Луговые озёра и окрестности (minaev_hutor) wrote,
Луговые озёра и окрестности
minaev_hutor

Криптография и свобода. Колея. Глава 5. Взломаем? Часть 6.

Оригинал взят у kolkankulma в Криптография и свобода. Колея. Глава 5. Взломаем? Часть 6.
Оригинал взят у mikhailmasl в Криптография и свобода. Колея. Глава 5. Взломаем? Часть 6.
 
Приступим к взлому, т.е. к определению неизвестного ключа х12,…х16, записанного во втором регистре сдвига.
Давайте сначала выпишем уравнения зашифрования, реализуемые этой схемой. Если (y1,y2,…,y8) – блок, записанный в первом регистре сдвига «Ангстрем-3», то за один такт работы схемы он перейдет в блок (y2,y3,…,y9), где y9 = p(y1+y2+y8+x1), х1 – первый байт неизвестного ключа. В общем случае, если последовательность всех заполнений первого регистра сдвига обозначить как у12,….,у2324, где (y1,y2,…,y8) – блок открытого текста, (y17,y18,…,y24) – блок шифртекста, то для любого i³9 будет справедливо:
 
yi = p(yi-8+yi-7+yi-1+xi-8)       
 
Преобразование блока (yi, yi+1,…yi+7) в блок (yi+1,yi+2,…,yi+8) за один такт обозначим как dxi. Очевидно, что это взаимно-однозначное преобразование, поскольку p - подстановка:
 
dxi (yi, yi+1,…yi+7) = (yi+1,yi+2,…, p(yi+yi+1+yi+7+xi))
 
dxi - это подстановка на множестве Z/264. Тогда все преобразование, осуществляемое схемой «Ангстрем-3», будет выглядеть как произведение подстановок:
 
dх1,х2,…,х16 = dx1dx2…dx16
 
Рассмотрим преобразование q12,…у8) = (p1), p2),…, p8)). Заметим, что
q-112,…у8) = (p-11), p-12),…, p-18)).
Имеем
 
q-1dх1,х2,…,х16 q = q-1dx1dx2…dx16 q = q-1dx1qq-1dx2qq-1qq-1dx16 q = jх1jх2…jх16 = jх1,х2,…х16,
 
где jхi = q-1dxiq
Если блок открытого текста (y1,y2,…,y8) переходит в блок шифртекста (y17,y18,…,y24) с помощью преобразования dх1,х2,…,х16, т.е.
dх1,х2,…,х16(y1,y2,…,y8) = (y17,y18,…,y24),
то
 
q-1dх1,х2,…,х16(y1,y2,…,y8) = q-1 (y17,y18,…,y24) = (p-117), p-118),…, p-124)).
 
Тогда
 
(p-117), p-118),…, p-124)) = q-1dх1,х2,…,х16 qq-1 (y1,y2,…,y8) =
q-1dх1,х2,…,х16q (p-11), p-12),…, p-18))
 
Итак, вот она, первая зацепка для анализа «Ангстрем-3»: заменяем позначно все буквы шифрованного и известного открытого текста по подстановке p-1 и дальше используем вместо dxi преобразования jхi. А теперь давайте посмотрим на эти преобразования повнимательнее.
 
jхi (yi, yi+1,…yi+7)= q-1dxiq(yi, yi+1,…yi+7) = q-1dxi(p (yi), p (yi+1),… p (yi+7)) =
q-1(p(yi+1), p(yi+2),….,p(p(yi)+p(yi+1)+p(yi+7)+хi) =
(yi+1, yi+2,…., p (yi)+p (yi+1)+p (yi+7)+хi)
 
Жизнь прекрасна и удивительна! Какие уравнения получились!
 
уi+8 = p (yi)+p (yi+1)+p (yi+7)+хi
 
Возьмем-ка теперь парочку блоков открытого текста (y1,y2,…,y8) (z1,z2,…,z8) и соответствующие им блоки шифртекста (y17,y18,…,y24) (z17,z18,…,z24) и выпишем уравнения одни под другими…
 
уi+8 = p (yi)+p (yi+1)+p (yi+7)+хi
zi+8 = p (zi)+p (zi+1)+p (zi+7)+хi
 
Это же криптографический Клондайк! Вычитаем одно уравнение из другого и ключ пропадает!
 
ui+8 = vi+vi+1+vi+7       (1)
где ui = yi-zi, vi = p(yi)- p(zi).
Из (1) имеем:
vi = ui+8 –vi+1-vi+7           (2)
Линейное уравнение – мечта криптографа! Тут только надо найти все такие решения, при которых для каждой пары (ui,vi)  соответствующий элемент рui,vi в матрице Р(p) был бы ненулевым. Поехали!
При Т=16 из (1) и (2) имеем:
u1,u2,…u8, v1,v2,…v8 – известны – это открытый текст
u17,u18,…u24, v17,v18,…v24 – известны – это шифртекст
Из (2) последовательно находим:
v16 = u24-v17-v23
v15 = u23-v16-v22
…………
v9 = u17-v10-v16
 
а затем уже из (1) – все ui. Система (1) полностью решена!
Дальше – раздолье. Ключ опробуем позначно. Для первого байта ключа x1 оставляем допустимыми только те значения, при которых пара (y9,z9) является решением системы
y9-z9 = u9
p(y9)- p(z9) = v9
Если таких значений будет несколько, то возьмем еще одну пару и истинным будут только те значения, которые содержатся в пересечении этих множеств и так поштучно определяем весь ключ.
Вот теперь пора и почитать, что там наша доблестная армия нашифровала. Военный приказ будем взламывать по-военному четко: делай раз, делай два, делай три.
 
1. Берем первые 24 знака известного нам открытого текста, соответствующие им знаки шифртекста и составляем две пары переходов из открытого текста в шифрованный.
Открытый текст                                                                              Шифртекст
Первая пара
D1 EE E2 E5 F0 F8 E5 ED                                             D8 C7 83 EF F9 CA 71 FA
ED EE 20 F1 E5 EA F0 E5                                             07 55 16 9B 3A 1A 99 53
 
Вторая пара
D1 EE E2 E5 F0 F8 E5 ED                                             D8 C7 83 EF F9 CA 71 FA
F2 ED EE 2E 20 CF F0 E8                                              87 CC 83 9D FA 1D D6 D8
 
2. Все байты в этих парах заменяем по подстановке p-1
D2 0B 77 52 B6 31 52 F5                                                              68 6E F7 86 2A A7 E8 3F
F5 0B CD 5D 52 4E B6 52                                             42 74 C0 E0 19 37 D6 3C
 
D2 0B 77 52 B6 31 52 F5                                                              68 6E F7 86 2A A7 E8 3F
E4 F5 0B 38 CD 6A B6 35                                             5E 27 F7 F9 3F 7E A0 68
 
3. Для каждой из этих двух пар составляем и решаем систему линейных
уравнений (1)
 
Первая пара
Открытый текст
 
1
2
3
4
5
6
7
8
ui
DD
00
AA
F5
64
E3
9C
A3
vi
E4
00
C2
F4
0B
0E
F5
08
 
Шифртекст
17
18
19
20
21
22
23
24
26
FA
37
A6
11
70
12
03
D1
72
6D
54
BF
B0
D8
A7
 
Сначала с помощью уравнений (2) вычисляем промежуточные значения v16,v15,…,v9
v16 = u24 – v17 –v23 = 03 –D1-D8 = 5A
v15 = u23 – v16 –v22 = 12 –5A-B0 = 08
v14 = u22 – v15 –v21 = 70 – 08-BF =A9
v13 = u21 – v14 –v20 = 11 – A9-54 = 14
v12 = u20 – v13 –v19 = A6 – 14 -6D = 25
v11 = u19 – v12 –v18 = 37 – 25 -72 = A0
v10 = u18 – v11 –v17 = FA – A0 -D1 = 89
v9 = u17 – v10 –v16 = 26 – 89 -5A = 43
 
Затем с помощью (1) вычисляем u9,u10,…,u16
u9 = v1+v2+v8 = E4+00+08 = EC
u10 = v2+v3+v9 = 00+C2+43 = 05
u11 = v3+v4+v10 = C2+F4+89 = 3F
u12 = v4+v5+v11 = F4+0B+A0 = 9F
u13 = v5+v6+v12 = 0B+0E+25 = 3E
u14 = v6+v7+v13 = 0E+F5+14 = 17
u15 = v7+v8+v14 = F5+08+A9 = A6
u16 = v8+v9+v15 = 08+43+08 = 53
 
Назад                                             Продолжение
Начало книги


Subscribe
  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your IP address will be recorded 

  • 0 comments