Криптография и свобода

Масленников Михаил

б_xi – это подстановка на множестве Z/2⁶⁴. Тогда все преобразование, осуществляемое схемой «Ангстрем-3», будет выглядеть как произведение подстановок:

б_{х1,х2,…,х16} = б_x1б_x2…б_x16

Рассмотрим преобразование Ф(у₁,у₂,…у₈) = (П (у₁), П (у₂),…, П (у₈)). Заметим, что

Ф^{– 1}(у₁,у₂,…у₈) = (П^{– 1} (у₁), П^{– 1} (у₂),…, П^{– 1} (у₈)).

Имеем

Ф^{– 1}б_{х1,х2,…,х16}

Ф = Ф^{– 1}б_x1б_x2…б_x16 Ф = Ф^{– 1}б_x1ФФ^{– 1}б_x2ФФ^{– 1}_…ФФ^{– 1}б_x16 Ф = ф_х1ф_х2…ф_х16 = ф_{х1,х2,…х16},

где ф_хi = Ф^{– 1}б_xiФ

Если блок открытого текста (y₁,y₂,…,y₈) переходит в блок шифртекста (y₁₇,y₁₈,…,y₂₄) с помощью преобразования б_{х1,х2,…,х16}, т.е.

б_{х1,х2,…,х16}(y₁,y₂,…,y₈) = (y₁₇,y₁₈,…,y₂₄),

то

Ф^{– 1}б_{х1,х2,…,х16}(y₁,y₂,…,y₈) = Ф^{– 1} (y₁₇,y₁₈,…,y₂₄) = (П^{– 1} (у₁₇), П^{– 1} (у₁₈),…, П^{– 1} (у₂₄)).

Тогда

(П^{– 1}(у₁₇), П^{– 1}(у₁₈),…, П^{– 1}(у₂₄)) = Ф^{– 1}б_{х1,х2,…,х16} ФФ^{– 1} (y₁,y₂,…,y₈) = Ф^{– 1}б_{х1,х2,…,х16}Ф (П^{– 1} (у₁), П^{– 1} (у₂),…, П^{– 1} (у₈))

Итак, вот она, первая зацепка для анализа «Ангстрем-3»: заменяем позначно все буквы шифрованного и известного открытого текста по подстановке П^{– 1} и дальше используем вместо б_xi преобразования ф_хi. А теперь давайте посмотрим на эти преобразования повнимательнее.

ф_хi (y_i, y_i+1,…y_i+7)= Ф^{– 1}б_xiФ(y_i, y_i+1,…y_i+7) = Ф^{– 1}б_xi(П (y_i), П (y_i+1),… П (y_i+7)) =

Ф^{– 1}(П(y_i+1), П(y_i+2),….,П(П(y_i)+П(y_i+1)+П(y_i+7)+х_i) = (y_i+1, y_i+2,…., П (y_i)+П (y_i+1)+П (y_i+7)+х_i)

Жизнь прекрасна и удивительна! Какие уравнения получились!

у_i+8 = П (y_i)+П (y_i+1)+П (y_i+7)+х_i

Возьмем-ка теперь парочку блоков открытого текста (y₁,y₂,…,y₈) (z₁,z₂,…,z₈)

и соответствующие им блоки шифртекста (y₁₇,y₁₈,…,y₂₄) (z₁₇,z₁₈,…,z₂₄) и выпишем уравнения одни под другими…

у_i+8 = П (y_i)+П (y_i+1)+П (y_i+7)+х_i

z_i+8 = П (z_i)+П (z_i+1)+П (z_i+7)+х_i

Это же криптографический Клондайк! Вычитаем одно уравнение из другого и ключ пропадает!

u_i+8 = v_i+v_i+1+v_i+7 (1)

где u_i = y_i– z_i, v_i = П(y_i)- П(z_i).

Из (1) имеем:

v_i = u_i+8 –v_i+1– v_i+7 (2)

Линейное уравнение – мечта криптографа! Тут только надо найти все такие решения, при которых для каждой пары (u_i,v_i) соответствующий элемент р_ui,vi в матрице Р(П) был бы ненулевым. Поехали!

При Т=16 из (1) и (2) имеем:

u₁,u₂,…u₈, v₁,v₂,…v₈ – известны – это открытый текст

u₁₇,u₁₈,…u₂₄, v₁₇,v₁₈,…v₂₄ – известны – это шифртекст

Из (2) последовательно находим:

v₁₆ = u₂₄– v₁₇– v₂₃

v₁₅ = u₂₃– v₁₆– v₂₂

…………

v₉ = u₁₇– v₁₀– v₁₆

а затем уже из (1) – все u_i. Система (1) полностью решена!

Дальше – раздолье. Ключ опробуем позначно. Для первого байта ключа x₁ оставляем допустимыми только те значения, при которых пара (y₉,z₉) является решением системы

y₉– z₉ = u₉

П(y₉)- П(z₉) = v₉

Если таких значений будет несколько, то возьмем еще одну пару и истинным будут только те значения, которые содержатся в пересечении этих множеств и так поштучно определяем весь ключ.

Вот теперь пора и почитать, что там наша доблестная армия нашифровала. Военный приказ будем взламывать по-военному четко: делай раз, делай два, делай три.

1. Берем первые 24 знака известного нам открытого текста, соответствующие им знаки шифртекста и составляем две пары переходов из открытого текста в шифрованный.

Первая пара

Вторая пара

2. Все байты в этих парах заменяем по подстановке П^{– 1}.

3. Для каждой из этих двух пар составляем и решаем систему линейных уравнений (1).

Первая пара

Открытый текст

Шифртекст

Сначала с помощью уравнений (2) вычисляем промежуточные значения v₁₆,v₁₅,…,v₉.