglen, som er en forudsætning for at dekryptere ud fra scramblerne. Men koblingstavlen havde Rejewski hidtil ikke taget højde for. På en Enigma-kopi ud, som Rejewski forinden havde fået opbygget ud fra dokumenterne fra Hans-Thilo Smidt, indstillede Rejewski dagsnøglen på scrambleren og frakoblede alle ledninger til koblingstavlen, så ingen bogstaver blev ombyttet. Derefter dekrypterede han en stump opsnappet kryptotekst. Og forståeligt viste den dekrypterede tekst at indeholde fejl, netop fordi koblingstavlen var udeladt 43. Alligevel kunne man godt med god vilje gætte sig frem til, hvilke bogstaver, der skulle ombyttes. Som før nævnt skulle seks par bogstaver ombyttes indtil 1940, hvor antallet af par steg til 10. I alt tog det cirka et år for Rejewski at lave kataloget, som gjorde ham i stand til at dekryptere tyske med- 40 Ibid / Singh [1999], s Singh [1999], s. 168 Side 18 af 36

19 delelser 44. Metoden med cyklometre, som her berørt, er udviklet mellem Derudover udviklede og anvendte Rejewski i samarbejde med kollegaerne, Rózycki og Zygalski også en metode, som fik navnet grill method 46. Denne vil vi dog ikke komme nærmere ind på i denne opgave. Kildeanalyse Rejewskis dechifrering af Enigma På grund af hemmeligholdelsen af dechifreringsarbejdet er kilder om Enigma og brydningen stammende fra selve perioden nærmest umulige at finde. Alligevel findes der enkelte eksempler på førstehåndskilder. I det følgende afsnit analyseres to tekster med Marian Rejewski som hovedperson. I 1978, cirka et halvt år før sin død, stiller Rejewski op til interview omhandlende Enigma og sin personlige oplevelse af brydningsprocessen. Interviewet foretages af den polsk/amerikanske Richard A. Woytak. Selve interviewet har formentlig foregået på polsk og kilden er derfor ikke fuldstændig oprindelig men en oversættelse til engelsk. Alligevel betragtes kilden som værende troværdig. Interviewet har siden fået titlen A conversation with Marian Rejewski by Richard A. Woytak. Kilden er i stand til er at give en forestilling om, hvorledes Rejewski selv oplevede at arbejde med Enigma og have det ansvar for sikkerhed, som Rejewski indirekte havde. Endvidere kan kilden berette om seriøsiteten omkring arbejdet med Enigma, og det engagement, der blev lagt i det. I starten af interviewet forklarer Rejewski om, hvorledes han blev kryptanalytiker. Her forklarer han, hvorledes han i 1929 blev udvalgt af Section II [the Intelligence Section of the Polish General Staff]. Ved udvælgelsen gik Rejewski videre til et kryptologikursus. Selve udtagelsen var yderst hemmelig f.eks. forklarer Rejewski, at ikke engang direktøren af Poznan Universitets Matematiske instituts sekretær blev informeret, idet hun var af engelsk oprindelse. Rejewski afsluttede ikke selv kurset pga. andre fremtidsplaner, men endte alligevel med at blive en del af holdet af Poznan Universitet. I 1932 flyttede han sammen med Rózycki og Zygalski til Warszawa. Her kom Rejewski til at arbejde med den tyske flådekode. Kort tid efter blev Rejewski tilbudt til ekstra job med et andet ciffersystem, som hans to kollegaer heller ikke måtte vide noget om. Rejewski måtte selv lægge to og to sammen, da han ved sit arbejde med systemet selv fandt ud af, at det var Enigma, han var blevet sat til løse. Dette bevidner endnu en gang om vigtigheden af 44 Singh [1999], s / / Side 19 af 36

20 hemmeligholdelsen allerede på dette tidspunkt. Rejewski siger i forbindelse med det: In a staff and particularly in a cipher bureau, it s most customary to ask 47. Efter nogle måneders arbejde med Enigma løser Rejewski samme år 1932 Enigma i den forstand, at ledningsføringen i de tre rotorer og reflektoren opdages 48. Rejewski erfarede dette ud fra den dobbelt aktuelle nøgle, som hver meddelelse begyndte med. Ud fra denne opdagelse af ledningsføringen og kendskabet til den aktuelle nøgle var målet nu at finde dagsnøglerne. Det var netop med cyklometermetoden i , at det lykkedes Rejewski at bestemme dagsnøglen, hvilket sås i forrige afsnit. Materialet som forudsatte forståelsen kom fra Hans-Thilo Smidt og dannede på den måde forudsætningen for Polens endelige brydningsresultat 49. I en periode i 1930 erne var polakkerne således i stand til at dekryptere tyske meddelelser. Herudover beretter Rejewski, hvordan de tre kryptoanalytikere sjældent fik besøg af højerestående positioner som f.eks. Gwido Langer, som var det polske cifferbureaus overhoved. Man kan her formode, at dette skyldtes fortroligheden omkring arbejdet. Endvidere bevidner kilden, hvorledes tyskerne løbende ændrede procedurer og gjorde arbejdet med Enigma vanskeligere. Den følgende kilde skrevet af Marian Rejewski selv. Kilden er betegnet Summery of Our Methods for Reconstructing ENIGMA and Reconstructing Daily Keys and of German Efforts to Frustrate Those Methods. Artiklen er præsenteret af Tadeusz Lisicki en polsk ingeniør og militærofficer, som kendte Rejewski personligt. Formålet med kilden nævnes i starten og er at bevare mindet af det polske arbejde med Enigma og vigtige aspekter i forhold til dette. Det, som denne kilde kan, i forhold til den forrige er at belyse, i hvilket omfang Polens dechifrering har medvirket til den endelige brydning af Enigma på Bletchley Park. I kilden forklarer Rejewski i detaljer, hvordan tyskerne gjorde det sværere at dekryptere 50. I 1937 ændredes f.eks. på reflektorens indstilling, hvilket medvirkede til, at cyklometermetoden ikke længere var brugbar og kataloget over scramblerorienteringer måtte ændres. I 1938 forandrede tyskerne da fuldstændigt produceren for enkryptering af meddelelser. Den nye metode blev mekaniseret og kaldt Bomba Kryptologiczna (dansk: kryptologisk bombe), som kunne rekonstruere dagsnøglerne. I 1939 introducerede tyskerne to nye scramblere. 51 Dette betød, at disse måtte integreres i bomberne, og dette ville kræve, at Rejewski måtte bygge 10 gange så mange bomber med hver sit 47 Woytak [1978], s. 232, 48 Ibid. 49 Singh [1999], s Rejewski [1977], s Ibid., s. 243 Side 20 af 36

21 scramblerarrangement. Prisen var dog femten gange bureauets samlede budget 52. Polens ressourcer rakte altså ikke længere. I stedet blev arbejdet i form af to ekstra Enigma-kopier og arbejdstegninger til bomberne overgivet til Bletchley Park 53. Enigma under 2. verdenskrig Betydningen af den endelige dechifrering Polen beviste, at Enigmas kode ikke var ubrydelig og banede på den måde vejen for den endelige dekryptering af Enigma i England. Som nævnt havde englænderne efter 1. verdenskig opgivet at bryde koden. På den måde kan man sige, at Polen åbnede stormagtens øjne. Efter overdragelsen kunne briterne nu videreudvikle deres egen bombe. Denne videreudvikling kom til internationalt at hedde The Turing Bomb efter dens udvikler Alan Turing 54. I de følgende år lykkedes dechifreringen af Enigma, idet britiske kryptoanalytikere bl.a. formåede at afkode Luftwaffes og Kriegsmarines Enigma i Forceringen af disse fik bl.a. betydning i forbindelse med operationer i Middelhavet og Nordafrika 55. Polen kan altså siges at have stor andel i æren af den endelige brydning, idet de er støberne af grundlaget. Desuden har en tidligere kryptologist og historieskriver fra Bletchley Park, Harry Hinsley udtalt, at i stedet for at krigen sluttede i 1945, ville den formentlig have fortsat til 1948, hvis ikke man havde været i stand til at læse Enigmas koder 56. Kryptologien efter 2. verdenskrig RSA-kryptering Indtil videre har vi udelukkende set på symmetriske kryptosystemer, dvs. systemer, hvor nøglen til enkryptering er den samme som nøglen til dekryptering. Alle systemer før 1970 erne er desuden symmetriske. Et eksempel på et nyere krypteringssystem, som er asymmetrisk, er RSA, der er udviklet i 1977 af Rivest, Shamir og Adleman 57. RSA-systemet er et eksempel på public key kryptografi, og denne form benytter sig af to nøgler en offentlig og en hemmelig 58. Som forudsætning for at 52 Singh [1999], s Singh [1999], s / Faurholt, Ole, Niels [andre oplysninger ukendte] 56 Singh [1999], Landrock, Nissen [1997], s / Side 21 af 36

22 (1.0) 60 m = qn + r, 0 r < n SRP Matematik A Historie A forstå metoden bag RSA-systemet, er det nødvendigt at kende til den relevante talteori. RSAkryptering er f.eks. baseret på primtal, som er positive heltal større end 1, der ikke har andre divisorer end 1 og tallet selv. Desuden udnyttes det faktum, at to tal er indbyrdes primiske, når de to tal kun har ét heltal som fælles divisor, netop RSA-systemet kan forklares med udgangspunkt i følgende områder inden for talteorien. Slutteligt gives et eksempel på RSA-kryptering. Modulær aritmetik Denne del inden for talteorien består bl.a. i at regne med rester som omtales principale rester. Vi indfører derfor divisibilitetshovedsætningen, som siger: For vilkårlige hele tal m og n med n > 0 findes to hele tal q og r, således at: Ved indførsel af den principale rest 61 fås: m(mod n) = r Hvori r er den principale rest ved division af m med n for vilkårlige hele tal m og n med n > 0. Eksempel på brug af division med rest (1.1) Vi ønsker at bestemme kvotienten q og principalresten r ved division af 58 med 9. Dette giver 6, Ved at fratrække decimalerne får vi, at q = 6. Resten finder vi ved 0, = 4, altså r = 4. Dette vil således sige, at 58 = Her er 6 kvotienten (el. resultatet) ved divisionen af 58 med 9, tallet 4 er resten (el. principalresten), mens 9 kan divisoren. Dette kan vi i stedet skrive 58 (mod 9)=4, hvilket udelukkende gøres i selve eksemplet med RSA. Desuden bruger vi i eksemplet følgende regneregel for udregning med modulo i følgende eksempel: (1.2) 62 a t mod n = a mod n t mod n, t N 59 Landrock, Nissen [1997], s Landrock, Nissen [1997], s Landrock, Nissen [1997], s Landrock, Nissen [1997], s. 73 Side 22 af 36

23 (1.3) 63 φ pq = p 1 (q 1). (2.0) 64 ax 1 (mod n) (2.1) 65 a b (mod n) SRP Matematik A Historie A Eulers funktion Eulers φ(n)-funktion er for et helt tal n defineret som antallet af elementer i Z!, der er indbyrdes primisk med n (dvs. som sagt alle tal Z!, der har 1 som største fælles divisor med n). Z er mængden af hele tal, dvs.:, 2, 1, 0, 1, 2,. For Eulers funktion for produktet af to primtal p og q gælder, at: Netop dette specialtilfælde omhandler RSA. Det er med denne funktion, hvorudfra man kan beregne d. Dette ses i det følgende eksempel. Inverst element Det inverse element er et heltal a z! har et inverst element modulo n, såfremt der findes et tal x z!, så at: Tallet x er da det inverse element til a modulo n. I det kommende eksempel bruger vi ikke inverst element som metode. Dog ses at x og d identiske, hvilket også e og a er. Derfor kan der argumenteres for, at d også er det inverse element til e modulo n. Kongruenser Vi lader a, b, n z, n > 0. Tallet a siges da at være kongruent med b modulo n, som skrives: Dette giver dog kun, hvis følgende ensbetydende kriterier er opfyldt: 1. n (a b) dvs. at divisionen af n med (a b) går op, således at resultatet er et heltal. 2. Tallene a og b giver desuden samme principale rest ved division med n. 63 Erlandsen [ukendt], Landrock, Nissen [1997], s Landrock, Nissen [1997], s. 87 / Carstensen [1993], s. 8 Side 23 af 36

24 Eksempel på RSA-kryptering Det første man gør, er at konstruere systemets nøgler. Det vil sige den offentlige (1) og den fortrolige nøgle (2) 66. (1) Offentlig nøgle: For at konstruere den første del af denne nøgle vælges to store primtal p og q (i praksis) gerne med ca. 100 cifre. I eksemplet bruger vi dog kun tocifrede og på den måde bliver eksemplet udelukkende teoretisk. Vi vælger primtallene p=17 og q=13. Efterfølgende beregner man : n = pq I ovenstående indsætter vi vores to primtal p=17 og q=13 og finder på den måde n. n = = 221 Dette tal n er den offentlige nøgle, som i alt består af n og e. For at bestemme den sidste del af den offentlige nøgle skal vi finde et tal, e, som er indbyrdes primisk med vores hemmelige nøgle, φ(m). For tallet 7 gælder det, at sfd 192,7 = 1. Tallet e er altså lig 7. For at sikre at 7 nu også er primisk med 192, bruges TI-89, hvor det kan tjekkes om et givent tal er indbyrdes primisk med et andet tal. Funktionen findes i Catalog og betegnes gcd( (Greatest Common Divisor) 67. Ved indtastning: gcs(192,7)=1. Altså har tallet 7 primisk med 192, idet den eneste fælles divisor er 1. Således er : e = 7 (2) Hemmelig nøgle: For at bestemme denne anvendes Eulers funktion, som præsenteret i teorien (1.3). Vi indsætter primtallene p og q og beregner således den hemmelige nøgle. φ 221 = Selve metoden til udarbejdelsen af eksemplet er baseret på fremgangsmåden i: Landrock, Nissen [1997], s Side 24 af 36

25 = 192 I nedenstående skal vi nemlig finde et tal d, der opfylder 192 (7 d 1). Tallet d er desuden det inverse element i modulo φ(n), præsenteret i teorien (2.0). For at bestemme den hemmelige nøgle, som består af d, beregner vi d ved brug af Excel. Dette gøres, idet det nærmest er umuligt at udregne manuelt. Måden, hvorpå vi bruger Excel til at finde d, kan ses på vedlagte bilag. ed 1 (mod φ n 7 d 1 (mod 192 ) 192 (7 d 1) d = 3319 Ud fra Excel ser vi, at den hemmelige nøgle er, d = 3319 Den samlede nøglekonstruktion er altså: Den hemmelige nøgle er således: Den offentlige nøgle er således: d = 3319 n = 221 og e = 7 Enkryptering Klarteksten som skal krypteres, kodes først som tal og inddeles hernæst i blokke, så hver blok repræsenterer et tal m, hvor 0 < m < n. Det ønskes at enkryptere meddelelsen m i form af ordet, JUL. På kildens tegntabel oversættes ordet JUL til Det skal imidlertid være opfyldt, at 0 < m < n. Vi kan derfor opdele vores meddelelse består af to blokke, som alle opfylder: 0 < m < n nemlig 193 og 021. Illustration 68 : Tegntabel 68 Blaavand [2007], s 2 Side 25 af 36

26 Man kan da spørge, hvorfor der ikke benyttes en simplere tegntabel, som f.eks. A = 0, B = 1, C = 3, Å = 28. Grunden til dette er, at ved kryptering af A vil enkrypteringen ingen virkning have. Ved enkrypteringen opløftes meddelelsen, m jo i e te således altså m! = 0! = 0. På samme måde kan man sige om enkrypteringen af B, som ville så sådan nu: m! = 1! = 1. Det samme scenario vil også opstå ved blokdannelse f.eks. af AB, der ville blive til 01, hvilket jo svarer til A=1 69. Tallet m enkrypteres ved at opløfte m i e te potens og reducere modulo n. Denne model har man fundet ud af fungerer til enkryptering. Modellen ses her: m m e mod n = c I ovenstående er c den enkrypterede tekst og m er klarteksten. I modellen enkrypterer vi klarteksten blokvist dvs. ét tegn af gangen, idet vi ikke manuelt kan kryptere hele meddelelsen på én gang. Vi starter med at kryptere 193. Til dette bruger vi modellen, hvori vi indsætter vores kendte værdier m, e, n. m m! mod n = c c = 193! mod 221 Dette udtryk kan vi omskrive, som det ses følgende ved henvisning til (1.2) a! mod n = a mod n! mod n, t N. Med denne regel er det muligt, at omskrive, så vi opdeler stykket i tre dele ved at opløse potensen 7 og splitte denne op. c = 193! mod 221 = ( ! ( 193!! )(mod 221) Vi finder nu principalresterne for hver af faktorerne dvs. 193!! og 193!. Vi kan ikke gøre noget ved faktoren 193, idet vi netop får den principale rest til at være netop 193. Måden vi finder principalresterne på er som vist i eksempel 1 under afsnittet om modulær aritmetik (1.1). 69 Blaavand [2007], s. 1-2 Side 26 af 36