Das Chiffriergerät T-1000 CA BArch*24, *191, *361, *655, *659
Siemens T-1000-CA wurde ab dem Jahr 1980 intensiv vom KGB und dem MfS
untersucht. Und für eigene Modifikationen bearbeitet.
Das MfS konnte das Projekt nicht mehr abschließen.
Ergebnisse der Untersuchungen und Dechiffrierungen wurden bereits 1983
an Kuba weitergeleitet.
Aus den Unterlagen, 1987, ist ersichtlich das die Chiffrierfernschreib-
maschine T-1000-CA eine Produkt der Siemens AG ist.
Es handelt sich um eine modifizierte Fernschreibmaschine T-1000 mit
Schlüsselzusatz CA
(AROFLEX/BEROFLEX?).
Dieses Gerät wurde von einer Messe sichergestellt.
Inbesitz dieser Maschine war nicht nur das MfS sondern auch der KGB.
In den Unterlagen finden sich Hinweise des Versuches die parasitären
Störabstrahlung auszunutzen, was zum damaligen Zeitpunkt nicht erreicht
wurde. Auch haben die Fachleute des KGB dem MfS vorgeworfen das sie damit
sowieso überfordert wären.
In dem Bericht Erfassung des in der Abteilung XI vorhandenen Potentials
zur operativ-technischen Sicherstellung der politisch-operativen Arbeit
ist die Auslastung des T-1000 CA in der Abteilung XI für das Jahr 1986/1987
mit 30% Arbeitszeit beziffert.
Abb.: T-1000
Abb.: T-1000-CA mit Schlüsseleinheit cryptomuseum.com
Abb.: T-1000-CA Schlüssel Sammler*131 BArch*659
Aus den Protokollen der HA III/6 (1986 - 88) zum Bearbeitungsstand der
Chiffrierfernschreibmaschinen Siemens T-1000 CA:
- sowjetische Genossen: Die HA III hat ihren Beitrag in Richtung
Parasitär zu bringen,
- Strahlen auf operative Nutzung prüfen, auf operativen Wert und
Reproduzierbarkeit,
- am T-1000 CA arbeiten wir parallel zu den sowjetischen
Freunden,
Die sowjetischen Genossen sind noch nicht bereit, auf dieser
Strecke intensiv und im Detail mit uns zusammenzuarbeiten, da wir
für sie noch nicht das nötige Niveau haben und Fragen der
Geheimhaltung berücksichtigt werden müssen.
Die Arbeit am T-1000 CA ist operatives Erfordernis, der T-1000 CA
ist gleichzeitig Übungsobjekt für uns.
Bereits 1983 wurde Ergebnisse der Analysen und Dechiffrierungen an Kuba übergeben.
Protokoll: Sachgebiet: "Diplomatische Vertretungen"
durch die HA III/6.
- Bearbeitung parasitärer Aussendungen von gegnerischen Vertretungen.
- wissenschaftlich-technische Forschungsarbeit an Siemens Chiffrierfernschreibmaschine
T-1000 CA.
- Demonstration der Reproduktion des Informationsgehaltes parasitärer Signale
eines elektronischen Druckers.
- Ergebnis muß sein die Nutzung der Reproduzierbarkeit der parasitären Strahlung
und Gewinnung der gesendeten Informationen.
- Die rechnergestützten Bearbeitung der parasitären Signale mittels des
Einchiprechners M 8820, der über einen 8-kanaligen Meßwandler die Schwellspannungen
auswertet und reproduziert.
- Die rechnergestützte statistische Auswertung der Parasitärstrahlungsfrequenz.
- Nutzung des Fourieranalysator OMC 105 A
- Re-Engineering des Schrittmotors mit einem Schrittwinkel von 30 Grad,
mit drei Ansteuerungen. Hintergründe für die Ansteuerfrequenz von 21,855 kHz.
Lösung durch das Werk Sömmerda und robotron Werk Erfurt.
- Beachtung der bei der Aufzeichnung von parasitären Strahlungen entstandenen
Effekte wie die des Doppler- und Hall-Effektes.
- Aufzeichnung der parasitären Strahlung aus dem Wechselstromnetz des Zielobjektes.
Mittels kapazitiver und induktiver Einkopplung. Versuche der Einsendung von HF
zum Zweck der Aussendung dieser von dem zu beobachteten Objekt.
Manipulation, Bearbeitung eines Variant
Telefonapparates zur Raumüberwachung.
Abhören im Bereich des Infraschall, Sprachbereich und Ultraschallbereiches.
über Hydroakustik, Heizungs-, Kalt oder Warmwasser sowie Abflußleitungen.
Aufzeichnen elektromagnetische Abstrahlung am Heizungsnetz.
Messung der Aussendungen bis zu 1 GHz.
Meßgerätebau für das Auffangen der Displaystrahlungen von Monitoren.
Nutzung der Radarwellen um durch verschiedener Baumaterialien hindurch
Informationen zu erhalten.
Bau von Ortungsgeräten für Radarstrahlungen (> 1GHz)
Infrarotstrahlungen für Abhören und sicherheitstechnischen Überwachungsanlagen.
Lasertechnik nutzen zur Informationsgewinnung, Abhören.
Nutzen der MKF-6 Weltraumfotografietechnik für die Objekterkundung.
Zusammenfassung der Untersuchung des T-1000-CA in der
Betriebsart Verschlüsseln ohne Zwischenspeicherung
.
Wegen unvollständiger Dokumentation und einigen fachlichen
Fehlern erfolgt hier nur eine Zusammenfassung.
Es gibt kein Hinweis auf die Checkfunktion
zur Ermittlung
der Software. Siehe auch: Cryptography Cees Jansen
Dokumentiert ist der Beginn und das Ende der digitalen
Aufzeichnungen der Analyse: 03.03.1984 - 18.12.1986.
Start der Disassemblierung: 30.07.1984, Ende 04.02.1985.
Mittels eines, physisch vorhandenen, T-1000-V mit Chiffrierzusatz
CA wurde die Analyse vorgenommen. Nicht Dokumentiert ist der
verwendete Typ, wahrscheinlich ein BEROFLEX.
Als Literatur war vorhanden:
- Übersichtsbeschreibung Fernschreiber 1000CA -Siemens-
- Betriebsanleitung Fernschreiber 1000CA -Siemens- Dok.-Nr. 775 3.Ex.
- Assemblerprotokoll des Gesamtprogramms des T1000CA
- I8080 Assembly Language Programming Manual 1975
Prozessor: SAB 8080, idealerweise ist der U-880 (Z-80) abwärtskompatibel
und der Op-Code ist identisch.
Ausgenommen die IX, IY Register und die Alternativ-Register.
Es wurde, bedingt durch das Disassemblieren mit einem U-880 Disassembler,
die Mnemonik des U-880 bzw. Z-80 verwendet. Das erhöht auch die Lesbarkeit,
insbesondere bei fortgeschrittener U-880 - Z-80 Kenntnis.
Abb.: Mnemonik-Tabelle I8080 <> U-880 (Z80)
Verwendeter Schlüssel: ABCDEFGHIJKLMNOPQRSTUVWX
Kontrollgruppe: TFJEN
Schlüsselnummer: 12345
, auf dem Speicherplatz B
Das Quellprogramm war ebenfalls vorhanden.
Es wurden Programmablaufpläne erstellt, sowie Analysemethoden
für weitere Systeme erstellt.
Datenblatt:
Siemens Chiffrierfernschreibmaschine für den Lokalen (Vorchiffrierung)
wie auch Linien-(Direkt) Chiffierbetrieb. Übertragung nach CCITT-2.
Betrieb über Tastatur- wie auch über Lochstreifenleser- Eingabe.
Schlüsselspeicherbereich:
Grundschlüssel: 26, a 24 Buchstaben.
Grundschlüsselspeicheradresse werden über die Buchstaben A … Z aktiviert.
Kontrollgruppe: 5 Buchstaben
Schlüsselnummer: 5 Zahlen
Geheimtextausgabe erfolgt in Fünfergruppen Buchstabentexten.
Speicherung von 6 * 200 Gruppen Geheimtext.
Bei der Chiffrierung werden die Klartextbuchstaben K, G, B, J, V
als Bigramme codiert.
Bsp.: K
codierte Ausgabe des Klartextes:
A…
+ Z
+ K
.
Ausgabe im GTX z. B.: ISM
Die Analyse erfolgte mit der MRES 5601 auf der Softwarebasis MEOS 1521.
Die Analyse der Betriebsart Verschlüsseln ohne Zwischenspeicherung
wurde gewählt
weil eine Eingabe eines Klartextzeichen gleich zu einer Ausgabe des Geheimtextes auf
dem Drucker bzw. Lochstreifenstanzer erfolgt.
Da ständig Zufallszahlen gebildet werden, während der Funktions- und Warteschleife,
werden zum Ende der täglichen Arbeit der Analyse alle Register gesichert, um am nächsten Tag
beim letzten Stand weiterzuarbeiten.
Das Einrasten des Schalters PROZ
initialisiert den Verschlüsselungsvorgang
.
Die Taste CHIFFR
startet dann den Verschlüsselungsvorgang und
gibt den Initialisierungsvektor, 11 Gruppen, aus.
Die Beendigung des Verschlüsselungsvorganges erfolgt durch das Ausrasten
des Schalters PROZ
. Es erfolgt eine Auffüllung der Fünfergruppen sowie
der Ausdruck des Abspannes.
Codiertablle 1: Umcodierung der Werte über Adresse 0x1A58
Sub.werte |
in Reg. B | modif. Chiffratorwerte
|
|00 01 02 03 04 05 06 07 08 09 0a 0b 0c 0d 0e 0f 10 11 12 13 14 15 16 17 18 19 1a 1b 1c 1d 1e 1f
00| Z Y X W V U T S R Q P O N M L K J I H G F E D C B A G G G G G G
01| A Z Y X W V U T S R Q P O N M L K J I H G F E D C B A G G G G G
02| B A Z Y X W V U T S R Q P O N M L K J I H G F E D C B A G G G G
03| C B A Z Y X W V U T S R Q P O N M L K J I H G F E D C B A G G G
04| D C B A Z Y X W V U T S R Q P O N M L K J I H G F E D C B A G G
05| E D C B A Z Y X W V U T S R Q P O N M L K J I H G F E D C B A G
06| F E D C B A Z Y X W V U T S R Q P O N M L K J I H G F E D C B A
07| G F E D C B A Z Y X W V U T S R Q P O N M L K J I H G F E D C B
08| H G F E D C B A Z Y X W V U T S R Q P O N M L K J I H G F E D C
09| I H G F E D C B A Z Y X W V U T S R Q P O N M L K J I H G F E D
0a| J I H G F E D C B A Z Y X W V U T S R Q P O N M L K J I H G F E
0b| K J I H G F E D C B A Z Y X W V U T S R Q P O N M L K J I H G F
0c| L K J I H G F E D C B A Z Y X W V U T S R Q P O N M L K J I H G
0d| M L K J I H G F E D C B A Z Y X W V U T S R Q P O N M L K J I H
0e| N M L K J I H G F E D C B A Z Y X W V U T S R Q P O N M L K J I
0f| O N M L K J I H G F E D C B A Z Y X W V U T S R Q P O N M L K J
10| P O N M L K J I H G F E D C B A Z Y X W V U T S R Q P O N M L K
11| Q P O N M L K J I H G F E D C B A Z Y X W V U T S R Q P O N M L
12| R Q P O N M L K J I H G F E D C B A Z Y X W V U T S R Q P O N M
13| S R Q P O N M L K J I H G F E D C B A Z Y X W V U T S R Q P O N
14| T S R Q P O N M L K J I H G F E D C B A Z Y X W V U T S R Q P O
15| U T S R Q P O N M L K J I H G F E D C B A Z Y X W V U T S R Q P
16| V U T S R Q P O N M L K J I H G F E D C B A Z Y X W V U T S R Q
17| W V U T S R Q P O N M L K J I H G F E D C B A Z Y X W V U T S R
18| X W V U T S R Q P O N M L K J I H G F E D C B A Z Y X W V U T S
19| Y X W V U T S R Q P O N M L K J I H G F E D C B A Z Y X W V U T
Codiertabelle 2: Prüfung auf Registerfunktionen
modif. Chiff. |
werte | Inhalt von 0x2005 … 0x2009
|
| 00 01 02 03 04 05 06 07 08 09 0a 0b 0c 0d 0e 0f
00| 1a 1b 1c 1d 1e 1f
01| 1b 1a 1d 1c 1f 1e
02| 1a 1b 1e 1f 1c 1d
03| 1b 1a 1f 1e 1d 1c
04| 1c 1d 1e 1f 1a 1b
05| 1d 1c 1f 1e 1b 1a
06| 1e 1f 1c 1d 1a 1b
07| 1f 1e 1d 1c 1b 1a
08| 1a 1b 1c 1d 1e 1f
09| 1b 1a 1d 1c 1f 1e
0a| 1a 1b 1e 1f 1c 1d
0b| 1b 1a 1f 1e 1d 1c
0c| 1c 1d 1e 1f 1a 1b
0d| 1d 1c 1f 1e 1b 1a
0e| 1e 1f 1c 1d 1a 1b
0f| 1f 1e 1d 1c 1b 1a
Ablauf der Bedienfunktion und darauffolgende Ausgaben
Schalter PROZ
einschalten,
Lampe PROZ
leuchtet
<<≡A… SELECT
Tastatureingabe:B
( Schlüsselspeicheradresse )
B
1…
12345
( Schlüsselnummer )
A…
TFJEN
( Kontrollgruppe )
A…
≡ ( 15mal Vorspann 1 )
< <
A…
( 17mal Vorspann 2 )
Taste CHIFFR
drücken
Lampe PROZ
geht aus
Lampe CHIFF
geht an
A…
1…
A…
< < ≡
ZZZZZ NWWKK NWWKK NWWKK NWWKK NWWKK LURJH LEZWT QKXOH QNYZO
< < ≡
BDLKH
Tastatureingabe: K
( 1. Zeichen zum chiffrieren )
I
( chiffrierte A… Umschaltung )
SM
( chiffriertes Bigramm K
)
Schalter PROZ
ausschalten,
Lampe CHIFFR
aus
PP
( Zufallsbuchstaben zum Auffüllen )
Anschließend:
HHHHH
( Zufallsbuchstaben )
ZZZZZ
< < ≡ A…
BT
< < ≡
GT 14
( Gruppenanzahl )
< <
≡ ( 8mal )
A…
NNNNN ( Abschlußkennung )
A…
( Nachspann )
Vollständiger GTX:
ZZZZZ NWWKK NWWKK NWWKK NWWKK NWWKK LURJH LEZWT QKXOH QNYZO
BDLKH ISMPP HHHHH ZZZZZ
BT
GR 14
NNNN
Abb.: Prinzip der Verschlüsseln ohne Zwischenspeichern.
In der Ingenieur-Arbeit wird nicht auf den Chiffrator
eingangen.
Es fehlen die Beschreibung des Intialisierungsvektor, insbesondere wie
er in die Erzugung der Addtions/Substitutinsreihen eingreift.
Sowie der Algorithmus der Erzeugung der Addtions/Substitutinsreihen.
Angenommen werden kann, das es sich um ein Substitutionsverfahren
mittels zweier Matrizzen handelt. Ähnlich wie beim GRETAG TC-850.
Aufteilung der Speicher und Adressbereiche:
0x0000 … 0x1fff ROM
0x0200 … 0x3fff RAM, Variablen, Zeichenspeicher und Stack
0x4000 … 0x4nnn I/O Adressen, Drucker-Rechner, Zufallsgenerator & Chiffrator
0x6000 … 0x6nnn I/O Adressen, LED, Drucker, Locher, Tastatur
im Source-Code:
0x2000 Register A…/1…
0x2003 Ereignis-Byte, Kennzeichen Register (A…, 1…)
0x2005 … 0x2018 20 byte nach 0x400c, beschrieben mit??
0x200a … 0x200e
0x2026 Ereignis-Byte
0x2028 Ereignis-Byte Fernschreibmaschine/Linie
0x2029 Zeichen zur Substitution
0x202b
0x202c Zeiger, Rettung HL z.B. 0x2049
0x2030 Ergebnisbyte Chiffrator Initialisierung
0x2032 Zeiger, Rettung HL
0x2036 2 byte Zeiger auf Schlüssel-Adresse
0x2038 0x04 bei CHIFFR
0x2039 Ereignis-Byte
0x203a Substituiertes Zeichen, Test A…(0x1f)
0x203c Gruppenzählung, Startwert 0x00 oder 0x60
0x203e 0x13 bei
0x203c Gruppenzähler, Gsamtanzahl der Fünfergruppen je Zeile
0x203f Kennzeichen 0x58, Chiffrierung beendet
0x2042 Gruppenzähler, Fünfergruppen
0x2043 Blattzähler
0x2049 5 Byte Zwischen- Ausgabespeicher
bei Schlüssel Z := 5 * Z
0x2049 … 0x204d
0x2247 Startadr. Schlüsselspeicher
0x226a … 0x2275 temp. Schlüsselwerte
0x227a … 0x3fff Bytes werden in der Intialsierung mit 0 beschrieben
0x2269 … 0x2274 Bearbeiten Schlüsselwerte
0x4000 Byte für Substitution
0x4001 "Reset" Chiffrator
0x4002 Ereignis/Steuer Byte Chiffrator
0x4004 Steuerbytes/Schlüsselwerte an Chiffrator, aus x01a78 4bytes.
0x4008 … 0x400f Intialwert 0x0a an Chiffrator
0x400a … 0x400f 3 Übergabewerte an Chiffrator senden
0x400c Byte-Adr. an Chiffrator
Konstantenbereich:
0x0003 … 0x001d, 0x002b … 0x0036, 0x0037 … 0x0057
ROM-Konstanten Inhalt
0x1a13 … 0x1a37 Substitution Steuerzeichen
0x1a58 … 0x1a77 Substitution Buchstaben A-Z
0x1a78 … 0x1a7b 0xb8, xx
0x1a87 0x4a
0x1a88 0x94
0x1bd1 0xddb9
0x1bd5 0xdd97
0x1bd9 0x227a Anfang des Textspeichers. Ende = 0x3fff (7557 bytes)
0x1bdd 0x19f8
0x1bdf 0x1a18
0x1be9 0x1a78
0x1bed 0x05
0x1bf5 0x12; Schleifenzähler Konstante
0x1bf7 0x0a
0x1bf8 0x1f
0x1bf9 0x0f
0x1bfb 0x11
0x1bfc 0x11 FsZeichen Z
0x1bfd 0x0d
0x1be1 0x1a13 … 0x1a37 Substitution
0x1beb 0x1a82 … 0x1a86
0x1bed 0x1a89 … 0x1a8d
RST:
0x0008, 0x0010, 0x0018, 0x0020, 0x0028, 0x0030, 0x0038
Der o.g. Konstatenbereich überschneidet sich mit den RST Adressen.
Wenn die RST Adressen nicht benötigt werden ist das möglich.
Das schließt dann die Nutzung der RST Befehle aus.
Im o.g. Konstantenbereich sind das die RST 0x08, 0x10, 0x30 und 0x38.
Interrupt-Modus 0 führt ein RST 0x66 aus, kein Hinweis auf
die Nutzung des IM 0.
Interrupt-Modus 1 nutzt den RST 0x38, kein Hinweis auf die
Nutzung des IM 1 oder des RST-0x38
Entsprechend der Beschreibung wird über den IM 2 die RST 0x20
für die Tastatur Abarbeitung geenutzt.
NMI:
0x0066 Kein Hinweis auf die Nutzung des NMI.
0x0020 Tastatur
0x0020 Druckerausgabe
Aufzählung einiger Routinen:
Funktionswarteschleife 0x1233
UP- und ISR Tabelle:
ab Adresse: 0x1b63
Endadresse: 0x1bce
0x0037 … 0x0041 Schalter PROZ
und Taste CHIFFR
0x0003 … 0x001d Drucken Abspann
CALL/JMP Funktionsname
0x0065
0x0066 ?NMI?
0x0156 0x202b, 0x227a … 0x3fff mit 0 füllen
0x0167 Betriebsart speichern, Lampen Ein-, Ausschalten
0x019f 0x2036 … 0x2049 mit 0 füllen
0x01c2 HL = 0x2023 mit n füllen
0x01db Test Register A…
0x0202 Ermittlung Registerzustand via 0x2000 und 0x2003
0x0259 Warteschleifen, auf Interrupt
0x0265 Drucke Zeichen nach Taste CHIFFR, Signal von Linie
0x02b1 Drucken Ausgabespeicher von B (FsZeichen)
0x02e0 Ausgabe von Konstanten
0x02ec Drucke Zeichen, Auslöser: Schalter PROZ
0x02f7 Drucke Zeichen
0x0333 Substitution Register/Buchstaben
0x033d Substituierung nach Klartext
0x04a9 Drucken start Warteschleife
0x065a
0x0685 in Ausgabespeicher schreiben
0x069b Test auf Vor- und Abspann
0x06a7 Linie aktiv?
0x06d7 12 * A…
speichern
0x06dc Speichern auf Ausgabespeicher
0x06e1 in Ausgabespeicher WR, WR ZV ablegen.
0x06f1 For 0 to B … Schleife
0x071a Ende Speicher, Endadr. 0x3fff
0x0723 Abfrage Fernschreibmaschine
0x0754 Test chiffrierter Text
0x0770 Substitution, Tabelle 0x19f8 … 0x1a17
0x0782 Substitution in Klartext
0x0796 BCD Berechnung Blattzahl
0x0808
0x082f Test Zeichen oder Register A…/
0x0861 Warteschleife, Auswahl Schlüsselcode Ein,- und Ausgabe
Warte auf Änderung in 0x2039, via 0x1322
0x0869 Einfügen WR/ZV
0x08bb Test Linie-Signalisierung
0x08d8 Test Substituiert Register A…/1…/WR/ZV
0x08ed Substitution Register A…/1…/WR/ZV
0x0906 Gruppen und Blattzähler
0x091a Prüfung Einhaltung der Fünfergruppenlänge
0x0932 Gruppenzählung, Einstellungen und Abfragen
0x0945 Initalwerte Chiffrator, Kontrollgruppe in 0x2275 … 0x2279, 5 * Z
in 0x2049 … 0x204d
0x098f Ausgabespeicher schreiben, Initialwerte Chiffrator
0x09dc Drucken eines Zwr.
0x09e2 Auffüllen GTX und Bildung Abspann
0x1322 Taste CHIFFR gedrückt
0x14b2 Gerätezustand
0x181d Abfrage xyz Schlüsselkennung
0x1866 Schlüssel + Konstante zum Chiffrator
0x188c Parameter Chiffrator
0x18d5 Parametrierung Chiffrator
0x1916 Zufallszahlen
in 0x2005 … 0x2018 schreiben
0x193a Ausgabe Schlüssel- und Kontrollgruppe
0x1998 Trennung Bu/Zi der Krontrollgruppe
0x19ad Abfrage Initalwerte Chiffrator
0x19b0 Initialwerte für Chiffrator
0x19ca Kontrollgruppe bilden, Vergleich Kontrollgruppe aus 0x20dd … 0x20e1
Abfrage Chiffriator 0x4000, Speicherung in 0x2005 … 0x2015
Ausgabe an Chiffrator 0x400c
0x1ab0 Nach Tastendruck, Ausgabefolge speichern
0x1ad7 Substitution ins Ausgabeformat/Buchstaben
0x1afb Schlüsselwerte bearbeiten
0x1b06 Sende an, Empfange vom Chiffrator
0x1b12 18*Einschreiben in Chiffrator
0x1b1f Prüfung Funktionstaste/Buchstaben bei CHIFFR
0x1b46 3* Übergabe A, nach 0x400a
0x1b86 Call/JMP 0x1ab0
0x1b89 Call/JMP 0x181d
0x1b8c Call/JMP 0x1866
0x1b8f Call/JMP 0x118c
0x1b92 Call/JMP 0x18d5
0x1b9e Call/Jmp 0x1916
0x1ba4 JMP 0x193a
0x1bb0 JMP 0x19ad
0x1bb3 JMP 0x19b0
0x1bb6 Call/JMP 0x1998
0x1bb9 JMP 0x19ca
0x1bbc Call 0x1ad7
0x1bc2 Call 0x1b12
0x1bc5 Call 0x1b46
0x1bc8 Call 0x1b1f
0x1bce JMP 0x1b06
0x1bbf JMP 0x1afb
0x1bce Lese 0x4002, bei Änderung in 0x4002 schreiben.