krypol.dvi

Rozdzia

dsta

tec

hniki

szyfro

ania

W niniejszym rozdziale przedstawiamy kilka klasycznych technik szyfrowania. Tech-

niki te bywaj

a skladnikami wielu bardziej zaawansowanych algorytmow, dlatego

poswi

ecimy im chwil

e uwagi.

2.0.6 Podstawienie

Niech

edzie permutacj

a, zas zbiorem u_zywanych liter. Tekst jawny

(gdzie

) jest szyfrowany jako

(

)

(

)

(

). Kryptogram

odszyfrowywany jest jako

;

(

)

;

(

Przyklad: szyfry Cesara

Litery alfabetu mo_zna uto_zsamiac z liczbami. W

systemie Cesara u_zywanych jest 26 liter odpowiadaj

acych liczbom od 0 do 25.

(

) :=

+ 3 mod 26 dla

Analiza cz

estotliwosci

Slabosci

a szyfrow opartych na podstawieniach jest to, _ze mog

a one byc zlamane

poprzez analiz

e cz

estotliwosci wyst

epowania poszczegolnych liter alfabetu. Litery

alfabetu nie wyst

epuj

a bowiem z jednakow

a cz

estotliwosci

a { analiza tych cz

stotliwosci w zaszyfrowanych tekstach pozwala na zgadni

ecie niektorych wartosci

permutacji

. Dla przykladu przyjrzyjmy si

e przeci

etnej cz

estotliwosci wyst

epo-

wania liter w tekstach w j

ezyku angielskim (wedlug 1]):

E - 12.31 % L - 4.03 % B - 1.62 %

T - 9.59 % D - 3.65 % G - 1.61 %

A - 8.05 % C - 3.20 % V - 0.93 %

O - 7.94 % U - 3.10 % K - 0.52 %

N - 7.19 % P - 2.29 % Q - 0.20 %

I - 7.18 % F - 2.28 % X - 0.20 %

S - 6.59 % M - 2.25 % J - 0.10 %

R - 6.03 % W - 2.03 % Z - 0.09 %

H - 5.14 % Y - 1.88 %

Kryptoanaliza polega na sporz

adzeniu tabeli cz

estotliwosci wyst

epowania liter

w zaszyfrowanym tekscie i porownania go z powy_zsz

a tabel

a. Na tej podstawie

mo_zna na przyklad zlokalizowac prawdopodobne wartosci dla

(

). Po

przyj

eciu hipotetycznych wartosci dla tych liter szukamy w kryptogramie sekwencji

OZDZIA

PODST

TECHNIKI

SZYFR

ANIA

liter odpowiadaj

acych typowym slowom takim jak na przyklad "the\. Pozwala

to na zwerykowanie hipotezy i przyj

ecie prawidlowych wartosci dla E, T, A. Po

ustaleniu tych wartosci mo_zemy pokusic si

e o odgadni

ecie

(

) - tak by utworzyc

odpowiednio du_zo kryptogramow dla "the\. Post

epowanie to kontynuujemy dyspo-

nuj

ac coraz to wi

ekszymi porcjami tekstu jawnego.

Sposobem na utrudnienie analizy cz

estotliwosci jest szyfrowanie poprzez podsta-

wienie nie pojedynczych liter, ale blokow liter okreslonej dlugosci (tj.

Mamy wtedy bowiem do czynienia z mniejszymi dysproporcjami w zakresie sredniej

estotliwosci wyst

epowania poszczegolnych konguracji liter w bloku w szczegol-

nosci poszczegolne prawdopodobienstwa s

a stosunkowo malymi liczbami. Utrudnia

to odgadni

ecie wartosci podstawienia

. W szczegolnosci kryptoanaliza wymaga

du_zo dlu_zszych kryptogramow, aby moc skorzystac z jakichkolwiek statystycznych

prawidlowosci.

Przykladem systemu, w ktorym koduje si

e bloki dlugosci 2 jest system Fairplay'a

przedstawiony na rys. 2.1. Jest to prosty system, w ktorym wszelkie operacje szy-

frowania i deszyfrowania mog

a byc z latwosci

a dokonane r

ecznie. System oczywiscie

gwarantuje tylko bardzo niewielki zakres bezpieczenstwa i mo_ze byc traktowany jako

dygresja w stron

e metod historycznych (stosowanych w trakcie I Wojny Swiatowej).

Szyfrowaniu podlegaj

a pary liter, przy czym u_zywamy 25 liter (25 du_zych liter

alfabetu angielskiego, jedna z liter, mianowicie J, jest w tekstach zast

apiona przez

I). Do szyfrowania i deszyfrowania u_zywamy jest kwadrat 5

5, w ktory wpisujemy

kolejne litery wyst

epuj

ace w hasle (na rys. 2.1 haslem jest "POSZLA MALPA

DO PIWNICY\), przy czym pomijamy powtarzaj

ace si

e litery. Gdy po wpisaniu

tych liter zostaly jeszcze wolne miejsca w kwadracie, to umieszczamy tam jeszcze

niewpisane litery w kolejnosci alfabetycznej. W ten sposob wypelniamy kwadrat

25 literami. Szyfrowanie przebiega nast

epuj

aco. Zalo_zmy dla przykladu, _ze chcemy

zaszyfrowac par

e OH wedlug klucza z rys. 2.1. Litery O oraz H wyznaczaj

a pro-

stok

w kwadracie do szyfrowania, w ktorego pozostalych rogach znajduj

a si

e S

i G. Regula szyfrowania mowi, _ze OH zast

epujemy wlasnie tymi literami, tj. SG.

Gdy para liter jak

a zamierzamy zaszyfrowac le_zy w jednej kolumnie lub jednym

wierszu (i wobec tego nie deniuje prostok

ata), to litery te zast

epujemy par

a liter

le_z

a na prawo od nich, na przyklad SY zast

epujemy przez ZB, zas WE przez AN

(litery le_z

ace w pierwszej kolumnie z prawej strony zast

epujemy literami z ostatniej

kolumny).

Ogolnie rzecz bior

ac podstawienie nie oparte o dlugie bloki lub o prostych

zasadach generowania permutacji z klucza mo_ze byc podatne na analiz

e cz

estotliwo-

sci. Z tego wzgl

edu podstawienie nale_zy traktowac raczej jako technik

e pomocnicz

do wykorzystania jako element pomocniczy bardziej zlo_zonych metod.

2.0.7 XOR i one-time pad

Operacja

(

eXclusive OR

) jest zdeniowana jak nast

epuje:

0 = 1

1 = 0

0 = 0

1 = 1.

Szyfrowanie przy pomocy XOR:

zalo_zmy, _ze tekst jawny jest ci

agiem bit-

, zas klucz ci

agiem bitow

. Wtedy kryptogramem jest ci

, gdzie

dla

= 1

. Deszyfrowanie oparte jest na

trzech latwych do sprawdzenia rownosciach:

= 0

0 =

(

) = (

)

= (

)

(

) =

0 =

OZDZIA

PODST

TECHNIKI

SZYFR

ANIA

R T U V X

F G H K Q

N C Y B E

A M D I W

P O S Z L

(KR) = FV,

(OW) = LM,

(AI) = MW,

(WE) = AN

(SZ) = ZL

OH - rogi prostok

ata

zast

epowany jest poprzez litery

znajduj

ace si

e w pozostalych rogach

prostok

ata

tj. przez SG

szyfrowanie:

szyfrowanie tekstu jawnego KR

A I

R T U V X

F G H K Q

N C Y B E

A M D I W

P O S Z L

pozostale litery

w kolejnosci alfabetycznej

haslo:

"POSZLA MALPA DO PIWNICY\

klucz: kwadrat 5

5 zawiera wszystkie litery z waj

atkiem J,

ktore w tekscie jawnym zast

epujemy poprzez I

Rysunek 2.1: System Playfair'a

Szyfrowanie przy pomocy

ma wielorakie zastosowania. Jednym z nich jest

one-time pad

One-time pad

Jest to metoda szyfrowania, w ktorej u_zywany jest losowo wy-

brany klucz

. Samo szyfrowanie odbywa si

e przy pomocy

. Istotne

jest, by do ka_zdego szyfrowania u_zywac

innego, wygenerowanego niezale_znie

klucza

. Zasadzie tej metoda zawdzi

ecza sw

a nazw

Nast

epuj

ace wlasnosci s

a kluczowe dla metody one-time pad:

Kryptogram jest tak_ze ci

agiem losowym

bitow, tzn. ma ten sam rozklad

prawdopodobienstwa co ci

agi bitow wygenerowane przez rzucanie monet

(wyrzucenie reszki powoduje dopisanie 1, wyrzucenie orla { dopisanie 0).

Bez znajomosci klucza

_zadna

informacja dotycz

aca tekstu jawnego nie mo_ze

byc wydedukowana z kryptogramu (bez wzgl

edu na zastosowane moce obli-

czeniowe itp.). Wlasnosc ta bywa nazywana bezpieczenstwem doskonalym.

Dla udowodnienia pierwszej wlasnosci zauwa_zmy, _ze jesli

, to

= 0, oraz

_ze

= 1 w przeciwnym wypadku. Zatem prawdopodobienstwo, _ze

= 0 jest rowne

niezale_znie od wartosci

. Zatem

-ty bit kryptogramu jest losowy. Poniewa_z

bity

a losowane niezale_znie od siebie, wi

ec i bity kryptogramu s

a niezale_zne, tak

jak w przypadku ci

agow jakie otrzymujemy rzucaj

ac monet

Niech

edzie dowolnym ci

agiem bitow. Dla udowodnienia drugiej wlas-

nosci zauwa_zmy, _ze dla ka_zdego tekstu jawnego

istnieje dokladnie jeden

OZDZIA

PODST

TECHNIKI

SZYFR

ANIA

klucz

taki, _ze poprzez szyfrowanie otrzymujemy kryptogram

. Istot-

nie, dla

= 1

spelniona musi byc rownosc

, sk

Poniewa_z kryptogram

odpowiada ka_zdemu mo_zliwemu tekstowi jawnemu

z takim samym prawdopodobienstwem, nic nie mo_zna wywnioskowac o ksztalcie

tekstu jawnego bez znajomosci klucza.

Zastosowania one-time pad:

jedn

a dziedzin

a zastosowan jest szyfrowanie sto-

sunkowo krotkich, ale bardzo wa_znych informacji, jak rozkazy wojskowe o strate-

gicznym znaczeniu (na przyklad o wystrzeleniu rakiet j

adrowych). U_zywanie w

tej sytuacji szyfrow mo_zliwych do zlamania (chocby olbrzymim nakladem obliczen)

niesie niebezpieczenstwo, _ze faktycznie szyfry zostan

a zlamane.

Problemy ze stosowaniem one-time pad:

zasady u_zywania one-time pad

mowi

a, _ze klucz

musi byc zawczasu uzgodniony przez osoby komunikuj

ace si

musi byc wybrany naprawd

e losowo (co technicznie nie jest latwe,

patrz rozdzial 7)

musi byc przechowywany w bezpieczny sposob

musi byc co najmniej tak dlugi jak szyfrowany tekst.

Ka_zdy z powy_zszych warunkow stwarza niedogodnosci dla u_zytkownikow i zaw

e_za

pole praktycznych zastosowan one-time pad.

Niebezpieczenstwo u_zycia wielokrotnie tego samego klucza:

Zalo_zmy, _ze

szyfrujemy dlugi tekst

przy pomocy klucza dlugosci

. Poniewa_z brakuje

nam bitow klucza, u_zywamy nast

epuj

acej formuly:

mod

Inaczej mowi

ac, bloki dlugosci

szyfrujemy ka_zdorazowo przy pomocy tego samego

klucza

. Zauwa_zmy, _ze wtedy

= (

)

(

) =

Zatem z latwosci

a mo_zna bez znajomosci klucza na podstawie samego kryptogramu

obliczyc

Zlamanie tak skonstruowanego kryptogramu mo_ze si

e odbywac wedlug nast

puj

acego scenariusza. Z du_zym prawdopodobienstwem ka_zdy tekst zawiera dlugie

agi spacji. Zakladaj

ac, _ze

jest spacj

a mo_zna obliczyc

. Czyni

ac tak dla

ka_zdego

otrzymujemy pewien tekst. Szukamy w nim zrozumialych fragmentow.

W miejscach, gdzie

pozycji do tylu w tekscie jawnym wyst

epuje blok spacji

otrzymamy w ten sposob fragmenty tekstu jawnego. Jesli potramy je rozpoznac,

to dysponujemy bitami

dla odpowiednich

. St

ad wyliczamy

mod

. Znalezione wartosci klucza u_zywamy nast

epnie dla calego kryptogramu w

celu odszyfrowania innych fragmentow tekstu jawnego. Prac

e mo_zna kontynuowac

probuj

ac zgadn

ac kolejne wartosci

na granicy odszyfrowanych regionow spraw-

dzaj

ac czy prowadzi to do sensownego uzupelnienia odgadni

etych fragmentow tekstu

jawnego.

2.0.8 S-boksy

S-boksy s

a nadzwyczaj istotnymi skladnikami algorytmu DES (

ata

ncryption

tandard) najwa_zniejszego w praktyce algorytmu szyfruj

acego w momencie powsta-

wania tej ksi

a_zki. Ka_zdy S-boks jest zdeniowany poprzez macierz rozmiaru 4

zawieraj

a liczby z przedzialu od 0 do 15 (patrz rys. 2.2).

OZDZIA

PODST

TECHNIKI

SZYFR

ANIA

15 12 8 2 4 9 1 7 5 11 3 14 10 0 6 13

4 1 14 8 13 6 2 11 15 12 9 7 9 10 5 0

0 15 7 4 14 2 13 1 10 6 12 11 9 5 3 8

14 4 13 1 2 15 11 8 3 10 6 12 5 9 0 7

argument= 111010, wynik= 10

= 1010

wiersz 2, kolumna 13

Rysunek 2.2: Szyfrowanie przy pomocy S-boksow (rysunek przedstawia S-boks o

nazwie S1)

Sposob dzialania S-boksow.

S-boks deniuje funkcj

e, ktorej argumentami s

agi zlo_zone z 6 bitow, a wartosciami ci

agi zlo_zone z 4 bitow. Obliczenie wartosci

dla argumentu

ma nast

epuj

acy przebieg:

pierwszy i ostatni bit argumentu

tworz

a liczb

e w systemie dwojkowym wy-

znaczaj

a numer wiersza (wiersze numerujemy od 0 do 3),

pozostale 4 bity

wyznaczaj

a numer kolumny (kolumny numerujemy od 0 do

15),

na przeci

eciu wyznaczonych kolumny i wiersza znajduje si

e pojedynczy ele-

ment, liczba ta jest szukan

a wartosci

a funkcji.

Wybor liczb znajduj

acych si

e w S-boksie ma fundamentalne znaczenie dla jakosci

szyfrowania. Wybor S-boksow stosowanych w praktyce nie byl do konca procesem

jawnym, znanych jest jednak kilka regul, ktore wzi

eto pod uwag

e. Nie jest znana

_zadna prosta i elegancka analiza matematyczna, ktora prowadzilaby do wyboru

takich a nie innych S-boksow. W praktyce stosowane s

a S-boksy o nazwach S1, S2,

, S8.

Efekt lawinowy:

Jedn

a z podstawowych zasad szyfrowania jest to, by zmiana

pojedynczego bitu w tekscie jawnym powodowala zmian

e wielu bitow w kryptogra-

mie. W idealnej sytuacji powinno to powodowac zmian

e mniej wi

ecej tylu bitow,

ile bysmy zmienili w wypadku ich ustawienia wedlug rzutow monet

a. Tym samym

podobne teksty jawne nie maj

a podobnych kryptogramow!Wlasnosc ta utrudnia

w znacz

acy sposob kryptoanaliz

e. W tej sytuacji mowimy o

efekcie lawinowym

dla podkreslenia, _ze zmiana pojedynczego bitu w tekscie jawnym powoduje lawin

zmian w kryptogramie.

Przy pomocy S-boksow mo_za zrealizowac efekt lawinowy. O ile S-boks stosujemy

do bitow (

) to zmiana

lub

powoduje zmian

e numeru wiersza. Rzut

oka na S-boks z rys. 2.2 pozwala stwierdzic, _ze wiersze nie s

a do siebie podobne.

Dlatego nie ma _zadnego powodu, by po zmianie

lub

wynik przypominal w

jakikolwiek sposob stary wynik. Podobne zjawisko odnosi si

e do kolumn, gdy_z

kolumny S-boksu rownie_z nie s

a podobne.

Gdy S-boksy s

a u_zywane wielokrotnie, wtedy efekt lawinowy ulega spot

egowaniu

i sposob w jaki zmiana pojedynczego bitu wplywa na zmian

e koncowego wyniku jest

coraz bardziej skomplikowany.

Kryteria wyboru S-boksow:

Poni_zej omawiamy niektore wa_zne wlasnosci, ja-

kie powinny byc spelnione przez dobre S-boksy. Ka_zda z nich zostala sformulowana

na zasadzie

\jesli wlasnosc nie jest spelniona, to kryptoanaliza mo_ze byc ulatwiona\

OZDZIA

PODST

TECHNIKI

SZYFR

ANIA

Ka_zdy wiersz S-boksu zawiera wszystkie liczby calkowite od

Wlasnosc ta zapewnia, _ze sama znajomosc wiersza nie daje _zadnej informacji

o wartosci koncowej.

Funkcja obliczana przez S-boks nie jest funkcj

a aniczn

tzn. _zaden bit wyniku nie da si

e przedstawic jako

, gdzie

oznacza

-ty bit argumentu, zas operacje arytmetyczne wykonywane s

modulo 2. Gdyby bity wyniku byly wyra_zalne za pomoc

a funkcji anicznych,

to kryptoanaliza bylaby powa_znie ulatwiona. Istotnie, po pierwsze skladanie

S-boksow nie mialoby sensu { dalej poruszalibysmy si

e w obr

ebie funkcji

anicznych, bo zlo_zenie funkcji anicznych jest funkcj

a aniczn

a. Po drugie,

kryptoanaliza ograniczalaby si

e do rozwi

azywania ukladow rownan liniowych,

co nie jest trudnym zadaniem.

Zmiana jednego bitu argumentu zmienia co najmniej dwa bity wyniku.

Wlasnosc ta ma zapewnic efekt lawinowy w przypadku wielokrotnego zasto-

sowania S-boksow.

Dla ka_zdego argumentu

wartosci obliczane przez S-boks dla argumentow

oraz

001100

ro_zni

a si

e co najmniej na dwoch pozycjach.

Dla ka_zdego argumentu

oraz

wartosci obliczane przez S-boks dla

oraz

ro_zni

a si

e co najmniej na dwoch pozycjach.

Jesli ustalimy wartosc jednego bitu argumentu oraz jedn

a pozycj

e wyniku, to dla

okolo polowy ustawien pozostalych bitow argumentu na wybranej pozycji wyniku

otrzymamy

Wlasnoscta gwarantuje, _ze nawet gdy znamy wartosc jednego bitu argumentu,

to na dowolnej pozycji wyniku otrzymujemy 1 w przybli_zeniu z takimi cz

esto-

sciami jak w wypadku losowania bitow przy pomocy rzutow monet

Bardzo wskazany jest rownie_z taki wybor wartosci w tablicy S-boksu, by jak najbar-

dziej utrudnione byly znane techniki kryptoanalizy, takie jak kryptoanaliza ro_zni-

cowa i liniowa (patrz rozdz. 12).