G Skriverens Kryptologi



Relaterede dokumenter
TALTEORI Følger og den kinesiske restklassesætning.

Forberedelse til den obligatoriske selvvalgte opgave

Binomialfordelingen. Erik Vestergaard

Binomialfordelingen: april 09 GJ

Lineær regressionsanalyse8

Note til Generel Ligevægt

Beregning af strukturel arbejdsstyrke

HVIS FOLK OMKRING DIG IKKE VIL LYTTE, SÅ KNÆL FOR DEM OG BED OM TILGIVELSE, THI SKYLDEN ER DIN. Fjordor Dostojevskij

Fagblok 4b: Regnskab og finansiering 2. del Hjemmeopgave kl til kl

Støbning af plade. Køreplan Matematik 1 - FORÅR 2005

TEORETISKE MÅL FOR EMNET:

FOLKEMØDE-ARRANGØR SÅDAN!

Udvikling af en metode til effektvurdering af Miljøstyrelsens Kemikalieinspektions tilsyn og kontrol

Forberedelse INSTALLATION INFORMATION

Inertimoment for arealer

SERVICE BLUEPRINTS KY selvbetjening 2013

Sandsynlighedsregning og statistik med binomialfordelingen

Salg af kirkegrunden ved Vejleå Kirke - opførelse af seniorboliger. hovedprincipper for et salg af kirkegrunden, som vi drøftede på voii møde.

Landbrugets efterspørgsel efter Kunstgødning. Angelo Andersen

Tabsberegninger i Elsam-sagen

ipod/iphone/ipad Speaker

Europaudvalget EUU alm. del Bilag 365 Offentligt

2. Sandsynlighedsregning

Analytisk modellering af 2D Halbach permanente magneter

HR Kort beskrivelse. 1. Leveringens omfang

EKSAMEN I MATEMATIK-STATISTIK, 27. JANUAR 2006, KL 9-13

ZENITH BRUGERVEJLEDNING. UM_DA Reservedelsnummer: _00 Dato: 25/11/2014 Oversættelser af den Originale Brugsanvisning

ipod/iphone speaker User manual Gebruiksaanwijzing Manuel de l utilisateur Manual de instrucciones Gebrauchsanleitung Οδηγίες χρήσεως Brugsanvisning

Statistisk mekanik 13 Side 1 af 9 Faseomdannelse. Faseligevægt

Brugerhåndbog. Del IX. Formodel til beregning af udlandsskøn

Kort fortalt: Indledning. Hvilke data(informationer):

Fysik 3. Indhold. 1. Sandsynlighedsteori

Nim Skole og Børnehus

Fra små sjove opgaver til åbne opgaver med stor dybde

Handlingsplan om bedre overvågning af biologiske lægemidler, biosimilære lægemidler og vacciner

Kulturel spørgeguide. Psykiatrisk Center København. Dansk bearbejdelse ved Marianne Østerskov. Januar udgave. Kulturel spørgeguide Jan.

Ugeseddel 8. Gruppearbejde:

Statistik II Lektion 5 Modelkontrol. Modelkontrol Modelsøgning Større eksempel

DLU med CES-nytte. Resumé:

Mary Rays. Træn lydighed, agility og tricks med klikkertræning. Mary Ray. Atelier. Andrea McHugh

Aftale om generelle vilkår for tillidsrepræsentanter -^ i Magistratsafdelingen for Sundhed og Omsorg

Introduktion Online Rapport Din skridt-for-skridt guide til den nye Online Rapport (OLR) Online Rapport

Prøveeksamen Indtjening, konkurrencesituation og produktudvikling i danske virksomheder Kommenteret vejledende besvarelse

FRIE ABELSKE GRUPPER. Hvis X er delmængde af en abelsk gruppe, har vi idet vi som sædvanligt i en abelsk gruppe bruger additiv notation at:

TO-BE BRUGERREJSE // Personligt tillæg

Gulvvarmeanlæg en introduktion. af Peter Weitzmann

Nøglebegreber: Objektivfunktion, vægtning af residualer, optimeringsalgoritmer, parameterusikkerhed og korrelation, vurdering af kalibreringsresultat.

Økonometri 1 Efterår 2006 Ugeseddel 13

FTF dokumentation nr Viden i praksis. Hovedorganisation for offentligt og privat ansatte

Monteringsvejledning. Indbygningsradio

Centralkontrolenhed MPC-xxxx-B FPA-1200-MPC. Brugervejledning

Fastlæggelse af strukturel arbejdsstyrke

NOTAT: Benchmarking: Roskilde Kommunes serviceudgifter i regnskab 2013

KENDETEGN FOTKEEVENTYRETS. i faøíii"n. riwalisøring. Içannibalismz. a9ergãrg ffe barn til volçsøn. for ryllølsø. åøt bernløse ægtepãx.

Indtjening, konkurrencesituation og produktudvikling i danske virksomheder

Samarbejdet mellem jobcentre og a-kasser inden for FTFområdet

NOTAT:Benchmarking: Roskilde Kommunes serviceudgifter i regnskab 2014

Bilag 1: Projektbeskrivelse

Bilag 6: Økonometriske

Notat om porteføljemodeller

Udviklingen i de kommunale udligningsordninger

Kvantitative metoder 2 Forår 2007 Ugeseddel 10

Økonometri 1. Heteroskedasticitet 27. oktober Økonometri 1: F12 1

Installationsvejledning 3. Dräger Interlock XT Startspærre styret af åndeluftens indhold af alkohol

TO-BE BRUGERREJSE // Tænder

Når klimakteriet tager magten Fokus

TheraPro HR Kort beskrivelse. 1. Leveringens omfang

6. SEMESTER Epidemiologi og Biostatistik Opgaver til 3. uge, fredag

χ 2 -fordelte variable

Kvantitative metoder 2

Opsamling. Simpel/Multipel Lineær Regression Logistisk Regression Ikke-parametriske Metoder Chi-i-anden Test

Stadig ligeløn blandt dimittender

Kreditrisiko efter IRBmetoden

Handleplan for Myndighed (Handicap og Socialpsykiatri)

VEDTÆGTER. Advokatfirmaet Espersen Tordenskjoldsgade Frederikshavn TIL ii LE/UJ. for. Andeisforeningen Feddet

1. Beskrivelse af opgaver inden for øvrig folkeskolevirksomhed

Betjeningsvejledning. Trådløs motoraktuator

Brugen af R^2 i gymnasiet

BLÅ MEMOSERIE. Memo nr Marts Optimal adgangsregulering til de videregående uddannelser og elevers valg af fag i gymnasiet.

SåDAn GØR VI KLASSELEDELSE. Hvad skal eleverne lære?

Import af biobrændsler, er det nødvendigt?

½ års evaluering af projekt Praktisk Pædagogisk Funktionsstøtte

Eleven kan deltage i længere, spontane samtaler og argumentere for egne synspunkter

Miljøpolitik. Officiel politik for håndtering af globalt miljø og arbejdsmiljø i SIKA Rengøring A/S

Programslyring. iiiillm. l{iclo*olt lr/indow* til Workgloups. qfoldctfs- l gbs-lgg3 ldicro*oft Corporation

MfA. V Udstyr. Trafikspejle. Vejregler for trafikspejles egenskaber og anvendelse. Vejdirektoratet -Vejregeludvalget Oktober 1998

HASHI HASH? Vidste du at. pillugu suna. nalunngiliuk? Hvad ved du om. Hvad ved du om hash? Mental sundhed. Love og konsekvenser

Vejledning til udarbejdelse af forandringsteori

Evaluering af vedligehold af 3-registreringen

Referat fra Bestyrelsesmøde

Referat fra Bestyrelsesmøde Mandag den 08.oktober kl i Holmsland Idræts- og Kulturcenter

Betjeningsvejledning. Rumtemperaturregulator med ur

Elektromagnetisk induktion

Kvalitet af indsendte måledata

4. KLASSE UNDERVISNINGSPLAN MATEMATIK

Referat fra Bestyrelsesmøde

Skriftlig Eksamen. Datastrukturer og Algoritmer (DM02) Institut for Matematik og Datalogi. Odense Universitet. Onsdag den 18. juni 1997, kl.

Indholdsfortegnelse Instrumentopsætning Betjening Tekniske specificationer Indstillinger Meddelseskoder Vedligeholdelse Garanti

Men tilbage til regression og Chi-i-anden. test. Begge begreber refererer til normalfordelingen med middelværdi μ og spredning σ.

porsche design mobile navigation ß9611

Transkript:

G Skrverens Kryptolog Nels Juul Munch, Mdtsjællands Gymnasum Matematk Indlednng I den foregående artkel G Skrverens Hstore blev det hstorske forløb om G Skrveren beskrevet og set sammenhæng med Sverges stuaton under anden verdenskrg. I denne artkel beskrves G Skrverens kryptolog og matematk. Hensgten med de to artkler samlet er at gve lærere og SRP skrvende elever et udgangspunkt for at arbejde med G Skrveren som et emne matematk hstore. Teksten forudsætter kke nogen kryptologsk forhåndsvden hos læseren. Tværtmod sgtes på at gve netop en undvet læser nogle ndtryk af matematkkens brug kryptolog og kryptoanalyse. En detaljeret og fuldstændg gennemgang af G Skrverens svagheder og af operatvt realstske angreb og deres matematk vl blve meget omfattende og har kke været hensgten. Teksten ndeholder først en beskrvelse af masknens kryptolog med ntrodukton af matematske symboler og funktoner. Derefter anvendes denne beskrvelse tl at gve et eksempel på matematsk kryptoanalyse. Teleprntere, bts og karakterer For at forstå G Skrverens vrkemåde er det nødvendgt at vde noget om teleprntere og deres teknk. Produktet SFM T52 fra frmaet Semens & Halske var en synkron telex maskne med en ntegreret krypterng. Det synkrone betød, at to maskner og to operatører måtte være aktve samtdg for at kommunkatonen kunne fnde sted. Hver operatør skrev på sn egen maskne den tekst, som efterfølgende skulle vse sg som modtaget tekst på den anden maskne. En forbndelse begyndte med en oprngnng fra den part, som ønskede at sende noget tl den anden, men kommunkatonen foregk derefter prncppet som en dalog. En helt grundlæggende egenskab ved teleprntere er, at de sender og modtager nformatoner grupper af 5 pulser. Hver puls kan være høj eller lav og er derfor matematsk set en bt. Før og efter hver gruppe af fem bts sendes desuden en særlg start og stop puls, som hjælper tl at fastholde synkronserngen mellem de to parter. På denne måde kan teleprntere sende og modtage nformaton enheder af 5 bts og følgelg med 2 5 = 32 ndvduelle mulgheder for hver transmtteret enhed. Dsse 32 mulgheder fortolkes naturlgt som tallene fra 0 tl 31, hvor de fem bts 10011 her læses som 16 + 2 + 1, altså som decmaltallet 19. Den rå, transmtterede btsekvens opfattes på denne måde som en sekvens af symboler alfabetet {0,.., 31}. Dsse 32 transmtterngsnære symboler må oversættes tl et sæt af karakterer, som operatørerne kan ndtaste og kan modtage. For at have et passende fyldgt karaktersæt benytter teleprntere sg af en dobbeltbrug, således at hvert af de 32 symboler kan anvendes både en bogstav mode, Letter Mode, og en tal mode, Fgure Mode. De anvendte karakterer hver af de to tlstande er vst fgur 1. Eksempelvs skal de 5 bts 6 = 00110, fortolkes som et I, hvs de sendes bogstav mode, og som et 8, hvs de sendes tal mode. Denne konstrukton kaldes Baudot koden efter franskmanden Emle Baudot, som opfandt den omkrng 1870. Dobbeltbrugen udvder mængden af brugbare karakterer betragtelgt, men betyder samtdgt, at de to maskner altd for hver eneste karakter skal være enge om, hvorvdt de nu er letter mode eller fgure mode. For selv at komme letter mode kan den skrvende operatør trykke LS, LetterShft. Dette betyder samtdg, at symbolet LS = 11111 blver sendt tl den modtagende maskne, hvor det fungerer som et kommando om også dér at gå letter mode. Denne mode ved- Decmal Bnær Letter Fgure Mode Mode 0 00000 (ubrugt (ubrugt 1 00001 E 3 2 00010 LF LF 3 00011 A - 4 00100 SP SP 5 00101 S BEL 6 00110 I 8 7 00111 U 7 8 01000 CR CR 9 01001 D $ 10 01010 R 11 01011 J 4 12 01100 N 13 01101 F! 14 01110 C : 15 01111 K ( 16 10000 T 5 17 10001 Z 18 10010 L 19 10011 W 2 20 10100 H # 21 10101 Y 6 22 10110 P 0 23 10111 Q 1 24 11000 O 9 25 11001 B? 26 11010 G & 27 11011 FS FS 28 11100 M. 29 11101 X / 30 11110 V ; 31 11111 LS LS Fgur 1 Baudot koden. varer hos modtageren ndtl det alternatve symbol FS, FgureShft, er blevet sendt og modtaget. Af øvrge specalkarakterer tabellen kan nævnes LF LneFeed, SP Space og CR CarrageReturn. Symbolet BEL er vst selvforklarende. Krypto prncp De grundlæggende prncpper G Skrverens kryptolog kan føres tlbage tl en patentansøgnng, som jul 1930 blev ndgvet Tyskland af frmaet Semens & Halske AG. Senere blev der tldelt pa- 26 LMFK-bladet 4/2014

tenter også eksempelvs USA, og produktonen og vdereudvklngen af T52 seren fortsatte frem tl 1944. Det drejer sg prncpelt om en forsats tl noget, som uden krypterng vl være en standard (klar tekst teleprnter. Umddelbart før afsendelse af et 5 bts symbol P, laves P om tl et andet 5 bts symbol C. Når C derefter er modtaget den anden ende, er det første som sker, at modtagermasknen laver C tlbage tl P. Alt andet de to maskner er helt uberørt af, at der foregår en krypterng lge før afsendelsen og en dekrypterng lge efter modtagelsen. Selve krypterngen, ændrngen af P tl C, kan kompakt skrves som C = E A,B (P. Den foregår to krypterngstrn og bruger alt 10 bts hemmelg nøgle tl at kryptere de 5 bt P. Først anvendes 5 bts nøgle A tl at omdanne P tl D = P Å A og derefter anvendes 5 andre nøglebts B tl at omdanne D tl C = π B (D. V vl se nærmere på hvert af dsse skrdt. Bnær addton og egenskaber ved D Regneoperatonen Å er koordnatvs bnær addton. Den bnære addton 0 Å 0 = 0, 1 Å 0 = 1, 0 Å 1 = 1, 1 Å 1 = 0 udvdes tl addton af 5 bts størrelser fx således, at 01011 Å 11001 = 10010 Her kan man tænke på 01011 som klarteksten P og på 11001 som nøglen A. Højre sden 10010 er så fald størrelsen D, der fungerer som en slags mdlertdg cfferkarakter. A Hvs nøglen A er valgt hemmelgt og tlfældgt blandt de 32 mulgheder på en måde, som er uafhængg af P, er allerede D skker mod en hypotetsk angrber, uden at det egentlg er nødvendgt efterfølgende at anvende B. For at se skkerheden D = P Å A kan man gå frem på følgende måde. Først kan det udregnes, at sandsynlghedsfordelngen for D er flad, Prob(D = d = 1 32 for ethvert d. Alle værder d for D er altså lge sandsynlge, og dette er tlfældet helt uanset den ndledende fordelng af klarteksten P. Dernæst kan v for hver mulghed P = p og D = d udnytte denne lgefordelng af D tl at verfcere, at Prob(P = p D = d = Prob(P = p Selv en angrber, som ved alt om, hvordan P og A kombneres for at danne D, må således ndse, at hans betngede sandsynlghedsfordelng for P efter en observaton af D = d, er dentsk med hans sandsynlghedsfordelng nden observatonen. Det er det samme som at sge, at D kke afgver nformaton om P. Transpostonen π Det er heldgt, at D er skker, ford den anden halvdel af krypterngen π B er bestemt kke skker. Og den perfekte lgefordelng af D over de 32 mulgheder for D = d er ronsk nok en stor hjælp en angrbers analyse af π B. De 5 bts nøglen B anvendes tl at lave D om tl C = π B (D ved hjælp af en transposton π B, som flytter om på bttene D. V kan beskrve vrknngen af π B på følgende måde. Lad de 5 bts B være B = b 4 b 3 b 2 b 1 b 0, lad X = x 4 x 3 x 2 x 1 x 0 være et nput tl π B og lad Y =π B (X være det tlsvarende output med bts Y = y 4 y 3 y 2 y 1 y 0. V starter med at sætte Y = X, hvlket vl sge, at hver bt x fra X koperes over den tlsvarende bt y Y. Derefter sker der følgende 5 skrdt den anførte rækkefølge: B Hvs b 0 = 1, byt om på y 0 og y 4 Hvs b 1 = 1, byt om på y 4 og y 3 Hvs b 2 = 1, byt om på y 3 og y 2 Hvs b 3 = 1, byt om på y 2 og y 1 Hvs b 4 = 1, byt om på y 1 og y 0 Slutværden for y bttene danner den ønskede outputværd Y. Det er let at se, at outputværden Y afslører en del om nputværden X, eller vores sammenhæng, at C fortæller en del om D. Svagheden er grundlæggende, at det er de samme bts som lgger C og D. Der vl være lge mange 0 bt og 1 bt den ukendte D, som der er den observerede C. Dette er nformaton for en angrber. Fordelng af D gvet C Svagheden π B er mest eklatant, hvs angrberen observerer eksempelvs C = 31. Da må også D = 31, ford 31 smpelthen er den eneste mulghed for et 5 bts tal med fem 1 bts og ngen 0 bts. V vl se nærmere på et andet tlfælde. Hvs angrberen observerer værden C = 2, er der 1 5 = 5 mulgheder for D med netop én 1 bt ud af 5, og der vser sg ved en undersøgelse at være følgende mulgheder for parret (D, B D B Antal B 1 15, 16, 18, 20, 22, 24, 26, 28, 30 9 2 0, 1, 2, 3, 4, 5, 6, 7 8 4 8, 9, 10, 11 4 8 12, 13 2 16 14, 17, 19, 21, 23, 25, 27, 29, 31 9 Fgur 3 Mulge værder for D og B svarende tl C = 2. Dsse 32 løsnnger kan fndes ved en smpel computerbaseret efterprøvnng af de mulge værder for D og for B. Eller ved at anvende de fem skrdt beskrvelsen af π B som udgangspunkt for først at lave en tlsvarende beskrvelse af den nverse P D = P A π C = π B (D Fgur 2 Sktse af krypterngen C = E A,B (P. Alle varable er 5 bts størrelser med værder mellem 0 og 31. LMFK-bladet 4/2014 27 Matematk

Matematk transposton π B 1, og derefter at generere de 32 værder π B 1 (2, når B varerer. V får derfor, at fravær af anden nformaton om D, vl en observaton af C = 2 umddelbart fortælle os, at D må være en af 1, 2, 4, 8 og 16, og at sandsynlgheden for hver af de fem mulgheder for D efter observatonen af C = 2 nu er henholdsvs 9 32, 8 32, 4 32, 2 32 og 9 32. Bemærk at argumentet udnytter, at både D og B er lgefordelte. For at llustrere den potentelle nytte af at kende fordelngen af D kan v hypotetsk forestlle os, at en angrber efter en observaton af C = 2 gennemløber mulghederne for værderne af D = d, og at angrberen for hver d værd ved en vdere undersøgelse er stand tl at fnde ud af, om netop denne d var den rgtge. Hvor mange d er skal en angrber ndstlle sg på at undersøge? Uden nformaton om D kan angrberen kun gætte tlfældgt og må regne med mddel at gætte og undersøge 16,5 gange, før den rgtge d fndes. Hvs den første d er den rgtge gættes 1 gang, hvs den sdste er den rgtge gættes 32 gange, og alle værder dermellem er lge sandsynlge. Efter observatonen af C = 2 er der færre mulge værder for d, og man kan endda gætte på de mest sandsynlge værder af d først. I mddel kan angrberen derfor nøjes med at gætte 1 9 + 2 9 + 3 8 + 4 4 + 5 2 = 2,4 32 32 32 32 32 gange. Det begrænsede antal mulgheder nedsætter mddeltallet fra 16,5 tl 3, og den skæve sandsynlghedsfordelng nedsætter mddeltallet yderlgere fra 3 tl 2,4. G Skrveren som kryptosystem En besked bestående af en strøm af klartekstsymboler P 0, P 1,, P, krypteres G Skrveren tl en tlsvarende strøm af cffersymboler C 0, C 1,, C, ved C = E ( P, A B Problemet for konstruktørerne af masknen var, hvor alle dsse uafhængge og tlfældgt fordelte nøgler A og B skulle komme fra. Løsnngen var at lave et system, en pseudorandom generator, tl at danne de tlfældge nøgler A og B. Dsse nøgler vlle kke være vrkelgt tlfældge, men tanken var, at med en passende komplceret metode tl at frembrnge nøglerne, vlle de prakss være lge så gode som vrkelgt tlfældge værder. Alle maskner på det tdspunkt benyttede sg af hjul, som man havde den elektromekanske teknk tl at mplementere. I dette tlfælde blev hver maskne udstyret med et sæt på 10 hjul. Hvert hjul havde langs kanten en række markernger der kunne aflæses som bts. For hver karakter, der skulle krypteres, blev der aflæst en bt fra hvert hjul, og de 10 aflæste bts blev brugt tl A og B. Derefter tog hvert hjul et skrdt fremad og proceduren gentog sg med næste klartekst karakter. Hjulene var af bakelt, og næsten alle eksemplarer af masknen havde de samme 10 hjul med de samme bts. Kun maskner med dentske hjul kunne kommunkere med hnanden, og det overvældende flertal af maskner tlhørte samme sere. Hjullængderne var 47, 53, 59, 61, 64, 65, 67, 69, 71 og 73. Det betød eksempelvs, at hjulet af længde 47 efter 47 skrdt vlle være drejet en hel omgang. Dette hjul vlle skrdt 47 og derefter afgve de samme bts som skrdtene fra karakter 0 og frem. Lad os betegne bttene på hjul nummer 1 med hjullængde 47 matematske symboler med H 1j, 0 j 46. Tlsvarende lad os ndføre h 1 som et symbol for den bt, som tl karakter nummer udlæses fra hjul nummer 1, og lad os sge, at hjul 1 starter mod( + s1, 47 postonen s 1. Da er h1 = H 1. Tlsvarende for de øvrge hjul og hjullængder. G Skrverens nøgler Nøglen tl systemet bestod to tng. Den første del var de 10 startndstllnger af de 10 hjul, som v samlet kan beskrve med S = (s 1, s 2,, s 10 Den anden del af nøglen var den måde, de 10 bts fra hjulene blev brugt på A og B. Hver af de fem bts A og hver af de fem bts B blev dannet ved et udtag fra et bestemt af de alt 10 hjul. Systemet er llustreret fgur 4. De hjul, som anvendes tl A, er gvet ved en delmængde A af {1,.., 10}, og rækkefølgen af de 5 btspor fra A ved brug A er angvet ved en permutaton α af {0,.., 4}. Tlsvarende beskrves brugen af hjulene tl B ved en mængde B og en permutaton β. I det konkrete tlfælde fgur 4 blver de fem bts A bestemt ved a 4 = h 2, a 3 = h 5, a 2 = h 10, a 1 = h 1, a 0 = h 6. I ord kan v sammenfatte, at nøglemateralet er: S, A, B, α, β. Værderne A, B, α, β forblev uændrede under en kommunkaton, når de først var sat ved kommunkatonens begyndelse. Desgnerne af masknen har forladt sg på, at der er nogle store tal assoceret med denne maskne. Antallet af mulge startndstllnger S for hjulene er et voldsomt stort tal. Da de 10 hjullængder er ndbyrdes prmske, vl antallet af skrdt før udtagspunkterne U = (mod( + s1, 47,mod( + s2, 53,,mod( + s, 73 gentager sg, og nøglerne A og B dermed begynder forfra, også være meget stort. Og endelg er der et stort antal af forskellge måder, de 10 bts kan benyttes på tl at danne A og B. I en før computertd, hvor kryptoangreb udgangspunktet måtte foregå ved håndkraft, har opfnderne haft god tlld tl masknens nøglestørrelse og komplekstet. G Skrverens nøgleadmnstraton I sn krypto admnstraton havde man opdelt nøglen tre dele. Der var den ndre ndstllng, der var en hemmelg nøgle, som bestod A, B, α og β. Den ndre ndstllng bestemte hvlke udtag fra hjulene, som skulle lgge på de forskellge btpostoner A og B. Hver værd var gyldg 3 9 dage. 10 28 LMFK-bladet 4/2014

Fgur 4 Sktse af frembrngelsen af A og B for valgte llustrerende værder af A og B, α og β. Bemærk at bttene A og B nummereres fra 0 tl 4 med 0 tl højre. Den vste navngvnng af de 10 hjul, med I udeladt, er svenskernes orgnale. s 1 K 47 s 2 J 53 s 3 H 59 s 4 G 61 s 5 F 64 s 6 E 65 s 7 D 67 s 8 C 69 s 9 B 71 s 10 A 73 Der var den daglge nøgle, kaldet QEK. Den daglge nøgle var en hemmelg nøgle, som bestod to tng. Dels en opdelng af de 10 hjul 5 hjul tl såkaldt QEK brug og 5 hjul tl såkaldt QEP brug. Dels et valg af startndstllnger for de 5 QEK hjul. For alle krypternger som fandt sted fra den pågældende dag klokken 09:00 ndtl næste morgen vlle dsse 5 hjul være sat tl den pågældende (hemmelge start ndstllng. Den ndre ndstllng og den daglge nøgle blev bestemt centralt og lange lster med værder og gyldghedsperoder blev fordelt på papr tl alle anvendere af G Skrveren. Dsse paprer var naturlgvs højt klassfcerede og meget blev gjort for at fordele og opbevare dem på en skker måde. Den sdste nøgle var meddelelsesnøglen, kaldet QEP. Meddelelsesnøglen var et valg af startndstllnger på de fem QEP hjul. Dsse værder blev bestemt af oprngeren og sendt med selve teksten den kommunkaton, som foregk før man skftede tl krypteret mode. De var åbne, det vl sge kke hemmelge, og enhver som ndhentede kryptoteksten kunne aflæse de fem tal. h 1 h 2 h 3 h 4 h 5 h 6 h 7 h 8 h 9 h 10 A = {1, 2, 5, 6, 10} B = {3, 4, 7, 8, 9} Selv om QEP nøglen var åben, skulle tallene være tlfældge. Deres formål var at skre, at hver krypteret sesson havde sn helt egen ndstllng af masknen. h 1 h 2 h 5 h 6 h 10 h 3 h 4 h 7 h 8 h 9 α = (32041 β = (10432 h 2 h 5 h 10 h 1 h 6 h 8 h 9 h 3 h 4 h 7 A B 1 Kryptologske svagheder Én åbenlys svaghed ved G skrverens kryptologske desgn var, at det kke var mulgt at ændre bttene H j på nogen af de 10 hjul. Alle maskner havde de samme hjul, og hvs en angrber bare én gang fk fyssk adgang tl en maskne eller fandt værderne ved en analyse, så kunne den vden genbruges ubegrænset td og for alle G Skrvere. En anden klar svaghed var, at stepnngen af hjulene var regulær og forudsgelg, et skrdt for hver karakter. Et bedre desgn vlle have steppet hvert hjul et varabelt antal skrdt, måske et eller to, for hver karakter og kunne have ladet hvert hjul styre af de øvrge hjul. LMFK-bladet 4/2014 29 Matematk

Matematk Men selv dsse svagheder vlle næppe sg selv have gvet svenskerne den praktske succes, som de faktsk fk. De svenske angrbere blev hjulpet på vej af et ndgående kendskab tl særheder den (skjulte klartekst. Og af en vrkelg spektakulær fejl tyskernes brug af masknen. Baggrunden for begge svagheder var, at kommunkatonslnerne var voldsomt udsatte for støj. En krypto karakter kunne smpelthen forsvnde undervejs. Det medførte at synkronserngen mellem afsender og modtager gk tabt, og at modtagerens klartekst var ulæselg fra synkronserngstabet og fremad. Tlsvarende kunne en krypto karakter blve forvansket undervejs og blve modtaget med en forkert værd. Dette vlle som oftest blot medføre, at den ene tlsvarende klartekst karakter den modtagne tekst blev fremvst forkert. Men hvs den pågældende krypto karakter dækkede over en af de usynlge klartekst karakter P = FS eller P = LS, kunne den modtagende teleprnter fnde på at fortolke længere tekst passager den forkerte mode tl stor gene for modtageren. For at begrænse vrknngen af den sdstnævnte type fejl havde operatørerne vænnet sg tl stedet for SP (mellemrum mellem ord, systematsk at skrve de to karakterer LS SP. Det ekstra LetterShft var usynlgt for læseren på modtagersden, men skrede, at den modtagende maskne hvert fald fra det punkt af var den rgtge mode. Som resultat af dette havde klarteksten en voldsom overhyppghed af kombnatonen LS SP. På trods af denne type forholdsregler måtte operatørerne meget ofte begynde om gen på en gven transmsson. Og dette er oplægget tl den helt store fejl. Masknen var udstyret med en nulstllngsfunkton, som med et enkelt greb satte hvert af de 10 hjul tl en gven startposton. Hensgten var, at denne funkton skulle anvendes tl hurtgt og skkert at sætte QEK hjulene tl dagens værder, medens værderne for QEP hjulene derefter skulle ændres tlfældgt af operatøren. Det var kke forudset, at operatørerne, som skulle sende mange tekster og skulle gensende samme tekst mange gange før det lykkedes, vlle udvkle den prakss at begynde en kommunkaton ved at anvende nulstllngsfunktonen uden derefter at ændre på startværderne for QEP hjulene. Resultatet var et meget stort genbrug af ndstllnger af G Skrveren. Det var kke uset, at svenskerne en gven dag kunne arbejde med en dybde på 20 40 forskellge transmssoner krypteret med samme ndstllng, såkaldte paralleller. Beurlngs opklarng Da Beurlng fk opgaven med at fnde ud af hvordan G Skrveren fungerede eller kunne løses, havde han dette at arbejde med: En vden om, at kryptoapparater på den td ofte benyttede sg af bnær addton og af bt permutatoner. En overordnet vden om, hvordan klarteksterne nok så ud. Et stort sæt af cffertekster, som ud fra deres tdspunkter, længder og vsse karakterstska teksternes ndlednng måtte være parallelle. Blyant og papr. På dette grundlag opbyggede han på få dage en logsk model af masknen. Beurlng har aldrg selv redegjort for sn arbejdsproces. Men det er almndelgt antaget, at det er foregået nogenlunde på følgende måde. Først har Beurlng skrevet teksterne parallelsættet op lange rækker med én tekst hver række og med karakterer på samme plads teksten under hnanden og han har ledt efter alt, som kunne vrke påfaldende. Med baggrund tyskernes tlbøjelghed tl at ndsætte LS SP klarteksten, var en mulg ndledende de, at de mange forekomster af netop dette bgram klarteksten kunne have gvet sg udtryk på en eller anden måde cfferteksterne. På et tdspunkt har han observeret, at der var påfaldende ant gentagelser af cffersymboler, forstået på den måde, at cfferkarakterer på samme plads, men forskellge tekster, havde alle bt forskellge på nær en. Dette er llustreret fgur 5. Beurlng gættede nspreret på, at dsse tlfælde dækkede over forskudte forekomster af klarteksten LS SP, og at krypterngen foregk ved for et gvet at anvende ét bestemt A tl bnær addton og én bestemt bt transposton π for alle tekster hele parallelsættet. Med værderne LS = 31 og SP = 4 er der netop én bt med samme værd de to klartekst bogstaver. Hvs de to værder 31 og 4 først bnært adderes med samme værd A og derefter udsættes for samme bt transposton π vl resultaterne altd være to værder, som stadg har netop en bt tlfælles. Ved at gætte mere og mere klartekst de forskellge tekster kunne han gradvst både bekræfte sn hypotese og bestemme flere og flere værder af A og π. Efterhånden blev det klart, at vsse elementer A og π efterhånden gentog sg, og opklarngen af masknens øvrge dele kunne begynde. Hstoren er fortalt en længere og mere detaljeret form Beckmans bog. Produktonen Den løbende løsnng af G-Skrver trafkken var naturlgvs langt enklere end den første opklarng. Med forhåndskendskab tl masknens opbygnng og hjulenes ndhold, manglede kun den ndre ndstllng og den daglge nøgle. Begge dele blev daglgt fundet med udnyttelse af den ndgående vden om klartekstens særheder og med fordelen af hyppge parallelsæt. Ofte kunne dagsnøglen være klar allerede om morgenen. Den ndre ndstllng og den daglge nøgle blev anvendt tl at ndstlle en efterlgnng af G Skrveren, som blev fremstllet på L. M. Ercsson Workshop For Precson Mechancs. Med denne kunne svenskerne udnytte deres fundne nøgler og dekryptere med samme lethed og hurtghed som tyskerne selv. Lednngerne fgur 6 bruges tl at forbnde udtagene fra hjulene med enkeltbts A og B, det vl vores notaton sge, at lednngerne fastlægger A, B, α og β. 30 LMFK-bladet 4/2014

Cffer4 7 11 22 0 17 20 11 3 5 11 6 12 Klartekst4 LS SP H E U T E LS SP Cffer3 12 25 4 17 11 29 26 21 10 30 10 20 4 11 18 28 Klartekst3 LS SP G E H E I M E LS SP K O M M Cffer2 7 11 18 Klartekst2 LS SP Cffer1 12 25 30 13 8 18 24 31 Klartekst1 LS SP D A S LS SP Kryptoanalyse En kryptologsk beskyttelse med kendt algortme kan som regel brydes af en angrber med ubegrænsede beregnngsmulgheder. Prncpelt kan angrberen forsøge sg frem med alle nøglemulgheder, for hver af dem generere en tlhørende klartekst og så udvælge den rgtge. Hvs han altså er stand tl at kende den rgtge klartekst, når den er der, og adsklle den fra de øvrge forslag. Spørgsmålet er altså kke, om der fndes et angreb på kryptologen, men hvor effektvt et angreb, det er mulgt at desgne. Denne smple brute force metode er dog normalt ugennemførlg prakss på grund af det store antal mulgheder, der skal undersøges. Søgnngen blver aldrg færdg. En angrber vl derfor lede efter kryptologske svagheder det håb, at et mere avanceret angreb måske kan gennemføres nden for en brugbar tdshorsont. Forskellge fundne svagheder kan gve anlednng tl forskellge typer af kryptoangreb. De afsluttende afsnt af denne artkel dskuterer noget af matematkken et angreb på G Skrveren ved kendt klartekst. Det klassske kendt klartekst angreb består at udnytte, at en modstander krypterer og sender en klartekst, som man selv kender, tl at fnde de anvendte nøgler. Nøglerne kan så forhåbentlg genbruges på andre cffertekster med ukendt ndhold. Udgangspunktet for analysen er, at v som angrbere kender en klartekst og den tlsvarende kryptotekst, og at v kender alt tl masknens funkton. Målet er at fnde en metode tl derudfra at dentfcere alle masknens hemmelge dele, det vl sge tekstens nøgleelementer A, B, α, β samt alle bttene H j på de 10 hjul. Startværderne S kan v sætte lg 0, da v kun har én tekst og ngen gvne QEP værder. Fgur 5 Beurlngs arbejdsproces mnatureformat. Cffertekst med grønt og klartekst med rødt. I den vrkelge verden vl opdelngen af startndstllngerne S en lukket del QEK og en åben del QEP blve kraftgt udnyttet. For kke at komplcere fremstllngen og for at holde den rmelgt kort, ser v dog bort fra al nformaton, som kan udledes af nøgleadmnstratonen, og v nøjes desuden med at redegøre for, hvordan et kendt klartekst angreb kan fnde A, α og ndholdet af de fem hjul hørende tl A. Partetsbevarelse Angrebet starter med den observaton, at hvs X = x 4 x 3 x 2 x 1 x 0 og Y = y 4 y 3 y 2 y 1 y 0 er sammenknyttede ved Y = π B (X, så gælder y 4 + y 3 + y 2 + y 1 + y 0 = x 4 + x 3 + x 2 + x 1 + x 0 (1 uanset værden af B. Når x og y kun kan antage værderne 0 og 1, tæller begge sder lgnngen (1 antallet af 1 bts og dette antal er det samme Y som X. Ved at reducere modulo 2, og kun se på Efter Beurlngs opklarng af G Skrverens vrkemåde angreb svenskerne masknen ved brug af paralleller, som tyskerne uheldgt kom tl at stlle tl rådghed. Desuden kan nævnes, at G Skrveren også er svag overfor sologer, det vl sge to eller flere cffertekster, som anvender forskellg nøgle, men har samme klartekst. Og at et sæt af parallelle quas sologer, hvor to tekster har samme nøgle og dentske, men forskudte klartekster, er et taknemmelgt angrebsmål. Fgur 6 En af de orgnale APP er, anvendt tl dekrypterng af G Skrveren. Foto: FRA. LMFK-bladet 4/2014 31 Matematk

Matematk parteten af antallet af 1 bts, fremkommer lgnngen y 4 Å y 3 Å y 2 Å y 1 Å y 0 = x 4 Å x 3 Å x 2 Å x 1 Å x 0 som er en bnær lgnng x erne og y erne. I det te skrdt af krypterngen anvendes denne lgnng for Y = C og X = D = P Å A. Dette fører tl c 4 Å c 3 Å c 2 Å c 1 Å c 0 = (p 4 Å a 4 Å (p 3 Å a 3 Å (p 2 Å a 2 Å (p 1 Å a 1 Å (p 0 Å a 0 som v straks omorganserer tl a 4 Å a 3 Å a 2 Å a 1 Å a 0 = (c 4 Å c 3 Å c 2 Å c 1 Å c 0 Å (p 4 Å p 3 Å p 2 Å p 1 Å p 0 Ponten er at højresden, partetssummen z = (c 4 Å c 3 Å c 2 Å c 1 Å c 0 Å (p 4 Å p 3 Å p 2 Å p 1 Å p 0 af bttene C og P, er noget v konkret kan beregne, når v kender både klartekst og cffertekst. V kender dermed for hvert den bnære sum z af alle de bts h j, som ndgår nøglen A. At fnde A og første halvdel af H bnære lgnnger Hvs v kendte A, kunne v omdanne de bnære lgnnger a 4 Å a 3 Å a 2 Å a 1 Å a 0 = z (2 tl noget umddelbart nyttgt. Som eksempel sæt gen A ={1,2,5,6,10}, hvlket betyder, at hjullængderne brugt tl A er 47, 53, 64, 65 og 73. Hvs eksempelvs a 4 er den bt, som kommer fra hjul nummer 1, er a 4 = h 1 = H 1 mod(, 47 således at eksempelvs a 4 100 = H 16, a 4 101 = H 17, a 4 102 = H 1 8 og så vdere. Tlsvarende vl de øvrge hjul 2, 5, 6 og 10 fra A hver bdrage med en H bt fra deres hjul tl en af a 3, a 2, a 1 og a 0, og v kan bestemme det nummer, hver af dsse ukendte bt har på st hjul. Da v mangler permutatonen α, kender v kke den rækkefølge, hvor dsse fem hjul fra A bdrager tl summen z, men det forhndrer os kke at danne den korrekte sum (2 og at danne lgnngerne H 1 mod(, 47 Å H 2 mod(, 53 Å H 5 mod(, 64 Å H 6 mod(, 65 Å H 10 mod(, 73 = z (3 Hvert gver os én sådan lgnng, og hvs v har tlstrækkelgt mange lgnnger, kan v forvente ved lneær lgnngsløsnng af bnære lgnnger at fnde alle bts fra de fem anvendte hjul. En angrebsmetode er derfor: Prøv alle mulgheder for A en ad gangen, og for hver mulghed opstl de bnære lgnnger svarende tl (3 og prøv at løse dem. Dér, hvor der er en løsnng, har v fundet A og ndholdet alle anvendte hjul. Der er ( 10 5 = 252 mulgheder for mængden A, og det samlede antal ukendte bts 5 hjul er maksmalt 345. Denne metode kræver således, at der er ldt flere end 345 kendte klartekstkarakterer tl rådghed. Beregnngsmæssgt skal v opstlle og forsøge at løse 252 bnære lgnngssystemer op tl 345 varable. Dette kan dag afvkles på en td størrelsesordenen et enkelt sekund på en standard PC. At fnde A og første halvdel af H bnære polynomer En svaghed ved ovenstående metode er, at den kke udnytter den cyklske struktur h bttene. Ved at anvende ldt mere matematk og ldt flere karakterer kan v modellere også denne sde af masknen. Belønnngen blver, at v kan anvse konkrete formler for ndholdet de ukendte H j. At fnde A For at fnde A ønsker v først at gange det bnære polynomum Q A (x defneret som produktet (1 + x 47 (1 + x 53 (1 + x 64 (1 + x 65 (1 + x 73 på begge sder af (3 og konstatere, at resultatet blver 0. Det kræver en forklarng. Lad notatonen (e stå for en vlkårlg sekvens af bts, som er defneret for 0. V defnerer multplkatonerne 1 (e = (e, x (e = (e +1 og udvder ved sammensætnng, således at eksempelvs (1 + x (e = (e Å e +1, x 2 (e = x (x (e = (e +2 og x n (e = (e +n. Dermed kan v danne produktet Q(x (e af ethvert bnært polynomum Q(x med enhver ensdg btsekvens (e, og resultatet vl være en ny ensdg btsekvens. Man kan efterprøve, at konstruktonen opfylder (R(xS(x (e = R(x (S(x (e (4 hvor R(xS(x er sædvanlg multplkaton af bnære polynomer. Observér nu, at (1 + x 47 (H 1 mod(, 47 er nulsekvensen (0 og tlsvarende med de øvrge faktorer Q A (x. Ved at gange Q A (x på begge sder af lgnng (3 får man derfor, at Q A (x (z = (0 Dette er vores bedre metode tl at fnde A. For hver af de 252 mulgheder for A danner v polynomet Q A (x og ser efter om Q A (x (z skulle være (0. Når det er tlfældet, har v løsnngen. Da summen af de 5 største hjullængder er 345, kan graden af den rgtge Q A (x være op tl 345. V skal derfor have 345 kendte klartekstkarakterer, før v kan beregne den første bt Q A (x (z og ldt flere end 345 kendte karakterer, før v med høj skkerhed kan dentfcere den rgtge A. At fnde første halvdel af H Når man kraft af A kender de anvendte hjul tl A, kan man, selv uden at kende rækkefølgen α, også udlæse hjulenes bts H j for de ndgående j. V llustrerer metoden for A = {1,2,5,6,10} og for j = 1 hvor hjullængden er 47. Anvend først Eukld s algortme tl at fnde største fælles dvsor mellem de bnære polynomer (1 + x 47 og (1 + x 53 (1 + x 64 (1 + x 65 (1 + x 73 og tl at konstruere de tlhørende bnære faktorer R(x og S(x. Da hjullængderne er ndbyrdes prmske, vl den største fælles dvsor vse sg at være 1 + x, så 32 LMFK-bladet 4/2014

Eukld vl gve os polynomer R(x og S(x, som opfylder 1 + x = R(x(1 + x 47 + S(x(1 + x 53 (1 + x 64 (1 + x 65 (1 + x 73 I kombnaton med (3 gver dette en formel for H 1. Da mod(, 47 mod(, 53 mod(, 64 H 1 = H 2 Å H 5 Å mod(, 65 mod(, 73 H 6 Å H 10 Å z og R(x(1 + x 47 + (1 + x = S(x(1 + x 53 (1 + x 64 (1 + x 65 (1 + x 73 kan v udregne (1 + x (H 1 mod(, 47 = (R(x(1 + x 47 + (1 + x (H 1 mod(, 47 = (S(x(1 + x 53 (1 + x 64 (1 + x 65 (1 + x 73 (H 2 mod(, 53 Å H 5 mod(, 64 Å H 6 mod(, 65 Å H 10 mod(, 73 Å z = (S(x(1 + x 53 (1 + x 64 (1 + x 65 (1 + x 73 (z (5 det alle øvrge led blver 0. Vores metode blver således: Identfcér S(x ved Euklds algortme, udregn udtrykket på højresden af (5, gæt på første bt hjul nummer 1 og anvend (5 tl at fnde resten. De øvrge hjul fndes på tlsvarende måde. At fnde α Med 120 mulgheder for permutatonen α, er det kke noget stort beregnngsarbejde at gennemløbe dem alle. Og der er en enkel måde tl med stor skkerhed at afvse de 119 forkerte forslag. Den bygger på, at v nok har udnyttet partetslgnngen (2, men at v endnu kke har udnyttet den oprndelge lgnng (1. Ved brug af kryptoteksten C beregner v en factlste for, hvor mange 1 taller der skal være hver D. For hver foreslået værd for α, kan v desuden beregne alle A og kan bestemme hvad værderne D = P Å A faktsk blver, hvs denne α er den rgtge. V forkaster de α, som fører tl en eller flere D er med et forkert antal 1 taller. Med mndst 345 karakterer at checke på, bør der kun være et overlevende forslag for α. Et hurtgt argument for den sdste påstand kan være følgende. Både for den rgtge og for de forkerte værder af α kan v modellere D som en tlfældg størrelse, lgefordelt mellem 0 og 31. Det betyder, at antallet af 1 taller en D fordeles mellem mulghederne 0, 1, 2, 3, 4, 5 forholdene 1, 5, 10, 10, 5, 1. For en forkert α blver for hvert sandsynlgheden for ved tlfældghed at ramme det rgtge antal 1 taller D gvet ved Fgur 7 En af de sdst udvklede G Skrvere, T52 d/e versonen, som faktsk var skker. Bemærk den omhyggelge nstruks om at smøre maskneret efter 100 tmers brug. Fotografer: Forsvarets Efterretnngstjenestes teknskhstorske samlng. 2 2 2 1 5 10 126 16 + 16 + 16 = 256 når der tages højde for, at parteterne på forhånd vdes at være ens. At ramme rgtgt 345 gange træk med denne sandsynlghed sker nok kke, selv med 119 forsøg. Det overlades tl læseren at overveje, hvorfor den anvendte tlfældghedsmodel for mange af de forkerte α er er ret grov og eventuelt at fnde en mere præcs analyse. Bblograf Beckman, B. (2002, Codebreakers. Arne Beurlng and the Swedsh crypto program durng world war II, Amercan Mathematcal Socety. Lars Ulvng, Frode Weerud (2000, The Gehemschreber Secret. Arne Beurlng and the Success of Swedsh Sgnals Intellgence. Procedngs on Codng Theory and Cryptography, Sprnger Verlag, men se også cryptocellar.org. Cryptomuseum, se cryptomuseum.com/crypto/semens/t52/ LMFK-bladet 4/2014 33 Matematk

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback