Basismethoden cryptografie

Basismethoden Cryptografie

\ libliotheek TU Delft 1111111111111111111111111111111111 C 0003814739

1388

235

4

Omslag: voo~-en achte.rzijde van de Schijf van Phaistos (2000 -'1600 v. Chr.). Gevonden,in 1908 in het tempelcomplex te Phaistos aán de zuidkust van Kreta. Kleitablet (diameter 16,5 cm) met ingedrukte Kretenzische hiërogliefen. Tot op heden· nog niet ontcijferd. Veronderstellingen variëren van een overwinningslied of lofzang tot een handleiding voor tempelgebruik. Het origineel· bevindt zich in Museum van Herakleion op Kreta.

Basismethoden Cryptografie

dr.ir. J.e.A. van der lubbe

Vakgroep Informatietheorie Faculteit der Elektrotechniek Technische Universiteit Delft

CIP-gegevens Koninklijke Bibliotheek, Den Haag

Lubbe, I.C.A. van der

Basismethoden cryptografie / I.C.A. van der Lubbe. - Delft: Delftse Universitaire Pers. - 111. Uitg. in opdracht van: Vereniging voor Studie- en Studentenbelangen te Delft

Ie dr. Delft: Delftse V.M., 1994. Met reg. Met lito opg., reg.

ISBN 90-407-1256-5 Trefw.: cryptografie. ©VSSD Eerste druk 1994 Tweede druk 1997 Uitgegeven door:

Delftse Universitaire Pers Stevinweg 1, 2628 eN Delft

tel. 015 - 278 3254, telefax 015 - 278 1661.

In opdracht van:

Vereniging voor Studie- en Studenteilbelangen te Delft Poortlandplein 6, 2628 BM Delft

tel. 015 - 278 2124, telef;tx 015 - 278 7585, e-mail: vssd@tudelft.nl internet: pubwww.tudelft.nVvssd

Alle reèhten voorbehouden. Niets uit deze uitgave mag worden verveelvoudigd, .opgeslagen in een geautomatiseerd gegevensbestand, of openbaar gemaakt~ il) enige vorm of op enige wijze, hetzij elektronisch, -mechanisch, door fotokopieën, opnamen, of op enige andere manier, zonder voorafgaande schriftelijke toestemming van de uitgever.

All rights res~rved. No part of this publication may be reproduced, stored in a retrieval system, or transmitted, in any form or QY any means, eleotronic, mechanical, photocopying, recording, or otherwise, without the prior written permission of the publisher.

5

Voorwoord

Door de voortschrijdende technologische ontwikkelingen heeft de automatisering in alle lagen van onze maatschappij zijn intrede gedaan, alsmede zijn onze communicatiemogelijkheden steeds groter geworden. Op grote schaal wordt er gebruik gemaakt van methoden voor geautomatiseerde gegevensverwerking en datacommunicatie. Voorbeelden zijn er te over: medische en fiscale computer-bestanden, automatisch betaalverk~er, beeldtelefoon, abonnee-tv; fax-verkeer, tele-shopping, wereldwijde computernetwerken etc. etc. Bij al deze voorbeelden is er sprake van een toenemende behoefte voor de beveiliging van opslag en transport van informatie. De redenen voor het optreden van deze behoefte zijn van velerlei aard. ,Beveiliging kan noodzakelijk zijn om economische belangen te beschermen; om

fraude tegen te gaan of om de privacy van de burger te waarborgen etc.

Cryptografie is de wetenschap die zich in meest algemene zin bezighoudt rnet methoden voor de beveiliging van opslag en transport van informatie .

. In het voor u liggende boek zal aandacht besteed worden aan de basismethoden voor' de beveiliging van opslag en transport van informatie, zoals deze momenteel ontwikkeld zijn en gehanteerd worden. Het is het doel van dit boek de lezer ' vertrouwd te maken met de diverse mogelijkheden die cryptografie biedt, maar zeker ook met de onmogelijkheden van en de randvoorwaarden voor het gebruik van cryptografie .

. Het boek is bedoeld voor een ieder die op een of andere manier ~etrokken is bij beveiliging en beveiligingsaspecten van gegevensverwerking en communicatie: . ingenieurs, systeemontwerpers, applicatieprogrammeurs, informatie-analisten,

security officers, EDP-auditors etc~

Het boek is ontstaan uit colleges die de schrijver de laatste jaren heeft gegeven aan studenten van de Faculteiten Elektrotechniek, Technische Wiskunde en Informatica, Technische Bestuurskunde en Technische Natuurkunde van de Technische Universiteit Delft en op basis van de bankgerichte cursus Cryptografie verzorgd door. TopTech Studies, welke verantwoordelijk is voor het postdoctorale onderwijs van de Techni,sche Universiteit Delft, en waaraan de schrijver als directeur van genoemde cursus is verbonden.

De schrijver wil van de gelegenheid gebruik maken dr.ir. J.H. Weber te bedanken, met ·wie hij gedurende een aantal jaren de colleges Cryptografie aan de Technische Universiteit Delft heeft verzorgd. Verder zou ondergetekende alle collega's van de

TopTech cursus Cryptografie willen bedanken, in het bijzo~der ir. R.E. Goudriaan ' van de Int~mationale Nederlanden Bank, omdat ze schrijver dezes veel geleerd

_,

_.

hebben ten aanzien van de praktische aspecten van het gebruik van cryp~ografie.

, ,

Voorwoord bij de tweede druk

,

. J.C.A., van der Lubbe januari 1994

In deze nieuwe druk zijn paragrafen over IDEA (International Data Encryption), openbare-sleutelsystemen gebaseerd op elliptische curven, DSA (Digital Signature Algorithm) en, fair cryptosystemen toegevoegd. Voorts is een aantal kleine verbeteringen aangebracht.

J.C.A. van der Lubbe januari 1997

Inhoud

VOORWOORD BEKNOPTE INHOUD NOTATIES INLEIDING CRYPTOGRAFIE 1.1. Cryptografie en cryptanalyse 1.2. Beveiligingsaspecten 1.3. Cryptanalytische aanvàllen KLASSIEKE CIJFERSYSTEMEN 2.1. Inleiding 2.2. Transpositiecijfers 2.3. Substitutiecijfers 2.4. De Hagelin-machine 2.5. Statistiek en cryptanalyse DE INFORMATiETHEORETISCHE BENÀDERING· 3.1. Het algemene schema

3.2. Hoeveelheid informatie en a~solute veiligheid · 3.3. De uniciteitsafstand

3.4. Foutk~s en veiligheid 3.5. Praktische veiligheid DE DATA ENCRYPTION STANDARD

4.1. Het DES-algoritme 4.2. Eigenschappen van DES 4.3. Alternatieve beschrijvingen

4.4. Analyse van DES 4.5. De modes van DES 4.6. Toekomst van DES

4.7. IDEA (International Data Encryption Algorithm) SCHUIFREGISTERS

5.1. Stroom- en blokvercijfering 5.2. Automatentheorie .. 5.3. Schuifregisters

5~4. Random-eigenschappen van schuifregister reeksen 5.5. De genererende fUnctie 7 5 9 11 13 13 . 15 20 22 22 22 -26 31 36

49

49

50 56

60

70 72 72 83 89 95 99 105 107 110 110 112 115 118 126

"-5.6. Cryptanalyse met betrekking tot lineair-teruggekoppelde schuifregisters 130

5. 7. Niet-lineaire schuifregisters 136

OPENBARE-SLEUTELSYSTEMEN 143

6.1. Inleiding 143

6.2. Het RSA-systeem 144

6.3. Het knapzaksysteem 155

6.4. Het breken van het knapzaksysteem 158 6.5. Openbare-sleutelsystemen gebaseerd op elliptische curven 163

AUTHENTICATIE 169

7.1. Protocollen 169

7.2. Berichtintegriteit met behulp van Hash-functies 174

7.3. Bronauthenticatie met symmetrisch algoritme 181 7.4. Berichtauthenticatie' met een 'Message Authenticaticin Code' (MAC) 184 7.5. Berichtauthenticatie met digitale handtekeningen 185

7.6. Zerokennistechnieken . 192

SLEUTELBEHEER EN NETWERKBEVEILIGlNG' 202

8.1. Aspecten van sleutelbeheer 202

8.2. Sleuteldistributie met asymmetrische systemen 205 8.3. Sleuteldist,ributie met symmetrische algoritmen 207

8.4. Netwerkbeveiliging 210

'8.5. Pair cryptosystemen 213

BIJLAGE A. DE INFORMATIEMAAT VAN SHANNON 217

BIJLAGE B. BEELDVERCIJFEREN 221

LITERATUUR 228

LIJST VAN FIGUREN 234

LIJST VAN TABELLEN 237,

TREFWOORDENREGISTER 238

9

Beknopte in

,

houd

In Hoofdstuk 1 wordt vooral aandacht besteed aan de rol die cryptografie speelt binnen de totale. beveiligingsproblematiek. De verschillende doelen van beveiliging worden beschouwd alsmede wordt een eerste overzicht gegeven van de. crypto-grafische methoden die daarvoor gehanteerd kunnen worden.

In Hoofdstuk 2 komen de meer klassieke cijfersystemen aan de orde, zoals transposi-tie en substitutransposi-tiecijfers. Tevens wordt enige aandacht besteed aan de methoden die cryptanalisten ('krakers') toepassen om genomen beveiligingsmaatregelen te door-breken .

. In vele gevallen valt of staat de sterkte van cryptografische algoritmen met de mate waarin veiligheid bereikt kan worden. Het begrip veiligheid zelf is echter verre van eenduidig. In Hoofdstuk 3 w9rdt met behulp van informatietheorie nagegaan wat er met veiligheid bedoeld wordt en hoe deze bereikt kan.worden.

Een van de thans meest toegepaste cryptografische algoritmen, gebaseerd op vercijfering op basis van geheime sleutels, is het DES-algoritme. De principes van dit algoritme worden gegeven in Hoofdstuk 4:

In Hoofdstuk 5 wordt aandacht geschonken aan schuifregisters voor het opwekken van pseudo-random reeksen, welke laatste gebruikt kunnen worden voor het genereren van sleutels dan wel voor het vercijferen van bitstromen. Het begrip randomness wordt zelf ook nader bestudeerd.

Hoofdstuk 6 is gewijd aan de zogenaamde openbare-sleutel systemen; crypto-grafische algoritmen waarbij sprake is van een geheime en openbare sleutel. Het RSA-algoritme is hier een belangrijk voorbeeld van.

Hoofdstuk 7 is betrokken op andere soorten van beveiliging, te maken hebbend met authenticatie en integriteit. Het gaat hierbij om technieken op basis waarvan men zich ervan kan gewissen dat een verzonden bericht ongeschonden is en dat een door zeg A verzonden bericht inderdaad van A afkomstig is etc. De verschillende methoden passeren de revue, waarbij ook digitale handtekeningen en

zerokel)nis-. technieken aan de orde komen.

In het algemeen geldt dat hoe goed de cryptogràfische algoritmen ook zijn, de overall veiligheid, valt of staat vaak met de mate waarin de geheime sleutel geheim gehouden wordt. In Hoofdstuk 8 wordt aandacht besteed aan sleutelbeheer, dat zich .

bezighoudt met het veilig genererèn, distribueren etc. van sleutels, alsook aan de specifieke aspecten van beveiliging van netwerken.

Ter afsluiting zijn twee bijlagen toegevoegd. Bijlage A handelt over de informatie-maat van Shannon en is bedoeld voor degenen die m~t het oog op Hoofdstuk 3 onvoldoende vertrouwd zijn met de informatietheoretische basisbegrippen. Bijlage B. '

Notaties

Ad C C(-r) Cl

cr

d

8

PK(.) dSx(.) DL e E E(.) EK(.) ePx(.) ë cp j{.) , j{.,.,.) FC,·) F G(.) , X h(.) H

HO

H(K/C) H(M/C) H(KlM,C) I

lP

IV J K kDES Ki Kij

Aantal residuklassen met delementen Cijfertekst ,

Autocorrelatie Coïncidentie-index Zuivere schatter van Cl

Deel van geheime sleutel bij RSA; aantal elementen van residuklasse Hamming-afstand

Ontcijfering door symmetrisch aigoritme met sleutel K

Ontcijfering door asymmetrisch algoritme met geheime sleutel Sx Redundantie in tekst ter lengte L

Deel van openbare sleutel bij RSA of elliptische curve-algoritme Expansie-operatie DES

Verwachting

Vercijf~ring door symmetrisch algoritme met sleutel K

Vercijfering door asymmetrisch algoritme met openbare sleutel Px

Aantal elementen van alfabet Euler totiënt functie

Karakteristiek polynodm Terugkoppelfunctie schuifregister Cijferfunctie DES Elliptische curve Genererende functie Chi-test Hash-code Hypothese Marginale informatieinaat Sleutelequivocatie Boodschapequi vocatie Key 'ilppearance equivocatie Identificatiereeks

Initiële permutatie Initiële vector Jacobi -symbool

Geheime sleutel bij symmetrisch algoritme

Eerste k bits van resultaat van vercijfering met DES Subsleutel DES

KS I L LC m mgK(.) M MK mod N .oK(.) p Sessiesleutel Lengte van een run Lengte van ee9 bericht Lineitir-complexiteitsprofiel Aantal secties schuifregister

Resultaat van eenMAC met sleutel K Klare tekst, originele bóodschap Master key

Modulo-optelling

Lengte van (pseudo-)random reeks·

Resultaat van eenrichtingsfunctie met sleutel K

Periode schuifregisterreeks; priemgetal

Px Openbare sleutel van X bij asymmetrisch algoritme Pe Foutkans

PeD Foutkansafstand

q Priemgetal

r Totale aantal runs in binaire reeks R . Random reeks

S Knapzaksom; veiligheidssgebeurtenis

Sx Geheime sleutel van X bij asymmetrisch algoritme

S i Element van schuifregisterreeks; geheim getal bij zerokennistechniek

T Periode T K VerCijferingstransformatie TK Terminal key UD Uniciteitsafstand var Variantie

'-13

1

Inleiding cryptografie

1.1. Cryptografie en cryptanalyse

In de titel van dit boek komt het woord cryptografie voor. Cryptografie is een onder-deel van wat men noemt de cryptologie. De term cryptologie is de samentrekking van twee Griekse woorden "cruptos" (= verborgen) en "logos" (= woord, leer). Het woord cryptologie betekent dan ook letterlijk de leer van het verbergen. In zoverre be-helst het de ontwikkeling van methoden om boodschappen en signalen te vercijferen

'-J alsook de ontwikkeling van methoden om vercijferde boodschappen te ontcijferen.

Ten aanzien van cryptologie kan onderscheid gemaakt worden tussen twee deel-gebieden: cryptografie en cryptanalys~.

In engere zin kan cryptografie opgevat ~orden als dat deel van de cryptologie dat zich bezighoudt met technieken om data te versluieren of te vercijferen, waarbij veelal gebruik gemaakt wordt van geheime sleutels. Alleen degene die over de geheime sleutels beschikt is in staat de vercijferde informatie te ontcijferen. Voor ieder ander is dit in' principe ondoenlijk.

Cryptanalyse is dat deel van de cryptologie dat zich bezighoudt met technieken om de vercijferde data te ontcijferen zonder a priori volledige kennis over bijvoorbeeld de sleutel. Het gaat hier om wat in het dagelijks taalgebruik ook wel aangeduid wordt met de term "kraken".

Het spreekt voor zich dat zowel cryptografie als cryptanalyse nauw met elkaar samenhangen. Zo zal een ontwerper van cryptografische algoritmen eigenlijk alleen maar in staat zijn goede (dat wil zeggen sterke) cryptografische algoritmen te ontwikkelen 'als hij voldoende kennis heeft met betrekking tot de methoden en gereedschappen die door cryptanalisten gehanteerd worden. Dit geldt ook voor degene onder wiens verantwoordelijkheid bepaalde beveiligingsmaatregelen geïmplementeerd worden. Ook hij zal op de hoogte moeten zijn van de technieken die een potentiële indringer kan hanteren.

Omgekeerd geldt natuurlijk dat cryptanalyse alleen maar succesvol kan zijri als men minimaal enige kennis heeft over de toegepaste cryptografische algoritmen en methoden.

A zender M K Figuur 1. 1. Vercijfersysteem. M K B ontvanger

Om hier een eerste indrukte geven van wat een cryptografisch algoritme doet en teve.ns om enkele notaties te introduceren, beschouw de volgende situatie. Neem aan dat A (de zender) een bericht in vercijferde vorm, dat wil zeggen in geheimcode, wil versturen naar B (de ontvanger). Vaak wordt in de literatuur het originele bericht, ook wel genoemd de klare tekst, aangeduid met de letter M van het Engelse woord

"Message", terwijl het vercijferde bericht, ook wel geheten de cijfèrtekst, wordt

aangeduid met de C van het Engelse "Ciphertext". Een methode zou kunnen zijn, dat

A daartoe gebruik maakt van een geheime sleutel K (van het Engelse woord Key) waarmee hij de boodschap M omzet in een cijfertekst C, welk bericht door B na ontvangst weer ontcijferd kan worden onder de aanname dat B ook beschikt over geheime sleutel K. Een en ander is weergegeven in figuur 1.1. EK geeft aan dat de boodschap vercijferd wordt met behulp van sleutel K (de letter E correspondeert met Encryptie (= vercijfering)); DK representeert de ontcijferoperatie (D van Decryptie (= ontcijfering). In het navolgende zullen we de volgende notaties hanteren:

C=EK(M)

(lees: klare tekst M wordt met sleutel K vercijferd tot cijfertekst C)

M=DK(C)

(lees: cijfertekst C wordt met sleutel K ontcijferd tot klare tekst M).

Figuur 1.2 geeft een eenvoudig voorbeeld van wat er aan zend- en ontvangzijde kan gebeuren. Het wordt aan de lezer overgelaten de gebruikte sleutel te achterhalen. Voor

.degene die gebruik maakt van tekstverwerkers zal dit niet al te moeilijk zijn.

•

'cryptografie'

A ' .

K K

Figuur .1.2. Voorbeeld van een vercijfering en ontcijfering,

'cryptografie' B

I

Inleiding cryptografie 15

1.2.

,

Beveiligingsaspecten

Alvorens verder in te gaan op de methoden van de cryptografie zelf, is het hier nuttig . enige aandacht te besteden aan de plaats en het gebruik van cryptografie binnen het totalebeveiligingsconcept. Ten aanzien van beveijiging spelen drie aspecten een rol, welke zijn weergegeven in figuur 1.3.

doel

soort dimensie

Figuur 1,3, Beveiligingsaspecten,

,

De eerste vraag die men zich in d!! praktijk dient te stellen is welke, het doel is van de beveiliging. Deze vraagstèlling is onlosmakelijk verbonden met een adekwate drei-, gingsanalyse, die een nauwgezet antwoord moet kunnen geven op de vragen wat men

wil beveiligen en waartegen men zich wil beveiligen.

Hierna komt de vraag aan de orde welke soorten middelen voor de beveiliging daartoe gehanteerd moeten worden. Hier gaat het dus om de vragen: hoe? waarmee?

Een derde aspect welke bij het creëren vanbeveiligingsmaatregelen een rol speelt i~ wat in de figuur aangeduid wordt met de term dimensie. Daarmee wordt bedoeld of beveiligingsmaatregelen preventief gericht moeten zijn dan wel corrigerend. We komen hier later nog op terug.

Het interessante van figuur 1.3 is dat de driedeling zieh ook op lagere niveaus laat doorzetten. Met betrekking tot het doel van beveiliging kunnen er een groot aantal zaken Zijn, waartegèn men zich wil beveiligen. Om een aantal voorbeelden te geven van waartegen mên beveiligingsmaatregelen zou willen nemen:

a. uitlezen en afluisteren van data b. manipuleren en modificeren van data

c. ongeoorloofd gebruik van (computer-)netwerk

d. aantasting van databestanden e. verstoren van datatransmissie

f

verstoren van werkirig van apparatuur of systemen.

Bij a) gaat he~ primair om geheimhouding" vertrouwelijkheid (confidentiality). Van oudsher speelt geheimhouding een belan'grijke rol bij. diplomatieke en miÎitaire aangelegenheden. Vaak is er daarbij, zoals we ook hebben gezien in de vorige paragraaf, sprake van opslag van informatie of overdracht van informatie van de ene

plaats naar de andere; informatie welke men verborgen zou willen houden .voor de vijand of tegenpartij. Een ander voorbeeld waar men vercijfering toepast om geheimhouding te waarborgen is bij de communicatie tussen surveillerende politiepatrouilles en de centrale meldkamer. De gevoerde gesprekken worden omgezet in een vorm, die het buitenstaanders moeilijk maakt de relevante informatie eruit te kunnen extraheren. Het kan ook voorkomen dat het feit dát er een bericht verzonden wordt op zich al vertrouwelijk is. In dat geval moeten er regelmatig dUlnmY berichten verzonden worden om de eçhte berichten te camoufleren.

Nauw samenhangend met geheimhouding is het sleutelbeheer (key management). Het gaat hierbij om het genereren, distribueren en het opslaan van sleutels. Het is duidelijk dat hoe sterk cryptografische algoritmen ook mogen zijn, als' er gewerkt wordt met geheime sleutels dan valt of staat de effectiviteit van het algoritme melde mate waarin de sleutel geheim gehouden kan. worden. Een indringer. die de sleutel weet te

. bemachtigen kan in principe de vercijferde berichten ontcijferen. Sleutelbeheer is dan ook een essentieel element in het gehele beveiligingsplan.

Bij b) tlm d) gaat het om betrouwbaarheid (reliability). Bij het elektronisch betaal verkeer zal de bank er zeker van willen zijn dat er niet met de data betreffende een financiële transactie geknoeid is, waardoor bijvoorbeeld ten onrechte hogere geldbedragen geïncasseerd kunnen worden. Men duidt dit ook wel aan met de term integriteit: het vaststellen van de ongescho,ndenheid van data. Ook zal men computer-netwerken willen beveiligen tegen binnendringers en daartoe I!iet-geautoriseerde gebruikers. Als men een fax-bericht ontvangt van een persoon A dan zal men de zekerheid willen hebben dat het fax-bericht inderdaad van A afkomstig is en de persoon die zich voor A uitgeeft inderdaad A is. Feitelijk zijn dit vormen van authentlcatie: het vaststellen van de identiteit van een zich als zodanig uitgevende persoon en het vaststellen van de herkomst vàn gegevens.

Boven gegeven voorbeelden zijn alle voorbeelden van beveiliging waarbij de'

betrouwbaarheid op de voorgrond staat.

doel

vertrouwelijkheid

(cónfidentiality)

soprt dimensie betrouwbaarheid continuïteit

(continuity) (reliability)

doel

soort dimensie

Fig(jur 1.5. Soorten van beveiliging.

hard-/software-matig

Inleiding cryptografie 17

organisatorisch

De punten e), en ,f) geven een ander doel van beveiliging weer, welke zich laat samenvatten met de term continuïteit. Dat wil zeggen dat men zich wil beveiligen tegen moedwillig aan te brengen verstoringen in de datacommunicatie et;!- data-opslag. Ten aanzien vàn het doel v~n de beveiliging zijn er dus drie groepen (vergelijk figuur 1.4).

Hetzelfde geldt ook ten aanzien van het soort beveiliging dat toegepast wordt (vergelijk figuur 1.5).

De termen spreken voor zich. Bij fysieke beveiliging gaat het om het treffen van maatregelen om het fysiek binnen dringen in systemen, waarin bijvoorbeeld geheime sleutels opgeslagen liggen, te bemoeilijken. Dit kan door het aanbrengen van bescher-mingen van metaal, toepassen van bepaalde kunststoffen, aanbrengen van

tempe-, ratuurs- en trillingssensoren etc.

De hardware- en softwarematige beveiliging is hetgene waar het in dit boek omgaat; de cryptografische algoritmen en methoden.

Hoe goed men ook fysieke beveiliging en hardware/softwarematige beveiliging kan waarborgen, zonder organisatorische maatregelen hebben ze weinig zin. Organisa-torische beveiliging houdt in dat .er randvoorwaarden gecreëerd worden waardoor inderdaad de genomen fysieke en hardware/ software-matige beveiligingsmaatregelen

{ _ .

-effectief kunnen zijn. Als de genomen beveiligingsmaatregelen in de prakt~jk complex en ingewikkeld zijn, dan loopt men het risico dat de gebruikers niet altijd de gewenste zorgvuldigheid in acht nemen. Bedacht dient te worden, dat hoe ver er ook geautoma-tiseerd wordt, ergens altijd de mens in de keten zit.

Het laatste aspect wat hier beschouwd wordt betreft de dimensie van beveiliging. Ook hier is weer sprake van een driedeling (vergelijk figuur 1.6).

preventief

soort dimensie schade-beperkend corrigerend

Figuur 1.6. Dimensies van beveiliging.

In eerste instantie zal men bij het toepassen van cryptografie vooral preventief te werk willen gaan. Dat wil zeggen dat men de kans dat er iets gebeurt zal willen minimaliseren. Dit kan men bereiken door het toepassen van sterke cryptografische algoritmen en. protocollen en het treffen van adekwate fysieke en organisatorische maatregelen. Echter absolute beveiliging is per definitie onplOgelijk. De kans dat er iets gebeurt· kan weliswaar geminimaliseerd worden, maar zal in de praktijk nooit gelijk aan nul zijn. Een ander aspect dat men dan ook met betrekking tot de dimensie van.

beveiliging kan onderscheiden is het schade-beperkende aspect van beveiliging. Dat

- .

wil zeggen, laat de kans dat er iets gebeurt niet gelijk aan nul zijn, men dient er in i~der geval voor te zorgen dat als er iets ge~eurt de schade zo beperkt mogelijk blijft. Dit betekent dat als iemand in bijvoorbeeld een computerbestaI)d weet door te dringen dztt dit slechts in een klein deel van het bestand is. Of als een indringer over een geheime sleutel beschikt, hij slechts een deel van de boodschappen kan ontcijferen, maar. nooit alle boodschappen etcetera.

Het laatste aspect is p.et corrigerenrif. Dit houdt in dat als er iets misgaat dit spoedig te herstellen moet zijn. Als bijvoorbeeld een niet-geauthoriseerde persoon over de

_.

_,

_.

geheime sleutel is komen 'te beschikken, dan moeten er eenvoudig en snel maatregelen genomen kunnen worden zodanig dat deze sleutel onbruikbaar is. Het houdt ook in dat als bijvoorbeeld vitale computerbestanden aangetast zijn deze gereconstrueerd moeten kllnnen worden.

Het zal duidelijk zijn dat er in de praktijk ten aanzien van alle bovengenoemde beveiligingsaspecten een tr~de-off gemaakt moet worden.

Een facet dat nog niet aan de orde is gekomen is het economis'che aspect van de toepassing van beveiligingsmaatregelen. Feitelijk gaat het hier om dè n!latie tussen gewenst beveiligingsniveau, de waarde van hetgeen beveiligd wordt of waartegen beveiligd wordt en de investering die er 'gedaan moet worden om de gewenste

. \ , .

beveiligingsmaatregelen te nemen dan wel die een indringer nog geacht wordt béreid te zijn te doen teneinde de gewenste informatie te verkrijgen.

•

inleiding cryptografie 19

Hierboven kwamen hier en daar al een aantal toepassingen van cryptografie ter sprake .. De toepassingen kunnen ingedeeld worden naar twee groepen, te weten toepassingen

•

met betrekking tot opslag en toepassingen te maken hebbende met Jransport van _{I • .} informatie.

Bij .opslag moet vooral gedacht worden aan opslag in computersystemen; op schijf dan wel op magneetbanden etc. Vaak is hier de methode zelf volgens welke bijvoorbeeld gegevens, software etc. opgeslagen worden wel bekend en openbaar, maar de sleutel niet. Omdat deze' gegevens vaak voor langere duur worden opgeslagen; is een cryptanalytische aanval aantrekkelijk. De cryptanalist heeft immèrs ruim de tijd de sleutel te vinden. Een relatief hoog beveiligingsniveau zou dan gewenst kUDIlen zijn. Bij datacommunicatie (tv , satellietverbindingen) is de vercijferde boodschap, in tegenstelling tot wat bij opslag het geval is,. slechts een zeer korte tijd voor de . cryptanalist beschikbaar en wel óp het moment van uitzenden. Er zal _ bovendien gemakkelijker gewisseld worden van sleutel dan in geval'van opslag. De cryptanalist kan uiteraarc! de verzonden boodschap op een recorder of iets dergelijks opnemen, maai het ontcijfer~n van de boodschap is nog geen-garantie dat daarmee ook andere vercijferde boodschappen ontcijferd kunnen worden; juist omdat er wellicht frequente sleutelwisseling plaatsvindt.

Daar komt nog bij dat bij datacommunicatie dikwijls sprake is van boodschappen, welke slechts gedurende een beperkte tijdsduur waarde hebben; bijvoorbeeld omdat na verloop van tijd de inhoud ervan verouderd is (denk aan nieuws, weersinformatie etc.) ..

In dergelijke omstandigheden waarbij er sprake is van een slechts momentane waardli van de beveiligde informatie, kan in het algemeen volstaan worden met een beperkter beveiligingsniveau en daardoor geringere investeringen.

Het kostenaspect speel ook nog öp een andere manier een rol. Beschouw kabeltelevisie. Het is duidelijk dat de exploitant gebaat is bij een optimale beveiliging. Immers het bedrijf is er bij gebaat zoveel mogelijk illegaal kijken te voorkomen. Daar staat tegc:nover dat de kosten van het systeem bij de consument, dat er voor dient te zorgen dat het vercijferde signaal ontcijferd wordt, niet te hoog mogen zijn. Dit geldt voor de exploitant, maar ook vanuit het standpunt van de consument bezi~n. Immers de consumenten, waarvan het merendeel te goeder trouw geacht mag worden, zijn slechts in beperkte ,mate bereid een bijdrage te leveren aan beveiliging, waar zijzelf niet, om gevraagd hebben. Verder hoeft het beveiliging.sniveau slechts zodanig te zijn dat een potentiële zwartkijker om de programma's te kunnen zien een grotere investering moet doen dan het bedrag waarvoor hij op reguliere wijze tot het kabelnet toegelaten kan worden.

1.3. Cryptanalytische aanvallen

We beschouwen hier de situatie van een cryptografisch algoritme waarbij door betrokken partijen gebruik wordt gemaakt van een geheime sleutel. Vergelijk figuur 1.1. Er is sprake van een cryptanalytische aanval als, de indringer anders dan alleen door proberen de klare tekst of de sleutel tracht te vinden. Het laatste, het vinden van de geheime sleutel, is vaak aantr~kkelijker dan het incidenteel vinden van een klare tekst. Voordeel van het hebben van de geheime sleutel is dat dan mogelijkerwijs ook andere cijferteksten ontcijferd kunnen worden'. Met betrekking tot het weken naar de sleutel îs .het natuurlijk mogelijk dat men alle mogelijke sleutels toepast op de cijfertekst totdat men de juiste gevonden heeft. Men spreekt dan van een zogenaamd uitputtend sleutelonderziJek (exhaustive key search). Toch is dit geen cryptanalytische aanval in de ware zin van het woord, omdat er bij een cryptanalytische aanval sprake moet zijn van "intelligenter" gedrag van de kant van de cryptanalist dan alleen maar proberen.

Met betrekking tot echte cryptanalytische aanvallen-op cryptosystêmen kunnen drie

. typen van aanvallen onderscheiden worden~ samenhangend met de mate waarin de cryptanalist over informatie beschikt. Vergelijk ook figuur

I.i

Deze drie soorten van aanval zijn:

a. aanval op basis van alleen een cijfertekst: alleen-cijfertekst-aanval (cipher-text-only-attack)

b. aanval op basis van een gegeven klare tekst en de corresponderende cijfertekst: gekende-klare-tekst-adnval (known-plaintext-attack)

c. aanval op basis van een gekozen klare tekst en bijbehorende cijfertekst: gekozen-klare-tekst-aanval (chosen-plaintext-attack).

c

c

K K

Figuur 1.7. Cryptanalytische aanval/en

In geval van een aanval op basis van alleen cijfertekst, heeft de .cryptanalistalleen de beschikking over de cijfertekst (het vercijferde signaal). Op basis hiervan moet hij, door middel van een analyse van de in de cijfertekst aanwezige structuur en eventuele Statistiek, trachten de onderliggende boodschap (klare tekst) te ontcijferen of wat nog

. Inleiding cryptografie 21

belangrijker is, trachten de sleutel te vinden. In geval van vercijferde spraak, afluis-teren van autotelefoon etc. zal de cryptanalist veelal geen andere mogelijkheid hebben dan een aanyal op basis van alleen cijfertekst. Het is duidelijk dat de cryptanalist in dit geval in de minst gunstige uitgangspositie zit.

De situatie, waarin de cryptanalist naast informatie over de cijfertekst ook over informatie beschikt over de corresponderende klare tekst, is al veel gunstiger. Door mi.ddel van kennis over combinaties van cijfertekst en klare tekst, kan hij trachten dat deel van de cijfèrtekst, waarvan de corresponderende klare tekst niet bekend is, te ont-cijferen, dan wel de sleutel te vinden. Situaties waarbij de cryptanalist zowel over cijfertekst als over de. corresponderende klare tekst beschikt: doen zich voor als de cryptanalist erin geslaagd is enigszins door te dringen tot het cryptosysteem dan wel tot de gebruiker ervan. Zo is het evident dat bij financiële transacties bij elke transactie sprake moet zijn van informatie over de betalende en ontvangende partij. Als de cryptanalist door inside-informatie ervan op de hoogte is, hoe informatie over de betalende partij etc. in de cijfertekst verborgen zit, zou hij kunnen trachten op basis hiervan het resterende deel van de cijfertekst te ontcijferen.

De meest gunstige situatie voor de cryptanalist doet zich voor, wanneer de cryptanalist willekeurige klare teksten kan uitzoeken en de ·bijbehorende cijferteksten kan genereren. Door geschikte klare teksten te kiezen en te vergelijken met de bijbehorende cijferteksten kan hij trachten delen niet ontcijferde cijferteksten te ontcijferen, dan wel de gebruikte sleutel te achterhalen. In geval van een beveiligde tekstverwerker, waarbij de geproduceerde tekst in vercijferde vorm wordt opgeslagen, kan een gekozeQ-klare- '

tekst-aanvàl vaak gemakkelijk uitgevoerd worden.

Bij het toepassen van cryptografische methoden geeft men er natuurlijk de voorkeur aan een systeem te ontwikkelen, wat ,beveiligd is tegen alle drie soorten aanvallen. In de praktijk blijkt dit moeilijk te realiseren zijn. Een systeem dat veilig lijkt tegen een alleen-cijfertekst-aanval hoeft dit niet te zijn tegen een aanval door middel van gekozen/gekende klare tekst. Wel is het zo, dat in een praktische omgeving een systeem dat een aanval op basis van een gekozen-klare-tekst kan doorstaan hoger aangeslagen wordt dan een, systeem dat alleen een aanval op basis van all~en cijfertekst kan doorstaan.

In het bovenstaande is met name gekeken naar cryptanalytische aanvallen die de confidentialiteit aantasten. Aanvallen die betrekking hebben op inbreuk op

betrouw-• baarheid (integriteit en authenticiteit) zullen verderop in dit boek nog aan de orde komen.

2

Klassieke cijfersystemen

2.1. Inleiding

In dit hoofdstuk zullen de meer als klassiek beschouwde cijfersystemen aan de orde

'. komen. In vele gevallen gaat h~t hierbij om methoden voor vercijferen, welke vaak al een heel lange geschiedenis hebben. De meeste van de in dit hoofdstuk behandelde methoden hebben in de ioop der tijd veel aan betekenis verloren. Ze werderi veelal tot

\

de Tweede Wereldoorlog gebruikt, maar sedertdien, toen de cryptanalist computers ter beschikking kreeg,. worden .ze minder toegepast. Dat wil niet zeggen dat behandeling van klassieke cijfersystemen alleen nog uit historisch oogpunt van b-elang is. Integendeel, weliswaar worden de klassieke syste~1nen zelden nog op zich gebruikt, dat neemt niet weg dat klassieke systemen nog steeds deel uitmaken van de meer moderne cryptosystemen, zij het vaak in cascade of in combinatie met andere methoden ..

Twee typen van klassieke cijfersystemèn kunnen onderscheiden worden: - transpositie~ystemen

- substitutiesystemeIi.

Een transpositiecijfer wordt gekenmerkt door het feit dat de tekens, waarin de klare tekst gesteld is, niet gewijzigd worden, alleen de volgorde .

. Bij subStitutiecijfers wordt de volgorde niet gewijzigd maar wel de tekens; de oor-spronke}ijke tekens in de klare tekst worden vervangen door andere tekens.

In de volgende paragrafen zullen we dieper op deze twee cijfersystemen ingaan.

2.2. Transpositiecijfers

, .

Zoals in de vorige paragraaf reeds vermeld; wordt bij transpositiecijfers alleen de volgorde van de tekens/ elementen waaruit de klare tekst opgebouwd i~ gewijzigd. Dit gebeurt bloksgewijs. Beschouw het volgende voorbeeld.

klare tekst:

opdeling in blokken: cijfertekst:

DÈ VERGADERING IS UITGESTELD TOT VOLGENDE WEEK DEVER GADER INGIS UITGE STELD TOTVO LGEND EWEEK ERVDE' ERDGA ISGIN GETUI LDEST VOTTO NDELG ,EKEEW

Klassieke cijfersystemen 23

De klare tekst van het voorbeeld is opgedeeld in blokken van steeds 5 letters. Men spreekt in dit geval van een periodelengte welke gelijk is aan 5. Binnen een blok zijn de letters verwisseld volgens de sleutel 4 5 3 1 2. Dat wil zeggen dat ten opzichte van het oorspronkelijke blok de vierde en vijfde letter op de eerste en tweede positie gezet worden, de derde letter blijft op dezelfde plaats, terwijl de eerste en tweede letter op de vierde respectievelijk vijfde positie geplaatst worden.

Vaak wordt om de sleutel gemakkelijk te kunnen onthouden gebruik gemaakt van een zogenaamd sleutelwoord. In het onderhavige geval had het sleutelwoord 'stoel' kunnen zijn. De alfabetische volgorde van de letters in het sleutelwoord bepaalt de rij getallen, welke de sleutel vormen.

Feitelijk kan het vercijferen van boodschappen volgens het transpositiecijfer opgevat worden als toepassing van kolomtranspositie, zoal~, uit het volgende voorbeeld blijkt.

In plaats van de blokken van 5 letters naast elkaar te zetten worden ze onder elkaar gezet.

klare tekst: DE VERGADERING IS UITGESTELD TOT VOLGENDE WEEK sleutelwoord: STOEL, SLEUTEL 45312

DEVER ERVDE GADER ERDGA INGIS ISGIN UITGE GETUT STELD LDEST TOTVO VOTTO LGEND NDELG EWEEK EKEEW

cijfertekst: ERVDE ERDGA ISGIN GETUI LDEST VOTTO NDELG EKEEW

. \

De cijfertekst kan worden verkregen door de kolommen te verwisselen

overeen-komstig het sleutelwoord; ' .

Meer algemeen kunnen we het transpositiecijfer nu als volgt beschrijven ..

Beschouw een boodschap M ter lengte L = nT, waarbij T de periodelengte is en neen geheel.getal. Na de boodschap opgedeeld te hebben in blokken ter lengte T, kan de boodschap beschreven worden door

~T

=

[aJ, a2, ... ,aT][aT+l, ... ,a2T] ... [a(n-l)T+J, .. ·.,anT]. Dit kan als volgt in matrixnotatie herschreven worden:

[ al T aT+1 Mn

=

aCn-l)T+1 of als

waarbij voor

i

=

1, ... ,T de k,olom

ru

wordt gegeven door

Daar toepassing van het transposi~ecijfèr neerkomt op verwisseling van de kolommen zal voor de cijfertekst, aangeduid met de letter C; gelden:

waarbij k een permutatie is van (1, ...

,n.

Het totale aantal sleutels_I .bedraagt, als T de periodelengte is_. ; T!, of eigenlijk Tl' - 1, _. want er is één sleutel welke een cijfertekst levert die identiek is aan de klare tekst. Het is duidelijk dat de periodelengte T groot moet zijn. In het in deze paragraaf gegeven voorbeeld is de periodelengte gelijk aan 5, hetgeen betekent dat er 5! - 1

=

• 119 mogelijke sleutels zijn. Dit aantal is dermate gering, dat als de cryptanalist de

periodelengte weet, hij snel de cijfertekst zal kunnen ontcijferen.

Daarentegen zal een grote periodelengte een groot aantal mogelijk sleutels impliceren, hetgeen het de cryptanalist moeilijker maakt, maar het probleem is dan dat de rechtmatige ontvanger een vrij lange sleutel moet onthouden, met alle gevaren van dien.

. ' ". ",

De cryptanalist staat bij het ontcijferen voor twee problemen. Ten eerste moet hij de periodelengte te weten zien te komen. Hiertoe dient hij feitelijk alle getallen n en T die voldoen aan L

=

nT te proberen, waarbij de L de boodschaplengte is. Als de mogelijk-heid niet uitgesloten moet worden dat dummy letters toegevoegd zijn, zal mén nog meer mogelijke combinaties van n en T moeten beschouwen.

Het tweede probleem is om, als de periodelengte bekend is, de sleutel op gestruc-tureerde wijze te vinden, dus·zonder alle mogelijke permutaties te moeten proberen. Bij het overwinnen van deze twee problemen k·an de cryptanaIlst gebruik maken van taaleigenschappen, tenminste voor zover de oorspronkelijke klare tekst talige tekst is. Als de letterfrequenties van een taal beschouwd worden, dan komen sommige letters meer voor dan andere letters (vergelijk figuur 2.1). Hetzelfde geldt als men niet naar

Klassieke clïfersystemen 25 paren va~ letters. Het blijkt dat, als men tekst beschouwt, klinkers veelal omringd worden door medeklinkers en omgekeerd. Een en ander houdt in dat de klinkers vrij regelmatig over de tekst, verspreid zullen zijn. Dit betekent dat bij het bepalen van de periodelengte naar die

T

gezocht dient te worden, waarvoor als we de cijfertekst in matrixv .. orm noteren de resulterende kolommen de meest regelmatige verdeling van klinkers over de kolommen laten zien. Bij het ontcijferen zal men door verwisselen vervolgens dan die kolommen naást elkaar zetten, die een groot aantal in de taal frequent voorkomende letterparen opleveren.

::~[l1bD

a b e d e f g h i j k l m n o p q r s t uvw xyz

20~

. . .• ) 10 1

o

a b e d e f g h i j k l m n o p q r s t u v w x y z

~20~

J'0~

~ .O a b e d e f g h i j k l m n o p q r s t u v w x y z ] Nederlands Duits Engels

::~

o

~ Fffi~ a b e d e f 9 h 1 ] k l m n o p q r s t u v w xy z

::~

o

_{a b e d e f g h 1 ] k}

.

.

_{l m n o p q r s t}

.

_uvw

Figuur 2. 1. Letterfrequentiequotiënten voor diverse talen.

o Italiaans

2.3. Substitutiecijfers

Bij substitutiecijfers worden de tekens van de kláre tekst vervangen door andere

tekens. Stel dat men een alfabet heeft bestaande uit 26 letters, dan kan een substitu-tiecijfersysteem als volgt beschreven worden.

alfabet met betrekking tot klare tekst: A == [al,· .. ,a261 alfabet met betrekking tot cijfertekst: B = [bl , ... ,b261

klare tekst: a3, a23, a9, a17, a4 cijfertekst: b3, b23, b9, b l7 , b4

Het meest eenvoudige substitutiecijfer is de Caesar-substitutie, welke zijn naam te danken heeft aan de Romeinse keizer Julius Caesar (100-44 voor Cht.). Het substitutie-alfabet bestaat uit het verschoven oorspronkelijke alfabet. In het volgende voorbeeld is een verschuiving toegepast over 3 .posities~

oorspronkelijke alfabet A:

ABC D E F G H I J KLM NOP Q R S T U V W x y z substitutie-alfabet B:·

D E F G H I J KLM NOP Q R S T U V W x Y Z ABC . klare tekst: . STUUR EEN BERICHT VAN ONTVANGST

cijfertekst: . vwxxu HHQ EHULFKW YDQ RQWYDQJVW

Er geldt blijkbaar voor alle i = 1, ... ,26:) = i + 3 (mod 26), waarbij i en) gerelateerd zijn aan de rangnummers van de symbolen in het klare-tekstalfabet respectievelijk het · cijfertekstalfabet. Mod 26 wil zeggen dat het linker en rechter lid aan elkaar geJijk zijn op een veelvoud van 26 na. Meer algemc::en zal gelden) ::: i + t(mod 26); waarbij t het

-. aantal symbolen is waarover de alfabetten .ten opzichte van elkaar verschoven zijn. Kar~kteristiek voor de Caesar-substitutie is dat de volgorde in het substitutie-alfabet hetzelfde blijft. Het aantal sleutels bedraagt sléchts 26, zodat de cijfertekst gemakkelijk' gekraakt· kan worden. Van slechts één letter hoeft bekend te zijn, welke de corres-ponderende letter in de cijfertekst is, en het systeem is gekraakt. Als de bOQdschap voldoende..8root is kan zo'n letter gemakkelijk gevonden worden, Immers men zoekt gewoon naar de meest voorkomende letter in de cijfertekst; er bestaat dan een goede kans dat deze overeenkomt met de letter e in de klare tekst, als de. oorspronkelijke klare

I

.. tekst tenminste in het Nederlands gesteld was.

Neemt,men nu in plaats van een alfabet met verschoven letters een alfabet, waarin de letters in een willekeurige volgorde staan dan bedraagt het aantal sleutels 26!. Dit maakt ontcijfering aanzienlijk moeilijker dan in geval van de Caesar-substitutie. Ee~ voorbeeld is:

Klassieke cijfersystemen 27 . oorspronkelijke alfabet A:

ABC D E F G H I J KLM NOP Q R S T U

_,

V W

x

Y Z

substitutie-alfabet B:

EST V F U Z G Y X.B H K W C I R J ALM P D Q O.N

klare tekst: STUUR EEN BERICHT VAN ONTVANGST

cijfertekst: ALMMJ FFW SFJYTGL PEW CWLPEWZAL '1

Dat het substitutie alfabet niet per se uit dezelfde symbolen als het oorspronkelijke alfabet h~ft te bestaan laat figuur 2.2 zien.

Het is duidelijk dat de sleutel zoals in het voorbeeld te ingewikkeld is om gemakkelijk onthouden te kunnen wordeQ, Vandaar dan ook dat men vaak gebrui~maaKte van sleutelzinnen. Het substitutie-alfabet bestaat dan uit de sleutelzin, waarbij telkens als ",

blz. 50.

EJ;lde, wandt in den oorloog Beer' veel daer aen hanget, dat men secreteliken aen yemant schrijuen kan, dat ~emant sulckes leset, aIs die het aIpha-beet heeft, soo heeft Sijne Genade Graefr Willem dit nàeuolgende aIphabeet langen tijt met mij ge-bruyket, waeraff men in mijne pappieren vele brieuen vinden kan.

a b d e g h i k m

3Fmrr.77l:.nFUJA

'n 0 p q r- u w x y

. Volgen enige nullen:

'(71

U::1

EI::.

q cl

lij

IZI IB

Fl 1

f.

A

beduyt Delfrzyl

B

.

Wedde

e

Verdugo

'1) Graefr Herman van den Berge

r

Coliuerden

ç

Bourtange

Jf

het veerhuys

I

Sijne Excellentie K Winschoten f.. Gro~ngen !1 BeIlingwolde

N

d' Graefr

o

'1>

:g

.

8

T

V

X

V

2,

A

Lingen 't geschutt Ruynen B1eyham Hoge~unde Slochteren Rengers huys ten Post d' Drerith Swoll, d' Leeck

o

Punter Brugge , <D Hoger Btugge EB Hasselt

Ft

.Graefrvan Mansvelt

'iJ

d'Twent (~ Oldenzeel ; ; Capitein Mendo

-$-

Gramsbergen

.

*

Aynge Home :; . Schiltmaer Ó deJ.1Dam i Seluuert

t1' GraefrWillem van Nassau

Figuur 2.2. Fragment van het geheimschrift zoals gebruikt voor de communicatie

een letter voor de eerste keer voorkomt het aan het alfabet wordt toegevoegd. Als alle letters van de sleutelzjn zijn gebruikt, wordt de rest van het alfabet aangevuld met de

ontbrekend~ letters in normale volgorde. Beschouw het volgende voorbeeld: sleutelzin: DE BOODSCHAP IS EEN UUR GELEDEN VERZONDEN

normale alfabet A:

ABC D E F G H I J KLM NOP Q R S ,T U V W X Y Z

substitutie alfabet B:

D,E B-O S C HAP I NU R G L V Z'F J K M Q T W X Y

klare tekst: STUUR EEN BERICHT VAN ONTVANGST

cijfertekst: JKMMF SSG ESFPBAK QDG LGKQDGHJK

Ondanks de 26! mogelijke slèutels zijn dergelijke substituties nog relatief eenvoudig op te lossen. Immers taal is in hoge mate redundant. Bovendien zijn de meest voorkomende letters, zoals de letters e, t, n, r, 0, a etc. eenvoudig terug te vinden in de cijfertekst op basis van de frequentieverdeling van de letters in de cijfertekst. Het mag geconcludeerd worden, dat substitutiemethoden, zoals boven beschreven, niet al te sterk zij!l. Dit komt omdat de kenmerken van de taal nog steeds vrij eenvoudig te extraheren zijn uit de cijfertekst. Daarom wordt de klare tekst vaak met meer dan één substitutiecijfer vercijferd. Men spreekt in dit geval van een polyalfabetische substitutie in tegenstelling tot boven behandelde monoalfabetische substitutie. Een bekend voorbeeld van een polyalfabetische substitutie is het Vig.enère-systeem, een cijfersysteem dat in 1568 door de Fransman Blaise de Vigenère werd uitgedacht. Feitelijk komt het erop neer dat men steeds-een andere Caesar-substitutie toepast. De eerste letter wordt bijvoorbeeld over 10 posities verschoven, de tweede letter over 17 posities etc.

, Vaak maakt men gebruik van het zogenaamde Vigenère-tableau (zie tabel 2.1) en een gekozen sleutelwoord. In het Vigenère-tableau staan de letters van het alfabet van de klare, tekst in de bovenste rij: De eerste kolom bevat de mogelijke letters van het sleutelwoord. Vercijfering gaat nu als volgt in zijn werk.

Onder de klare tekst, wordt het sleutelwoord gezet al~ in het onderstaande voorbeeld aangegeven. De letters van de cijfertekst worden nu gevonden door ~n het tableau de letter te nemen welke op het snijpunt ligt van de kolom met de letter uit de klare tekst en de rij met de letter van het sleutelwoord.

Klassieke cijfersystemen 29

Tabel 2.1. Het Vigenère-tableau.

ABC D E F G H I J KLM NOP Q R S T U V W X Y Z B C D E F G H I J KLM NOP Q R S T U V W X Y Z A C 0 EEG H I J KLM N 0 P'Q R S T U V W X YZ A B O E F G H I J KLM NOP Q R S T U V W' X Y Z A' B C E F G H I J KLM NOP Q R S T U V W X Y Z ABC 0 F G H I J kLM ~ 0 P Q R S T U V W X Y Z ABC 0 E G H I J K L MN 0 P Q R S T U V W X Y Z ABC D E F H I J KLM NOP Q R S T U V W X Y Z ABC D E F G I J K L M NOP Q R S T U V W X1Y Z ABC D E F GH ~ KLM NOP Q R S T U V W X Y Z ABC 0 E F G H I KLM NOP Q R S T U V W X Y Z ABC 0 E F G H I J L M NOP Q R S T U V W X Y Z A,B C 0 EF G H I J K M NOP Q R S T

U

V W X Y Z ABC 0 E F G H I J K L NOP Q R S T U V W X Y Z .A B C D E F G H I .J KLM o P Q R S T U V W X Y Z ABC D E F G H I J KLM N P Q R S T U V W X Y Z ABC D E F G H I J KLM N 0 Q R S T U V W X Y Z ABC D E F G H I J KLM NOP R S T U V W X Y Z· ABC 0 E F G H I J KLM NOP Q S T U V W X Y' Z ABC 0 E' F G H I J KLM NOP Q. R T U V W X Y Z ABC 0 E F G H I J KLM NOP Q R S U V W X Y Z ABC 0 E F G H I J KLM NOP Q R S T V W X Y Z ABC 0 E F G H I J KLM NOP Q R S T U W X Y Z ABC D E F G H I ~ KLM NOP Q R S T U V X Y Z ABC D E F G H I J KLM NOP Q R S T U V W Y Z ABC D E F G H I J KLM N OP Q R ST U V W X Z ABC 0 E F G H I J KLM NOP Q R S T U V W X Y tekst: sleutel:

STUUR EEN BERICHT VAN ONTVANGST ' CRYPT OCR YPTOCRY PTO CRYPTOCRY

cijfertekst: UKSJK SGE ZTKWEYR KTB QERKTBIJR

Er kan geconcludeerd worden dat dezelfde letter in de klare tekst in de cijfertekst gerepresenteerd kan worden door verschillende letters, afhankelijk van de letters van' het sleutelwoord. Hierdoor worden taalkenmerken meer versluierd dan in de eerder hier behandelde methoden.

Het aantal monoalfabetische substituties, welke de basis vormen voor het Vigenère-'

systeem, is gelijk aan de lengte van het sleutelwoord. In geval van bovenstaand voor-beeld bedraagt het gebruikte aantal monoalfabetische substituties 5. Dit betekent dat van het tableau 5 rijen gebruikt zijn.

Het is duidelijk dat kennis over de lengte van het sleutelwoord de cryptanalist in belangrijke mate zal helpen bij het oplossen van het cryptogram.

In het algemeen zal de gebruiker van het systeem streven naar het gebruik van zoveel mogelijk rijen van het tableau bij het vercijferen. Een methode om dit te bereiken is door naast het sleutelwoord de klare tekst zelf te gebruiken als sleutel, zoals is gei1lustreerd in het volgende voorbeeld.

/

Figuur 2.3. De Hagelin-machine. In onderste foto zijn de code wielen (1) en trommel (2) duidelijk zichtbaar (foto's: Facilitair Bedrijf TU D?lft, Fotografische Dienst).

klare tekst: STUUR EEN BERICHT VAN ONTVANGST sleutel: CRYPT OST UUREENB ER! CHTVANONT . cijfertekst: UKSJK SWG VYIMGUU l-RV QUMQAAUFM

Klassieke cijfersystemen 31

Na gebruik van de sleutel CRYPTO wordt de klare tekst zelf als sleutel gebruikt. Het grote probleem bij de toepassing van transpositie- en substitutiecijfers . is de onderliggende statistiek zo goed mogelijk te versluieren. Een van de oplossingen is er voor te zorgen, dat de tekens/letters in de cijfertekst een uniforme verdeling vertonen .. Als voorbewerking kan men, alvorens een transpositie- dan wel substitutiemethode toe te passen, de tekens van de klare tekst coderen met behulp van een methode als Huffmann, waardoor de tekens van de klare tekst een uniforme verdeling gaan vertonen.

2.

1

4. De Hagelin-machine

Een machine die vercijferde tekst kan genereren en die gebaseerd is op polyalfabe-tische substituties is de zogenaamde Hagelin-cryptograaf (ook wel M-209 machine), die in de dertiger jaren werd uitgevonden door de Zweed Boris Hagelin. Zie figuur 2.3. Tot circa 1950 werd deze machine gebruikt binnen het Amerik;aanse.1eger. De werking van de machine is gebaseerd op een zogeheten Beau/on-vierkant (zie tabel

;

.

2.2); een polyalfabetische substitutiemethode vergelijkbaar met het Vigenère-tableau_{. .}

.

. Er geldt:

j

=

t

+

1 - i (mod 26),

waarbij

i

het rangnummer van een khire tekst symbool, t het nummer van de rij in de Beaufort-tabel enj het rangnummer van het vercijferde symbool. •

Voorbeeld

Laat de klare tekst gegeven zijn door: GEHEIM, Neem verder aan dat t achtereen-. volgend is gegeven door: 2, 15,8,7,3 en 1. Er volgt nu:

G: i

=

7, t=2

=>

j

₌

22

_=>

V E: i

=

5, t

=

15

=>

j

₌

11

_=>

K H: i

=

8, t= 8

=>

j

₌

1

_=>

A E: i

=

5, t= 7

=>

j

₌

3

_=>

C I: . i

=

9, t= 3

=>

j

₌

21

_=>

U M i

=

13, t

=

1

=>

j

₌

15

_=>

0

De cijfertekst luidt: VKACUO. Dit stemt

ov

~

reen

met hetgeen

v~rkregenwordt

,met

Tabel 2.2. Beaufort-vierkant. ABC D E F G H I J KLM NOP Q R S T U V W x y Z 0,26 Z Y

x

W

v

UTS R Q PON M ~ K J I H G F E D C B A 1,27 A Z Y x W v UTS R Q PON M L K J I H G F E D C B 2 B A Z Y x W v UTS R Q PON ML K J I H G F E D C 3 CBAZYXWVUTSRQPO~MLKJI'HGFED 4 D. C B A Z Y x W v UTS R Q PON M L K J I H G .F E 5 E D C B A Z Y

x

W

v

UTS R Q PON M L K J I H G F 6 F E b C B A Z Y x W v UTS R Q PON M L K J I H G 7 G F E D. C B A Z Y'

x

W

v

UTS R Q PON M L K J I, H 8 H G F E D C B A Z Y X W V U T S R Q P O N M L K J I 9, I H G F E D C B 'A Z Y

x

W V UTS R Q PON M L K J 10 J I H G

F

E D C B ,A Z Y x W V UTS R Q PON M L K 11 K J 1 H G F E D C B A Z Y

x

W V U 'T S R Q PON M L '12 L K J 1 H G F E 0 C B A Z Y

x

W V UTS R Q PON M 13 M L K J I H G F E D C B A Z Y

x

W V UTS R Q PON 14 N M L K J I H G F E D C, B A Z Y

x

W' V UTS R Q' P 0 15 0 N M L K J I H G F E D C B A Z Y x W V UTS R, Q P 16 PON M L 'K J I H G F E D C B A Z Y x W V UTS R Q 17 Q PON M L K J 1 H G F E D C B A Z Y

x

W V UTS R 18 R Q PON M L K J I H G F E D C B A Z Y X W V UTS 19 S R Q PON M L K J I H G F E D C B A Z Y X W V. U T 20 T S R Q PON M L K J 'I H' G F E D C B A Z Y X W V' U 21 UTS R Q PON M L K J 1 H G F E D C B A Z Y X W V 22 V UTS R Q PON M L K j I H G' F E D C B A Z Y

x

W 23 W V U T -S R Q' PON M L K J I H G F E D C B A Z Y X 24 X W V UTS R Q PON M L K J I H G F E 0 C B A Z Y 25 Y X

W

V U T S.R Q PON M L K J I H G F E D C B A Z , 26 25 23 21

trommel met 27 staven 2 tanden/staaf

19 17

Figuur 2.4. Code wielen en trommel bij de Hagelin-machine.

pinnen/codewiel 6 codewielen

Klassieke cijfersystemen 33 Een ingenieus mechaniek in de Hagelin-machine bepaalt de waarden van t en legt daarmee vast welke achtereenvolgende alfabetten uit de Beaufort-tabel voor vercijferen gebruikt moeten worden.

De Hagelin-machine bestaat uit een trommel met 27 staven (zie de figuren 2.3 en 2.4). Op elk van de staven zitten 2 verplaatsbare tanden. Er zijn totaal 8 posities voor de tanden. Twee posities die de tanden inactief maken, de andere posities liggen tegenover 6 codewielèn.

pe code wielen bevatten respectievelijk 26, 25, 23, 21, 19 en 17 pinnen. Deze pinnen kunnen in twee,standen staan: een actieve en een passieve.

Als een letter vercijferd wordt draait de trommel eenmaal rond. DOOr middel van de actieve tanden van de codewielen op de contactplaats worden tijdens een rondgang van de trommel het aantal 'voorbijkomende' tanden van de trommel geregistreerd. Dit getal IS feitelijk t en bepaalt welke regel in de Beaufort-tabel gebruikt gaat worden voor vercijferen. Bij het vercijferen van een volgende letter verdraaien de codewielen allen over één positie, waardoor er andere actieve pinnen op de contactplaatsen komen en er daardoor andere tanden van de trommel geteld worden. Een en ander laat zich toelichten aan de hand van een voorbeeld.

Voorbeeld

Iri tabel 2.3a zijn voor elk van de 27 staven vari de trommel de posities van de tandeQ tegenover de 6 codewielen aangegeven: 1 geeft aan dat er een tand op die positie geplaatst is, O/geeft aan dat er geen tand op die positie voorkomt. In tabel 2.3b zijn voor elk van de 6 codewielen de actieve (0) en p.assieve (1) pinnen en hun posities aangegeven.

Stel nu dat de posities 1 van de code wielen overeenkomen met de contactplaatsen. Uit tabel 2.3b volgt dan dat alleen de codewielen 3 en 5 dan actieve pinnen hebben. Als de trommel met staven

mi

rondgedraaid wordt, dan wordt het aantal voorbijkomende ~anden bij de codewielen 3 en 5 geteld. Dit is in dit geval 1 + 9

=

10 (beschouw het aantal enen in de derde en vijfde rij van tabel 2.3a). Dit getal bepaalt de regel in de Beaufort-tabel (t

=

10) volgens welke vercijferd moet worden. Bij de volgende letter zijn de codewielen een positie verdraaid naar positie 2, zodat nu blijkens tabel 2.3b de codewielen 1,4 en 5 actieve pinnen hebben. Op grond van tabe12.3a volgt nu: t

=

10 + 3 + 9

=

22 etc. Op dezelfde wijze kunnen de opeenvolgende waarden van t bepaald worden. Daarbij zij opgemerkt dat er een restrictie geldt; twee tanden op een en dezelfde staaf worden slechts geteld als 1. Dit om er voor te zorgen dat t geen waarde groter dan 26 aanneemt.

Tabel 2.3. Hagelin-machine: a. posities van tanden op trommel; b. actieve pinnen op codewielen. staaf no. 1 2 3 4 5 6 7 8 9 10 11 12 13 14' 15 16 lJ 18 19 20 21 22 23 24 25 26 27 1 0 1 1 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 2 0 0 1 0 0 .. '1 1 1 1 1 1 1 1 1 0 0 0 0 0 0 0 0 0 0 0 0 0 3 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 4 0 0 0 1 0 0 Ö 0 0 0 Q 0 0 0 1 1 0 0 0 0 0 0 0 0 0 0 0. 5 0 0 0 0 0 0 0 0 0 0 0

o

·0 0 0 0 1 1 1 1 1 0 0 6 0 0 0 0 0 0 0

'0

.1 0 0 0 0 0 . 1 codewiel no. a. posities op codewiel .1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 1 0 0 1 1 1 Ö 1 0 1 1 0 0 0 1 1 0 0 1 0 1 0 0 1 1 11 2 0 1 1 0 0 0 0 1 0 0 1 1 0 0 1 0 1 1 0 1 0 0 0 11 3 1 0 0 1 1 1 1 0 1 0 0 0 0 1 0 1 0 1 Ol 4 0 0 .1 0 0 0 0 0 0 0 1 0 1] 5. 0 0 0 0 0 0 1 . 0 0 0 0 1] '6 0 0 0 0 0 0 0 0 Ol b.

Het woord CRYPTO wordt nu als volgt vercijferd:

C: ' i =3, t= 10 . ~ j

=

8 ~ H R: i

=

18, t=22 ~ j

=

5 ~ E Y: i

=

25, t=26 ~ j

=

2 ~ B P: i

=

16, t=5 .~ _j

=

_.16 ~ P T: i= 20, t= 15 ~ j

=

22 ~ V 0: i

=

15, t=22 ~ _j

=

8 ~ .H'. t::"

De aantallen pinnen van de code wielen zijn zodanig dat ze geen gemeenschappelijke

I deler hebben. Er kan nagegaan worden dat het dan maximaal 26 x 25 x 23 x 21 x 19 x

.

î

~

=

101.405.85Ö omwentelingen duurt voordat de codewielen allen weer in hun startposities zijn teruggekeerd. Na de vercijfering van maximaal 101.405.850 létters_

herhaalt de machine dus weer het vercijferpatroon.

Dat het hier om een maximum gaat wordt veroorzaakt door het feit, dat bij sommige keuzen van de posities van actieve en inactieve pinnen herhaling van het vercijfer-. patroon eerder kan optreden.

/

'Klassieke cijfersystemen 35

De posities van de pinnen op de coäewielen tezamen met de posities van de tanden op

de staven bepalen feitelijk de sleutel. Er kali nagegaan worden hoeveel sleutels er zijn ..

Er zijn totaal 26 + 25 + 23 + 21 + 19 + ·17

=

131 pinnen, die elk in twee standen voor kunnen

ko~en

(actief en inactief). Er zijn dus 2131 mogelïjkeconfiguraties. vo?r de codewielen.

Beschouwen we nu ee~ staaf. Er zjjn 2 tanden per staaf. Er kunnen 0, 1 of 2 tanden geplaatst worden tegenover de 6 codewielen. Het plaatsen van 0 tanden tegenover de

_ codewielen kan maar. op 1 manIer; en. wel door deze in de 2 inactieve posities te zetten. Het plaatsen van 1 tand tegenover de codewielen kan op 6 manieren geschieden (tegenover codewiell ofc.odewiel 2 etc.). Voor het plaatsen van 2 tanden tegenover

de

codewielen zijn er ~)

=

15 mogelijkheden. Er zijn totaal dus 1 + 6 + 15

=

22 mogelijke manieren om 2 tanden op een. staaf te zetten. Er is echter niet 1 staaf maar er zijn 27 staven. Het berekenen van het totale aantal mogelijke configuraties van de.

trommel komt dan ook overeen met het kiezen van 27 objecten uit 22 objecten; met teruglegging want sommige van de 27 staven mogen en zullen in dit geval aan elkaar gelijk zijn. Oplossing van dit combinatorische probleem kan gevonden worden door evenveel kolommen te maken als er objecten zijn waaruit gekozen kan worden. Iedere keer als een objec~ wordt gekozen, wordt er een kruisje x geplaatst in de desbetreffende kolom. Als we bijvoorbeeld 5 objecten willen kiezen uit 4 objecten, dan kan het resultaat er als volgt uitzien:

Object 1 Object 2 Object 3 Object 4

xl I xxl xx

waarbij de scheidslijnen I gebru*t worden om de verschillende kolommen van elkaar te scheiden. Een verkorte notatie is x//xx/xx, waarbij twee direct naast elkaar gelegen scheidslijnen geïnterpreteerd dienen te worden als dat het desbetreffende object niet geselecte.erd is. Iedere volgorde van de 5 kruisjes en de 3 scheidslijnen geeft een mogelijkheid weer. Een mogelijkheid is volledig bepaald als aangegeven is op welke posities de 5 kruisjes staan binnen de totaal 8 (= 5+3) mogelijke posities. Dit kan op

I totaal-(~) manieren. Voor het algemene geval, waarbij n objecten uit mobjeeten

gekozen worden, geldt (m+:-l). Voor het aantal mogelijke configuraties van de trommel zullen we dus vinden:

( 48) ₂₇

₌

_{21 ! 27!} 48!

₌

_2,23 . _{x l ,} 013

Het totale aantal sleutels bedraagt daarmee:

2131 _{x 2,23 x 10}13

=

_{6,07 x 10}52 _sleutels.

Hoe groot dit aantal ook moge zijn, geheel bestand tegen cryptanalytische aanvallen is de Hagelin-machine later niet gebleken. De 6 codewielen staan steeds.ln een bepaalde

stand, in welke de actieve pennen de tanden van de trommel tellen. De configuratie van de trommel blijft echter steeds identiek, zodat het feitelijk de stand van de codewielen is, die de letter van de cijferte,kst bepaalt. Er zijn 26 =.64 mogelijke standen v~n de codewielen ten opzichte van de trommel. Aangezien 26 niet deelbaar is op 64 zullen de waarden van t een niet-uniforme verdeling vertonen. Dit betekent een potentiële zwakheid.

Op basis van een alleen-cijfertelést-aanval is het verder mogelijk informatie te verkrijgen over de posities van de actieve en passieve pinnen 'op de codewielen. Beschouw cOdewie16, die 17 pinnen heeft. We schrijven nu de cijfertekst in de vorm van een matrix, waarbij de eerste 17 letters van de cijfertekst in de 1 e rij komen, de tweede 17 letters in de 2e rij etc. ~r zal nu gelden, doordat codewiel 6 na 17 letters weer in dezelfde stand terugkeert, dat alle letters in kolom i vercijferd zijn op basis van dezelfde actieve dan wel passieve pin. Beschouw nu ook kolom j. Als kolom i en j beide het gevolg zijn van actieve pinnen, dan zullen de letters van kolom i en kolomj dezelfde distributie vertonen. Dit zelfde geldt ook als de kolommen i enj gerelateerd zijn aan twee passieve pinnen. Hierbij wordt de op zichzelf niet onredelijke aanname gedaan dat de andere codewielen een random invloed hebben op beide kolommen i en j. Door de distributies vaQ de kolommen te beschouwen kan men een indruk krijgen

welke pinnen actief dan wel passief zijn.

Op dezelfde wijze kan men door de cijfertekst in een matrix met 19 kolommen te zetten, een afschatting maken van welke kolommen gerelateerd zijn aan actieve dan wel passieve pinnen van code wiel 5. Etcetera v~r de overige codewielen.

In de praktijk blijken 1000 - 2000 letters van de cijfertekst al voldoende om de . relatieve posities van pinnen op de codewielen te kunnen vinden. In het geval van een

gekende-klare-tekst-aanval bedraagt het benodigde aantal slechts 50 - 100.

2.5. Statistiek en cryptanalyse

I

-Bij de cryptanalyse van cijferteksten staat de cryptanalist diverse statistische gereed-schappen ter beschikking, die hij aan kan wenden teneinde de sleutel dan wel de klare tekst te vinden 'of om te bepalen of bijvoorbeeld twee kolommen, zoals bij de cryptanalyse van de Hagelin-machine, dezelfde frequentieverdeling hebben. In deze paragraaf zal enige aandacht besteed worden aan enkele statistische toetsen die een belangrijke rol spelen in de cryptanalyse en zal alm de hand van een eenvoudig , voorbeeld getoond worden hoe het proces van ontcijferen vanuit de positie van de

. cryptanalist in zijn werk kan gaan. Coïncidentie-index (Cl)

Beschouw een random tekst bestaande uit letters, afkomstig uit een alfabet met 26 letters, dan geldt èat alle letters een even grote kans van optreden hebben; gelijk aan 1/26. Stel nu dat we nog een tweede soortgelijke random tekst hebben welke onder de

, . Klassieke cijfersystemen 37

eerste geplaatst wordt. Vervolgens kan men zich dan afvragen hoe groot de kans is 2 letters 'a' of 2 letters 'b' etc. boven elkaar aan te treffen. Aangezien de letters een random karakter vertonen zal de kans bijvoorbeeld 2 letters 'a' aan te treffen gelijk zijn aan (1/26)2. Ditzelfde geldt voor de kans op 2 letters 'b' boven elkaar etc. Voor de totale kans op 2 dezelfde letters volgt nu:

(1/26P + (1/26P ... + (1/26)2

=

26 x (i/26)2

=

1/26

=

0,0385.

Beschouwen we in plaats van een random tekst een Engelse tekst, dan geldt in het algemeen niet dat alle letters een even grote kans van optreden hebben. Voor Engels geldt bij benadering: p(a)

=

0,082, p(b)

=

0,015 ... etc. Zouden we nu de kans op 2 dezelfde letters berekend hebben, dan was gevonden:

2 · 2

(0,082) + (0,015) + ...

=

0,0661.

I

Hetgeen een hogere waarde is dan in het geval van een random tekst. De grootheid die boven uitgerekend is, wordt de coï~cidentie-index gènoemd. In algemene vorm is deze gedefinieerd als:

n

CI=

LPl,

(2.1)

i=l

waarbij n de grootte van het alfabet is en Pi de frequentie van het i-de symbool van het alfabet.

Boven vonden we voor de Cl van een random dan wel een Engelse tekst

respectieve-lijk de waarden 0,0385 en 0,0661. Elke taal wordt gekarakteriseerd door een speci-fieke waarde van Cl, zoals uit tabel 2.4 valt af te leiden.

Engels 0,0661 Frans 0,0778 Duits 0,0762 Italiaans 0,0738 Japans 0,0819 Russisch 0,0529 random tekst 0,0385

Tabel 2.4. Waarden van de coïcidentie-index voor verschillende talen.

Berekening van Cl kan op diverse wijzen ailngewend worden ten behoeve van

cryptanalyse. In het geval van een monoalfabetische substitutie worden de letters uit de klare tekst vervangen door andere letters. De onderliggende statistiek verandert