AosmeuspaisiiiivAgradecimentosArealizacaodestatesesofoi possvel mercedeumconjuntodefactoresfavoraveisedoapoioconcedidopormuitos,queebomrecordar.Agradeco ao meuorientador, Doutor Pedro Patrcio, todo o apoio e incentivo quedisponibilizounaelaboracaodestadissertacao; portudooquemeensinouepelossabiosconselhosquemefacultou. Foimuitoenriquecedortudooqueaprendi!DevotambemumapalavradeagradecimentoaoDoutorAntonioMachiavelopelasuadisponibilidadeegentilezaemfacultaraobraTheCodebreakers.Queromanifestargratidao`aminhafamlia, portodooapoioincondicional; aoJoao,napacienciaecompreensaoquedemonstrouemdiversosmomentos;aoEduardoe`aSarapelacolabora caonaanaliseecorrec caodapartenaocientca.AnaMargaridaMartinsUniversidadedoMinho,Outubrode2005.vviElementosdeCriptologia: umaaplicacaodaAlgebraResumoNestamonograa, procuramosfazerumestudosobrealgunssistemascriptogracos.Estaestadivididaemseiscaptulos.Noprimeirocaptulo, efectuamosumaabordagemhistoricadaCriptologiabemcomoreferimosalgumasdassuasaplicac oesnumpassadorecente.Nosegundocaptulo, enunciamosdenicoesealgunsresultadosbasicosdeTeoriadosN umeros,AlgebraeAlgebraLinearqueseraousadosnoscaptulos3,4e5.No terceiro captulo, sao estudados sistemas criptogracos classicos ou simetricos, bemcomoasuacriptanalise. Estes possibilitamatrocade mensagens secretas entre duasentidades em que e necessario haver, previamente, uma distribuic ao da chave para manter aseguranca da comunica cao. Tambem e necessario que a funcao de encriptacao seja injectivaparaqueadecifracaosejaefectuadadeformainequvoca.No quarto captulo, sao estudados sistemas criptogracos de chave p ublica ouas-simetricos, nomeadamente o RSA e o ElGamal, sendo tambem feita uma breve referencia `aaritmeticadasCurvasElpticasesuaaplicac aoaoElGamal. Asegurancadestessistemasresidenaconstruc aodefuncoesdesentido unico baseadasnadiculdadederesoluc aodeproblemas matematicos queateaomomentosaoconsiderados computacionalmenteinviaveis.Eocasodoproblemadafactorizac aodeinteiros,utilizadonoRSA,edopro-blema do logaritmo discreto, utilizado no ElGamal. Neste captulo tambem sao analisadosalgoritmosnecessariosparaaimplementac aodossistemas. NoRSA, analisaremostestesdeprimalidadeprobabilstica, algoritmosdefactorizac aoepossveisataquesaosistema;noElGamal,analisaremosalgoritmosderesolucaodoproblemadologaritmodiscreto.Noquintocaptulo, saoestudados sistemas deassinaturas digitais. Apenas nos de-brucaremossobreaassinaturadigitalRSA-comumabrevealusao`asfuncoeshash -ena assinatura ElGamal.E de salientar a utilizac ao deste metodo de autenticacao em grandeescalanainternet, nomeadamenteaassinaturautilizandoafunc aohash SHA-1, comencriptacaoRSA.Qualquerassinaturadigitalenvolvedoisalgoritmos: umparaassinareoutroparavericar.Nos captulos 3, 4 e 5 serao apresentados varios exemplos para ilustrar o funcionamentodosalgoritmos.Por ultimo, serao apresentadas algumas conclusoes e consideracoes, enfatizando algunsproblemasquecontinuamemaberto.viiviiiElementsofCryptology: anaplicationofAlgebraAbstractIn this monograph, our goal is to write about some cryptographic systems. It is dividedintosixchapters.Inchapterone, notonlydowedevelopahistorical approachtoCryptology, butalsoenumeratesomeofitsapplicationsintherecentpast.Inchapter two, we present several denitions andbasic results of Number Theory,AlgebraandLinearAlgebra,whichshallbeusedonchapters3,4e5.In chapter three, classical or symmetrical cryptosystems, as well as their cryptanalysis,are subject to a study. These systems enable the exchange of secret messages between twoentities, whichrequiresthatapreviousdistributionof thekeyhastakenplace, inordertomaintainthesecurityof thecommunication. Itisalsonecessarythattheencryptionfunctionis one-to-one, sothat thedecryptionshall betakenforthleavingnoroomformistake.Inchapterfour, public-keyorasymmetrical cryptosystemsarestudied, namelyRSAandElGamal. ThearithmeticoftheEllipticCurvesanditsapplicationstotheElGamalsystem are also briey referred to. The security of these systems lies on the elaboration ofone-way functions, based on the diculty in solving mathematical problems that until thismomentareconsideredcomputationallyinfeasible. Thatisthecaseoftheintegersfac-torization problem, used in RSA, and the discrete logarithm, used in ElGamal. Throughoutthischapter, wealsoanalysesomealgorithmsnecessarytothesystems implementation.ConcerningRSA, weshall analyseprobabilisticprimalitytests, factorizationalgorithmsandpossibleattackstothesystems; regardingElGamal, wewill analysealgorithmsthatprovidethesolutionforthediscretelogarithmproblem.Inchapterve, digital signaturesystemsarestudied. Weshall leansolelyupontheRSA digital signature - with a brief mention to hashfunctions - and the ElGamal signa-ture. Thismethodofauthenticationhasbeenlargelyappliedontheinternet,particularlythesignaturethatusesthehash SHA-1function, withRSAencryption. Anydigitalsignatureinvolvestwoalgorithms: onetosignandanothertoverify.In chapters 3, 4 e 5 several examples will be laid out, in order to illustrate the outcomeofalgorithms.Finally, someconclusionsandcommentsarepresented, emphasizingsomeofthepro-blemsthatremainopen.ixxConte udoIntroducao xiii1 Evolucaodacriptologiaateaosnossosdias 151.1 Antiguidade . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 151.2 IdadeMedia. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 181.3 IdadeModerna . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 211.4 HistoriaRecente . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 252 Preliminares 372.1 AlgunsTopicossobreTeoriadosN umeros . . . . . . . . . . . . . . . . . . 372.1.1 DivisibilidadeeAlgoritmodeEuclides . . . . . . . . . . . . . . . . 372.1.2 Congruencias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 392.1.3 CorposFinitos,ResduosQuadraticoseReciprocidade . . . . . . . 432.1.4 AlgoritmodeEuclidesAlargado . . . . . . . . . . . . . . . . . . . . 482.2 ConceitosdeAlgebraLinear . . . . . . . . . . . . . . . . . . . . . . . . . . 503 CriptologiaClassica 533.1 CriptograaClassica . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 533.1.1 ACifraShift . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 563.1.2 ACifraporSubstituicao . . . . . . . . . . . . . . . . . . . . . . . . 573.1.3 ACifraAm . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 583.1.4 ACifradeVigen`ere . . . . . . . . . . . . . . . . . . . . . . . . . . . 603.1.5 ACifradeHill . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 623.1.6 ACifraporPermutac ao . . . . . . . . . . . . . . . . . . . . . . . . 643.1.7 CifrasdeFluxo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66xixii CONTEUDO3.2 CriptanaliseClassica . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 713.2.1 CriptanalisedaCifraAm. . . . . . . . . . . . . . . . . . . . . . . 733.2.2 CriptanalisedaCifraporSubstituicao . . . . . . . . . . . . . . . . 763.2.3 CriptanalisedaCifradeVigen`ere . . . . . . . . . . . . . . . . . . . 783.2.4 CriptanalisedaCifradeHill . . . . . . . . . . . . . . . . . . . . . . 793.2.5 CriptanalisedaCifradeFluxo. . . . . . . . . . . . . . . . . . . . . 804 Criptologiadechavesp ublicas 834.1 Introduc ao. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 834.2 Cripto-sistemaRSA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 884.2.1 Implementac aodoRSA . . . . . . . . . . . . . . . . . . . . . . . . 924.2.2 TestesdePrimalidadeProbabilstica . . . . . . . . . . . . . . . . . 934.2.3 AtaquesaoRSA . . . . . . . . . . . . . . . . . . . . . . . . . . . . 994.2.4 FalhasdoprotocoloRSA. . . . . . . . . . . . . . . . . . . . . . . . 1044.2.5 AlgoritmosdeFactorizacao . . . . . . . . . . . . . . . . . . . . . . 1054.3 Cripto-sistemaElGamal . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1084.3.1 AlgoritmosparaPLD. . . . . . . . . . . . . . . . . . . . . . . . . . 1154.3.2 CorposnitosesistemasdeCurvasElpticas. . . . . . . . . . . . . 1275 AssinaturasDigitais 1415.1 Introduc ao. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1415.2 AssinaturaDigitalRSA . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1425.3 AssinaturaDigitalElGamal . . . . . . . . . . . . . . . . . . . . . . . . . . 1455.3.1 SegurancadoSistemadeAssinaturaDigitalElGamal . . . . . . . 1476 Conclusao 151Bibliograa 153IndiceRemissivo 157Introducao...both Gauss and lesser mathematicians may be justied in rejoicing that there isone science [number theory] at any rate, and that their own, whose very remotenessfrom ordinary human activities should keep it gentle and clean.-G.H.Hardy,AMathematiciansApology,1940Nao se pode falar na evoluc ao da ciencia e, em particular, em Criptologia, sem se fazerreferencia `a evoluc ao da propria humanidade. Assim, antes de falarmos sobre as aplicacoesdamatematicaemsistemascriptogracos,iniciamosesteestudocomumaabordagemdodesenvolvimentodaCriptologiaaolongodos tempos, quesedeuapar daevolucaodealgumasareasdapropriamatematica. NomeadamenteaTeoriadosN umerosviuoseuestatutodematematicapura transformar-senumadasareascommaisaplicac oes. Assuascontribuic oesparaacriptologiatemsidoin umeras.Nestamonograa, procuramosfazerumestudosobrealgunssistemascriptogracos.Estaestadivididaemseiscaptulos.Noprimeirocaptulo, efectuamosumaabordagemhistoricadaCriptologiabemcomoreferimosalgumasdassuasaplicac oesnumpassadorecente.Nosegundocaptulo, enunciamosdenicoesealgunsresultadosbasicosdeTeoriadosN umeros,AlgebraeAlgebraLinearqueseraousadosnoscaptulos3,4e5.No terceiro captulo, sao estudados sistemas criptogracos classicos ou simetricos, bemcomoasuacriptanalise. Estes possibilitamatrocade mensagens secretas entre duasentidades em que e necessario haver, previamente, uma distribuic ao da chave para manter aseguranca da comunica cao. Tambem e necessario que a funcao de encriptacao seja injectivapara que a decifrac ao seja efectuada de forma inequvoca. Analisaremos as cifras Shift, porSubstituicao,Am,deVigin`ere,deHill,porPermuta caoeCifrasdeFluxo.xiiixiv CONTEUDONo quarto captulo, sao estudados sistemas criptogracos de chave p ublica ouas-simetricos, nomeadamente o RSA e o ElGamal, sendo tambem feita uma breve referencia `aaritmetica das Curvas Elpticas e sua aplicac ao ao ElGamal. Neste tipo de cripto-sistemas,cadautilizador temduas chaves, umap ublicae umaprivada. Tal comonos sistemasclassicos, afuncaode decifracaotemde ser umainversa`aesquerdadafuncaode en-criptacao. Todavia, achaveexigidaparacifrarumamensagem(p ublica)naoeamesmaque a chave necessaria para a decifrar (privada), da a designacao de sistemas assimetricos.Asegurancadestessistemasresidenaconstrucaodefunc oesdesentido unico baseadasnadiculdadederesoluc aodeproblemasmatematicosqueateaomomentosaoconside-radoscomputacionalmenteinvi aveis.Eocasodoproblemadafactorizac aodeinteiros,utilizadonoRSA, e doproblemadologaritmodiscreto, utilizadonoElGamal. Nestecaptulo tambem sao analisados algoritmos necessarios para a implementac ao dos sistemas.NoRSA, analisaremostestesdeprimalidadeprobabilstica, algoritmosdefactorizac aoepossveis ataques ao sistema; no ElGamal, analisaremos algoritmos de resoluc ao do proble-madologaritmodiscreto.Noquintocaptulo, saoestudados sistemas deassinaturas digitais. Apenas nos de-brucaremos sobre a assinatura digital RSA, com uma breve alusao `as func oes hashe naassinaturaElGamal.Edesalientarautilizacaodestemetododeautenticac aoemgrandeescala na internet, nomeadamente a assinatura utilizando a funcao hashSHA-1, com en-criptacaoRSA. Qualquer assinaturadigital envolvedois algoritmos: umparaassinar eoutroparavericar.Nos captulos 3, 4 e 5 serao apresentados varios exemplos para ilustrar o funcionamentodosalgoritmos.Por ultimo, serao apresentadas algumas conclusoes e consideracoes, enfatizando algunsproblemasquecontinuamemaberto.Actualmente, a criptograa tem um papel relevante no mundo digital em que vivemos,ao nvel da autenticac ao de documentos e da realizacao de comunicac oes seguras.E impres-cindvel tambem, dar a conhecer aos alunos pre-universit arios a importancia da matematicanas actividades diarias. Impoe-se, portanto, uma referencia `a criptograa aos alunos comoformadeos motivar paraamatematica. Assim, epertinenteaabordagemdestetemacomobasedeumatesedemestradoemMatematica-Especializac aoemEnsino.Captulo1EvolucaodacriptologiaateaosnossosdiasDesdeostemposemqueseinventouaescritahouveanecessidadedemanterinformac oessecretaseformulasocultas... fazpartedanaturezahumana!Esta indigencia conduziu ao aparecimento e desenvolvimento da criptologia, ciencia queseocupadaescritasecretaemtodasassuasformas,abrangendoqueracriptograaqueracriptanalise.1Porem, estacienciasofoi consideradaocialmentecomotal, hacercadevinteanos. Ateentao,eravistacomoarte.1.1 AntiguidadeNa Antiguidade, ainda nao existiam sistemas de codigos ou cifras. Todavia, houve situac oesesolucoesengenhosasqueestiveramnabasedacriptograa. Umadessassituac oes edes-critapor Kahn[6] nasuaobraTheCodebreakers. Trata-sedeumainscricaoesculpidaporvoltadoano1900a.c., not umulodeKhnumhotepII, referenteaosmonumentosqueesteconstruiuaoservicodofaraoAmenemhetII.Nesteregisto,apareceasubstituicaodealgunshieroglifoscomunsporoutrossmbolosinvulgares. Emboranaosejaumsistema1Cripto tem origem na palavra grega kryptos que signica oculto, escondido. Tambem do grego logossignicaestudo, ciencia, graphosescrevereanalysisdecomposicao. Resumidamente, podemosdizerqueacriptologiaeoestudodaescritacifrada; queacriptograatemporobjectivoescrevermensagensque ninguem, excepto o emissor e o receptor, consegue ler e que a criptanalise surgiu com o intuito dedecifrar mensagens encriptadas.1516 CAPITULO1. EVOLUC AODACRIPTOLOGIAATEAOSNOSSOSDIASdeescritasecreta,estainscric ao,amaisantigadequesetemconhecimento,contemumatransformacaodeescritaintencionalque eumdoselementosessenciaisdacriptograa2.Figura 1.1: Inscric ao esculpida por volta de 1900a.c., onde aparece a substituicao de algunshieroglifoscomunsporoutrossmbolosinvulgares.A civilizacao Indiana tambem desenvolveu diferentes formas de comunicacao secreta, essen-cialmentepraticadapeloservicodeespionagema existente. KahnrefereotrabalhodeKautilya, Artha-sastra, queconteminformac oespolticasquedescrevemesseservicodeespionagem.Da civilizac ao da Mesopotamia foram encontradas algumas referencias criptogracas emtabletes cuneiformes. A mais antiga data de cerca de 1500a.c. e contem uma formula parafazer esmalte vitricado em ceramica, onde sao usados smbolos especiais com signicadosdiversos.Comoobjectivodetransmitirmensagenssecretas,nestascivilizac oesdaAntiguidade,em particular na Chinesa, e em paralelo com a criptograa, desenvolveu-se a esteganograa3,umtipode comunicac aosecretaque se obtemescondendoaexistenciade mensagens.Exemplosdissosaoastatuagenscommensagensquefaziamnascabecasdeescravosde-poisdeasraparem, asmensagensescritasemsedana(comaqual formavamumabolaquecobriamcomcera,equedepoiseramengolidaspelomensageiro),aescritacomtintainvisvel,entreoutros.Apesar daesteganograaoferecer algumaseguranca, sendoamensagemdescoberta,oconte udodacomunicacaoeimediatamenterevelado. Commensagenscifradasissonaoacontece pois na criptograa o objectivo e ocultar o signicado de uma mensagem e nao asuaexistencia.Mais tarde, por volta de 600a.c. a 500a.c., os escribas hebreus inventaram as chamadas2Kahn, 1996, p.71-723Termo que deriva do grego steganos que signica encoberto e de graphein que signica escrever.1.1. ANTIGUIDADE 17CifrasHebraicas - Atbash, Albam e Atbah. Baseadas no sistema de substituic ao monoal-fabetica, estas cifras foram muito utilizadas em textos religiosos, nomeadamente no AntigoTestamentoasduasprimeiras, eaterceiranoTalmudbabilonico(SederMoed, Sukkah,52b)4. Este tipo de substituic ao era reversvel uma vez que uma cifragem duplarestituaamensagemoriginal.Posteriormente, os Espartanos, o maior povo guerreiro grego, estabeleceram o primeirosistemacriptogracomilitarecriaram, porvoltadoseculoVa.c., oscytale5. Tambemsedeveaosgregososprimeirostextossobrecomunicac oessecretas,comofoiocasodeSobreadefesadelocaisforticados, escrito por Eneas, o Estratego, num livro de ciencia militar.Maistarde, entre330a.c. e270a.c., oilustrematematicogrego, Euclides(sec.IIIa.c.),deAlexandria,compilouesistematizouageometriaeateoriadosn umerosdasuaepocanafamosaobraOs Elementos. Foi, indubitavelmente, umaobraimprescindvel paraodesenvolvimento da Teoria dos N umeros e, consequentemente, da Criptologia. Como vere-mos,aTeoriadosN umeroseumaareadaMatematicaquetemdesempenhadoumpapelimportante na evoluc ao desta ciencia, onde se pode destacar o poderdos n umeros primosnaactual Criptologiacomputacional. Assim, tambemfoi consideravel acontribuicaodeEratostenes(276a.c.-194a.c.),losofoegeometragrego,comoseufamosoCrivo.Duas formas basicas de transformacao de mensagens foram ja referidas : a transposicaoe a substituicao. Na primeira, as letras mantem a sua identidade mas perdem a sua posic aodadoque, neste tipode transformac ao, as letras de umamensagemsaosimplesmentereordenadas. Nasegunda,aconteceprecisamenteocontrario,ouseja,asletrasmantemasua posicao mas perdem a sua identidade. Os sistemas de substituicao sao mais importantesediversosqueosdetransposicao.Apesardosgregosteremescritovariostrabalhosteoricosrelacionadoscomcifrasdesubstituicaoetransposic ao, nuncaforamencontradasreferenciassobreaimplementac aodesses sistemas para cifrar mensagens. A primeira alusao ao uso de uma cifra desse genero,paransmilitares, deve-seaosromanos. Osgovernantesepovodesteimperioutilizaramacriptograa, destacando-seadenominadaCifradeCesar. Foi estaaprimeiracifradesubstituic aodocumentada, utilizadaparansmilitares, quesurgiunaobraDeBelloGallico(GuerrasGalicas),deJ ulioCesar(101a.c.-44a.c.). Este eo unicotipodecifra,da4Kahn, 1996, p. 77-795Este e um engenho militar que consiste num bastao de madeira `a volta do qual se amarrava uma tira decouro ou de pergaminho. A forma de criptograa efectuada por este objecto denomina-se transposicao.18 CAPITULO1. EVOLUC AODACRIPTOLOGIAATEAOSNOSSOSDIASAntiguidade,queaindahoje eutilizado.Muitosoutrosdocumentoseformulasdatamdestaepoca, comoeocasodaformulaSator ou Quadrado Latino - exemplo de criptograa por transposicao; do Papiro de Leidenquepossui trechoscruciaisdereceitasdepoc oesespeciaisemtextocifradoedoKama-s utra, ondeVatsy ayana, oseuautor, consideraaescritasecretaumadas64artesqueasmulheresdeveriamconhecerepraticar.1.2 IdadeMediaDurantemuitosanos,aproximadamentede500a1400,acriptograadascivilizacoesoci-dentaisestagnou. RogerBacon(1214-1294)foi o unicoescritorcomrelevanciadaIdadeMedia. Estemongefranciscanopolmatoinglesdescreveuousodacriptograa,noseculoXIII,emvezdesomenteautilizar,nasuaobraEpstolasobreasObrasdeArteSecretaeaNulidadedaMagiaonde,segundoKahn,Baconadvertia: Amaniscrazywhowritesasecretinanyotherwaythanonewhichwillconcealitfromthevulgar6. Seguidamente,colocousetemetodosindenidosparaescreveressessegredos.Enquanto a Europa se encontrava mergulhada emplena Idade Media, os eruditosarabes-islamicos desfrutaramde umperodocomintensas realizac oes intelectuais, emparticularnamatematica. Estesderamumcontributomuitosignicativoaoestudodaescritacifrada,iniciandoacriptologiacomainvencaodacriptanaliseparaasubstituic aomonoalfabetica.Poucosforamosdocumentoscommensagenscifradasquesobreviveramdacivilizac aoarabeeislamica. Contudo, umaobraegpcia, doseculoXIV, MuqaddimahdeAbdal-Rahm anIbnKhald unmencionacodigosespeciais,semelhantesapuzzles,utilizadosentreescritorios deimpostos emilitares dogoverno. Umaseccaodaenciclopedia, compostapor14volumes,Subhal-asha,realcaoconhecimentoarabesobrecriptologia. Estaobraerudita,terminadaem1412,deShih abal-Dnabul-Abb asAhmadbenAlibenAhmadAbdAll ahal-Qalqashandi, contemumalistade cifras que inclui tantoasubstituic aoquantoatransposic aoe, pelaprimeiravez, umacifracomm ultiplassubstituic oesparacadaletradotextooriginal. Paraalemdeumaexplicacaodecriptanalisecomalusaoaouso de tabelas de frequencia de letras e conjuntos de letras que podem ocorrer juntas numa6Umhomem eloucoseescreveumsegredodeumamaneiraquenaolhepermitaoculta-lodovulgo.(Kahn, 1996, p. 90)1.2. IDADEMEDIA 19palavra. SegundoKahn,Qalqashandiatribuiuestainformac aoaosregistosdeT ajad-DnAl ibn ad-Duraihim ben Muhammad ath-Tha alib al-Mausil que viveu entre 1312 e 1361.Infelizmente,ostrabalhoscriptogracosacimamencionadosforamperdidos.NolivroTheCodebreakers, KahnrecordaoprimeirograndelosofoarabedoseculoVIII, Ab u

Abd alRahm an alKhall ibn Ahmad ibn

Amr ibn Tamm amal Far ahd alZad alY ahmad cuja obra Kit abal muamm a-Olivrodalinguagemsecreta - foi inspi-rada pela decifracao que Al-Khall fez de um criptograma grego que o imperador bizantinolhe tinha enviado. Nessa decifrac ao ele utilizou um metodo criptanaltico, conhecido comoometododapalavraprov avel. Estebaseava-senasuposic aodoinciodotextooriginalserEmnomedeDeusoualgosemelhantepoiseracomumnaepocainiciarem-seasmen-sagensdessaforma. Emboraparecasimples, Al-Khall demorouummesasolucionarocriptograma, oquelevaaconcluirqueastecnicascriptanalticasbaseadasnaanalisedafrequenciadasletrasaindanaoestavamformalizadas. Maistarde,estemetodotornou-sepadraoechegouaserutilizadonaSegundaGuerraMundial paradecifrarmensagensdamaquinaEnigma.SegundoSingh[17], adescricaomaisantigadeanalisedefrequenciasexploradaparaquebrar cifras deve-se, a Ab u Y us uf Yaq ub ibn Is-h aq ibn as-Sabb ah ibn omr an ibn Ismailal-Kindi,referenciada no seu tratado,redescoberto em 1987,intitulado RisalahIstikhrajal Muamma- UmManuscritosobreaDecifracaodeMensagens Criptogracas. Comosepodeactualmenteconstatar, aanalisedefrequenciasefectuadapelosarabesanteviuaEstatsticaMatematica.Entretanto, na Europa, por volta de 1300, novicia-se o movimento renascentista em Italia e,no que diz respeito `a Criptograa, esta desenvolveu-se ao nvel poltico, de forma discreta.Em1379, opapaClementeVIIdecideunicarosistemadecifrasdaItaliaSetentrional,eGabrieledeLavinde, oresponsavel pelatarefa, compilouumacolecc aodecifrasnummanual, do qual o Vaticano tem uma copia. Lavinde tambem criou um alfabeto que re une acifra de substituic ao com um codigo de listas de palavras, slabas e nomes equivalentes. Estetipo de substituicao combinada (codigo/cifra) e tambem chamada de nomenclator7.Aomesmotempoqueacriptograasetornavauminstrumentodiplomaticoderotina,acienciadacriptanalisecomecavaaemergirnoOcidente. Estatantopodetersidodes-7O nomenclator e um sistema para cifrar mensagens baseado num alfabeto em cifra, usado na maiorparte da mensagem e uma lista limitada de palavras em codigo.20 CAPITULO1. EVOLUC AODACRIPTOLOGIAATEAOSNOSSOSDIASFigura1.2: AprimeirapaginadolivroUmManuscritosobreaDecifracaodeMensagensCriptogracasdeal-Kindi.coberta, deformaindependente, naEuropa, comopodetersidointroduzidaapartirdomundoarabe. Defacto,asdescobertasislamicasnaareadascienciase,emparticular,daMatematicainuenciaramfortementeorenascimentodaciencianaEuropa.NosseculosXIVeXV,acriptologiageneralizou-senaEuropaetornou-seumaactivi-dadeorescente. GeoreyChaucer(1343-1400),SimeonedeCrema,MicheleSteno,LeonBattista Alberti (1404-1472) e Sicco Simonetta sao muitos dos que contriburam para essanotavel actividadecriptologica. Emparticular, Alberti inventouepublicouaprimeiracifrapolialfabetica8ecriouumdiscoparacifrar- CaptainMidnightDecoderBadge.8Comooproprionomeindica, estetipodecifraenvolvedoisoumaisalfabetoscifrados. Comodife-rentes alfabetos utilizam os mesmos smbolos, habitualmente letras, um smbolo dum criptograma poderiarepresentar diferentes letras do texto original.1.3. IDADEMODERNA 21Figura1.3: DiscodecifragemcriadoporBattistaAlberti.1.3 IdadeModernaTal comooperododaRenascenca, aIdadeModerna(1453-1789)continuouaserumaepocadegrandeexpansaonoambitodaCriptologia. TodososgovernosdaEuropaOci-dental usaramaCriptograadevarias formas etambemacodicacao. Porem, acifrasimples desubstituic aomonoalfabeticadeixoudeser sucienteparagarantir sigilo. Odesenvolvimentoconsequentedaanalisedefrequencias, primeironomundoarabee, pos-teriormente,naEuropa,aniquilouasegurancadestaformadecifra.Como ja foi referido, Alberti foi o criador da primeira cifra polialfabetica. Ele propunhaa utilizacao de dois ou mais alfabetos de cifra e a alternancia entre eles durante a cifragem,comoobjectivodeconfundir os potenciais criptanalistas. Contudo, elenaoconseguiutransformarasuaideianumsistemadecifraplenamenteelaborado, nummarcosolido,como emencionadonaobradeKahn:This man of many-sided genius came into the world too soon for the perfectexercise of his singular faculties. Whether we regard him from the point of viewofart,ofscience,orofliterature,heoccupiesineachdepartmentthepositionof precursor, pioneer, andindicator. Always original andalways fertile, heprophesiedoflandshewasnotprivilegedtoenter,leavingthememoryofdimandvariedgreatnessratherthananysolidmonumentbehindhim9.(Kahn,1996,p.130)9Este homem, genio em diferentes areas, veio ao mundo demasiado cedo para o exerccio perfeito dassuas faculdades singulares. Quer o analisemos em termos de arte, de ciencia ou de literatura, ele ocupa,em cada departamento a posicao de percursor,pioneiro e indicador. Sempre original e sempre fertil,ele22 CAPITULO1. EVOLUC AODACRIPTOLOGIAATEAOSNOSSOSDIASDepois de Alberti, Johannes Trithemius (1462-1516), GiovanBatista Belaso e Gi-ambattistaDellaPorta(1535-1615)tambemdescreveramcifraspolialfabeticasnaformade tabelas de substituic aorectangulares, destacando-se o primeiroe o terceirodestes.Trithemiustevegrandeinuencianodesenvolvimentodacriptologia, escreveuaprimeiraobra impressa sobre esta ciencia, Polygraphiaelibrisex,IoannisTrithemiiabbatisPeapoli-tani,quondam Spanheimensis,ad Maximilianum Caesarem - Seis livros de Poligraa, porJohannes Trithemius, abade em Wurzburg, anteriormente em Spanheim, para o ImperadorMaximiliano10. Noquintolivrodaobraaparece, pelaprimeiravez, tabelasquadradas,que sao um contributo fundamental para a substituic ao polialfabetica. Este tipo de tabelaseaformaelementardacifrapolialfabeticaporqueapresenta, simultaneamente, todososalfabetosdecifra,numsistemaparticular.Figura1.4: ObradeJohannesTrithemius,Polygraphia.GiovanBatistaBelaso,secretariodeumcardealdeCarpi,teveumpapelcommenorim-portancianaCriptologia. Eleintroduziuanocaodousodeumasenhacomochave, paraumacifrapolialfabetica,epublicounoseulivroLacifradel. Sig. GiovanBatistaBelasoumacifradeautochave, ideiaessaqueonotavel matematicoGirolamoCardano(1501-1576) jatinhaalcancado, mas semconseguir inventar, naperfeicao, umsistemadessanatureza.Della Porta, antecipou muitos escritores no contexto da criptologia. A sua extraordinariaprofetizou areas em que nao era seu privilegio entrar, deixando uma memoria de uma grandeza variada ede contornos pouco demarcados, em vez de um monumento solido que o denisse(traducao nossa).10Estaobraemaisconhecida, sobottuloPolygraphia. SegundoKahn, aimpressaodaobrafoicompletada em Julho de 1518, tendo-se efectuado reimpressoes da mesma em 1550, 1571, 1600 e 1613.1.3. IDADEMODERNA 23obra, DeFurtivisLiterarumNotis-traduzidanomesmoano, eminglessobottuloOnsecretnotationsforletters,commonlycalledchiphers-continhacifrasarcaicas,cifrasmo-dernas, criptanaliseeumalistadepeculiaridades lingusticas queajudavamnasoluc aodas cifras. Assim, a sua obra compilava o conhecimento criptograco da epoca,antevendoaactual divisaoestandartizadadas cifras. Classicou-as emcifras detransposicao, desubstituicao e de substituicao por smbolos (uso de outros alfabetos) e sugeriu a utilizacaodesinonimoseerrosortogracosparabaralharoscriptanalistas. Acontribuic aodeDellaPorta`apoligraa, consistiuessencialmente, numaestraticacaodos elementos jaexis-tentes, ouseja, nacifrademensagens, letraaletrafeitaporTrithemius, namudan cadechavedeBelasoenoalfabetomistodeAlberti,formandoumsistemamodernodesubsti-tuicao polialfabetica. Embora nao seja dada nenhuma originalidade `a obra de Della Porta,eleenunciouaprimeiradenicaomodernadealfabetos poligracos. Mas foi BlaisedeVigen`ere(1523-1596)queconstruiuumanovacifrapolialfabeticacoerenteeecaz, aposanalise pormenorizada das ideias de Alberti, Trithemius e Della Porta. A cifra de Vigen`ereerobustapoisutilizavinteeseisalfabetosdecifradistintosparacifrarumamensagem.Como a par de uma acc ao ha sempre uma reacc ao, a acompanhar este desenvolvimentocriptograco, a criptanalise nao cou atras. E, neste campo, o matematico frances Fran coisVi`ete(1540-1603), recordadocomoopai daAlgebra, foi umdosmelhoresespecialistas.Nonal doseculoXVI, Vi`eteaoservicodeHenriqueIV, rei deFranca, decifroutodososcodigosespanhois. EstafacilidadededecifragemefectuadaporVi`etedeveu-seaofactodos criptanalistas espanhois da epoca ainda trabalharem com base na cifra de substituic aomonoalfabetica, enquantoumagrandepartedoscriptanalistasjautilizavamaanalisedefrequencias para quebrar criptogramas. Por esta altura, a Criptograa estava enfraquecidafaceaosavan cosdaCriptanalise.Durante o seculo XVII apareceram novas cifras, nomeadamente a cifra de Bacon, actu-almenteclassicadacomocodicac aobinariade5bitsecifrasgeometricas,denidaspelobispodeChester, JohnWilkins(1614-1672), queescreveuoprimeirolivrosobrecripto-logia, emInglaterra. Estas ultimascontinhampontos, linhasetriangulosnasmensagenscifradas.OutroacontecimentorelevanteparaaCriptologiafoi adenic aodeumalinguagemuniversal por parte domatematicoalemaoAthanasius Kircher (1601-1680). Em1663,publicou a obra PolygraphiaNovaetVniversalisexCombinatoriaArteDetecta, que incluiprocessosdecifrarmensagenseumamisturadevariaslnguas, alemdecodigosparaas24 CAPITULO1. EVOLUC AODACRIPTOLOGIAATEAOSNOSSOSDIASrelacoesalfabeticas,comosquaisformouadenominadalinguagemuniversal.Paracomunicacoesmilitaresegovernamentais, ondeasegurancaerafundamental, aciframonoalfabeticasimpleseraobviamenteinadequadaeexistiaalgumarelutanciaemadoptar a cifra polialfabetica, dada a sua complexidade de implementacao. Por conseguinte,oscriptografosda epocasentiramnecessidadedecriarumacifraintermediaeinventaramacifradesubstituicaohomofona. Nesta, cadaletraepermutadaporumavariedadedesubstitutos, sendoon umerodestes potenciais substitutos proporcional `afrequenciadaletra. Este tipo de cifra e considerado monoalfabetico pois, apos a denicao do alfabeto decifra,estepermaneceinalteradodurantetodooprocessodecifragem,naosendorelevanteofactode conter varias opcoes paracifrar cadaletra. Indubitavelmente, este foi umavanconaCriptologia,tendoefectuadodiversasalterac oesnaciframonoalfabeticabasica.Porexemplo, atravesdoacrescimodehomofonastornou-sepossvel cifrarmensagensemseguranca,semutilizaracomplexacifrapolialfabetica.Umexemplomarcantedeumaciframonoalfabeticamelhorada,bastantesegura,foiadenominada Grande Cifra de Lus XIV (1638-1715), elaborada por Antoine e BonaventureRossignol, duplapoderosaemdecifrac ao. Aposamortedosseuscriadores, elacaiuemdesusoeosseuspormenoresexactosperderam-serapidamente. AGrandeCifradeLusXIVerataofortequesonoseculoXIXfoi decifrada, segundoSingh, pelocomandanteEtienneBazeries,umnotavelperitododepartamentocriptogracodoexercitofrances.No seculo XVIII a Criptanalise comecou a industrializar-se, com equipas de criptanalis-tasdogovernoatrabalharememcooperacaom utuanaschamadasCamarasNegras. Estafoia epocadaespionagemnaEuropa. CadapotenciaeuropeiatinhaumaCamaraNegra,ouseja,umcentrocujafunc aoeraleracorrespondenciadiplomaticainternacional,copiaras cartas e devolve-las `as agencias de correio. Viena possua a mais eciente e disciplinadaCamara, chamada The Geheime Kabinets-Kanzlei, considerada a melhor de toda a Europa.Com uma criptanalise tao evoluda, todas as formas de cifra monoalfabetica tornaram--seinseguraseoscriptografossentiram-seobrigadosaadoptaracifradeVigen`ere, maiscomplexa,masmaissegura.Mais tarde, como janaoexistiamacontecimentos que justicassemotrabalho doscriptanalistasnasCamarasNegras,estasacabaramporsedissolver,porvoltade1850.1.4. HISTORIARECENTE 251.4 HistoriaRecenteComoaparecimentodotelegrafo, demaquinasedispositivosmaiselaborados, entra-senumanovaera: aeradacriptograamecanizada. Surgemtambemossistemasdecomu-nicacao`adistanciaeestes,portornaremasmensagensmaisdesprotegidas,daoumnovoimpulso`acriptograa. SamuelF.B.Morse(1791-1872)enviou,em1844,pormeiodeumtelegrafo, amensagemWhathathGodwrought!11. E, noanoseguinte, oseuagenteFrancisO. J. Smithdeclarouquesecrecyincorrespondence, isfarthemostimportantconsideration12, nocodigocomercial TheSecret CorrespondingVocabulary; AdaptedforUsetoMorsesElectroMagneticTelegraph.EmInglaterra,noveanosmaistarde,publicou-seumartigosobretelegraa,noQuar-terlyReview,salientandoasupremaciadaseguranca:Meansshouldalsobetakentoobviateonegreatobjection, atpresentfeltwithrespecttosendingprivatecommunicationsbytelegraph-theviolationofall secrecy-for in any case half-a-dozen people must be cognizant of every wordaddressed by one person to another. The clerks of the English Telegraph Com-pany are sworn to secrecy, but we often write things that it would be intolerabletoseestrangersreadbeforeoureyes. Thisisagrievousfaultinthetelegraph,and it must be remedied by some means or other.... At all events, some simpleyet secure messages might to all intents and purposes be sealedto any personexcepttherecipient13.(Kahn,1996,p.189)Assim, de 1790 ate ao m do seculo XIX surgem varias cifras produzidas por diferentesdispositivos.11(Kahn, 1996, p.189) O que tinha Deus forjado!12(Kahn, 1996, p.189) O sigilo na correspondencia, e de longe o que mais deve ser considerado.13Devem ser tomadas medidas no sentido de se evitar (que subsista) uma grande objeccao, que hoje emdia se tem vericado no que respeita ao envio de comunicacoes privadas por telegrafo-a violacao de todo equalquer sigilo-, pois em qualquer caso meia d uzia de pessoas vai ser conhecedora das palavras dirigidas poruma pessoa a outra. Os empregados da Companhia Telegraca Inglesa prestam um juramento de sigilo,mas, muitas vezes, escrevemos coisas que nao toleraramos ver outros lerem, mesmo `a nossa frente. Estee um grave defeito do telegrafo,e deve ser remediado,de uma forma ou de outra... Seja como for,deveser introduzida uma cifra simples mas segura,facilmente adquirida e lida,atraves da qual as mensagenspossam, para todos os efeitos, ser seladaspara qualquer indivduo, excepto o receptor(traducao nossa).26 CAPITULO1. EVOLUC AODACRIPTOLOGIAATEAOSNOSSOSDIASSegundoKahn,entre1790e1793ouentre1797e1800,ThomasJeerson(1743-1826)inventouumavultadosistemadecifrasquedenominoudewheel chipher. Esteeumcilindro de madeira branca que permite realizar com rapidez e seguranca uma substituic aopolialfabetica. Foiutilizadopelogoverno americanoe,actualmente,ainda e utilizadopelamarinha. Odestaquequeestedispositivoteve, conferiuaJeersonottulodePai dacriptograaamericana.Figura1.5: Cilindroquepermiterealizarumasubstituic aopolialfabetica.Conjuntamente, adescoberta, noanode1799, defontes prolongadas deelectricidade-comofoi ocasodabateriadeAllesandroVolta(1745-1827)- abriucaminhoparanovosdispositivoselectricosaplicados`aCriptologia.Com a invencao do telegrafo electromagnetico,em Inglaterra,por Charles Wheatstone(1802-1875)14e da primeira linha telegraca, na America, por Samuel Morse,assim comododenominadoCodigoMorse(quenarealidadenaoeumaformadecriptograa, massimumalfabetoalternativoconstitudopor sons curtos elongos), aCriptograasofrealteracoes e torna-se imprescindvel cifrar a correspondencia privada enviada por telegrafo.Entretanto, acifrapolialfabeticadeVigen`erecontinuavaaser, incontestavelmente, amelhormaneiradegarantirascomunicacoesimportantessigilosas. Essaeraconsideradainquebraveletornou-seconhecidacomoLeChireIndechirable.Porem, por voltade1854, omatematicoinglesCharles Babbage(1791-1871) - hojeconhecidocomoopai docomputador- foi oautor damaior descobertanodomnio14Wheatstonetambeminventouumacifrasigilosaemtelegraa. Todavia, estacouconhecidacomoCifra Playfair, derivado do nome do seu amigo, Lyon Playfair, o primeiro barao Playfair de St. Andrews.1.4. HISTORIARECENTE 27daCriptanalise, desdeoseculoIX, alturaemqueoseruditosarabesquebraramaciframonoalfabeticaatravesdaanalisedefrequencias. Babbagefoiumdosprimeirosautilizarnotacoes e formulas matematicas em criptanalise e conseguiu quebrar cifras polialfabeticas- emparticular, LeChireIndechirable- umdosacontecimentosmaisrelevantesdoseculoXIXnaareadaCriptologia. Nasuaautobiograa, Passages fromtheLifeof aPhilosopher,escreveu: Oneofthemostsingularcharacteristicsoftheartofdecipheringisthestrongconvictionpossessedbyeveryperson, evenmoderatelyacquaintedwithit,thatheisabletoconstructacipherwhichnobodyelsecandecipher15.Asolucaocriptanalticaparacifraspolialfabeticassofoi reveladaposteriormenteporFriedrich W. Kasiski (1805-1881), um ocial reformado do exercito prussiano, na sua obra,de1863,DieGeheimschriftenunddieDechirierkunst-AsEscritasSecretaseaArtedaDecifracao. AtecnicacriptanalticaeconhecidacomooTesteKasiski,tendo-se,decertaforma, menosprezadoocontributodeBabbage. Todavia, eplausvel queOsServicosdeInformacaobritanicosexigissemosigilodeBabbagerelativamenteaoseutrabalho. Destemodo,osbritanicosteriamumavancocriptologicoemrelac aoaorestodomundo.AconsequenteinsegurancadacifradeVigen`ereabriuasportas`acriptologiaactualefezcomqueoscriptografostentassemconcebernovascifras. Todavia, durantea ultimametadedoseculoXIX, naosurgiunadademuitosignicativo. Estemesmoperodofoiacompanhadoporumamaiorfamiliarizac aocomacriptograaentreop ublicoemgeral,comecandoamanifestar-sehabilidadescriptogracasdediversasformas. AtemesmonaliteraturadoseculoXIXoscodigoseascifrastiveramlugar. AlgunsautorescomoJ ulioVerne (1828-1905) utilizou criptograa em tres dos seus livros, Viagem ao centro da Terra,MathiasSandoreAJangada;EdgarAllanPoe(1809-1849)escreveuumcontodecc aosobrecifras,TheGold-Bug-OEscaravelhodeOuro.NaviragemparaoseculoXX, GuglielmoMarconi (1874-1937)iniciaaeradacomu-nicacaosemo,comainvenc aodoradio. Estaformadecomunicac aodelongadistanciatornou ainda mais premente a necessidade de cifrar mensagens com seguranca. A telefoniasemos, emborafaciliteacomunica caoeoalcancedasmensagens, temoinconvenientedefacilmenteserinterceptada. Estadesvantagememconjuntocomadeagrac aoda1aGuerra Mundial intensicaram a necessidade de uma cifra ecaz. No entanto, durante esseperodo,entre1914e1918,naohouvenenhumadescobertacriptogracaimportante.15Uma das principais caractersticas da arte de decifrar e a forte convic cao, que todas as pessoas temmesmo sem se aperceberem, que ele e capaz de construir uma cifra que ninguem consiga decifrar.28 CAPITULO1. EVOLUC AODACRIPTOLOGIAATEAOSNOSSOSDIASTodas as cifras queapareceramforamfacilmentequebradas pois eramvariac oes oucombinacoes de cifras inventadas no seculo XIX. Uma das mais famosas foi a cifra ADFGVX-ummistodecifradesubstituic aoetransposicao-queosalemaesutilizaramnonalda1aGuerraMundial. Estafoi quebradapelocriptanalistafrancesGeorgesPainvin. Alias,notempodaguerraosfranceseseramoscriptanalistasmaisecazes. ParaessaecaciacontribuuotratadoLaCriptographiemilitaire, escritopeloholandes Jean-Guillaume-Hubert-Victor-Francois-Alexandre-Auguste Kerckhos vonNieuwenhof, em1883. Estelivro, omais concisosobre criptograa, serviude guiarelativamente aos princpios dacriptanaliseeassuasideiastiveramumaimplementac aogeneralizada. ComoKahnrefereemTheCodebreakers, utilizandopalavrasdoproprioKerckhos, estaobrafoi concebidaparaservirdebase`acriptograamilitaratravesdosprincpiosnecessarios`ainvenc aoeavaliac aodetodasascifrasplaneadasparaessem16.Quase no nal da guerra, os cientistas americanos descobriram que a Cifra de Vigen`ere,ouseja,acifrapolialfabetica,podiaserusadacomobaseparaumanovaemaispoderosaforma de cifra. Descortinaram que, aumentando o comprimento da chave, mesmo que estafosse tao grande quanto a propria mensagem, acabaria por ser decifrada quando a chave eraconstrudaapartirdepalavrasquefaziamsentido. Masseutilizassemchavesdesprovidasdeestrutura, ouseja, construdasapartirdepalavrassemsentido, obtinhamumacifrainquebravel.FoiomajorJosephO.Mauborgne,chefedainvestiga caocriptanalticadoexercitodosEstadosUnidos,quemintroduziuoconceitodechavealeatoria-queconsistianumaseriealeatoriadeletras-paraserutilizada, uma unicavez, numacifrapolialfabeticaamdeseobterumnveldesegurancajamaisatingido. Umsistemacriptogracocomutilizacaodeste genero de chave cou conhecido por one-time sistem. Trata-se de um cripto-sistemainquebravel quer nateoriaquer napratica, porque independentemente dotempoe docomprimentodocriptogramaqueocriptanalistadisponha, elenuncaconseguiriadecifrarumamensagemcifradacomoone-timesistem. Mauborgnesempretevemuitointeresseemcriptologia. Jaem1914eleconseguiu,pelaprimeiravez,decifraracifraPlayfair.Dadaasegurancaqueoone-timesistem proporcionava, foi elaboradaumalistadechavesaleatoriasdenominadamacodecifras,aqualofereciaumagarantiadesigiloporcadaumaserutilizadauma unicavez- eoSantoGraaldaCriptograa.Este sistema criptograco era indubitavelmente seguro, teoricamente perfeito, contudo,16(Kahn, 1996, p.233)1.4. HISTORIARECENTE 29na pratica, tinha limitacoes. Uma delas era a indigencia de se ter de fazer grandes quanti-dades de chaves aleatorias, acarretando muito tempo. Outra limitac ao era a diculdade dedistribuir essas chaves. Com tais obstaculos, este tipo de cifra so era praticavel por pessoasque precisassem de uma comunicacao ultra-secreta porque, de outra forma, nao era usada.Apos a 1aGuerra Mundial, os criptografos comecaram a explorar a tecnologia do inciodoseculoXXcomvistaaencontraremumnovosistemacriptogracopraticoquepudesseserusadonumconitoseguinte.Jareferimosque, noseculoXV, LeonAlberti tinhainventadoumamaquinacripto-gracachamadaodiscodecifragem. Emboraautilizac aodediscosdecifradiculteadecifragem,mesmoassimnaoatornaimpossveldequebrar,umavez queestesdiscossaoumavers aomecanizadadacifradeVigen`ere.Em1918,oinventor alemao Arthur Scherbius(1878-1929),interessado emdesenvolveraCriptograamecanizada, construiuumamaquinacriptogracaelectrica, baseadaemcifradores rotativos - a famosa maquina Enigma. Esta invenc ao forneceu ao exercito alemaoosistemacriptogracomais segurodomundoe, por alturada2aGuerraMundial, ascomunicacoes dos alemaes estavam protegidas por um nvel de cifras sem paralelo. Antes deScherbius houve outros inventores, em outras partes do mundo, a desenvolverem maquinas,baseadasemcifradoresrotativos. Foi ocasodeHugoAlexander Koch(1870-1928) nosPases Baixos, de Arvid Gerhard Damm na Suecia e de Edward Hugh Hebern (1869-1952)naAmerica.Aesteavancocriptogracoseguiu-seapesquisacriptanaltica,efectuadapelosaliadosna 2aGuerra Mundial, no sentido de decifrar a Enigma. Para a decifragem desta poderosamaquina contribuiram os matematicos polacos Jerzy Rozycki (1906-1942), Henryk Zygalski(1906-1978)eMarianRejewski(1905-1980)e,essencialmente,osmatematicoselingustasdeBletchleyPark- asededaGovernment CodeandCypher School (GC&CS), umaorganizacao de quebra de codigos. Estes ultimos, durante o Outono de 1939, apreenderamas complexidades das mensagens Enigma. Entretanto, o British Tabulating Machine Com-pany construiu uma maquina,designada por Bombe,instalada em Bletchley Park,paradeterminar as chaves Enigma. Nestaequipa, destacou-seAlanTuring(1912-1954) queidenticou a maior fraqueza da Enigma e explorou-a . Foi gracas a este exmio matematicoque se tornou possvel deslindar a cifra Enigma. Turing tambem teve um papel importantepara a era digital e da informac ao. Conhecedor da obra de Babbage, ele criou um projectopara o moderno computador programavel e uma maquina: a maquina universal de Turing.30 CAPITULO1. EVOLUC AODACRIPTOLOGIAATEAOSNOSSOSDIASPorvoltade1943, osdescodicadoresdoBletchleyParkinventaramumcomputadorprogramavel - o Colossus - para interpretar uma cifra alema mais potente que a Enigma, aCifra Lorenz. Este dispositivo determinou o desenvolvimento da criptograa e transportou--a para a era digital. Os computadores desempenharam um papel crucial na batalhaentrecodicadoresedescodicadores, naepocapos-guerra. Elessaoamaiorexpressaodaeradigital, e fazem parte de, praticamente, todas as actividades humanas. Alem de ter revolu-cionado a informac ao, esta tecnologia transformou a criptologia, tornando-a indispensavel.Apesar de se ter comecado a utilizar computadores para cifrar mensagens, em n umeros17,acifragemprocessa-sepormeiodascifrasdesubstituic aoedetransposicao.Inicialmente,estacifragemestavalimitadaaogovernoeaosmilitares,poiseramestesquepossuamcomputadores. Contudo, descobertascientcas, tecnologicasenaareadaengenharia, tornaram os computadores e, consequentemente, as cifras atraves destes, muitomaisacessveis.Duranteosanossessenta, oscomputadorestornaram-semaispotentesemaisbaratoseasempresascomecaramainvestirnestanovatecnologia. Logicamente,acifragementreempresasgeneralizou-seeoscriptografosdepararam-secomnovasdiculdades, umadasquaiseraanecessidadedeestandardizacao.Nestesentido, noinciodosanossetenta, emNovaIorque, HorstFeistel (1915-1990),aoservicodoLaboratorioThomasJ.WatsondaIBM,desenvolveuosistemaLucifer-umalgoritmodecifracandidatoapadrao. Estesistemafoi submetidoaalgumasalterac oes,nomeadamente aummelhoramentode umacomponente dachave, chamadaS(parasubstituicao)boxes,eaumadiminuic aodocomprimentodamesma. Detodososcripto--sistemascandidatos, esteerao unicoqueofereciaapossibilidadedeumpadraodecifraque, possivelmente, naoestavaaoalcancedas capacidades dedescodicacaodaNSA-NationalSecurityAgency.Paraadoptar umacifracomopadraoe imprescindvel que estapossuaumelevadon umero de chaves para determinar uma maior potencia `a mesma. Assim, em 23 de Novem-bro de 1976 foi adoptada a vers ao alterada da cifra de Lucifer, de 56 bits, isto e, com cercade 100 000 000 000 000 000 chaves e designada por DataEncryptionStandard, ou seja,DES. Deste modo, o problema da estandardizac ao cou resolvido e aumentou a utilizac aodacriptograacomomedidadesegurancaporpartedasempresas.17Os computadores so funcionam com n umeros binarios - sequencias de dgitos binarios,ou bits (zeros euns).1.4. HISTORIARECENTE 31Infelizmente, umnovo problema tornava-se necessario resolver, conhecido por dis-tribuicao da chave. A unica maneira segura de transmitir a chave de uma cifra era envi a-lapormaopropria, eumaoutra, menossegura, consistiaemenvi a-laporcorreio. Comopassardotempo, aumentavaon umerodemensagensenviadaseon umerodeentregadechaves, ao nvel empresarial, que acarretava um enorme pesadelologstico e custos geraisproibitivos. Esta questao tornou-se o problema dominante para os criptografos do perodopos-guerra.Pormuitoseguraqueumacifrafosseemteoria, napraticaessasegurancapodiaseraluda pelo problema da distribuic ao da chave. Nao obstante a ideia de que esta diculdadeerainsol uvel, umaequipaconcebeuumsistemadeencriptac aoquepareciadesaartodaalogicaporquesolucionouoproblemadadistribuic aodachave. Odesenvolvimentodetecnicasdestinadasasuperaresteproblemafoi, indubitavelmente, amaiorrevolucaonacriptograadoseculoXX.Nodecorrerdosanossetenta,doiscriptografosbastanteentusiasmadospeloestudododomnio da seguranca que a criptologia exigia, associaram-se formando uma das associac oesmaisdinamicasdestaciencia: MartinHellman(1945-), doDepartamentodeEngenhariaElectrotecnicadaUniversidadedeStanford, eWhiteldDie(1944-), umestudantedepos-graduac aodomesmodepartamento. Debrucaram-sesobreoproblemadadistribuic aodachave,tentandodesesperadamenteencontrarumaalternativaparaatarefasicamentearduadetransportar chavesagrandedistancia. Algumtempodepois, juntou-seaelesRalphMerkle(1952-),umintelectualquepartilhavaomesmointeresse.Eimperativoefectuar aqui umparentesis e realcar apersistenciaincansavel destesespecialistas,patentenasseguintesarmac oesdeHellman:Ralph, tal comonos, estavadispostoaserumpalerma. Eamaneiradechegaraotopoemtermosdedesenvolverinvestigac aooriginalconsisteemserum pateta, porque so os patetas persistem em tentar. Tem-se a ideia n umero 1,ca-seentusiasmado, eelafalha. Aseguir tem-seaideian umero2, ca-seentusiasmado, e elatambemfalha. Depois tem-se aideian umero99, ca-seentusiasmado, eelafalha. Soumpalermacontinuaentusiasmadocoma100aideia,maspodemsernecessarias100ideiasantesdeseterumresultadocompensador. Amenosquesesejasucientementepalermaparacontinuara32 CAPITULO1. EVOLUC AODACRIPTOLOGIAATEAOSNOSSOSDIASsentir entusiasmo, nao se tem a motivac ao, nao se tem a energia para prosseguir.Deusrecompensaospalermas.(Singh,1999,p.256)Ateveremaluzaofundodot unel,terasidoumalutaconstanteparaestesilustreshomens. Durantedoismil anos, adistribuicaodachaveeraconsideradaumaxiomadacriptograa,ouseja,umaverdadeirrefutavel. Entretanto,comecamaestudarapossibili-dadedeatornardesnecessariaparaatrocademensagenssecretas.AposmuitoestudoemuitapersistenciaDie, HellmaneMerkleinventaramumes-quemade trocade chaves que permite dois utilizadores de umcripto-sistemaprivadocriarem uma chave secreta atraves de uma conversa p ublica. Esta descoberta, como iremosanalisar, introduziuaideiadeumacriptograadechavep ublica. Alemdisso, revelouaimportanciadasfunc oesmatematicasunidireccionaisedateoriadaaritmeticamodularna encriptacao segura de mensagens. Esta foi uma das invencoes mais contra-intuitivas dahistoriadaciencia. EmJunhode1976, Die, HellmaneMerkledemonstrarampublica-mente a sua descoberta na Conferencia Nacional de Informatica, surpreendendo os peritosemencriptac aoqueseencontravamnaassistencia.NaoobstanteoesquemadetrocadechavesdeDie-Helman-Merkletersidoumsaltocolossal nacriptograa, intrinsecamenteestesistemaerapoucopratico. Diecontinuouaestudarperseverantementee,noVer aode1975,elepublicaumesbocodeumnovotipodecifra,queincorporavaachamadachaveassimetricaouchavep ublica.Anteriormente, todas as tecnicas de encriptac ao eram simetricas, ou seja, o processo dedecifracao era o oposto da encriptacao onde o emisssor e o receptor de uma mensagem temum conhecimento equivalente e usam a mesma chave para as cifrar e para as decifrar. Exem-plosdeencriptac aosimetricasaoaEnigma-usaumachaveparacifrarumamensagemeoreceptorusaumamaquinaigualcomamesmachaveparaadecifrar-eoDESqueusaa mesma chave para realizar dezasseis voltas de cifragem e a mesma chave para realizar asdezasseisvoltasinversas.Nocasodosistemade trocade chaves ser assimetrico, as chaves de encriptac aoededecifrac aosaodiferentes.Eestadistincaoqueconfereumcaracter especial `acifraassimetrica.1.4. HISTORIARECENTE 33AideiadeDieconsistianoseguinteprocesso18:Alice criavaumpar de chaves - umaparacifrar mensagens e outraparadecifrar.Pressupondoqueacifraassimetrica eelaboradaporcomputador,ambasaschavesseriamdoisn umerosdiferentes. Alicemantinhasecretaachavededecifrac ao-chaveprivadaedivulgava a chave de encriptacao, de modo a que qualquer pessoa (Bernardo) tivesse acessoaela-chavep ublica.Deste modo, se Bernardo quisesse enviar uma mensagem `a Alice, limitava-se a procurarachavep ublicadeAlice, poisdeviaconstaremalgosemelhanteaumalistatelefonica,cifravaamensagemcomessachave e, enviavaesta ultima. Alice, aoreceber otextocifradoseriaa unicapessoaapoderdecifraramensagemutilizandoasuachaveprivada.Estesistematemavantagem, relativamenteaoesquemadatrocade chaves Die-Hellman-Merkle, de nao necessitar de trocas de mensagens entre Alice e Bernardo. Tambemcomeste tipode sistema- de cifraassimetrica- oproblemade distribuic aodachavecaresolvido. Noentanto, emboraesteprocesso, assimdescrito, possaparecersimples,estava longedesertransformadonuma inven cao pratica,isto e,numsistemacriptogracofuncional.Paratal concretizacao, eranecessariodescobrirumafunc aomatematicaapropriada,isto e,quefosseunidireccionaloudesentido unico-Oneway-equepudesseserinver-tidaemcircunstanciasexcepcionais. Assim, Bernardofacilmenteconseguiriacifrarumamensagem, masseriaincapazdedecifra-la. Contudo, Aliceconseguiriaefectuaressade-cifracao,atravesdachaveprivadaquepossua-trapdoor,umainformacaoadicional-edessaformainvertiaafunc ao. SoemAbril de1977, RonaldRivest(1948-), Adi Shamir(1952-)eLeonardAdleman(1945-)criaramumsistemaperfeitoeviavel decriptograadechavep ublica. Aposanosdetrabalhodestetrio, Rivestencontrouumafunc aounidi-reccional,reversvelapenasemdeterminadascircunstanciase,porconseguinte,idealparausarcomocifraassimetrica. Comoveremosmaistarde, estafunc aobaseia-senopoderdos n umeros primos. Assim que terminou de escrever um artigo com a sua ideia, entregou18A partir deste momento iremos utilizar Bernardo como emissor da chave p ublica e portador exclusivoda chave privada, Alice como um qualquer utilizador da chave p ublica para cifrar mensagens e envia-lasaBernardoeIntrusoaquelequetentainterceptarotextocifradoedecifra-lo, semoconhecimentodachave privada. Obviamente, que estes protagonistas abstratos podem ser humanos, computadores, redesou maquinas ATM.34 CAPITULO1. EVOLUC AODACRIPTOLOGIAATEAOSNOSSOSDIASaAdlemanparaoanalisar. Este ultimoeraummatematicomuitorigoroso, emgrandeparteresponsavel pordetectarasfalhasnasconjecturasdeRivesteShamir. Destavez,Adlemannaoconseguiuencontrarfalhasnosistemadecriptograaassimetricaquecoudenominado RSA - as iniciais dos tres autores. Esta e uma forma de criptograa de chavep ublica. O artigo foi publicado na edic ao de Setembro de 1977, na coluna de

Mathemati-cal Games

de Martin Gardner (1914-), da revista Scientic American, sob o ttulo A NewKindofChipherthatWouldTakeMillionsofYearstoBreak.Entretanto, foramfundadosdoisjornaisinternacionaisCryptologiaeTheJournal ofCryptologyeacriptologiapassouaserconsideradaumacienciaenaoumaarte,comofoivistaateentao.Actualmente, aInternational AssociationforCryptologieResearch(IACR)eaorga-nizacaocientcainternacionalquemantemapesquisanestaarea.Nos ultimos tempos, face `a evolu cao dos meios de comunicac ao, `a facilidade de acesso aessesmeioseaoenormevolumedemensagensenviadas,atravesdetelefonesxoemovel,faxee-mail,acriptologiaprogrediudeformaexponencial.Assim, aguerradainformac ao entrecriptografos ecriptanalistas temsidoganhapelosprimeiroseparecequeassimvai continuar... SegundoPhil Zimmermann(1954),comocitaSigh, Agoraepossvelfazercifrasemcriptograamodernaqueestejamcom-pletamente fora do alcance de todas as formas conhecidas de criptanalise. E penso que vaicontinuaraserassim.EssaideiafoiapoiadaporWilliamCrowell,vice-directordaNSA:Se todos os computadores pessoais do mundo-aproximadamente 260 milhoes- fossem pos-tos a trabalhar numa unica mensagem cifrada PGP19, seria preciso, em media, 12 milhoesdevezesaidadedouniversoparaquebraruma unicamensagem.Todavia, segundo Sigh, ja se fala na criac ao de um computadorquantico, uma inova caotecnologica que realizaria calculos com enorme rapidez. A teoria cientca associada a estatecnologia, ateoriaquantica, consegueexplicar muitos fenomenos. Elapermitequeosfsicosdeterminemasconsequenciasdasreacc oesnuclearesnascentraisnucleares,explicaasmaravilhasdoADN, descrevecomobrilhaosol, eelaqueeutilizadaparaformarolaserquefazaleituradosCDs... Paraalemdessesfeitosedetalvezpermitiracriacaodecomputadorescapazesdedestruirasegurancadequalquertipodeciframoderna,estateoria tambem seria a inspirac ao para a criac ao de uma nova cifra inquebravel, criptograa19PGPouPrettyGoodPrivacy-eumalgoritmodeencriptacaoporcomputadordesenvolvidoporPhil Zimmermann em 1991 e baseado no sistema RSA.1.4. HISTORIARECENTE 35quantica. Noentanto, parecequetudoistoexisteteoricamenteenaonapratica, poishamuitos problemas asuperar paraser possvel aconstruc aode tal computador. Sejafosse viavel acomputac aoquantica, a sim, odestinoeconomico, polticoe militardas nac oes sofreriaimenso, umavez que depende dopoder das cifras. Contudo, se acriptograa quantica pudesse funcionar a longa distancia, essa poderia restituir o secretismodainformac aopoispareceserabsolutamenteinquebravel.Seriaomdacriptologia, aprocuradeprivacidadechegariaaom. Admitindoessapossibilidadedeencriptac aoquantica, existiriatotalsegurancaparaascomunicac oesdosgovernos, das forcas armadas, das empresas e do p ublico. Todavia, se assim fosse, sera queosgovernosapermitiamutilizar? Iriasertarefadifcil regularacriptograaquanticadeformaaenriqueceraEradainformac aoeagarantiraprotecc aodoscriminosos...36 CAPITULO1. EVOLUC AODACRIPTOLOGIAATEAOSNOSSOSDIASCaptulo2PreliminaresNestecaptulo,saoapresentadasnotac oesealgunsconceitosimprescindveisparaonossoestudo. Todavia,nocoesmaiselementaresnaoseraoaquireferenciadas.As cifras Classicas que iremos estudar, bemcomoas de chave p ublica, baseiam-seessencialmenteemTeoriadosN umeros, emparticularnaAritmeticaModular. Portanto,serafeitaumarevisaoaalgumasnocoesbasicasdestaareadaMatematica,assimcomoaalgunsconteudosdeAlgebraedeAlgebraLinear.Os resultados que se seguem sao bem conhecidos da literatura, por exemplo [8], [9], [15]e[18],eseraoapresentadosaquideformaaqueestadissertac aosejaauto-contida.2.1 AlgunsTopicossobreTeoriadosN umeros2.1.1 DivisibilidadeeAlgoritmodeEuclidesIniciaremos esta secc ao com um resultado indispensavel que nos mostra a importancia dosn umerosprimos:Teorema2.1.1(TeoremaFundamental daAritmetica). Todoon umeronatural npodeser escrito, deforma unicaamenos daordemdos factores, comoumprodutodepotenciasden umerosprimosdistintosentresi. Istoe, dadon2, existemprimospidistintosei Ntaisquen=

pii.Recordemos, deseguida, algumaspropriedadesdosn umerosprimos, consequentesdoteorema2.1.1:3738 CAPITULO2. PRELIMINARESPropriedadesdedivisibilidade2.1.2.1. Seumn umeroprimopdivideab,entaop[aoup[b;2. Sem[a ,n[ae(m, n) = 1,entaomn[a.Erelevantereferiroalgoritmoseguinte, queapesardeserconhecidohamaisdedoismil anos, tera um papel crucial nos resultados apresentados neste trabalho. Apresenta-nosumprocessorelativamenterapidodedeterminaromaximodivisorcomumentrenaturais.Algoritmo2.1.3(AlgoritmodeEuclides). Sejamaebdoisinteirostaisquea>b.Comecamospordividiraporb, obtendoumquocienteq1eumrestor1: a =b q1+r1.Seguidamente, efectuamos uma segunda divisao, dividindo b por r1: b=r1q2 +r2. Depois,dividimosr1porr2eassimcontinuamenteobtendoumnovoquocienteeumnovoresto.Quando,porm,obtivermosumrestoquedividaorestoanteriorterminamosoalgoritmoeomaximodivisorcomumentreaebeo ultimoresto,diferentedezero.OalgoritmodeEuclidesforneceumaconstrucaodademonstrac aodapropriedadequesesegue:Proposicao2.1.4. Sejama,bNe(a, b)=d, entao, existeminteirosxeytaisqued = xa+yb.Osnaturaisprimosrelativoscom mxo, m N, permitemdenirumafuncaoqueseradeextremaimportancia,porexemplo,emalgumascifrasdechavep ublica.Denicao2.1.5(AfuncaodeEuler). Sejamuminteiropositivo. AfuncaodeEulereumafuncaonatural devariavel natural onde(m)edenidacomoon umerodenaturaismenoresquemquesaoprimosrelativosdem. Ouseja,: N N(m) = [ a N : (a, m) = 1 a m [Observacao2.1.6. Temosque:(1) = 1;sepeprimo,(p) = p 1;Parapprimo,(p) = pp1= p(1 1p).2.1. ALGUNSTOPICOSSOBRETEORIADOSNUMEROS 392.1.2 CongruenciasAaritmeticamodularseraabasedestetrabalho. Alinguagemespecialdecongruenciaeasuanotacao,desenvolvidaporGauss(1777-1855),sao uteisemTeoriadosN umeros. Defacto,todasasinformacoesrelativasaquestoesdedivisibilidadeestaocontidasnosrestosdadivisaodeinteiros.Denicao2.1.7. Sejamuminteiropositivoeaebinteiros. Dizemosquea e congruentecombmodulomseadiferencaentreaebfordivisvel porm.Seaforcongruentecombmodulom, escrevemosab modm. Sem ,[ (a b),escrevemos a , b modm, e dizemos que aebnaosaocongruentesmodulom. Ao inteiromchamamosomodulodacongruencia.Saovalidasasarmac oesseguintes,ondea,b,c Zem N:1. a a modm,paratodoa.2. Sea b modment aob a modm.3. Sea b modmeb c modmentaoa c modm.Assim, acongruenciamodulomeumarelac aodeequivalenciasobre Z. Destemodo,podemosdenirclassesdecongruenciamodulomdaforma[a] = n Z : n a modm, coma Z.Ouseja,[a] eoconjuntodeinteirosdaformaa + km,ondekvariaem Z.Enatural a identicac ao do conjunto das classes de equivalencia das congruenciasmodulomcomos elementos de 0,1,. . . ,m 1 =Zm. Doravante, usaremos estaidenticacao.Denicao2.1.8. a1,a2, . . . , ameumsistemacompletoderesduosmodulomseU[ai] =Ze0 ai0:1. Sea b modmec d modm,entaoax +cy bx + dy modm, x,y Z.2. Sea b modmec d modm,entaoa c b d modm, x,y Z.3. Sea b modm,entaoac bc modm.4. Sea b modmec d modm,entaoac bd modm.5. Sea b modmed[m,d > 0,entaoa b modd.1Para simplicar a notacao,a b e denotado pora + b.2.1. ALGUNSTOPICOSSOBRETEORIADOSNUMEROS 416. Sea b modm,entaoac bc modmc, c > 0.7. Sea b modm,entaoak bkmodm, k N.Noresultadoseguinte,[m1, . . . , mr]denotaomnimom ultiplocomumdem1, . . . , mr.Teorema2.1.10. Paraa,x,yeminteirostal quem>0:1. ax ay modm x y modm(a,m).2. Se x y modmi,i = 1, . . . , r, entaox y mod[m1, . . . , mr]), onde m1,m2,. . . ,mrsaointeirospositivos.Teorema2.1.11(PequenoTeoremadeFermat). Sejampumprimoeauminteiropositivo. Entaoapa modp. Emparticular,sep ,[ a,entaoap11 modp.Corolario2.1.12. Sep ,[ aesen mmod(p 1),entaoanammodp.O resultado seguinte e uma generalizacao do Pequeno Teorema de Fermat para n umerosinteiroscompostos,estabelecidaporEulerem1760.Teorema2.1.13(TeoremadeEuler). Sejamauminteiroemuminteiropositivotaisque(a, m) = 1,entaoa(m)1 modm.Corolario 2.1.14.Se (a, m) = 1 e n

e o menor resduo de n, nao negativo, modulo (m),entaoanan

modm.Comovimos, Zmcomasoperac oesadicaoemultiplicac aomodulomeumanel, paratodo o m inteiro positivo. Os elementos de Zm que tem inverso multiplicativo sao os primosrelativosdem.Suponhamosquequeremosresolverumacongruencia, ax b modm, ondeassumi-mos,semperdadegeneralidade,que0 a,b 0:1. CasoGeralSe(a, m) = 1,ent aoax b modmtemsoluc ao.Sex1eumasoluc aodeax b modm, ent aotodasasoutrassoluc oessaodadasporx1 + km,k Z,isto e,saocongruentescomx1modm.Nestecaso, 1x 0,1,. . . , m1 : ax b modm.42 CAPITULO2. PRELIMINARESSe (a, m) = d, d>1 ent ao existe uma soluc ao se e so se d[b. Neste caso, a congruenciaax b modme equivalente (emtermos de soluc oes) `acongruenciaa

x b

modm

, ondea

=ad, b

=bd, m

=md . Portanto, temexactamentedsoluc oesmodulo m: x0,x0+md ,x0+2md ,. . . ,x0+(d1)md , sendo x0a unica soluc ao modulomdead x bdmodmd-porque(ad,md ) = 1.2. Casoparticular: b = 1Nestecaso, ax1 modmtemsoluc aoseesose(a, m) =1. Alemdisso, seax 1 modmtemsoluc ao, entao 1x0 0,1,. . . , m 1:ax0 1 modm.Asolucaodestacongruencia eoinversodeamodulom.Temosoresultadoseguinte:Teorema2.1.15. ax b modmtemsolucao unica x Zmseesose (a, m) = 1.O resultado seguinte vai ser de extrema importancia no captulo dos sistemas de chavep ublica.Teorema 2.1.16 (Teorema do Resto Chines).Sejam m1,m2,. . . ,mkn umeros primosrelativos dois adois, ouseja, tal que (mi,mj) =1parai ,=j, esejama1,a2, . . . , akinteiros. Entao,osistemadecongruencias___x a1mod m1x a2mod m2

x akmod mktemuma unicasoluc aomoduloM,ondeM= m1m2. . .mk,dadapor:X k

i=1aiMiyimodmj ajmodmj, 1 j kondeMi=Mmieyi= M1imodmi,para1 i k.Teorema2.1.17. AfuncaodeEuleremultiplicativa,oquesignicaque(mn) = (m) (n),sempreque(m, n) = 1.2.1. ALGUNSTOPICOSSOBRETEORIADOSNUMEROS 43Comovimos naobserva cao2.1.6, dapagina38, (p) =p(1 1p). Assim, paraadecomposicaode mnumprodutode factores primos distintos, m=p11p22. . .pnn,aplicandoocorolarioanterior,temosque:(m) = p11(1 1p1)p22(1 1p2) . . . pnn(1 1pn) =mn

i=1(1 1pi).Duasconsequenciasdaformulade(m) uteisparaoRSAsao:Proposicao2.1.18. Sejan=p q,compeqprimosdistintos. Entao(n) =(p 1) (q 1).Proposicao 2.1.19. Seja n = p q, comp e q primos distintos. Determinar (n) eequivalenteafactorizarn.Este ultimoresultadoprovaremosposteriormente.2.1.3 CorposFinitos,ResduosQuadraticoseReciprocidadeCorposFinitosOs corpos nitos desempenham um papel importante em diversas aplicacoes de Criptologia.Demomento,seraodescritasalgumasbasesteoricasparaaconstrucaodecorposnitos.Todososcorposnitostemaordemdeumapotenciadeumprimo, pn, compprimoeninteiropositivo. Comefeito,podemosdizerquenaoexistenenhumcorponitocomrelementos,amenosque,r =pn. EstescorposnitossaodenominadosdeCorposGalois,edenotadospor GF(pn). Emparticular, paran=1, ocorporesultantee GF(p) =Zp.Para facilitar a leitura, Zp denota, implicitamente, o corpo (Zp, , ). Assim sendo, existemcorpos nitos de ordem p para todo o primo p, Zp, os quais podem ser usados na construc aodeoutroscorposnitosdeordempn.Teorema 2.1.20.Seja F um corpo nito. Entao [ F [ =pnpara algum p primo e n inteiropositivo.Um resultado importante para este estudo, de Teoria Elementar de Grupos, e o TeoremadeLagrange.Denicao2.1.21. Seja G um grupo multiplicativo nito. A ordem de um elemento g Geomenorinteiropositivomtal quegm= eGedenota-seporm=ord(g).44 CAPITULO2. PRELIMINARESTeorema2.1.22(TeoremadeLagrange).Suponha-se que G e um grupo multiplicativodeordemnesejag G. Entao,aordemdegdividen,ouseja,aordemdeumelementode Gdivideaordemdogrupo.Proposicao2.1.23. Sejampprimoedumnatural tal que d[ (p 1); entaoacon-gruenciaxd1 0 modptemexactamentedsolucoes.Ademonstrac aodaproposicaoanteriorencontra-seem[9].Olemaseguintetemporbaseoresultadoanterior,2.1.23.Lema2.1.24. Sejampprimoeduminteirotal quep 1 =2rs d =2r

s

, coms,s

inteiros mpares.1. acongruencia wd1 modp temexactamente (d,p 1) solucoes.2. Se r

(d,p 1).Pelaformuladomaximodivisor comumemtermos dafactorizacaoemn umerosprimos, (2d,p 1) =2min{r

+1, r}(s,s

)e (d,p 1) =2min{r, r

}(s,s

).Assim,paraque (2d,p 1) >(d,p 1)teraque minr

+1,r>minr

,r.Consequentemente,istoso epossvelse r

2. Entaoxeumresduoquadraticomodulopseesosexp121 modp.Denicao2.1.33(SmbolodeLegendre). Sejapuminteiroprimo>2. Paraa 0,dene-seosmbolodeLegendre,_ap_comosesegue:_ap_=___0 se a 0 modp1 se aeumresduoquadraticomodulop1 se anaoeumresduoquadraticomodulop.Teorema2.1.34. Sejapuminteiroprimomaiorque2. Entao,_ap_ ap12modp.2.1. ALGUNSTOPICOSSOBRETEORIADOSNUMEROS 47DemonstracaoSe a for m ultiplo de p, ent ao a 0 modp. Logo, ap120 modp. Pelo smbolo deLegendretemosqueap12_ap_modp.Seafor umresduoquadraticomodulopentao, peloCriteriodeEuler 2.1.32, ap12modp 1 modp. UtilizandoanotacaodosmbolodeLegendre,_ap_ ap12modp.Seanaoforumresduoquadraticomodulopentao, peloPequenoTeoremadeFer-mat2.1.11, ap11 modp. Donde, ap121 modp. Comoanaoeumresduoquadraticomodulop, pelosmbolodeLegendre, temosqueap12 1 modp, ouseja,_ap_ ap12modp.Epossvelgeneralizaradenic aodosmbolodeLegendreparaaseguinte:Denicao2.1.35(SmbolodeJacobi). Sejanuminteiropositivoe mpar,cujafacto-rizacaonumprodutodefactores primosen=pe11. . .pekk. Sejaa0uminteiro. OsmbolodeJacobi,_an_,edenidodaforma:_an_=k

i=1_api_ei.Podemos avaliar o smbolo de Jacobi sem factorizar n, utilizando algumas propriedadesdeTeoriadosN umerosqueapresentamosdeseguida:Propriedades2.1.36.1. Senforuminteiro mparem1 m2modn,entao_m1n_=_m2n_.2. Senforuminteiro mpar,entao_2n_=_1 se n 1 mod81 se n 3 mod8.3. Senforuminteiro mpar,entao_m1m2n_=_m1n_ _m2n_.48 CAPITULO2. PRELIMINARESEmparticular,sem = 2kt,comt mpar,entao_mn_=_2n_k _tn_.4. LeidaReciprocidadeQuadraticaSejammeninteiros mpares. Entao_mn_=_ _nm_se m n 3 mod4_nm_casocontrario.Sejan>1uminteiro mpar. Senforprimoent ao_an_ an12modn, paraalguma.Poroutrolado,senforcomposto,podemosounaoterocaso_an_ an12modn.Denicao2.1.37. Senforumn umerocomposto mpareauminteirotalque(a,n) =1equesatisfaz_an_ an12modn, entaoneumpseudo-primodeEulerrelativamente`abasea.Paran,n umerocompostoe mpar,neumpseudo-primodeEulernabaseapara,nomaximo,metadedosinteirosatalque,1 a n 1(observac aoreferidaem[18]).2.1.4 AlgoritmodeEuclidesAlargadoAlgoritmodeEuclidesAlargado2Utilizando o Algoritmo de Euclides podemos determinar se um inteiro positivo r1 0 faz8. temp = t0 q t9. Setemp 0 entaotemp = temp modr010. Setemp 308900000(= 3.089 108)chavespossveis. SuponhamosqueTO e: criptosistemainseguro.Paracifraramensagemefectua-seosseguintespassos:Converte-seoscaracteresalfabeticosdeTOemresduosmodulo26;2178151914188181941208131846201714Agrupam-seseisaseiseadiciona-seachavemodulo26comosesegue.62 CAPITULO3. CRIPTOLOGIACLASSICA2 17 8 15 19 14 18 8 18 19 4 12 0 8 13 18 4 61 11 0 8 18 4 1 11 0 8 18 4 1 11 0 8 18 43 2 8 23 11 18 19 19 18 1 22 16 1 19 13 0 22 1020 17 141 11 021 2 14OcorrespondenteTC e: DCIXLSTTSBWQBTNAWKVCOBernardoparadecifrar amensagemconvertiaasequenciade caracteres alfabeticosrecebida em resduos modulo 26. E, de forma semelhante, mas inversa, agrupava os resduosobtidosseisaseisesubtraaachavemodulo26,obtendoamensagemoriginalqueAlicelhetinhaenviado.NOTA: Mesmoparavaloresdemrelativamentepequenos, umaprocuraexaustivadachave requer muitotempo (como vimos, para m=6, [/6[ =(26)6=308915776 >308900000(=3.089108)). Contudo, seaprocurafor efectuadacomoauxliodeumcomputador,esta efeitacomalgumarapidez.3.1.5 ACifradeHillEstecripto-sistematambem epolialfabetico. Asuadenominacaodeve-seaLesterS.Hill,queosugeriuem1929.Considera-seminteiropositivo,e T= (= Zm26.Consideremos: m = 3; TO:x = (x1,x2,x3) eTC:y= (y1,y2,y3). Agora,denimoscadaumdoselementosdey: y1, y2, ey3, emfunc aodosx1, x2, ex3, utilizandonotac aomatricial. Porexemplo:__y1y2y3__=__1 3 42 7 00 0 1____x1x2x3__Neste genero de cifra, escolhe-se para chave uma matriz quadrada, Kmm, K= (kij)i, j=1,...,m.Parax = (x1, x2, . . . , xm) TK /.Calculamosy= eK(x) = (y1, y2, . . . , ym).Assim,y= Kx,eTC eobtidoapartirdeTOpormeiodeumatransformacaolinear.3.1. CRIPTOGRAFIACLASSICA 63ParasedecifrarTCobtidoatravesdeumacifradeHill enecessarioqueamatrizKpossuainversa,nestecaso`aesquerda. Consequentemente,K1y= x.4Voltandoaocasoreferidonapagina62,em Z26,K1=__7 23 2424 1 80 0 1__,ondeasoperac oesaritmeticassaoefectuadasem Z26.Seguidamente, vamos cifrar edecifrar umamensagem, utilizandoamatrizKcomochave.Formemos,apartirdeTO: margarida, treselementos:__12017__ correspondeamar__6017__ correspondeagar__830__ correspondeaidaCiframosTO,em Z26,5__1 3 42 7 00 0 1____12017__=__22417____1 3 42 7 00 0 1____6017__=__221217__4AmatrizKequadrada; logo, ainversa`aesquerdaeigual `ainversa`adireita, porqueoanel dasmatrizes quadradas sobre um anel comutativo e Dedekind nito.5O n umero de caracteres da mensagem TO e m ultiplo do n umero de colunas/linhas deK. Tal comona Cifra de Vigen`ere, caso isso nao aconte ca, acrescenta-se o ultimo caracter ate obter um m ultiplo, porexemplo. Outra alternativa seria considerar Z27(26 letras mais 1 espaco) ou Z255, o codigo ASCII.64 CAPITULO3. CRIPTOLOGIACLASSICA__1 3 42 7 00 0 1____830__=__17110__DestemodoobtemosTC: CYMRRLA.SeBernardoquisessedecifraramensagem,utilizavaamatrizK1ecalculavaosresduosmodulo26,correspondentesaoscaracteresalfabeticosdeTO.NOTA: Vericamosqueadecifrac aosoepossvelseKforumamatrizinvertvel. Asmatrizesinvertveissaoimprescindveisparadecifrarumamensagem.ACifradeHillSejamuminteiropositivoxo.T= (= Zm26/ = matrizesinvertveisem Z26, mmParaumachaveK /dene-seasfuncoes:eK(x) = KxedK(y) = K1y,ondetodasasoperac oessaoefectuadasem Z26.VeriquemosquedKeafunc aoinversadeeK.Defacto,dK(eK(x)) =dK(Kx) =K1Kx=x, x Zm26.3.1.6 ACifraporPermutacaoA Cifra por Permutacao e um caso especial da Cifra de Hill. Este tipo de cifra, ao contr ariodas cifras estudadas anteriormente, nao envolve a substituicao de caracteres do texto origi-nalporoutroscaracteresnotextocifrado,massimaalterac aodasposicoesdosprimeiroscaracteres. Adistinc aoentreumaCifraporSubstituicaoeumaporPermutacaofoireali-zada,porvoltade1563,porGiovanniPorta.Formalmente,denimosaCifraporPermutacaocomosesegue,3.1. CRIPTOGRAFIACLASSICA 65ACifraporPermutacaoSejamuminteiropositivoxo.T= (= Zm26/ =conjuntodetodasaspermuta coesde1, . . . , m.Paraumachave,isto e,paraumapermutac aodene-seasfunc oes:e(x1, . . . , xm) = (x(1), . . . , x(m))d(y1, . . . , ym) = (y1(1), . . . , y1(m)),onde1eumapermuta caoinversade.VeriquemosquedKeafunc aoinversadeeK.Defacto,d(e(x1, . . . , xm)) =d(x(1), . . . , x(m)) =(x1(1), . . . , x1(m)) =(x1, . . . , xm), (x1, . . . , xm) Zm26.Exemplo3.1.6. Suponhamosm = 7e,escolha-seapermuta caoseguinteparachave::1 2 3 4 5 6 72 5 6 3 7 4 1Entao,1:1 2 3 4 5 6 77 1 4 6 2 3 5SupondoTO: criptosistemainseguroPara se cifrar a mensagem, agrupam-se os caracteres de 7 em 7 e aplica-se a permutac ao.criptos [istemai [nseguroDepois,cadagrupode7letras ereagrupadodeacordocomapermutac ao. Obtendo-se:RTOISPCSMATIEISUREOGNDeformasimilar,podemosdecifrarestamensagemutilizandoapermutacao1.Como ja foi referido, este cripto-sistema e um caso particular da Cifra de Hill. Dada umapermuta cao /, podemos denir uma matriz de permuta cao associada a ,K= (ki,j),talque:ki,j=_1 , i =(j)0 , casocontrario66 CAPITULO3. CRIPTOLOGIACLASSICAFacilmente constatamos que a matrizdepermutacao e uma matriz onde todas as linhase colunas tem exactamente um 1 e os restantes elementos sao nulos. Assim, podemos obterestamatrizapartirdamatrizidentidade, permutandolinhasoucolunas. RelacionandoestacifracomadeHill, vemosqueautilizacaodamatrizKeequivalente`aaplicac aoduma permutacao correspondente. Alem disso, K1= K1, ou seja, a inversa da matrizKeamatrizdepermutacaodenidapor1. Consequentemente,adecifracaodaCifradeHillequivale`apermutacaodedecifracao.Exemplo3.1.7. Exemplodeequivalenciaentrepermutacoesematrizesdepermutac ao.Consideremosapermuta caoanteriormentedenidaerespectivainversa,:1 2 3 4 5 6 72 5 6 3 7 4 11:1 2 3 4 5 6 77 1 4 6 2 3 5As matrizes de permutac ao associadas sao, respectivamente (fazendo a troca linhas porlinhas):K=__0 0 0 0 0 0 11 0 0 0 0 0 00 0 0 1 0 0 00 0 0 0 0 1 00 1 0 0 0 0 00 0 1 0 0 0 00 0 0 0 1 0 0__K1=__0 1 0 0 0 0 00 0 0 0 1 0 00 0 0 0 0 1 00 0 1 0 0 0 00 0 0 0 0 0 10 0 0 1 0 0 01 0 0 0 0 0 0__tendoK K1= I7.3.1.7 CifrasdeFluxoEm todos os cripto-sistemas vistos ate esta parte, utilizou-se a mesma chave-K-para cifrartodaamensagemTO.Defacto,TCeraobtidodaforma:y= y1y2. . . = eK(x1) eK(x2). . . .Acripto-sistemasdestetipo eusualchamar-seCifrasdeBlocos.Tambemepossvel, emalternativa, utilizaroutrotipodecripto-sistemas, denomina-dosporCifrasdeFluxo6. Nestas, tem-secomoobjectivogerarumaChavedeFluxo, ou6Conhecidas como Cifras Stream3.1. CRIPTOGRAFIACLASSICA 67Keystream, z=z1z2. . ., eutiliza-laparacifrarumamensagemTO, x=x1x2. . . deacordocomaseguinteregra:y= y1y2. . . =ez1(x1) ez2(x2). . .FuncionamentodeumaCifradeFluxo:Suponhamosquetemosumachave,K /,eumamensagemTO,x = x1x2. . ..Dene-seumafuncaofiqueserveparacriarzi,oi-esimoelementodaChavedeFluxo. fidependedachaveKedosprimeirosi 1elementosdeTO,zi=fi (K, x1. . . , xi1).Comovimos, oselementosdaChavedeFluxo, zi, saousadosparacifraroselementosdeTO,xi,daforma: yi=ezi(xi).Paratal,calcula-sesucessivamentez1y1z2y2. . ..Inversamente, para decifrar o texto obtido, y1y2. . ., calcula-se sucessivamente z1x1z2x2. . ..Formalmente,podemosdenirumaCifradeFluxocomosesegue.Denicao3.1.8. UmaCifradeFluxoeum7-uplo(T, (, /, L, T, c, T)quesatisfazascondi coes:1. T, (saoconjuntosnitosdesmbolos;2. /,eoespacodaschaves,umconjuntonitodechavespossveis;3. LeumconjuntonitochamadoAlfabetodaChavedeFluxo;4. T=(f1,f2,. . .)eogeradordaChavedeFluxo.Parai 1, fi: / Ti1 L5. Paracadaz L,existeumafuncaoez ceumafuncaodz T:ez: TC (Pdz: (P TCtaisque,dz( ez(x)) = x,x TC.68 CAPITULO3. CRIPTOLOGIACLASSICAComparandoumaCifrade Blocos comumaCifrade Fluxo, apercebemo-nos que aprimeira eumcasoparticulardasegunda,comChavedeFluxoconstantetalque,zi= K, i 1.AlgunscasosespeciaisdeCifrasdeFluxo:UmaCifradeFluxoesncronaseaChavedeFluxo eindependentedeTO, istoe,seaChavedeFluxo egeradaunicamentecomofunc aodeK. Nestasituacao,Kexpande-senumaChavedeFluxo z1z2. . ..UmaCifradeFluxo eperiodica,comperodod,sezi+d= zi, i N.ACifradeVigen`erepodeservistacomoumcasoparticulardeumaCifradeFluxoperiodica, deperodom, compalavrachavedecomprimentom. EssachaveedaformaK=(k1,. . .km) tal queos mki, comi =1,. . .msaoos primeiros melementosdaChavedeFluxo: zi=ki, 1i m. ParaosrestanteselementosaChavedeFluxovolta-searepetir.Nestecasoespecco, asfunc oesezedzsaoidenticas`asdenidasparaaCifraShift, ouseja,ez(x) = x + zedz(y) = y z.Muitasvezes,aCifradeFluxo edescritaemtermosdosistemabinario,isto e,T= (= L=Z2.Nesteexemplo,asfuncoesezedzsaoadicoesmodulo2:ez(x) = x +z mod2dz(y) = y z mod2.Seatribuirmosa0e1osvaloresdeverdadefalsidade(F)everdade(V), respecti-vamente,aadicaomodulo2corresponde`aoperacaodisjuncaoexclusiva. Consequente-mente, podemos implementar sistemas, em hardware, capazes de cifrar e decifrar mensagensecientemente.3.1. CRIPTOGRAFIACLASSICA 69Exemplo3.1.9. ExemplodeummetodoparagerarumaChavedeFluxosncrona.Suponha-sequeinicialmentetemos(k1,. . . , km)esejazi=ki, 1 i m(comonaCifradeVigen`ere).Agora, vamos gerar a Chave de Fluxo atraves de uma relac ao de recorrencia linear, de graum:zm+i=m1

j=0cj zi+jmod 2 , onde c0,c1,. . . ,cm1 Z2saoconstantespre-determinadas.NOTA: Esta relacao de recorrencia tem graum porque cada termo depende dos mtermosanteriores. Podemosconsiderarc0= 1semperdadegeneralidade,deoutromodo,arecorrenciaseriadegraum1.Etambemlinearporquezi+meumafuncaolineardostermosanteriores.Nesteexemplo,achaveKconsisteem2mvalores: k1,. . . ,km,c0,. . . ,cm1.Se(k1,. . . , km) =(0,. . . ,0), entaoaChavedeFluxoeconstitudaunicamenteporzeros. Nestecaso,otextocifradoseriaidenticoaotextooriginal. Noentanto,seascons-tantesc0,. . . ,cm1foremescolhidasdemodoconveniente, qualqueroutrovectorinicial(k1,. . . , km) daraorigemaumaChavedeFluxoperiodica, deperodo2m 1. Assim,verica-sequeumachavedepequenocomprimentopodeoriginarumaChavedeFluxodeperodolongo.Relativamente`aCriptanalisedaCifradeVigen`erepodemosadiantarqueestaseraque-bradaatraves da investigacao do facto da chave de uxo desta Cifra ter um perodo curto.Exemplo3.1.10. VamosgerarumaChavedeFluxo:Sejam = 5ezi+5= zi+zi+1mod 2, comi 1afunc aoquegeraaChavedeFluxo.Se a Chave de Fluxo inicial for diferente de (0, 0, 0, 0, 0), obtemos uma Chave de Fluxodeperodo31. Porexemplo, seiniciarmoscomovector(1, 1, 0, 0, 0), aChavedeFluxogerada e:1, 1, 0, 0, 0, 0, 1, 0, 0, 0, 1, 1, 0, 0, 1, 0, 1, 0, 1, 1, 1, 1, 1, 0, ...Seutilizarmosoutrovectorinicial, obteramosumaoutrapermuta caocclicadamesmaChavede Fluxo. Vejamos, se utilizarmos paravector inicial (1, 0, 0, 0, 0) obteramos a70 CAPITULO3. CRIPTOLOGIACLASSICAChavedeFluxo:1, 0, 0, 0, 0, 1, 0, 0, 0, 1, 1, 0, 0, 1, 0, 1, 0, 1, 1, 1, 1, 1, 0, ...Este metodo de gerar uma Chave de Fluxo pode ser produzido ecientemente emhardware, utilizandoumprogramadenominadoLinearFeedbackShiftRegisterouLFSR. EstemetodoparageraraChavedeFluxodoexemplo3.1.10podeseresquema-tizadocomosesegue:///. -,() *++

k1ook2ooOOk3ook4ook5ooSeguidamente, veremosoutraCifradeFluxo, naosncrona, conhecidaporCifraAu-tochave. Asuadesignacaodeve-seaofactodeopropriotextooriginal servirdechave,exceptuandoainicialk-chaveinicial.Formalmente,ACifraAutochaveT= (= /= L=Z26.z1= k , zi= xi1(i 2) , 0 zi 25.ezi(x) = x +zimod 26dzi(y) = y zimod 26comx,y Z26.Estetipode cifraapropria-se`a CifradeVigen`ere. Deseguida veremos umexemplo deaplicacaodaCifraAutochave.Exemplo3.1.11.K= 5-chaveinicial.TO:criptosistemainseguroParacifrar amensagemAliceconverteTOnacorrespondentesequenciaderesduosmodulo26,2178151914188181941208131846201714Logo,aChavedeFluxo e:[521781519141881819412081318462017]3.2. CRIPTANALISECLASSICA 71Aplicandoafuncaoez,obtem-se:71925238760011231612821522100115Emcaracteresalfabeticos,temosTC:HTZXIHGAALXQMIV FWKALFPara decifrar a mensagem, Bernardo converte o texto alfabetico nos correspondentes resduosmodulo26e,posteriormente,aplicaafunc aodedecifrac ao.Vemque,x1=dz1(y1) =d5(7) = 7 5mod 26=2x2=dz2(y2) =d2(19) = 19 2mod 26=17...x21=dz21(y21) =d17(5) = 5 17mod 26=14Como podemos observar, cada elemento que se obtem- xi, e o elemento da Chave de Fluxoqueseutilizanadeterminac aodoxiseguinte. Destemodo, oreceptordeTCdeterminaosresduosmodulo26quegeramTO,criptosistemainseguro.Talcomoascifrasanteriores,estatambem einsegura,umavezqueapenasexistem26chavesiniciaispossveis.3.2 CriptanaliseClassicaNesta secccao iremos estudar algumas tecnicas de Criptanalise. Teremos por base oprincpiodeKerckho.O Princpio de Kerckho baseia-se na conjectura de que o intruso tem conhecimentodosistemacriptogracoutilizado.Assim, vamossuporqueointrusoconheceocripto-sistemausado. Casocontr ario, acriptanalisedeumamensagemseria,obviamente,maisdifcildeseobter.Consoanteainformac aoqueointrusotenhasobreosistemautilizado, poderaoserefectuados diferentes tipos de ataques,com o objectivo de determinar a chave. Seguem-sealguns:72 CAPITULO3. CRIPTOLOGIACLASSICA1. ApenaseconhecidoTCNestecaso,ointrusoteveacessounicamenteaTC,y.2. TambemeconhecidoTONestetipodeataque,ointrusoteveacessoaTO,x,alemdeTC,y.3. TOeescolhidoNesta circunstancia, o intruso obteve, temporariamente, o mecanismo de cifrar men-sagens. Logo,elepodeescolherumamensagemdeTO- xeobteracorrespondentecifrada - y.4. TCeescolhidoNestas condicoes, o intruso teve acesso, temporariamente, ao mecanismo de de-cifrac ao. Assim, ele pode escolher uma mensagem de TC- y e obter a correspondentemensagem de TO- x. Este tipo de ataquee particularmente relevante para os sis-temasdechavep ublica,comoveremosulteriormente.Apartir de agora, estaremos nopapeldointruso, ouseja, onossoobjectivoseradeterminarachavedosistemacriptogracoqueestejamosainvestigar.Principiamos com um exemplo de uma tecnica criptanaltica, a tabela de Beker & Piper.Esta e constituda pelas frequencias relativas estimadas para as 26 letras do alfabeto, calcu-ladasatravesdeumagrandequantidadedetextosingleses. Consequentemente, epossvela frequencia relativa de cada letra do alfabeto ser tomada como uma estimativa da proba-bilidadedaocorrenciadessaletranumtextoingles.Beker&Piper,combasenatabela3.1,formaram5gruposdeletras:1. LetraE,comprobabilidadede0, 120aproximadamente;2. LetrasT,A,O,I,N,S,H,R,cadaumacomprobabilidadeentre 0, 06 e 0, 09;3. LetrasD,L,cadaumacomprobabilidadede0, 04aproximadamente;4. Letras C, U, M, W, F, G, Y, P, B, cadaumacomprobabilidadeentre 0, 015 e0, 028;5. LetrasV,K,J,X,Q,Z,cadaumacomprobabilidademenorque 0, 01.3.2. CRIPTANALISECLASSICA 73letra probabilidade letra probabilidadeA .082 N .067B .015 O .075C .028 P .019D .043 Q .001E .127 R .060F .022 S .063G .020 T .091H .061 U .028I .070 V .010J .002 W .023K .008 X .001L .040 Y .020M .024 Z .001Tabela3.1: ProbabilidadesestimadasporBeker&Piper.Para este genero de analise,tambem e util referir as sequencias de 2 ou 3 letras,isto e,osdigramaseostrigramasmaiscomuns.Por ordem decrescente, os 30 digramas mais frequentes sao: TH, HE, IN, ER, AN, RE,ED,ON,ES,ST,EN,AT,TO,NT,HA,ND,OU,EA,NG,AS,OR,TI,IS,ET,IT,AR,TE,SE,HI,OF.Tambemporordemdecrescente, os12trigramasmaisusuaissao: THE, ING, AND,HER,ERE,ENT,THA,NTH,WAS,ETH,FOR,DTH.3.2.1 CriptanalisedaCifraAmNa criptanalise de uma Cifra Am efectua-se uma analise frequencista das diferentes letrasquepossamaparecernumamensageminterceptadaporumintruso.Exemplo3.2.1. DadoqueatabeladeBeker&Piperdizrespeito`aLinguaInglesa, oexemploserade umamensagememingles, e naoemportugues. Tambemexiste umatabelarelativa`aLinguaPortuguesa; todavia, essaebrasileirae, casofosseutilizadacomumamensagememPortugues(Portugal),asuaanaliseseriaambgua.74 CAPITULO3. CRIPTOLOGIACLASSICASuponhamosquefoiinterceptadaaseguintemensagem,cifradaporumaCifraAmTC:M J S Z T U G J C Z L S Q O C H J U C RO Y H V W M T C P R Q T J W E Y Q J W OA P U I F W R G W U B O W D W J C F C JW C O U B K C T L W K C T Q M O Q P M FY R Q P G P Y K H W J T L W U J S G J UY Z O J Q P G O C P R B Q W F R O F Q PW C J C F G W H J C Z J U H C H Q F Q TS C P R Q P B U J K C T Q U P T L W U J STabeladefrequenciasdas26letrasdoalfabetoletra frequenciaabsoluta letra frequenciaabsolutaA 1 N 0B 4 O 9C 16 P 11D 1 Q 13E 1 R 7F 7 S 5G 6 T 9H 6 U 11I 1 V 1J 16 W 15K 4 X 0L 4 Y 5M 4 Z 4TC e constitudo por 161 caracteres alfabeticos, o que e suciente para quebrar umaCifra Am. Efectuando uma analise estatstica das frequencias das diferentes letras, pode-mos observar que as letras mais frequentes sao: C e J (16 ocorrencias); W (15 ocorrencias);Q(13ocorrencias);PeU(11ocorrencias).3.2. CRIPTANALISECLASSICA 75Numaprimeiraanalise, tendoemcontaatabeladeBeker&Piper, podemoscon-jecturar que C e J sao as letras cifradas de e e r, respectivamente, uma vez que estassaodasletrasmaiscomunsnumtextoingles. TemosqueeK(4)=2eeK(17)=9.ComoacifrautilizadaeAm, eK(x)=ax + b, coma, b Z26. Consequentemente,temosduasequac oeslinearescomduasincognitas._4a + b = 2 mod2617a + b = 9 mod26_b = 2 4a mod2613a = 7 mod26Como13a0 mod 26, quandoaepar, ter-se-ia0 =7 mod 26. Seafosse mpar,a = 2x + 1,ter-se-ia13= 7 mod 26. Logo,estahipotesenao evalida.Segundahipotese: CeJsaoasletrascifradasdeaer,respectivamente. TemosqueeK(0)=2eeK(17)=9. Procedendodeigual modo, temosquea=5eb=2, saosoluc oes unicasem Z26. Comomdc(a, 26)=1, podemosconsiderarestaumachavepossvel. Agora, teremosdecalcularafuncaodedecifracao, dK, correspondente`achave K= (5, 2) e,seguidamente,decifrar o texto dado para ver se TO temsentido.Este ultimo passo,conrmara a validade da chaveK= (5, 2). Deste modo,obtemosdK(y) = 21y 16,eotextodecifrado:c r y p t o g r a p h y i s a b r o a ds u b j e c t a n d i t r e q u i r e sk n o w l e d g e o f s e v e r a l a re a s o f m a t h e m a t i c s i n c lu d i n g n u m b e r t h e o r y g r ou p s r i n g s a n d f i e l d s l i ne a r a l g e b r a p r o b a b i l i ty a n d i n f o r m a t i o n t h e o r yOuseja,cryptographyis abroadsubject; andit requires knowledge of severalareasof mathematics, includingnumbertheory, groups, ringsandelds,linearalgebra,probabilityandinformationtheory.77Criptograa eumtemavasto; eexigeoconhecimentodediferentesareasdamatematica, incluindoteoria dos n umeros, grupos, aneis e corpos, algebra linear, probabilidade e teoria de informacao.76 CAPITULO3. CRIPTOLOGIACLASSICAEstetextooriginal foi retiradodolivroTheCodebreakers, deD. Kahn, Scribner,1996.3.2.2 CriptanalisedaCifraporSubstituicaoA criptanalise de uma Cifra obtida por substituic ao e mais complicada que uma Cifra Am.Vejamosumexemplo.Exemplo3.2.2. TCobtidoatravesdeumaCifraporSubstituicao:S J W I J Z Q U X J Y X L Q G L X Z Y G E X XR Z X Q U X Y Z J W L I J Z V U G E X W Q G LX Z Y G A X J U W Y I G Z X Z X Q U X Y Z Z DW Q X Y I X Y D S X G H Y I X R I J U J G I ZTabeladefrequenciasdas26letrasdoalfabetoletra frequenciaabsoluta letra frequenciaabsolutaA 1 N 0B 0 O 0C 0 P 0D 2 Q 6E 2 R 2F 0 S 2G 8 T 0H 1 U 6I 7 V 1J 8 W 5K 0 X 17L 4 Y 9M 0 Z 11Aletramaisfrequentenotexto eaX.Assim,vamosconjecturarquedK(X) = e.3.2. CRIPTANALISECLASSICA 77As letras que mais vezes aparecem no texto alem da letra X sao: Z(11 ocorrencias); Y(9ocorrencias); J e G(8 ocorrencias); I(7 ocorrencias); Q e U(6 ocorrencias); W(5 ocorrencias).Vamossuporqueestasletrassaoencriptacoesdes,t,a,o,h,i,r,n,respectivamente.Todavia, afrequenciaentreelasnaovariamuitoparasabermosseeestaamelhorcor-respondencia. Comotal, analisaremos alguns digramas, emparticular os daforma XeX, umavezqueconjecturamosqueeeracifradaemX. Osdigramasmaisfrequentessao: XY(4ocorrencias); ZX,XZeUX(3ocorrencias). ComoZXeXZaparecem3vezescadaum, podemos pensar que dK(Z) r, s, t, e que dK(Y ), dK(U) r, s, t, poisestestambemocorremvariasvezes. Contudo,ascorrespondenciascorrectasnaoresultaminequivocamenteclaras.VamossuporquedK(Z) = s,dK(U) = redK(Y ) = t. Ateestepontotemos,S J W I J s Q r e J t e L Q G L e s t G E e eR s e Q r e t s J W L I J s V r G E e W Q G Le s t G A e J r W t I G s e s e Q r e t s s DW Q e t I e t D S e G H t I e R I J r J G I sAo analisarmos o texto com as conjecturas que efectuamos, ressaltam-nos especialmentedoispoligramasiguais-seQrets, edoistrigramas-tIe. Comootrigramamaiscomumethe, vamos admitir quedK(I) =h. Quantoaopoligrama, tudoindicaser apalavrasecrets,logodK(Q) = c. Incorporandonotextomaisestashipoteses,temos:S J W h J s c r e J t e L c G L e s t G E e eR s e c r e t s J W L h J s V r G E e W c G Le s t G A e J r W t h G s e s e c r e t s s DW c e t h e t D S e G H t h e R h J r J G h sAteagora, aletraefoi a unicavogal aserdecifrada.Eplausvel quealgumasdasletrasquefaltamdescobrirsejamvogais, casocontr arioteramosgrandessequenciasdeconsoantes. Consultandootextoanterior, constatamos queentreestas letras, as maisconstantessaoJ, GeW. Dadasassuasposic oes, verosimilmente, JeGseraoduasdasvogais a, o ou i. Segundo a tabela de Beker & Piper, os digramas mais comuns constitudosporessasvogaiseoutrasletrasjadecifradassao: at, to, ha, ea, as, or, ti, is, it, arehi.78 CAPITULO3. CRIPTOLOGIACLASSICAConfrantandoestesdigramascomotexto,estabelece-seaconjecturadequedK(J)=aedK(G) = o. Temosentao:S a W h a s c r e a t e L c o L e s t o E e eR s e c r e t s a W L h a s V r o E e W c o Le s t o A e a r W t h o s e s e c r e t s s DW c e t h e t D S e o H t h e R h a r a o h sNotextoaparecem, algumasvezes, osdigramaseLeLe. Comoebastanteusual nostextos ingleses o digrama ed, sugere-se que dK(L) = d. Tambem podemos vericar que aletra W surge a maioria das vezes a seguir a uma vogal,`a letrar ou `a letra D, esta ultimaaindapordecifrar. Comosaomuitofrequentesosdigramasin, an, on, eneotrigramaand,sugere-sequedK(W) = n. Portanto,temos:S a n h a s c r e a t e d c o d e s t o E e eR s e c r e t s a n d h a s V r o E e n c o de s t o A e a r n t h o s e s e c r e t s s Dn c e t h e t D S e o H t h e R h a r a o h sPorm,facilmentepodemoscompletarotextocomsignicado,ManhascreatedcodestokeepsecretsandhasbrokencodestolearnthosesecretssincethetimeofthePharaohs.83.2.3 CriptanalisedaCifradeVigen`ereExistemvariosmetodosparaquebrarumamensagemencriptadaatravesdaCifradeVigen`ere.Vamosapresentarumatecnicaqueserveparadeterminarocomprimentodeumachavedestetipodecifra,denotadoporm:TesteKasiskiOnomedestatecnicadeve-seaoseuautor, FriedrichKasiski, queadescreveuem1863.8O Homem tem criado codigos para manter segredos e tem quebrado codigos para car a conhecer essessegredos desde o tempo dos faraos.3.2. CRIPTANALISECLASSICA 79Baseia-senaobservac aodequedoissegmentosiguaisdeTOsaocifradosemsegmentostambem estes iguais, sempre que a ocorrencia dos segmentos em TO estejam separados emxposic oes,talquex 0 modm.Inversamente, se observarmos dois segmentos iguais emTC, cadaumde comprimentomaiorouiguala3,diz-sequeemuitoprovavelqueessesdoissegmentosidenticosdeTCcorrespondamasegmentosidenticosdeTO.3.2.4 CriptanalisedaCifradeHillIremos estudar o ataque tipo 2 `a Cifra de Hill, ou seja, vamos admitir que TO e TC saoconhecidos.Nestascondic oes,estetipodecifra efacilmentequebrada.Comecaremosporassumirqueointrusojadeterminouocomprimentodachave, m.Vamostambemconsiderarqueeletem,pelomenos,mparesdistintosdemuplos:xj= (x1,j, x2,j, . . . , xm,j)-representamuplosdeTO;yj= (y1,j, y2,j, . . . , ym,j)-representamuplosdeTC;yj= eK(xj), com1 j mSe denirmos duas matrizesmm,X= (xi,j) eY= (yi,j) temos a equac ao matricial:Y= KX,ondeKeumamatrizmmquerepresentaachave(desconhecida).Se a matriz Xfor invertvel, o intruso pode determinar a chave que foi utilizada, deter-minandoK=Y X1e, destaforma, quebrarosistemacriptograco. PorquesendoXeKinvertveis, necessariamenteYteradeserinvertvel poisoprodutodeduasmatrizesinvertveis eumamatrizinvertvel.SeamatrizXnaoforinvertve