T-310/50

Т-310/50 — шифровальная машина, разработанная в ГДР в 1973 году, использовалась в период с 1982 по 1990 год. Компанией VEB Steremat Berlin «Hermann Schlimme»^[нем.] было произведено около 3700 экземпляров. Т-310/50 использовались Министерством Государственной безопасности, Министерством внутренних дел ГДР, Народной полицией, Советом министров ГДР, Министерством национальной обороны, Союзом свободной немецкой молодёжи, Объединением свободных немецких профсоюзов, на комбинатах и заводах ГДР и Центральным комитетом.

В середине августа 1990 года все машины были переданы в Центральный офис по безопасности в информационных технологиях (сегодня Федеральное ведомство по безопасности в области информационных технологий) с требованием установить и использовать шифровальные соединения Министерства национальной обороны (MfNV) и Министерства внутренних дел(MfIA) ГДР в Федеральном Министерстве обороны и Министерстве Внутренних дел ФРГ.

Устройство править

T-310/50 состоит из основного блока и панели управления

T-310/50 — это электронная шифровальная машина, состоящая из двух главных частей: основного блока и панели управления. Это четко отличает данный тип машин от многих других устройств шифрования, широко известных общественности, которые в основном следуют механическим (M-209) или электромеханическим (роторным ключам) принципам. Все функции реализованы в аппаратных средствах с помощью логических ворот и триггеров. Преобразователь кода, который заменяет управляющие символы телеграфного алфавита, такие как возврат каретки или перевод строки двумя буквами после шифрования и отменяет эти замены перед расшифровкой, был реализован в программном обеспечении с использованием микрокомпьютерной системы K-1520^[нем.] и микропроцессора U880 (Z80)^[англ.]. Конвертер кода можно включить или выключить вручную. Выходные данные, генерируемые кодером, могут передаваться не только по радиотелефонной или телефонной линии, но также по телеграфной линии. T-310/50 работает в прямом, частично прямом и предварительном шифровании с рабочей скоростью 50 или 100 Бод^[1]

Алгоритм шифрования править

Гольтритная перфокарта с перфорированным ключом времени

Алгоритмы шифрования всегда получали кодовое имя в ГДР^{[источник не указан 1979 дней]}. Алгоритм T-310/50 был назван ARGON. ARGON имеет симметричное потоковое шифрование с 240-битным ключом (клавиша времени) и 61-битным вектором инициализации (клавиша разговора). Ключ времени считывается через перфокарту и изменяется еженедельно. Клавиша разговора генерируется для каждого сообщения, которое должно быть зашифровано самой машиной с помощью генератора случайных чисел. Клавиша разговора передается в виде обычного текста и гарантирует, что каждое сообщение зашифровывается индивидуально, несмотря на использование одного и того же ключа времени^{[источник не указан 1979 дней]}.

В основе алгоритма ARGON лежит использование защищенного псевдослучайного генератора, который обеспечивает в общей сложности 13 бит для шифрования или дешифрования каждого 5-битного символа. Первые пять из них связаны с открытым текстом побитового XOR. Результат этой операции XOR сохраняется в линейном регистре сдвига обратной связи или LFSR для краткости. Затем биты с 7 по 11 выходного сигнала псевдослучайного генератора определяют количество шагов, по которым вращается LFSR. Затем содержимое LFSR выводится в результате шифрования. При расшифровке операция LFSR отображается зеркально и выполняется операция XOR. Биты с номерами 6, 12 и 13 отбрасываются^{[источник не указан 1979 дней]}.

Таким образом операция LFSR отличает ARGON от всех ранее известных потоковых шифров^[2].

Структура псевдослучайного генератора править

Состояние псевдослучайного генератора, или короткое PRNG, сохраняется в 36-битном регистре. Шаг этого состояния реализуется через функцию (обозначенную Φ в^[3]), которая принимает в качестве входных данных 36 бит текущего состояния, 2 бита ключа времени и один бит ключа предложения, выдающего 36 бит нового состояния. Чтобы генерировать выходной бит PRNG, Φ вызывается в общей сложности 127 раз, каждый раз с изменением битов ключа времени и разговора, и, наконец, получается бит, сохраняемый в регистре.

В рамках реализации функции Φ требуется функция T^[4], которая декодирует 29 бит до 9 бит. 9 выходных бит T связаны с правильно выбранными битами старого состояния через XOR, а затем они заменяют 9 бит в старом состоянии, в то время как остальные 27 бит старого состояния сдвигаются влево на Φ. Для реализации функции Z^[5] в качестве основного нелинейного элемента используется схема, которая отображает 6 бит в 1 бит. Функция Z представляет собой декодер. При валентности 0, 2, 4, 7 … 12, 17, 18, 21, 24, 27 … 30, 33, 35, 42, 43, 47, 49 … 53, 56, 58, 59, 62 и 63 выход имеет сигнал 1, а в противном случае 0.

Реализация долгосрочного ключа

Выбор старых бит состояния, переданных в Z, а также выбор битов старого состояния, которые связаны с результатом XOR, являются переменными. Эта информация вместе с положением выходного бита и 36 бит начального значения регистра состояния составляет так называемый долгосрочный ключ T-310 / 50. Для проверки кандидатов на возможные долгосрочные ключи существовало специальное тестовое устройство (T-034). Аппаратура смоделировала T-310/50 и проверила пригодность ключевых кандидатов^[6].

Безопасность править

Алгоритм T-310/50 является одним из немногих ранее секретных и симметричных алгоритмов шифрования, используемых промышленно развитой страной для обеспечения государственной тайны, которая стала известна широкой публике. Дальнейшие исследования безопасности алгоритма позволили сделать следующие выводы:

Эффективная длина ключа 230 бит является достаточной, чтобы исключить возможность перебора ключей
Нет никаких доказательств того, что создатели алгоритма Т-310 знали о дифференциальном или линейном криптоанализе.
Использование битов четности в секретном ключе — это концепция, которая использовалась создателями DES.
Применение XOR для генерации ключа заменяется матричным умножением
При описании алгоритма, создатели не указывали скорость шифрования, что позволяет сделать вывод — производительность не является узким местом^[7].

Криптоанализ править

Т-310 — важный шифр времен Холодной войны^{[источник не указан 1979 дней]}. По сути, это блочный шифр, из которого извлекается очень мало битов для фактического шифрования. Это свойство означает, что T-310 значительно сильнее, чем другие шифры того же исторического периода, такие как DES. В криптоаналитической литературе известно очень мало примеров, когда шифр может быть взломан в таких сложных условиях. В одном из таких примеров злоумышленник получает только 4 бита от каждого шифрования. В T-310 биты от 1 до 1397 используются для шифрования только первого символа открытого текста, который уже будет зависеть от всех 240 бит ключа. Разобрать Т-310 в совершенно общей обстановке очень сложно. Оценка безопасности T-310 была проведена BSI после воссоединения Германии в 1990 году, и, как сообщается, её вывод заключался в том, что T-310 «чрезвычайно безопасен»^{[источник не указан 1979 дней]}.

Основной результат состоит в том, чтобы показать, как восстановить 240-битный ключ T-310 в атаке только используя только зашифрованный текст, когда долгосрочный ключ таков, что функция округления не является биективной. Крайне редко можно увидеть атаку только зашифрованным текстом на действительный правительственный шифр. Сильная атака требует очень серьезных шагов и подготовки^{[источник не указан 1979 дней]}.

В целом, в случае ключа 206 была смоделирована атака с временной сложностью 298 и сложностью данных около 259, которая позволяет восстановить 240-битный ключ в настройке только для шифрованного текста. Сложность хуже для исторического ключа, которая перечисляет несколько различных известных долгосрочных ключей для T-310 от 1973—1990 гг., К которым обращались 21 января 2017 г. при разборе и анализе возможностей Т-310/50^{[источник не указан 1979 дней]}.

Безопасный стандарт симметричного шифрования должен иметь надежную конструкцию. Надежность может означать, например, что стойкость системы не должна снижаться с 240 бит до менее чем 100^[8].

Литература править

Klaus Schmeh: The East German Encryption Machine T-310 and the Algorithm It Used. In: Cryptologia. 30, 3, 2006, ISSN 0161-1194, S. 251—257. doi:10.1080/01611190600632457. (Abstract, englisch)
Drobick (2017 г., Drobick, J. T-310/50 ARGON

Примечания править

↑ Описание устройства (неопр.). Дата обращения: 6 ноября 2018. Архивировано 8 июня 2018 года.
↑ Шифрование (неопр.). Дата обращения: 6 ноября 2018. Архивировано 10 ноября 2018 года.
↑ Ф (неопр.). Дата обращения: 6 ноября 2018. Архивировано 8 июня 2018 года.
↑ Реализация функции Ф (неопр.). Дата обращения: 6 ноября 2018. Архивировано 8 июня 2018 года.
↑ Реализация функции Z (неопр.). Дата обращения: 6 ноября 2018. Архивировано 8 июня 2018 года.
↑ Псевдослучайный генератор (неопр.). Дата обращения: 6 ноября 2018. Архивировано 8 ноября 2018 года.
↑ Безопасность (неопр.). Дата обращения: 18 декабря 2018. Архивировано 15 февраля 2019 года.
↑ Криптоанализ (неопр.). Дата обращения: 18 декабря 2018. Архивировано 15 февраля 2019 года.

Ссылки править

[1] Описание устройства (неопр.). Дата обращения: 6 ноября 2018. Архивировано 8 июня 2018 года.

[2] Шифрование (неопр.). Дата обращения: 6 ноября 2018. Архивировано 10 ноября 2018 года.

[3] Ф (неопр.). Дата обращения: 6 ноября 2018. Архивировано 8 июня 2018 года.

[4] Реализация функции Ф (неопр.). Дата обращения: 6 ноября 2018. Архивировано 8 июня 2018 года.

[5] Реализация функции Z (неопр.). Дата обращения: 6 ноября 2018. Архивировано 8 июня 2018 года.

[6] Псевдослучайный генератор (неопр.). Дата обращения: 6 ноября 2018. Архивировано 8 ноября 2018 года.

[7] Безопасность (неопр.). Дата обращения: 18 декабря 2018. Архивировано 15 февраля 2019 года.

[8] Криптоанализ (неопр.). Дата обращения: 18 декабря 2018. Архивировано 15 февраля 2019 года.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]