Klasyczne metody szyfrowania

WST†P DO KRYPTOGRAFII
Grzegorz Szkibiel
Jesie« 2012/13

Spis tre±ci
1 Kryptograa a steganograa 5
1.1 Steganograa . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
1.2 Szyfry przestawieniowe . . . . . . . . . . . . . . . . . . . . . . 8
1.3 Systemy kryptograczne . . . . . . . . . . . . . . . . . . . . . 9
2 Klasyczne metody szyfrowania 12
2.1 Szyfry cykliczne . . . . . . . . . . . . . . . . . . . . . . . . . . 12
2.2 Monoalfabetyczny szyfr Beauforta . . . . . . . . . . . . . . . . 13
2.3 Kody aniczne jednowymiarowe . . . . . . . . . . . . . . . . . 14
2.4 Permutacje alfabetu . . . . . . . . . . . . . . . . . . . . . . . 15
2.5 Analiza cz¦sto±ci wyst¦powania liter . . . . . . . . . . . . . . . 16
2.6 Homofony i nulle . . . . . . . . . . . . . . . . . . . . . . . . . 17
2.7 Jednostki dwuliterowe czyli digramy . . . . . . . . . . . . . . . 18
2.8 Szyfr Playfaira . . . . . . . . . . . . . . . . . . . . . . . . . . 20
2.9 Podwójny szyfr Playfaira . . . . . . . . . . . . . . . . . . . . . 21
2.10 szyfr Delastelle'a . . . . . . . . . . . . . . . . . . . . . . . . . 22
2.11 Jednostki wieloliterowe . . . . . . . . . . . . . . . . . . . . . . 23
2.12 Szyfry polialfabetyczne . . . . . . . . . . . . . . . . . . . . . . 23
2.13 Ša«cuch szyfrów i DES . . . . . . . . . . . . . . . . . . . . . . 28
3 Maszyny szyfruj¡ce 32
3.1 Zasada dziaªania . . . . . . . . . . . . . . . . . . . . . . . . . 32
3.2 Jak zªamano szyfr ENIGMY . . . . . . . . . . . . . . . . . . . 36
4 Macierze szyfruj¡ce 41
4.1 Algebra liniowa modulo N . . . . . . . . . . . . . . . . . . . . 41
4.2 Szyfry Hill'a . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
4.3 Aniczne przeksztaªcenia szyfruj¡ce . . . . . . . . . . . . . . . 48
2

5 Pakowanie plecaka 50
5.1 Postawienie problemu . . . . . . . . . . . . . . . . . . . . . . . 50
5.2 Szybko rosn¡ce ci¡gi . . . . . . . . . . . . . . . . . . . . . . . 51
5.3 Kryptosystem
oparty na problemie pakowania plecaka . . . . . . . . . . . . . 53
6 Systemy z publicznym kluczem 56
6.1 Numeryczna funkcja jednokierunkowa . . . . . . . . . . . . . . 57
6.2 Funkcje skrótu . . . . . . . . . . . . . . . . . . . . . . . . . . 58
6.3 poufno±¢ i autentyczno±¢. . . . . . . . . . . . . . . . . . . . . . 58
6.4 Wymiana kluczy . . . . . . . . . . . . . . . . . . . . . . . . . 60
6.5 2-1 funkcje jednokierunkowe . . . . . . . . . . . . . . . . . . . 60
7 System RSA 62
7.1 Rozkªad liczb na czynniki . . . . . . . . . . . . . . . . . . . . 62
7.2 Liczby wybrane losowo . . . . . . . . . . . . . . . . . . . . . . 63
7.3 Zasada dziaªania systemu RSA . . . . . . . . . . . . . . . . . 64
7.4 Wpadka systemowa wspólny moduª . . . . . . . . . . . . . . . 65
7.5 Wpadka systemowa niski wykªadnik . . . . . . . . . . . . . . . 65
8 Teorio-liczbowe podstawy RSA 67
8.1 Systemy pozycyjne . . . . . . . . . . . . . . . . . . . . . . . . 67
8.2 Iterowane podnoszenie do kwadratu . . . . . . . . . . . . . . . 69
8.3 Twierdzenie Eulera i
Maªe Twierdzenie Fermata . . . . . . . . . . . . . . . . . . . . 69
8.4 liczby pseudo-pierwsze . . . . . . . . . . . . . . . . . . . . . . 71
8.5 Chi«skie twierdzenie o resztach . . . . . . . . . . . . . . . . . 74
8.6 Kongruencje stopnia 2 . . . . . . . . . . . . . . . . . . . . . . 77
8.7 Gra w orªa i reszk¦ przez telefon . . . . . . . . . . . . . . . . . 80
9 Zastosowania arytmetyki
modulo m do rozkªadu liczb 83
9.1 Wzory skróconego mno»enia . . . . . . . . . . . . . . . . . . . 83
9.2 Metoda ρ rozkªadu na czynniki . . . . . . . . . . . . . . . . . 85
9.3 Metoda faktoryzacji Fermata . . . . . . . . . . . . . . . . . . . 87
9.4 Bazy rozkªadu . . . . . . . . . . . . . . . . . . . . . . . . . . . 88
3

10 Logarytm dyskretny 92
10.1 Poj¦cie logarytm dyskretny . . . . . . . . . . . . . . . . . . . 92
10.2 System DiegoHellmana
uzgadniania klucza . . . . . . . . . . . . . . . . . . . . . . . . 93
10.3 System kryptograczny Masseya-Omury . . . . . . . . . . . . 95
10.4 System ElGamala . . . . . . . . . . . . . . . . . . . . . . . . . 96
11 Protokoªy o zerowej wiedzy i przekazy nierozró»nialne 97
11.1 Kolorowanie mapy . . . . . . . . . . . . . . . . . . . . . . . . 97
11.2 Logarytm dyskretny . . . . . . . . . . . . . . . . . . . . . . . 99
11.3 Przekazy nierozró»nialne . . . . . . . . . . . . . . . . . . . . . 100
11.4 Dowód faktoryzacji . . . . . . . . . . . . . . . . . . . . . . . . 102
4

Rozdziaª 2
Klasyczne metody szyfrowania
Korzenie kryptograi si¦gaj¡ czasów staro»ytnego Rzymu. Tam wªa±nie powstaª
i byª u»ywany pierwszy system kryptograczny. Od tego systemu,
zwanego te» szyfrem Cezara lub cyklicznym zaczniemy nasz przegl¡d metod
klasycznych. Nast¦pnie rozwa»ymy budow¦ innych, bardziej skomplikowanych
systemów, które byªy u»ywane w historii lub te» byªy stworzone do
innych celów ni» ochrona tajemnic.
2.1 Szyfry cykliczne
Zostaªy wynalezione, a na pewno u»ywane przez Juliusza Cezara. Maj¡ one
bardzo ªatwy klucz, ale jednocze±nie s¡ ªatwe do zªamania.
Oznaczmy przez p jednostk¦ tekstu jawnego i zaªó»my »e tych jednostek
jest N. Wtedy funkcja szyfruj¡ca E k jest okre±lona wzorem
E k (p) = p + k(mod N).
Kluczem jest tu liczba k, a przestrze« kluczy pokrywa si¦ z alfabetem Z N .
Je±li k jest równe 3, to aby zaszyfrowa¢ sªowo TAK, przeksztaªcamy je w
ci¡g 19 0 12, nast¦pnie dodajemy do ka»dej z tych liczb 3 modulo 26 otrzymuj¡c
24 3 15 i z powrotem przeksztaªcamy liczby na litery by otrzyma¢
wdn. Przeksztaªcenie szyfruj¡ce okre±lone powy»ej nazywamy przesuni¦ciem.
Wygodnie jest tutaj napisa¢ alfabet, a pod nim liczby odpowiadaj¡ce poszczególnym
literom.
A B C D E F G H I J K L M N O P Q R S T U V W X Y Z
0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25
12

W celu odszyfrowania wiadomo±ci tgyfz kqyz, zaszyfrowanej kluczem 6,
zamieniamy j¡ najpierw w ci¡g liczb 19 6 24 5 25 10 16 24 25. Tym razem,
pd ka»dej z liczb odejmujemy 6 (modulo 26) i otrzymujemy 13 0 18 25 19
4 10 18 19. W nast¦pnym kroku patrzymy jakie litery s¡ na pozycjach z
ostatniego ci¡gu i otrzymujemy wiadomo±¢ jawn¡ NASZ TEKST.
Jest ogólnie przyj¦te, »e tekst zaszyfrowany podajemy w blokach pi¦cio
literowych. Uªatwia to przekazywanie tekstu i zmniejsza ryzyko pomyªki przy
wysyªaniu i deszyfrowaniu.
Zajmiemy si¦ teraz ªamaniem szyfrów cyklicznych. Je±li wiemy na pewno,
»e mamy do czynienia z szyfrem cyklicznym i znamy ilo±¢ liter w alfabecie,
czyli N, ªamanie polega na znalezieniu liczby k. Za k wystarczy podstawi¢
ka»d¡ z N mo»liwo±ci i sprawdza¢ po kolei sens otrzymanych w ten sposób
wiadomo±ci.
Na przykªad, przypu±¢my, »e chcemy zªama¢ szyfr xolfd vhcdp nrzd.
Wiemy przy tym, »e N = 26. Sprawdzamy po kolei wszystkie mo»liwe klucze.
Zauwa»amy przy tym, »e odejmowanie liczby k modulo 26 jest tym samym, co
dodawanie liczby 26−k modulo 26. Dodajemy wi¦c do liczb odpowiadaj¡cych
literom szyfru, tj. 23 14 11 5 3 21 7 2 3 15 13 17 25 3, kolejno k = 1, k =
2, . . . , k = 25. Cz¦sto, aby wyeliminowa¢ przypadek wystarczy wypróbowa¢
kilka pierwszych liter. Przy k = 1 mamy pocz¡tek YPM, co jest nieczytalne.
Podobnie dla k = 2. Tym razem mamy ZQ. Szcz¦±cie u±miecha si¦ do nas
dosy¢ pó¹no, bo dopiero dla k = 23. Otrzymujemy wówczas ci¡g 20 11 8
2 0 18 4 25 0 12 10 14 22 0, co daje fraz¦ ULICA SEZAMKOWA. Ten
sposób ªamania szyfrów nazywa si¦ metod¡ brutalnej siªy, lub wyczerpania
przestrzeni kluczy.
Juliusz Cezar u»ywaª klucza 3, ale i tak dowódcy legionów raczej domy-
±lali si¦ tre±ci przysªanych wiadomo±ci ni» je odszyfrowywali. Jego nast¦pca,
Oktawian August u»ywaª klucza 2, nast¦pnie 1, a potem w ogóle zrezygnowaª
z szyfrowania wiadomo±ci.
2.2 Monoalfabetyczny szyfr Beauforta
W zasadzie szyfr ten, wynaleziony przez G. Sestri w 1710 roku, jest cz¦-
±ci¡ bardziej skomplikowanej techniki szyfrowania. Tutaj przedstawimy tylko
podstawowy krok tej techniki, który mo»e istnie¢ jako samodzielny system
szyfruj¡cy.
Podobnie jak w przypadku szyfrów Cezara, przestrzeni¡ kluczy jest Z N ,
13

ale przeksztaªcenie szyfruj¡ce jest dane wzorem
E k (p) = −p + k(mod N).
Zauwa»my, »e przeksztaªcenie deszyfruj¡ce ma tak¡ sam¡ posta¢. Zatem szyfrowanie
i deszyfrowanie odbywa si¦ za pomoc¡ tego samego przeksztaªcenia.
Zauwa»my te», »e w przeciwie«stwie do kryptosystemu Cezara, gdzie E 0 byªo
identyczno±ci¡, w kryptosystemie Beauforta, E k nie jest identyczno±ci¡ dla
»adnego k.
Ze wzgl¦du na maª¡ liczb¦ kluczy, równie» i ten szyfr mo»na ªama¢ przez
wyczerpanie przestrzeni kluczy. Podamy jeszcze alfabet jawny i szyfrowy dla
klucza 3. Zauwa»my, »e kolejno±¢ liter w alfabecie szyfrowym jest odwrócona.
A B C D E F G H I J K L M N O P Q R S T U V W X Y Z
D C B A Z Y X W V U T S R Q P O N M L K J I H G F E
2.3 Kody aniczne jednowymiarowe
Je»eli zamiast jednej liczby jeste±my w stanie zapami¦ta¢ dwie, to mo»emy
stosowa¢ nieco bardziej skomplikowany kod aniczny, gdzie przeksztaªcenie
szyfruj¡ce ma posta¢ E(p) = ap + b (mod N). Naszym kluczem jest tu para
(a, b). ›eby rozszyfrowa¢ wiadomo±¢ u»ywamy innego klucza. Dokªadnie,
D(c) = a ′ c + b ′ ( mod N), gdzie a ′ jest liczb¡ odwrotn¡ do a modulo N, a
b ′ = −a ′ b w Z N . Musimy tu uwa»a¢, czy NWD(a, N) jest równy 1, gdy» w
przeciwnym wypadku nasz szyfr nie b¦dzie jednoznaczny. Kiedy a = 1, kod
aniczny staje si¦ kodem cyklicznym. Gdy b = 0, kod aniczny nazywamy
szyfrem liniowym. W przypadku alfabetu 26-literowego, przestrze« kluczy
ma 312 (= 12 · 26) elementów. Nie jest to du»a liczba z kyptoanalitycznego
punktu widzenia, ale rozwa»enie takiej liczby przypadków mo»e stworzy¢
pewne trudno±ci. Zademostrujemy metod¦, która ogranicza istotnie liczb¦
rozwa»anych przypadków.
2.1 Przykªad. Zªamiemy szyfr vqtmx ozdtg hgjqm aqhcx bgkgt ag. W
szyfrze tym najcz¦stsz¡ liter¡ jest g, a nast¦pn¡ jest q. Podejrzewamy, »e
g (pozycja 6) to zaszyfrowane a (pozycja 0), natomiast q (pozycja 16), to e
(pozycja 4). Mamy wi¦c
6a ′ +b ′ ≡0( mod 26)
16a ′ +b ′ ≡4( mod 26)
14

Odejmuj¡c obie kongruencje stronami otrzymujemy 10a ′ ≡ 4 (mod 26), a
st¡d natychmiast a ′ = 3. Chwil¦ potem mamy b ′ = 8 i mamy klucz deszyfruj¡cy.
Zastosowanie tego klucza daje nam tekst jawny Ten szyfr nadaje si¦
do zªamania.
2.4 Permutacje alfabetu
Znacznie trudniejsze od szyfrów cyklicznych oraz anicznych s¡ szyfry, w których
ka»da litera alfabetu jawnego jest zast¡piona liter¡ alfabetu szyfrowego
bez stosowania okre±lonego algorytmu arytmetycznego. Zatem przestrze«
kluczy jest równa zbiorowi wszystkich permutacji alfabetu. W celu uªatwienia
zapami¦tania przeksztaªcenia szyfruj¡cego stosujemy tu innego rodzaju
klucz. Jest to sªowo, którego litery zast¦puj¡ pocz¡tkowe litery alfabetu jawnego.
Dalsze litery dopisujemy tak jak wyst¦puj¡ one w alfabecie jawnym
przy czym pomijamy ju» wykorzystane znaki. Na przykªad stosuj¡c klucz
,,szyfrowanie dostajemy nast¦puj¡ce przeksztaªcenie szyfruj¡ce:
a b c d e f g h i j k l m n o p q r s t u v w x y z
S Z Y F R O W A N I E B C D G H J K L M P Q T U V X
Opisany powy»ej kryptosystem nazywamy permutacyjnym. Jego odmian¡
jest stosowany w pierwszych maszynach szyfruj¡cych kryptosystem transpozycyjny,
tj. taki, którego przestrze« kluczy jest równa zbiorowi wszystkich
permutacji, które mo»na zapisa¢ w postaci iloczynu rozª¡cznych transpozycji.
Przykªadem tu jest nast¦puj¡ce przeksztaªcenie szyfruj¡ce:
a b c d e f g h i j k l m n o p q r s t u v w x y z
Z C B F R D W K N J H M L I O P T E Y Q X V G U S A
Poniewa» szyfry tego rodzaju byªy zaprogramowane w maszynach jako
metody standardowe, nikt nie musiaª pami¦ta¢ klucza. Zalet¡ szyfrów transpozycyjnych
jest fakt, »e klucze szyfruj¡cy i rozszyfrowuj¡cy s¡ identyczne.
Zatem ta sama maszyna sªu»yªa zarówno do szyfrowania jak i do rozszyfrowywania
wiadomo±ci.
15

2.5 Analiza cz¦sto±ci wyst¦powania liter
Ta metoda ªamania szyfrów opiera si¦ na prawach rachunku prawdopodobie«stwa.
Wiadomo, »e pewne litery wyst¦puj¡ w tek±cie cz¦±ciej ni» inne.
Oto alfabet angielski poukªadany wedªug cz¦sto±ci wyst¦powania liter: E
12.5%, T, A, O, I, N 9.2-7%, S, R 6%, L, D 4%, C, U, M, F, P, G, W,
Y, B 3-1.5%, V, K, X, J, Q, Z 1-0.1%,
Je»eli wi¦c przechwycimy wiadomo±¢ na tyle dªug¡ (lub na tyle du»o
wiadomo±ci), aby wyeliminowa¢ przypadkowo±¢, mo»emy przypuszcza¢, »e
najcz¦±ciej powtarzaj¡ca si¦ litera to zakodowane E, T, A, O, I lub N. Je»eli
mamy do czynienia z kodem cyklicznym, nasze sprawdzanie mo»liwo±ci dla b
ogranicza si¦ do sze±ciu przypadków. Okazuje si¦, »e na podstawie badania
entropii j¦zyka, czyli ilo±ci informacji zawartej w jednym symbolu zaszyfrowanego
tekstu, mo»na zªama¢ ka»dy szyfr, który szyfruje tekst angielski maj¡cy
wi¦cej ni» 25 liter.
Oczywi±cie metoda ta nie dziaªa, je±li przechwytywane wiadomo±ci s¡
krótkie (maj¡ mniej ni» 25 liter) i klucz cz¦sto si¦ zmienia. Na przykªad,
je±li przechwycimy tylko xolfd vhcdpnrzd. jak w rozwa»anym wy»ej szyfrze
cyklicznym, to nie wida¢ tu, która litera pojawia si¦ najcz¦±ciej. Z drugiej
strony jednak, jak si¦ okazuje, klucze s¡ bardzo niech¦tnie zmieniane. Rz¡d
Stanów Zjednoczonych nie zdecydowaª si¦ na zmian¦ kluczy nawet po tym,
jak wszystkie zgin¦ªy w tajemniczej kradzie»y w Zagrzebiu na pocz¡tku drugiej
wojny ±wiatowej.
Kiedy ju» wiemy, które litery pojawiaj¡ si¦ najcz¦±ciej, zwracamy uwag¦
na powtarzaj¡ce si¦ pary. Na przykªad EA jest najcz¦±ciej pojawiaj¡cym
si¦ digramem samogªosek. Dosy¢ cz¦sty jest te» digram IO. Natomiast OI,
IA, AI, OA i AO s¡ ju» znacznie rzadsze. Digram AE nie pojawia si¦ prawie
nigdy. Ogólnie, dziesi¦¢ najcz¦stszych digramów w j¦zyku angielskim, to TH,
HE, AN, IN, ER, RE, ON, ES, TI oraz AT.
Dla przykªadu spróbujmy rozszyfrowa¢ nast¦puj¡cy tekst
wktqr ziqzd xlzwt lsoet rvozi qfqbo
lwktq rziqz olzgg fgxko liofu sqkut
fqatr kqveq kkgzl qktqe ethzq wstql
yggrg fsnzg ziglt vigso cto xzeit
ltqut ksnqv qozof utqlz tk
Aby uªatwi¢ nieco ªamanie, przypu±¢my »e wiemy ju», i» najcz¦±ciej pojawiaj¡c¡
si¦ w tek±cie jawnym liter¡ nie jest e.
16

Z analizy cz¦sto±ci wynika, »e najcz¦stszymi literami w zaszyfrowanym
tek±cie s¡ q, t, z, g, k, l, o, i i f. Tworzymy teraz tak zwan¡ tabel¦ kontaktów:
q t z g k l o i f
q 0 0 2 0 3 2 1 0 1
t 6 0 0 0 2 2 1 0 1
z 2 1 0 2 0 1 2 4 0
g 0 0 2 2 0 1 0 0 2
k 1 3 0 1 1 0 1 0 0
l 1 2 3 0 0 0 0 1 0
o 0 0 2 0 0 3 0 0 3
i 3 1 0 1 0 0 1 0 0
f 2 0 0 1 0 0 0 1 0
Podaje ona jak cz¦sto w zaszyfrowanym tek±cie wyst¦puj¡ digramy zªo»one
z najcz¦±ciej wyst¦puj¡cych liter. Na przykªad digram kq wyst¦puje 3 razy
(szukamy w tabeli miejsca, gdzie krzy»uje si¦ wiersz k z kolumn¡ q.
Wiemy, »e q nie jest zaszyfrowanym E. Zgadujemy zatem, »e to t odpowiada
E. Poniewa» mamy 6 par tq, a t ma by¢ E, wi¦c q odpowiada
zapewne A. Trzeci¡ liter¡ z kolei jest Z. Poniewa» T jest jeszcze ,,wolne,
przyporz¡dkujmy z → T. Poniewa» zi pojawia si¦ 4 razy, a iz w ogóle si¦
nie pojawia, przypuszczamy, »e i → H. Na koniec zauwa»amy jeszcze, »e gg
pojawia si¦ dwa razy. Dobrze jest wi¦c postawi¢, »e g to O. Podstawiamy
teraz odgadni¦te litery do naszego kryptogramu i odgadujemy reszt¦ liter na
zasadzie ,,co pasuje. Tekstem jawnym jest wi¦c: BREAD THAT MUST
BE SLICED WITH AN AX IS A BREAD THAT IS TOO NOURISHING
LARGE NAKED CARROTS ARE ACCEPTABLE AS FOOD ONLY TO
THOSE WHO LIVE IN HUTCHES EAGERLY AWAITING EASTER.
2.6 Homofony i nulle
kiedy przekonano si¦, »e analiza cz¦sto±ci wyst¦powania liter jest pot¦»n¡
broni¡, zacz¦to si¦ zastanawia¢, jak utrudni¢ t¦ analiz¦. Nasuwaj¡ si¦ tutaj
dwie dosy¢ oczywiste metody. Jedn¡ z nich jest ,,dokªadanie liter, a drug¡
zmniejszanie ilo±ci najcz¦±ciej powtarzaj¡cych si¦ znaków. Prowadzi to do
17

dwóch denicji. Nullem nazywamy jednostk¦ tekstu zaszyfrowanego, której
nie odpowiada »adna jednostka tekstu jawnego. Oczywi±cie, nasze przeksztaªcenie
szyfruj¡ce musi by¢ w dalszym ci¡gu wzajemnie jednoznaczne.
Zatem, w praktyce, do alfabetu jawnego dorzucamy ,,znak pusty, któremu
odpowiada pewien znak w alfabecie zaszyfrowanym. Na przykªad
A B C D E F G H I J K L M N O P Q R S T U V W X Y Z ∅ ∅ ′
s z y f r o w a n i e 3 c d g h j k 4 m p q t u v x b l
W powy»szym szyfrze, wyst¦puj¡ dwa nulle: b i l. Wtajemniczeni wiedz¡, »e
po otrzymaniu zaszyfrowanej wiadomo±ci, nale»y te dwa znaki zignorowa¢.
Na przykªad zaszyfrowane wiadomo±ci esmsbhp13m1s oraz e1sbmsh1pb3ms
oznaczaj¡ to samo, a mianowicie wiadomo±¢ KATAPULTA.
Druga denicja jest nast¦puj¡ca: homofonem nazywamy jednostk¦ tekstu
jawnego, której odpowiada wi¦cej ni» jedna jednostka tekstu zaszyfrowanego.
I tym razem mamy problemy z wieloznaczno±ci¡ funkcji szyfruj¡cej. Problem
ten pokonujemy powtarzaj¡c elementy w alfabecie jawnym. A oto przykªad
A B C D E F G H I J K L M N O P Q R S T U V W X Y Z A A T
s z y f r o w a n i e 3 c d g h j k 4 m p q t u v x b 5 l
Trzy homofony powy»szego alfabetu to A, A i T. Dzi¦ki nim wiadomo±¢ KA-
TAPULTA mo»emy zaszyfrowa¢ tak, »e »adna litera alfabetu zaszyfrowanego
nie powtarza si¦: esm5hp31b.
Przy ukªadaniu przeksztaªcenia szyfruj¡cego mo»emy stosowa¢ zarówno
nulle jak i homofony. Šamanie szyfru jest wtedy jeszcze bardziej utrudnione.
Oprócz tych dwóch utrudnie« stosowane s¡ te» i inne bardziej skomplikowane.
Niektóre z nich opiszemy poni»ej.
2.7 Jednostki dwuliterowe czyli digramy
Digramy jako alfabet po raz pierwszy zastosowaª niejaki Giovanni Battista
Porta w 1563 roku. Alfabet taki skªadaª si¦ z czterystu digramów i do ka»dego
z nich Porta z niebywaª¡ inwencj¡ dobraª pewien szczególny znak.
Ogólnie, stosuj¡c digramy jako jednostki tekstu jawnego, mamy alfabet
zªo»ony z N 2 liter. Jego symbole zast¦pujemy b¡d¹ pojedynczymi znakami,
18

Rysunek 2.1: Tablica Porty
jak to zrobiª Porta, b¡d¹ te» (innymi) digramami. Nasze przeksztaªcenie
szyfruj¡ce przedstawiamy w postaci tabeli, jak na przykªad w tabeli Porty.
Dokªadnie, je±li A jest alfabetem, to przeksztaªceniem bazowym jest bijekcja
E∗ k : A 2 → A 2 . W szczególno±ci liczba liter w tek±cie jawnym m musi
by¢ parzysta. Przestrzeni¡ kluczy jest tu oczywi±cie zbiór wszystkich permutacji
zbioru A 2 . Przeksztaªcenie szyfruj¡ce E k jest generowane przez E ∗ k w
naturalny sposób, tj. Je±li m = m 1 m 2 . . . m p , gdzie m i s¡ digramami, to
E k (m) = E ∗ k(m 2 )E ∗ k(m 2 ) . . . E ∗ k(m p ).
Powy»sze przeksztaªcenie nazywamy 2-dzielnym.
Aby zªama¢ kod digramowy mo»emy stosowa¢ analiz¦ cz¦sto±ci wyst¦powania
jednostek dwuliterowych. Aby metoda ta si¦ powiodªa, przechwycony
tekst musi by¢ bardzo dªugi. Je»eli dla tekstu o jednostkach jednoliterowych
potrzebowali±my N znaków, aby ªamanie si¦ powiodªo, to teraz potrzebujemy
okoªo N 2 znaków. Dla j¦zyka angielskiego jest to ju» ponad 525 liter.
19

Gªówn¡ przeszkod¡ przy stosowaniu szyfrów dwudzielnych jest brak efektywnego
algorytmu szyfruj¡cego i deszyfruj¡cego. Próby uproszczenia ogólnej
zasady doprowadziªy do powstania szyfrów opartych na kwadracie oraz
na macierzach. Szyfry oparte na kwadracie omówimy w nast¦pnych trzech
podrozdziaªach.
2.8 Szyfr Playfaira
Problem zapami¦tania du»ej ilo±ci znaków doprowadziª w 1854 roku niejakiego
Charlesa Wheatstone'a do wynalezienia prostej metody zast¦powania
jednego bloku liter drugim. Litery alfabetu umieszczone s¡ w kwadracie 5×5,
a blok liter tekstu jawnego tworzy w tym kwadracie przek¡tn¡ prostok¡ta.
Blok dwuliterowy odczytany z drugiej przek¡tnej jest odpowiadaj¡cym blokiem
kryptotekstu. Je±li litery znajduj¡ si¦ w tym samym wierszu lub w tej
samej kolumnie, szyfrowanie jest nieco trudniejsze. Ogólnie po krótkiej praktyce,
ªatwo jest posªugiwa¢ si¦ opisanym szyfrem. Szyfr ten nazwany szyfrem
Playfaira, byª stosowany przez Anglików, prawdopodobnie, od czasów Wojny
Krymskiej (1854), poprzez Wojny Burskie (1880 do 1902) a» do ko«ca pierwszej
wojny ±wiatowej. Wiadomo jednak, »e od poªowy 1915 roku, Niemcy nie
mieli problemów z jego zªamaniem.
Szyfr ten u»ywa digramów jako jednostek tekstu. Kluczem jest macierz
5 × 5 zawieraj¡ca 25 liter (bez j). Do jej uªo»enia u»yjemy sªowa kluczowego
,,szyfrowanie.
s z y f r
o w a n i
e b c d g
h k l m p
q t u v x
Digram xy = k ij k mn , gdzie x ≠ y oraz i, j, m, n ∈ {1, 2, 3, 4, 5} szyfrujemy
jako
⎧
⎪⎨ k in k mj je±li i ≠ m oraz j ≠ n;
k i,j+1 k i,n+1 je±li i = m oraz j ≠ n;
⎪⎩
k i+1,j k m+1,j je±li i ≠ m oraz j = n.
(Dodanie 1 do wska¹nika 5 daje tu wynik 1.) Je»eli x = y, digram rozdzielamy,
tzn. wtykamy pomi¦dzy x i y liter¦ q, która jest ró»na od x i od y.
20

Przeksztaªcenie deszyfruj¡ce w pierwszym przypadku, tj. gdy deszyfrowane
litery znajduj¡ si¦ w innych wierszach oraz kolumnach, pokrywa si¦
z szyfruj¡cym. W pozostaªych przypadkach pozycje liter digramu przesuwamy
w lewo lub w gór¦ stosuj¡c zasad¦ cykliczno±ci. Zauwa»my, »e w
zaszyfrowanym tek±cie nie mo»e si¦ tra¢ digram postaci xx.
Šamanie szyfru Playfaira i pozostaªych dwóch szyfrów opartych na kwadracie,
polega na analizie statystycznej powi¡za« liter kryptotekstu i na tej
podstawie odtworzeniu kwadratu.
2.9 Podwójny szyfr Playfaira
Aby unikn¡¢ niewygody zwi¡zanej z digramami zªo»onymi z takich samych liter,
w latach trzydziestych XX wieku, na potrzeby faszystowskiej organizacji
SD stworzono system oparty na dwóch kwadratach. Tym razem zrezygnowano
z litery y, która byªa zast¦powana przez i. Przeksztaªcenie szyfruj¡ce
tak»e zostaªo zmodykowane, tzn. zostaª dodany dodatkowy krok. Krok
podstawowy algorytmu szyfruj¡cego niewiele ró»niª si¦ od przeksztaªcenia
Playfaira. Dokªadnie, wykorzystano dwa kwadraty:
d o p e l
k a s t n
v r f h b
c g i j m
q u w x z
s i c h e
r t d n a
b f g j k
l m o p q
u v w x z
. (2.1)
Pierwszej litery digramu szukamy w pierwszym kwadracie, a drugiej w drugim.
W rezultacie mamy tylko dwa przypadki. Je±li l ij l mn jest digramem,
przy czym l ij jest w pierwszym kwadracie, a l mn w drugim, i, j, m, n ∈
{1, 2, 3, 4, 5}, to bijekcja zbioru digramów wyglada nast¦puj¡co.
{
E ∗ l mj l in je±li i ≠ m,
(l ij l mn ) =
l i,j+1 l m,n+1 je±li i = m
i znów, pierwsza litera jest w pierwszym kwadracie, a druga w drugim oraz
dodanie 1 rozumiemy jako przesuni¦cie cykliczne w kwadracie.
Jak ju» wspomnieli±my, algorytm szyfrowania skªadaª si¦ z dwóch kroków.
W pierwszym tekst jawny dzielony byª na póª lub na bloki 17-literowe w
przypadku, gdy wiadomo±¢ zawieraªa wi¦cej ni» 34 litery. Bloki te byªy
21

umieszczane jeden nad drugim, a digramy do szyfrowania zbierano pionowo.
Na przykªad, aby zaszyfrowa¢ tekst ZBIERAMY SIE W PIATEK dzielimy
go na poªowy i odpowiednio umieszczamy:
Z B I E R A M Y S
I E W P I A T E K
Digramy do przeksztaªcenia to ZI, BE, IW, EP, RI, AA, MT, YE, SK. Stosuj¡c
kwadraty z (2.1) otrzymujemy digramy lv, lk, wo, jh, of, sr, nm, pq oraz
fa, które po prostu ª¡czymy w tekst otrzymuj¡c szyfr: lvlkw ojhof srnmp qfa.
Przy deszyfrowaniu, post¦pujemy w odwrotnej kolejno±ci. Zauwa»amy, »e
przeksztaªcenie deszyfruj¡ce digramy jest takie samo jak szyfruj¡ce w pierwszym
przypadku, tj. kiedy litery znajduj¡ si¦ w wierszach o innych numerach.
2.10 szyfr Delastelle'a
Kwadrat zaproponowany przez felixa Delastelle'a w 1902 roku jest typowym
przykªadem szyfru transpozycyjnego (przeksztaªcenie szyfruj¡ce jest równe
deszyfruj¡cemu) i eliminuje wszelkie niedogodno±ci zwi¡zane ze stosowaniem
ró»nych przypadków. W kwadracie Delastelle'a nie ma litery w, któr¡ zast¦pujemy
przez v.
s z y f r
o a n i e
b c d g h
j k l m p
q t u v x
Bazowe przeksztaªcenie szyfruj¡ce polega na zamianie wspóªrz¦dnych: E ∗
(l ij l mn ) = l im l jn . Dla przykªadu zaszyfrujemy fraz¦ SZYFR FRANCUSKI.
Pod ka»d¡ liter¡ piszemy pionowo jej wspóªrz¦dne w kwadracie, i znajdujemy
litery o wspóªrz¦dnych zapisanych poziomo.
S Z Y F R F R A N C U S K I
1 1 s 1 1 s 1 1 s 1 2 z 2 3 n 5 1 q 4 2 k
1 2 z 3 4 g 5 4 v 5 2 t 3 2 c 3 1 b 2 4 i
Otrzymany kryptogram to szsgs vztnc qbki.
22

2.11 Jednostki wieloliterowe
Aby jeszcze bardziej utrudni¢ ªamanie tekstu mo»emy zastosowa¢ trigramy,
czyli jednostki trzyliterowe. Pojawia si¦ tu jednak problem odpowiedniego
zapisania przeksztaªcenia szyfruj¡cego tabelka musi by¢ trzywymiarowa.
Tym gorszy jest ten problem im dªu»sze s¡ jednostki tekstu. Specjalne sze-
±ciany szyfruj¡ce na wzór kwadratów Playfaira byªy proponowane przez Luigi
Gioppi di Tuerkheim w 1897 roku oraz przez Williama Friedmana w latach
dwudziestych XX wieku. Zdecydowanie ch¦tniej przyj¦to popularne podczas
I Wojny ‘wiatowej ksi¡»ki kodowe, gdzie szyfrowano od razu caªe wyrazy
a nawet zdania. Jednostkami tekstu jawnego s¡ tu cz¦sto powtarzaj¡ce si¦
sekwencje liter. W dalszej perspektywie oznacza to tworzenie swego rodzaju
,,sªowników zwanych ksi¡»kami kodowymi. I tu pojawia si¦ kolejny problem.
Nikt nie jest w stanie pami¦ta¢ caªej tre±ci takiej ksi¡»ki. Zatem musi ona
zawsze by¢ pod r¦k¡ zarówno koduj¡cego jak i dekoduj¡cego. Stwarza to
du»e pole manewru dla szpiegów i nie tylko. W sierpniu 1914 roku niemiecki
kr¡»ownik Magdeburg próbowaª uciec od rosyjskiego pancernika i sztuka ta
mu si¦ nie udaªa. Co gorsza, statek zamiast zaton¡¢, osiadª na mieli¹nie i
w zwi¡zku z tym wszystkie ksi¡»ki kodowe niemieckiej marynarki zamiast
zaton¡¢, traªy w r¦ce Rosjan, którzy po przestudiowaniu ich ,,podali dalej.
W rezultacie ksi¡»ki dostaªy si¦ w r¦ce niejakiego Winstona Churchilla, który
wiedziaª jak je wykorzysta¢.
2.12 Szyfry polialfabetyczne
Blaise de Vigenére w wydanej w 1586 roku ksi¡»ce Traicté des Chifres opisaª
kilka ró»nych metod szyfrowania. Ostatecznie jego nazwiskiem nazwano
szyfr, który opisany byª wcze±niej przez biskupa J.H. von Trittenheim'a. Idea
szyfrów tego typu polega na u»yciu kilku metod szyfruj¡cych nast¦puj¡cych
po sobie. Na przykªad, rozwa»my ci¡g kluczy k 0 , k 1 , . . . , k r−1 do szyfrów
Cezara. Przeksztaªcenie szyfruj¡ce deniujemy w nast¦puj¡cy sposób.
E k0 k 1 ...k r−1
(m 0 m 1 . . . m n ) = (m 0 + k 0 )(m 1 + k 1 ) . . . (m n + k n mod r ),
przy czy dodawanie wykonujemy modulo liczba liter w alfabecie.
Stosuj¡c uto»samienie liter alfabetu z liczbami modulo 26 mo»emy uto»-
sami¢ ci¡g kluczy i sªowo. Na przykªad zaszyfrujmy FUNKCJA POLIALFA-
BETYCZNA stosuj¡c klucz anulka. W tym celu uªó»my tabel¦ przesuni¦¢:
23

A B C D E F G H I J K L M N O P Q R S T U V W X Y Z
a b c d e f g h i j k l m n o p q r s t u v w x y z
n o p q r s t u v w x y z a b c d e f g h i j k l m
u v w x y z a b c d e f g h i j k l m n o p q r s t
l m n o p q r s t u v w x y z a b c d e f g h i j k
k l m n o p q r s t u v w x y z a b c d e f g h i j
a b c d e f g h i j k l m n o p q r s t u v w x y z
Pierwszy wiersz powy»szej tabeli to alfabet, a ka»dy nast¦pny wiersz, to
alfabet pisany pocz¡wszy od odpowiedniej litery sªowaklucza.
Nast¦pnie nasz tekst dzielimy na bloki dªugo±ci sªowa ,,anulka i szyfrujemy
pierwsz¡ liter¦ ka»dego bloku wedªug pierwszego szyfru, drug¡ wedªug
drugiego itd.
F U N K C J
a n u l k a
f h h v m j
A P O L I A
a n u l k a
a c i w s a
L F A B E T
a n u l k a
l s u m o t
Y C Z N A
a n u l k
y p t y k
Otrzymali±my zatem kryptogram fhhvm jaciw salsu motyp tyk. Deszyfrowanie
odbywa si¦ na podobnej zasadzie, tj.
D k0 k 1 ...k r−1
(m 0 m 1 . . . m n ) = (m 0 − k 0 )(m 1 − k 1 ) . . . (m n − k n mod r ),
gdzie odejmowanie jest wykonywane modulo liczba liter w alfabecie. Aby
uªatwi¢ szyfrowanie i odszyfrowywanie, J.H. von Trittenheim zaproponowaª
poni»sz¡ tabel¦ przesuni¦¢ alfabetu. Nazywa si¦ ona tablic¡ Tryteniusza lub
tabula recta.
24

a b c d e f g h i j k l m n o p q r s t u v w x y z
b c d e f g h i j k l m n o p q r s t u v w x y z a
c d e f g h i j k l m n o p q r s t u v w x y z a b
d e f g h i j k l m n o p q r s t u v w x y z a b c
e f g h i j k l m n o p q r s t u v w x y z a b c d
f g h i j k l m n o p q r s t u v w x y z a b c d e
g h i j k l m n o p q r s t u v w x y z a b c d e f
h i j k l m n o p q r s t u v w x y z a b c d e f g
i j k l m n o p q r s t u v w x y z a b c d e f g h
j k l m n o p q r s t u v w x y z a b c d e f g h i
k l m n o p q r s t u v w x y z a b c d e f g h i j
l m n o p q r s t u v w x y z a b c d e f g h i j k
m n o p q r s t u v w x y z a b c d e f g h i j k l
n o p q r s t u v w x y z a b c d e f g h i j k l m
o p q r s t u v w x y z a b c d e f g h i j k l m n
p q r s t u v w x y z a b c d e f g h i j k l m n o
q r s t u v w x y z a b c d e f g h i j k l m n o p
r s t u v w x y z a b c d e f g h i j k l m n o p q
s t u v w x y z a b c d e f g h i j k l m n o p q r
u v w x y z a b c d e f g h i j k l m n o p q r s t
v w x y z a b c d e f g h i j k l m n o p q r s t u
w x y z a b c d e f g h i j k l m n o p q r s t u v
x y z a b c d e f g h i j k l m n o p q r s t u v w
y z a b c d e f g h i j k l m n o p q r s t u v w x
z a b c d e f g h i j k l m n o p q r s t u v w x y
Šamanie szyfrów Vigenére'a polega na dopasowaniu odpowiedniego alfabetu
do pozycji danej litery. Gªównym problemem jest tutaj jednak znalezienie
okresu r. I to jest zapewne gªówna przyczyna, dla której szyfr Viginére'a
byª ,,nieªamalny przez prawie trzysta lat! Dopiero w 1863 roku, ocer armii
pruskiej, F. W. Kasiski wynalazª metod¦ wypadkowej przypadkowo±ci 1 ,
której nie opiszemy z uwagi na zbyt skomplikowany aparat statystyczny.
Wykorzystuj¡c ci¡g kluczy k 0 k 1 · · · k r−1 do monoalfabetycznych szyfrów
Beauforta tworzymy szyfr Beauforta, w którym przeksztaªcenia szyfruj¡ce i
deszyfruj¡ce pokrywaj¡ si¦.
E k0 k 1 ...k r−1
(m 0 m 1 . . . m n ) = (−m 0 + k 0 )(−m 1 + k 1 ) . . . (−m n + k n mod r ),
1 ang. the incidence of coincidences
25

Dodawanie i odejmowanie, odbywa si¦ na zasadach arytmetyki modularnej z
moduªem, którym jest liczba liter w alfabecie.
Stosuj¡c uto»samienie liter alfabetu z liczbami modulo 26 mo»emy uto»sami¢
ci¡g kluczy i pewien wyraz hasªo. Dla przykªadu zaszyfrujmy FUNK-
CJA POLIALFABETYCZNA stosuj¡c klucz anulka. W tym celu uªó»my
tabel¦ alfabetów szyfruj¡cych:
A B C D E F G H I J K L M N O P Q R S T U V W X Y Z
a z y x w v u t s r q p o n m l k j i h g f e d c b
n m l k j i h g f e d c b a z y x w v u t s r q p o
u t s r q p o n m l k j i h g f e d c b a z y x w v
l k j i h g f e d c b a z y x w v u t s r q p o n m
k j i h g f e d c b a z y x w v u t s r q p o n m l
a z y x w v u t s r q p o n m l k j i h g f e d c b
Nast¦pnie nasz tekst dzielimy na bloki dªugo±ci sªowa anulka i szyfrujemy
pierwsz¡ liter¦ ka»dego bloku wedªug pierwszego szyfru, drug¡ wedªug
drugiego itd.
F U N K C J
a n u l k a
v t h b i r
A P O L I A
a n u l k a
a y g a c a
L F A B E T
a n u l k a
p i u k g h
Y C Z N A
a n u l k
c l v y k
Otrzymali±my zatem kryptogram vthbi rayga capiu kghcl vyk. Podobnie jak
dla szyfru Vigenére'a i w tym przypadku mo»emy utworzy¢ odpowiedni¡
tabel¦ przesuni¦¢ alfabetu.
Uogólnieniem dwóch powy»szych systemów jest wariant aniczny szyfru
Vigenére'a. Do konstrukcji przeksztaªcenia szyfruj¡cego u»ywamy tu ci¡gu
kluczy (n 0 , k 0 ), (n 1 , k 1 ) . . . , (n r−1 , k r−1 ) do szyfrów anicznych. Sama konstrukcja
odbywa si¦ na podobnej zasadzie jak w poprzednich przypadkach:
E(m 0 m 1 . . . m p ) = (n 0 m 0 + k 0 )(n 1 m 1 + k 1 ) . . . (n p mod r m p + k p mod r ).
Wedªug F. Bauera, oryginalny szyfr Vigenére'a skªadaª si¦ z serii przesuni¦tych
alfabetów ustawionych bez okre±lonych reguª arytmetycznych:
26

A B C D E F G H I J K L M N O P Q R S T U V W X Y Z
s z y f r o w a n i e b c d g h j k l m p q t u v x
z y f r o w a n i e b c d g h j k l m p q t u v x s
y f r o w a n i e b c d g h j k l m p q t u v x s z
f r o w a n i e b c d g h j k l m p q t u v x s z y
r o w a n i e b c d g h j k l m p q t u v x s z y f
o w a n i e b c d g h j k l m p q t u v x s z y f r
Generalnie, je±li mamy ci¡g E 0 , E 1 , . . . , E r−1 bijekcji alfabetu, to generowany
przez ten ci¡g szyfr polialfabetyczny jest dany przez przeksztaªcenie
E(m 0 m 1 . . . m p ) = E 0 (m 0 )E 1 (m 1 ) . . . E p mod r (m p ),
gdzie m = m 0 m 1 . . . m p jest wiadomo±ci¡ jawn¡. Dla przykªadu, szyfr frazy
szyfr oryginalny w powy»szym systemie, to lssnq muogk ubusc.
W latach czterdziestych XX wieku C.E. Shannon stworzyª teori¦ entropii,
która zajmuje si¦ badaniem informacji zawartej w tek±cie. Mi¦dzy innymi
zdeniowaª on zasad¦ bezwarunkowego bezpiecze«stwa, czyli szyfru niemo»-
liwego do zªamania. Szyfr polialfabetyczny jest takim, je±li speªnione s¡
nast¦puj¡ce warunki
• Klucz u»yty do szyfrowania wiadomo±ci jest dªu»szy lub równy szyfrowanej
wiadomo±ci.
• Klucz musi by¢ wygenerowany w sposób caªkowicie losowy (nie mo»e
istnie¢ sposób na odtworzenie klucza na podstawie znajomo±ci dziaªania
generatorów liczb pseudolosowych).
• Klucz nie mo»e by¢ u»yty do zaszyfrowania wi¦cej ni» jednej wiadomo-
±ci.
Opublikowany w 1917 roku szyfr G.S. Vernama speªnia te warunki. Kryptosystem
ten jest u»ywany do dzi± w poª¡czeniu gor¡cej linii mi¦dzy Waszyngtonem
a Moskw¡. Idea tego szyfru polega na tym, »e klucz jest generowany
pseudoprzypadkowo i ten sam generator strumienia pseudoprzypadkowego
zamontowany jest na obu ko«cach linii przesyªowej. Klucz szyfruj¡cy i deszyfruj¡cy
jest ten sam. Wiadomo±¢ jest najpierw kodowana na strumie« zer
i jedynek a nast¦pnie dodawany jest do niej modulo dwa pseudoprzypadkowy
strumie« klucza. Dekodowanie odbywa si¦ w oparciu o t¦ sam¡ zasad¦.
27

Zdecydowanie nie jest bezwarunkowo bezpieczny system autoklucz, gdzie
sama szyfrowana wiadomo±¢ jest kluczem (drugi warunek nie jest speªniony).
System autoklucza polega na zastosowaniu pewnego systemu, gdzie litery
alfabetu mo»na uto»sami¢ z kluczem. W ten sposób pami¦tamy jeden klucz
(starter), wedªug którego szyfrujemy pierwsz¡ liter¦ tekstu. Druga litera jest
szyfrowana wg klucza, którym jest pierwsza litera itd. Dla szyfru Cezara,
gdzie starterem jest k, mamy
E(m 0 m 1 m 2 . . . m p ) = (m 0 + k)(m 1 + m 0 )(m 2 + m 1 ) . . . (m p + m p−1 ).
2.13 Ša«cuch szyfrów i DES
Do±¢ istotn¡ wad¡ schematu opisanego w poprzednim paragrae, jest fakt, »e
ten sam tekst szyfruje si¦ tak samo, je±li u»yty jest ten sam klucz. Chodzi o
to, »e potencjalny intruz wcale nie musi zna¢ tekstu jawnego, by wymusi¢ na
odbiorcy szyfru okre±lone dziaªanie wystarczy, »e prze±le mu przechwycony
wcze±niej (zaszyfrowany) tekst. Poniewa» intruz wie jaka reakcja byªa wcze-
±niej, podejrzewa, »e taka sama b¦dzie i tym razem. Jednym ze sposobów
omini¦cia tej niedogodno±ci jest zastosowanie Ša«cuch szyfrów 1 . Pomysª jest
nast¦puj¡cy:
Dzielimy tekst jawny (zakodowany w strumie« bitów) na bloki M i po n
bitów. Potrzebny jest inicjuj¡cy wektor zero-jedynkowy C 0 o n bitach oraz
klucz K tej samej dªugo±ci. Pierwszy blok tekstu jawnego szyfrujemy jako
C 1 = M 1 ⊕ C 0 ⊕ K, drugi jako C 2 = M 2 ⊕ C 1 ⊕ K, i tak dalej. Ogólnie,
C j = M j ⊕ C j−1 ⊕ K. W celu rozszyfrowania, dzielimy tekst zaszyfrowany
na n-bitowe kawaªki C i i otrzymujemy kolejno M 1 = C 1 ⊕ C 0 ⊕ K, nast¦pnie,
M 2 = C 2 ⊕ C 1 ⊕ K itd. Je±li który± z C i jest bª¦dny, to otrzymujemy bª¡d
w co najwy»ej dwóch kawaªkach tekstu jawnego, mianowicie M i oraz M i+1 .
Wektor C 0 musi by¢ przesªany innym kanaªem ni» wiadomo±¢ jawna i klucz.
Przy odpowiednio du»ym n istnieje bardzo maªa szansa, »e wiadomo±¢, klucz
i wektor inicjuj¡cy powtórz¡ si¦.
Ša«cuch szyfrów jest wykorzystany w systemie DES 1 , który byª u»ywany
od 1977 roku do ko«ca lat osiemdzisi¡tych. W 1974 roku, National Bureau of
Standards zobowiazaªo rmy ameryka«skie do napisania programu szyfruj¡-
cego, który b¦dzie standardem w kodowaniu wiadomo±ci rz¡dowych. Miaª on
1 ang. cipherblock chaining
1 Data Encryption Standard
28

zastapi¢ niewygodne w u»yciu ksi¡»ki kodowe. Odpowiedzi¡ rmy IBM byª
system LUCIFER, który po uproszczeniu i modykacji staª si¦ standardem.
Program szyfruj¡cy zostaª rozpowszechniony w postaci ko±ci, któr¡ ka»dy
zainteresowany mógª wmontowa¢ w swój komputer. Rozszyfrowywanie polegaªo
na u»yciu tej samej ko±ci.
Opiszemy teraz zasad¦ dziaªania algorytmu DES. Wej±ciowe 64 bity s¡
najpierw pomieszane przez pocz¡tkow¡ permutacj¦ IP. Pierwsze 32 bity
tworz¡ wektor L 0 , a nast¦pne 32 tworz¡ R 0 . Po szesnastu rundach manipulacji,
wektory lewy i prawy ª¡cz¡ si¦ w caªo±¢ i przechodz¡ przez permutacj¦
IP −1 generuj¡c ostateczn¡ wersj¦ szyfru.
Podczas 16 rund szyfrowania tworz¡ si¦ kolejno wektory L 1 , L 2 , . . . , L 16
oraz R 1 , R 2 , . . . , R 16 . Dla 1 ≤ i ≤ 16, mamy
L i = R i−1 , R i = L i−1 ⊕ f(R i−1 , K i ),
gdzie f(R i−1 , K i ) jest wektorem dwójkowym o 32 wspóªrz¦dnych, a wektory
K i s¡ 48-bitowymi wektorami generowanymi przez klucz K wedªug procedury,
któr¡ opiszemy pó¹niej.
Dekodowanie odbywa si¦ w odwrotn¡ stron¦, tj. najpierw zaszyfrowany
tekst jest poddawany permutacji IP −1 , tworz¡ si¦ L 16 i R 16 , a nast¦pnie
obliczane s¡ kolejno
R 15 = L 16 , L 15 = R 16 ⊕ f(R 15 , K 16 ) . . . , R 0 = L 1 , L 0 = R 1 ⊕ f(R 0 , K 1 ).
Poª¡czony wektor L 0 R 0 jest poddany permutacji IP i powstaje ci¡g 64 bitów
wiadomo±ci jawnej.
Warto±ci¡ funkcji f jest 32-bitowy ci¡g. Procedura jego powstawania wygl¡da
nast¦puj¡co. Jak ju» wspominali±my, K i ma 48 bitów, a R i−1 - 32 bity.
Aby te wektory doda¢, musimy rozszerzy¢ R i−1 do 48 bitów. Rozszerzenie
R i−1 odbywa si¦ wedªug Tabeli selekcji bitów. Powstaªy 48-bitowy strumie«
jest podzielony na 8 wektorow 6-bitowych, które s¡ przepuszczone przez S-
boksy (Tabela S-boksów). Aby przybli»y¢ metod¦ dziaªania S-boksów, rozwa»my
wektor sze±ciobitowy a 1 a 2 a 3 a 4 a 5 a 6 , na przykªad 010011, który traa
na S 4 . Bity a 1 a 6 to numer wiersza (i), a a 2 a 3 a 4 a 5 to numer kolumny (j) zapisane
w ukªadzie dwójkowym. Strumie« wyj±ciowy (w ukªadzie dziesi¦tnym)
jest na pozycji (i, j) S-boksa. W naszym przypadku, 01 2 = 1 oraz 1001 2 = 9
i w S 4 znajduje si¦ na pozycji (1, 9) liczba 7 = 0111 2 . Zatem strumieniem
wyj±ciowym jest 0111.
29

32 1 2 3 4 5
4 5 6 7 8 9
8 9 10 11 12 13
12 13 14 15 16 17
16 17 18 19 20 21
20 21 22 23 24 25
24 25 26 27 28 29
28 29 30 31 32 1
Rysunek 2.2: Tabela selekcji bitów
Po wyj±ciu z S-boksów, strumienie 4-bitowe ª¡cz¡ si¦ tworz¡c 32-bitowy
wektor, który dodatkowo przechodzi przez permutacj¦ P.
Klucz K ma 64 bity podzielone na 8-bitowe cz¦±ci, z których ka»da ma
7 efektywnych bitów, a ósmy bit sprawdza parzysto±¢. Dokªadnie, jest on
ustalony tak, by w caªej ósemce liczba jedynek byªa parzysta. W przypadku,
gdyby wyst¡piª bª¡d w transmisji klucza, zostaje on wykryty z dokªadnym
wskazaniem ósemki, w której wyst¡piª. Z 64 bitów klucza, po sprawdzeniu
poprawno±ci, 8 bitów sprawdzaj¡cych jest odrzuconych, a pozostaªe 56 bitów
przechodzi przez permutacj¦ pocz¡tkow¡ P C1. Spermutowany strumie« 56
bitów jest podzielony na póª. Pierwsze 28 bitów tworzy wektor C 0 , a nast¦pne
D 0 . Wektory C 1 i D 1 powstaj¡ przez (cykliczne) przesuni¦cie zawarto±ci
C 0 , odpowiednio, D 0 o LS 1 = 1 pozycji w lewo. Ogólnie, C i oraz D i powstaj¡
przez przesuni¦cie zawarto±ci, odpowiednio, C i−1 , D i−1 o LS i pozycji w lewo.
Wektory C i oraz D i s¡ nast¦pnie ª¡czone i po przej±ciu selekcji P C 2 tworz¡
48-bitowy strumie« K i .
Gªówne zarzuty wobec DES, to, po pierwsze, zbyt krótki klucz, co powoduje,
»e mo»e on by¢ znaleziony w miar¦ szybko metod¡ sprawdzenia wszystkich
2 56 mo»liwo±ci. Po drugie, nie wiadomo, jakie kryteria kierowaªy konstruktorami
S-boksów. Testy statystyczne pokazuj¡, »e liczby w S-boksach
nie s¡ przypadkowe. Niewykluczone, »e kryje si¦ tu pewna furtka pozwalaj¡ca
ªatwo rozszyfrowa¢ zakodowan¡ wiadomo±¢.
Mimo swoich wad DES byª do±¢ dªugo u»ywany, a» w ko«cu ust¡piª on
miejsca kryptosystemom o kluczu publicznym. Rozpowszechnienie szybkich,
ªatwo programowalnych komputerów doprowadziªo do sytuacji, w której ko±¢
szyfruj¡ca okazaªa si¦ zb¦dna: Po co montowa¢ do komputera dodatkowe
urz¡dzenie, je±li mo»na napoisa¢ program, który powoduje takie samo dzia-
ªanie, a jeszcze dodatkowo mo»na go w ka»dej chwili ulepszy¢.
30

kolumna
0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15
wiersz
0 14 4 13 1 2 15 11 8 3 10 6 12 5 9 0 7
1 0 15 7 4 14 2 13 1 10 6 12 11 9 5 3 8
S 1 2 4 1 14 8 13 6 2 11 15 12 9 7 3 10 5 0
3 15 12 8 2 4 9 1 7 5 11 3 14 10 0 6 13
0 15 1 8 14 6 11 3 4 9 7 2 13 12 0 5 10
1 3 13 4 7 1 2 8 14 12 0 1 10 6 9 11 5
S 2 2 0 14 7 11 10 4 13 1 5 8 12 6 9 3 2 15
3 13 8 10 1 3 15 4 2 11 6 7 12 0 5 14 9
0 10 0 9 14 6 3 15 5 1 13 12 7 11 4 2 8
1 13 7 0 9 3 4 6 10 2 8 5 14 12 11 15 1
S 3 2 13 6 4 9 8 15 3 0 11 1 2 12 5 10 14 7
3 1 10 13 0 6 9 8 7 4 15 14 3 11 5 2 12
0 7 13 14 3 0 6 9 10 1 2 8 5 11 12 4 15
1 13 8 11 5 6 15 0 3 4 7 2 12 1 10 14 9
S 4 2 10 6 9 0 12 11 7 13 15 1 3 14 5 2 8 4
3 3 15 0 6 10 1 13 8 9 4 5 11 12 7 2 14
0 2 12 4 1 7 10 11 6 8 5 3 15 13 0 14 9
1 14 11 2 12 4 7 13 1 5 0 15 10 3 9 8 6
S 5 2 4 2 1 11 10 13 7 8 15 9 12 5 6 3 0 14
3 11 8 12 7 1 14 2 13 6 15 0 9 10 4 5 3
0 12 1 10 15 9 2 6 8 0 13 3 4 14 7 5 11
1 10 15 4 2 7 12 9 5 6 1 13 14 0 11 3 8
S 6 2 9 14 15 5 2 8 12 3 7 0 4 10 1 13 11 6
3 4 3 2 12 9 5 15 10 11 14 1 7 6 0 8 13
0 4 11 2 14 15 0 8 13 3 12 9 7 5 10 6 1
1 13 0 11 7 4 9 1 10 14 3 5 12 2 15 8 6
S 7 2 1 4 11 13 12 3 7 14 10 15 6 8 0 5 9 2
3 6 11 13 8 1 4 10 7 9 5 0 15 14 2 3 12
0 13 2 8 4 6 15 11 1 10 9 3 14 5 0 12 7
1 1 15 13 8 10 3 7 4 12 5 6 11 0 14 9 2
S 8 2 7 11 4 1 9 12 14 2 0 6 10 13 15 3 5 8
3 2 1 14 7 4 10 8 13 15 12 9 0 3 5 6 11
Rysunek 2.3: Tabela S-boksów
31