Cryptografie

Het woord cryptografie betekent geheimschrijven. Cryptografie wordt toegepast voor de beveiliging van gegevens tegen “ongeoorloofde kennisname”, zeg maar afluisteren. Heel actueel in onze tijd van alomtegenwoordige communicatie en cybercrime. Cryptografie beoogt geheimhouding van berichten door het omzetten van berichten in wartaal, ogenschijnlijke onzin, een willekeurige volgorde van karakters waar niks zinnigs uit op is te maken. Dit laatste in tegenstelling tot steganografie, waarbij een boodschap verstopt wordt in een andere, betekenisvolle boodschap. Een inleiding in de cryptografie vind je hier.

Het omzetten van een bericht in een cryptogram (nee, geen puzzel uit de krant) wordt vercijferen of versleutelen genoemd, soms ook wel encryptie. Het omgekeerde proces is dan ontcijferen, ontsleutelen of decryptie. De woorden ver- en ontsleutelen duiden al op het gebruik van een sleutel. De cryptografische sleutel is een essentiële hoeveelheid informatie die geheim gehouden dient te worden en alleen bekend is bij degene die vercijfert en, afhankelijk van het cryptografiesysteem: symmetrisch of asymmetrisch , ook bij degene die het cryptogram ontcijfert. Hoe dan ook is het omgaan met en het beheer van cryptografische sleutels een zeer belangrijk deelgebied van de cryptografie.

CryptografieCryptografie is uitgegroeid tot een wetenschap die op veel universiteiten vanuit verschillende invalshoeken onderwezen wordt. Ik heb daar zelf ook een bijdrage aan mogen leveren door middel van colleges, lezingen, een masteropleiding aan de Technische Universiteit Eindhoven (TU/e) en onderzoek samen met collega’s o.a. van de Universiteit van Bergen ( UiB), Noorwegen. Veel van mijn publicaties zijn hier te vinden.

Aan de meer praktische kant van de cryptografie heb ik sinds 1980 aan heel veel verschillende projecten en producten mogen meewerken o.a. bij Philips, Pijnenburg /SafeNet, Banksys, DeltaCrypto en Compumatica in de rollen van cryptograaf, security architect en senior consultant. CryptografieHet ging daarbij om onderzoek naar en ontwerp van cryptografische algoritmen (wiskunde), sleutelbeheersystemen, toevalsgeneratoren (random generators), elektronica in de vorm van geïntegreerde schakelingen (chips) en toepassingssoftware. Veel van die producten waren bestemd voor de hoogste categorie beveiliging, nl. de beveiliging van staatsgeheimen. Kortom high grade, high security, high assurance. De foto links is van september 2004; ik bedien er een UP6317 beveiligde telefoon. Een prachtig overzicht van cryptoapparatuur met uitvoerige beschrijvingen is te vinden bij het online Cryptomuseum.

Er zat echter ook een andere kant aan de cryptografie… Cryptografische applicaties, apparaten en software, werden gezien als strategische goederen. Daardoor kon dit soort beveiligingsapparatuur niet zomaar naar alle landen geëxporteerd worden. Teneinde omzet in het buitenland te kunnen realiseren, wat een must was voor een commercieel bedrijf als Philips, moest de sterkte van de cryptografie gereduceerd worden. In tegenstelling tot alles wat er in het verleden hierover gezegd en geschreven is, werd deze degradatie in overleg met de overheidsdienst in die tijd (het toenmalig Nationaal Bureau Verbindingsbeveiliging- NBV) gerealiseerd. De verzwakking van de beveiliging werd op verschillende en vaak uiterst creatieve en innovatieve manieren uitgevoerd in de cryptografische algoritmen en de toevalsgeneratoren.  Een voorbeeld van een dergelijke verzwakking betreft de PX-1000 pocket telex, die uitvoerig beschreven staat op de site van het Cryptomuseum.

En inderdaad, dit was een serieuze verzwakking geregisseerd door de NSA, het National Security Agency van de Verenigde Staten. Zaterdag 20 april 2019 onthulde het Nederlandse radioprogramma Argos hoe de NSA het cryptografische algoritme veranderde van de PX-1000 pocket telex, een vercijfer apparaat bestemd voor de consumentenmarkt, met de hulp van multinational elektronica gigant Philips.  Een spannend verhaal dat teruggaat tot 1984.

De Aroflex Cryptografie

Aroflex is de naam van een door Philips Usfa B.V. cryptografisch beveiligde Siemens T-1000 telexmachine. Op deze Aroflex pagina op de website van het Crypto Museum vindt u veel informatie over deze machine, alsmede zijn geschiedenis en rol binnen NATO.

Aroflex staat voor twee verschillende basistypes, de een genaamd Aroflex en bestemd voor gebruik door NATO, bondgenoten en bevriende landen. Het andere type stond bekend onder de naam T-1000CA en was bedoeld voor gebruik in het niet-NATO deel van de wereld. De machines van het Aroflex type werden exclusief door Philips Usfa op de markt gebracht. De T-1000CA machines werden in eerste instantie door Siemens verkocht, maar later ook door Philips Usfa.

Twee Crypto’s

Op de website van het Crypto Museum is duidelijk aangegeven dat de twee machinetypes van heel verschillende cryptografie gebruik maken. Zelfs de elektronica van het cryptodeel, waar twee verschillende geïntegreerde schakelingen in gebruikt zijn, te weten de OQ4406 en OQ4407, is anders. De 4407 is afgeleid van zijn voorganger 4406 door een relatief eenvoudige masker modificatie, waarbij een deel van de schakeling als het ware gewist is. Deze modificatie was eenvoudig en kostte weinig extra. Het cryptografisch algoritme van de T-1000CA stond bekend onder de naam Beroflex algoritme.

De techniek
Er bestonden voor beide machinetypes veel varianten van de standaard cryptografische werking. Deze varianten betroffen voornamelijk verschillende vaste waarden van een aantal bits in de sleutelinstellingen. Het zijn de zogenoemde aanvul bits in de dag- en berichtensleutel, als ook het aantal stappen of cycli in de verschillende initialisatiefasen van het algoritme. Beide algoritmen bestaan uit acht secties die ook wel ‘wielen’ werden genoemd naar analogie met de rotormachines zoals de enigma. Een zo’n sectie bevat registers (bit-geheugen) en digitale schakelingen, heeft ruimte voor zestien sleutelbits en een 5 bits schuifregister. De geheime sleutel heeft dus een lengte van maximaal 8×16 = 128 bits. Bij een categorie Aroflex varianten was het mogelijk om tijdens de productie van het cryptodeel de volgorde in te stellen van beïnvloeding van secties op elkaar. Een voorbeeld van deze volgorde permutatie is de UA8116/04, ook bekend onder de naam ‘Politieflex’. De telex encryptie apparaten drukken een cryptogram netjes geformatteerd af: maximaal 10 groepen van vijf letters op een regel en heeft een cryptografische aanloop (Eng.: preamble, ook wel berichtensleutel genoemd) van  10 groepen van vijf letters. De eerste vijf groepen laten één vijfmaal herhaalde groep zien. Deze groep van vijf letters bevat 25 bits opgewekt middels een toevalsgenerator. Deze 25 bits worden samen met 31 bits met vaste waarde gebruikt om de registers van het algoritme te initialiseren. Dit geschiedt in de zogenaamde alfamode. Het tweede deel van de berichtensleutel bestaat eveneens uit een vijfmaal herhaalde groep van vijf willekeurige letters, echter vercijferd met de geheime dagsleutel. Vanwege deze vercijfering kan dit tweede deel van de berichtensleutel niet (eenvoudig) onderscheiden worden van de vercijferde klare tekst, de boodschap. Tenminste niet bij Aroflex… Met uitzondering van één variant, vertonen Beroflex machines een statistische afwijking in dit deel van het cryptogram. Dit is een nuttige eigenschap voor de cryptanalist waarmee duidelijk kan worden dat het cryptogram door een Beroflex machine geproduceerd is! Sowieso is vercijfering van redundante tekst –de vijfmaal herhaalde lettergroep– een slechte gewoonte in de cryptografie. Het geeft de cryptanalist een middel om vast te stellen of de gekozen sleutelbits of andere parameters met grote waarschijnlijkheid de juiste zijn.

Sterk en zwak
De cryptografische sterktes van Aroflex en Beroflex verschillen ordes van grootte! Aroflex heeft een sleutellengte van 96 bits, afgeleid van 24 letters uit het telex alfabet a..z. Om de 8 secties volledig te vullen met sleutelbits, worden twee secties gevuld met 32 bits met vooraf bij productie ingestelde vaste waarden, welke optioneel klant uniek vastgelegd konden worden. Onder aanname dat er geen bruikbare zwaktes in het algoritme zijn, moet de cryptanalist een aanval lanceren waarbij 2^96 (=79.228.162.514.264.337.593.543.950.336 ) sleutels geprobeerd worden. Dit is astronomisch veel en was ondoenlijk voor computers en speciale apparaten uit die tijd. Beroflex gebruikt slechts 90 bits uit de dagsleutel van 24 telex letters, waardoor er nog 38 bits met vaste waarde aan toegevoegd worden: twee secties geheel gevuld en 1 bit in de overige 6 secties. Een groot verschil is echter de toestand van het interne geheugen van het Beroflex algoritme dat niet beïnvloed wordt door de actuele waarde van de dagsleutel! Bij Aroflex wordt deze toestand door de gehele 96 bits sleutel beïnvloed! Om toch enige afhankelijkheid van de dagsleutel in de interne toestand van het algoritme te realiseren, heeft Beroflex een aparte mix mode, de zogenaamde bèta-mode. Helaas maakt deze bèta-mode slechts gebruik van 24 bits, welke in feite slechts lineaire combinaties zijn van dagsleutelbits. Deze 24 bits zijn dus de enige onbekende bits voor de cryptanalist, waarmee uit het tweede deel van de berichtensleutel de geheime dagsleutel te berekenen is. Door ten hoogste alle 2^24 (= 16,777,216) combinaties te proberen en te checken of het ontcijferde tweede deel van de berichtensleutel een vijfmaal herhaalde groep is, wordt de juiste dagsleutel gevonden. De berekening is vrij eenvoudig en bestaat uit het oplossen van een stelsel lineaire vergelijkingen. Zo’n veertig jaar geleden, omstreeks 1980, kostte deze crypto analytische aanval nog teveel tijd op de beschikbare computers. Daarom werd er een speciale chip en elektronica ontwikkeld ten behoeve van de geheime diensten, waarmee elk telexbericht dat met een T-1000CA was vercijferd, snel kon worden meegelezen.

Business en achterdeur

Aroflex machines mochten alleen aan NATO partners en bevriende bondgenoten verkocht worden. De T-1000CA daarentegen, werd verkocht aan veel landen, regeringen, overheden, politiediensten en bedrijven over de hele wereld. Hiermee verschaften de geheime diensten zich toegang tot een reusachtige hoeveelheid informatie die over het wereld wijde telexnetwerk uitgewisseld werd. Ook stelde het bedrijven als Philips Usfa en Siemens in staat om meer omzet te realiseren en daarmee de aanzienlijke investeringen in het ontwikkelen en produceren van deze apparaten te compenseren. Het is moeilijk voor te stellen dat de Nederlandse geheime diensten geen enkele actieve bemoeienis hebben gehad in de ontwikkeling van Beroflex.  B na A, een betrekkelijk geavanceerde verzwakking van een zeer sterk, NATO goedgekeurd cryptografisch algoritme. Geen enkel commercieel opererend bedrijf zou zoveel moeite, in tijd, geld en geheimhouding nemen voor het aanbrengen van een achterdeur die het niveau van een foutje, een bug, duidelijk ver overstijgt! Het risico ontmaskerd te worden en de gevolgen van imagoschade, verlies van betrouwbaarheid en het volledig wegvallen van verdere verkopen zijn gewoonweg te groot.

Wordt vervolgd…binnekort de ‘Chinaflex’