Libro Criptografia

Una introduccin a la
CRIPTOGRAFIA

EUGENIO GARCA
MIGUEL NGEL LPEZ
JESS J. ORTEGA

Miguel ngel Lpez
Departamento de Matemticas
E. U. Politcnica de Cuenca
Universidad de Castilla-La Mancha

Eugenio Garca
E. S. de Informtica

Jess J. Ortega
E. S. de Informtica

2005 Los autores
Todos los derechos reservados. Este libro puede ser copiado y distribuido en todo
o en parte, siempre que se respete su integridad. Queda prohibida su venta sin
permiso de los autores.
iii
Contenidos
Prlogo v
Introduccin 1
1 Los primeros pasos. Cifrado por sustitucin 7
2 El nomencltor 23
3 Cifrados polialfabticos 35
4 Cifrados poligrficos 55
5 Cifrados por transposicin 77
6 La Criptografa en la Primera Guerra Mundial 95
7 lgebra y Criptografa 113
8 Mquinas de rotores 125
9 Criptoanlisis de Enigma 147
10 Criptografa Moderna 183
11 Criptografa en clave pblica 199
Bibliografa 215
Origen de las fotografas 217
ndice alfabtico 219

v
Prlogo
Bsicamente, el objeto de la Criptografa es permitir la transmisin de informacin
privada por un canal inseguro, de forma que cualquier intruso que intercepte la
comunicacin no entienda su significado. Este problema de la seguridad en la transmisin
de la informacin es tan antiguo como la propia escritura; aunque, naturalmente, se ha ido
adaptando a los diferentes canales de comunicacin que la tcnica ha proporcionado a lo
largo de la Historia: el papel, el telgrafo, el telfono, la radio o las modernas redes de
ordenadores. Hasta hace unos treinta aos, la Criptografa era casi exclusiva de gobiernos
y mandos militares, los nicos que necesitaban proteger sus comunicaciones. El obligado
secreto que acompaa a estos estamentos oficiales ocasion que la Criptografa fuera
materia conocida slo por unos pocos, entre los que raramente estaba alguien relacionado
con el mundo universitario. Esta situacin ha cambiado radicalmente con la llegada del
ordenador, que en poco tiempo nos ha adentrado en la era de la informacin. En la
actualidad, millones de ordenadores intercambian constantemente informacin por
Internet, una red en continuo crecimiento y pblica, al alcance de cualquiera y desde
cualquier lugar del mundo. Precisamente, el carcter abierto de Internet supone un
problema para la comunicacin privada y compromete la informacin que almacenan los
ordenadores, la cual es vital para muchas organizaciones como, por ejemplo, los bancos.
La demanda generalizada de proteccin de la informacin ha despertado el inters de
empresas y universidades por la Criptografa. Las primeras atradas por el negocio que
supone la seguridad informtica, las segundas por el conocimiento cientfico y tcnico
que requiere la Criptografa actual. En la Universidad, la Criptografa figura ya como
asignatura en algunas carreras; en concreto, en las relacionadas con la informtica y las
telecomunicaciones.
El problema de la comunicacin segura tendra fcil solucin si no fuese por el
empeo que ponen algunos en acceder a la informacin secreta. De hecho, el desarrollo
de la Criptografa ha sido siempre consecuencia de la lucha que han mantenido los
diseadores de cdigos y los criptoanalistas. Aquellos, proponiendo mtodos para ocultar
la informacin que se transmite; estos otros, ideando estrategias para inutilizar tales
mtodos. Una panormica de esta disputa a lo largo de la lnea del tiempo puede ser
perfectamente una introduccin a la Criptografa. Con esta idea hemos concebido el
presente libro. En l, se va recorriendo la historia de la Criptografa desde la Antigedad
hasta nuestros das, presentando los diferentes mtodos de cifrado que se emplearon en
cada poca y mostrando cmo fueron derrotados por el genio de los criptoanalistas, lo que
PRLOGO
vi
oblig a considerar otros ms complicados. El siguiente prrafo es una rpida sinopsis de
su contenido.
El texto arranca con una breve Introduccin donde, apoyndonos en un sencillo
ejemplo, presentamos la terminologa propia de la Criptografa. Es necesaria para la
lectura de los once captulos que siguen a continuacin. En el primero describimos
algunas formas de Criptografa presentes en la Antigedad, casi todas ellas respondiendo
al modelo de sustitucin monoalfabtica. Estos cifrados por sustitucin fueron derrotados
por el llamado anlisis de frecuencias, inventado por los rabes durante la Edad Media. El
Captulo 1 tambin incluye esta tcnica de criptoanlisis. El Captulo 2 est dedicado al
nomencltor, mtodo de cifrado ideado en la Italia renacentista con el que se pretendi
burlar al anterior anlisis de frecuencias. Estuvo en vigor hasta la aparicin del telgrafo,
a mediados del siglo XIX. El uso del telgrafo dio paso a los libros de cdigos y a las
cifras de campo. Los libros de cdigos, sucesores del nomencltor, son descritos
brevemente al comienzo del Captulo 4. Las cifras de campo, as llamadas porque fueron
empleadas por los ejrcitos en el frente, se dividen en tres categoras: cifrados
polialfabticos, cifrados poligrficos y transposiciones. Son tratados en los Captulos 3, 4
y 5, respectivamente; en los que tambin se incluyen mtodos de criptoanlisis contra
estos cifrados. El Captulo 6 contiene algunos episodios criptogrficos de la Primera
Guerra Mundial. Comienza con el telegrama Zimmermann, contando cmo fue descifrado
por los britnicos y cmo este hecho fue de enorme importancia para el curso de la
guerra. Termina con el cifrado ADFGX, mostrando cmo fue vencido por Georges
Painvin, el mejor criptoanalista de aquel conflicto. En el Captulo 7 se presenta el cifrado
concebido por el matemtico Lester S. Hill en 1929, un mtodo que se formula en
trminos de ecuaciones algebraicas. Desde entonces, el lgebra y la Criptografa son dos
disciplinas altamente interrelacionadas. El Captulo 8 va dedicado a las mquinas de
rotores, ingenios electromecnicos que fueron empleados durante la Segunda Guerra
Mundial. Tras mostrar los fundamentos del rotor, se describen algunas mquinas de cifrar
basadas en este mecanismo; entre ellas, la famosa Enigma del ejrcito alemn. Este
aparato criptogrfico fue criptoanalizado por matemticos polacos antes de la Segunda
Guerra Mundial; despus, ya en tiempo de guerra, otros matemticos britnicos
continuaran su trabajo. Gracias a ello, los aliados gozaron de una gran ventaja durante la
guerra. El Captulo 9 describe cmo se llev a cabo este criptoanlisis, quizs sea el
episodio ms interesante de toda la historia de la Criptografa. Los dos ltimos captulos
van dedicados a la Criptografa Moderna, que as se dice de la destinada a ser
implementada en el ordenador. En el Captulo 10 presentamos brevemente los
fundamentos de los nuevos mtodos de cifrado; seguidamente, hablamos del
controvertido DES, el estndar de cifrado americano que estuvo en vigor hasta 1998; y
por ltimo, describimos el modernsimo AES, el actual estndar que sustituy al DES. El
Captulo 11 est dedicado a la Criptografa en clave pblica. Tras introducir los
novedosos conceptos de esta Criptografa, detallamos algunos criptosistemas asimtricos;
entre ellos, el famoso RSA. El captulo concluye comentando algunas aplicaciones de la
Criptografa en clave pblica que son de inters en el mundo actual, como la firma digital
o las llamadas tarjetas inteligentes.
PROLOGO
vii
Las Matemticas son la herramienta principal de la Criptografa. No obstante, slo
se necesitan unos pocos conocimientos matemticos para abordar este libro. Toda la
Criptografa hecha hasta la Primera Guerra Mundial emplea unas Matemticas muy
elementales: las primeras nociones sobre Combinatoria y Probabilidad, todo lo ms.
Dichos conceptos los hemos incluido en el texto en el momento que se necesitan. Si lo
hemos hecho con mediana claridad, la lectura de los primeros seis captulos no debe
presentar problema alguno para nadie. El Captulo 7 requiere estar familiarizado con las
cuestiones bsicas del clculo matricial, las que se ensean en el Bachillerato son
suficientes. En este mismo Captulo 7 se introduce la que en lgebra se llama aritmtica
modular, la cual se necesita tambin en los dos captulos de Criptografa Moderna.
Reconocemos que su comprensin puede presentar cierta dificultad para quien no la haya
estudiado nunca y esperamos que nuestra exposicin no resulte del todo incomprensible
para estos lectores. Crannos si decimos que nos hemos esforzado en ello. El
criptoanlisis de Enigma precisa algunas cuestiones sobre teora de permutaciones,
tambin muy elementales. De nuevo, las hemos introducido en el momento que han sido
necesarias, acompandolas de unas explicaciones que esperamos sean suficientes. Por
ltimo, las Matemticas que maneja la Criptografa Moderna han sido reducidas a su
mnima expresin. Aunque esta nueva Criptografa se soporta en unas Matemticas que
en ocasiones slo estn al alcance de unos pocos, por fortuna es posible dar una rpida
introduccin a un nivel muy elemental. Es lo que hemos pretendido en los dos ltimos
captulos.
Otro aspecto que hemos de comentar es el lenguaje empleado. Cada captulo del
texto es una secuencia de prrafos donde se describen modos de cifrar, se exponen
mtodos de criptoanlisis, se introducen algunos conceptos matemticos o se incluyen
algunas curiosidades histricas. Obviamente, el lenguaje que se precisa es muy diferente
en cada caso. Las Matemticas se escriben con un lenguaje cargado de smbolos que
suelen provocar una sensacin de rechazo en quien no est familiarizado con ellos. Con
objeto de evitar este efecto, nosotros hemos empleado muy pocos signos matemticos,
slo los que representan a las operaciones bsicas. Sin embargo, este no es el problema.
La dificultad est en manejar correctamente expresiones genricas, en distinguir lo
genrico de lo especfico; y, sobre todo, en efectuar razonamientos con esta clase de
enunciados. Para ello, las Matemticas recurren al lenguaje de la lgica y los conjuntos,
que es precisamente de donde proceden los signos matemticos. Aqu, en este libro, tales
signos han sido reemplazados por expresiones del lenguaje habitual como para cada
clave , fijado un entero, consideremos un alfabeto de 27 letras, etc. El
criptoanlisis es pura deduccin; y como tal, es una secuencia de razonamientos donde se
establece la veracidad de ciertas proposiciones. Hemos intentado clarificar al mximo
nuestras argumentaciones, pero lleva su tiempo entenderlas. Un texto donde se establece
una demostracin requiere mucha ms atencin que otro donde se cuenta una historia o se
describe algo.
Por ltimo, damos las gracias a todos los que nos han ayudado de un modo u otro en
la elaboracin de este libro. No hace falta que los citemos, ellos saben quienes son.

1
INTRODUCCIN
Imaginemos que las actividades de dos personas, Alicia y Bernardo, van a requerir
que mantengan comunicacin durante varios meses y desde lugares distantes, sin que sea
posible el contacto personal. Forzosamente, la comunicacin debe tener lugar a travs de
algn medio como el telfono o el correo. Imaginemos tambin que una tercera persona,
Carlos, est interesada en los actos de Alicia y Bernardo. Carlos es muy poderoso,
controla todos los canales de comunicacin. Sin duda alguna, interceptar cualquier
comunicacin entre Alicia y Bernardo. Estos lo saben y no desean que Carlos se entere de
sus actividades. Toda informacin que intercambien deber permanecer secreta para
Carlos. Para convenir como hacerlo, tienen una reunin previa.
Enseguida se dan cuenta que no podrn conversar por telfono, ya que estar
intervenido. Tendr que ser mediante mensajes escritos. El correo electrnico es el medio
ms adecuado. Pero claro, los mensajes viajan por una red de ordenadores acompaados
de unos nmeros que identifican al ordenador de origen y al de destino. Conociendo estos
nmeros, resulta fcil para el que controla la red interceptar aquellos correos que le
interesan. Con toda seguridad, Carlos leer el contenido de los mensajes que intercambien
Alicia y Bernardo. Ahora bien, si su significado se ha ocultado de algn modo, si son
incompresibles para Carlos pero no para Alicia y Bernardo, stos habrn resuelto su
problema. No parece que sea difcil hacerlo, basta con manipular las letras de un mensaje
para que ste esconda el significado de las palabras que contiene. Despus, cuando el
mensaje llegue a su destino, se recompone de nuevo y las palabras recuperan el sentido.
Naturalmente, para que este proceso logre su cometido, el modo en que se han alterado
las letras no debe ser observable en los mensajes que se transmiten. Y hay muchas formas
de hacerlo. Alicia y Bernardo consideran varias: escribir al revs, cambiar unas letras por
otras... O mejor an, combinar dos de estas maneras. Por ejemplo, primero se escriben las
palabras al revs y despus se cambia cada una de las letras por la que sigue en el orden
alfabtico. Consideran que es perfecta. Quin va a adivinar que tras PUFSDFT se
esconde la palabra SECRETO?
Tarde o temprano todo el mundo. Estos modos de ocultar el significado de los
mensajes son los primeros que piensa cualquier persona. Tambin lo har Carlos.
Ciertamente, observando aislado el fragmento PUFSDFT es difcil averiguar su
procedencia; pero contemplando al mismo tiempo varios textos manipulados todos ellos
de ese modo ya no es tan difcil. Los artculos y otras palabras de uso frecuente pero con
INTRODUCCIN
2
pocas letras ayudarn a descubrir el engao. Lo que en un principio pareca una buena
idea resulta ser, tras una breve reflexin, una ingenuidad. A esta misma conclusin llegan
Alicia y Bernardo. Una manipulacin de los mensajes no va ser suficiente para burlar a
Carlos, por muy complicada que sea. Primero porque no hay tantas maneras de hacerlo, y
segundo porque los mensajes que intercepte Carlos dan pistas sobre ella. En
consecuencia, la solucin a su problema requiere algo ms.
S, claro, pero qu? Ms tiempo de reflexin trae nuevas ideas: que en el proceso
de manipulacin de los mensajes intervenga cierto dato, como una palabra o un nmero, y
de modo que el resultado dependa de l. Ms an, si el dato puede variar fcilmente y si
puede ser escogido entre una gran cantidad posible, no cabe duda que a quien lo
desconozca le ser muy difcil recuperar el significado de los mensajes. Quizs hasta sea
imposible. Esta es la clave de la solucin al problema de Alicia y Bernardo; y as deciden
llamar al citado dato: la clave. La idea es interesante, pero cmo llevarla a la prctica?
En primer lugar, hay que contemplar un mensaje como una simple secuencia de
signos que van uno a continuacin de otro. Estos signos son las letras, las hay maysculas
y minsculas, los nmeros, los signos de puntuacin, etctera. Todos ellos constituyen el
alfabeto. Generalmente, no es necesario emplearlos todos para transmitir informacin;
puede bastar con redactar los mensajes empleando slo letras maysculas y sin signos de
puntuacin. En consecuencia, antes que nada hay que convenir un alfabeto con el que se
escribirn los mensajes con significado. Este alfabeto se denomina alfabeto en claro o
llano, y a los textos con l redactados textos en claro o textos llanos. Como es de esperar,
el alfabeto que se fije depende del tipo de informacin que se vaya a transmitir. Alicia y
Bernardo consideran el alfabeto formado por las veintisiete letras maysculas y el punto
que har de separador de palabras. Un ejemplo de texto en claro puede ser el siguiente:
Texto llano: SEAPLAZALAREUNIONDELLUNES
Los textos en claro van a ser transformados para ocultar su significado. Como
consecuencia de ello, se obtendr otra secuencia de caracteres que se llama texto cifrado o
criptograma. Con frecuencia, sus signos pertenecen tambin al alfabeto en claro, pero no
tiene porque ser as. Por tanto, hay que considerar tambin el alfabeto que forman los
signos de los textos cifrados, que recibe el nombre de alfabeto de cifrado. Alicia y
Bernardo deciden que el suyo sea el constituido por los dgitos del 0 al 9 junto con el
espacio en blanco. Tienen pensado que los criptogramas sean series de nmeros separadas
por dicho espacio en blanco.
El siguiente paso es considerar las claves. Deben ser elegidas entre una gran
cantidad posible. Las que van a emplear los protagonistas de nuestro imaginario ejemplo
son palabras de ocho letras, no necesariamente con sentido gramatical. Empleando las 27
letras del alfabeto, el nmero de tales palabras es 27
8
, cifra que supera los mil millones;
suficiente para Alicia y Bernardo. Las claves deben intervenir en la transformacin de los
textos en claro en criptogramas; y viceversa, en la recuperacin de aquellos a partir de
stos. Tales transformaciones se denominan algoritmos de cifrado y descifrado,
respectivamente. Describirlos con exactitud es la prxima tarea que ocupa a Alicia y
Bernardo.
INTRODUCCION
3
Fijada una clave, por ejemplo la palabra IMAGINAR, colocan los 28 caracteres del
alfabeto en claro en un rectngulo dividido en 30 casillas dispuestas en tres filas y diez
columnas. Primero escriben las letras de la clave a partir de la tercera casilla, sin repetir
ninguna letra. A continuacin el punto y despus el resto de las letras en su orden
habitual. El siguiente esquema lo explica perfectamente:

1 2 3 4 5 6 7 8 9 0
I M A G N R B
1 C D E F H J K L O
2 P Q S T U V W X Y Z

Los nmeros que rodean al rectngulo sirven para asociar de manera unvoca un
entero de uno o dos dgitos a cada letra del alfabeto en claro. A las de la primera fila se
asocia el nmero que est encima de ellas; y a las de la segunda y tercera filas, este
mismo nmero precedido por un 1 un 2, respectivamente. As, a la letra A se asocia el 5
y a la S el 23. El propsito de Alicia y Bernardo es sustituir cada uno de los signos de los
textos en claro por el nmero correspondiente, dando lugar a una secuencia de dgitos.
Mostrmoslo con el texto en claro de antes:

S E A P L A Z A L A R E U N I O N D E L L U N E S
23 13 9 5 21 18 5 20 5 9 18 5 9 8 1325 7 3 10 7 9 121318 9 18 25 7 13 23

Recorriendo de izquierda a derecha la secuencia de dgitos puede recuperarse de
nuevo el texto en claro. Ello es posible porque ni el 1 ni el 2 van asociados a signo
alguno. As, cuando en este recorrido se encuentre un 1 o un 2, habr que considerar
tambin el siguiente dgito para descubrir la prxima letra. Es fundamental que el receptor
del mensaje pueda obtener sin ambigedad el texto en claro durante el proceso de
descifrado.
Pero la secuencia de dgitos antes obtenida no es todava el texto cifrado. An debe
someterse a la siguiente modificacin. Considerando de nuevo la clave y asociando a cada
una de sus letras un dgito entre 1 y 8 segn el orden alfabtico, se obtiene un nmero de
ocho cifras:

I MA G I N A R
4 6 1 3 5 7 2 8

Si se repite sucesivas veces este nmero, se puede conseguir una cadena de dgitos
tan larga como la secuencia anterior. Se escriben ambas series de nmeros una debajo de
la otra. Una vez hecho, se suman los dgitos sin tener en cuenta la unidad que hay que
llevarse cuando se pase de diez. Ello proporciona una tercera serie de dgitos:

INTRODUCCIN
4
2313952118520591859813257310791213189182571323
4613572846135728461357284613572846135728461357

6926424954655219210160431923263059214800932670

Y ya, por fin, el texto cifrado es esta ltima secuencia de dgitos, agrupndolos en
bloques de cinco y separndolos por un espacio en blanco:
69264 24954 65521 92101 60431 92326 30592 14800 93267 0
Para recuperar el mensaje en claro, el receptor de este criptograma debe deshacer
los pasos anteriores. Primero, ha de colocar debajo de estos nmeros las series repetidas
del entero de ocho cifras asociado a la clave; y a continuacin, efectuar la resta sin
llevarse unidades. Despus, usando el anterior rectngulo de 30 casillas, recuperar el
texto en claro del modo explicado antes.
Observemos el papel de la clave en todo este proceso. Distintas claves dan lugar a
diferentes disposiciones de las letras en el rectngulo y a distintos nmeros de ocho cifras.
Por consiguiente, variar la clave ocasiona que un mismo texto en claro d lugar a
diferentes criptogramas. La clave debe cambiarse peridicamente. Este periodo estar en
funcin del trfico de mensajes. Muchos mensajes cifrados con una misma clave pueden
comprometer la informacin que esconden todos ellos. Lo ideal es emplear una clave
distinta en cada mensaje, pero ello puede requerir manejar una cantidad tan elevada de
claves que lo har inviable en la prctica. En el ejemplo que describimos, Alicia y
Bernardo prevn un flujo de mensajes del orden de media docena al da. Consideran que
con emplear una clave distinta cada semana ser suficiente. Con este supuesto,
confeccionan por duplicado una lista con un nmero de claves que cubre el tiempo que
durar su actividad. La guardarn con el mayor de los secretos. Por ltimo, observan que
es conveniente ir borrando de la lista las claves que hayan caducado. Protegern as la
informacin transmitida en el caso que Carlos se apodere de dicha lista de claves.
El problema al que se enfrentan Alicia y Bernardo es precisamente el objeto de la
Criptografa: establecer comunicacin segura por un canal inseguro. Durante siglos, esta
disciplina ha sido casi exclusiva de diplomticos y militares. La han empleado los
gobiernos para enviar instrucciones a sus embajadores en el extranjero, tambin los
mandos de un ejrcito para transmitir rdenes a sus unidades en el frente. En la
actualidad, en la que muchos llaman la era de la informacin, el uso de la Criptografa ha
trascendido a otros espacios como la industria o el comercio. Ms an, en estos mbitos
han surgido versiones del problema anterior que hacen protagonistas a personas que nada
tienen que ver con la Criptografa. Por ejemplo, cuando alguien efecta una operacin
bancaria a travs del telfono o por Internet, representa el papel de Alicia y Bernardo;
cuando se intenta acceder a la emisin de un canal codificado de televisin sin estar
abonado, se acta como Carlos.
La Criptografa intenta resolver el problema anterior diseando criptosistemas.
Precisamente es lo que han hecho Alicia y Bernardo para intentar burlar a Carlos. Gracias
al ejemplo que nos han proporcionado y a las explicaciones que hemos ido insertando,
INTRODUCCION
5
podemos definir de forma esquemtica este concepto fundamental: un criptosistema
consta de los siguientes elementos:
1.- Un alfabeto en claro y otro de cifrado, con los que se escriben los textos
llanos y los criptogramas, respectivamente.
2.- Una coleccin de datos llamados claves, en los que se deposita la seguridad
del criptosistema.
3.- Un algoritmo de cifrado, que transforma los textos llanos en criptogramas; y
otro de descifrado, que deshace el proceso anterior.

Una vez que Alicia y Bernardo comiencen a transmitir mensajes cifrados entrar en
accin Carlos, quien intentar acceder a la informacin que esconden dichos mensajes. A
los intrusos como l la Criptografa les llama criptoanalistas, y a su trabajo criptoanlisis.
Su objetivo es entonces obtener los textos en claro. Generalmente, ello pasa por descubrir
primero el criptosistema empleado y despus las claves concretas con las que se descifran
los criptogramas. Dado que el canal por donde circulan los mensajes no es seguro, hay
que suponer siempre que el criptoanalista dispondr de la mayor parte de los criptogramas
transmitidos. En ocasiones esto puede ser suficiente para que el criptoanalista logre su
cometido. En tal caso, al mtodo que emplee se le denomina criptoanlisis con texto
cifrado. Con frecuencia sucede que las personas que manejan informacin cifrada
cometen errores o descuidos que permiten al criptoanalista conseguir los textos llanos de
los que proceden algunos criptogramas. Si con ellos obtiene el resto de los mensajes en
claro, se dice entonces que el criptosistema sucumbe ante un criptoanlisis con texto
claro y cifrado. Si el criptoanalista pertenece a un servicio de inteligencia con suficientes
medios, muy probablemente su organizacin le consiga el criptosistema y una buena
cantidad de textos en claro y sus correspondientes cifrados. Si el resto de los mensajes en
claro resisten este criptoanlisis total, es entonces cuando el criptosistema se considera
seguro.
Introducida esta terminologa, es obligado responder a lo siguiente: es seguro el
criptosistema ideado por Alicia y Bernardo?, lograr Carlos acceder a la informacin
cifrada? Evidentemente, depende de los conocimientos y medios que posea. Quien
controla los medios de comunicacin suele tener en nmina a personas con avanzados
conocimientos en criptoanlisis y les facilita los medios que necesiten. Para estos
criptoanalistas, el criptosistema de Alicia y Bernardo es muy simple; seguro que lo
derrotan con texto cifrado nicamente y en poco tiempo.
No obstante, a pesar de su sencillez, el criptosistema de Alicia y Bernardo es muy
interesante. Es una versin simplificada de otros que usaron espas soviticos durante y
despus de la Segunda Guerra Mundial, y con los que burlaron a los servicios de
contraespionaje de los pases donde actuaron. Entre todos estos criptosistemas, el ms
seguro (y tambin el ms complejo) fue el empleado por Reino Hayhanen, espa ruso en
los Estados Unidos entre 1953 y 1957. El F.B.I. slo pudo acceder a la informacin
transmitida por Hayhanen cuando ste, tras desertar, proporcion las claves. Si Alicia y
Bernardo hubiesen incorporado en su criptosistema algunas de las ideas presentes en el de
Hayhanen, habran puesto en muchas dificultades a su oponente Carlos.
INTRODUCCIN
6
Pero no era el objetivo de esta introduccin mostrar un criptosistema seguro,
resistente a los mejores criptoanalistas; sino presentar la nocin de criptosistema e
ilustrarla con un ejemplo sencillo. Ser necesaria para abordar los captulos que siguen a
continuacin. En ellos el lector advertir poco a poco lo difcil que es concebir un
criptosistema seguro.
7 7
1
LOS PRIMEROS PASOS. CIFRADO
POR SUSTITUCIN
Los historiadores dicen que la Criptografa es casi tan antigua como la propia
escritura. Afirman que est presente en todas las civilizaciones de la Antigedad y dan
ejemplos documentados que lo demuestran. Sin embargo, estos ejemplos son puntuales.
Ninguna de estas civilizaciones hizo uso comn de la Criptografa. Ningn imperio de
aquella poca la utiliz de forma habitual para enviar mensajes confidenciales a sus
provincias o a su ejrcito, slo en contadas ocasiones. El uso regular de la Criptografa
comienza en la Edad Media, con los rabes; y en Europa ello no sucede hasta el
Renacimiento. Hasta entonces, aunque la Criptografa surge en muchos lugares,
nicamente aparece de forma espordica. En la Antigedad slo hay unas pocas muestras
de Criptografa, y son muy simples. Pero hay que comenzar por dichas muestras. No slo
por curiosidad histrica, sino porque en ellas hay parte de la base de la Criptografa que
vendr despus. Las lneas que siguen a continuacin contienen algunos de dichos
ejemplos, creemos que los ms significativos.
El primer texto relacionado con la Criptografa del que se tiene conocimiento data
aproximadamente del ao 1900 a.C. Es del antiguo Egipto; es un grabado en una piedra
de la cmara principal de la tumba de un noble de la ciudad de Menet Khufu, a las orillas
del Nilo. En l se cuentan los actos ms relevantes de la vida de ese noble. En realidad no
es un texto criptografiado con la intencin de ocultar su contenido, sino que es
simplemente un texto en el que ciertos smbolos jeroglficos se cambian por otros
similares pero no usuales. Se cree que con la intencin de dotar al texto de cierto tono de
dignidad. Esta prctica perdur durante cierto tiempo, con escritos cada vez ms
complicados; pero despus se abandon. Constituye la nica muestra criptogrfica de la
civilizacin egipcia.
Los escribas de la antigua Mesopotamia tambin cambiaron en ocasiones los signos
cuneiformes de su escritura por otros, coincidiendo as con sus colegas egipcios en esta
forma de alterar la escritura. Pero a diferencia de los egipcios, los escribas mesopotmicos
s tuvieron intencin de ocultar el significado de la escritura. De esta cultura es el texto
1. LOS PRIMEROS PASOS. CIFRADO POR SUSTITUCIN
8
cifrado ms antiguo que se conserva, data aproximadamente del ao 1.500 a.C. Es una
tablilla de arcilla en la que se escribi secretamente una frmula para el barniz que se
empleaba en alfarera. Seguramente era un valioso tesoro en aquella remota poca.
Saltando ya al siglo VI a.C., en algunos antiguos textos hebreos, entre los que estn
los bblicos, figuran nombres de personas y ciudades que han sido transformados
mediante ciertas sustituciones de unas letras por otras. La ms frecuente es la denominada
atbash. En el atbash la primera letra del alfabeto hebreo se cambia por la ltima y
viceversa, la segunda por la antepenltima y as sucesivamente, segn el esquema que se
muestra en la Figura 1.1. Otra sustitucin similar es el albam. En ella la primera letra se
intercambia con la duodcima, la segunda con la decimotercera y as sucesivamente. Sin
embargo, no se observa razn alguna para tal encriptacin. Quizs para dar un aire de
misterio a los escritos?

Figura 1.1. El atbash hebreo.
Una curiosa forma de enviar secretamente mensajes se produjo en la antigua China.
Generalmente, la diplomacia china y su ejrcito transmitan la informacin de forma oral,
memorizando los mensajes. Pero en ocasiones se escriba el texto de forma minuciosa en
fina seda que despus se enrollaba y se sellaba con cera. El mensajero lo ocultaba en su
propio cuerpo, tragndoselo. Este modo de enviar secretamente informacin ocultando el
propio mensaje recibe el nombre de esteganografa.
Otro ejemplo histrico de esteganografa es la manera en que los griegos del siglo V
a. C. se enteraron a tiempo del plan de invasin de Persia. Cuenta el historiador Herodoto
en su obra Las Historias que Demarato, un exiliado griego en Persia, grab los planes
9
persas en un par de tablillas de madera y despus las cubri con cera, ocultando as el
mensaje. Las tablillas partieron desde la ciudad persa de Susa hasta Esparta sin ser
interceptadas por el camino. Ya en su destino, Gorgo, esposa del rey Lenidas, adivin
que debajo de la cera debera esconderse algo escrito. Despus que el mensaje fue ledo,
Esparta comunic las intenciones persas al resto de las ciudades griegas. Gracias a ello,
los griegos pudieron armarse a tiempo y derrotar a los persas en las batallas de las
Termpilas, Salamina y Platea.
Fueron precisamente los espartanos de ese mismo siglo V a.C. quienes disearon el
primer criptosistema para uso militar: el esctalo. Plutarco en su obra Vida de Lisandro
lo describe como un bastn redondo en el que se enrollaba una cinta de pergamino larga y
estrecha como una correa, sobre la que se escriba un mensaje en forma longitudinal. Al
desenrollar la cinta las letras aparecan en otro orden, formando una secuencia sin sentido.
El receptor del mensaje dispona de otro bastn exactamente igual que el del emisor, y
recuperaba el mensaje enrollando de nuevo la cinta. (Vase la Figura 1.2).

Figura 1.2. El esctalo espartano.
Continuando en la Grecia clsica, el escritor Polibios describe en el siglo II a. C. un
curioso sistema de seales que puede ser adoptado tambin como mtodo criptogrfico.
Polibios dispone las letras en un cuadrado, como el que sigue a continuacin:

1 2 3 4 5
1
2
3
4
5
Tabla 1.1. Cifrado de Polibios
10
Cada letra puede ser representada por dos nmeros. Por ejemplo: con 11, con
42. Polibios sugera transmitir estos nmeros por medio de seales luminosas procedentes
de antorchas y as poder enviar mensajes desde largas distancias.
Hay que dudar de la efectividad del mtodo de Polibios en la transmisin de
informacin, pero es incuestionable que su idea de representar letras por nmeros es muy
interesante. Estar presente a lo largo de toda la historia de la Criptografa.
Ya en la poca romana, Julio Cesar en su Guerra de las Galias seala que envi
un mensaje a su general Cicern cambiando las letras latinas por las griegas.
Posteriormente, Julio Cesar ide un modo de cifrado que figura como ejemplo en todos
los textos de Criptografa. Es simple, consiste en sustituir cada letra por la que se
encuentra tres posiciones ms avanzada en el orden del alfabeto. As, con nuestro actual
alfabeto, la a se cambiara por la D, la b por la E,...., y la z por la C; como se
indica a continuacin:

a b c d e f g h i j k l m n o p q r s t u v w x y z

D E F G H I J K L M N O P Q R S T U V W X Y Z A B C
Sustitucin de Julio Csar.
Con este esquema, la famosa frase de Cesar veni, vidi, vinci se cifrara
YHPL, YLGL, YLPFL.
Sorprende encontrar una muestra de Criptografa en el texto ertico El
Kamasutra, escrito en el siglo IV. En l se listan 64 artes que las mujeres deben conocer
y practicar, entre las que estn el canto, la cocina y el ajedrez. La nmero 45 recibe el
nombre mlecchita-vikalpa y es el arte de la escritura secreta. En el Kamasutra se
describen incluso dos mtodos de cifrado. Uno de ellos recibe el nombre de kautiliyam
y consiste en cambiar unas letras por otras relacionadas fonticamente. El otro se llama
mladeviya y consiste en emparejar aleatoriamente las letras del alfabeto y reemplazar
cada letra de un texto por su pareja.
Y un ltimo ejemplo. En nuestros archivos histricos se conservan varios
documentos cifrados de la poca visigtica. En ellos se sustituyen las vocales por
diferentes signos; en ocasiones por puntos y lneas, otras veces por nmeros romanos.
En esta breve resea histrica encontramos tres formas diferentes de enviar
mensajes secretos. A una de ellas la llamamos esteganografa y dijimos que consiste en
ocultar el propio mensaje. En los ejemplos mostrados hay dos de esteganografa. Otro
ejemplo tpico es la escritura con tinta invisible. Seguramente sta es la tcnica
esteganogrfica ms empleada en todos los tiempos. Es antiqusima. Ya en el siglo I,
Plinio el Viejo mostr como hacer tinta invisible con el jugo de cierta planta. Estas tintas,
tambin llamadas simpticas, se hacen visibles al entrar en contacto con otra sustancia
11
o con calor. Sin embargo, la esteganografa no es propiamente una forma de Criptografa;
o al menos no responde al modelo de criptosistema que dimos en la introduccin.
El modo de cifrar mensajes del esctalo espartano se conoce como cifrado por
transposicin. En general, un cifrado por transposicin es aquel en que las letras del texto
se reordenan de otra manera, siguiendo un patrn convenido entre el emisor y el receptor
del mensaje. Un ejemplo sencillo de cifrado por transposicin consiste en escribir al revs
las palabras de un texto. En la Criptografa moderna se sigue haciendo uso de la
transposicin.
Pero en los dems ejemplos histricos que hemos presentado, la manera de cifrar
consiste simplemente en cambiar unas letras del alfabeto por otras, o por smbolos o
nmeros (cifrado de Polibios), haciendo el texto resultante ininteligible. Sin duda, sta es
la forma de comunicacin secreta ms empleada en la Antigedad. Recibe el nombre de
cifrado por sustitucin y lo estudiaremos detenidamente a continuacin. Este estudio nos
ayudar a entender otros mtodos de cifrado ms complicados que aparecern en
posteriores captulos.
La definicin que acabamos de dar del mtodo de sustitucin es clara y sencilla, lo
explica perfectamente; pero no nos permite extraer conclusin alguna de la seguridad que
proporciona. Para ello, es necesario que lo describamos como un mtodo de codificacin
que responde al modelo presentado en la introduccin. Esto es, como un criptosistema.
Recordemos que en un criptosistema se parte de dos alfabetos o colecciones de caracteres.
Los textos a cifrar se contemplan como una secuencia de caracteres elegidos en el primer
alfabeto, que se llama alfabeto en claro o llano. Los textos cifrados son as mismo
sucesiones de caracteres del segundo alfabeto, llamado alfabeto de cifrado. La obtencin
del texto cifrado a partir del texto en claro se realiza mediante un proceso llamado
algoritmo que depende de un dato fundamental: la clave. La clave tambin es necesaria al
receptor del mensaje para su descifrado.
En el cifrado por sustitucin el alfabeto llano y el de cifrado tienen el mismo
nmero de caracteres. Frecuentemente los dos alfabetos son el mismo, pero en general no
tiene porque ser as. Ahora, cada signo del alfabeto llano se empareja con un nico
carcter del alfabeto cifrado. Habitualmente, esto se hace colocando en orden los
caracteres del alfabeto llano y debajo de cada uno de ellos el signo del alfabeto cifrado
con el que se empareja. En el cifrado de Julio Cesar hemos dado un ejemplo de cmo
hacerlo. Otro ejemplo se muestra a continuacin.

Claro: a b c d e f g h i j k l m n o p q r s t u v w x y z
Cifrado: C R Y P T O G A F I B D E H J K L M N Q S U V W X Z
Ejemplo de sustitucin.
Notemos que ambos alfabetos, el claro y el de cifrado, son el mismo: nuestro
alfabeto espaol. La clave en el mtodo de sustitucin es precisamente el modo en que
12
emparejamos los caracteres de un alfabeto con los del otro. Tanto emisor como receptor
deben conocer la clave. Para cifrar, el emisor reemplaza cada carcter del texto en claro
por el carcter que tiene asociado en el alfabeto cifrado, segn indica la clave. Para
descifrar, el receptor del mensaje tiene que cambiar cada signo del texto cifrado por aquel
del alfabeto llano que le corresponde. As, usando la clave que proporciona este mismo
ejemplo dado antes, el texto en claro cifradoporsustitucin se cifrara as:

Texto llano: cifradoporsustitucin
Texto cifrado: YFONCPKLKNSQFQSYFKH

Observemos en este ejemplo que el alfabeto de cifrado se ha formado a partir de la
palabra CRYPTOGRAFIA: se ha colocado esta palabra sin repetir la R y la A, y a
continuacin el resto de las letras en su orden habitual. Es una forma prctica de formar
claves a partir de palabras, ya que facilita la memorizacin de la clave; pero no hay que
confundir la clave con la palabra. La clave es, repetimos, el modo en que se emparejan las
letras de los alfabetos llano y de cifrado.
Y cuntas claves posibles hay en el cifrado por sustitucin? Calculmoslas. Para
ello, supongamos que el alfabeto en claro es el nuestro, el espaol, y que el de cifrado est
formado por 27 signos cualesquiera. La primera letra del alfabeto llano es la a. Tenemos
27 signos del alfabeto cifrado para relacionar con la a, y cada uno de ellos dar lugar a
una clave distinta. Una vez resuelto que signo emparejamos con la a, nos quedarn 26
posibles para asociar con la b, que es la segunda letra del alfabeto llano. Y como antes,
cada una de estas 26 posibilidades determinar una clave distinta. A continuacin,
decidimos que signo del alfabeto de cifrado agrupamos con la c. Restarn 25 de ellos.
Etctera. Ya concluimos: el nmero de claves posibles es el producto de todas las formas
diferentes de elegir signos para cada una de las letras. En total:
272625....21 =10888869450418352160768000000.
Este es un nmero muy grande. Llevara una eternidad descifrar un mensaje por
sustitucin probando todas las claves una a una, an incluso con un ordenador. Un
ordenador que fuese capaz de comprobar un trilln de claves por segundo (y sera mucho
ms rpido que los actuales) tardara ms de trescientos aos en comprobarlas todas.
Este hecho puede inducirnos a pensar en una gran seguridad del cifrado por
sustitucin si tanto el emisor como el receptor guardan secretamente la clave. Pues no, no
es as. Un intruso recupera fcilmente la clave si es capaz de hacerse con unas pocas
lneas de texto pleno y su correspondiente cifrado. (Recordemos que esto en Criptografa
se llama ataque con texto pleno). Slo tiene que ir leyendo una a una las letras del texto
claro y cotejndolas con sus correspondientes del texto cifrado, de este modo se recupera
la clave. Y obtenida la clave, es sencillo descifrar cualquier otro mensaje que se cifre con
ella.
Pero la clave puede recuperarse tambin sin conocer texto pleno alguno. Cmo?
Pues haciendo uso de la gran debilidad del cifrado por sustitucin: cada letra del texto en
claro se cifra siempre con el mismo signo del alfabeto de cifrado. Ello permite recuperar
13
la clave a partir de unas cuantas lneas de texto cifrado mediante el llamado anlisis de
frecuencias, que es la tcnica de criptoanlisis ms antigua en la historia de la
Criptografa. Es de origen rabe y aparece ya en textos que se remontan al siglo IX.
Los califas rabes que sucedieron a Mahoma hicieron uso habitual de la
Criptografa para administrar su imperio, la aprendieron de la conquistada Persia. Al igual
que los reyes persas, los califas se comunicaban secretamente con los emires de sus
provincias mediante mensajes cifrados. Pero la Criptografa fue utilizada tambin en
instancias inferiores del estado. Los libros rabes de la poca citan, por ejemplo, que los
funcionarios encargados de la recaudacin de los impuestos protegan la informacin de
sus archivos cifrando los documentos. En dichos textos pueden encontrarse varios modos
de cifrado, la mayora respondiendo al modelo de sustitucin. Y tambin puede leerse
como criptoanalizarlos mediante el citado anlisis de frecuencias.
Uno de estos libros es una enorme enciclopedia de 14 volmenes que recoge todo el
saber de la poca, lleva el ttulo Subh al-a sha y se termin de escribir en 1412. Su
autor: Shilb al-Dn abu l-Abbas Ahmad ben Ali ben Ahmad Abd Allh al-
Qalqashandi. Contiene una seccin dedicada a la Criptografa con el ttulo Sobre la
ocultacin de mensajes secretos en las cartas. En ella se explica claramente como
desencriptar un cifrado por sustitucin: lo primero es averiguar en qu idioma se ha
escrito el texto en claro y despus...
... cuenta cuantas veces se repite cada smbolo y antalo. Si la persona que
ha diseado el cdigo ha sido meticulosa y ha ocultado la separacin de las
palabras en el cuerpo del mensaje, entonces lo primero es descubrir que
smbolo divide las palabras... Seguidamente, mira que letras aparecen ms
frecuentemente en el mensaje y compara con el patrn de frecuencias de
letras previamente mencionado. Cuando veas que una letra aparece en el
mensaje ms veces que el resto, asume que es alif; luego asume que la
siguiente ms frecuente es lm. La exactitud de tu conjetura ser
confirmada por el hecho que en la mayora de los contextos, lm sigue a
alif...

Se entender mejor la idea que expone Al-Qalqashandi si es llevada a la prctica.
Esto es, si la usamos para criptoanalizar un texto cifrado por sustitucin. Con este fin
consideramos el siguiente criptograma:
14
HS2BHF7J7207HS2B9C722SJ47J72MP7BN77JMP7H92BS2926
929J6SNMP72FMP7JS17N7B7H967J96SJ7NN7170FS9J9097J7H
070SK9NS29S0S2CP19J3HS2192170F9J92SH922S8N7H926S
8N729198H727JN9K98H72BS292MP7H72HH7J9JSH72Q9BF9JH
9QF097J7N9D93MPF7J6SJ79H2FH7JBFSPJ90719J2SK90SN07
F16N7BF29N7BSN09BFSJ3D93918F7JMPF7JD9B7171SNF9BSJ
H9B9N9982SN937JH9B9N96FJ90S7H472S07H9872F9NPFJ
07H991SNS292P6HFB9J7872F9B9J2909H919JS2P579J0SH
9CN7J737H1FN9NHH7JS07919N4PN9BS1SPJ19N7JB9H190S
Criptograma
Siguiendo al mencionado autor rabe, lo primero es averiguar en qu idioma se ha
escrito el mensaje en claro. Normalmente, esto lo revela el contexto. Sin duda, el conocer
quin ha escrito el texto o a quin va dirigido nos dara una pista fundamental. Pero en el
ejemplo que hemos propuesto no vamos a revelar de antemano el idioma en que se ha
escrito el texto en claro; slo diremos que es una de las lenguas occidentales ms habladas
y dejaremos que el anlisis de frecuencias que sigue a continuacin descubra el idioma
que es.
Comencemos entonces el mencionado anlisis del criptograma. Contemos cuntas
veces se repite cada signo; esto es, su frecuencia. La Tabla 1.2 lo recoge.

Signo Frecuencia Signo Frecuencia
0 19 D 3
1 18 F 21
2 37 H 30
3 6 J 37
4 3 K 3
5 1 M 7
6 9 N 26
7 60 15
8 8 P 14
9 70 Q 2
B 19 S 37
C 3
Tabla 1.2. Frecuencias del criptograma.
15
Si el texto del criptograma hubiese sido formado eligiendo los caracteres de modo
aleatorio, cada uno de ellos aparecera aproximadamente el mismo nmero de veces.
stas seran el cociente entre el nmero total de signos que figuran en el texto, 448, y el
nmero de signos diferentes que hay, 23. Este cociente es 19. Pero observamos que
mientras que caracteres como 9 o 7 tienen una frecuencia mucho mayor que 19, otros
como 5 o Q apenas aparecen una y dos veces, respectivamente. Hay signos mucho
ms frecuentes que otros.
Lo mismo sucede con las letras de un idioma. Las palabras se forman uniendo
slabas que, por regla general, contienen una vocal y una o dos consonantes. Puesto que
en el alfabeto latino las vocales son 5 y las consonantes 21 (22 si incluimos la ), ello
explica que las vocales aparezcan ms a menudo que muchas de las consonantes. Y
ocurre tambin que no todas las vocales o consonantes presentan la misma frecuencia. Por
ejemplo, en espaol la a y la e se utilizan mucho ms que la u; y mientras que las
consonantes s, n o r estn presentes en numerosas palabras, hay muy pocas
conteniendo k o x. Situaciones similares ocurren en todos los idiomas.
Cuando se cifra un texto sustituyendo cada letra por otra o por un signo, se oculta
su significado; pero no las frecuencias de las letras empleadas. La frecuencia de cada letra
del mensaje en claro es la misma que la del carcter que lo sustituye. Por tanto, los signos
que ms abundan en el texto cifrado se han de corresponder con las letras de ms
frecuencia en el texto en clave. Esta es la idea esencial del anlisis de frecuencias.
Luego, el primer paso para resolver un criptograma por sustitucin es conocer las
frecuencias de las letras de la lengua con la que se ha escrito el texto en claro. Esto puede
determinarse empricamente, considerando en un idioma dado una cantidad ingente de
texto de diferentes publicaciones como peridicos, novelas, libros de texto, etc. Es una
tarea muy pesada, pero hace mucho que se ha hecho. Y no slo para los idiomas ms
hablados, sino para la prctica totalidad de las lenguas que se hablan en el mundo. No en
vano la tcnica del anlisis de frecuencias tiene ya ms de mil aos. Seguramente, casi
todos los servicios secretos del mundo disponen de los datos de las frecuencias de las
letras de muchos de los idiomas que se hablan en el mundo, en especial de las lenguas
habladas en sus pases vecinos. Pero no es necesario recurrir a ningn servicio secreto, los
libros de Criptografa incluyen las frecuencias de las lenguas ms populares. Y
probablemente, para cada idioma haya alguna direccin de Internet con las frecuencias de
sus letras.
As, con datos del libro de F. Pratt que referenciamos en la bibliografa, hemos
confeccionado la Tabla 1.3 que recoge las frecuencias en tanto por ciento de cada letra
para el ingls, espaol, francs y alemn. Hemos ordenado las letras colocando primero
las de mayor frecuencia.
16

Ingls Espaol Francs Alemn
E 13.105 E 13.676 E 17.564 E 16.693
T 10.468 A 12.529 A 8.147 N 9.905
A 8.151 O 8.684 S 8.013 I 7.812
O 7.995 S 7.980 I 7.559 S 6.765
N 7.098 R 6.873 T 7.353 T 6.742
R 6.832 N 6.712 N 7.322 R 6.539
I 6.345 I 6.249 R 6.291 A 6.506
S 6.101 D 5.856 U 5.991 D 5.414
H 5.259 L 4.971 L 5.783 H 4.064
D 3.788 C 4.679 O 5.289 U 3.703
L 3.389 T 4.629 D 4.125 G 3.647
F 2.924 U 3.934 C 3.063 M 3.005
C 2.758 M 3.150 M 2.990 C 2.837
M 2.536 P 2.505 P 2.980 L 2.825
U 2.459 B 1.420 V 1.557 B 2.566
G 1.994 G 1.006 Q 1.361 O 2.285
Y 1.982 Y 0.895 G 1.051 F 2.044
P 1.982 V 0.895 F 0.959 K 1.879
W 1.539 Q 0.875 B 0.876 W 1.396
B 1.440 H 0.704 H 0.721 V 1.096
V 0.919 F 0.694 J 0.598 Z 1.002
K 0.420 Z 0.523 X 0.350 P 0.944
X 0.166 J 0.443 Y 0.116 J 0.191
J 0.132 X 0.221 Z 0.072 Q 0.055
Q 0.121 W 0.023 K 0.041 Y 0.032
Z 0.077 K 0.004 W 0.020 X 0.022
Tabla 1.3. Frecuencias de las letras.
Notemos que en la columna correspondiente al espaol no figura la . No suelen
incluir su frecuencia los textos extranjeros por no estar en sus alfabetos. No obstante, la
aparece pocas veces; nosotros hemos calculado una frecuencia de 0.234 para ella.
Los datos anteriores son slo indicadores de cuales pueden ser las frecuencias de las
letras. Si el texto consta de muchas letras, es muy posible que sus frecuencias se asemejen
a las presentadas aqu; pero si el texto es corto, puede haber distorsiones importantes.
Aunque sta tampoco es una regla que sea siempre vlida; ya que, como recoge S. Singh
17
en su libro Los Cdigos Secretos, el francs Georges Perec fue capaz de escribir en
1967 la novela La Disparition, de 200 pginas, sin emplear una sola vez la letra e, que
es con diferencia la ms frecuente en francs. Y ms an, Gilbert Adair la tradujo al
ingls con el ttulo A void, tambin sin utilizar la e.
Pero volvamos con nuestro objetivo de descifrar el criptograma. Ser el cifrado por
sustitucin de un texto escrito en alguno de los cuatro idiomas que hemos dado
estadsticas? Supongamos que lo sea y tratemos de descifrarlo.
La primera conclusin que establecemos es obvia: el texto en clave no contiene
todas las letras de su alfabeto. En el criptograma slo hay 23 signos distintos, pero son 26
las letras del alfabeto (27 en el alfabeto espaol, por la ). No es de extraar, en los cuatro
idiomas: ingls, espaol, francs y alemn, hay letras muy poco frecuentes.
Recprocamente, alguno de los signos del texto cifrado sustituir a algn otro
carcter del texto en claro que no sea una letra, como por ejemplo nmeros, signos de
puntuacin o el espacio en blanco? Los nmeros son muy poco frecuentes salvo en textos
especializados. Los signos de puntuacin como la coma, el punto o el punto y coma
presentan una frecuencia intermedia, en torno al 2%; pero elevan el nmero de caracteres
del alfabeto a 29 (30 en el caso del espaol). El nmero de 23 signos del criptograma hace
sospechar que fueron eliminados del texto en claro antes de codificarlo.
Atencin especial merece el espacio en blanco que usamos para separar las
palabras. Es con diferencia el signo ms frecuente. Por qu? Porque como las palabras
tienen una media de cuatro o cinco letras, cada cuatro o cinco letras hay un espacio en
blanco. Por tanto, el espacio en blanco tiene una frecuencia prxima al 20% en los textos
en claro. En el criptograma que nos ocupa no hay un signo con tal frecuencia. Pero esto
no son buenas noticias ya que, como observ Al-Qalqashandi, el espacio en blanco
facilita la labor del criptoanalista. Una vez identificado el signo que lo sustituye, pueden
separarse las palabras. Por esta razn, se suelen suprimir los espacios en blanco antes de
cifrar.
Definitivamente: si el criptograma es el cifrado por sustitucin de otro texto
escrito en ingls, espaol, francs o alemn, en l se han suprimido espacios en blanco y
signos en puntuacin.
Descubramos el idioma. Para ello, compararemos las frecuencias del texto cifrado
con las de los cuatro idiomas. Ser conveniente que reescribamos la Tabla 1.2 dando las
frecuencias en tanto por ciento y ordenando los signos segn su frecuencia. Lo hemos
hecho en la Tabla 1.4.

18
Signo Frecuencia Signo Frecuencia
9 15.625 P 3.125
7 13.392 6 2.008
2 8.258 8 1.785
J 8.258 M 1.562
S 8.258 3 1.339
H 6.696 4 0.669
N 5.803 C 0.669
F 4.687 D 0.669
0 4.241 K 0.669
B 4.241 Q 0.446
1 4.017 5 0.223
3.348
Tabla 1.4. Frecuencias en % del criptograma.
Hagamos la comparacin. Ahora bien, cmo comparar listas de nmeros? En
matemticas hay varias maneras de medir la distancia entre dos listas de nmeros. La
ms utilizada es, sin duda, la suma de los cuadrados de las diferencias de sus nmeros.
Esto es, se restan los primeros nmeros de cada lista y el resultado se eleva al cuadrado.
Despus se hace lo mismo con los segundos nmeros de cada lista, luego con los terceros
y as sucesivamente. Finalmente, se suman todas las cantidades calculadas y esta suma es
la distancia. Se entender mejor con el siguiente ejemplo, en el que se calcula la distancia
entre la lista de cuatro nmeros: 1, 3, 5, 7 y esta otra: 2, 1, 5, 6. Su distancia es:
( ) ( ) ( ) ( ) . 6 6 7 5 5 1 3 2 1
2 2 2 2
= + + +
Calculemos entonces las distancias entre las frecuencias del texto cifrado,
mostradas en la tabla anterior, y las frecuencias de las letras de cada uno de los idiomas
que figuran en la Tabla 1.3. Antes de ello, como el nmero de caracteres que aparecen en
el criptograma es menor que el nmero de letras del alfabeto latino, aadimos a la Tabla
1.4 tres nuevos signos ficticios con frecuencias nulas. Los clculos resultantes son los
siguientes:

Distancia: 25.108 10.815 39.837 24.545
Tabla 1.5. Distancias del criptograma.
19
La distancia mnima corresponde al espaol, lo que sugiere pensar que el
criptograma es el cifrado de un texto en espaol. Pero ello no es seguro, es slo lo ms
probable; aunque es una posibilidad soportada por una argumentacin matemtica. Por
otro lado, era de esperar. Despus de todo, el libro que el lector est leyendo est escrito
en espaol y por espaoles. Luego, lo normal es que los textos en claro que sirven de
ejemplo estn escritos tambin en espaol. En efecto, ya revelamos que es as.
Una vez que sabemos que el texto en claro est escrito en espaol, el siguiente paso
es, siguiendo las instrucciones de los antiguos textos rabes, asociar las letras ms
frecuentes en espaol con los signos que ms se repiten en la cifra. Las dos letras ms
frecuentes en espaol son, con diferencia del resto, la e y la a. Los dos signos que ms
aparecen en el criptograma son 9 y 7. Casi seguro que 9 y 7 sustituyen en el texto
original a la e y la a, y lo ms probable es que sea en este orden. La o es la tercera
letra ms frecuente en nuestro idioma, pero seguida de cerca de la s. En el texto cifrado,
el tercer lugar en frecuencia lo ocupan tres signos, con igual probabilidad, que son: 2,
J y S. Lo ms probable es que la o y la s se transformen en dos de los tres citados
signos. El restante tiene que ser el sustituto de n o r, que son las dos letras que siguen
en frecuencia a la s. Podemos resumir este razonamiento en el siguiente esquema:

Alfabeto en claro: e a o s n r

Alfabeto cifrado: 9 7 2 j s

Bien, por cul de los caminos que hemos abierto nos decidimos? Digamos que son
24 en total y que la distribucin de las frecuencias de las letras no puede ayudarnos ms.
De nuevo, el texto rabe nos muestra como seguir: lm sigue a alif. Esta es la clave,
conocer con que otras letras se suelen agrupar en un idioma las letras ms frecuentes. Por
esta razn, las estadsticas que se hacen a los textos de un idioma no se limitan a contar
por separado cada una de sus letras. Cuentan tambin los bloques de dos letras, llamados
bigramas o digrafos; y los de tres, trigramas o trigrafos. En lo referente al espaol, los 20
bigramas y trigramas ms frecuentes son, por este orden, los siguientes:
Bigramas: EN, ES, EL, DE, LA, AL, OS, AR, RE, ER, NT,
ON, AD, UE, RA, CI, AS, TE, SE, CO.
Trigramas: ENT, QUE, NTE, DEL, ELA, ION, DAD, CIO, CON,
EST, ADE, ALI, IDA, NCI, EAL, ODE, ACI, CIA,
ESE, IEN.
Debemos contar ahora bigramas y trigramas en el texto cifrado. Con un ordenador
este proceso es inmediato, pero sin l es penoso. En este segundo caso, podemos
limitarnos a contar bigramas y trigramas que contengan slo los signos 7 o 9, que son
los candidatos a las vocales a y e. Afortunadamente, nosotros disponemos de
ordenador; nos ha mostrado cules son los ms bigramas y trigramas que ms se repiten
en el criptograma. La Tabla 1.6 lo indica.
20

Bigramas Frecuencia Trigramas Frecuencia
7J 17 J7 5
72 12 7J 5
H9 11 MP7 5
9J 11 7H9 5
7H 10 H72 4
H7 9 S29 4
92 9 F7J 4
Tabla 1.6. Bigramas y trigramas ms frecuentes en el criptograma.
Con estos datos, lo primero que deducimos es que la e se transforma en 7 y la a
en 9. No puede ser de otro modo. En espaol los tres bigramas ms frecuentes empiezan
por la letra e, que est presente tambin en los cinco trigramas que ms se repiten.
Luego, debe ser el signo 7 el transformado de la e; y, en consecuencia, 9 es el que
sustituye a la a. Notemos que esto significa que en el texto que tratamos de descifrar la
letra ms frecuente es la a y no la e. Pero puede ocurrir, no hay tanta diferencia de
frecuencias entre ellas.
Puesto que el bigrama en es el ms frecuente en espaol, su transformado debe
estar en la tabla anterior. Lo ms probable es que sea 7J o 72; lo que implica que la
letra n se cambia bien por J, bien por 2. La n est presente en el trigrama ent, que
es el ms comn en nuestro idioma; luego, su transformado debe estar tambin en la tabla.
nicamente puede ser 7J. En consecuencia, la n se reemplaza por J y la t por .
Descubramos ahora el transformado de la letra s. Tenamos tres smbolos
candidatos: 2, J y S. Descartado J, quedan 2 y S. Como el bigrama es es el
segundo ms frecuente en espaol, es muy probable que tambin sea de los que ms
aparezcan en el texto en claro. Entonces su transformado debe estar en la Tabla 1.6. En
ella esta 72, pero no 7S. Luego 2 es el signo que sustituye a la letra s. Resumiendo
nuestras conclusiones, tenemos:

Alfabeto en claro: e a s n t

Alfabeto cifrado: 7 9 2 J

Pero todava podemos deducir ms. Asignados los smbolos 2 y J, a la letra o,
la tercera ms frecuente, no le queda otro signo que S. Por otro lado, en la columna de
bigramas de la Tabla 1.6 estn H9 y 7H. Seguramente que ello es porque se
corresponden con los artculos la y el, respectivamente. En tal caso, la letra l del
texto en claro se cambiara por H en el cifrado. Que el trigrama 7H9 figure en la tabla
eleva ya esta suposicin a conclusin. Y quin puede ser MP7 sino el pronombre
21
relativo que, que es el es segundo trigrama en frecuencia? Si ello es as, entonces las
letras q y u se reemplazan por M y P, respectivamente. Bien, ya hay suficientes
deducciones:

Alfabeto en claro: e a o s n l t u q

Alfabeto cifrado: 7 9 S 2 J H P M

Sin embargo, no podemos estar seguros de la validez total de las conclusiones. El
argumento realizado es del todo correcto, pero no puede afirmarse lo mismo de las
premisas. stas eran slo las ms probables. Hemos basado todo en el supuesto que las
letras ms frecuentes de nuestro idioma se transforman en los signos ms comunes del
criptograma. Es lo ms probable, pero no es seguro. No obstante, enseguida lo vamos a
saber. Las apariciones en el texto cifrado de los signos descubiertos suman 307. Esto
significa que hemos descifrado casi las tres cuartas partes del criptograma. Si todo es
correcto, al restituir los signos por sus verdaderas letras el texto en claro caer por si solo.
Si no, se mostrarn incoherencias y habremos de corregir algunas de las conclusiones
anteriores. Para comprobarlo, escribamos debajo de cada lnea del texto cifrado otra
donde ya hayan sido sustituidos los signos que creemos conocer; y debajo de los que
todava no conocemos, coloquemos un *:

HS2BHF7J7207HS2B9C722SJ47J72MP7BN77JMP7H92BS2926
los*l*entes*elos*a*esson*entesque**eenquelas*osas*

929J6SNMP72FMP7JS17N7B7H967J96SJ7NN7170FS9J9097J7H
asan*o*ques*queno*e*e*ela*ena*one**e*e**oana*aenel

070SK9NS29S0S2CP19J3HS2192170F9J92SH922S8N7H926S
*e*o*a*osato*os*u*an*los*as*e**tanasolasso**elas*o

8N729198H727JN9K98H72BS292MP7H72HH7J9JSH72Q9BF9JH
**esa*a*lesent*a*a*les*osasquelesllenanoles*a**anl

9QF097J7N9D93MPF7J6SJ79H2FH7JBFSPJ90719J2SK90SN07
a***aente*a*a*qu*en*oneals*len**ouna*e*anso*a*o**e

F16N7BF29N7BSN09BFSJ3D93918F7JMPF7JD9B7171SNF9BSJ
****e**sa*e*o**a**on**a*ta***enqu*en*a*e*e*o**a*on

H9B9N9982SN937JH9B9N96FJ90S7H472S07H9872F9NPFJ
la*a*aa*so*ta*enla*a*a**nta*oel*esto*ela*est*a*u*n

07H991SNS292P6HFB9J7872F9B9J2909H919JS2P579J0SH
*elaa*o*osasu*l**ante*est*a*ansa*ala*anosu*etan*ol

22

9CN7J737H1FN9NHH7JS07919N4PN9BS1SPJ19N7JB9H190S
a**ente*el***a*lleno*ea*a**u*a*o*oun*a*en*al*a*o

Nuestras conclusiones eran correctas y no parece que debamos corregir nada. Como
anuncibamos antes, el texto en claro ya cae por s solo. Primero la vocal que nos falta, la
i. En la segunda fila, el tercer asterisco se encuentra entre una s y una q. No puede
ser sino una vocal: la i, que es la nica no descubierta. En consecuencia, la i se
transforma en F. Entonces, al comienzo del texto obtenemos el trozo los*lientes*elos.
El primer asterisco tiene que ser una c y el segundo una d. Conseguimos de este modo
los sustitutos de las letras c y d, que son B y 0 respectivamente. Y as
continuaramos, reemplazando los asteriscos por las letras adecuadas. Al final,
descubriramos por completo el texto en claro y la clave utilizada. Es la siguiente:

Claro: a b c d e f g h i j k l m n o p q r s t u v w x y z
Cifrado: 9 8 B 0 7 C 4 D F 5 H 1 J K S 6 M N 2 P Q 3
Clave del criptograma
Las letras k, w, x y z no han sido sustituidas porque no era necesario, no
aparecen en el texto en claro. ste es el siguiente fragmento de La colmena, de Camilo
Jos Cela:
... Los clientes de los Cafs son gentes que creen que las cosas pasan
porque s, que no merece la pena poner remedio a nada. En el de doa
Rosa, todos fuman y los ms meditan, a solas, sobre las pobres, amables,
entraables cosas que les llenan o les vacan la vida entera. Hay quien pone
al silencio un ademn soador, de imprecisa recordacin, y hay tambin
quien hace memoria con la cara absorta y en la cara pintado el gesto de la
bestia ruin, de la amorosa, suplicante bestia cansada: la mano sujetando la
frente y el mirar lleno de amargura como un mar encalmado...
23
2
EL NOMENCLTOR
Al comenzar el Renacimiento, el norte y centro de Italia estaban divididos en
pequeos estados articulados en torno a ciudades como Miln, Florencia, Venecia... que
mantenan continuas luchas entre ellos, tratando de expandirse unos a costa de otros. Los
desacuerdos, complots e intrigas caracterizaban la escena poltica en ese momento. A ello
contribuan los intereses en la zona de la corona francesa, del estado pontificio y del reino
de Npoles, que a partir de 1442 pas a depender de la corona de Aragn.
Aunque dbiles, las ciudades-estado italianas disponan de los instrumentos que son
propios de un estado moderno; entre ellos, la diplomacia. A pesar de sus disputas, los
pequeos estados italianos mantenan relaciones entre ellos a travs de embajadas
permanentes. Como es lgico, los embajadores participaban en las conspiraciones. Fueron
llamados los espas honorables. Por supuesto, las comunicaciones de un embajador con
su ciudad de origen eran secretas. Tambin resulta obvio decir que se haca todo lo
posible por interceptar y criptoanalizar estas comunicaciones. As, en este contexto
poltico de la Italia renacentista, no es extrao que la Criptografa fuese una herramienta
diplomtica fundamental y que experimentara un avance espectacular.
Pero, cmo se cifraban los mensajes en esa poca? La Italia de entonces ya
conoca los mtodos antiguos de cifrado, gracias al estudio de los textos clsicos. De estos
mtodos, el criptosistema por sustitucin era, sin duda alguna, el ms idneo para utilizar
con fines polticos; por su sencillez y viabilidad prctica. Sin embargo, como vimos en el
tema anterior, el cifrado por sustitucin no presenta ninguna seguridad. Cae incluso sin
conocer texto en claro alguno, mediante el anlisis de frecuencias. Y la Italia renacentista
tambin conoca este mtodo de criptoanlisis, seguramente a travs del contacto con los
rabes en las rutas hacia Oriente y en las cruzadas. No obstante, no se tard en descubrir
modificaciones del cifrado por sustitucin que hacen inservible el citado anlisis de
frecuencias.
Recordemos que el anlisis de frecuencias arranca del hecho que, en el cifrado por
sustitucin, las letras ms frecuentes del texto en claro se corresponden con los signos
ms comunes del texto cifrado. Una forma de romper esta correspondencia es reemplazar
2. EL NOMENCLTOR
24
las letras ms frecuentes del texto pleno con varios signos posibles que, naturalmente,
habr que aadir al alfabeto de cifrado. Esta mejora del cifrado por sustitucin recibe el
nombre de sustitucin homofnica.
La primera vez que se tiene constancia del uso de una sustitucin homofnica fue
en 1401, en correspondencia que mantuvieron el duque de Mantua y Simeone de Crema.
Puede verse la sustitucin empleada en la siguiente Figura 2.1

Figura 2.1 Sustitucin del duque de Mantua.
La primera lnea de esta figura corresponde al alfabeto en claro. Este alfabeto consta
de las 23 letras que se usan en latn, que era la lengua que generalmente se empleaba
entonces en la comunicacin escrita. La segunda lnea es el alfabeto de cifrado. Nos
volvemos a encontrar con las 23 letras del alfabeto latino, ahora ordenadas en modo
inverso. Pero el alfabeto de cifrado se ha ampliado con 12 signos ms, que se asocian con
las vocales a, e, o y u del alfabeto en claro. De este modo, cada una de estas
vocales dispone de cuatro caracteres del alfabeto de cifrado para sustituirla, segn indica
la Figura 2.1. Por ejemplo, el texto en claro duquedemantua puede cifrarse del
siguiente modo:

Texto en claro:
d u q u e d e ma n t u a
Texto cifrado:
u d h
ff
t u 4 l z me I 2

Como vemos, cada una de las tres u del texto en claro ha sido sustituida con
diferentes signos en el texto cifrado. Lo mismo se ha hecho con las dos a y las dos e.
Aunque en la sustitucin del duque de Mantua nicamente las vocales a, e, o y
u pueden cambiarse por varios caracteres del alfabeto de cifrado, ello es suficiente para
evitar el criptoanlisis mediante el anlisis de frecuencias. Cada una de las frecuencias de
las citadas vocales en el texto en claro se reparte entre los correspondientes cuatro signos
que la sustituyen. Y como estas vocales deben ser cuatro de las letras ms comunes del
texto pleno, ya no hay correlacin entre la distribucin de frecuencias del criptograma y el
texto en claro del que procede. Ello imposibilita iniciar la tcnica de criptoanlisis que
hemos explicado en el tema anterior.
Pero slo en un principio. En una sustitucin homofnica es posible identificar los
signos homfonos aquellos que reemplazan la misma letra del texto en claro- a partir de
texto cifrado nicamente. Por ejemplo, imaginemos que disponemos de varias cartas
cifradas en la correspondencia que mantuvieron el duque de Mantua y Simeone de
2. EL NOMENCLTOR
25
Crema. En tales cartas es muy posible que el mismo nombre de alguna persona o lugar
apareciera varias veces. Para concretar, muy probablemente el texto duquedemantua
figurara en varias ocasiones; aunque cifrado de diferentes modos, en virtud del uso de
homfonos. Pero como en la sustitucin empleada las consonantes slo disponen de un
signo para reemplazarlas, todos los fragmentos de texto cifrado que procedan del texto
pleno duquedemantua tendrn en comn los signos que cambian las letras d, q,
m, n y t. Y que son: u, h, l, m y e, respectivamente. Por tanto, coincidirn
con el siguiente fragmento patrn:

u
*
h
* *
u
*
l
*
me

(Se ha colocado un asterisco en los lugares que ocupan los signos homfonos que
sustituyen a las vocales).
En consecuencia, es muy posible que las cartas cifradas incluyan fragmentos que
respondan a ese patrn. Supongamos que efectivamente sea as y que hemos identificado
varios de ellos. Por ejemplo, los tres siguientes:

u d h
ff
t u 4 l z me
u I h d 4 u F l 3 me
u
ff
h
~
4 u t l 2 me

Entonces podemos deducir que los signos que figuran en los lugares de los
asteriscos en el fragmento patrn son homfonos. As, son homfonos los signos que en
cada uno de los fragmentos ocupan la segunda posicin, la cuarta, quinta, sptima y
novena, respectivamente. En consecuencia, son homfonos d, I, ff y ~.
Igualmente lo son t, 4, 4 y F. Y tambin z, 3 y 2.
Esta es la manera de identificar signos homfonos en una sustitucin homofnica:
buscar fragmentos de texto cifrado en los que haya coincidencias de varios caracteres.
Los smbolos intercalados no coincidentes son homfonos.
Segn se van identificando homfonos, conviene ir cambiando en los textos
cifrados todos los signos de un grupo homfono por un nico smbolo elegido dentro del
grupo. Se habrn identificado todos los caracteres homfonos cuando el nmero de signos
resultante en los textos cifrados no supere al nmero de letras del alfabeto en claro.
Entonces, se estar ante un cifrado por sustitucin simple que ya puede ser
criptoanalizado mediante el anlisis de frecuencias.
Naturalmente, el proceso anterior slo es factible si en los criptogramas hay
fragmentos que proceden de reiteraciones de palabras de los textos en claro. Ello requiere
disponer de suficiente cantidad de texto cifrado; la cual depender del nmero de letras
del alfabeto pleno que utilizan homfonos en su sustitucin. Obviamente, cuanto mayor
sea este nmero, mayor ser tambin la cantidad de texto cifrado necesaria.
2. EL NOMENCLTOR
26
Vemos as que una sustitucin homofnica puede ser atacada por las inevitables
repeticiones de algunas palabras, como sucede con los nombres propios. Pero a grandes
males, grandes remedios: cmbiese cada una de las palabras cuya reiteracin es ineludible
por un nuevo signo. Y as se hizo.
Esta idea aparece por primera vez a finales del siglo XIV. Por aquel entonces,
Gabriel de Lavinde, secretario de Clemente VII, uno de los dos papas en el gran cisma de
la Iglesia Catlica, prepar una serie de claves para la correspondencia de este papa con
diversas personalidades de la poca. Las claves eran sustituciones simples (no
homofnicas) a las que se aada una lista conteniendo una docena de palabras y sus
correspondientes signos para reemplazarlas. Se incluan tambin en el alfabeto de cifrado
otros caracteres llamados nulos, que no sustituyen a nada y que se colocan en cualquier
lugar del texto cifrado con el propsito de dificultar el criptoanlisis. Las claves de
Lavinde constituyen los primeros ejemplos de lo que en Criptografa se llama
nomencltor.
Un nomencltor es entonces un catlogo de sustituciones donde, adems de los
signos que cambian a las letras, figuran otros que o bien son nulos o reemplazan a
bigramas, trigramas, palabras o incluso grupos de palabras. La Figura 2.2 muestra un
nomencltor espaol compilado en Toledo en 1563. El nomencltor fue el sistema de
cifrado predominante hasta mediados del siglo XIX, hasta que el empleo del telgrafo en
las comunicaciones oblig al diseo de otros criptosistemas ms adecuados.
Como cualquier sustitucin, un nomencltor est comprometido si alguien es capaz
de hacerse con texto en claro y su correspondiente cifrado. La seguridad ante un ataque de
texto cifrado depende del nmero de sustituciones que contenga, evidentemente. Un
nomencltor que presente slo unas pocas sustituciones caer ante un criptoanalista que
disponga de suficiente texto cifrado y paciencia. Pero si contiene un nmero elevado de
signos homfonos para las letras, bigramas y trigramas ms frecuentes; si en la lista de
palabras del nomencltor estn todas aquellas de uso comn en el contexto del mensaje,
incluyendo los nombres propios; y si se dispone de un buen nmero de signos nulos que
se dispersan adecuadamente por los textos cifrados, el criptoanlisis ante texto cifrado
nicamente ser dificilsimo, prcticamente imposible. Claro que ello eleva a varios miles
el nmero de sustituciones que debe tener el nomencltor. ste ser entonces un libro con
unas cuantas pginas que, naturalmente, habr que confeccionar y mantener en secreto.
Esto tambin es dificilsimo, de nuevo prcticamente imposible. Y siempre estar
comprometido ante la posibilidad de que algunos textos plenos caigan en manos
enemigas.
Los primeros nomencltores de la Italia del siglo XV siguieron el modelo elaborado
por Lavinde, con sustituciones sin homfonos y listas con muy pocas palabras. Seguro
que fueron presa fcil para los criptoanalistas italianos de la poca. Paulatinamente fueron
incorporando caracteres homfonos, primero para las vocales y despus para las
consonantes. Pero ello nos adentra ya en el siglo XVI. Un tpico nomencltor italiano de
entonces es el que se muestra en la Figura 2.3. Ya presenta cierta dificultad su
criptoanlisis.
2. EL NOMENCLTOR
27

Figura 2.2. Un nomencltor espaol de 1563

Figura 2.3 Nomencltor compilado en Florencia en 1554.
2. EL NOMENCLTOR
28
Los estados italianos ms importantes disponan de departamentos dedicados al
criptoanlisis. El ms organizado fue el de Venecia, con polica secreta incluida. Venecia
cont tambin con el mejor criptoanalista de la poca, Giovanni Soro. Soro fue famoso
por resolver numerosos cifrados a comienzos del siglo XVI; como los despachos de
Maximiliano I, emperador del Sacro Imperio Romano; y los de su nieto, nuestro
emperador Carlos I. Fuera de Venecia tambin hubo expertos en criptoanlisis. En Miln,
el secretario de los duques de Sforza, Cicco Simonetta, fue un gran criptoanalista; suyo es
el primer tratado dedicado exclusivamente al criptoanlisis, escrito en 1474. El florentino
Pirro Musefili resolvi nomencltores usados por Enrique II de Francia a mediados del
siglo XVI. Y apuntemos tambin que el estado Vaticano cont con excelentes
criptoanalistas que descifraron algunos de los nomencltores de esa poca, entre ellos los
del monarca espaol Felipe II.
Es precisamente durante el reinado de Felipe II cuando ms se ha utilizado la
Criptografa en nuestro pas. En Espaa, el empleo de la Criptografa en poltica se
observa por vez primera y de forma espordica en la corona de Aragn, a mitad del siglo
XV. Despus se va prodigando bajo el reinado de los Reyes Catlicos y es ya
imprescindible cuando Espaa se convierte en un imperio, con Carlos I. Los primeros
criptosistemas que se emplearon eran sustituciones que cambiaban el texto pleno por
nmeros romanos. Los cifrados resultantes eran confusos y a menudo no podan ser
interpretados por el legtimo receptor. Pronto se abandonaron y se comenz a usar el
nomencltor, que fue el nico sistema utilizado a partir del siglo XVI. Los nomencltores
de Carlos I fueron muy simples y fcilmente rotos por los italianos y por Philibert Babou,
criptoanalista del rey francs Francisco I. Cuando en 1566 Felipe II subi al trono,
sabedor de la ineficacia de las cifras espaolas, mand cambiarlas.
Felipe II us diversos nomencltores. Por un lado estaba la llamada cifra general,
que era la usada regularmente para comunicar con las embajadas en los diferentes pases.
Se cambiaba cada cuatro aos. Por otra parte, estaban las distintas cifras particulares que
se empleaban con cada uno de los ministros y virreyes de las colonias americanas. En la
Figura 2.4 se muestra la cifra particular empleada en 1568 en la comunicacin con el
duque de Alba.
2. EL NOMENCLTOR
29

Figura 2.4. Nomencltor de 1568 usado por Felipe II.
Los nomencltores usados por Felipe II contienen ya un nmero importante de
sustituciones, con objeto de elevar la seguridad mostrada por otros de pocas anteriores.
Puede observarse que el mostrado en la Figura 2.4 incluye homfonos para las vocales,
signos para los bigramas y trigramas ms frecuentes, una amplia lista de palabras de uso
2. EL NOMENCLTOR
30
comn y una regla que indica como insertar nulos en los textos cifrados. Sin embargo, los
nomencltores de Felipe II tambin presentaban descuidos en su diseo que facilitaban su
criptoanlisis. Por ejemplo, en el nomencltor de la Figura 2.4, el modo de cifrar los
bigramas compromete claramente su seguridad: ntese que cada bigrama compuesto por
una consonante y una vocal se cifra con el mismo signo que se utiliza para reemplazar a
dicha consonante y con una marca alrededor de dicho signo en funcin de la vocal. Una
debilidad. Se deberan haber utilizado signos totalmente distintos para cada uno de estos
bigramas. Una observacin similar puede hacerse con los trigramas. Tambin hubiese
sido conveniente emplear homfonos para las consonantes ms frecuentes.
No obstante, a pesar de sus deficiencias, los nomencltores de Felipe II eran los ms
seguros de su poca. No era fcil su criptoanlisis con texto cifrado nicamente; aunque
hubo quienes lo hicieron. Uno de ellos fue el francs Franois Vite, ms conocido como
matemtico que como criptoanalista. Vite resolvi varios nomencltores usados por
Felipe II. Entre ellos, el que emple el rey en 1589 para comunicarse con Alejandro
Farnesio, duque de Parma, que comandaba las tropas espaolas de la Santa Liga contra el
rey francs Enrique IV. Tard seis meses en hacerlo. Cuenta la Historia que Felipe II,
enterado de la ruptura de sus cifras por Vite y creyendo que stas eran indescifrables,
supuso que el matemtico galo deba emplear la brujera en el criptoanlisis y solicit al
Papa su excomunin. Naturalmente, el Pontfice no atendi esta peticin. Pero no por
considerar absurda la existencia de la magia negra; sino porque saba que las cifras
espaolas podan romperse sin recurrir a la brujera, ya que as lo estaba haciendo su
criptoanalista Giovanni Battista Argenti.
La historia de la Criptografa nos lleva en el siglo XVII a la Francia de Luis XIII
gobernada por el cardenal Richelieu. La astuta Eminencia de Francia tom a su servicio
a un joven experto en Criptografa, Antoine Rossignol, con el doble encargo de resolver
los criptogramas interceptados a los enemigos de Francia y disear las propias cifras
francesas. No era esto lo habitual en la Criptografa de estado. Por regla general, las
personas que confeccionaban los nomencltores no practicaban el criptoanlisis; y ello
explica las deficiencias en seguridad que presentaban algunas cifras. Si quien elabora un
criptosistema nunca ha roto ninguno, desconocer las bases del criptoanlisis y no pondr
especial cuidado en tapar aquellas grietas que pueda tener su criptosistema, las cuales
acaban siendo agujeros con el trabajo del criptoanalista. Incluso creer que sus cifras son
irrompibles, como pensaba Felipe II. Como criptoanalista, Rossignol resolvi numerosos
criptogramas; entre ellos, algunos interceptados a los hugonotes y que dieron clara ventaja
a las fuerzas catlicas de Richeleu en las guerras de religin del siglo XVII.
En esta poca, los nomencltores que se empleaban haban aumentado a varios
cientos el nmero de sustituciones, con el objeto de incrementar la seguridad. Este
elevado nmero de sustituciones hizo necesario el uso de nmeros en el alfabeto de
cifrado, convirtiendo de este modo los textos cifrados en secuencias numricas. Pero para
no complicar los procesos de cifrado y descifrado, los nomencltores se confeccionaban
de tal modo que haba una correlacin entre el orden alfabtico de los bigramas, trigramas
y palabras y el orden natural de los nmeros que las reemplazaban. Por ejemplo, si en un
nomencltor la palabra Espaa se cambiaba por 325, muy posiblemente el nmero 326
2. EL NOMENCLTOR
31
sustituyese a espaol, que sigue alfabticamente a Espaa. Tal correlacin facilitaba el
criptoanlisis.
Los nomencltores franceses elaborados por Rossignol no presentaban esta
inseguridad. No haba correlacin alguna entre el orden alfabtico de los bigramas,
trigramas y palabras y el orden numrico de las cifras que los reemplazaban. stas se
elegan de modo aleatorio. Para facilitar el cifrado y descifrado, los nomencltores
comprendan dos partes; eran como un diccionario bilinge. En una parte, la que se
utilizaba en el cifrado, se ordenaban alfabticamente las letras, bigramas, trigramas y
palabras, y a continuacin se escriba el nmero que las cambiaba. En la otra parte,
empleada en el descifrado de los mensajes, los nmeros se disponan en su orden habitual
y al lado figuraba la porcin de texto en claro al que sustituan. Este modelo francs de
nomencltor de dos partes se impuso en todo el mundo al final del siglo XVIII.
A pesar de su robustez, las cifras francesas de aquella poca fueron rotas por el
ingls John Wallis. Antes que criptoanalista, Wallis fue un gran matemtico cuyo trabajo
sirvi de base a Newton en sus Principia Mathematicae. En los escritos de Wallis puede
encontrarse el germen del teorema del binomio, el concepto de infinito y un clculo del
nmero por interpolacin. Despus de su actividad matemtica, Wallis se dedic a la
Criptografa. Sus logros ms notables en esta disciplina fueron los despachos franceses de
Luis XIV.
No todos los pases contaron con genios del criptoanlisis como Wallis; aunque no
por ello renunciaron a la ventaja que supone conocer la correspondencia enemiga. Con
este propsito, a comienzos del siglo XVIII tiene lugar en muchos pases europeos la
creacin de departamentos secretos destinados al criptoanlisis de las cartas interceptadas.
Fueron llamadas las cmaras negras.
La primera en crearse fue la Cabinet Noir francesa; pero la mejor fue, sin duda
alguna, la Geheime Kabinets-Kanzlei, situada en Viena. Todo el correo oficial de las
embajadas extranjeras en Viena sufra un retraso deliberado de unas cuantas horas. El
tiempo necesario para que este correo pasase por la cmara negra austriaca antes de seguir
su curso normal. All las cartas eran abiertas, copiadas y selladas otra vez; sin evidencia
alguna de este proceso. Despus, las cartas eran remitidas a su destinatario. Las copias de
los documentos cifrados se sometan a criptoanlisis. ste era realizado por un equipo de
funcionarios bien pagados que se reclutaban entre jvenes con conocimientos en
matemticas elementales y en alguna lengua extranjera. Se les entrenaba en el
criptoanlisis y, si superaban el examen correspondiente, pasaban a formar parte del
personal de la cmara negra y eran enviados temporalmente a un pas extranjero a
perfeccionar su idioma. Con este funcionariado tan cualificado, los xitos criptoanalticos
estaban garantizados. Uno de tales triunfos fue la ruptura de las cifras de Napolen.
La violacin de la correspondencia diplomtica fue practicada con el mayor
descaro. Lo prueba la siguiente ancdota que incluye David Kahn en su libro The
Codebreakers. En cierta ocasin, el embajador ingls en Viena protest porque el
servicio postal le envi una copia de una carta en lugar del original. Ante la protesta, los
austriacos respondieron pidiendo disculpas por la torpeza de sus funcionarios y
2. EL NOMENCLTOR
32
notificando que en lo sucesivo no confundiran la copia con el original. Los austriacos
saban que la Deciphering Branch britnica estaba haciendo lo mismo que su Geheime
Kabinets-Kanzlei.
La cmara negra austraca continu con su oculta actividad hasta 1848, fecha en que
cerr sus puertas. Ese mismo ao tambin fue clausurada la Cabinet Noir francesa. Cuatro
aos antes, el gobierno britnico haba disuelto su Deciphering Branch. Por qu se
prescindi de estos departamentos que con tan poco coste tan grandes servicios prestaron?
Hay quien dice que la causa principal fue el aire de libertad que levant la revolucin
industrial, que trajo consigo una protesta generalizada por la interceptacin del correo
privado. Aunque tambin hay que pensar que por aquella poca el telgrafo cambi el
modo de enviar mensajes. No hay razn alguna para tener departamentos secretos
encargados de transgredir las cartas privadas cuando su contenido viaja por pblicos
hilos conductores. Lo que s es seguro es que el telgrafo acab con la historia del
nomencltor.
Como ya sealamos antes, un nomencltor se resuelve fcilmente cuando se
dispone de texto en claro y de su cifrado. Tambin es posible derribar difciles
nomencltores con texto cifrado nicamente. Lo demostraron los criptoanalistas que
trabajaron en las cmaras negras, y antes Rossignol y Wallis. Aunque ninguno de ellos
dej escrito como lo hacan. Nadie ha dado nunca un mtodo genrico para criptoanalizar
un nomencltor a partir de texto cifrado exclusivamente. Quizs porque no lo empleaban.
Posiblemente, una idea de como se llev a cabo ese criptoanlisis nos la pueden dar
aquellos historiadores que, persiguiendo la verdad histrica, decidieron enfrentarse a
textos cifrados con nomencltores perdidos en el pasado. Uno de estos historiadores fue
Gustave Adolph Bergenroth. Este prusiano del siglo XIX dedic los ltimos aos de su
vida a resolver nomencltores utilizados por la corona espaola en los siglos XVI y XVII.
El mismo Bergenroth reconoci que no descubri las claves de una forma metdica, sino
fijndose en el modo de escribir de las personas encargadas de cifrar. Por ejemplo,
resolvi un nomencltor empleado por el duque de Estrada observando que detrs de dos
signos de texto cifrado figuraba siempre un punto. Estudiando la manera de escribir del
duque y tras descartar otras suposiciones, Bergenroth lleg a la conclusin que los puntos
indicaban abreviaciones como V.A. para Vuestra Alteza, n.f. para nuestro fijo
(hijo), etc. Esta observacin abri un camino que le permiti recuperar las 83
sustituciones del nomencltor.
Uno de los ejemplos ms divulgados de criptoanlisis de antiguos textos cifrados
corresponde a la conocida como la Gran Cifra de Luis XIV, nombre que se da a un
nomencltor utilizado por el rey Sol francs a finales del siglo XVII. Debi ser compilado
por el anteriormente citado Antoine Rossignol o por su hijo Bonaventure, quien le
sucedi al frente de las cifras francesas. La popularidad de la Gran Cifra se debe a que la
persona que lo resolvi concluy con una conjetura sobre la identidad del hombre de la
mscara de hierro, tema que ha sido tratado en novelas en el pasado y en pelculas ms
recientemente. Aunque la identidad conjeturada dista mucho de la que se presenta en tales
relatos. Las lneas que siguen describen brevemente como se rompi la Gran Cifra.
2. EL NOMENCLTOR
33
En 1891, el historiador francs Victor Gendron intent descifrar cinco despachos de
Luis XIV con su mariscal Nicols de Catinat. Desesperado en su cometido, Gendron
recurri a un experto criptoanalista del ejrcito francs, el comandante Etienne Bazeries.
Por aquel entonces el nomencltor haca mucho que haba desaparecido de la Criptografa
militar, por lo que Bazeries no poda tener experiencia alguna en esta clase de
criptoanlisis. Pero no rehus el desafo.
Bazeries observ que los textos cifrados eran secuencias de nmeros. Haba 587
diferentes, aunque algunos aparecan ms veces que otros. En principio supuso que la
Gran Cifra era una sustitucin homofnica, pero meses de trabajo le convencieron de que
ste no era el caso. Sospech a continuacin que los signos podan representar bigramas,
por lo que procedi a un anlisis de frecuencias. Encontr que el nmero ms frecuente
en la cifra era el 22, que apareca 187 veces; le segua el 124, con 185 ocurrencias; a
continuacin el 42, en 184 ocasiones; el 311, con 145 repeticiones; el 125 figuraba 127
veces... Bazeries trabaj en la asociacin de estos nmeros con los bigramas ms
frecuentes en francs: es, en, ou, de, nt... Ms meses de esfuerzo le demostraron
que esta teora tampoco era correcta. Pero persisti. Supuso entonces que los nmeros de
la cifra deban representar slabas y que los ms frecuentes reemplazaban a las slabas
ms comunes en su idioma: le la les, que de, des, du... La idea tampoco
pareca llevar a ninguna parte. Entonces Bazeries centr su atencin en una secuencia de
nmeros que figuraba varias veces en los textos cifrados:
124 22 125 46 345.
Observ tambin que esta misma secuencia apareca tambin con el nmero 146 en
lugar del 125. A veces tal secuencia no acababa en 345; sino en 469, 574, 120, o 584.
Tales diferencias deban corresponder a nmeros homfonos y, en consecuencia, las
diferentes secuencias numricas que producan reemplazaban al mismo fragmento de
texto en claro. Y ste tena que ser uno muy frecuente en despachos militares. Con
paciencia fue probando con diferentes candidatos hasta que le toc el turno a les
ennemis -los enemigos-, y asoci 124 con les, 22 con en 125 con ne, 46 con mi y
345 con s. Por fin hall una grieta en el slido muro de la Gran Cifra. Escarbando en
esta rendija, Bazeries fue capaz de descifrar ms palabras hasta completar poco a poco el
difcil puzzle de los Rossignol. Haban transcurrido tres aos, pero consigui acceder a
los secretos de los documentos encriptados.
En uno de ellos, fechado el 8 de Julio de 1691, se poda leer que el monarca francs
estaba disgustado con uno de los generales de Catinat: Vivien Labb, seor de Bulonde.
El rey responsabilizaba a Labb de la derrota del ejrcito francs en su campaa del norte
de Italia, acusndole de desobediencia y cobarda. El despacho cifrado ordenaba a Catinat
arrestar a Labb y conducirle a la fortaleza de Pignerol, donde su majestad deseaba que el
seor de Bulonde permaneciese prisionero con la nica libertad de pasear por la
almenas con una 330 309.
330 309? Estos dos nmeros no aparecan en ningn otro lugar de los documentos
cifrados. El contexto induca a pensar que 309 representaba un punto, aunque no ofreca
ninguna pista sobre 330. Evidentemente, significaba una palabra; pero era imposible
2. EL NOMENCLTOR
34
precisar cul. Entonces Bazeries, conociendo que el misterioso personaje de la mscara de
hierro haba estado en Pignerol antes de ser trasladado a la Bastilla, concluy que 330
sustitua a la palabra mscara; adjudicando as la identidad del seor de Bulonde a la
mscara de hierro.
No obstante, la interpretacin de Bazeries sobre la identidad del hombre de la
mscara de hierro no ha sido aceptada por los historiadores. Argumentan que el hombre
de la mscara de hierro muri en 1703 y que el seor de Bulonde vivi cinco aos ms.
Desde punto de vista criptogrfico, no hay razn alguna que sostenga la conclusin de
Bazeries. Como hemos dicho, 330 debe sustituir a una palabra y, por tanto, tiene que ser
una de las que figuran en la lista del nomencltor. Pero tales palabras suelen ser todas
ellas de uso comn en el contexto de los mensajes que se van a cifrar. No parece que la
palabra mscara sea habitual en despachos militares. De hecho, se ha comprobado que no
figura en ninguno de los nomencltores franceses que se conservan.
35
3
CIFRADOS POLIALFABTICOS
A finales del siglo XV y durante la siguiente centuria, mientras el nomencltor era
el nico mtodo de cifrar que se segua en la prctica, aparecieron unas publicaciones en
las que se mostraron otras formas de hacer Criptografa. Estos nuevos mtodos arrancan
del cifrado por sustitucin, al igual que el nomencltor. Pero mientras que ste trata de
escapar del temido anlisis de frecuencias ampliando el nmero de signos del alfabeto de
cifrado e incluyendo homfonos y nulos, los nuevos cifrados lo hacen empleando una
sustitucin diferente en el cifrado de cada letra. Haciendo esto, una misma letra del
alfabeto en claro se transforma en cada ocasin en un signo distinto del alfabeto de
cifrado y se inutiliza as el citado anlisis de frecuencias. Esta forma de encriptar recibe el
nombre de cifrado polialfabtico; ya que como cada sustitucin trae consigo una
reordenacin del alfabeto de cifrado, al emplear varias da la impresin que se manejan
mltiples alfabetos. Los ejemplos posteriores aclararn este concepto.
En esos textos, sus autores sugeran una nueva forma de cifrar que creyeron mucho
ms segura que la que ofreca el nomencltor; y, en efecto, as era. Por lo general, un
criptosistema polialfabtico que gestione claves de forma eficiente proporciona una
seguridad mucho mayor que la de un nomencltor, aunque ste contenga un gran nmero
signos. Pero a pesar de ello, las diplomacias y ejrcitos desconsideraron los nuevos
mtodos y el nomencltor continu gobernando el mundo de las cifras hasta bien entrado
el siglo XIX. Probablemente porque los responsables de manejar cifras en esas
organizaciones descubrieron el principal inconveniente de los cifrados polialfabticos: un
pequeo error cometido durante el proceso de cifrado puede imposibilitar la
decodificacin, algo que no suceda con el nomencltor. De hecho, los sistemas
polialfabticos no fueron habituales en la prctica hasta que, entrado el siglo XX, la
tcnica hizo posible eliminar tales errores mecanizando la codificacin y decodificacin.
En este captulo vamos a describir algunos de los cifrados que figuran en aquellos
antiguos libros, creemos que los ms clebres. Despus mostraremos como criptoanalizar
el ms conocido de todos ellos: le chiffre indchiffrable; llamado as por su autor, el
francs Blaise de Vigenre.
3. CIFRADOS POLIALFABTICOS
36
El primer cifrado polialfabtico lo dio a conocer uno de los ms mximos
exponentes del Renacimiento italiano: Len Battista Alberti (1402-1472). Como
arquitecto, Alberti construy el palacio Rucellai, erigi la primera fontana de Trevi, la
iglesia de S. Andrs en Mantua y el templo de Malatesta en Rimini. Tambin fue pintor y
escribi sobre filosofa y arquitectura, fbulas, comedias, etc. Empez a interesarse por la
Criptografa gracias a su amistad con Leonardo Dato, secretario encargado de las cifras
del Papa. Fruto de este inters fue un manuscrito de 25 pginas titulado Modus scribendi
in ziferas, escrito en 1466. En l figura el cifrado que describimos a continuacin y que
el propio Alberti consider digno de reyes.
Alberti parte de dos discos unidos por los centros, uno ms grande y fijo, el otro
ms pequeo y mvil; cada uno de ellos dividido en 24 casillas. En las del disco mayor
coloca el alfabeto en claro, formado por 20 letras maysculas del alfabeto latino y los
dgitos 1, 2, 3 y 4. Alberti omite la H, la K y la Y del alfabeto latino usado en aquellos
tiempos, porque considera que estas letras pueden sustituirse por homfonas en los textos
en claro sin que se altere su significado. En el disco inferior va el alfabeto de cifrado,
formado por las 23 letras del alfabeto latino, pero ahora en minsculas y en orden
aleatorio; y se completa la casilla sobrante con la palabra et. La Figura 3.1 muestra
como van dispuestas letras y nmeros en los discos.
Figura 3.1. Los dos discos de Alberti.
Tanto el emisor como el receptor deben tener discos idnticos y convenir en una
letra del disco mvil, la k por ejemplo. Para cifrar, el emisor elige una letra en el disco
grande; la escribe en maysculas al comienzo del texto cifrado para informar al receptor
de esta eleccin; y gira el disco pequeo hasta situar la k junto a la letra escogida.
Despus, cifra tres o cuatro palabras del texto en claro segn la correspondencia de letras
determinada por la posicin de los discos; y traslada al criptograma las letras minsculas
obtenidas. Repite de nuevo esta operacin: elige otra letra en el disco grande, la escribe en
37
maysculas en el texto cifrado, gira el disco mvil hasta hacer casar la k con esa letra, y
cifra otras tres o cuatro palabras con la nueva correspondencia. Y as contina, girando el
disco menor y cifrando palabras del texto en claro hasta agotar ste. El cifrado que resulta
es polialfabtico porque los giros del disco menor traen sucesivas sustituciones, todas
diferentes.
Para qu sirven los cuatro dgitos del disco grande? Alberti incluye en su escrito
una tabla con nmeros de dos, tres y cuatro cifras; conteniendo slo los dgitos del 1 al 4.
En total, 336 nmeros. Al lado de cada uno va una palabra o grupo de palabras de uso
comn en la correspondencia oficial de la poca. La idea de Alberti es reemplazar estas
expresiones en los textos en claro por el nmero asociado y cifrar tambin ste con sus
discos. Por ejemplo, con los discos en la posicin mostrada en la Figura 3.1, si el nmero
421 representa EL PAPA, este fragmento se cifra retp.
Alberti crea irrompible su cifrado siempre que permaneciera secreto el orden de las
letras del disco mvil. Naturalmente, esto no es as. La idea de los discos es muy
interesante y ser aprovechada ms adelante por otros criptlogos; pero no lo es el modo
en que Alberti los utiliza. Por ejemplo, se puede aumentar considerablemente la seguridad
si en lugar de elegir letras en el disco grande y escribirlas en el texto cifrado, se emplean
las letras de una palabra clave convenida entre el emisor y el receptor. An as, el cifrado
de Alberti es mucho ms seguro que los nomencltores empleados en su poca y tiene el
mrito de ser el primer cifrado polialfabtico de la historia de la Criptografa.
El siguiente cifrado que presentamos fue concebido por el monje benedictino
alemn Johannes Trithemius. Este prolfico escritor contempl la Criptografa como parte
de lo esotrico, tema por el que tena gran inters y al que dedic los ocho volmenes que
componen su Steganografa. Escrito en 1499, fue un libro famoso que circul en forma
manuscrita por toda Europa y termin siendo prohibido por la Iglesia Catlica en 1609.
En l figuran tambin algunas formas de Criptografa. A esta materia consagr un libro de
seis tomos que titul Poligrafa y que escribi en 1508. En el quinto libro aparece la
tabla mostrada en la Figura 3.2, que se utiliza para una forma de cifrar que merece la pena
ser destacada.
Las 24 filas de esta tabla son alfabetos de cifrado que Trithemius utiliza de un modo
muy simple. Cifra la primera letra del texto en claro con el primer alfabeto, la segunda
letra con el segundo alfabeto y as sucesivamente. Con esta regla, el texto en claro
SECRETO se transforma en sfeuiwu. Observemos como la primera e del texto en
claro se cambia por una f y la segunda por una i, lo que muestra el carcter
polialfabtico del cifrado.
38

Figura 3.2. Tabla de Trithemius.
Es evidente que el cifrado de Trithemius es tan vulnerable como simple; pero su
tabula recta va a inspirar a otros diseadores de cifras durante toda la historia de la
Criptografa. Una de estas cifras es la que aparece en un folleto titulado La cifra del Sig.
Giovan Batista Belaso, escrito en 1553 por el autor con este mismo nombre. Belaso
utiliza la tabla de Trithemius conjuntamente con una clave y del modo que explicamos a
continuacin. Por ejemplo, con la clave BELASO la primera letra del texto en claro se
cifra con el alfabeto de la tabla cuya letra inicial es la b; esto es, con el de la segunda fila.
La segunda del texto en claro se cifra con el alfabeto que comienza por la e, el cuarto. Y
as sucesivamente, hasta cifrar todo el texto en claro. El siguiente ejemplo lo muestra:

Clave: B E L A S O B E L A S O B E L A S O B E L
Texto claro: C I F R A D O P O L I A L F A B E T I C O
Texto cifrado: d n q r s r p t w l b o m k l b y h k g w

39
Para simplificar, en este ejemplo la clave ha constado de una nica palabra. Belaso
propuso emplear claves formadas por varias palabras fciles de recordar. Tambin
recomend variar la clave frecuentemente; y ello hace que Belaso sea el primer autor que
dise un criptosistema en el que las claves cambian peridicamente.
Ms o menos al mismo tiempo que Belaso, el fsico y matemtico milans Girolamo
Cardano sugiere emplear la tabla de Trithemius usando como clave el propio texto en
claro; cifrando cada una de sus palabras con el principio del mismo, segn muestra el
siguiente ejemplo:

Clave: S I C S I C E S I C E R G O E L
Texto claro: S I C E R G O E L E M E N T I S
Texto cifrado: l r e y a i s y t g q x t h n d

Cuando se usa el mismo texto en claro como clave, se denomina autoclave. El
empleo de autoclaves es una idea muy interesante, utilizada actualmente en algunos
criptosistemas que se implementan en el ordenador. Naturalmente, el autoclave de
Cardano es demasiado simple; pero es el primero que recoge la historia de la Criptografa.
La siguiente obra que hemos de destacar es De furtivis literarum notis, escrita por
el napolitano Giovanni Battista Porta en 1563. Un libro extraordinario. Sus cuatro
volmenes recogen toda la Criptografa hecha hasta esa poca, incluidas las numerosas
aportaciones del autor. Porta ide cifrados de diversa ndole que hacan uso de discos
giratorios o tablas; uno de ellos es el que describimos a continuacin, de naturaleza
polialfabtica.
En esta cifra de Porta, los textos en claro y los de cifrado se escriben con el alfabeto
latino al que se ha suprimido la letra K. A partir de l, se consideran los once alfabetos
mostrados en la Tabla 3.1, cada uno identificado por el par de letras que figura a su
izquierda.

40
AB
abcdefghilm
nopqrstvxyz
OP
abcdefghilm
stvxyznopqr
CD
abcdefghilm
znopqrstvxy
QR
abcdefghilm
rstvxyznopq
EF
abcdefghilm
yznopqrstvx
ST
abcdefghilm
qrstvxyznop
GH
abcdefghilm
xyznopqrstv
VX
abcdefghilm
pqrstvxyzno
IL
abcdefghilm
vxyznopqrst
YZ
abcdefghilm
opqrstvxyzn
MN
abcdefghilm
tvxyznopqrs

Tabla 3.1. Los once alfabetos de Porta.
Porta utiliza esta tabla de manera similar a como Belaso emplea la de Trithemius.
Fijada una clave, cada letra del texto en claro se localiza en el alfabeto determinado por la
correspondiente letra de la clave y se reemplaza por la que est en la misma columna. El
siguiente ejemplo aclara cualquier duda:

Clave: P O R T A P O R T A P O R T A P O R T
Texto claro: D E F V R T I V I S L I T E R A R V M
Texto cifrado: x y y e e b p d n f q p c v e s m d p

El autor del siglo XVI que ms fama ha cobrado en la historia de la Criptografa es
el francs Blaise de Vigenre (1523-1596). Diplomtico de la corte francesa en Roma
desde los 26 aos, decide abandonar esta ocupacin a los 47 y dedicarse exclusivamente a
sus estudios y escritos. Entre stos, el que interesa aqu es el voluminoso Traict des
chiffres; publicado en 1585 y en el que, adems de la materia indicada en el ttulo, se
tratan cuestiones de alquimia, magia y otras artes ocultas. Ello sugiere pensar que quizs
el diplomtico francs conceba la Criptografa como parte de lo esotrico, al igual que
Trithemius. En cualquier caso, entre los numerosos cifrados que aparecen en su libro,
describe uno polialfabtico que l mismo denomin le chiffre indchiffrable y que la
Criptografa actual lo conoce como cifrado de Vigenre.
En realidad, el cifrado de Vigenre no es sino la cifra propuesta por Belaso,
empleando una tabla similar a la de Trithemius; pero no necesariamente con las letras de
los alfabetos dispuestas en el orden habitual, sino siguiendo otras ordenaciones
convenidas entre el emisor y el receptor. Un ejemplo de tabla de Vigenre es la Tabla 3.2.
En ella, hemos ordenado los alfabetos de cifrado a partir de la palabra cryptografia. La
primera fila de letras maysculas constituye el alfabeto en claro. Sus letras van en el
orden habitual, pero igualmente podran ir en otro orden. Las letras maysculas de la
primera columna identifican al alfabeto de cifrado que sigue a continuacin.
41

A B C D E F G H I J K L M N O P Q R S T U V W X Y Z
A
c r y p t o g a f i b d e h j k l m n q s u v w x z
B
r y p t o g a f i b d e h j k l m n q s u v w x z c
C
y p t o g a f i b d e h j k l m n q s u v w x z c r
D
p t o g a f i b d e h j k l m n q s u v w x z c r y
E
t o g a f i b d e h j k l m n q s u v w x z c r y p
F
o g a f i b d e h j k l m n q s u v w x z c r y p t
G
g a f i b d e h j k l m n q s u v w x z c r y p t o
H
a f i b d e h j k l m n q s u v w x z c r y p t o g
I
f i b d e h j k l m n q s u v w x z c r y p t o g a
J
i b d e h j k l m n q s u v w x z c r y p t o g a f
K
b d e h j k l m n q s u v w x z c r y p t o g a f i
L
d e h j k l m n q s u v w x z c r y p t o g a f i b
M
e h j k l m n q s u v w x z c r y p t o g a f i b d
N
h j k l m n q s u v w x z c r y p t o g a f i b d e

j k l m n q s u v w x z c r y p t o g a f i b d e h
O
k l m n q s u v w x z c r y p t o g a f i b d e h j
P
l m n q s u v w x z c r y p t o g a f i b d e h j k
Q
m n q s u v w x z c r y p t o g a f i b d e h j k l
R
n q s u v w x z c r y p t o g a f i b d e h j k l m
S
q s u v w x z c r y p t o g a f i b d e h j k l m n
T
q s u v w x z c r y p t o g a f i b d e h j k l m n
U
s u v w x z c r y p t o g a f i b d e h j k l m n q
V
u v w x z c r y p t o g a f i b d e h j k l m n q s
W
v w x z c r y p t o g a f i b d e h j k l m n q s u
X
w x z c r y p t o g a f i b d e h j k l m n q s u v
Y
x z c r y p t o g a f i b d e h j k l m n q s u v w
Z
z c r y p t o g a f i b d e h j k l m n q s u v w x
Tabla 3.2. Una tabla de Vigenre.
Para cifrar, las tablas de Vigenre se emplean igual que la de Trithemius: fijada una
clave, cada letra del texto en claro se reemplaza por la que est en su misma columna y en
la fila determinada por la correspondiente letra de la clave. Empleando la Tabla 3.2 y la
clave TRITHEMIUS, un ejemplo de cifrado es el siguiente:
Clave: T R I T H E M I U S T R I T H E
Texto claro: B L A I S E D E V I G E N E R E
Texto cifrado: s y f r z f k e l c z u s w x f

Curiosamente, una tabla de Vigenre como la 3.2 equivale a un disco como el
ideado por Alberti. Para observarlo, fijmonos en la Figura 3.1. La sustitucin mostrada
es la siguiente:
42
A B C D E F G I L M N O P Q R S T V X Z 1 2 3 4
d l g a z e n b o s f c h t y q i x k v p & m r

Imaginemos que a partir de esta transformacin construimos un cuadrado de
Vigenre siendo esta sustitucin la primera de ellas, la identificada con la letra A.
Entonces la segunda transformacin, la correspondiente a la letra B, se obtiene
desplazando una posicin hacia la izquierda las letras del alfabeto de cifrado y colocando
en ltimo lugar la d. Justamente la misma sustitucin que se consigue girando el disco
interno de la Figura 3.1 una posicin en sentido contrario a como se mueven las agujas de
un reloj. As pues, las sustituciones proporcionadas por la tabla y el disco son las mismas.
Por tanto, la diferencia entre el cifrado de Alberti y el de Vigenre, lo que hace al
segundo mucho ms seguro que el primero, es el nmero de claves que se maneja en cada
caso. En el de Alberti la clave se reduce a una letra elegida entre 24 posibles, la que
convienen el emisor y el receptor para casar los discos. En el de Vigenre hay una
infinidad, puede ser un grupo palabras de cualquier longitud. De hecho, el propio
Vigenre recomendaba, al igual que Belaso, emplear claves largas como, por ejemplo,
lneas de poesa o fechas completas que, adems, convena variar frecuentemente. Otra
posibilidad que contempl fue el uso de autoclaves.
Muchos textos actuales identifican la cifra propuesta por Vigenre con la de Belaso.
Como ya hemos dicho antes, la nica diferencia estriba en que la cifra de Vigenre
emplea alfabetos no ordenados en el modo habitual; pero ello aumenta considerablemente
la seguridad del criptosistema resultante.
Con Vigenre concluye la lista de autores renacentistas que recomiendan los
cifrados polialfabticos como alternativa al nomencltor en el reinado del pas de las
cifras. Propuesta totalmente ignorada por los nobles de este reino que, al seguir
prefiriendo como monarca al viejo nomencltor, confinaron los libros anteriores a la
oscuridad de las cmaras negras. Y ah permanecieron hasta que, a mediados del siglo
XIX, los ejrcitos europeos demandaron otras formas de cifrado que dieran proteccin a
sus recin estrenadas comunicaciones telegrficas. sta fue la oportunidad de los viejos
cifrados polialfabticos, que al fin alcanzaron la gloria deseada por sus creadores. Pero
por poco tiempo, ya que no eran tan indescifrables como stos aseguraban. Naturalmente,
esta condicin de indescifrable la entendan ante un ataque con texto cifrado nicamente;
ya que es evidente que los cifrados anteriores caen fcilmente ante un ataque con texto
claro.
En 1863, un veterano del ejrcito prusiano, el mayor Friedrich Wilhelm Kasiski, da
el primer paso hacia el criptoanlisis de los cifrados polialfabticos dentro de un libro de
95 pginas titulado Die Geheimschriften und die Dechiffrirkunst (La escritura secreta
y el arte del desciframiento). Este primer paso no es sino encontrar la longitud de la
clave empleada. Como bien observa Kasiski, si dos fragmentos iguales del texto en claro
distan uno de otro un mltiplo de la longitud de la clave, entonces sus transformados del
texto cifrado tambin son idnticos. En consecuencia, si en un criptograma hay bloques
repetidos, la longitud de la clave debe dividir al mximo comn divisor de las distancias
entre fragmentos iguales. Esto permite su clculo.
43
Algunos autores opinan que este mtodo de Kasiski para encontrar la longitud de la
clave haba sido descubierto 17 aos antes por Charles Babbage, un excntrico cientfico
ingls que invirti la mayor parte de su tiempo en extravagancias como determinar los
climas del pasado estudiando la anchura de los anillos de los troncos de los rboles, o
disear una mquina calculadora que en cierto modo poda ser programable. Estos
mismos escritores afirman que gracias a Babbage el ejrcito ingls pudo penetrar en las
cifras rusas durante la guerra de Crimea, en la que el ejrcito del zar Nicols I emple un
cifrado de Vigenre con alfabetos estndar (la cifra original de Belaso).
No obstante, el problema de encontrar la longitud de la clave se resuelve de un
modo definitivo mediante el llamado ndice de coincidencia de un texto, concepto
introducido por el gran criptoanalista del ejrcito americano William Friedman en la
dcada de los aos veinte. Se define como la probabilidad de que dos de sus letras
elegidas al azar coincidan.
Mostremos como calcular el ndice de coincidencia con un ejemplo; con el siguiente
fragmento de texto, con el que comienza El Quijote:
En un lugar de la Mancha, de cuyo nombre no quiero acordarme, no ha
mucho tiempo que viva un hidalgo de los de lanza en astillero, adarga
antigua, rocn flaco y galgo corredor. Una olla de algo ms vaca que carnero,
salpicn las ms noches, duelos y quebrantos los sbados, lentejas los
viernes, algn palomino de aadidura los domingos, consuman las tres
cuartas partes de su hacienda...
Calculemos en primer lugar la probabilidad de que al elegir dos letras al azar, stas
sean dos aes. Segn la regla de Laplace, dicha probabilidad es el cociente entre el nmero
de casos favorables y el de posibles. Obtengamos primero el nmero de casos posibles.
Como el texto consta de 311 letras, hay este mismo nmero de opciones para una primera
letra. Elegida sta, restan 310 posibilidades para la segunda. En total: 311310 =96410
modos distintos de hacerlo. Ahora bien, escoger como primera letra una a y luego una b
da lugar al mismo par que si se elige primero una b y a continuacin una a. Por tanto, la
cantidad anterior ha de dividirse por dos para determinar el nmero de pares distintos
resultantes: 96410/ 2 =48205. ste es el nmero de casos posibles. Determinemos ahora
el nmero de casos favorables; esto es, cuntos de esos pares son dos aes? El
razonamiento es el mismo. Como hay 45 aes, tal cantidad es entonces 4544 / 2 =990. As
pues, la probabilidad de al elegir dos letras en fragmento anterior, stas sean dos aes:
990 / 48205 =0,02053. Del mismo modo se calcula la probabilidad de que las dos letras
elegidas sean dos bes, dos ces, etc. Y sumando las 27 cantidades obtenidas se obtiene el
ndice de coincidencia del fragmento: 0,07076.
Notemos que la argumentacin anterior proporciona una frmula general para
determinar el ndice de coincidencia de un texto. Es la siguiente:
44
) 1 (
) 1 ( ... ) 1 ( ) 1 (
IC
+ + +
=
n n
f f f f f f
z z b b a a
,
donde f
a
, f
b
, ..., f
z
son las frecuencias de las letras y n es la longitud del texto (el nmero de
letras que tiene).
Si en lugar del fragmento anterior hubisemos extrado de El Quijote un texto de
gran tamao, las frecuencias de sus letras estaran muy prximas al patrn de frecuencias
de nuestro idioma que mostramos en la Tabla 1.3, incluida en el primer captulo. Por
ejemplo, el nmero de aes presentes en l sera muy cercano a 0,12529n (siendo n el
nmero total de letras); y la probabilidad de que al escoger dos de sus letras stas sean dos
aes, estara muy prxima al cuadrado de 0,12529. La misma observacin es vlida para
cualquier otra letra. Se sigue entonces que el ndice de coincidencia del texto sera
prcticamente igual a la suma de los cuadrados de los nmeros que figuran en la
mencionada Tabla 1.3. Suma a la que podemos convenir en llamar ndice de coincidencia
del espaol. Su valor, junto al del ingls, francs y alemn, se incluye en la siguiente
tabla:

0,0685 0,0755 0,0793 0,0736
Tabla 3.3. ndices de coincidencia
No slo los textos de gran tamao presentan ndices prximos a los presentados en
esta tabla. Por lo general, es suficiente que un texto contenga un par de cientos de letras
para su ndice de coincidencia est a distancia inferior a 0,01 del ndice del idioma en que
se ha escrito. Lo podemos observar en el pequeo fragmento anterior extrado de El
Quijote. Y es frecuente que esto suceda incluso con textos ms cortos, con apenas unas
decenas de letras.
Ahora consideremos un texto en el que sus letras se han elegido aleatoriamente,
todas con igual probabilidad. En tal caso, si su longitud es suficientemente grande, en
dicho texto figuran todas las letras del alfabeto y con una frecuencia similar, cercana a
n/27 (suponiendo que en el texto hay n letras y en el alfabeto 27). Se deduce entonces que
su ndice de coincidencia est prximo a 1/27 =0,037.
Cuando ciframos un texto por sustitucin, las frecuencias de sus letras se mantienen
en el texto cifrado resultante y, en consecuencia, el ndice de coincidencia tambin; y es
cercano a 0,0755 (considerando que el texto en claro est escrito en espaol). Pero si se
emplea un sistema polialfabtico, entonces resulta una distribucin de frecuencias
parecida a la de un texto aleatorio; ya que las frecuencias ms altas del texto en claro se
reparten entre varias letras del criptograma. Por tanto, su ndice de coincidencia est ms
prximo a 0,037 que a 0,0755. Ahora bien, si del criptograma extraemos todas las letras
cifradas con un mismo alfabeto y calculamos su ndice de coincidencia, nos acercamos de
nuevo al valor 0,0755. Este simple hecho permite determinar la longitud de la clave en un
45
cifrado polialfabtico. Vemoslo en un caso prctico, en el que tambin haremos uso de la
indicacin de Kasiski.
Consideremos el siguiente criptograma, resultado de cifrar un fragmento de El
Quijote mediante un criptosistema de Vigenre que hace uso de una tabla similar a la 3.2
(pero distinta) y cierta clave desconocida:
adiawdntrtocdhmphhdusbbkqmgtfkfpouhuhftcpmpo
ekfrneecpsivdyrmsxskitjzuhuhnedwbmrvdyqfhduabop
oukfjrrdfhjzkjuijzrcofgoyosmsdhkfunjhymtjpshdz
ivpjpmkvkpjnahxsknzukbjnporuzjfdcgrbywuhmecp
mttcdpodaukpjrouyqouvcdnohnuyefndysmxthqqmhidw
ftjnhklmrlegeopouadnrvikpfqtycpsibposmsauxshlvp
yhyqyuumtjchqcoqvqhbpoeihfktqrhkjztrzoddhqfong
dguujrpjcmgvrdmapdeznledfffceybmxhfddxftccum
leydzvbfdcgrbdusnnyuguunrdpohvdyiaffrisutrrvo
ibbdmtjgdfefshqdntnrqditjyhgeznrrkpkjhnsmnghqd
mrtmjumrtdyrmsikqeyjyhhujmahubosyhgezjzqkbywrqd
Criptograma.
Hemos subrayado tres bloques que aparecen repetidos dos veces todos ellos. Uno de
seis letras, fdcgrb, en las posiciones 174 y 384; y otros dos de cinco letras, dyrms,
en los lugares 60 y 480; y yhgez, en las posiciones 449 y 503. La diferencia entre estas
posiciones es, respectivamente, 210, 420 y 54. El mximo comn divisor de estos tres
nmeros es 6 y, segn la observacin de Kasiski, la longitud de la clave muy bien puede
ser este nmero o uno de sus divisores. El clculo de ndices de coincidencia lo
confirmar. Para ello, escribamos el texto cifrado de arriba abajo, formando un rectngulo
con seis filas y dando lugar a 6 subtextos T
1
, T
2
, ..., T
6
:

T
1
: adchkkhckcykhwyakdjcokyhjkxkrdwcdkydyyqw ...
T
2
: dnddqupfpriubqbfuosfmdppsbucupppqnesqf ...
T
3
: ithumfhmrsmthmfofhifmutzmjkjzghmojoofmmt ...
T
4
: armsgpfpnisjnrhpjjjgsnjiknnnjrmtdruhnxhj ...
T
5
: wtpbtotoevxzevdorzzodjpvvazpbetaovntin ...
T
6
: ohbfueedsudduurkryhhsphuofycuucudhdh ...

Si la longitud de la clave es 6, las letras del texto en claro situadas en las posiciones
1, 7, 13... se cifran todas ellas con el mismo alfabeto, el determinado por la primera letra
de la clave. Sus correspondientes cifradas determinan la primera fila del rectngulo, el
texto que denotamos T
1
. Del mismo modo, el texto T
2
corresponde a las letras del texto en
claro que se cifran con el alfabeto determinado por la segunda letra de la clave. Y as
sucesivamente. Si la longitud de la clave es un divisor de 6, por ejemplo 3, entonces
46
tambin todas las letras de cada texto T
i
proceden de letras del texto en claro cifradas con
el mismo alfabeto. Sucede que, en este caso, los textos T
1
y T
4
corresponden al mismo
alfabeto, T
2
y T
5
a otro alfabeto comn, y T
3
y T
6
a un tercero. Tanto si la longitud de la
clave es 6 como uno de sus divisores, cada uno de los textos T
i
mantiene el ndice de
coincidencia del subtexto en claro del que procede. Puede suceder que estos ndices
presenten variaciones importantes respecto al del texto en claro completo; pero su media
est cercana a dicho nmero, el cual debe ser prximo a 0,0755. En otro caso, si la
longitud de la clave no es ni 6 ni ninguno de sus divisores, la media anterior se acercar
ms a 0,037. Por tanto, nuestra siguiente tarea es calcular los ndices de los textos T
i
y
despus la media de estos nmeros. Ello pasa por efectuar sendos anlisis de frecuencias
para cada uno de los textos T
i
. La Tabla 3.4 los recoge. En ella hemos ordenado las letras
que aparecen en cada subtexto por su frecuencia, que es el nmero que figura junto a cada
letra. En la ltima fila se indica el ndice de coincidencia de cada texto.

T
1
T
2
T
3
T
4
T
5
T
6

d:14
k:13
y:10
c: 7
q: 6
r: 6
g: 5
h: 5
j: 4
a: 3
u: 3
w: 3
o: 2
x: 2
f: 1
i: 1
n: 1
: 1

p:11
d: 9
u: 9
e: 7
s: 7
b: 6
f: 6
c: 4
h: 4
q: 4
i: 3
m: 3
n: 3
: 3
r: 2
l: 1
o: 1
v: 1
y: 1
z: 1

m:18
o:11
f: 9
t: 8
h: 6
z: 6
u: 5
j: 4
i: 3
k: 3
s: 3
y: 3
g: 2
n: 2
b: 1
r: 1
x: 1

j:15
n:14
r: 9
s: 7
p: 5
h: 4
i: 4
m: 4
a: 3
f: 3
g: 3
q: 3
d: 2
k: 2
u: 2
x: 2
l: 1
t: 1
v: 1
w: 1

t:11
v:10
o: 7
b: 6
z: 6
r: 5
y: 5
a: 4
: 4
p: 4
d: 3
e: 3
g: 3
l: 3
c: 2
h: 2
i: 2
n: 2
f: 1
j: 1
w: 1
x: 1

h:14
u:12
d:10
e: 7
: 7
f: 5
q: 5
r: 5
p: 4
c: 3
y: 3
b: 2
k: 2
o: 2
s: 2
i: 1
m: 1
t: 1
IC: 0,0807 0,0629 0,0908 0,0813 0,0561 0,0793
Tabla 3.4. Frecuencias e ndices de los subtextos.
La media de los ndices es 0,07518, lo que confirma que la longitud de la clave es 6
o uno de sus divisores. Determinemos esta longitud exactamente. Para ello, hemos de
averiguar si los alfabetos de cifrado con los que se han obtenido los textos T
i
son distintos
o no. Si dos de estos alfabetos coinciden, entonces las letras ms frecuentes de uno de los
correspondientes textos estn presentes en el otro con una frecuencia importante.
Observando la Tabla 3.4, este hecho slo se advierte en la pareja formada por T
2
y T
6
.
Estos dos textos tienen a las letras d, u y e entre las ms frecuentes; y tambin se
observan otras letras con frecuencias similares en ambos textos. Es probable que fueran
cifrados con el mismo alfabeto.
47
Lo confirmaremos cuando calculemos su ndice de coincidencia mutua. Este otro
ndice es de aplicacin para una pareja de textos y se define como la probabilidad de que
al elegir una letra en cada texto, ambas coincidan. La frmula que facilita su clculo es la
siguiente:
m n
g f g f g f
z z b b a a
+ + +
=
...
ICM ,
donde f
a
, f
b
, ..., f
z
son las frecuencias de las letras de uno de los textos, n su longitud; g
a
,
g
b
, ..., g
z
las frecuencias del otro texto y m su longitud.
Si se calcula el ndice de coincidencia de dos textos escritos en nuestro idioma, su
valor est cercano a 0,0755. Este ndice no vara si ambos textos se cifran mediante una
misma sustitucin; pero si se cifra cada texto con una sustitucin diferente, el ndice de
coincidencia baja hasta el aleatorio: 0,037, incluso por debajo. Por tanto, el ndice de
coincidencia mutua sirve para averiguar si dos textos cifrados lo han sido con una misma
sustitucin. En nuestro ejemplo, el ndice de coincidencia mutua de T
2
y T
6
es 0,0645,
mucho ms cerca del ndice del espaol que del aleatorio. Ello confirma que, en efecto, T
2

y T
6
proceden del mismo alfabeto. Para las dems parejas de textos T
i
el ndice de
coincidencia mutua ronda el aleatorio, lo que permite concluir que no hay ms alfabetos
coincidentes. As pues, la longitud de la clave es 6, aunque da lugar a slo cinco alfabetos
distintos ya que el segundo y el sexto son el mismo. Y ello es debido a que la segunda y
sexta letras de clave son tambin idnticas.
Hallada la longitud de la clave y el nmero de alfabetos distintos, el siguiente paso
en el criptoanlisis de un sistema polialfabtico es reconstruir cada uno de los alfabetos de
cifrado empleados. El proceso es similar al caso monoalfabtico. Primero ha de efectuarse
un anlisis de frecuencias de los bigramas y trigramas del texto cifrado, que ahora han de
clasificarse en tantos grupos como la longitud de la clave y en funcin de los alfabetos
que intervienen en el cifrado de cada una de sus letras. Si en estos grupos se identifican
los bigramas y trigramas ms habituales de nuestro idioma, entonces se podr hallar las
transformadas de las letras con ms frecuencia y asomar el texto en claro. Naturalmente,
esta tarea es ahora mucho ms compleja que en el caso monoalfabtico y el xito slo est
garantizado si se dispone de suficiente cantidad de texto cifrado. La prctica indica que
son necesarias al menos unas trescientas letras por cada alfabeto de cifrado presente en la
clave. Si no se dispone de esta cantidad, el reconocimiento de bigramas y trigramas es
muy difcil, puede que sea incluso cuestin de suerte. sta es precisamente la situacin
ante el criptograma que nos enfrentamos, cuya longitud es de 517 letras y 5 han sido los
alfabetos de cifrado empleados. No obstante, estos alfabetos forman parte de una tabla de
Vigenre y, por tanto, un alfabeto se puede obtener a partir de otro desplazando sus letras
un nmero determinado de posiciones. Veamos si podemos aprovechar esta debilidad.
En primer lugar, dado lo reducido del texto cifrado, ms til que un listado de
bigramas y trigramas es organizar las letras tal y como hemos hecho en la Tabla 3.5. Para
elaborarla, hemos partido de la Tabla 3.4 y hemos ido colocando a la derecha de sus letras
aquellas otras que las siguen en el texto cifrado, y a su izquierda las que anteceden. Por
ejemplo, la primera d del texto T
1
aparece en el sptimo lugar del texto cifrado y junto a
48
ella una n a su derecha y una a su izquierda. Por eso, en la columna de T
1
, la primera
letra a la derecha de la d es una n y la primera a su izquierda una . La siguiente d de T
1

figura en el texto cifrado acompaada de una f por la derecha y una r por la izquierda.
Estas son las letras que siguen a las anteriores en la fila de T
1
que tiene a la d en el centro.
As pues, la Tabla 3.5 muestra con que otras letras se emparejan por la derecha y por la
izquierda cada una de las letras de los textos T
i
.
An con la ayuda de la Tabla 3.5, reconocer en cada texto T
i
las transformadas de
las letras ms frecuentes no es sencillo. Hay que ir poco a poco. Empecemos por
distinguir en cada texto T
i
las letras que muy probablemente sean sustitutas de las
vocales. Las vocales e, a y o son, por este orden, las tres letras ms frecuentes en nuestro
idioma y pueden casar tanto por la derecha como por la izquierda con cualquier otra
letra. Sus transformadas en cada alfabeto deben verse en la Tabla 3.5 rodeadas por ambos
lados con muchas y distintas letras, y tambin flanqueando a otras que deben
corresponder con las consonantes poco frecuentes. En la columna del texto T
1
es claro
que las dos letras ms frecuentes, d y k, cumplen estas caractersticas; pero presenta ms
dudas la siguiente en frecuencia, la y. Aunque esta letra esta rodeada por otras diez, a su
izquierda no hay ms que cinco diferentes; y no figura a la derecha de las consonantes
poco frecuentes del texto T
6
. Puede que sea sustituta de una consonante. En la columna
correspondiente a T
2
la situacin es ms complicada. Pero aqu podemos usar el hecho
que los alfabetos segundo y sexto coinciden. Sumando las frecuencias de las letras de T
2
y
T
6
, las dos ms frecuentes son u y d, por este orden. Observando estas letras tanto en T
2

como en T
6
, no cabe duda que representan vocales. Lo mismo que m y o en T
3
, j y n en
T
4
, y t y v en T
5
.

49
T
1
T
2
qqqbrffeccfr-d-nfcpnfdcpymni*
qrihuuhusefb-k-qfifpbplppb
deepduuhdd-y-rqmqeshbdr
cyreo-c-dppopp
khhhh-q-qchfde
rftqo-r-uhzdiv
hhude-g-euuee
hsuuh-h-duudu
mppk-j-upcu
uu*-a-dbd
hdu-u-msb
dyd-w-buf
py-o-ss
uh-x-ss
d-f-e
e-i-h
h-n-s
d--e

kdckkdckjcc-p-msmjmojfsok
qydrahhca-d-ihuznmxzm
hjggwrjhh-u-hhizhuumj
gqgfgy-e-fozfzyz
nuxoyxo-s-mkmmhnm
kuykaw-b-mojmoy
dqwkdk-f-rhutof
djqd-c-gomg
riqy-h-ybfk
qyyk-q-mfom
drk-i-tst
duy-m-ttt
ddd-n-tot
ckk--ffu
yy-r-mm
k-l-m
c-o-f
r-v-o
d-y-i
r-z-o
T
3
T
4
rudsbdcslqsppsbrpq-m-gpsrsktxhrsgaxnrrs
bvpfzcenqpb-o-pduhpqdnhis
efhpeoq-f-phjgnqkfs
inmmfmin-t-rjjjjjnj
sufuud-h-mfnjml
eedeud-z-ijnvnj
uufd-u-snjmn
upbp-j-nnrm
yud-i-aja
phs-k-njj
ipp-s-iiu
beh-y-qjw
cc-g-rr
sd-n-rn
h-b-p
f-r-n
d-x-f

zykttukttztihft-j-zrzzpnczrgyyz
mztunzofjkjuhr-n-eejazpglyrrg
mmgnmjgmt-r-tvbolvbtt
omfmmmu-s-bxdahiy
boomf-p-ooooo
omof-h-dniv
oszs-i-vvbb
juhh-m-pela
imi-a-wpf
xfh-f-tct
mfm-g-tov
oyf-q-tyv
oo-d-ad
fm-k-vt
so-u-vt
mm-x-th
h-l-v
m-t-t
z-v-b
y-w-r
T
5
T
6
rrufkqxtfgr-t-ofchyqcrmd
hgqlrukiri-v-ddpcip
pprgppp-o-ueuyuue
irvirs-b-bypfdb
jjnjjj-z-ukrutq
wnnjj-r-rpqrq
sjjnq-y-uuhhh
msdn-a-huuh
jnnj--fdrh
anjm-p-hsod
dsh-d-uhh
mnn-e-ed
njn-g-ddh
mnr-l-eee
fj-c-he
sx-h-fq
sh-i-dk
jh-n-uh
a-f-f
n-j-h
a-w-
s-x-s
yaygydcntajdp-h-hkyxqkqqgnqhug
yyaonoazodzo-u-hhakkkyyaxug
tgbpgivev-d-ywyywgufy
lcloleo-e-kcgidyy
vvvevtw--dckcqrd
fbht-f-kdddr
rzrht-q-rddkd
rtzr-r-dcdrk
rvbv-p-joyj
tvt-c-ddc
tbo-y-owc
bb-b-kd
iz-k-jq
pt-o-cr
px-s-kh
v-i-k
t-m-j
z-t-r
Tabla 3.5. Preparacin de las letras.
50
En esta primera ronda hemos confirmado que sustituyen a vocales las dos letras ms
frecuentes de cada texto T
i
. Continuemos con una segunda y sucesivas vueltas en las que
examinamos si son vocales o consonantes las letras que siguen en frecuencia. Ahora
conviene tener en cuenta el siguiente hecho diferencial entre vocales y consonantes
frecuentes (s, n, r, d, l...): stas no suelen seguir a otras consonantes, sino a las vocales
ms frecuentes que ya han sido descubiertas, lo contrario que sucede con el resto de las
vocales. Por tanto, si las vocales predominan en la fila de la izquierda de una letra, sta
muy probablemente ser una consonante y en otro caso una vocal. Por ejemplo, ahora es
claro que la y del texto T
1
representa a una consonante: entre las diez letras a su izquierda
hay cuatro des y dos ues, letras de T
6
que han resultado ser sustitutas de vocales. La h del
texto T
6
debe representar a una vocal ya que entre las catorce letras a su izquierda slo
hay una t y ninguna v. En fin, observando con cuidado la Tabla 3.5 se puede determinar,
con una alta probabilidad, si son vocales o consonantes las letras ms frecuentes de cada
uno de los textos T
i
y consignarlo en una tabla como la que sigue a continuacin.
Naturalmente, podemos estar equivocados con alguna letra; pero seguro que hemos
acertado en la mayora:

Textos: Vocales: Consonantes:
1
d k c r y q g h
2, 6
u d h e s p f
3
m o f t h z
4
j n r s p h
5
t v o b z r

Esta clasificacin en vocales y consonantes no tiene otro objetivo que facilitar el
reconocimiento de algunos de los bigramas y trigramas ms comunes de nuestro idioma y
que, como ya dijimos antes, es fundamental para que el criptoanlisis pueda avanzar. En
la Tabla 3.5 se pueden observar algunos bigramas que se encuentran varias veces
repetidos. Por ejemplo, los bigramas sm, mr y ms, que aparecen cuatro veces cada
uno en la fila de la m del texto T
3
; el bigrama tj figura seis veces en la fila de la t de
este mismo texto; el bigrama po se halla cinco veces en la fila de la p de T
4
; y en fin,
varias repeticiones ms que tambin habr observado el lector. Hemos de asignar valores
a estos bigramas y analizar su validez. En caso de llegar a contradicciones habr que
contemplar otras opciones.
El anteriormente citado bigrama po puede representar la asociacin qu, ya que
la p de T
4
sustituye a una consonante que siempre va seguida por la equivalente a la o de
T
5
, que es una vocal no muy frecuente. El bigrama po se ampla dando lugar a los
trigramas pou y poe, que deben corresponder al pronombre que y al trigrama qui.
Mirando la frecuencia de la u y la e en T
6
, lo ms probable es que pou sustituya al
pronombre y poe a qui. En el texto cifrado, poe continua poek. Como esta k es
de una de las vocales ms frecuentes de T
1
, poek debe ser quie en el texto en claro.
Vayamos ahora con tj. La t pertenece a T
3
y est catalogada como una vocal no muy
frecuente, la j figura en T
4
y como una vocal muy frecuente. Es posible que tj
corresponda en el texto en claro a ue, que es, con diferencia, el bigrama con mayor
frecuencia entre los constituidos por dos vocales. Esta asociacin tj se amplia por la
51
izquierda a mtj en tres ocasiones, y sucede que la m de T
2
siempre va seguida de la t.
Estaremos de nuevo ante el pronombre que? Posiblemente s, ya que son muy
abundantes en El Quijote. Y hay ms. Como las emes de T
2
sustituyen a la q y los
alfabetos de cifrado de T
2
y T
6
coinciden, la nica m que figura en T
6
debe reemplazar
tambin a una q. Luego el trigrama que origina, mju, es otro que. Por ltimo, el cuatro
veces repetido bigrama sm en la fila de la m de T
3
tiene que corresponder tambin a
ue, por la misma razn que dimos antes. Y probablemente alguno de los cuatro
bigramas proceda de otro que, pero esta vez no est tan claro.
Bien, este anlisis de bigramas nos ha permitido conjeturar con varias sustituciones
que es conveniente llevar a una tabla como la que sigue a continuacin. En ella, la
primera fila de letras maysculas es el alfabeto en claro y las siguientes son cada uno de
los alfabetos de cifrado. El nmero a la izquierda indica cual.

1
k j
2, 6
u e m s
3
m t
4
j p
5
o

Tanto esfuerzo para rellenar unas pocas casillas! S, as es; pero enseguida
colocaremos ms letras en esta tabla. Hagamos ahora uso del hecho que los alfabetos
forman parte de una tabla de Vigenre y que en ella se tiene la siguiente propiedad, que
algunos textos denominan simetra de la posicin: la distancia entre dos letras dadas es
constante en todas sus filas. (Obsrvese esta sencilla propiedad en la Tabla 3.2.) En el
primer alfabeto vemos la j diecisiete casillas a la derecha de la k. Esta misma distancia
deben mantener estas dos letras en todos los alfabetos. En particular en el cuarto, lo que
sita una k en su fila, en la columna de la . Del mismo modo se traslada la p del cuarto
alfabeto al primero, manteniendo la distancia con la j. Y ms juego da la simetra de la
posicin con el segundo y tercer alfabetos, gracias a la m. En consecuencia, la tabla de
sustituciones contiene ya menos casillas vacas:

1
k p j
2, 6
u t e m s
3
m s u t e
4
j k p
5
o

Completemos las vocales del segundo alfabeto colocando la d y la h en las casillas
de la A y la O. En virtud de la simetra de la posicin, la letra que asignemos a la A
deber figurar tambin en la casilla de la del tercer alfabeto. La alta frecuencia de la h
en T
3
descarta la posibilidad que sustituya a la , que aparece muy pocas veces en nuestro
idioma. La d es mejor opcin ya que no est presente en T
3
. Por tanto, situemos la d en la
52
casilla de la A del segundo alfabeto y la h en la de la O. Del mismo modo podemos
completar las vocales en el tercer alfabeto. Ahora la mejor opcin es situar la f en la
casilla de la A y la o en la de la O, porque ello implica asignar una f a la N del segundo
alfabeto y est en consonancia con la frecuencia de la f en T
2
y en T
6
. Por otro lado,
como la o figura ya en la fila del quinto alfabeto, la simetra de la posicin descubre
nuevas letras en l:

1
k p j
2, 6
d o u t e f h m s
3
f h m s d o u t e
4
j k p
5
t e f h m s d o u

Vayamos ahora con las vocales del primer alfabeto. En l ya tenemos adjudicadas
sustitutas para la e y la u. La d es la letra ms frecuente en T
1
y est catalogada como
vocal. No puede ir en la casilla de la A porque entonces los alfabetos primero y segundo
coincidiran y, como ya sabemos, no es as. Debe corresponder con la O y dejar libre la A
para la c o la r. La simetra de la posicin confirma esta deduccin y sugiere completar
las vocales situando la c en la cuadrcula de la A y la r en la de la I. La tabla de alfabetos
queda entonces as:

1
c f h k m p r s d o u j t e
2, 6
d o u j t e c f h k m p r s
3
f h k m p r s d o u j t e c
4
u j t e c f h k m p r s d o
5
t e c f h k m p r s d o u j

Llegados a este punto, hemos descubierto catorce letras en cada alfabeto, entre ellas
casi todas las vocales. Es el momento de comprobar si el criptoanlisis ha ido por buen
camino. Toca escribir debajo de cada lnea del criptograma otra de donde figuren las
letras del texto en claro ya descubiertas y observar que se obtiene. Esto es lo que hacemos
continuacin (hemos insertado un espacio en blanco cada seis letras para distinguir mejor
el alfabeto empleado en cada momento):

adiaw dntrto cdhmph hdusbb kqmgtf kfpou huhft cpmpoe
*A**** O*URAB AACOMO DARS** E*E*AN E*AQUE DECLA* ASEQUI

kfrnee cpsivd yrmsxs kitjzu huhned wbmrvd yqfhdu abopou
ENH*BI ASI**A *TES*U E*UE*E DEC*BA **ER*A **ANTE **OQUE

kfjrr dfhjzk juijzr cofgoy osmsdh kfunjh ymtjps hdzivp
E*AENT ONCE*P UE*E*T ABA*U* PUESTO ENR*ZO *QUEMU DA***S

53
jpmkv kpjnah xsknzu kbjnpo ruzjf dcgrby wuhme cpmttc
USE** EST**O *UD**E E*T*MB IE*E*N OM*R** *ECOB* ASEFAM

dpodau kpjrou yqouvc dnohnu yefnd ysmxth qqmhid wftjnh
OSOY*E ESTRUE **OC*M O*ON*E *IA**A *UE*AO **EN*A *NUE*O

klmrle geopou adnrvi kpfqty cpsibp osmsau xshlvp yhyqyu
E*ER*I *IOQUE *A*R** ESA*A* ASI**S PUES*E *UC**S *O***E

umtjch qcoqv qhbpoe ihfktq rhkjzt rzoddh qfongd guujrp
SQUEFO *MO*** *O*QUI *OAA* IODE*H I*OYTO *NO**A *ERENS

jcmgv rdmapd eznle dfffce ybmxhf ddxftc cumle ydzvbf
UME*** IAE*MA *I***I ONALFI **E*IN OA*LAM A*RO*I *A***N

dcgrbd usnnyu guunr dpohv dyiaff risutr rvoibb dmtjgd
OM*R*A SU***E *ER**T OSON** O***GN I*ICAT I*O*** OQUE*A

fefshq dntnrq ditjyh geznrr kpkjh nsmngh qdmrtm jumrtd
BIASI* O*U*N* O*UE*O *I**NT ESDE*O *UE**O *AERAQ UEERAA

yrmsik qeyjyh hujmah ubosyh gezjzq kbywrq d
*TES*P *I*E*O DETO*O S*OS*O *I*E** E***N* O

Fijmonos en las lneas de texto en claro resultante. Se observan palabras enteras de
nuestro idioma y otras a las que faltan algunas letras, lo que confirma la correccin de
todo el criptoanlisis anterior. Si adivinamos las letras que faltan a las palabras
incompletas, obtenemos nuevas sustituciones que, tras llevar a la tabla de alfabetos, nos
revelaran ms letras del texto en claro. De este modo, repitiendo una y otra vez este
proceso, se completan los alfabetos de cifrado y el texto en claro. Pero dejamos esta
ltima parte del criptoanlisis al lector interesado.

55
4
CIFRADOS POLIGRFICOS
En 1844, el americano Samuel F.B. Morse transmiti el primer mensaje telegrfico
entre las ciudades de Baltimore y Boston, mostrando as al mundo la posibilidad de enviar
comunicaciones instantneas desde largas distancias. Ello supuso una revolucin en el
desarrollo de la Criptografa.
Los primeros usuarios del nuevo invento fueron particulares dedicados al mundo de
los negocios que lo emplearon para sus transacciones comerciales. Desde un principio
manifestaron preocupacin por la ausencia de privacidad en los telegramas,
inevitablemente transparentes al personal encargado de su transmisin y recepcin.
Pronto se dieron cuenta que no haba razn para tal temor, ya que las compaas
telegrficas garantizaban la plena confidencialidad. S era motivo de preocupacin el
coste de los mensajes, que era proporcional a su longitud. Surgi entonces una necesidad
de reducir en lo posible el tamao de los telegramas, sin que ello supusiera una prdida de
datos. Con este objetivo aparecieron enseguida en el mercado los que fueron llamados
cdigos comerciales telegrficos. Eran amplios repertorios de palabras y frases enteras
ordenadas alfabticamente, y a su lado las correspondientes series de nmeros o letras que
las reemplazaban. El nmero de tales palabras y frases era de varias decenas de miles,
superando en ocasiones las 100.000. As pues, un cdigo comercial es un enorme
nomencltor que, a diferencia de ste, su fin no es encriptar un texto; sino producir otro
ms corto y, en consecuencia, ms barato al ser telegrafiado. Estos cdigos no
proporcionaban ninguna seguridad en la comunicacin, ya que eran pblicos; pero el
simple hecho de carecer sin sentido el texto resultante proporcionaba una privacidad
suficiente a la mayora de los usuarios del telgrafo. El primer cdigo comercial fue
publicado al ao siguiente de la demostracin de Morse; su autor, el abogado Francis O.J.
Smith, era precisamente el agente promocional del propio Morse. Al de Smith siguieron
cientos de cdigos comerciales por todo el mundo. Su uso se prolong hasta la Segunda
Guerra Mundial.
El telgrafo fue usado tambin por gobiernos, diplomticos y militares. En un
principio, la correspondencia era cifrada con los nomencltores que todava estaban en
vigor. Pero en cuanto aument el trfico en las comunicaciones, el nomencltor se rindi
4. CIFRADOS POLIGRFICOS
56
ante la comodidad que supona el empleo de cdigos. Hacia 1860, los libros de cdigos
haban sustituido ya al viejo nomencltor. Naturalmente, los cdigos oficiales eran
reservados; su secreto era fundamental en la seguridad de las comunicaciones estatales. Y
si se deseaba mayor seguridad, se cifraba el cdigo resultante.
En Criptografa se distinguen dos clases de cdigos: los ordenados o de una parte,
y los desordenados o de dos partes. Los cdigos ordenados son aquellos en que tanto las
palabras de texto en claro como las series de nmeros o letras que las reemplazan van
ambas ordenadas; en los desordenados, en cambio, no se sigue esta correlacin. Estos
ltimos requieren dos partes. En una van ordenadas alfabticamente las palabras de texto
en claro y se usa para codificar; en la otra el orden lo siguen las series de nmeros o letras
y sirve para la descodificacin. Son como un diccionario bilinge. (Ntese que si el
cdigo es ordenado basta con una de las partes para codificar y descodificar, gracias al
doble orden.) Todos los cdigos comerciales eran de una sola parte, ya que son ms
fciles de elaborar. Los oficiales, en cambio, los haba tanto de una parte como de dos. La
razn de emplear cdigos de dos partes est en que proporcionan una seguridad mayor,
muy superior a los de una parte. En la Figura 4.1 se muestra una pgina de un cdigo
empleado por la armada britnica a principios del siglo XX. Es un cdigo de dos partes; la
pgina mostrada en la figura corresponde a la que sirve para la codificacin. Obsrvese
que algunas palabras como A, About o Above presentan homfonos. Los cdigos
oficiales solan incluir homfonos para las palabras ms frecuentes, con objeto de
dificultar su criptoanlisis.
El impacto del telgrafo en la Criptografa militar fue todava mayor. Por aquel
entonces, un nuevo escenario surgi en el terrible drama que suponen las guerras. De los
reducidos y lentos ejrcitos de las viejas monarquas se pas a grandes contingentes de
tropas que, gracias al ferrocarril, podan ser transportadas rpidamente desde largas
distancias. El campo de batalla ya no era visible por los generales desde una colina; era un
frente de muchos kilmetros que slo poda contemplarse en un mapa. La guerra ya no se
diriga in situ como antes; sino desde un cuartel general en la retaguardia, el cual era
tambin centro de comunicaciones. El telgrafo permita seguir al instante el desarrollo de
las batallas y, en base a esta evolucin, cursar rdenes a las tropas de modo inmediato.
Pero primero era imprescindible cifrar estas rdenes. Al enemigo le resultaba sencillo
interceptar las comunicaciones militares que viajaban a travs de los hilos telegrficos.
Los libros de cdigos no eran adecuados para este menester. Si caan en manos enemigas
tras la rendicin de una unidad, se comprometa la totalidad de las comunicaciones y
haba que editar y distribuir un nuevo cdigo. El tiempo que ello requiere evidencia la
ineficacia de cdigos en este contexto.
Era necesario emplear diferentes mtodos de cifrado. Tales mtodos deban ser
fciles de manejar en campaa y altamente seguros. Adems, era obligado que esta
seguridad dependiese nicamente de una clave que pudiese variar rpidamente y de modo
que, aunque el enemigo tuviese constancia del criptosistema empleado, el
desconocimiento de la clave impidiese el descifrado de los mensajes. Los mtodos de
cifrado destinados a ser empleados en el frente fueron llamados cifras de campo (field
ciphers, en ingls). Los ya estudiados cifrados polialfabticos eran ideales para utilizar
como cifras de campo, especialmente el de Vigenre o alguna de sus variantes. Fueron los
57
que se utilizaron en los primeros das del telgrafo. Hasta que, en 1863, el oficial del
ejrcito prusiano Friedrich W. Kasiski dio a conocer un mtodo de criptoanlisis para la
sustitucin polialfabtica que desaconsej su uso. Se hizo entonces necesario idear otros
modos de cifrado.

Figura 4.1. Una pgina de un cdigo militar telegrfico.
58
Los nuevos criptosistemas que fueron empleados como cifras de campo responden
en su mayora a dos modelos que contemplan los actuales libros de Criptografa y que
denominan, respectivamente, cifrados poligrficos y cifrados por transposicin.
Dedicamos el resto de este captulo a los primeros y reservamos el siguiente para los
segundos.
En un criptosistema poligrfico los textos en claro se dividen en bloques con igual
nmero de letras. A continuacin, cada uno de estos bloques se reemplaza por otro de
signos del alfabeto de cifrado, siguiendo las reglas que indique el criptosistema y
haciendo uso de la clave. La concatenacin de los bloques que resultan es el texto cifrado.
Los bloques de texto en claro no tienen porque tener la misma longitud que los del texto
cifrado, aunque es comn que ello suceda. Tal longitud suele ser un nmero pequeo; si
es dos, el cifrado se dice digrfico; si es tres, trigrfico; etc.
A ttulo de curiosidad, hay que sealar que el primer criptosistema poligrfico que
se conoce data de 1563. Fue dado a conocer por Giovanni Battista Porta en su libro De
Furtivis Literarum. Es un cifrado digrfico en el que dos letras se cambian por unos
curiosos signos, tal y como se muestra en la Figura 4.2.

Figura 4.2. Cifrado digrfico de Porta.
59
El primer criptosistema poligrfico diseado para servir como cifra de campo data
de 1854. Su autor fue el polifactico cientfico Charles Wheatstone, quien ya haba
construido un telgrafo antes que lo hiciera Morse. El criptosistema lleva el nombre de
cifrado Playfair en honor al barn Lyon Playfair, amigo de Wheatstone, quien lo dio a
conocer al gobierno britnico. Su ejrcito lo utiliz como cifra de campo en la guerra de
los Boer y en la Primera Guerra Mundial. Tambin lo emplearon varias armadas como
cifra de emergencia en la Segunda Guerra Mundial. Por ejemplo, cuando en esta
contienda, en Agosto de 1943, un crucero japons hundi la patrullera comandada por el
futuro presidente de los Estados Unidos, el entonces teniente John F. Kennedy, ste envi
un mensaje cifrado en Playfair solicitando rescate para los supervivientes de su
tripulacin.
La cifra Playfair es un criptosistema digrfico. Se parte de un cuadrado dividido en
25 casillas y en l se disponen las letras del alfabeto ordenadas como disponga la clave.
Puesto que el alfabeto ingls consta de 26 letras, Wheatstone propuso identificar bien la
I con la J, bien la U con la V, o bien la K con la Q. Por ejemplo, identificando la
I con la J puede considerarse el siguiente cuadrado:

P L A Y F
I R B C D
E G H K M
N O Q S T
U V W X Z
Tabla 4.1. Ejemplo de Playfair
Para cifrar, en el texto en claro se suprimen espacios en blanco y signos de
puntuacin. Seguidamente se divide el texto en pares de letras, insertando una X entre
dos letras iguales cuando stas estn en el mismo par; o al final del texto, si queda una
letra suelta. Por ejemplo, supongamos que vamos a cifrar el siguiente texto: AVISTADO
BUQUE ENEMIGO. Lo separamos en bloques de dos letras del siguiente modo:

AV IS TA DO BU QU EX EN EM IG OX

Obsrvese la insercin de las X. Ahora, cada pareja de letras se transforma en otro
par de letras de texto cifrado en funcin de las siguientes tres posibilidades:
1. Si las dos letras no estn en la misma fila ni en la misma columna, entonces se
cambia cada letra por la que est en su misma fila pero en la columna de la otra
letra. Por ejemplo, usando el cuadro mostrado en la Tabla 4.1, el par AV verifica
la condicin sealada y se transforma en LW (ya que L es la letra que est en la
fila de A y en la columna de V, y W est en la fila de V y en la columna de
A). Anlogamente, IS se cambia por CN y TA se reemplaza por QF.
60
2. Si las dos letras se encuentran en la misma fila, se sustituye cada una de ellas por
la que se encuentra a su derecha. En este caso, si una de las letras es la ltima de su
fila, se reemplaza por la primera de dicha fila. As, en nuestro ejemplo, el par LF
se cambia por AP y ME por EG.
3. Si las letras se localizan en la misma columna, entonces se reemplaza cada una de
ellas por la que est debajo. Como en el caso anterior, si una de las letras es la
ltima de su columna, se cambia por la primera de tal columna. Con nuestro cuadro,
CS se cambia por KX y UN por PU.
De este modo, el texto pleno anterior AVISTADO BUQUE ENEMIGO se cifra
con la Tabla 4.1 como LWCNQFRTIWNWKUNUGERESV:

AV IS TA DO BU QU EX EN EM IG OX

LW CN QF RT IW NW KU NU GE RE SV

(En las transmisiones telegrficas, era costumbre agrupar el texto cifrado en bloques
de cinco letras e insertar un espacio en blanco entre dos bloques. Con ello se advertan
mejor los posibles errores debidos a una mala transmisin. Por ejemplo, el texto cifrado
anterior quedara as: LWCNQ FRTIW NWKUN UGERE SV.)
El descifrado de la cifra Playfair es similar al cifrado, distinguiendo tambin las tres
posibilidades anteriores. La nica diferencia est en los casos 2 3; ahora hay que
reemplazar las letras por las que encuentran a la izquierda o arriba, respectivamente. A
primera vista, la cifra Playfair puede parecer difcil de manejar; pero, con un poco de
prctica, cifrar y descifrar es sencillo.
La clave es cada una de las diferentes formas de colocar las 25 letras en el
cuadrado. Un razonamiento similar al que dimos en el Captulo 1 para contar el nmero
de claves en el cifrado por sustitucin, permite concluir que el nmero total de claves en
el cifrado Playfair es el factorial de 25: 25! = 25 24 ... 2 1. No obstante, hay diferentes
claves que dan lugar al mismo cifrado. Ello ocurre, por ejemplo, si las columnas del
cuadrado se reordenan segn la secuencia 2, 3, 4, 5 y 1. En general, sucede que dos
claves dan lugar a un mismo cifrado si una de ella se obtiene efectuando una rotacin
cclica de las filas o columnas de la otra, como en la secuencia anterior. Por tanto, hay 25
cuadrados que dan lugar al mismo cifrado. Contemplando entonces todos ellos como uno
solo, resulta que el nmero total de claves se reduce a
24! =24 23 ... 2 1 =620448401733239439360000.
En el ejemplo que hemos dado, la clave se form a partir de la palabra
PLAYFAIR. Como ya comentamos en el citado Captulo 1, esta estrategia para formar
claves facilita su memorizacin.
Al final del captulo mostraremos como criptoanalizar la cifra Playfair. Antes
describiremos otros criptosistemas poligrficos destinados a servir como cifras de campo.
61
La cifra Playfair ha dado lugar a otros sistemas digrficos ms fciles de utilizar y, a
la vez, ms seguros. Uno de ellos es el llamado doble Playfair o cifra de los dos
cuadrados. Como su nombre indica, se consideran dos cuadrados de 25 casillas y en cada
uno de ellos se colocan las letras del alfabeto conforme indique la clave. Por ejemplo, los
dos siguientes:

D O B L E D O S C U
P A Y F I A R B E F
R C G H K G H I K L
M N Q S T M N P Q T
U V W X Z V W X Y Z
Tabla 4.2. Ejemplo de doble Playfair.
Como en la cifra Playfair, el texto en claro se divide en bloques de dos letras. Ahora
slo es necesario insertar una X al final del texto si el nmero de letras es impar. Para
cifrar un par, la primera letra se localiza en el primer cuadrado y la otra en el segundo. Si
ambas letras no estn en la misma fila, se procede como en la regla 1 de la cifra Playfair,
cambiando cada letra por la que est en su misma fila y en la columna de la otra letra. Si
las dos letras estn en la misma fila, se sustituye una por la otra. Con el ejemplo que
proporciona la Tabla 4.2, el par EN se transforma en OT; y el par AE en EA.
El mtodo de los dos cuadrados fue utilizado por los alemanes en la Segunda
Guerra Mundial, aunque con alguna variante. En la cifra que ellos denominaron
Doppelkastenschlssel, se comenzaba dividiendo el mensaje en grupos de un mismo
nmero de letras. El primer grupo se colocaba encima del segundo, el tercero sobre el
cuarto, etctera. Por ejemplo, si dividimos el mensaje en claro ENVIEN REFUERZOS
URGENTEMENTE en grupos de cinco letras, nos queda:

ENVIE ERZOS TEME
NREFU URGEN NTEX

Ahora se va cifrando cada par vertical. Se comienza con el par EN, despus NR,
luego VE, etctera. Con los dos cuadrados de la Tabla 4.2, el mensaje anterior se cifra
como OTNAYAFIUEUEHPVKCANSNTUTQPSZ.
En vedad, la Doppelkastenschlssel es un doble cifrado. La divisin del texto en
claro en grupos de un mismo nmero de letras y la posterior disposicin de estos grupos
segn se ha indicado, equivale a efectuar una reordenacin de las letras; esto es, a una
transposicin. As, si el nmero de letras de cada grupo es cinco, este proceso equivale a
reordenar el texto de este modo: 1 letra, 6 letra, 2 letra, 7 letra, 3 letra, 8 letra, etc.
Una vez sometido el texto en claro a esta transposicin, el resultado se vuelve a cifrar con
62
el mtodo de los dos cuadrados. Como es de esperar, el cifrar un texto ms de una vez
persigue aumentar la fortaleza del criptosistema empleado.
En 1859, Pliny E. Chase, profesor de filosofa y lgica en Filadelfia, public en la
revista americana Mathematical Monthy el interesante criptosistema que describimos a
continuacin. Se parte de un rectngulo dividido en 30 casillas dispuestas en tres filas y
diez columnas. En las casillas se colocan las letras del alfabeto en el orden que determine
la clave. Para que no queden casillas vacas, se ampla previamente el alfabeto con
algunos signos hasta conseguir un total de 30 elementos, tantos como casillas. Uno de
estos signos puede ser el espacio en blanco, que podemos representar por el signo . Las
tres filas del rectngulo se enumeran 1, 2 y 3; y las columnas de 0 a 9. Un ejemplo de la
configuracin que se obtiene puede ser el siguiente:

0 1 2 3 4 5 6 7 8 9
1
N Q M G B W J T E
2
F A X P Y I O D V
3
S $ H Z C L & R U K
Tabla 4.3. Ejemplo de cifrado de Chase.
Cada letra del alfabeto tiene ahora asociada un par de nmeros: los nmeros de la
fila y columna a las que pertenece. Son sus coordenadas. As, las coordenadas de la letra
H segn nuestro ejemplo son 3, 2; las de V son 2, 9.
Como hemos incluido el espacio en blanco en el alfabeto (representado con el signo
), no es necesario suprimir tales espacios en el texto a cifrar; nicamente hay que
eliminar los signos no incluidos en el alfabeto. A continuacin, el texto en claro se divide
en bloques con un nmero de letras acordado por el emisor y el receptor. Por ejemplo,
supongamos que este nmero es cuatro y que vamos a cifrar el texto ATAQUEN AL
AMANECER. Los bloques obtenidos son:

ATAQ UEN ALA MANE CER$

El ltimo bloque lo hemos completado con el signo $ para alcanzar el tamao
convenido de cuatro letras. Cada uno de los bloques se cifra del siguiente modo: se
escriben verticalmente las coordenadas de las letras que lo componen, obtenindose para
cada bloque un par de nmeros de cuatro cifras cada uno:

ATAQ UEN ALA MANE CER$

2121 3111 2312 1211 3133
1811 8906 1561 2109 4971

63
Al primero de los nmeros de cada par se le aade aleatoriamente y a su izquierda
un 1, un 2 un 3. El segundo de estos nmeros se multiplica por 9. Se obtiene as un
nuevo par de nmeros, ahora de cinco dgitos:

22121 13111 12312 31211 23133
16299 80154 14049 18981 44739

El nuevo par de nmeros contiene las coordenadas de un bloque de cinco letras. Al
igual que antes, estas coordenadas se leen verticalmente:

22121 13111 12312 31211 23133
16299 80154 14049 18981 44739

AMVE TSQWB QYSBV $TVTQ YCJZK

Y por ltimo, el texto cifrado es la secuencia de los bloques as obtenidos:
AMVETSQWBQYSBV$TVTQYCJZK.
El proceso de descifrado consiste en seguir el camino inverso al anterior. Se parte el
texto cifrado en bloques de cinco letras que proporcionan pares de nmeros de cinco
cifras. Al primer nmero de cada par se le suprime su cifra de la izquierda; y el segundo
se divide por 9. Con los pares de nmeros que se obtienen se determina ya el texto en
claro.
La clave en este criptosistema es el modo de disponer las 30 letras del alfabeto en
las casillas del rectngulo. El nmero de claves distintas es el factorial de 30.
El criptosistema de Chase nunca fue usado en la prctica, a pesar de que rene las
dos caractersticas que deban presentar las cifras de campo: facilidad en su uso y
seguridad. De hecho, su seguridad es superior a aquellos que s fueron utilizados en su
tiempo. Su fortaleza radica en la idea de representar las letras del alfabeto por los dos
nmeros que hemos llamado coordenadas. En general, cuando en un criptosistema se
representan las letras del alfabeto en claro por varios smbolos, se dice que es fraccionado
o tomogrfico. Recordemos que esta idea ya est presente en el cifrado propuesto por
Polibios en el siglo II a. C. y descrito en el Captulo 1.
El siguiente criptosistema que vamos a presentar figura en algunos textos con el
nombre de cifra bfida. Fue ideado en 1895 por el francs Flix Marie Delastelle; quien lo
dio a conocer en su libro Trait Elementaire de Cryptographie, publicado siete aos
ms tarde. Los trabajos de Delastelle y el de otros criptlogos compatriotas suyos como
Bazeries, De Viaris, Kerckhoffs, Valerio hicieron de la Criptografa francesa la mejor
de su tiempo.
Al igual que Wheatstone en su cifrado Playfair, Delastelle dispone las letras
conforme a una clave en un cuadrado de 25 casillas en el que, como haca Polibios, las
filas y columnas se numeran del 1 al 5:
64

1 2 3 4 5
1
D O M S B
2
Q U E X L
3
H T Z Y F
4
V K A P R
5
G N I W C
Tabla 4.4. Ejemplo de cifra de Delastelle.
En virtud del esquema proporcionado por el cuadrado, cada letra viene representada
por un par de nmeros entre 1 y 5. De nuevo podemos referirnos a ellos como sus
coordenadas. As, segn la Tabla 4.4, las coordenadas de la letra A son 4, 3.
El proceso de cifrado requiere que el texto en claro, sin espacios en blanco ni signos
de puntuacin, se divida en bloques de una longitud acordada entre el emisor y el
receptor. En el ejemplo que damos a continuacin supondremos que esta longitud es
cinco y cifraremos el texto ESPEREN ORDENES. Como en el mtodo de Chase, se
escriben verticalmente las coordenadas de las letras de cada uno de los bloques:

ESPER ENORD ENES

21424 25141 2521
34435 32251 3234

Cada bloque ha proporcionado dos nmeros que se escriben uno a continuacin del
otro y despus se dividen en pares de nmeros. stos son precisamente las coordenadas
de las letras que componen el texto cifrado:

2142434435 2514132251 25213234

21 42 43 44 35 25 14 13 22 51 25 21 32 34

Q K A P F L S M U G L Q T Y

As, el texto cifrado es: QKAPFLSMUGLQTY.
El descifrado sigue exactamente el mismo proceso, pero en orden inverso. Como en
cifrados anteriores, la clave es la manera en que se colocan las 25 letras en el cuadrado; y
el nmero de posibles claves es el factorial de 25.
Los cifrados poligrficos que hemos presentado en este captulo caen sin mucha
dificultad ante un ataque con texto pleno. As, si el enemigo es capaz de hacerse con texto
65
pleno y su correspondiente cifrado, enseguida descubrir la clave utilizada. Pero slo
podr descifrar los pocos mensajes que fueron cifrados con ella; ya que, como sealamos
anteriormente, la clave se cambia frecuentemente en estos cifrados. Adems, en el
contexto en el que operan las que hemos llamado cifras de campo, la utilidad de la
informacin que contienen los criptogramas caduca en muy poco tiempo. Pasado este
tiempo no merece la pena efectuar el criptoanlisis, lo interesante es descifrarlos poco
despus de su emisin. En tan breve intervalo temporal es muy difcil hacerse con algn
texto en claro, nicamente podr disponerse de los mensajes cifrados interceptados. Y
slo constarn de unas pocas lneas, las mnimas necesarias para comunicar unas rdenes
de manera clara y precisa. Se trata entonces de criptoanalizar textos cortos conociendo
exclusivamente el texto cifrado y, naturalmente, el criptosistema empleado.
Es ello posible? En ocasiones s, mediante el llamado mtodo de la palabra
probable. Como hemos dicho, las rdenes que transmite un cuartel general a sus unidades
militares deben ser inequvocas y exactas. Ello slo puede lograrse con el empleo de un
vocabulario muy concreto y, en consecuencia, reducido. Y con frecuencia, es imposible
cursar tales rdenes sin el empleo de unas determinadas palabras. Si se identifica en el
texto cifrado una de estas palabras, puede iniciarse su criptoanlisis. Pero sin esta
identificacin, el criptoanlisis es prcticamente imposible.
Usaremos el mtodo de la palabra probable para criptoanalizar un texto cifrado con
Playfair, que creemos el ms dbil de los criptosistemas poligrficos que hemos
presentado. A tal fin, imaginemos que nos encontramos en medio de una de las
numerosas guerras que tuvieron lugar en la segunda mitad del siglo XIX y que, pinchando
los hilos telegrficos, hemos interceptado un mensaje que el alto mando de un ejrcito
dirige a uno de sus comandantes en el frente. Este mensaje, cifrado en Playfair como ya
hemos sealado, procede de un texto en claro escrito en espaol sin espacios en blanco ni
signos de puntuacin, y en l se han identificado la j con la i y la con la n. Es el
siguiente:

SH CQ HX XO IS QO SY BQ HE CH CE IZ CQ MN MT OA SR HQ
NM CE HO HC QI KM WD IH IH SH MI UD FK FO MS QP XO AB
OZ QN DV UD NS MS CH ON LZ NM MI OL FO AS MN XB QC MX
SH BQ SQ VH XI MK VB NS OQ VD CE MS QF HT OD SR NM FH
DU AO SR EI QC IB QB MF QN GS HC SB ID XT OD NQ MI CZ
FM SH QS TB NQ QN DV UD NS MS MX OH BQ IH NQ NO NQ AB
Criptograma
Como puede observarse, lo hemos dividido en bigramas. Han resultado 108 en total.
Hemos supuesto el conocimiento del criptosistema utilizado: Playfair. Pero si este
hecho no fuese una hiptesis sino una mera sospecha, las siguientes sencillas
observaciones en el texto cifrado elevaran considerablemente la probabilidad de su
certeza:
66
1. El nmero de letras que componen el texto cifrado es par, exactamente 216. Ello
es porque el cifrado Playfair es digrfico. En general, en un criptosistema
poligrfico la longitud de los bloques que componen los textos cifrados debe ser un
divisor del nmero total de sus letras.
2. Ninguno de los bigramas que componen el texto cifrado contiene dos letras
iguales. Lo impiden las tres reglas de cifrado que rigen el sistema Playfair.
3. No puede haber ms de 25 letras distintas en el texto cifrado, ya que ste es
realmente el nmero de letras del alfabeto utilizado.
4. En el texto cifrado figuran algunos bigramas junto con sus inversos. En el
criptograma que nos ocupa notamos que aparecen varias veces los bigramas NQ y
QN, tambin NM y MN. Una caracterstica de la cifra Playfair es que si un
bigrama se transforma en otro, entonces el inverso de aquel se cambia por el inverso
de ste. En los textos en claro suele haber algunos bigramas que tanto ellos como
sus inversos son frecuentes (por ejemplo, al y la, o er y re, son frecuentes en
espaol). Y como los cifrados digrficos conservan la frecuencia de los bigramas,
ello explica esta cuarta observacin.
El primer paso para identificar una palabra probable en el criptograma es efectuar
un anlisis de frecuencias con los bigramas que lo componen. Un criptosistema digrfico
puede verse como una sustitucin en el alfabeto compuesto por todos los bigramas
posibles. En el caso particular del cifrado Playfair, el nmero total de tales bigramas es de
2524=600. Como ocurre con las letras, no todos los bigramas son igualmente probables
en un idioma. Ya apuntamos en el Captulo 1 cuales son los bigramas ms frecuentes en
espaol. Si dispusiramos de una tabla de frecuencias para los bigramas de nuestro
idioma, podramos intentar el criptoanlisis siguiendo el mtodo descrito en el referido
Captulo 1. Ahora bien, necesitaramos un texto cifrado muy extenso para que la
correspondencia entre los bigramas ms comunes de los textos en claro y cifrado fuese
fiable. Nuestro criptograma es demasiado corto para aventurarse siquiera a establecer
dicha correspondencia. Pero, como veremos, la siguiente tabla nos ser de enorme
utilidad en el criptoanlisis. Contiene los bigramas que se repiten en el texto cifrado y
cuantas veces.

67
Bigrama Frecuencia Bigrama Frecuencia Bigrama Frecuencia
MS 4 NS 3 FO 2
NQ 4 QN 3 HC 2
SH 4 SR 3 MN 2
BQ 3 UD 3 MX 2
CE 3 AB 2 OD 2
IH 3 CH 2 QC 2
MI 3 CQ 2 XO 2
NM 3 DV 2
Tabla 4.5. Bigramas repetidos en el criptograma.
Fijndonos en los bigramas de la Tabla 4.5, buscamos fragmentos repetidos en el
texto cifrado que contengan ms de un bigrama. Slo hay uno: QN DV UD NS MS;
que figura dos veces, una en la tercera lnea y otra en el ltimo rengln. Posiblemente
corresponda a una palabra muy comn en el contexto del mensaje; aunque tambin puede
suceder que sustituya a un grupo de palabras, por ejemplo a un artculo y a un sustantivo.
En este segundo caso es muy difcil reconocer cuales son, pero tambin es menos
probable que ocurra. En principio, hay que suponer que el fragmento corresponde a una
sola palabra e intentar identificarla. Si no lo logramos, habr que considerar la otra
posibilidad.
Notamos que el fragmento sealado comienza con el bigrama QN, que aparece tres
veces en el texto cifrado. Su inverso, el bigrama NQ, tambin es uno de los ms
frecuentes en dicho texto. Admitamos entonces que QN y NQ corresponden a un par de
bigramas muy comunes en nuestro idioma, uno inverso del otro. En espaol hay tres de
tales parejas: la y al, re y er, ra y ar; seguro que uno de estos seis es el
transformado de QN. Pueden darse dos situaciones: que el bigrama QN corresponda a
las dos primeras letras de la palabra buscada, o bien a la segunda y tercera letras (este otro
caso suceder si al dividir el texto en claro en bloques de dos letras para despus cifrarlo,
la primera letra de la palabra probable que buscamos se empareja con la ltima letra de la
palabra anterior). En el primer caso, dicha palabra comenzar por la, al, re, er, ra
o ar y tendr 10 u 11 letras. En el segundo, uno de estos bigramas ser su segunda y
tercera letra; y dicha palabra constar de 11 12 letras.
Se trata entonces de encontrar palabras con estas caractersticas y que, adems,
pertenezcan a un vocabulario tpico militar que forzosamente debe estar presente en
nuestro mensaje. En esta tarea es conveniente disponer de un glosario que recoja trminos
propios del lenguaje militar. En l localizaramos fcilmente dichas palabras. Por
ejemplo, las siguientes: artillera, reconquista, regimiento, resistencia, retaguardia
transmisin. Y quizs algunas ms, pero no muchas. Ahora hemos de decidirnos por
una de ellas, aquella que nuestra intuicin considere ms probable. En el caso que nos
68
ocupa optamos por regimiento. Tenemos razones para ello: el mensaje va dirigido a un
coronel que comanda un regimiento de infantera.
Como regimiento tiene diez letras, se corresponde exactamente con el fragmento
sealado en el texto cifrado: QN DV UD NS MS. Ello implica las siguientes
transformaciones de bigramas:

re gi mi en to

QN DV UD NS MS

Si estas sustituciones son correctas, el proceso deductivo que ahora iniciamos nos
llevar de de forma progresiva al desciframiento del criptograma y al descubrimiento del
cuadrado que constituye la clave. Por el contrario, si tales transformaciones son
incorrectas, enseguida llegaremos a una contradiccin y habremos de considerar otra
palabra probable.
En primer lugar, puesto que si un bigrama se reemplaza por otro entonces el inverso
de aquel se cambia por el inverso de ste, obtenemos las transformaciones de los inversos
de los bigramas anteriores. Por tanto, NQ, ha sustituido a er; VD a ig; y UD a
im. (No es necesario considerar las otras dos transformaciones, ya que los bigramas
SN y SM no aparecen en el criptograma.) Veamos si todas estas sustituciones permiten
completar alguna otra palabra en el texto cifrado que nos proporcione nuevas
transformaciones. Para ello, escribamos debajo de los bigramas ya identificados sus
correspondientes de texto en claro. Tras hacerlo, nicamente se descubre una nueva
palabra en la cuarta lnea del criptograma. Tal lnea queda as:

SH BQ SQ VH XI MK VB NS OQ VD CE
MS QF HT OD SR NM FH
en ig
to

La palabra enemigo (o enemiga) encaja perfectamente y es muy frecuente en el
contexto del mensaje. Nos proporciona una nueva sustitucin: emOQ; y la que
corresponde a los inversos: meQO, que figura una vez en el texto.
No obstante, estas nuevas sustituciones no permiten descubrir alguna otra palabra
de texto en claro que proporcione a su vez ms transformaciones. Se hace necesario
comenzar un anlisis encaminado a reconstruir parcialmente el cuadrado que forma la
clave, para as obtener nuevas sustituciones e ir poco a poco completando el texto en
claro. Este anlisis parte de las seis transformaciones que suponemos correctas.
Consideremos la transformacin enNS. La N est presente en el bigrama
en y en su sustituto NS. En virtud de las tres reglas que rigen el cifrado Playfair, ello
slo es posible si las tres letras E, N y S estn situadas en la misma fila o en la misma
columna del cuadrado. Si se encuentran en la misma fila, la N debe situarse a la derecha
de la E y a la izquierda de la S. Y si se encuentran en la misma columna, la N debe
69
estar debajo de la E y encima de la S. Esto es, el cuadrado que determina la clave
presenta una de estas dos configuraciones:

E
E N S N
S
a) b)

Consideremos ahora la sustitucin reQN. Si es el resultado de aplicar la
primera regla Playfair, entonces la letra R debe estar en la misma fila que la Q y en la
misma columna que la N, y la E en la fila de la N y en la columna de la Q. Ello
implica que ha de darse la configuracin a) de antes; y dicha configuracin da lugar a la
que identificamos ms abajo con un 1. Si ha ocurrido que la transformacin reQN
ha sido el resultado de aplicar la segunda regla, entonces estas cuatro letras han de estar
en la misma fila, laQ a la derecha de la R y la N a la derecha de la E. De nuevo, ello
obliga a la situacin a) de antes; y entonces dicha fila se completa colocando RQ a la
derecha, segn se indica ms abajo con un 2. Por ltimo, si la transformacin reQN
ha sido producto de la tercera regla, entonces las cuatro letras estn en la misma columna,
laQ debajo de la R y la E encima de la N. Estamos en el caso b) previo y la columna
se completa con RQ debajo de ENS, como en 3:

E
Q R N
| | E N S R Q S
E N S R
Q
1 2 3

(La barra entre dos letras indica la posibilidad de que tales letras sean adyacentes o
que pueda haber otras entre ellas.)
Vayamos con la transformacin toMS. Si se da el caso 1 anterior, entonces tal
transformacin no ha sido producto de la segunda regla de cifrado (porque ello implicara
que las cuatro letras T, O, M y S estn en la misma fila que la E y la N; y no
puede ser, las filas slo tienen cinco letras). Ha tenido que ser consecuencia de la primera
o tercera reglas. Si ha tenido lugar la primera regla, entonces las cuatro citadas letras
forman un rectngulo; con la T y la M en una fila y la O y la S en otra. Si ha
acontecido la tercera regla, las cuatro letras estn situadas en la misma columna; con la
T encima de la M y la S debajo de la O. Ello abre los dos subcasos que hemos
llamado 1.1 y 1.2:

70
Q R Q R
| | | | O
E N S O E N S
| | |
T M T
M
1.1 1.2

En el caso 2, la sustitucin toMS slo ha podido ocurrir mediante la tercera
regla; ya que laO no est en la fila de la S. En consecuencia, las cuatro letras T, O,
M y S han de situarse en la misma columna del cuadrado; de nuevo con la T encima
de la M y la S debajo de la O. Y en el caso 3, la transformacin toMS slo ha
podido ocurrir mediante la segunda regla; ya que laT no est en la columna de la S.
Por tanto, las letras T, O, M y S han de encontrarse en la misma fila; con la M a la
derecha de la T y la S a la izquierda de la O. As, las configuraciones 2 y 3 quedan
ahora de este modo:

O E
E N S R Q N
| O S T M
T R
M Q
2 3

Ahora podemos usar la transformacin emOQ para decidir cual de las cuatro
posibles disposiciones es la correcta. Contemplemos la 1.1. En ella s es posible esta
transformacin, mediante la primera regla de cifrado. Adems, situara a la M y a la Q
en la misma lnea. En las otras tres configuraciones es imposible la transformacin
emOQ; puesto que las cuatro letras E, M, O y Q ni forman un rectngulo, ni
estn en la misma fila o columna. Por tanto, hemos de quedarnos con la disposicin 1.1;
y, como hemos dicho antes, situando la M en la fila de la Q:

Q R T M
| | | |
E N S O
1.1

La figura va tomando forma y an disponemos de dos transformaciones para poder
ampliarla. Pero antes, la podemos utilizar para conseguir otras nuevas. Por ejemplo,
usando la primera regla de cifrado obtenemos las siguientes sustituciones, todas ellas
presentes en el criptograma: roMN, orNM, teQS, etSQ y
ntSR.
71
Consideremos el cambio miUD. No puede ser consecuencia de la segunda
regla de cifrado; ya que ello implicara que las letras M, I, U y D estaran en una
misma fila y ya no es posible en 1.1. Examinemos si puede provenir de la primera regla.
En tal caso, la M y la U deben compartir fila; precisamente la fila de arriba de 1.1.
Luego o bien la U est situada entre la T y la M, o est a la derecha de esta ltima
letra. Y como tambin hemos de colocar a la I y la D en una misma fila, formando un
rectngulo con la M y la U, la configuracin 1.1 admite estas dos posibilidades:

I D D I
| | | |
Q R T U M Q R T M U
| | | | | | | | | |
E N S * O E N S O *
1.1.a 1.1.b

(El asterisco * representa una letra todava no determinada.)
Veamos si en estas figuras es posible encuadrar la sustitucin que queda:
giDV. Puesto que la I y la D comparten fila, esta transformacin slo es posible
mediante la segunda regla de cifrado. Ello sita a las cuatro letras en la misma fila, la D
a la derecha de la G y la I a la izquierda de la V. Pero en 1.1.a la D ya est justo a la
derecha de la I y, en consecuencia, no es posible colocarla a la derecha de la G. Tal
contradiccin obliga a desestimar 1.1.a. Pero no 1.1.b, donde s es factible el orden que
hemos deducido para estas letras; de este modo:

V * G D I
| | | | |
Q R T M U
| | | | |
E N S O *
1.1.b

No obstante, de nuevo vamos a llegar a otra contradiccin. La configuracin 1.1.b
nos trae la sustitucin *vEI. Llevndola al criptograma, junto con las ya
descubiertas, el quinto rengln comienza as:

DU AO SR EI QC
im nt *v

El asterisco debe ser una vocal: la a, que es la nica que falta en 1.1.b. Pero
entonces se obtiene la transformacin osAO y, en consecuencia, el fragmento de
texto en claro queda imosntav, sin sentido alguno. Ello obliga a rechazar tambin la
disposicin 1.1.b.
72
Queda analizar la posibilidad que la transformacin miUD proceda de la
tercera regla. En tal caso, las cuatro letras M, I, U y D deben situarse en una misma
columna; con la U debajo de la M y la I encima de laD. Ahora bien, en la figura 1.1
ya est la O en la columna de la M. Por tanto, laO es la quinta letra de dicha columna
y, en virtud de lo anterior, slo quedan dos posiciones para ella: o debajo de la U, o
debajo de la D. Se obtienen as estas dos ampliaciones posibles de 1.1:

Q R T M Q R T M
* * * U * * * U
E N S O * * * I
* * * I * * * D
* * * D E N S O
1.1.c 1.1.d

Examinemos si alguna de ellas es factible. El cuadro 1.1.c da lugar a estas tres
sustituciones: oiID, uiOD y doMI; mientras que 1.1.d proporciona
estas otras: uiID, diOD y ouMI. Tenindolas en cuenta, el bloque ID
XT OD NQ MI, situado al final de la quinta lnea del criptograma, corresponde,
respectivamente, a:

ID XT OD NQ MI ID XT OD NQ MI
oi ** ui er do ui ** di er ou
Con 1.1.c Con 1.1.d

El fragmento revelado con 1.1.c descubre la palabra izquierdo, mientras que
con 1.1.d dicho fragmento no parece tener sentido alguno. Se sigue entonces que la
configuracin 1.1.c es la correcta; y que tambin son vlidas las sustituciones a que ha
dado lugar.
Adems, la palabra izquierdo produce una nueva transformacin: zqXT.
Mirando la figura 1.1.c vemos que forzosamente ha debido obtenerse con la primera regla
de cifrado. Ello sita a la Z en la columna de la T y a la X en la columna de la Q:

X * Z
| | |
Q R T M

Pero entonces, el bigrama MX debe ser el sustituto de otro cuya primera letra es la
q. Puesto que detrs de la q siempre viene la u, este bigrama es precisamente qu.
Conseguimos la transformacin quMX, que figura dos veces en el criptograma; y
adems, tal transformacin coloca a la X en la misma fila que la U. La disposicin de
las letras en el cuadrado que determina la clave va quedando segn el siguiente dibujo:

73
Q R T M
X * Z U
E N S O
* * * I
* * * D
1.1.c
Se obtienen entonces dos nuevas transformaciones: ueXO, que est presente
dos veces en el texto; y suOZ, que aparece una vez. Es hora ya de trasladar al
criptograma todas las sustituciones descubiertas y observar como queda:

SH CQ HX XO IS QO SY BQ HE CH CE
IZ CQ MN MT OA SR HQ
ue *o me
*u ro nt

NM CE HO HC QI KM WD IH IH SH MI
UD FK FO MS QP XO AB
or m* do
mi to ue

OZ QN DV UD NS MS CH ON LZ NM MI
OL FO AS MN XB QC MX
su re gi mi en to or do
ro qu

SH BQ SQ VH XI MK VB NS OQ VD CE
MS QF HT OD SR NM FH
et u* en em ig
to ui nt or

DU AO SR EI QC IB QB MF QN GS HC
SB ID XT OD NQ MI CZ
im nt o* re
oi zq ui er do

FM SH QS TB NQ QN DV UD NS MS MX
OH BQ IH NQ NO NQ AB
te er re gi mi en to qu
er er

A pesar del nmero de sustituciones descubiertas, todava no puede descifrarse por
completo el criptograma. Pero ya falta poco. Fijmonos en el bloque siguiente, obtenido
al juntar el final de la cuarta lnea y el comienzo de la quinta:

HT OD SR NM FH
DU AO SR EI
ui nt or
im nt o*

En l ya asoma quinto regimiento; y ello nos trae dos nuevas sustituciones:
egFH y ieAO. Mirando el cuadro 1.1.c, esta segunda transformacin sita la
A en la columna de la E, justo debajo de ella. Una vez colocada, observamos que la
transformacin egFH slo puede haber sido producida por la primera regla. La H
debe estar en la misma columna que la E; en el nico lugar que queda libre, debajo de la
recin colocada A. La F ha de situarse en la misma fila que la E; en uno de los dos
74
lugares que quedan libres: entre la S y la O o a la derecha de sta ltima letra. La G
est obligada a ubicarse en la misma fila que la H y en la columna de la F. Y dicha
columna debe completarse con la V, en virtud de la ya olvidada sustitucin giDV.
Todo este argumento revela nuevas posiciones de letras en la clave; pero abre tambin
dos caminos, en funcin de la posicin de la F:

Q R T * M Q R T M *
X * Z * U X * Z U *
E N S F O E N S O F
A * * V I A * * I V
H * * G D H * * D G
1 2

Aunque ya es fcil averiguar cual es el correcto. Las dos disposiciones anteriores
nos traen las nuevas sustituciones ahHQ, eiOA y deHO. Y tambin en
ambas el bigrama MT sustituye a otro cuya segunda letra es la r. Entonces, uniendo el
final del primer rengln con el comienzo del segundo, se obtiene ya el siguiente bloque:

CQ MN MT OA SR HQ
NM CE HO
ro *r ei nt ah
or de

Se revela el fragmento treinta horas. Esto significa que MT reemplaza a tr,
que es lo que sucede con la segunda disposicin. Ella es entonces la correcta. Adems,
este mismo fragmento implica tambin la transformacin asCE; que sita a la C
en la fila de la A y en la columna de la S.
Y de este modo seguiramos hasta descubrir todo el texto en claro y completar el
cuadrado que determina la clave. El texto en claro es el siguiente:
El ataque comenzar a las cuatro treinta horas de la madrugada del
domingo. Stop. Mueva su regimiento al sector dos dos cero y ataque la
retaguardia enemiga. Stop. El quinto regimiento atacara por el flanco
izquierdo. Stop. El tercer regimiento quedar de reserva.

La clave es la que se muestra a continuacin:

Q R T M P
X Y Z U W
E N S O F
A B C I V
H K L D G

Si se efecta una rotacin cclica de las filas y columnas que nos lleve la O a la
casilla de la primera fila y columna, se llegar a un cuadrado en el que se leer la palabra
OFENSIVA. En realidad, este segundo cuadrado es el que hemos usado para cifrar el
75
texto en claro. Como ya precisamos cuando presentamos la cifra Playfair, hay otros 24
cuadrados equivalentes que proporcionan el mismo cifrado. El anterior, el que hemos
conseguido con el criptoanlisis, es uno de ellos.

77
5
CIFRADOS POR TRANSPOSICIN
Recordemos en primer lugar que con este genrico nombre se designa a cualquier
criptosistema consistente en una reordenacin de las letras de los textos en claro. Esta
forma de cifrado hace su aparicin en la historia de la Criptografa muy pronto, en el siglo
V a. C., con el esctalo espartano descrito en el Captulo 1. Pero su presencia es
totalmente marginal hasta que, a mediados del siglo XIX, la Criptografa militar ve en las
transposiciones la cifra de campo ideal. La razn de ello est en la sencillez de los
procesos de cifrado y descifrado. Ms simples que en los anteriormente estudiados
criptosistemas poligrficos, la otra opcin disponible despus que Kasiski publicara su
mtodo de criptoanlisis para las sustituciones polialfabticas. En contrapartida, la
seguridad que ofrecen los cifrados por transposicin es inferior a la de los poligrficos.
Claro que esto no se supo hasta que no fueron sometidos a la accin de los criptoanalistas,
ya en la Primera Guerra Mundial.
Se produce una transposicin con slo escribir el texto en claro siguiendo una
trayectoria diferente a la que todos hemos convenido en utilizar, que en Occidente es de
izquierda a derecha y de arriba abajo. As, escribiendo de derecha a izquierda
conseguimos un texto cifrado por transposicin: SEVERLAOTIRCSE. Aunque,
evidentemente, tarde o temprano todo el mundo se dar cuenta de ello. Pero simplemente
escribiendo con una trayectoria no horizontal y a continuacin reescribiendo en el modo
habitual, obtenemos un cifrado que despistar a cualquiera no iniciado en el
criptoanlisis.
Por ejemplo, uno de los mtodos de cifrado empleado por el ejrcito confederado en
la guerra de secesin americana fue el conocido como rail fence, que consiste en
escribir primero en zigzag en dos o ms renglones:

E I N Z
S R T E Z G A
C O I G

El texto cifrado es el siguiente: EINZSRTEZGACOIG.
5. CIFRADOS POR TRANSPOSICIN
78
He aqu otra simptica muestra:

O D I U
F R N O R A R C
M V S E
A

A

C

S

Y el criptograma que se obtiene: ODIUFRNORARCMVSEAACS.
Ms posibilidades se presentan si la escritura del texto en claro forma una figura
geomtrica regular como, por ejemplo, un cuadrado. Escribamos el texto CIFRADO
POR TRANSPOSICIN formando un cuadrado 55:

C I F R A
D O P O R
T R A N S
P O S I C
I O N

Podemos producir mltiples criptogramas reescribiendo las letras de diversos
modos. He aqu algunos:
Por columnas: CDTPIIOROOFPASNRONIARSC.
Por filas, al revs: ARFICROPODSNARTCISOPNOI
En diagonal: CIDFOTRPRPAOAOIRNSOSINC.
En fin, no hay lmites a las maneras de disear cifrados por transposicin. Pero an
siendo simple el proceso de cifrado en los ejemplos anteriores, en l pueden distinguirse
dos fases. La primera es aquella en la que escribimos el texto en claro (nicamente las
letras) siguiendo un determinado diseo que, por lo general, conduce a formar una figura
geomtrica. En la segunda fase, se obtiene el texto cifrado reescribiendo las letras segn
el modo convenido entre el emisor y el receptor del mensaje. Este ltimo, para recuperar
el texto en claro, deber deshacer los dos pasos anteriores.
Ahora bien, todava no hemos mostrado ningn criptosistema por transposicin;
slo las muchas opciones para su diseo. Recordemos que para definir un criptosistema es
imprescindible hablar de las claves y de como actan en los procesos de cifrado y
descifrado. Es lo que haremos a continuacin: presentar con precisin algunos
criptosistemas por transposicin, aquellos que consideramos ms caractersticos. En todos
ellos emplearemos nuestro alfabeto espaol de 27 letras y, por tanto, ignoraremos los
espacios en blanco y los signos de puntuacin que contengan los textos en claro.
El ms sencillo de este tipo de criptosistemas es la transposicin de columnas.
Tambin ha sido el ms recurrido; con frecuencia en combinacin con otro cifrado de
79
distinta categora como, por ejemplo, una sustitucin. En la transposicin de columnas se
parte de una clave que consta de un entero n y una reordenacin de los nmeros 1, 2, 3,
..., n. En la prctica, estos datos se obtienen considerando una palabra o grupo de
palabras; el entero n es el nmero de letras que tiene y la reordenacin referida la
proporciona el orden alfabtico de sus n letras. Por ejemplo, consideremos la palabra de
13 letras TRANSPOSICION y coloquemos debajo de sus letras el nmero que
corresponde al orden alfabtico:

T R A N S P O S I C I O N
13 10 1 5 11 9 7 12 3 2 4 8 6

Obtenemos la clave formada por el entero n = 13 y esta reordenacin de los trece
primeros nmeros: 13, 10, 1, 5, 11, 9, 7, 12, 2, 4, 8, 6.
Fijada la clave, el texto en claro se dispone formando un rectngulo con
exactamente n columnas. El texto cifrado se obtiene al escribir secuencialmente las
columnas en el orden proporcionado por la clave. Un ejemplo aclarar completamente
este proceso. Cifremos con la clave que proporciona la palabra TRANSPOSICION el
texto REUNION EN EL CUARTEL GENERAL EL LUNES A LA UNA DE LA
TARDE. Primero formamos el rectngulo con 13 columnas:

13 10 1 5 11 9 7 12 3 2 4 8 6
R E U N I O N E N E L C U
A R T E L G E N E R A L E
L L U N E S A L A U N A D
E L A T A R D E

Y despus escribimos secuencialmente las columnas segn la clave: UTUA ERU
NEA LAN NENT UED NEAD CLA OGSR ERLL ILEA ENLE RALE. Ahora bien,
este texto no puede presentarse como texto cifrado. En l hemos insertado espacios en
blanco separando las columnas para que stas se observen; pero mantener dichos espacios
en blanco en el texto cifrado revelara ya el dato n, el nmero de columnas. Por ello, el
texto cifrado es el texto anterior pero sin espacios en blanco. Tambin puede seguirse el
estndar de agrupar las letras en bloques de cinco; tal y como realmente se haca en la
prctica, para identificar posibles errores en las transmisiones telegrficas. Segn este
convenio, el texto cifrado quedara as: UTUAE RUNEA LANNE NTUED NEADC
LAOGS RERLL ILEAE NLERA LE.
Para descifrar este mensaje, el receptor del mismo ha de contar primero el nmero
de letras que consta; 47 en este caso. Seguidamente, ha de dividir 47 entre 13 (el nmero
de columnas). Se obtiene 3 como cociente y 8 de resto. Ello indica que las 8 primeras
columnas del rectngulo constan de cuatro letras y las 5 restantes de tres. Teniendo esto
80
en cuenta, el receptor ha de rellenar las columnas con el texto cifrado siguiendo el orden
determinado por la clave. Cuando termine, recuperar el mensaje en claro.
Una clave con pocas letras puede facilitar el trabajo del criptoanalista, mientras que
otra con muchas puede ser difcil de memorizar. As pues, una buena eleccin prctica
oscilara entre 7 y 25 letras, por poner unas cifras. Incluso con estos lmites el nmero de
claves diferentes es muy elevado. Recordemos que, fijado un entero n, el nmero de
reordenaciones de los nmeros 1, 2, 3..., n es el factorial de n: n! = n(n1)...21, que
enseguida es un nmero muy grande. Por ejemplo, 10! = 3628800.
Ya hemos dicho que la seguridad no es la principal caracterstica de las
transposiciones. Aadimos ahora que todas las que se llevaron a la prctica fueron
criptoanalizadas a partir de texto cifrado nicamente. Dentro de esta categora de cifrados,
la transposicin de columnas presenta una seguridad intermedia. Lo difcil de su
criptoanlisis es descubrir el nmero de columnas e identificarlas, obtener despus su
orden correcto es ms sencillo. Para no facilitar esta tarea al criptoanalista, la ltima fila
del rectngulo debe quedar siempre incompleta. Si da la casualidad que tal fila se llena,
han de aadirse algunas letras nulas al final del texto en claro para que ste contine en
una nueva pero incompleta fila.
La seguridad aumenta notablemente si se efecta una doble transposicin de
columnas. Esto es, si el texto cifrado que resulta de una simple transposicin de columnas
es sometido de nuevo a una segunda transposicin de este tipo. Habitualmente, esta
segunda transposicin est regida por la misma clave que la primera, pero puede utilizarse
otra distinta. Efectuar una segunda transposicin de columnas con el texto cifrado del
ejemplo previo y con la misma clave TRANSPOSICION produce el siguiente resultado:

13 10 1 5 11 9 7 12 3 2 4 8 6
U T U A E R U N E A L A N
N E N T U E D N E A D C L
A O G S R E R L L I L E A
E N L E R A L E

Texto cifrado: UNGLA AIEEL LDLAT SENLA UDRLA CEREE ATEON
EURRN NLEUN AE.
La doble transposicin de columnas es uno de los cifrados por transposicin ms
seguros que hayan sido puestos en uso. Fue la cifra de campo preferida de muchos
ejrcitos hasta la Primera Guerra Mundial, entre ellos el alemn y el americano. Tambin
estuvo presente en la Segunda Guerra Mundial. Fue cifra de emergencia de la
Wehrmarcht alemana y criptosistema habitual de la resistencia holandesa y el maquis
francs.
81
El siguiente criptosistema que vamos a introducir recibe el nombre de transposicin
de los nihilistas rusos, por ser usado por este grupo anarquista que surgi en la Rusia
zarista de la segunda mitad del siglo XIX. Las claves son las mismas que en las
transposiciones de columnas, pero el proceso de cifrado es ms complicado y se
entender mejor si lo describimos apoyndonos en un ejemplo. Consideremos entonces la
clave que origina la palabra COMUNA y cifremos con ella el texto en claro: EL FIN
POLITICO DE LOS NIHILISTAS RUSOS ERA UNA RUSIA SIN ESTADO.
El primer paso del proceso de cifrado consiste en dividir el texto en claro en
fragmentos de n
2
letras y formar con cada uno de ellos un cuadrado nn. (Recordemos
que n es el nmero de letras de la clave). En el ejemplo que exponemos, como n =6 y el
texto contiene 53 letras, ste se divide en dos partes, una de 36 letras y otra ms corta de
slo 17. Cada una de ellas se inscribe entonces en un cuadrado 66, resultando
incompleto el segundo:

1 2 3 4 5 6 1 2 3 4 5 6
1 E L F I N P 1 U N A R U S
2 O L I T I C 2 I A S I N E
3 O D E L O S 3 S T A D O
4 N I H I L I 4
5 S T A S R U 5
6 S O S E R A 6
Cuadrado 1 Cuadrado 2

A continuacin, se reescriben los cuadrados reordenando sus columnas de acuerdo
con el orden determinado por la clave. Usando la palabra COMUNA, este orden es 2, 5, 3,
6, 4, 1. Por tanto, hay que colocar la segunda columna en primer lugar, la quinta en
segunda posicin, etc.:

82
C O M U N A C O M U N A
2 5 3 6 4 1 2 5 3 6 4 1
1 L N F P I E 1 N U A S R U
2 L I I C T O 2 A N S E I I
3 D O E S L O 3 T O A D S
4 I L H I I N 4
5 T R A U S S 5
6 O R S A E S 6

Seguidamente, se repite la misma operacin en las filas de cada cuadrado:

2 5 3 6 4 1 2 5 3 6 4 1
C 2 L I I C T O C 2 A N S E I I
O 5 T R A U S S O 5
M 3 D O E S L O M 3 T O A D S
U 6 O R S A E S U 6
N 4 I L H I I N N 4
A 1 L N F P I E A 1 N U A S R U

Hecho esto, el texto cifrado es la sucesin de filas de los cuadrados, tal y como han
quedado: LIICT OTRAU SSDOE SLOOR SAESI LHIIN LNFPI EANSE
IITOA DSNUA SRU.
El receptor del mensaje deber seguir el proceso inverso para recuperar el mensaje:
partir el texto cifrado en trozos de n
2
letras, escribir cada uno en un cuadrado nn y
deshacer los reordenamientos de filas y columnas en los cuadrados. Tendr que prestar
atencin con el ltimo cuadrado, para que las casillas que resulten vacas sean las
correctas.
Como acabamos de ver, tras la transposicin de columnas los nihilistas rusos
efectuaban otra transposicin de filas. Con ello, estos anarquistas crean aumentar la
seguridad de su mtodo de cifrado. Ingenua suposicin. Ni aunque hubieran efectuado
varias alteraciones ms de filas, columnas, diagonales... habran conseguido un
criptosistema mnimamente seguro. Su proceso de cifrado se inicia dividiendo el texto en
claro en fragmentos de igual longitud: n
2
, que despus son reordenados del mismo modo.
83
Ello debilita considerablemente el criptosistema, independientemente de lo complicada
que sea la reordenacin. Ms adelante explicaremos el porqu.
Antes, vamos a detenernos en un curioso criptosistema que fue popularizado por
Julio Verne en su novela Matas Sandorff, publicada en 1885. Algunos textos lo
atribuyen al coronel austraco Eduard Fleissner von Wostrowitz, ya que est incluido en
su obra Handbuch der Kryptographie, escrita en 1881. Pero su origen se remonta al
menos al siglo XVIII, puesto que consta fue empleado por la administracin holandesa a
mediados de dicha centuria. Recibe el nombre de rejilla giratoria porque la clave es un
cuadrado dividido en cuadrculas, con la cuarta parte de ellas perforadas y de modo que al
girarla 90, 180 y 270 grados se descubran progresivamente todas las cuadrculas sin
repetir ninguna. En la Figura 5.1 mostramos una rejilla 66 con nueve casillas
agujereadas y verificando la condicin que acabamos de describir.

Figura 5.1. Ejemplo de rejilla.
En la confeccin de la rejilla giratoria, la seleccin de las cuadrculas agujereadas
no puede hacerse de cualquier manera. Nosotros hemos construido la rejilla de la Figura
5.1 siguiendo la estrategia que explicamos a continuacin. Hemos dibujado un cuadrado
66 y numerado sus cuadrculas del siguiente modo:

1 2 3 7 4 1
4 5 6 8 5 2
7 8 9 9 6 3
3 6 9 9 8 7
2 5 8 6 5 4
1 4 7 3 2 1

Como puede observarse, esta numeracin divide al cuadrado 66 en otros cuatro
cuadrados de nueve casillas cada uno. Al rotar 90 grados, cada uno de estos cuatro
cuadrados se traslada a otro adyacente de forma que cada una de sus cuadrculas va a
84
parar a aquella con igual nmero. En consecuencia, si queremos que cada cuatro giros
sucesivos de 90 se descubran todas las celdillas una nica vez, hemos de perforar nueve
de ellas sin hacerlo en dos con el mismo nmero. Puede comprobarse que en la clave de
la Figura 5.1, los nueve nmeros de las casillas descubiertas son todos distintos.
La argumentacin anterior permite tambin contar cuantas rejillas 66 diferentes
pueden construirse. Puesto que hemos de elegir una de las cuatro casillas con el nmero 1,
otra de las cuatro con el nmero 2, etc. hay 4
9
maneras diferentes de hacerlo. Ahora bien,
como una misma rejilla puede estar en cuatro posiciones distintas y cada una de ellas
corresponde a una seleccin diferente de los nueve agujeros, el nmero anterior ha de
dividirse por 4. En consecuencia, hay 4
8
=65536 rejillas 66 diferentes. (Ntese que este
argumento no ha considerado iguales a una rejilla y a la que se obtiene dndole la vuelta.)
En general, el nmero de rejillas distintas de dimensin nn con n par, n = 2k, es
1
2
4
k
. Tambin pueden considerarse rejillas nn con n impar, n = 2k+1. En este caso, la
cuadrcula central nunca debe agujerearse, ya que no cambia de posicin durante los
giros. Ahora, el nmero de rejillas diferentes es
1
2
4
+k k
. Por ejemplo, como 7 = 23+1, hay
1 3 3
2
4
+
= 4194304 rejillas distintas de dimensin 77.
Descritas las claves en este criptosistema de la rejilla giratoria y habiendo
comprobado que hay un nmero considerable de ellas, expliquemos el proceso de cifrado.
Como en ocasiones precedentes, se entender mejor si nos vamos ayudando de un
ejemplo. Cifremos con la rejilla mostrada en la Figura 5.1 el siguiente texto: LA
REJILLA GIRATORIA ES UN METODO CLASICO DE CIFRADO POR
TRANSPOSICION. Puesto que usamos una rejilla 66, en primer lugar dividimos el
texto en claro en fragmentos de 36 letras y colocamos cada uno de ellos en un cuadrado
del mismo tamao que la rejilla. Con nuestro texto resultan dos cuadrados, el segundo
incompleto:

L A R E J I E C I F R A
L L A G I R D O P O R T
A T O R I A R A N S P O
E S U N M E S I C I O N
T O D O C L
A S I C O D

(Si la rejilla empleada fuese de dimensin nn con n impar, se dividira el texto en
trozos de n
2
1 letras y con ellos se formaran sendos cuadrados, dejando vaca la casilla
central.)
85
A continuacin, colocamos la rejilla encima del cuadrado relleno con el primer
fragmento. Puesto que la rejilla admite cuatro posiciones, hemos de convenir con el
receptor del mensaje cual es la posicin inicial. En el ejemplo que desarrollamos
supondremos que esta posicin es la que refleja la Figura 5.1. Al superponer la rejilla en
el cuadrado, nicamente son visibles las letras situadas en las casillas perforadas. Estas
son las primeras letras del texto cifrado. Seguidamente, giramos 90 grados la rejilla.
Como el giro puede realizarse en dos direcciones, de nuevo hemos de concertar con el
receptor la direccin. Supondremos que sta es la determinada por el movimiento de las
agujas del reloj. Despus del giro, las cuadrculas agujereadas muestran otras letras del
cuadrado. Son las siguientes del texto cifrado. Volvemos a girar otros 90 la rejilla y
anotamos las nuevas letras reveladas. Repetimos una vez ms la operacin y hemos
cifrado ya el primer bloque del texto en claro. Los siguientes dibujos resumen este
proceso:

L R

I
I

A G
T R

A A
S

N
L

T C
I O

S
Posicin inicial. LRITRSLIO

Primer giro. IAGAANTCS

A E

J
L

L R
I

O
U M

E E
O

D O
C D

A
Segundo giro. AELIUMOCD

Tercer giro. JLROEEDOA

De igual modo se cifran las sucesivas partes en que ha sido dividido el texto en
claro. En nuestro ejemplo slo hay un segundo trozo; ha dado lugar a un cuadrado
incompleto, pero ello no perturba el proceso de cifrado. El criptograma, escrito en grupos
de cinco letras separadas por un espacio en blanco, es el siguiente: LRITR SLIOI
AGAAN TCSAE LIUMO CDJLR OEEDO AEIRA SIAPO ROICF DPCOR OTNSN.
86
Para descifrar un mensaje cifrado con una rejilla giratoria, el legtimo receptor del
mismo ha de seguir este otro proceso. Tras partir el texto cifrado en fragmentos de n
2

letras (n
2
1, si n es impar), se dibujan tantos cuadrados nn como fragmentos. Con la
rejilla en la posicin de partida, se coloca sta encima del primer cuadrado y se escriben
las letras iniciales del primer trozo en las casillas abiertas, en modo secuencial.
Seguidamente, se gira la rejilla y se contina escribiendo letras del primer trozo en las
cuadrculas abiertas, que ahora estarn todas en blanco. Se repite la operacin dos veces
ms. Hecho esto, el cuadrado estar repleto de letras y podr leerse el primer bloque del
texto en claro. De igual modo se descifra el resto de los fragmentos de texto cifrado. Al
proceder con el ltimo, no ha de escribirse letra alguna en las cuadrculas cuyo orden
supere la longitud de este postrero trozo. El orden al que nos referimos es el que
proporciona la direccin de la escritura: de izquierda a derecha y de arriba abajo, de modo
que la primera cuadrcula es la superior izquierda y la ltima la inferior derecha.
Hemos de sealar que los procesos de cifrado y descifrado que acabamos de
describir pueden ser intercambiados, consiguindose as otra manera de usar la rejilla
giratoria. No consideramos que sea necesario pararnos a explicar este otro modo
recproco, pero s advertir que los criptosistemas resultantes son diferentes.
Obsrvese que, al igual que ocurra en la transposicin de los nihilistas, el cifrado
en la rejilla giratoria se inicia dividiendo el texto en claro en fracciones de igual longitud
que luego son reordenadas de la misma manera. En general, los criptosistemas por
transposicin cuyo mtodo de cifrado cumple tal caracterstica se denominan regulares.
No todas las transposiciones son regulares; por ejemplo, la de columnas es irregular.
Bien, segn marca el guin del captulo, tras la descripcin de algunos cifrados por
transposicin corresponde hablar de criptoanlisis. Ante un criptograma, la primera tarea
del criptoanalista es siempre averiguar el criptosistema que lo ha producido. Es fcil
determinar si un criptograma ha sido cifrado por transposicin. Como no es ms que una
reordenacin de cierto texto en claro, las frecuencias de sus letras se mantienen en el
criptograma y, en consecuencia, deben seguir el patrn de frecuencias de las letras del
idioma en que se ha escrito el texto. Por tanto, un simple anlisis de frecuencias permite
averiguar si estamos ante un texto cifrado por transposicin. Lo que no es tan sencillo es
concretar, a partir de los criptogramas exclusivamente, qu cifrado por transposicin ha
sido empleado.
No obstante, si se dispone de varios criptogramas con exactamente la misma
longitud, no es necesario averiguar antes que tipo de transposicin los ha generado para
que el criptoanlisis pueda comenzar. En este caso, el simple y efectivo mtodo de los
mltiples anagramas descubre los textos en claro. Para comprender tal mtodo,
consideremos los siguientes cuatro anagramas que resultan de reordenar de la misma
manera sendas palabras de siete letras:
TLAUNER SODIAVA MORIPRE ARAGEN
Recuperar las palabras originales es difcil si se hace por separado; pero es sencillo
con las cuatro a la vez, siguiendo la estrategia que explicamos a continuacin. Escribimos
87
los anagramas uno debajo de otro, formando un rectngulo de cuatro filas y siete
columnas. Seguidamente, lo descomponemos recortando las columnas:

T L A U N E R
S O D I A V A
M O R I P R E
A R A G E N

Se trata ahora de reordenar las columnas procurando que casen las letras. O dicho
con mayor precisin: formando primero bigramas que sean frecuentes en nuestro idioma,
a partir de ellos trigramas, luego tetragramas que no sean imposibles, y as hasta
completar las palabras. Podemos comenzar considerando la ltima columna, que contiene
una . Como a esta letra slo puede seguirla una vocal, a la derecha de esta columna
debe ir otra que contenga una vocal en cuarto lugar. La candidata es la tercera columna,
que es la que produce los bigramas ms comunes:

R A
A D
E R
A

Con estos cuatro bigramas formamos otros tantos trigramas que no sean extraos en
nuestro idioma. Luego los ampliamos a tetragramas, stos a su vez a pentagramas... El
siguiente esquema lo muestra:

R A T R A T R A L U T R A L
A D S A D S A D O I S A D O
E R M E R M E R O I M E R O
A

A A

A A R

G A A R

E U T R A L N E U T R A L
V I S A D O A V I S A D O
R I M E R O P R I M E R O
N G A A R

E N G A A R

Con criptogramas en lugar de palabras el procedimiento es idntico; aunque,
evidentemente, mucho ms lento. Pero funciona. De nuevo nos lo demuestra la historia de
la Criptografa en varias ocasiones. La primera vez en 1878, cuando tres aficionados al
criptoanlisis (los editores del New York Tribune John Hassard y William Grosvernor
por un lado, y el matemtico Edward Holden por otro), descifraron varios telegramas
confirmando que el Partido Demcrata americano compr votos en las conflictivas
elecciones presidenciales celebradas dos aos antes. En esta ocasin, el mtodo de cifrado
empleado con los comprometedores telegramas fue una transposicin de palabras en lugar
de letras (previamente, los nombres propios y las palabras ms significativas se
reemplazaron por otros trminos).
88
El mtodo de los mltiples anagramas tambin es aplicable a las transposiciones
regulares, aunque no se disponga de varios criptogramas con el mismo nmero de letras.
Para poder hacerlo, el criptoanalista debe conocer el periodo, que as se denomina a la
longitud de los fragmentos en los que inicialmente se han partido los textos en claro. Una
vez hallado, se dividen los criptogramas en trozos de longitud igual al periodo, se colocan
stos uno debajo de otro y se inicia el proceso de los anagramas. El problema est en que
no hay mtodo alguno para calcular el mencionado periodo a partir de los criptogramas
nicamente. No obstante, es frecuente en la prctica que el periodo sea un nmero casi
conocido de antemano. As ocurre, por ejemplo, en la transposicin de los nihilistas y en
la rejilla giratoria, donde razones de efectividad obligan a manejar cuadrados de
dimensiones limitadas que, en consecuencia, restringen los posibles periodos a unos
pocos valores. En general, cualquier transposicin regular cuyo periodo vare entre unos
pocos valores es atacable mediante anagramas, independientemente de lo complicado que
sea su proceso de cifrado; y es, por tanto, menos segura que una transposicin irregular.
Adems del genrico mtodo de los anagramas, cada transposicin tiene su
particular mtodo de criptoanlisis. No vamos a exponer aqu todos ellos, ya que
extenderamos considerablemente el captulo. Nos conformaremos con presentar uno
slo: el de la rejilla giratoria, aprovechando que la hemos descrito con cierto detalle. Con
este objetivo consideramos el siguiente criptograma, obtenido al cifrar cierto texto en
espaol con dicho criptosistema:
ELAUR EMEEO UAAJS NCTIG OAEUL EPDON NSUSD NLRIO
IINIM YELMI LLMOS UNNAN TOYAJ RCEMR UIGOS REITE
EITDL ISEAQ EETHO CLRNA TAFEP ECROC LUISN READS
OESCS EACHE LNDEO ROLIR NAIER LIAEC FB
Criptograma
Ante una rejilla, el criptoanlisis debe partir de una suposicin sobre la dimensin
nn. En teora, el entero n puede tomar cualquier valor; pero cuando el criptosistema de la
rejilla fue llevado a la prctica, n estuvo siempre entre 5 y 10. Rejillas 44 no se
consideraban porque su nmero es reducido (slo hay 64 diferentes), y valores de n por
encima de 10 dan lugar ya a rejillas grandes de incmodo manejo. Siguiendo entonces
estas observaciones prcticas, supondremos tambin que la rejilla empleada con el
criptograma anterior est entre los lmites de 5 y 10.
Hecha una hiptesis sobre el entero n, el proceso que a continuacin explicaremos o
bien nos permitir descifrar el texto o nos llevar a un absurdo. En este segundo caso
habr que asignar otro valor a n y comenzar de nuevo. Por fortuna, con nuestro
criptograma no es necesario iniciar tal proceso en los supuestos n = 5 6, ya que pueden
ser descartados gracias a la posicin en la que ha quedado la nica Q presente. En las
lneas que siguen demostramos esta afirmacin cuando n = 5. La argumentacin para
n = 6 es muy similar y animamos a que la realice el lector.
89
Como ya hemos sealado antes, la rejilla es un criptosistema regular. Cuando n = 5,
el periodo es 24. Si dividimos el texto cifrado en fragmentos de 24 letras, la nica Q
aparece en el siguiente:

GOSREITEEITDLISEAQEETHOC.

Bajo la hiptesis n = 5, esta porcin de texto cifrado es el resultado de transponer
otro de texto en claro. En nuestro idioma, la Q va siempre seguida de una U. Como tal
vocal no figura en el fragmento anterior, ha de suceder que la Q es la ltima letra del
correspondiente trozo en claro y su acompaante U la primera del siguiente. Entonces,
en el proceso de cifrado, al rellenar con estos fragmentos los cuadrados 55, la Q va a
parar a la ltima cuadrcula de un cuadrado y la U a la primera del siguiente. Por otro
lado, como las letras se trasladan de los cuadrados al texto cifrado en bloques de 6 (que es
el nmero de casillas agujereadas que tiene una rejilla 55) y la Q es la decimoctava
letra del fragmento, la rejilla debe estar en su tercera posicin cuando destapa la
cuadrcula de la Q. Despus, tras dos giros, la rejilla vuelve a su posicin inicial y
descubre la primera casilla del siguiente cuadrado. En dicha casilla est la U que, en
consecuencia, debe encabezar el prximo fragmento de 24 letras de texto cifrado. Pero
no, la primera letra de este otro trozo es una L. Tal contradiccin anula el supuesto
n = 5.
Cuando n = 7 no es posible el razonamiento previo. En este caso, el periodo es 48 y
sucede que al partir el texto cifrado en fragmentos de 48 letras, la Q queda ubicada en
otro que contiene adems otras dos U. Es con esta suposicin n = 7 con la que iniciamos
el proceso antes anunciado. En realidad, es una optimizacin del genrico mtodo de los
anagramas, adaptado al criptosistema de la rejilla. Se empieza del mismo modo. Primero
dividimos el criptograma en trozos de 48 letras, resultando cuatro partes, la ltima con tan
slo 8 letras. Nos olvidamos de este residual trozo y con los otros tres formamos el
siguiente rectngulo:

E L A U R E M E E O U A A J S N C T I G O A E U L E P D O N N S U S D N L R I O I I N I M Y E L
M I L L M O S U N N A N T O Y A J R C E M R U I G O S R E I T E E I T D L I S E A Q E E T H O C
L R N A T A F E P E C R O C L U I S N R E A D S O E S C S E A C H E L N D E O R O L I R N A I E

A continuacin, hay que recortar las columnas de este cuadrado para despus
reordenarlas procurando formar palabras del texto en claro. Pero en este particular
mtodo, este proceso se va a efectuar siguiendo unas reglas muy similares al conocido
juego de cartas el solitario. Incluso se comprendern mejor tales reglas si
contemplamos las columnas del rectngulo como naipes de una baraja. Con esta idea, con
las 48 columnas formamos los cuatro palos de la baraja. Las doce primeras constituirn el
palo de picas: , la siguiente docena el de trbol: , las otras doce el de corazones: , y la
ltima docena el de diamantes: . Dentro de cada palo, cada columna tendr asignado un
nmero que indicar el orden que ocupa. La baraja obtenida puede contemplarse en la
Figura 5.2.

90
1

2

12

1 2 12
E L ... A A J ... U
M I N T O I
L R R O C S

1

2

12

1 2 12
L E ... N L R ... L
G O D L I C
O E N D E E
Figura 5.2. La baraja de cartas.
Expliquemos las razones del diseo de la baraja. Como una rejilla 77 tiene doce
cuadrculas perforadas, las doce primeras letras del texto cifrado son las letras que
asoman por dichas cuadrculas al situar la rejilla en su posicin inicial sobre el primer
cuadrado. Las siguientes doce son las que aparecen al efectuar un primer giro de la rejilla.
Y as sucesivamente. Por tanto, las letras de las cartas de igual palo fueron trasladadas al
texto cifrado cuando la rejilla estaba en una misma posicin. El palo de picas representa
la posicin inicial de la rejilla, el de trboles la segunda posicin, etctera. Por otro lado,
las doce letras que descubren las casillas abiertas de la rejilla se llevan siempre al texto
cifrado segn el orden habitual de la escritura: de izquierda a derecha y de arriba abajo.
Este orden es precisamente el nmero de cada carta. As, fijado un palo de la baraja, las
letras de la carta numerada con el 1 son anteriores en el texto en claro a las del 2, las de
sta otra carta son previas a las del 3, etctera.
Nuestra partida de criptoanlisis requiere disponer las cartas en una posicin inicial.
Su justificacin est en una propiedad del criptosistema de la rejilla que al mismo tiempo
constituye una debilidad: la simetra. Veamos en qu consiste. En primer lugar,
distinguimos en un cuadrado nn los pares de cuadrculas simtricas: dos de sus casillas
se dicen simtricas si una va a parar al lugar de la otra cuando se gira el cuadrado 180.
Por ejemplo, en el siguiente cuadrado 55 las cuadrculas con el mismo nmero son
simtricas:

1 2 3 4 5
6 7 8 9 10
11 12 13 12 11
10 9 8 7 6
5 4 3 2 1

En un criptograma obtenido con la rejilla giratoria, dos de sus letras se dicen
simtricas si durante el cifrado ocuparon casillas simtricas de un mismo cuadrado. Fijada
91
una carta de nuestra baraja, como todas sus letras ocuparon la misma cuadrcula de
cuadrados diferentes, tiene sentido referirse a su simtrica como aquella que contiene las
letras simtricas. Dicho esto, descubramos las cartas simtricas. Las picas representan la
posicin inicial de la rejilla. Al girarla 180, la rejilla pasa a la 3 posicin, asociada a los
corazones. Luego, corazones y picas son simtricos. Igualmente lo son trboles y
diamantes. Por otra parte, cuando rotamos 180 grados la rejilla, el orden de sus casillas
agujereadas se invierte: la primera pasa a ser la ltima, la segunda va al antepenltimo
lugar, etctera. En consecuencia, en nuestra baraja, la simtrica de una carta con el 1 es
otra con el 12, la de una con el 2 es otra con el 11, etctera. Ya hemos identificado las
cartas simtricas.
Coloquemos ahora las cartas en su posicin inicial. Formamos con ellas 8 montones
de 6 cartas cada uno, todas puestas boca arriba. Un montn contendr las seis primeras
cartas de picas. La visible ser el 1, debajo de ella estar el 2, luego el 3, etctera. Con los
otros tres palos formamos idnticos montones que situamos en una fila en lnea con el
primer montn. Y en una segunda fila, otros cuatro montones conteniendo cada uno de
ellos las simtricas de las cartas del montn por encima, en el orden 12, 11, ..., 7 para
respetar la simetra. Los ocho montones quedan como se muestra en la Figura 5.3.

1

1 1 1
E A L L
M T G L
L O O D

12

12 12 12
N L A U
D C N I
N E R S
Figura 5.3. Posicin inicial de las cartas.
Uno de los cuatro 1 contiene las letras que estaban en la primera casilla de los
cuadrados, la superior izquierda. (Por qu?) Su simtrica, un 12, incluye las que se
situaron en la ltima cuadrcula, la inferior derecha. En la primera jugada hemos de
intentar adivinar estas dos cartas. Tal jugada consiste extraer de su montn una de las
cartas de arriba, colocarla en lugar aparte y a su izquierda su simtrica, ligeramente
desplazada hacia abajo para que casen las dos primeras letras de esta carta con las dos
ltimas de aquella. La Figura 5.4 muestra las cuatro opciones posibles.

92
1 1 1 1
12 E 12 A 12 L 12 L
N M

L T

A G U L
D L

C O

N O I D
N E R S
a) b) c) d)
Figura 5.4. Opciones para la primera jugada.
Si acertamos en esta primera jugada, formamos dos bigramas del texto en claro:
aquellos que resultan de unir las ltimas letras de los cuadrados primero y segundo con
las primeras letras del segundo y tercero, respectivamente. Las cuatro opciones de la
Figura 5.4 contienen bigramas posibles en nuestro idioma y, en consecuencia, a priori no
hay que rechazar ninguna de ellas. Si hay que decidirse por una, sta debe ser la que
presente los bigramas ms frecuentes; pero quizs sea preferible contemplar la segunda
jugada antes de tomar la decisin.
Supongamos que elegimos la opcin correcta en la primera jugada. Entonces, una
de las cuatro cartas visibles en la fila superior incluye las letras que durante el cifrado se
colocaron en la segunda casilla de los cuadrados (de nuevo invitamos al lector a
reflexionar sobre esta afirmacin), y su simtrica inferior contiene las que ocuparon las
antepenltimas cuadrculas. Estas son las dos cartas que debemos extraer en la segunda
jugada. Las haremos casar con las anteriores, la de la fila superior por la derecha y su
simtrica por la izquierda. Una vez hecho, los dos bigramas de antes se ampliarn a
tetragramas y, adems, se formarn dos nuevos bigramas que, si esta segunda jugada es
correcta, pertenecern al texto en claro.
De todas las combinaciones que se pueden dar con las dos primeras jugadas (16 en
total), la que parece ms adecuada es la que muestra la Figura 5.5, continuacin de la
opcin d) en la primera jugada:

1 1
12 12 L A
L U L T
C I D O
E S
Figura 5.5. La segunda jugada.
En esta combinacin es posible el fragmento EL ULTIMO y un participio
terminado en CIDO. Adems, los dos nuevos bigramas que han surgido, LA y ES,
son de los ms frecuentes. Y para confirmar que efectivamente hemos elegido la
combinacin correcta continuamos la partida, intentando recuperar el texto en claro con
93
sucesivas jugadas. As, despus de la quinta jugada, nuestro solitario debe presentar el
aspecto de la Figura 5.6.

2

3 1 3
L S L I
I Y G S
R L O O

11

10 12 10
D Y A A
T H N R
L A R A

1 1 2 1 2
11 12 11 12 12 L A R E J
E N E L U L T I M O
O D U C I D O E L C
I N D E S
Figura 5.6 Tras la quinta jugada.
Esta Figura 5.6 nos muestra que el criptoanlisis va por buen camino. Colocar el
resto de las cartas parece ya tarea sencilla. Tras ello, accederemos al texto en claro. Y
tambin a la clave, cuya obtencin es inmediata: Rellenemos un cuadrado 77 con las 48
primeras letras del texto en claro, dejando vaca su casilla central. Las cuadrculas donde
se sitan las doce letras bajo el palo de picas son precisamente las casillas abiertas de la
rejilla cuando est en su posicin inicial.
Con la clave puede descifrarse el postrero y residual trozo de 8 letras de texto
cifrado que, recordemos, lo dejamos a un lado. En fin, dejamos esta ltima parte del
criptoanlisis al lector interesado y despedimos el captulo mostrando el texto en claro. Es
el siguiente fragmento extrado del libro La Cryptographie Militaire de Auguste
Kerchoffs, publicado en 1883:
La rejilla es un procedimiento ingenioso, muy usada en el ltimo siglo,
y las mejoras que recientemente ha introducido el coronel austriaco
Fleissner parecen hacerla indescifrable.

95
6
LA CRIPTOGRAFA EN LA PRIMERA
GUERRA MUNDIAL
En enero de 1917, la primera guerra mundial iba ya por su tercer ao y no se
divisaba un final en un corto plazo. El Kaiser Guillermo II, que haba prometido una
rpida victoria cuando se inici la contienda, vea ahora a sus tropas atascadas en el frente
francs en una guerra de trincheras. Su poderosa armada haba sido superada por la Royal
Navy y, como consecuencia de ello, Alemania se encontraba sometida a un bloqueo
martimo por parte de Inglaterra. Adems, nuevos pases haban decidido participar en la
guerra al lado de los aliados. El Kaiser no anunciaba ya un triunfo inmediato. Ni siquiera
estaba claro que la victoria fuese a caer del lado de las potencias de la Europa Central.
A no ser que los submarinos alemanes reanudasen la que se llam guerra sin
restricciones. Consista en que cualquier barco, de guerra o mercante, enemigo o neutral,
hallado en una zona de exclusin prxima a las costas de Inglaterra, sera hundido sin
previo aviso. Con ello, Inglaterra pasara a ser el pas bloqueado. Tal situacin asfixiara a
los ingleses y les obligara a pedir la paz. Esa era la estrategia que conduca a la deseada
victoria rpida.
Alemania ya haba declarado antes la guerra sin restricciones, a comienzos de 1915.
Sus ataques indiscriminados hundieron buques mercantes americanos, algunos con miles
de pasajeros. Estas acciones estuvieron a punto de llevar a Estados Unidos a una
declaracin de guerra. Temerosos de que Amrica entrara en la guerra al lado de los
aliados, los alemanes abandonaron la guerra sin restricciones en otoo de 1915. Muy
posiblemente su reanudacin traera consigo la declaracin de guerra por parte de Estados
Unidos.
Eso no importaba ahora al alto mando militar germano. Estaba convencido de su
victoria antes de que los grandes contingentes de tropas americanas pudiesen desembarcar
en Europa. Pero no era tan optimista el gobierno alemn, quin pensaba que la
participacin en la guerra de Estados Unidos dara el triunfo a los aliados. Por ello,
prepararon un atrevido plan que, de salir adelante, evitara la presencia del ejrcito
6. LA CRIPTOGRAFIA EN LA PRIMERA GUERRA MUNDIAL
96
americano en el frente europeo. El plan pasaba por una alianza con Mjico y Japn y
consista en que si Estados Unidos declaraba la guerra a Alemania, esos dos pases
atacaran a los norteamericanos en su propio territorio. Alemania ayudara econmica y
militarmente a dichas naciones.
El plan era arriesgado pero no descabellado. Mjico todava reclamaba sus antiguos
territorios en Texas, Arizona, Nuevo Mjico y California, arrebatados por Estados Unidos
en la guerra de 1848. Con la ayuda alemana, Mjico poda recuperarlos. Por otra parte, los
anlisis germanos daban como inevitable una futura guerra entre Japn y Estados Unidos
por el control del Pacfico y que nicamente ahora Japn resultara victorioso (la Historia
ha demostrado la correccin de esta prediccin.) Y en ltima instancia, si Mjico y Japn
no aceptaban la propuesta, Alemania poda reconsiderar la guerra submarina sin
restricciones.
Arthur Zimmermann, ministro de asuntos exteriores alemn, pens que, dado lo
delicado de los propsitos germanos, lo mejor era que su embajador en Mjico lo
planteara con la mayor discrecin al presidente mejicano. Sin embargo, tena un
problema: comunicar con sus embajadas al otro lado del Atlntico. En aquella poca, los
pases europeos disponan ya de cables telegrficos transatlnticos por los que cursaban
sus comunicaciones con el otro lado del ocano. Pero los cables alemanes haban sido
inutilizados por los britnicos el primer da de la guerra. Para contactar con sus embajadas
en Amrica, Zimmermann deba hacerlo a travs de los cables telegrficos de otras
naciones. Dos pases se lo permitan, la neutral pero pro germana Suecia y aquel contra el
que iba a conspirar, los Estados Unidos.
El 16 de enero de 1917, Zimmermann curs un telegrama su embajador en
Washington, Johann H. von Bernstorff, conteniendo instrucciones para la delegacin
germana en Mjico. Lo envi por duplicado, para asegurarse que llegaba a su destino.
Una copia se transmiti por las lneas suecas y la otra por las norteamericanas. Tres das
ms tarde, el embajador Bernstorff reenvi las instrucciones de Zimmermann a su
homnimo en Mjico.
Obviamente, los telegramas iban cifrados. La diplomacia alemana utilizaba libros
de cdigos para este menester. Tales cdigos consistan todos ellos en un amplio
repertorio de cifras. El telegrama que desde Berln se envi a Washington iba cifrado
segn el cdigo identificado con el nmero 0075. El que desde Washington Bernstorff
telegrafi a Mjico se cifr con el cdigo 13042. La razn de este cambio de cdigos est
en que la embajada alemana en Mjico no usaba el cdigo 0075. Puede contemplarse el
telegrama que lleg a Mjico en la Figura 6.1.
97

Figura 6.1. El telegrama Zimmermann.
Tanto el cable de Suecia como el de Estados Unidos pasaban por Inglaterra y,
naturalmente, estaban intervenidos. Los censores britnicos obtuvieron las dos copias del
telegrama procedente de Berln. Al observar que estaba cifrado, las remitieron a la
Habitacin 40, que as era como se conoca a la oficina de criptoanlisis de la armada
inglesa. All, dos de sus criptoanalistas, William Montgomery y Nigel de Grey,
reconocieron que se trataba de un mensaje cifrado con el cdigo 0075, que haba sido
puesto en servicio seis meses antes. Dado que el 0075 era un nuevo cdigo, los ingleses
slo lo tenan recuperado parcialmente. Por este motivo, Montgomery y de Grey
nicamente descifraron algunos trozos del mensaje. Tales partes revelaban un importante
asunto, pero en absoluto permitan conocer con exactitud el plan alemn.
Afortunadamente para los britnicos, entre las partes reveladas del telegrama figuraba su
primer prrafo. En l, Zimmermann ordenaba a Bernstorff reenviar secretamente a su
embajada en Mjico el texto que segua a continuacin. En la Habitacin 40 saban que en
Mjico no usaban el cdigo 0075. Por tanto, dedujeron que el mensaje que Bernstorff
deba enviar a Mjico tena que cifrarse con otro cdigo, seguramente ms antiguo y
98
posiblemente en su poder. Con una copia de este segundo mensaje revelaran
completamente su significado.
Un agente ingls la obtuvo en la oficina de telgrafos de la ciudad de Mjico. A
primeros de febrero, dicha copia estaba ya en Londres. Como dijimos antes, iba cifrada
con el cdigo 13042; y como bien intuyeron en la Habitacin 40, este cdigo estaba ya en
sus manos. Con l pudieron descifrar completamente el telegrama. La traduccin al
espaol del texto en alemn es la siguiente:
Pretendemos comenzar el 1 de febrero la guerra submarina sin
restricciones. No obstante, nos esforzaremos en mantener neutral a los
Estados Unidos de Amrica. En el caso que esto no suceda, hacemos a
Mjico una propuesta de alianza en base a lo siguiente:
Hagamos la guerra juntos y obtengamos la paz juntos. Habr ayuda
financiera y acuerdo por nuestra parte para que Mjico reconquiste los
territorios perdidos en Texas, Nuevo Mjico y Arizona. Le dejo a usted los
detalles.
Informe de lo anterior al presidente de Mjico con el mayor de los
secretos tan pronto como se inicie la guerra con los Estados Unidos.
Sugirale que, por propia iniciativa, invite a Japn a unirse inmediatamente y
que medie entre Japn y nosotros.
Por favor, llame la atencin al presidente que el empleo sin piedad de
nuestros submarinos ofrece ahora la perspectiva de obligar a la paz a
Inglaterra en unos pocos meses.

El 24 de febrero, el telegrama Zimmermann fue dado a conocer por los britnicos al
embajador americano en Londres. Naturalmente, slo le mostraron la copia sustrada de la
oficina de telgrafos en Mjico y su trascripcin siguiendo el viejo cdigo 13042. Ni una
palabra del telegrama cifrado con el cdigo 0075 e interceptado en Inglaterra, ya que ello
implicara reconocer la intervencin ilegal en los cables telegrficos de otros pases.
El telegrama fue publicado por la prensa americana el primer da de marzo. Al
principio, mucha gente puso en duda su autenticidad y alegaron que no era sino un
complot ingls para llevar a Estados Unidos a una guerra que no quera. La duda la
despej el propio Zimmermann, quien honestamente admiti su autora. Durante ese mes
de marzo, las voces americanas que clamaban a favor de la guerra silenciaron por
completo a aquellas que deseaban la paz. Hasta que el 2 de abril, el presidente Woodrow
Wilson, que haba sido reelegido con la promesa de mantener fuera de la guerra a Estados
Unidos, llev al Congreso una declaracin de guerra. Ese da, Alemania estaba en guerra
con Estados Unidos.
Mal acab la intriga alemana que contena el famoso telegrama Zimmermann.
Adems, ni siquiera lleg a ser expuesta a su destinatario, el presidente de Mjico. Y todo
ello, por el empleo de un criptosistema poco seguro: el cifrado mediante libros de
cdigos. Con frecuencia, los usuarios de este modo de cifrado han credo en su seguridad
si mantenan en secreto el correspondiente libro de cdigos. Depositan esta confianza en
99
el elevado nmero de sustituciones que suele catalogar: varias decenas de miles. Pero de
este elevado nmero, los usuarios slo utilizan unos cuntos cientos, por lo especfico del
lenguaje que estn obligados a emplear. De este modo, al llevar a la prctica el libro de
cdigos, lo han reducido a un nomencltor como los que se emplearon antiguamente. Por
tanto, la seguridad que proporciona el libro de cdigos no puede ser mayor que la de su
predecesor el viejo nomencltor. Menos an, porque ahora los criptoanalistas disponen de
gran cantidad de texto cifrado con el mismo cdigo, y a veces incluso de algn texto en
claro. Ello es suficiente para recuperar los pocos cientos de palabras diferentes que se
suelen emplear. As recuperaron los criptoanalistas de la Habitacin 40 los cdigos
diplomticos involucrados en el telegrama Zimmermann. Nunca dispusieron de un
ejemplar de tales libros.
El cifrado mediante cdigos fue tambin el mtodo elegido por la armada alemana
para proteger sus comunicaciones. Pero antes de hablar de ello, conviene sealar que
cuando se inici la contienda en agosto de 1914 ya haban transcurrido casi veinte aos
desde que la radio fue inventada. La radio permite a los almirantes en tierra un control
inmediato y continuo de los navos en alta mar. No obstante, la enorme posibilidad de
comunicacin que ofrece la radio tiene un pequeo inconveniente: las ondas areas por
las que viajan los mensajes son pblicas. As, no slo los barcos de guerra alemanes
reciban las rdenes transmitidas por una potente emisora a las afueras de Berln, sino
tambin los receptores britnicos. Evidentemente, los mandos alemanes eran conscientes
de esta posibilidad y protegan sus mensajes cifrndolos mediante cdigos, como ya
hemos dicho. Y al igual que sus compatriotas diplomticos, consideraban totalmente
segura esta comunicacin porque suponan que ningn intruso dispona de sus cdigos.
Errnea suposicin, porque tan slo al mes siguiente de empezar la guerra,
Inglaterra ya se haba hecho con los cdigos de la armada germana. Sucedi que a los
pocos das del inicio de la contienda, el crucero alemn Magdeburgo encall en el
Bltico, cerca de la costa rusa. Ante la inmediata llegada de navos rusos, el capitn
alemn orden abandonar el crucero y, con las prisas, olvid en un cajn el libro de
cdigos que empleaba la armada alemana. Los rusos registraron el navo encallado y
encontraron el mencionado libro. Poco despus, el libro fue enviado a Inglaterra.
El cdigo Magdeburgo (as se conoce ahora al cdigo del libro) constaba de
palabras de cuatro letras en las que la primera y la tercera eran consonantes, y la segunda
y la cuarta vocales. La razn de este diseo es clara: hacer pronunciables las palabras del
cdigo. Pero el disponer del cdigo no era suficiente para revelar el significado de los
mensajes germanos. El mando naval alemn, para conseguir mayor seguridad, despus de
codificar sus rdenes las cifraba. Por tanto, era obligado conocer tambin el mtodo de
cifrado empleado. An les llev tres semanas a los criptoanalistas de la Habitacin 40
descubrir que los alemanes cifraban el cdigo mediante una sustitucin monoalfabtica en
la que vocales se reemplazaban por vocales y consonantes por consonantes. (Con ello, el
texto cifrado resultante segua siendo pronunciable.) Sabiendo esto, ya no es difcil
averiguar la clave de la sustitucin usando que ciertas palabras del cdigo eran ms
frecuentes que otras en virtud del contexto de los mensajes. Adems, el diseo del cdigo
facilitaba la tarea. Naturalmente, dicho trabajo era necesario repetirlo cada vez que se
cambiaba la clave. Al comienzo de la guerra ello suceda cada tres meses. Tal periodo se
100
fue acortando conforme avanzaba la contienda, y ya en 1916 la clave era cambiada cada
medianoche.
En las comunicaciones con los submarinos, los alemanes empleaban el mismo
cdigo que con los navos de superficie, pero el mtodo de cifrado posterior empleado era
una transposicin de columnas. La clave no se cambiaba muy frecuentemente. Como ya
sabemos por el tema anterior, descifrar una transposicin de columnas no es difcil y
puede hacerse con texto cifrado nicamente. En consecuencia, al tener los cdigos en su
poder, los britnicos accedieron tambin a las instrucciones que los alemanes transmitan
a sus submarinos.
El cdigo Magdeburgo no fue el nico empleado por la armada alemana ni el nico
recuperado por los ingleses. Estos tomaron buena nota de los tesoros que podan contener
los navos enemigos hundidos o abandonados. Por ejemplo, en septiembre de 1916 se
hicieron con los cdigos en vigor registrando los restos de un zepeln abatido. En otra
ocasin, un buzo rescat los libros de cdigos de un submarino alemn hundido cerca de
la costa inglesa. Fue condecorado por esta accin despus de la guerra. La Habitacin 40
reconoci haber descifrado unos 15.000 mensajes alemanes a lo largo de la guerra.
La Royal Navy tambin us cdigos para proteger sus comunicaciones
radiotelegrafiadas. Sus voluminosos libros de cdigos contenan un amplsimo repertorio
de palabras y grupos de palabras codificadas con nmeros de cinco dgitos. Incluan
muchsimos homfonos. Algunas expresiones disponan de 15 homfonos. Haba varias
pginas de nulos que deban constituir el 25% del total del mensaje, segn se indicaba en
las instrucciones. Pero lo que ms llama la atencin es el empleo de polfonos; esto es,
que un mismo nmero de cdigo pueda representar significados distintos. Exactamente
tres en los cdigos ingleses. Para que el empleo de polfonos no imposibilite el descifrado
correcto, en el libro de cdigos los nmeros no polfonos iban seguidos de una de las
letras A, B, o C; mientras que los polfonos iban precedidos y seguidos de una de dichas
letras. Al descifrar, para cada polfono haba que elegir aquel significado cuya letra inicial
coincida con la letra final de la acepcin elegida para el nmero anterior. Por ejemplo, el
descifrado correcto del mensaje
13901 01581 47689
con el cdigo
...
A 01581 B Ammunition
B 01581 A 4th July
C 01581 B German
...
13901 C Seen
...
A 47689 B Prince of Walles
B 47689 C Cruiser
C 47689 A Wednesday

101
sera: Seen German Cruiser (Visto crucero alemn).
La Royal Navy no cifraba el cdigo resultante. Basaba toda la seguridad en las
caractersticas de sus libros de cdigos, que desde luego eran de los ms complejos que se
hayan confeccionado nunca. Desconocemos si los alemanes fueron capaces de penetrar en
los cdigos ingleses. Aunque seguro que no antes de 1916, ya que hasta entonces no
pusieron en marcha su Abhorchdienst (servicio de interceptacin).
Si mal les fue a los cdigos de la diplomacia y armada alemanas con la Habitacin
40, mayor derrota sufrieron las cifras del ejrcito de tierra germano en su enfrentamiento
con los criptoanalistas de le Bureau du Chiffre francesa. Esta oficina dedicada al
criptoanlisis haba sido creada por el ejrcito francs a finales del siglo XIX. Cuando
comenz la guerra, le Bureau du Chiffre contaba ya con un equipo de criptoanalistas bien
formados con el curso La Cryptographie Militaire de Auguste Kerchoffs. Tambin
haba organizado una red de escuchas radiotelegrficas por toda Francia. No es de
extraar entonces que el ejrcito francs tuviese instrucciones de inutilizar completamente
las lneas telegrficas antes de su repliegue. As forzaran a los alemanes a emplear la
radio y sus mensajes seran interceptados por la oficina francesa para un posterior
criptoanlisis. El plan funcion perfectamente.
Al estallar la contienda, el ejrcito de tierra alemn empleaba una cifra de campo
que ellos llamaban BCHI (abreviatura de BungsCHIffre, cifra prctica) y era una
doble transposicin de columnas. En aquella poca, el nico mtodo conocido para atacar
este tipo de transposicin con texto cifrado nicamente era el de los mltiples anagramas,
descrito en el captulo anterior. Como ya dijimos en dicho captulo, este mtodo de
criptoanlisis funciona con cualquier cifrado por transposicin; pero necesita dos o ms
criptogramas cifrados con la misma clave y de la misma longitud. Criptoanalizar una
doble transposicin de columnas mediante el mtodo de los anagramas es un proceso muy
lento, pero con paciencia se recuperan los textos en claro que esconden los criptogramas.
Hecho esto, el siguiente paso es descubrir la clave haciendo uso de los textos en claro
revelados. Tampoco es fcil, pero puede hacerse.
Los alemanes cambiaban la clave cada diez o quince das, un periodo de tiempo
demasiado grande para el trfico de mensajes que haba. Y como, adems, la mayora de
tales mensajes tenan una longitud que rondaba las cien letras, no era difcil encontrar dos
de ellos con exactamente la misma longitud. Entonces el criptoanlisis poda iniciarse.
Los franceses recuperaron por primera vez una clave BCHI el 1 de octubre de 1914. Y
todas las que siguieron hasta el 18 de noviembre de es mismo ao, da en que los
alemanes introdujeron un nuevo modo de cifrado. La razn del cambio en las cifras
alemanas fue que el peridico francs Le Matin cometi la imprudencia de publicar que
los mensajes germanos estaban siendo descifrados.
Sin embargo, el nuevo criptosistema era ms dbil. Consista en un cifrado
Vigenre con clave ABC seguido de una transposicin de columnas. Los franceses le
dieron el nombre de cifrado ABC. Tan slo un mes despus de la entrada en vigor de la
nueva cifra, en le Bureau du Chiffre ya se haba redactado un documento explicando un
mtodo para su criptoanlisis a partir de texto cifrado nicamente. El cifrado ABC estuvo
102
en vigor hasta mayo del ao siguiente. Para entonces la guerra entr en una fase esttica
de trincheras, sin apenas movimientos de tropas. Ello trajo una reduccin considerable en
el volumen de mensajes radiados. Muchos de ellos eran intrascendentes y en ocasiones
incluso se transmitan en claro.
A la cifra ABC le sigui la ABCD, que era un poco ms complicada. Primero haba
que cifrar el texto en claro usando el sistema de Vigenre con clave ABCD pero de forma
intermitente, y a continuacin se efectuaba una transposicin de columnas. La clave de la
transposicin rega tambin las intermitencias en el cifrado Vigenre previo. Tan slo
llev dos semanas a le Bureau du Chiffre romper este nuevo cifrado. Los alemanes
dejaron de usarlo en abril de 1916.
Fue reemplazado por una serie de cifrados polialfabticos tan poco eficientes que
con frecuencia confundan a las personas encargadas del cifrado y descifrado de los
mensajes. No les qued ms remedio que abandonarlos y regresar a los cifrados por
transposicin. Esta vez emplearon rejillas giratorias, una diferente cada semana. Tampoco
lograron burlar al criptoanlisis francs, que conoca perfectamente como atacar este tipo
de transposiciones. Los alemanes emplearon las rejillas durante varios meses, hasta marzo
de 1917. Despus de esta fecha, reconociendo su incapacidad para disear una cifra de
campo que derrotase a le Bureau du Chiffre, el ejrcito de tierra alemn recurri a los
cdigos.
Durante todo este tiempo, sus enemigos en el frente, Francia e Inglaterra, slo
utilizaron una cifra de campo cada uno. Los britnicos hicieron uso de su cifra Playfair
estudiada en el Captulo 4. La emplearon en todos los frentes. Consta que fue utilizada
incluso por Lawrence de Arabia. Sus aliados franceses hicieron uso de una cifra basada en
las transposiciones de columnas, pero con una curiosa variante que describiremos mejor
con un ejemplo. Cifremos con la clave LE BUREAU DU CHIFFRE el siguiente texto:
Dos compaas enemigas atacan nuestra posicin Stop Enven refuerzos Stop
Cuarto batalln
Siguiendo el esquema de cifrado de una transposicin de columnas, el texto en claro
se escribe formando un rectngulo con tantas columnas como letras tiene la clave. Tales
columnas se enumeran conforme al orden alfabtico de las letras de la clave. Pero en esta
variante francesa, antes de escribir secuencialmente las verticales segn el citado orden de
las columnas, se escriben primero algunas diagonales que parten de ciertas letras de la
primera fila y cuya especificacin exacta forma parte tambin de la clave. En nuestro
ejemplo, tales diagonales comenzarn en las columnas 2, 6, 10, 11, 14, 15 y 17. Las tres
primeras irn hacia la derecha y las otras cuatro hacia la izquierda, segn se indica a
continuacin:

103
L E B U R E A U D U C H I F F R E
12 5 2 15 13 6 1 16 4 17 3 10 11 8 9 14 7
D O S C O M P A I A S E N E M I

G A S A T A C A N N U E S T R A P

O S I C I O N S T O P E N V I E N

R E F U E R Z O S S T O P C U A R

T O B A T A L L O N

El texto cifrado comienza con las diagonales especificadas: primero las que parten
hacia la derecha, despus las que van a la izquierda, respetando su orden numrico. Si
alguna de las diagonales zurdas cruza por una letra perteneciente a una diagonal diestra,
dicha letra no se vuelve a escribir. Tras las diagonales van las columnas, segn el orden
determinado por la clave. De nuevo, al transcribir las columnas, hay que omitir las letras
ya escritas. El que sigue a continuacin sera el texto cifrado (hemos incluido un espacio
en blanco entre diagonales y columnas para que se observe su formacin):

SAIRL MCSSN SSVU EEPSO MRP CSSR INZA PN IFB AUT T
OAEO AO IPNR NTC EI EO N DGOT OTET AEA CUA AAOL NO

El motivo de las diagonales en esta cifra francesa es romper la uniformidad en las
longitudes de columnas, hecho en que se basa el criptoanlisis de las transposiciones de
columnas. No obstante, este cifrado no es ms seguro que la doble transposicin de
columnas que empleaban los alemanes al comienzo de la guerra (su cifra BCHI).
Tampoco lo es el famoso Playfair ingls. Y sin embargo, ambos mtodos de cifrado no
fueron rotos por los alemanes hasta tres aos despus de iniciada la contienda. La razn
de ello ya la hemos sealado: hasta 1916 el ejrcito alemn no cre su oficina de
criptoanlisis, la Abhorchdienst. Desde ese momento, la anterior cifra francesa y el
Playfair ingls tenan los das contados.
Mientras tanto, el frente occidental haba entrado en una fase esttica. Los dos
ejrcitos contendientes se encontraban encerrados en dos enormes lneas de trincheras que
iban desde el mar del Norte hasta la frontera suiza. Con los ejrcitos inmovilizados en sus
refugios subterrneos, el telfono se convirti en el medio ideal para establecer
comunicacin. Pero en el frente, los cables telefnicos estaban intervenidos por el
enemigo. Los ingleses lo constataron en la feroz batalla de Ovillers-la-Boiselle (julio,
1916), en la que sufrieron miles de bajas para poder tomar una colina defendida por una
guarnicin alemana poco numerosa. Cuando por fin lo consiguieron, encontraron en las
trincheras alemanas una trascripcin completa de su plan de ataque. El mando ingls lo
haba transmitido en claro por una lnea telefnica que los alemanes tenan interceptada.
Como consecuencia de tales interceptaciones telefnicas, los aliados se vieron en la
104
necesidad de cifrar sus conversaciones. Para este menester recurrieron a unos cdigos
especiales que se llamaron cdigos de trinchera.
Eran pequeos cuadernos que contenan unos pocos cientos de palabras codificadas
con dos o tres letras. Tales palabras eran aquellos vocablos de uso frecuente en
comunicaciones militares y cuyo significado era esencial para el entendimiento del
mensaje. Estaban agrupados por categoras como infantera, artillera, nmeros, lugares,
verbos, etc. Cuando una orden militar se cursaba por telfono, las palabras clave deban
ser sustituidas por su correspondiente cdigo para hacer incomprensible el mensaje al
enemigo. Naturalmente, el problema que presentaba el uso de estos cdigos era que
podan caer fcilmente en manos del enemigo, ya que estaban cerca de sus lneas. Por tal
motivo, los cdigos de trinchera se cambiaban muy frecuentemente. Los primeros fueron
diseados por los franceses a comienzos de 1916. Despus de su terrible experiencia en la
citada batalla de Ovillers-la-Boiselle, los britnicos emplearon tambin los cdigos de
trinchera. Incluso los americanos hicieron uso de ellos cuando sus primeras unidades
llegaron a Europa a finales de 1917.
No obstante, los cdigos de trinchera slo servan para lo que haban sido
diseados. No eran tiles en las comunicaciones radiotelegrafiadas que el alto mando en
la retaguardia empleaba con sus divisiones en el frente. En esta tarea, los aliados, despus
de constatar que la Abhorchdienst haba roto sus cifras, emplearon a partir de 1916
cdigos con un repertorio de varios miles de palabras. Y para mayor seguridad, los
aliados sometan el cdigo resultante a un cifrado posterior. An as, el servicio de
interceptacin germano penetr en numerosas ocasiones en tales comunicaciones. Los
libros de cdigos estaban demasiado cerca del enemigo y era difcil que no cayesen en su
poder. De nuevo era obligado cambiar estos cdigos lo ms frecuentemente posible. En
esta tarea, los americanos eran los ms diligentes. Cambiaban sus cdigos cada mes. Y ya
al final de la guerra utilizaron un cdigo que no necesitaba ser escrito en ningn libro: el
lenguaje nativo de los indios Choctaw que formaban parte del ejrcito americano en
Europa. Aunque ello no obedeci a una estrategia criptogrfica premeditada, sino que fue
algo improvisado. En cierta ocasin, un oficial americano en el frente necesit comunicar
urgente y secretamente con su alto mando. Sabiendo que sus cdigos estaban en poder de
los alemanes, se le ocurri poner al telfono a un Choctaw de su unidad y a otro de estos
indios que serva en el puesto de mando americano. La idea funcion y fue repetida en
varias ocasiones. Hay que reconocer que emplear una lengua que nadie conoce en el
bando enemigo es un modo muy efectivo de mantener comunicacin segura, pero
nicamente hasta el momento en el que uno de los hablantes de ese extrao idioma sea
hecho prisionero. Los americanos volveran a utilizar a sus soldados aborgenes para este
fin en la Segunda Guerra Mundial, en su lucha con los japoneses. En esta ocasin
emplearan a los indios Navajos.
A comienzos de 1918, Alemania comprendi que si quera ganar la guerra debera
hacerlo de forma inmediata. Aunque sus submarinos haban fracasado en el intento de
aislar a Inglaterra y Estados Unidos le haba declarado la guerra, el desmoronamiento
ruso haba liberado decenas de divisiones del frente Este y por vez primera Alemania
dispona en el Oeste de ms soldados que los aliados. Pero esta superioridad iba a durar
poco, el tiempo que tardasen los americanos en reunir un gran contingente de tropas en
105
Europa. Adems, los alemanes saban que podan contar con el factor sorpresa. Los
aliados nunca imaginaran que estuviesen planeando lanzar un ataque en la primavera. A
primeros de marzo, el jefe del estado mayor germano, Erich von Ludendorff, haba
preparado en secreto una gran ofensiva.
Era evidente que el factor sorpresa se vendra abajo si los aliados interceptaban las
comunicaciones alemanas previas al gran ataque. Para evitarlo, el mando alemn renunci
al empleo de cdigos y se decidi por las cifras de campo. Esta vez se escogi una nueva,
elegida entre varias candidatas. Una que los criptoanalistas de la Abhorchdienst no
pudieron romper. De hecho, estudios posteriores han demostrado que fue la cifra de
campo ms segura empleada en la primera guerra mundial. La llamaron GEDEFU 18
(GEheimschrift DEr FUnker 18: cifra de radiotelegrafistas 18), aunque a pasado a la
historia de la Criptografa con el nombre de cifrado ADFGX. Fue diseada por el coronel
Fritz Nebel.
Nebel recuper la idea del antiguo griego Polibios de representar las letras del
alfabeto por un par de coordenadas. As, en el cifrado ADFGX se comienza disponiendo
las letras en un cuadrado de 25 casillas segn el orden que determine la clave. Pero ahora,
las cinco filas y columnas de este cuadrado no van numeradas del 1 al 5; sino que en su
lugar Nebel emple las letras A, D, F, G y X. Un ejemplo de tal configuracin puede ser
el siguiente:

A D F G X
A f r i t z
D n e b l a
F c d g h k
G m o p q s
X u v w x y
Tabla 6.1 Ejemplo de cifrado ADFGX.
En este ejemplo, la letra A tiene coordenadas DX. La razn de utilizar las letras A,
D, F, G y X en lugar de los nmeros de 1 al 5 tiene que ver con la transmisin en cdigo
Morse. En este cdigo, la representacin de los nmeros es parecida; pero la de las letras
anteriores es suficientemente distinta y permite corregir los errores en la transmisin. El
cdigo Morse de tales letras se muestra a continuacin:

A: D: F: G: X:

Para cifrar, cada letra del texto en claro se sustituye por su par de coordenadas. Por
ejemplo, usando la Tabla 6.1, el texto en claro SE NECESITAN MUNICIONES se
transformara en esta otra secuencia de A, D, F, G, X:

106
S E N E C E S I T A N M U N I C I O N E S

GX DD DA DD FA DD GX AF AG DX DA GA XA DA AF FA AF GD DA DD GX

Pero la secuencia obtenida no es el texto cifrado. Antes hay que someterla a una
transposicin de columnas con otra clave. Hagmoslo con la clave LUDENDORFF, por
ejemplo. Primero formamos el correspondiente rectngulo:

L U D E N D O R F F
6 10 1 3 7 2 8 9 4 5
G X D D D A D D F A
D D G X A F A G D X
D A G A X A D A A F
F A A F G D D A D D
G X

A continuacin colocamos secuencialmente las columnas en el orden que determina
la clave:

DGGA AFAD DXAF FDAD AXFD GDDFG DAXG DADD DGAA XDAAX

Y este es ya el texto cifrado. Naturalmente, sin los espacios en blanco colocados de
ese modo; ya que ello facilita su criptoanlisis. Nosotros los hemos colocado as para que
se observen las columnas.
Los alemanes empezaron a radiotelegrafiar usando el cifrado ADFGX el 5 de marzo
de 1918. Muy sorprendido se debi quedar el coronel Franois Cartier, jefe de le Bureau
du Chiffre, cuando le llegaron los primeros criptogramas interceptados. Estaba ante un
nuevo mtodo de cifrado, uno que no se pareca en nada a los anteriores. Decidi que lo
mejor era enviar los criptogramas a la mesa de su mejor criptoanalista.
Este era Georges Painvin, entonces capitn de artillera. Painvin no era militar de
profesin, ni haba tenido contacto con la Criptografa antes de la guerra. Era profesor de
Paleontologa, primero en la Escuela de Minas de Saint Etienne y despus en la de Pars.
Fue la amistad con el oficial encargado de las cifras en el regimiento de artillera en el que
prestaba servicio lo que despert su inters por la Criptografa. En poco tiempo encontr
una simplificacin en el mtodo francs para romper el sistema ABC alemn. Esto le
llev a le Bureau du Chiffre.
La presencia de exactamente cinco letras distintas en los criptogramas llev a
Painvin a la conclusin de que se trataba de un cifrado tomogrfico en el que cada letra
del alfabeto en claro se deba reemplazar por una de las 25 parejas que pueden formarse
107
con las cinco letras distintas. Lo primero era averiguar si el cifrado consista en una
simple sustitucin. Un anlisis de frecuencias de los pares de letras permiti a Painvin
descartar esta suposicin. Despus de la sustitucin tomogrfica el texto resultante se
cifraba de algn otro modo. Seguramente, mediante una transposicin o un sencillo
cifrado polialfabtico como, por ejemplo, el de Vigenre. Contempl varias posibilidades,
pero no hall evidencia de cual era la correcta. Tras varios das de agotador trabajo, la
nica nueva conclusin que obtuvo fue que los alemanes cambiaban diariamente la clave.
As lo indicaban las frecuencias de las letras.
El 21 de marzo comenz la gran ofensiva alemana. Tras horas de terrible fuego de
artillera, 62 divisiones alemanas desbordaron las lneas aliadas. Franceses y britnicos
tuvieron que replegarse a poco ms de 100 kilmetros de Pars donde lograron contener a
la infantera germana. Como era lgico, la ofensiva alemana vino acompaada de un
aumento considerable en el trfico de mensajes. Ahora Painvin dispona de grandes
cantidades de texto cifrado, pero de poca ayuda le sirvi.
Hasta que Painvin fij su atencin en los siguientes dos mensajes recibidos el 4 de
abril, con trece minutos de diferencia entre ellos. Los hemos recogido del libro ya citado
de Kahn The Codebreakers:

Mensaje 1: ADXDA XGFXG DAXXGX GDADFF GXDAG AGFFFD XGDDGA
DFADG AAFFGX DDDXD DGXAXA DXFFD DXFAG XGGAGA
GFGFF AGXXDD AGGFD AADXFX ADFGXD AAXAG

Mensaje 2: ADXDD XGFFD DAXAGD GDGXD GXDFG AGAAXD XGGAD
DFADG AAFFF DDDFF DGDGF DXXXA DXFDA XGGAGF
GFGXX AGXXA AGGAX AADAFF ADFFG AAFFA

Painvin observ que cada cinco o seis letras haba siempre dos o ms coincidentes
(hemos subrayado todos esos pares repetidos de letras en uno y otro mensaje). Es lo que
sucede cuando ciframos mediante una transposicin de columnas dos textos con una
misma cabecera. Al formar con los textos el rectngulo correspondiente y despus escribir
secuencialmente las columnas, la coincidencia de los mensajes se traslada a las primeras
letras de las columnas. En consecuencia, Painvin acababa de descubrir el mtodo de
cifrado que segua a la sustitucin tomogrfica: una transposicin de columnas. Ms an,
gracias a las repeticiones pueden determinarse las columnas en cada texto (las hemos
separado insertando espacio en blanco entre ellas). En particular, como en ambos hay 20
columnas, esa deba ser la longitud de la clave que gobernaba la transposicin ese da 4 de
abril.
Painvin ya tena identificadas las columnas en los dos mensajes. Esta es la parte
ms difcil del criptoanlisis de una transposicin de columnas. Lo que sigue despus,
colocar las columnas en su orden correcto, es fcil si se hace uso de los bigramas y
trigramas ms frecuentes del idioma empleado. Sin embargo, aqu la sustitucin
tomogrfica previa imposibilita esta tcnica. Pero Painvin no se dio por vencido. Se fij
en el nmero de letras de los mensajes. El primero contiene 110 letras que hay que
108
repartir entre 20 columnas. Ello obliga a que diez de estas columnas contengan seis letras
y otras diez tengan cinco letras. Del mismo modo, al tener el segundo mensaje 104 letras,
en l tiene que haber cuatro columnas de 6 seis letras y diecisis de cinco. Las columnas
con ms letras son las situadas a la izquierda en el rectngulo que ha de formarse para
efectuar la transposicin. Sus nmeros son entonces los primeros en el orden que
determina la clave. En consecuencia, las cuatro columnas que en ambos mensajes tienen
seis letras deben ocupar las cuatro primeras posiciones del rectngulo. Estas son las
columnas que en los mensajes ocupan las posiciones 3, 6, 14 y 18. Por tanto, stos son los
cuatro primeros nmeros de la clave, aunque no en ese orden necesariamente. Las
columnas con seis letras en el primer mensaje pero cinco en el segundo deben seguir a las
cuatro anteriores. Son las siguientes: 4, 7, 9, 11, 16 y 19. Y, finalmente, las restantes diez
columnas deben situarse a la derecha del rectngulo. Painvin ya tena una primera
aproximacin al orden de las columnas determinado por la clave.
Pero esa era toda la informacin que poda extraerse de los dos mensajes con igual
cabecera, insuficiente para recuperar la clave. Por fortuna, entre los dems mensajes
interceptados ese mismo da, tambin haba dos de ellos con un final comn. De nuevo
esta coincidencia permita identificar sus columnas. Un razonamiento similar al anterior
llev a Painvin a la conclusin que las columnas 5 y 8 eran adyacentes y ocupaban las
posiciones 11 y 12 del rectngulo, aunque no poda deducirse si en el orden 5-8 en
orden 8-5. Tambin se deduca que las columnas 12 y 20 se situaban en los lugares 19 y
20 del rectngulo, pero tampoco poda precisarse el orden.
No concluy aqu el genio y la paciencia del criptoanalista francs. Consider el
resto de los mensajes del mismo da y en cada uno de ellos localiz las columnas 5 y 8.
Puso una a continuacin de la otra y form pares de letras. Obtuvo as un nmero
importante de ellos y efectu un anlisis de frecuencias. Estas frecuencias eran similares a
las de las letras en alemn, siendo el par ms frecuente el GD. Sin duda, la coincidencia
de frecuencias confirmaba que Painvin iba por el camino correcto. A continuacin repiti
el proceso anterior con las columnas 19 y 20. Obtuvo resultados similares pero con los
pares invertidos. As, ahora el par ms frecuente era el DG. Painvin comprendi
entonces que como la longitud de la clave era par, dos claves distintas daban lugar al
mismo cifrado. Fijada una de ellas, la otra se obtiene cambiando filas por columnas en el
cuadrado 55 que determina la sustitucin tomogrfica de la primera fase del cifrado, y
despus reemplazando las letras en lugar impar por sus consecutivas par en la clave que
rige la transposicin de columnas. Bastaba con recuperar una de ellas. Por ejemplo, la que
situaba las columnas 5 y 8 en ese mismo orden 5-8. En esta clave, el orden correcto de las
columnas 12 y 20 era 20-12.
Painvin no slo tena ya el orden exacto de cuatro de las veinte columnas que se
transponan, sino las casillas del cuadrado 55 que correspondan a las letras ms
frecuentes en alemn. Por ejemplo, como la letra ms comn en alemn es, con
diferencia, la e, esta letra debe ocupar la casilla correspondiente al par GD, el ms
frecuente. As, la e debe figurar en la fila de la G y en la columna de la D:

109
A D F G X
A
D
F
G e
X

El anlisis de frecuencias que Painvin efectu con las columnas 5, 8, 12 y 20 le hizo
notar que las columnas situadas en lugares impares presentaban frecuencias similares de
cada una de las letras A, D, F, G y X; pero diferentes de las columnas que se colocaban en
un lugar par. Esta observacin permita descubrir la paridad del resto de las columnas.
Hecho esto, el paso siguiente fue emparejar cada columna impar con su consecutiva par.
Ello ya no es difcil. Por ejemplo, como las columnas 3, 6, 14 y 18 van a la izquierda del
rectngulo, la pareja de la columna 3 debe ser una de las otras dos con paridad distinta.
Las frecuencias de los pares de letras que resultan en cada una de las dos asociaciones
candidatas determinarn cual es la correcta: aquella que ms se parezca a la distribucin
de frecuencias del alemn. La parte difcil del criptoanlisis ya estaba hecha. El resto era
slo cuestin de paciencia y tiempo. Y por fin, el 26 de abril, Painvin concluy este
criptoanlisis que haba iniciado tres semanas antes.
Posiblemente el significado de los mensajes que ahora se revelaban era ya de poca
utilidad a los aliados, pero el esfuerzo de Painvin dara sus frutos los prximos das. En le
Bureau du Chiffre ya saban como recuperar una clave ADFGX cuando hubiese dos
mensajes cifrados con ella con una misma cabecera. Varias personas trabajando en ello al
mismo tiempo reduciran las tres semanas que emple Painvin a unas pocas horas.
De repente, el 1 de junio los mensajes ADFGX incorporaron una sexta letra, la V.
Los alemanes ampliaron el cuadrado 55 a otro 66 para incluir los dgitos del 0 al 9.
Naturalmente, no se lo comunicaron a Painvin; pero fue lo primero que sospech el
criptoanalista francs. Al da siguiente ya estaba seguro de su conjetura y haba descifrado
los mensajes encriptados con el nuevo sistema.
Entre los criptogramas que el cuartel general alemn radiotelegrafi ese mismo da
1 de junio figuraban los dos siguientes. Uno con 106 letras y el otro con 108:

Mensaje 1: GAFFA FVAAG AVFGX XVFXD XXXAA VXVDXF ADFDF AXADD
GGAXX XGXVG DFXVA XGFVA AXFGX FXVDA ADXXX DAXAA
GAXVA FDGGX FGGGF DAAXD XAGXF

Mensaje 2: GGAXX VXXAA AXADD XAGXF DAXAA XDAAXD VXVDXF XGFVA
XGXVG FVAAG FGGGF GAFFA ADXXX GAXVA FXVDA VFDGGX
VDFDF DFXVA XVFXD AVFGX AXFGX

Painvin not que haba numerosos bloques de letras que eran comunes a ambos
textos pero en posiciones distintas, la mayora de cinco letras (hemos subrayado dos de
dichos bloques, uno de cinco letras y otro de cuatro). Haciendo coincidir los trozos
110
iguales, Painvin observ que los dos mensajes quedaban divididos en 21 partes (las
hemos separado insertando espacio en blanco en los mensajes anteriores). Como puede
observarse, todas las partes del primer criptograma tienen cinco letras excepto la que
ocupa la sexta posicin, que tiene seis. En el segundo texto hay tres trozos de seis letras,
los situados en los lugares 6, 7 y 16. El resto es de cinco letras. Estos 21 bloques en que
hemos dividido los mensajes son precisamente las columnas de la transposicin a la que
han sido sometidos. La coincidencia de las columnas es debida a que los textos en claro
son casi idnticos, slo se diferencian en unas pocas letras en su inicio.
Descubierta la longitud de la clave utilizada en la transposicin, el paso siguiente
que dio Painvin fue obtenerla. La siguiente argumentacin le condujo a ella. Puesto que el
nico trozo de seis letras en el primer criptograma es el sexto, debe ser la primera
columna del rectngulo. Por tanto, el primer nmero de la clave es el 6. El segundo
criptograma tiene dos letras ms que el primero. Luego las letras que en el primer
mensaje ocupan una determinada columna se trasladan dos columnas a la derecha en el
segundo mensaje. El sexto bloque del primer texto coincide con el sptimo en el segundo
texto. En consecuencia, el tercer nmero de la clave es el 7. El sptimo bloque del primer
mensaje y el decimosptimo del segundo coinciden en sus cuatro ltimas letras, luego 17
es el quinto nmero de la clave. Y as se obtienen los nmeros de la clave situados en una
posicin impar. Pero el mismo razonamiento permite descubrir tambin los nmeros de
los lugares pares: Las letras que en el primer mensaje ocupan la ltima columna van a
parar a la segunda columna en el segundo mensaje. Puesto que la ltima columna tiene
asociada el nmero 18 de la clave y el trozo decimoctavo de primer criptograma coincide
con las cinco ltimas letras del decimosexto del segundo, entonces 16 es el segundo
nmero de la clave. Y continuando con el argumento se recuperan los dems nmeros de
los lugares pares. De este modo, Painvin complet la clave que rega la transposicin de
columnas: 6, 16, 7, 5, 17, 2, 14, 10, 15, 9, 13, 1, 21, 12, 4, 9, 19, 3, 11, 20, 18.
El prximo objetivo era descubrir el cuadrado 66 que constitua la clave de la
sustitucin tomogrfica. Era ya fcil. Slo haba que deshacer la transposicin de
columnas en los mensajes de ese da 1 de junio, dividirlos en pares de letras A, D, F, G,
V, X y efectuar un anlisis de frecuencias con ellos. Esta tarea la concluy Painvin el da
siguiente. El cuadrado 66 era el que se muestra a continuacin:

A D F G V X
A c o 8 x f 4
D m k 3 a z 9
F n w l 0 j d
G 5 s i y h u
V p 1 v b 6 r
X e q 7 t 2 g

El texto en claro del primer criptograma era el siguiente:
14 ID XX Gen Kdo ersucht vordere linie sofort drahten XX Gen Kdo 7.
111
En este mensaje, el cuartel general alemn requera a la divisin de infantera n 14
un informe urgente sobre la situacin en el frente. El segundo de los textos en claro
coincida casi exactamente con el primero. La nica diferencia era que comenzaba por
216 ID, ya que iba dirigido a la divisin n 216. Una redaccin diferente en el segundo
texto habra hecho imposible el criptoanlisis de Painvin.
En verdad, no parece que el contenido del par de mensajes previos hubiera sido de
inters para la estrategia militar francesa, pero s que lo fue el de otros mensajes que
pudieron descifrarse con la clave descubierta. En aquella fecha, el ejrcito alemn estaba
a unos 60 kilmetros de Pars y su artillera de largo alcance bombardeaba sin cesar la
capital francesa. Era inminente un prximo ataque germano que, de triunfar, pondra Pars
a sus pies. Los mensajes descifrados revelaron que dicho ataque iba a tener lugar sobre la
lnea francesa entre Montdidier y Compigne. En efecto, el 9 de junio quince divisiones
alemanas se lanzaron sobre un ejrcito francs que estaba prevenido. Fueron aniquiladas.
Muy pocas veces ms contaron los aliados con la ventaja que da el conocer los
planes del enemigo. De hecho, los franceses slo recuperaron diez claves ADFGVX
alemanas durante la guerra, cuando eran posibles las tcnicas que aqu hemos presentado.
Painvin no logr encontrar una solucin general para esta cifra alemana. Despus de la
contienda, Painvin volvi a sus clases de Paleontologa y termin dedicndose al mundo
de los negocios. Nunca ms tuvo contacto alguno con la Criptografa. No obstante, el
cifrado ADFGVX continu siendo objeto de estudios posteriores.
La primera guerra mundial marc un punto de inflexin en la historia de la
Criptografa Militar. Antes de ella, nicamente el ejrcito francs contaba con oficiales
formados en cdigos y cifras. Despus de la guerra, todos los ejrcitos crearon unidades
especializadas en Criptografa. Por otra parte, en la lucha que mantuvieron diseadores de
cifras y cdigos con sus adversarios criptoanalistas, es clara la victoria de estos ltimos. A
pesar de la variedad de cdigos y cifras que se emplearon, el triunfo de los criptoanalistas
fue contundente. Y eso que la mayora de ellos eran ajenos a la Criptografa antes de la
guerra. Claro, que contaron con un par de ayudas inestimables. La primera: la gran
cantidad de texto cifrado que provean las interceptaciones del telgrafo y, sobre todo, la
radio. La segunda, ms importante: la falta de una seria instruccin criptogrfica en las
personas que manejaban la informacin encriptada.
Pero a pesar de tan humillante derrota, no se desanimaron los creadores de cifras.
Pronto volveran a la lucha. Esta vez armados no slo con lpiz y papel, sino con
mquinas electromecnicas. Pero antes demos paso al lgebra, que quiere poner un poco
de orden en esta pacfica batalla.

113
7
LGEBRA Y CRIPTOGRAFA
En 1929, la revista American Mathematical Monthly publicaba un artculo de
siete pginas con el ttulo Cryptography in an Algebraic Alphabet. Su autor, Lester S.
Hill, ideaba un criptosistema en el que los procesos de cifrado y descifrado se describan
mediante ecuaciones algebraicas. Era la primera vez que a alguien se le ocurra algo
semejante. En realidad, el cifrado que se propona era mucho menos seguro y prctico que
los que ya se utilizaban en aquellos das, cuyo diseo no requera emplear herramienta
matemtica alguna; pero gracias al trabajo de Hill el lgebra hizo su entrada en el mundo
de la Criptografa. Y una vez dentro, ha ido ocupando poco a poco un espacio cada vez
ms amplio, hasta el punto que toda la Criptografa actual se formula en trminos
algebraicos. El presente captulo trata de explicar aquellas ideas de Hill que abren la
puerta de la Criptografa moderna.
Comencemos considerando una ecuacin algebraica como la siguiente: y =5x +11,
donde x e y son indeterminadas. Si cambiamos la x por un nmero cualquiera, entonces la
y toma el valor que proporciona el resultado obtenido tras las operaciones. Por ejemplo, si
x =2, entonces y =52 +11 =21; si x =18, y =101. En consecuencia, podemos ver la
ecuacin anterior como una regla que transforma un nmero x en otro y. Imaginemos
ahora que disponemos de una suma y un producto en un alfabeto; que dadas dos de
sus letras, las podemos sumar o multiplicar y obtener una tercera letra. Entonces podemos
considerar ecuaciones similares a la anterior, donde ahora los coeficientes son letras del
alfabeto en lugar de nmeros. Por ejemplo: y =Tx +B. Estas ecuaciones proporcionan
reglas para transformar unas letras en otras y, en consecuencia, pueden ser la base de una
forma de cifrado. Desarrollemos esta idea.
Definamos en primer lugar una suma y un producto entre las letras de un alfabeto.
Una manera de hacerlo puede ser a travs de la suma y producto de nmeros enteros,
operaciones fciles de realizar. Para concretar, consideremos nuestro alfabeto espaol de
27 letras. Identificamos sus letras con los nmeros comprendidos entre 0 y 26, asociando
a cada letra un entero diferente. Por ejemplo, el que indica el orden que ocupa la letra en
el alfabeto, empezando a contar desde el 0. La siguiente Tabla 7.1 muestra esta
identificacin:
7. GEBRA Y CRIPTOGRAFA
114

0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26
Tabla 7.1. Identificacin de letras y nmeros.
Hecha esta asociacin entre letras y nmeros, la suma de letras se obtiene sumando
los nmeros correspondientes y sustituyendo despus el resultado por la letra asociada.
Naturalmente, puede ocurrir que la suma exceda a 26. En tal caso, 27 sera otra vez la A,
28 la B, 29 la C y as sucesivamente. Por tanto, bastar restar 27 a dicho resultado para
obtener la letra suma. Los siguientes ejemplos aclaran esta definicin:

F+J = (5 +9 =14)
D+T= W (3 +20 =23)
M+X=J (12 +24 =36 36 27 =9)

De un modo similar se define la multiplicacin de letras: multiplicando los nmeros
asociados, restando sucesivas veces 27 al producto hasta conseguir un nmero entre 0 y
26, y reemplazando este entero por la letra correspondiente. En este caso, como el
resultado puede sobrepasar en mucho a 27, para evitar restar una y otra vez dicho nmero,
se puede dividir entre 27 y tomar el resto. De nuevo los ejemplos resuelven cualquier
duda sobre esta otra operacin:

DG=R (36 =18)
EK=N (410 =40 40 27 =13)
LP= (1116 =176 =627 +14 14)

El lector con conocimientos en matemticas habr reconocido que hemos definido
las operaciones anteriores recurriendo a la que en lgebra se denomina aritmtica
modular. Habr notado que en realidad las letras del alfabeto se han identificado con las
clases de congruencia mdulo 27 y que la suma y el producto de letras corresponden
fielmente a la suma y producto de clases. Por otra parte, el lector que desconozca esta
terminologa puede perfectamente ignorarla. Tranquilamente puede operar con las letras
como si fueran nmeros, ya que las operaciones con letras que hemos definido antes
presentan las mismas propiedades que sus homnimas con nmeros enteros. Si lo desea,
puede convencerse de ello comprobando igualdades como las siguientes:

MZ = O = ZM (Propiedad conmutativa)
F(J +L) = S = FJ +FL (Propiedad distributiva)

Definidas ya una suma y un producto en nuestro alfabeto, podemos considerar
ecuaciones similares a aquella de partida: y =5x +11; pero con letras en lugar de
nmeros. Por ejemplo, al sustituir los nmeros por sus letras asociadas, esa misma
ecuacin adquiere el aspecto y =Fx +L; ya que el 5 se identifica con la F y el 11 con la
L. Haciendo en esta ecuacin x =C, entonces y =FC+L=U (52 +11 =21); si x =R,
7. LGEBRA Y CRIPTOGRAFA
115
y =T. Como decamos antes, tenemos una regla que cambia una letra x por otra y. Puede
ser un mtodo de cifrado que transforme un texto en claro en un criptograma:

Claro: A T A C A M O S A L A M A N E C E R
0 20 0 2 0 12 15 19 0 11 0 12 0 13 4 2 4 18
y=Fx+L (y=5x+11)
11 3 11 21 11 17 5 25 11 12 11 17 11 22 4 21 4 20
Cifrado: L D L U L Q F Y L M L Q L V E U E T

Ahora bien, para que esta transformacin sea en efecto un modo de cifrar, ha de
resolverse antes el siguiente problema: cmo descifra el mensaje el receptor del mismo?
ste conoce la ecuacin que ha producido el criptograma y cada una de sus letras, que son
los valores que va tomando la indeterminada y; pero, cmo recupera los de x, las letras
del texto en claro? Tal vez despejando x en la ecuacin que ha originado el criptograma:
Fx +L=y Fx =y L x =
F
L y

No, no es tan sencillo. Hemos procedido como si de una ecuacin con coeficientes
numricos se tratara y, dejndonos llevar por el hbito con estas ecuaciones, hemos
recurrido a la resta primero y a la divisin despus. No hemos analizado si estn
disponibles estas operaciones en nuestra aritmtica de letras. Hay que despejar x con ms
cuidado.
En primer lugar, eliminar la L de la suma Fx +L requiere aadir a esta misma suma
la opuesta de L. Este concepto se entender mejor si recordamos antes su homnimo para
nmeros enteros. El opuesto de un nmero es aquel que al sumar ambos resulta 0, el
neutro para la suma. Como es bien sabido, el opuesto de un entero se obtiene cambindole
el signo. Sin embargo, las letras de nuestro alfabeto carecen de signo y no es tan
inmediato obtener sus opuestas. Aunque tampoco es difcil. La letra que resulta neutra
para la suma es la A, precisamente la que hemos identificado con el 0. Por tanto, la
opuesta de una letra es aquella otra que al sumar ambas se obtiene A. As, la opuesta de A
es ella misma porque A+A=A; la de B es Z, ya que B+Z=A; la de C es Y porque
C+Y=A; etctera. La opuesta de L es P y con ella cancelamos L en la suma Fx +L:
Fx +L=y Fx +L+P=y + P Fx +A=y + P Fx =y + P
Eliminar F en el producto Fx se consigue de un modo similar, pero operando ahora
con su inversa. La inversa de una letra es aquella que al multiplicar ambas resulta la
neutra para el producto; que es la letra B, la asociada al 1. Calcular inversas en esta
aritmtica de letras es ms complicado que hallar opuestas. Sucede que no todas las letras
tienen inversa. Por ello, siguiendo la terminologa algebraica, denominaremos unidades a
las letras que poseen inversa. Estas letras unidades se caracterizan por ser primo con 27 su
nmero asociado (as se dice cuando el mximo comn divisor de dos enteros es 1).
Razonar esta caracterizacin de las unidades escapa al nivel de este texto y remitimos al
116
lector interesado a los textos de lgebra que tratan con la citada aritmtica modular. La
hemos incluido aqu porque permite determinar fcilmente qu letras son unidades:
aquellas cuyo entero asociado no es mltiplo de 3, que es el nico divisor primo de 27.
Esta es entonces la lista de letras unidades:
Unidades: B, C, E, F, H, I, K, L, N, , P, Q, S, T, V, W, Y, Z.
Afortunadamente, entre estas letras est la F y, en consecuencia, posee inversa. El
mejor modo de calcular la inversa de una letra es emplear un algoritmo que a tal efecto
dispone la aritmtica modular; pero de nuevo su compresin supera el nivel que aqu
pretendemos. No importa, tampoco es imprescindible. Podemos obtener la inversa de una
letra multiplicndola por cada una de las letras de la lista anterior hasta dar con ella.
Como la lista no es muy amplia, no tardaremos ms de unos minutos en calcular la
inversa de cada letra. He aqu el resultado de los clculos:

Unidad: B C E F H I K L N P Q S T V W Y Z
Inversa: B H L E Q S F Y C V I K W P T N Z
Tabla 7.2. Unidades y sus inversas.
La inversa de la F es la L. Con ella despejamos completamente x:
Fx =y + P LF x =L(y + P) Bx =Ly + LP x =Ly +
Con esta ecuacin, el receptor puede ya descifrar el mensaje:

Cifrado: L D L U L Q F Y L M L Q L V E U E T
11 3 11 21 11 17 5 25 11 12 11 17 11 22 4 21 4 20
x=Ly+ (x=11y+14)
0 20 0 2 0 12 15 19 0 11 0 12 0 13 4 2 4 18
Claro: A T A C A M O S A L A M A N E C E R

Notemos que este modo de cifrar a partir de ecuaciones de la forma y=ax+b
responde a la nocin de criptosistema. Las claves son los pares de letras (o sus
equivalentes numricos) formados por el coeficiente a y el trmino independiente b, con
la condicin que a sea una unidad para que el descifrado responda a una ecuacin similar.
En el ejemplo desarrollado antes, la clave es a=F y b=L. Algunas publicaciones utilizan
el trmino criptosistema afn para referirse a este modo de cifrar.
En este criptosistema afn el nmero de claves es muy reducido. El coeficiente a
puede tomar el valor de una de las 18 unidades del alfabeto, mientras que b puede ser
cualquiera de las 27 letras. En total: 1827 =486 claves diferentes. Un nmero que
permite el criptoanlisis comprobando una a una todas las claves posibles. Por otro lado,
cada ecuacin de la forma y=ax+b, con a unidad, determina de hecho una sustitucin de
las letras del alfabeto y, en consecuencia, el criptosistema afn puede ser visto como un
117
subcriptosistema del cifrado por sustitucin. Esto implica que el criptoanlisis basado
en el anlisis de frecuencias es tambin aplicable al criptosistema afn. Ms an, una
combinacin del anlisis de frecuencias y la resolucin de sistemas de ecuaciones puede
permitir criptoanalizar textos muy reducidos. Veamos un ejemplo. Consideremos el
siguiente criptograma, obtenido al cifrar un breve texto en espaol mediante cierta
ecuacin del tipo y=ax+b:
HBCOB TTJIG IRTSH KTWGJ JCVIT TSFJT VCBCA HTCJH
FYHAR GAHTI KTNYH CRYHI ATCKT CAGHT CJHAY GFRVN
YHDGH SVKTY CH
Criptograma
En l, la letra ms frecuente es la T, que aparece 14 veces; la siguiente en frecuencia
es la H, con 13 apariciones; despus la C, en 10 ocasiones; y a continuacin vienen cuatro
letras que se repiten 6 veces cada una. Aunque el texto es muy corto para que su
distribucin de frecuencias siga el patrn de frecuencias de nuestro idioma, es probable
que dos de las tres letras anteriores sean las sustitutas de las vocales E y A, las letras ms
frecuentes en espaol. Hagamos la suposicin que la E se transforma en la T y la A en la
H. Entonces, si en la ecuacin de descifrado x=cy+d cambiamos y por T, x adquiere el
valor E; y si sustituimos y por H, el nuevo valor de x es A. Ello permite plantear el
siguiente sistema de dos ecuaciones y dos incgnitas c y d:
= +
= +
A H
E T
d c
d c

Para resolverlo procedemos como si de ecuaciones numricas se tratara, empleando
opuestas e inversas de letras. Imitando la notacin numrica, a la opuesta de una letra la
denotaremos con el signo delante; y a la inversa situando el signo
1
detrs de ella.
Tambin escribiremos TH en lugar de T+(H). As, al emplear esta notacin surge la
resta de letras, que en realidad es la suma de una de ellas con la opuesta de otra.
Despejemos ya c restando a la primera ecuacin la segunda:
c(TH) =EA cN=E c =EN
1
=EY=S
Ntese que para poder despejar c hemos necesitado utilizar N
1
(=Y), la inversa de
N. Obtenida c, la otra incgnita d se obtiene despejndola en una de las dos ecuaciones de
partida:
cT+d =E d =EcT=EST=EC=C
De este modo, la hiptesis que la E se transforma en la T y la A en la H ha
conducido a un sistema de ecuaciones cuya resolucin ha proporcionado la ecuacin de
descifrado x=Sy+C. Si la suposicin anterior es correcta, esta ecuacin permitir el
descifrado del criptograma. En otro caso, habr que efectuar otras conjeturas con la
procedencia de las letras T y H y resolver los correspondientes sistemas de ecuaciones,
118
hasta dar con la ecuacin de descifrado correcta. No ser necesario resolver muchos de
ellos.
La seguridad del criptosistema afn se aumenta ampliamente si en lugar de partir de
una ecuacin del tipo y=ax+b, lo hacemos de un sistema con varias ecuaciones y varias
indeterminadas x e y; tal y como hizo Hill en su publicacin. Por ejemplo, consideremos
el siguiente sistema de cuatro ecuaciones, cuatro indeterminadas x y otras tantas y:

y
1 = Cx
1
+ Dx
2
+ Bx
3
+ Bx
4
y
2
= Bx
1
+ Fx
2
+ Bx
3
+ Ex
4
y
3
= Gx
1
+ Dx
2
+ Hx
3
+ Fx
4
y
4
= Lx
1
+ Bx
2
+ Fx
3
+ Dx
4

Si en este sistema cambiamos las x por letras, entonces las y toman el valor que
proporciona el resultado de efectuar las operaciones indicadas en cada ecuacin. Por
ejemplo, cambiemos x
1
por A, x
2
por T, x
3
por A, x
4
por C y hagamos operaciones segn
nuestra aritmtica de letras:

y
1
= CA+ DT + BA+ BC= I (20+320+10+12=62 8)
y
2
= BA+ FT + BA+ EC= A (10+520+10+42=108 0)
y
3
= GA+ DT + HA+ FC= P (60+320+70+52=70 16)
y
4
= LA+ BT + FA+ DC= Z
(110+120+50+32=26)

Obtenemos entonces las cuatro letras I, A, P y Z. Estamos ahora ante una regla que
transforma una cuaterna de letras en otra y que puede dar lugar a un mtodo de cifrado.
Del tipo poligrfico, ya que antes de cifrar hay que dividir el texto en claro en bloques de
cuatro letras:

Claro: A T A C A M O S A L A M A N E C E R X X

Cifrado: I A P Z P P T J R V M T R WWM C Y O L

(Ntese que hemos aadido dos letras nulas al final del texto en claro para aumentar
el nmero de sus letras a un mltiplo de cuatro y poder as dividirlo en trozos de cuatro
letras cada uno.)
De nuevo se presenta el mismo problema que antes: cmo descifra el mensaje el
receptor del mismo? La solucin tambin es idntica: despejando las indeterminadas x en
el sistema de ecuaciones que ha producido el criptograma. Ello puede hacerse despejando
sucesivamente una incgnita en una ecuacin y sustituirla en las restantes; pero este
proceso es largo y tedioso con la aritmtica de letras. Ms cmodo resulta recurrir al
clculo matricial, que esperemos no sea del todo desconocido por el lector. Para ello,
escribamos el anterior sistema de ecuaciones en forma matricial:
119
|
|
|
|
|
.
|
\
|
|
|
|
|
|
.
|
\
|
=
|
|
|
|
|
.
|
\
|
4
3
2
1
4
3
2
1
D F B L
F H D G
E B F B
B B D C
x
x
x
x
y
y
y
y

Llamando Y a la matriz de las indeterminadas y, X a la de las x y M a la matriz de
letras, la igualdad anterior se abrevia Y=MX. Despejar X en esta igualdad requiere
multiplicar ambos miembros por M
1
, la inversa de la matriz M; y hacerlo por la
izquierda, ya que el producto de matrices no es conmutativo:
MX=Y M
1
MX=M
1
Y IX=M
1
Y X=M
1
Y
(Como es habitual en el clculo matricial, la letra I denota a la matriz identidad, la
neutra para el producto.) Pero claro, para que la manipulacin algebraica anterior sea
vlida debe existir M
1
. Es lo que verificamos a continuacin.
El lector que haya manejado matrices antes sabe que no todas poseen inversa, y
tiene ya en mente la regla que dice que las matrices con inversa son aquellas que su
determinante es distinto de cero. En nuestra aritmtica de letras, esta regla adquiere la
forma siguiente: una matriz (cuadrada) posee inversa si y slo si su determinante es una
unidad. El clculo del determinante de M puede efectuarse directamente con la aritmtica
de letras, haciendo uso de las propiedades de los determinantes. Otra posibilidad es
considerar la matriz numrica que se obtiene al sustituir cada una de las letras de M por su
equivalente numrico, hallar su determinante empleando la aritmtica habitual y
reemplazarlo por la letra correspondiente. Quien no est familiarizado con la aritmtica
modular preferir esta segunda opcin:
346
3 5 1 11
5 7 3 6
4 1 5 1
1 1 3 2
D F B L
F H D G
E B F B
B B D C
=
El determinante numrico es entonces 346. Al dividirlo entre 27 resulta un resto de
22, que corresponde con la letra V. Por consiguiente: |M| =V y como esta letra es una
unidad (su inversa es P), entonces existe M
1
.
Hallmosla. La manera ms rpida es hacerlo directamente con la aritmtica de
letras y empleando el conocido mtodo de Gauss, que puede adaptarse a esta singular
aritmtica. Tambin es posible el cmputo de M
1
sin usar esta adaptacin, obteniendo
antes la inversa de la matriz numrica asociada y escribiendo sus elementos como
fracciones cuyo denominador comn es |M| =346:
120
|
|
|
|
|
.
|
\
|

=
|
|
|
|
|
.
|
\
|

346
34
346
12
346
130
346
216
346
56
346
91
346
92
346
81
346
26
346
1
346
18
346
155
346
50
346
38
346
8
346
8
1
3 5 1 11
5 7 3 6
4 1 5 1
1 1 3 2

A continuacin se calcula la letra que corresponde a cada una de estas fracciones: se
cambian los nmeros por los restos de la divisin entre 27, se sustituyen stos por las
letras asociadas y se realizan operaciones, teniendo en cuenta que dividir no es sino
multiplicar por la inversa. Por ejemplo:
( ) T 20 128 16 8 IP IV
V
I
22
8
346
8
1 -
= = = = =
( ) N 13 256 16 16 PP LV
V
L
22
11
346
38
1 -
= = = = =
Las letras obtenidas componen la matriz inversa:
|
|
|
|
|
.
|
\
|
=
E X B A
V Y N A
P L J W
Q N T T
1
M
Y calculada esta matriz, el receptor del mensaje puede descifrar el mismo a partir de
la ecuacin matricial X=M
1
Y:

Cifrado: I A P Z P P T J R V M T R WWM C Y O L

X=M
1
Y
Claro: A T A C A M O S A L A M A N E C E R X X

Este modo de cifrar a partir de ecuaciones matriciales de la forma Y =MX es el
criptosistema de Hill que mencionamos al comienzo del captulo. La clave es la matriz M,
que debe ser cuadrada y regular (as se llaman las matrices que tienen inversa). En
nuestro ejemplo, la matriz M empleada es de tamao 44, con 4 filas y 4 columnas; pero
perfectamente pueden considerarse matrices con cualquier otra dimensin. No obstante,
manejando slo matrices regulares 44, el nmero de claves es ya enorme. Puede
demostrarse que, con nuestro alfabeto espaol, el nmero de tales matrices se eleva a
44956345164157176721920. Y como este nmero representa un poco ms de la mitad del
total de matrices 44 (exactamente: el 56,36%), la bsqueda de matrices regulares puede
hacerse de modo aleatorio: eligiendo unas pocas al azar, muy probablemente alguna de
ellas es regular y puede emplearse como clave. No obstante, no es necesario recurrir al
azar para encontrar tales matrices: el lgebra matricial dispone de sencillos mtodos que
121
permiten obtener amplias colecciones matrices regulares y sus inversas, del tamao que se
desee. Con ellos, la generacin de claves en este criptosistema no constituye ningn
problema.
Resulta curioso notar que al emplear como clave matrices cuyas filas y columnas
son nulas a excepcin de un nico elemento que es un 1, el cifrado resultante es una
transposicin regular (vase el Captulo 5). Por ejemplo, de este tipo es la matriz 55 que
figura en la siguiente ecuacin matricial:
|
|
|
|
|
|
.
|
\
|
|
|
|
|
|
|
.
|
\
|
=
|
|
|
|
|
|
.
|
\
|
5
4
3
2
1
5
4
3
2
1
0 0 0 0 1
1 0 0 0 0
0 0 1 0 0
0 1 0 0 0
0 0 0 1 0
x
x
x
x
x
y
y
y
y
y

Esta ecuacin transforma la palabra de 5 letras CLAVE en LVAEC y, en
general, reordena las letras de un pentagrama en el orden 2, 4, 3, 5 y 1. Por tanto, el
cifrado resultante es una transposicin regular de periodo 5. Recprocamente, cualquier
transposicin regular de periodo n puede describirse mediante una ecuacin matricial en
la que interviene una matriz nn con unos y ceros. Naturalmente, no es aconsejable
recurrir al clculo matricial para manejar transposiciones.
Como ya hemos sealado antes, el criptosistema de Hill responde al modelo de los
cifrados poligrficos: si la matriz empleada como clave es dimensin nn, se divide el
texto en claro en trozos de longitud n y cada uno de ellos se cifra de manera diferente. En
consecuencia, el criptoanlisis a partir de texto cifrado nicamente es muy complicado si
n es al menos 4. Slo sera posible si en los criptogramas aparecen trozos repetidos de
longitud n y corresponden con los de alguna palabra probable que ha sido identificada.
Algo muy difcil de observar para valores altos de n. No obstante, la clave en el
criptosistema de Hill est comprometida si se dispone de un pequeo fragmento de texto
en claro y su correspondiente cifrado. Para mostrarlo, consideremos el siguiente
criptograma
HAHPT MDDZ JGQGE TDOBF YAGL DKNTG EZPVR HUMPX
IJFPI QRJOV BZIIG FVVN BZHU KFP
Criptograma.
Sabemos que ha sido originado con el criptosistema de Hill cifrando cierto texto
que comienza as: EN NOMBRE DE LA REINA.... Esta informacin va a ser
suficiente para obtener la matriz M que constituye la clave. O mejor an, su inversa M
1

que permite el descifrado.
En primer lugar, examinemos cul puede ser el tamao nn de estas matrices.
Puesto que el criptograma es la concatenacin de bloques de n letras, su longitud total ha
122
de ser un mltiplo de este entero n. Dado que tal longitud es 68 y sus divisores son 2, 4 y
17, stos son los valores posibles de n. Y como emplear matrices 22 no es muy seguro y
las de tamao 1717 son poco manejables, contemplaremos como primera opcin de n el
valor 4. Entonces, dividiendo el fragmento de texto en claro y su correspondiente cifrado
en tetragramas, tenemos el siguiente esquema de descifrado:

Cifrado: H A H P T M D D Z J G Q G E T D . . .

Claro: E N N O M B R E D E L A R E I N A . . .

Consideremos la ecuacin que suponemos produce tal descifrado: X=M
1
Y. Si en
esta ecuacin cambiamos Y por uno de los tetragramas en que se ha dividido el texto
cifrado, la matriz X debe tomar el valor del correspondiente tetragrama de texto en claro.
Gracias al conocimiento del fragmento de texto en claro, podemos plantear las siguientes
cuatro ecuaciones matriciales:
|
|
|
|
|
.
|
\
|
=
|
|
|
|
|
.
|
\
|
|
|
|
|
|
.
|
\
|
=
|
|
|
|
|
.
|
\
|
|
|
|
|
|
.
|
\
|
=
|
|
|
|
|
.
|
\
|
|
|
|
|
|
.
|
\
|
=
|
|
|
|
|
.
|
\
|

T
E
G
Q
N
I
E
R
G
J
Z
D
A
L
E
D
D
M
T
E
R
B
M
P
H
A
H
O
N
N
E
1 1 1 1
M , M , M , M
Equivalen a una nica ecuacin matricial, la siguiente:
|
|
|
|
|
.
|
\
|
=
|
|
|
|
|
.
|
\
|
T G D P
E J M H
G Z A
Q D T H
N A E O
I L R N
E E B N
R D M E
1
M
Llamemos C a la matriz de la izquierda en la igualdad anterior y D a la de la
derecha. Tal ecuacin se abrevia entonces C=M
1
D. La matriz D es cuadrada y quizs
sea regular. En tal caso, podremos despejar M
1
:
M
1
D=C M
1
DD
1
=CD
1
M
1
=CD
1

Afortunadamente, existe tal matriz D
1
. Su cmputo puede realizarse de la manera
indicada antes. Resulta la siguiente matriz:
|
|
|
|
|
.
|
\
|
=
K G U
C A F H
S U U F
Q M J
1
D
123
Entonces:
|
|
|
|
|
.
|
\
|
=
|
|
|
|
|
.
|
\
|
|
|
|
|
|
.
|
\
|
= =

C Q R W
Q X P T
R P F R
W T R J
K G U
C A F H
S U U F
Q M J
N A E O
I L R N
E E B N
R D M E
1 1
D C M
Y calculada M
1
, el texto en claro que esconde el criptograma est ya a nuestro
alcance.
Podra haber ocurrido que la matriz D fuese singular; esto es, que no tuviese
inversa. En tal caso, no hubiera sido posible despejar M
1
en la ecuacin C=M
1
D. Pero
el criptoanlisis no se detiene. Sucede entonces que dicha ecuacin admite ms de una
solucin M
1
, incluida la nica que descifra correctamente el criptograma. Ahora bien,
resolver esa ecuacin indeterminada precisa manejar con cuidado la aritmtica modular.
Hemos de sealar que el criptosistema que aqu hemos presentado es una versin
simplificada del que en realidad ide Hill. Propuso usar matrices cuyos elementos fuesen
tambin matrices. Esto es, ecuaciones matriciales como la siguiente:
|
|
|
|
|
|
.
|
\
|
|
|
.
|
\
|
|
|
.
|
\
|
|
|
|
|
|
|
.
|
\
|
|
|
.
|
\
|
|
|
.
|
\
|
|
|
.
|
\
|
|
|
.
|
\
|
=
|
|
|
|
|
|
.
|
\
|
|
|
.
|
\
|
|
|
.
|
\
|
8 7
6 5
4 3
2 1
8 7
6 5
4 3
2 1
Z N
J
L H
M F
K L
M N
H A
C B
x x
x x
x x
x x
y y
y y
y y
y y

Notemos que con una ecuacin matricial como sta se cifran 8 letras de una vez, el
doble de las que se cifraran empleando una matriz estndar 44. Ello hace el
criptosistema resultante ms resistente a un ataque con texto cifrado nicamente, ya que
es mucho menos probable que haya octogramas repetidos en los criptogramas que
tetragramas. No obstante, es igualmente inseguro ante un ataque con texto pleno y su
correspondiente cifrado. La matriz que permite el descifrado se obtiene resolviendo una
ecuacin matricial similar a la anterior C=M
1
D.
Es interesante observar que criptosistemas de otra naturaleza pueden describirse
tambin en trminos de ecuaciones algebraicas. Ya lo hemos comprobado para las
transposiciones regulares. Mostremos a continuacin que tambin el criptosistema de
Vigenre, estudiado en el Captulo 3, tiene su representacin algebraica. Por ejemplo,
describamos con ecuaciones los procesos de cifrado y descifrado que se consiguen a partir
de la Tabla 3.2 y la palabra clave ROSA. A tal efecto, denotemos con la letra griega a
la sustitucin que genera la mencionada Tabla 3.2:

124

1
c r y p t o g a f i b d e h j k l m n q s u v w x z

Entonces, las ecuaciones de cifrado son las siguientes:
+ =
+ =
+ =
+ =
A) (
S) (
O) (
R) (
4 4
3 3
2 2
1 1
x y
x y
x y
x y

El lector puede comprobar que estas ecuaciones transforman el texto en claro
CLAVEL en el cifrado qzuuz, el mismo que si hubisemos utilizado la Tabla 3.2.
(Quizs necesite recordar que la igualdad y=(x) significa que x se transforma en y
mediante . Por ejemplo, como la sustitucin aqu considerada cambia A por c, se
escribe c=(A)).
Despejando las indeterminadas x en las ecuaciones previas se obtienen las de
descifrado. Naturalmente, en esta operacin necesitamos
1
, la sustitucin inversa de :
=
=
=
=
A ) (
S ) (
O ) (
R ) (
4
1
4
3
1
3
2
1
2
1
1
1
y x
y x
y x
y x

En fin, concluyamos el captulo sealando que tanto el cifrado de Hill como esta
descripcin del de Vigenre muestran como puede emplearse el lgebra en el diseo de
criptosistemas. Lo podemos resumir as: primero se identifican letras de un alfabeto (o,
ms generalmente, bloques de letras) con nmeros u otros objetos matemticos entre los
que haya definida una aritmtica; y a continuacin se transforman segn una ecuacin de
la forma
y = f(x, k),
donde f(x, k) es una expresin algebraica que involucra tanto al texto en claro x como a la
clave k. En el anterior cifrado de Vigenre esta expresin algebraica consiste en aplicar la
sustitucin a una suma, en el de Hill es un producto de matrices. En ambos casos
resultan ecuaciones sencillas que no proporcionan un cifrado seguro; pero pueden
emplearse otras ms complejas que quizs aumenten esta seguridad. El problema est en
considerar ecuaciones en las que resulte fcil despejar x, para que el receptor pueda
descifrar el mensaje; pero imposible despejar k, para que el criptoanalista no acceda a la
clave.
125
8
MQUINAS DE ROTORES
A comienzos del siglo XX, la mquina de escribir estaba ya presente en numerosas
oficinas de todo el mundo; tambin en los departamentos encargados de cifrar la
correspondencia confidencial. Seguro que muchos empleados de estas dependencias
pensaron en las ventajas que supondra disponer de un instrumento similar que, pulsando
las teclas de las letras de los textos en claro, proporcionase el texto cifrado ya
mecanografiado. Se ahorrara gran cantidad de trabajo. Y, lo que es ms importante, se
eliminaran numerosos errores ocasionados por el inevitable factor humano. No tard en
llegar esta demanda a odos de inventores y fabricantes que vieron en ella la posibilidad
de un gran negocio. Gobiernos, ejrcitos y empresas de todo el mundo estaran
interesados en adquirir mquinas de escribir cifradoras. Y as, con la vista puesta en el
dinero que generaran tales inventos, se pusieron manos a la obra.
La historia de la Criptografa muestra que antes del siglo XX ya se haban
concebido mecanismos para aliviar los procesos de cifrado y descifrado. Quizs el
primero de ellos sea el disco de Alberti de 1466, descrito al comienzo del tercer captulo.
Mediante dos discos concntricos giratorios con letras en sus bordes, Alberti
implementaba un sencillo criptosistema polialfabtico. Esta idea de Alberti se repite
despus en varias ocasiones. Muy conocido fue el criptgrafo diseado por Charles
Wheatstone (el mismo que invent la cifra Playfair) y presentado en la exposicin
universal de Pars de 1867. Puede contemplarse en la Figura 8.1. En ella se observan dos
alfabetos formando sendas circunferencias, una dentro de otra, y dos manecillas como las
de un reloj, apuntando cada una a un alfabeto. Las letras del alfabeto exterior estn fijas y
ordenadas del modo habitual, las del interior pueden extraerse y ordenarse segn la clave
(en el ejemplar mostrado en la Figura 8.1 faltan dos de estas letras que han debido
extraviarse). Para cifrar, se desplaza la manecilla grande hasta la posicin que en el
alfabeto exterior ocupa la letra correspondiente. Al mismo tiempo, un engranaje mueve la
manecilla pequea hasta otra letra del alfabeto interior. Esta segunda letra es la
transformada de la primera. El cifrado que resulta es polialfabtico debido al espacio en
blanco que contiene el alfabeto exterior: cuando la manecilla grande completa una
circunferencia, la pequea ya no seala la misma letra sino la que est al lado. Pero
aunque fcil de manejar y ocultar, el criptosistema que Wheatstone propona con su
8. MQUINAS DE ROTORES
126
criptgrafo era inseguro. Para entonces, Kasiski ya haba publicado su mtodo de
criptoanlisis para los cifrados polialfabticos. Por eso, llama la atencin que el ejrcito
del general Franco emplease versiones modificadas de este criptgrafo durante la Guerra
Civil y despus de ella.

Figura 8.1. Criptgrafo de Wheatstone
El que fuera coautor de la declaracin de independencia de Estados Unidos y su
tercer presidente, Thomas Jefferson, invent un interesante y sencillo mecanismo
criptogrfico que mostramos en la Figura 8.2. La conocida como rueda de Jefferson es un
cilindro formado con 36 discos de madera de igual tamao que se identifican con
nmeros del 1 al 36. En el borde de los discos van grabadas las 26 letras del alfabeto en
un orden que es diferente en cada disco. El centro de los discos est agujereado para que
estos puedan montarse sobre un eje de hierro y de modo que sea posible su giro respecto
al eje. El orden en que se montan los discos sobre el eje es precisamente la clave
convenida entre el emisor y el receptor. (El nmero total de claves es el factorial de 36, un
nmero con 42 dgitos.) Para cifrar, el emisor divide primero el texto en claro en
fragmentos de 36 letras. A continuacin, gira convenientemente los discos de la rueda
para que pueda leerse el primer fragmento en una de las 26 generatrices del cilindro.
Entonces, considera aleatoriamente una de las 25 generatrices restantes; las letras de que
consta es el cifrado del primer fragmento. De igual modo se cifra el resto. El cifrado
resultante es poligrfico; tambin homfono, ya que hay 25 posibilidades para un mismo
bloque. Esto ltimo no dificulta el proceso de cifrado. De nuevo se giran adecuadamente
los discos para que en una de las generatrices del cilindro vayan apareciendo los
fragmentos de texto cifrado. La nica generatriz con sentido gramatical es el
correspondiente bloque de texto en claro.
127

Figura 8.2. La rueda de Jefferson.
Jefferson ide su rueda durante la dcada que va de 1790 a 1800. Durante los cuatro
primeros aos de este periodo, Jefferson fue secretario de estado encargado de la poltica
exterior. La necesidad de cifrar la correspondencia trajo su inters por la Criptografa. No
obstante, el departamento del que Jefferson era secretario nunca hizo uso de la rueda y
continu empleando el nomencltor como criptosistema. Por esta razn, el invento de
Jefferson cay rpidamente en el olvido; y ah continuara si algn historiador interesado
por la Criptografa no lo hubiese rescatado de la biblioteca del Congreso americano.
La rueda de Jefferson fue reinventada en 1891 por el experto en cifras del ejrcito
francs Etinne Bazeries, quien con seguridad desconoca su existencia. La nica
diferencia entre el cilindro ideado por Bazeries y el de Jefferson est en que el primero
emplea 20 discos con 25 letras en lugar de los 36 discos y 26 letras del segundo. Bazeries
estaba convencido que su cilindro era indescifrable y, presumiendo de ello, lo someti al
criptoanlisis de sus compaeros en el ejrcito francs. Uno de ellos, el marqus Gatan
Henri Lon de Viaris, no descans hasta que dos aos despus logr derrotar al cilindro.
De Viaris haba inventado en 1888 una ingeniosa mquina de cifrar que incluso imprima
el texto cifrado, pero fue ridiculizada por el criptoanlisis de Bazeries. Esta fue la razn
de su empeo.
Curiosamente, el ataque de De Viaris fue posible por el modo en que Bazeries
dispuso el orden de las letras en los discos de su cilindro. En catorce de los veinte discos,
Bazeries coloc las letras ordenndolas a partir de frases mnemotcnicas como Dieu
protge la France, Honneur et patrie, Instruisez la jeunesse, etc. Al hacerlo as,
cualquiera que sea la posicin de los discos en el cilindro, en l hay siempre generatrices
con letras repetidas. Ello permite iniciar el criptoanlisis mediante el mtodo de De
Viaris, el cual no describiremos aqu. Si Bazeries hubiese ordenado las letras de los 20
discos de modo que girndolos convenientemente resultasen generatrices sin letras
repetidas, el ataque de De Viaris no habra sido posible. (Tal ordenacin de letras en los
discos puede conseguirse mediante cuadrados latinos, nombre que reciben las
128
disposiciones rectangulares en las que no se repiten elementos ni en las filas ni en las
columnas).
Esto fue observado por los criptoanlistas del ejrcito americano dirigidos por
William Friedman, quienes estudiaron con detenimiento el cilindro de Bazeries y el
mtodo de De Viaris. Con la deficiencia de Bazeries corregida, el ejrcito americano
introdujo en 1922 un cilindro similar para ser empleado como criptosistema de seguridad
intermedia. Estuvo en vigor hasta 1943. Consta de 25 discos de aluminio de pequeo
tamao que giran sobre un eje de once centmetros de longitud. Le dieron la identificacin
militar de M94 y puede contemplarse en la Figura 8.3.

Figura 8.3. El M94 del ejrcito americano.
An con los alfabetos elegidos correctamente, el cilindro criptogrfico puede ser
criptoanalizado a partir de texto cifrado exclusivamente. Ello fue probado en 1944 por un
equipo de criptoanalistas alemanes integrado por matemticos y lingistas. En esta
ocasin rompieron el M138, un criptosistema equivalente a un cilindro criptogrfico
pero con tiras de cartn deslizantes en lugar de discos. El M138 dispona de cien tiras de
las que nicamente se empleaban treinta a la vez. Fue utilizado por el ejrcito y la
diplomacia americana hasta casi el final de la Segunda Guerra Mundial.
Pero recuperemos el proyecto de una mquina de escribir cifradora que tena
ocupados a varios inventores al iniciarse el siglo XX. No era sencillo llevarlo a cabo con
las garantas de xito comercial pretendidas. Aunque por entonces la tecnologa haba
avanzado considerablemente, sta todava no permita automatizar el cifrado de varias
letras a la vez. Ya que ello requiere su almacenamiento previo, lo que hoy llamamos
memoria; y tal tecnologa no se desarroll hasta los aos cuarenta. En consecuencia, el
dispositivo cifrador que se incorporase a una mquina de escribir nicamente
transformara la letra correspondiente a la tecla pulsada en cada instante. Ello descarta la
posibilidad de implementar criptosistemas poligrficos o transposiciones, y obliga
considerar nicamente los polialfabticos. Pero claro, contra estos estaba el mtodo de
Kasiski, que permite recuperar el periodo e iniciar el criptoanlisis. Ahora bien, si el
periodo es enorme, muy superior a la longitud de los textos que se manejan, el mtodo de
Kasiski es inoperante y entonces se consigue la necesaria seguridad. Haba que disear un
mecanismo que proporcionase un criptosistema polialfabtico cuyo periodo fuera un
nmero muy grande. Y curiosamente, casi al mismo tiempo y de forma independiente, en
129
varias partes del mundo se lleg a la misma solucin: el rotor. Tratar de explicar su
funcionamiento es el objeto de los siguientes prrafos.
Un rotor es un disco delgado fabricado con material aislante y con contactos
elctricos en sus dos caras, en nmero igual a las letras del alfabeto que se emplee. (En la
Figura 8.11 se muestra un rotor de la mquina Enigma.) Cada contacto de una cara se
conecta aleatoriamente con otro de la cara opuesta mediante un cable elctrico. Por otra
parte, los contactos de una cara rozan con otros que enlazan con las letras del alfabeto en
claro y, anlogamente, los contactos de la cara opuesta lo hacen con otros que conectan
con las letras del alfabeto cifrado. Cuando se pulsa una tecla, una corriente elctrica
atraviesa el rotor transformando la letra de la tecla pulsada en otra. Ayudmonos de un
ejemplo para entender mejor esta idea. Para simplificar, consideremos un rotor con cinco
contactos nicamente, correspondiente a un alfabeto con ese nmero de letras. Es el que
hemos esquematizado en la Figura 8.4.a).

Figura 8.4. Esquema de un rotor.
En esta figura puede observarse que si la corriente fluye de derecha a izquierda, las
letras del alfabeto en claro sufrirn la siguiente transformacin:
A B C D E

C E D B A

Tras pulsar una tecla, el rotor gira una o varias posiciones. Esto trae consigo una
conexin diferente entre los contactos de las letras del alfabeto en claro y las del alfabeto
cifrado. Se obtiene as una nueva sustitucin con la que se cifra la siguiente letra. En la
Figura 8.4.b) mostramos el mismo rotor anterior despus de haber girado una posicin.
Da lugar a esta nueva transformacin del alfabeto en claro:
Cifrado Cifrado Claro Claro
a) Posicin inicial b) Tras un giro
130
A B C D E

D C A E B

Notemos que esta segunda sustitucin puede obtenerse a partir de la primera: la
transformada de una letra mediante la segunda sustitucin es la letra anterior en el orden
alfabtico de la transformada mediante la primera sustitucin de la que sigue a la letra en
claro. Por ejemplo, si la letra en claro es la A, la que sigue a sta es la B. Mediante la
primera transformacin la B se cambia por la E. La anterior a la E es la D. Esta
ltima letra es, por tanto, la transformada de la A mediante la segunda sustitucin.
Los sucesivos giros del rotor producen nuevas sustituciones con las que se cifran las
siguientes letras del texto en claro. Generalmente, habr tantas sustituciones diferentes
como posiciones alcance el rotor en su revolucin y sern tantas como letras haya en el
alfabeto. En el rotor que nos sirve de ejemplo son las que figuran en la Tabla 8.1.
Obsrvese que en las diagonales que la cruzan en sentido ascendente de izquierda a
derecha, las letras van correlativas.

Posicin A B C D E
1 C E D B A
2 D C A E B
3 B E D A C
4 D C E B A
5 B D A E C
Tabla 8.1. Las 5 sustituciones del rotor.
Para identificar la posicin del rotor en cada momento, este lleva inscrito en su
borde nmeros o letras en el orden habitual. Antes de empezar a cifrar el texto, el emisor
debe situar el rotor en una posicin inicial convenida con el receptor autorizado.
Precisamente, esta posicin inicial es la clave. A continuacin, cifra el texto tecleando
una a una sus letras. Por ejemplo, imaginemos que disponemos de una mquina que
implementa el rotor de cinco contactos que nos viene ayudando en esta explicacin y que
en su borde figuran nmeros de 1 al 5, correspondiendo con sus diferentes posiciones
conforme a la Tabla 8.1. Si situamos el rotor en la posicin inicial que indica el 3, la
palabra DECADA se cifrara como AAACEB. La citada Tabla 8.1 permite efectuar tal
cifrado.
Para descifrar un mensaje, se deben generar las inversas de las sustituciones
empleadas en el proceso de cifrado. Un modo muy sencillo de obtenerlas es haciendo
pasar la corriente elctrica por el rotor en sentido contrario. As se hizo habitualmente,
incorporando en las mquinas de rotores un mecanismo al efecto. Tras activarlo, el
receptor del mensaje colocaba el rotor en la posicin inicial indicada por la clave y, al
teclear las letras del texto cifrado, la mquina revelaba el texto en claro.
131
En las lneas anteriores hemos tratado de describir el cifrado que produce una
mquina con un rotor. Si lo hemos hecho con mediana claridad, el lector habr
reconocido que es polialfabtico y con periodo y claves limitados por el nmero de letras
del alfabeto. Un nmero demasiado pequeo para alcanzar una mnima seguridad.
Cualquier criptoanalista, con muy poco texto cifrado solamente, construira sin mucho
esfuerzo una tabla similar a la 8.1. Y con ella descifrara rpidamente todos los mensajes.
Pero la situacin cambia radicalmente si en lugar de un nico rotor se utilizan
varios, concatenando uno a continuacin de otro. En la Figura 8.5 mostramos como
hacerlo, de nuevo con un alfabeto de 5 letras para simplificar el dibujo. En l, los rotores
estn en una de las 125 posiciones posibles. Con nuestro alfabeto completo de 27 letras, al
concatenar tres rotores el nmero de claves se eleva ya a 27
3
= 19683. Y este nmero es
tambin el de sustituciones distintas que pueden generarse. Un periodo tan grande que
cada letra del texto en claro se puede cifrar con una transformacin diferente. Incluso se
tendran que cifrar muchos mensajes para volver a utilizar la misma sustitucin. Tal
cifrado debe ser seguro; o, al menos, as lo creyeron los inventores del rotor.

Figura 8.5. Tres rotores concatenados.
Segn David Khan, el que hizo los primeros dibujos de un sistema de rotores fue el
americano Edward H. Hebern en 1917, y un ao despus construy la primera mquina
con dicho dispositivo. En 1921 mostr uno de sus inventos a expertos en cifras de la
armada americana, quienes quedaron impresionados. Meses despus, Hebern, animado
por el inters de la armada y creyendo que las mquinas de rotores gobernaran el mundo
de las cifras, fund la Hebern Electric Code, la primera industria destinada a fabricar
mquinas cifradoras. La idea de un gran negocio anim a numerosos inversores, y en
poco tiempo la factora lleg a contar con un capital de un milln de dlares y unos 1500
empleados. Sin embargo, en los siguientes cinco aos posteriores a su creacin, la Hebern
Electric Code apenas vendi una docena de sus mquinas y fue a la bancarrota.
En verdad, la armada americana estuvo muy interesada en la mquina de Hebern y
en 1924 lo tena todo preparado para incorporarla como su sistema de cifras. Pero la
armada, queriendo constatar la seguridad del criptosistema que proporcionaba, remiti 10
Cifrado Claro
132
mensajes cifrados a la oficina de cifras del ejrcito de tierra, el Army Signal Corps. Y
all, para desgracia de la Hebern Electric Code, los criptogramas toparon con el genio del
mejor criptoanalista del momento, el antes mencionado William Friedman, quien descifr
los 10 criptogramas en seis semanas. Esta fue la causa de la quiebra de la empresa de
Hebern.
La referida mquina de Hebern se muestra en la Figura 8.6. Consta de cinco rotores
concatenados que se pueden extraer y volver a colocar en otro orden, incluso invertidos.
En total, de 3840 maneras distintas. Los cinco rotores van situados entre dos ruedas de
trinquete de aluminio, cuya funcin es gobernar su movimiento. Como los rotores, las
ruedas tambin giran y llevan grabadas en su borde las 26 letras del alfabeto ingls, en
correspondencia con sus posibles posiciones.

Figura 8.6. Mquina de rotores de Hebern.
En el esquema de cifrado propuesto por Hebern, la clave determina la disposicin
de los rotores y debe cambiarse diariamente. Una vez colocados los rotores, el emisor del
mensaje elige aleatoriamente siete letras y gira las dos ruedas y los cinco rotores para que
se contemplen alineadas en cierto punto marcado en la mquina al efecto. Las siete letras
deben ser diferentes para cada mensaje y se transmiten en claro al receptor. A
continuacin, el emisor sita una palanca en posicin DIRECT y la mquina est lista
para cifrar. Cada vez que se presiona una tecla, una corriente elctrica atraviesa el banco
de rotores de izquierda a derecha e ilumina en el panel encima del teclado la lmpara
correspondiente a la letra cifrada. Seguidamente, un mecanismo hace girar alguno de los
rotores. El emisor debe anotar en papel aparte la letra iluminada antes de cifrar la
siguiente. Para descifrar el mensaje, el receptor del mismo ha de disponer de una mquina
idntica y seguir el mismo procedimiento que el emisor; pero situando la palanca en
posicin REVERSE, para que la corriente elctrica atraviese los rotores en sentido
contrario.
133
El movimiento de los rotores es el punto dbil de la mquina de Hebern. Se
consigue mediante un complicado sistema de engranajes que involucra a las citadas
ruedas de trinquete. Durante el cifrado, los rotores segundo y cuarto permanecen fijos.
Cada vez que se pulsa una tecla, el quinto rotor avanza una posicin. Tambin lo hace la
rueda de trinquete situada a la derecha. Y cuando la letra N de su borde llegue al punto
marcado en la mquina, tanto el primer rotor como la rueda de la izquierda adelantarn
una posicin en la siguiente pulsacin. La rueda de la izquierda rige el movimiento de
tercer rotor de modo similar, avanzndolo una posicin despus que la letra N de su
borde llegue al punto sealado. Un ejemplo de la sucesin de siete letras que pueden
leerse en el citado punto puede ser el que mostramos a continuacin. La primera letra
corresponde a la rueda de la izquierda, la segunda al primer rotor, la tercera al segundo
rotor, etc.
I 1 2 3 4 5 D
M H B P X V M
M H B P X W N
N I B P X X O
N I B X X Y P

La secuencia de letras se repite al cabo de 26
3
= 17576 teclas pulsadas. Un periodo
bastante elevado para asegurar que cada letra del mensaje se cifra con una sustitucin
diferente. Pero el movimiento de los rotores es bastante regular y se limita casi
exclusivamente al quinto. En un mensaje, el primer rotor slo se mover unas pocas veces
y el tercero lo har una nica vez como mucho. Seguro que el criptoanlisis de Friedman
aprovech esta particularidad. Pero en absoluto fue sencillo este trabajo. Los 10
criptogramas que la armada le envi iban todos cifrados conforme al esquema propuesto
por Hebern, con los rotores en un mismo y secreto orden pero en diferentes y pblicas
posiciones iniciales. Friedman tambin conoca el modo en que operaba la mquina
porque dispona de un modelo comercial; pero ignoraba las conexiones internas de los
rotores, ya que fueron alteradas en el aparato empleado por la armada. Tras el
criptoanlisis, Friedman redact un informe que se ha mantenido secreto hasta 1996.
A pesar del revs sufrido, Hebern no abandon la idea de hacerse rico con las
mquinas cifradoras y en 1931 ofreci otra mquina de rotores a la armada americana.
Este nuevo modelo mantiene los cinco rotores y las dos ruedas de trinquete como el
anterior, aunque ahora los rotores se eligen entre seis disponibles. Otra diferencia menor
es que la corriente elctrica fluye en sentido opuesto en el nuevo modelo. La gran
novedad est en el movimiento de los rotores, como era de esperar. Los cinco rotores son
mviles y lo pueden hacer de 50 maneras distintas, cada una de ellas determinada por la
posicin de tres palancas. Al pulsar cada tecla, siempre dos o tres rotores avanzan un
paso. Otro rotor lo hace despus de 26 letras cifradas. Y tras 650 letras, otros dos rotores
adelantan tambin un paso. Con este movimiento tan irregular, Hebern consigui
aumentar considerablemente la seguridad en su nueva mquina.
Pero en comparacin, ms haba crecido la potencia de criptoanlisis del Army
Signal Corps. Friedman dispona ahora de un equipo de criptoanalistas en el que
figuraban nombres como Frank Rowlet, Solomon Kullback o Abraham Sinkov; y contaba
134
tambin con las posibilidades de cmputo que ofrecan algunas mquinas automticas,
predecesoras de los ordenadores. La mquina de Hebern fue vencida de nuevo.
Esta nueva derrota apag por completo la ilusin de Hebern de hacerse millonario
vendiendo mquinas criptogrficas. Pero no disminuy el deseo del ejrcito americano de
poseer una mquina cifradora impenetrable. Trabajando sobre el modelo de Hebern, en
1934 consiguieron una mquina de rotores que super todos los tests de criptoanlisis a
los que fue sometida. Recibi el nombre de Electric Cipher Machine (ECM) Mark I.
Ms an, poco antes de comenzar la Segunda Guerra Mundial, el ejrcito americano logr
la que sin duda ha sido la mquina de rotores ms segura: la ECM Mark II, ms conocida
como Sigaba. Es la que se muestra en la Figura 8.7. En esta mquina, el movimiento de
los cinco rotores que intervienen en el cifrado es complicadsimo: tras pulsar una tecla, de
uno a cuatro de estos rotores avanzan guiados por una seal electrnica que se esconde al
atravesar otros diez rotores que a su vez se mueven mediante un dispositivo mecnico.
Hasta 1959, Sigaba ha cifrado la correspondencia ms confidencial del ejrcito
americano. No porque entonces su seguridad estuviera ya comprometida, sino porque era
demasiado lenta para el de trfico de mensajes que deba soportar. Todava hoy es objeto
de estudios de criptoanlisis en departamentos de universidades americanas.

Figura 8.7. La mquina americana Sigaba.
Y no podemos concluir esta breve resea histrica sobre la mquina de rotores
americana sin mencionar que en 1947 Hebern demand a las fuerzas armadas. Reclamaba
una indemnizacin de 50 millones de dlares, por considerar que el ejrcito se haba
apropiado de sus ideas en la fabricacin de los miles de Sigabas que emple durante la
Segunda Guerra Mundial. Tras un largo proceso judicial, Hebern recibi en 1958 la
compensacin de treinta mil dlares. Pero para entonces haca ya ocho aos que haba
muerto.
135
En 1923, la compaa alemana Chiffrienmaschinen Aktien Gesellschaft exhiba
en el congreso de la International Postal Union, celebrado en la ciudad suiza de Berna,
el primer modelo de una larga serie de la que sera la mquina de rotores ms famosa de
la Segunda Guerra Mundial: Enigma. Su popularidad la ha llevado a aparecer en varias
pelculas cinematogrficas, a ser objeto de estudio en muchos libros y a hablar de ella en
miles de pginas web por todo el mundo.
La primera versin, conocida como Enigma A, segua fielmente el diseo patentado
en 1918 por el ingeniero alemn Arthur Scherbius, patente que contiene ideas del inventor
holands Hugo Alexander Koch. Un voluminoso y pesado aparato muy similar a una
mquina de escribir que, de hecho, puede emplearse como tal. La Figura 8.8 muestra una
fotografa suya.

Figura 8.8 Enigma A.
Consta de cuatro rotores cuyo giro es causado por la accin de los dientes de otras
tantas ruedas. Estas cuatro ruedas avanzan una posicin cada vez que se pulsa una tecla,
completando una revolucin cada 11, 15, 17 y 19 pulsaciones, respectivamente. El
nmero de dientes de las ruedas es inferior a estos nmeros, por lo que hay ciertas
posiciones de cada rueda en las que el rotor que gua no avanza. Este diseo determina un
movimiento de los rotores bastante irregular, dependiente incluso de las posiciones
iniciales de las ruedas. Los rotores disponen de 28 contactos, ya que ste es el nmero de
letras del alfabeto de la mquina. Las claves son cada una de las posiciones posibles de
los rotores y las ruedas; en total: 1115171928
4
, cifra que supera los treinta mil
millones. Todas estas caractersticas hacen de Enigma A una mquina de rotores muy
interesante, de difcil criptoanlisis. No obstante, apenas se vendieron unas pocas
unidades. Y eso que la mquina goz de enorme publicidad.
Ello no desanim a la firma alemana y en breve lanz al mercado una nueva versin
de la mquina, Enigma B. Muy parecida al modelo A, con la nica diferencia significativa
de contener el alfabeto estndar de 26 letras. De nuevo fue un fracaso comercial.
La compaa alemana entendi que la ansiada venta masiva de mquinas de cifrar
se lograra con un aparato de reducido tamao, que fuera fcilmente transportable. Con
esta idea comercializ Enigma C en 1926. Naturalmente, la disminucin de peso y
volumen en la mquina trajo consigo importantes cambios respecto a los modelos
136
anteriores. El ms interesante que uno de los cuatro rotores es un reflector. Este es un
rotor con contactos en una sola cara, conectados por parejas para que la corriente elctrica
que llega a un contacto se refleje por el otro al que se conecta. Es lo que ocurre en la
mquina durante el cifrado. El fluido elctrico llega al reflector despus de atravesar los
tres rotores y al reflejarse los vuelve a cruzar en orden inverso. La Figura 8.9 muestra un
esquema de cmo circula la corriente elctrica por el banco de rotores en el modelo C.
Las flechas indican la direccin del flujo elctrico.

Figura 8.9. Esquema de los rotores en Enigma.
Con el empleo del reflector, las sustituciones que se obtienen son involutivas. Esto
significa que si una letra se transforma en otra, sta tambin se transmuta por aquella. De
este modo, no es necesario alterar el sentido del flujo elctrico para descifrar. El receptor
del mensaje slo tiene que situar los rotores en el mismo orden y en las mismas
posiciones que lo haya hecho el emisor. En consecuencia, el reflector trae consigo una
simplificacin en la mecnica y en el uso de la mquina. Incluso sus creadores pensaron
que al atravesar dos veces la corriente elctrica el banco de rotores, el cifrado resultante
era ms seguro, equivalente al de una mquina con el doble nmero de rotores. Pero todo
lo contrario, el reflector impide que una letra se transforme en s misma y esto constituye
una de las debilidades de Enigma, lo que no pasara inadvertido a los criptoanalistas.
En Enigma C, el reflector se coloca en una de dos posibles posiciones y permanece
esttico durante el cifrado. A su derecha van los tres rotores, en el orden que se desee.
Cada rotor puede situarse en 26 posiciones diferentes, ya que ste es el nmero de sus
contactos. Para identificar esta posicin, los rotores llevan en su borde un anillo bien con
el alfabeto estndar de la A a la Z, bien con los nmeros del 1 al 26. La letra (o
nmero) correspondiente a la posicin del rotor es la nica visible al usuario a travs de
una pequea ventana en la mquina. Curiosamente, el anillo puede girar con respecto al
cuerpo del rotor y, en consecuencia, su rotacin respecto al corazn del rotor forma parte
de la configuracin de la mquina antes de empezar a cifrar. Teniendo todo esto en
cuenta, el nmero de claves es el resultado de multiplicar las dos posiciones del reflector
por las seis ordenaciones posibles de los rotores, por 26
3
, que son sus distintas posiciones
Reflector Rotor Rotor Rotor Teclado
137
iniciales, y otra vez por 26
3
, debido al desplazamiento de cada anillo. En total,
3706989312.
El modo en que se mueven los rotores es otra de las simplificaciones de la versin C
de Enigma. Sus rotores incorporan en una de sus caras una rueda dentada y en la otra una
muesca destinada a encajar los dientes de la rueda de otro rotor. Al pulsar una tecla, y
antes de que circule la corriente elctrica por el banco de rotores, el rotor de la derecha
gira una posicin. Cuando llega a cierto punto en su revolucin, la muesca atrapa un
diente del rotor central y le hace avanzar un paso. Y de igual modo mueve el rotor de en
medio a su vecino de la izquierda, adelantando ambos una posicin cuando el rotor
central alcanza determinado punto en su rotacin. Por ejemplo, suponiendo que la muesca
de un rotor atrapa un diente cuando la Z de su anillo es visible por la ventanilla, de
modo que en la siguiente pulsacin har avanzar al rotor contiguo, una sucesin de letras
en dicha ventanilla podra ser esta:
H Y Y
H Y Z
H Z A
I A B
I A C

El periodo de los rotores es entonces 262526 = 16900. Cifra suficientemente
elevada pero conseguida con un movimiento muy regular, lo que de nuevo constituye una
debilidad. Por otro lado, dado que las muescas que giran el rotor adyacente estn situadas
en el cuerpo del rotor y no en su anillo, las sustituciones que producen los sucesivos
avances de los rotores son independientes del desplazamiento inicial del anillo respecto al
cuerpo del rotor. Por tanto, tal desplazamiento no aumenta la seguridad de la mquina.
Incluso puede suprimirse de la disposicin inicial antes de cifrar. Se reduce as el nmero
efectivo de claves a slo 2626
3
= 210912.
A diferencia de los dos modelos previos, Enigma C no imprime el texto cifrado. En
su lugar, al igual que en la mquina de Hebern, cada vez que se pulsa una tecla se ilumina
en un panel situado encima del teclado la lmpara correspondiente a la letra transformada.
Por supuesto, ello era un inconveniente para el usuario; pero de nuevo supuso una
reduccin importante en el peso y volumen de la mquina, que era la razn principal de su
diseo. Se logr que el aparato cupiese en un pequeo maletn.
Tan slo un ao despus, en 1927, apareci la siguiente versin de Enigma, el
modelo D. Con nicamente dos diferencias respecto a Enigma C. La primera, que el
teclado va configurado segn el estndar alemn, en el orden QWERTZ... en lugar del
alfabtico ABCD... presente en el modelo C. Ello trae consigo una permutacin entre
las teclas y los contactos que dan entrada al banco de rotores, en el llamado Stator.
Permutacin que tambin debe realizarse entre estos contactos y las lmparas, para
mantener involutivo el cifrado. La segunda diferencia citada est en el reflector, que ahora
puede situarse en 26 posiciones posibles en lugar de las dos permitidas en Enigma C;
aunque tampoco gira durante el cifrado. Esta pequea diferencia multiplica por 13 el
nmero de claves. Enigma D se muestra en la Figura 8.10.a).
138
Las conexiones internas de los rotores con que se equip a Enigma D se presentan
en la Tabla 8.2. La hemos elaborado con datos del libro de C. A. Deavours y L. Kruh que
incluimos en la bibliografa. Expliqumosla. Segn el mencionado texto, los contactos de
los rotores estn numerados del 1 al 26 pero en orden inverso a como lo hacen las letras
del anillo exterior, de modo que si se hace coincidir la A con el contacto 1, entonces la
Z lo hace con el 2, la Y con el 3, etctera. Situando as los anillos en los tres rotores,
sus contactos se pueden identificar ya por letras. Hecha esta identificacin, las letras en
negrita de la primera fila de la tabla representan a los contactos de la cara del rotor por la
que entra la corriente por vez primera, y las letras de las filas de los rotores corresponden
a los contactos homnimos en la otra cara. Van colocadas en el orden que indica la
conexin. Por ejemplo, en el rotor 1 el contacto A se conecta con el L. La aclaracin
anterior no es necesaria para el reflector, ya que su anillo no se desplaza. En su fila hemos
agrupado entre parntesis los pares de contactos conectados. Por ejemplo, los contactos
B y M estn conectados en el reflector. Imaginemos ahora que, sin girar los anillos,
colocamos los rotores en la mquina en la posicin en que es visible la letra A por la
ventanilla. Entonces los contactos del rotor derecho tocaran a los del Stator y ello nos
permite identificar tambin con letras a sus contactos. En tal situacin, la segunda fila de
la tabla contiene la permutacin que tiene lugar entre las teclas y los contactos de Stator.
Y para completar la descripcin de Enigma D, sealemos que en los tres rotores la
muesca que hace avanzar al rotor contiguo va junto al contacto 21 (G en la
configuracin anterior) y producir tal avance despus de verse el contacto 2 (Z) en la
ventanilla.

Stator: J W U L C M N O H P Q Z Y X I R A D K E G V B T S F
Rotor 1: L P G S Z M H A E O Q K V X R F Y B U T N I C J D W
Rotor 2: S L V G B T F X J Q O H E W I R Z Y A M K P C N D U
Rotor 3: C J G D P S H K T U R A W Z X F M Y N Q O B V L I E
Reflector: (AI) (BM) (CE) (DT) (FG) (HR) (JY) (KS) (LQ) (NZ) (OX) (PW) (UV)
Tabla 8.2. Especificaciones de los rotores de Enigma D
Enigma D fue un gran xito comercial. Se vendi por todo el mundo. Lgicamente,
la popularidad de la mquina lleg a odos de muchos ejrcitos, quienes consideraron
emplearla como sistema de cifras. Entre ellos el propio ejrcito alemn, naturalmente.
Pero enseguida se dieron cuenta de las debilidades de Enigma D; de hecho, llegaron a
saber como criptoanalizarla. Conocimiento que mantuvieron en secreto. Por una razn
evidente: para poder acceder a las comunicaciones de ejrcitos de otros pases que
estuvieran cifrando con Enigma.
El criptoanlisis de Enigma D deriv tambin en una versin militar alemana de
Enigma, con dos modificaciones importantes respecto a la comercial que elevaron
considerablemente la seguridad. Este modelo militar se llam Enigma I y apareci en
junio de 1930.
139
La primera modificacin, la ms significativa desde el punto de vista criptogrfico,
es la sustitucin de la permutacin fija entre el teclado y el Stator por la transformacin
variable que proporciona el Steckerverbindung. As denominaron a un panel con 26
enchufes colocado en la parte frontal de la mquina. Puede observarse el Stecker en la
Figura 8.10.b), que muestra una imagen de Enigma I.

Figura 8.10. Versiones comercial y militar de Enigma.
Cada enchufe del Stecker va asociado a una letra del alfabeto. Mediante cables se
conectan pares de enchufes dando lugar a una permutacin involutiva que acta
doblemente, entre el teclado y el banco de rotores y entre ste y el panel de lmparas. As,
cada vez que se pulsa una tecla y tras producirse el avance de los rotores, se origina una
corriente elctrica que circula primero por el Stecker antes de adentrarse en el banco de
rotores. Si un cable conecta el enchufe correspondiente a la letra pulsada con otro, esta
letra se transforma en la asociada al otro enchufe. Tras abandonar el banco de rotores, la
corriente elctrica pasa de nuevo por el Stecker antes de concluir su viaje en el panel de
lmparas, produciendo el mismo efecto que antes. Esta doble entrada del flujo elctrico en
el Stecker mantiene el carcter involutivo del cifrado.
Por otro lado, el Stecker aumenta considerablemente el nmero de claves. Por
ejemplo, segn consta en el manual de operaciones de la Wehrmacht de noviembre de
1939, se empleaban diez cables que conectaban veinte enchufes. Ello puede hacerse de
ms de 150 billones de modos diferentes.
a) Enigma D b) Enigma I
140
La otra diferencia de Enigma I respecto al modelo comercial afecta al movimiento
de los rotores. En la Figura 8.11 mostramos una fotografa de un rotor de Enigma I. En
ella puede verse que la muesca que ocasiona el avance del rotor adyacente est situada en
el anillo exterior, denominado ahora Ringstellung. De este modo, el hecho que el
Ringstellung pueda girar con respecto al cuerpo del rotor adquiere sentido criptogrfico
en Enigma I. Ahora, la sucesin de sustituciones que genera el movimiento de los rotores
depende de su posicin inicial y de la situacin del Ringstellung en los rotores central y
diestro. Por lo dems, tal movimiento es idntico al de la versin comercial. En
contrapartida a esta mejora, el reflector de Enigma I slo puede colocarse en una nica
posicin, la cual es invariante durante el cifrado.

Figura 8.11. Un rotor de Enigma I.
Teniendo en cuenta tales modificaciones, una clave en la Enigma militar de 1930
consta de los siguientes cuatro datos: el orden de los tres rotores, que se pueden disponer
de 6 modos distintos; la configuracin inicial del Ringstellung, elegida entre 26
3
=17576
posibles; las posiciones iniciales de los rotores, que de nuevo hay 17576 distintas; y,
finalmente, las conexiones en el Stecker. En total, empleando diez cables en el Stecker, el
nmero de claves consta de 24 dgitos.
Obviamente, las conexiones internas de los rotores y el reflector de Enigma I son
tambin diferentes de la versin comercial. Las hemos incluido en la Tabla 8.3. Las
explicaciones que dimos para la Tabla 8.2 son vlidas tambin para esta otra. Slo hemos
de aadir que la ltima columna contiene la letra del anillo de cada rotor que se ve en la
ventanilla cuando ste va a mover el rotor contiguo en la siguiente pulsacin. Los tres
rotores con que se dot la mquina de 1930 se identifican en la Tabla 8.3 con los nmeros
I, II y III, y el reflector con la letra A. Figuran tambin otros rotores y reflectores
que fueron apareciendo posteriormente. En 1938 se pusieron en servicio los rotores IV y
V, aumentando a cinco el nmero de rotores disponibles. (Con ello, el nmero de
selecciones ordenadas de tres de ellos se eleva a 543 = 60). Un ao antes, el reflector B
haba reemplazado al inicial A; y en 1941 apareci otro reflector, el C, que se utiliz
conjuntamente con aquel. Por entonces, en plena Segunda Guerra Mundial, varios miles
de Enigmas estaban siendo empleadas.

141
Rotor I: E K M F L G D Q V Z N T O W Y H X U S P A I B R C J Q
Rotor II: A J D K S I R U X B L H W T M C Q G Z N P Y F V O E E
Rotor III: B D F H J L C P R T X V Z N Y E I W G A K M U S Q O V
Rotor IV: E S O V P Z J A Y Q U I R H X L N F T G K D C M W B J
Rotor V: V Z B R G I T Y U P S D N H L X A WM J Q O F E C K Z
Rotor VI: J P G V O U M F Y Q B E N H Z R D K A S X L I C T W M, Z
Rotor VII: N Z J H G R C X M Y S W B O U F A I V L P E K Q D T M, Z
Rotor VIII: F K Q H T L X O C B J S P D Z R A M E W N I U Y G V M, Z
Rotor : L E Y J V C N I X W P B Q M D R T A K Z G F U H O S
Rotor : F S O K A N U E R H M B T I Y C W L Q P Z X V G J D
Reflector A:
(AE) (BJ) (CM) (DZ) (FL) (GY) (HX) (IV) (KW) (NR) (OQ) (PU) (ST)
Reflector B: (AY) (BR) (CU) (DH) (EQ) (FS) (GL) (IP) (JX) (KN) (MO) (TZ) (VW)
Reflector C: (AF) (BV) (CP) (DJ) (EI) (GO) (HY) (KR) (LZ) (MX) (NW) (TQ) (SU)
Reflector B dnn: (AE) (BN) (CK) (DQ) (FU) (GY) (HW) (IJ) (LO) (MP) (RX) (SZ) (TV)
Reflector C dnn: (AR) (BD) (CO) (EJ) (FN) (GT) (HK) (IV) (LM) (PW) (QZ) (SX) (UY)
Tabla 8.3. Especificaciones de los rotores en la versin militar de Enigma.
La armada alemana siempre dud de la seguridad que ofreca Enigma y no ces en
aadir modificaciones que dificultaran el trabajo de posibles criptoanalistas. A partir de
1939 aadi tres nuevos rotores a los cinco que empleaba el resto del ejrcito: los rotores
VI, VII y VIII. Estos tres rotores exclusivos de la armada tienen la caracterstica de
presentar dos muescas en el Ringstellung en lugar de una, lo que produce un movimiento
ms frecuente del rotor adyacente. A partir de 1942, los submarinos alemanes emplearon
una Enigma con cuatro rotores. Su cuarto rotor, identificado con la letra griega , no
gira durante el cifrado; aunque puede situarse en las 26 posiciones posibles, entre el
reflector y los otros tres rotores. Un ao despus, un similar rotor fue puesto en uso.
Para asegurar la compatibilidad de la nueva mquina de cuatro rotores con la antigua de
tres, dos nuevos reflectores B dnn y C dnn deben emplearse conjuntamente con los
rotores y , respectivamente. As, el cifrado con reflector B de la mquina de tres
rotores es el mismo que el producido con el reflector B dnn y el rotor en la Enigma
de los submarinos. Y en 1944, la armada introdujo dos modificaciones ms en su Enigma.
La primera el reflector D, con la posibilidad de variar sus conexiones internas. La
segunda un dispositivo especial, el Uhr box. Esta caja se acoplaba al Stecker mediante
20 cables, haciendo no involutiva su permutacin. Adems, cada hora se mova un dial en
el Uhr box que alteraba dicha permutacin.
Y todava hubo otras versiones diferentes de Enigma. Una muy conocida es el
modelo Abwehr, empleado por el servicio secreto alemn. Este aparato no incorpora el
Stecker. En realidad es el modelo comercial D con una variacin en el movimiento de
los rotores y en sus conexiones internas. Estos, incluido el reflector, se mueven en el
modelo Abwehr mediante un sistema de engranajes en lugar del mecanismo de muescas y
dientes explicado antes.
142
En fin, creemos haber dedicado ya suficientes prrafos a la descripcin de las
mltiples variantes de la famosa Enigma alemana. Nos la volveremos a encontrar en el
siguiente capitulo, que dedicamos ntegro a su criptoanlisis; quizs el episodio ms
interesante y relevante de la historia de la Criptografa.
Naturalmente, adems de la americana y la alemana, hay otras mquinas de rotores.
Casi todos los ejrcitos que intervinieron en la Segunda Guerra Mundial tenan su propia
mquina de rotores, diferente del resto. Muy conocidas son tambin la inglesa Typex y
la japonesa Purple. No vamos a entrar en su descripcin. Aunque no concluimos aqu
est captulo. Queda hablar de la mquina de rotores sueca, la que sin duda fue la ms
vendida y permiti a su inventor hacer una gran fortuna.
Es la identificada por su creador, el ingeniero sueco Boris Hagelin, con las siglas
C38. Apareci en 1938. Un ingenio mecnico de tamao de bolsillo que funciona sin
corriente elctrica y que, incluso, imprime el texto cifrado. Con estas caractersticas, no es
extrao el xito comercial que tuvo. Como no emplea la energa elctrica, no responde al
modelo de mquina de rotores que aqu hemos expuesto. La C38 es una mquina de tipo
pin and lug, mecanismo ideado por el propio Hagelin tres aos antes. Trataremos de
explicar su principio describiendo al mismo tiempo el funcionamiento de la C38.
Aclarar la exposicin la Figura 8.12, en la que se muestra la versin de esta mquina
empleada por el ejrcito americano: el famoso convertidor M209.

Figura 8.12. El M209 americano.
143
Puede observarse en la mencionada figura que la mquina contiene un banco de seis
rotores. Estos llevan en su anillo exterior unos pines en nmero distinto en cada rotor: 26,
25, 23, 21, 19 y 17, respectivamente. Los pines se identifican con sendas letras del
alfabeto. Cada pin puede estar en dos posiciones, una activa y otra inactiva. Junto al
banco de rotores hay un eje horizontal que lleva seis pequeas barras verticales, una por
cada rotor. Si al girar el rotor un pin activo llega a cierta posicin, la diminuta barra
correspondiente se levanta; si el pin esta inactivo, dicha barra se retrae. Puesto que cada
vez que se cifra una letra todos los rotores avanzan una posicin, se obtiene una sucesin
de estados (levantados o retrados) de las seis barritas. El periodo de esta sucesin puede
llegar a ser el maximal: 262523211917 = 101405848, ya que estos factores no tienen
ningn divisor primo en comn.
Detrs del eje de pequeas barras se encuentra un cilindro con 27 varillas dispuestas
horizontalmente, asemejndose a una pequea jaula. Cada varilla lleva dos diminutas asas
(lugs). Las asas pueden deslizarse a lo largo de la varilla y colocarse en una de las ocho
posiciones destinadas a ello. Dos de estas posiciones son neutras. Cada una de las otras
seis permite que el asa haga contacto con la pequea barra asociada al correspondiente
rotor, si es que est elevada. Al cifrar una letra la jaula da una revolucin completa. Si
durante esta rotacin un asa de una varilla contacta con una barra levantada, la varilla se
desliza hacia la izquierda. Como hay 27 varillas, un nmero entre 0 y 27 de ellas sufrirn
un desplazamiento en la codificacin de una letra; y este nmero es diferente cada vez,
puesto que as lo es el estado de las seis barras asociadas a los rotores.
Con este ingenioso mecanismo Hagelin consigue generar una sucesin de enteros
entre 0 y 27, prcticamente aleatorios y cuyo periodo es un nmero muy grande,
coincidente con el de la serie de estados de las barras. Cada nmero se utiliza para cifrar
una letra en la manera que explicamos a continuacin. En la parte izquierda de la mquina
figura una rueda con las 26 letras del alfabeto en el orden habitual. Para cifrar una letra se
gira esta rueda hasta que dicha letra llega a una posicin sealada al efecto. Al mismo
tiempo, el eje de la rueda gira otra que contiene en su borde el alfabeto de cifrado pero
con las letras en orden inverso. Seguidamente, se acciona una manivela situada en la parte
derecha de la mquina. La manivela ocasiona primero un giro completo de la jaula,
imprime el carcter cifrado despus y, por ltimo, hace adelantar un paso los seis rotores.
Al revolucionar la jaula, cada desplazamiento de sus varillas ocasiona un avance de la
rueda que contiene el alfabeto de cifrado, trayendo una nueva letra de este alfabeto a la
posicin marcada. Seguidamente, el dispositivo de impresin es activado por la accin de
la manivela y graba la letra resultante en una cinta de papel. Las varillas deslizadas
retornan a su posicin inicial y, por ltimo, los seis rotores avanzan un paso trayendo una
nueva configuracin de las pequeas barras y concluyendo as el ciclo de cifrado.
La codificacin de una letra puede describirse mediante una ecuacin si hacemos
uso de la aritmtica de letras introducida en el tema anterior. Como all hicimos,
identifiquemos la A con el 0, la B con el 1, la C con el 2, etctera. Tanto el alfabeto
en claro como el de cifrado estn grabados en el borde de sendos discos unidos por un
mismo eje. Este segundo alfabeto sigue el orden inverso y ello ocasiona que la A del
alfabeto en claro se corresponda con la Z del alfabeto de cifrado, la B con la Y, la
144
C con la X y as sucesivamente. La ecuacin que relaciona una letra del alfabeto en
claro con otra del de cifrado es entonces =25. El mecanismo de cifrado no hace
sino girar un nmero de pasos el eje de los alfabetos. Aadiendo al lado derecho de la
ecuacin anterior, tenemos ya la expresin que nos relaciona una letra con su cifrada :
=25+.
Despejando en esta igualdad, =25+. La misma ecuacin. Ello significa que
la mquina produce un cifrado involutivo. La misma clave sirve a la vez para cifrar y
descifrar.
Hablar de ellas es lo nico que falta para describir completamente el criptosistema
que implementa el ingenio de Hagelin. Cada clave est constituida por los siguientes tres
datos: el estado activo o inactivo de los pines, la posicin inicial de los rotores y la
disposicin de las pequeas asas o lugs. Hay en total 131 pines que se pueden configurar
de 2
131
modos diferentes. El nmero de posiciones iniciales de los seis rotores es el ya
mencionado producto 262523211917 = 101405848. Las dos asas de una varilla pueden
colocarse de (87)/2=28 modos diferentes. Como hay 27 varillas obtenemos 2728=756
maneras distintas de colocar las asas. El producto 2
131
101405848756 da el nmero de
claves disponibles, una cifra que supera a 10
50
. En la prctica, la mquina se utilizaba
manteniendo la misma configuracin de pines y lugs durante un periodo de tiempo
determinado, un da o una semana por ejemplo; pero la posicin inicial de los rotores
variaba con cada mensaje. Usando as la mquina, la posicin inicial de los rotores debe
transmitirse en claro junto con el mensaje cifrado.
Adems de escribir el texto cifrado, la mquina incorpora un contador que muestra
el nmero de letras cifradas en cada momento. En caso de error, un botn permite
regresar al estado anterior para corregirlo. Si la mquina se queda sin papel puede verse la
letra cifrada en la rueda correspondiente. En fin, toda una maravilla mecnica. Su nico
punto dbil es la seguridad del criptosistema que proporciona. En un ataque con texto
pleno, un criptoanalista puede recuperar la configuracin de pines y lugs y a partir de ah
el resto de mensajes cifrados con esa misma configuracin. Tambin es posible un ataque
con texto cifrado nicamente, pero se requiere una alta capacidad de clculo.
Al igual que otras mquinas anteriores de Hagelin, la C38 tuvo una buena acogida
en algunos pases europeos. En 1940, cuando Hitler ya haba conquistado media Europa,
Hagelin viaj secretamente de Estocolmo a Washington con 50 ejemplares de la C38. La
mquina encant al ejrcito americano y decidi incorporarla como sistema criptogrfico
de nivel medio, sustituyendo al cilindro criptogrfico M94. En 1942, la compaa de
mquinas de escribir Smith & Corona inici la produccin en serie del criptgrafo de
Hagelin con la denominacin militar de convertidor M209. Ms de ciento cuarenta mil
unidades fueron fabricadas.
Al terminar la guerra, el ahora multimillonario Boris Hagelin regres a Suecia.
Enseguida se dio cuenta que el negocio de la Criptografa no haba concluido con la
guerra. Los nuevos pases que surgieron de ella constituan un mercado potencial mayor
incluso que el que haba antes del conflicto. En 1948, Hagelin fund en la pequea ciudad
145
suiza de Zug la compaa Crypto AG, dedicada exclusivamente a la Criptografa. La
razn del traslado a Suiza fue el obstculo que el gobierno sueco puso al desarrollo de
esta disciplina, freno inexistente en Suiza. Desde su fundacin y an en la actualidad,
Crypto AG ha sido una empresa boyante, cuya produccin no ha conocido crisis alguna.

147
9
CRIPTOANLISIS DE ENIGMA
En 1974, el que fuera oficial del servicio de inteligencia britnico, Frederik W.
Winterbotham, se atrevi a revelar en su libro The Ultra Secret lo que todava era un
secreto oficial: que durante la Segunda Guerra Mundial los aliados haban descifrado
regularmente la correspondencia militar alemana y que ello les haba proporcionado una
gran ventaja en sus confrontaciones blicas con el ejrcito alemn. El libro despert un
gran inters en Gran Bretaa y Estados Unidos, y acab vendindose por todo el mundo.
No era la primera publicacin acerca de tal hecho, pero s la que despert la curiosidad
por el tema de numerosos historiadores y criptgrafos. Tras el de Winterbotham, una
sucesin de textos fueron descubriendo poco a poco como se logr penetrar en Enigma.
Es, con diferencia, el episodio ms contado de toda la historia de la Criptografa. Tambin
el ms fascinante.
Explicar detallada y razonadamente los diferentes mtodos que se emplearon en el
criptoanlisis de Enigma es complicado, requiere un libro entero. Y emplear unas
matemticas que superan el nivel elemental que aqu hemos decidido no sobrepasar.
Limitados entonces por los objetivos marcados en este texto, nos conformaremos con un
amplio resumen. Su lectura requerir estar familiarizado con la mquina. De ella se hizo
una descripcin detallada en el captulo anterior y a l nos remitimos.
Hay que comenzar con el criptoanlisis de las versiones comerciales de Enigma.
Esta labor se inici a finales de los aos veinte, en la Government Code & Cypher School
(GCCD), la oficina de inteligencia britnica que sucedi a la Habitacin 40 tras la
Primera Guerra Mundial. Uno de sus miembros, Hugh Foss, encontr un complicado
mtodo para penetrar en el cifrado de Enigma. Pocos aos despus, el tambin
perteneciente a la GCCD, Alfred Dilly Knox, desarroll y perfeccion dicho mtodo. El
mismo Knox lo puso en prctica durante la Guerra Civil espaola, criptoanalizando la
mquina Enigma empleada por la armada italiana. (La Enigma comercial identificada con
la letra K, pero con las conexiones internas de los rotores alteradas. Este modelo K era
muy similar al que llamamos D en el tema anterior.) Segn los britnicos, el trabajo de
Knox fue de enorme ayuda a la Royal Navy en la trgica batalla del cabo Matapn, en
1941. En ella, la flota italiana sufri enormes prdidas.
9. CRIPTOANLISIS DE ENIGMA
148
Tratar de explicar el mtodo de Knox, al que los ingleses denominaron rodding, es
el objetivo de los siguientes prrafos. Exactamente: mostraremos como criptoanalizar un
texto cifrado con Enigma D en el supuesto que se disponga de un ejemplar de la mquina
y que se haya identificado un pequeo fragmento de texto en claro. En tal caso, el mtodo
de Knox proporciona la clave. Con ella se puede descifrar completamente el mensaje.
Acceder a un ejemplar de Enigma slo est al alcance de unos pocos y nosotros no
estamos entre ellos. Por fortuna, el ordenador puede suplir esta carencia. No es difcil
elaborar un programa que simule el cifrado de una mquina de rotores. Naturalmente, se
necesita conocer su mecanismo y las conexiones internas de los rotores. Aprovechando la
detallada descripcin que de Enigma D hicimos en el captulo anterior, y con los datos de
la Tabla 8.2, hemos construido en el ordenador un simulador de esta mquina. Con l
hemos cifrado cierto texto en claro. El criptograma resultante, agrupando las letras en
bloques de cinco, es el siguiente:

WUZKV OKXKW ARHZO THRQC AKVBA NBKOV KTESD LUAVO
DOKIP RMLRJ EYBXU MLQSS CJHNY KKCVJ SAR

Del texto en claro sabemos que comienza por CGXINFORMAX... (CG es
abreviatura de Cuartel General. La X se utiliza como separador de palabras, hecho comn
en cifrados con Enigma). Este pequeo trozo va a ser suficiente para determinar la clave
que, recordemos, consta de los siguientes datos: la posicin inicial de los anillos respecto
al cuerpo de los rotores, el orden de stos al colocarlos en la mquina y la posicin inicial
de rotores y reflector.
En primer lugar, como ya sealamos en la descripcin de Enigma D efectuada en el
captulo anterior, girar inicialmente los anillos de sus rotores es una operacin redundante
ya que ello no afecta al movimiento de los mismos. As, por ejemplo, girar un anillo de un
rotor situando la A sobre el contacto 4 y luego colocar el rotor en la mquina viendo la N
por la ventanilla equivale a colocar la A del anillo encima del contacto 1 y disponer el
rotor viendo la K por la mencionada ventanilla. En consecuencia, en nuestro
criptoanlisis, podemos muy bien suponer que los anillos de los rotores estn situados con
la A junto al contacto 1.
Hecha esta aclaracin, fijmonos en la Figura 9.1, que esquematiza el cifrado de
Enigma al pasar la corriente elctrica por el banco de rotores. Primero atraviesa el Stator,
luego los rotores derecho, central e izquierdo, se refleja en el reflector y deshace el
camino anterior hasta concluir su viaje en el panel de lmparas. Antes de ello, se ha
producido el avance de los rotores. Pero este movimiento se limita casi exclusivamente al
rotor derecho, que adelanta un paso con cada letra. El central lo hace cada 26 letras, y el
izquierdo cada 650. As, hay fragmentos de 26 letras en los que nicamente el rotor
derecho se mueve. El bloque formado por el reflector y los rotores izquierdo y central
permanece inmvil, se comporta como un reflector fijo. Este es el punto dbil de Enigma
que aprovecha el mtodo que concibi Knox. Vemoslo.


149

Figura 9.1. Esquema de cifrado en Enigma D.
El punto de partida es que la mquina ha transformado el fragmento de texto en
claro CGXINFORMAX en las once primeras letras del criptograma: WUZKVOKXKWA.
Como disponemos de la mquina, conocemos la sustitucin que proporciona el Stator. En
consecuencia, podemos determinar el transformado del trozo en claro tras su paso por el
Stator. Y tambin el correspondiente fragmento de texto cifrado antes de atravesar dicho
Stator. La ya citada Tabla 8.2 incluye la sustitucin del Stator; con ella deshacemos su
accin:

Supongamos ahora que con los nuevos fragmentos de texto repetimos la accin
anterior, empleando un rotor en lugar del Stator. Obtenemos otros dos trozos. Llamemos
C1 al transformado del fragmento UNTHXMIDYJT y D1 al de BGFQVIQTQBJ.
Sucede que si el rotor empleado es el rotor derecho de la clave y en la posicin inicial
correcta, entonces C1 y D1 son isomorfos, segn explicamos a continuacin. En el
proceso de cifrado, C1 se transforma en D1 mediante la accin del bloque constituido por
el reflector y los rotores izquierdo y central. Si durante esta transformacin tal bloque ha
permanecido inmvil, ha actuado como un reflector fijo; esto es, ha tenido lugar una
sustitucin involutiva. Ello implica que, por ejemplo, si una A en C1 se cambia una vez
por una P en D1, entonces toda A de C1 se transforma en P en D1 y viceversa: toda P de
C1 se sustituye por A en D1. En esto consiste el isomorfismo. Puede suceder que, durante
la transformacin de C1 en D1, el rotor central haya avanzado (recordemos que ello
ocurre tras verse la Z del rotor derecho en la ventanilla correspondiente.) En tal caso,
puesto que los fragmentos de texto tienen slo once letras, lo habr hecho una o dos veces
seguidas (en este segundo caso, el rotor central habr movido tambin al izquierdo.) Ello
rompe el isomorfismo entre C1 y D1. Aunque entonces estos fragmentos se parten en dos
trozos en los que el rotor central est inmvil y, en consecuencia, son isomorfos.
Por lo general, si C1 y D1 se obtienen con un rotor diferente al rotor derecho de la
clave o con el mismo rotor pero en una posicin inicial distinta, entonces C1 y D1 no son
isomorfos.
UNTHXMIDYJT
BGFQVIQTQBJ
Stator
CGXINFORMAX
WUZKVOKXKWA
WUZKVOKXKWA
CGXINFORMAX
Texto en claro
Texto cifrado Reflector Rotor Rotor Stator
150
El isomorfismo permite averiguar el rotor derecho de la clave y su posicin de
partida. Para ello, hemos de contemplar todas las posibilidades para C1 y D1 y determinar
cuando o bien son isomorfos o bien se parten en dos trozos que lo son. Puesto que hay
tres rotores disponibles y 26 posiciones iniciales, el nmero de textos C1 y D1 diferentes
es 326 = 78. Su cmputo es posible porque conocemos las conexiones internas de los
rotores (figuran en la Tabla 8.2). Si se hace a mano, empleando lpiz y papel
nicamente, es un proceso muy lento y tedioso que requiere disponer de sendas tablas en
las que figuren las 26 sustituciones de un rotor en funcin de su posicin en cada
momento. Por ejemplo, la Tabla 9.1 contiene estas transformaciones para el rotor nmero
1 de Enigma D. La letra de la primera columna representa la letra que se observa en la
ventanilla en cada posicin y la fila de letras que sigue indica la sustitucin que tendr
lugar en esa posicin. As, por ejemplo, si el rotor est en la posicin K, al pulsar la tecla
L esta letra se transforma en R.

Z: L P G S Z M H A E O Q K V X R F Y B U T N I C J D W
A: O F R Y L G Z D N P J U W Q E X A T S M H B I C V K
B: E Q X K F Y C M O I T V P D W Z S R L G A H B U J N
C: P W J E X B L N H S U O C V Y R Q K F Z G A T I M D
D: V I D W A K M G R T N B U X Q P J E Y F Z S H L C O
E: H C V Z J L F Q S M A T W P O I D X E Y R G K B N U
F: B U Y I K E P R L Z S V O N H C W D X Q F J A M T G
G: T X H J D O Q K Y R U N M G B V C W P E I Z L S F A
H: W G I C N P J X Q T M L F A U B V O D H Y K R E Z S
I: F H B M O I W P S L K E Z T A U N C G X J Q D Y R V
J: G A L N H V O R K J D Y S Z T M B F W I P C X Q U E
K: Z K M G U N Q J I C X R Y S L A E V H O B W P T D F
L: J L F T M P I H B W Q X R K Z D U G N A V O S C E Y
M: K E S L O H G A V P W Q J Y C T F M Z U N R B D X I
N: D R K N G F Z U O V P I X B S E L Y T M Q A C W H J
O: Q J M F E Y T N U O H W A R D K X S L P Z B V G I C
P: I L E D X S M T N G V Z Q C J W R K O Y A U F H B P
Q: K D C W R L S M F U Y P B I V Q J N X Z T E G A O H
R: C B V Q K R L E T X O A H U P I M W Y S D F Z N G J
S: A U P J Q K D S W N Z G T O H L V X R C E Y M F I B
T: T O I P J C R V M Y F S N G K U W Q B D X L E H A Z
U: N H O I B Q U L X E R M F J T V P A C W K D G Z Y S
V: G N H A P T K W D Q L E I S U O Z B V J C F Y X R M
W: M G Z O S J V C P K D H R T N Y A U I B E X W Q L F
X: F Y N R I U B O J C G Q S M X Z T H A D W V P K E L
Y: X M Q H T A N I B F P R L W Y S G Z C V U O J D K E
Tabla 9.1. Las sustituciones del rotor n 1.
El clculo a mano de todos los fragmentos C1 y D1 se acelera notablemente
empleando tiras de papel deslizantes confeccionadas con las columnas de estas tablas. De
ah el nombre de rodding al mtodo de Knox. Imaginamos que en tiempos de Enigma
los criptoanalistas ingleses utilizaran mquinas electromecnicas con las que obtendran
rpidamente todos los fragmentos C1 y D1 posibles. Hoy en da, el ordenador lo hace al
instante. Con su ayuda hemos elaborado la Tabla 9.2, en la que figuran los textos C1 y D1
para cada posicin inicial del rotor 1 de Enigma D. En ella, hemos situado C1 sobre D1
para que se observe mejor si son isomorfos. A su lado, en la izquierda, figura la posicin

151
inicial del rotor. A partir de la posicin P los textos estn partidos en dos. Ello es porque
el rotor ha llegado a la posicin Z durante su movimiento, ocasionando a continuacin el
avance del rotor central. Este momento lo representa el espacio en blanco que parte en
dos los fragmentos.

NQGNLWLJZLI JZOHDXUDOXC DODLXRJH DPG
Z:
PZYQSSWEVHJ
I:
HONUROXYJBN
R:
BDCPFPTV YFI
HDZGBOYCRJO PSAAWANWGND EGWWQSB SVIZ
A:
FCBJGLCHNAC
J:
AQPFAURZMUY
S:
URQZXJG TAQS
AVFQMMQMUCA BKUUGQFQIYW XJJCKL EYJSF
B:
QLKDJYVXBKW
K:
KIHLBNJSVOE
T:
OUTAVB YMSWT
GXYRSFSNDWU VYMNHBTJAEJ KSBOD VNKMTY
C:
WMLWZQNIELP
L:
LGFXUFMCWHQ
U:
HKJTO EAGQIM
ZPQKEZKGEPM NBPTAHWPYQB CTDI JWOECMQ
D:
IFECKSBOUEV
M:
EZYRETVDPNK
V:
NVUG INSZJCZ
RNEXYSITXVP QRYMNTMIRKD EMV ACPHWNZE
E:
CPOVQKEAFRO
N:
RTSJFWWWZGC
W:
GBA YBOQFDUR
FGHPQYBLHOY ZCZEFNXALCV WW TDUCRZTRH
F:
UQPNCIUULJG
O:
JMLMYMPJAYF
X:
YN MAHHJYWXT
IAXRTRVNIGZ AISSHFDOEF T U XMMIUSIFTX
G:
XJIBWBFMXLU
P:
LSRVLXZBTM O
Y:
M HGSARDQCGL
YTIJCJOFBUS TUCVZIPRK OM
H:
GWVEOVLPRDX
Q:
DLKWDDADG PP

Tabla 9.2. Los fragmentos C1 y D1.
Fijmonos, por ejemplo, en los trozos C1 y D1 obtenidos con el rotor 1 en su
posicin inicial Z. No son isomorfos porque en D1 figuran dos S consecutivas y encima
de ellas dos letras diferentes en C1. Observemos ahora los primeros trozos de C1 y D1
correspondientes a la posicin inicial U. Vemos una K sobre una H y a continuacin una
S sobre una K. Si fueran isomorfos, la S debera ser H. En cambio, los textos que figuran
al lado de la posicin G s son isomorfos: la I y la X se emparejan tres veces, la R y la B
dos. Muy probablemente, el rotor derecho de la clave es el nmero 1 y en la posicin G.
Aunque tambin es posible la posicin W, la nica que no permite confirmar o descartar
el isomorfismo por no repetirse las letras en ninguno de los dos trozos en que se han
partido C1 y D1. Continuemos el criptoanlisis suponiendo que el rotor derecho de la
clave es el nmero 1 en la posicin inicial G. Si llegamos a una contradiccin, habr que
considerar la posicin W. Si de nuevo se alcanza una contradiccin, habr que probar con
otro rotor.
El siguiente paso es averiguar el rotor central y su posicin inicial. Para ello, es
necesario observar el cambio de isomorfismo que se produce en los textos C1 y D1
cuando avanza el rotor central. Como ya hemos dicho en varias ocasiones, tal avance se
produce tras llegar el rotor derecho a la posicin Z. Si ste parte de la G, llegar a la Z
tras 19 letras codificadas. En consecuencia, el cambio de isomorfismo no se observar en
fragmentos con menos de 20 letras. Es lo que sucede con nuestros C1 y D1: slo tienen
once letras. Si no los ampliamos ms all de 20 letras, nuestro criptoanlisis se detendr.
152
Podemos ampliar el fragmento D1 ms all de 20 letras porque disponemos de la
totalidad del texto cifrado. Slo tenemos que repetir el proceso anterior con una porcin
mayor de texto cifrado. Pero, en principio, esto no es posible con C1 ya que
desconocemos como contina el trozo de texto en claro del que hemos partido. Aunque
quizs nos ayude el isomorfismo descubierto. Vemoslo. En primer lugar, alarguemos D1
repitiendo lo anterior con las 26 primeras letras del texto en claro:
D1: XJIBWBFMXLUQHCXPNRX NPSAHMM
El espacio en blanco que hemos aadido corresponde al momento que el rotor llega
a la posicin Z. Hasta ese espacio, podemos aadir letras a C1 en virtud del isomorfismo
ya conocido: encima de la X una I, sobre la N una M... Descubrimos cuatro nuevas letras
en C1:

C1: IAXRTRVNIGZ***I*MBI
D1: XJIBWBFMXLUQHCXPNRX

Obtengamos las letras del texto en claro que corresponden a las cuatro letras
recuperadas. Para ello, las sometemos primero a la accin inversa del rotor nmero 1 y
despus a la del Stator. Por ejemplo, efectuemos esta operacin con la I que ocupa el
decimoquinto lugar. Despus de quince pasos, el rotor ha llegado a la posicin U. En la
Tabla 9.1, la I de la fila correspondiente a la posicin U est en la columna D; por tanto,
la sustitucin inversa del rotor cambia la I por la D. Y como segn la Tabla 8.2 la D es la
transformada de la R mediante el Stator, resulta que la R es la letra decimoquinta del texto
en claro. De igual modo procederamos con las otras tres letras y descubriramos sus
asociadas en el texto en claro. Tras hacerlo, ste queda as:

Texto en claro: CGXINFORMAX***R*QUI
C1: IAXRTRVNIGZ***I*MBI

Hemos de completar los trozos reemplazando los asteriscos por las letras correctas.
El modo de hacerlo es conjeturar con letras que den sentido al texto en claro y que, al
transformarlas, mantengan el isomorfismo entre C1 y D1. O, recprocamente, suponer
letras en C1 que no contradigan el isomorfismo y que al trasladarlas al texto en claro
conserven el significado. Esta es la parte ms delicada del criptoanlisis, donde la
intuicin es ms eficaz que la argumentacin. Por ello, mejor presentamos ya los trozos
completos:

Texto en claro: CGXINFORMAXSEXREQUI
C1: IAXRTRVNIGZOPDIHMBI
D1: XJIBWBFMXLUQHCXPNRX

Ya hemos llegado hasta el espacio en blanco en C1. Pero debemos superar la
barrera que representa. Slo es posible recurriendo de nuevo al texto en claro. En l
parece asomar una forma impersonal de los verbos requerir o requisar. Probemos con
requiere. Si acertamos, habremos prolongado correctamente C1 con tres letras ms.

153
Pasando ERE primero por el Stator y despus por el rotor 1 (que ha llegado a la posicin
Z), obtenemos:

C1: IAXRTRVNIGZOPDIHMBI GYX
D1: XJIBWBFMXLUQHCXPNRX NPS

Notemos como ha cambiado el isomorfismo tras el espacio en blanco: Antes de l,
la G se emparejaba con la L, despus va asociada a la N. Como decamos, tal cambio
permite descubrir el rotor central y su posicin inicial en la clave. Y del mismo modo que
antes: Sometemos los textos C1 y D1 a la accin de otro rotor en cada una de sus 26
posiciones iniciales. Aquella en la que los textos resultantes presenten el mismo
isomorfismo antes y despus del espacio en blanco ser, muy probablemente, la posicin
correcta en la clave. Si tal circunstancia no se observa en ninguna posicin, habr que
probar con el otro rotor.
En la Tabla 9.3 se presentan los 26 transformados de los textos C1 y D1 con el rotor
2 en cada una de sus posiciones iniciales posibles. Esta tabla puede obtenerse rpidamente
incluso a mano, ya que el rotor central slo avanza una vez, tras el espacio en blanco.
Naturalmente, necesitamos una tabla similar a la 9.1, en la que figuren las sustituciones
que produce el rotor nmero 2 en cada una de sus 26 posiciones. Si examinamos la Tabla
9.3, nicamente en la posicin Q se observa idntico isomorfismo antes y despus del
espacio en blanco. Ello es porque, en efecto, el rotor central es el nmero 2 y su posicin
inicial es la Q.
Ya no es necesario prolongar los nuevos fragmentos para revelar completamente la
clave. Sometemos los dos textos proporcionados por el rotor 2 en su posicin inicial Q a
la accin del tercer y ltimo rotor, en sus 26 posiciones iniciales posibles. (Durante esta
operacin, este rotor no gira porque el central no llega a la posicin Z.) Obtendremos una
tabla similar a la 9.3. Seguidamente, nos ayudamos de otra tabla en la que figuren las 26
sustituciones involutivas del reflector en funcin de su posicin inicial. Debe haber una
casilla en cada una de estas dos ltimas tablas en las que se observen los mismos
emparejamientos de letras. Tales casillas correspondern, respectivamente, a la posicin
inicial del rotor izquierdo y del reflector. Pero no detallamos esta ltima parte del
criptoanlisis y dejamos que el lector interesado complete la clave y descifre el mensaje.

154
JSNYMYPWJFUIRGJXELJ WTC YSEUHULIYOVGZFYARKY ZUB
Z:
NQJLCLTENHKZXVNRWYN HYL
M:
EDYKXKMREBTJAWEZIUE FIG
JSNYMYPWJFUIRGJXELJ WTC CJBOSOWFCZRYIMCXHVC WQT
A:
NQJLCLTENHKZXVNRWYN HYL
N:
BPCVDVNHBQKTXEBIFOB XSR
PKCZJZBHPWRQYAPIVUP HQS OUTFJFCXOWIHSKOBEDO AHP
B:
CNPUMUEVCDOXIFCYHZC PWI
O:
TZODADYETGVNBLTSXFT GMI
MTSKNKLPMHJXWRMOGEM NIP YCPQUQZGYATRMLYNWKY MSG
C:
SFMEBEVGSUAYOZSWPKS WXM
P:
POYKSKVWPDBENJPMGQP QDT
EDPHZHAWENSVXCELOYE KRH NJGHAHRQNMBLDWNXFIN WAR
D:
PBEYRYGOPFKJLQPXWHP UIY
Q:
GENIOIZFGVYPXKGDQHG KOZ
AXHLJLQUAKCWITADVPA CBQ DHRSXSNKDWICOTDMPJD LHZ
E:
HSAPOPMVHNZGDBHIULH VFI
R:
RBDJFJLPREQGMVROKSR BFW
ROQXYXNVRCWHFERZTAR YVA AIZYPYEBALGNFXACJUA BFG
F:
QDRAGAJTQUPKZSQFVXQ GJX
S:
ZTAUQUVJZOMRCSZFBYZ MQO
CZAHOHFGCYNEJKCQURC PMU STGVLVPMSBHEQJSZARS YGE
G:
ALCRPRBUASMWQDAJGHA DVN
T:
GCSRYRKAGIDXZWGQMVG DWK
KQUWLWODKPYIVHKBFCK AXL BQENCNXDBYSPWTBRLVB QRF
H:
USKCZCXFUTEGBJUVDWU HFK
U:
EMBVFVALEZOURIEWDNE OTB
RBLMDMYHRAPUFZRJCIR IOW LUFJNJEOLQPVTILACHL ZOQ
I:
LQRITIOCLENVJGLFHML TUC
V:
FGLHDHXCFKWMASFTOJF ULM
PHWJMJSTPIAEUVPQGFP PZN FGQAVACUFZTSLYFKNRF JSN
J:
WRPFKFZGWBXLQYWUTJW DKL
W:
QXFRERPNQBDIKHQLUAQ RHU
QENBWBJDQPGTKMQOSXQ NFY WQNLCLDRWJFKHVWETGW DER
K:
NCQXVXHSNFRIOUNKDBN SHV
X:
NIWGPGYTNMBZEXNHRLN JYB
BWYKQKUSBNDJHXBPCTB OCE HFRTATOJHDPGYNHVQWH UDN
L:
YZBTMTOCYRIAPLYHSKY IZP
Y:
RZHWMWIQRSCKVURYJTR FRA
Tabla 9.3. Transformados de los textos C1 y D1.
Recordemos que el laborioso criptoanlisis anterior ha partido del supuesto que se
disponga de un ejemplar de Enigma D y que se haya identificado un pequeo fragmento
de texto en claro. En tiempos de Enigma, tal situacin no era irreal en la prctica. El
volumen de las comunicaciones que ya tena lugar entre las unidades de un ejrcito
requera emplear muchas mquinas cifradoras. Tarde o temprano, alguna caa en manos
enemigas. Por otro lado, muchos mensajes militares se estructuraban siempre de la misma
manera, incluyendo en su cabecera o su final fragmentos que indicaban quien emita el
mensaje y a quien iba dirigido. Con frecuencia, la identificacin del emisor y del receptor
de estos mensajes proporcionaba trozos de texto en claro. En la GCCS llamaron cribs
(chuletas) a estos fragmentos de texto en claro.
Los alemanes tambin conocan el mtodo anterior. Est comprobado que lo
emplearon para acceder a las comunicaciones suizas durante la Segunda Guerra Mundial.
Suiza, al igual que Italia y otras naciones europeas, empleaba una versin comercial de
Enigma. Fruto del criptoanlisis alemn es la inclusin del panel de enchufes en la parte
frontal de la versin militar, el Stecker. Con l, la seguridad de Enigma aumenta de forma
considerable. Incluso hubiera sido indescifrable de no ser por... Pero mejor lo contamos
ms despacio.
Tras la Primera Guerra Mundial, el tratado de Versalles trajo la reduccin del
ejrcito alemn a poco ms de 100.000 hombres y el desmantelamiento de gran parte de

155
sus estructuras militares. Una de ellas, su oficina de cifras. Como consecuencia, las pocas
comunicaciones cifradas se hacan de un modo muy simple, frecuentemente mediante
transposiciones. Eran fcilmente criptoanalizadas por los servicios de inteligencia de los
pases vencedores de la Primera Guerra Mundial. Pero esta situacin dur muy poco. A
finales de los aos veinte, los aliados interceptaron algunas comunicaciones militares
alemanas que ya no seguan los simples patrones empleados hasta ese momento. Eran las
pruebas que el ejrcito alemn estaba realizando con el nuevo criptosistema que pensaba
adoptar, basado en la versin militar de Enigma. Entr en vigor en junio de 1930. A partir
de entonces, los aliados dejaron de acceder a las comunicaciones de un ejrcito alemn en
expansin.
El anlisis de los mensajes cifrados mostraba que la nueva cifra alemana era un
sistema polialfabtico, con un periodo que superaba la longitud de los textos y con una
clave que cambiaba diariamente. Todo indicaba que Alemania haba adoptado un
criptosistema basado en una mquina de rotores y contra el que no se conoca
criptoanlisis alguno. Por otra parte, el mencionado anlisis revel una curiosa norma que
afectaba a las seis primeras letras de los criptogramas y que enseguida fue observada por
los criptoanalistas: Todos los textos cifrados de un mismo da que coincidan en su
primera letra, lo hacan tambin en la cuarta. La misma regla seguan la segunda y quinta
letras. Y tambin la tercera y sexta. Pero estas coincidencias no abrieron ninguna grieta en
la cifra alemana. Pareca impenetrable.
La razn de la regla anterior est en el modo de cifrar con Enigma que inicialmente
se escogi y que permaneci vigente hasta el 15 de septiembre de 1938. Hasta esa fecha,
antes de cifrar un mensaje, el operador encargado de hacerlo deba disponer la mquina
segn la configuracin inicial que se indicaba en la correspondiente Tageschlssel, o
clave del da. Cada una de ellas constaba de los siguientes datos:
1. El orden de los tres rotores disponibles (Walzenlage) y la posicin de sus
anillos (Ringstellung).
2. Las conexiones del Stecker, que hasta noviembre de 1936 fueron seis
exactamente. Despus de esta fecha y hasta fin de 1938, su nmero vari entre
cinco y ocho.
3. La posicin inicial de los rotores en la mquina (Grundstellung), determinada
por las letras visibles en la ventanilla.
El Grundstellung y las conexiones del Stecker eran diferentes en cada
Tageschlssel. Pero el orden de los rotores y el Ringstellung se mantenan durante un
trimestre. No obstante, este periodo se redujo a un mes a partir de enero de 1936. Y desde
octubre de ese mismo ao, todos los datos variaron ya diariamente.
Un ejemplo de Tageschlssel es el siguiente:

156
Walzenlage Ringstellung Stecker Grundstellung
I III II X P R AT DS IJ MO WZ XY D E O
Tabla 9.4. Ejemplo de Tageschlssel.
Una vez situada Enigma en la posicin indicada en la clave del da, el emisor del
mensaje elega tres letras al azar y las cifraba dos veces. Las seis letras resultantes
encabezaban el texto cifrado. Por ejemplo, si el tro de letras escogidas por el operador es
amx, ste cifraba el fragmento amxamx. Si, por ejemplo, obtena PHBCJZ, estas
seis letras eran la cabecera del mensaje cifrado. Seguidamente, giraba los rotores hasta
leer las tres letras escogidas en la ventanilla (amx, en este caso). En esta nueva posicin
cifraba el mensaje propiamente dicho. El texto resultante se aada a la cabecera anterior,
obtenindose el criptograma que se transmita. El receptor del mismo, con Enigma en la
posicin sealada en la Tageschlssel, descifraba primero las seis letras de la cabecera,
recuperando as las tres letras elegidas por el emisor. A continuacin, situaba los rotores
en la posicin marcada por esas tres letras y tecleaba el resto del criptograma, obteniendo
el mensaje en claro. Los alemanes denominaban Spruchschlssel (clave del mensaje) al
tro de letras elegido por el operador.
De este modo, cada mensaje se cifraba con una posicin diferente de los rotores,
con la que elega el operador que lo transmita. A su vez, esta posicin se radiaba cifrada
con la clave indicada en la Tageschlssel. Se cifraba por duplicado para que el receptor
pudiera corregir posibles errores producidos durante la transmisin de la cabecera, los
cuales impediran descifrar el mensaje que segua a continuacin. El doble cifrado de la
Spruchschlssel explica que dos criptogramas que coincidan en su primera (segunda o
tercera) letra lo hagan tambin en su cuarta (quinta o sexta, respectivamente) letra, ya que
as lo hacen los dos fragmentos de texto en claro de los que proceden. Pero esto
constituye un tremendo error criptogrfico que, como veremos, comprometi la seguridad
de Enigma. El mismo fin se hubiese conseguido cifrando la Spruchschlssel una sola vez
y transmitiendo el resultado por duplicado: PHBPHB, en nuestro ejemplo.
Los aliados supieron como empleaba Enigma el ejrcito alemn el 8 de noviembre
de 1931. En esa fecha, espas franceses se reunieron en Blgica con Hans-Thilo Schmidt,
empleado de la oficina de cifra del ministerio de defensa alemn. A cambio de una
importante suma de dinero, Schmidt facilit a los franceses varios documentos secretos.
Uno de ellos describa detalladamente el manejo de Enigma, otro haca lo mismo con el
sistema de claves en vigor.
Sin embargo, de nada sirvieron estos documentos a los criptoanalistas franceses.
Tampoco a los ingleses, quienes dispusieron de una copia das despus. Tras la
descorazonadora respuesta inglesa, al jefe del servicio francs de Decryptement et
Interceptions, el capitn Gustave Bertrand, se le ocurri proporcionar dichos documentos
al Biuro Szyfrow, la oficina de cifras polaca. Bertrand haba odo hablar de la habilidad
polaca en materia de criptoanlisis. As, el 7 de diciembre de 1931, Bertrand viaj a
Varsovia con una copia de los citados documentos y la entreg al mayor Gwido Langer,
responsable del Biuro Szyfrow. Langer explic a Bertrand que la informacin

157
proporcionada era de enorme utilidad, pero que sin un ejemplar de Enigma su
criptoanlisis era imposible. Los documentos incluan una detallada descripcin de la
mquina con la que quizs fuese posible construir una copia de Enigma; pero faltaban las
conexiones internas de los rotores, dato imprescindible para reproducir Enigma.
Das despus, el servicio secreto francs se reuni de nuevo con Schmidt. Este no
les proporcion las ansiadas conexiones internas de los rotores, pero s las Tageschlssels
de ese mes de diciembre de 1931. Y al ao siguiente, las correspondientes a los meses de
mayo, septiembre, octubre, noviembre y diciembre. Bertrand viaj de nuevo a Varsovia
con este material.
A finales de los aos veinte, antes de aparecer Enigma, los polacos descifraban las
comunicaciones alemanas sin ninguna dificultad. No obstante, el personal de la Biuro
Szyfrow no estaba capacitado para derrotar a una mquina de rotores. Sus jefes se dieron
cuenta de ello. Entendieron que tal tarea requera una slida formacin matemtica. Por
ello, a partir de 1928, contactaron con estudiantes de Matemticas de la Universidad de
Poznan. Varios de ellos recibieron cursos introductorios de Criptografa. La razn de
elegir la Universidad de Poznan fue que sus alumnos hablaban alemn perfectamente, ya
que Poznan haba formado parte de Alemania desde 1793 hasta 1918. En septiembre de
1932, la Biuro Szyfrow emple a tres jvenes matemticos de Poznan: Marian Rejewski,
Jerzy Rozycki y Henry Zygalski. A ellos se les encarg el criptoanlisis de Enigma.
Rejewski lo logr a finales de diciembre de 1932. Mostrar como lo hizo es el
propsito de los siguientes prrafos. En ellos va a ser inevitable recurrir a las
Matemticas, concretamente a la teora de permutaciones. No obstante, intentaremos que
nuestra exposicin sea accesible a aquel lector no familiarizado con esta teora
matemtica.
Examinando la documentacin facilitada por el espa Schmidt, Rejewski
comprendi que la mquina que estaba empleando el ejrcito alemn era una
modificacin de la versin comercial. La inclusin del Stecker era la variacin principal y
el mayor obstculo en el criptoanlisis. Como en la comercial, la mquina militar dispona
de tres rotores intercambiables y un reflector que ahora permaneca siempre fijo. La
presencia del reflector implica que las sustituciones son involutivas. Esto y el doble
cifrado del tro de letras que permite acceder al resto del mensaje, la Spruchschlssel, fue
el punto de partida del criptoanlisis de Rejewski. Vemoslo.
La Biuro Szyfrow interceptaba diariamente varias decenas de criptogramas.
Rejewski entresac las cabeceras de todos los mensajes de un mismo da. Obtuvo listas
como la que figura a continuacin:
158

NEZ IDL CLX XKK AXW FYN YXF WYT JCS PSX WPB RUZ
PKG CTH RLD AKM QCH JSO AEW FDN SNK HAY LFT KHB
DCI DSI BRK EVY XLT SKB SYR HGR ISL ZFA QYC JGW
EGR YXR ISN ZFG MDG TRH WAU RCC RLK AKY PEO CDJ
WPB RUZ JLY PKU VCK LSY LFT KHB SPV HUQ IJA ZIE
WLP RKV YQH WOO VAW LCN IZU ZNC BAN ECG OHO QJJ
GZH GNO QJN JIG HIQ UWF OAI QCI HKZ UTL TUQ BBF
MOQ TMF JNI PAI YVO WQJ ABB FPZ SPV HUQ WTC REW
RWX AZK TYM BGP UDN VRG QHJ JJS ZOE MMD EOT YMB
FMD NLM DML DLA GLD GKM JNZ PAL GLZ GKL KQA OOE
OQR QOR TEP BDV LND KAM VCK LSY FFF NHT QDM JRP
Tabla 9.5. Lista de cabeceras.
De hecho, tal lista la hemos obtenido a partir de un programa en el ordenador que
simula fielmente la mquina Enigma que entonces se utilizaba. Cada fragmento de seis
letras es el cifrado repetido de tres letras escogidas al azar por nosotros. Naturalmente,
con el simulador de la mquina dispuesto siempre segn cierta Tageschlssel.
Enigma cifra cada letra con una permutacin diferente. No obstante, todas las
primeras letras de las cabeceras de los mensajes han sido cifradas con la misma
permutacin, ya que la mquina parte siempre de la misma posicin inicial indicada en la
clave del da. De igual modo, todas las segundas letras han sido producidas tambin por la
misma permutacin, distinta a la anterior naturalmente. Lo mismo sucede con las otras
cuatro letras de las cabeceras. Consideremos esas seis permutaciones y designmoslas por
1
,
2
... y
6
, respectivamente.
Fijmonos en la primera cabecera de la lista anterior: NEZIDL. Es el resultado de
cifrar dos veces tres letras que nos son desconocidas. Usemos la incgnita x para
representar a la primera de ellas. Entonces
1
transforma x en N mientras que
4
sustituye
x por I. En Matemticas esto se expresa
1
(x) =N y
4
(x) =I. Ahora, recordemos que el
cifrado de Enigma es involutivo. En consecuencia, sus permutaciones tambin lo son. Por
tanto,
1
(N) =x. Sustituyendo x en la otra igualdad:
4
(
1
(N)) =I, lo que significa que el
producto (o composicin)
4
1
transforma la letra N en I, que
4
1
(N) =I. De igual
modo, considerando ahora las permutaciones
2
y
5
, se obtiene
5
2
(E) =D. Y,
similarmente,
6
3
(Z) =L. Vemos as que cada cabecera de la lista proporciona un dato
de cada uno de los productos
4
1
,
5
2
y
6
3
. Como hay suficientes cabeceras,
podemos obtener completamente estas permutaciones:

1
: F E X D Y N G U Z P O K T I Q C J A H B V L R S W M
2
: C P S R D H X J W I T K L A M U O V F E B Q Z Y G N
3
: E Z W M D T H O I S Y A P G J V F R X B C Q N K U L
Tabla 9.6. Los productos
4
1
,
5
2
y
6
3
.

159
El objetivo es determinar las permutaciones
i
. Ello pasa por factorizar
4
1
,
5
2
y
3
en producto de ciclos disjuntos. Fijmonos en
4
1
. Esta permutacin transforma la
A en F, la F en N, N en I... y al llegar a la R, esta letra se cambia por A. Hemos
completado un ciclo de
4
1
: (A F N I Z M T B E Y W R), de 12 letras. Considerando
una letra no incluida en este ciclo y repitiendo este proceso, encontramos otro. Por
ejemplo, empezando con la C obtenemos este otro ciclo: (C X S H U V L K O Q J P),
tambin de 12 letras. Quedan dos letras que no figuran en los dos ciclos calculados, la D y
la G. Nos proporcionan ciclos de una sola letra: (D) y (G), ya que se transforman en ellas
mismas. Ya tenemos todos los ciclos de
4
1
. Se dicen disjuntos porque ninguno de ellos
comparte letra alguna con otro. Y se verifica que
4
1
es producto de todos ellos:
1
= (A F N I Z M T B E Y W R)(C X S H U V L K O Q J P)(D)(G).
El orden de los ciclos es indiferente puesto que, a diferencia de lo que ocurre en
general con el resto de las permutaciones, los ciclos disjuntos conmutan. Similarmente se
descomponen
5
2
y
6
3
en producto de ciclos disjuntos:

2
= (A C S F H J I W Z N)(D R V Q O M L K T E)(B P U)(G X Y)
3
= (A E D M P V Q F T B Z L)(C W N G H O J S X K Y U)(I)(R).

En las tres factorizaciones obtenidas aparecen pares de ciclos de igual longitud. Ello
no es casualidad. Tal y como demostr Rejewski, es lo que sucede cuando se multiplican
dos permutaciones como las que produce Enigma, consistentes ambas en trece
transposiciones disjuntas (una transposicin es un ciclo de longitud dos). Ms an, su
demostracin indica como recuperar las trece transposiciones de que constan los factores:
para cada pareja de ciclos de igual longitud, se elige una letra en cada ciclo y se escriben
los ciclos uno debajo de otro, empezando por las letras elegidas y ordenando las letras de
uno de ellos en modo inverso. Por ejemplo, fijndonos en los dos ciclos de longitud 12
que aparecen en la factorizacin de
4
1
y eligiendo la F y la V, escribimos:

(F N I Z M T B E Y W R A)
(V U H S X C P J Q O K L)

Entonces, las dos letras de cada columna determinan transposiciones del segundo
factor
1
: (FV), (NU), (I H)..., (AL); y las diagonales ascendentes proporcionan
transposiciones del primer factor
4
: (VN), (UI), (HZ)..., (LF).
Naturalmente, si variamos las letras elegidas en cada ciclo, entonces obtenemos
emparejamientos diferentes que dan lugar a distintas transposiciones. El nmero de
emparejamientos diferentes es precisamente la longitud de los ciclos. En consecuencia,
hay varias soluciones para cada uno de los factores buscados. As, en nuestro ejemplo,
hay 12 soluciones para
1
y
4
. Las mismas que para
3
y
6
. Y este nmero aumenta a 30
para
2
y
5
porque las parejas de ciclos tienen longitudes 10 y 3. Cmo elegir las
soluciones correctas?
Aqu Rejewski cont con la inestimable ayuda de los operadores alemanes.
Observ que, entre las decenas de mensajes que diariamente se transmitan, era frecuente
160
encontrar cabeceras repetidas. Iguales deben ser tambin las correspondientes
Spruchschlssels. Algo extrao, si se tiene en cuenta que hay 26
3
=17576 tros de letras
donde escoger. Rejewski pens que ello era porque algunos operadores elegan ternas con
las tres letras iguales; como slo hay 26 distintas, es fcil que se produzcan repeticiones.
Tena razn. Los mismos alemanes se dieron cuenta de este mal hbito entre sus
operadores y lo prohibieron en abril de 1933. Claro que entonces adquirieron este otro:
elegir tres letras adyacentes en el teclado de Enigma como, por ejemplo, qwe o xdr.
Haciendo esto, es difcil que haya Spruchschlssels repetidas; pero es muy probable que
algunas compartan dos letras. Las correspondientes cabeceras tienen entonces cuatro
letras en comn. Esto tambin ayuda a identificar correctamente las permutaciones
i
.
Nosotros, siguiendo fielmente el modo de proceder de los operadores alemanes,
tambin formamos ternas con las tres letras iguales cuando obtuvimos la lista de
cabeceras que nos sirve de ejemplo. En ella, los fragmentos VCKLSY y WPBRUZ
figuran dos veces. Supongamos que provienen de tros de letras idnticas y tratemos de
hallarlas. Consideremos primero VCKLSY. Una letra que mediante
1
se transforme en
V debe estar en el ciclo de
4
1
que se empareja con el que contiene dicha V. Es (A F N I
Z M T B E Y W R). Del mismo modo, una letra que mediante
2
se cambie por C debe
estar en el ciclo (D R V Q O M L K T E). Y en (A E D M P V Q F T B Z L) se encuentra
la letra que
3
la sustituya por K. Estos tres ciclos tienen en comn las letras M, T, y E. Si
VCKLSY procede de una letra repetida tres veces, tal letra es una de las anteriores.
Consideremos ahora WPBRUZ. Los ciclos duales de los que contienen a W, P, y B en
1
,
5
2
y
6
3
son, respectivamente, (C X S H U V L K O Q J P), (G X Y) y (C W N
G H O J S X K Y U). La nica letra en comn es X. En consecuencia, WPBRUZ ha sido
originada por la terna xxx.
Luego
1
(X) = W. Este dato permite ya determinar tanto
1
como
4
. Para obtener
sus trece transposiciones disjuntas, procedemos segn explicamos antes: asociamos ahora
la W con la X y escribimos de nuevo los dos ciclos de longitud doce de
4
1
, uno debajo
de otro y con las letras del segundo en orden inverso:

(W R A F N I Z M T B E Y)
(X C P J Q O K L V U H S)

Entonces:

1
= (W X)(R C)(A P)(F J)(N Q)(I O)(Z K)(M L)(T V)(B U)(E H)(Y S)(D G)
4
= (X R)(C A)(P F)(J N)(Q I)(O Z)(K M)(L T)(V B)(U E)(H Y)(S W)(D G)

(Ntese que ambas permutaciones contienen la transposicin (DG), obtenida al
emparejar los dos ciclos de longitud 1 de
4
1
.)
De igual manera se calculan
3
y
6
, casando la letra B con la X en los dos ciclos de
longitud 12 del producto
6
3
:


161
3
= (B X)(Z S)(L J)(A O)(E H)(D G)(M N)(P W)(V C)(Q U)(F Y)(T K)(I R)
6
= (X Z)(S L)(J A)(O E)(H D)(G M)(N P)(W V)(C Q)(U F)(Y T)(K B)(I R)

Si emparejamos la P con la X en los correspondientes ciclos de
5
2
, nicamente
descubriramos tres transposiciones de
2
y
5
, ya que 3 es la longitud de dichos ciclos.
Para calcular las otras diez, necesitamos emparejar letras de los otros dos ciclos.
Consideremos otra vez la cabecera repetida VCKLSY. Bajo el supuesto que proceda de
un tro de letras iguales, hemos deducido que tal letra repetida es una de estas tres: M, T,
o E. Como
1
(T) =V, dicha letra debe ser T. Adems, el hecho que
3
(T) =K confirma
que vamos por buen camino. Entonces
2
(T) =C y ya tenemos el emparejamiento que nos
faltaba: T con C. Slo resta escribir convenientemente los ciclos de
5
2
:

(C S F H J I W Z N A) (P U B)
(T K L M O Q V R D E) (X G Y)

Y obtener ya
2
y
5
:

2
= (C T)(S K)(F L)(H M)(J O)(I Q)(W V)(Z R)(N D)(A E)(P X)(U G)(B Y)
5
= (T S)(K F)(L H)(M J)(O I)(Q W)(V Z)(R N)(D A)(E C)(X U)(G B)(Y P)

Calculadas las permutaciones
i
de cierto da, se pueden recuperar todas las
Spruchschlssels de ese da. Por ejemplo, la terna que dio lugar a la primera cabecera de
nuestra lista, NEZIDL, es qas; ya que
1
(N) =Q,
2
(E) =A y
3
(Z) =S. El primer paso
haca el criptoanlisis de Enigma ya estaba dado. Gracias al doble cifrado de las
Spruchschlssels.
No obstante, el conocimiento de las claves no sirve de nada si no se dispone de un
ejemplar de la mquina con el que descifrar los mensajes. Y como los alemanes no iban a
prestar una a los polacos, stos, si la queran, deban construir una. Ello pasaba por
conocer las conexiones internas de los rotores, algo que el espa alemn Schmidt o no
poda o no quera proporcionar. No hizo falta, Rejewski las calcul.
El movimiento de los rotores tampoco figuraba en los documentos aportados por el
espa alemn. Rejewski pens que deba ser similar al de la mquina comercial. Si esto
era as, la Enigma militar segua teniendo el mismo punto dbil que aquella: al cifrar
fragmentos pequeos, nicamente el rotor derecho se mueve. Es lo que deba ocurrir la
mayora de las veces al cifrar las Spruchschlssels que acababan de ser calculadas. De
esta observacin parte el anlisis que permiti a Rejewski deducir las conexiones de los
rotores.
Fijmonos de nuevo en la Figura 9.1, que esquematiza el cifrado de la comercial
Enigma D. Sirve tambin para la mquina militar, cambiando el Stator por el Stecker.
Supongamos que la mquina est dispuesta inicialmente segn cierta Tageschlssel.
Designemos por la letra griega a la permutacin que proporciona el Stecker; por , y
a la de los rotores izquierdo, central y derecho, respectivamente; y por a la del reflector.
Observando la Figura 9.1 y teniendo en cuenta como fluye la corriente elctrica en el
162
banco de rotores, la permutacin total de Enigma antes de empezar a cifrar se expresa
matemticamente as:
-1
-1
-1
-1

donde
-1
,
-1
... son las sustituciones recprocas, las que tienen lugar cuando la corriente
atraviesa los rotores y el Stecker en sentido contrario, tras abandonar el reflector. (Como
ya habr notado el lector familiarizado con permutaciones, la expresin anterior debe
recorrerse de derecha a izquierda: primero acta , luego , etctera.)
Recordemos que el avance de los rotores se produce inmediatamente despus que el
operador pulsa una tecla y antes de cifrar la letra correspondiente. Como hemos dicho
antes, admitamos que slo el rotor derecho es el que mueve durante el doble cifrado de las
Spruchschlssels. Entonces, durante este cifrado, la nica permutacin que cambia en la
expresin anterior es . Veamos cmo. Para ello, introducimos el ciclo de longitud 26:
= (ABC. . . Z), el que transforma la A en B, sta en C..., y la Z en A. La nueva
permutacin del rotor derecho tras avanzar una posicin es
-1
. (El lector puede
comprobar esta afirmacin en la Tabla 9.1, que contiene las 26 sustituciones de un rotor.
Si es una de sus filas, entonces
-1
es la siguiente). Y su inversa (
-1
)
-1
=
-1
-1
.
Cambiando en la expresin de antes y
-1
por
-1
y
-1
-1
, respectivamente, se llega
a la permutacin
1
que cifra la primera letra:
1
=
-1
-1
-1
-1
-1

Ntese que hemos puesto en lugar de
-1
porque, al ser involutiva la permutacin
proporcionada por el Stecker, =
-1
. Del mismo modo se obtiene una descomposicin
anloga para las dems permutaciones
2
,
3
..., y
6
; en las que el rotor derecho avanza
dos, tres..., y seis posiciones desde el punto de partida. Slo hay que cambiar por
2
,
3
..., y
6
, respectivamente. Juntando las seis ecuaciones, Rejewski lleg al siguiente
sistema:

1
=
-1
-1
-1
-1
-1

2
=
-2
-1
-1
-1

-2
6
=
-6
-1
-1
-1

-6
6

En verdad, en las ecuaciones que inicialmente obtuvo Rejewski incluso apareca
una permutacin ms. Guindose por la mquina comercial, en un principio supuso la
presencia de un Stator que actuaba entre el Stecker y el banco de rotores. Le llev algn
tiempo darse cuenta que, en la Enigma militar, el Stecker no se aada sino que
reemplazaba al Stator.
Las permutaciones
i
y son datos conocidos en las ecuaciones anteriores. Tambin
lo es , la sustitucin del Stecker, si las ecuaciones corresponden a un da incluido en las
Tageschlssels suministradas por Schmidt. Entonces y el producto =
-1
-1

pueden ser calculados en el sistema anterior. No lo haremos, porque explicarlo nos

163
adentrara ms en la teora de permutaciones y no es nuestro propsito. Aunque s
diremos que la solucin de ese sistema no es nica, sino que hay 26 permutaciones y
que la cumplen. Ello es debido a que cada rotor tiene otros 25 equivalentes que producen
el mismo cifrado, slo es cuestin de ajustar el Ringstellung convenientemente. Eligiendo
entre las 26 posibles una solucin , se tienen ya las conexiones internas de un
equivalente al rotor situado en la derecha. Y como el orden de los rotores era cambiado
peridicamente, Rejewski pudo calcular primero equivalentes de los otros dos rotores y
del reflector despus. Tras ello, queda determinar el lugar donde va situada la muesca del
Ringstellung que produce el avance del rotor adyacente. Pero esto ya es sencillo, slo hay
que descifrar algunos mensajes correspondientes a Tageschlssels y Spruchschlssels
conocidas y observar cuando debe girar el rotor central para que el texto en claro siga
revelndose.
En 1934, la fbrica de aparatos de radio AVA proporcion a la Biuro Szyfrow las
primeras rplicas polacas de Enigma. A partir de entonces, Rejewski y compaa
pudieron descifrar cmodamente los mensajes alemanes. Naturalmente, despus de
averiguar la clave. Los polacos seguan obteniendo regularmente las Spruchschlssels y
reciban de los franceses las Tageschlssels que algunos meses suministraba el espa
alemn. Pero en la Biuro Szyfrow no queran depender de Schmidt. Por ello, Rejewski y
sus dos colegas abordaron el problema recproco, que consiste en completar la clave con
la ayuda de la mquina y los criptogramas interceptados. Exactamente: el orden de los
rotores, el Ringstellung y las conexiones del Stecker. Resumimos a continuacin como lo
resolvieron.
A Rozycki se le ocurri una idea para identificar el rotor derecho. Como ya hemos
comentado antes, entre las Spruchschlssels sola haber algunas con dos letras repetidas.
Supongamos que dos de ellas, correspondientes al mismo da, coinciden en sus dos
primeras letras. Por ejemplo, qwe y qws. Si el rotor de la derecha fuese el nmero I,
partiendo de la posicin qwe nunca se llega a qws; ya que de qwq se pasa a qxr
porque el rotor I hace avanzar al de su derecha cuando la Q de su anillo es visible en la
ventanilla al efecto. Lo mismo sucede colocando el rotor II en la derecha, ya que tras
qwe se ve qxf. En cambio, como el tercer rotor debe llegar hasta la V para que se
produzca el avance del rotor vecino, situando el rotor III en la derecha, de qwe se llega
a qws al cabo de catorce pasos. Por tanto, en el caso que el rotor de la derecha sea el III,
la decimoquinta letra del mensaje que arranca con qwe se cifra con la misma
permutacin que la primera letra del mensaje que parte con qws. La decimosexta con
idntica que la segunda. Etctera. Entonces, colocando los criptogramas uno debajo de
otro y desplazando el segundo catorce lugares para que su primera letra quede debajo de
la decimoquinta del primero, el nmero de letras coincidentes es el mismo que el de los
textos en claro. En el idioma alemn, el porcentaje de coincidencias es 7.6. Luego, si en
efecto, el porcentaje de coincidencias en los criptogramas se aproxima a este nmero,
muy probablemente ser porque el rotor III es el de la derecha. En otro caso, el porcentaje
caer hasta casi 3.8, que es el correspondiente a textos con letras elegidas aleatoriamente.
En este caso, el rotor diestro ser el I o el II y quizs otro par de Spruchschlssels con las
dos primeras letras iguales permita decidirlo.
164
Una vez identificado el rotor derecho, el paso siguiente es encontrar las conexiones
del Stecker; esto es, la permutacin que antes representamos por . Para ello,
consideramos de nuevo el sistema de seis ecuaciones obtenido por Rejewski, con las
permutaciones
i
ya calculadas. Si en estas ecuaciones no figurase la permutacin ,
entonces al efectuar los productos
-i
-i
-1
i

obtenemos siempre la permutacin =
-1
-1
. Pero, claro, est y, por tanto,
ninguno de esos seis productos es . Tanto como estos productos constan de 13
transposiciones disjuntas. Como en el Stecker hay seis conexiones, altera doce letras y
deja fijas las catorce restantes. Ello implica que, an no siendo , cada uno de los seis
productos anteriores contiene entre una y siete transposiciones de . Lo ms probable es
que sean tres o cuatro. Sucede que y son desconocidas. Ahora bien, como es una de
las 26 permutaciones que implementa el rotor derecho, el cual hemos identificado,
podemos calcular para cada valor posible de los seis productos de antes y tratar de
averiguar cual es la permutacin correcta. Muy probablemente ser aquella que
proporcione seis productos con ms transposiciones repetidas. Y tambin muy
posiblemente estas transposiciones duplicadas pertenezcan a . Se trata de analizar
cuidadosamente cada caso para determinar correctamente y . Para facilitar esta labor,
los polacos confeccionaron un catlogo con todas las permutaciones posibles, una por
cada ordenacin de los rotores y por cada posicin de los rotores izquierdo y central. En
total: 6 26 26 = 4056. Identificada , es fcil calcular . Slo hay que comparar con
los seis productos obtenidos; las doce letras que cambian, proporcionan . De este modo
se averiguan las conexiones del Stecker. Y tambin el orden de los tres rotores y sus
posiciones iniciales, determinados por las permutaciones y . (Por supuesto, todo este
proceso se complica considerablemente si durante el doble cifrado de las
Spruchschlssels no es el rotor derecho el nico que se mueve.)
Todava falta por calcular el Ringstellung, ya que las anteriores posiciones iniciales
de los rotores slo proporcionan la diferencia entre el Grundstellung y el Ringstellung.
Cuando las conexiones del Stecker son conocidas, la Enigma militar se puede
criptoanalizar como la comercial, mediante el mtodo de los isomorfismos que vimos
antes. (Ms fcil an, porque el reflector no se mueve.) En la aplicacin de dicho mtodo,
los polacos utilizaron el hecho que el texto en claro de muchos mensajes alemanes
empezaba por ANX (AN significa PARA en alemn y la X se empleaba como
separador de palabras). Lo supieron cuando gracias a las Tageschlssels proporcionadas
por Schmidt, descifraron mensajes de 1932. Un trigrama es, por supuesto, una cantidad
muy pequea de texto en claro, pero hay que multiplicarla por el nmero de mensajes en
los que est presente. Determinada la posicin inicial del rotor diestro en un mensaje que
comience por ANX, la de los otros dos rotores se puede obtener en el catlogo de
permutaciones antes mencionado. Estas nuevas posiciones iniciales dan la diferencia
entre la Spruchschlssel y el Ringstellung. Y como la primera ya es conocida, puede
calcularse el segundo.
El mtodo anterior para determinar el orden de los rotores y las conexiones del
Stecker fue mejorado notablemente en 1937. Todo el anlisis anterior arranca de los

165
productos
4
1
,
5
2
y
6
3
. Como bien not Rejewski, diferentes conexiones del
Stecker cambian estas permutaciones pero no su estructura cclica. Exactamente: el
nmero de ciclos y sus longitudes no dependen de las conexiones del Stecker, slo del
orden de los rotores y de sus posiciones iniciales. Rejewski llam caracterstica a dicho
nmero de ciclos y longitudes. En el ejemplo que pusimos antes, la caracterstica es la
siguiente terna ordenada de listas de nmeros: {12, 12, 1, 1}, {10, 10, 3, 3} y {12, 12, 1, 1}.
Otro ejemplo podra ser este: {10, 10, 1, 1, 1, 1}, {10, 10, 2, 2, 1, 1} y {13, 13}. Para cada
orden de los rotores y cada posicin inicial de stos, se hall su caracterstica (suponiendo
siempre que slo el rotor derecho es el que se mueve). En total, hubo que calcular 6 26
3

= 105456 caractersticas. Algunas se repetan, pero casi todas eran diferentes. Los
resultados se ordenaron en un catlogo en el que a continuacin de cada caracterstica iba
el correspondiente orden de los rotores y sus posiciones iniciales. Calculada la
caracterstica de un da, el catlogo proporcionaba de forma inmediata el orden de los
rotores y sus posiciones iniciales (la diferencia entre el Grundstellung y el Ringstellung).
A continuacin se proceda al clculo de , la sustitucin Stecker. Para ello, se
comparaban los productos
4
1
,
5
2
y
6
3
con sus homnimos obtenidos sin conexin
alguna en el Stecker. Las letras cambiantes proporcionan . Todo este proceso se
efectuaba en unos pocos minutos.
En la confeccin del catlogo de caractersticas, los polacos emplearon un aparato
que llamaron ciclmetro. La Figura 9.2 muestra el dibujo que de este artefacto hizo el
propio Rejewski. Consista en dos bancos de rotores conectados convenientemente y de
modo que el rotor de la derecha de un banco estaba desplazado tres posiciones con
respecto a su homnimo del otro banco. Debajo de los dos bancos de rotores figuraba un
panel de lmparas y palancas, una por cada letra del alfabeto. Al accionar una palanca,
una corriente elctrica atravesaba varias veces los bancos de rotores y encenda un
nmero par de lmparas, las correspondientes a dos ciclos asociados de la permutacin
1
. Accionando otra palanca de una letra no iluminada se encontraba otro par de ciclos
asociados. As se determinaba la descomposicin en ciclos disjuntos de
4
1
. Y variando
el orden de los rotores y sus posiciones iniciales, se calcularon todas las permutaciones
1
existentes. Ello fue suficiente para elaborar el catlogo, ya que las permutaciones
2
y
6
3
asociadas a una determinada posicin de los rotores coinciden con la
4
1

que se obtiene adelantando los rotores diestros una o dos posiciones, respectivamente.
An empleando ciclmetros, los polacos tardaron casi un ao en completar el
catlogo. Y poco tiempo despus, el 1 de noviembre de 1937, los alemanes cambiaron el
reflector y el proceso tuvo que empezar de nuevo. (Obviamente, tras hallar las conexiones
del nuevo reflector.)

166

Figura 9.2. Ciclmetro de Rejewski.
El 15 de septiembre de 1938 entr vigor una modificacin en el sistema de cifrado
que hizo inservibles los mtodos anteriores. A partir de entonces, el Grundstellung era
diferente para cada mensaje y, al igual que la Spruchschlssel, elegido libremente por el
operador. Sus tres letras se transmitan en claro en la cabecera del mensaje, antes de las
seis letras que resultaban del doble cifrado de la Spruchschlssel. De este modo, el
receptor del mensaje se encontraba ahora con cabeceras de nueve letras. Como por
ejemplo: RXT AWDAPS, en la que el tro de letras RXT es el Grundstellung y las otras
seis letras corresponden al doble cifrado de la Spruchschlssel. El resto del proceso de
cifrado no sufri ninguna variacin. Por entonces, el orden de los rotores y el
Ringstellung ya se cambiaban todos los das y el nmero de conexiones del Stecker
oscilaba entre cinco y ocho.
La modificacin introducida anula los mtodos de criptoanlisis anteriores. Al
variar el Grundstellung en cada mensaje, lo hacen tambin los productos
4
1
,
5
2
y
3
. De ellos, el criptoanalista slo conoce ahora la transformada de una letra y ello
impide que los mtodos previos puedan iniciarse. No obstante, los alemanes siguen
cometiendo el mismo error: cifrar dos veces la Spruchschlssel de cada mensaje. De
nuevo, los polacos aprovecharan este fallo. Veamos cmo.
Para elaborar el catlogo de caractersticas, tuvieron que calcular los 105456
productos
4
1
. Observaron que aproximadamente el 40% de estas permutaciones
contienen ciclos de longitud 1. Lo mismo ocurre con los productos
5
2
y
6
3
ya que,
como se explic antes, las permutaciones
5
2
y
6
3
asociadas a una determinada
posicin de los rotores coinciden con las
4
1
de otras posiciones. Los ciclos de longitud
1 se manifiestan en las cabeceras de los mensajes mediante repeticiones en las letras que
siguen al Grundstellung. Por ejemplo:
RXT AWDAPS ABC OXUCXW ETV ASTBUT

167
Los britnicos emplearan el trmino female para referirse a estas repeticiones. La
primera cabecera anterior indica que la permutacin
4
1
correspondiente contiene el
ciclo (A). Usando la terminologa britnica, tal cabecera es una 1,4-female. La segunda
cabecera es una 2,5-female y (X) es un ciclo de
5
2
, y la tercera una 3,6-female y (T) un
ciclo de
6
3
.
Recordemos que las longitudes de los ciclos de las permutaciones
4
1
,
5
2
y
3
no dependen de las conexiones del Stecker sino del orden de los rotores y de sus
posiciones iniciales, y que estas posiciones vienen determinadas por las diferencias entre
las letras del Grundstellung y las del Ringstellung. El Grundstellung es diferente en cada
mensaje, pero conocido. Por el contrario, el Ringstellung es igual en todos los mensajes
de un mismo da, aunque desconocido. El objetivo es identificar el correcto orden de
rotores y Ringstellung entre los 105456 posibles. Ahora bien, este nmero se reduce en un
factor de 0.4 cada vez que se observe un ciclo de longitud 1, ya que slo el 40% de las
permutaciones
4
1
(o
5
2
, o
6
3
) presentan tales ciclos. Por tanto, como
105456(0.4)
12
=1.7, muy posiblemente doce o trece females determinen unvocamente el
orden de rotores y Ringstellung.
Afortunadamente, los polacos disponan de este nmero de females. No era
casualidad. Si las permutaciones
i
y el Grundstellung se eligen aleatoriamente, la teora
de probabilidades dice que el 11.5% de las cabeceras presentarn females. Por tanto, para
que haya una docena de females se requiere poco ms de un centenar de mensajes;
cantidad que se alcanzaba en algunas de las redes de comunicaciones del ejrcito alemn.
Luego, es posible determinar el orden de rotores y Ringstellung correctos a partir de las
females. S, en teora, pero y en la prctica?
A Zygalski se le ocurri un ingeniossimo mtodo para hacerlo. Para cada uno de
los 6 rdenes posibles de los rotores y para cada una de las 26 posiciones del rotor
izquierdo, se confeccionaron en material opaco unas hojas como la de la Figura 9.3. En
total, 626 = 156. Cada hoja se divide en 5151 pequeos recuadros que se identifican por
una letra en el eje horizontal y por otra en el vertical. Las letras horizontales representan
las posiciones del rotor central y las verticales las del derecho. La razn de repetir
posiciones aparecer cuando expliquemos como se utilizan las hojas. Si en una
determinada posicin de los rotores se pueden presentar 1,4-females al cifrar dos veces la
Spruchschlssel, el recuadro correspondiente est perforado. Para saberlo, los polacos no
tuvieron que efectuar ningn clculo nuevo, sino consultar el catlogo de caractersticas.
An as, tardaron varias semanas en tener listo un primer juego de hojas de Zygalski.
168

Figura 9.3. Una hoja de Zygalski.
Antes de emplear las hojas es preciso normalizar las 2,5 y 3,6-females
adelantando su Grundstellung derecho una o dos posiciones, respectivamente. Por
ejemplo:
ABC OXUCXW ABD OXUCXW ETV ASTBUT ETX ASTBUT
Hecho esto, el siguiente proceso ha de repetirse para cada orden de los rotores y
cada posicin del Ringstellung del rotor izquierdo. Fijado un orden de los rotores, se
normalizan de nuevo aquellas females cuyo Grundstellung indique un avance del rotor
central. Por ejemplo, si el orden de rotores es III-I-II, el Grundstellung AHE debe
normalizarse AIE, ya que la E del rotor II ocasiona un avance del rotor central.
Seguidamente, se seleccionan las 26 hojas asociadas al orden de los rotores y se aparta el
resto. Fijada tambin una letra del Ringstellung del rotor izquierdo, digamos C, se
considera el Grundstellung de una primera female. Por ejemplo: PDY. Su letra izquierda
es P. Puesto que PC=N, se escoge la hoja correspondiente a la letra N y se coloca

169
encima de una mesa transparente. Esta hoja hace de referencia bsica. Se considera a
continuacin el Grundstellung de otra female. Por ejemplo: HXT. Su primera letra es H
y HC=F. Se elige entonces la hoja correspondiente a esta letra F. Se coloca encima de la
anterior hoja bsica desplazndola 6 recuadros hacia la derecha y 5 hacia abajo, seis a la
derecha porque de la X a la D van 6 letras y cinco hacia abajo porque de la T a la Y van 5.
Se hace lo mismo con el resto de las females. Colocadas todas las hojas, se hace actuar un
foco de luz sobre las hojas y se observa si la luz traspasa algn agujero comn a todas
ellas.
Si hay suficientes females, el haz de luz atravesar un nico agujero. Este agujero
proporciona de forma inmediata el orden de los rotores y el Ringstellung del rotor
izquierdo. Para obtener el de los otros dos rotores, notemos que, fijada una de las females
(normalizada si ha sido necesario), las letras del agujero de la hoja correspondiente
determinan la posicin de los rotores que la ha producido. Esta posicin es precisamente
la diferencia entre el Grundstellung de la female y el Ringstellung que se pretende
calcular. Por tanto, el Ringstellung de los rotores central y diestro se obtiene restando al
Grundstellung de una female las letras del agujero. Ya slo queda obtener las conexiones
del Stecker. Como ste cambia las letras de los ciclos de longitud 1 del catlogo de
caractersticas por las letras repetidas de las females, entonces la letra repetida de una
female est conectada con una de las letras de los ciclos de longitud 1 de la
correspondiente permutacin
4
1
del catlogo. Contemplando todas las females a un
tiempo, no ser difcil averiguar cual.
Puede ocurrir que el haz de luz atraviese ms de un agujero. En tal caso se procede
con cada uno de ellos como antes. Las contradicciones descartarn casi todos los casos. Y
si todava queda ms de uno, la solucin correcta ser aquella que permita descifrar los
mensajes.
Adems de las hojas de Zygalski, los polacos contaron con una mquina diseada
por Rejewski que, bajo las condiciones que describimos a continuacin, tambin
calculaba el orden de los rotores y el Ringstellung. Le dieron el nombre de bomba.
Expliquemos en qu consiste.
Entre las females de un mismo da, en ocasiones haba tres que presentaban la
misma letra repetida. Como por ejemplo:
XTH RPYRAC AQL TRVSRJ MOZ RFGRVW
La primera de estas females indica que el ciclo (R) est presente en la permutacin
1
. Supongamos que la R no se vea alterada por el Stecker, que no est conectada con
ninguna otra letra. Entonces, tambin el ciclo (R) aparece en la sustitucin
4
1
que se
obtendra sin ninguna conexin en el Stecker. Como ya sabemos, el nmero de tales
productos
4
1
es 105456, tantos como configuraciones posibles de los rotores (orden y
posiciones iniciales). Desconocemos cuantos de estos productos contienen al ciclo (R); no
obstante, la Teora de Probabilidades muestra que, fijado un ciclo de longitud 1, si
1
y
4

se eligen aleatoriamente entre las de su clase, entonces el 4% de los productos
4
1

contienen dicho ciclo. Admitamos esta regla para las sustituciones de Enigma. Entonces,
170
el anterior nmero 105456 se reduce en un factor de 0.04 cada vez que se observe una
female con la letra R repetida. Como 105456(0.04)
3
=6.75, resulta que muy
probablemente tan slo seis o siete configuraciones de los rotores pueden ocasionar las
tres females anteriores. La mquina ideada por Rejewski automatizaba la identificacin
de esas configuraciones.
Esencialmente, la bomba de Rejewski consiste en tres ciclmetros conectados
convenientemente. Un motor elctrico hace girar de forma sincronizada los seis bancos de
rotores recorriendo las 17576 posibles posiciones. Cuando se llega a una posicin en la
que los tres ciclmetros reconocen el ciclo programado, (R) en nuestro ejemplo, el
mecanismo se detiene mostrando dicha posicin.
Los polacos construyeron seis bombas, una por cada orden de los rotores. Antes de
utilizarlas, es preciso ajustar adecuadamente las posiciones de los rotores de los
ciclmetros. Para ello, primero se normalizan las females del mismo modo que
explicamos antes. Hecho esto, se asocia cada uno de los tres ciclmetros a una female y
se colocan sus rotores en la posicin indicada en el Grundstellung, con el rotor derecho
del segundo banco desplazado tres posiciones respecto a su homnimo del primer banco.
En nuestro ejemplo, los rotores del ciclmetro asociado a la primera female deben
colocarse as: el primer banco en la posicin XTH, el segundo XTK. Tras situar los
rotores se activa la palanca de la letra R y se pone en marcha la bomba. Las seis bombas
encontraban las seis o siete posiciones que ocasionan las tres females en unos 90 minutos.
Entre esas posiciones se encuentra la que proporciona la clave. Para reconocerla, se sigue
el mismo proceso que con los agujeros de las hojas de Zygalski.
Las bombas de Rejewski supusieron una comodidad para el personal de la Biuro
Szyfrow y eliminaban los errores debidos al factor humano. Por el contrario, requeran
que entre las females hubiera tres con la misma letra repetida y que sta fuese invariante
por el Stecker. Algo que no ocurra todos los das.
El 15 de diciembre de 1938 los alemanes pusieron en servicio dos nuevos rotores.
Con ello, aumentaron de tres a cinco los rotores disponibles y, por consiguiente, de seis a
sesenta el nmero de ordenaciones posibles. La consecuencia para los criptoanalistas
polacos es obvia: a partir de esa fecha, slo uno de cada diez das pudieron descifrar los
mensajes alemanes. No obstante, los polacos encontraron enseguida las conexiones de los
nuevos rotores. De nuevo contaron con la ayuda alemana. En esta ocasin no fue el
espa Schmidt, quien meses atrs haba dejado de tener acceso a las claves de Enigma,
sino el servicio de inteligencia del partido nazi. Su red de comunicaciones incorpor los
nuevos rotores, pero segua cifrando con el sistema anterior al 15 de septiembre. Gracias a
ello, las conexiones de los nuevos rotores pudieron obtenerse como las de los tres
anteriores, manipulando el antiguo sistema de ecuaciones obtenido por Rejewski. Esta
vez, los polacos tuvieron mucha suerte. Habra sido muy difcil recuperar los dos nuevos
rotores sin la colaboracin del servicio de inteligencia del partido nazi,
A pesar de ello, el paso de tres a cinco rotores super con creces las posibilidades
de cmputo de la pequea oficina de cifras polaca. Poder emplear el mtodo de Zygalski
con los nuevos rotores requera preparar 2654 =1404 nuevas hojas, una tarea que poda

171
costar varios aos de trabajo a la reducida plantilla de la Biuro Szyfrow. El otro mtodo,
el de las bombas de Rejewski, qued inoperante el 1 de enero de 1939, cuando los
alemanes incrementaron a diez las conexiones del Stecker. Los polacos no lograron
aumentar la proporcin de das que accedan a las comunicaciones alemanas.
Durante todos estos aos, ningn otro pas tuvo noticia del xito polaco con
Enigma. Ni siquiera Francia, cuyo servicio secreto haba facilitado a Polonia los
documentos comprados al espa Schmidt. El gobierno polaco entendi que comunicar a
otros pases como descifrar Enigma violaba el pacto de no agresin firmado con
Alemania en enero de 1934. La situacin cambi el 27 de abril de 1939, cuando Hitler
declar nulo y vaco el tratado de no agresin. Das despus, la Biuro Szyfrow recibi
la orden de compartir secretos con Francia e Inglaterra. Atendiendo a este mandato, los
polacos reunieron secretamente en Pyry, cerca de Varsovia, a una delegacin francesa y
otra britnica el 24 de julio. En este encuentro, Rejewski y compaa mostraron a sus
colegas franceses e ingleses todo y cuanto saban de Enigma y les proporcionaron rplicas
polacas de la mquina. El 1 de septiembre, cincuenta y tres divisiones alemanas
invadieron Polonia. A los pocos das, la seccin alemana de la Biuro Szyfrow borraba
todo rastro de Enigma y hua del pas por la frontera rumana.
Tras la invasin de Polonia, el criptoanlisis de Enigma qued en manos de Francia
y Gran Bretaa, ya en tiempo de guerra. En Francia, el capitn Bertrand organiz una
unidad de interceptacin y decodificacin en torno a los tres matemticos polacos, los
cuales llegaron a Francia procedentes de Rumania. El grupo, que operaba cerca de Pars,
contaba con unas setenta personas (curiosamente, entre ellas haba siete republicanos
espaoles), pero careca de medios para enfrentarse por s solo a Enigma. Con el apoyo
ingls, penetraron en algunas redes de comunicaciones alemanas durante el primer
trimestre de 1940. En mayo de 1940 tuvo lugar la invasin alemana y la unidad de
Bertrand estableci dos puestos de interceptacin y decodificacin, uno en Uzs, en la
Francia no ocupada, y otro en Argelia. Los matemticos polacos alternaron estancias en
uno y otro. En uno de estos viajes, en enero de 1942, Rozycki muri al naufragar el barco
que le transportaba. A finales de 1942, los alemanes ocuparon toda Francia y el puesto de
Uzs se disolvi. Tras una larga y penosa huda por nuestro pas, Rejewski y Zygalski
llegaron a Inglaterra en agosto de 1943, con la intencin de continuar el criptoanlisis de
Enigma al lado de los britnicos. Sin embargo, stos no lo estimaron conveniente y ah
acab su lucha con la mquina alemana.
Cuando en septiembre de 1938 Hitler invadi Checoslovaquia, el director del GCCS
britnico, Alistair Denniston, consider probable la guerra con Alemania. Su centro
tendra que pelear con la Enigma del ejrcito alemn. El equipo de Knox haba tenido
xito con la versin comercial, pero ninguno con la militar. Quizs fuese tarea de
matemticos. Haba llegado a la misma conclusin que los jefes de la Biuro Szyfrow diez
aos antes. Denniston pens en la Universidad de Cambridge. Pocas semanas despus, el
GCCS estaba dando un curso introductorio de Criptografa a algunos de los mejores
matemticos ingleses. Denniston encabez la delegacin britnica que se reuni con
polacos y franceses en Pyry. A su regreso a Londres tena muy claro lo que haba que
hacer. Traslad la sede del GCCS en Londres a Bletchley Park, un lugar tranquilo, a 70
kilmetros de Londres y muy bien comunicado; a salvo de los bombardeos areos que en
172
un futuro cercano asolaran Londres. En septiembre de 1939, reuni en Bletchley Park al
equipo de Knox y a los matemticos con los que haba contactado meses antes. Entre
stos, Alan Turing sera el Rejewski ingls.
Comenzaron estudiando el trabajo de los polacos. El mtodo de las hojas de
Zygalski era viable con los recursos humanos que ahora disponan los ingleses. En pocos
meses tendran listas las 1560 hojas que se necesitaban. Esta tarea se encarg a un grupo
dirigido por el matemtico John Jeffreys. Mientras se preparaban las hojas, otro equipo se
ocup de analizar el trfico de mensajes. Se trataba de identificar las diferentes redes de
comunicaciones del ejrcito alemn, las emisoras que operaban dentro de cada red,
aquella que gestionaba el trfico dentro de la red, qu emisora transmita cada mensaje y a
cul otra iba dirigido. Este anlisis era fundamental para descifrar los mensajes, ya que
cada red funcionaba con unas claves diferentes.
El trabajo requera mucho ms personal que el inicialmente previsto. Se reclutaron
ms matemticos de Cambridge y a sus alumnos de los ltimos cursos. Y no slo
matemticos, sino ingenieros, lingistas, jugadores de ajedrez, secretarias, personal de
apoyo... En total, se estima que unas 12000 personas trabajaron en Bletchley Park, la
mayora mujeres.
El equipo de Jeffreys tuvo listas las hojas a finales de diciembre. Antes, ya haba
llegado a Bletchley Park una batera de mquinas Typex adaptadas para reproducir el
cifrado de Enigma. Pocas semanas despus, en enero de 1940, Turing en persona hizo
llegar varios juegos de hojas a la unidad en Francia bajo el mando de Bertrand. De forma
coordinada, franceses e ingleses penetraron en la mayora de las redes de comunicaciones
alemanas. Hasta el 10 de mayo de 1940. Ese da, coincidiendo con la invasin de Francia,
el ejrcito alemn volvi a modificar el sistema de cifrado. Dejaron de cifrar dos veces la
Spruchschlssel de cada mensaje, quizs porque se dieron cuenta que el doble cifrado
debilitaba Enigma. En adelante, la Spruchschlssel slo se cifrara una vez. Los alemanes
eliminaban as las females de las cabeceras de los mensajes e inutilizaban las hojas de
Jeffreys.
En Bletchley Park presentan que tarde o temprano sucedera y desde un principio
pusieron a algunos matemticos a buscar otros mtodos de criptoanlisis. Turing era uno
de ellos. Haba estudiado detenidamente la bomba polaca. Un mecanismo capaz de
comprobar todas las posiciones de los rotores no poda ser derrotado por diez simples
cables del Stecker. Y en efecto, as era. Rejewski no se dio cuenta que bastaba una
pequea modificacin en su diseo para burlar cualquier conexin en el Stecker. Turing
lo descubri a finales de 1939 y seguramente habl de ello con Rejewski durante su
estancia en Pars en enero del ao siguiente. Sin embargo, an con la modificacin
descubierta por Turing, la bomba polaca requera de la existencia de females, de observar
el mismo ciclo de longitud 1 en tres productos
4
1
distintos. Productos que
desaparecieron cuando los alemanes cambiaron el sistema de cifrado el 10 de mayo.
Pero otros vinieron a reemplazarlos. Los mensajes descifrados antes del 10 de mayo
revelaban la presencia de cribs, bien al comienzo o al final. Identificando la unidad que
emita el mensaje, poda sospecharse si contena una crib determinada. El anlisis del

173
trfico de las comunicaciones del ejrcito alemn permiti tal identificacin. Las cribs
proporcionaron los ciclos necesarios en la bomba de Turing. Expliqumoslo con un
ejemplo.
Sospechamos que cierto mensaje interceptado comienza con Fuhrerhauptquartier
(cuartel general del Furer). Coloquemos cada letra de este pequeo fragmento de texto en
claro encima de su correspondiente letra del texto cifrado y ambas debajo de un nmero
que indica su orden:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19
Texto claro: F U H R E R H A U P T Q U A R T I E R
Texto cifrado: I D Z O Z L A H X Y B G I U A H L R H

Vamos a llamar ahora
i
a la permutacin proporcionada por el conjunto formado
por los tres rotores y el reflector en la posicin i que seala el nmero encima de las
letras. Como antes, designamos por a la sustitucin del Stecker. El producto
i
es
entonces la permutacin resultante con la que se cifra la letra en el i-simo lugar. As, por
ejemplo,
7
(H) =A y
8
(A) =H. Pasando al otro lado en estas igualdades:
7
(H) =(A),
8
(A) =(H). Sustituyendo (H) en la primera igualdad:
8
(A) =(A). Esto significa que (A) queda fija por el producto
7
8
, que ((A)) es
un ciclo de longitud 1 de esta permutacin. De esto se trata, de observar el mismo ciclo de
longitud 1 en al menos tres productos diferentes de las permutaciones
i
. Y estos
productos pueden tener ms de dos factores.
Para observar mejor los ciclos, Turing dispuso las letras como en la Figura 9.4. El
lector con conocimientos en Matemticas reconocer que se trata de un grafo. En sus
vrtices figuran las letras que aparecen en la crib o en su cifrado. Dos letras estn
conectadas por una arista si una de ellas se transforma en la otra. El nmero junto a la
arista referencia la permutacin que produce tal transformacin.
174

Figura 9.4.
El grafo de la Figura 9.4 facilita la bsqueda de ciclos de longitud 1: partiendo de
una letra sobre un vrtice, se pasa de una a otra por las aristas hasta regresar a la de
partida, completando as un ciclo. Por ejemplo, comenzando en la letra A, se observan los
siguientes tres ciclos:

A
8
H
7
A

A
7
H
19
R
15
A

A
14
U
13
I
17
L
6
R
15
A

El primero indica que ((A)) pertenece al producto
7
8
, como ya hemos visto
antes. Anlogamente, este mismo ciclo de longitud 1 est presente en las permutaciones
15
19
7
y
15
17
13
14
. Ahora, recurramos de nuevo a la Teora de Probabilidades.
Si las sustituciones
i
se eligen aleatoriamente entre las de su clase, slo una vez de cada
17576 ( =26
3
) figurar el ciclo ((A)) en los tres productos de antes. La bomba de Turing
utiliza esta circunstancia para determinar el correcto orden y posicin de los rotores. Su
funcionamiento se esquematiza en la Figura 9.5.
Q
G
12
X
9
A
L
7
8
15
U
14
H
R
19
I
13
17 6
Z
E
3
5
18
F
1
O
4
D
2
T
B
16
11
Y P
10

175

Figura 9.5. Esquema de la bomba de Turing.
Como en la bomba de Rejewski, la de Turing consiste en una serie de bancos de
rotores conectados entre s convenientemente. Para ello, los bancos presentan una doble
entrada, como puede apreciarse en la figura. Al lado de estas entradas hemos escrito la
correspondiente letra del vrtice del grafo. Elegidos tres de los cinco rotores y un orden,
se disponen en la bomba tantos bancos como permutaciones
i
intervienen en los tres
ciclos considerados. En nuestro ejemplo: 8. Precisamente, el nmero i al lado de cada
banco de rotores indica el subndice de la permutacin. Las conexiones entre los bancos
de rotores se realizan conforme a los ciclos. Puede observarse en la figura que, en efecto,
as se ha hecho. Para las conexiones se emplea un cable con 26 direcciones, una por cada
letra. Este tipo de cable conecta tambin un panel con 26 lmparas con los bancos de
rotores, de la manera que se indica en la figura: uniendo el panel a las entradas A.
Antes de utilizar la bomba, es preciso ajustar las posiciones de los rotores en los
bancos. Los del banco de ndice menor en una posicin inicial, digamos AAA, y los de
los dems bancos avanzados tantas posiciones como la diferencia entre sus ndices y el
menor. Por ejemplo, en nuestro caso el ndice menor es 6. Luego los rotores asociados al
ndice 7 deben situarse en la posicin AAB, los del ndice 8 en AAC, etctera. Tras
A
L
19
7
8
15
U
14
H
R I
13
17 6
17
L
6
I
R
19
7
H
15
A
R
14
13
A
U
I
8
H
A
176
ajustar los rotores, se hace una conjetura sobre la letra del ciclo de longitud 1 comn a los
tres productos de permutaciones
i
. En nuestro caso, (A). Hagamos la suposicin
(A) =B, por ejemplo. Entonces en el panel de lmparas se activa la palanca
correspondiente a la letra B y, a continuacin, se pone en marcha la bomba. Un motor
elctrico hace girar de forma sincronizada todos los bancos de rotores, recorriendo stos
las 17576 posiciones posibles. Cada una de ellas da lugar a un juego de permutaciones
i

diferentes.
Del panel de lmparas parte una corriente elctrica por la direccin B del cable y
llega a las entradas A de los bancos 7, 8, 14 y 15. De ellos sale por la entrada opuesta, por
las direcciones
i
(B) del cable. Y as va entrando y saliendo por los diferentes bancos de
rotores, siguiendo el camino al que obligan las conexiones entre ellos. Cuando la corriente
regrese a una entrada A, circula tambin por el panel, por la misma direccin que lo hace
que en dicha entrada.
Si en una determinada posicin de los rotores el ciclo (B) es comn a los tres
productos de permutaciones
i
, entonces en cada trozo de cable la corriente circula por
una nica direccin. En las entradas A y en el panel lo hace por la direccin B y slo se
enciende la bombilla de esta letra. En tal caso, un mecanismo detiene la bomba. Se anota
el orden de rotores, la posicin y la suposicin (A) =B. Ms adelante habr que
comprobar si estos datos coinciden con los de la clave buscada. Supongamos por el
momento que, en efecto, as es. Entonces en otra entrada, la U por ejemplo, la corriente
circula por la direccin de la letra emparejada con la U en el Stecker. Esta letra puede
determinarse conectando otro panel de lmparas a la entrada U y observando cual es la
nica bombilla que luce. De este modo, repitiendo esta operacin con las dems entradas,
pueden averiguarse las conexiones en el Stecker de las letras que figuran en las entradas.
En cambio, si la posicin de los rotores o la conexin AB no figuran en la clave
buscada, entonces el proceso anterior proporciona falsas conexiones en el Stecker que
ayudarn a rechazar tales datos cuando se comprueben.
Como dijimos antes, muy probablemente el ciclo (B) slo sea comn a los tres
productos de permutaciones
i
en una posicin por cada orden de los rotores. En el resto
de las posiciones, alguno de estos productos transforma la B en otra letra. Entonces, en el
panel, la corriente elctrica fluye tambin por la direccin de esta nueva letra,
encendiendo su correspondiente lmpara. A su vez, la nueva letra se transforma en otra en
alguno de los productos y as sucesivamente. El resultado es que la corriente elctrica
circula por todas las direcciones y, en consecuencia, todas las bombillas lucen. Cuando
esto ocurre, los rotores avanzan automticamente una posicin.
En unas pocas posiciones puede suceder que resten lmparas no encendidas. En
estos casos, la bomba tambin se detiene. Entonces el operario activa la palanca de una
bombilla apagada, digamos la C. Si no se enciende otra lmpara apagada es porque el
ciclo (C) es comn a los tres productos de permutaciones
i
. Habr que anotar tambin la
posicin, la conexin (A) =C y las de las otras letras que pueden obtenerse como se
indic antes. Tal situacin sucede, por ejemplo, cuando slo resta una bombilla apagada.
Una vez que lucen todas las bombillas se reinicia la bomba en la siguiente posicin.

177
La bomba de Turing proporciona, para cada orden de rotores, un reducido nmero
de posibles posiciones correctas. Asociadas a cada posicin van unas supuestas
conexiones en el Stecker de las letras que han intervenido en la bomba (seis en nuestro
ejemplo). Dado que el nmero de ordenaciones de rotores es sesenta, el de posiciones
anotadas puede ascender a varios cientos. No obstante, no es difcil encontrar la posicin
y conexiones correctas entre las candidatas: Situando los rotores de Enigma en una de
estas posiciones y con las conexiones asociadas en el Stecker, se teclea el fragmento texto
en claro (la crib). Seguidamente, se repite esta operacin con el fragmento cifrado. Una
simple comparacin de estos fragmentos con los obtenidos permite determinar si tal
posicin es la correcta. Adems, en tal caso, se obtienen las dems conexiones del
Stecker. Despus de esto, para completar la clave, slo queda ajustar el Ringstellung.
Tambin es sencillo. Se descifra el resto del mensaje y se observa donde debe avanzar el
rotor central para que siga revelndose el texto en claro.
No obstante, puede ocurrir que ninguna de las posiciones proporcionadas por la
bomba de Turing sea la correcta. Esto sucede si avanza el rotor central mientras se cifran
las letras que darn lugar a los tres ciclos necesarios para el funcionamiento de la bomba.
En ella no se contempla esta posibilidad. En nuestro ejemplo, la primera letra de la crib
que interviene en los ciclos es la sexta y la ltima la decimonovena. Entre ambas, catorce
letras. Si durante el cifrado de estas catorce letras avanza el rotor central, el mtodo de
Turing no funcionar. En consecuencia, como el rotor central avanza cada 26 letras, la
probabilidad de xito de la bomba con nuestro ejemplo es 12/26 , en trminos de
porcentaje, del 46%.
Pero el principal inconveniente de la bomba de Turing est en que es difcil que en
cribs con menos de 26 letras aparezcan los tres ciclos requeridos. En la preparacin de
nuestro ejemplo hemos necesitado cifrar varias veces la crib con distintas claves hasta dar
con una que proporciona los ciclos aqu mostrados. Por este motivo, el mecanismo ideado
por Turing, aunque ingeniossimo, era poco eficiente en la prctica.
Afortunadamente, la ausencia de los tres ciclos se solvent con una sencilla pero
brillante idea de Gordon Welchman, otro matemtico de Cambridge. Se le ocurri incluir
en la bomba de Turing el llamado tablero diagonal, un cuadro de conexiones que,
implementando las conexiones del Stecker, haca circular de nuevo la corriente por los
bancos de rotores. Un dibujo similar al de la Figura 9.5 describir ms detalladamente
esta funcin. Previamente, extraigamos del grafo de la Figura 9.4 otro carente de tres
ciclos. Por ejemplo, el siguiente:
178

Figura 9.6.
La razn de escoger este grafo obedece nicamente a servir de ejemplo en la bomba
de Turing-Welchman. Podamos haber elegido cualquier otro, ya que esta nueva bomba
funciona con cualquier grafo, tengan o no ciclos. El dibujo anunciado corresponde a la
Figura 9.7. En su parte superior izquierda puede observarse el tablero diagonal. Un
cuadro con 2626 puntos, cada uno identificado por un par de letras correspondientes a la
fila y columna en la que se encuentra y representando la conexin en el Stecker de estas
letras. As, el punto (A, B) simboliza el emparejamiento de las letras A y B en el Stecker.
Igual que el punto (B, A), evidentemente. Por esta razn, los puntos se encuentran
conectados de modo simtrico respecto a la diagonal del tablero: el punto (A, B) con el
(B, A), el (A, C) con el (C, A), etctera. En el dibujo se incluyen estas dos conexiones y la
de los pares (E, H) y (H, E). A la derecha del tablero diagonal se encuentran los bancos de
rotores; conectados entre s mediante un cable con 26 direcciones, segn indica el grafo
anterior. Este mismo tipo de cable conecta las filas del tablero con las entradas
homnimas de los bancos, uniendo cada direccin del cable con su correspondiente
punto. As, la fila A del tablero se conecta con las entradas A de los bancos, de forma que
la direccin B concluye en el punto (A, B), la C en (A, C), etctera. Y como en la bomba
de Turing, se incluye tambin un panel de lmparas conectado a cierta entrada. La A en
nuestro dibujo.
X
9
H
R
19
I
13
L
17
E
18
T
B
16
11
A
15
U
14 8

179

Figura 9.7. Esquema de la bomba de Turing-Welchman.
La utilizacin de esta bomba es idntica a la diseada por Turing y no hace falta que
repitamos todo el proceso. Slo es preciso mostrar el efecto del tablero diagonal. Al poner
en marcha la bomba el fluido elctrico circula por la direccin B y se introduce por la
entrada A de los bancos 8, 14 y 15 y tambin por esta misma entrada del tablero diagonal.
Al estar conectado al punto (A, B) con el (B, A), la corriente elctrica sale del tablero por
la direccin A de la entrada B y se dirige al banco 11. Despus de abandonar cada uno de
estos bancos, el flujo elctrico entra en otro conectado y tambin en el tablero diagonal.
Por ejemplo, la corriente que abandona el banco 14 llega al tablero por cierto cable de la
fila U. Si la letra de este cable figura en la entrada de algn banco, se introducir en l por
el cable U. Y as sucesivamente. El tablero diagonal abre nuevas direcciones de flujo
elctrico en la red de bancos.
Al igual que en el diseo de Turing, en casi todas las posiciones de los rotores la
corriente elctrica circular por las 26 direcciones de cada trozo de cable, en el panel se
A
B
C
D
E
F
G
H
I
J
K
L
M
N
O
P
Q
R
S
T
U
V
W
X
Y
Z
9
X
U
L
I
13
U
14
A
15
R
19
H
16
T
11
B
8
A
H
18
R
E
180
iluminarn todas las lmparas y los rotores avanzarn automticamente a la siguiente
posicin. En otras, en cambio, habr direcciones sin flujo elctrico y no todas bombillas
del panel estarn encendidas. Cuando esto sucede, la bomba se detiene. De nuevo se trata
de encontrar aquellas posiciones en las que la corriente circula por una nica direccin.
Entre ellas est la que figura en la clave que se pretende hallar. Ahora es ms difcil
estimar el nmero de paradas de la bomba. Si esta cantidad se eleva a varias decenas por
cada ordenacin de los rotores, la bomba ser poco eficaz. Hablando de forma poco
precisa pero intuitiva, la eficiencia de la bomba depende de que la corriente circule el
mayor nmero posible de veces por los bancos de rotores. Los ciclos favorecen esta
circulacin; tambin un mayor nmero de bancos y conexiones. Pero si se aaden ms
bancos, aumenta la posibilidad de que avance el rotor central, circunstancia que sigue
derrotando a la bomba. Ntese que la probabilidad de xito en nuestro ejemplo es del
54%.
En agosto de 1940, la British Tabulating Machine Company llev a Bletchley Park
la primera bomba. Tardaba unos quince minutos en comprobar todas las posiciones de un
orden de rotores determinado. Con ella, la bsqueda de la clave se efectuaba en una media
de ocho horas. Poco a poco fueron llegando ms bombas que redujeron progresivamente
este tiempo. En mayo de 1941 haba ya ocho bombas funcionando, sesenta dos aos ms
tarde y unas doscientas hacia el final de la guerra. No se conserva ninguna, ya que
Winston Churchill mand destruirlas cuando trmino la contienda.
En Estados Unidos tambin se construyeron bombas criptogrficas. Eran ms
rpidas que las britnicas y por ello se emplearon principalmente contra la armada
alemana. sta dio mucho ms trabajo que el ejrcito de tierra o la fuerza area. Por un
lado, usaba tres rotores ms que elevaban el nmero de ordenaciones posibles a 336; por
otro, el sistema de cifrado era diferente. La obtencin de las Spruchschlssels requera
elegir dos trigramas de un libro de claves, combinar sus letras para formar cuatro
bigramas y reemplazarlos por otros segn cierta tabla. Adems, a partir de febrero de
1942, los submarinos alemanes emplearon una Enigma con 4 rotores. Para poder penetrar
en las comunicaciones de la armada alemana, los aliados tenan que esperar a que las
sucesivas capturas de navos enemigos proporcionasen todo este material criptogrfico. Y
una vez conseguido, recuperar las claves requera el empleo de un elevado nmero de
bombas. La Figura 9.8 es una fotografa de la bomba que se exhibe en el National
Cryptologic Museum, en Washington. Es una de las 121 fabricadas en 1943 por la
National Cash Register Company y que se destinaron contra la Enigma de los submarinos
alemanes. En 20 minutos recorra las 456976 posiciones de los cuatro rotores.

181

Figura 9.8. Una bomba americana.

183
10
CRIPTOGRAFA MODERNA
A finales de 1945, Presper Eckert y John Mauchly, de la Universidad de
Pensilvania, concluyeron la construccin del que muchos textos consideran el primer
ordenador electrnico: ENIAC (Electronic Numerical Integrator And Computer).
Constaba de unos 18000 tubos de vaco como principal componente de sus circuitos,
pesaba casi 32 toneladas y media ms de 2 metros de ancho y 30 de largo. La primera
tarea que llev a cabo fueron unos clculos en Fsica Nuclear que suponan 100 aos de
trabajo de una persona y en los que ENIAC emple slo 2 horas. Este primer ordenador
poda efectuar 5000 sumas 360 multiplicaciones en un segundo. Actualmente, tan slo
poco ms de medio siglo despus, en el mundo hay ya varios cientos de millones de
ordenadores, de un peso y tamao cada vez ms reducidos. Todos estos ordenadores son
capaces de realizar ms de un milln de operaciones por segundo (un billn los llamados
supercomputadores) y, lo que es ms trascendente, como pueden ser programados para
realizar cualquier tarea, cada vez estn presentes en un mayor nmero de actividades
humanas.
Como era de esperar, la Criptografa tambin se ha visto afectada por la llegada de
los ordenadores. De entrada, en el modo de hacerla. Un ordenador puede ser programado
para implementar cualquiera de los mtodos de cifrado que hemos visto hasta ahora,
incluidas las mquinas de rotores descritas en un captulo anterior; pero tambin los
mtodos de criptoanlisis. Y si estos criptosistemas ya fueron derrotados sin emplear el
ordenador, con l no tienen ninguna posibilidad. No obstante, ello no debe inducir a
pensar que la llegada de los ordenadores ha dado ventaja a los criptoanalistas frente a los
diseadores de cdigos. Todo lo contrario, en el ordenador es posible implementar nuevos
criptosistemas que proporcionan una seguridad muy superior a la de los cifrados clsicos.
Quizs no sea aventurado decir que implementando uno de esos cifrados en un simple PC,
se puede derrotar incluso a organizaciones gubernamentales que disponen de
supercomputadores destinados a tareas de criptoanlisis. En este captulo describiremos
de forma breve y genrica estos modernos cifrados y despus hablaremos de dos de ellos:
el controvertido DES y el actual AES.
10. CRIPTOGRAFA MODERNA
184
Los fundamentos de los nuevos criptosistemas arrancan del modo en que se
representa la informacin en los ordenadores. En ellos se procesan datos de procedencia
muy distinta como nmeros, textos, grficos o sonidos; pero internamente se representan
del mismo modo: mediante nmeros, nmeros binarios. Expliquemos brevemente qu
nmeros son stos.
Estamos familiarizados con la escritura de nmeros enteros usando los dgitos del 0
al 9, es una de las primeras cosas que se aprende en la escuela. Como bien nos ensearon
all, en el nmero 3524, el 4 ocupa el lugar de las unidades, el 2 el de las decenas, el 5 el
de las centenas y 3 el de las unidades de millar. Esto significa que
3524 =31000 +5100 +210 +41 =310
3
+510
2
+210 +41.
De este modo, la secuencia de dgitos 3524 no es sino una manera abreviada de
escribir la expresin anterior, eliminando los signos + y y las potencias de 10. Esta es
la bien conocida forma decimal de escribir nmeros, inventada en la India en el siglo VII
y trasmitida a Europa en la Edad Media por los rabes.
En lugar de emplear 10 como base de las potencias, puede utilizarse cualquier otro
entero b mayor o igual que 2. En tal caso, el desarrollo de un entero genrico n segn las
potencias de b tiene esta expresin:
0 1
1
1
... n b n b n b n n
r
r
r
r
+ + + + =

,
donde r es el nico entero tal que b
r
n <b
r+1
y n
0
, n
1
, ..., n
r
, son enteros estrictamente
menores que la base b. Si buscamos signos para representar a cada uno de los enteros
comprendidos entre el 0 y b1; si, por ejemplo, n
r
se representa por el signo %, n
r-1
por
$, ..., n
1
por # y n
0
por &, entonces n se escribe en base b como %$. . . #&.
Cuando la base b es 2, el sistema de representacin que resulta recibe el nombre de
binario. Los nmeros binarios son entonces los enteros expresados en forma binaria. Slo
requiere dos smbolos, que suelen ser los dgitos 0 y 1, llamados ahora bits, y que, como
es de suponer, corresponden con los nmeros cero y uno, respectivamente. As pues, un
nmero binario es una secuencia de bits. Por ejemplo: 1101101, que escrito en modo
decimal es 109 ya que:
1101101 =12
6
+12
5
+02
4
+12
3
+12
2
+02 +1 =109.
Si se desea expresar en forma binaria un nmero escrito en otro sistema, basta con
dividir sucesivamente dicho nmero entre 2 y tomar la sucesin de restos en orden
inverso. Por ejemplo, escribamos en binario el nmero que en modo decimal es 25. Las
divisiones entre 2 son las siguientes:
185
25 2
1 12 2
0 6 2
0 3 2
1 1

Por tanto, 25 se escribe en binario 11001.
Como decamos antes, los ordenadores operan internamente con nmeros binarios.
Cualquier informacin que procesen ha de transformarse antes en una sucesin de
nmeros binarios. El modo de hacerlo es asignar un nmero a cada dato bsico de
informacin, empleando para ello un cdigo. Por ejemplo, un texto escrito con cierto
alfabeto se puede transformar en una secuencia binaria haciendo corresponder a cada letra
del alfabeto el nmero binario que figure en el cdigo utilizado al efecto. Hasta hace muy
poco, tal cdigo era habitualmente el famoso ASCII (American Standard Code for
Information Interchange). Inicialmente, el ASCII fue diseado como cdigo de 7 bits.
Con 7 bits se manejan los nmeros binarios comprendidos entre 0 y 1111111 (=127, en
decimal), disponiendo as de 128 nmeros que se pueden asignar a otros tantos signos. La
relacin de signos y sus correspondientes nmeros (en decimal y binario) incluidos en
este primer ASCII de 7 bits se muestra en la Tabla 10.1.
Cuando en los aos 60 se adopt el cdigo ASCII, la mayora de los ordenadores se
diseaban para almacenar y manipular nmeros de 8 bits (esto es, un byte). En un
principio, el bit sobrante se utiliz como bit de paridad, para detectar posibles errores en
la codificacin; pero despus se emple para codificar ms signos. Pasar de 7 a 8 bits
permite aadir otros 128 caracteres al ASCII: letras acentuadas, nuestra , la francesa ,
etc. No obstante, esta ampliacin no fue estndar; los 128 nuevos caracteres cambiaban de
un fabricante a otro. En la actualidad, se ha desarrollado un nuevo cdigo estndar de 16
bits, el Unicode. Es una extensin del ASCII que incluye numerosos juegos de caracteres:
griego, rabe, cirlico, chino, japons, smbolos matemticos Con 16 bits hay lugar para
2
16
=65536 signos diferentes.
En resumen, que al introducir texto (o cualquier otro tipo de informacin) en el
ordenador, ste lo contempla como la secuencia de nmeros binarios que proporciona el
cdigo empleado al efecto. Por ejemplo, usando un cdigo ASCII de 8 bits, la palabra
ADIOS da lugar a la siguiente sucesin de bytes:

A D I O S

Decimal: 65 68 73 79 83
Binario: 01000001 01000100 01001001 01001111 01010011

Es precisamente sobre esta secuencia de bits donde actan los modernos mtodos de
cifrado, transformndola en otra que ser la que se transmita al receptor del mensaje.
186
Cuando ste la reciba, deber someterla al proceso de descifrado para obtener de nuevo la
secuencia inicial originada por el cdigo empleado. Por tanto, en los criptosistemas que
cifran la informacin interna del ordenador, tanto el alfabeto en claro como el de cifrado
constan slo de dos signos: 0 y 1; y los textos en claro y cifrado son largas secuencias de
tales bits. Ntese que el cdigo no forma parte del criptosistema.

Signo Dec. Bin. Signo Dec. Bin. Signo Dec. Bin. Signo Dec. Bin.
Nulo 0 0000000 32 0100000 @ 64 1000000 ` 96 1100000
Inicio cabecera 1 0000001 ! 33 0100001 A 65 1000001 a 97 1100001
Inicio texto 2 0000010 " 34 0100010 B 66 1000010 b 98 1100010
Fin texto 3 0000011 # 35 0100011 C 67 1000011 c 99 1100011
Fin transmisin 4 0000100 $ 36 0100100 D 68 1000100 d 100 1100100
Enquiry 5 0000101 % 37 0100101 E 69 1000101 e 101 1100101
Acknowledge 6 0000110 & 38 0100110 F 70 1000110 f 102 1100110
Beep 7 0000111 ' 39 0100111 G 71 1000111 g 103 1100111
Backspace 8 0001000 ( 40 0101000 H 72 1001000 h 104 1101000
Tab. horizontal 9 0001001 ) 41 0101001 I 73 1001001 i 105 1101001
Salto lnea 10 0001010 * 42 0101010 J 74 1001010 j 106 1101010
Tab. vertical 11 0001011 + 43 0101011 K 75 1001011 k 107 1101011
Salto pgina 12 0001100 , 44 0101100 L 76 1001100 l 108 1101100
Retorno carro 13 0001101 - 45 0101101 M 77 1001101 m 109 1101101
Shift fuera 14 0001110 . 46 0101110 N 78 1001110 n 110 1101110
Shift dentro 15 0001111 / 47 0101111 O 79 1001111 o 111 1101111
Escape lnea 16 0010000 0 48 0110000 P 80 1010000 p 112 1110000
Ctrl. disp. 1 17 0010001 1 49 0110001 Q 81 1010001 q 113 1110001
Ctrl.. disp. 2 18 0010010 2 50 0110010 R 82 1010010 r 114 1110010
Ctrl.. disp. 3 19 0010011 3 51 0110011 S 83 1010011 s 115 1110011
Ctrl. disp. 4 20 0010100 4 52 0110100 T 84 1010100 t 116 1110100
Neg. Acknow. 21 0010101 5 53 0110101 U 85 1010101 u 117 1110101
Sincronismo 22 0010110 6 54 0110110 V 86 1010110 v 118 1110110
Fin bloque 23 0010111 7 55 0110111 W 87 1010111 w 119 1110111
Cancelar 24 0011000 8 56 0111000 X 88 1011000 x 120 1111000
Fin medio 25 0011001 9 57 0111001 Y 89 1011001 y 121 1111001
Sustituto 26 0011010 : 58 0111010 Z 90 1011010 z 122 1111010
Escape 27 0011011 ; 59 0111011 [ 91 1011011 { 123 1111011
Sep. Archivos 28 0011100 < 60 0111100 \ 92 1011100 | 124 1111100
Sep. Grupos 29 0011101 = 61 0111101 ] 93 1011101 } 125 1111101
Sep. Registros 30 0011110 > 62 0111110 ^ 94 1011110 ~ 126 1111110
Sep. Unidades 31 0011111 ? 63 0111111
_
95 1011111 Del 127 1111111
Tabla 10.1. Cdigo ASCII de 7 bits.
187
Los textos de Criptografa clasifican los modernos criptosistemas en dos categoras
bsicas: cifrados secuenciales y cifrados en bloque. Describmoslos brevemente.
Los secuenciales se llaman as porque para cifrar generan una sucesin de bits con
la misma longitud que el texto cifrado, la denominada secuencia clave. El modo de
producirla es precisamente la clave en esta forma de cifrado. Con los bits de la secuencia
clave y del texto en claro se efecta la suma XOR, que se representa por el signo y
se define as:
00=0, 10=1, 01=1, 11=0.
La sucesin suma obtenida es el texto cifrado que se transmite.
Un sencillo ejemplo aclarar este modo de cifrar. En l cifraremos la secuencia de
bits que obtuvimos antes mediante la codificacin en ASCII de la palabra ADIOS. En
primer lugar, hemos de precisar como se genera la secuencia clave k
1
k
2
k
3
k
4
Se va a
obtener conforme a la frmula recurrente k
i
=k
i-1
k
i-4
y a partir de los bits que componen
el llamado estado inicial, que en este ejemplo son los cuatro siguientes: k
0
=0, k
-1
=1, k
-
2
=0, y k
-3
=1. Entonces:

k
1
=k
0
k
-3
= 0 1=1,
k
2
=k
1
k
-2
=1 0=1,
k
3
=k
2
k
-1
=1 1=0,
k
4
=k
3
k
0
= 0 0=0

Como hemos dicho antes, los bits del texto en claro se suman con los de la
secuencia clave y el resultado es el texto cifrado:

Texto en claro: 010000010100010001001001
Secuencia clave: 110010001111010110010001

Texto cifrado: 100010011011000111011000

Observemos que el receptor del mensaje recupera el texto en claro generando de
nuevo la secuencia clave y sumando sus bits con los del texto cifrado.
Notemos tambin que sumando los bits del texto en claro con los del cifrado se
obtiene la secuencia clave. En consecuencia, un criptoanalista que disponga de texto en
claro y su correspondiente cifrado accede rpidamente a la secuencia clave. Por esta
razn, si se desea cierto grado de seguridad, la secuencia clave debe ser distinta en cada
transmisin. En la prctica, el modo ms eficiente de hacerlo es variando los bits que
componen el estado inicial.
Cuando el estado inicial es secreto (y, por tanto, forma parte de la clave) el cifrado
secuencial se dice sincronizado. En este caso, para que el receptor pueda descifrar
188
correctamente el mensaje, debe sincronizar con el emisor su generador de secuencias
clave, situndolo en el mismo estado inicial. Esto, si el trfico de mensajes es denso,
supone un problema de difcil solucin. Tal problema no existe si cada estado inicial es
elegido por el emisor y comunicado en claro al receptor en la cabecera del mensaje. Si se
elige esta opcin, el cifrado se dice autosincronizado. En este caso, al ser pblico el
estado inicial, la seguridad recae exclusivamente en el modo en que se genera la
secuencia clave. Por tanto, debe resultar imposible recuperar tal secuencia a partir del
estado inicial. Y aunque se dispone de un amplio conocimiento terico sobre esta
cuestin, en la prctica es complicado disear un generador secuencial que sea seguro en
modo autosincronizado.
Puede ser interesante notar que un cifrado secuencial es de hecho un cifrado
polialfabtico sobre el alfabeto formado por los bits 0 y 1. En este alfabeto slo son
posibles dos sustituciones: una, la que deja invariantes dichos bits y que podemos
representar por
0
; otra, la que los permuta y que representamos por
1
. Esto es:
0
(0)=0
y
0
(1)=1,
1
(0)=1 y
1
(1)=0. Por tanto:
0
(0) =00,
0
(1) =10,
1
(0) =01,
1
(1) =11.
Luego sumar un bit del texto en claro con un 0 de la secuencia clave equivale a
aplicarle la sustitucin
0,
y aadirle un 1 es lo mismo que hacer actuar
1
sobre l. As
pues, sumar una secuencia clave a un texto en claro produce el mismo resultado que el
cifrado polialfabtico obtenido con la sucesin correspondiente de sustituciones
0

1
.
Y siguiendo con esta analoga entre modernos cifrados secuenciales y antiguos
polialfabticos, un aparato electrnico que genere secuencias clave es la versin digital de
una mquina de rotores, en donde su estado inicial se corresponde con la posicin inicial
de los rotores.
Si los cifrados secuenciales pertenecen a la categora polialfabtica, los cifrados en
bloque responden al modelo poligrfico descrito en el Captulo 4. Dividen el texto en
claro en bloques de bits del mismo tamao y cada uno de ellos se transforma en otro
segn determina el proceso de cifrado, en el que interviene la clave elegida.
Seguidamente, presentamos un ejemplo sencillo de cifrado en bloques de 8 bits en el que
emplearemos una clave de ese mismo tamao. En la prctica, valores tpicos de estas
longitudes son 64, 128 256 bits; y sus procesos de cifrado son mucho ms complejos
que el que aqu sirve de ejemplo.
Nuestro cifrado consiste en dividir la sucesin de bits que conforma el texto en
claro en trozos de 8 bits y sobre cada uno de ellos efectuar las siguientes tres operaciones:
1. Reordenar los 8 bits segn el orden 4, 7, 8, 1, 6, 5, 2, 3.
2. Efectuar la suma XOR con la clave.
3. Volver a realizar la permutacin de bits del paso 1.
189
Empleando en este cifrado la clave 10100111, la cadena de bits obtenida al
codificar en ASCII la palabra ADIOS se cifra de la siguiente manera:

Texto en claro: 01000001 01000100 01001001

Reordenacin
00100010 00001010 00100110

10100111
10000101 10101101 10000001

Reordenacin
Texto cifrado: 00111000 00111101 00110000

Notemos que los pasos de este cifrado son involutivos y que, en consecuencia, el
proceso de cifrado sirve tambin para descifrar. Esta es una propiedad que suele estar
presente en la mayora de los criptosistemas que se emplean en la prctica, por la
comodidad que ello supone.
En el ejemplo anterior hemos empleado un cifrado en bloque de la manera ms
simple y natural que puede hacerse. Los textos americanos lo denominan modo ECB,
acrnimo de Electronic Code Book. En ocasiones no es el ms conveniente. En este
modo, si no vara la clave, bloques iguales de texto en claro dan lugar tambin a trozos
idnticos de texto cifrado. Con frecuencia, los mensajes que generan los ordenadores
tienen estructuras muy regulares y presentan numerosos fragmentos idnticos; sobre todo
en la cabecera y en el final. Esto puede presentar un gran riesgo para la seguridad de un
cifrado en bloque. Tal problema puede resolverse usando el cifrado en bloque de la
manera que explicamos a continuacin.
Antes de cifrar, el emisor elige aleatoriamente el denominado vector de
inicializacin, que es un bloque de bits de la misma longitud con la que opera el cifrado y
que se transmite en claro al receptor en la cabecera del mensaje. Con este vector y el
primer bloque de texto en claro se efecta la suma XOR y se cifra el resultado,
obtenindose el primer fragmento de texto cifrado. Este primer trozo de texto cifrado se
suma con el segundo bloque de texto en claro y se cifra el resultado, dando lugar al
segundo trozo de texto cifrado. Y as se contina, sumando un bloque de texto en claro
con el anterior de cifrado y cifrando la suma resultante. Para descifrar, el receptor del
mensaje debe aplicar el proceso de descifrado a cada trozo de texto cifrado y el resultado
obtenido sumarlo con el bloque anterior. Quizs sea ms clarificador expresar todo esto
matemticamente:
Cifrado: y
i
=C(x
i
y
i1
) Descifrado: x
i
=y
i1
D(y
i
),
donde C y D representan respectivamente los procesos de cifrado y descifrado; x
i
e y
i
los
i-simos bloques de cifrado y descifrado, siendo y
0
el vector de inicializacin.
Esta forma de operar que acabamos de describir recibe el nombre de modo CBC
(Cipher Block Chaining). Operando en este modo y variando el vector de inicializacin
190
en cada transmisin, los bloques iguales de texto en claro se transforman siempre en
trozos distintos de texto cifrado. Hay otras formas de emplear los cifrados en bloque que
resuelven el problema planteado antes y que se adaptan mejor a ciertas condiciones de
transmisin. Pero no entramos a describirlos y damos ya por concluido esta breve
incursin por la teora de los modernos cifrados. El lector interesado puede consultar
alguno de los magnficos textos que se adentran en este campo. El de Bruce Schneier,
incluido en la bibliografa, es uno de ellos.
Dejemos entonces a un lado las cuestiones tericas y pasemos a hablar de DES, un
cifrado moderno que ya tiene reservado un captulo en la historia de la Criptografa. Para
introducirlo, situmonos en los Estados Unidos a comienzos de los aos setenta. Por
aquellos aos, la proliferacin de los ordenadores y el paralelo desarrollo de los sistemas
de comunicacin permitieron que bancos y empresas diversas almacenasen y
transmitiesen un volumen de informacin cada vez mayor. Ello trajo consigo una
demanda de proteccin de la informacin por parte de estas organizaciones. Para atender
esta peticin, la entonces llamada NBS, la oficina nacional de estndares, puso en marcha
un programa destinado a dotar de seguridad a las comunicaciones y bases de datos. Parte
de ese programa era la adopcin de un estndar de cifrado de uso general. Con este
objetivo, en mayo de 1973, la NBS solicit pblicamente propuestas de tal estndar. Se
recibieron muy pocas, y ninguna de ellas mereci la consideracin de la NBS. Un ao
despus, en agosto de 1974, la NBS efectu un segundo concurso. En esta ocasin, la
mtica compaa IBM remiti un criptosistema basado en un cifrado denominado
Lucifer y que Horst Feistel, uno de sus tcnicos, haba ideado unos aos antes. A la
NBS le pareci un cifrado interesante; pero antes de adoptarlo como estndar, lo someti
a la consideracin de los expertos de la NSA, la agencia nacional de seguridad.
La NSA es el organismo oficial responsable de la seguridad en las comunicaciones
militares y gubernamentales de los Estados Unidos; as como de interceptar y penetrar en
las comunicaciones de ejrcitos y gobiernos de otros pases. Fue creada por el presidente
Harry Truman a finales de 1952, con el objeto de reunir en un solo rgano los servicios de
inteligencia de los tres cuerpos del ejrcito americano. El hecho que emplee ms personas
que la CIA y que sus instalaciones ocupen un espacio similar al del Pentgono da una
idea de la importancia de la NSA.
Unos meses despus, en marzo de 1975, y tras la evaluacin positiva de los expertos
de la NSA, la NBS public en el Registro Federal los detalles del cifrado de IBM, con
objeto de someterlo a discusin pblica. Casi dos aos ms tarde, en enero de 1977, la
NBS lo adopt como estndar de cifrado de la informacin no clasificada, con el
nombre de Data Encryption Standard: DES. Poco tiempo despus, compaas como
Motorola, AMD o DEC iniciaban la produccin y distribucin de chips que
implementaban DES. Durante los veinte aos que ha estado en vigor, ha sido el
criptosistema preferido de empresas, bancos e incluso organizaciones gubernamentales
como el Departamento de Justicia o la Reserva Federal.
Seguidamente, presentamos una descripcin abreviada de este criptosistema que
permite conocer su funcionamiento. Los detalles pueden consultarse en el anteriormente
citado libro de Schneier.
191
DES es un cifrado en bloques de 64 bits que opera con claves de 56 bits. El proceso
de cifrado de cada bloque sigue los siguientes tres pasos:
1. Se efecta una permutacin inicial de los 64 bits. El resultado se parte en dos
trozos de 32 bits, uno su mitad izquierda L
0
y el otro su otra mitad diestra R
0
.
2. Estos trozos L
0
y R
0
se someten a 16 rondas de idnticas operaciones. El
resultado de cada ronda es otro par de bloques de 32 bits: L
i
y R
i
, que se
obtienen a partir de los anteriores L
i1
y R
i1
de este modo:
L
i
=R
i1
R
i
=L
i-1
f ( R
i1,
K
i
),
donde f es una transformacin de bits que definiremos despus y K
i
es un bloque
de 48 bits extrado de la clave (el subndice indica que es diferente en cada
ronda).
3. Del paso anterior resultan dos bloques de 32 bits, L
16
y R
16
. Se renen en uno
slo en el orden R
16
L
16
y se aplica a este bloque de 64 bits la inversa de la
permutacin del paso 1. El resultado es ya el bloque cifrado.
El descifrado se consigue ejecutando los mismos pasos anteriores, pero eligiendo
los bloques K
i
en orden inverso: K
16
, K
15
, , K
1
.
Describamos a continuacin la transformacin f que acta en el paso 2. Esta
transformacin toma dos argumentos o entradas: R de 32 bits y K de 48, y produce como
salida otro bloque de 32 bits que denotamos f ( R
,
K). Se obtiene as:
a) Se expande el bloque R a otro de 48 bits duplicando algunos de sus bits,
obtenindose entonces otro bloque que denotamos R.
b) Se forma la suma R K y se parte en 8 trozos de 6 bits cada uno:
R K=B
1
B
2
B
3
B
4
B
5
B
6
B
7
B
8

c) Sobre cada trozo B
i
acta una transformacin S
i
diferente, obtenindose un
bloque C
i
de 4 bits. Ms adelante describimos estas transformaciones S
i
,
llamadas tambin cajas.
d) Se renen los 8 trozos de antes en uno slo: C= C
1
C
2
C
3
C
4
C
5
C
6
C
7
C
8
. Por
ltimo, los 32 bits de C se reordenan segn cierta permutacin. Esta es la salida
de f.
Vayamos ahora con la descripcin de las cajas S
i
, la parte ms controvertida de
DES. Estas 8 cajas admiten como entrada un bloque de 6 bits y producen como salida otro
de 4 bits. Dado que todas ellas son similares, mostraremos slo S
1
. Consideremos la
siguiente Tabla 10.2, en la que cada una de sus cuatro filas es una permutacin de los
enteros 0, 1, 2, , 15:
192

0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15
0 14 4 13 1 2 15 11 8 3 10 6 12 5 9 0 7
1 0 15 7 4 14 2 13 1 10 6 12 11 9 5 3 8
2 4 1 14 8 13 6 2 11 15 12 9 7 3 10 5 0
3 15 12 8 2 4 9 1 7 5 11 3 14 10 0 6 13
Tabla 10.2. La primera caja de DES.
Dado un bloque de 6 bits B=b
1
b
2
b
3
b
4
b
5
b
6
, se calculan los enteros i y j siguientes:
i =2b
1
+b
6
, j =8b
2
+4b
3
+2b
4
+b
5

y se considera la entrada i, j de la Tabla 10.2, que es un nmero entre 0 y 15. Se escribe
en binario, obtenindose un bloque de 4 bits que es precisamente el transformado del
inicial B. Por ejemplo, si B=101110, es i=21+0=2 y j =80+41+21+1=7. La entrada
2,7 de la tabla es 11, que en binario se escribe 1011. Luego el transformado de 101110 es
1011.
Naturalmente, DES es un criptosistema complejo. As tiene que ser si se desea
cierta seguridad. Pero, a pesar de esta complejidad, DES es rpido si se implementa en
hardware. Por ejemplo, en 1991 la empresa DEC fabric un chip capaz de cifrar a una
velocidad de 1 gigabit por segundo. Su precio: 300 dlares.
La propuesta de DES como estndar levant una gran polmica en los Estados
Unidos. Por la intervencin de la NSA en el proceso. An hoy en da es desconocido si la
NSA modific el cifrado que IBM remiti a la NBS. Algunos de los tcnicos de IBM que
participaron en el proyecto han asegurado que la NSA no cambi ni una sola lnea de su
algoritmo; pero otros, en cambio, han reconocido lo contrario. Sea como fuere, la
controversia surgi por las modificaciones que DES presentaba respecto a su antecesor, el
cifrado Lucifer, que tambin haba sido publicado. Esencialmente, slo hay dos
modificaciones. La primera, una reduccin en el tamao de los bloques y de la clave.
Lucifer encripta bloques de 128 bits y maneja claves de este mismo tamao, mientras que
DES opera con bloques de 64 bits y claves de 56. Tanta disminucin en el tamao de la
clave hizo sospechar a algunas personas. Los 56 bits de la clave daban una seguridad ms
que suficiente para las posibilidades de cmputo de los ordenadores comunes de los aos
setenta; pero quizs no para los que poda poseer la NSA. Tal vez 56 bits era un tamao
accesible para los supercomputadores de la NSA destinados a tareas de criptoanlisis. Las
cajas S
i
fueron la segunda modificacin. En estas transformaciones de bits descansa toda
la seguridad de DES. Sin ellas, su proceso de cifrado podra expresarse mediante una
ecuacin matricial; convirtindolo en un cifrado tipo Hill y, en consecuencia, vulnerable
ante un ataque con texto claro y su correspondiente cifrado. Las cajas impiden este
criptoanlisis. Lucifer tena dos cajas por las que entraban y salan bloques de 4 bits de
una manera que pareca natural: ambas cajas eran reordenaciones de los 16 bloques que
se pueden formar con 4 bits. Los 6 bits que entran en las cajas de DES se transforman en
otros 4 de una forma misteriosa, como hemos tenido ocasin de observar. Muchos
sospecharon que escondan una puerta trasera que slo la agencia de seguridad saba
193
como abrir. Algo que la NSA siempre neg, obviamente; aunque reconoci que haba
ciertas razones en su diseo que por motivos de seguridad no podan publicarse. Por otro
lado, los numerosos estudios llevados a cabo por personas ajenas a la NSA y a IBM no
han podido confirmar ni desmentir la presencia de puertas traseras en las cajas de DES;
pero s la existencia de ciertos hechos extraos. Por ejemplo, Lexar Corporation dio a
conocer un informe en septiembre de 1976 que conclua diciendo:
Han sido encontradas en DES ciertas construcciones que
indudablemente fueron insertadas para fortalecer el sistema contra ciertos
tipos de ataques. Otras que tambin han sido halladas parecen debilitar el
sistema.
En cualquier caso, las cajas de DES proporcionan a este cifrado una seguridad muy
superior a la de Lucifer, a pesar de la reduccin en el nmero de bits de la clave.
Poco a poco, a lo largo de los aos setenta y ochenta, una nueva comunidad de
criptgrafos surgi por empresas y universidades de todo el mundo; debido al desarrollo
de la informtica y los sistemas de comunicacin, digmoslo una vez ms. Para ellos, la
implantacin de DES como estndar fue todo un desafo; motivados ms an por el
certificado de seguridad que otorg la participacin de la NSA.
El reducido nmero de bits de las claves invitaba a un ataque por fuerza bruta;
esto es, comprobando una a una todas las claves posibles. (Manejando claves de 56 bits
hay en total 2
56
, un nmero que supera los 70 mil billones). Ya en 1977, Whitfield Diffie
y Martin Hellman pensaron en la posibilidad de construir un chip que comprobase un
milln de claves por segundo. Un ordenador que incorporase otro milln de tales chips
descubrira la clave a lo largo de un da. Sin embargo, hay que esperar hasta 1998 para
que se tenga constancia de la fabricacin de uno de estos ordenadores. En ese ao, la
Cryptography Reseach, la Avanced Wireless Technologies y la Electronic Frontier
Fundation construyeron conjuntamente el que llamaron DES Cracker, un ordenador con
ms de 1800 chips que, siendo capaz de comprobar ms de 90 mil millones de claves por
segundo, recuperaba una clave DES en una media de 5 das. Su coste rond los 250 mil
dlares. No obstante, la bsqueda exhaustiva de claves DES ya haba tenido xito un ao
antes, en junio de 1997. En esa ocasin, con motivo del concurso DES Challenge
convocado por la empresa RSA Data Security, 14000 PCs coordinados a travs de
Internet descubrieron la clave ganadora. Tardaron 120 das en encontrarla. El premio:
10000 dlares.
En realidad, la fuerza bruta ha resultado ser el nico mtodo efectivo para derrotar a
DES. Se han descubierto otros mtodos que requieren menos clculo computacional, pero
ninguno es viable en la prctica. Los ms conocidos son los denominados criptoanlisis
diferencial y criptoanlisis lineal, dos tcnicas genricas contra los cifrados en bloque. El
primero fue dado a conocer por los israeles Eli Biham y Adi Shamir en 1990. Es un
ataque con texto pleno escogido, lo que significa que el criptoanalista debe disponer de
texto pleno (y su correspondiente cifrado) con ciertas caractersticas. Se ha mostrado
eficaz contra algunos cifrados en bloque, incluidos Lucifer y una versin de DES que no
supere las 8 rondas del segundo paso; pero para aplicarlo al autntico DES de 16 rondas
194
se requiere una cantidad desorbitada de texto pleno. Curiosamente, poco despus de
publicarse el trabajo de Biham y Shamir, Don Coppersmith, del equipo de IBM que
dise DES, afirm que ellos ya conocan la tcnica del criptoanlisis diferencial y que la
razn de las 16 rondas de DES era evitar este mtodo de criptoanlisis. El criptoanlisis
lineal fue ideado por Mitsuru Matsui en 1993. Es un ataque con texto pleno. Contra DES
es ligeramente ms eficiente que el diferencial, pero con el mismo inconveniente: se
requiere una cantidad enorme de texto. En esta ocasin, cuando se pregunt si DES estaba
protegido tambin contra el criptoanlisis lineal, Coppersmith respondi que no, que
desconocan el mtodo de Matsui.
Naturalmente, DES no fue el nico criptosistema disponible. Durante el periodo que
estuvo en vigor se propusieron decenas de cifrados alternativos, muchos de ellos de
dominio pblico. Algunos bien conocidos son los siguientes: Feal, Loki, Gost (el
anlogo de DES en la Unin Sovitica), Redoc, Idea, Cast, Safer, Blowfish,
RC5... La NSA tambin dio a conocer en 1994 un nuevo cifrado para ser usado en
telefona y comercio electrnico: Skipjack. Este algoritmo fue declarado secreto, y los
chips en que se ha implementado impiden acceder a su cdigo fuente. Quizs proceda as
la agencia porque no desee que uno de sus criptosistemas circule abiertamente por todo el
mundo, o para poder escuchar conversaciones telefnicas cifradas, o ambas cosas.
Todos los cifrados anteriores son cifrados en bloque que operan ya con claves de al
menos 64 bits. En realidad, la mayora de los cifrados que se dan a conocer son cifrados
en bloque. Pocos son los cifrados secuenciales cuyo algoritmo se publica detallado.
Quizs sea porque su implementacin en software es poco eficiente, lo que no suele
ocurrir con los cifrados en bloque. En cambio, los secuenciales son fciles de
implementar va hardware. Por ello, son ideales para las telecomunicaciones. Tambin se
asegura que son los preferidos de los militares, aunque esto siempre es una incgnita.
RC4, de RSA Data Security, y Seal, de IBM, son unos de los pocos cifrados
secuenciales cuyo algoritmo ha sido publicado.
En enero de 1997, la nueva agencia que sustituy a la NBS: el National Institute of
Standards and Technology (NIST), viendo que la seguridad de DES estaba ya
comprometida, convoc a concurso pblico la adjudicacin del nuevo estndar de cifrado.
Se denominara AES, acrnimo de Avanced Encryption Standard. En la convocatoria se
especificaba una serie de requisitos mnimos: un cifrado en bloque de 128 bits; con claves
de 128, 192 y 256 bits; la posibilidad de ser implementado tanto en hardware como en
software; estar disponible gratuitamente Pero lo ms destacado de la convocatoria era
que el concurso estaba abierto a todo el mundo y que el proceso de seleccin iba a ser
totalmente transparente. Adems, se invitaba a cualquiera que lo desease a evaluar las
propuestas presentadas. El NIST publicara en su pgina web las especificaciones tcnicas
de los cifrados concursantes y las evaluaciones que de ellos se hiciesen. Con esta poltica,
el NIST quera evitar una polmica similar a la acontecida veinte aos antes tras la
adopcin de DES.
La fase de aceptacin de propuestas se cerr en mayo de 1998, admitindose a
concurso quince cifrados provenientes de empresas y grupos de investigacin de todo el
mundo. Fueron presentados oficialmente en una conferencia de candidatos que tuvo lugar
195
en Ventura, California, en agosto de 1998; y que sirvi de inicio a una primera ronda de
evaluacin por parte de la comunidad criptogrfica. Los resultados de las pruebas
realizadas se discutieron en una segunda conferencia de candidatos que tuvo lugar en
marzo de 1999, esta vez en Roma. Aqu se puso de manifiesto que cinco de los quince
cifrados concursantes no reunan las condiciones de seguridad exigidas por el NIST, as
como que algunos algoritmos eran ms eficientes que otros. Unos meses despus de esta
reunin, en agosto, el NIST dio a conocer los cinco candidatos finalistas: Mars, de
IBM; Rijndael, de los belgas J. Daemen y V. Rijmen; RC6, de RSA Data Security;
Serpent, del britnico R. Anderson, el israel E. Biham y el dans L. Knudsen; y
Twofish, de Counterpane Systems. En abril de 2000 se celebr en Nueva York la
tercera y ltima conferencia, dedicada a los cinco cifrados finalistas. En su ltima sesin,
la organizacin solicit una valoracin de los candidatos a travs de un cuestionario. El
cifrado preferido de los asistentes result ser Rijndael, el criptosistema de los
investigadores belgas. El mismo que el NIST eligi como vencedor del concurso, cuyo
anuncio oficial tuvo lugar el 2 de octubre de 2000.
Desde ese momento, DES ya tiene sustituto: AES. Naturalmente, la decisin del
NIST de adoptar el nuevo criptosistema slo obliga a la administracin federal americana,
y en lo concerniente a la informacin no clasificada; pero con toda seguridad, AES va a
ser el cifrado ms usado en los prximos aos. La recomendacin del cifrado por parte
del NIST es todo un certificado de garanta para empresas y organizaciones. Prueba de
ello es que organismos internacionales como el consorcio europeo NESSIE (New
European Schemes for Signatures, Integrity and Encryption) ya han recomendado el uso
de AES. Ms an, recientemente, en junio de 2003, la misma NSA ha aprobado el uso de
AES para cifrar informacin clasificada: la secreta con claves de 128 bits y la de alto
secreto con claves de 192 y 256 bits.
A continuacin damos una descripcin resumida del nuevo estndar de cifrado. El
lector que desee conocer todos sus detalles puede consultar las pginas web del NIST o el
libro The Design of Rijndael, escrito por los belgas creadores del cifrado.
AES, como la gran mayora de los cifrados en bloque, consiste en someter a los
bloques de texto en claro a una serie de operaciones que se repiten cierto nmero de
rondas. Estas operaciones se expresan en trminos algebraicos empleando cierta
aritmtica de bytes (recordemos: un byte son 8 bits). En esta aritmtica, la suma de bytes
es justamente la suma XOR introducida antes y el producto Bueno, este producto de
bytes es mucho ms complicado de definir y mejor no lo hacemos. Baste con sealar que
esta aritmtica de bytes est extrada de la teora matemtica de los cuerpos finitos y no es
elemental. Lo que importa saber es que cada byte no nulo ( 00000000) tiene inverso para
el producto. Dicho esto, el proceso de cifrado de cada bloque de 128 bits de texto en claro
sigue los siguientes tres pasos:
1. Se efecta una suma XOR entre el bloque de texto en claro y los 128 primeros
bits de la clave. El resultado se parte en 16 bytes: B
1
B
2
B
3
B
16
y se forma con
ellos una matriz 44:
196
|
|
|
|
|
.
|
\
|
16 12 8 4
15 11 7 3
14 10 6 2
13 9 5 1
B B B B
B B B B
B B B B
B B B B

2. Esta matriz de bytes se somete a una serie de rondas de idnticas operaciones. El
nmero de rondas depende del tamao de la clave: 9 si la clave es de 128 bits, 11
si es de 192 y 13 si es de 256. Las operaciones son las siguientes:
a) Cada byte se transforma en otro por la accin de una caja. Ms adelante
describimos como acta esta caja.
b) Se efecta una permutacin cclica de los bytes de las filas 2, 3 y 4 de la
matriz, desplazndolos 1, 2 y 3 posiciones a la izquierda, respectivamente.
c) Las columnas se someten a la siguiente transformacin de Hill:
|
|
|
|
|
.
|
\
|
|
|
|
|
|
.
|
\
|
=
|
|
|
|
|
.
|
\
|
4
3
2
1
4
3
2
1
x
x
x
x
b a a c
c b a a
a c b a
a a c b
y
y
y
y

donde a, b y c son los bytes: a =00000001, b =00000010 y c =00000011.
Este clculo matricial se realiza con la aritmtica de bytes antes referida.
d) La matriz resultante se suma () con otra matriz de bytes de tamao 44
formada a partir de la clave. Esta matriz es distinta en cada ronda, ha sido
obtenida y almacenada antes de empezar a cifrar y su cmputo se efecta
mediante un algoritmo que depende de la longitud de la clave y en el que
interviene la caja del apartado a).
3. Se vuelven a ejecutar una vez ms a), b) y d) de antes. Y por fin, alineando los
16 bytes de la matriz resultante, se obtiene el bloque de 128 bits de texto cifrado.
Queda describir la sustitucin de bytes del apartado a), la nica caja presente en
AES. Esta caja transforma un byte en otro realizando estas dos operaciones:
I. Cada byte se reemplaza por su inverso para el producto. Como el byte nulo no
tiene inverso, se deja invariante.
Sea a
7
a
6
a
5
a
4
a
3
a
2
a
1
a
0
el byte resultante de este primer paso.
II. Se cambia por este otro: b
7
b
6
b
5
b
4
b
3
b
2
b
1
b
0
, resultado de realizar las
siguientes sumas de bits:
197
=
=
=
=
=
=
=
=
1
1
1
1
0 4 5 6 7 0
0 1 5 6 7 1
0 1 2 6 7 2
0 1 2 3 7 3
0 1 2 3 4 4
1 2 3 4 5 5
2 3 4 5 6 6
3 4 5 6 7 7
a a a a a b
a a a a a b
a a a a a b
a a a a a b
a a a a a b
a a a a a b
a a a a a b
a a a a a b

El disponer de un estndar de cifrado de uso generalizado tiene un gran
inconveniente: que todo el mundo quiere romperlo. Al exigir claves con una longitud
mnima de 128 bits, el NIST dotaba a su cifrado de una seguridad ms que suficiente
contra un ataque por fuerza bruta; el nico mtodo que venci al anterior estndar, el
DES. Descubrir una clave de 128 bits comprobando una a una todas las posibles es una
tarea prcticamente eterna para cualquier ordenador de hoy en da. Incluso para todos
juntos. Y 256 bits son garanta de sobra contra todos los ordenadores electrnicos que se
construyan en las prximas dcadas. Ser necesario algo ms que fuerza bruta para
derrotar al AES. Durante el concurso, el vencedor Rijndael (al igual que el resto de los
finalistas) prob ser inmune a todos los mtodos de criptoanlisis conocidos hasta ese
momento. Ni siquiera se descubri una pequea grieta en su estructura. Pero una vez
convertido en AES, todos los que lo subieron a lo ms alto intentan ahora derribarlo. Y no
slo ellos, sino otros muchos que ltimamente se han acercado a la Criptografa por
diferentes razones. No es exagerado decir que todo un ejrcito de criptoanalistas con todo
tipo de armas se est enfrentando ya al AES. Quien sabe, quizs algn da alguien logre
derrotarlo.

199
11
CRIPTOGRAFA EN CLAVE PBLICA
La manera ms rpida de acceder a la comunicacin cifrada no es a travs del
criptoanlisis; sino hacerse con la clave, sustrayndola o sobornando a alguien que la
conozca o tenga acceso a ella. Algo que tarde o temprano sucede, sobre todo si hay
organizaciones poderosas interesadas. Contra esto, la nica solucin posible es cambiar la
clave frecuentemente. Lo habitual es que una de las partes que van a mantener
comunicacin cifrada elija la clave y la notifique a la otra. Si ambas pueden reunirse en
privado, en un lugar seguro, no hay ningn problema. En otro caso, quien selecciona la
clave debe comunicarla a la otra parte por algn medio que debe considerar seguro. Y ah
empieza el problema, ya que con frecuencia sucede que tal medio no es tan seguro como se
supona. Adems, si se dispone de un canal de comunicacin seguro, quizs no tenga
sentido transmitir informacin cifrada por otro. Se plantea as un antiguo problema en
Criptografa: la distribucin de claves. De hecho, es un problema muy serio en
organizaciones complejas que involucran a muchas personas.
Una manera de resolver el problema de la distribucin de claves puede ser
desarrollando la idea que a continuacin presentamos de forma esquemtica:
1. Una de las partes, llammosla A, escoge una clave y la cifra empleando otra clave
que slo A conoce. El resultado se transmite a la otra parte B.
2. B cifra este resultado una segunda vez, tambin con una clave que slo B conoce.
El mensaje doblemente cifrado se devuelve a A.
3. A retira su clave particular y remite de nuevo el mensaje a B.
4. Por ltimo, B retira tambin la suya y ya ambos conocen la clave comn.
De este modo, A ha comunicado a B una clave comn de forma segura por un canal
que no necesita serlo. Esta idea es interesante, sin duda alguna, y resuelve el problema de
la distribucin de claves. Pero antes, se requiere solucionar este otro: la clave comn
cifrada ha de transmitirse tres veces, cmo sabe cada una de las dos partes implicadas que
11. CRIPTOGRAFA EN CLAVE PBLICA
200
cada mensaje recibido es autntico, que en efecto ha sido trasmitido por la otra parte y no
por un intruso? Adems, cmo realizar esta idea en la prctica?
La respuesta a estas cuestiones (y tambin a otras relacionadas) se encuentra dentro
de la Criptografa en clave pblica. Se llama as porque en esta criptografa cada clave
consta a su vez de dos claves: una pblica, conocida por todo el mundo; y otra privada, en
poder de una nica persona. Con la clave pblica se cifran los mensajes y con la privada se
descifran. De este modo, cualquiera puede cifrar mensajes y transmitirlos al receptor
conocedor de la clave privada. Slo l ser capaz de entenderlos. La Criptografa de clave
pblica se denomina tambin criptografa asimtrica. Dicho trmino asigna entonces el
calificativo de simtrica a la criptografa tradicional, en la que tanto el emisor como el
receptor emplean una clave secreta.
La primera publicacin que incluye este revolucionario concepto criptogrfico fue el
artculo escrito por Whitfield Diffie y Martn Hellman, de la Universidad de Stanford,
titulado New Directions in Cryptography y publicado en la revista IEEE Transactions on
Information Theory, en noviembre de 1976. En l se presentan las nociones bsicas de la
Criptografia en clave pblica, se plantean algunos problemas que con ella se resuelven y se
describe el primer criptosistema perteneciente a esta nueva rama de la Criptografa. Sus
autores mencionan tambin el trabajo de Ralph Merkle, de la Universidad de California en
Berkeley, quien haba llegado a la misma idea de clave pblica que los investigadores de
Stanford.
No obstante, aunque se considera a estos tres investigadores americanos los
creadores de la Criptografa en clave pblica, es probable que sta fuera desarrollada antes
en el seno de las todopoderosas organizaciones gubernamentales dedicadas a las tareas
criptogrficas. A finales de los aos 70, Robert Inman, siendo director de la NSA,
manifest que esta agencia ya haca uso de la criptografa en clave pblica diez aos antes
de la publicacin del artculo de Diffie y Hellman. Naturalmente, Inman no mostr
documentos que avalaran su afirmacin; pero son varias las personas vinculadas a la alta
seguridad americana que lo han ido confirmando. Hay hasta quien ha relacionado ese
precoz inters de la NSA en la criptografa en clave pblica con el control del armamento
nuclear. Ms recientemente, en diciembre de 1997, el Goverment Communication
Headquarters (GCHQ), la organizacin britnica equivalente a la NSA, desclasific una
serie de documentos que, de ser cierto lo que en ellos se dice, muestran que el GCHQ
trabajaba con la idea de la clave pblica desde finales de los aos 60.
La seguridad en la Criptografa asimtrica es un problema mucho ms delicado que
en la simtrica, ya que el nico dato no pblico es la clave que sirve para el descifrado.
Adems, no es fcil reunir seguridad y efectividad en un cifrado en clave pblica; y
solamente unos pocos de los numerosos criptosistemas que han sido propuestos lo han
logrado. Por lo general, estos algoritmos estn basados en las llamadas funciones
unidireccionales. Nos ayudar a entender este concepto matemtico el siguiente ejemplo.
Imaginemos que disponemos de pintura de los cinco colores bsicos: negro, blanco, rojo,
azul y amarillo. Mezclando estos colores en diferentes proporciones se puede conseguir
cualquier otro color. Esta operacin puede contemplarse como una funcin que toma como
argumento una proporcin de los cinco colores bsicos y produce un color compuesto. Es

201
fcil obtener un color determinado si se conoce la proporcin exacta de los colores bsicos.
Por el contrario, dado un determinado color, es prcticamente imposible averiguar su
composicin, la proporcin exacta de cada color bsico. Estas son las dos condiciones que
debe verificar una funcin unidireccional.
Con cierta formalidad: una funcin que transforma una variable x en otra y se dice
unidireccional si:
a) Dada x, el clculo de y se puede realizar en tiempo polinomial.
b) Dada y, el cmputo de una x que produce tal y es un problema intratable.
Expliquemos los trminos tiempo polinomial y problema intratable, extrados de
la Teora de la Complejidad de Algoritmos. El tiempo de ejecucin de un algoritmo es el
nmero de instrucciones elementales (pasos) que realiza. Este nmero de pasos depende de
la longitud de los datos de entrada; esto es, del nmero de bits que ocupa su codificacin
en el ordenador. Dicho de un modo informal: un algoritmo se ejecuta en tiempo polinomial
si existe cierto entero k tal que si los datos de entrada tienen una longitud de n bits,
entonces el algoritmo se ejecuta en un nmero de pasos prximo a n
k
. (Si k=1, se dice
lineal; si es 2, cuadrtico, etc.). El tiempo polinomial es un tiempo corto, de acuerdo con la
nocin de tiempo que todos tenemos. Esto puede observarse en la tercera columna de la
siguiente Tabla 11.1. En ella figura el tiempo que tardaran en ejecutarse los algoritmos de
la primera columna, suponiendo entradas de 100 bits y una velocidad de ejecucin de un
billn de pasos por segundo (velocidad de un supercomputador). Comprense los tiempos
polinomial con el exponencial.

Tipo Pasos Tiempo
Lineal: n 100 0,1 nanosegundos
Cuadrtico: n
2
10000 10 nanosegundos
Cbico: n
3
10
6
1 microsegundo
Exponencial: 2
n
10
30
30000 millones de aos
Tabla 11.1.Tiempo de algoritmos en un supercomputador.
Expliquemos ahora el trmino problema intratable. Un problema que se resuelve
mediante un algoritmo que corre en tiempo polinomial se dice que es de clase P
(polinomial). Anlogamente, si tal algoritmo no es polinomial, se dice de tipo NP (no
polinomial). En la actualidad, se desconoce si ambas clases coinciden; pero se cree que no,
que hay problemas NP que no son P. Estos son precisamente los llamados problemas
intratables: aquellos para los que no se conoce algoritmos polinomiales que los resuelvan y
que, adems, se sospecha que tales algoritmos no existen.
Establecido el concepto de funcin unidireccional, ilustrmoslo con un ejemplo ms
propio de las Matemticas que la anterior operacin de mezclar pinturas. Uno muy sencillo
202
es el siguiente. Fijemos una lista de r enteros positivos: m
1
, m
2
, , m
r
. A cada bloque de r
bits b
1
b
2
b
r
le asociamos la suma:
S =b
1
m
1
+b
2
m
2
++b
r
m
r

Definimos as una funcin, la que a cada bloque de de r bits b
1
b
2
b
r
le hace
corresponder la suma S. El clculo de S a partir del bloque de bits es inmediato: requiere
efectuar r1 sumas como mucho y ello se realiza con un algoritmo lineal. Pero dada una
suma S, recuperar un bloque de bits que la produce es un problema intratable; es el
conocido como problema de la mochila. Naturalmente, para observar la intratabilidad
de este problema hay que considerar valores de r que no sean pequeos. Pinsese en el
problema con r100, por ejemplo.
Un criptosistema asimtrico diseado a partir de una funcin unidireccional basa su
seguridad en el problema intratable asociado a esta funcin. Se trata de que su
criptoanlisis sea equivalente a resolver dicho problema. Al mismo tiempo, la rapidez de
su va directa (esto es, el clculo de y a partir de x) puede ser empleada en los procesos de
cifrado o descifrado. Por ejemplo, la funcin unidireccional asociada al problema de la
mochila puede servir de base a un criptosistema en el que el cifrado consista en
transformar bloques de r bits en sumas S, que es un proceso rpido. El criptoanalista que
pretenda recuperar los bloques de bits a partir de las sumas estar ante un problema
intratable. De esta idea partieron Merkle y Hellman para concebir un criptosistema que
dieron a conocer en 1978 y que describimos en los prrafos siguientes.
Sucede que el problema de la mochila es fcil de resolver si los enteros m
i
forman
una sucesin supercreciente, que as se dice cuando cada entero m
i
es mayor que la suma
de los anteriores. Por ejemplo, la sucesin de 8 nmeros: {3, 4, 10, 21, 43, 85, 177, 350} es
supercreciente: 3<4, 3+4<10, 3+4+10<21, etc. Cuando la lista de enteros m
i
es
supercreciente, si existe solucin al problema de la mochila, sta es nica y puede
obtenerse de la manera que explicamos a continuacin. Por ejemplo, dado S=482,
calculemos, si es que existe, un byte b
1
b
2
b
8
solucin de la ecuacin:
482 =3b
1
+4b
2
+10b
3
+21b
4
+43b
5
+85b
6
+177b
7
+350b
8

Primero comparamos 482 con 350, el ltimo entero. Como es mayor, b
8
ha de ser 1;
en otro caso, sera 0. Al ser 1 este bit, restamos: 482350=132. Comparamos 132 con 177,
el penltimo entero de la lista. Como es menor, b
7
=0. Comparamos entonces 132 con el
siguiente entero de la lista: 85. Es mayor, luego b
6
=1. Restamos: 13285=47. Como esta
diferencia supera a 43, b
5
=1. Volvemos a restar: 4743=4. Esta diferencia es menor que
21 y 10 pero igual al segundo nmero de la lista, luego b
4
=b
3
=0 y b
2
=1. La siguiente resta
es ya 0: 44=0. Llegar a 0 es precisamente la condicin de existencia de solucin. Los bits
que faltan por calcular son nulos. Luego b
1
=0 y hemos obtenido el (nico) byte solucin:
01001101. (Comprubese, si no se est convencido de ello).
En el criptosistema de Merkle y Hellman (tambin llamado de la mochila) se parte
de una sucesin de enteros supercreciente. Se consideran tambin otros dos enteros: uno el
mdulo, mayor que la suma de todos los enteros de la sucesin; y otro el multiplicador,

203
primo con el mdulo (esto es, que el mximo comn divisor de ambos enteros es 1). La
sucesin supercreciente, el mdulo y el multiplicador constituyen la clave privada que slo
conoce el receptor de los mensajes. Por ejemplo, la sucesin supercreciente anterior {3, 4,
10, 21, 43, 85, 177, 350}, el mdulo 700 y el multiplicador 79 constituyen una clave
privada.
Seguidamente, consideramos la aritmtica modular de la que hablamos en el captulo
7; pero fijando ahora como mdulo de esta aritmtica el mdulo de la clave privada: 700
en nuestro ejemplo. Como el multiplicador es primo con el mdulo, tiene inverso para el
producto. El inverso de 79 (mdulo 700) es 319, como puede comprobarse. Multiplicamos
este inverso por cada uno de los trminos de la sucesin supercreciente que forma parte de
la clave privada (recordemos que las operaciones con la aritmtica modular se realizan
recurriendo a las operaciones habituales de enteros y sustituyendo el resultado por el resto
de dividirlo entre el mdulo):
3319 =957 =257, (957=1700+257).
4319 =1276 =576, (1276=1700+576).
10319 =3190 =390, (3190=4700+390).

Se obtiene as la sucesin {257, 576, 390, 399, 417, 515, 463, 350}, que ya no es
supercreciente. Esta sucesin es precisamente la clave pblica que conoce todo el mundo.
Para cifrar con ella un mensaje que se supone codificado en binario, el emisor lo
divide en bloques de 8 bits b
1
b
2
b
8
y los reemplaza por la suma
S =257b
1
+576b
2
++350 b
8
.
He aqu un ejemplo:

Clave pblica: {257, 576, 390, 399, 417, 515, 463, 350}
Texto claro: 01001101 10001110 00110011
S

S S
Texto cifrado: 1858 1652 1602
Criptosistema de Merkle-Hellman. Esquema de cifrado.

Para descifrar, el receptor del mensaje debe usar la aritmtica mdulo 700 y
multiplicar S y el otro miembro de la ecuacin anterior por 79 (el multiplicador). Al
hacerlo:
25779=331979=3,
204
ya que 257=3319 y 319 es el inverso de 79. De igual manera 57679=4, 39079=10, etc.
Se obtiene as esta otra ecuacin, en la que figuran los enteros de la sucesin
supercreciente:
79S =3b
1
+4b
2
++350 b
8
.
A partir de ella, el receptor puede recuperar el bloque b
1
b
2
b
8
de la manera
explicada antes. Por ejemplo, al multiplicar el primer nmero del texto cifrado por 79
obtenemos 482; y ya hemos comprobado que la nica solucin de la igualdad
482=3b
1
+4b
2
++350 b
8

es 01001101, justamente el primer bloque de ocho bits del texto en claro.
Con ocho enteros, el problema de la mochila es fcil de resolver y, por tanto, el
criptosistema resultante carece de seguridad alguna. Como ya sealamos antes, hay que
considerar listas de por lo menos 100 nmeros para que el problema de la mochila sea en
efecto intratable. De hecho, cuando Merkle y Hellman dieron a conocer su criptosistema,
propusieron utilizar mochilas a partir de 256 enteros. Con tal cantidad, un computador
capaz de comprobar un billn de posibles soluciones por segundo tardara ms de 10
53
aos
en comprobarlas todas. Basndose en este hecho, Merkle y Hellman creyeron que su
criptosistema era seguro y, con el fin de obtener beneficios de su trabajo, lo patentaron en
1980. No obstante, poco provecho obtuvieron de esta patente; ya que Adi Shamir logr
criptoanalizarlo tan slo un par de aos despus. Naturalmente, Shamir no emple la
fuerza bruta; sino que mostr que era posible recuperar en tiempo polinomial la clave
privada a partir de la clave pblica y de los textos cifrados.
En agosto de 1977, la famosa revista Scientific American inclua una breve
descripcin del criptosistema de clave pblica ms usado en la actualidad. Nos referimos al
popular RSA, nombre que se forma con las iniciales de los apellidos de sus creadores:
Ronald Rivest, el anteriormente citado Adi Shamir y Leonard Adleman, entonces tres
investigadores del prestigioso Massachussetts Institute of Technology. No gust esta
publicacin a la NSA, quien reconociendo su inters por el algoritmo y tratando de
controlar su uso, intent en vano prohibir la publicacin de los detalles del mismo; hecho
que ocurri pocos meses despus, en febrero de 1978. Tras una larga batalla legal con el
gobierno americano, los tres investigadores fundaron en 1982 la compaa RSA Data
Security, con objeto de comercializar las aplicaciones de su criptosistema. Un gran
negocio, pues la vendieron en 1996 por 200 millones de dlares.
RSA est basado en el problema de la factorizacin de enteros. Como es bien sabido,
factorizar un entero es descomponerlo en producto de nmeros primos. En la escuela nos
ensean un sencillo mtodo conocido desde siempre y que consiste en dividir
sucesivamente el nmero a factorizar por los primos 2, 3, 5, 7 hasta dar con uno que
produzca una divisin exacta. Tal primo es uno de los factores buscados y los dems
pueden calcularse repitiendo este proceso con el cociente de la divisin exacta. Cuando el
nmero no es muy grande, de unas cuatro o cinco cifras todo lo ms, este mtodo no
requiere ms que unas pocas divisiones y puede efectuarse en unos pocos minutos

205
empleando slo lpiz y papel. Si doblamos el nmero de cifras, si consideramos enteros de
ocho o diez dgitos, este mtodo escolar todava funciona con enteros que son producto de
primos pequeos. Como 11211291, que es igual al producto 3
6
713
3
. Pero resulta
impracticable si los factores primos tienen todos cuatro o cinco dgitos. Por ejemplo, puede
llevar ms de un da averiguar que 3605065591 es el producto del par de primos
4569178901. Naturalmente, si las operaciones se realizan en un ordenador programado al
efecto y con todos los primos de 5 o menos cifras almacenados en su memoria, ese tiempo
se reduce a unos pocos segundos. Pero basta elevar la cantidad de dgitos del nmero a
factorizar, de 10 a 50 por ejemplo, para que el nmero de operaciones requeridas sea
inalcanzable para cualquier ordenador; incluidos los supercomputadores actuales.
Precisamente, unas 50 cifras era el tamao mximo de los enteros cuya factorizacin era
posible a mediados de los aos 70, cuando Rivest, Shamir y Adleman propusieron su
criptosistema. Por supuesto, se conocan otros mtodos de factorizacin; pero slo eran un
poco ms eficientes que el mtodo escolar.
El problema de la factorizacin de enteros proporciona la siguiente la funcin
unidireccional: la que a un par de nmeros primos p y q le hace corresponder su producto
n=pq. Es unidireccional porque el clculo de n a partir de p y q es rpido, se puede llevar
a cabo con un algoritmo casi lineal; pero recuperar los primos p y q factorizando n es un
problema intratable. En l se soporta el criptosistema RSA cuyos detalles presentamos a
continuacin.
Se parte entonces de dos primos p y q, distintos y suficientemente grandes para que
una vez calculado n=pq, resulte imposible su factorizacin a quien desconozca p y q.
Calculamos tambin el llamado indicador de Euler, que en este caso toma el valor
=(p1)(q1). Seguidamente, se considera la aritmtica modular, mdulo . Como ya
hemos sealado en varias ocasiones, en esta aritmtica unos nmeros son unidades y otros
no, dependiendo de si son o no primos con el mdulo. Considrese entonces un entero
positivo e< que s lo sea y comptese d su inverso. A continuacin, destryanse tanto
como los enteros p y q, que no volvern a utilizarse y comprometen la seguridad del
criptosistema. Los nmeros n y e constituyen la clave pblica y se denominan,
respectivamente, mdulo y exponente. El entero d es la clave privada.
Para cifrar, los textos en claro han de suponerse sucesiones de nmeros positivos
menores que n. Si el texto en claro esta codificado en binario, una manera sencilla de
conseguir tal supuesto es dividirlos en bloques de k bits, siendo k tal que 2
k
n, y
considerar el nmero binario que determina cada bloque (consltese el comienzo del
captulo anterior si se desea repasar los nmeros binarios). Se considera de nuevo la
aritmtica modular, pero ahora mdulo n. Usando esta aritmtica, cada uno de los nmeros
B que compone el texto en claro se transforma en otro C de acuerdo con la ecuacin C=B
e
.
La sucesin de estos otros nmeros C es el texto cifrado que se transmite. Un ejemplo
ayudar a entender todo esto.
Como par de primos p y q consideramos los nmeros 257 y 307. Son nmeros
pequeos, pero servirn para proporcionar un ejemplo que ilustre el criptosistema RSA. El
mdulo n y el indicador son entonces:
206
n =257307=78899, =256306=78336.
Como exponente elegimos e=101, que es primo con el indicador . Su inverso
mdulo es d=37229. Segn sealamos antes, el par de nmeros n y e constituyen la
clave pblica y d es la clave privada. El mayor entero k tal que 2
k
78899 es k=16. Luego,
para cifrar, podemos dividir el texto en claro en bloques de 16 bits y reemplazar el nmero
binario B asociado a cada bloque por B
101
, realizando esta potencia con la aritmtica
modular. El siguiente esquema lo muestra:

Clave pblica: n =78899, e=101.
Texto claro: 0100000101001101 1000111001000100 0101001101000001
Nmeros B: 16717 36412 21249
B
101
B
101
B
101

Nmeros C: 45456 22284 20485
Criptosistema RSA. Esquema de cifrado.
Para descifrar, el receptor del mensaje recupera de nuevo los nmeros B calculando
las potencias C
37229
(recurdese que 37229 es la clave privada). La justificacin de que
B=C
37229
es la siguiente. Como 37229 es el inverso de 101 mdulo , entonces
10137229=1+k, para cierto entero k. (Igualdad que ha de contemplarse con la
aritmtica habitual de enteros). Luego,
C
37229
=(B
101
)
37229
=B
10137229
=B
1+k
=BB
k
=B(B
)
k
.
Y la igualdad C
37229
=B se sigue del llamado teorema de Euler, que establece que
B
=1.
Los nmeros considerados en nuestro ejemplo son pequeos, de tan slo 5 cifras
decimales. En la prctica, los enteros que se utilizan tienen un tamao mnimo de 256 bits
(77 cifras decimales) y no es raro llegar incluso a los 1024 bits (308 cifras decimales). Usar
RSA con nmeros de este tamao requiere superar dos dificultades que hemos de
comentar. La primera, manejar y operar con estos nmeros de un modo eficiente. Como es
sabido, la aritmtica entera que incorpora un ordenador tiene unos lmites que, por
ejemplo, impiden multiplicar dos nmeros de ms de 5 cifras. Para poder hacerlo, es
necesario incorporar un conjunto de algoritmos especiales que se conocen con el nombre
genrico de aritmtica multiprecisin. Gracias a estos algoritmos es posible realizar
operaciones con enteros arbitrariamente grandes; y de una manera muy rpida, siempre en
tiempo polinomial. No obstante, el cmputo de potencias modulares es lento y, como
consecuencia de ello, el cifrado con RSA tambin lo es. Al menos 100 veces ms lento que
cualquiera de los algoritmos simtricos presentados en el captulo anterior. El otro
problema al que nos referamos es la generacin de la clave. Concretamente: la bsqueda

207
de dos nmeros primos arbitrariamente grandes. Por fortuna, hay suficientes nmeros
primos del tamao que se deseen. Por ejemplo, hay aproximadamente 410
98
nmeros
primos de 100 cifras decimales. Pero encontrar dos de ellos slo es posible si se
implementa en el ordenador un algoritmo que permita decidir si un nmero dado es primo.
El conocido con test de Miller-Rabin es uno de ellos, quizs el ms empleado. Con dicho
algoritmo, la bsqueda de los dos primos puede efectuarse de modo aleatorio. Y una vez
hallados, el cmputo de la clave pblica y privada es inmediato; con la aritmtica
multiprecisin, naturalmente.
La razn de emplear nmeros de tamao semejante no es otra que impedir que un
criptoanalista logre factorizar el mdulo: n=pq. Si ello sucede, el clculo de es
inmediato: =(p1)(q1); y, seguidamente, la clave privada: d=e
1
(mdulo ). Por
tanto, impedir la factorizacin del mdulo es vital para la seguridad del criptosistema.
Decamos anteriormente que cuando se propuso el RSA, a mediados de los aos setenta,
factorizar un entero de 50 cifras era algo imposible. Hoy en da, tales nmeros se pueden
factorizar en unos pocos minutos en cualquier PC. La razn principal de este avance no es
el aumento de la velocidad de cmputo en los modernos ordenadores; sino el
descubrimiento de nuevos algoritmos de factorizacin, que han reducido
considerablemente la cantidad de operaciones requeridas. No obstante, an con estos
algoritmos, el nmero de operaciones sigue siendo enorme. Una idea de ello nos la puede
dar la Tabla 11.2. En su tercera columna incluimos el nmero de operaciones que debe
ejecutar un ordenador para factorizar un mdulo RSA de tantas cifras como se indica en la
primera columna, empleando siempre el algoritmo ms rpido que se conoce. (Para enteros
de hasta 116 cifras este algoritmo es el mtodo de la criba cuadrtica, descubierto por C.
Pomerance en 1985; para enteros de ms de 116 cifras es preferible el mtodo de la criba
del cuerpo numrico, encontrado por J. M. Pollard en 1993).

N de dgitos N de bits N de operaciones
50 166 1,610
10
100 332 3,710
14

155 512 9,510
17

200 664 2,210
20

308 1024 610
24

500 1664 910
30
1000 3322 610
41
Tabla 11.2. Nmero de operaciones para factorizar un entero.
Es posible que cualquier PC actual est prximo ya a los 100 millones de
operaciones por segundo. Por tanto, puede tardar unos 3 minutos en factorizar un mdulo
de 50 cifras, un mes en uno de 100, unos 300 aos en uno de 155 Ahora bien, varios
ordenadores trabajando de forma coordinada pueden rebajar estos tiempos de forma
significativa. Por ejemplo, en agosto de 1999, con motivo de uno de los concursos RSA
Factoring Challenge que peridicamente convoca la empresa RSA Data Security, 292
208
ordenadores lograron factorizar un mdulo RSA de 155 cifras decimales. Tardaron ms de
cinco meses en hacerlo. Para factorizar un mdulo de unas 230 cifras en un ao, RSA Data
Security estima que se requieren unos 215.000 PCs actuales.
Adems de una factorizacin del mdulo, otro ataque posible es el descubierto por
M. Wiener en 1989. Wiener dio un algoritmo que permite encontrar la clave privada d
cuando sta no supera la raz cuarta del mdulo n y los primos p y q verifican que el
mximo comn divisor de p1 y q1 es pequeo. Por tanto, como esta segunda condicin
suele ocurrir muy frecuentemente si los primos p y q se eligen aleatoriamente, conviene
considerar claves privadas con un nmero de dgitos muy prximo al mdulo. Tambin se
han descubierto otros escenarios muy particulares en los que la seguridad del RSA est
comprometida. Uno de ellos es el denominado ataque contra un mdulo comn, que tiene
lugar cuando se emplean dos o ms claves que comparten un mismo mdulo. Si un mismo
mensaje es cifrado con dos de estas claves, el texto en claro se puede recuperar a partir de
las claves pblicas y los criptogramas. Por otro lado, como es posible factorizar el mdulo
conociendo la clave privada, basta conocer una clave privada para poder calcular todas las
dems que compartan el mismo mdulo. No obstante, todos estos peligros son fciles de
eludir y, sin temor a equivocarnos, podemos afirmar que hoy en da RSA es un
criptosistema seguro.
Ya que estn introducidas las potencias modulares, no podemos pasar por alto el
hecho que proporcionan otro ejemplo de funcin unidireccional. Con cierta precisin:
fijados un mdulo n y un entero positivo a menor que el mdulo, podemos considerar la
funcin que transforma un entero x en su potencia modular y=a
x
(mdulo n). Por ejemplo,
si fijamos n=11413 y a=9726, esta funcin transforma x=3533 en y=5761 ya que
9726
3533
=5761 (mdulo 11413)
Como decamos antes, el cmputo de potencias modulares se realiza mediante un
algoritmo que, aunque lento, corre en tiempo polinomial. Por el contrario, el clculo de x a
partir de y es un problema intratable. Este es el problema de los logaritmos discretos, as
llamado porque si y=a
x
(mdulo n) se dice que x es un logaritmo discreto de y en la base a
(mdulo n): x y
a
= log . Por ejemplo, la igualdad anterior muestra que 3533 es un
logaritmo discreto de 5761 en la base 9726:
3533 5761 log
9726
= (mdulo 11413).
Precisamente, el problema de los logaritmos discretos sirvi de base a Diffie y
Hellman para dar una solucin al problema de la distribucin de claves que planteamos al
comienzo del captulo. Est incluida en su ya citado artculo New Directions in
Cryptography de 1976. En primer lugar, las dos partes interesadas en una clave comn,
llammoslas A y B, deben convenir en un primo p y una base a de los logaritmos mdulo
p. Una de las partes, digamos A, elige secretamente un entero x y computa y=a
x
, dato que
transmite a B. Anlogamente, B elige de modo secreto otro entero u, calcula v=a
u
y lo
comunica a A. Con v y x, A calcula K=v
x
. Tambin B puede obtener este mismo K con su
entero secreto u y el dato y que A le ha transmitido:

209
y
u
=(a
x
)
u
=(a
u
)
x
=v
x
=K.
La clave comn es este entero K que slo A y B conocen. Lo ms significativo de
este algoritmo es que tanto el primo p como la base a no necesitan ser secretos, no hay
inconveniente alguno en que sean pblicos. Aunque se intercepten y y v, el clculo de x o u
requiere resolver logaritmos discretos; que es un problema intratable, como ya hemos
dicho. Y sin x o u la clave K no puede ser calculada. De este modo, A y B han
intercambiado de forma segura una clave por un canal inseguro; no han necesitado
mantener una reunin privada.
Unos aos despus, en 1985, Taher ElGamal propuso un criptosistema basado
tambin en el problema de los logaritmos discretos. Presentamos a continuacin su
descripcin. Se parte de un primo p y se considera la aritmtica modular, mdulo p. Se
eligen a continuacin dos enteros positivos aleatorios a y x, ambos menores que p, y se
calcula entonces y=a
x
(mdulo p, naturalmente). Los tres enteros p, a e y constituyen la
clave pblica y x es la clave privada.
Para cifrar, los textos en claro han de contemplarse ahora como sucesiones de
nmeros positivos menores que p. La manera de conseguirlo es la misma que antes: se
dividen en bloques de k bits, siendo k tal que 2
k
p, y se considera el nmero binario que
determina cada bloque. Entonces, para cada uno de los nmeros B que compone el texto en
claro se elige aleatoriamente un entero positivo E<p y se calculan C
1
=a
E
y C
2
=By
E
. El
par de nmeros C
1
y C
2
es el transformado de B; y la sucesin de estos pares es el texto
cifrado que se transmite. Veamos un sencillo ejemplo.
Como primo consideramos p=70001. Los enteros a y x son: a=35791, x=59925; con
lo que y=a
x
=54093. La clave pblica es entonces el tro de enteros 70001, 35791 y 54093;
la privada es el nmero 59925. El mayor entero k tal que 2
k
70001 es k=16. Luego, para
cifrar, dividimos el texto en claro en bloques de 16 bits y reemplazamos el nmero binario
B asociado a cada bloque por el par de enteros C
1
y C
2
, calculados de la manera indicada
antes. El siguiente esquema lo muestra:

Clave pblica: p=70001, a=35791, y= 54093
Texto claro: 0100000101001101 1000111001000100 0101001101000001
Nmeros B: 16717 36412 21249
Nmeros E: 45981 11037 64159
C
1
=a
E
C
2
=By
E
C
1
=a
E
C
2
=By
E
C
1
=a
E
C
2
=By
E

Par C
1
y C
2
: 41073 5298 15494 58065 17737 57206
Criptosistema ElGamal. Esquema de cifrado.
210
Para descifrar, el receptor del mensaje recupera de nuevo los nmeros B calculando
C
2
C
1
-x
. En efecto:
C
2
C
1
-x
=By
E
(a
E
)
-x
=By
E
(a
x
)
-E
=By
E
y
-E
=B.
La seguridad del criptosistema de ElGamal radica en que como x es el logaritmo
discreto de y en base a, encontrar esta clave privada x es un problema intratable. No
obstante, al igual que ha ocurrido con la factorizacin de enteros, los algoritmos
encontrados recientemente han hecho que el clculo de logaritmos discretos sea un
problema menos intratable. Sin entrar en detalles, para que el criptosistema sea seguro, p
debe tener al menos 512 bits (155 cifras decimales) y ser un primo fuerte; que as se dice
cuando p1=2q, con q otro nmero primo.
Los tres criptosistemas que aqu hemos presentado son slo una pequea muestra de
los muchos que han sido propuestos desde 1976. Otros que suelen incluir la mayora de los
libros de texto son el de Rabin, el de McElice y los basados en curvas elpticas. No
creemos que sea ya necesario entrar a describirlos y dedicamos el resto del captulo a
mostrar algunas aplicaciones de la criptografa en clave pblica que tienen inters en la era
de la informacin en que nos encontramos.
La anterior solucin de Diffie y Hellman al problema de la distribucin de claves no
da respuesta a la siguiente pregunta que ya planteamos al comienzo del captulo: cmo
sabe cada una de las dos partes implicadas, A y B, que cada mensaje recibido es autntico,
que en efecto ha sido trasmitido por la otra parte y no por un intruso? Si este suplanta a B,
puede boicotear el proceso de intercambio de claves; o peor an, intercambiar informacin
confidencial con A. La respuesta a la pregunta anterior ha conducido a la llamada firma
digital.
Se pretende que la firma digital sea el perfecto sustituto de la tradicional firma en
papel. Por tanto, debe cumplir con estas caractersticas: ser imposible de falsificar, fcil
de autentificar e irrevocable (que el firmante no puede negar su autora). Para introducir el
concepto de firma digital, planteemos la siguiente situacin general: que A manda un
mensaje M a B y que ste quiere tener constancia de que efectivamente ha sido enviado por
A. La solucin a este problema depende del criptosistema de clave pblica que se emplee.
La firma digital que presentamos a continuacin se basa en RSA.
Supongamos que A tiene clave pblica el mdulo n y el exponente e, y clave privada
el entero d. Si contemplamos al mensaje M como un nmero menor que n, A computa la
potencia modular f=M
d
y transmite a B ambos M y f. La firma digital es precisamente el
entero f. Es infalsificable e irrevocable, porque solamente quien conozca d (la clave secreta
de A) puede generar f a partir de M. Tambin es fcil de verificar: se calcula f
e
y se
comprueba si coincide con M. Veamos un sencillo ejemplo. Admitamos que A tiene clave
pblica el mdulo n =78899 y el exponente e=101, y que su clave privada es d=37229. A
desea enviar a B el mensaje M=0100000101001101, que se corresponde con el nmero
decimal 16717. La potencia modular
f =M
d
=16717
37229
=55907

211
es la firma del mensaje M. Cuando B reciba ambos nmeros, M y f, verificar que
proceden de A computando esta otra potencia modular f
e
=55907
101
y observando si
coincide con M=16717.
Naturalmente, como e y n son pblicos, la autentificacin de la firma la puede
realizar cualquiera; no slo B, a quien iba dirigido el mensaje. Si A y B desean
confidencialidad, deben encriptar el par datos M y f antes de transmitirlos. Para ello,
pueden usar cualquier criptosistema simtrico convenido previamente entre ellos; pero
tambin pueden cifrar empleando RSA y la clave pblica de B.
En el esquema de firma digital que acabamos de describir, el mensaje M debe ser
menor que el mdulo n. En consecuencia, el tamao del mensaje viene limitado por los bits
del mdulo. Como ya sealamos antes, RSA maneja en la prctica mdulos de tamao
comprendido entre 256 y 1024 bits. Sin embargo, los mensajes que se deben firmar son
mucho ms largos; con frecuencia tienen varios megabits (un megabit es aproximadamente
un milln de bits). Por ello, lo que en realidad se firma en la prctica es un resumen del
mensaje. Este resumen se consigue con las llamadas funciones hash (funciones resumen).
Una tal funcin proporciona para cada texto M un resumen r(M), que es un nmero binario
con las siguientes caractersticas:
1. r(M) es de longitud fija, sea cual sea el tamao de M.
2. r(M) se calcula a partir de M mediante un algoritmo que corre en tiempo
polinomial; pero recuperar M a partir de r(M) es un problema intratable. (Esto es: la
funcin hash es una funcin unidireccional).
3. Fijado un texto M, encontrar otro texto N tal que r(M)=r(N) tambin es un
problema intratable.
Las funciones hash que ms se emplean en la prctica son la MD5 diseada por R.
Rivest, que produce resmenes de 128 bits; y la SHA de la agencia de seguridad americana
(la NSA), que proporciona resmenes de 160 bits. El lector interesado encontrar una
descripcin de estas funciones hash en cualquiera de los libros de Criptografa Moderna
que incluimos en la bibliografa.
Relacionados con el concepto de firma digital son los denominados esquemas de
identificacin. Cuando nos conectamos con un ordenador remoto, es habitual que nos
requieran dos palabras: una el login, que suele ser nuestro nombre; otra el password,
la contrasea. Si la conexin es insegura, esto es: si se transmiten por un canal inseguro, un
intruso puede capturarlas y suplantarnos en una posterior conexin. Una situacin similar
sucede cuando empleamos una tarjeta de crdito para solicitar dinero a un cajero
automtico o para efectuar una compra. En esta ocasin, el login est almacenado en la
banda magntica de la tarjerta y el password es el nmero PIN que hemos de memorizar.
Si alguien reproduce la banda magntica y se hace con nuestro nmero PIN, puede
falsificar nuestra tarjeta y usarla fraudulentamente contra nuestra cuenta bancaria.
Naturalmente, no es sencillo; pero todos hemos odo hablar de esta estafa. Estos problemas
pueden solventarse con un esquema de identificacin. Hay varios. El que presentamos a
212
continuacin fue dado a conocer por Clauss Schnorr en 1990 y est basado en el problema
de los logaritmos discretos.
En el esquema de Schnorr se requiere que una autoridad proporcione a cada usuario
una identificacin y certifique esta identificacin, tal y como explicaremos seguidamente.
En la prctica, la autoridad es una institucin como un banco o un organismo oficial; la
identificacin puede ser una serie de datos como el nombre y apellidos o un nmero (el
DNI, por ejemplo). Inicialmente, la autoridad elige un par de nmeros primos p y q con
p=2q+1 (de al menos 512 bits si se desea garantizar seguridad), y un entero b<p tal que
b
2
1 (mdulo p). Los tres nmeros p, q y b son pblicos. Una vez que la autoridad ha
facilitado a un individuo A una identificacin ID
A
, le proporciona un certificado siguiendo
estos dos pasos:
1. A elige secretamente un nmero s
A
(su contrasea) con 0<s
A
<q y se calcula
A
A
s
b v

= (mdulo p).
2. La autoridad firma digitalmente los datos ID
A
y v
A
. Sea f
A
esta firma.
El certificado para A es la terna ID
A
, v
A
y f
A
; que es infalsificable, ya que as lo es
una firma digital. Este certificado es pblico y A puede exhibirlo sin comprometer su
contrasea s
A
; ya que recuperar este dato a partir de v
A
requiere calcular un logaritmo
discreto. Con su certificado, A puede identificarse remotamente ante otra persona B
siguiendo los siguientes pasos:
1) A enva a B su certificado y ste comprueba si es autntico; esto es, verifica la
firma f
A
. En tal caso, B elige un nmero aleatorio r<q y lo comunica a A.
2) A elige tambin un nmero aleatorio k<q, computa el par de nmeros x e y:
x=b
k
(mdulo p), y=k+s
A
r (mdulo q).
y los transmite a B.
3) Por ltimo, B verifica si x=b
y
v
A
r
(mdulo p); en cuyo caso ha de aceptar la
identidad de quien le ha transmitido el certificado.
Slo quien conozca la contrasea s
A
puede generar el entero y, por lo que nadie
puede suplantar a A. Por otra parte, la comprobacin que ha de hacer B en el paso 3) se
justifica as:
x b b b v b v b
k r s r s k r r s k r y
= = = =
+ +
A
A
A A A
.
En la actualidad, la tecnologa permite que los clculos anteriores sean realizados por
diminutos chips que pueden incorporarse a las tarjetas de crdito. Estas son las llamadas
tarjetas inteligentes. Ya estn reemplazando a las tradicionales tarjetas de crdito y muy
pronto sern las nicas que se usen. Adems de sacar dinero en un cajero automtico y

213
efectuar compras en tiendas, las emplearemos para firmar documentos, operar en Internet,
identificarnos en diferentes contextos Naturalmente, la seguridad que proporcionan es
mucho mayor que las que ahora estamos usando.

215
Bibliografa.
1. F. L. Bauer: Decrypted Secrets. Methods and Maxims of Cryptology. 3
rd
edition.
Springer. 2002.
2. A. Biryukov: Methods of Cryptanalysis.
http://www.wisdom.weizmann.ac.il/~albi/cryptanalysis/
3. J. R. Childs: General Solution of the ADFGVX Cipher System. Aegean Park Press.
Laguna Hills, California. 2000.
4. R. Crandall & C. Pomerance: Prime Numbers. A Computational Perspective.
Springer. 2001.
5. J. Daemen & V. Rijmen: The Design of Rijndael. Springer. 2002.
6. C. A. Deavours & L. Kruh: Machine Cryptography and Modern Cryptanalysis.
Artech House Inc. Norwood, Massachusetts. 1988.
7. W. Friedman: Military Cryptanalysis. Part IV: Transposition and Fractioning
Systems. Aegean Park Press. Laguna Hills, California. 1993.
8. H. F. Gaines: Cryptanalysis. A study of ciphers and their solutions. Dover, New
York. 1956.
9. J. C. Galende: Criptografa. Historia de la escritura secreta. Complutense. Madrid.
1995.
10...L. S. Hill: Cryptography in an Algebraic Alphabet. American Mathematical
Monthly, 36, 306312. 1929,
11. A. Kerckhoffs: La cryptographie militaire.
http://www.petitcolas.net/fabien/kerckhoffs/la_cryptographie_militaire_i.htm
12. D. Kahn : The Codebreakers. The Story of Secret Writing. Scribner. New York.
1966.
13. D. Kahn: Seizing the Enigma. Arrow Books. Londres. 1996.
14. R. Kippenhahn: Code Breaking: A History and Exploration. Overlook Press. New
York. 2000.
15. W. Kozaczuk: Enigma. Greenwood Press. Westport, Connecticut. 1998.
BIBLIOGRAFA
216
16. L. Kruh & C. A. Deavours: The Commercial Enigma: Beginnings of Machine
Cryptography. Cryptologia, Vol. 26, n 1, 116. 2002
17. M. Lee: Cryptanalysis of SIGABA. Thesis. Universidad de California. 2003.
18. A. J. Menezes, P. C. van Oorschot & S. A. Vanstone: Handbook of Applied
Cryptography. CRC Press. 1997.
19. F. Pratt: Secret and Urgent: the Story of Codes and Ciphers. Blue Ribbon Books.
Indianapolis. 1939.
20. M. Rejewski: An Application of the Theory of Permutations in Breaking the Enigma
Cipher. Applicationes Matematicae XVI, 4, 543559. 1980.
21. T. Sale: The Enigma cipher machine. http://www.codesandciphers.org.uk/enigma/
22. J. Savard: A Cryptographic Compendium.
http://home.ecn.ab.ca/~jsavard/crypto/jscrypt.htm
23. B. Schneier: Applied Cryptography. John Wiley & Sons Inc.1996
24. S. Singh: Los cdigos secretos. Circulo de lectores. Barcelona. 2000.
25. A. Sinkov: Elementary Cryptanalysis. A Mathematical Approach The
Mathematical Association of America. Washington D.C. 1998.
26. D. R. Stinson: "Cryptography. Theory and Practice". CRC Press. 1995.
27. U.S. Army: Basic Cryptanalysis. Headquarters Department of the Army.
Washington D.C. 1990.
28. G. Welchman: The Hut Six Story. M&M Baldwin. Manchester. 1997.
29. F. B. Wrixon: Codes, Ciphers & Other Cryptic & Clandestine Communication.
Black Dog & Leventhal Publishers Inc. New York. 1998.

217
Origen de las fotografas.
Figura. 2.1: Sustitucin del duque de Mantua. Archivio di Stato, n 42. Mantua, Italia. La
imagen que aqu se incluye est extrada del libro de D. Kahn: The Codebreakers. The
Story of Secret Writing, pg. 107.
Figura 2.2: Un nomencltor espaol de 1563. Procede de la pgina web de la Fundacin
Casa de Medina Sidonia: http://www.fcmedinasidonia.com/
Figura 2.3: Nomencltor compilado en Florencia en 1554. Archivio di Stato, n 457.
Florencia, Italia. La fotografa est extrada del libro de D. Kahn: The Codebreakers. The
Story of Secret Writing, pg. 107.
Figura 2.4: Nomencltor de 1568 usado por Felipe II. Archivo General de Simancas,
Seccin Secretara de Estado, leg. 664. La imagen que incluimos est tomada del libro de
J. C. Galende: Criptografa. Historia de la escritura secreta, pg. 100.
Figura 3.2: Tabla de Trithemius. Ilustracin del libro de Trithemius Poligrafa, escrito
en 1508. http://www.unimainz.de/~pommeren/Kryptologie/Klassisch/2_Polyalph/
Figura 4.1: Una pgina de un cdigo militar telegrfico. Obtenida de la pgina web:
http://www.cix.co.uk/~klockstone/cbprop.htm.
Figura 4.2: Cifrado digrfico de Porta. Dibujo de libro de Porta: De Furtivis
Literarum. http://www.und.nodak.edu/org/crypto/crypto/graphics.html.
Figura 6.1: El telegrama Zimmermann. Procede del la pgina web del U. S. National
Archives: http://www.archives.gov/digital_classroom/lessons/zimmermann_telegram/
zimmermann_telegram.html
Figura 8.1: Criptgrafo de Wheatstone. http://www-wi.cs.uni-magdeburg.de/~pauer/
images
Figura 8.2: La rueda de Jefferson. Tomada de la pgina web del Nacional Cryptologic
Museum: http://www.nsa.gov/museum
Figura 8.3: El M-94 del ejrcito americano. El mismo origen que la Figura 8.1.
ORIGEN DE LAS FOTOGRAFAS
218
Figura 8.6: Mquina de rotores de Hebern. Obtenida en la direccin de Internet:
http://www.jura.ch/lcp/cours/dm/codage/instruments.
Figura 8.7: La mquina americana Sigaba. El mismo origen que la Figura 8.2.
Figura 8.8: Enigma A. Tomada de la direccin: http://www.usma.edu/math/pubs/
cryptologia/extras
Figura 8.10. Versiones comercial y militar de Enigma. Fotografas de la pgina web del
Deutches Museum: http://www.deutsches-museum.de/ausstell/meister/img/
Figura 8.11. Un rotor de Enigma I. http://w1tp.com/enigma
Figura 8.12. El M-209 americano. http://www.eclipse.net/~dhamer/images
219
ndice alfabtico
ABC, cifra 101
ABCD, cifra 102
Abhorchdienst 101
ADFGX, cifrado 105
Adleman, L. 204
AES 195-197
caja del 196
afn, criptosistema 116
Al-Qalqashandi 13
albam 8
Alberti, L. 36
cifrado de 36
disco de 125
alfabeto 2, 11
de cifrado 2, 11
en claro 2, 11
llano 2, 11
algoritmo 2, 11
de cifrado 2
de descifrado 2
anlisis de frecuencias 13
aritmtica multiprecisin 206
aritmtica modular 114
Army Signal Corps 132
ASCII, cdigo 185
ataque con texto pleno 12
atbash 8
autoclave 39

Babbage, C. 43
Bazeries, E. 33, 127
cilindro de 127
Belaso, G. 38
cifra de 38
Bergenroth, G. 32
Bertrand, G. 156
bfida, cifra 63
bigrama 19
Biham, E. 193
binario, sistema 184
binarios, nmeros 184
bits 184
Biuro Szyfrow 156
Blectchley Park 171
bomba de Rejewski 169, 170
bomba de Turing 173-175
bomba de Turing-Welchman 178, 179
Bureau du Chiffre 101
byte 185

C-38 142
Cabinet Noir 31
cmaras negras 31
Cardano, G. 39
cifrado de 39
certificado 212
Chase, P. 62
cifrado de 62
chiffre indchiffrable, le 35, 40
ciclmetro 165, 166
cifra de campo 56
Cifra General de Felipe II 28
cifrado en bloque 186
modo CBC 189
modo ECB 189
cifrado secuencial 186
autosincronizado 187
sincronizado 186
clases de congruencia 114
clave 2, 11
pblica 199, 200
cdigo 55
comercial 55
de dos partes 56
de trinchera 103
de una parte 56
desordenado 56
oficial 56
ordenado 56
telegrfico 55
NDICE ALFABTICO
220
Coppersmith, D. 194
crib 154
criba cuadrtica, algoritmo de la 207
criptoanlisis 5
con texto cifrado 5
con texto claro y cifrado 5
diferencial 193
lineal 193
total 5
criptoanalista 5
Criptografa 4
asimtrica 200
Moderna 183
simtrica 200
criptograma 2
criptosistema 5, 11
cuadrado latino 127
cuerpo numrico, algoritmo 207

Daemen, J. 195
Deavours, C. 138
Deciphering Branch 32
Delastelle, F. 63
cifra de 64
Denniston, A. 171
DES 190-193
Cracker 193
caja del 192
Diffie, W. 193, 200
digrafo 19
distribucin de claves 199
Doppelkstenschlssel 61
dos cuadrados, cifra de los 61

ECM Mark I, II 134
ElGamal, T. 209
criptosistema de 209
Enigma 135
A 135
Abwehr 141
B 135
C 135
D 137
D, rotores de 138
I 138
I, rotores de 141
K 147
esctalo 9
esquema de identificacin 211
estado inicial 186
esteganografa 8

Feistel, H. 190
female 167
firma digital 210
Fleissner, E. 83
Foss, H. 147
fraccionado, cifrado 63
frecuencia 13
Friedman, W. 43, 128
funcin hash 211
funcin unidireccional 200

GCCD 147
GCHQ 200
Geheime Kabinets-Kanzlei 31
Gran Cifra de Luis XIV 32
Grey, N. 97
Grundstellung 155

Habitacin 40 97
Hagelin, B. 142
Hayhanen, Reino 5
Hebern, E. 131
mquina de 132
Hellman, M. 193, 200
Hill, L. 113
criptosistema de 113, 118
homfonos 24

ndice de coincidencia 43
del espaol 44
mutua 47
intratable, problema 201
inversa de una letra 115
isomorfos, textos 149

Jefferson, T. 126
rueda de 126, 127
Jeffreys, J. 172
Julio Csar 10
sustitucin de 10

Kahn, D. 31, 131, 107
Kasiski, F. 42, 57
mtodo de 42
kautiliyam 10
Kerchoffs, A. 101
Knox, A. 147, 171
Koch, H. 135
Kruh, L. 138
Kullback, S. 133

Langer, G. 156
logaritmos discretos 208
Lucifer 190
NDICE ALFABTICO
221
M-138 128
M-209 142
M-94 128
Magdeburgo, cdigo 99
Matsui, M. 194
Merkle, R. 200
Merkle-Hellman, criptosistema de 203
mochila, criptosistema de la 202-204
mochila, problema de la 202
Montgomery, W. 97
Morse, S. 55
mladeviya 10
mltiples anagramas, mtodo de los 86
Musefili, P. 28

NBS 190
Nebel, F. 105
NIST 194
nomencltor 23, 26
NP, clase 201
NSA 190
nulos 26

opuesta de una letra 115

P, clase 201
Painvin, G. 106
palabra probable, mtodo de la 65
pin and lug 142
Playfair, L. 59
cifrado 59
doble 61
polialfabtico, cifrado 35
Polibios 9, 63, 105
cifrado de 9
polfonos 100
poligrfico, cifrado 55, 58
Pollard, J.M. 207
Pomerance, C. 207
Porta, G. 39, 58
cifra de 39
cifrado digrfico de 58
Pratt, F. 15
producto de letras 114
Purple 142

rail fence 77
reflector 136, 148
Rejewski, M. 157
bomba de 169, 170
rejilla giratoria 83
Rijmen, V. 195
Ringstellung 140, 155
Rivest, R. 204
rodding 148
Rossignol, A. 30
Rossignol, B. 32
rotor 129
rotores concatenados 131
rotores, mquina de 125, 131
Rowlet, F. 133
Rozycki, J. 157
RSA 204-208
RSA Data Security 193, 204

Scherbius, A. 135
Schmidt, H. 156
secuencia clave 186
Shamir, A. 193, 204
Sigaba 134
simetra de la posicin 51
Simonetta, C. 28
Singh, S. 16
Sinkov, A. 133
Smith, F. 55
Soro, G. 28
Spruchschlssel 156
Stator 137, 149
Steckerverbindung 139, 154
suma de letras 114
supercomputador 183
sustitucin 7
del Duque de Mantua 24
homofnica 24
cifrado por 7, 11

tabla de Trithemius 38
tabla de Vigenre 40
tablero diagonal 177
tabula recta 38
Tageschlssel 155, 156
tarjeta inteligente 212
texto 2
cifrado 2
claro 2
llano 2
tiempo polinomial 201
tomogrfico, cifrado 63
transposicin 11
cifrado por 11, 58, 77
de columnas 78
doble 80
variante francesa 102
de los nihilistas rusos 81
regular 86
periodo de una 86
NDICE ALFABTICO
222
trigrafo 19
trigrama 19
Trithemius J. 37
cifrado de 37
tabla de 38
Turing, A. 172
bomba de 173-175
Turing-Welchman, bomba de 178,179
Typex 142

BCHI, cifra 101
Uhr Box 141
Unicode 185
unidad, letra 115, 116

vector de inicializacin 189
Viaris, H. de 127
Vite, F. 30
Vigenre, B. 35, 40
cifrado de 40
tabla de 40

Wallis, J. 31
Welchman, G. 177
Wheatstone, C. 59, 125
criptgrafo de 125, 126
Wierner, M. 208
Winterbotham, F. 147

Zimmermann, A. 96
telegrama 97
Zygalski, H. 157
hoja de 168

Libro Criptografia

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Libro Criptografia

Transféré par

Droits d'auteur :

Formats disponibles

Una introduccin a la

Vous aimerez peut-être aussi