Boletín ENIGMA - nº 9
3 Febrero 2003
Boletín del Taller de Criptografía
de Arturo Quirantes Sierra
Dirección original: http://www.cripto.es/enigma/boletin_enigma_9.htm
CRIPTOGRAFÍA HISTÓRICA - Criptoanálisis de Enigma I: el método de tiras, primera parte
CRIPTOGRAFÍA HISTÓRICA - Criptoanálisis de Enigma II: el método de tiras, segunda parte
CRIPTOGRAFÍA HISTÓRICA - Criptoanálisis de Enigma III: la batalla del Cabo Matapan
LIBERTAD VIGILADA - LV, el espionaje de las comunicaciones
LIBERTAD VIGILADA - Actividades Comint británicas en España (I)
Nuevo año, nuevo boletín. Y ya iba siendo hora. El ejemplar del mes de Enero
tuvo que sufrir un leve retraso. Podría daros muchos motivos, pero para qué
vamos a andar con rodeos, sencillamente no pude. La mayor parte de este boletín
ya estaba listo para Reyes, pero no podía permitirme ligerezas, y preferí ir
lento pero con buena letra.
Y confío en que la espera haya valido la pena. Vamos a comenzar el año en plan
fuerte. Para empezar, tres artículos donde comenzaremos a criptoanalizar la
máquina Enigma comercial. Puede que os resulte algo pesado, a pesar de mis
esfuerzos, así que tomáoslo con calma. Si algo no se entiende, seguid adelante.
En segundo lugar, una primicia: extractos del nuevo libro "Libertad Vigilada",
de Nacho García Mostazo. Y, por si fuera poco, nuevas fotografías para el Museo
Camazón.
En cuanto pulse el botón de "enviar", el siguiente Boletín Enigma ya estará en
preparación. Hay en preparación más artículos sobre criptoanálisis, documentos
calentitos de los archivos españoles. Y muchas sorpresas. ¿Sabíais que el
gobierno español quiso comprar Enigmas en 1931? ¿Queréis saber cuáles eran las
claves que usaban los marineros del Mar Cantábrico? Pues cada cosa a su tiempo.
Por de pronto, ahí va un boletín completo.
CRIPTOGRAFÍA HISTÓRICA - Criptoanálisis de Enigma I: el método de tiras, primera parte
Los primeros intentos criptoanalíticos contra la Enigma militar (la que podemos
denominar "modelo estándar") fue llevada a cabo por los polacos del grupo de
Rejewski a comienzos de los años 30. Sin embargo, existe una solución anterior
sobre otro modelo de Enigma, el comercial. Esta versión tiene ciertas
diferencias con la militar, siendo la más relevante la ausencia de tablero de
conexión. Como veremos aquí, eso posibilita un ataque criptoanalítico.
El primer ataque teórico contra una Enigma comercial -y, de hecho, de cualquier
tipo- parece corresponder a Hugh Foss, quien hacia 1927 o 1928 escribió un
informe titulado "La Enigma recíproca", que se guarda actualmente en los
archivos británicos (Public Records Office, legajo HW 25/14). No me extenderé
sobre él porque a) no lo conozco en su totalidad y b) alguien que sí lo ha
examinado me ha reconocido que es un ataque complejo, cosa que he podido
confirmar leyendo un par de páginas. Con todo, y en ausencia de pruebas
ulteriores, podemos fijar la fecha 1927-28 como la de los primeros asaltos
exitosos contra nuestra máquina de cifrado favorita.
El método de Foss fue refinado y potenciado por uno de los grandes
criptoanalistas británicos: Dilly Knox. Este personaje, merecedor de nuestra
atención en un futuro boletín, se encontró con el reto de descifrar los mensajes
protegidos con Enigmas que, de repente, se comenzaron a captar en la España en
guerra. En efecto, en Noviembre de 1936 las orejas electrónicas inglesas
captaron mensajes cifrados con una máquina que posteriormente se identificó como
una Enigma comercial, modelo K. Al parecer, la Alemania de Hitler dotó a las
fuerzas
franquistas de este tipo de máquina. Máquinas similares fueron usadas por Suiza
e Italia durante la Segunda Guerra Mundial.
El procedimiento usado por Knox se denomina método de "rodding" en inglés, y "methode
des batons" en francés. Aquí, en ausencia de una traducción adecuada, me
permitiré llamarlo "método de tiras". Aunque cronológicamente es posterior a los
ataques polacos contra la versión militar, lo presento aquí en primer lugar. No
sólo considero más lógico comenzar por los ataques a las primeras versiones de
Enigma, sino que, siendo el método de tiras heredero directo del procedimiento
de Foss de finales de los años 20, podemos considerarlo como el primero
cronológicamente hablando ... aunque por los pelos.
Desafortunadamente, explicar aquí el método de tiras requeriría varias páginas
de tediosos desarrollos, y lo último que quiero es aburrirle, amable lector. Así
que séame permitido sacrificar algo de rigor en beneficio de una explicación
clara y accesible.
El método de tiras no debe verse como un ataque criptoanalítico fácil, directo e
infalible. Muy por el contrario, requiere de elevadas dosis de paciencia, así
como de intuición, habilidades lingüísticas y, por qué no decirlo, una buena
dosis de suerte.
Lo primero que necesitamos es una chuleta. Y me da igual que ya hayamos comido,
porque no van por ahí los tiros. Los criptoanalistas ingleses denominaban
"chuletas" (cribs) a las palabras, o fragmentos de frase, que creían aparecían
en un texto. Es una suposición sobre lo que el mensaje pueda incluir. Por
ejemplo, si se trata de un mensaje al Alto Mando de la Armada, puede que la
palabra "almirante" aparezca en el texto. Y ahí está el primer problema, porque
podemos acertar o no. Pero ya les dije que no sería un método infalible. De
hecho, veremos en boletines sucesivos que gran parte de los éxitos contra Enigma
pasaban por tener chuletas, o al menos suponerlas.
Bien, tome aire, que allá vamos. Lo primero que supondremos es que, en el
transcurso del mensaje, solamente gira el rotor derecho. Recordemos que el
corazón de Enigma consta de tres rotores y un reflector. El rotor derecho (a
veces denominado rotor rápido) da una vuelta cada 26 letras, y en un momento
dado de esa vuelta arrastrará al rotor central. Es decir, el rotor central se
moverá una vez cada 26 letras cifradas. Eso quiere decir que, en mensajes de
pocas palabras, es bastante probable que dicho rotor no se haya movido. Por
ejemplo, si consideramos las 5 primeras letras del mensaje, hay un 80% de
probabilidades de que el rotor central no gire. Y por supuesto, para el rotor
izquierdo las probabilidades a favor de que no gire son mucho mayores.
Es decir, la mayor parte del tiempo los rotores izquierdo y central se están
quietecitos. Bien, pues esa va a ser nuestra segunda suposición: que solamente
el rotor derecho se mueve. Podemos entonces dividir el mecanismo de cifrado en
dos partes. Por una, un rotor que gira; por otra un conjunto inmóvil formado por
el reflector y los rotores izquierdo y central.
Ahora, imaginemos que sustituimos mentalmente el conjunto inmóvil (reflector +
rotor izquierdo + rotor central) por un sólo rotor o disco fijo, al que
denominaremos "disco imaginario." De esta forma, la señal eléctrica que entra en
el conjunto de rotores atravesaría los siguientes elementos: disco o cilindro de
entrada (fijo), rotor derecho (rotatorio), disco imaginario, rotor derecho,
disco de entrada. Es decir, el conjunto inmóvil actuaría como un reflector.
Vamos a rotular ahora el disco imaginario (y también el rotor derecho) de forma
que, si lo miramos de frente, las letras aparezcan en el orden del teclado en
sentido horario. Es decir, mirando el sistema desde la derecha -de donde vendrá
la señal eléctrica de entrada-, el disco imaginario tendrá una q en la parte
superior (la de las doce en punto en la esfera de un reloj); siguiendo la mirada
en el sentido de las agujas del reloj, nuestros ojos se encontrarán con las
letras w, e, r, t... (no usamos el orden alfabético por motivos de comodidad: en
la versión comercial de Enigma, las conexiones del teclado iban al cilindro de
entrada en el orden qwertzuiop..., no en el alfabético). Usaremos las
minúsculas, y reservaremos las mayúsculas para el rotor derecho y el disco de
entrada. Y hablaremos de "posiciones del rotor" para indicar su orientación. Si
el rotor está con la Q en la parte superior, hablaremos de la posición 1 del
rotor; si ha girado, será ahora la W la que aparezca en la parte superior del
rotor, en cuyo caso diremos que éste está en la posición 2; y así sucesivamente.
Digamos que estamos cifrando la letra W. Pulsamos dicha tecla, y la señal
correspondiente a la W entra al disco o cilindro de entrada. Lo que pase con la
señal dependerá de cómo esté orientado el rotor derecho, y por supuesto, de cuál
sea el rotor que tengamos ahí. Pero como conocemos el cableado del rotor,
podemos determinar cómo se transforma dicha señal. Así que el rotor envía la
señal al disco imaginario en la posición de, digamos, la letra n. Si en vez de
la W hubiésemos intentado cifrar la letra B, la señal que recibiría el disco
imaginario sería la de la posición de, digamos, la letra r. Para cada tecla que
pulsemos en el teclado, obtendríamos una señal en el disco imaginario.
De ese modo, podríamos relacionar cada tecla pulsada en el teclado -o lo que es
lo mismo, cada señal que entra en el disco de entrada- con cada posición en el
disco imaginario. A fin de cuentas, eso es lo que hace el rotor derecho: tomar
la señal de entrada, y cambiarla por una señal de salida. Pongamos un ejemplo
real. Para el rotor I, la relación entre las señales de entrada (en mayúsculas)
y las posiciones del disco imaginario (en minúsculas) son las siguientes:
Señal de entrada: CIWPDQMSLXVAKRJEFUHZGYTNBO
Disco imaginario: qwertzuioasdfghjkpyxcvbnml
Si usted estuviese sobre el disco imaginario, en la posición q (las doce en
punto si el disco fuese un reloj), recibiría una señal procedente de la tecla C;
su compañero situado en la posición w (las doce y pico) recibiría la señal de la
tecla I, y así sucesivamente. Nótese que el orden del disco imaginario no es el
del teclado actual, sino el alemán de los años 30, en el que la tecla a la
derecha de la t es la z, no la y.
El conjunto inmóvil actúa como un reflector. No sabemos cómo es su estructura
interna (ya que aún no sabemos qué rotores contiene, en qué orden ni con qué
orientación), pero el caso es que conecta los puntos del disco imaginario a
pares, y podemos averiguar al menos parte de dicha estructura interna desde
fuera.
¿Cómo? Volvamos a unos párrafos atrás. Supongamos que el efecto del rotor
derecho fuese conectar el contacto W (procedente del disco de entrada) con el
contacto n del disco imaginario. Supongamos también que conectase el contacto B
del disco de entrada con el contacto r del disco imaginario. ¿Qué pasaría si la
máquina, en esas circunstancias, cifrase la letra W convirtiéndola en B? Pues
que los contactos (n,r) del disco imaginario estarían conectados. De esa forma,
al entrar la señal de la W, iría al disco imaginario en el punto n, saldría de
dicho disco (que representa al resto del sistema) por el punto r, y de ahí
saldría del disco de entrada por la B.
Bien, algo sabemos, aunque todavía no está claro en qué nos ayudará. Porque esto
sólo sirve para la primera tecla que pulsemos. Aun cuando una "chuleta" nos haga
suponer que la primera letra de texto llano (sin cifrar) es la W, la situación
cambiará con la segunda letra. El rotor derecho habrá girado, de forma que las
relaciones entre señal de entrada y disco imaginario habrán cambiado: al pulsar
la tecla W la señal no irá a la posición n del disco imaginario.
Pero nosotros conocemos el rotor y su cableado. Eso significa que podemos saber
cuál será la tecla que habrá que pulsar para que la señal llegue a una posición
dada del disco imaginario, sea cual sea la orientación del rotor. La relación
que vimos anteriormente era para un rotor en la posición 1 (en la que los
contactos del rotor están rotulados siguiendo el orden quertzuiop..., con la q
en la parte superior). O sea: con el rotor en la posición 1, la señal de entrada
C va al contacto q del punto imaginario. ¿Y si el rotor está en posición 2, esto
es, si ha girado un 1/26 de vuelta? Pues que el contacto q del punto imaginario
recibe la señal que entra no por la C sino por la U.
Resumiendo: si sabemos la posición inicial del rotor, y cuál es éste, podemos
saber lo que harán las señales en el sistema. Y, lo más importante, sabremos lo
que no pueden hacer, lo que nos permitirá descartar posibilidades.
CRIPTOGRAFÍA HISTÓRICA - Criptoanálisis de Enigma II: el método de tiras, segunda parte
Ya
está bien de charla, vamos con un ejemplo práctico. Reconozco que no es mío,
sino que aparece en un artículo denominado "rodding" de Frank Carter, disponible
en
www.bletchleypark.co.uk/rodding.pdf (puede que esta dirección cambie en el
futuro). Usted es el criptoanalista, y ha recibido el siguiente mensaje:
MLXVK SCLDU HOHSV FKXKU .....
Por supuesto, usted no tiene NPI de lo que significa, pero tiene el barrunto de
que las primeras letras corresponden a la "chuleta" CODEX (X era habitualmente
usado como espacio entre palabras).
Vamos con la primera letra: C se transforma en M si nuestra chuleta resulta ser
cierta. Vamos a suponer que el rotor derecho es el denominado I, y que su
posición inicial es la 1. En esas condiciones, la relación entre señal de
entrada y disco imaginario resulta ser la que hemos ya visto:
(Posición inicial de rotor 1)
Señal de entrada: CIWPDQMSLXVAKRJEFUHZGYTNBO
Disco imaginario: qwertzuioasdfghjkpyxcvbnml
Como vemos, al entrar la señal C va a la posición q, y a la salida la señal M
proviene de la posición u. Si eso es cierto, significa que los puntos (q,u) del
disco imaginario están conectados.
A continuación, la segunda letra: O se transforma en L. Como el rotor derecho ha
girado, necesitamos la relación para la posición de rotor B. Esto se puede
calcular, resultando:
(Posición inicial de rotor 2)
Señal de entrada: UQKSLNAMYCOJEHWDZGTFPRBVIX
Disco imaginario: qwertzuioasdfghjkpyxcvbnml
Ahora, la señal O está conectada con la s, y la L con la t. Conclusión: los
puntos (s,t) del disco imaginario están conectados. Siguiendo con las otras tres
letras de la chuleta, obtendríamos que los siguiente puntos del disco imaginario
están conectados: (o,y) (r,k) y (b,x).
Esto nos sirve para dos cosas. Primera, para descartar casos imposibles;
segunda, para obtener información adicional en los casos posibles.
Lo de los casos imposibles es inmediato. Supongamos que en vez del rotor I,
hubiésemos partido de la hipótesis de que el rotor derecho es el II. Repitiendo
el razonamiento anterior para dicho rotor, obtendríamos las siguientes
conexiones en el disco imaginario:
(j,x) (p,c) (c,q) (f,n) (j,w)
Pero eso no es posible. Según esto, p está conectado con c, y c está conectado
con q, lo que da lugar a una contradicción: !el contacto c está conectado con
dos puntos distintos! Pero esto no puede ser, ya que mientras los rotores
central e izquierdo no se muevan, los puntos del disco imaginario están
conectados a pares. No podemos tener una señal que entre por c saliendo por p, y
luego una que entre por q saliendo por c. El punto c está conectado por uno y
sólo un punto.
¿Qué puede haber fallado? Varias cosas. O bien el rotor no es el II, o bien el
rotor central sí se ha movido después de todo, o bien la chuleta no es la
correcta. Si seguimos apostando por que la chuleta es correcta, y porque sólo se
ha movido el rotor derecho, es que o éste no es el II, o su posición inicial es
la incorrecta.
Se trata, por tanto, de probar cada uno de los tres rotores (no había más
rotores en la versión comercial) en cada una de las 26 posiciones iniciales, lo
que nos da 3*26=78 posibilidades, y para cada una de esas 78 posibilidades hemos
de comprobar si aparecen inconsistencias del tipo que acabamos que ver. De
momento, ya hemos visto que la combinación Rotor II + posición inicial A queda
descartada. No será la única... pero no me pidan que comprobemos las 78
posibilidades, una tras otra.
En su lugar, volvamos a nuestro ejemplo. Seguimos con la hipótesis de que el
rotor I con posición inicial 1 permite transformar el texto llano CODEX en el
texto cifrado MLXVK.
Pero podemos ir más allá. Suponer que, en la segunda letra, la O se convierte en
una L nos permitió deducir que los puntos (s,t) del disco imaginario estaban
conectados. Eso sucede en la posición de rotor 2 (ya que supusimos que la
primera letra cifrada correspondía a la posición de rotor 1), las letras O y L
se conectan entre sí mediante los contactos (s,t) del disco imaginario.
Os ahorraré el cálculo intermedio, y solamente pediré que me creáis esto: en la
posición de rotor 8, los puntos (s,t) conectan las letras L y E. Es decir, si
con el rotor en la posición 8 pulsamos la tecla E en el teclado, dicha señal
llegará al disco de entrada por la posición s, saldrá por la t, y de ahí saldrá
del sistema por la L. Y viceversa: si pulsásemos la tecla L, obtendríamos el
carácter cifrado E.
Y si miramos el texto cifrado MLXVK SCLDU HOHSV FKXKU ..... resulta que la
octava letra cifrada es una L. Cuando se cifró la octava letra, el rotor estaba
en la posición 8. Y cuando el rotor I está en la posición 8, una señal que entra
por la L irá al disco imaginario por el contacto s, saldrá de él por el t, y el
rotor derecho lo transformará en la E. Esto nos da un dato nuevo: la letra L que
aparece en octava posición en el texto cifrado corresponde a la letra sin cifrar
E.
Podemos obtener más información estudiando relaciones similares. La forma de
hacerlo pasa por crear una tabla, donde las columnas son las posiciones
iniciales del rotor (1,2,3...), y las filas son los contactos del disco
imaginario. Vamos a poner solamente dos filas (tiras, o "rods"), correspondiente
a los contactos t, s.
POSICIÓN INICIAL ROTOR I: 00000000011111111112222222
12345678901234567890123456
Contacto disco s :
VOJQDNULUBRIYSOXTKAMPZEGWC
Contacto disco t :
DLBIVHJEOCZPQXQKNWFTEGMSRY
Véase cómo, en la posición inicial 2 (segunda columna), los contactos (s,t) unen
las señales O,L. En ese caso, la señal eléctrica sigue el recorrido L-t-s-O (o
bien O-s-t-L, ya que la Enigma es recíproca: si el sistema cifra L como O,
también cifraría O como L en las mismas condiciones). Para la posición inicial
8, el recorrido es L-s-t-E. Y, para la posición inicial 14, el recorrido sería
S-s-t-X. Como resulta que, precisamente en las posiciones de rotor 8 y 14,
tenemos las letras cifradas L y S, podemos concluir que corresponden a las
letras llanas (no cifradas) E y X, respectivamente.
De ese modo, sabemos al menos dos letras más de nuestro texto:
Texto cifrado: MLXVK SCLDU HOHSV FKXKU .....
Texto llano: CODEX E
X
Y eso solamente con las tiras correspondientes a los contactos (s,t). Pero
también teníamos los contactos (q,u) (o,y) (r,k) y (b,x). Si seguimos un proceso
similar, acabaríamos con el siguiente texto llano:
Texto cifrado: MLXVK SCLDU HOHSV FKXKU .....
Texto llano: CODEX E I GX
B
Es decir, la chuleta CODEX nos da el texto llano correspondiente a otras cinco
letras. Y podemos hacer dos cosas. La primera es aprovechar el conocimiento
extraído de esas nuevas cinco letras para ir descartando posibilidades
(recordemos que esto habría que hacerlo para cada una de las 26 posibles
posiciones de cada uno de los tres rotores, tarea de chinos). Y lo siguiente es
echarle algo de imaginación al asunto, lo que ya requiere de la intuición y
conocimientos lingüísticos de que hablamos al principio.
Puesto que la X separa palabras, la segunda palabra seria algo así como
"--E--I-G", donde "-" es una letra desconocida. Puesto que la primera palabra es
"CODE", ¿podría la segunda corresponder a "BREAKING"? Sólo hay una forma de
averiguarlo: intentémoslo. En el caso que nos ocupa (rotor I, con la posición
inicial de partida 1), no sólo es posible, sino que obtenemos más parejas de
contactos unidos entre sí en el disco imaginario: (a,n) (l,z), (w,v) y (m,h); y
estos contactos, a su vez, nos permitiría obtener más letras:
Texto cifrado: MLXVK SCLDU HOHSV FKXKU .....
Texto llano: CODEX BREAK INGXA XB
Así, con infinita paciencia, podríamos obtener el texto llano. Y todavía hay más
complicaciones. Por ejemplo, esto no nos permite obtener la posición del anillo
(es decir, la relación entre el núcleo del rotor y su anillo exterior). Tampoco
irán bien las cosas si, a pesar de lo que hemos supuesto, el rotor central gira
durante el cifrado del texto. Y si la chuleta es incorrecta, apaga y vámonos.
Pero todos esos problemas se pueden solventar. La posición del anillo no es tan
importante, ya que es la posición del rotor lo que determina el cifrado.
Respecto a que el rotor central gire, es una complicación, sí, pero podríamos
aplicar una técnica parecida a dos partes del texto, las correspondientes a
antes y después del giro delrotor central; no es sencillo, pero una combinación
de pericia lingüística y técnica matemática permite resolver el problema.
Pero fíjense en todo lo que hemos ganado a cambio. Complejo como pueda ser, este
procedimiento solamente hay que aplicarlo en 78 casos, ya que no conocemos cuál
es el rotor derecho (uno de tres) ni la posición inicial (una de 26 posibles); y
de esos 78 casos, muchos serán descartados con mayor o menor rapidez. No
obstante, un ataque de "fuerza bruta" requeriría probar todas las combinaciones
de tres rotores (seis), todas las posiciones iniciales de cada combinación
(26*26*26). Es decir, un total de 105.456 posibilidades. Pasar de 105.456 a 78
significa olvidarnos del 99.93% de los posibles estados iniciales de la máquina.
De hecho, el truco del disco imaginario nos permite, en muchos casos,
despreocuparnos. No necesitamos conocer cuáles son los rotores izquierdo y
central, ni cuáles eran sus orientaciones iniciales. Existían algunos casos, no
obstante, en que sí eran útil conocerlas, ya que algunos países que usaban
Enigmas comerciales para sus comunicaciones secretas usaban la misma posición
inicial de los rotores para todos los mensajes enviados en un día. El método de
las tiras nos permite conocer cómo es el rotor derecho (tipo y orientación
inicial), lo que nos deja el trabajo de conocer los datos correspondientes a los
otros dos rotores. El número de posibilidades sigue siendo grande
(2*26*26=1.352), pero sigue siendo mucho menos que probarlas todas a piñón fijo.
Los alemanes no eran tontos, y muy probablemente ya habían notado la posibilidad
del ataque por el método de las tiras. Por ello, cuando optaron por la máquina
Enigma para codificar las comunicaciones del ejército, hicieron varias
modificaciones. La más importante, como ya dijimos, era la introducción de un
tablero de conexión que cambiaba algunas letras antes y después de pasar por el
conjunto de rotores. Eso invalida el ataque de las tiras.
En el ejemplo anterior, imaginemos que el tablero de conexión intercambiase la
letra C por la U, la X por la W y la E por la M (en la práctica, el número de
parejas de letras intercambiadas era mayor, entre 8 y 12). En ese caso, la
"chuleta" CODEXBREAKINGX se convertiría en UODMWBRMAKINGX antes de entrar en el
conjunto de rotores, y de éste saldría convertido en el texto ELWVKSULDCHOHS. No
hay manera de hacer una comparación entre chuleta y texto cifrado sin antes
conocer las transformaciones hechas por el teclado de conexiones, y el número de
posibilidades es astronómico. Vean el número de posibles transformaciones al
intercambiar para N pares de letras:
N Número de transformaciones
1
325
2
44.850
3
3.453.450
4
164.038.875
5
5.019.589.575
6
100.391.791.500
7 1.305.093.289.500
8 10.767.019.638.375
9 53.835.098.191.875
10 150.738.274.937.250
11 205.552.193.096.250
12 102.776.096.548.125
13 7.905.853.580.625
Para los curiosos de las matemáticas, la fórmula que da el número de posibles
transformaciones de N pares de letras viene dada por la fórmula:
n!/[(26-2N)! * N! * 2^N]
donde ^ significa "elevado a", y ! es el signo del factorial: n! =
n*(n-1)*(n-2)... *3*2*1
El verdadero mérito del desciframiento de los mensajes de la Enigma militar
consiste, sobre todo, en reducir tan enormes números a cantidades razonables.
Pero eso ya lo veremos en su momento. Ahora, si les parece, veamos una batallita
histórica en la que la ruptura de la Enigma comercial jugó un importante papel.
CRIPTOGRAFÍA HISTÓRICA - Criptoanálisis de Enigma III: la batalla del Cabo Matapan
Cuando Italia entró en guerra del lado de Alemania en Junio de 1940, Inglaterra
se encontró con un enemigo más al que combatir, uno que amenazaba las líneas de
comunicación con el mediterráneo. La flota del almirante Cunningham necesitaría
toda la ayuda disponible, y entre sus aliados más eficaces se contaron los
criptoanalistas de Bletchley Park.
Se sabía que Italia había usado máquinas Enigma comerciales durante la Guerra
Civil Española, pero había que averiguar si todavía eran usadas por la armada
italiana, y si habían sido modificadas. De otro modo, el método de tiras de Knox
podría ser aún usado, pero partiendo prácticamente de cero, lo que era un
engorro, ya que este método requería de un exhaustivo trabajo previo de cálculo.
La tarea recayó sobre una joven pero talentosa colaboradora de Dilly Knox, la
estudiante de diecinueve años Mavis Lever. Knox le había sugerido que probase
PERX como chuleta; per significa "para" en italiano, y X se usaba, como
separador de palabras. Una noche de septiembre de 1940, una de las combinaciones
posibles del rotor derecho indicaba que casi había una buena concordancia. Por
desgracia, fallaba en la cuarta letra. La chuleta PERX no servía, pero
curiosamente sí habría valido la chuleta PERS.
En otras circunstancias, el criptoanalista se hubiera limitado a pasar a la
siguiente orientación de rotor para seguir probando. Pero la señorita Lever tuvo
lo que podríamos llamar una inspiración. ¿Y si la chuleta no fuese PERX, sino
PERSONALE (personal)? Probó... y descubrió que la nueva chuleta era consistente
con la orientación del rotor que estaba probando. Siguiendo el procedimiento
anteriormente descrito, consiguió deducir varias letras de texto llano, lo que a
su vez le dio pie para más chuletas. Para cuando acabó su turno, logró
reconstruir el comienzo del mensaje: PERSONALEXPERXSIGNOR (personal para el
señor), seguido de un nombre.
El barrunto de Lever permitió confirmar que, en efecto, la Enigma comercial
italiana no había sufrido variaciones. A partir de este mensaje, y de otros que
fueron posteriormente descifrados, loscriptoanalistas dedujeron un conjunto de
chuletas para probar, lo que a su vez les dio acceso a más mensajes. Este
procedimiento permitió a los ingleses leer los mensajes Enigma italianos hasta
que dejaron de usar dicha máquina hacia el verano de 1941.
Un día, el 25 de mayo de 1941, un operador envió un mensaje desde Roma a un
comandante italiano de la isla de Rodas. Usando como chuleta la palabra
SUPERMARINA (nombre del alto mando naval italiano), un criptoanalista inglés dio
buena cuenta del mensaje. El mensaje comenzaba diciendo "Con referencia al
mensaje 53148 fecha 24. Hoy 25 Marzo es día X-3" Estaba claro que algo sucedería
el día 28 de Marzo.
¿Pero qué? El mensaje no lo decía, y si sólo fuese por esa señal nada hubiera
pasado. Pero los ingleses ya andaban con la mosca tras la oreja. La actividad de
reconocimiento alemana en el mediterráneo se había incrementado sensiblemente, y
diversos mensajes sugerían que se preparaba algo gordo en la zona. Las
posibilidades más probables eran: un ataque contra los convoyes británicos que
transportaban refuerzos a Grecia; ataques de diversión para proteger un
desembarco en Creta; o un desembarco en Tripoli.
La opinión del almirante Cunningham y su estado mayor era que la hipótesis del
ataque contra los convoyes de refuerzo a Grecia era la más probable. En eso, el
desciframiento de Enigma no ayudó en nada. Pero hizo algo casi tan valioso:
establecer la fecha del ataque. De nada sirve saber las intenciones del enemigo
sin saber cuándo atacará. En sus memorias, Cunningham no hace la menor mención
de los mensajes Enigma, ni de por qué sabía cuándo encontrarlos. Solamente hacía
vagas alusiones: "la intensificación de las comunicaciones de la radio italiana
nos incitó finalmente a levar anclas, ya de noche [27 de Marzo]..."
Lo que sucedió después ha pasado a la historia como una de las más brillantes
victorias de la Royal Navy. Al amanecer del 28, un hidroavión inglés informó
haber encontrado una flota de cuatro cruceros y cuatro destructores italianos.
Estaban tan cerca de una flota naval inglesa, que Cunningham replicó "no sean
bobos, acaban de ver nuestros propios buques." Pero el informe era correcto. Se
ordenó a la flotilla inglesa -formada por destructores y buques ligeros- que se
retirase, y hacia el anochecer los navíos pesados atacaron a un convoy italiano
que escoltaba al crucero Pola, dañado anteriormente tras un ataque de torpedos.
Lo que siguió a continuación podría describirse mejor como una cacería de patos.
Desprevenidos, sin radar y con las baterías pesadas apuntando a proa y popa como
si estuviesen en un desfile, tres cruceros y un destructor italianos fueron
convertidos en chatarra en pocos minutos. "¿Cómo describir la trágica situación
de los crucero italianos? Torres enteras y enormes montones de hierros
retorcidos volaban por los aires antes de caer al mar, levantando inmensas masas
de agua. A los pocos minutos, los navíos ardían de proa a popa, convertidos en
una tea incandescente. El encuentro no había durado más que unos minutos"
(memorias del Alrimante Cunningham).
Al término de la batalla del cabo Matapan, la flota italiana había perdido los
cruceros Zara, Pola y Fiume, los destructores Alfieri y Carducci y 2.400 hombres
(el acorazado Vittorio Veneto, orgullo de la marina italiana, se salvó por los
pelos). ¿Pérdidas inglesas? Un avión y su tripulación. Analizando la situación
fríamente, la alegría de los criptoanalistas de Bletchley Park parece fuera de
lugar. Pero no olvidemos que había una guerra en la que Inglaterra no iba
precisamente ganando. Los convoyes que se dirigían a Grecia fueron salvados, lo
que permitió contener a los alemanes durante más tiempo cuando, en Abril, los
ejércitos de Hitler invadieron Grecia. La posterior evacuación británica hubiera
adquirido tintes aún más dramáticos de haber mediado la intervención de la
marina italiana.
LIBERTAD VIGILADA - LV, el espionaje de las comunicaciones
El
pasado 22 de Enero, el periodista de Libertad Digital Nacho García Mostazo
presentó su libro "Libertad Vigilada - El espionaje de las comunicaciones." Fue
presentado en la sede del grupo editorial Zeta, y asistieron como invitados de
honor el juez Baltasar Garzón y el periodista César Vidal.
La primera línea de la introducción lo dice todo: "Desde los primeros años del
siglo XX, Estados Unidos y el Reino Unido espían las comunicaciones civiles,
diplomáticas y militares del resto de países del mundo." Con eso, ya os haréis
una idea sobre de qué va el libro. En la primera mitad, hace una exhaustivo
repaso a las actividades de espionaje electrónico (comint) efectuadas por los
países anglosajones. Nombres como Echelon saltan enseguida a la mente.
Pero en la segunda mitad, Nacho hace algo novedoso: investiga las actividades
comint en España. Los resultados son asombrosos, y en mi opinión dejan pequeños
escándalos como el de los papeles del CESID. ¿Sabían ustedes, por ejemplo, que
en Conil de la Frontera hay una instalación militar que -presuntamente- pincha
las comunicaciones por cable a gran escala? ¿O que en Fresnedillas, Defensa ha
instalado una docena de antenas para espiar los satélites de comunicaciones, en
la mejor tradición de Menwith Hill? O que la lucha contra ETA...
Mejor me paro. Lo que sí puedo deciros es que este libro es un punto de
referencia de primera para entender y aprender lo que se cuece en nuestra piel
de toro. El libro ha sido editado por Ediciones B, lleva ISBN 84-666-1099-5 y un
precio de 14,50 euros.
Existe una razón personal para recomendaros este libro. Hace ya más de un año
que sé de su existencia. Su autor tuvo a bien consultarme en la etapa de
borrador, así que conozco el libro bien. De hecho, fue este primer contacto lo
que hizo que, a la postre, entrase yo a escribir en libertaddigital.com.
Y, por qué no reconocerlo, también me mueven oscuros intereses económicos. Uno
de los capítulos del libro fue escrito por mí, y me llevo parte de los derechos
de autor. No es gran cosa -en realidad, es una birria de participación, casi
simbólica- y no espero salirme de pobre, pero quiero poner todas las cartas a la
vista. De todos modos, reconozco que lo hice más por afán de colaborar, y porque
creo que mi participación mejora un libro ya de por sí magnífico.
Algunos autores anglosajones de libros similares tienen el acierto de colgar en
la red un par de capítulos. Así los futuros lectores pueden calibrar si les
interesa el libro lo suficiente para comprarlo, y los que no deseen pasar por
caja tienen de todos modos la posibilidad de leer una parte. Lamentablemente, la
editorial de Nacho no estaba por la labor. Pero el autor ha creado una dirección
en Internet con información sobre el libro:
www.libertadvigilada.com
Y algo mejor: he recibido permiso expreso del autor para publicar extractos del
libro en el Boletín Enigma. Así que póngase cómodo, amable lector, y prepárese a
disfrutar de algunos pasajes de "Libertad Vigilada" en cada boletín. Y, como uno
es un pelín vanidoso -como todo hijo de vecino, vamos-, permítaseme comenzar por
el capítulo que constituye mi contribución. Espero que guste.
LIBERTAD VIGILADA - Actividades Comint británicas en España (I)
por Arturo Quirantes
[Extraído del libro "Libertad Vigilada", con permiso del autor]
Segunda parte, capítulo 1:
"Los británicos siempre han mostrado gran interés en las comunicaciones
españolas. Ya a finales del siglo XVI, los agentes ingleses interceptaban y
descifraban los mensajes intercambiados por Felipe II y don Juan de Austria,
gobernador español de los Países Bajos. El contenido de los mensajes alertó a
Inglaterra de las intenciones hostiles del emperador español y, de alguna
manera, contribuyó a la derrota de la Armada Invencible. También durante el
siglo pasado los británicos interceptaron las comunicaciones españolas, sobre
todo desde el peñon de Gibraltar, y hoy, traspasado ya el umbral del nuevo
milenio, el Reino Unido continúa con sus prácticas Comint, sin importarle el
hecho de que ahora España sea una aliado militar.
El espionaje de las comunicaciones del enemigo, o actividades Comint, ha
constituido, en la guerra como en la paz, un valioso instrumento para conocer
las actividades e intenciones de otros gobiernos. Por regla general es un factor
determinante en unas negociaciones, en la redacción de un tratado de paz, o en
un enfrentamiento armado. Sin embargo, el relativamente poco importante papel
que nuestro país ha jugado en la política internacional durante el siglo XX no
debe hacernos creer que las actividades Comint han brillado aquí por su
ausencia. Su situación geográfica, su importancia como potencia regional y la
tormentosa actividad sufrida tanto dentro como fuera de sus fronteras han hecho
de España un objetivo de importancia en el espionaje de las comunicaciones.
Durante la Primera Guerra Mundial, la neutralidad española no implicó que sus
mensajes diplomáticos fueran respetados. Muy al contrario, precisamente ese
caracter neutral hizo de este país una fuente de información sobre las
intenciones de las potencias centrales. El 1 de febrero de 1917, Alemania
declaró la guerra submarina total, por lo que cualquier buque podía ser atacaso
sin previo aviso. Era su respuesta al bloqueo impuesto por el Reino Unido, que
estaba dejando desabastecida a Alemania. España, pese a ser neutral, también
sufría las consecuencias de dicha guerra submarina, a que le impedía llevar a
cabo con normalidad sus importaciones y exportaciones. Como consecuencia, el
monarca español, Alfonso XIII, pidió al embajador español en Berlín, Luis Polo
de Bernabé y Pilón, que hiciera gestiones ante el Gobierno alemán para pedir
compensaciones por tales pérdidas.
El embajador solicitó reunirse con el emperador Guillermo, quien le concedió
audiencia pese a estar aún recuperándose de una enfermedad que le tenía postrado
en la cama. Tras la conversación, el jefe de la legación española escribió un
largo telegrama cifrado y lo envió a Madrid el 5 de marzo de 1917, pero la "Sala
40" británica lo interceptó y descifró. Parte de los asuntos tratados en aquel
encuentro carecían de interés para las autoridades militares británicas, pero
otros eran estratégicos para conocer los planes alemanes. Así, el embajador
informaba al monarca de que su homólogo alemán entendía las exigencias de
compensaciones e incluso estaba dispuesto a concederlas, siempre que fueran
compatibles con el mantenimiento de la guerra submarina, que seguiría en marcha
hasta el final de la contienda, según le había explicado el káiser, quien "se
expresó enteramente satisfecho con los resultados de la guerra submarina, que
crecería en intensidad día a día, y [...] recalcó la gran importancia futura de
los submarinos, que considera como una evolución en el arte naval capaz de
reducir el poderío naval de la dominación británica", decía el embajador en su
telegrama a Madrid.
Asimismo los británicos obtuvieron información sobre otros asuntos de posible
interés para ellos, como el descubrimiento y devolución a Alemania de
correspondencia secreta encontrada en Cartagena (y extrañamente perdida por un
submarino alemán que visitó dicho puerto un año antes), la posible venta de
buques españoles a países beligerantes, o las quejas sobre el cruel tratamiento
a los prisioneros de guerra alemanes en Francia, lo que, según Alemania, podría
conllevar represalias tales como el envío de muchos miles de soldados al frente
El káiser Guillermo recalcaba también que no existía un verdadero bloqueo
submarino, sino tan sólo una "zona de peligro". No consta si se trataba de un
sarcasmo imperial o tan sólo un ejemplo más del lenguaje eufemístico del mundo
diplomático [1].
También las comunicaciones del embajador español en Londres fueron objeto de
especial atención, tanto durante como después de la guerra. En septiembre de
1920, por ejemplo, el ministro inglés de Exteriores, lord Curzon, obtuvo
información de primera mano sobre las relaciones hispano-portuguesas en un
momento en que Portugal temía que ciertas maniobras militares fronterizas
desembocasen en una invasión por parte española. La postura oficial española
-maniobras rutinarias de carácter general- expresada en un telegrama cifrado,
probablemente tranquilizó al Gobierno británico, preocupado por la seguridad de
su tradicional aliado luso. Sin embargo, la descripción del ministro de
Exteriores español acerca de la situación en Portugal ("desorganización e
insolvencia general combinados con un país en manos de prestamistas y
monopolistas") y las relaciones hispano-portuguesas ("es evidente que el
Gobierno portugués continúa fomentando la idea del peligro español, haciendo con
ello más difícil un cordial entendimiento entre los dos países") indicaba
claramente a Londres que no todo era concordia en la Península Ibérica [2].
Apenas unos días más tarde, otro telegrama al embajador español en Londres
aludía a la llamada "cuestión de Tánger" y su estatus comercial. Aunque los
mensajes españoles se suponían bien protegidos mediante el cifrado, los ingleses
no tuvieron problema en acceder a su contenido, lo que sin duda contribuiría al
éxito de cualquier negociación relativa al norte de África. Particularmente
importante para Inglaterra era conocer las intenciones de Francia, su
tradicional adversario colonial. A tal efecto, la lectura de las comunicaciones
diplomáticas españolas proporcionaba una ventanilla por la que escrutar los
movimientos del Gobierno de París. En muchas ocasiones, éste ha sido el valor de
países secundarios como objetivo Comint: el de proporcionar una vía de paso para
conocer los movimientos y estrategia de los dirigentes de otras potencias. Este
"efecto ventana" se repetiría en España con especial intensidad durante la
Segunda Guerra Mundial.
El espionaje de las comunicaciones sirvió también para obtener ventajas de
carácter puramente militar. En los archivos británicos existe una extensa
relación de mensajes interceptados y descifrados relativos a la Conferencia
Naval Internacional para Reducción de Flotas, celebrada en 1930. Aunque la
contribución española es escasa, no hay duda de que los mensajes enviados y
recibidos por la delegación española mejoró la posición del Imperio británico en
el norte de África, ya que permitía conocer las reservas españolas sobre el
despliegue de las flotas inglesa y francesa en el Mediterráneo.
Asimismo, durante la Guerra Civil española, la excelente red Comint de
Inglaterra se combinó con fuentes de información más tradicionales (como el
espionaje llevado a cabo por agentes, informes diplomáticos o estudios de
agregados militares) para dar, tanto al Gobierno británico como a sus Fuerzas
Armadas, un cuadro pormenorizado, casi día a día, de la situación del conflicto
en todos sus aspectos: situación política, enfrentamientos, armamento y
capacidad ofensiva de ambas partes, ayuda internacional, etc. El conjunto de
datos recibidos tan sólo por la Royal Air Force sobre el estado de la aviación
española puede calificarse de enciclopédico. El descifrado de mensajes
protegidos con claves débiles permitía un conocimiento exhaustivo de los
arsenales de ambos bandos, hasta el último avión y la última bomba. Como
ejemplo, he aquí el listado de las provisiones de municiones para aviación
existentes de la base de Armilla (Granada), el 23 de noviembre de 1936: "93
bombas A5, 39 bombas A6, 24 bombas alemanas de 50 kg, 227 bombas alemanas de 10
kg, 2.400 bombas alemanas incendiarias, 7.413 cartuchos de munición convencional
y 3.400 cartuchos de munición trazadora". [3]
Otros mensajes recordaban los peores días de la Primera Guerra Mundial, como el
fechado el 27 de octubre de 936, en el que el Cuartel General Aéreo de Franco
envió con carácter de urgencia un centenar de máscaras de gas al aeródromo de
Talavera. El temor a un ataque con armas químicas resultó ser infundado, pero
nos recuerda el interés que tuvo el conflicto civil español como campo de
pruebas para las armas y tácticas que se emplearían en el futuro conflicto
mundial. [4]
Las principales estaciones británicas de escucha estaban situadas en Gibraltar.
La Roca fue un punto neurálgico para el espionaje de las comunicaciones
españolas. El enlace Ceuta-Madrid era de singular importancia por la calidad del
material que se obtenía, pero Gibraltar era asimismo un lugar adecuado para
"pinchar" las comunicaciones entre Madrid y sus agregados militares en Roma y
Berlín, otra fuente de información de gran interés militar y político. La
protección criptográfica no era problema: desde Londres se surtía Gibraltar de
todo el material necesario, desde claves a libros de códigos. Otros tramos, como
por ejemplo el Madrid-Canarias, eran cubiertos por estaciones Comint ubicadas en
diversos puntos de Gran Bretaña, algunas de lascuales trabajaban también sobre
los códigos alemanes que harían historia pocos años más tarde.
La importancia de España como medio de información hizo necesaria una vigilancia
permanente por parte aliada durante la Segunda Guerra Mundial. Incluso en los
momentos más críticos, cuando las batallas del Atlántico o del norte de África
estiraron los recursos aliados asta el límite, España siguió siendo un objetivo
deseable. Los motivos son obvios: al margen del valor intrínseco como fuente de
abastecimientos o como aliado potencial, las especiales relaciones
hispano-alemanas permitían obtener Comint de alto valor sobre el Tercer Reich.
De nuevo el "efecto ventana". Un informe de septiembre de 1943 recientemente
desclasificado así lo corrobora: "La inteligencia derivada (de los mensajes
españoles codificados) raramente era de gran valor en sí misma, pero
ocasionalmente ayudaba a otras subsecciones proporcionando pistas en mensajes
relativos a asuntos en que tanto los españoles como los alemanes estaban
interesados. Proporcionó al almirantazgo detalles útiles relativos a la
disposición y actividades de la Flota española, que en cualquier momento pudiera
tener un interés operativo." Esta última frase quiere decir, hablando en plata,
que si Gran Bretaña entraba en guerra contra España, sabían exactamente dónde
estaban nuestros buques, cuáles eran sus tácticas y su capacidad militar. [5]
Eso permite entender por qué en 1943, cuando la guerra submarina en el Atlántico
exigía todos los esfuerzos de los Aliados en su actividad Comint, una petición
española para que abandonaran la vigilancia de sus emisiones de radio recibió
una respuesta negativa [*]. Aunque la propia Oficina de Guerra de Curchill
reconocía la escasa importancia de la información obtenida desde España en esos
momentos, la
necesidad de mantener la continuidad de escuchas para "no perder el cuadro" de
las comunicaciones durante la Segunda Guerra Mundial hacía necesario continuar
con la tarea [6].
(Continuará).
[*] Nota del autor para el boletín Enigma: la petición no fue hecha por las
autoridades españolas, sino por los propios responsables del servicio de
radioescucha británico. El texto original decía "una petición para abandonar la
vigilancia de las emisiones de radio española recibió respuesta negativa", lo
que ha inducido un error de interpretación en el libro. Esos duendes de la
imprenta...
[1]. Public Records Office (PRO en adelante), documento HW 7/21, mensaje nº 262
(6 de marzo de 1917). Véase Anexo [al libro], Documento 6. Telegrama del
embajador español en Berlín, Luis Polo de Bernabé y Pilón, a S.M. el rey Alfonso
XIII.
[2]. PRO, doc. 12/15, mensaje nº 725 (28 de septiembre de 1920); mensaje nº 245
(1 de octubre de 1920).
[3]. PRO, doc. HW 21/1, mensaje nº AS/0062 (noviembre de 1936). Véase Anexo [al
libro], documento 7. "Armamento almacenado en la base de Granada.
[4]. PRO, doc. HW 21/1, mensaje nº AS/0048 (31 de octubre de 1936).
[5]. PRO, doc. HW 3/142, "Naval Section, Historical memorandum nº 35D: Spanish
party down to September 1943."
- El Museo Camazón comienza a llenarse. En esta ocasión se incluyen una galería de fotografías tomadas por este que escribe en un viaje a Bletchley Park en Junio de 2002. Algunas de ellas están algo desenfocadas (nota: al fotografiar objetos en los museos, recordar que la cámara enfoca la vitrina), pero así se aprende. Además de las famosas Enigmas de BP, se incluyen imágenes de otras máquinas de cifra, como las alemanas T52 y SZ 42, o las británicas TipeX (mark I y II).
El
boletín ENIGMA es una publicación gratuita del Taller de Criptografía, y se rige
por las normas de la licencia de Creative Commons Reconocimiento-NoComercial-CompartirIgual.
Se permite su libre copia, distribución y comunicación para fines no lucrativos,
citando nombre y referencia.
Para más información, véase la licencia Creative Commons en sus formas reducida
y completa:
http://www.cripto.es/licencia/deed.es.htm
http://creativecommons.org/licenses/by-nc-sa/2.5/es/legalcode.es
PARA DARSE DE ALTA: envíe un mensaje a la dirección alta arroba cripto.es
añadiendo las palabras alta_enigma en el asunto (subject).
PARA DARSE DE BAJA, envíe un mensaje a la dirección baja arroba cripto.es
añadiendo las palabras baja_enigma en el asunto (subject)
Para comentarios a este boletín (dudas, preguntas, consultas, críticas,
noticias, colaboraciones, etc.), estoy a su disposición en la dirección
noticias arroba cripto.es
Página del Boletín Enigma (incluyendo números atrasados):
http://www.cripto.es/enigma.htm
(c) Arturo Quirantes 2007
Vuelta a la Página principal del Boletín ENIGMA