Por si a alguien le sugieren algo.

A efectos prácticos podemos considerar ambas claves de igual longitud, sólo debemos completar la más corta a "A"s (son neutras para los XOR) por la derecha hasta igualarlas. Llamemos L a esa longitud. Asi, a cada letra más allá de la posición L (pongamos A(i)) se la codificará L veces con K(j) j=1..L siendo K(j)=Kp(j) o Ki(j). Tendremos 2 elevado a L combinaciones para las K(j), cada una de las cuales se resume como un único valor con el que hacer el XOR con la A(i).

Un detalle que me llama la atención es el hecho de que se usa la paridad para determinar la clave. Que un carácter sea par implica que su dígito menos significativo sea 0, por lo que la paridad de la K(i) se mantendrá en la C(i) al hacer el XOR.

De momento sólo ideas al aire a ver si a alguien se le va ocurriendo como enlazarlas.

Pues si: mi AG ha encontrado las claves tras unas 5 horas de nada de cocción. La clave impar es EEMK y la par PEMF.

Y el texto era:

G,X_CIERTO:_ALGUIEN_SABE_COMO_EXTRAER_INFORMACION_DE_LAS_CLAVES_A_PARTIR_DE_UN_FRAGMENTO_DE_TEXTO_CONOCIDO_PORQUE_CON_ESO_YA_SE_PODRIA_ATACAR_EL_RETO,_PROBANDO_SECUENCIALMENTE_HASTA_DAR_CON_LA_POSICION_DONDE_ESTA_CIVILIZACION.CLARO_QUE_ESTAS_COSAS_LAS_HACIAN_HABITUALMENTE_LLAMAMEX_QUE_BASTANTE_TIENE

(Y no sé de que me suena...)

Para el que le interesen estas cosas, utilicé un AG canónico, empleando una función de coste sencillísima: la cuenta de letras concurrentes en la posición indicada del texto descifrado. El único problema es que la función de descifrado es bastante ineficiente y enlentece mucho el trabajo.

La única sofisticación introducida es la función de cruce: dependiendo de un valor aleatorio cruzo los valores de la clave par, de la la impar o las dos simultáneamente.

Por lo menos ha quedado comprobado que existe una pequeña convergencia entre los valores de la clave y los del texto descifrado, lo que deja claro que se puede encontrar una vía de ataque. A efectos prácticos, dudo de que pueda descifrar el reto principal, puesto que no conozco la longitud de las claves. Pero como con métodos más propios de la nigromancia que de las matemáticas he llegado a la conclusión de que las claves son de unos 10 caracteres, a lo mejor hago una prueba. Eso sí, necesitaré un PC en dedicación exclusiva y contínua un par de días, por lo menos...
Siento no poder hacer más.

No consigo nada más, y ya me duelen los ojos, a ver si Agustín es capaz de dar con dos o tres letras del comienzo del texto, con eso y el resto de las pistas quizá podamos avanzar un poco más. Es un sistema de encriptación realmente bueno, teniendo en cuenta su sencillez, me pregunto si sería eficaz en tiempos de la WW II porque es fácil de implementar con lápiz y papel.

Este ataque por fuerza bruta se basa en ciertas restricciones que han sido establecidas gracias a cierto nivel de ingeniería social y a la bondad del autor de engendro, sqrmatrix. Me refiero a la suposición, expuesta en posts anteriores, y no refutada por él, de que ni la primera letra de la clave ni la primera del texto sea ninguno de los caracteres “exóticos” del alfabeto, lo que limitaba las disponibles a 18 letras.

http://www.kriptopolis.com/comment/2221#comment-2221
http://www.kriptopolis.com/comment/2254#comment-2254

A partir de un lemario se han extraído todos los trigramas y todos los digramas iniciales de palabra, y se han usado respectivamente como clave par y como clave impar, calculando para cada combinación posible las tres primeras letras del texto plano correspondiente, obteniendo líneas con el formato:

CLAVE-PAR (tres caracteres)  CLAVE-IMPAR (hasta dos caracteres + asterisco(s))  TEXTO (tres caracteres)

al aplicar el algoritmo de sqrmatrix:

C1 C2 C3
K1 K2 K3 (primer XOR) (clave par)
P1 Px Py
-- K1 K2 (segundo XOR)
-- P2 Pz
-- -- K1  (tercer XOR)
-- -- P3
=======
P1 P2 P3

Se supone que P1 pertenecerá al conjunto de las 18 letras, según la restricción citada. La clave aplicada en el segundo paso será la clave para si P1 es par, y también se aplicará la clave par en el tercer paso si P2 es también par. En suma, en los casos en que P1 y P2 sean pares, la clave impar no se utilizará, por lo que en los resultados vendrá representada por tres asteriscos (“***”) . Esto es un grave inconveniente, porque podríamos llegar a tener los tres caracteres planos P1 P2 y P3 correctos, y las tres letras de la clave par, sin obtener ninguna pista de la clave impar. Recordemos que esta circunstancia se consideraba una grave debilidad del algoritmo.

Por el contrario, si P1 es impar, en el segundo paso se utilizarían los dos primeros caracteres de la clave impar, que se muestran en el resultado. En el caso de que P1 sea par y P2 sea impar, sólo se utilizará el primer carácter de la clave impar, que se mostrará en el resultado seguida de dos asteriscos. En ningún caso se utilizan más de dos caracteres de la clave impar.

La segunda dificultad de este ataque por fuerza bruta, es que hay múltiples combinaciones de claves distintas que devuelven el mismo trigrama en claro. Es curioso, que también aquí aparezca como problema lo que seguramente es una debilidad del algoritmo ¿o acaso no lo es?

El tercer gran problema de este ataque es que el lemario utilizado contenía multitud de palabras exóticas, plabras latinas, americanismos y anglicismos, así como siglas de uso común (DVD, FAX, TNT. etc) Traté de expurgarlo un poco, pero era una tarea muy pesada. Una vez que obtuve los trigramas iniciales se volvía menos pesada, pero al acometer la limpieza de los trigramas vi que había aumentado el riesgo de eliminar algunos que podrían corresponder a palabra válidas, aunque no se me ocurrieran en ese momento. Y consultar para cada caso el lemario era más pesado que la tarea que inicialmente rechacé.

En principio podríamos esperar una explosión combinatoria, pues hay 2299 de trigramas y 224 digramas lo que podría nos daría 51976 combinaciones. Pero al introducir la restricción de que el trigrama plano tenga sentido o, al menos, que pertenezca al conjunto de los trigramas obtenidos del lemario, (sin signos de puntuación), la cantidad se reduce a algo menos de 20000.

En suma, que tenemos un fichero de unos 300 kb con 18647 líneas formadas por el trigrama inicial de la clave par, el digrama inicial de la clave impar, y el trigrama inicial del texto plano. ¿Qué hacer?

Donde la combinatoria oscurece el problema, la lingüística podría aclararlo. Todo ese material se puede volcar sobre una hoja de cálculo, obteniendo tres columnas con los antedichos ítems. Puesto que hay gran número de repeticiones, procederemos a ordenarlos alfabéticamente por la tercera columna, la del texto plano, y empezar a analizar el resultado a la luz de las reglas del idioma.

a) Por ejemplo, todas las filas con trigramas planos bizarros, como “TNT”, “CNI”, etc se borran.

b) Una vez cribados los trigramas de la tercera columna, podemos cribar los de la clave par, usando la presunción de que sqrmatrix no ha puesto claves raras, sino que están formadas por palabras comunes, tal vez formando frases. De manera que procederemos a ordenar alfabéticamente todo el material por la primera columna, e iremos eliminado todas las filas que tengan trigramas bizarros para la clave par. Está claro que este método no valdría si se utilizaran claves aleatorias.

c) Y aún podríamos ordenar por la segunda columna y cribar el digrama de la clave par, al menos para eliminar los más bizarros, como “PS” o “PT”

d) Ahora vendría muy bien tener una estadística de los principios de párrafo o incluso princcipios de texto, en el caso de ensayo, sugerencia de Tokamak que no entendí bien en su momento, pero que ahora se me hace evidente. Desgraciadamente no disponemos de esa estadística. Podemos especular con el tipo de palabra que presumiblemente inicie un texto, que en este caso será más probablemene un ensayo que una novela, por la aparición repetida de la palabra “civilizado”. En esta tarea es más útil la lingüística que las matemáticas -al fin y al cabo, la criptografía es una materia multidisciplinar-, por ejemplo, no creemos probable que el texto empiece con un sustantivo o nombre común, de manera que todas las filas con trigramas que correspondan (de esto hay que estar más o menos seguro) a sustantivos comunes, se borran. Si tengo el trigrama “AYU” es casi seguro que correponde a “AYUNTAMIENTO”, "AYUDA" o “AYUNAS” o cualquier forma de los verbos "AYUDAR" o “AYUNAR” Y es muy raro que un artículo -que seguramente es un ensayo- empiece con una palabra de esa especie. Cuidado: un gerundio sí que podría ser palabra inicial, pero con tres letras no podemos siquiera vislumbrarlo. En resumen, que se pueden borrar todos los trigramas que presumiblemente no formarían parte del inicio del texto del artículo o ensayo cifrado, con los riesgos que estas decisiones puedan conllevar.

Otra cosa sería si el trigrama correspondiera a un nombre propio. En el caso de ”EUR” no lo borraríamos, porque sí parece posible que un ensayo empiece por algo como “EUROPA ES EL RESULTADO DE UNA MEZCLA DE...”. Pero no parece verosímil que el artículo empiece por un nombre de persona, ni por un pronombre, salvo que se trate de una novela o de un cuento. De manera que los resultados como “GUZ” se borrarán, porque no parece probable que el texto empiece por “GUZMAN EL BUENO” o “GUZMAN DE ALFARACHE”, aunque nunca se sabe.

Se prestarán especial atención a los trigramas planos que parezcan sugerir artículos , como “EL_” “LA_”, “LOS”, preposiciones como “DES” (“desde”) o adverbios, aunque quién diablos puede saber con sólo tres letras, si lo que viene es una cosa u otra.

La idea es que después de estas cribas nos quede un conjunto relativamente reducido de filas con claves y texto plano verosímiles. Entonces, yendo a la implementación de que dispongamos, por ejemplo la que nos ofrece krenel00, podríamos probar esos principios de clave, a ver si completándolos aparece algo aceptable como resultado.

O sea, un ataque patatero, por no decir cutre y miserable. Pero no siempre el criptoanálisis es tan brillante como los trabajos a los que sqrmatrix o mellon, entre otros, nos tienen acostumbrados. Cuanto más fuerte es el cifrado más feo se vuelve el análisis. No sé si este cifrado es especialmente fuerte desde un punto de vista objetivo, pero para mis humildes fuerzas sí que lo es.

Me pongo a la faena de desbrozar este patatal; pero por si a alguien le interesa, pongo a vuestra disposición el material, formado por el fichero texto original y varias hojas de cálculo con diferentes niveles de cribado en la carpeta compartida: https://www.dropbox.com/sh/dt4n6gr5osee06a/bMLiQKUpoG (ya me diréis si funciona)

Debo reconocer, ahora que lo he terminado, que el ataque a las tres primeras letras es, seguramente, un fracaso, ya que no sabemos si el texto empieza por el título del ensayo, por la introducción, o por el contenido del propio ensayo, y la sintaxis estilística de cada cosa es distinta. Por otra parte, este cifrado, quizá por la multiplicidad de XOR, tiene algo de camaleónico, apareciendo falsos positivos por todas partes, como pude comprobar en mis propias carnes cuando con claves legibles encontré un texto legible... y falso. Por eso, aun descartando muchas más entradas que siguen siendo bizarras, nos encontraremos con decenas de trigramas de texto verosímiles, asociados a iniciales de claves también aceptables. Habrá que ir a las implementaciones e ir probando. Quizá tres letras sea demasiado poco texto para extraer conclusiones, pero ir a por más está fuera de mis posibilidades de cómputo.

P.S.
Una pregunta para Tokamak: ¿Cómo podías saber con seguridad que está presente la cadena de caracteres "EL_MUNDO_CIVILIZADO"? Y ¿no sabías su posición en el texto? Expica, explica.

Siguiendo el camino de Agustín y partiendo de la base de que la parte más débil del cifrado es el inicio, se me ocurre un método de ataque que nos permita avanzar en la obtención de las claves.

Una debilidad que le veo y que comentaba antes es que el texto está alineado con las claves. Los primeros caracteres del cifrado son afectados sólo por los primeros caracteres de las claves. Si nos fijamos, inicialmente en el primer trigrama, como proponía Agustín, tenemos qué, para garantizar un mínmo de un trigrama en cada clave necesitamos 4 carácteres cifrados. Tendremos que estudiar pues las siguientes 8 posibles aplicaciones de clave (siendo KPi en carácter i de la clave par y KIi el caracter i de la impar; Ai es el carácter i del texto claro y Ci el del cifrado)

..................C0....C1........C2............C3.............
Par Par Par Par : KP0 - KP1^KP0 - KP2^KP1^KP0 - KP3^KP2^KP1^KP0 
Par Par Par Imp : KP0 - KP1^KP0 - KP2^KP1^KP0 - KP3^KP2^KP1^KI0 
Par Par Imp Par : KP0 - KP1^KP0 - KP2^KP1^KI0 - KP3^KP2^KI1^KP0 
Par Par Imp Imp : KP0 - KP1^KP0 - KP2^KP1^KI0 - KP3^KP2^KI1^KI0 
Par Imp Par Par : KP0 - KP1^KI0 - KP2^KI1^KP0 - KP3^KI2^KP1^KP0 
Par Imp Par Imp : KP0 - KP1^KI0 - KP2^KI1^KI0 - KP3^KI2^KI1^KI0 
Par Imp Imp Par : KP0 - KP1^KI0 - KP2^KI1^KP0 - KP3^KI2^KP1^KP0 
Par Imp Imp Imp : KP0 - KP1^KI0 - KP2^KI1^KI0 - KP3^KI2^KI1^KP0

Que asumiendo claves en texto claro implica los siguientes trigramas

KP0-KP1-KP2, KP1-KP2-KP3, KI0-KI1-KI2, A0-A1-A2, A1-A2-A3

Donde Ai=Ci^Ki, Siendo Ki el resultado de una las 8 combinaciones anteriores para la posición i.

Entonces la idea será la siguiente. Prefijamos A0 con uno de los 28 valores posibles (salvando los carácteres por los que no puede empezar una palabra "_", ".", ",", ";"), cosa que nos proporciona KP0 y nos determina si C1 ha sido calculado con KP0 o KI0. Limitamos la tabla de trigramas de inicio a los que empiezan por A0 por una parte y por otra a los que empiezan por KP0. En el caso de que C1 haya sido obtenido con KP0 buscamos en las tablas de trigramas un A1 admisible (que exista un A2 tal que A0-A1-A2 tenga una frecuencia aceptable -podemos crear una tabla intermedia para agilizar esta comprobación- y que genere un KP1 asimismo admisible). Llamando N1<=32 al número de A1 aceptables llevaríamos 28xN1 casos

Si C1 hubiera sido generado con KI0 tendríamos dos incógnitas para obtener: la A1 (o KP1) y KI0. Eso nos generará bastantes más cáculos puesto que nos obligará a probar todos los valores posibles de KI0 (igual que A0). Aunque es un resultado desfavorable tampoco nos ha de generar demasiada carga de momento. Llevaríamos 28x28xN1 casos para la búsqueda de un A1 admisible.

Nótese que en cualquier caso (C1 calculado con KP0 o KI0) obtenemos también KP1.

Ahora, para cada A1 que comprobemos (que nos dira si C2 ha sido obtenido de KP0 o KI0) deberemos buscar un A2 admisible según el mismo criterio. El caso más favorable será también ahora que C2 provenga de KP0 puesto que reducimos opciones. Igual que en el caso anterior, venga C2 de donde venga obtendremos valores para KP2 y tendremos 2 trigramas enteros que deberán cumplirse simultáneamente A0-A1-A2 y KP0-KP1-KP2. En el caso desfavorable tendremos dos posibilidades. Si C1 vino de KP0 no tendremos más remedio que probar los 28 casos para KI0 ya que no tendremos datos sobre su valor. Si provino de KI0 entonces ya estamos probando un valor para él y deberemos buscar un KI1 capaz de formar un trigrama válido KI0-KI1-KI2 en la tabla.

Tanto para tener más datos de la clave par (2 trigramas: KP0-KP1-KP2 y KP1-KP2-KP3) como para poder disponer de un trigrama entero de la impar (KI0-KI1-KI2) en el caso de que C1 provenga de KI0 será interesante extender el análisis como mínimo al cuarto carácter. Seguramente obtendremos muchos candidatos válidos que nos obligarán a extender aún más el análisis, pero de momento podemos ver que tal se comporta el filtro por trigramas.

Esta aproximación es muy parecida a la de Agustín. La principal diferencia introducida es el uso de la frecuencia de los trigramas en el análisis como criterio de filtro.

Dándole vueltas al tema, los cifrados con XOR son sensibles al ataque con texto probable, puesto que aplicando ese texto contra el cifrado obtenemos el resultado de la función de cifra. Así pues si asumimos que "MUNDO_CIVILIZADO" (longitud 16) aparece en el texto claro en alguna posición podemos xorear posición a posición el cifrado y cuando acertemos en la posición obtener los resultados de las KPi y las KIi que se han aplicado. Además, como sabemos los repartos de PAR/IMPAR que corresponden a ese texto claro podemos saber, para una longitud dada, que componentes de cada clave se han usado en cada carácter.

Imaginemos claves de longitud 10 (cuanto más texto probable en exceso de la longitud de clave tengamos mejor). Si alguna es más corta la completamos por la derecha con "A"s que serán neutras para el XOR.

0....:....1....:....2....:....3.
ABCDEFGHIJKLMNÑOPQRSTUVWXYZ_.,:;
0....:....1....:
MUNDO_CIVILIZADO
.PPPPPPPPPP        M=12
..IIIIIIIIII       U=21
...IIIIIIIIII      N=13
....IIIIIIIIII     D=03
.....IIIIIIIIII    O=15
......IIIIIIIIII   _=17
.......PPPPPPPPP   C=02
........PPPPPPPP   I=08
.........PPPPPPP   V=22
..........PPPPPP   I=08
...........IIIII   L=11
............PPPP   I=08
.............PPP   Z=26
..............PP   A=00
...............I   D=03

Asi a la "L" de la posición 10 se le aplicaría primero KP9 por la M (valor 12), luego KI8 por la U (valor 21), etc. Acabaríamos montando un sistema de 6 ecuaciones XOR cuyo resultado lo igualaríamos al resultado del XOR del string "LIZADO" con un substring de 6 posiciones del texto cifrado. Formalmente sería

C(i)^11   = KP9^KI8^KI7^KI6^KI5^KI4^KP3^KP2^KP1^KP0
C(i+1)^08 = KI9^KI8^KI7^KI6^KI5^KP4^KP3^KP2^KP1^KI0
C(i+2)^26 = KI9^KI8^KI7^KI6^KP5^KP4^KP3^KP2^KI1^KP0
C(i+3)^00 = KI9^KI8^KI7^KP6^KP5^KP4^KP3^KI2^KP1^KP0
C(i+4)^03 = KI9^KI8^KP7^KP6^KP5^KP4^KI3^KP2^KP1^KP0
C(i+5)^15 = KI9^KP8^KP7^KP6^KP5^KI4^KP3^KP2^KP1^KI0

Se pueden hacer XORs por parejas para simplificar algunas expresiones, por ejemplo:

C(i)^11^C(i+1)^8=KP9^KI9^KII4^KP4^KI0^KP0

Creo que de aquí se puede sacar un buen ataque aunque como ya digo hace falta un pedazo interesante de texto probable.

Asumiendo la presencia del texto "_UN_MUNDO_CIVILIZADO", si no me he equivocado en algún paso (posible, ya que las expresiones se parecen todas) he encontrado un criterio para ubicar ese texto en el cifrado. Llamemos C0 a la posición de la "U" a localizar en el cifrado (segundo carácter del string, puesto que el primero "_" lo necesitamos para establecer la paridad) y que en el post anterior denotaba por C(i) o C(i+0) pero así queda más manejable. Con el texto ya más largo tenemos:

0....:....1....:....2....:....3.
ABCDEFGHIJKLMNÑOPQRSTUVWXYZ_.,:;
0....:....1....:....
_UN_MUNDO_CIVILIZADO
.IIIIIIIIII            _=17   
..IIIIIIIIII           U=21
...IIIIIIIIII          N=13
....IIIIIIIIII         _=17
.....PPPPPPPPPP        M=12
......IIIIIIIIII       U=21
.......IIIIIIIIII      N=13
........IIIIIIIIII     D=03
.........IIIIIIIIII    O=15
..........IIIIIIIIII   _=17
...........PPPPPPPPP   C=02
............PPPPPPPP   I=08
.............PPPPPPP   V=22
..............PPPPPP   I=08
...............IIIII   L=11
................PPPP   I=08
.................PPP   Z=26
..................PP   A=00
...................I   D=03

Que genera las ecuaciones

C(i+0)^02 = KI9^KI8^KI7^KI6^KP5^KI4^KI3^KI2^KI1^KI0
C(i+1)^08 = KI9^KI8^KI7^KP6^KI5^KI4^KI3^KI2^KI1^KP0
C(i+2)^22 = KI9^KI8^KP7^KI6^KI5^KI4^KI3^KI2^KP1^KP0
C(i+3)^08 = KI9^KP8^KI7^KI6^KI5^KI4^KI3^KP2^KP1^KP0
C(i+4)^11 = KP9^KI8^KI7^KI6^KI5^KI4^KP3^KP2^KP1^KP0
C(i+5)^08 = KI9^KI8^KI7^KI6^KI5^KP4^KP3^KP2^KP1^KI0
C(i+6)^26 = KI9^KI8^KI7^KI6^KP5^KP4^KP3^KP2^KI1^KP0
C(i+7)^00 = KI9^KI8^KI7^KP6^KP5^KP4^KP3^KI2^KP1^KP0
C(i+8)^03 = KI9^KI8^KP7^KP6^KP5^KP4^KI3^KP2^KP1^KP0
C(i+9)^15 = KI9^KP8^KP7^KP6^KP5^KI4^KP3^KP2^KP1^KI0

O con la nueva simbología

C0^02 = KI9^KI8^KI7^KI6^KP5^KI4^KI3^KI2^KI1^KI0
C1^08 = KI9^KI8^KI7^KP6^KI5^KI4^KI3^KI2^KI1^KP0
C2^22 = KI9^KI8^KP7^KI6^KI5^KI4^KI3^KI2^KP1^KP0
C3^08 = KI9^KP8^KI7^KI6^KI5^KI4^KI3^KP2^KP1^KP0
C4^11 = KP9^KI8^KI7^KI6^KI5^KI4^KP3^KP2^KP1^KP0
C5^08 = KI9^KI8^KI7^KI6^KI5^KP4^KP3^KP2^KP1^KI0
C6^26 = KI9^KI8^KI7^KI6^KP5^KP4^KP3^KP2^KI1^KP0
C7^00 = KI9^KI8^KI7^KP6^KP5^KP4^KP3^KI2^KP1^KP0
C8^03 = KI9^KI8^KP7^KP6^KP5^KP4^KI3^KP2^KP1^KP0
C9^15 = KI9^KP8^KP7^KP6^KP5^KI4^KP3^KP2^KP1^KI0

xoreando por parejas tenemos que se simplifican muchos terminos

C0^02^C1^08=KI6^KP6^KI5^KP5^KI0^KP0         (056)
C1^08^C2^22=KI7^KP7^KI6^KP6^KI1^KP1         (167)
C2^22^C3^08=KI8^KP8^KI7^KP7^KI2^KP2         (278)
C3^08^C4^11=KI9^KP9^KI8^KP8^KI3^KP3         (389)
C4^11^C5^08=KI9^KP9^KI4^KP4^KI0^KP0         (049)
C5^08^C6^26=KI5^KP5^KI1^KP1^KI0^KP0         (015)
C6^26^C7^00=KI6^KP6^KI2^KP2^KI1^KP1         (126)
C7^00^C8^03=KI7^KP7^KI3^KP3^KI2^KP2         (237)
C8^03^C9^15=KI8^KP8^KI4^KP4^KI3^KP3^KI0^KP0 (0348)

En este punto recordamos que las Ci serán conocidas con lo que las expresiones del tipo C0^02^C1^08 serán constantes. Para simplificar las expresiones llamo Hi a esas constantes. Escogiendo algunos pares de las nuevas expresiones y haciendo XOR entre ellas obtenemos.

 
H0=C0^02^C1^08^C5^08^C6^26=KI6^KP6^KI1^KP1 => KI1^KP1=H0^KI6^KP6
H1=C6^26^C7^00^C1^08^C2^22=KI7^KP7^KI2^KP2 => KI2^KP2=H1^KI7^KP7
H2=C2^22^C3^08^C7^00^C8^03=KI8^KP8^KI3^KP3 => KI3^KP3=H2^KI8^KP8
H3=C8^03^C9^15=H2^KI4^KP4^KI0^KP0          => KI0^KP0=H2^H3^KI4^KP4

Que volviendo a las no usadas nos da:

H4=C1^08^C2^22=KI7^KP7^H0
H5=C2^22^C3^08=KI8^KP8^H1
H6=C3^08^C4^11=KI9^KP9^H2
H7=C4^11^C5^08=KI9^KP9^H2^H3

Así pues

H6^H7=H3
C3^08^C4^11^C4^11^C5^08=C8^03^C9^15 => C3^C5^C8^C9=03^15=12

Con lo cual debemos encontrar un lugar donde se cumpla esa condición, siempre asumiendo que ninguna de las claves tiene más de 10 posiciones. También será lógico suponer que habrán bastantes falsos positivos, al fin y al cabo sólo hay 32 valores posibles para cada Ci por lo que por simple estadística encontraremos muchas combinaciones cuyo xor sea 12, con lo que serán necesarios nuevos refinamientos. También es posible que se me haya colado algún gazapo aunque lo he revisado ya que hay bastantes terminos y los carácteres acaban bailando por la pantalla.