Zurück/Back

Analyseergebnisse des Chiffrieralgorithmus ARGON

BStU*358, *171, *172, *314, *367, *381
Abteilung XI                            Berlin, 27. Mai 1988

Rückflußinformation Nr. 2/88

Hinweise zur Nutzung des Verfahrens ARGON

Uns gegebener Veranlassung sowie aufgrund wiederholter Anfragen
zur Nutzung des Verfahrens ARGON werden die nachfolgenden Hin-
weise gegeben.

Aus kryptologischer Sicht ist es gestattet, Informationen, die
offen übertragen werden dürfen, sowohl offen als auch mit dem
Verfahren ARGON chiffriert zu übertragen.

Dadurch wird weder der Schlüssel noch das Verfahren kompromittiert
und auch die Geheimhaltung weiterer chiffrierter Sprüche wird
nicht gefährdet, wenn die Gebrauchsanweisung des Verfahrens ARGON
eingehalten wird (insbesondere darf die textabsendende Seite nicht
durch die Gegenstelle aufsynchronisiert werden).

Durch die offene Übertragung eines chiffrierten Fernschreibens
entsteht kein Vorkommnis im Sinne eines Verstoßes gegen die Ge-
währleistung der kryptologischen Sicherheit des Verfahrens ARGON.

Entsprechend  12(4) der 1. DB zur AO über das Chiffrierwesen
(GVS B 434-400/77) gelten die Regelungen der Gebrauchsanweisung
der Chiffrierverfahren für die o. g. Verfahrensweise.

In der Gebrauchsanweisung ARGON, GVS B 434-081/83, wird folgen-
des festgelegt:

Das Verfahren ARGON (T-310/50) ist für die Bearbeitung von Infor-
mationen, bis einschließlich Geheimhaltungsgrad GVS zugelassen.

Bei Verfahren mit externen Schlüssel (z. B. DUDEK) können In-
formationen, die offen übertragen werden dürfen, ebenfalls sowohl
offen als auch chiffriert übertragen werden, ohne die Geheimhal-
tung weiterer Informationen zu gefährden.

Wird derartig vorgegangen, kann zwar der Schlüssel bestimmt wer-
den - dieser darf jedoch nicht noch einmal verwendet werden (s.
Gebrauchsanweisung).

Unabhängig vom eingesetzten Chiffrierverfahren gibt es Festlegungen
darüber, welche Informationen nicht offen übertragen werden dürfen:

1. Staatsgeheimnisse:
   Bei einer offenen Übertragung von Staatsgeheimnissen durch
   technische Nachrichtenmittel handelt es sich um eine Verlet-
   zung der AO zum Schutz von Staatsgeheimnissen gemäß  32(1)
   und (2), die der Untersuchung bedarf.

2. Andere geheimzuhaltende Informationen und durch die verant-
   wortlichen Leiter ausgewählte Dienstsachen:
   Die zuständigen Leiter entscheiden, ob die Information chif-
   friert übertragen wird oder offen. Einzelheiten werden in
   zukünftigen Regelungen der Datensicherheit und des Chiffrier-
   wesens geregelt.

Die kryptologische Eigenschaften des Chiffrierverfahrens ARGON
gestatten es, die Chiffrierverbindungen besser auszulasten durch
die chiffrierte Übertragung offener Informationen. Gleichzeitig
werden damit die Angriffe des Gegners in funkelektronischen Kampf
gegen das Fernmeldenetz der DDR erschwert.

Diese Herangehensweise wird u. a. umgesetzt durch die organisa-
torische und technische Zusammenlegung der Fernschreibstellen und
der Chiffrierstellen in den zentralen und örtlichen Staatsorganen
zu sogenannten Fernschreibstellen - C. Die Schaffung von Fern-
schreibstellen - C wird von uns befürwortet und entspricht dem
vom Staatssekretär, Genossen Dr. Möbis, bestätigten Jahresarbeits-
plan des COM (VVS B 2/4-76/87).

Zur Gewährleistung von Sicherheit, Ordnung und Geheimnisschutz
in den Fernschreibstellen - C sind spezielle Verfahrensweisen
und Regelungen in Arbeit.

Komplizierungsalgorithmus der SKS V/1 OPERATION und der T-310

Aufgabe der Komplizierungseinheit ist es aus den beiden Schlüsselteilen S1 und S2,
den U-Vektor sowie den Initialisierungsvektor f die Wurmgruppen für den Chiffrator
zu bilden.

Komplizierungseinheit SKS V/1
Abb.: Komplizierungseinheit der SKS V/1


Komplizierungseinheit T-310/50 und T-310/51
Abb.: Komplizierungseinheit der T-310
Die Z Funktion
Die Z- Funktion wird in den Unterlagen zur Beschreibung der
kryptologischen Funktion als Dekoder bezeichnet.
Aus den sechs eingehenden Signalen wird ein ausgehendes Signal gebildet.
Die Funktion Z wird wie folgt als Shegalkinsches Polynom beschrieben:
Z = L + e₁ + e₅ + e₆ +
    e₁e₄ + e₂e₃ + e₂e₅ + e₄e₅ + e₅e₆ +
    e₁e₄e₅ + e₂e₃e₆ + e₂e₄e₆ + e₃e₅e₆ +
    e₁e₂e₃e₄ + e₁e₂e₃e₅ + e₁e₂e₅e₆ + e₂e₃e₄e₆ +
    e₁e₂e₃e₄e₅ + e₁e₃e₄e₅e₆

(Achtung L = das logische Signal 1)
Gleichbedeutend im Kanaugh Plan:
01010101e₆
00110011e₅
e₁e₂e₃00001111e₆
00010001011
00110011010
01010111101
01100000011   Z (e₁, ... e₆)
10011110000
10100110010
11001011111
11110000101

Darstellung in der minimalen disjunktive Normalformel:
Z = Z(e₁, e₂, ..., e₆) = Z(1, 2, ..., 6) =

  = 123456 v 12345 v 12346 v

    23456 v 23456 v 1234 v 1245 v 1246 v

    1256 v 1346 v 2346 v 2356 v 3456

In der Betrachtung werden mathematische Ableitungen der
Booleschen Funktion Z durchgeführt.
Das sind:
- k fache Ableitung,
- vollständige Ableitung des k-ten Grades,
mit der Aussage über effektive Belegung.
- Effektivitätstupel,
mit der Aussage alle Tupel sind Effektivitätstupel.
- statistische Struktur,
mit der Aussage das das 0-1 Verhältnis statistisch gut ist.
- Symetrieeigenschaften,
mit der Aussage das jede Permutation der Eingangsvariablen
ändert die Boolesche Funktion und die Funktion Z ist nicht symetrisch.
- wahrscheinlickeitstheoretische Untersuchung.

Die P-D Funktion
Die P-D Funktion realisiert die Permutation des 27. Grades der Bits die aus dem
U-Vektor bereitgestellt werden. Es repräsentiert den Langzeitschlüssel.

Der U-Vektor
Der U-Vektor wird in der Startbedingung mit einem vorgegebenen Wert geladen.
Der U-Vektor lautet: 0110 1001 1100 0111 1100 1000 0101 1010 0011

Der F-Vektor
Der F-Vektor ist ein 61 bit großes rückgekoppeltes Schieberegister
mit dem Polynom x⁶¹ = x ⁵ + x² + x¹ + xo.
Es garantiert die Minimalperiode von 2⁶¹ - 1.
Die Binärfolge muß Fo ≠ (0, 0, 0, ... , 0) sein.
Für das primitive Polynom wurde 61 bit gewählt da die Periode
eine Primzahl ist.
Die aus der SKS V/I festgelegte F-Vektor von x52 wurde für den ALPHA
Algorithmus (Klasse) verworfen. Die Minimalperiode Fo = 252 -1 besitzt
echte Teiler, die möglicherweise zu kleineren Perioden der Additions-
folgen führt.

Prüfung im unerlaubten Zustand
Es wurde die prophylaktische Prüfung, die Prüfung der Schlüssel sowie
der Synchronfolge außer Betrieb genommen.
Der Schlüssel S1 und S2 wurde mit den Werten (0, 0, ... 0) geladen.
Die Synchronfolge wurde mit der Folge (0, 0, ... 0) initialisiert.
Die einzige Konstante im Chiffrieralgorithmus, der U-Vektor, blieb unverändert.
Die Überprüfung ergab das für diesen unerlaubten Zustand die Sicherheit
des Algorithmus und des chiffrierten Textes immer noch sehr hoch ist.
Bei über 1,8 millionen Fernschreibzeichen wurde kein Zyklus festgestellt.

Analyseergebnisse des Chiffrieralgorithmus

Der Eindeutigkeitsabstand beträgt lo ≥ 90, des Zeitschlüssels S
und der Synchronfolge F da: 2240 * 261 ≈ 4 * 1090

In dem Sachbestandsbericht aus dem Jahr 1976 über den Chiffrier-
algorithmus wird die Kompliziertheit des entwickelten Algorithmus
dargestellt. Es wird aber auch ersichtlich das es schon Kenntnisse
über die differentielle Kryptoanalyse vorhanden sind.

Zitat:
Einschätzung der Ergebnisse
Die Methode der dichten Mengen stellt eine weitgehende
Modifikation der totalen Probiermethode (zu jedem V, s.(1),
werden alle (pi)ki=1, kεN, durchprobiert) dar, d.h. es
werden Untermengen der dichten Mengen durch zufälliges
oder systematisches Probieren miteinander verbunden,
wobei in großem Umfang im Algorithmus existierende Zu-
sammenhänge genutzt werden. Sie stellt einen einfachen
Entscheidungsalgorithmus dar, der, falls M tatsächlich
eine Zustandsklasse bildet, mit hinreichend großen
Erfolgsaussichten das Resultat mit geringem Aufwand
erbringt. Bei der Methode der dichten Mengen sind
theoretische Untersuchungen und Experiment auf der EDVA
organisch miteinander verbunden.
Zitatende

In Einführung in die Kryptographie, S 89,
von J. Buchmann wird die diffentielle Kryptoanalyse
wie folgt beschrieben:

Die diffentielle Kryptoanalyse ist ein Chosen-Plaintext-Angriff.
Aus vielen Paaren Klartext-Schlüsseltext versucht der Angreifer
den verwendeten Schlüssel zu bestimmen. Dabei verwendet er die
Differenzen der Klar- und Schlüsseltexte, d.h. sind
p und p′ Klartexte und sind c und c′ die zugehörigen Schlüsseltexte,
dann berechnet der Angreifer p⊕p′ und c⊕c′. Er nutzt aus, daß in
vielen Verschlüsselungsverfahren aus dem Paar (p⊕p′, k⊕k′)
Rückschlüsse auf den verwendeten Schlüssel gezogen werden können.

Zur stochastischen Untersuchung wird im weiteren ausgeführt:

Zitat:
Für das Modell wurden weiterhin untersucht Weiterhin wurde die Anwendbarkeit der Probabilitätswort-         (Wahrscheinlichkeitswortmethode)
methode bei Vorliegen phasengleicher Texte untersucht.
Zitatende

Im weiteren wird bei der Begründung des Einsetzen der Substitution
anstatt der Addition ausgeführt:

Zitat:

Substitutionsschaltung

Die sowjetischen Genossen wiesen auf der Juni-Konsul-
tation 1975 darauf hin, daß sie bzw. der Sicher-
heit der Chiffrierverfahren gegen Dekryptierung
schlüsselgleicher Texte hohe Forderungen stellen und
in diesem Zusammenhang in der weiteren Entwicklung
die Spaltenverfahren immer mehr dominieren werden.
Für T-310 sind schlüsselgleiche Texte infolge Be-
dienfehlern, technische Fehlern oder durch Zufall
nicht auszuschließen, da z.B. der Spruchschlüssel
manuell eingegeben werden kann.
Durch den Einsatz des vorgeschlagenen Substitu-
tionsverfahrens wird
  1. bei Kenntnis des Chiffrierverfahrens die Proba-
    bilitätswortmethode erst bei Vorliegen von 3       (Wahrscheinlichkeitswortmethode)
    phasengleichen Geheimtexten anwendbar (bei
    Additionsverfahren - 2 phasengleiche Geheim-
    texte),
  2. bei Kenntnis des Chiffrierverfahrens die Rekon-
    struktion der a-Folgen erst bei Vorliegen von 3     (a-Folgen, Additionsfolgen, Wurmgruppen)
    phasengleichen Geheimtexten bzw. 2 phasen-       (handschriftliche Anmerkung bei phasengleiche...
    gleichen Klartext-Geheimtext-Paaren möglich        (natürlich nur über 1.)
    (bei Additionsverfahren - 2 phasengleiche
    Geheimtexte, 1 Klartext-Geheimtext-Paar),
  3. die Ausnutzung lokaler statistischer Abweichungen
    der a-Folge von einer irregulären Folge zur Dekryp-
    tierung erschwert.
Zitatende
Analysen zur T-310/50

Austrahlungssicherheit

Das Gerätesystem wurde 1983 in die Produktion übergeleitet.
Gemessen am heutigen Kenntnisstand auf dem Gebiet der kompromit-             (1990)
tierenden Ausstrahlung (KOMA) und an den heutigen Möglichkeiten
der Elektroniktechnologie entspricht die T 310/50 nicht mehr dem
neusten Stand (TTL-Bauelemente; mehrere Einzelgeräte statt ein
kleines kompaktes Gerät; keine LWL).
Besonders hervorzuhebende Ausstrahlungssicherheitsmaßnahmen:
- Anwendung des RED/BLACK-Prinzips bei
  . interner Gestaltung (Entkopplung der Klartext- und Chiffra-
    torseite von Linie und Stromversorgung, z. B. mittels spe-
    zieller geschirmter Baugruppen für telegraphietypische Hoch-
    pegelsignale in der Anschalteinheit),
  . Installation (Aufstellung, Verkabelung),
- Schirmung (Grundgerät GG, Stromversorgung SV, Kabel) und Filte-
  rung (Schnittstellen),
- spezielle Schaltung (aktive elektronische Entstörung AES) zur
  Beseitigung der wesentlichsten KOMA-Komponente der angeschlos-
  senen elektromechanischen Fernschreibmaschinen (FSM),
- in der Installationsvorschrift vorgeschriebene Mindestabstände
  . der Teile des Gerätesystems untereinander und
  . des Gerätesystems
    - zu fremden technischen Einrichtungen und
    - zur Grenze der kontrollierten Zone.
Bei der Anwendung der T-310/50 ist folgendes zu bedenken:

Die Maßnahmen zur Gewährleistung der Ausstrahlungssicherheit auf
der Lokalseite (FSM) wurden für die Zusammenarbeit mit elektro-
mechanischen Fernschreibmaschinen konzipiert (entsprach der dama-
ligen Aufgabenstellung).
Bei der Zusammenarbeit mit modernen elektronischen Fernschrei-
bern können zusätzliche Probleme auftreten (z. B. durch steilere
Impulse im Lokalkreis und ggf. dafür nicht ausreichende Schir-
mungs- und Entkopplungseigenschaften).
Bei besonderen Anforderungen wurde das Gerätesystem oder nur die
Endtechnik in geschirmten Kabinen AURORA installiert.
Ferner ist zu achten auf:
- ordnungsgemäße Kontaktierung der Kabelschirme und Steckverbinder,
- Gewährleistung eines telegraphischen niederohmigen Linien-
  abschluß,
- Einhaltung der vorgeschriebenen Mindestabstände bei der Installation.

Statische Sicherheit

Unter statischer Sicherheit eines Chiffrierverfahrens wird der
Schutz vor Beeinträchtigung der Geheimhaltung der zu schützenden
Information und anderer Funktionen des Chiffrierverfahrens durch
Mißbrauch der Chiffriertechnik oder unbefugtes Eindringen in die
Chiffriertechnik bzw. Schlüsselmittelverpackung verstanden.
Sie schließt den Schutz vor unbefugten Zugriff auf Schlüssel-
mittel und Chiffriergerät zum Zweck der Aufklärung und Manipulation ein.

Maßnahmen zur Gewährleistung der statischen Sicherheit an der
Chiffriertechnik werden unter dem begriff "Gefäßabsicherungs-
system" zusammengefaßt.

Die statische Sicherheit des Chiffrierverfahrens ARGON ist für
die Zeitschlüsselmittel (verpackt und geöffnet), das BT/BTZ,
das GG und die SV untersucht worden.

Generell gilt, daß entsprechend allgemeinen Regelungen des Chif-
frierwesens durch organisatorische und baulich-technische Maßnahmen
der Zugriff auf Schlüsselmittel und Chiffriertechnik sowie
ARGON-spezifisch auf die Fernschreibendstelle mit BT für Unbefugte
verhindert wird. Im folgenden wird deshalb nur auf spezifische Gefährdung
und Gegenmaßnahmen hingewiesen.

Statische Sicherheit der Schlüsselmittel

Ziel des Angriffs:     Aufklärung der Schlüssel

Angriffsmethoden:      Unbefugte Entnahme aus der Verpackung, Röntgen des
                       geschlossenen Schlüsselheftes.

Gegenmaßnahmen und Wertung:

- Die unbefugte Entnahme von Schlüsseln ist durch die Kuvertierung
  der ZS-Lochkarten und die Sicherung der Kuverts im Heft wesentlich
  erschwert. Das Erkennen des unbefugten Öffnens und
  Wiederverschließens der Verpackung kann durch spezielle
  Schweißmuster auf den Schweißlinien erschwert werden.
- Durch Röntgen lassen sich Stanzungen de Lochkarten feststellen.
  Der Angriff und mögliche Abwehrmaßnahmen erfordern einen
  hohen Aufwand.
- Organisatorische Sicherheitsmaßnahmen sind
  . der sichere Transport und die sichere Verwahrung der Schlüssel-
    mittel einschließlich zuverlässiger Vernichtung,
  . kleine ZS-Bereiche zur Begrenzung der Gefahr und der Auswirkungen
    von Kompromittierungen.

Statische Sicherheit des BT/BTZ und Kabels

Ziel des Angriffs:     Aufklärung von Klartexten

Angriffsmethoden:

Mißbrauch der Fernschreibendstelle durch
. Dechiffrieren von Geheimtexten des Zeitschlüsselbereichs
. bewußte Erzeugung schlüssel- und synchrongleicher
  Geheimtext als Unterstützung der Dekryptierung.

Gegenmaßnahme:

Auswahl zuverlässigen Bedienpersonals, Verhinderung unkontrollierter
Nutzung der Fernschreibendstelle durch Aufstellung im Sperrbereich.

Angriffsmethode:

Manipulation des BT/BTZ oder der Verbindungskabel BT - GG z. B. durch
- Einbau zusätzlicher Hardware in BT/BTZ zur Informationsspeicherung
  und -abgabe bei Linienbetrieb ohne Chiffrierung (Bedienteil ist
  galvanisch mit der Fernschreiblinie verbunden),
- Manipulation der Hardware zur Erhöhung der kompromittierenden
  Abstrahlung.

Gegenmaßnahmen:

Mögliche Verplombung und regelmäßige Kontrolle des Bedienteils
bzw. Zusatzbedienteils (Erkennen eines unbefugten Eindringens).

Der Aufwand für die Gegenmaßnahme sollte vergleichbar oder ggf.
höher sein, als der Aufwand für den Schutz der Klarinformationen
und der Verarbeitung.

Statische Sicherheit des GG

Ziel des Angriffs:     Aufklärung des Zeitschlüssels

Angriffsmethode:       Eindringen in das GG bei eingegebenen ZS

Gegenmaßnahmen:

- Mikrotaster an den Gefäßwänden schalten die Stromversorgung bei
  öffnen des Grundgerätes ab und löschen damit den gespeicherten
  Schlüssel und ggf. die Klartexte (im Kodeumsetzer). Die Mikro-
  taster sind bei einem vorbereiteten Angriff mit technische Mitteln
  umgehbar.
- Verplombung des GG dient dem Erkennen erfolgter Angriffe (ohne
  Spezialplomben geringe Sicherheit).

Ziel des Angriffs:

Manipulation der Hardware zur Erleichterung der Aufklärung über
kompromittierende Ausstrahlung u. a. m.

Bediensicherheit

Die Gefährdung der Sicherheit eines Chiffrierverfahrens durch
Verletzungen der Gebrauchsanweisung sind ein wichtiger Analyse-
gegenstand. Die vom Auftraggeber geforderten Betriebsarten und
Funktionen des Chiffrierverfahrens ARGON, insbesondere
- die Möglichkeit der uneingeschränkten Arbeit der Fernschreib-
  endstelle ohne Chiffrierung,
- der Dialogverkehr ohne Neusynchronisation,
- der Übergang in eine Betriebsart ohne Chiffrierung nach Empfang
  einer gestörten Synchronfolge
sowie die "beschränkte Intelligenz" des Chiffriergerätes (SSI-
Schaltkreise) führten zu Kompromißlösungen, die durch Bestim-
mungen der Gebrauchsanweisung kompensiert werden mußten.

Die umfangreiche Bedienanalyse ergab, daß bei Einhaltung der
Gebrauchsanweisung die Sicherheit des Chiffrierverfahrens gewährleistet
ist.

Im folgenden werden fahrlässige Gefährdungen der Sicherheit bei
Abweichungen von der Gebrauchsanweisung durch Bedienfehler darge-
stellt. Darüber hinaus gibt es auch Bedienfehler ohne Gefährdungen
der Sicherheit, z. B. falsche Wahl der Teilnehmerschaltung am GG.
Zur Bedeutung der Bedienhandlungen siehe Gebrauchsanweisung ARGON.

Bedienfehler durch Bediener am Fs-Endplatz
Taste "C" nicht betätigt

Bedienfehler
- vor beabsichtigter Chiffrierung wird Betätigen der Taste "C"
  vergessen und Chiffrierbetriebsart nicht erreicht,
- Übergang in die Betriebsart Chiffrierung wird nicht durch Beobachten
  der Anzeige "C" kontrolliert.

Folgen: Klartext gelangt unchiffriert auf den Kanal bzw. das Lochband
        (Vorchiffrierung).

Gegenmaßnahmen:

Dem Klartext werden die Zeichenkombination ""bbbb" vorangestellt.

Das Chiffriergerät erwartet dann bei Direkt- und Teildirekt-
chiffrierung Typ A die Synchronfolge vom Kanal und blockiert die
Ausgabe von Fernschreibzeichen.

Beim Vorchiffrieren werden 25 Zeichen des Klartextes als Synchron-
folge interpretiert und nicht ausgegeben. Erfüllen diese 25
Fernschreibzeichen nicht die Rekursion der Synchronfolge, was
sehr wahrscheinlich ist, werden die folgenden Fernschreibzeichen
ausgegeben. Der Fehler wird durch Kontrolldechiffrieren festgestellt.

Bemerkung:

- Diese erste Maßnahme ist nicht wirksam, wenn die Sperre (Taste SP)
  der Mithörfunktion zur Auswertung von "bbbb" für den Übergang
  in die Chiffrierlage (z. B. bei Verlassen des Fs-Endplatzes)
  eingeschaltet ist.
- Abläufe und Kontrolle der Chiffrierung sind Ausbildungsschwerpunkt.

Keine Kontrolle der Anzeige "C" bei Aufnahme und Beendigung der
Chiffrierung.                                                             

Bedienfehler:

Anzeige "C" wird bei Auslösen der Synchronisation, Übergang in
die Chiffrierung und Beendigung der Chiffrierung nicht kontrolliert.

Folgen:

Keine Kontrolle zur Vermeidung eigener Bedienfehler, aber auch Angriffe
Unbefugter werden möglich, s. u.

Gegenmaßnahmen:    Schulung der Bediener.

Lokalbetrieb über Fernschaltgerät (FSG)

Bedienfehler:

Zur Herstellung von Klartextlochbändern wird der Lokalbetrieb über
das FSG hergestellt.

Folgen:

- Der Lokalbetrieb wird bei Anwahl der Fernschreibendstelle nach akustischer
  Signalisation abgebrochen und die Fernschreibverbindung hergestellt.
  Bei fortgesetzter Klartexteingabe gelangt Klartext auf den Kanal.
- Ein Übersprechen des Klartextes über das FSG auf die Linie
  ist möglich.

Gegenmaßnahme:

Lokalbetrieb nur über T-310/50 durch Taste "LOK" herstellen.

Kein Stop der Klartexteingabe über Lochstreifensender vor Übergang
in eine Betriebsart ohne Chiffrierung                                        

Bedienfehler:

Bei Übergang aus einer Betriebsart mit Chiffrierung in eine Betriebs-
art ohne Chiffrierung wird die Klartexteingabe über Lochstreifensender
fortgesetzt. Das kann insbesondere beim Direktchiffrieren durch Gegenschreiben,
beim Vorchiffrieren durch löschen der Anruferkennung durch Betätigen der Tasten
"LÜ" oder Annahme des Anrufes durch Betätigen der Tasten "LÜ" und "LIN"
geschehen.

Folgen:                Klartext gelangt auf den Kanal.

Gegenmaßnahme:

Festlegungen in der Gebrauchsanleitung zum Stoppen des Lochstreifen-
senders in der angegebenen Situation.

Fehler durch den Chiffreur
Unterlassen der Funktionskontrolle

Fehler:

Die Funktionskontrolle wird seltener, als in der Gebrauchsanweisung
angegeben, durchgeführt.

Folgen:

Fehler bzw. Ausfälle des Prüf- und Blockiersystems und des
Zufallsgenerators werden nicht festgestellt. Es erhöht sich die
Wahrscheinlichkeit technischer Mehrfachfehler.

Gegenmaßnahme:

Nachweis über Funktionskontrolle im Betriebsbuch und Kontrolle
des Nachweises durch Vorgesetzte.

Fehler bei Zeitschlüsselwechsel

Bedienfehler:

Bei der Zeitschlüsseleingabe wird der Schalter LE nicht bestätigt
und Anzeige "LE", "SE", "S" und/oder "F" werden nicht
kontrolliert.

Folgen:

Der Schlüssel wird nicht von der Lochkarte gelesen, der gespeicherte
Zeitschlüssel bleibt aktiv. Die Gültigkeitsdauer des Zeit-
schlüssels wird ohne unmittelbare negative Folgen für die Sicherheit
verlängert.

Gegenmaßnahme:

Der Fehler wird bei der nächsten Direktchiffrierung bemerkt bzw.
von der Gegenstelle ein nicht zu dechiffrierender Geheimtext gemeldet.

Nachrichtenflußanalyse

Wegen

- der Aufnahme der Fernschreibverbindung im Linienbetrieb ohne
  Chiffrierung,
- der Start-Stop-Betrieb der Chiffrierung (jedes Zeichen wird zum
  Zeitpunkt seiner Eingabe chiffriert und ausgegeben, in den
  Übertragungspausen werden keine Füllzeichen gesendet)

ist folgende Nachrichtenflußanalyse möglich:
- Zeitpunkt der Übertragung,
- verwendetes Chiffrierverfahren,
- Absender und Empfänger (Fernschreibrufname),
- Länge von Geheimtextteilen und deren Zuordnung zu den
  Korrespondenten.

Ein offenes Problem ist die Auswertung des Schreibrhythmus bei
manueller Eingabe des Klartextes. Die Ausgabe der Fernschreib-
zeichen erfolgt in einem Zeitraster von 0,625 ms (50 Baud) bzw.
0.3125 ms (100 Baud). Die Verarbeitungszeit im Chiffriergerät ist
unabhängig vom Inhalt des Klartextzeichens. Es ist unklar, ob indivi-
duell bedingte Zeitintervalle zwischen den Geheimtextzeichen zur
Rekonstruktion des Klartextes genutzt werden können.
In der Gebrauchsanweisung wurde deshalb festgelegt, daß VS-Texte grund-
sätzlich über Lochstreifensender zur Chiffrierung einzugeben sind.
Diese Regelung entsprach auch Festlegungen zur Nutzung der Lochstreifen-
sender zur Entlastung des Fernschreibnetzes.

Nachrichtenaufklärung

Jedes Chiffrierverfahren schafft konkrete Bedingungen für die
Dekryptierung. Diese Bedingungen können unterteilt werden nach
- Einhaltung des Chiffrierverfahrens,
- Abweichung vom Chiffrierverfahren (zufällig, fahrlässig,
  durch aktive Einflußnahme Unbefugter).
Im folgenden werden einige Dekryptierbedingungen untersucht.

Dekryptierung einzelner Sprüche
Dekryptiermethode

Abhebend der Steuerfolge bei 3 phasengleichen Sprüchen durch Pro-
babilitätswortmethode auf der Grundlage der Kenntnis des Sub-
stitutionsalgorithmus.

Einschätzung der Dekryptiermethode
Es müssen zu zwei Geheimtexten wahrscheinliche Klartexte angenommen
werden. Daraus wird die Steuerfolge berechnet und der dritte Geheim-
text dechiffriert. Die Sinnfälligkeit des resultierenden Klar-
textes entscheidet über die Richtigkeit der Lösung für alle
drei Geheimtexte. Die Methode wird als aufwendig, aber realisierbar,
eingeschätzt.

Eintreten der Voraussetzung bei Einhaltung des Chiffrierverfahrens
Phasengleiche Sprüche können entstehen durch:
(1) Schwächen des Chiffrieralgorithmus.
    Die Wahrscheinlichkeit dafür ist sehr gering.
(2) Schlüsselgleiche Sprüche mit gleicher Synchronfolge.
    Wegen der Qualität des Zufallsgenerators und der Länge des
    f-Folgeanfangsabschnittes ist die Wahrscheinlichkeit des Eintretens
    dieser Voraussetzung hinreichend gering.

Zum Erkennen phasengleicher Texte kann ein Vergleich der ersten 4 Geheim-
textzeichen herangezogen werden, die durch Chiffrierung einer für alle
Sprüche gleichen Maschinenbefehlsfolge zur Erzeugung eines einheitlichen
Druckbildes entstehen.

Eintreten der Voraussetzung bei Abweichungen von Chiffrierverfahren

Angriffsmethode:

Gleiche Synchronfolgen für die Chiffrierung von Klartexten können
dadurch provoziert werden, daß
- sich ein Angreifer in eine Fernschreibverbindung kurz vor Aus-
  lösung der Synchronisationsprozedur einschaltet und beide Chif-
  friergeräte mit einer von ihm gewählten Synchronfolge synchro-
  nisiert. Beide Endstellen können danach ordnungsgemäß ihren
  Chiffrierverkehr abwickeln,
- der Angreifer selbst die Chiffrierverbindung aufbaut, der Ge-
  genstelle einen aufgefangenen Spruch desselben Schlüsselbe-
  reiches übersendet und auf das Senden der Gegenstelle (Dialog-
  verkehr ohne Neusynchronisation) hofft,
Die Geheimtexte wären bei entsprechender Wiederholung des Angriffs
phasengleich.

Gegenmaßnahmen:

Nach Gebrauchsanweisung darf nur die textabsendende (verbindungs-
aufbauende) Endstelle die Synchronisation auslösen. bei Verstößen
ist Gegenzuschreiben. Im Falle des o. g. ersten Angriffs würde die
textabsendende Endstelle aber durch die Gegenstelle (den
Angreifer) synchronisiert.
Weiter ist in der Gebrauchsanweisung festgelegt, daß nach Aufbau
der Chiffrierstelle sich beide Endstellen durch Austausch der
Namensgeber von der Fähigkeit der Gegenstelle zum aktiven Chif-
frieren zu überzeugen haben.

Bemerkung:

Die gleiche Methode zur Erzeugung von phasengleichen Geheimtexten
könnte ein Bediener der Fernschreibendstelle allein oder in Zu-
sammenarbeit mit anderen nutzen, um die Dekryptierung durch Chif-
frieren von Texten zu unterstützen. Bei ihm wären dann keine
direkte Beweise für die Kompromittierung von Texten nachweisbar.

Angriffsmethode:

Ein Angreifer könnte versuchen, die Erzeugung der Synchronfolge
durch zielgerichtete Eingabe von Fernschreibzeichen vom Kanal zu be-
einflussen.

Einschätzung:

Der Angriff ist nicht möglich, da auf ein empfangenes Fern-
schreibzeichen (5 Bit) 160 Bit Zufallsfolgen des physikalischen
Zufallsgenerator kommen.

Bestimmung de Zeitschlüssels
Bedingungen für die Bestimmung des Zeitschlüssels

In Ergänzung zu den allgemein üblichen Bedingungen zur Dekryp-
tierung ist zu bemerken, daß dem Dekrypteur für jeden Spruch 20
Bit eines Klartext/Geheimtext-Paares (chiffrierte Maschinenbefehls-
folge) sowie je nach Strukturierung des Klartextes weitere
Bits zur Verfügung stehen. Diese 20 Bit führen
aber nicht direkt zur Rekonstruktion von Elementen der a-Folge,
denn dazu wäre mindestens 2 phasengleiche Geheimtexte notwendig.

Einschätzung

Die mathematisch-kryptologische Analyse erbrachte keine Hinweise
auf praktisch realisierbare Methoden zur Bestimmung des Zeit-
schlüssels.

Mitlesen chiffrierter Sprüche durch Teilnehmer des Zeit
Schlüsselbereiches                                      

Im Zeitschlüsselbereich mit mehr als zwei Teilnehmern (allge-
meiner Verkehr) kann Grundsätzlich jeder Teilnehmer alle Geheim-
texte des Zeitschlüsselbereiches dechiffrieren. Die Zeitschlüs-
selbereiche sind deshalb nur so groß wie unbedingt zur Gewährlei-
stung der Informationsbedingungen nötig zu wählen. Die Gebrauchs-
anweisung gibt eine Grenze von maximal 150 Teilnehmern an. Bei zu
kleinen Schlüsselbereichen müssen ggf. Endstellen in mehreren Zeit-
schlüsslbereichen arbeiten. Das ist wegen der geringen Zeit für
den Zeitschlüsselwechsel möglich, erhöht aber die Gefahr der
Kompromittierung der Zeitschlüssel und schränkt die Verfügbarkeit
der Geräte ein.

Desinformation

ARGON unterstützt die fernschreibtypischen Authentisierung des
Senders und Empfängers sowie die Datenintegrität der chiffrierten
Nachrichten.

Datenintegrität

ARGON unterstützt die Datenintegrität auf der Grundlage der
Redundanz der Klartexte und der Eigenschaften des Chiffrieralgo-
rithmus, wobei die Entscheidung über die Integrität der Nachricht
außerhalb des Chiffrierverfahrens durch den Bediener zu treffen ist.

Im Gegensatz zu einem Additionsverfahren muß der Angreifer über 2
phasengleiche Klartext/Geheimtext-Paare verfügen, um wenigstens
einen Geheimtext sinnvoll verfälschen zu können. Phasengleiche Geheim-
texte sind bei Einhaltung der Gebrauchsanweisung praktisch ausgeschlossen.

Authentisierung des Senders und Empfängers

ARGON schreibt für Direktchiffrierung vor:
- den Namensgeberaustausch vor und nach Übergang in die Chiffrierung,
- die Angabe des Fernschreibnamens der absendenden Endstelle
  mit Dringlichkeit, Nummer des Fernschreibens, Datum und Zeit
  der Aufgabe des Fernschreibens in chiffrierter Form,
- Quittierung mit aktueller Zeit durch absendende und empfangende
  Endstelle sowie Spruchnummer, Dringlichkeitsstufe und Fern-
  schreibrufname durch den Empfänger.

Diese Angaben werden gegenüber Verfälschungen auf dem Übertragungs-
kanal geschützt.

Die Authentisierung durch die Fähigkeit zum aktiven Chiffrieren
erfolgt nur mit einer Genauigkeit bis auf den Zeitschlüsselbe-
reich (Teilnehmer innerhalb des Zeitschlüsselbereiches können
durch das Chiffrierverfahren nicht unterschieden werden).

Desinformationsmöglichkeit bei Bedienfehlern

1.Variante

Grundlage:

T-310/50 besitzt die Eigenschaft, daß Fernschreibzeichen, die
zwischen dem Empfang einer ordnungsgemäßen Synchronisationsfolge
und dem Erkennen der Kombination "KKKK" (bzw. "((((" im Ziffern-
register) von der Linie empfangen werden, auf die Peripherie
ausgegeben werden.

Angriffsmethode:

Ein Angreifer stellt eine Fernschreibverbindung nach Gebrauchsan-
weisung her. Nach der Synchronfolge sendet er "KBuKKK" (Bu =
Register Buchstaben/Lat.). Es wird "KKKK" und danach
jeder beliebige vom Angreifer gewünschte Text auf den Fernschreiber
ausgegeben. Während dieser Ausgabe blinkt die Anzeige "C".
Nach Empfang von "KKKK" oder "((((" geht das Chiffriergerät in
Chiffrierung über, die Anzeige "C" zeigt Dauerlicht.
Die Methode ist geeignet, einer Endstelle einen Text zu übermitteln
und dabei mit geringen Abweichungen das Druckbild eines chiffrierte
übermittelten Textes zu erzeugen ("KKKK" oder "(((("
am Ende).

Gegenmaßnahme:

Dieser Angriff ist nur möglich, wenn der Bediener es entgegen der
Gebrauchsanleitung unterläßt, den Übergang in die Chiffrierung
durch Beobachten der Anzeige "C" zu kontrollieren sowie sich
durch Namensgeberaustausch von der Fähigkeit zum aktiven Chif-
frieren durch die Gegenstelle zu überzeugen.

2. Variante

Grundlage:

T-310/50 geht nach Empfang einer gestörten Synchronfolge in die
ursprüngliche Betriebsart ohne Chiffrierung zurück.

Angriffsmethode:

Ein Angreifer kann den Übergang in die Chiffrierlage durch Über-
mittlung einer gestörten Synchronfolge vortäuschen und dann den
Text (ohne Chiffrierung) übermitteln.

Gegenmaßnahme:

Nach Empfang der gestörten Synchronfolge erlisch die Anzeige
"C". Bei Einhaltung der Gebrauchsanweisung stellt der Bediener
fest, daß der empfangene Text ohne Chiffrierung übermittelt wird.

Stören

Der Schutz vor aktiven Störangriffen war nicht Bestandteil der
Aufgabenstellung. Die kanalseitige Störanfälligkeit des Chif-
frierverfahrens ist im Sinne der Gewährleistung der Funktionali-
tät Gegenstand der Analyse.

Kanalstörungen

Die Chiffrierverbindung ist anfällig gegenüber Kanalstörungen,
die die Synchronfolge verfälschen oder die Fernschreibzeichen
einfügen oder "verschlucken". Im letzten Fall werden die Chiffra-
toren asynchron und die Chiffrierverbindung muß neu aufgenommen werden.

Blockieren der Fernscheibendstelle

Eine Fernscheibendstelle kann durch Übermittlung der Kombination
"bbbb" (Beginn der Synchronfolge) und Auslösen der Verbin-
dung blockiert werden. Als Gegenmaßnahme schriebt die Gebrauchs-
anleitung die Betätigung der Sperre vor, wenn der Bediener den
Fernscheibendplatz verläßt (T-310/50 wertet dann
"bbbb" nicht aus).


BETA-Klasse, BOA-Algorithmus
Grundlage für die Untersuchung und Entwicklung der BETA-Klasse
ist der Zufallszahlengenerator von Hull und Dobell(1962).
Die Entwicklung der BETA-Klasse begann 1974 und endete nach
umfassender Analyse 1979.
Im Jahr 1988 wurde die Geheimhaltung des Verfahrens aufgehoben.
Der Algorithmus wurde 1974 bis 1975 spezifiziert und bis 1979
wurden statistische Untersuchungen unternommen in denen die
Kryptologische Sicherheit der Klasse nachgewiesen wird.
Ziel war es, wie es in der ALPHA-Klasse realisiert wurde, einen
sicheren Algorithmus zu erstellen mit dem man Zufallsfolgen,
Wurmgruppen, für den Chiffrieralgorithmus bereitstellt.
Geplant war bis zur Schließung der Akte, den BOA Algorithmus
für weitere Chiffriersysteme zu nutzen.

Die Folge a = (an) n ∈ ƞ₀ ist die Additionsreihe.

      *i *i     *i
a3i = tt₅ ... t*i *i       *i
a3i+1 = t₁₄t₁₄ ... t*i *i       *i
a3i+2 = t₂₁t₂₂ ... t₁₅

 *i    *i  *i       *i
T   = t₂₁ t₂₀ ... ti     i
Ti = SpiSqi

 o    o   o         o
S  = S₀, S₁, ..., S₃₁) ∈ ƞ ist der Schlüssel

p = (pi)i, q = qi)i, r = (ri)i heißen Steuerfolgen.

      i  i  i  i  i
pi = V₂₁V₂₀V₁₉V₁₈V₁₇;

      i i i i i
qi = VVVVV₅;

      i i i i i
ri = VVVVV₀;

      i i i i i
ci = V₁₄V₁₃;

           i
Vi = EiSk mit k ≣ i(mod 32)

Ei+1 = 33 Ei ⊗ Y

Fi+1 = 9 Fi ⊗ Z

Das Schlüsselsystem umfaßt:
  o   o         o    o      o
(S₀, S₁, ..., S₃₁, E, Y, F,Z) ∈ [N(2²²)]32

⊗ entspricht mod(2²²)

Die Additionsreihen werden wie bei der T-310 nicht direkt
mit dem Klartext, bzw. Chiffrat XOR-verknüpft.

Bei entsprechender Wahl des Schlüssels, große Primzahlen,
können bis zu 600 Millionen Zufallszahlen erzeugt werden,
dann beginnt der Zyklus. (Periodizität)

In der Häufigkeitsverteilung konnte nachgewiesen werden
das diese paarweise verschieden sind.