Kapitel 3.5

108 3 Codierung
⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯
3.5 Verschlüsselung
3.5.1 Vorbemerkungen
Definitionen
Zu allen Zeiten strebte man danach, Informationen zuverlässig und vertraulich über unsichere
Kanäle zu senden. Übermittelt beispielsweise Alice eine unverschlüsselte Nachricht an
Bob, so könnte eine unbefugte Person, vielleicht Cleo (oft auch Mallory), diese Nachricht
abfangen, mitlesen und eventuell auch verändern. Cleo könnte sogar eine erfundene Nachricht
an Bob senden und vorgeben, Alice zu sein. Um den Nachrichtenaustausch sicherer zu
gestalten, kann man Nachrichten verschlüsseln, d.h. so codieren, dass die darin enthaltene
Information verborgen ist und dass die Decodierung ohne den Schlüssel sehr schwierig, im
Idealfall sogar unmöglich ist. Das Verschlüsseln (Encipherment, Encryption) einer im Klartext
gegebenen Nachricht x∈A* mit Alphabet A wird durch eine Funktion y=C(x,keyc) vermittelt,
das Entschlüsseln (Decipherment, Decryption) durch eine Funktion x=D(y,keyd). Beim Verschlüsseln
wird ein Schlüssel keyc verwendet, beim Entschlüsseln ein Schlüssel keyd. Sind
die Schlüssel keyc und keyd identisch, so spricht man von einem symmetrischen Verschlüsselungsverfahren,
andernfalls von einem asymmetrischen. Die effiziente Verschlüsselung und
Entschlüsselung von Nachrichten ist das Aufgabengebiet der Kryptographie, die ein Teilbereich
der Kryptologie ist (siehe [Bau00] und [Beu02]). Viele C-Programme zu diesem Thema
findet man in [Schn96]. Zur Kryptologie rechnet man ferner die Steganographie, das ist die
Technik des Verbergens der bloßen Existenz von Nachrichten durch technische oder linguistische
Methoden.
Eine abgefangene oder mitgehörte Nachricht zu entziffern (Kryptanalyse) oder zu verändern
ist nicht ohne weiteres möglich. Man kann z.B. versuchen, durch eine Häufigkeitsanalyse
den verschlüsselten Text zu entziffern, was jedoch bei modernen Verfahren praktisch unmöglich
ist. Es ist aber zu bedenken, dass theoretisch zwar absolut sichere Verschlüsselungsmethoden
(z.B. das Vernam-Verfahren) möglich, aber praktisch kaum einsetzbar sind.
Man muss daher auf eine absolute Sicherheit verzichten und sich stattdessen mit einer praktischen
Sicherheit zufrieden geben. Als größtes Sicherheitsrisiko verbleibt, dass Cleo von
dem geheimen Schlüssel Kenntnis erhält und dadurch in der Lage wäre, geheime Nachrichten
zu lesen und zu fälschen.
Forderung an ein sicheres Kommunikationssystem
Miteinander kommunizierende Partner werden also vier wesentliche Forderungen an ein
sicheres System stellen:
• Einem Unbefugten soll es nicht möglich sein, ausgetauschte Nachrichten zu entschlüsseln
und mitzulesen (Geheimhaltung, Vertraulichkeit, Confidentiality).
• Einem Unbefugten soll es nicht möglich sein, abgefangene Nachrichten zu verändern (Integrität,
Integrity).
• Sender und Empfänger wollen die Gewissheit über die Identität des Kommunikationspartners
haben (Authentizität, Authenticity).
• Die Art und Weise wie Schlüssel erzeugt, verwahrt, weitergegeben und wieder gelöscht
werden, muss sicher sein (Key Management).

3 Codierung 109
⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯
Anwendungsbereiche
Mit der zunehmenden Bedeutung der Datenfernübertragung in Kommunikationsnetzen wird
auch deren Sicherheit immer wichtiger. Ein Beispiel dafür ist die Abwicklung von Bankgeschäften
oder die Bestellung und Bezahlung von Waren und Dienstleistungen in öffentlichen
Netzen (E-Commerce). Verschlüsselungs-Protokolle sind daher auch Bestandteil des OSI-
Schichtenmodells (von Open Systems Interconnection, siehe Kapitel 13.1.4) sowie anderer
Kommunikations-Standards. Wichtig ist dabei der Schutz lokaler Netze, die an übergeordnete
offene Netze (insbesondere das Internet) angeschlossen sind, vor unerwünschtem Zugriff
von außen. Zu diesem Zweck werden Firewall-Systeme eingesetzt, die in einer Kombination
aus Hardware und Software den Datenfluss zwischen lokalen Netzen und der Außenwelt
kontrollieren und protokollieren. Zu erwähnen ist ferner die Bedeutung von Verschlüsselungssystemen
im Zusammenhang mit den Anforderungen von Datenschutz (siehe Bundesdatenschutzgesetz
Kapitel 8.3.7) und Datensicherheit (siehe Kapitel 8.3.8).
Geheime und öffentliche Schlüssel
Einige Möglichkeiten zur Verschlüsselung werden im Folgenden vorgestellt. Dabei wird, wie
in Abb. 3.5.1 erläutert, zwischen symmetrischen Verschlüsselungsverfahren mit geheimen
Schlüsseln (Secret-Key Cryptosystems) und asymmetrischen Verfahren mit öffentlichen
Schlüsseln (Public-Key Cryptosystems) unterschieden.
Alice
y=C(x,key)
Cleo
Unsicherer Kanal
(Nachricht)
Bob
x=D(y,key)
Sicherer Kanal (Schlüsselaustausch)
Cleo
symmetrisches
Kryptosystem
Alice
y=C(x,keyc)
Cleo
Cleo
Unsicherer Kanal
(Nachricht)
Öffentliches
Schlüsselverzeichnis
asymmetrisches
Kryptosystem
Bob
x=D(y,keyd)
Abbildung 3.5.1:
Links: Modell eines symmetrischen Kryptosystems. Alice verschlüsselt ihre Nachricht x mit dem Verfahren
y=C(x,key) und sendet den verschlüsselten Text y über einen möglicherweise unsicheren Kanal
an den Empfänger Bob. Dieser entschlüsselt mittels x=D(y,key) die Nachricht und erhält den Klartext
x. Da ein unsicherer Kanal verwendet wird, könnte Cleo in den Besitz der verschlüsselten Nachricht
gelangen. Ohne Kenntnis des Schlüssels key kann sie die Nachricht jedoch praktisch nicht entschlüsseln.
Eine Entschlüsselung ist praktisch nur möglich, wenn es Cleo gelingen sollte, trotz der Verwendung
eines sicheren Kanals den zwischen Alice und Bob ausgetauschten Schlüssel abzufangen.
Rechts: Modell eines asymmetrischen Kryptosystems. Alice verschlüsselt ihre Nachricht x mit dem
Verfahren y=C(x,keyc) und sendet den verschlüsselten Text y über einen möglicherweise unsicheren
Kanal an den Empfänger Bob. Den zur Verschlüsselung für an Bob gerichtete Nachrichten zu verwendenden
Schlüssel entnimmt Alice aus dem öffentlichen Schlüsselverzeichnis. Bob entschlüsselt
unter Verwendung des nur ihm bekannten privaten Schlüssels keyd mittels x=D(y,keyd) die Nachricht
und erhält den Klartext x. Auch hier kann Cleo ohne Kenntnis des Schlüssels eventuell abgefangene
Nachricht praktisch nicht entschlüsseln. Da jedoch ein Schlüsselaustausch entfällt, kann Cleo kaum in
den Besitz des Schlüssels privaten Schlüssels gelangen. Nicht ganz unproblematisch ist allerdings
die Verwaltung der öffentlichen Schlüssel, auf die ja auch ein Angreifer uneingeschränkten Zugriff hat.

110 3 Codierung
⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯
Bei Verfahren mit geheimen Schlüsseln wird zum Verschlüsseln und zum Entschlüsseln derselbe
Schlüssel verwendet; es handelt sich also um symmetrische Verfahren. Der Schwachpunkt
ist dabei der Schlüsselaustausch, da n Partner, die miteinander kommunizieren wollen,
sich zuvor unter Verwendung sicherer Kanäle über bis zu n(n-1)/2 geheime Schlüssel verständigen
müssen. Für symmetrische Verfahren hat sich der 1977 entwickelte Data Encryption
Standard (DES) durchgesetzt.
Bei Verfahren mit öffentlichen Schlüsseln wird zum Verschlüsseln ein öffentlicher Schlüssel
verwendet und zum Entschlüsseln ein davon verschiedener, privater Schlüssel. Es handelt
sich dabei also um asymmetrische Verfahren, so dass der riskante Austausch geheimer
Schlüssel entfällt. Als De-Facto-Standard hat sich das 1977 von Rivest, Shamir und Adleman
[Riv78] beschriebene und nach ihnen benannte RSA-Verfahren durchgesetzt.
3.5.2 Substitutions-Chiffren
Eine sehr nahe liegende allgemeine Methode zur Verschlüsselung ist das Ersetzen von Zeichen
des Klartextes durch Chiffre-Zeichen, die für gewöhnlich aus demselben Alphabet
stammen. Man nennt solche Verschlüsselungsverfahren Tausch-Chiffren oder Substitutions-
Chiffren. Beim Ersetzen einzelner Zeichen spricht man von einer monographischen, beim
Ersetzen von Zeichengruppen von einer polygraphischen Substitution.
Der Cäsar-Code
Die einfachsten Substitutions-Chiffren sind Verschiebe-Chiffren. Ein Zeichen xi des n Zeichen
umfassenden Alphabets A wird dabei nach folgender Vorschrift ersetzt:
xi → x(i+d) mod n
Der Index i läuft von 1 bis n und nummeriert die Zeichen des Alphabets, wobei der Index 0
dem Index n entspricht. Der Schlüssel ist hier einfach eine Distanz d, die bestimmt, durch
welchen Buchstaben das Zeichen xi zu ersetzen ist. Durch die Modulo-Division wird sichergestellt,
dass die Ersetzung alle Zeichen des Alphabets erfassen kann, aber auf dieses beschränkt
bleibt. Man kann die Schlüssel bzw. Distanzen auch durch dem verwendeten Alphabet
entnommene Schlüsselzeichen ausdrücken. Im Falle des lateinischen Alphabets erhält
man dementsprechend A für d=0, B für d=1 etc. Dieses Verfahren wurde mit d=3 bereits
durch Gaius Julius Cäsar (100 bis 44 v. Chr.) für militärische Zwecke eingesetzt; es ist daher
als Cäsar-Code bekannt.
Beispiel
Es werden nur die 26 Buchstaben des lateinischen Alphabets verwendet. Der Schlüssel sei
d=12, entsprechend dem Buchstaben M. Interpunktionen und Zwischenräume bleiben unberücksichtigt.
Zur besseren Übersichtlichkeit schreibt man den Klartext in Kleinbuchstaben
und den verschlüsselten Geheimtext in Großbuchstaben. Aus dem Klartext „Legionen nach
Rom!“ wird also unter Verwendung des dem Schlüsselzeichens M:
Klartext: legionennachrom
Geheimtext: XQSUAZQZZMOTDAY
Kryptanalyse
Einfache Substitutions-Chiffren wie der Cäsar-Code sind durch eine Häufigkeitsanalyse
leicht zu entschlüsseln. Man muss zur Kryptanalyse nur für die empfangenen Zeichen einer
(möglichst langen) verschlüsselten Nachricht deren Auftrittshäufigkeiten tabellieren und mit
den für die jeweilige Sprache typischen Werten vergleichen. Bei dem obigen Beispiel tritt im
chiffrierten Text der Buchstabe Z am häufigsten auf, nämlich drei mal. Die Buchstaben Q und

3 Codierung 111
⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯
A treten je zweimal auf. Für einen durchschnittlichen deutschen Text gelten folgende relative
Häufigkeiten für das Auftreten der häufigsten Zeichen (siehe Kap. 2.5.2):
we = 0.147, wn = 0.0884, wr = 0.0686, wi = 0.0638, ws = 0.0539, wt = 0.0473 etc.
Man wird also in dem obigen Beispiel zunächst versuchen, Z mit E zu identifizieren und
dementsprechend für den Schlüssel d=21 einsetzen. Dies ergibt jedoch keinen vernünftigen
Klartext. Bereits die nächste sinnvolle Annahme, nämlich die Identifikation von Z mit N, führt
aber schon zum korrekten Ergebnis d=12.
Eine weitere Möglichkeit der kryptanalytischen Atacke ist das exhaustive Durchsuchen des
gesamten Schlüsselraumes, d.h. des Ausprobierens aller prinzipiell möglichen Schlüssel. Im
Falle von Cäsar-Codes können bei einem zu Grunde liegenden Alphabet mit 26 Zeichen ja
nur 25 verschiedene Schlüssel existieren, so dass ein Knacken dieses Codes selbst per
Hand sehr einfach ist.
Eine für Cleo günstige Situation für einen kryptanalytischen Angriff ist der Known-Plaintext-
Angriff, bei dem ihr zu einem abgefangenen Text auch der Klartext in die Hände fällt. Beim
Cäsar-Codes genügt offenbar ein einziges verschlüsseltes Zeichen mit dem zugehörigen
Klartextzeichen zur sofortigen Bestimmung des Schlüssels.
Vigenère-Codes
Um die Sicherheit der Substitutions-Verschlüsselung zu erhöhen, kann man längere
mehrstellige Schlüssel einsetzen. Diese werden aus mehreren Teilschlüsseln d1,d2...dm zusammengesetzt
und auf jeweils m benachbarte Zeichen angewendet.
Beispiel
Als Beispiel soll wieder der Text „Legionen nach Rom!“ verwendet werden. Als Schlüssel diene
das Wort NEW, entsprechend den Distanzen d1=13, d2=4, d3=22, wobei die Zählung mit A=0
beginnt. Bei der Verschlüsselung ergibt sich nacheinander l+N → Y, e+E → I, g+W → C, i+N
→ V, o+E → S usw.
Klartext: legionennachrom
Schlüssel: NEWNEWNEWNEWNEW
Geheimtext: YICVSJRRJNGDESI
Die Verschlüsselung ist zwar etwas aufwendiger als im Falle des Cäsar-Codes, doch mit
Hilfe des weiter unten tabellierten Vigenère-Tableau ohne große Mühe durchführbar.
Der Kasiski-Test
Zur Kryptanalyse von Texten, für welche ein Vigenère-Code vermutet wird, gilt es als erstes,
die Schlüssellänge zu ermitteln. Eine einfache und effiziente Methode dazu ist der Kasiski-
Test. Man nutzt dabei aus, dass für zwei identische Klartextzeichen auch die Geheimtextzeichen
identisch sein müssen, wenn die zugehörigen Schlüsselzeichen gleich sind. Die Distanzen
sich wiederholender Zeichen oder Zeichengruppen im Geheimtext sind daher mit
hoher Wahrscheinlichkeit Vielfache der Schlüssellänge, die sich somit als die am häufigsten
auftretende gemeinsame Primfaktor verschiedener Distanzen ergibt. Allerdings können Übereinstimmungen
auch durch Zufall entstehen. Im obigen Beispiel YICVSJRRJNGDESI
kommen die Zeichen I, S, J und R je zweimal vor. Die Distanzen dI=13, dS=9=3·3, dJ=3 und
dR=1 legen die (hier korrekte) Schlüssellänge 3 nahe.
Nun ordnet man den Geheimtext in Zeichengruppen mit der Schlüssellänge d an, hier also
YIC VSJ RRJ NGD ESI. Die häufigsten Zeichen sind an zweiter Position S und an dritter Position
J. Über die erste Position ist keine Aussage möglich. Immerhin kann man so das zweite
oder dritte Schlüsselzeichen am ehesten mit dem häufigsten Klartextzeichen e identifizieren.

112 3 Codierung
⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯
Weitere statistische Aussagen sind hier jedoch nicht möglich und wegen der Kürze des Textes
auch nicht zu erwarten.
Tabelle 3.5.1: Das Vigenère-Tableau.
Mit Hilfe einer quadratischen Tabelle der Zeichen des verwendeten Alphabets lassen sich die Verschlüsselung
und Entschlüsselung bequem per Hand durchführen. Aus dem Klartextzeichen c wird
beispielsweise mit dem Schlüssel E gemäß der Zeile d=4 das Geheimtextzeichen G.
a b c d e f g h i j k l m n o p q r s t u v w x y z
d =0 A B C D E F G H I J K L M N O P Q R S T U V W X Y Z
1 B C D E F G H I J K L M N O P Q R S T U V W X Y Z A
2 C D E F G H I J K L M N O P Q R S T U V W X Y Z A B
3 D E F G H I J K L M N O P Q R S T U V W X Y Z A B C
4 E F G H I J K L M N O P Q R S T U V W X Y Z A B C D
5 F G H I J K L M N O P Q R S T U V W X Y Z A B C D E
6 G H I J K L M N O P Q R S T U V W X Y Z A B C D E F
7 H I J K L M N O P Q R S T U V W X Y Z A B C D E F G
8 I J K L M N O P Q R S T U V W X Y Z A B C D E F G H
9 J K L M N O P Q R S T U V W X Y Z A B C D E F G H I
10 K L M N O P Q R S T U V W X Y Z A B C D E F G H I J
11 L M N O P Q R S T U V W X Y Z A B C D E F G H I J K
12 M N O P Q R S T U V W X Y Z A B C D E F G H I J K L
13 N O P Q R S T U V W X Y Z A B C D E F G H I J K L M
14 O P Q R S T U V W X Y Z A B C D E F G H I J K L M N
15 P Q R S T U V W X Y Z A B C D E F G H I J K L M N O
16 Q R S T U V W X Y Z A B C D E F G H I J K L M N O P
17 R S T U V W X Y Z A B C D E F G H I J K L M N O P Q
18 S T U V W X Y Z A B C D E F G H I J K L M N O P Q R
19 T U V W X Y Z A B C D E F G H I J K L M N O P Q R S
20 U V W X Y Z A B C D E F G H I J K L M N O P Q R S T
21 V W X Y Z A B C D E F G H I J K L M N O P Q R S T U
22 W X Y Z A B C D E F G H I J K L M N O P Q R S T U V
23 X Y Z A B C D E F G H I J K L M N O P Q R S T U V W
24 Y Z A B C D E F G H I J K L M N O P Q R S T U V W X
25 Z A B C D E F G H I J K L M N O P Q R S T U V W X Y
Die beschriebenen einfachen Verfahren sind heute nur noch zur Einführung in die Thematik
von Interesse. Ihre frühere Bedeutung haben sie längst verloren, da sie heutzutage keine
ausreichende Sicherheit mehr bieten.
3.5.3 Transpositions-Chiffren und Enigma
Definition von Transpositions-Chiffren
Mehr Sicherheit als Verschiebe-Chiffren bieten die sog. Transpositions-Chiffren. Man versteht
darunter Permutationen des Klartextes. Die Zeichen xi eines Alphabets A mit n Zeichen
werden bei einer allgemeinen Permutation nach der Vorschrift
xi → x(k·i+d) mod n
auf Zeichen desselben Alphabets abgebildet. Dabei müssen der multiplikative Schlüssel k
und der additive Schlüssel d beide kleiner als n sein. Außerdem dürfen n und k keine gemeinsamen
Faktoren haben, der größte gemeinsamen Teiler ggT(k,n) muss also 1 sein. Im
Folgenden wird auf diese Bedingung noch detaillierter eingegangen. Man sieht, dass der
Cäsar-Code mit k=1 als ein Spezialfall in der Klasse der Transpositions-Chiffren enthalten ist.
Ein weiterer Sonderfall liegt vor, wenn der additive Schlüssel d=0 ist; man spricht dann von
Produkt-Chiffren.

3 Codierung 113
⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯
Da derartige Verfahren für den manuellen Gebrauch zu komplex und damit zu fehleranfällig
sind, konnten sie sich erst mit der Verfügbarkeit elektromechanischer Verschlüsselungsautomaten
durchsetzen.
Die Funktionsweise von Enigma
Das erste im großen Stil verwendete, auf Transpositions-Chiffren aufbauende Kryptosystem
war das elektromechanische Verschlüsselungsgerät mit dem Namen Enigma (von Altgriechisch
„Rätsel“) [Dew88]. Es diente der deutschen Wehrmacht im zweiten Weltkrieg insbesondere
zur Kommunikation mit der U-Boot-Flotte. Mit Enigma konnten die 26 Buchstaben
des lateinischen Alphabets verschlüsselt und entschlüsselt werden.
Die Maschine bestand in ihrer ersten Variante aus zwei feststehenden Scheiben und drei
beweglichen, auswechselbaren Zahnrädern, die über jeweils 26 Schleifkontakte miteinander
verbunden waren. Die erste, feststehende Scheibe arbeitete als Transpositionsschlüssel;
durch steckbare Kabel konnte eine beliebige Permutation eingestellt werden. Die Verdrahtung
der drei beweglichen Zahnräder war dagegen fest, es konnten jedoch drei Räder aus
einem Vorrat von fünf verschiedenen Rädern ausgewählt werden.
+2 +1
A
B
C
D
Permutator Rad1 Rad2 Rad3 Reflektor
In dieser Stellung ergeben sich bei der
Verschlüsselung und bei der Entschlüsselung
die Zuordnungen:
A→B, B→A, C→D, D→C
A
B
C
D
Permutator Rad1 Rad2 Rad3 Reflektor
Rad 1 wurde um zwei Positionen im Uhrzeigersinn bewegt
und Rad 2 um eine Position. Die Stellung von Rad
3 blieb unverändert. Jetzt ergeben sich die Zuordnungen:
A→C, B→D, C→A, D→B
Abbildung 3.5.2: Enigma bestand aus einer feststehenden Permutator-Scheibe, drei drehbaren
Zahnrädern und einer ebenfalls feststehenden Reflektor-Scheibe. In diesem vereinfachten Modell
werden nur die vier Buchstaben A, B, C und D codiert. Links ist die Ausgangsstellung angegeben,
daneben eine Stellung, in der Rad 1 um zwei Positionen und Rad 2 um eine Position weiterbewegt
wurde.
Jedes Zahnrad realisierte durch die interne Verkabelung eine umkehrbar eindeutige Abbildung
auf das Alphabet {A, B, . . . Z}. Sowohl bei der Verschlüsselung als auch bei der Entschlüsselung
wird das erste Zahnrad bei jedem Zeichen um eine Position weitergedreht.
Nach 26 Schritten wird das zweite Rad um eine Position weitergedreht und nach 26 Schritten
des zweiten Rades schließlich das dritte Rad. Insgesamt ergibt dies 26⋅26⋅26=17576 verschiedene
Stellungen, entsprechend einem Code mit dieser Schlüssellänge. Die letzte
Scheibe ist als Reflektor geschaltet, so dass der Signalfluss die Maschine zunächst in Vorwärtsrichtung
und dann durch den Reflektor wieder zurück in der Gegenrichtung durchläuft.
Wegen dieser Symmetrie kann in derselben Anordnung ein Text sowohl verschlüsselt als
auch entschlüsselt werden; die Symmetrie bedingt aber auch, dass mit der Codierung x→y
auch y→x gilt. Der für die Verschlüsselung und für die Entschlüsselung zu übermittelnde
Schlüssel besteht also nur aus der Auswahl der drei Zahnräder und deren Anfangsstellung.
Abbildung 3.5.2 zeigt die Funktionsweise von Enigma.

114 3 Codierung
⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯
Zur Analyse des Codes ist für einen Angreifer der Besitz einer Enigma-Maschine von Vorteil,
zumindest aber die Kenntnis der Verschaltung der feststehenden Scheiben und der Zahnräder.
In den letzten Jahren des zweiten Weltkriegs ist den Engländern ein Exemplar der Enigma
samt Bedienungsanleitung in die Hände gefallen. Unter Leitung von Alan Turing gelang es
dann englischen Wissenschaftlern, den Enigma-Code zu brechen. Der U-Boot-Krieg war
damit entschieden.
Multiplikative Schlüssel
Die Enigma-Verschlüsselung beruht im Wesentlichen auf den am Anfang dieses Abschnitts
definierten Transpositions-Chiffren, die jetzt etwas genauer untersucht werden sollen. Während
Verschiebungen, wie im vorigen Kapitel beschrieben, Schlüssel-Additionen entsprechen,
benötigt man für allgemeine Transpositionen auch Produkte. Geht man von einem
Alphabet A mit n Zeichen aus, so multipliziert man die Position eines Zeichens mit dem
Schlüssel k und berechnet so Modulo n die Position des chiffrierten Zeichens. Durch die Modul-Arithmetik
wird sichergestellt, dass die Abbildungen auf die zulässigen Zeichen des Alphabets
A beschränkt bleiben, dass also die Position 0 wieder der Position n entspricht, die
Position 1 der Position n+1 usw. Es zeigt sich jedoch, dass nicht beliebige Kombinationen
aus Schlüssel k und Modul n zu einer eindeutigen Abbildung führt. Betrachtet man als Beispiel
wieder die lateinischen Buchstaben mit n=26 und den multiplikativen Schlüssel k=4, so
ergibt das die folgende Zuordnung von Klarzeichen zu Chiffre-Zeichen:
Position: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26
Klarzeichen: a b c d e f g h i j k l m n o p q r s t u v w x y z
Chiffrezeichen: D H L P T X B F J N R V Z D H L P T X B F J N R V Z
Offenbar wiederholt sich die Folge der verschlüsselten Zeichen ab dem unterstrichenen Zeichen
D an Position 14. Diese Abbildung ist daher nicht eindeutig und somit für eine Verschlüsselung
untauglich. Für eine brauchbare Kombination (k, n) muss man fordern, dass
mit k⋅x = k⋅y mod n auch x = y mod n gilt. Damit ist gleich bedeutend, dass k und n teilerfremd
sind, bzw. dass der größte gemeinsame Teiler ggT(k,n)=1 ist. Daraus folgt weiter, dass genau
diejenigen Schlüssel k für eine Chiffrierung taugen, die eine modulare Inverse k -1 haben.
Die Inverse k -1 einer Zahl k bezüglich der Multiplikation ist üblicherweise durch k⋅k -1 =
1 definiert. In Analogie dazu definiert man die modulare Inverse durch k⋅k -1 mod n = 1.
Für die oben probeweise als Schlüssel gewählte Zahl k=4 gilt 4⋅3 = 4⋅16 mod 26 = 12 aber
offenbar nicht 3 = 16 mod 26, so dass also die obige Bedingung nicht erfüllt ist. Daraus folgt,
dass k=4 nicht als Schlüssel geeignet ist. Man sieht auch sofort, dass der Schlüssel k=4 und
der Modulus n=26 den gemeinsamen Teiler 2 haben, also nicht teilerfremd sind. Außerdem
kann es keine bezüglich 26 modular Inverse zu k=4 geben, was sich schon daran erweist,
dass die Gleichung 4⋅k -1 =1 mod 26 keine Lösung haben kann, weil 4⋅k -1 eine ungerade Zahl
sein müsste, damit bei der Division durch 26 der Rest 1 verbleiben könnte. Da aber 4 gerade
ist, ist dies auch 4⋅k -1 . Damit ist auch klar, dass für den Schlüssel k keine geraden Zahlen in
Frage kommen und dass nur der Bereich 1

3 Codierung 115
⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯
Position: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26
Klarzeichen: a b c d e f g h i j k l m n o p q r s t u v w x y z
Chiffrezeichen: G N U B I P W D K R Y F M T A H O V C J Q X E L S Z
Kombination multiplikativer und additiver Schlüssel
Durch Kombination von multiplikativen und additiven Schlüsseln ergeben sich effiziente Verschlüsselungsverfahren,
wofür Enigma ein Beispiel gibt.
Im einfachsten Fall kann man einen multiplikativen Schlüssel k mit einem additiven Schlüssel
s verknüpfen, was jedoch mit n=26 keinen wirksamen Schutz bietet, da nur n⋅[φ(n)-1], hier
also 26⋅11=286 Schlüsselkombinationen bestehen, so dass eine exhaustive Suche mit Computer-Hilfe
kein Problem ist. Auch die Known-Plaintext-Attacke führt mit nur zwei bekannten
Zeichen schon zum Ziel. Die Methode soll noch durch ein Beispiel verdeutlicht werden.
Beispiel
Alice wählt den multiplikativen Schlüssel k=7 und den additiven Schlüssel d=5. Die Verschlüsselung
des Textes „liebling“ ergibt mit den n=26 lateinischen Buchstaben:
Klartext: l i e b l i n g
Multiplikation mit k=7: F K I N F K T W
Verschiebung um d=5: K P N S K P Y B
Zur Entschlüsselung wendet Bob die entsprechenden inversen Operationen an. Er subtrahiert
also zunächst d=5 und müsste danach durch k=7 dividieren. Dieser Division entspricht
die Multiplikation mit der modularen Inversen k -1 von k, nämlich k -1 =15. Offenbar ist 7⋅15 mod
26 =105 mod 26 =1, so dass 15 tatsächlich die gesuchte Inverse ist. Bob rechnet also:
Verschlüsselter Text: K P N S K P Y B
Verschiebung um -d=-5: F K I N F K T W
Multiplikation mit k -1 =15: l i e b l i n g
Die Known-Plaintext-Attacke für Transpositions-Chiffren
Verwendet man nur einen multiplikativen Schlüssel k und einen additiven Schlüssel d, so
genügt für eine erfolgreiche Known-Plaintext-Attacke die Kenntnis von zwei Klartext-Zeichen
mit den Positionen x1 und x2 und deren Chiffre-Zeichen mit den Positionen y1 und y2. Man
erhält damit zwei Gleichungen mit den beiden Unbekannten k und s und rechnet folgendermaßen:
Gegeben sind die beiden Gleichungen:
y1 = (x1⋅k + d) mod n und y2 = (x2⋅k + d) mod n
Im Folgenden sei angenommen, dass alle Rechnungen mod n erfolgen, so dass mod n weggelassen
werden kann. Zunächst berechnet man nun den Schlüssel k:
y1 - y2 = x1⋅k - x2⋅k = (x1 - x2⋅)⋅k also k = (y1 - y2) ⋅ (x1 - x2) -1
Bei der Bildung der Differenzen (x1 - x2) und (y1 - y2) ist ggf. n zu addieren, damit diese im
erlaubten Bereich von 1 bis n bleiben. Für d findet man dann mit dem schon bekannten k:
d = y1 - x1⋅k

116 3 Codierung
⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯⎯
Beispiel
Greift man aus dem obigen Beispiel willkürlich b→S und i→P heraus, also x1=2, y1=19, x2=9
und y2=16, so erhält man die beiden Gleichungen:
y1 = x1⋅k + d → 19 = 2⋅k + d
y2 = x2⋅k + d → 16 = 9⋅k + d
Also: k = (19 - 16)⋅(2 - 9) -1 mod 26 = 3⋅(-7) -1 mod 26 = 3⋅19 -1 mod 26 = 3⋅11 mod 26 = 7
Damit ist das richtige Ergebnis k=7 gefunden. Es war zu beachten, dass -7 äquivalent mit 26-
7=19 ist und dass 11 die modular Inverse von 19 ist. Existiert keine Inverse, so führt direkte
Division zum Ziel. Für den additiven Schlüssel d folgt nun sofort: d = 19 - 2⋅7 = 5.
Der Euklid’sche ggT-Algorithmus und die Berechnung der modular Inversen
Die bisherigen Ausführungen zeigen, dass für den Umgang mit Transpositions- bzw. Tausch-
Chiffren zwei Operationen wesentlich sind:
• man muss feststellen, ob zwei Zahlen teilerfremd sind
• und man muss die modular Inverse bestimmen
Beides ist mit dem Euklid’schen ggT-Algorithmus zur Bestimmung des größten gemeinsamen
Teilers zweier natürlicher Zahlen n und k sehr effizient zu erledigen. Der Algorithmus
lässt sich folgendermaßen rekursiv formulieren:
ggT(n,k) = ggT(k, n mod k) für k>0
ggT(n,0) = n
Beispiel
Der größte gemeinsame Teiler der Zahlen n=455 und k=20 ist zu ermitteln.
ggT(455,20)=ggT(20,15)=ggT(15,5)=ggT(5,0)=5
Explizit rechnet man: 455:20 = 22 (Rest 15), 20:15 = 1 (Rest 5), 15:5 = 3 (Rest 0)
Die Zahlen k=20 und n=455 haben also den größten gemeinsamen Teiler 5 und sind damit
nicht teilerfremd.
Bei jedem Rechenschritt halbieren sich die Zahlenwerte der verbleibenden Reste ungefähr,
so dass die Anzahl der Rechenschritte mit zunehmendem n nur sehr langsam ansteigt, nämlich
in etwa wie log(n). Man sagt, die Komplexität des Algorithmus sei von der Ordnung
log(n). Details zum Thema Komplexität folgen in Kapitel 10.2.
Um die modular Inverse k -1 einer Zahl k zu ermitteln, geht man von der Definitionsgleichung
k -1 ⋅k mod n = 1 aus. Man kann also k -1 aus der Gleichung k -1 =(n⋅i + 1)/k ermitteln, indem man
die natürliche Zahl i mit 1 beginnend bis maximal n so lange erhöht, bis sich für k -1 schließlich
eine ganzzahlige Lösung ergibt. Findet man keine Lösung, so besitzt k keine modular Inverse.
Für k=7 und n=26 ermittelt man bereits mit i=4 die Lösung k -1 =(26⋅4+1)/7=105/7=15.