Skip to main content
main-content

Über dieses Buch

Dieses Buch beschreibt, unter welchen Bedingungen das in der DDR am weitesten verbreitete Fernschreibchiffriergerät sowie der dazugehörige Algorithmus vor etwa 50 Jahren zum Schutz von Staatsgeheimnissen entwickelt wurden. Der Leser kann die damaligen Methoden und Ergebnisse mit den aktuellen Möglichkeiten einer kryptologischen Analyse vergleichen – insbesondere unter dem Aspekt der heute zur Verfügung stehenden Computertechnik.

Es wird herausgearbeitet, dass die konsequente Anwendung von Methoden der Gruppen- und Automatentheorie in der Analyse eine zentrale Rolle spielte. Dieser algebraische Analyseansatz aus der sowjetischen Schule wird bis heute unterschätzt – die Betrachtungsweisen können auch für Nichtkryptologen unter den Lesern von Nutzen sein. Darüber hinaus werden die Unterschiede dargestellt zwischen der Analyse des Chiffrieralgorithmus, der Sicherheitsanalyse des Geräts und der Chiffrierverfahren, in denen es zum Einsatz kommt. Schließlich wird auch das Ende der T-310 beschrieben, das mit dem Untergang der DDR einhergeht: Das Gerät wurde letztmalig im Vereinigungsprozess auf einer gesicherten Fernschreibverbindung zwischen Bonn und Berlin eingesetzt.

Beide Autoren sind studierte Mathematiker und wirkten maßgeblich an der Entwicklung und Analyse der T-310 mit. Hier berichten erstmals Insider über diese Arbeit.

Inhaltsverzeichnis

Frontmatter

Rahmenbedingungen für die Entwicklung

Frontmatter

Kapitel 1. T-310-Chronologie

Zusammenfassung
Das Chiffriergerät T-310 sowie das zugehörige Chiffrierverfahren ARGON waren die wichtigsten Eigenentwicklungen des Zentralen Chiffrierorgans der DDR. In den 70er Jahren entwickelt, kam die T-310 nach ihrer Erprobung ab 1983 vor allem in den Staats- und Sicherheitsorganen der DDR zum Einsatz. Zum Ende der DDR existierten fast 3900 Geräte, die nach der Vereinigung der beiden deutschen Staaten auftragsgemäß so gut wie alle vernichtet wurden. Dieser Lebenszyklus, vom Beginn der Entwicklung über einzelne Entwicklungsetappen bis zur Vernichtung der Geräte, wird im Überblick skizziert. Die personellen, technischen und wissenschaftlichen Voraussetzungen für die Entwicklungsarbeiten, insbesondere die Zusammenarbeit mit den sowjetischen Kryptologen, werden im historischen Kontext beschrieben.
Wolfgang Killmann, Winfried Stephan

Kapitel 2. Grundbegriffe und Entwicklungsanforderungen

Zusammenfassung
Begriffe, auch Definitionen, ändern sich im Laufe der Zeit. Sie sind oft abhängig vom wissenschaftlich-technischen und gesellschaftlichen Umfeld. Wir führen hier die Begriffe und Definitionen so ein, wie wir sie damals nutzten. Von grundlegender Bedeutung ist die Definition der quasiabsoluten Sicherheit. Mit Hilfe dieser Termini legen wir dar, was wir unter der Sicherheit eines Chiffrierverfahrens verstehen. Die Wichtigkeit des Kerckhoffs’ Prinzip für die Einschätzung der Sicherheit wird begündet. Ausgehend von den grundlegenden operativ-technischen Anforderungen an leiten wir die Anforderungen an das Verfahren, das Gerät T-310 und den zugehörigen Algorithmus ab. Die Wechselwirkung von Entwicklung und Analyse im Entwicklungsprozess wird dargestellt.
Wolfgang Killmann, Winfried Stephan

Entwicklung und Analyse des Chiffrieralgorithmus

Frontmatter

Kapitel 3. Grundstruktur des Chiffrieralgorithmus T-310

Zusammenfassung
Die Grundstruktur des Chiffrieralgorithmus T-310 mit seinen einzelnen Bestandteilen, der Schlüsseleingabe, der Synchronisationseinheit, der Komplizierungseinheit und der Verschlüsselungseinheit, wird im Überblick vorgestellt. Im Anschluss wird der Aufbau des Schlüsselsystems mit Langzeitschlüssel, Zeitschlüssel und Initialisierungsvektor einschließlich der unterschiedlichen Funktionen dieser drei Schlüsselkomponenten erläutert.
Wolfgang Killmann, Winfried Stephan

Kapitel 4. Chiffrieralgorithmus T-310

Zusammenfassung
Die Entwicklung des Chiffrieralgorithmus T-310 begann 1974. 1979 wurde er verbindlich für die weitere Entwicklung und Analyse festgelegt und auf der Grundlage der Beschreibung in der T-310-Analyse von 1980 hier exakt definiert. Die Beschreibung von 1980 wird ergänzt durch die Einführung weniger neuer Definitionen, die in der aktuellen Ergebnisdiskussion benötigt werden. Wir fügen eine kompakte Automaten-Darstellung als MEALY-Automat für den Chiffrier- und den Dechiffrierprozess hinzu. Beide Möglichkeiten der Beschreibung nutzen wir in den nachfolgenden Kapiteln.
Wolfgang Killmann, Winfried Stephan

Kapitel 5. Langzeitschlüssel

Zusammenfassung
Vergleichbar mit der Funktion der S-Boxen des DES werden durch die Wahl des Langzeitschlüssels wesentlich die kryptologischen Eigenschaften des Chiffrieralgorithmus T-310 bestimmt. Die für den operativen Einsatz freigegebenen Langzeitschlüssel wurden auf der Grundlage einer aufwendigen Langzeitschlüsseltechnologie ausgewählt. Aus Effizienzgründen wurden zwei Langzeitschlüsselklassen konstruiert. Die Vorauswahl der Langzeitschlüssel aus diesen Klassen berücksichtigte technisch bedingte Einschränkungen der technischen Implementierung und garantierte geforderte mathematische Eigenschaften z. B. die Bijektivität der Abbildung zur Erzeugung einer Steuerfolge und den Ausschluss bestimmter kryptologisch relevanter Vereinfachungen dieser Abbildung. Gleichzeitig wurde es durch diese Vorauswahl praktisch möglich, Experimente zum Nachweis der Transitivität dieser Abbildung durchzuführen. Jeder fr den Einsatz freigegebene Langzeitschlüssel wurde allen uns möglichen theoretischen und experimentellen Untersuchungen unterzogen.
Wolfgang Killmann, Winfried Stephan

Kapitel 6. Integration der Substitution

Zusammenfassung
Mit dem Chiffrieralgorithmus T-310 wird ein Substitutionsverfahren realisiert. Die Realisierung ist wesentlicher Bestandteil der Verschlüsselungseinheit. Die Substitution \(\psi \) bewirkt, dass für einen Angriff mit bekannten Klartexten zwei schlüsselgleiche Texte und für einen Angriff nur mit Geheimtexten drei schlüsselgleiche Texte benötigt werden. Nur so können Klartexte rekonstruiert bzw. Substitutionsreihen bestimmt werden. Der Vorteil gegenüber der Nutzung eines Additionsverfahrens wird diskutiert.
Wolfgang Killmann, Winfried Stephan

Kapitel 7. Abbildung

Zusammenfassung
In der Komplizierungseinheit der T-310 wird die Abbildung \(\varphi \) realisiert. Die Ausgabefolge der Komplizierungseinheit steuert die Substitution für die Ver- bzw. die Entschlüsselung in der Verschlüsselungseinheit. Die Untersuchung der Eigenschaften der Abbildung \(\varphi \) ist die Basis für die in den Folgekapiteln beschriebenen Analysen. Die kryptologisch wichtigste Komponente ist ein vierfach vorhandenes Modul, das eine nichtlineare Abbildung Z realisiert. An sie wurden Forderungen gestellt, die heute von einigen Kryptologen als Anfänge der Differentialkryptoanalysis gedeutet werden. Eine für kryptoanalytische Angriffe verwertbare lineare Approximation sollte ebenfalls praktisch unmöglich sein. Die Wirkung der gesamten Abbildung \(\varphi \) wird durch drei Schlüsselparameter \((s_{1},s_{2},f)\) bestimmt. Die für die Eigenschaften der Abbildung weitreichende Forderung nach Bijektivität wird begründet. Danach wird eine experimentelle Methode zur Prüfung, ob der zur Abbildung \(\varphi \) gehörige Graph stark zusammenhängend ist, vorgestellt. Die Untersuchung von Effektivitätsgebieten für eine Abbildung ist in der Kryptographie ein nicht eingeführter Begriff und wird deshalb anhand der Abbildung \(\varphi \) genauer beschrieben.
Wolfgang Killmann, Winfried Stephan

Kapitel 8. Gruppe G(P, D)

Zusammenfassung
Für die kryptologischen Untersuchungen der Langzeitschlüssel wird die durch die bijektiven Abbildungen \(\varphi (p)\), \(p\in \mathcal {B}{}^{3}\) erzeugte Gruppe G(PD) eingeführt. Zur Auswahl der operativ einsetzbaren Langzeitschlüssel werden von der zugehörigen Gruppe bestimmte Eigenschaften gefordert und Wege für ihren Nachweis aufgezeigt. Von zentraler Bedeutung ist der Prüfung der Transitivität und der Primitivität der Gruppe. Schließlich kann aufgrund der beschriebenen Methodik geprüft werden, ob die Gruppe G(PD) die alternierende Gruppe enthält. Bis zu diesem Ergebnis werden schrittweise innere Strukturen einer Gruppe, wie Homomorphismen und Imprimitivitätssysteme analysiert und dann Algorithmen für die experimentelle Prüfung entwickelt. Die Methode zum Nachweis der Primitivität auf der Basis unvollständiger Kenntnis der Zyklenstrukturen der Erzeugenden der Gruppe ist in der Literatur in dieser Form nicht zu finden und wird deshalb ausführlicher beschrieben. Die praktisch bereits belegten guten Erfolgsaussichten für dieses Vorgehen werden durch einen Modellvergleich mit zufällig erzeugten Permutationen bestätigt. Den Abschluss dieses Kapitels bildet eine Zusammenfassung der Anforderungen an die Langzeitschlüssel.
Wolfgang Killmann, Winfried Stephan

Kapitel 9. Stochastische Modelle

Zusammenfassung
Zur Untersuchung des Chiffrieralgorithmus T-310 wurden verschiedene stochastische Modelle entwickelt. Im einfachsten Modell wurde die pseudozufällige f-Folge durch eine 0,1-Folge ersetzt, deren Glieder bernoulliverteilt sind. Im Modell besitzen dann die \(u_{\alpha }\)-Folge und die a-Folge ebenfalls die Be (0, 5). Die vorhergesagten Eigenschaften wurden durch statistische Tests überprüft. Es zeigte sich, dass sich die a-Folgen nicht von Folgen, die durch einen echten Zufallsgenerator mit Be(0.5) erzeugt werden, unterscheiden. Danach werden Ansätze für die experimentelle Bestimmung des Linearanteils der im CA T-310 wirkenden BF vorgestellt. In einem weiteren Abschnitt wird das Modell der Markov-Ketten und das der Markov-Chiffren genutzt, um nachzuweisen, dass in diesen beiden Modellen die Zustände asymptotisch gleichverteilt sind. Das Konzept der Markov-Chiffren ist in der Literatur als Modell für die Differentialkryptoanalyse von Blockchiffren eingeführt. Schließlich bewerten wir die Häufigkeit gewisser algebraischer Strukturen der berechneten Zyklen aus einem anderen Blickwinkel. Es wird die Frage untersucht, ob die in Experimenten erzeugten Zyklenstrukturen sich von denen unterscheiden, die durch zufällig erzeugte Funktionen bzw. Permutationen entstehen. Es zeigt sich, dass dies nicht der Fall ist.
Wolfgang Killmann, Winfried Stephan

Kapitel 10. Perioden und Schlüsseläquivalenzen

Zusammenfassung
Es werden Untersuchungsergebnisse zur Periodizität und den Schlüsseläquivalenzen des Chiffrieralgorithmus T-310 beschrieben. Perioden der Substitutionsreihe, die kürzer als der Geheimtext sind, führen zu Geheimtextabschnitten, die auf die gleiche Weise verschlüsselt wurden. Sie erleichtern somit die Dekryptierung ohne Schlüsselbestimmung und schaffen Voraussetzungen für die Bestimmung des Zeitschlüssels. Solche Periodenlängen wurden für den Chiffrieralgorithmus T-310 praktisch ausgeschlossen. Für die Bestimmung des Zeitschlüssels durch Angreifer ist es ausreichend, nur einen zum verwendeten Zeitschlüssel äquivalenten Zeitschlüssel zu bestimmen, der die gleiche Verschlüsselung bewirkt. Deshalb müssen solche Vereinfachungen möglichst ausgeschlossen werden. Der Chiffrieralgorithmus T-310 besitzt mindestens \(0{,}8\cdot 2^{115}\) nicht äquivalente Zeitschlüssel in Bezug auf die Substitutionsfolge. Damit sind zwei zentrale Frage der kryptologischen Analyse positiv beantwortet.
Wolfgang Killmann, Winfried Stephan

Kapitel 11. Chiffrieralgorithmus T-310 aus heutiger Sicht

Zusammenfassung
Seit der ersten Veröffentlichung 2006 zum Gerät T-310 erschien eine ganze Reihe von Publikationen über die Eigenschaften des Chiffrieralgorithmus T-310. Die Beschäftigung damit zeigte, dass in fast allen Artikeln auf die Ähnlichkeit dieses Algorithmus mit der Feistelchiffre verwiesen wird. Deshalb wird auf diesen Vergleich genauer eingegangen. Außerdem wird der Chiffrieralgorithmus T-310 aus heutiger Sicht eingeschätzt, wozu auch Analyseergebnisse einer internationalen Gruppe von Kryptologen um Nicolas T. Courtois einbezogen werden. An mehreren Beispielen wird die Verbindungen zwischen den Anforderungen an die operativen LZS von 1980 und den Erfolgsaussichten für Dekryptieransätze aufgezeigt. Für den Chiffrieralgorithmus T-310 und den für den operativen Einsatz zugelassenen LZS sind auch heute noch keine erfolgreichen Dekryptieransätze bekannt.
Wolfgang Killmann, Winfried Stephan

Entwicklung und Analyse der Chiffrierverfahren

Frontmatter

Kapitel 12. Chiffrierverfahren

Zusammenfassung
Das Kapitel gibt einen kurzen Überblick über die Chiffrierverfahren ARGON, SAGA und ADRIA. Es werden die Grundsätze der kryptologischen Analyse der Chiffrierverfahren erläutert.
Wolfgang Killmann, Winfried Stephan

Kapitel 13. Chiffriergeräte und Schlüsselmittel

Zusammenfassung
Die Chiffriergeräte T-310/50 und T-310/51 bildeten zusammen mit den Schlüsselmitteln der Typen 796 und 758 die materielle Grundlage der Chiffrierverfahren ARGON, SAGA und ADRIA. Es werden deren Entwicklung, Produktion und die kryptologisch-technische Untersuchung dieser Komponenten beschrieben.
Wolfgang Killmann, Winfried Stephan

Kapitel 14. Sicherheit des Chiffrierverfahrens im Einsatz

Zusammenfassung
Es wird beschrieben, wie die Sicherheit des Chiffrierverfahrens ARGON im praktischen Einsatz untersucht und bewertet wurde. Der Schwerpunkt liegt auf der Analyse der Bedienfunktionen der Chiffriergeräte (Bedienanalyse), einschließlich der Analyse von Bedienfehlern, sowie der Analyse der Gebrauchsanweisung für das Chiffrierverfahren. Es werden die Möglichkeiten der Informationsgewinnung durch einen Angreifer aus der Verkehrsaufklärung insgesamt und insbesondere durch Dekryptierangriffe eingeschätzt.
Wolfgang Killmann, Winfried Stephan

Ende und Neuanfang

Frontmatter

Kapitel 15. Das Ende des ZCO und der T-310

Zusammenfassung
Seit November 1989 änderten sich die politischen Verhältnisse stetig und rasant. Die Auswirkungen auf die Arbeit des Zentralen Chiffrierorgans und seine Mitarbeiter waren weitreichend. Die Auflösung staatlicher und gesellschaftlicher Einrichtungen hatte zur Folge, dass die dort befindlichen Chiffriergeräte zurückgeführt werden mussten. Das waren hauptsächlich T-310-Geräte, die mit Unterstützung von Kirchenvertretern und Vertretern der Bürgerbewegung aus den Chiffrierstellen abtransportiert werden konnten. Für die Kommunikationsverbindung zwischen der Bundesregierung und der neuen DDR-Regierung musste gleichzeitig eine sichere Nachrichtenverbindung aufgebaut werden. In diesem Zusammenhang kam es zu Kontakten zwischen Vertretern der Zentralstelle für Sicherheit in der Informationstechnik in Bonn und dem Zentralen Chiffrierorgan, wobei auch das Verfahren ARGON, die T-310 und ihr Chiffrieralgorithmus vorgestellt wurden. Zum praktischen Einsatz der T-310 kam es bereits ab Mai 1990. In den beiden Regierungsbunkern, in Marienthal in der BRD und in Prenden in der DDR, wurden Geräte installiert, um eine gesicherte Fernschreibverbindung zwischen dem BMI der BRD und dem MdI der DDR herzustellen. Wenige Wochen später gab es dann eine zweite Verbindung, die zwischen der Bundeswehr von der Hardthöhe in Bonn zur NVA, zur Hauptnachrichtenzentrale in Strausberg. Für uns begann am 3. Oktober der letzte Akt im Lebenszyklus der T-310. Bis auf wenige Ausnahmen wurden bis Dezember 1990 alle Geräte vernichtet.
Wolfgang Killmann, Winfried Stephan

Kapitel 16. Neuanfang bei der SIT

Zusammenfassung
Nach dem Ende der DDR begann für zehn Kryptologen, die an der Entwicklung der T-310 mitgewirkt hatten, ein neuer Lebensabschnitt in einem völlig anderen politischen und sozialen Umfeld. Mit Unterstützung des Bundesamts für Sicherheit in der Informationstechnik wurde eine Tochtergesellschaft der Rohde & Schwarz GmbH & Co. KG gegründet. Vom Bundesamt für Sicherheit in der Informationstechnik kamen auch die ersten Aufträge. In einer offenen Crypto-Community begannen wir uns mit Veröffentlichungen und Vorträgen zu etablieren.
Wolfgang Killmann, Winfried Stephan

Backmatter

Weitere Informationen

Premium Partner

    Bildnachweise