Kap. 9 Codes und Chiffriermaschinen
Kap. 9 Codes und Chiffriermaschinen
Kap. 9 Codes und Chiffriermaschinen
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
9 <strong>Codes</strong> <strong>und</strong> <strong>Chiffriermaschinen</strong><br />
___________________________________________________________________________<br />
<strong>Kap</strong>. 9 <strong>Codes</strong> <strong>und</strong> <strong>Chiffriermaschinen</strong><br />
9.1 Historische Gr<strong>und</strong>lagen<br />
Schon in der Antike waren die Menschen daran interessiert, Nachrichten geheim zu<br />
übermitteln <strong>und</strong> so sind Anfänge von Kryptographie bereits in Jahrh<strong>und</strong>erten vor Christi zu<br />
finden. Der Begriff Kryptologie stammt aus dem Griechischen <strong>und</strong> setzt sich aus den Wörtern<br />
„kryptós“ („geheim“, „Verborgen“) <strong>und</strong> „logós“ („Wort“) oder „ology“ („Wissenschaft“)<br />
zusammen. Inhaltlich umfasst die Kryptologie die Kryptographie <strong>und</strong> die Kryptoanalyse,<br />
welche sich verständlicher Weise parallel entwickelten.<br />
Unter der Kryptographie versteht man die Entwicklung von Methoden <strong>und</strong> Algorithmen<br />
zur Verschlüsselung von Informationen. Als Wissenschaft befasst sie sich mit der<br />
Entwicklung von Kryptosystemen bzw. den Verfahren zur Codierung von Daten <strong>und</strong> den<br />
damit verb<strong>und</strong>enem befugtem Entschlüsseln der selbigen. Die Codierung, die<br />
Verschlüsselung von Texten, wird als Chiffrierung oder als Konzelation bezeichnet. Es geht<br />
dabei also um die Überführung eines Klartextes in einen Geheimtext. Um dies zu erreichen<br />
werden einzelne Zeichen, Symbole, Buchstaben oder komplette Abschnitte des Klartextes<br />
durch andere ersetzt (Substitution) bzw. ihre Stellung zueinander wird umgestellt<br />
(Transposition).<br />
Die Kryptoanalyse stellt das Gegenstück zur Kryptographie dar. Sie behandelt das<br />
Entschlüsseln von Geheimschriften, -sprachen <strong>und</strong> <strong>Codes</strong>, speziell im Sinne der Feststellung<br />
der kryptografischen Stärke eines Verfahrens.<br />
Wo die eigentlichen Anfänge dieser Wissenschaft<br />
liegen, ist in der Geschichte der Kryptologie längst<br />
verloren gegangen. Darf man jedoch den Historikern<br />
Glauben schenken, so gab es die ersten<br />
protokryptischen Praktiken schon vor 4000 Jahren im<br />
alten Ägypten, als die Schreiber der damaligen Zeit den<br />
Standardhieroglyphen auf Monumenten, Gräbern <strong>und</strong><br />
Bauwerken besondere Bedeutungen gaben <strong>und</strong> diese<br />
Praktiken dann bei der Transkription religiöser Texte<br />
übernommen wurde, um den Bürgern die Herrscher des<br />
Landes noch mächtiger<strong>und</strong> geheimnisvolle r erscheinen<br />
zu lassen.<br />
Abb. 9.1: Ägyptische Hieroglyphen<br />
Auf eindeutigere Beispiele stößt man in den Gebieten von Mesopotamien. Hier fand man<br />
aus einer Zeit von 1500 v. Chr. eine Tabelle, welche in Keilschrift verfasst wurde, auf der<br />
eine Formel für eine Tonglasur gehütet wurde. Die Anordnung der Bestandteile wurde zum<br />
Schutz vor Raub <strong>und</strong> Missbrauch absichtlich durcheinander gebracht, quasi verschlüsselt.<br />
Seit ungefähr 500 v. Chr. wurden auch in Indien Geheimschriften verwendet. Zu den<br />
Methoden gehörten phonetische Substitutionen, bei denen die Stellung der Vokale <strong>und</strong><br />
Konsonanten vertauscht wurden. Gemäß dem Kamasutra, dem klassischen Erotik-Lehrbuch<br />
Abgeschlossen 1
9 <strong>Codes</strong> <strong>und</strong> <strong>Chiffriermaschinen</strong><br />
___________________________________________________________________________<br />
des Vatsyana, gehörten Kenntnisse in Geheimschriften zu den 60 Fähigkeiten, die eine Frau<br />
beherrschen sollte.<br />
Arabische Mathematiker entwickelten schon im 1. Jahrtausend unserer Zeitrechnung<br />
Techniken zur Entschlüsselung, die auf der Buchstabenhäufigkeitsanalyse beruhten. Das Wort<br />
„Chiffre“ stammt vom arabischen Wort sifr ab, welches soviel wie „nichts“ bedeutet. Das<br />
Wort „Code“ entstammt dem lateinisch/französischen Wort codex , was „gespaltenes Holz“<br />
oder „Schreibtafel“ bedeutet.<br />
9.2 Chiffren <strong>und</strong> <strong>Codes</strong><br />
Den Zeichenvorrat A, mit dessen Hilfe der originale Klartext formuliert wird, nennt man<br />
Klartextvokabular; den Zeichenvorrat B, mit dessen Hilfe der Geheimtext formuliert wird,<br />
nennt man Geheimtextvokabular oder auch Code bzw. Chiffre. A <strong>und</strong> B können verschieden<br />
sein, aber auch identisch sein. Den Verschlüsselungsvorgang nennt man Chiffrierung oder<br />
Codierung.<br />
Schlüssel dienen sowohl der Bildung einzelner Chiffrierschritte als auch der Auswahl der<br />
Chiffrierschritte aus einem Chiffriersystem. Sie erlauben es, die Art der Chiffrierung zu<br />
ändern, z.B. in Abhängigkeit vom Datum. Sei z.B. für einen bestimmten Tag das<br />
Schlüsselwort „Handy“ vereinbart. Im Klartextalphabet liegen die Buchstaben „h“ <strong>und</strong> „y“<br />
13 Stellen auseinander. Dieses führt zu einer Verschiebung um je 13 Buchstaben. So wird aus<br />
dem Wort „Nachricht“ im Klartextalphabet, das Wort „Ertyiztyk“ im Geheimtextalphabet.<br />
Klartextalphabet<br />
A B C D E F G H I J K L M N O P Q R S T U V W X Y Z<br />
R S T U V W X Y Z A B C D E F G H I J K L M N O P Q<br />
Geheimtextalphabet<br />
Allerdings ist die Begriffsbildung nicht einheitlich. Mache Autoren unterscheiden<br />
zwischen Code <strong>und</strong> Chiffre. Sie sprechen von Chiffren, wenn einzelne Buchstaben oder<br />
Buchstabenpaare durch Transposition oder Substitution ersetzt werden, wohingegen bei<br />
einem Code ein ganzes Wort durch ein anderes Wort oder Zahl ersetzt wird.<br />
Je nach der ihnen zu Gr<strong>und</strong>e liegenden Technik lassen sich die einzelnen Chiffren in<br />
verschiedene Klassen zusammenfassen.<br />
9.2.1 Transpositions–Chiffren<br />
Bei der Transposition (Umstellung) handelt es sich um eine Verschlüsselungsmethode, bei der<br />
die Buchstaben des Quelltextes durch Umstellung (Transposition) chiffriert werden, d.h. man<br />
tauscht die einzelnen Elemente der Nachricht untereinander um, ohne dass einzelne<br />
Buchstaben eines Wortes durch andere Buchstaben, Symbole oder Zahlen ersetzt werden. Die<br />
Länge der chiffrierten Nachricht entspricht somit der Länge des Quelltextes.<br />
Eine Möglichkeit der Transpositionschiffren ist die Nachricht ohne Worttrennungen in<br />
Buchstabenreihen zu schreiben, die in einem rechteckigen Block angeordnet sind. Dann stellt<br />
Abgeschlossen 2
9 <strong>Codes</strong> <strong>und</strong> <strong>Chiffriermaschinen</strong><br />
___________________________________________________________________________<br />
man die Buchstaben in einer vorher festgelegten Art <strong>und</strong> Weise um, z. B. in waagerechten<br />
Zeilen, in Diagonalen oder Spiralen, oder nach komplizierteren Systemen. Die Anordnung der<br />
Buchstaben in der chiffrierten Mitteilung hängt von der Größe des Blockes <strong>und</strong> von der<br />
gewählten Schreib- <strong>und</strong> Umstellmethode ab. Um eine Chiffre noch sicherer zu machen, kann<br />
ein Schlüsselwort oder eine Schlüsselzahl verwendet werden.<br />
Solche Transpositionchiffren lassen sich auch ohne Schlüssel von Kryptoanalytiker gut<br />
entschlüsseln, indem sie die einzelnen Elemente in verschiedenen geometrischen Formen<br />
anordnen <strong>und</strong> gleichzeitig Anagramme möglicher Wörter lösen, bis sie die Chiffriermethode<br />
herausgef<strong>und</strong>en haben. Insbesondere bei kurzen Nachrichten sind mit modernen Rechnern<br />
alle Variationen in kurzer Zeit überprüfbar. Die Sicherheit solcher Chiffrierungen ergibt sich<br />
also nicht aus der Methodik sondern aus der großen Menge möglicher Permutationen der<br />
Nachricht. Daher verwendet man diese Verschlüsselungsmethode nur bei Botschaften<br />
niedriger Sicherheitsstufe. Häufig verwendete Transpositionschiffren sind geometrische<br />
Chiffren <strong>und</strong> rückläufige Transposition.<br />
Geometrische Chiffren<br />
Z E E T<br />
W Z G R<br />
E I R A<br />
I E I U<br />
K L T L<br />
L E Ä I<br />
A S T C<br />
S I U H<br />
S N N K<br />
I D D E<br />
S I V I<br />
C N E T<br />
H T R<br />
Abb. 9.2 Beispiel einer<br />
Rechteck-Verschlüsselung<br />
Bei den geometrischen Chiffren handelt es sich um<br />
Transpositions-Chiffren, deren Klartextinhalt mittels<br />
geometrischer Formen chiffriert wird. Verschiedene<br />
Buchstabenfolgen ergeben sich durch bestimmte Richtungen<br />
bzw. Richtungswechsel. Als Illustration sei der Klartext<br />
„Zwei klassische Ziele sind Integrität <strong>und</strong><br />
Vertraulichkeit“<br />
betrachtet.<br />
Die Umstellung in Form eines Rechtecks ergibt die Abb. 9.2.<br />
Das resultierende Kryptogramm ergibt sich z.B. aus den<br />
horizontalen Buchstabenreihen:<br />
„zeet wzgr eira ieiu kltl leäi astc siuh snnk idde sivi<br />
cnet htr“<br />
Angeordnet in Fünfer-Gruppen ergibt sich die Geheimbotschaft:<br />
„zeetw zgrei raiei ukltl leäia stcsi uhsnn kidde sivic nethtr“<br />
Rückläufige Transposition<br />
Die rückläufige Transposition stellt ein gr<strong>und</strong>legendes einfaches Modell dar <strong>und</strong> befasst sich<br />
mit der rückläufigen Schreibung des Klartextes.<br />
Als Beispiel sei die Aussage<br />
„Kryptographische Methoden verwirklichen verschiedene Aspekte der Datensicherheit“<br />
betrachtet.<br />
Daraus wird der Geheimtext:<br />
„tiehrehcisnetadredetkepsaenedeihcsrevnehcilkriwrevnedohtemehcsihpargotpyrk“<br />
Teilt man den Geheimtext in Fünfergruppen, erhält man das Kryptogramm:<br />
„tiehr ehcis netad redet kepsa enede ihcsr evneh cilkr iwrev nedoh temeh csihp argot pyrk“<br />
Eine andere Variante wäre, die Wörter des Klartextes einzeln rückläufig zu übermitteln:<br />
Abgeschlossen 3
9 <strong>Codes</strong> <strong>und</strong> <strong>Chiffriermaschinen</strong><br />
___________________________________________________________________________<br />
„ehcsihpargotpyrk nedohtem nehcilkriwrev enedeihcsrev etkepsa red tiehrehcisnetad“<br />
Geschrieben in fünfbuchstabigen Gruppen ergibt sich dann folgendes Kryptogramm:<br />
„ehcsi hparg otpyr knedo htemn ehcil kriwr evene deihc sreve tkeps aredt iehre hcisn etad“<br />
9.2.2 Substitutions–Chiffren<br />
Bei der Substitution werden nicht die Buchstaben innerhalb des Klartextes umgestellt,<br />
sondern durch andere Buchstaben, Ziffern oder Symbole ersetzt. So könnte man den Klartext<br />
„Digitaler Fingerabdruck“ durch Nummerierung seiner Buchstaben innerhalb des<br />
Klartextalphabets ersetzen: 4-9-7-9-20-1-12-5-18 6-9-14-7-5-18-1-2-4-18-21-3-11 oder man<br />
verschiebt die Buchstaben um eine Stelle im Alphabet weiter: Ejhjubmfs Gjohfsbcesvkl.<br />
In der Praxis werden zur Erhöhung der Sicherheit oft Substitutionen mit Transpositionen<br />
verb<strong>und</strong>en. So werden die Buchstaben der Botschaft nicht nur vertauscht, sondern auch<br />
umgestellt, wodurch sich die Anzahl der möglichen Permutationen um ein vielfaches steigern<br />
lässt.<br />
Auch bei den Substitutions-Chiffren existieren verschiedene Varianten:<br />
Monoalphabetische Substitutionen<br />
Monoalphabetische Substitutions-Chiffren bezeichnet eine Form der Textverschlüsselung, bei<br />
dem nur ein Geheimtextalphabet genutzt wird um die Buchstaben <strong>und</strong> Zeichen des Klartextes<br />
zu chiffrieren. Das Monoalphabet kann auch aus Symbolen oder Zahlen bestehen.<br />
Eine einfache Form von monoalphabetischenn Substitutionen stellen die Verschiebungs-<br />
Chiffren dar. Das Prinzip ist, das Geheimtextalphabet um eine festgelegte Anzahl von Stellen<br />
gegenüber dem Klartextalphabet zu verschieben. Eine der frühesten <strong>und</strong> zugleich<br />
berühmtesten Verschiebungs-Chiffren war die Caesar-Verschiebung. Obwohl der<br />
Geschichtsschreiber Sueton (2. Jhd. n.Chr.) nur von einer Verschiebung um drei Stellen<br />
spricht, sind Verschiebungen zwischen einer <strong>und</strong> 25 Stellen möglich.<br />
Klartextalphabet<br />
a b c d e f g h i j k l m n o p q r s t u v w x y z<br />
d e f g h i j k l m n o p q r s t u v w x y z a b c<br />
Geheimtextalphabet mittels Caesar-Verschiebung<br />
Abb. 9.3 Caesar-Verschlüsselung<br />
Betrachtet man den Klartext<br />
Veni, Vidi, Vici<br />
So erhält man mit der Caesar-Verschiebung<br />
Yhql, Ylgl, Ylfl<br />
Von Caesar ist auch bekannt, dass er militärische Nachrichten im Gallischen Krieg<br />
folgendermaßen verschlüsselte: Er ersetzte die Buchstaben des römischen Alphabetes einfach<br />
durch die des griechischen Alphabetes, um sie für den Feind unleserlich zu machen. Hierbei<br />
handelte es sich also auch um ein monoalphabetisches Substitutionsverfahren.<br />
Alphanumerische Chiffren bezeichnen Substitutions-Chiffren, welche Ziffern statt Buchstaben<br />
verwenden. So könnte ein Geheimalphabet folgendermaßen aussehen:<br />
Abgeschlossen 4
9 <strong>Codes</strong> <strong>und</strong> <strong>Chiffriermaschinen</strong><br />
___________________________________________________________________________<br />
a b c d e f g h i j k l m<br />
26 25 24 23 22 21 20 19 18 17 16 15 14<br />
n o p q r s t u v w x y z<br />
13 12 11 10 9 8 7 6 5 4 3 2 1<br />
Kennzeichen multiliteraler Formen sind typische Buchstaben- oder Zahlenpaare, die in<br />
den bisher dargestellten monoalphabetischen Substitutionen nicht vorkommen, das bedeutet,<br />
dass die Geheimtextentsprechungen jeweils aus einem oder mehreren Buchstaben bestehen.<br />
Als praktisches Beispiel ist das „Schachbrett des Polybius“ (Griechischer<br />
Geschichtsschreiber <strong>und</strong> Kryptograph aus dem 2. Jahrh. n. Chr.)bekannt:<br />
1 2 3 4 5 A B C D E<br />
1 a b c d e A a b c d e<br />
2 f g h i/j k B f g h i/j k<br />
3 l m n o p C l m n o p<br />
4 q r s t u D q r s t u<br />
5 v w x y z E v w x y z<br />
Vergleichbar mit einem zweidimensionalen Koordinatensystem kann man jeden<br />
Buchstaben unseres Alphabets mittels Koordinaten (Zeilen- <strong>und</strong> Reihenangaben) genau<br />
bestimmen. So ergibt sich unter Gleichsetzung von i <strong>und</strong> j ein Quadrat mit fünf Zeilen <strong>und</strong><br />
fünf Spalten.<br />
So steht z.B. der Buchstabe „r“ des Wortes „Signatur“ in der 4. Reihe <strong>und</strong> der 2. Spalte<br />
(bzw. Reihe D / Spalte B). Es ergibt sich das Äquivalent 42 (bzw. DB) zum Klartext.<br />
Schlüsselt man alle Teile der Nachricht weiter auf, erhält man für dieses Beispiel folgende<br />
Tafel des Polybios:<br />
Aus dem Wort „Signatur“ wird:<br />
Buchstabe: Reihe: Spalte: Geheimtext:<br />
S 4 / D 3 / C 43 / DC<br />
I 2 / B 3 / D 23 / BD<br />
G 2 / B 2 / B 22 / BB<br />
N 3 / C 3 / C 33 / CC<br />
A 1 / A 1 / A 11 / AA<br />
T 4 / D 4 / D 44 / DD<br />
U 4 / D 5 / E 45 / DE<br />
R 4 / D 2 / B 42 / DB<br />
43 23 22 33 11 44 45 42 bzw. DC BD BB CC AA DD DE DB<br />
Polyalphabetische Substitutionen<br />
Im Gegensatz zur monoalphabetischen Substitution benutzt die Polyalphabetische nicht nur<br />
ein Geheimalphabet sondern mehrere. So hat die Substitution mehrere Verschlüsselungsebenen,<br />
auf denen die Chiffrierung stattfinden kann, zur Verfügung.<br />
Einige Verfahren wechseln zwischen der Verschlüsselung die Alphabete, so dass neue<br />
Alphabete <strong>und</strong> somit ein polyalphabetisches Verfahren entsteht. „Bei dieser Art der<br />
Substitution werden die ursprünglichen Buchstaben nach verschiedenen<br />
Abgeschlossen 5
9 <strong>Codes</strong> <strong>und</strong> <strong>Chiffriermaschinen</strong><br />
___________________________________________________________________________<br />
Geheimtextalphabeten angeordnet. Mit Hilfe von Tabellen (Tafeln), Chiffrierscheiben oder<br />
Schablonen zur Buchstabengenerierung werden Paare gebildet. Bei solchen Systemen sind<br />
zwei oder mehr Symbole, Ziffern oder Buchstaben die chiffrierten Äquivalente.“<br />
9.3 Kryptoanalyse<br />
9.3.1 Häufigkeitsanalyse<br />
Die Kryptoanalyse im Sinne einer wissenschaftlichen Methodik zur Entschlüsselung von<br />
chiffrierten Texten geht auf den Islam zurück. In Bagdad, Basra <strong>und</strong> Kufa entstanden<br />
bedeutende theologische Schulen. Eine wichtige Aufgabe bestand in der Analyse der auf<br />
Mohammed zurückgehenden Schriften. Insbesondere wollte man feststellen, ob sie spätere<br />
Ergänzungen <strong>und</strong> Veränderungen enthielten. Hierzu zählten sie die Häufigkeit einzelner<br />
Wörter <strong>und</strong> Buchstaben um zu überprüfen, ob Textabschnitte mit dem Sprachmuster des<br />
Propheten übereinstimmen.<br />
Die früheste bekannte Beschreibung dieses Verfahrens stammt von Abu Yusuf Ya´qub ibn<br />
Is-haq ibn as-Sabbah ibn Omran ibn Ismail al-Kindi. Von ihm, der im 9. Jahrh<strong>und</strong>ert lebte<br />
<strong>und</strong> fast 300 Veröffentlichungen aus den verschiedensten Gebieten verfasst haben soll, wurde<br />
erst im Jahre 1987 im Süleiman-Osman-Archiv in Istanbul, eine Abhandlung mit dem Titel<br />
„Abhandlung über die Entzifferung kryptographischer Botschaften“. Neben eingehenden<br />
Untersuchungen über Statistik <strong>und</strong> arabische Syntax beschreibt er in zwei Abschnitten die<br />
Häufigkeitsanalyse:<br />
„Eine Möglichkeit, eine verschlüsselte Botschaft zu entziffern – unter der Voraussetzung,<br />
dass man ihre Sprache kennt – besteht darin, einen anderen Klartext in derselben Sprache zu<br />
finden, der lang genug ist, um ein oder mehrere Blätter zu füllen, <strong>und</strong> dann darin zu zählen,<br />
wie oft jeder Buchstabe vorkommt. Wir nennen den häufigsten Buchstaben den „ersten“, den<br />
zweithäufigsten den „zweiten“, den folgenden den „dritten“ <strong>und</strong> so weiter, bis wir alle<br />
Buchstaben in dem Klartext durchgezählt haben.<br />
Dann betrachten wir den Geheimtext, den wir entschlüsseln wollen <strong>und</strong> orden in gleicher<br />
Weise seine Symbole. Wir finden das häufigste Symbol <strong>und</strong> geben ihm die Gestalt des<br />
„ersten“ Buchstabens des Klartextes, das zweithäufigste Symbol wird zu „zweiten“<br />
Buchstaben, das dritthäufigste zum „dritten Buchstaben usw., bis wir alle Symbole des<br />
Geheimtextes, den wir entschlüsseln wollen, auf diese Weise zugeordnet haben“<br />
Die Entschlüsselung eines Geheimtextes mit Hilfe der Häufigkeitsanalyse soll an einem<br />
Beispiel der deutschen Sprache schrittweise demonstriert werden. A hat an B die folgende<br />
Nachricht, die als Übungsaufgabe in dem Buch von Singh (2002) gestellt wird, verschickt, die<br />
wir abgefangen haben:<br />
LFK NDQQ QLFKW YRUKHUVDJHQ ZLH UXVVODQG KDQGHOQ ZLUG HV LVW<br />
HLQ UDHWVHO XPKXHOOW YRQ HLQHP JHKHLPQLV YHUVWHFNW LQ<br />
HLQHP HQLJPD ZLQVWRQ FKXUFKLOO<br />
Wir wissen, dass es sich hierbei um einen deutschen Text handelt, der mittels<br />
monoalphabetischer Substitution verschlüsselt wurde. Der Schlüssel ist uns jedoch<br />
unbekannt.<br />
Abgeschlossen 6
9 <strong>Codes</strong> <strong>und</strong> <strong>Chiffriermaschinen</strong><br />
___________________________________________________________________________<br />
Wichtigstes Werkzeug zur Entschlüsselung eines solchen Textes ist die Angabe über die<br />
Häufigkeitsverteilung der Buchstaben in der deutschen Sprache. Die Abbildung 9.4 gibt einen<br />
Überblick, mit welcher relativen Häufigkeit die Buchstaben in der deutschen Sprache<br />
auftreten:<br />
Abb. 9.4 Häufigkeitsverteilung in der deutschen Sprache<br />
Sie unterscheidet sich durchaus von der Häufigkeitsverteilung in der englischen Sprache,<br />
die in Abb. 9.5 angegeben ist:<br />
Abb. 9.5 Häufigkeiverteilung in der englischen Sprache<br />
Der erste Schritt besteht darin, die Buchstaben im abgefangenen Taxt zu zählen <strong>und</strong> nach<br />
Häufigkeit zu ordnen:<br />
Natürlich wäre es zu einfach, hinzugehen <strong>und</strong> die Buchstaben einfach entsprechend ihre<br />
Häufigkeitsverteilung im Deutschen auszutauschen, wie es von Abu Yusuf beschrieben<br />
wurde. Dieses Verfahren würde nicht funktionieren, wie man sich leicht überzeugen kann.<br />
Man kann aber damit anfangen <strong>und</strong> den am häufigsten auftretenden Buchstaben<br />
herausnehmen, d.h. man geht davon aus, dass das „H“ für den im deutschen am häufigsten<br />
auftretenden Buchstaben „e“ steht.<br />
Die am nächst häufigsten auftretenden Buchstaben („L“ <strong>und</strong> „Q“) lassen sich dem<br />
deutschen „n“ nicht so leicht zuordnen, da sie beide 14 mal auftauchen. Um hier eine<br />
Entscheidung zu treffen, schaut man sich die im deutschen häufigsten Bigramme<br />
(Kombination aus zwei Buchstaben) an:<br />
Im Geheimtext taucht „HL“ viermal auf, „HQ“ zweimal. Das würde unsere Vermutung,<br />
dass entweder „L“ oder „Q“ für den im deutschen am zweithäufigsten Buchstaben „n“ stehen<br />
muss, eine gewisse Sicherheit geben.<br />
Abgeschlossen 7
9 <strong>Codes</strong> <strong>und</strong> <strong>Chiffriermaschinen</strong><br />
___________________________________________________________________________<br />
H<br />
L<br />
D<br />
F<br />
G<br />
K<br />
J<br />
A B C E I M N<br />
18<br />
16<br />
14<br />
12<br />
10<br />
H<br />
L<br />
Q<br />
8<br />
6<br />
4<br />
D<br />
F<br />
G<br />
K<br />
J<br />
O<br />
P<br />
R<br />
U<br />
V W<br />
X<br />
Y Z<br />
2 A B C E I M<br />
S T<br />
0<br />
A B C D E F G H I J K L M N O P Q R S T U V WX Y Z<br />
Reihe1 0 0 0 6 0 5 3 1 0 3 7 1 0 1 7 5 1 3 0 0 7 6 6 4 3 3<br />
N<br />
18<br />
16<br />
14<br />
12<br />
10<br />
Q<br />
8<br />
6<br />
4<br />
O<br />
P<br />
R<br />
U<br />
V W<br />
X<br />
Y Z<br />
2<br />
S T<br />
0<br />
A B C D E F G H I J K L M N O P Q R S T U V WX Y Z<br />
Reihe1 0 0 0 6 0 5 3 1 0 3 7 1 0 1 7 5 1 3 0 0 7 6 6 4 3 3<br />
Abb. 9.6 Häufigkeitsverteilung des abgefangenen Geheimtextes<br />
Um sicherzugehen schaut man sich das im deutschen am häufigsten auftretende Trigramm<br />
(Kombination aus drei Buchstaben) „ein“ an. Eine Entsprechung finden wir im Geheimtext<br />
mit „HLQ“ gleich dreimal. Wir können also davon ausgehen, dass es sich bei dem „Q“ um<br />
das deutsche „n“ handeln muss <strong>und</strong> bei „L“ es sich um das deutsche „i“ handelt.<br />
Als nächstes setzt man die drei gef<strong>und</strong>enen Buchstaben in den Geheimtext ein. Es fällt<br />
einem das Wort „eineP“ auf. „P“ kann nur „r“, „s“ oder „m“ bedeuten. Durch etwas Knobelei<br />
kommt man dann schnelle auf das „m“.<br />
Bigramm- Buchstaben-<br />
Häufigkeit<br />
paar<br />
1 en<br />
2 er<br />
3 ch<br />
4 te<br />
5 de<br />
6 nd<br />
7 ei<br />
8 ie<br />
9 in<br />
10 es<br />
Abb. 9.7<br />
Häufigkeitsverteilung deutscher Bigramme<br />
Reihe1<br />
Reihe1<br />
Ersetzt man das „P“ durch das „m“ kommt man als nächstes auf das Wort „JeKeimnLV“,<br />
was vermutlich „Geheimnis“ heißen wird. Damit hat man die drei weiteren Buchstaben „J“,<br />
“K“, “L“ <strong>und</strong> „V“. Auf die gleiche Weise lassen sich auch die noch fehlenden Buchstaben<br />
herausfinden, so dass man feststellt, dass es sich bei dieser Verschlüsselung um eine<br />
monoalphabetische Caesarverschiebung um drei Stellen handelt.<br />
Abgeschlossen 8
9 <strong>Codes</strong> <strong>und</strong> <strong>Chiffriermaschinen</strong><br />
___________________________________________________________________________<br />
Im Klartext bedeutet somit der Geheimtext:<br />
LFK ich<br />
NDQQ kann<br />
QLFKW nicht<br />
YRUKHUVDJHQ vorhersagen<br />
ZLH wie<br />
UXVVODQG russland<br />
KDQGHOQ handeln<br />
ZLUG wird<br />
HV es<br />
LVW ist<br />
HLQ ein<br />
UDHWVHO raetsel<br />
XPKXHOOW umhuellt<br />
YRQ von<br />
HLQHP einem<br />
JHKHLPQLV geheimnis<br />
YHUVWHFNW versteckt<br />
LQ in<br />
HLQHP einem<br />
HQLJPD enigma<br />
ZLQVWRQ winston<br />
FKXUFKLOO churchill<br />
Eine Antwort der Kryptographie auf die Häufigkeitsanalyse war die homophone<br />
Verschlüsselung. Mit dieser Verschlüsselung soll die Häufigkeit der Buchstaben verschleiert<br />
werden. Um dies zu ermöglichen, muss ein Klartextbuchstabe durch verschiedene Zeichen<br />
chiffriert werden. Bei der homophonen Verschlüsselung wird das Klartextalphabet durch die<br />
Zahlen 0 bis 100 ersetzt. Jedem Buchstaben wird nun gemäß seiner Häufigkeit (siehe Tabelle<br />
oben) eine entsprechende Anzahl von Ziffern zugeordnet. Also dem „e“ 17 Ziffern, dem „n“<br />
10 Ziffern usw. Wird beispielsweise das „e“ chiffriert, wird zufällig eine der dem „e“<br />
zugeordneten 17 Ziffern ausgewählt.<br />
Eine weitere Methode, die Sicherheit einer monoalphabetischen Verschlüsselung zu<br />
verbessern, war die Einführung von sog. Füllbuchstaben, d.h. von Symbolen oder Buchstaben,<br />
die keine Klarbuchstaben vertraten vom Empfänger, der sie bekannt waren, ignoriert wurden.<br />
Auch sie erschweren einen Angriff durch eine Häufigkeitsanalyse erheblich.<br />
Es ist einleuchtend, dass kurze Texte von der Normalverteilung eher abweichen als<br />
längere Texte. Aber auch dies muss nicht immer korrekt sein. Als Kuriosum sei erwähnt, dass<br />
im Jahre 1969 der französische Schriftsteller Georges Perec den Roman La Disparition<br />
verfaßte, der 200 Seiten umfasste. In diesem Buch kommt kein einziges Mal der Buchstabe<br />
„e“ vor. Besonders bemerkenswert ist, dass es dem deutschen Übersetzer Eugen Helmle<br />
gelang, diesen Roman so ins Deutsche zu übersetzen, dass auch in der deutschen Fassung kein<br />
„e“ auftritt. Der Titel der deutschen Fassung lautet Anton Voyls Fortgang.<br />
9.3.2 Die Vigenère-Verschlüsslung <strong>und</strong> ihre Entschlüsselung<br />
Die wohl berühmteste Substitutionschiffre ist die Vigenère-Chiffre. Erdacht wurde sie von<br />
dem französischen Diplomaten Blaise de Vigenère (1523 bis 1596) <strong>und</strong> basiert auf der Idee<br />
Abgeschlossen 9
9 <strong>Codes</strong> <strong>und</strong> <strong>Chiffriermaschinen</strong><br />
___________________________________________________________________________<br />
Leon Battista Albertis. Im Alter von sechs<strong>und</strong>zwanzig Jahren stieß er während einer<br />
zweijährigen Mission in Rom auf die Schriften Albertis, der die polyalphabetische<br />
Substitutionen entwickelt hatte. Im Alter von neun<strong>und</strong>dreißig Jahren fand er die Zeit, sich mit<br />
den Ideen Albertis genauer zu beschäftigen. Es gelang ihm, daraus ein mächtiges<br />
Chiffriersystem zu entwickeln, die nach ihm benannte Vigenère-Verschlüsselung, die mehrere<br />
Jahrh<strong>und</strong>erte lang allen Angriffen der Kryptoanalytiker standhielt.<br />
Die Stärke der Vigenère-Verschlüsselung beruht darauf, dass nicht nur ein, sondern 26<br />
verschiedene Geheimtextalphabete benutzt werden, um Botschaften zu verschlüsseln.<br />
Dieses enthält in der ersten Zeile das Klartextalphabet <strong>und</strong> in den 26 folgenden Zeilen<br />
Chiffrealphabete, die jeweils um eine Position weiter rechts verschoben sind. Jeder Buchstabe<br />
des zu verschlüsselnden Textes wird nun mit einer anderen Zeile des Vigenère-Quadrats<br />
chiffriert. Anhand eines Schlüsselwortes wird festgelegt, welches Geheimtextalphabet für<br />
welchen Buchstaben verwendet wird.<br />
Zum Verschlüsseln einer Nachricht wird das Schlüsselwort wiederholt über den Klartext<br />
geschrieben <strong>und</strong> zwar so oft, bis die Kette der Schlüsselwörter <strong>und</strong> der Klartext die gleiche<br />
Länge haben. Wird nun ein Buchstabe des Klartextes chiffriert, so wird zum Chiffrieren<br />
immer das Alphabet gewählt, dessen erster Buchstabe mit dem Buchstaben beginnt, der<br />
identisch ist mit dem Buchstaben des Schlüsselwortes der über dem Klartextbuchstaben steht.<br />
Umso größer die Anzahl n der Buchstaben des Schlüsselwortes (oder des Schlüsselsatzes) ist,<br />
je höher ist die Sicherheit der Vigenère-Chiffre. Die Anzahl der Schlüssel ist 26 n . Für n=1<br />
ergibt sich also die gleiche Sicherheit wie für die Cäsarchiffre.<br />
Klar a b c d e f g h i j k l m n o p q s t u v w x y z<br />
1 B C D E F G H I J K L M N O P Q R T U V W X Y Z A<br />
2 C D E F G H I J K L M N O P Q R S U V W X Y Z A B<br />
3 D E F G H I J K L M N O P Q R S T V W X Y Z A B C<br />
4 E F G H I J K L M N O P Q R S T U W X Y Z A B C D<br />
5 F G H I J K L M N O P Q R S T U V X Y Z A B C D E<br />
6 G H I J K L M N O P Q R S T U V W Y Z A B C D E F<br />
7 H I J K L M N O P Q R S T U V W X Z A B C D E F G<br />
8 I J K L M N O P Q R S T U V W X Y A B C D E F G H<br />
9 J K L M N O P Q R S T U V W X Y Z B C D E F G H I<br />
10 K L M N O P Q R S T U V W X Y Z A C D E F G H I J<br />
11 L M N O P Q R S T U V W X Y Z A B D E F G H I J K<br />
12 M N O P Q R S T U V W X Y Z A B C E F G H I J K L<br />
13 N O P Q R S T U V W X Y Z A B C D F G H I J K L M<br />
14 O P Q R S T U V W X Y Z A B C D E G H I J K L M N<br />
15 P Q R S T U V W X Y Z A B C D E F H I J K L M N O<br />
16 Q R S T U V W X Y Z A B C D E F G I J K L M N O P<br />
17 R S T U V W X Y Z A B C D E F G H J K L M N O P Q<br />
18 S T U V W X Y Z A B C D E F G H I K L M N O P Q R<br />
19 T U V W X Y Z A B C D E F G H I J L M N O P Q R S<br />
20 U V W X Y Z A B C D E F G H I J K M N O P Q R S T<br />
21 V W X Y Z A B C D E F G H I J K L N O P Q R S T U<br />
22 W X Y Z A B C D E F G H I J K L M O P Q R S T U V<br />
23 X Y Z A B C D E F G H I J K L M N P Q R S T U V W<br />
24 Y Z A B C D E F G H I J K L M N O Q R S T U V W X<br />
25 Z A B C D E F G H I J K L M N O P R S T U V W X Y<br />
26 A B C D E F G H I J K L M N O P Q S T U V W X Y Z<br />
Die Methode soll wieder an einem Beispiel erläutert werden. Verschlüsselt werden soll der<br />
Klartext:<br />
Abgeschlossen 10
9 <strong>Codes</strong> <strong>und</strong> <strong>Chiffriermaschinen</strong><br />
___________________________________________________________________________<br />
Das Schlüsselwort sei „Buch“.<br />
„Sicherheit ist alles“<br />
Im ersten Schritt wird das Schlüsselwort suksezzive über den Klartext geschrieben. Man<br />
erhält<br />
B u c h B u c h B u c h B u c h B u<br />
S i c h e r h e i t i s t a l l e s<br />
Um das erste Zeichen „S“ des Klartextes zu verschlüsseln, wird zunächst festgestellt, welches<br />
Zeichen über ihm steht. Man findet das Zeichen „B“. Anschließen sucht man in dem<br />
Vigenère-Quadrat diejenige Zeile, die mit „B“ beginnt. In dem dargestellten Vigenère-<br />
Quadrat ist dies die Zeile 1. Man sucht in der Zeile 1 jetzt die Spalte, die mit „S“ markiert ist<br />
<strong>und</strong> findet dort das Zeichen „T“. Dies ist das chiffrierte Zeichen für „S“ an der ersten Stelle<br />
im Klartext. Entsprechen verfährt man mit den übrigen Zeichen des Klartextes. Als<br />
Endergebnis erhält man:<br />
Der verschlüsselte Text lautet somit:<br />
Klarzeichen Schlüsselzeichen Zeile Verschlüsselung<br />
S B 1 T<br />
i u 20 C<br />
c c 2 E<br />
h h 7 O<br />
e B 1 F<br />
r u 20 M<br />
h c 2 J<br />
e h 7 L<br />
i B 1 J<br />
t u 20 O<br />
i c 2 E<br />
s h 7 O<br />
t B 1 C<br />
a u 20 O<br />
l c 2 E<br />
l h 7 O<br />
e B 1 C<br />
s u 20 O<br />
„TCEOFMJLJO EOC OEOCO“<br />
Abgeschlossen 11
9 <strong>Codes</strong> <strong>und</strong> <strong>Chiffriermaschinen</strong><br />
___________________________________________________________________________<br />
9.4 Mechanische Chiffrierwerkzeuge <strong>und</strong> Chiffriergeräte<br />
9.4.1 Die Skytale<br />
Das älteste bekannte militärische Verschlüsselungswerkzeug dürfte die Skytale sein. Sie<br />
wurde bereits im 5.Jahrh<strong>und</strong>ert v. Chr. von den Spartanern zur Übermittlung geheimer<br />
Botschaften benutzt. Sie bestand aus einem einfachen (Holz-)Stab mit einem bestimmten<br />
Durchmesser.<br />
Abb. 9.8 links: unbeschriftete Skytale,<br />
rechts: mit der Botschaft “GEHEIM“ beschriftete Skytale<br />
Sender <strong>und</strong> Empfänger besaßen einen identischen Stab. Der Sender einer Nachricht<br />
umwickelte spiralförmig seinen Stab mit einem Streifen Leder oder Pergament. Dann schrieb<br />
er Buchstaben für Buchstaben auf den umwickelten Streifen. Anschließend wurde das<br />
Pergament oder Leder wieder abgewickelt, so daß die Buchstaben in einem, die nun<br />
durcheinander standen, keinen Sinn zu ergeben schienen. Die Nachricht wurde dann ohne den<br />
Holzstab an den Empfänger übermittelt, der zur Entschlüsselung seinen eigenen Holzstab mit<br />
gleichem Durchmesser brauchte. Der Durchmesser des Stabes ist somit der geheime Schlüssel<br />
bei diesem Verschlüsselungsverfahren. Die Skytale gehört zu den Transpositionsverfahren,<br />
d.h. es realisiert ein Verschlüsselungsverfahren, bei dem jedes Zeichen des Klartextalphabetes<br />
erhalten bleibt, aber umsortiert wird.<br />
Die Skytale taucht in der Geschichtsschreibung zum ersten Mal bei Plutarch auf. Dieser<br />
schreibt, daß der Oberkommandeur der spartanischen Flotte, General Lysander im<br />
Peloponnesischen Krieg (Krieg von 431 v.Chr. bis 404 v.Chr. zwischen dem Attischen<br />
Seeb<strong>und</strong> unter der Führung Athens <strong>und</strong> dem Peloponnesischen B<strong>und</strong> unter der Führung<br />
Spartas, der mit einem Sieg der Spartaner endete) seine militärischen Botschaften mit Hilfe<br />
der Skytale verschlüsselte.<br />
Das nachfolgende Beispiel dient zur Verdeutlichung der Methodik der Skytale, aber es<br />
zeigt auch, wie einfach ein derartige verschlüsselter Text wieder entziffert werden kann.<br />
Gegeben sei ein Band mit folgender Buchstabenreihe:<br />
„G E D F A G P R N E R N E R U V S E D H A N O C N E E C D N H U R I H L C I N E M<br />
E A O F D N S N G”<br />
Nun versucht man mittels verschiedenen Permutationen die Botschaft zu enträtseln. Dazu<br />
benötigt man den Umfang u des Stabes, der jedoch nicht bekannt ist.. Unter dem Umfang<br />
verstehen wir die Anzahl der Buchstaben. Man muß maximal 50 Konstellationen<br />
ausprobieren, um herauszufinden, mit welchem man die sinnvollste Botschaft erhält. Als<br />
erstes beginnen wir mit u = 4:<br />
Abgeschlossen 12
9 <strong>Codes</strong> <strong>und</strong> <strong>Chiffriermaschinen</strong><br />
___________________________________________________________________________<br />
G A N E S A N D R C M F N<br />
E G E R E N E N I I E D G<br />
D P R U D O E H H N A N<br />
F R N V H C C U L E O S<br />
Diese Dechiffrierung erscheint ohne weiteren Sinn zu sein. Erhöht man u bis 7, so erhält man:<br />
G R U N D L A G<br />
E N V O N C O<br />
D E S C H I F<br />
F R E N U N D<br />
A N D E R E N<br />
G E H E I M S<br />
P R A C H E N<br />
Durch diese Wahl erhält man den sinnvollen Klartext:<br />
„GRUNDLAGEN VON CODES CHIFFREN UND ANDEREN GEHEIMSPRACHEN“<br />
9.4.2 Die Chiffrierscheibe von Alberti<br />
Abb. 9.9<br />
Leon Alberti<br />
Leon Battista Alberti war ein italienischer Schriftsteller, Architekt,<br />
Humanist <strong>und</strong> Mathematiker, der von 1404 bis 1472 lebte. Wegen seiner<br />
Pionierarbeiten wird Alberti von vielen als “Vater der modernen<br />
Kryptologie” gewürdigt. In Diensten des Heiligen Stuhls verfaßte der<br />
vielseitig begabte Humanist eine der ersten Unterweisungen für Kryptographen.<br />
Er errang auch große Meisterschaft in der Entschlüsselung<br />
von <strong>Codes</strong> verschiedener Schwierigkeitsgrade. Die Idee Albertis<br />
beruhte auf der Verbesserung der Caesarverschiebung. Leon Alberti<br />
mechanisierte dieses Verfahren <strong>und</strong> machte aus der<br />
monoalphabetischen- eine polyalphabetische Substitution. Er ersetzte<br />
die Buchstaben des Klartextalphabetes also nicht mehr durch ein<br />
anderes Alphabet, sondern durch zwei- oder mehrere andere<br />
Alphabete.<br />
Um die Verschlüsselung zu vereinfachen, erfand er eine Chiffrierscheibe. Sie bestand aus<br />
zwei Kupferscheiben unterschiedlicher Größe, die übereinander lagen <strong>und</strong> gegeneinander<br />
gedreht werden konnten. Auf beiden Scheiben war das Alphabet geprägt, so dass die beiden<br />
Alphabete in jede beliebige Stellung gegeneinander gebracht werden konnten (Bei einer<br />
weiteren Variante prägte er auf der inneren Scheibe in willkürlicher Folge Buchstaben ein).<br />
Möchte man einen Klartext mittels der Caesarverschlüsselung codieren, verschiebt man das<br />
äußere A über das innere C, um so beispielsweise eine Verschiebung um 2 Stellen zu<br />
erreichen. Verschlüsselt wird, indem man von außen nach innen liest, entschlüsselt wird von<br />
innen nach außen. So lassen sich in sehr bequemer Weise Texte chiffrieren <strong>und</strong> wieder<br />
dechiffrieren. Auf diesem Prinzip beruhende Chiffrierscheiben wurden noch im<br />
Amerikanischen Bürgerkrieg eingesetzt.<br />
Abgeschlossen 13
9 <strong>Codes</strong> <strong>und</strong> <strong>Chiffriermaschinen</strong><br />
___________________________________________________________________________<br />
Abb. 9.10 links: Chiffrierscheibe mit einer um 6 Stellen verschobenen Vaesarverschiebung<br />
rechts: Chiffrierscheide der Südstaatenarmee im amerikanischen Bürgerkreig<br />
Eine andere geniale Idee Albertis ist von besonderem Interesse. Eine Substitutionschiffre<br />
mit mehr als einem Geheimtextalphabet, d.h. es waren mehrere Scheiben mit<br />
unterschiedlichen Alphabeten vorhanden.<br />
Beim Chiffriervorgang werden diese<br />
abwechselnd eingesetzt. Da nun nicht<br />
mehr jeder Buchstabe im Klartext mit<br />
demselben Geheimbuchstaben chiffriert<br />
wird, ist Alberti ein entscheidender<br />
Schlag gegen die Häufigkeitsanalyse<br />
gelungen. Weil mehrere Geheimtextalphabete<br />
benutzt werden, wird diese<br />
Chiffre als polyalphabetisch bezeichnet.<br />
Nach dem gleichen Prinzip arbeitet<br />
der Chiffrenring der österreichischen<br />
Staatskanzlei. Es ist eines der wenigen<br />
aus dem 18. Jahrh<strong>und</strong>ert erhaltenen, zum<br />
Verschlüsseln diplomatischer Schriftstücke<br />
verwendeten Geräte. Das Gerät befindet<br />
sich heute im Rheinischen Landesmuseum<br />
in Bonn. An der Nomenklatur<br />
sieht man, dass das Gerät für<br />
Texte in französischer Sprache zum Einsatz<br />
kam, wie sie unter Maria Theresia<br />
mit Vorliebe für die diplomatische <strong>und</strong><br />
fürstliche Korrespondenz verwendet<br />
wurde.<br />
Abb. 9.11<br />
Chiffrenring der österreichischen Staatskanzlei<br />
Als seine wichtigsten Beiträge zur Kryptologia gelten seine Schriften „De componendis<br />
cifris“ <strong>und</strong> „Modus Scribendi in Zifferas“. Seine Ideen wurden von Johannes Trithemius (1462<br />
– 1516), Giovanni Battista Belaso, <strong>und</strong> Giovanni Porta (1535 – 1615) weiterentwickelt.<br />
Abgeschlossen 14
9 <strong>Codes</strong> <strong>und</strong> <strong>Chiffriermaschinen</strong><br />
___________________________________________________________________________<br />
9.4.3 Die Cardano-Schablone<br />
Abb. 9.12<br />
Beispiel für eine Cardano-Schablone<br />
Der sensible, zur Psychopathie neigende<br />
Kronprinz starb - vermutlich durch Freitod -<br />
mit seiner Geliebten, der Baronesse Mary<br />
Vetsera, die er, da sie verheiratet war, nicht<br />
offiziell heiraten durfte, unter bislang ungeklärten<br />
Umständen auf Schloß Mayerling.<br />
Da die politischen Anschauungen des Kronprinzen<br />
in krassem Gegensatz zur offiziellen<br />
Politik des Wiener Hofes standen, mußte<br />
Rudolf seine politische Korrespondenz mittels<br />
einer Chiffrier-Einrichtung, einer Fleissner-Scheibe,<br />
verschlüsseln.<br />
Dieses von dem österreichischen Kryptologen<br />
Eduard Fleissner von Wostrowitz<br />
entwickelte Chiffrierverfahren stellt eine<br />
Verbesserung der Cardano-Schablone dar.<br />
Das Lochmuster der quadratischen Schablone<br />
ist so aufgebaut, daß nach jedem Füllen<br />
der „Löcher“ mit fortlaufendem Text durch<br />
Drehung um 90 Grad neue „Löcher“ entstehen;<br />
bis nach 3 Drehungen die gesamte Matrix<br />
mit Buchstaben gefüllt ist.<br />
Girolamo Cardano (1501 – 1576) war ein italienischer<br />
Mathematiker, Physiker <strong>und</strong> Schriftsteller. Besonders<br />
als letzterer war er sehr produktiv. Insgesamt verfasste<br />
er 240 Bücher. Zwei von ihnen enthalten Erkenntnisse<br />
der damaligen Zeit über die Kryptographie <strong>und</strong> die<br />
Steganographie, d.h. die Lehre vom Verbergen von<br />
Nachrichten.<br />
In seiner Schrift De Subtilitate hat er als Erster die<br />
bahnbrechende Idee, den Chiffrierschlüssel aus der<br />
Nachricht selbst herzuleiten, was dazu führt, daß jede<br />
Nachricht automatisch mit einem anderen Schlüssel<br />
kodiert wird. Cardano erfand ebenfalls die Chiffrier-<br />
Schablone, Raster genannt, zum Verbergen einer<br />
Nachricht in einem Tarntext. Die Schablone war vor<br />
allem im 16. <strong>und</strong> 17. Jahr-h<strong>und</strong>ert eine gebräuchliche<br />
Form der Geheimhaltung von Texten in der<br />
Diplomatie.<br />
Einer der berühmtesten aber auch tragigsten<br />
Benutzer einer Cardano-Verschlüsselung war<br />
Erzherzog Rudolf, der einzige Sohn des Kaiserpaares<br />
Franz Joseph <strong>und</strong> Elisabeth (Sissi). Der Kronprinz war<br />
ein liberaler Intellektueller, der mit seinem Eintreten<br />
für Liberalismus <strong>und</strong> Demokratie in Opposition zu<br />
seinem Vater <strong>und</strong> dem k.u.k.-Establishment stand.<br />
Abb. 9.13 Fleissner-Scheibe<br />
Abgeschlossen 15
9 <strong>Codes</strong> <strong>und</strong> <strong>Chiffriermaschinen</strong><br />
___________________________________________________________________________<br />
9.4.4 Der Dresdner Geheimschriftzirkel<br />
Ein besonderes Chiffrierwerkzeug ist der Dresdner Geheimschriftzirkel von Joachim<br />
Deuerlein aus dem Jahre 1633.<br />
Abb. 9.14<br />
Dresdner Geheimschriftzirkel<br />
9.4.5 Wheatstones Kryptograph<br />
Eine Weiterentwicklung der Chiffrierscheibe<br />
von Alberti war der Wheatstone<br />
Kryptograph. Sir Charles Wheatstone 1802 –<br />
1875) war ein englischer Wissenschaftler<br />
<strong>und</strong> Erfinder. Er war ferner ein namhafter<br />
Musikinstrumentenmacher. Er erfand u.a. ein<br />
elektrisches Telegraphiersystem, lange bevor<br />
der Amerikaner Samuel Morse es<br />
unabhängig von ihm entwickelte.<br />
Im Jahre 1854 ersann Wheatstone in<br />
Erweiterung der Idee Portas eine berühmte<br />
manuelle Chiffriermethode für die<br />
Telegraphie, die sog. “Playfair-Chiffre”.<br />
Der Dresdner Geheimschriftzirkel besitzt auf<br />
beiden Seiten eine mittels Flügelmutter drehbare<br />
Silberscheibe. Beim Drehen der Scheibe wird ein<br />
Schenkel des Zirkels senkrecht zum quadratischen<br />
Kasten bewegt, der andere Schenkel ist fest<br />
montiert. Eine der zwei Scheiben ist mit den 24<br />
Buchstaben des lateinischen Alphabets, die andere<br />
- in veränderter Anordnung - mit den 24<br />
Buchstaben der deutschen 'Current'-Schrift<br />
versehen. Letztere Scheibe hat zwei konzentrische<br />
Ringe von großen <strong>und</strong> kleinen Buchstaben, die aber<br />
übereinstimmen.<br />
Auf dem Instrument sind also zwei zyklische<br />
Chiffriersysteme vorhanden. Jedem Buchstaben<br />
entspricht ein bestimmter Abstand der<br />
Zirkelspitzen. Der Zirkelabstand zwischen zwei<br />
benachbarten Buchstaben beträgt lediglich 0,7 mm.<br />
Die Codierung erfolgt somit über den Abstand der<br />
beiden Zirkelspitzen. Besaß der Empfänger ein<br />
analoges Gerät, so konnten die eingestochenen<br />
Löcher (oder vermutlich auch gezeichneten Linien<br />
zwischen ihnen) in Buchstaben rückverwandelt<br />
werden. Das einzige erhaltene Gerät befindet sich<br />
in der Staatlichen Kunstsammlungen Dresden. Bis<br />
zum 2. Weltkrieg soll noch ein zweites Muster<br />
dieses Gerätes existiert haben.<br />
Abb. 9.15 Wheatstones Kryptograph<br />
Abgeschlossen 16
9 <strong>Codes</strong> <strong>und</strong> <strong>Chiffriermaschinen</strong><br />
___________________________________________________________________________<br />
Sie wurde allerdings nach seinem Fre<strong>und</strong> Baron Playfair benannt, nachdem dieser das<br />
Verfahren in englischen Regierungskreisen bekanntgemacht hatte. Aufgr<strong>und</strong> ihrer<br />
Konstruktion als “Bigramm-Substitution”, bei der gleichzeitig jeweils zwei Buchstaben<br />
verschlüsselt werden, galt die Playfair-Chiffre für lange Zeit als unbrechbar. Die Playfair-<br />
Chiffre wurde von der britischen Armee z.B. auch beim sog. Boxer-Aufstand eingesetzt <strong>und</strong><br />
Australien benutzte diesen Code sogar noch während des Zweiten Weltkriegs.<br />
Bereits 1857 entwickelte er die Konzeption für einen „Cryptographen“. Fertig gestellt<br />
wurde es jedoch erst 1966. Es war ein Chiffriergerät in Uhrenform, das ein Jahr später auf der<br />
Pariser Weltausstellung der Öffentlichkeit vorgestellt wurde <strong>und</strong> stellte eine Verbesserung der<br />
“Caesar-Scheibe” dar. Der Cryptograph bestand aus zwei Ringen, wobei der äußere Ring das<br />
Alphabet in richtiger Reihenfolge <strong>und</strong> zusätzlich ein Leerzeichen enthielt. Der innere Ring<br />
enthielt ein durcheinander gewürfeltes Alphabet. Zusätzlich enthielt das Gerät zwei Zeiger,<br />
von denen der Größere auf den äußeren Ring, <strong>und</strong> der kleinere auf den inneren Ring zeigten.<br />
Wollte man einen Text verschlüsseln, so stellte man den äußeren Zeiger auf den zu<br />
verschlüsselnden Buchstaben. Gleichzeitig bewegte sich der innere Zeiger auch eine Position<br />
weiter, so dass man den Chiffrierten Buchstaben beim kleineren Zeiger ablesen konnte. Die<br />
Entschlüsselung verlief entsprechend umgekehrt. Der Zeiger wird während des Chiffrierens<br />
nur in eine Richtung gedreht. Ein Rechengetriebe im Innern dieser Chiffrieruhr bewirkt, dass<br />
bei jeder Zeigerumdrehung eine andere Zuordnung vorgenommen wird.<br />
Zwar war die Verschlüsslung dadurch sehr vereinfacht worden, doch kam dieses Gerät<br />
nicht zur Anwendung. Gr<strong>und</strong> war, dass es sich um eine monoalphabetische Substitution<br />
handelte, die leicht zu dechiffrieren war.<br />
9.4.6 Chiffrierwalzen<br />
Fredrik Griepenstierna (1728-1804) baute 1786 ein Zylinder-Chiffriergerät mit 57 Scheiben<br />
für König Gustav III. von Schweden.<br />
Dieses Chiffriergerät bestand aus 57<br />
Scheiben, die jeweils zwei Alphabete<br />
enthielten. Diese Scheiben konnten<br />
unabhängig voneinander auf einer Achse<br />
rotieren. Zwei einander gegenüberliegende<br />
Längsfenster gaben jeweils zwei<br />
Buchstabenreihen frei.<br />
Die autorisierte Person, die die<br />
Verschlüsselung vornahm, richtete die<br />
Scheiben jeweils so aus, dass der zu<br />
verschlüsselnde Klartext reihenweise in<br />
dem einen Längsfenster erschien, während<br />
der gegenübersitzende Schreiber aus<br />
“seinem” Längsfenster den Schlüsseltext<br />
herauskopierte.<br />
Abb. 9.16<br />
Chiffriergerät von Griebenstierna<br />
Um 1790 erfand Jefferson, der dritte Präsident der USA, ein Chiffrenrad. Die so genannte<br />
“Wheel Cypher“, einem aus 36 einzeln drehbaren Holzscheiben bestehenden Zylinder. Das<br />
„Chiffrenrad“ hat eine Länge von 4,8 Zentimeter <strong>und</strong> eine Dicke von 14,4 Zentimeter. Die36<br />
nummerierten Scheiben sind jeweils 0,4 Zentimeter breit <strong>und</strong> die Randflächen sind in 26<br />
gleich große Abschnitte für die 26 Buchstaben aufgeteilt. Die Reihenfolge der Scheiben ist<br />
Abgeschlossen 17
9 <strong>Codes</strong> <strong>und</strong> <strong>Chiffriermaschinen</strong><br />
___________________________________________________________________________<br />
entscheidend für die Ver- <strong>und</strong> Entschlüsselung <strong>und</strong> muss beim Sender <strong>und</strong> Empfänger gleich<br />
sein. Der Text wird in einer Zeile eingestellt <strong>und</strong> die Walze arretiert. Die Scheiben zeigen 25<br />
verschlüsselte Zeilen, aus denen der Sender eine für die Übermittlung auswählen kann. Der<br />
Empfänger stellt die Scheiben seines Zylinders so ein, dass er die gleiche Buchstabenfolge<br />
wie die Botschaft in einer Zeile erhält. Unter den anderen 25 Zeilen befindet sich dann die<br />
Klarbotschaft.<br />
Durch unterschiedliche Anordnung der 26 Buchstaben des Alphabets gibt es<br />
6! = 4 x 10 26<br />
mögliche unterschiedliche Scheiben. Sollte ein Unbefugter im Besitz der gleichen 36<br />
Scheiben wie der Sender sein, so existieren zudem noch<br />
Möglichkeiten, diese anzuordnen.<br />
36! = 4 x 10 41<br />
Auch wenn Jeffersons Entwurf erst 1922 in seinen Schriften in der Library of Congress<br />
auftauchte <strong>und</strong> das Gerät zu seinen Lebzeiten offensichtlich nie gebaut wurde, hatte er<br />
erstmals eine mechanische Lösung für die bereits von Porta <strong>und</strong> Vigenère erf<strong>und</strong>ene<br />
polyalphabetische Substitution gef<strong>und</strong>en <strong>und</strong> war ihrer Zeit weit voraus,<br />
Ein Jahrh<strong>und</strong>ert später entwickelte der Franzose Bazeries (* 21. August 1846 in Port-<br />
Vendres; † 7. November 1931) unabhängig hiervon ein ähnliches Gerät. Bazeries war<br />
Armeeoffizier <strong>und</strong> einer der erfolgreichsten Kryptologen seiner Zeit. Besonders bekannt<br />
wurde er als erfolgreicher Entschlüsseler von Chiffren im deutsch-französischen Krieg von<br />
1870/71. Bazeries war von der Unbrechbarkeit seiner Maschine (“Je suis indéchiffrable”)<br />
überzeugt. Tatsächlich gelang es aber dem Marquis de Viaris, einem ebenfalls sehr bekannten<br />
Kryptologen <strong>und</strong> Gegenspieler Bazeries, Kryptogramme aus Bazeries Walzenmaschine zu<br />
brechen, woraufhin das französische Militär dessen Einsatz ablehnte. Die US-Armee führte<br />
dagegen im Jahre 1922, dem Jahr der Entdeckung des Entwurfs von Chefferson, mit der M-94<br />
ein Chiffriergerät ein, welches auf der Idee von Bazeries basierte. Es war bis etwa 1942 in der<br />
US-Armee, bei der Küstenwache <strong>und</strong> bei Militärattachés weithin in Gebrauch. Mit Les<br />
Chiffres Secrets Devoilés hat Bazeries einen Klassiker der kryptographischen Literatur<br />
geschrieben.<br />
Abb. 9.17 Navy Code Box<br />
Zu Beginn des Jahrh<strong>und</strong>erts wurden die<br />
von Hand bedienten Scheiben <strong>und</strong> Walzen<br />
durch in ihren Ausführungen variierende<br />
Schieber bzw. Lineale ergänzt. Die<br />
Lineale wurden von einem Rahmen<br />
gehalten, so dass eine Verschlüsselung<br />
folgendermaßen ablief:<br />
Man vertauschte die Lineale so lange,<br />
bis senkrecht der Klartext in der ersten<br />
Reihe zu lesen war. Der Geheimtext war<br />
dann willkürlich eine andere senkrechte<br />
Reihe.<br />
Gegen Ende des Ersten Weltkriegs kam<br />
bei den amerikanischen Truppen in<br />
Frankreich eine Serie von sog. “river-andlake”-codes<br />
in Gebrauch.<br />
Abgeschlossen 18
9 <strong>Codes</strong> <strong>und</strong> <strong>Chiffriermaschinen</strong><br />
___________________________________________________________________________<br />
Bei diesem Hand-Chiffrierverfahren waren die Tauschalphabete – anstatt auf<br />
Alphabetringen wie bei den Geräten von Jefferson <strong>und</strong> Bazeries – einfach auf Papierstreifen<br />
gedruckt.<br />
Das Streifengerät in Abb. 9.17 war als NCB (“Navy Code Box”) mindestens bis 1935 in<br />
Gebrauch. Bereits 1914 hatte ein Kryptologe der US-Army, Oberst Parker Hitt, ein solches<br />
Gerät mit 25 Streifen für den militärischen Einsatz vorgeschlagen. Damals noch ohne Erfolg.<br />
Später entwickelten die Amerikaner das Streifengerät M-138-A, das von 100 verfügbaren<br />
Streifen jeweils 30 für eine Verschlüsselung benutzte. Das Gerät wurde im militärischen wie<br />
im diplomatischen Dienst benutzt <strong>und</strong> galt als so sicher, dass selbst die Kommunikation<br />
zwischen den Präsidenten Roosevelt <strong>und</strong> Churchill damit verschlüsselt wurde. Im Gegensatz<br />
zu den Japanern gelang jedoch deutschen Kryptologen um Hans Rohrbach 1944 der Einbruch<br />
in dieses Chiffriersystem.<br />
9.5 Die Chiffriermaschine Enigma<br />
9.5.1 Vorgeschichte<br />
In den Jahren 1912- 1917 entwickelte der Amerikaner Edward Hebern ein Chiffrenrad, das er<br />
„Rotor“ nannte. Ursprünglich als Immobilienmakler tätig, begann Hebern sich erst spät mit<br />
der Entwicklung von <strong>Chiffriermaschinen</strong> zu beschäftigen. Die Verdrahtung, d.h. die<br />
Vertauschung zweier Alphabete oder Zahlensätze auf einem Rotor (oder Walze) entspricht<br />
einer monoalphabetischen, die Fortbewegung des Rotors dann einer polyalphabetischen<br />
Substitution.<br />
Abb. 9.18<br />
Patentzeichnung der Electric Code Machine<br />
Abb. 9.19<br />
Edward Hebern<br />
Im Jahre 1918 konstruierte Hebern dann die erste Rotor-Maschine der Welt, für die er<br />
1924 ein US-Patent erhielt. Im Jahre 1921 warb Hebern in einer Marinezeitschrift mit einer<br />
“unbrechbaren Chiffre” für seine Electric Code Machine (ECM), die auch als “Sphinx of the<br />
Wireless” bekannt wurde. Das dort abgedruckte Kryptogramm wurde jedoch von der<br />
Kryptologin Agnes Meyer-Driscoll umgehend entschlüsselt. Dennoch kaufte die U.S.-Navy<br />
zwischen 1923 <strong>und</strong> 1931 eine Reihe von Modellen der ECM. Hebern gründete daraufhin die<br />
erste amerikanische Firma zur Herstellung von <strong>Chiffriermaschinen</strong>, der jedoch kein Erfolg<br />
beschieden war. Immerhin entstand aus seiner “Electric Code Machine” die Chiffriermaschine<br />
Abgeschlossen 19
9 <strong>Codes</strong> <strong>und</strong> <strong>Chiffriermaschinen</strong><br />
___________________________________________________________________________<br />
SIGABA, bis in die 1980er Jahre in den USA in Gebrauch war, bis sie durch<br />
computergestützte Kryptoverfahren abgelöst wurde.<br />
Eine Weiterentwicklung der Rotoren erfolgte, indem man die bis jetzt mechanische<br />
Kodierung durch eine elektrische <strong>und</strong> damit viel schnellere Art der Chiffrierung ersetzte.<br />
Prinzipiell erfolgt bei der Verschlüsselung mittels Rotoren die Chiffrierung über eine<br />
Walze, die zwischen zwei Scheiben angebracht ist. Die beiden Scheiben enthalten in kreisförmiger<br />
Anordnung 26 Stifte, die Kontaktflächen auf der anderen Scheibe berühren konnten.<br />
Die Stifte entsprechen dabei den 26 Buchstaben des Alphabets, allerdings durcheinander gewürfelt.<br />
Da es 26 Permutationen des Alphabets gibt, ist ein Aufbau mit 26! Walzen möglich.<br />
Die Kontakte auf der Eingabeseite werden meist mit Schreibmaschinentasten verb<strong>und</strong>en, mit<br />
deren Hilfe der Klartextbuchstabe eingegeben werden können. Die Kontakte auf der Ausgabenscheibe<br />
sind meist mit Glühbirnen verb<strong>und</strong>en, die unter den Buchstaben des Alphabetes<br />
angebracht waren.<br />
Drückte der Sender auf der Schreibmaschine den Buchstaben „M“, so generierte er eine<br />
elektrische Verbindung von der Kontaktstelle „M“ auf der Eingabescheibe durch die Walze<br />
bis zur entsprechenden Kontaktfläche der Ausgabescheibe, so dass die Glühbirne über einem<br />
Buchstaben leuchtete. Dieser Buchstabe wurde dann als Geheimtextbuchstabe von einem<br />
Schreiber notiert. Die Komplexität der Verschlüsselung beruhte darauf, dass sich die Walze<br />
wie bei einem Tachometer nach jeder Eingabe um eine Position vorwärts oder rückwärts<br />
weiterdrehte. Nach einer vollen Umdrehung drehte sich der nächste Rotor um eine Position<br />
weiter. So wurde der gleiche Klartextbuchstabe selten durch den gleichen<br />
Geheimtextbuchstaben chiffriert. Zusätzlich konnte die Komplexität erhöht werden, indem<br />
man, wie oben bereits erwähnt, die Zahl der Walzen zwischen der Ein- <strong>und</strong> Ausgabescheibe<br />
erhöhte. Zur Dechiffrierung benötigte man eine identische Maschine <strong>und</strong> den Schlüssel.<br />
Abb. 9.20 Arvid Gerhard Damm<br />
Neben Edward Hebern war es Arvid Gerhard<br />
Damm, der wohl unabhängig von Hebern das<br />
Rotorprinzip entwickelte. Damm war zunächst<br />
als Textil-Ingenieur in Finnland tätig. Zu<br />
Beginn des Ersten Weltkriegs meldete er<br />
zusammen mit einem englischen<br />
Textilfabrikanten beim deutschen Patentamt<br />
drei Patente für eine Chiffriermaschine an.<br />
Seine erste ausgereifte Maschine baute<br />
Damm im Jahre 1915. Diese Chiffriermaschine,<br />
die A-21 war eine Streifenmaschine. Bei ihr<br />
war eine Anzahl austauschbarer Alphabet-<br />
Streifen auf einer rotierenden Trommel parallel<br />
zur Achse angeordnet. Bei der Verschlüsselung<br />
wurde die Trommel schrittweise gedreht.<br />
Im Jahre 1916 gründete er zusammen mit einem schwedischen Oberst die Firma<br />
“Aktiebolaget Cryptograph”. Im Oktober 1919 meldete Damm in Stockholm eine Rotor-<br />
Chiffriermaschine unter Patent-Nr. 52.279 an. Anfang der 1920er Jahre begann er mit der<br />
Produktion seiner mechanischen Rotormaschine “Cryptotyper A1” <strong>und</strong> später der<br />
elektromechanischen Variante “B1”, für die Damm verschiedene Aufträge von<br />
Telegraphengesellschaften erhielt. Im Jahre 1922 trat der schwedische Ingenieur Boris<br />
Hagelin in die Firma ein, verbesserte eine von Damms Entwicklungen <strong>und</strong> konnte diese<br />
Maschine, die B-21, gegen die Konkurrenz der Enigma in der schwedischen Armee einführen.<br />
Abgeschlossen 20
9 <strong>Codes</strong> <strong>und</strong> <strong>Chiffriermaschinen</strong><br />
___________________________________________________________________________<br />
Abb. 9.21 Arthur Scherbius<br />
Als Vater der Enigma gilt Arthur Scherbius (1818<br />
– 1926). Er studierte in München <strong>und</strong> Hannover<br />
Elektrotechnik <strong>und</strong> promovierte 1904 an der TH<br />
Hannover. Sein erstes Patent für eine Rotor-<br />
Chiffriermaschine reichte er am 23.2.1918 ein.<br />
Danach verfolgte er intensiv den Gedanken einer<br />
kommerziellen Nutzung seiner Erfindung. Die<br />
Entwicklung der kommerziellen Enigma wurde in<br />
der von ihm <strong>und</strong> seinem Fre<strong>und</strong> Ritter 1918<br />
gegründeten Fa. Scherbius & Ritter in Berlin-<br />
Wannsee vorangetrieben. Die Patente wurden dann<br />
von der Firma Gewerkschaft Securitas in Berlin-<br />
Steglitz übernommen, die auch die Fertigung<br />
übernahm. Im Herbst 1923 wurde dann die<br />
<strong>Chiffriermaschinen</strong> Aktiengesellschaft in Berlin<br />
gegründet. Scherbius fungierte als einer von sechs<br />
Direktoren dieser Firma.<br />
Öffentlich wurde die Enigma erstmals im Dezember 1923 in Bern <strong>und</strong> im August 1924<br />
beim Weltpostkongreß in Stockholm vorgeführt. Hierbei wurde sie “als preiswertes,<br />
zuverlässiges <strong>und</strong> abhörsicheres Gerät zur Übermittlung von geschäftlichen Mitteilungen <strong>und</strong><br />
Telegrammen“ angepriesen. Der Begriff “preiswert” ist hierbei relativ zu sehen, denn der<br />
Preis für ein Exemplar belief sich nach heutigem Wert auf immerhin 25.000 Euro.<br />
Doch auch von militärischen Kreisen<br />
war man auf diese Entwicklung<br />
aufmerksam geworden. Nach diskreten<br />
Kontakten von Seiten der Reichswehr<br />
wurde die Schlüsselmaschine von der<br />
Ausstellung abgezogen, um in Berlin in<br />
der Chiffrierabteilung der Reichswehr<br />
wieder aufzutauchen. Chef der Abteilung<br />
“Chi” (für Chiffrierwesen) war Oberst<br />
Erich Fellgiebel, der später Generalmajor<br />
<strong>und</strong> Chef der deutschen Nachrichtentruppe<br />
wurde. Er unterzog die Maschine einer<br />
intensiven Prüfung. Das Ergebnis war die<br />
völlige Rücknahme der Enigma-Maschine<br />
vom zivilen Markt. Sie blieb weiterhin in<br />
Fertigung, jedoch ausschließlich für den<br />
Einsatz in der im Aufbau befindlichen<br />
Wehrmacht.<br />
Arthur Scherbius kam im Jahre 1926<br />
bei einem Verkehrsunfall in Berlin ums<br />
Leben. Danach wurde die<br />
<strong>Chiffriermaschinen</strong> AG mit Beteiligung<br />
seines Vetters unter dem Namen<br />
Heimsoeth <strong>und</strong> Rincke weitergeführt.<br />
Abb. 9.22 Patentzeichnung von Scherbius<br />
Abgeschlossen 21
9 <strong>Codes</strong> <strong>und</strong> <strong>Chiffriermaschinen</strong><br />
___________________________________________________________________________<br />
9.5.2 Aufbau der Maschine<br />
9.5.2.1 Die wesentlichsten Baugruppen<br />
Die Chiffriermaschine Enigma besteht aus drei funktionalen Hauptelementen: einer Tastatur,<br />
der eigentlichen Verschlüsselungseinheit <strong>und</strong> einem mit Buchstaben beschrifteten Lampenfeld.<br />
Abb 9.23 Die Chiffriermaschine Enigma<br />
Abgeschlossen 22
9 <strong>Codes</strong> <strong>und</strong> <strong>Chiffriermaschinen</strong><br />
___________________________________________________________________________<br />
Die Tastatur dient der Eingabe der Klartextbuchstaben (bei der Verschlüsselung) bzw. der<br />
Eingabe der empfangenen Geheimtextbuchstaben (bei der Entschlüsselung); sie ähnelt der<br />
einer gewöhnlichen Schreibmaschine der 20er Jahre. Vom Zeichensatz her, umfaßt die<br />
Tastatur die 26 Buchstaben des Alphabets, auf Umlaute <strong>und</strong> die Darstellung von Ziffern<br />
wurde verzichtet. Im Klartext vorkommende Zahlen mussten vom Chiffreur also in Textform<br />
eingegeben werden.<br />
Das zweite <strong>und</strong> wichtigste Element der Enigma ist die Verschlüsselungseinheit. Sie leistet<br />
die eigentliche Verschlüsselung einzelner Klarbuchstaben in Geheimbuchstaben. Umgekehrt<br />
ist mit ihr auch die Entschlüsselung des Geheimtextes zurück in den Klartext möglich. Hierin<br />
liegt eine der Besonderheiten der Enigma-Maschine: es kann auf ihr bei gleicher Einstellung<br />
nämlich sowohl verschlüsselt, wie auch entschlüsselt werden.<br />
Den dritten Teil der Enigma bildet das Lampenfeld. Es findet sich oberhalb der Tastatur<br />
<strong>und</strong> dient als Ausgabeeinheit. Sechs<strong>und</strong>zwanzig Glühlampen sind von einer teiltransparenten<br />
Platte abgedeckt, welche mit den Buchstaben des Alphabets durchscheinend beschriftet ist.<br />
Tastatur, Verschlüsselungseinheit <strong>und</strong> Lampenfeld sind miteinander elektrisch verdrahtet<br />
<strong>und</strong> werden von einer 4 Volt Batterie mit Strom versorgt.<br />
Tippt der Chiffreur nun einen Klarbuchstaben in die Tastatur, so durchläuft von dort ein<br />
elektrischer Impuls die Verschlüsselungseinheit <strong>und</strong> läßt auf dem Lampenfeld die Glühlampe<br />
des zugehörigen Geheimbuchstabens aufleuchten. Umgekehrt erscheint bei Eingabe eines Geheimbuchstabens<br />
der jeweils zugehörige Klarbuchstabe auf dem Lampenfeld. Während der<br />
Bediener der Enigma mit einer Hand die Tastatur bediente, schrieb er mit der anderen Hand<br />
die Folge der aufleuchtenden Buchstaben auf. Nur sehr wenige Exemplare der Enigma waren<br />
zusätzlich mit einem Druckwerk zur Ausgabe versehen.<br />
9.5.2.2 Das Prinzip der rotierenden Walzen<br />
Das wichtigste Teil innerhalb der Verschlüsselungseinheit ist die Walze, oft auch als Rotor<br />
bezeichnet. Im Wesentlichen handelt ist sich um eine Hartgummischeibe, die von dünnen<br />
Elektrodrähten durchzogen ist. Von der Tastatur aus führen 26 voneinander isolierte Kontaktstifte<br />
in die Walze hinein. Im Inneren der Walze verbinden 26 Drähte die erwähnten Eingangskontakte<br />
kreuz <strong>und</strong> quer mit 26 ausgehenden Kontakten. Die Verdrahtung im Inneren<br />
der Walze bestimmt, wie die Buchstaben ver- bzw. entschlüsselt werden. Bei einer stehenden<br />
Walze ergäbe sich eine monoalphabetische Verschlüsselung, da jeder Klartextbuchstabe<br />
immer mit dem gleichen Geheimbuchstaben verschlüsselt würde.<br />
Die Abb. 9.24 zeigt den Aufbau einer Enigma-Walze: (1) Ring mit Kerbe(n); (2) Platte für<br />
Kontakte; (3) buchstabentragender Außenring; (4) Kontaktplättchen; (5) Verdrahtung; (6)<br />
federnde Kontaktstifte; (7) Innenring; (8) Lagerbuchse; (9) Rändelrad; (10)<br />
Antriebsverzahnung<br />
Entscheidend war die Idee, die Walze nach der Verschlüsselung eines Buchstabens um<br />
jeweils 1/26 ihres Umlaufs weiterzudrehen. Damit ändert sich das Geheimtextalphabet nach<br />
jeder einzelnen Verschlüsselung eines Buchstabens. Eine Chiffriermaschine mit einer derartigen<br />
rotierenden Walze bietet 26 Geheimtextalphabete <strong>und</strong> ist damit für eine polyalphabetische<br />
Verschlüsselung geeignet.<br />
Bis hierher hätte die Chiffriermaschine mit einer rotierenden Walze jedoch einen<br />
Schwachpunkt: die Verschlüsselung mit 26 Geheimtextalphabeten ist zwar polyalphabetisch,<br />
wiederholt sich jedoch nach 26 eingegebenen Klarbuchstaben. Würde beispielsweise der<br />
Buchstabe „a“ 26-mal eingegeben, so kehrte die Walze in ihre Ausgangsstellung zurück.<br />
Gäbe man dann weiterhin a ein, so wiederholte sich das Verschlüsselungsmuster.<br />
Abgeschlossen 23
9 <strong>Codes</strong> <strong>und</strong> <strong>Chiffriermaschinen</strong><br />
___________________________________________________________________________<br />
Wiederholungen im Geheimtext sind jedoch der Feind jeder Geheimhaltung. Sie lassen eine<br />
Ordnung im Geheimtext erkennen <strong>und</strong> bieten damit Ansatzpunkte für das Durchschauen eines<br />
Verschlüsselungsverfahrens <strong>und</strong> unberechtigte Dechiffrierung. Ganz generell lässt sich<br />
feststellen, daß Wiederholungen deutliche Kennzeichen schwacher Verschlüsselung sind.<br />
Abb. 9.24 Aufbau einer Enigma-Walze<br />
Entscheidend war die Idee, die Walze nach der Verschlüsselung eines Buchstabens um<br />
jeweils 1/26 ihres Umlaufs weiterzudrehen. Damit ändert sich das Geheimtextalphabet nach<br />
jeder einzelnen Verschlüsselung eines Buchstabens. Eine Chiffriermaschine mit einer derartigen<br />
rotierenden Walze bietet 26 Geheimtextalphabete <strong>und</strong> ist damit für eine polyalphabetische<br />
Verschlüsselung geeignet.<br />
Bis hierher hätte die Chiffriermaschine mit einer rotierenden Walze jedoch einen<br />
Schwachpunkt: die Verschlüsselung mit 26 Geheimtextalphabeten ist zwar polyalphabetisch,<br />
wiederholt sich jedoch nach 26 eingegebenen Klarbuchstaben. Würde beispielsweise der<br />
Buchstabe „a“ 26-mal eingegeben, so kehrte die Walze in ihre Ausgangsstellung zurück.<br />
Gäbe man dann weiterhin a ein, so wiederholte sich das Verschlüsselungsmuster.<br />
Wiederholungen im Geheimtext sind jedoch der Feind jeder Geheimhaltung. Sie lassen eine<br />
Ordnung im Geheimtext erkennen <strong>und</strong> bieten damit Ansatzpunkte für das Durchschauen eines<br />
Verschlüsselungsverfahrens <strong>und</strong> unberechtigte Dechiffrierung. Ganz generell lässt sich<br />
feststellen, dass Wiederholungen deutliche Kennzeichen schwacher Verschlüsselung sind.<br />
Das Problem des sich wiederholenden Verschlüsselungsmusters lässt sich durch die Einführung<br />
einer zweiten Walze lindern. Beide Walzen werden hintereinander auf einer Achse<br />
Abgeschlossen 24
9 <strong>Codes</strong> <strong>und</strong> <strong>Chiffriermaschinen</strong><br />
___________________________________________________________________________<br />
montiert. Bei jeder Verschlüsselung eines Buchstabens dreht sich die erste Walze, wie gehabt,<br />
um 1/26 ihres Umlaufs. Nach jeweils einer gesamten Umdrehung der ersten Walze dreht sich<br />
dann die zweite Walze um 1/26 ihres Umlaufs. Das Prinzip gleicht also dem eines mechanischen<br />
Kilometerzählers: nach einem Umlauf des Rotors für die Kilometer-Anzeige dreht sich<br />
der Rotor für die Zehn-Kilometer-Anzeige um eine Stelle weiter usw.<br />
Abb. 9.25<br />
Vereinfachte graphische Darstellung zweier rotierender Walzen anhand eines reduzierten<br />
Alphabets mit vier Buchstaben. Der Klarbuchstabe a wird mit dem Geheimbuchstaben D<br />
verschlüsselt; b wird mit A verschlüsselt usw.<br />
In der Chiffriermaschine ist die erste Walze mit einem Federzapfen versehen, welcher<br />
nach einem Walzenumlauf in eine Mitnahmeverzahnung der zweiten Walze eingreift <strong>und</strong><br />
diese um eine Stelle weiterdreht.<br />
Mit zwei Walzen ergeben sich 26 2 = 676 Geheimtextalphabete, das<br />
Verschlüsselungsmuster wiederholt sich also erst nach 676 Zeichen.<br />
Die Komplexität der Verschlüsselung kann durch weitere hintereinandergeschaltete<br />
Walzen zunehmend erhöht werden. In der Enigma kamen drei Walzen im Verb<strong>und</strong> zum<br />
Einsatz. Es ergeben sich hieraus 26 3 = 17576 Geheimtextalphabete.<br />
9.5.2.3 Der Reflektor<br />
a<br />
b<br />
c<br />
d<br />
Eingabe-<br />
Tastatur 1. Walze 2. Walze<br />
Die Umkehrwalze, auch Reflektor genannt, ist ebenfalls eine Gummischeibe mit innenliegender<br />
Verdrahtung. Sie rotiert nicht, ihre Eingangskontakte liegen auf der gleichen Seite<br />
wie die Ausgangskontakte. Dieser Reflektor erhöht die Zahl der Geheimtextalphabete nicht.<br />
Das Prinzip ist Folgendes: der Chiffreur tippt einen Klarbuchstaben auf der Tastatur, ein<br />
elektrischer Impuls durchläuft die drei Walzen, tritt in den Reflektor ein <strong>und</strong> wird, auf anderem<br />
Wege, durch die drei Schlüsselwalzen zurück an das Lampenfeld gesendet, wo eine<br />
Glühlampe aufleuchtet.<br />
Wozu dient nun der Reflektor? Schließlich wird die Zahl der möglichen Schlüssel durch<br />
ihn nicht weiter erhöht. Der Reflektor ermöglicht das Ver- <strong>und</strong> Entschlüsseln auf der gleichen<br />
Maschine. „Die Maschine verschlüsselt einen Klarbuchstaben in einen Geheimbuchstaben,<br />
<strong>und</strong> solange sie dieselbe Einstellung hat, entschlüsselt sie denselben Geheimbuchstaben<br />
zurück in denselben Klarbuchstaben.“<br />
Gleichzeitig schränkt die Maschine mit Umkehrwalze die möglichen Permutationen<br />
innerhalb der Geheimtexte aus zwei Gründen stark ein:<br />
Abgeschlossen 25<br />
A<br />
B<br />
B<br />
C<br />
c<br />
D
9 <strong>Codes</strong> <strong>und</strong> <strong>Chiffriermaschinen</strong><br />
___________________________________________________________________________<br />
- ein Klarbuchstabe kann nie in den selben Geheimbuchstaben überführt werden<br />
- sie benutzt nur Permutationen, die, zweimal auf das Alphabet angewandt, die<br />
ursprüngliche Ordnung wiederherstellen“ (sog. involutorische Permutationen)<br />
Abb. 9.26 Enigma mit drei eingesetzten Walzen, links die Umkehrwalze (Typ B)<br />
Um den Innenteil der Walze schließt sich ein metallener Ring mit 26 Buchstaben (bzw. Zahlen),<br />
der mit einem Rändelrad versehen ist, so daß die Anfangsstellung variiert werden kann.<br />
Dies sei an dem Beispiel des Viereralphabets (ABCD) illustriert. Zum Klartext „abcd“<br />
existieren 4! = 24 Permutationen<br />
abcd abcd abcd abcd abcd abcd<br />
ABCD ABDC ACBD ACDB ADBC ADCB<br />
abcd abcd abcd abcd abcd abcd<br />
BACD BADC BCAD BCDA BDAC BDCA<br />
abcd abcd abcd abcd abcd abcd<br />
CBAD CBDA CABD CADB CDBA CDAB<br />
abcd abcd abcd abcd abcd abcd<br />
DBCA DBAC DCBA DCAB DABC DACB<br />
Unter diesen 24 Permutationen finden sich jedoch nur drei, die keinen Klarbuchstaben in sich<br />
selbst verschlüsseln <strong>und</strong> involutorisch sind; (in obiger Aufstellung unterstrichen).<br />
9.5.2.4 Die Walzenlage<br />
Die Schlüsselwalzen der Enigma glichen sich äußerlich, unterschieden sich aber in der inneren<br />
Verdrahtung. Sie konnten aus der Chiffriermaschine herausgenommen werden <strong>und</strong> in<br />
beliebiger Reihenfolge wieder eingesetzt werden. Die Anordnung der Rotoren in der Maschine<br />
bezeichnete man als Walzen- oder Rotorlage. Zunächst standen drei verschiedene<br />
Walzen zur Verfügung. Man bezeichnete sie fortlaufend mit römischen Ziffern. Drei Walzen<br />
Abgeschlossen 26
9 <strong>Codes</strong> <strong>und</strong> <strong>Chiffriermaschinen</strong><br />
___________________________________________________________________________<br />
können in der Enigma auf 3! = 6 Weisen angeordnet werden: I-II-III, I-III-II, II-I-III, II-III-I,<br />
III-I-II <strong>und</strong> III-II-I.<br />
Durch die Möglichkeit zur Veränderung der Walzenlage erhöht sich die Anzahl<br />
möglichen Schlüssel resp. Anfangseinstellungen der Enigma um den Faktor sechs.<br />
9.5.2.5 Das Steckerbrett<br />
Für die elektrische Verbindung zwischen Tastatur <strong>und</strong> erster Walze baute Arthur Scherbius,<br />
der Erfinder <strong>und</strong> Produzent der Enigma, das sog. Steckerbrett. Es befand sich hinter einer<br />
Holzklappe an der Vorderseite der Enigma-Maschine <strong>und</strong> bestand aus 26<br />
Doppelsteckbuchsen, die mit den Buchstaben des Alphabets beschriftet waren. Dieses<br />
ermöglichte dem Chiffreur über das Stecken von Kabelverbindungen Buchstabenpaare<br />
miteinander zu vertauschen.<br />
Illustriert sei dies an dem folgenden Beispiel: Verbindet man die Buchsen für „a“ <strong>und</strong> „b“<br />
auf dem Steckerbrett, dann geht beim Drücken der Taste „a“ der elektrische Impuls den Weg,<br />
den zuvor das Signal für den Buchstaben „b“ gegangen ist <strong>und</strong> umgekehrt.<br />
Dem Chiffreur an der Enigma standen sechs Kabel zum Vertauschen von Buchstaben zur<br />
Verfügung. Er konnte also sechs Buchstabenpaare vertauschen, die restlichen 14 blieben<br />
unvertauscht.<br />
Abb. 9.27 Das Steckerbrett<br />
Auf den ersten Blick scheint es, dass das Steckerbrett die Verschlüsselung nicht<br />
wesentlich komplexer macht, zumal die Steckverbindungen während des Verschlüsselns<br />
konstant bleiben. Objektiv ist jedoch das Gegenteil der Fall: die Anzahl an Möglichkeiten<br />
Abgeschlossen 27
9 <strong>Codes</strong> <strong>und</strong> <strong>Chiffriermaschinen</strong><br />
___________________________________________________________________________<br />
sechs Buchstabenpaare von 26 zu verbinden <strong>und</strong> damit zu vertauschen beträgt nämlich<br />
100.391.791.500.<br />
Sie errechnet sich folgendermaßen:<br />
9.5.2.6 Anzahl möglicher Schlüssel<br />
⎛26<br />
⎞ ⎛24<br />
⎞ ⎛20<br />
⎞ ⎛18⎞<br />
⎛16⎞<br />
⎛14⎞<br />
⎜ ⎟⋅<br />
⎜ ⎟⋅<br />
⎜ ⎟⋅<br />
⎜ ⎟⋅<br />
⎜ ⎟⋅<br />
⎜ ⎟<br />
⎝ 2 ⎠ ⎝ 2 ⎠ ⎝ 2 ⎠ ⎝ 2 ⎠ ⎝ 2 ⎠ ⎝ 2 ⎠<br />
= 100.<br />
391.<br />
791.<br />
500<br />
6!<br />
Die Anzahl der bis dato möglichen Schlüssel bzw. Gr<strong>und</strong>stellungen sei nun auf Basis der<br />
bisherigen Ausführungen noch einmal zusammengefaßt:<br />
• Walzenstellungen: drei Walzen in je 26 Stellungen: 26 3 = 17.576<br />
• Walzenlagen: drei Walzen können in 3! Anordnungen eingesetzt werden: 3! = 6<br />
• Steckerbrett: Möglichkeiten 6 Buchstabenpaare innerhalb von 26 Buchstaben zu<br />
verbinden / vertauschen: 100.391.791.500<br />
Damit ergibt sich die Gesamtzahl möglicher Schlüssel zu:<br />
17. 576⋅<br />
6⋅100.<br />
391.<br />
791.<br />
500 ≈1.<br />
058⋅10<br />
9.5.2.7 Die Ringstellung<br />
Bei den Walzen kann der buchstabentragende Außenring mit einer bzw. zwei Kerbe(n) gegenüber<br />
dem die Kontakte <strong>und</strong> die Verdrahtung tragenden Innenring verdreht werden. Damit<br />
ergibt sich zusätzlich die Möglichkeit die sog. Ringstellung <strong>und</strong> somit die Position der Mitnahmeverzahnung<br />
an der Walze zu variieren.<br />
Abb. 9.28 Walzen I <strong>und</strong> VIII<br />
9.5.3 Handhabung<br />
Abgeschlossen 28<br />
16<br />
Auch die Ringstellung gehört zur<br />
Gr<strong>und</strong>einstellung <strong>und</strong> muss im<br />
Schlüsselbuch angegeben sein.<br />
Zur Veranschaulichung dient die<br />
Abbildung 9.28 welche die Walzen I<br />
(oben) <strong>und</strong> VIII (unten) zeigt. An der<br />
Walze VIII ist der mit Buchstaben<br />
beschriftete Einstellring gut zu erkennen.<br />
Man beachte die zwei Kerben am<br />
Einstellring, welche für die Bewegung<br />
des nächsten Rotors sorgen. Zur<br />
Einstellen der Ringstellung kann der<br />
Außenteil mit Rändelrad, Einstellring<br />
<strong>und</strong> Kerben gegenüber dem Innenteil mit<br />
Kontakten <strong>und</strong> Verdrahtung verdreht<br />
werden.<br />
Im Einsatz wurde die Gr<strong>und</strong>einstellung der Enigma täglich gemäß dem sog.<br />
Tagesschlüssel.geändert; Da sowohl zum Ver- wie auch zum Entschlüsseln die jeweiligen
9 <strong>Codes</strong> <strong>und</strong> <strong>Chiffriermaschinen</strong><br />
___________________________________________________________________________<br />
Tageseinstellungen bekannt sein mussten, erhielten die Enigma-Operatoren jeden Monat ein<br />
neues Schlüsselbuch, welches für jeden Tag einen Schlüssel vorschrieb.<br />
Beispielsweise wurden den Operateuren folgenden Tagesschlüssel vorgegeben:<br />
1. Steckverbindungen A/F-S/G-D/O-P/R-W/B-K/M<br />
2. Walzenlage III-I-II<br />
3. Ringstellung der Walzen P-X-R<br />
4. Gr<strong>und</strong>stellung der Walzen Q-H-T<br />
Die Stärke der Verschlüsselung hing dabei nicht davon ab, ob die Maschine selbst geheim<br />
blieb, sondern von der Geheimhaltung der Gr<strong>und</strong>stellung. So hieß es in einem deutschen Gutachten:<br />
»Bei der Beurteilung der Sicherheit des Kryptosystems wird davon ausgegangen, dass<br />
der Feind die Maschine zur Verfügung hat.«<br />
Bei der ausschließlichen Verwendung eines Tagesschlüssels tritt jedoch folgende Gefahr<br />
auf: Alle Nachrichten eines Tages, also im Allgemeinen eine riesige Datenmenge, werden mit<br />
dem gleichen Schlüssel chiffriert. Dabei werden alle ersten Zeichen aller Nachrichten mit der<br />
gleichen Maschinenstellung chiffriert, sind also monoalphabetisch verschlüsselt. Ebenso sind<br />
alle zweiten Zeichen aller Nachrichten mit der gleichen Maschinenstellung chiffriert, also<br />
auch monoalphabetisch verschlüsselt, wenn auch anderes als die ersten Zeichen. Gleiches gilt<br />
für alle dritten Zeichen usw. Stehen ausreichend Nachrichten zur Verfügung, so können auf<br />
Gr<strong>und</strong> dieses Effektes die Buchstabenketten mittels einer Häufigkeitsanalyse entschlüsselt<br />
werden. Die ausschließliche Verwendung eines Tagesschlüssels kommt also nicht in Frage.<br />
Die Lösung dieses Problems besteht in einer individuellen Verschlüsselung jeder einzelnen<br />
Nachricht. Eine Häufigkeitsanalyse ist damit nicht mehr erfolgreich.<br />
Um jede Nachricht individuell zu verschlüsseln nutzte man jeweils einen sog. Spruchschlüssel.<br />
Dieser bestand aus drei, vom Sender beliebig gewählten Buchstaben, die die<br />
Walzenstellung, unabhängig vom Tagesschlüssel, für diesen Funkspruch neu festlegten. Da<br />
dem Empfänger einer Nachricht der Spruchschlüssel bekannt sein mußte, wurde dieser zu<br />
Beginn der Nachricht mitgesendet. Aus Gründen der Übertragungssicherheit wurde der<br />
Spruchschlüssel gleich zweimal hintereinander gesendet, da, bedingt durch Störungen,<br />
Funksprüche häufig nur unvollständig beim Empfänger ankamen. Hatte der Sender beispielsweise<br />
den Spruchschlüssel P-G-T gewählt, so sendete er zu Beginn seiner Nachricht<br />
PGTPGT, verschlüsselt mit dem Tagesschlüssel, (etwa zu TVJRWD). Danach drehte er die<br />
Walzenstellung seiner Enigma auf den Spruchschlüssel P-G-T <strong>und</strong> verschlüsselte in dieser<br />
Einstellung den Rest des Funkspruchs. Der Empfänger entschlüsselte die ersten sechs<br />
Buchstaben des Geheimtextes (TVJRWD) mit dem Tagesschlüssel zu PGTPGT, stellte die<br />
Rotoren auf P-G-T <strong>und</strong> war mit dieser Enigma-Einstellung in der Lage, den verbleibenden<br />
Spruch zu dechiffrieren.<br />
9.5.4 Die Entschlüsselung der Enigma<br />
9.5.4.1 Die Anfänge im Büro Szyfrów<br />
Auch nach Ende des Ersten Weltkriegs überwachten die westlichen Alliierten den deutschen<br />
Funkverkehr. Die Schlüsselmittel der Deutschen waren ihnen bekannt, so daß die abgehörten<br />
Funksprüche binnen kurzer Zeit entschlüsselt werden konnten. Ab 1926 gelang es den Alliierten<br />
jedoch immer seltener den deutschen Funkverkehr zu dechiffrieren, da auf deutscher<br />
Seite vermehrt die Enigma-Chiffriermaschine zum Einsatz kam. Die westlichen Alliierten<br />
Abgeschlossen 29
9 <strong>Codes</strong> <strong>und</strong> <strong>Chiffriermaschinen</strong><br />
___________________________________________________________________________<br />
sahen sich zu dieser Zeit jedoch in keinster Weise vom Deutschen Reich bedroht, da dessen<br />
militärischer Schlagkraft mit den Versailler Verträgen enge Grenzen gesetzt waren.<br />
Lediglich Polen sah seine gerade neu gewonnene Unabhängigkeit durch das Deutsche<br />
Reich im Westen <strong>und</strong> die Sowjetunion im Osten bald gefährdet. Aus diesem Gr<strong>und</strong>e<br />
unternahm Polen verstärkte Anstrengungen, mit der Enigma verschlüsselte Nachrichten<br />
dechiffrieren zu können. In Warschau bestand bereits seit Ende des Ersten Weltkriegs ein<br />
Dechiffrierdienst, das sog. Biuro Szyfrów, u.a mit dem Büro BS4 (deutsche Abteilung). Dort<br />
war man sich darüber im Klaren, daß es insbesondere mathematischer Fähigkeiten bedürfe,<br />
um die Verschlüsselung der Enigma zu brechen. Gefragt waren also deutschsprachige<br />
Mathematiker, die sich in die Dienste des Biuro Szyfrów stellen würden. Zur Rekrutierung<br />
geeigneter neuer Mitarbeiter veranstaltete das Büro 1932 einen geheimen Kryptographie-<br />
Lehrgang zu dem 20 deutschsprachige polnische Mathematiker geladen wurden.<br />
Zusammen mit seinen Mathematiker-Kollegen Jerzy Rozycki (1909 – 1942) <strong>und</strong> Henryk<br />
Zygalski (1907 – 1978) erwies sich insbesondere Marian Rejewski als der vielversprechendste<br />
Kandidat. Geboren wurde Marian Rejewski 1905 in Bydgoszcz (Polen). Er studierte ab 1923<br />
Mathematik an der Adam-Mickiewicz-Universität in Posen, wo er später auch eine<br />
Assistentenstelle besetzte. Nach seinem Abschluß ging Marian Rejewski für ein Jahr nach<br />
Göttingen <strong>und</strong> studierte Versicherungsmathematik. Nach seiner Rückkehr lehrte er an der<br />
Universität von Posen.<br />
Abb. 9.29 Marian Rejewski<br />
Um das Geheimnis der Enigma-Verschlüsselung<br />
zu enträtseln, bemühte sich das<br />
Büro Szyfrów zunächst um Informationen<br />
zur Funktionsweise der Maschine. So erwarb<br />
man über einen schwedischen Kontaktmann<br />
eine zivile Version der Enigma, die es zum<br />
Preis von 600 RM regulär zu kaufen gab.<br />
Zwar konnten damit die generellen Funktionsprinzipien<br />
der Verschlüsselungsmaschine<br />
studiert werden, die Verdrahtung der<br />
Walzen der Zivilversion unterschied sich<br />
jedoch von der bei der Reichswehr eingesetzten<br />
Enigma.<br />
Im Jahre 1928 kam dem Biuro Szyfrów der Zufall zur Hilfe. Das Auswärtige Amt in<br />
Berlin versendete eine neue Enigma für die deutsche Botschaft in Warschau irrtümlich als<br />
gewöhnliches Frachtgut <strong>und</strong> nicht als sicheres Diplomatengepäck. Dem polnischen<br />
militärischen Abwehrdienst gelang es, diese Maschine abzufangen <strong>und</strong> ein Wochenende lang<br />
unbemerkt zu untersuchen <strong>und</strong> die entsprechenden Konstruktionsunterlagen für Nachbauten<br />
zu erstellen.<br />
9.5.4.2 Die Spionagetätigkeit von Hans-Thilo Schmidt<br />
Im Jahre 1931 nahm Hans-Thilo Schmidt, ein Mitarbeiter der Berliner Chiffrierstelle des<br />
deutschen Reichswehrministeriums, Kontakt zur französischen Abwehr auf. Der 1888 geborene<br />
Schmidt hatte zunächst eine Laufbahn im deutschen Heer eingeschlagen <strong>und</strong> auch im<br />
Ersten Weltkrieg gedient. Nach dem Krieg fand seine militärische Karriere jedoch ein jähes<br />
Ende, als er aus dem, im Zuge der Versailler Verträge stark reduzierten, Heer entlassen<br />
wurde. Er setzte seinen Werdegang als Seifenfabrikant fort, scheiterte jedoch im inflationsgeschüttelten<br />
Nachkriegsdeutschland. Als Hans-Thilo Schmidt nun mittellos dastand, griff ihm<br />
Abgeschlossen 30
9 <strong>Codes</strong> <strong>und</strong> <strong>Chiffriermaschinen</strong><br />
___________________________________________________________________________<br />
sein erfolgreicherer Bruder Rudolph unter die Arme. Rudolph Schmidt war Stabschef im<br />
Fernmeldekorps <strong>und</strong> beschaffte seinem Bruder eine Stelle in der Berliner Chiffrierstelle, wo<br />
streng geheime Informationen zur Enigma über die Schreibtische gingen.<br />
Von der französischen Abwehr erhielt Schmidt die Tarnbezeichnung „HE“, französisch<br />
gesprochen wie das deutsche Wort „Asche“. Im November 1938 gelangten über Schmidt die<br />
„Gebrauchsanweisung für die Chiffriermaschine Enigma“ <strong>und</strong> die „Schlüsselanleitung für die<br />
Chiffriermaschine Enigma“ in die Hände der Franzosen. Weitere Informationen von Schmidt<br />
hätten der französischen Abwehr gar einen Nachbau der Enigma möglich gemacht, von dem<br />
diese jedoch absah, da sie den Folgeschritt, nämlich das „Brechen“ des Enigma-<strong>Codes</strong> für unmöglich<br />
hielt. Da Frankreich ein Kooperationsabkommen mit Polen geschlossen hatte,<br />
wurden die gesammelten Informationen zur Enigma bereits im Dezember 1932 an Polen<br />
weitergegeben. Das Büro Szyfrów konnte mittels des aus Frankreich erhaltenen Materials<br />
archivierte deutsche Funksprüche entschlüsseln <strong>und</strong> die Verdrahtung der Walzen<br />
herausfinden. Auch wurden in Polen mehrere Kopien der Heeres-Enigma nachgebaut. Die<br />
wesentlichsten Verdienste hatte hierbei Marian Rejewski.<br />
9.5.4.3 Rajewskis Strategie<br />
Rejewski wählte als Angriffspunkt zum Brechen des Enigma-<strong>Codes</strong> die doppelte Übermittlung<br />
des Spruchschlüssels zu Beginn jeder Nachricht. Hier wiederholten sich zwei<br />
identische Klartext-Dreiergruppen, die am ehesten eine angreifbare Ordnung resp. Regelmäßigkeit<br />
erkennen ließen.<br />
Rejewskis Angriffsstrategie sei anhand folgenden Beispiels verdeutlicht:<br />
1. 2. 3. 4. 5. 6. Buchstabe<br />
1. Funkspruch: L O K R G M<br />
2. Funkspruch: M V T X Z E<br />
3. Funkspruch: J K T M P E<br />
4. Funkspruch: D V Y P Z X<br />
Da hier zwei identische Klartext-Dreiergruppen mit demselben Tagesschlüssel chiffriert<br />
wurden, sind der erste <strong>und</strong> vierte Geheimbuchstabe Verschlüsselungen des selben Klarbuchstabens.<br />
Im ersten Funkspruch sind also L <strong>und</strong> R Verschlüsselungen des gleichen<br />
Klarbuchstabens. Gleiches gilt für den zweiten <strong>und</strong> fünften, sowie den dritten <strong>und</strong> sechsten<br />
Geheimbuchstaben; auch diese Geheimbuchstabenpaare gehen jeweils auf den gleichen<br />
Klarbuchstaben zurück.<br />
Auch wenn Rejewski die Gr<strong>und</strong>stellung der Maschine nicht bekannt war, so spiegelte sich<br />
diese in darin wieder, daß sie den ersten Klarbuchstaben als L <strong>und</strong> drei Schritte später den<br />
gleichen Klarbuchstaben als R verschlüsselte. Nimmt man den zweiten Funkspruch des<br />
obigen Beispiels hinzu, so ergibt sich eine Beziehung zwischen M <strong>und</strong> X, beim dritten<br />
zwischen J <strong>und</strong> M <strong>und</strong> beim vierten zwischen D <strong>und</strong> P.<br />
Auch wenn Rejewski die Gr<strong>und</strong>stellung der Maschine nicht bekannt war, so spiegelte sich<br />
diese in darin wieder, daß sie den ersten Klarbuchstaben als L <strong>und</strong> drei Schritte später den<br />
gleichen Klarbuchstaben als R verschlüsselte. Nimmt man den zweiten Funkspruch des<br />
obigen Beispiels hinzu, so ergibt sich eine Beziehung zwischen M <strong>und</strong> X, beim dritten<br />
zwischen J <strong>und</strong> M <strong>und</strong> beim vierten zwischen D <strong>und</strong> P.<br />
Rejewski stellte nun eine Tabelle dieser Beziehungsmuster auf:<br />
Abgeschlossen 31
9 <strong>Codes</strong> <strong>und</strong> <strong>Chiffriermaschinen</strong><br />
___________________________________________________________________________<br />
Beziehungsmuster in den Buchstabenfolgen<br />
1. Buchstabe ABCDEFGHIJKLMNOPQRSTUVWXYZ<br />
4. Buchstabe P M RX<br />
Lieferte der Abhördienst ausreichend Funksprüche, so konnte Rejewski die Tabelle<br />
vervollständigen:<br />
Vollständiges Beziehungsmuster<br />
1. Buchstabe ABCDEFGHIJKLMNOPQRSTUVWXYZ<br />
4. Buchstabe FQHPLWOGBMVRXUYCZITNJEASDK<br />
Rejewski kannte den Tagesschlüssel nicht <strong>und</strong> hatte auch keine Ahnung welche<br />
Spruchschlüssel gewählt worden waren, doch er wußte, daß sie, mit dem Tagesschlüssel<br />
chiffriert, diese Beziehungstabelle ergaben. Wäre der Tagesschlüssel anders gewesen, dann<br />
hätte auch die Tabelle völlig anders ausgesehen.<br />
Im nächsten Schritt begann Rejewski nach Buchstabenketten in den Beziehungsmustern<br />
zu suchen. So besteht in obiger Beispieltabelle eine Beziehung von A zu F. Sucht man sich<br />
nun in der oberen Reihe das F, so erkennt man eine Verknüpfung zu W <strong>und</strong> danach von W<br />
wiederum zu A. Es ergibt sich also eine geschlossene Kette. Rejewski suchte nun bei den<br />
weiteren Buchstaben ebenfalls nach solchen Ketten. Er schrieb sie auf <strong>und</strong> achtete auf die<br />
Anzahl ihrer Verknüpfungen.<br />
So fand er die folgenden Buchstabenketten:<br />
A→F→W→A 3 Verknüpfungen<br />
B→Q→Z→K→V→E→L→R→I→B 9 Verknüpfungen<br />
C→H→G→O→Y→D→P→C 7 Verknüpfungen<br />
J→M→X→S→T→N→U→J 7 Verknüpfungen<br />
Im Beispiel wurden bisher nur die Beziehungen zwischen den ersten <strong>und</strong> vierten Geheimbuchstaben<br />
einbezogen. Rejewski wandte sein Verfahren nun ebenso auf die zweiten/fünften<br />
<strong>und</strong> dritten/sechsten Buchstaben an. Dabei stellte er fest, daß sich die Ketten jeden Tag<br />
änderten. Manchmal gab es viele kurze <strong>und</strong> manchmal wenige lange Ketten. Rejewski<br />
erkannte, daß die Eigenschaften der Ketten eine Folge des jeweiligen Tagesschlüssels waren,<br />
also dem Zusammenwirken von Walzenlage, Walzenstellung <strong>und</strong> Steckerbrett. Doch wie ließ<br />
sich genau einer der möglichen 1,058·10 16 Tagesschlüssel aus den Ketteneigenschaften<br />
ermitteln?<br />
Rejewski kam zu der bahnbrechenden Erkenntnis, daß sich die Beiträge des Steckerbretts<br />
<strong>und</strong> der Walzenkonfiguration zu den Ketteneigenschaften auseinanderhalten lassen. Die<br />
Anzahl an Ketten <strong>und</strong> Verknüpfungen hing nämlich nur von der Walzenkonfiguration ab.<br />
Änderungen am Steckerbrett beeinflußten hingegen nur die Position der Buchstaben innerhalb<br />
der Ketten.<br />
Damit hatte Rejewski ein separat lösbares Teilproblem auf dem Weg zum Tagesschlüssel<br />
erdacht: er konnte die Zahl der Walzenkonfigurationen (6 · 17.576 = 105.456 Walzenlagen<br />
· Walzenstellungen) getrennt von den Steckerbrettkonfigurationen (100.391.791.500)<br />
bearbeiten, wodurch sie die Komplexität des Suchverfahrens drastisch verringerte.<br />
Rejewski ließ im Biuro Szyfrów mittels Enigma-Nachbauten <strong>und</strong> sog. Zyklometern einen<br />
Katalog für die Ketteneigenschaften jeder einzelnen Walzenkonfiguration erstellen. Es<br />
Abgeschlossen 32
9 <strong>Codes</strong> <strong>und</strong> <strong>Chiffriermaschinen</strong><br />
___________________________________________________________________________<br />
dauerte etwa ein Jahr, bis dieser Katalog von Hand zusammengestellt war. Anschließend<br />
konnte Rejewski aus den gesammelten Funksprüchen eines Tages die Buchstabenketten<br />
bilden <strong>und</strong> anhand ihrer Eigenschaften die Walzenkonfiguration im Katalog problemlos<br />
nachschlagen.<br />
Nun fehlten Rejewski natürlich noch die gesetzten Steckerverbindungen, um Nachrichten<br />
zu entschlüsseln. Hierzu ging er intuitiv <strong>und</strong> experimentell vor. Zunächst stellte er die<br />
bekannte Walzenkonfiguration auf einem Enigma-Nachbau ein. Dann löste er alle<br />
Steckerbrettverbindungen, so daß diese keine Wirkung auf die Verschlüsselung hatten.<br />
Anschließend gab er die abgehörten Geheimtexte ein <strong>und</strong> suchte im „Buchstaben-Wirrwarr“<br />
nach einigermaßen erkennbaren Wortgebilden. Beispielsweise sollte das Gebilde<br />
„ALKULFTILBERNIL“ vermutlich „ANKUNFTINBERLIN“ heißen. Dies bedeutet, daß N<br />
<strong>und</strong> L am Steckerbrett verb<strong>und</strong>en, also vertauscht sind. Die Buchstaben A,K,U,F,T,I,B,E <strong>und</strong><br />
R sind am Steckerbrett hingegen nicht gesteckt. Sukzessive konnten mit dieser Methode die<br />
Steckverbindungen des Tagesschlüssels bestimmt werden. Zu Hilfe kam ihm hierbei, daß bei<br />
der Enigma nur sechs Kabel zur Verfügung standen <strong>und</strong> somit nicht alle Buchstaben sondern<br />
nur sechs Buchstabenpaare vertauscht werden konnten. So blieben bei jeder Botschaft einige<br />
Buchstaben unvertauscht erhalten <strong>und</strong> lieferten die Hinweise auf den möglichen Text.<br />
Ab 1934 war Polen damit in der Lage, den kompletten deutschen Funkverkehr zu entschlüsseln<br />
<strong>und</strong> mitzulesen. Wenig später machte jedoch eine leichte Modifikation des Verfahrens<br />
der Nachrichtenübermittlung den bisherigen Katalog der Kettenlängen nutzlos.<br />
Rejewski läßt den Katalog jedoch nicht umschreiben, sondern konstruiert eine mechanische<br />
Version des Katalogsystems, die ähnlich der Enigma selbst arbeitete (sog. Bombe oder<br />
„bomba“).<br />
Abb. 9.30 Konstruktionszeichnung der „Bomba“<br />
Um die Ringstellung <strong>und</strong> die Rotorenlage<br />
zu ermitteln - der Suchraum enthielt<br />
1054560 Fälle (26hoch3 Ringstellungen, 6<br />
Rotorenlagen) - lag eine Mechanisierung<br />
nahe. Im Oktober 1938 wurden bei AVA<br />
sechs Maschinen bauen, die die sechs<br />
Rotorenstellungen simulierten. Dadurch<br />
konnte auf jeder die 17576 Ringstellungen<br />
durchgespielt werden, wozu man maximal<br />
110 Minuten brauchte. Mit Hilfe dieser<br />
Maschinen konnten die die sechs<br />
möglichen Walzenlagen parallel bearbeitet<br />
werden. Hierdurch war es den Polen<br />
möglich, den Tagesschlüssel innerhalb von<br />
nur zwei St<strong>und</strong>en zu ermitteln.<br />
Während der ganzen Zeit (1931 – 1938) lieferte Hans-Thilo Schmidt fortwährend Dokumente<br />
über den Betrieb der Enigma. Insgesamt gab er 38 Monatsschlüsselbücher an die<br />
französische Abwehr, welche diese Informationen auch an Polen weiterleitete. Major Gwido<br />
Langer, der Direktor des polnischen Dechiffrierbüros, hielt die durch Spionage gewonnenen<br />
Kenntnisse deutscher Tagesschlüssel jedoch vor Rejewski geheim, um dessen Arbeitseifer zu<br />
fördern. Langer ging nämlich zurecht davon aus, daß man sich im Falle eines Krieges auf<br />
weitere erfolgreiche Spionagetätigkeiten von Schmidt nicht verlassen könne.<br />
Abgeschlossen 33
9 <strong>Codes</strong> <strong>und</strong> <strong>Chiffriermaschinen</strong><br />
___________________________________________________________________________<br />
9.5.4.4 Das Ende der polnischen Erfolge<br />
Im Dezember 1938 führten die Deutschen zwei neue Enigma-Walzen ein, die mit den<br />
römischen Ziffern IV <strong>und</strong> V gekennzeichnet waren. Damit setzte sich die Walzenlage nun aus<br />
drei von fünf möglichen Walzen zusammen. Die Anzahl an möglichen Walzenlagen stieg<br />
damit von sechs auf 60. (Es gibt 10 Möglichkeiten drei Walzen aus fünf auszuwählen <strong>und</strong><br />
weiterhin sechs Möglichkeiten zur Anordnung der ausgewählten Walzen in der Enigma).<br />
Für das Büro Szyfrów bedeutete dies, dass zunächst die Verdrahtung der beiden neuen<br />
Rotoren herauszufinden war. Das weitaus größere Problem bestand für Rejewski jedoch darin,<br />
dass nun 60 statt nur sechs mechanische Bomben nötig wurden, um jede Walzenlage<br />
darzustellen <strong>und</strong> die Walzenstellung zu berechnen. Der Bau einer solchen Anzahl an Bomben<br />
überstieg das Materialbudget des Biuro Szyfrów bei weitem.<br />
Im Januar 1939 verschlechterte sich die Lage für die polnischen Dechiffreure weiter, da<br />
die deutschen Kryptographen die Zahl der Steckerkabel am Steckerbrett von sechs auf 10<br />
erhöhten. Statt der bisher 12 Buchstaben wurden nun 20 Buchstaben vertauscht. Die Zahl der<br />
möglichen Schlüssel stieg damit auf 1,59·10 20 . Mit diesen Umstellungen des deutschen<br />
Schlüsselsystems wurde der Anteil an entschlüsselten Funksprüchen im Büro Szyfrów<br />
zusehends geringer. Zudem hatte auch der Spion Hans-Thilo Schmidt im Dezember 1938<br />
seine Lieferungen eingestellt; genau zu dem Zeitpunkt, zu dem Rejewski nicht mehr in der<br />
Lage war, die Entschlüsselung eigenständig zu brechen.<br />
Als Hitler am 27. April 1939 den Nichtangriffspakt mit Polen kündigte, war es den<br />
polnischen Dechiffreuren nicht möglich, den deutschen Funkverkehr mitzulesen <strong>und</strong> so den<br />
Zeitpunkt der drohenden Invasion in Erfahrung zu bringen. Major Gwido Langer, der Leiter<br />
der polnischen Dechiffrierstelle, beschloß daraufhin, die polnischen Erkenntnisse zur Enigma-<br />
Verschlüsselung an Frankreich <strong>und</strong> England weiterzugeben. Am 24 Juli 1939 besuchten denn<br />
auch französische <strong>und</strong> britische Kryptoanalytiker das Biuro Szyfrów in Warschau. Dort<br />
erhielten sie zwei Nachbauten der Enigma <strong>und</strong> die Baupläne der Bomben zur Errechnung der<br />
Walzenstellung. Man schätzt, dass zu diesem Zeitpunkt Polens Vorsprung in der Enigma-<br />
Dechiffrierung etwa ein ganzes Jahrzehnt betrug. Anfang 1940 traf der nach Frankreich<br />
geflüchtete Rejewski bei Paris auch mit Alan Turing zusammen.<br />
9.5.4.5 Bletchley Park<br />
Nachdem die Polen bewiesen hatten, daß die Enigma-Verschlüsselung keineswegs<br />
unbezwingbar, sondern mit Mitteln der Mathematik (insbesondere mit statistischen<br />
Methoden) zu brechen war, rekrutierten die Briten vor allem Mathematiker <strong>und</strong><br />
Naturwissenschaftler für ihre Dechiffrierabteilungen. Nahe Bletchley, etwa 70 km nördlich<br />
von London, requirierte die englische Regierung einen ehemaligen Herrensitz, auf dem sie ab<br />
August 1939 die Government Code and Cypher School (GC&CS) unter der Leitung von<br />
Commander Alistar Denniston unterbrachte. Zu Beginn arbeiteten nur etwa 200 Menschen in<br />
Bletchley Park, mit Fortschreiten des Krieges waren es später dann etwa 7000. In Bletchley<br />
Park verfügte man also über ausreichend Personal <strong>und</strong> auch die finanziellen <strong>und</strong> technischen<br />
Mittel, um die deutsche Verschlüsselung trotz erhöhter Walzenzahl zu brechen.<br />
Mit der Einführung weiterer Walzen (VI, VII <strong>und</strong> später VIII) wurde die Dechiffrierung<br />
deutscher Funksprüche für die Mitarbeiter von Bletchley Park zusehends aufwendiger <strong>und</strong><br />
rechenintensiver. Dennoch konnte Bletchley Park im April 1940 ein detailliertes Bild der<br />
deutschen Operationen bei der Besetzung Dänemarks <strong>und</strong> Norwegens liefern. Auch in der<br />
sog. Luftschlacht um England konnten die britischen Kryptoanalytiker häufig vor deutschen<br />
Bombenangriffen warnen <strong>und</strong> die Royal Air Force vorab über deutsche Einflüge informieren.<br />
Abgeschlossen 34
9 <strong>Codes</strong> <strong>und</strong> <strong>Chiffriermaschinen</strong><br />
___________________________________________________________________________<br />
9.5.4.6 Alan Turings Erfolge<br />
Abb. 9.31 Bletchley Park<br />
Der Mathematiker <strong>und</strong> Pionier der theoretischen Informatik Alan Turing verließ nach<br />
Kriegsausbruch seine Stelle an der Universität Cambridge <strong>und</strong> wechselte zum<br />
Dechiffrierdienst in Bletchley Park. Turings Aufgabe bestand hier insbesondere darin, eine<br />
Angriffslinie gegen die Enigma, abseits der Wiederholungen im Spruchschlüssel aufzubauen.<br />
Man rechnete nämlich damit, daß die deutschen Kryptographen diese Sicherheitslücke,<br />
bestehend aus der Doppelübermittlung von zwei identischen Dreiergruppen, erkennen <strong>und</strong><br />
schließen würden. So geschah es denn auch ab Mai 1940, als die hilfreichen sechs Zeichen zu<br />
Beginn jedes Funkspruchs plötzlich verschwanden.<br />
In Bletchley Park verfügte man über eine sehr große Sammlung dechiffrierter deutscher<br />
Funksprüche. Turing stellte fest, daß viele von ihnen eine strenge inhaltliche Ordnung<br />
aufwiesen. So konnte er den Inhalt unentschlüsselter Meldungen zumindest zum Teil voraussagen,<br />
so er ihre Sendezeit <strong>und</strong> –quelle kannte. Beispielsweise sendeten die Deutschen um<br />
kurz nach 6 Uhr morgens regelmäßig einen Wetterbericht. Funksprüche, die also zu dieser<br />
Zeit aufgefangen wurden, enthielten also mit höchster Wahrscheinlichkeit das Wort „Wetter“.<br />
Solche erschließbaren Verknüpfungen zwischen Klartext <strong>und</strong> Geheimtext nannte man in<br />
Bletchley Park ‚cribs’. Da die Funksprüche der Deutschen stark geregelt waren, fanden sich<br />
weitverbreitet cribs in Form von „WETTER“, Offiziersrang-Anreden, Bezeichnungen von<br />
Einheiten, Dienststellen <strong>und</strong> Ähnlichem. Turing erkannte <strong>und</strong> bewies, daß ein crib eindeutige<br />
Rückschlüsse auf die Voreinstellung der Enigma-Maschine, mit der jener crib verschlüsselt<br />
worden war, zuließ. Anhand von cribs konnten also in aufwendigen Verfahren zunächst die<br />
Spruch- <strong>und</strong> dann die Tagesschlüssel ermittelt werden. Turing entwickelte hierzu eine<br />
Maschine, die er nach polnischem Vorbild, als ‚Bombe’ bezeichnete <strong>und</strong> welche anhand von<br />
cribs Spruch- <strong>und</strong> Tagesschlüssel berechnen konnte.<br />
Um festzustellen, an welcher Stelle im Geheimtext in crib liegen könnte, nutzen die Mitarbeiter<br />
von Bletchley Park ihr Wissen um die Schwachpunkte der Umkehrwalze. Deren Merkmal<br />
ist es – wie bereits erwähnt-, daß beim Verschlüsseln kein Buchstabe in sich selbst<br />
überführt wird. Wurde beispielsweise der crib „wetternullsechs“ im Text vermutet, so war<br />
dieser crib so an einer Stelle im Geheimtext anzulegen, daß sich keine Übereinstimmungen<br />
zwischen crib <strong>und</strong> Geheimtext ergaben.<br />
Diese Vorgehensweise sei an folgendem Beispiel erläutert:<br />
Vermuteter Klartext: WETTERNULLSECHS<br />
Bekannter Geheimtext: IPRENLWKMJJSXCPLEJWQ<br />
Der crib liegt also an falscher Stelle, da sich zwei E gegenüberstehen. Im nächsten Versuch ist<br />
der vermutete Klartext um eine Stelle nach rechts zu verschieben. Doch nicht immer mußten<br />
Abgeschlossen 35
9 <strong>Codes</strong> <strong>und</strong> <strong>Chiffriermaschinen</strong><br />
___________________________________________________________________________<br />
die Mitarbeiter in Bletchley Park alle in Frage kommenden Einstellungen durchspielen. So<br />
nutzten deutsche Chiffreure häufig simple Spruchschlüssel, wie A-A-A, Q-W-E oder B-N-M<br />
(letztere liegen auf der Enigma-Tastatur nebeneinander); oder sie verwendeten den gleichen<br />
Spruchschlüssel mehrfach. In Bletchley Park nannte man derartige Spruchschlüssel ‚cillies’<br />
<strong>und</strong> probierte diese Kombinationen vorab, um recht langwierige Berechnungen möglichst zu<br />
umgehen.<br />
Abb. 9. 32 Bombe in Bletchley Park<br />
Auch die deutschen Vorschriften zur Walzenlage erleichterten Bletchley Park ungewollt<br />
die Entschlüsselung. So war es während des Krieges nicht zulässig, dieselbe Rotorlage<br />
während eines Monats zweimal zu verwenden. Von den sechzig Rotorlagen schieden mit<br />
Ablauf eines Monats immer mehr aus.<br />
Gewisse Funksprüche wurden sowohl auf der Enigma, wie auch mit anderen (den<br />
Engländern vollständig bekannten) Chiffriersystemen übermittelt. War zum Beispiel von den<br />
Alliierten eine Wasserstraße vermint worden, so mußte eine entsprechende Warnung nicht nur<br />
Teilen der U-Boot-Flotte im Enigma-System übermittelt werden, sondern auch<br />
Minensuchverbänden, die einfachere, den Briten bekannte, Schlüsselmittel verwendeten.<br />
Mittels des bekannten Klartextes konnte dann auch die Enigma-Einstellung leicht ermittelt<br />
werden.<br />
9.5.4.7 Die Entschlüsselung der Marine-Enigma<br />
Von besonderer Bedeutung im 2. Weltkrieg war die sog. ‚Schlacht auf dem Atlantik’, der<br />
Kampf der deutschen Kriegsmarine gegen die britischen Nachschublinien. Da die deutschen<br />
Überwasserstreitkräfte für eine direkte Konfrontation zu schwach waren, setzte die deutsche<br />
Seekriegsleitung insbesondere auf die U-Boot-Waffe.<br />
Zunächst kam auch bei der Verschlüsselung des Funkverkehrs der deutschen U-Boote<br />
eine Version der Drei-Rotoren-Enigma zum Einsatz. Den Kryptologen von Bletchley Park<br />
gelang im Frühjahr 1941 der Einbruch in dieses Schlüsselsystem nachdem Schlüsselmittel<br />
von einem deutschen Vorpostenboot <strong>und</strong> aus U110 erbeutet worden waren. Die Entzifferung<br />
des deutschen Funkverkehrs ermöglichte der britischen Marine eine gezielte Jagd auf<br />
deutsche U-Boote bzw. das Umleiten von alliierten Geleitzügen auf sichere Routen. Nachdem<br />
Abgeschlossen 36
9 <strong>Codes</strong> <strong>und</strong> <strong>Chiffriermaschinen</strong><br />
___________________________________________________________________________<br />
mehrere deutsche U-Boote in abgelegenen <strong>und</strong> wenig befahrenen Gewässern von alliierten<br />
Streitkräften überrascht <strong>und</strong> deutsche Angriffe vereitelt worden waren, schöpfte die<br />
Befehlsleitung der U-Boote Verdacht <strong>und</strong> führte neue Schlüsselmittel ein.<br />
Ab Februar 1942 nutzen die U-Boote nunmehr eine neue Version der Enigma mit vier<br />
Walzen, welche auch als M4 bezeichnet wurde. Hierbei wurden eine dünnere, sog. ‚Griechenwalze’<br />
<strong>und</strong> eine ebenfalls schmalere <strong>und</strong> neu verdrahtete Umkehrwalze zusätzlich im Gehäuse<br />
der Drei-Rotoren-Enigma untergebracht. Die ‚Griechenwalze’ wurde im Betrieb nicht<br />
gedreht, sondern sie blieb in der Position, in der sie eingesetzt worden war. Stand sie auf A, so<br />
verhielt sich die Marine-Enigma-M4 genau wie die herkömmliche Drei-Rotoren-Maschine.<br />
Mit der neuen Walze erhöhte sich die Anzahl der möglichen Schlüsseleinstellungen um den<br />
Faktor 26.<br />
Abb. 9.33 Die Marine-Enigma M4<br />
Mit dem Einsatz der M4 gelang es Bletchley Park ab Februar 1942 nicht mehr, die Funksprüche<br />
der deutschen U-Boot-Flotten zu dechiffrieren. Folglich konnten alliierte Geleitzüge<br />
nicht mehr über sichere Routen gelenkt werden <strong>und</strong> die Verluste alliierten Schiffsraums<br />
stiegen wieder stark an.<br />
Den Briten kam in dieser Situation der Zufall zur Hilfe: im Oktober 1942 spürten<br />
englische Zerstörer im Mittelmeer nahe Haifa das deutsche U-Boot U-559 auf <strong>und</strong> zwangen<br />
es mit Wasserbomben zum Auftauchen. Kaum hatte das stark beschädigte Boot die Wasseroberfläche<br />
durchbrochen, wurde es von allen Seiten unter Beschuß genommen. Englische<br />
Seeleute schwammen zu dem sinkenden U-Boot, um Geheimmaterial zu bergen <strong>und</strong> kehrten<br />
mit einem Signalbuch <strong>und</strong> dem Schlüsselbuch für Wettermeldungen zurück.<br />
Diese erbeutete Wetterchiffre wies Bletchley Park den Weg zur Entschlüsselung der<br />
Marine-Enigma M4. Die Wettermeldungen wurden in Drei-Walzen-Verschlüsselung<br />
gesendet, also in Stellung A der Griechenwalze. Solche Meldungen konnte Bletchley Park<br />
Abgeschlossen 37
9 <strong>Codes</strong> <strong>und</strong> <strong>Chiffriermaschinen</strong><br />
___________________________________________________________________________<br />
lesen <strong>und</strong> dank des Wetterschlüssels auch die Walzenkonfiguration der drei Walzen ermitteln.<br />
Bei den streng geheimen Meldungen im U-Boot-Funkverkehr blieben die ersten drei Walzen<br />
in Position, lediglich die Stellung der Griechenwalze wurde variiert. Es blieb also nur noch<br />
herauszufinden, in welcher Stellung sich die ‚Griechenwalze’ befand, ein stark reduziertes<br />
Problem. Ab dem 13. Dezember war Bletchley Park damit wieder in der Lage, den<br />
Funkverkehr der U-Boote zu entschlüsseln, so daß Konvois wieder um deutsche U-Boot-<br />
Aufstellungen herumgeleitet werden konnten.<br />
Nicht zuletzt dank der erfolgreichen Arbeit in Bletchley Park gelang es schließlich den<br />
Westalliierten, die Schlacht auf dem Atlantik für sich zu entscheiden.<br />
9.5.4.8 Die Abwehr-Enigma<br />
Eine weitere Variante der Enigma war die “Abwehr-Enigma”. Es war eine Sonderausführung<br />
für die unter Admiral Canaris stehende (Spionage-) Abwehr des Oberkommandos der<br />
Wehrmacht. Im Gegensatz zur Standard-Enigma besass sie neuartige, kleinere Walzen mit 11,<br />
15 <strong>und</strong> 17 Schaltnocken. Erst im Herbst 1941 konnten die den Kryptologen in Bletchley diese<br />
Enigma-Variante brechen.<br />
Abb. 9.34 Die Green<br />
Von der Abwehr-Enigma G-312<br />
sind weltweit nur drei Exemplare<br />
bekannt. Ein Exemplar wurde im<br />
Frühjahr 2000 in einer spektakulären<br />
Aktion in Bletchley Park gestohlen<br />
<strong>und</strong> einem Museum <strong>und</strong> der<br />
englischen Presse für 25.000 Pf<strong>und</strong><br />
zum “Rückkauf” angeboten. Die<br />
weiteren Umstände diese Diebstahls<br />
werden bis heute geheim gehalten.<br />
Nach einer, wie es heisst<br />
“komplizierten Korrespondenz”<br />
zwischen Polizei <strong>und</strong> Täter wurde<br />
eine bis heute ungenannte Person<br />
verhaftet <strong>und</strong> die Maschine <strong>und</strong> die<br />
Rotoren getrennt voneinander an<br />
Bletchley Park zurückgegeben. Die<br />
Gründe für diese Geheimhaltung<br />
sind nicht bekannt.<br />
Von Japan wurde auf der Basis der Patentzeichnungen für die Enigma eine entsprechende<br />
Chiffriermaschine nachgebaut. Dieser Nachbau wurde von den Amerikanern “Green”<br />
genannt. Es handelt sich hierbei um eine seltsam anmutende Konstruktion mit vier stehend<br />
angeordneten Rotoren. Das Verschlüsselungsprinzip entspricht jedoch dem der Enigma.<br />
9.5.4.9 Fazit der Operation „Ultra“<br />
Mit dem Codenamen ‚Ultra’ bezeichneten die Alliierten eine umfassende Aufklärungsoperation<br />
des britischen Secret Intelligence Service, in welcher entschlüsselte Funkmeldungen<br />
der Achsenmächte gebündelt <strong>und</strong> ausgewertet wurden. Sie verlieh den Alliierten auf allen<br />
Kriegsschauplätzen durch Informationsvorsprünge erhebliche Vorteile. Nicht zuletzt dank<br />
Entschlüsselung der Enigma waren die Alliierten über Truppenstärken, deren Verteilung <strong>und</strong><br />
deutsche Operationen im Vorfeld informiert. Das auf diese Weise gewonnene Bild der Lage<br />
trug wesentlich zum Erfolg vieler alliierter Operationen bei So lieferte Ultra beispielsweise<br />
Abgeschlossen 38
9 <strong>Codes</strong> <strong>und</strong> <strong>Chiffriermaschinen</strong><br />
___________________________________________________________________________<br />
wertvolle Informationen zur Zerstörung der deutschen Nachschublinien in Nordafrika, genaue<br />
Berichte über die Feindlage im Mittelmeer bei der Landung auf Sizilien bzw. dem<br />
italienischen Festland oder bot detaillierte Informationen zur Konzentration deutscher Kräfte<br />
vor dem D-Day.<br />
Stuart Milner-Barry, einer der Kryptoanalytiker von Bletchley Park schrieb:<br />
„Mit Ausnahme vielleicht der Antike wurde meines Wissens nie ein Krieg geführt, bei dem<br />
die eine Seite ständig die wichtigen Geheimmeldungen von Heer <strong>und</strong> Flotte gelesen hat.“<br />
Man war sehr darauf bedacht, daß Geheimnis von Ultra strikt zu wahren, denn nur solange<br />
die Gegenseite glaubte, ihr Chiffriersystem sei sicher, würde sie es weiterhin verwenden. So<br />
konnten die Alliierten ihr Wissen nie in vollem Umfang nutzen, um die Enigma-Entschlüsselung<br />
nicht zu offenbaren. Nur ein sehr kleiner Kreis von Eingeweihten wußte in ganzem<br />
Umfang von ‚Ultra’. Der für ‚Ultra’ verantwortliche Nachrichtenoffizier Frederic<br />
Winterbotham stand in unmittelbarer Verbindung zum Premierminister Winston Churchill.<br />
Bis 1974 stand ‚Ultra’ unter höchster Geheimhaltung. Erst dann durfte Winterbotham mit<br />
seinem Buch ‚The Ultra Secret’ die Wahrheit enthüllen.<br />
Die polnischen Codeknacker mußten während des Krieges fliehen <strong>und</strong> führten ihre Arbeit<br />
in Frankreich fort. Kriegsbedingt mußten sie 1942/43 auch aus Frankreich fliehen <strong>und</strong> einige,<br />
darunter Rejewski, schafften es nach England. Die Türen von Bletchley Park, dem Sitz der<br />
englischen Codeknacker, blieben ihnen allerdings verschlossen. Rajewski kehrte 1946 nach<br />
Polen zu seiner Frau <strong>und</strong> seinen zwei Kindern zurück. Im Jahre 1967 schrieb er den ersten<br />
Teil seines Buches über seine Arbeit im Biuro Szyfrow, das allerdings nie veröffentlicht<br />
wurde. Erst in den 70er Jahren wurde Rejewskis Mitwirken bei der Entschlüsselung öffentlich<br />
gemacht <strong>und</strong> geehrt. Marian Rejewski starb 1980.<br />
9.5.5 Weitere Rotor-Chifrriermaschinen<br />
Obwohl es den Engländern gelungen war, Nachrichten, die mit der Enigma verschlüsselt<br />
waren, zu dechiffrieren, waren sie vom Prinzip er Maschine beeindruckt. Daher kopierten sie<br />
die Enigma, wobei sie allerdings einige Verbesserungen vornahmen, um die Sicherheit zu<br />
erhöhen. Diese Kopie wurde “Type X” genannt. Es war eine wesentlich verbesserte Kopie der<br />
3-Walzen-Wehrmachts-Enigma. Sie besaß zwei zusätzliche Rotoren, die eine Dechiffrierung<br />
wesentlich erschwerten.<br />
Die Type X wurde von den Engländern<br />
in militärischen Nachrichtenverbindungen<br />
eingesetzt.<br />
Im Unterschied zur Enigma, deren drei<br />
bzw. vier verwendete Rotoren aus einem<br />
Satz von fünf bzw. sieben Rotoren ausgewählt<br />
wurden, konnten die fünf Typex-<br />
Rotorplätze aus insgesamt 28 verschiedenen<br />
Rotoren bestückt werden. Durch diese<br />
Veränderung wurde eine wesentlich höhere<br />
kombinatorische Vielfalt erzeugt.<br />
Abb. 9.35 Type X<br />
Abgeschlossen 39
9 <strong>Codes</strong> <strong>und</strong> <strong>Chiffriermaschinen</strong><br />
___________________________________________________________________________<br />
Sie diente aber auch zur mechanischen Entzifferung deutscher Enigma-Sprüche, deren<br />
Schlüssel mit Hilfe der sog. „Bomben“ bereits aufgeklärt waren. Die Type X selbst wurde nie<br />
gebrochen.<br />
Ab dem Jahre 1939 wurde von der Firma Telefonbau <strong>und</strong> Normalzeit (T&N) das<br />
Schlüsselgerät 39 hergestellt.<br />
An der Produktion des Geräts sollten zunächst auch die Wanderer-Werke in Chemnitz<br />
beteiligt werden. Beim Schlüsselgerät 39 handelte es sich um eine Rotor-<br />
Verschlüsselungsmaschine der zweiten Generation, bei der die Fortschaltung der Rotoren auf<br />
unregelmäßige Weise erfolgte. Vermutlich sollte das Gerät irgendwann die Enigma ablösen,<br />
doch es ging nie in Großserie.<br />
In der NATO kamen ab Mitte der 1950er Jahre <strong>Chiffriermaschinen</strong> der K-Serie für<br />
geheime Kommunikation zum Einsatz. Das im Auftrag der NSA hergestellte<br />
elektromechanische Chiffriergerät KL-7 war mit sieben Rotoren ausgestattet <strong>und</strong> erinnert im<br />
mechanischen Aufbau an die britische Type-X-Maschine. Die KL-7 war eine der letzten<br />
Rotor-Maschinen, die produziert wurden.<br />
Auch in Russland wurden nach dem<br />
zweiten Weltkrieg Rotor-Chiffriergeräte<br />
entwickelt. Diese <strong>Chiffriermaschinen</strong> kamen<br />
in der Zeit des Kalten Krieges zum<br />
Einsatz. Sie wurden in zwei Versionen<br />
hergestellt: in er Ausführung M-125-MN<br />
<strong>und</strong> der wesentlich komplexeren Ausführung<br />
M-125-3MN. Die auch FIALKA<br />
genannte Maschine war eine 10-Rotor-<br />
Maschine, die im technischen Design der<br />
deutschen Enigma bzw. der schweizerischen<br />
NEMA-Chiffrier-Maschine ähnelte.<br />
Sie besaß zwei verschiedene Sätze von<br />
Rotoren: festverdrahtete sowie zerlegbare<br />
Walzen, die durch veränderbare externe<br />
<strong>und</strong> interne Ringstellungen eine Vielzahl<br />
von Modifikationen zuließen.<br />
Abb. 9.36 M-125<br />
Jede Walze hatte 30 Kontakte, denen das kyrillische Alphabet zugeordnet war. Der<br />
„Schlüssel“ der FIALKA besteht in der tagesaktuellen Festlegung der Rotoren <strong>und</strong> ihrer<br />
Gr<strong>und</strong>stellung sowie einer Lochstreifen-Eingabe<br />
9,6 Elektronische Verschlüsselungssysteme<br />
9.6.1 Sprachverschlüsselung<br />
Die Elektronische Sprachtarnung begann in den 1930er Jahren. Das am weitesten<br />
fortgeschrittene System seiner Zeit war der A-3 Scrambler von Bell Labs. Mit diesem<br />
analogen Verfahren wurde die Tonfrequenz in sechs Bereiche zerlegt, dann verwürfelt <strong>und</strong> in<br />
Abgeschlossen 40
9 <strong>Codes</strong> <strong>und</strong> <strong>Chiffriermaschinen</strong><br />
___________________________________________________________________________<br />
der Frequenz invertiert. Zusätzlich wechselten die Einstellungen während eines Gesprächs.<br />
Erstmalig wurde dieses System im Dezember 1937 auf der Strecke San Francisco – Honolulu<br />
probeweise eingesetzt. Allerdings war dieses Verfahren nicht sehr sicher. So konnten geübte<br />
Hoerer die so verzerrte Sprache verstehen <strong>und</strong> den Deutschen gelang es auch das Verfahren<br />
zu brechen.<br />
Das nächste Gerät, welches von den Amerikanern im zweiten Weltkrieg unter der<br />
Federführung der Bell Labs <strong>und</strong> unter Mitarbeit von Alan Turing entwickelt wurde, war die<br />
SIGSALY. Es verwendete ebenfalls Frequenzsprünge, war aber mit zwei zusätzlichen<br />
Komponenten ausgestattet. Zunächst wurde die sprachliche Kommunikation vorkodiert.<br />
Danach wurde ein künstliches Rauschen auf das so enthaltene Signal gelegt. Dieses<br />
Rauschsignal war auf Schallplatten aufgezeichnet. Je zwei gleich bespielte Schallplatten<br />
wurden zu den jeweiligen Kommunikationspartnern verbracht <strong>und</strong> auf besonders präzisen<br />
Plattenspielern abgespielt, die zudem noch über hochgenaue Uhren auf beiden Seiten<br />
synchronisiert waren.<br />
Die SIGSALY-Terminals waren massiv <strong>und</strong> bestanden aus 40 Racks, die über 50 Tonnen<br />
wogen <strong>und</strong> ca. 30 kW Strom benötigten. Wegen seiner Größe <strong>und</strong> Klimaanforderungen<br />
eignete sich ein solches Terminal nicht für den breiten Einsatz, sondern wurde nur für<br />
Sprachkommunikation auf höchster Kommandoebene eingesetzt. Etwa ein Dutzend<br />
SIGSALY-Terminals wurden weltweit eingesetzt. Eines davon war auf einem Führungsschiff<br />
im Verband von General McArthur im Pazifik-Krieg installiert. Die Patente <strong>und</strong> das<br />
Chiffriersystem blieben übrigens bis 1976 geheim.<br />
Diese Prinzipien der Sprachverschlüsselung wurden bis in jüngste Zeit eingesetzt. Sie<br />
verloren zum Teil erst ihre Bedeutung durch die Digitalisierung der Sprachübertragung.<br />
9.6.2 DES<br />
Zur Verschlüsselung von elektronischen Daten entwickelte IBM Mitte der siebziger Jahre das<br />
DES (Data Encryption Standard). Es wurde 1977 vom National Bureau of Standards (NBS) in<br />
den USA als Verschlüsselungs-Algorithmus genormt.<br />
Der DES ist eine aus Substitutionen <strong>und</strong> Permutationen aufgebaute symmetrische<br />
Blockchiffre, die mit Hilfe von 64-Bit Schlüsseln auf 64-Bit Klartext- (bzw. Chiffretext)<br />
Blöcken operiert. Der DES-Algorithmus widerstand zunächst allen bekannten<br />
Analyseversuchen. Er war in den 1980er Jahren auch mit dem sog. “Brute Force”-Verfahren<br />
(vermutlich) nicht zu knacken. Hiermit bezeichnet man ein Vorgehen, bei dem mit „roher<br />
Gewalt“ jede Möglichkeit einfach ausprobiert wird. Die Einschränkung liegt darin, dass es<br />
Spekulationen gibt, dass auf Betreiben der NSA, die an der Entwicklung beteiligt war, die<br />
Schlüssellänge absichtlich so kurz gewählt wurde. Die NSA besaß zu dieser Zeit die weltweit<br />
höchste Rechnerkapazität. Mit ihrer Hilfe konnte sie evtl. schon damals mit DES<br />
verschlüsselte Informationen entschlüsseln. Mit den heutigen Rechnerleistungen benötigt man<br />
hiefür nur St<strong>und</strong>en.<br />
9.6.3 Das Problem der Schlüsselverteilung<br />
Eines der größten Probleme bei der Entwicklung sicherer Verschlüsselungsverfahren ist das<br />
Problem der Schlüsselverteilung. Dieses Problem sei an folgendem Beispiel erläutert:<br />
Abgeschlossen 41
9 <strong>Codes</strong> <strong>und</strong> <strong>Chiffriermaschinen</strong><br />
___________________________________________________________________________<br />
Die Geschäftsführung eines großen Unternehmens möchte vertrauliche Daten an alle ihre<br />
Filialen senden. Hierfür stehen ihr prinzipiell die folgenden beiden Möglichkeiten zur<br />
Verfügung.<br />
Sie kann diese Daten unverschlüsselt über ein öffentliches Kommunikationsnetz, z.B. das<br />
Telefonnetz, übermitteln. Hierbei besteht jedoch die Gefahr, dass diese Leitung abgehört<br />
wird. Nehmen wir an, sie möchte an Stelle der unverschlüsselten Übermittlung diese Daten<br />
aus Sicherheitsgründen mit DES verschlüsseln. Um die erhaltenen Daten zu entschlüsseln,<br />
brauchen die Filialen nicht nur eine lauffähige Version von DES auf ihren Computern, sie<br />
brauchen außerdem den Schlüssel, mit dem die Daten codiert worden sind. Das Unternehmen<br />
kann den Schlüssel nicht per Telefon übermitteln, weil sie ja vermuten, dass die Leitungen<br />
abgehört werden. Deshalb ist der einzige Weg, den Schlüssel an die Filialen zu verteilen,<br />
einen Angestellten zu beauftragen, den Schlüssel persönlich zu überbringen. Leider ist diese<br />
Möglichkeit sehr zeitaufwendig <strong>und</strong> mit steigendem Datenverkehr nicht mehr zu bewältigen.<br />
Darüber hinaus birgt diese Möglichkeit die Gefahr, dass die Schlüsselboten überfallen werden<br />
oder selbst die Schlüssel an den meist Bietenden verkaufen. Die gleiche Problematik tritt auf,<br />
wenn sie die Daten direkt mit Boten versendet.<br />
Das Problem der Schlüsselverteilung lässt sich also wie folgt zusammenfassen:<br />
Möchten zwei fiktive Stellen sicher miteinander kommunizieren, so müssen sie sich auf<br />
eine dritte Partei verlassen, die den Schlüssel überbringt. Diese dritte Partei ist das schwächste<br />
Glied in der Kette.<br />
Damit bestand die größte Herausforderung der Kryptographen darin, das<br />
Schlüsselverteilungsproblem zu lösen.<br />
9.6.4 Die Idee zweier getrennter Schlüssel<br />
Die für die moderne Kryptographie bahnbrechende Idee eines „asymmetrischen“<br />
Chiffrierverfahrens, bei dem mit einem öffentlichen <strong>und</strong> einem geheimen Schlüssel operiert<br />
werden kann, wurde erstmalig von den Amerikanern Whitfield Diffie <strong>und</strong> Martin Hellman im<br />
Jahre 1976 veröffentlicht.<br />
Abb. 9.37 Whitfield Diffie<br />
Whitfield Diffie war einer der bedeutendsten<br />
Kryptographen seiner Zeit. Whitfield stellte sich die<br />
Frage, wie zwei Personen über das Internet<br />
verschlüsselte Botschaften austauschen können, ohne<br />
sich persönlich begegnen zu müssen.<br />
Im Jahre 1974 wurde er in ein IBM Forschungslabor<br />
eingeladen um einen Vortrag zu halten. Seine Theorien<br />
stießen aber bei fast allen Zuhörern auf Skepsis. Dennoch<br />
fand er auch Zustimmung <strong>und</strong> zwar bei Alan Konheim,<br />
der Diffie davon berichtete, dass vor kurzer Zeit ein<br />
gewisser Martin Hellmann über die gleichen Ansätze<br />
referiert hatte.<br />
Noch am selben Abend setzte sich Diffie in sein Auto <strong>und</strong> fuhr ins über 5.000 Km<br />
entfernte Kalifornien, um Hellmann an der Stanford University zu besuchen. Der zunächst<br />
skeptische Hellmann war schnell von den Fähigkeiten Diffies überzeugt <strong>und</strong> in der folgenden<br />
Zeit wurde das Arbeitsbündnis Whittfield-Hellmann zu einem der erfolgreichsten in der<br />
Geschichte der Kryptographie.<br />
Abgeschlossen 42
9 <strong>Codes</strong> <strong>und</strong> <strong>Chiffriermaschinen</strong><br />
___________________________________________________________________________<br />
Möchte man sich dem Problem der Schlüsselverteilung nähern, ist es hilfreich, sich beim<br />
Nachdenken drei Personen vorzustellen. In der kryptographischen Diskussion werden sie<br />
üblicherweise Alice, Bob <strong>und</strong> Eve genannt. Alice will Bob eine geheime Botschaft schicken.<br />
Eve wiederum versucht, die geheime Botschaft abzufangen. Dabei muss man sich folgende<br />
Paradoxie klar machen: Um ihre Botschaft zu verschlüsseln, braucht Alice einen Schlüssel,<br />
der selbst ebenfalls geheim sein muss. Damit Bob die geheime Nachricht wieder dekodieren<br />
kann, braucht er den geheimen Schlüssel von Alice. Dieses Paradoxon galt lange als Axiom<br />
der Kryptographie.<br />
Hellmann <strong>und</strong> Diffie machten folgendes Gedanken-Experiment, das diesem Axiom zu<br />
widersprechen schien:<br />
Schloss<br />
von<br />
Alice<br />
Schloss<br />
von<br />
Alice<br />
Schloss<br />
von<br />
Bob<br />
Schloss<br />
von<br />
Bob<br />
Alice will eine persönliche Nachricht an Bob schicken. Dazu legt sie ihre Nachricht in eine<br />
Eisenkiste, verschließt sie mit einem Vorhängeschloss, von dem nur sie einen Schlüssel<br />
besitzt <strong>und</strong> schickt die Kiste an Bob. Wenn Bob die Kiste erhalten hat, hängt er ebenfalls ein<br />
Vorhängeschloss an die Kiste, zu dem nur er einen Schlüssel besitzt. Jetzt ist die Kiste mit<br />
dem Schloss von Alice <strong>und</strong> dem Schloss von Bob verschlossen. Bob schickt die so gesicherte<br />
Kiste an Alice zurück, diese entfernt ihr eigenes Schloss, so dass die Kiste nur noch mit Bob´s<br />
Vorhängeschloss gesichert ist. Jetzt schickt Alice die Kiste an Bob zurück, der sie mit seinem<br />
Schlüssel öffnen kann. Das Axiom scheint widerlegt.<br />
Anscheinend ist das Problem der Schlüsselverteilung damit gelöst, da bei doppelter<br />
Verschlüsselung ein Schlüsselaustausch gar nicht nötig ist. Leider hat dieses Verfahren einen<br />
entscheidenden Nachteil. Das Problem ist die Reihenfolge von Verschlüsselung <strong>und</strong><br />
Entschlüsselung. Die Reihenfolge muss bei Chiffriersystemen immer dem Prinzip: „was<br />
Abgeschlossen 43
9 <strong>Codes</strong> <strong>und</strong> <strong>Chiffriermaschinen</strong><br />
___________________________________________________________________________<br />
zuerst verschlüsselt wurde muss auch zuerst entschlüsselt werden“ folgen. Durch das<br />
Verschließen mit dem Schlüssel von Bob wird auch der Schlüssel von Alice gesperrt.<br />
Auch wenn die Idee mit der doppelten Verschlüsselung in der Kryptographie so nicht<br />
anwendbar war, machte die Idee der Arbeitsgruppe um Hellmann <strong>und</strong> Diffie Mut. Im Jahre<br />
1975 kam Diffie dann die entscheidende Idee. Bisher arbeiteten alle<br />
Verschlüsselungsverfahren mit einem symmetrischen Schlüssel, d.h. die Entschlüsselung ist<br />
einfach die Umkehr der Verschlüsselung. Sender <strong>und</strong> Empfänger haben hierbei denselben<br />
Schlüssel. Diffie aber überlegte, mit einem asymmetrischen Schlüssel zu arbeiten.<br />
Kennzeichen der asymmetrischen Verschlüsselung ist also eine Unterscheidung von Chiffrier-<br />
<strong>und</strong> Dechiffrier-Schlüssel.<br />
Alice kann mit ihrem Chiffrierschlüssel die Botschaft zwar verschlüsseln, sie kann sie aber<br />
nicht wieder entschlüsseln, ohne den passende Dechiffrierschlüssel zu haben. Wir gehen im<br />
folgenden davon aus, dass der Chiffrierschlüssel <strong>und</strong> der Dechiffrierschlüssel jeweils Zahlen<br />
sind.<br />
Das Prinzip, mit dem jetzt Alice eine geheime Nachricht an Bob schicken kann, ist<br />
folgendes:<br />
Bob hält seinen Dechiffrierschlüssel geheim, weshalb er auch privater Schlüssel genannt<br />
wird. Seinen Chiffrierschlüssel macht er dagegen überall bekannt, weshalb dieser Schlüssel<br />
auch öffentlicher Schlüssel genannt wird.<br />
Alice sucht sich Bob`s öffentlichen Schlüssel heraus, z.B. aus einem Verzeichnis ähnlich<br />
einem Telefonbuch, <strong>und</strong> chiffriert damit ihre Botschaft. Wenn Bob diese Botschaft erhält<br />
kann er sie mit seinem privaten Schlüssel wieder dekodieren. Genau so können alle anderen<br />
verfahren, die eine Nachricht an Bob schicken wollen. Niemand außer Bob selbst kann eine<br />
mit dem öffentlichen Schlüssel verschlüsselte Nachricht wieder entschlüsseln.<br />
Damit ist das Problem der Schlüsselverteilung gelöst, denn die Übergabe des öffentlichen<br />
Schlüssels muss jetzt keineswegs mehr geheim erfolgen<br />
Der schematische Ablauf, wenn Bob eine Nachricht an Alice senden möchte ist in<br />
Analogie zu der vorhergehenden Skizze der folgende:<br />
Bob geht zunächst zu einer Sammelstelle für öffentliche Vorhängeschlösser <strong>und</strong> lässt sich<br />
das Schloss „Alice“ geben. Er legt die Nachricht in eine Kiste <strong>und</strong> lässt das Vorhängeschloss<br />
„Alice“ zuschnappen. Jetzt kann niemand außer Alice selbst, die den Schlüssel besitzt, die<br />
Kiste wieder öffnen.<br />
Damit war prinzipiell ein Weg für ein sicheres Verschlüsselungsverfahren gef<strong>und</strong>en. Für<br />
die praktische Umsetzung benötigt man jedoch noch geeignete Schlüsselverfahren.<br />
Mathematisch gesehen ist ein Schlüssel eine Funktion, d.h. eine Vorschrift, die einem<br />
Element einer Menge A ein oder mehrere Elemente einer Menge B zuordnet. Vereinfacht<br />
gesagt ist eine Funktion also eine Regel, die aus einer Zahl eine andere macht. Die meisten<br />
Funktionen sind umkehrbar. Die Funktion f(x)=2x verdoppelt zum Beispiel eine Zahl. So<br />
macht diese Funktion aus einer 2 eine 4, aus einer 10 eine 20 usw. Genauso leicht ist es aber,<br />
diese Funktion umzukehren. Hat man die Zahl 12, ist es nicht schwer auf die Zahl 6 zu<br />
schließen. Damit sind umkehrbare Funktionen nicht für das obige Verschlüsselungsverfahren<br />
geeignet. Vielmehr interessieren hier die so genannten Einwegfunktionen. Diese Art von<br />
Funktionen sind einfach in eine Richtung auszuführen, aber sehr schwer, oder am optimalsten<br />
überhaupt nicht, wieder umzukehren.<br />
Abgeschlossen 44
9 <strong>Codes</strong> <strong>und</strong> <strong>Chiffriermaschinen</strong><br />
___________________________________________________________________________<br />
Ein möglicher Ausgangspunkt für derartige Funktionen ist u.a. die sogenannte Modul-<br />
Arithmetik, die sich am besten anhand einer ganz normalen Uhr (ohne Minutenzeiger)<br />
erklären lässt.<br />
Es ist 1 Uhr (a) <strong>und</strong> man möchte wissen, wie spät es in 3 St<strong>und</strong>en ist. Dann beginnt man<br />
bei der 1 <strong>und</strong> geht 3 Schritte weiter, um auf der 4 zu landen (b). In drei St<strong>und</strong>en ist es also 4<br />
Uhr. Soweit unterscheidet sich dieses Ergebnis nicht von dem der normalen Arithmetik.<br />
Interessant wird es erst, wenn die 0 überschritten wird.<br />
(a) 1 Uhr (b) 1 Uhr + 3<br />
St.<br />
Abb. 9.38 Beispiel für Modul-Arithmetik<br />
(c) 9 Uhr (d) 9 Uhr + 5<br />
St.<br />
Nehmen wir an, es ist 9 Uhr (Abb. c) <strong>und</strong> man möchte wissen, wie spät es in 5 St<strong>und</strong>en ist.<br />
Um dies festzustellen beginnt man wieder bei der 9 <strong>und</strong> geht 5 Schritte weiter. Diesmal landet<br />
man jedoch nicht bei der 14, sondern bei der 2 (d).<br />
Mathematisch drückt man die beiden Rechnungen wie folgt aus:<br />
Abgeschlossen 45
9 <strong>Codes</strong> <strong>und</strong> <strong>Chiffriermaschinen</strong><br />
___________________________________________________________________________<br />
1. Berechnung des Ergebnisses in der normalen Arithmetik<br />
a. 1 + 3 = 4<br />
b. 9 + 5 = 14<br />
2. Berechnung des Ergebnisse in der Modularithmetik<br />
Das Ergebnis wird jeweils durch x geteilt, um (mod x) zu erhalten (in diesem Fall<br />
entspricht x em Wert 12, da es sich um eine Uhr handelt)<br />
a. 4 / 12 = 0 Rest 4<br />
b. 14 / 12 = 1 Rest 2<br />
Der jeweilige Rest ist das Ergebnis in der Modularithmetik (mod x)<br />
Funktionen aus der Modular-Arithmetik verhalten sich oft unstetig, was sie zu potentiellen<br />
Kandidaten für nicht umkehrbare Funktionen macht. Nehmen wir das Beispiel 3 x <strong>und</strong> x=2,<br />
dann erhält man in der normalen Arithmetik 3 2 = 3 * 3 = 9. Erhöht man den Wert von x, so<br />
erhöht sich auch stetig der Wert der errechneten Zahl. Die folgende Tabelle zeigt den<br />
Zusammenhang:<br />
x 1 2 3 4 5 6<br />
3 x 3 9 27 81 243 729<br />
Berechnet man die Funktionswerte jedoch in der Modular-Arithmetik, so erhält man<br />
andere Ergebnise, die insbesondere nicht stetig ansteigend sind. So ergeben sich die<br />
Funktionswerte dieser Funktion in (mod 7) die folgende Wertetabelle:<br />
x 1 2 3 4 5 6<br />
3 x 3 9 27 81 243 729<br />
3 x (mod 7) 3 2 6 4 5 1<br />
Die Werte scheinen sich ungeordnet zu verhalten. Daher ist es schwer, aus dem<br />
Funktionswert auf das ursprüngliche x zu schließen. Haben wir zum Beispiel den Wert 6 als<br />
Ergebnis der Funktion, dann ist es sehr schwer festzustellen, dass x gleich 3 war. Hat man<br />
dennoch erkannt, dass die 6 der Funktionswert für x=3 ist, <strong>und</strong> will man nun den Wert von x<br />
für den Funktionswert 5 ermitteln, so vermutet man zunächst, dass x < 3 sein muss. Diese<br />
Vermutung ist jedoch falsch, da in diesem Fall gemäß der obigen Wertetabelle x=5 gilt.<br />
Dennoch ist diese spezielle Einwegfunktion nicht als Vorhängeschloss geeignet, weil sie<br />
ein entscheidendes Kriterium nicht erfüllt. Es gibt keinen Schlüssel, mit dem man das<br />
Ergebnis leicht wieder in den Eingabewert x überführen kann. Gesucht ist also eine<br />
Einwegfunktion, die in die eine Richtung (Verschlüsselung) immer leicht auszuführen ist, die<br />
aber in die Gegenrichtung nur sehr schwer zu berechnen ist, es sei denn, man besitzt den<br />
richtigen Schlüssel.<br />
Für Alice <strong>und</strong> Bob bedeutet das:<br />
Alice braucht einen öffentlichen Schlüssel, den sie an Bob <strong>und</strong> an alle ihre Bekannten<br />
weitergibt. Dieser öffentliche Schlüssel ist eine Einwegfunktion, mit der man eine Nachricht<br />
leicht verschlüsseln kann. Umgekehrt muss es aber praktisch unmöglich sein, diese Funktion<br />
umzukehren <strong>und</strong> so Mitteilungen an Alice zu entschlüsseln.<br />
Abgeschlossen 46
9 <strong>Codes</strong> <strong>und</strong> <strong>Chiffriermaschinen</strong><br />
___________________________________________________________________________<br />
Alice selbst muss aber die an sie geschickten Mitteilungen entschlüsseln können. Dazu<br />
braucht sie zusätzlich einen privaten Schlüssel, eine Information, mit der man die<br />
Einwegfunktion (den öffentlichen Schlüssel) leicht wieder umkehren kann, damit sie (<strong>und</strong> nur<br />
sie) die Information lesen kann.<br />
9.6.5 RSA<br />
Bis vor kurzem war man der Ansicht, dass eine derartige Funktion erstmalig im Jahre 1977<br />
beim MIT in Boston entwickelt wurde. Neuere Erkenntnisse belegen jedoch, dass der<br />
Ursprung dieser Technik in England zu suchen ist, <strong>und</strong> zwar beim Government<br />
Communications Headquaters (GHCQ), einer hochgeheimen Organisation, die nach dem<br />
zweiten Weltkrieg aus Bletchley Park entstanden war. Im Jahre 1969 wurde James Ellis vom<br />
Militär beauftragt, eine Lösung für das Problem der Schlüsselverteilung zu finden. Seine<br />
gesamte Arbeit unterlag strengster Geheimhaltung, weshalb erst in jüngster Zeit Einzelheiten<br />
seiner Arbeit bekannt wurden.<br />
Seine Idee basierte auf einem Bericht von Bell Telephone, dem<br />
größten amerikanischen Telekommunikations-Unternehmen,<br />
dessen Autor nicht bekannt ist. Hierin beschreibt der unbekannte<br />
Verfasser ein geniales Konzept für abhörsichere Telefonate: Der<br />
Empfänger soll die Worte des Senders durch ein Rauschen<br />
verbergen, das er selbst in die Leitung einspeist. Das Rauschen<br />
konnte der Empfänger später wieder abziehen, denn ihm selbst ist<br />
ja bekannt, woraus es besteht. Fasst man das Rauschen als<br />
Schlüssel auf, so ist das Problem der Schlüsselverteilung<br />
Abb. 9.39 James Ellis theoretisch gelöst.<br />
Somit war Ende1969 Ellis in der gleichen Situation wie Daffie <strong>und</strong> Hellmann 1976. Ellis<br />
hatte herausgef<strong>und</strong>en, dass Verschlüsselung mit einem öffentlichen <strong>und</strong> Entschlüsselung mit<br />
einem privaten Schlüssel möglich war, nur die spezielle Einwegfunktion zu finden, die weiter<br />
oben genau beschrieben wurde, gelang ihm vorerst nicht, was wahrscheinlich daran lag, dass<br />
er kein Mathematiker war.<br />
Erst 1973 gelang es Clifford Cocks, einem jungen Camebridge-Absolventen, der neu im<br />
GCHQ war, eine entsprechende Funktion zu finden. Nach eigenen Angaben zufolge hat er das<br />
Problem noch am selben Abend gelöst, als man ihn damit konfrontierte.<br />
Abb. 9.40 Clifford Cocks<br />
Auch als das Problem eigentlich gelöst war, konnte sich<br />
das englische Militär diese neue Errungenschaft nicht<br />
zunutze machen, denn es fehlte an der erforderlichen<br />
Hardware. Ellis <strong>und</strong> Cocks waren ihrer Zeit voraus, so dass<br />
ihre Idee mit den damaligen Rechnern nicht zu realisieren<br />
war.<br />
Im Jahre 1997 hielt Cocks einen Vortrag über ihre Arbeit<br />
mit RSA, nachdem das GCHQ die Geheimhaltung bezüglich<br />
RSA aufgehoben hatte. So gelangten die wirklichen Erfinder<br />
von RSA doch noch zu ihrer, für Wissenschaftler so wichtige<br />
Anerkennung. Leider kam diese für Ellis zu spät, der einen<br />
Monat zuvor im Alter von 73 Jahren gestorben war.<br />
Erstmalig veröffentlicht wurde eine geeignete Funktion unter dem Namen RSA-Funktion<br />
im Jahre 1977 durch eine Arbeitsgruppe am MIT, der die Computerwissenschaftler Ronald<br />
Abgeschlossen 47
9 <strong>Codes</strong> <strong>und</strong> <strong>Chiffriermaschinen</strong><br />
___________________________________________________________________________<br />
Rivest <strong>und</strong> Adi Shamir , sowie der Mathematiker Leonard Adleman angehörten. Da die<br />
Arbeiten von Ellis <strong>und</strong> Cocks zu diesem Zeitpunkt noch geheim waren, konnte das RSA-<br />
Verfahren zum Patent angemeldet werden. Das Patent lief am 21. September 2000 aus.<br />
Abb. 9.41 Leonard Adleman, Ronald Rivest, Adi Shamir<br />
Die RSA-Funktion beruht auf der oben erläuterten Modular-Arithmetik. Kernpunkt der<br />
Funktion ist eine spezielle Zahl N, der Bestandteil der Funktion, der sie unter bestimmten<br />
Voraussetzungen umkehrbar macht. Die Ver- <strong>und</strong> Entschlüsselung läuft folgendermaßen ab:<br />
Alice wählt zwei riesige Primzahlen, p <strong>und</strong> q.<br />
Der Einfachheit halber nehmen wir kleine Primzahlen, in<br />
diesem Fall p=11 <strong>und</strong> q=17.<br />
Alice multipliziert ihre Primzahlen miteinander <strong>und</strong> erhält N.<br />
In diesem Fall ist N=187.<br />
Alice wählt eine weiter Zahl e. (Hier e=7). Diese Zahl muss<br />
zu (p-1)x(q-1) teilerfremd sein.<br />
Alice lässt N <strong>und</strong> e in einem öffentlichen Verzeichnis, wie<br />
bei einem Telefonbuch, abdrucken. Diese beiden Zahlen<br />
bilden den öffentlichen Schlüssel.<br />
Um eine Mitteilung, die aus einzelnen Zeichen besteht,<br />
verschlüsseln zu können, muss jedes Zeichen in eine Zahl<br />
verwandelt werden. Der ASCII-Code verwandelt Zeichen in<br />
Binärzahlen, die dann wiederum als Dezimalzahl M<br />
betrachtet werden kann.<br />
Um einen Geheimtext zu erhalten muss M verschlüsselt<br />
werden: Die geschieht durch<br />
C = M e (mod N)<br />
Bob möchte der Einfachheit halber nur ein verschlüsseltes X an<br />
Alice senden. Der in moderne Rechner übliche ASCII-Code gibt für<br />
diesen Buchstaben die Binärzahl 1011000 zurück, was der<br />
Dezimalzahl 88 entspricht. Damit ist M=88. Jetzt sucht Bob Alice`s<br />
öffentlichen Schlüssel heraus, e=7 <strong>und</strong> N=187 <strong>und</strong> verschlüsselt die<br />
Botschaft:<br />
Abgeschlossen 48
9 <strong>Codes</strong> <strong>und</strong> <strong>Chiffriermaschinen</strong><br />
___________________________________________________________________________<br />
C= 88 7 (mod 187)<br />
= 11<br />
Jetzt schickt Bob den Geheimtext C=11 an Alice.<br />
Alice berechnet eine bestimmte Zahl d, den Dechiffrierschlüssel, der<br />
als privater Schlüssel bezeichnet wird. Alice kann das, weil sie p<br />
<strong>und</strong> q kennt. Die Zahl d wird durch folgende Formel berechnet:<br />
e * d = 1 ( mod ((p –1) * (q – 1)))<br />
7 * d = 1 (mod ((17-1) * (11 – 1)))<br />
7 * d = 1 (mod 160)<br />
d = 23<br />
Um die Mitteilung zu entschlüsseln benutzt Alice die folgende<br />
Formel:<br />
<strong>und</strong> erhält damit<br />
M = C d (mod N)<br />
M = 11 23 (mod 187)<br />
= [11 1 (mod 187) * 11 2 (mod 187) *<br />
11 4 (mod 187) * 11 16 (mod 187)] (mod 187)<br />
= [11*121*55*154] (mod 187)<br />
= 11.273.570 (mod 187)<br />
= 88<br />
= X<br />
Hierbei ist zu beachten, dass 7 * d = 1 (mod 160) nicht nur die 23 als einziges Ergebnis<br />
(wie oben dargestellt) besitzt, sondern unendlich viele, z.B. 23, 183, 343, 503, 663, 823, ... .<br />
Um den Rechenaufwand zu reduzieren, bietet es sich aber an, das kleinste dieser Ergebnisse<br />
zu verwenden. Die übrigen Ergebnisse liefern jedoch das gleiche Endresultat.<br />
Zur Demonstration sei noch mal der Rechenweg für d = 183 gezeigt:<br />
M = 11 183 (mod 187)<br />
= [11 1 (mod 187) * 11 2 (mod 187) * 11 4 (mod 187) * 11 16 (mod 187) * 11 16 (mod 187) *<br />
11 16 (mod 187) * 11 16 (mod 187) * 11 16 (mod 187) * 11 16 (mod 187) * 11 16 (mod 187) *<br />
11 16 (mod 187) * 11 16 (mod 187) * 11 16 (mod 187) * 11 16 (mod 187)] (mod 187)<br />
= [11 * 121 * 55 * 154 11 ] (mod 187)<br />
= 88<br />
Abgeschlossen 49