Цикл работы состоит из T тактов, за каждый такт состояние левого регистра сдвигается на одну ячейку влево и в крайнюю правую ячейку добавляется функция обратной связи, зависящая от состояния и очередного байта ключа;
Подстановка π – известна;
Известны несколько начальных и соответствующих им конечных состояний левого регистра.
При таких предположениях ставится задача: определить неизвестный ключ, т.е. входное слово x>1,x>2,…,x>T.
Обозначим состояния левого регистра.
– y>1,y>2,…,y>8 начальное состояние;
– y>9,y>10,…,y>T промежуточное состояние;
– y>T+1,y>T+2,…,y>T+8 конечное состояние.
При T ≤ 8 промежуточное состояние отсутствует.
Для шифратора «Ангстрем – 3» при любом i ϵ {1,2,…,T} будет справедливо следующее соотношение:
y>8+i = π(y>i + y>1>+i + y>7>+i + x>i) =>
π>-1(y>8+i) = y>i + y>1+i + y>7+i + x>i =>
π>-1(y>8+i) = ππ>-1(y>i) + ππ>-1(y>1+i) + ππ>-1(y>7+i)+ x>i.
Заменив в этих соотношениях π>-1(y>i) на z>i при всех i от 1 до T+8, получаем систему уравнений, в которую ключевые параметры x>i входят линейно. Для криптографа это – катастрофа, как конкретно взламывается «Ангстрем -3» при T = 16 можно прочитать в КиС.
Если подстановку π переставить и использовать до, а не после операции сложения с функцией обратной связи, то такого линейного вхождения знаков ключа уже не будет.
Изучению шифраторов типа «Ангстрем – 3» в начале 80-х годов в 5 отделе СУ 8 ГУ КГБ СССР была посвящена НИР «Мотив». Закончилась она созданием заявки на изобретение.
Рис.4. Авторское свидетельство на шифратор «Ангстрем – 3».
17 мгновений весны
Сцена из культового советского сериала «17 мгновений весны».
«Мюллер только что получил сообщение из центра дешифровки о событиях на конспиративной явке гестапо в Берне. Сравнивая эти два шифра, он сейчас сделал неожиданное, но чрезвычайно существенное открытие. От предчувствия удачи у него даже заболела голова. Шифр русской радистки совпадал с шифром связника из Берна.»
Смех душит меня от этой умилительной сцены. Генерал Мюллер не спит, а занимается тем, что должен был для него сделать молоденький лейтенант – первичным криптоанализом шифртекста.
А теперь взглянем на «шифр русской радистки» и сравним его с «шифром связника из Берна».
Точнее – посмотрим на все то, что в сериале выдается за шифры.
Рис. 5. Шифровка 1. Подлинник шифровки русской радистки.
Рис. 6. Шифровка 2.
Рис. 7. Шифровка 3.
Я не знаю, смотрел ли до меня кто-нибудь внимательно на эти «шифровки».
Не две, а три, все разные.
Все почему-то содержат ровно 15 групп из 5 цифр.
Все начинаются с одной и той же группы 51123, что заметил Мюллер.
В шифровках 2 и 3 первые группы второй строки очень похожи: 62345 и 63452. Этого Мюллер не заметил, а если бы первичный криптоанализ проводил не генерал, а молодой лейтенант, то уж он-то это сходство подметил бы.
И так далее.
Вывод можно сделать только один. В тех шифрсообщениях, которые в сериале «17 мгновений весны» преподносятся зрителю как шифровки, составленные русским агентом Штирлицем, нарушено самое фундаментальное правило криптографии: шифрсообщения не должны отличаться от набора случайных и равновероятных значений.
Если это правило нарушено, то шифровки такого агента могут выделяться при проведении первичного криптоанализа, что грозит агенту провалом.
Неужели Штирлиц, проработавший в разведке много лет, не понимал, что если все его шифровки начинаются с 51123, то это для него смертельно опасно? Просил ли он Центр сменить такой никудышный шифр?
Можно придумать множество способов шифрования, точнее даже не шифрования, а кодирования секретных сообщений. При кодировании, наряду с сокрытием содержимого сообщения, можно сокращать его длину, ставя в соответствие каким-то длинным и часто используемым фразам короткие кодовые значения. Но после кодирования необходимо перешифровать закодированный текст с помощью случайной и равновероятной гаммы наложения.