home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #23 / NN_1992_23.iso / spool / sci / crypt / 3795 < prev    next >
Encoding:
Internet Message Format  |  1992-10-15  |  27.5 KB
  1. Path: sparky!uunet!zaphod.mps.ohio-state.edu!wupost!waikato.ac.nz!comp.vuw.ac.nz!cavebbs!sideways!patrick
  2. Newsgroups: sci.crypt
  3. Subject: Re: temporary, independent FAQ file
  4. Message-ID: <1992Oct15083657patrick@sideways.welly.gen.nz>
  5. From: Pat Cain <patrick@sideways.welly.gen.nz>
  6. Date: Thu, 15 Oct 1992 08:36:57 GMT
  7. Reply-To: Pat Cain <cain_p@kosmos.wcc.govt.nz>
  8. References: <1992Oct13.183131.16614@rchland.ibm.com>
  9. Organization: SillyNews, Sideways bulletin board, Lower Hutt, New Zealand
  10. Keywords: FAQ cryptography
  11. Lines: 625
  12.  
  13. lwloen@vnet.ibm.com,
  14.   in article <1992Oct13.183131.16614@rchland.ibm.com> writes:
  15. > "temporary, independent" sci.crypt Frequently Asked Questions
  16.  
  17. I'm also looking forward to the new FAQ.  Thanks for your version.  For
  18. those who missed it, here's a FAQ that was posted last year.
  19.  
  20.  
  21. From: cme@ellisun.sw.stratus.com (Carl Ellison)
  22. Newsgroups: sci.crypt
  23. Subject: FAQ for sci.crypt -- for review
  24. Date: 14 Nov 91 16:41:18 GMT
  25. Organization: Stratus Computer, Inc.
  26. Lines: 609
  27.  
  28. [The following FAQ file was prepared by 3 of us, based on long reading
  29. of sci.crypt and our own sources.  Before posting this to
  30. news.answers, I thought I would post it here alone -- to gather
  31. comments.  One of my own, so far, is that the initial book list is
  32. probably too long for the rank beginner.  Comments?  --cme ]
  33.  
  34. ============================================================================
  35.  
  36.                   sci.crypt
  37.               Frequently Asked Questions
  38.              with answers by readers of sci.crypt
  39.          (and subjects which have been beaten to death)
  40.  
  41.  Compiled by:
  42.     cme@ellisun.sw.stratus.com (Carl Ellison)
  43.     Gwyn@BRL.MIL (Doug Gwyn)
  44.     smb@ulysses.att.com (Steven Bellovin)
  45.  
  46. o What books can I start with to learn cryptology?
  47. o I forgot my WordPerfect password.  Can I still read the file?
  48. o Breaking Repeated XOR Encryption
  49. o Has DES been broken?
  50. o Differential cryptanalysis
  51. o Did NSA weaken DES (eg., with the 56 bit key)?
  52. o Is Lucifer stronger than DES (longer key)?
  53. o Did NSA put a trap door into DES's S-boxes?
  54. o Did NSA or IBM design the S-boxes?
  55. o NSA's capabilities.
  56. o Is NSA more capable than the public cryptography researchers?
  57. o Why is there structure in the S-boxes?
  58. o Is DES a group?
  59. o Is RSA patented?
  60. o Should it be?
  61. o How do I send encrypted mail?
  62. o Can I use the UNIX crypt command?
  63. o If I first do perfect compression, ....?
  64. o Is there an unbreakable cipher?
  65. o What does "random" mean?
  66. o Is the USA really so stupid as to believe it can restrict export of
  67.   PD encryption software?
  68. o What are the US export regulations?
  69. o Here's the ciphertext from my new algorithm.  Try to break it.  OK,
  70.   that was good, so I'll change it this way.  Now try to break it.
  71. o What is the unicity point (a.k.a. unicity distance)?
  72. o What is "brute force search" and what is its cryptographic relevance?
  73. o How does one determine the strength of a proposed cryptosystem?
  74. o How does one go about cryptanalysis?
  75. o If a cryptosystem is theoretically unbreakable, does that mean that it
  76.   is guaranteed analysis-proof in practice?
  77. o Why are many people still using cryptosystems that are relatively
  78.   easy to break?
  79. o What is key management and why is it important?
  80. o WWII German ENIGMA
  81. o What is TEMPEST?
  82. o Fractal Cryptography
  83. o Chaos Cryptography
  84. o Linear Congruential Pseudo-random Numbers as a Key Stream
  85. o What are MD4 and MD5?
  86.  
  87.  
  88. o What books can I start with to learn cryptology?
  89.  
  90.   Books:
  91.  
  92.     David Kahn, The Codebreakers, Macmillan, 1967 [history] [The
  93.     abridged paperback edition left out most technical details; the
  94.     original hardcover edition is recommended.]
  95.  
  96.     H. F. Gaines, Cryptanalysis, Dover, 1956 (originally 1939, as
  97.     Elementary Cryptanalysis)
  98.  
  99.     Abraham Sinkov, Elementary Cryptanalysis, Math. Assoc. of Amer.,
  100.     1966
  101.  
  102.     D Denning, Cryptography and Data Security, Addison-Wesley, 1983
  103.  
  104.     Henry Beker & Fred Piper, Cipher Systems -- The Protection of
  105.     Communications, Wiley-Interscience, 1982
  106.  
  107.     Wayne Patterson, Mathematical Cryptology for Computer Scientists and
  108.     Mathematicians, Rowman & Littlefield, 1987
  109.  
  110.     Alan G. Konheim, Cryptography:  A Primer, Wiley-Interscience, 1981
  111.  
  112.     Davies and Price, Security for Computer Networks, John Wiley & Sons,
  113.     1989, Second Edition.
  114.  
  115.     Meyer and Matyas, Cryptography:  A New Dimension in Computer Data
  116.     Security, John Wiley & Sons, 1982.
  117.  
  118.     Publications from the Aegean Park Press P.O. Box 2837, Laguna
  119.     Hills, CA 92654-0837 [especially the volumes of Lambros D.
  120.     Callimahos & William F. Friedman's "Military Cryptanalytics" for
  121.     cryptanalysis; for history, Herbert O. Yardley's "The American
  122.     Black Chamber" and William F. Friedman's "Solving German Codes in
  123.     World War I"]
  124.  
  125.   Journals:
  126.  
  127.     Journal of Cryptology; International Association for Cryptologic
  128.     Research; published by Springer Verlag (quarterly since 1988).
  129.  
  130.     IEEE Transactions on Information Theory [carries many cryptography
  131.     papers.]
  132.  
  133.     Cryptologia:  a cryptology journal, quarterly since Jan 1977.
  134.     Cryptologia; Rose-Hulman Institute of Technology; Terre Haute
  135.     Indiana 47803 [general: systems, analysis, history, ...]
  136.  
  137.     The Cryptogram (Journal of the American Cryptogram Association);
  138.     18789 West Hickory Street; Mundelein, IL 60060; [primarily puzzle
  139.     cryptograms of various sorts]
  140.  
  141. o I forgot my WordPerfect password.  Can I still read the file?
  142.  
  143.     WordPerfect encryption has been shown to be very easy to break.  The
  144.     method uses XOR with two repeating key streams:  a typed password
  145.     and a byte-wide counter initialized to 1+<the password length>.
  146.     Full descriptions are given in:
  147.  
  148.     John Bennett; "Analysis of the Encryption Algorithm Used in the
  149.     WordPerfect Word Processing Program"; Cryptologia, vol.XI, #4 (Oct
  150.     87) p206
  151.  
  152.     H. A. Bergen and W. J. Caelli; "File Security in WordPerfect
  153.     5.0"; Cryptologia, vol.XV, #1 (Jan 91) p57
  154.  
  155. o Breaking Repeated XOR Encryption
  156.  
  157.     "A recent post stated that cracking the encryption of a file that
  158.     had been XOR'ed with a password that was not the same length as the
  159.     file was " *trivial* ".  I would appreciate it very much if someone
  160.     would explain an algorithm to me that accomplishes this (short of
  161.     brute force)!"
  162.  
  163.     If the password is less than 1/2 the length of the file, then you
  164.     can
  165.  
  166.     1.    discover the length of the password by counting coincidences:
  167.         (see Gaines, Sinkov, Welchman or Deavours)
  168.  
  169.         Trying each displacement of the ciphertext against itself, count
  170.         those bytes which are equal.  If the two ciphertext portions
  171.         have used the same key, something over 6% of the bytes will be
  172.         equal.  If they have used different key, then less than 0.4%
  173.         will be equal (assuming random 8-bit bytes of key covering
  174.         normal ASCII text).
  175.  
  176.         The smallest displacement which indicates equal key is the
  177.         length of the repeated password.
  178.  
  179.     2.    shift the text by that length and XOR it with itself.  This
  180.         removes the password and leaves you with text XORed with itself.
  181.         Since English has about 1 bit of real information per byte, 2
  182.         streams of text XORed together has 2 bits of info per 8-bit
  183.         byte, providing plenty of redundancy for choosing a unique
  184.         decryption (see "unicity distance").
  185.  
  186.     If the password is short, it might be even easier to treat this as a
  187.     standard polyalphabetic substitution.  All the old cryptanalysis
  188.     texts show how to break those.  It's possible with those methods, in
  189.     the hands of an expert, if there's only 10x more text than password.
  190.     See, for example, Callimahos, Gaines or Sinkov.
  191.  
  192. o Has DES been broken?
  193. o Differential Cryptanalysis
  194.  
  195.     At CRYPTO '90, Eli Biham and Adi Shamir presented a paper:
  196.     "DIFFERENTIAL CRYPTANALYSIS OF DES-LIKE CRYPTOSYSTEMS", to be
  197.     published in the Journal of Cryptology.
  198.  
  199.     They showed that they could break 15-round DES with 2^52 steps but
  200.     16-round DES required 2^58 steps.  [Brute force requires only 2^55
  201.     steps because of DES's symmetry.]
  202.  
  203.     The New York Times, on p.A18, 3.Oct.91 and again in the Sunday
  204.     paper, 13.Oct.91, ran a story noting that Drs. Shamir and Biham
  205.     have an improved algorithm which breaks DES in fewer steps than
  206.     brute force.  Details of the algorithm have not been released and
  207.     apparently won't be until it is published.  It is a chosen plaintext
  208.     attack and might be a refinement of the differential cryptanalysis
  209.     methods described in 1990.
  210.  
  211.     This does not mean that the cipher is broken practically, only that
  212.     it's getting nearer to being broken.  The number of operations
  213.     might still be very large and multiple DES operations with different
  214.     keys or use of block-chaining techniques might defeat this attack. 
  215.  
  216.     [A DES developer was quoted as saying that DES should be adequate
  217.     for 5 to 10 years of life.  He said that in 1978.  (See the article
  218.     mentioned below.)]
  219.  
  220. o Did NSA weaken DES (eg., with the 56 bit key)?
  221. o Is Lucifer stronger than DES (longer key)?
  222. o Did NSA put a trap door into DES's S-boxes?
  223. o Did NSA or IBM design the S-boxes?
  224.  
  225.     According to the following article..
  226.  
  227.     Paul Kinnucan; "DATA ENCRYPTION GURUS:  TUCHMAN AND MEYER";
  228.     Cryptologia; vol.II #4 (Oct 78) p.371 (also in Mini-Micro Systems,
  229.     vol.II #9, Oct 78)
  230.  
  231.     Tuchman says (p.379) "We developed the DES algorithm entirely within
  232.     IBM using IBMers.  The NSA did not dictate a single wire!"
  233.  
  234.     Tuchman and Meyer spent a year breaking ciphers and finding
  235.     weaknesses in Lucifer.  They then spent two years strengthening
  236.     Lucifer.  (p.374) 'Their basic approach was to look for strong
  237.     substitution, permutation, and key scheduling functions ... IBM
  238.     has classified the notes containing the selection criteria at the
  239.     request of the NSA....  "The NSA told us we had inadvertently
  240.     reinvented some of the deep secrets it uses to make its own
  241.     algorithms," explains Tuchman.'
  242.  
  243.     Adi Shamir is quoted to say (NYTimes Oct 13 1991), "I would say
  244.     that, contrary to what some people believe, there is no evidence of
  245.     tampering with the DES so that the basic design was weakened."
  246.  
  247. o NSA's capabilities.
  248. o Is NSA more capable than the public cryptography researchers?
  249.  
  250.     Nobody who knows for sure will say what the capabilities of
  251.     government cryptologic agencies might be.  Generally they seem to be
  252.     years, even decades, ahead of public cryptanalysts; thus it would be
  253.     unwise to assume that any cryptosystem (whose strength has not been
  254.     irrefutably proven) would be unreadable by experts.
  255.  
  256.     One considerable advantage which professional cryptologists have is
  257.     the continuity of practice resulting from decades of accumulated
  258.     experience.  Of course, actual comparisons would be classified and
  259.     are therefore not available to this newsgroup.
  260.  
  261. o Why is there structure in the S-boxes?
  262.  
  263.     According to Meyer and Matyas, there is indeed structure, to
  264.     strengthen the system.  The developers knew of certain attacks,
  265.     and of certain characteristics that would prevent them.  They
  266.     started with random S-boxes, but rejected any with the wrong
  267.     characteristics.  The result is S-boxes that are *not* random.
  268.  
  269. o Is DES a group?
  270.  
  271.     People have often wondered if DES applied twice, with two different
  272.     keys, is equivalent to its being applied once with some third key.
  273.     This is the same as asking whether it forms a group.  It does not,
  274.     according to:
  275.  
  276.     B.S.Kaliski Jr., R.L.Rivest, and A.T.Sherman:  "Is the Data
  277.     Encryption Standard a Group?  (Results of Cycling Experiments on
  278.     DES)," Journal of Cryptology, vol.1, #1, pp.3-16, 1988.
  279.  
  280. o Is RSA patented?
  281.  
  282.     Yes, at least in the USA.  Prior publication may have invalidated
  283.     patent claims in other countries.
  284.  
  285.     Other U.S. patents claim to cover the very concept of public-key
  286.     cryptography.  This is a matter for legal experts to debate.
  287.  
  288. o Should it be?
  289.  
  290.     This conflict of opinion has been aired in this group many times.
  291.     It is a great user of bandwidth.
  292.  
  293. o How do I send encrypted mail?
  294.  
  295.     One popular method uses:
  296.  
  297.     cat file | compress | des private_key | uuencode | mail
  298.  
  299.     Meanwhile, there is an Internet standard in the works called PEM
  300.     (Privacy Enhanced Mail).  It was described in RFC-1113, -1114 and
  301.     -1115.
  302.  
  303.     There is a mailing list for PEM discussions (which has gone
  304.     relatively inactive).  Requests for additions to or deletions from
  305.     the list should be sent to "pem-dev-request@tis.com".
  306.  
  307. o Can I use the UNIX crypt command?
  308.  
  309.     Not if you want security.  See:
  310.  
  311.     J.A. Reeds and P.J. Weinberger, File Security and the UNIX Crypt Command,
  312.     AT&T Bell Laboratories Technical Journal, Vol.63 #8, part 2;
  313.     pp. 1673-1684; October, 1984
  314.  
  315. o If I first do perfect compression, ....?
  316.  
  317.     A number of people have proposed doing very good (or perfect)
  318.     compression followed by some simple encryption method (eg., XOR with
  319.     a repeated key).
  320.  
  321.     A compression scheme that could in fact squeeze out ALL redundancy
  322.     from the pre-encryption plaintext, which is not theoretically
  323.     possible, would make all recovered bit patterns (using all possible
  324.     keys) have equally intelligible unpacked meanings, so that there
  325.     would be no way to select the intended meaning from all these
  326.     possibilities, making brute-force search useless for breaking the
  327.     system.  (This is a similar argument to that used in proving that
  328.     one-time pad encryption is, in principle, absolutely secure.)
  329.     However, in practice there will always be some underlying
  330.     redundancy, and given sufficient material to work with (see "unicity
  331.     distance") the cryptanalyst can, in principle, determine with near
  332.     certainty the intended meaning.
  333.  
  334.     Note that nearly all practical compression schemes produce output
  335.     that actually starts off with high redundancy; for example,
  336.     Lempel-Ziv-Welch compressed files usually start with runs of
  337.     simply-mapped plaintext characters as the string dictionary is
  338.     initially constructed.  Such characteristics can serve as entering
  339.     wedges for cryptanalysis.
  340.  
  341. o Is there an unbreakable cipher?
  342.  
  343.     Yes.  The one-time-pad is unbreakable.  (This requires that a truly
  344.     random key stream be XORed (or otherwise combined) with the source
  345.     -- that the stream be at least as long as the source and that it
  346.     NEVER be used again, for any purpose.)
  347.  
  348.     Of course, a cryptosystem need not be utterly unbreakable to be useful;
  349.     rather, it needs to be strong enough to resist attacks by likely
  350.     enemies for whatever length of time the data it protects is expected
  351.     to remain valid.
  352.  
  353. o What does "random" mean?
  354.  
  355.     Cryptographic randomness doesn't mean just statistical randomness,
  356.     although it implies that.  For a source to be cryptographically
  357.     random, it must be impossible to predict what the next random bit
  358.     will be given complete knowledge of the algorithm or hardware
  359.     generating the stream and *all of the previous bits* in the stream.
  360.  
  361. o Is the USA really so stupid as to believe it can restrict export of
  362.   PD encryption software?
  363.  
  364.     This discussion continues to use much bandwidth.
  365.  
  366.     Opinion is divided.
  367.  
  368.     B.R.Inman, "THE NSA PERSPECTIVE ON TELECOMMUNICATIONS PROTECTION IN
  369.     THE NONGOVERNMENTAL SECTOR", Cryptologia, vol.3, #3, pp.129-135,
  370.     July 1979 -- writing as director of NSA, argues for controls.
  371.  
  372.     The House of Representatives did not go along completely.
  373.  
  374.     "THE HOUSE REPORT ON PUBLIC CRYPTOGRAPHY", Cryptologia, vol.5, #2,
  375.     pp.84-93, April 1981 -- reprints pages 62-69 and 118-120 of "The
  376.     Government's Classification of Private Ideas", House Report No.
  377.     96-1540 (Union Calendar No. 908), 96th Congress, 2nd Session
  378.     (Washington:  GPO, 1980).
  379.  
  380.     Among other things it "finds no shred of evidence to support a
  381.     notion or claim that private ideas in cryptography are 'born
  382.     classified'." (p.89)
  383.  
  384.     Among its recommendations (p.93):  "...determine whether 'speech
  385.     scramblers' and 'privacy devices' indeed belong in the Auxiliary
  386.     Munitions Equipment category of the Munitions List, or whether they
  387.     can be deleted as neither exclusively nor primarily military items.
  388.  
  389.             "In light of the memorandum opinion of the Office of Legal
  390.     Counsel of the Department of Justice in May 1978 on the
  391.     constitutionality under the First Amendment of ITAR restrictions on
  392.     public cryptography, review and rewrite the ITAR to satisfy
  393.     constitutional objections."
  394.  
  395.  
  396.     For additional discussion of this issue, by legal scholars,
  397.     Tony_S_Patti@cup.portal.com recommends:  "Public Cryptography, Arms
  398.     Export Controls, and the First Amendment:  A Need for Legislation"
  399.     in _Cornell International Law Journal_, Volume 17, 1984, pages
  400.     199-236.
  401.  
  402. o What are the US export regulations?
  403.  
  404.     Apparently "privacy devices" remain on the Munitions List and
  405.     software which achieves privacy (rather than just authentication)
  406.     and which is developed by Americans cannot legally be shipped out
  407.     of the US or to a foreign national within the US, under the ITAR
  408.     (International Traffic in Arms Regulations).
  409.  
  410.     The exact reading probably requires a lawyer.  Much bandwidth has
  411.     been spent by non-lawyers offering contrasting legal opinions on
  412.     this.
  413.  
  414. o Here's the ciphertext from my new algorithm.  Try to break it.  OK,
  415.   that was good, so I'll change it this way.  Now try to break it.
  416.  
  417.     Just providing ciphertext isn't adequate.
  418.  
  419.     Any new algorithm should be secure even if the opponent knows the
  420.     full algorithm (including how any message key is distributed) and
  421.     only the private key is kept secret.  If such an algorithm is
  422.     proposed, it might be evaluated by the readers -- and if a flaw is
  423.     pointed out, it then becomes the task of the original designer to
  424.     consider the flaw and try to learn cryptanalysis from it -- rather
  425.     than just try to add one more layer of complication and come back
  426.     for another round.
  427.  
  428.     Often, experts won't invest the time to try to break challenge
  429.     cryptograms, so lack of response does not prove the security of a
  430.     proposed cryptosystem.
  431.  
  432.     Among professionals, the rule of thumb is that if you want to design
  433.     a cryptosystem, you have to have experience as a cryptanalyst.
  434.  
  435. o What is the unicity point (a.k.a. unicity distance)?
  436.  
  437.     C.E.Shannon, "Communication Theory of Secrecy Systems," Bell System
  438.     Technical Journal, 28, October 1949, pp.656-715.
  439.  
  440.     The Unicity Point is an approximation to that amount of ciphertext
  441.     such that the sum of the real information (entropy) in the
  442.     corresponding source text and encryption key equals the number of
  443.     ciphertext bits used.  Ciphertexts significantly longer than this
  444.     can be shown probably to have a unique decipherment.  This is used
  445.     to back up a claim of the validity of a ciphertext-only
  446.     cryptanalysis.  Ciphertexts significantly shorter than this are
  447.     likely to have multiple, equally valid decryptions and therefore to
  448.     gain security from the opponent's difficulty choosing the correct
  449.     one.
  450.  
  451.     Unicity distance, like all statistical or information-theoretic
  452.     measures, does not make deterministic predictions but rather gives
  453.     probabilistic results:  namely, the minimum amount of ciphertext for
  454.     which it is likely that there is only a single intelligible
  455.     plaintext corresponding to the ciphertext, when all possible keys
  456.     are tried for the decryption (see "brute force search").  Working
  457.     cryptologists don't normally deal with unicity distance as such, but
  458.     rather directly determine the likelihood of events of interest.
  459.  
  460.     In fact, actual cryptanalysis seldom proceeds along the lines used
  461.     in discussing unicity distance.  Few practical cryptosystems are
  462.     absolutely impervious to analysis; all manner of characteristics
  463.     might serve as entering "wedges" to crack some cipher messages.
  464.     However, similar information-theoretic considerations are
  465.     occasionally useful, for example, to determine a recommended key
  466.     change interval for a particular cryptosystem.  Cryptanalysts also
  467.     employ a variety of statistical and information-theoretic tests to
  468.     help guide the analysis in the most promising directions.
  469.  
  470.     Unfortunately, most literature on the application of information
  471.     statistics to cryptanalysis remains classified, even the seminal
  472.     1940 work of Alan Turing (see "Enigma").  For some insight into the
  473.     possibilities, see:
  474.  
  475.       I.J. Good, Good Thinking: the foundations of probability and its
  476.     applications, Minneapolis, University of Minnesota Press, 1983
  477.     LCCCN 81-24041
  478.  
  479.       Solomon Kullbach, Information Theory and Statistics, Dover, 1968
  480.     ISBN 0-486-61913-3, LCCCN 68-12910.
  481.  
  482. o What is "brute force search" and what is its cryptographic relevance?
  483.  
  484.     One method of attacking a cryptosystem is to try decrypting the
  485.     intercepted ciphertext using each possible key, until viable
  486.     plaintext is found.  This "brute force search" of the key space is
  487.     impractical for well-designed cryptosystems; however, advances in
  488.     technology sometimes change what is considered practical.  One phase
  489.     of a more sophisticated cryptanalysis may involve a "brute force"
  490.     search of some manageably small space of possibilities.
  491.  
  492. o How does one determine the strength of a proposed cryptosystem?
  493.  
  494.     "Unicity distance" (described above) is one method for simple
  495.     systems; there appears to have been little public development of
  496.     measures of cryptosystem strength.  Generally it is considered
  497.     essential to let experienced expert cryptanalysts "have a go"
  498.     (unsuccessfully!) at a proposed cryptosystem before it is considered
  499.     secure.
  500.  
  501. o How does one go about cryptanalysis?
  502.  
  503.     Cryptanalysis involves an interesting combination of analytical
  504.     reasoning, application of mathematical tools, pattern finding,
  505.     patience and determination.  The best available textbooks on the
  506.     subject are the Military Cryptanalytics series, mentioned in the
  507.     Books section.
  508.  
  509. o If a cryptosystem is theoretically unbreakable, does that mean that it
  510.   is guaranteed analysis-proof in practice?
  511.  
  512.     Cryptanalytic methods include what is known as "practical
  513.     cryptanalysis", which refers to techniques other than pure analysis
  514.     of ciphertext (plus general background knowledge).  For example,
  515.     "cribs" (stretches of known or probable plaintext) may be assumed,
  516.     or "isologs" (same plaintext enciphered in more than one
  517.     cryptosystem or key) may be exploited.  Thus, solutions can often be
  518.     obtained even in circumstances for which simple theory might say
  519.     that no solution is probable.
  520.  
  521.     There are also occasions when cryptosystems malfunction or when
  522.     their users follow incorrect procedures; sometimes these provide
  523.     methods of attack even when correct operation of the cryptosystem
  524.     would have been secure.  Even chosen-plaintext attacks have been
  525.     employed; see, for example, Kahn's account of the Battle of Midway.
  526.  
  527. o Why are many people still using cryptosystems that are relatively
  528.   easy to break?
  529.  
  530.     Some don't know any better; often amateurs think they can design
  531.     secure systems, and are not aware of what an expert cryptanalyst
  532.     could do.  Also, sometimes there is insufficient motivation for
  533.     anybody to invest the work needed to crack a system.
  534.  
  535. o What is key management and why is it important?
  536.  
  537.     One of the fundamental axioms of cryptography is that the enemy is
  538.     in full possession of the details of the general cryptographic
  539.     system, and lacks only the specific key data employed in the
  540.     encryption.  Repeated use of a finite amount of key provides
  541.     redundancy that can eventually facilitate cryptanalytic progress.
  542.     Thus, especially in modern communication systems where vast amounts
  543.     of information are transferred, security requires not only a sound
  544.     general cryptosystem design but also the ability to obtain
  545.     sufficient key material to cover the traffic.  Transmission of key
  546.     material must be to both communicating parties, and this raises
  547.     issues of protecting the key data itself and of validating the
  548.     identities of parties receiving key material for future use.
  549.  
  550.     A publicly accessible example of modern key management technology is
  551.     the STU III secure telephone unit, which for classified use employs
  552.     individual coded "Crypto Ignition Keys" and a central Key Management
  553.     Center operated by NSA.  There is a hierarchy in that certain CIKs
  554.     are used by authorized cryptographic control personnel to validate
  555.     the issuance of individual traffic keys and to perform
  556.     installation/maintenance functions, such as the reporting of lost
  557.     CIKs.
  558.  
  559.     This should give an inkling of the extent of the key management
  560.     problem; for so-called "public key" systems, there are several
  561.     similar issues and others, many having to do with "whom do you
  562.     trust?"
  563.  
  564.     [See also the Kerberos system for an example of key management.]
  565.  
  566. o WWII German ENIGMA
  567.  
  568.     "For a project in data security we are looking for sources of
  569.     information about the German ENIGMA code and how it was broken by
  570.     the British during WWII."
  571.  
  572.  
  573.     W. Kozaczuk, Enigma, University Publications of America, 1984
  574.  
  575.     Gordon Welchman, The Hut Six Story, McGraw-Hill, 1982
  576.  
  577.     Andrew Hodges, Alan Turing:  The Enigma, Burnett Books Ltd., 1983
  578.  
  579.     Cipher A. Deavours & Louis Kruh, Machine Cryptography and Modern
  580.     Cryptanalysis; Artech House, 610 Washington St., Dedham MA 02026
  581.  
  582.     F.H.Hinsley, et al., "British Intelligence in the Second World War",
  583.     Cambridge University Press. (vol's 1, 2, 3a, 3b & 4, so far)
  584.  
  585.     David Kahn, Seizing the Enigma, Houghton Mifflin, 1991
  586.  
  587. o What is TEMPEST?
  588.  
  589.     TEMPEST is a standard for electromagnetic shielding for computer
  590.     equipment.  It is in response to the discovery that information can
  591.     be read from computer radiation (eg., from a CRT) at quite a
  592.     distance and/or with little effort.
  593.  
  594.     Needless to say, encryption doesn't do much good if the cleartext is
  595.     available this way.
  596.  
  597. o Fractal Cryptography
  598. o Chaos Cryptography
  599. o Linear Congruential Pseudo-random Numbers as a Key Stream
  600.  
  601.     "I have heard that nonlinear differential equations and fractals
  602.     share one thing:  small differences in initial condition (or
  603.     parameters) gives big differences in the solution.  This might be a
  604.     good thing to build some kind of cryptographic system on."
  605.  
  606.  
  607.     Chaotic equations and fractals produce an apparent complexity from
  608.     relatively compact generators.  Their displayed output shows
  609.     intricate structure at various levels of detail (for fractals, at
  610.     all levels of detail).  This makes fractals particularly interesting
  611.     to those generating computer images.  From a small data seed and an
  612.     efficient program, very complex images can be generated.  By
  613.     contrast, a linear-congruential pseudo-random number generator
  614.     output would look much more complex -- so much so that no one
  615.     bothers to display it:  it's too random to have anything to look at.
  616.  
  617.     Structure in the output of any form provides a hook for
  618.     cryptanalysis.  Therefore, fractals or chaotic equations are less
  619.     secure than LCPRNGs which, in turn, are notoriously poor
  620.     cryptographic key generators.  See:  J.Reeds, "'Cracking' a Random
  621.     Number Generator", Cryptologia, vol.1, #1, pp.20-26, 1977 --
  622.     reprinted in "CRYPTOLOGY:  Yesterday, Today and Tomorrow" from
  623.     Artech House.
  624.  
  625.     The problem is that the equation is assumed known as is a portion of
  626.     the plain text.  From that, the parameters of the equation can be
  627.     derived and from those the entire remaining key stream can be
  628.     computed.
  629.  
  630. o What are MD4 and MD5?
  631.  
  632.     MD4 and MD5 are message digest functions put into the public domain
  633.     by Ron Rivest.  They are intended to generate a cryptographically
  634.     strong hash of a message so that only the hash needs to be signed to
  635.     sign the message.  They're described in RFC-1113..1115.  Code is
  636.     available by anonymous ftp from RSA.COM.
  637.  
  638.