Enigma (Maschine)

Die Schlüsselmaschine ENIGMA wurde vom deutschen Elektroingenieur Arthur Scherbius (*1878 †1929) entwickelt, der hierzu am 23. Februar 1918 ein Patent (DRP 416219) anmeldete. Zur Fertigung der ENIGMA wurde am 9. Juli 1923 die Chiffriermaschinen-Aktiengesellschaft in Berlin gegründet. Die Maschine war zunächst als ziviles Chiffriersystem konzipiert und wurde kommerziell auf Messen zum Verkauf angeboten. Gegen Ende der 1920-er Jahre zeigten militärische Stellen verstärkt Interesse und sie verschwand bald darauf vom zivilen Markt.

Im Laufe der Zeit bis zum Kriegsende 1945 und noch darüber hinaus kamen viele verschiedene Modelle und Varianten der ENIGMA zum Einsatz. Die wohl verbreitetste ist die ENIGMA I (>> Enigma Eins <<), die ab 1930 von der Reichswehr und später von der Wehrmacht eingesetzt wurde und während des Zweiten Weltkriegs das wohl am meisten eingesetzte Schlüsselverfahren verkörpert. Die ENIGMA I sieht auf den ersten Blick aus wie eine Schreibmaschine. Sie besteht im Wesentlichen aus der Tastatur, einem Walzensatz von drei austauschbaren Walzen (Rotoren) sowie einem Lampenfeld zur Anzeige. Der Walzensatz ist das Herzstück zur Verschlüsselung. Die drei Walzen sind drehbar angeordnet und weisen auf beiden Seiten jeweils 26 elektrische Kontakte auf (je einen für jeden der 26 Buchstaben des Alphabets), die durch 26 Drähte im Inneren der Walze auf streng geheime Weise paarweise miteinander verbunden sind. Beispielsweise Kontakt A mit B, B mit D, und so weiter. Drückt man eine Buchstabentaste, so fließt elektrischer Strom von einer in der ENIGMA befindlichen Batterie über die gedrückte Taste durch den Walzensatz und lässt eine Anzeigelampe aufleuchten. Der angezeigte Buchstabe bildet die Verschlüsselung des gedrückten Buchstabens. Da sich bei jedem Tastendruck die Walzen ähnlich wie bei einem mechanischen Kilometerzähler weiterdrehen, ändert sich die Verschlüsselung nach jedem Buchstaben.

Gibt man >> OTTO << ein, so leuchten nacheinander beispielsweise die Lampen PQWS auf. Wichtig und kryptographisch stark ist, dass anders als bei einfachen monoalphabetischen Verschlüsselungssystemen, bei denen ein Klartextbuchstabe stets in denselben Geheimtextbuchstaben verwandelt wird (man spricht von einem festen Alphabet), bei der ENIGMA sich aufgrund der Rotation der Walzen das zur Verschlüsselung benutzte Alphabet mit jedem weiteren eingegebenen Buchstaben ändert. Dies wird als polyalphabetische Verschlüsselung bezeichnet. (Würden sich die Walzen der ENIGMA nicht drehen, so bekäme man nur eine einfache monoalphabetische Verschlüsselung.)

Rechts vom Walzensatz befindet sich die Eintrittswalze (Stator), die sich nicht dreht und deren Kontakte über 26 Drähte (in der Prinzipskizze rechts sind nur vier davon gezeichnet) mit den Buchstabentasten verbunden sind. Links vom Walzensatz befindet sich die Umkehrwalze, die ebenfalls feststeht. Bei ihr handelt es sich um eine Erfindung (DRP 452 194, angem. 21.3.1926) von Willi Korn, einem Mitarbeiter von Scherbius. Sie weist nur auf ihrer rechten Seite 26 Kontakte auf (in der Skizze sind wieder nur vier davon eingezeichnet), die paarweise miteinander verbunden sind. Die Umkehrwalze bewirkt, dass der Strom, der den Walzensatz zunächst von rechts nach links durchfließt, umgelenkt wird und ihn noch einmal, nun von links nach rechts durchläuft. Der Strom verläßt den Walzensatz (wie er gekommen ist) wieder über die Eintrittswalze.

An der Gerätefront ist ein Steckerbrett mit doppelpoligen Steckbuchsen für jeden der 26 Buchstaben angebracht. Der Strom von der Buchstabentaste wird, bevor er die Eintrittswalze erreicht, über dieses Steckerbrett geführt. Nach Durchlaufen und Wiederverlassen des Walzensatzes fließt er ein zweites mal über das Steckerbrett und bringt schließlich eine der 26 Buchstabenlampen zum Aufleuchten.

Der von der Batterie gelieferte Strom fließt über die gedrückte Buchstabentaste (beispielsweise A) zum Steckerbrett. Ist dort die Buchse A mit einer anderen Buchse durch ein von außen angebrachtes Kabel verbunden (gesteckert), so wird A mit einem anderen Buchstaben, beispielsweise J vertauscht. Ist kein Kabel gesteckt (ungesteckert), dann gelangt der Strom direkt zum Kontakt A der Eintrittswalze.

Bei der weiteren Beschreibung der Funktion wird auf das Bild Stromfluss (zunächst nur obere Hälfte) Bezug genommen. Es dient nur zur Illustration und ist eine vereinfachte Darstellung des (rotierenden) Walzensatzes (mit linkem, mittlerem und rechten Rotor) und der (statischen) Umkehrwalze (Reflector). Aus Übersichtlichkeitsgründen wurde in der Skizze die Anzahl der Buchstaben von 26 auf 8 (A bis H) verringert.

Der Strom wird über die Eintrittswalze (sie ist in der Skizze nicht eingezeichnet) zum Eingangskontakt A der rechten Walze geleitet. Deren (streng geheime) Verdrahtung bewirkt eine Vertauschung (Permutation) des Buchstabens. Der Strom, der am Eingangskontakt A von rechts eintritt, verlässt die Walze auf deren linken Seite beispielsweise am Ausgangskontakt B. So wird durch die rechte Walze A in B umgewandelt.

Der Strom gelangt nun über den Kontakt B in die mittlere Walze und wird durch deren Verdrahtung wiederum permutiert. Durchaus möglich ist auch, dass bei einer Walze (wie im Bild) ein Eingangskontakt mit dem gleichnamigen Ausgangskontakt verbunden ist. Dann beibt es bei B. Der Strom verlässt hier über den Kontakt B die mittlere Walze und tritt in die linke Walze ein. Deren Verdrahtung sorgt dafür, dass der Strom vom Einganskontakt B, wie hier, zum Ausgangskontakt D geleitet wird.

Der Strom hat nun alle drei (drehbaren) Walzen einmal durchlaufen und die Umkehrwalze erreicht. Sie hat nur Kontakte auf der rechten Seite und verbindet die Buchstaben paarweise, beispielsweise D mit E.

Nun fließt der Strom ein zweites mal durch den Walzensatz, jetzt aber von links nach rechts. Durch die Umkehrwalze gelangt er über den Kontakt E in die linke Walze. Hier ist beispielsweise E mit C verdrahtet. Folglich fließt der Strom weiter über Kontakt C in die mittlere Walze, verlässt sie wieder über den Kontakt F, und fließt in die rechte Walze. Der Strom verlässt die rechte Walze schließlich am Kontakt G.

Der weitere Stromfluss geht aus der Skizze nicht hervor, ist aber leicht erklärt. Nach Austritt aus dem Walzensatz wird der Strom über die Eintrittswalze zurück zum Steckerbrett geleitet. Ist hier der Buchstabe G mit einem anderen Buchstaben gesteckert, dann findet eine letzte Permutation statt. Ist G ungesteckert, leuchtet die Lampe G auf. (Sie leuchtet übrigens nur solange auf, wie die Taste gedrückt gehalten wird. Lässt man sie los, erlischt die Lampe.) Im geschilderten Beispiel wird somit der Buchstabe A (dessen Taste eingangs gedrückt wurde und noch immer gedrückt ist) als Buchstabe G verschlüsselt.

Falls der zu verschlüsselnde Text >> AACHEN IST GERETTET << lautet, ist erneut ein A einzugeben. Also wird die Taste A losgelassen und zum zweiten mal gedrückt. Wichtig ist, dass mit dem mechanischen Druck auf die Taste mit Hilfe eines Fortschaltmechanismus gleichzeitig die rechte Walze um eine Position rotiert wird. (Die mittlere Walze rotiert erst nach 26 Schritten der rechten Walze.) In der unteren Hälfte des Bildes Stromfluss ist die Situation skizziert, nachdem die rechte Walze sich um eine Position (nach unten) weitergedreht hat.

Wie man an der Skizze erkennen kann, hat sich der Pfad für den erneut am Kontakt A der rechten Walze eintretenden Strom radikal geändert. Er nimmt jetzt auch bei der mittleren und linken Walze sowie der Umkehrwalze einen völlig anderen Weg als zuvor, obwohl sich diese Walzen nicht gedreht haben. Das Ergebnis ist eine andere Verschlüsselung des Buchstaben A, der nun in C umgewandelt wird.

Bei der ENIGMA I standen (zunächst nur drei, später ab 1939) insgesamt fünf unterschiedliche Walzen zur Verfügung, die mit römischen Zahlen (I, II, III, IV und V) durchnummeriert waren. Der Benutzer wählte nach Vorgabe einer geheimen Schlüsseltabelle, die für jeden Tag wechselnde Einstellungen vorsah, drei der fünf Walzen aus und setzte diese nach der im Tagesschlüssel unter der Überschrift Walzenlage vorgeschriebenen Anordnung ein. Beispiel: Walzenlage I IV II bedeutet: Walze I ist links (als langsamer Rotor), Walze IV in der Mitte und Walze II rechts (als schneller Rotor) einzusetzen.

Als die ENIGMA im Jahre 1918 durch Scherbius zum Patent angemeldet wurde (also noch während der Zeit des Ersten Weltkriegs), war sie eine kryptographisch äußerst starke Maschine und durfte zu Recht als >>unknackbar<< bezeichnet werden. Innovativ war, im Gegensatz zu den damals noch gebräuchlichen manuellen Verschlüsselungsverfahren (beispielsweise ADFGX), eine maschinelle Verschlüsselung einzuführen. Sie war durch die damals allein üblichen manuellen, hauptsächlich linguistisch gestützten, Enzifferungsmethoden unangreifbar und blieb es auch noch bis in die 1930-er Jahre, also mehr als zehn Jahre lang. Selbst in der heutigen Zeit sind mit der ENIGMA verschlüsselten Texte mit Handmethoden nicht zu knacken!

Die kryptographischen Stärken der ENIGMA sind im Wesentlichen durch den rotierenden Walzensatz gegeben. Durch die Drehung der Walzen wird erreicht, dass jeder Buchstabe des Textes mit einem neuen Alphabet verschlüsselt wird (polyalphabetische Verschlüsselung). Entscheidend für die Sicherheit der Verschlüsselung gegen unbefugte Entzifferung sind die Geheimhaltung der Walzenverdrahtung sowie die Anzahl der im Walzensatz verwendeten Walzen. Das letztere ist ein ganz wichtiger Faktor, der die wesentlich stärkere Verschlüsselung der bei den deutschen U-Booten eingesetzten Vierwalzen-ENIGMA M4 im Vergleich zur ENIGMA I (mit nur drei Walzen) erklärt.

Mit Hilfe der doppelpoligen Steckkabeln, die von vorne in das Steckerbrett gesteckt werden können, lassen sich Buchstaben vor und nach Durchlaufen des Walzensatzes paarweise (involutorisch) vertauschen. Diese Maßnahme diente zur weiteren Stärkung der kryptographischen Sicherheit der ENIGMA. Tatsächlich wird hierdurch der Schlüsselraum beträchtlich erweitert. Da die Steckeranordnung jedoch während des gesamten Verschlüsselungsvorgangs konstant bleibt (und nicht wie der Stromfluss durch den Walzensatz variabel ist), bewirkt sie nur einen geringen Schutz und kann durch den Angreifer abgestreift werden.

Die Ringe (Ringstellung) dienten hauptsächlich zum Schutz vor Spionage und sind krytographisch nahezu bedeutungslos. Durch sie wurde verhindert, dass durch Ablesen der von außen sichtbaren Walzenstellung auf die interne Position der Walzen geschlossen werden konnte.

Der Schlüsselraum der ENIGMA lässt sich aus den einzelnen Komponenten des Schlüssels sowie der Anzahl der unterschiedlichen Schlüsseleinstellungen berechnen. Der Tagesschlüssel der ENIGMA besteht aus vier Teilschlüsseln, die in einem (geheimen) Formblatt ähnlich wie in der folgenden Tabelle (hier nur beispielhaft für drei Monatstage) angegeben waren:

-------------------------------------------------------------------------
|Tag |UKW|     Walzenlage  |Ringstellung|      Steckerverbindungen      |
-------------------------------------------------------------------------
| 31 | B |  I    IV   III  |  16 26 08  | AD CN ET FL GI JV KZ PU QY WX |
| 30 | B |  II   V    I    |  18 24 11  | BN DZ EP FX GT HW IY OU QV RS |
| 29 | B |  III  I    IV   |  01 17 22  | AH BL CX DI ER FK GU NP OQ TY |

Beispielsweise für den 31. des aktuellen Monats ist als Umkehrwalze (UKW) die Walze B einzusetzen (Die ENIGMA I besaß zwei Umkehrwalzen, nämlich B und C). Als (drehbare) Walzen (Rotoren) sind die Walzen I, IV und III aus dem Sortiment von fünf Walzen (I bis V) auszuwählen und in der vorgeschriebenen Reihenfolge (Walze I links) in die ENIGMA einzubauen. Damit ist die Walzenlage definiert. Zuvor sind die an den einzelnen Walzen befindlichen Einstellringe (diese bestimmen den Buchstaben, an dem ein Übertrag auf die nächste Walze geschieht) noch in die angegebene Ringstellung zu bringen. Hier war eine Buchstaben-Zahlen-Zuordnung A=01, B=02,...,Z=26 gebräuchlich. Schließlich sind an der Frontplatte der ENIGMA zehn Kabel zwischen den in der Spalte Steckerverbindungen verzeichneten Steckbuchsen anzuschließen, beispielsweise zwischen A und D, und so weiter.

Als letztes ist jede der drei Walzen durch den Benutzer in eine von 26 möglichen Anfangsstellungen zu drehen. Damit definiert er die Grundstellung. Nun ist die Maschine zur Verschlüsselung bereit.

Der gesamte Schlüsselraum der ENIGMA I ergibt sich somit aus den folgenden vier Faktoren:

a) Die Walzenlage

Drei von fünf Walzen und eine von zwei Umkehrwalzen werden ausgewählt. Dies ergibt 2·5·4·3 = 120 mögliche Walzenlagen (entspricht etwa 7 Bit).

b) Die Ringstellung

Es gibt jeweils 26 verschiedene Ringstellungen für die mittlere und die rechte Walze. (Der Ring der linken Walze ist kryptographisch bedeutungslos; er dient jedoch, wie auch die anderen Ringe, dem Schutz vor Spionage.) Insgesamt sind 26³ = 676 Ringstellungen (entspricht etwa 9 Bit) relevant.

c) Die Grundstellung

Es gibt für jede der drei Walzen 26 unterschiedliche Grundstellungen. (Die Umkehrwalze kann nicht verstellt werden.) Insgesamt somit 26³ = 17576 Grundstellungen (entspricht 14 Bit).

d) Die Steckerverbindungen

Es können bis zu maximal 13 Steckverbindungen zwischen den 26 Buchstaben durchgeführt werden. Für die erste Steckverbindung gibt es 26 Auswahlmöglichkeiten für das eine Steckerende und dann noch 25 für das andere Ende des Kabels. Somit also für das erste Kabel 26·25 unterschiedliche Möglichkeiten es einzustecken. Da es aber keine Rolle spielt, in welcher Reihenfolge die beiden Kabelenden gesteckt werden, entfallen davon die Hälfte der Möglichkeiten. Es bleiben also 26·25/2 = 325 Möglichkeiten für die erste Steckverbindung.

Für die zweite Steckverbindung erhält man analog 24·23/2 = 276 Möglichkeiten. Allgemein gibt es (26-2n+2)·(26-2n+1)/2 Möglichkeiten für die n-te Steckverbindung.

Nummer der             Möglichkeiten für          Möglichkeiten für
Steckverbindung    erste Seite    zweite Seite    Steckverbindung	
    0                   1              1                1
    1                  26             25              325
    2                  24             23              276
    3                  22             21              231
    4                  20             19              190
    5                  18             17              153
    6                  16             15              120
    7                  14             13               91
    8                  12             11               66
    9                  10              9               45
   10                   8              7               28
   11                   6              5               15
   12                   4              3                6
   13                   2              1                1

Die Gesamtzahl der möglichen Steckkombinationen bei Verwendung von mehreren Steckern ergibt sich aus dem Produkt der Möglichkeiten für die einzelnen Steckverbindungen. Da aber auch hier die Reihenfolge der Durchführung keine Rolle spielt (es ist kryptographisch gleichwertig, wenn beispielsweise zuerst A mit X >>gesteckert<< wird und danach B mit Y oder umgekehrt zuerst B mit Y und dann A mit X) dürfen die entsprechenden Fälle nicht als Schlüsselkombinationen berücksichtigt werden. Dies sind bei zwei Steckverbindungen genau die Hälfte der Fälle. Das vorher ermittelte Produkt ist also durch 2 zu dividieren. Bei drei Steckerverbindungen gibt es 6 mögliche Reihenfolgen für die Durchführung der Steckungen, die alle sechs kryptographisch gleichwertig sind. Das Produkt ist also durch 6 zu dividieren. Im allgemeinen Fall, bei n Steckverbindungen ist das Produkt der vorher ermittelten Möglichkeiten durch n! zu dividieren. Es ergibt sich die folgende Anzahl der Möglichkeiten für genau n Steckverbindungen:

                                n
                         1/n! · ∏ (26-2i+2)·(26-2i+1)/2 
                                i=1

Diese Produktdarstellung lässt sich umformen in:

                                26!
                         -----------------
                          2^n·n!·(26-2n)!

 Stecker  -------------- Möglichkeiten für ----------------
          Steckver-     genau n Steck-      bis zu n Steck–
            bindung        erbindungen         verbindungen
    0         1                      1                    1
    1       325                    325                  326
    2       276                  44850                45176
    3       231                3453450              3498626
    4       190              164038875            167537501
    5       153             5019589575           5187127076
    6       120           100391791500         105578918576
    7        91          1305093289500        1410672208076
    8        66         10767019638375       12177691846451
    9        45         53835098191875       66012790038326
   10        28        150738274937250      216751064975576
   11        15        205552193096250      422303258071826
   12         6        102776096548125      525079354619951
   13         1          7905853580625      532985208200576

Bei der ENIGMA I wurden in der Regel genau zehn Steckerverbindungen durchgeführt. Für diese ergeben sich nach der obigen Tabelle 150.738.274.937.250 (150 Billionen) Steckmöglichkeiten (entspricht 47 Bit).

Der Gesamtschlüsselraum einer ENIGMA I mit drei Walzen aus einem Walzenvorrat von fünf sowie zehn Steckern beträgt somit: 120·676·17576·150738274937250, das ist etwa 2,149·10²³ und entspricht ungefähr 77 Bit.

Der Schlüsselraum ist riesig groß und hält auch einem Vergleich mit modernen Verschlüsselungsverfahren stand. Beispielsweise verfügt das über mehrere Jahrzehnte gegen Ende des zwanzigsten Jahrhunderts zum Standard erhobene Verschlüsselungsverfahren DES (Data Encryption Standard) über einen Schlüsselraum von genau 56 Bit, also deutlich weniger als die ENIGMA. Auch der Nachfolger für DES, das AES-Verfahren (Advanced Encryption Standard), von seinen Entwicklern Rijndael genannt, benutzt zumeist >>nur<< 128 Bit und gilt nach wie vor als unknackbar.

Die Größe des Schlüsselraums ist jedoch nur eine notwendige aber keine hinreichende Bedingung für die Sicherheit eines kryptographischen Verfahrens. Selbst eine so simple Methode wie eine einfache monoalphabetische Substitution verfügt über einen Schlüsselraum von 26!, das sind etwa 4000·10²³ und entspricht ungefähr 88 Bit, und ist folglich sogar noch um den Faktor 2000 größer als bei der ENIGMA. Dennoch wird niemand behaupten, eine monoalphabetische Substitition wäre sicher.

Auch bei der ENIGMA ähnelt die wesentlich zur Größe des Schlüsselraums beitragende konstruktive Komponente, nämlich das Steckerbrett, einer einfachen monoalphabetischen Substitution, denn das Steckerung bleibt ja während der gesamten Verschlüsselung unverändert. Das Steckerbrett kann folglich mit Hilfe einer intelligenten kryptanalytischen Angriffsmethode überwunden und praktisch gänzlich eliminiert werden. Damit kann der Faktor 150.738.274.937.250 bei der Berechnung des Schlüsselraums effektiv wieder gestrichen werden. Auch die Ringe bewirken kryptographisch nur eine geringe Stärkung des Verfahrens. Sie verhinderten hauptsächlich, dass durch Ablesen der von außen sichtbaren Grundstellung auf die wahre Drehposition der Walzen geschlossen werden konnte und dienten somit in erster Linie dem Schutz vor Spionage. Damit kann man auch den Faktor 676 wieder streichen.

Übrig bleiben folglich nur die 120·17576 Möglichkeiten durch Walzenlage und Grundstellung, gegen die es keine kryptanalytische Abkürzung gibt. So schrumpft der vorher noch so gigantisch erscheinende Schlüsselraum auf vergleichsweise lächerlich kleine 120·17576 = 2.109.120 (2 Millionen)Möglichkeiten, eine Zahl, die auch bereits zu Zeiten des Zweiten Weltkriegs mit Hilfe der damaligen elektromechanischen Technik leicht vollständig (exhaustiv) abgearbeitet werden konnte.

Korn erreichte durch die Umkehrwalze, dass das Schlüsselverfahren involutorisch wird, das heißt, wenn bei einer bestimmten Stellung der Walzen ein U in ein X verschlüsselt wird, dann wird bei dieser Stellung auch ein X in ein U verschlüsselt. So vereinfachte er die Bedienung der Maschine, denn man muss nicht mehr zwischen Verschlüsselung und Entschlüsselung unterscheiden. Darüber hinaus erhoffte er sich wohl auch eine Steigerung der Sicherheit, denn der Strom durchfließt die Walzen ja nun zweimal. Dies war jedoch ein Trugschluss mit weitreichenden Konsequenzen.

Zum einen bewirkt die Umkehrwalze, dass nun kein Buchstabe mehr in sich selbst verschlüsselt werden kann, denn der Strom kann ja in keinem Fall genau den Weg durch den Walzensatz wieder zurücknehmen, den er gekommen ist. Er wird stets auf einem andern Weg zurückgeleitet als er zur Umkehrwalze hingeflossen ist. Mathematisch spricht man hier von fixpunktfreien Permutationen. Dies Einschränkung mag als unwesentliche Kleinigkeit erscheinen, denn es bleiben ja noch 25 weitere Buchstaben des Alphabets zur Verschlüsselung, tatsächlich bedeutet dies jedoch eine drastische Reduzierung des Schlüsselraums und darüber hinaus eine neue Angreifbarkeit des Geheimtextes.

Zum anderen bewirkt die Umkehrwalze, dass die Permutation und damit die Verschlüsselung involutorisch wird. Hierdurch wird eine weitere Reduzierung des Schlüsselraums bewirkt.

Die durch die Umkehrwalze eingefügten Schwächen, insbesondere die Reduzuierung des Schlüsselraums, lassen sich an einem Beispiel anschaulich klarmachen, wenn man statt von 26 Buchstaben von einem Alphabet von beispielsweise nur vier Buchstaben ausgeht:

Mit vier Buchstaben lassen sich 4! = 24 unterschiedliche Alphabete erzeugen, nämlich

 ABCD  ABDC  ACBD  ACDB  ADBC  ADCB
 
 BACD  BADC  BCAD  BCDA  BDAC  BDCA
 
 CABD  CADB  CBAD  CBDA  CDAB  CDBA
 
 DABC  DACB  DBAC  DBCA  DCAB  DCBA

Beschränkt man sich hier, statt auf alle 24 möglichen, nur auf die fixpunktfreien Permutationen, so fallen alle Alphabete weg, bei denen ein Buchstabe in sich selbst verschlüsselt wird, also auf seinem natürlichen alphabetischen Platz steht. Aus der obigen Liste sind damit die folgenden fünfzehn Alphabete zu streichen, das sie Fixpunkte aufweisen. Das ist bereits mehr als die Hälfte.

 ABCD  ABDC  ACBD  ACDB  ADBC  ADCB
 
 BACD        BCAD              BDCA
 
 CABD        CBAD  CBDA            
 
       DACB  DBAC  DBCA             

Übrig bleiben nur die folgenden neun fixpunktfreien Permutationen

 ----  ----  ----  ----  ----  ----
 
 ----  BADC  ----  BCDA  BDAC  ----
 
 ----  CADB  ----  ----  CDAB  CDBA
 
 DABC  ----  ----  ----  DCAB  DCBA

Berücksichtigt man jetzt noch, dass die Umkehrwalze nicht nur alle Permutationen mit Fixpunkten eliminiert sondern auch alle nichtinvolutorischen Permutationen, so müssen aus der obigen Tabelle noch weitere sechs Fälle gestrichen werden. Übrig bleiben von allen möglichen 24 Permutationen eines Alphabets aus vier Buchstaben lediglich die drei möglichen fixpunktfreien und involutorischen Fälle. Sie werden als echt involutorische Permutationen bezeichnet.

 ----  ----  ----  ----  ----  ----
 
 ----  BADC  ----  ----  ----  ----      
 
 ----  ----  ----  ----  CDAB  ----
 
 ----  ----  ----  ----  ----  DCBA

Kryptographisch noch katastrophaler als diese drastische Reduktion des Schlüsselraums ist jedoch, dass Aussagen über den Text möglich sind wie >>Nichts ist jemals es selbst<<, die bei der Entzifferung eine ganz wesentliche Hilfe waren. Weiß der Angreifer, dass niemals ein Buchstabe die Verschlüsselung seiner selbst ist, dann eröffnet ihm diese Kenntnis Abkürzungen und er muss nicht mehr mühsam jeden einzelnen Fall abarbeiten, wie an folgendem Beispiel illustriert wird.

Ein seit Jahrhunderten bekanntes und bewährtes Entzifferungsverfahren ist die Methode des Wahrscheinlichen Worts. Hierbei errät, vermutet oder weiß der Angreifer, dass im Text eine bestimmte Phrase (engl. crib, franz. mot probable) auftritt, beispielsweise >>OBERKOMMANDODERWEHRMACHT<<. Liegt dem Angreifer beispielsweise ein mit der ENIGMA verschlüsseltes Geheimtextfragment wie das folgende vor, so kann er ganz leicht ermitteln, an welcher Stelle im Text das vermutete Wahrscheinliche Wort sich nicht befinden kann, indem er für jede mögliche Lage prüft, ob ein Zeichen in sich selbst verschlüsselt würde, was wie er von der ENIGMA weiß, unmöglich ist. Dazu schreibt er das Wahrscheinliche Wort in den verschiedenen Lagen unter den Geheimtext und prüft auf Fixpunkte, die im unteren Beispiel durch Fettdruck hervorgehoben sind:

 FMHVPFUIDPJOUCXRWGYFZBECTIDFXZOSIVIEGVCEDBZDTJCOXH
 OBERKOMMANDODERWEHRMACHT
  OBERKOMMANDODERWEHRMACHT
   OBERKOMMANDODERWEHRMACHT
    OBERKOMMANDODERWEHRMACHT
     OBERKOMMANDODERWEHRMACHT
      OBERKOMMANDODERWEHRMACHT
       OBERKOMMANDODERWEHRMACHT
        OBERKOMMANDODERWEHRMACHT
         OBERKOMMANDODERWEHRMACHT
          OBERKOMMANDODERWEHRMACHT
           OBERKOMMANDODERWEHRMACHT
            OBERKOMMANDODERWEHRMACHT
             OBERKOMMANDODERWEHRMACHT
              OBERKOMMANDODERWEHRMACHT
               OBERKOMMANDODERWEHRMACHT
                OBERKOMMANDODERWEHRMACHT
                 OBERKOMMANDODERWEHRMACHT
                  OBERKOMMANDODERWEHRMACHT
                   OBERKOMMANDODERWEHRMACHT
                    OBERKOMMANDODERWEHRMACHT
                     OBERKOMMANDODERWEHRMACHT
                      OBERKOMMANDODERWEHRMACHT
                       OBERKOMMANDODERWEHRMACHT
                        OBERKOMMANDODERWEHRMACHT
                         OBERKOMMANDODERWEHRMACHT
                          OBERKOMMANDODERWEHRMACHT
                           OBERKOMMANDODERWEHRMACHT
 FMHVPFUIDPJOUCXRWGYFZBECTIDFXZOSIVIEGVCEDBZDTJCOXH

Mit Hilfe dieser äußerst simplen kryptanalytischen Angriffsmethode lassen sich hier von den 27 möglichen Lagen im Beispieltext sechzehn, also mehr als die Hälfte als unmöglich eliminieren - eine erhebliche Arbeitsvereinfachung für den Angreifer.

Die Betreiber der Schlüsselmaschine ENIGMA waren der Meinung, dass die durch sie maschinell verschlüsselten Texte (im Gegensatz zu fast allem, was bis 1918 gebräuchlich war) mit manuellen Methoden nicht zu knacken sind. Und damit hatten sie Recht. Was übersehen wurde ist, dass einer maschinellen Verschlüsselung auch durch maschinelle Entzifferungsversuche begegnet werden kann.

Geht man von der ENIGMA I aus, bei der drei Walzen aus einem Sortiment von fünf Walzen eingesetzt wurden sowie einer von zwei möglichen Umkehrwalzen (B oder C), so ergeben sich 2·5!/2! = 120 verschiedene Kombinationsmöglichkeiten für die Walzenlage. Für jede dieser Walzenlagen gibt es 26³, also 17576 Grundstellungen. Wenn man vom Steckerbrett absieht, gibt es also >>nur<< 120·17576 also 2.109.120 Möglichkeiten für die Verschlüsselung eines Buchstabens. Diese etwa zwei Millionen unterschiedlichen Fälle sind von Hand in vernünftiger Zeit praktisch nicht durchzuprobieren. Mit Hilfe einer geeigneten Maschine jedoch, die motorbetrieben vielleicht zwanzig Fälle pro Sekunde abarbeiten kann, benötigt man nur noch 2109120/20/60/60, also etwa 30 Stunden, um sämtliche Möglichkeiten durchzutesten. Leistet man sich den Aufwand, sechzig Maschinen, also jeweils eine für jede Walzenlage, einzusetzen, dann schrumpft die Zeit von 30 Stunden auf 30 Minuten - eine durchaus erträgliche Zeit.

Eine Gruppe polnischer Mathematiker um Marian Rejewski erzielte schon vor dem Zweiten Weltkrieg große Erfolge bei der Entzifferung von Texten, die mit der Enigma chiffriert waren. Die vor 1939 gebauten Versionen waren etwas einfacher konzipiert. Rejewski verwendete insbesondere Sätze der Permutationstheorie für seine Kryptoanalysen, außerdem nutzte er Verfahren, die linguistische Eigenheiten des Deutschen ausnutzten, sowie weitere Abweichungen von reinen Zufallszeichenfolgen, die durch den Einfluss des Menschen verursacht werden, etwa die Bevorzugung von Spruchschlüsseln wie AAA, BBB, ABC, usw.. (sog. "cillies", möglicherweise abgeleitet vom englischen silly, für dumm, blöd)

Die Tatsache, dass die Deutschen am Beginn einer jeden Nachricht einen so genannten Nachrichtenschlüssel (auch: Spruchschlüssel) mit dem Tagesschlüssel verschlüsselt sendeten, machte sich Rejewski zu Nutze, um den Suchraum des Codierungsschlüssels drastisch einzuschränken. Der Nachrichtenschlüssel bestand aus einer Kombination von drei Buchstaben (die Anfangsstellung der drei Walzen) die zur Vermeidung von Aufnahme- und Übertragungsfehlern zweimal hintereinander am Beginn jeder Nachricht gesendet wurde.

Der Empfänger entschlüsselte zunächst die ersten sechs Zeichen der eingetroffenen Nachricht mit dem jeweils für diesen Tag gültigen Tagesschlüssel und brachte dann die Walzen in die angegebene Ausgangsstellung zur Entschlüsselung der eigentlichen Nachricht.

Rejewski entwickelte zudem einen Katalog mit Fingerabdrücken aller Walzenkombinationen und -einstellungen. Diese Spezialmethode kam völlig ohne Klartextkenntnisse (cribs wie z.B. Beginn „An OKW“) aus. Nachdem später häufige Schlüsselwechsel vorgenommen wurden, wurde sie jedoch nutzlos. Der Spruchschlüssel war einer der kryptologischen Fehler der Deutschen, ein weiterer schwerwiegender war die vollständige Wiedergabe einer Klartext-Schlüssel-Schlüsseltext Kombination in frühen Ausgaben der Bedienungsanleitung, welche die Struktur der Walzen erschließbar machte. Ferner wurden unzweckmäßige Bedienung seitens der Funker ausgenutzt, so als jemand auf die Bitte, ein Testsignal zu senden, 50 mal den Buchstaben A übermittelte, was leicht erkennbar war. Dem polnischen Geheimdienst standen außerdem erbeutetes, deutsches Schlüsselmaterial zur Verfügung (Codebücher), wodurch der Lösungsaufwand verringert wurde. Den Klartext erhielt man nur, wenn man folgende Teilprobleme löste:

Aufklärung von: vorher: Struktur und Verschaltung aller Walzen inklusive Umkehrwalze, dann:

• Spruchschlüssel
• Tagesschlüssel bestehend aus:
  • Walzenlage
  • Ringstellung
  • Grundstellung
  • Steckerverbindungen

Mit Hilfe elektromechanischer Rechenmaschinen, sog. Bomben, konnte innerhalb von Stunden der Tagesschlüssel ermittelt werden, der zum Verschlüsseln von Nachrichten diente und von den Deutschen täglich um 0 Uhr gewechselt wurde. 1939 verbesserten die Deutschen die Handhabung der Enigma. Es wurden fünf statt drei Walzen verwendet (wobei jedoch nur jeweils drei Walzen in der Maschine eingesetzt waren) und mit Hilfe eines Steckbretts 10 statt bisher 4 Buchstabenpaare vertauscht. Der dadurch weiter angewachsene Schlüsselraum konnte nur durch den Bau von 60 weiteren Bomben bewältigt werden.

Zwei Wochen vor dem deutschen Angriff auf Polen konnten das Wissen um die kryptographischen Schwachstellen, ein Konstruktionsplan der Bomben und zwei Kopien der Enigma nach Frankreich und Großbritannien geschmuggelt werden. Die Erkenntnisse des Biuro Szyfrów (pl) wurden von den Alliierten, vor allem in Großbritannien, weiter genutzt und verbessert. Dies ist einem Deutschen zu verdanken, der eine Funkerstelle beim Militär innehatte und sich für seine Entlassung nach dem Ersten Weltkrieg an den Deutschen rächen wollte. Er nahm Kontakt mit dem französischem Geheimdienst auf. Er traf sich insgesamt dreimal mit einem Agenten mit dem Decknamen Rex. Er selbst erhielt als Deckname die zwei Buchstaben AH. Er lieferte den Franzosen Baupläne der Enigma, aber seine Pläne enthielten nicht die Verdrahtung der Enigma. Er wurde 1943 vom französischen Geheimdienst verraten und noch im selben Jahr hingerichtet. 1999 wurde bekannt, dass Hans-Thilo Schmidt, Deckname Asch an Bertrand ähnliche Unterlagen lieferte. Es wird angenommen, dass Rejewski auch ohne diese ausgekommen wäre, wenngleich sie zweifellos hilfreich waren.

Die Arbeiten der britischen Kryptoanalysten fanden in Bletchley Park unter dem Codenamen Ultra statt. Sie setzten die Arbeit an der Stelle fort, wo Rejewski aufhören musste und erreichten unter anderem das Dechiffrieren der 1939 verbesserten Enigma-Version. Sie machten sich dafür vor allem Nachlässigkeiten der deutschen Chiffrierer zu Nutze: wiederkehrende oder schlecht gewählte Nachrichtenschlüssel, schematischer Nachrichtenaufbau (z.B. Wettermeldungen oder Positionsangaben) usw. Insgesamt arbeiteten etwa 7000 Frauen und Männer in Bletchley. Verglichen mit den 15 polnischen Kryptologen der Gruppe Z im unbesetzen Frankreich (Cadix 1940) eine zahlenmäßig haushohe Überlegenheit der Briten, womit diese jedoch etwas nicht aus eigener Kraft ausgleichen konnten, was sie schon 1939 unwiederbringlich verloren hatten: Zeit. Nach Offenlegung einiger Geheimarchive muss als gesichert gelten, dass der von Rejewski erreichte Forschungsstand auf Alliierter Seite nicht eigenständig reproduziert hätte werden können. 1939 wurden auf polnische Initiative hin die verbündeten Dienste vollumfänglich in die polnische Dechiffrier-Technik eingeweiht, sowie Schlüsselmaterial und -technik übergeben.

Einer der Wissenschaftler in Bletchley Park war der britische Mathematiker Alan Turing, dessen Arbeiten für die Informatik auch heute noch wegweisend sind.

Turing lieferte wichtige Entwurfsideen für die englische Variante der bomba. Die technische Grundidee war in etwa folgende: Angenommen, aufgrund eines cribs (known-plaintext Attacke) ergibt sich eine 3 Buchstabenschleife: plaintext a auf ciphertxt b, b auf c und c wieder auf a. Das heißt in kurzem Abstand a-b-c-a. Würde man nun 3 Enigmas unter Auslassung des Steckerfeldes in der originalen Rotorposition hintereinanderschalten, so erhält man auch eine physikalische Leiterschleife insbesondere für den Fall der übereinstimmenden Rotorstellungen, die man detektieren kann, indem man etwa Lampen an die anderen Rotorkontakte anschließt. In diesem Fall ergibt sich die Verschaltung des Steckerfeldes als Lösung, wenn man die 17.000 Permutationen synchron durchlaufen lässt. Leider ist die Zuordnung nicht eindeutig, aber der Lösungsraum wird bereits recht klein.

Den Alliierten gelang es am 4. Mai 1941, das deutsche U-Boot U 110 zu übernehmen und eine Enigma M3 sowie zahlreiche Codetabellen zu erbeuten. Da die deutsche Besatzung vorher das schwer beschädigte U-Boot verlassen hatte, von dem Zerstörer HMS Bulldog aufgefischt und sofort unter Deck gebracht wurde, blieb den Deutschen diese Eroberung unbekannt. Im Juni 1944 konnten eine weitere Enigma-Maschine sowie die Verschlüsselungsdokumente erbeutet werden, als das U-Boot U 505 erfolgreich erobert wurde.

Gegen Ende des Krieges waren die Alliierten in der Lage, große Teile des deutschen Funkverkehrs zu entschlüsseln. Unentschlüsselt blieben einige selten genutzte oder als weniger interessant erachtete Codes, sowie aus verschiedenen Gründen ein kleiner Teil von Nachrichten mit prinzipiell geknackten Codes.

Allgemein wird die Kompromittierung des Enigma-Codes als einer der strategischen Vorteile angesehen, der maßgeblich zum Gewinn des Krieges durch die Alliierten geführt hat. Es gibt Historiker, die vermuten, dass der Bruch der Enigma den Krieg um etliche Monate, vielleicht sogar um ein volles Jahr, verkürzt hat. Der Historiker Rohwer schätzt den Wert der Enigma-Nachrichten auf 400 nichtversenkte alliierte Schiffe, wovon 300 bereits bei Operation Overlord gefehlt hätten. Bemerkenswert ist überdies die Tatsache der funktionierenden Geheimhaltung während und selbst nach dem Krieg bis in die 1970er Jahre.

Aufgrund verschiedener, verdächtiger Ereignisse wurden auf deutscher Seite mehrfach Untersuchungen angestellt, wie es um die Sicherheit des Nachrichtenverkehrs bestellt sei, insbesondere auch beim T52-Fernschreiber (FISH). Hier wurden jedoch die falschen Schlussfolgerungen gezogen und die Personen mit der richtigen Einschätzung haben sich nicht durchgesetzt. Dies war umso verhängnisvoller, als die Abhängigkeit vom sicheren Funkverkehr extrem hoch war, und die Geheimhaltung des Schlüsseleinbruchs alliierterseits erstaunlich erfolgreich.

Nach dem Krieg wurden erbeutete sowie nachgebaute Enigma-Geräte von den Siegermächten, vor allem von England und den USA, in den Nahen Osten und nach Afrika verkauft. Den Siegermächten war es so möglich, den Nachrichtenverkehr dieser Staaten zu entschlüsseln.

Parallel zu der deutschen Enigma-Maschine verwendeten die Amerikaner den TELWA-Code, die SIGABA-Maschine sowie die M-209-Maschine für strategische Funksprüche.

Der US-Verschlüsselungscode TELWA wurde von den Deutschen während des zweiten Weltkriegs geknackt. Er bestand aus Buchstaben in Fünfergruppen, wobei die Funksprüche immer mit der Buchstabenkombination TELWA anfingen (daher der Name). Bei dem TELWA-Code handelt es sich um einen Ersetzungs-Code, bei dem jeweils fünf Buchstaben eine gleichbleibende Bedeutung hatten; die einzelnen Buchstaben in einer Fünfergruppe waren voneinander abhängig. Durch die Untersuchung von Wiederholungen, beispielsweise am Anfang und am Ende von Funksprüchen, konnte die erste Fünf-Buchstaben-Kombination durch die Deutschen entschlüsselt werden, woraus sich eine mathematische Formel zum Entschlüsseln des Telwa-Codes entwickeln ließ.

Eine beim US-Militär verbreitete Verschlüsselungsmaschine war die M-209, deren Funktionsprinzip vom schwedischen Unternehmer und Erfinder Boris Hagelin entwickelt worden war. Die erste Maschine dieser Baureihe wurde im Jahr 1936 unter der Bezeichnung C-36 an das französische Militär verkauft. Boris Hagelin gründete später in der Schweiz die heute immer noch existierende Firma Crypto AG. Kurz nach Kriegsbeginn fand er in den US-Streitkräften einen weiteren Großabnehmer, der die Funktionsweise des Geräts leicht abänderte und es anschließend M-209 taufte. Die Produktion fand in Lizenz in den USA statt. Insgesamt 140.000 Exemplare der M-209 wurden während des Kriegs hergestellt, wodurch diese die meistgebaute unter den öffentlich bekannten amerikanischen Verschlüsselungsmaschinen im 2. Weltkrieg wurde.

Durch auf einen Stangenkorb steckbare Reiter wurde der Schlüssel eingegeben; 101.405.950 unterschiedliche Kombinationen waren möglich. Da die M-209 nur das Verschlüsseln von alphabetischen Zeichen vorsah, mussten Zahlen immer in Wörtern ausgedrückt werden - hier lag der Ansatzpunkt der deutschen Kryptoanalysten. Das Entschlüsseln der Funksprüche dauerte zunächst bis zu einer Woche, konnte jedoch durch eine von den Deutschen gebaute Entschlüsselungsmaschine, die im September 1944 fertig gestellt wurde, auf sieben Stunden beschleunigt werden.

Diese Entschlüsselungsmaschine bestand aus vier Walzen mit je 26 Schlitzen sowie gestanzten Blechplatten und zahlreichen verlöteten Kabelverbindungen. Die Maschine bestand aus zwei Teilen: einem Kasten in der Größe eines Schreibtisches, der die Relais und die vier Drehwalzen enthielt, sowie einem weiteren Kasten mit 80 x 80 x 40 cm Kantenlänge. Letzterer enthielt 26 mal 16 Birnenfassungen, mit denen sich durch Birnen die Buchstaben der relativen Einstellung nachbilden ließen.

Die entschlüsselten M-209 Nachrichten enthielten teilweise brisante Informationen und Hinweise auf bevorstehende Bombardierungen deutscher Städte, die meist etwa sechs bis acht Wochen vor der Durchführung in Funksprüchen angekündigt wurden. Ob und wie diese entschlüsselten Nachrichten von höheren deutschen Stellen genutzt wurden, ist nicht bekannt.

Im Kampf gegen Japan benutzten die Amerikaner einen Code, der auf der Sprache amerikanischer Ureinwohner, nämlich der Indianer vom Stamm der Navajos basierte. Dieser Code wurde nie geknackt. Der amerikanische Spielfilm Windtalkers aus dem Jahre 2002 mit Nicolas Cage bezieht sich auf diese Ereignisse.

• Louis Kruh und Cipher Deavours: The commercial Enigma: Beginnings of machine cryptography, Cryptologia, vol. XXVI, number 1, Januar 2002
• Klaus Schmeh: Die Welt der geheimen Zeichen. W3L Verlag Bochum, 2004, ISBN 3-937-13790-4
• Simon Singh: Geheime Botschaften, dtv, 2001, ISBN 3-423-33071-6
• Robert Harris: Enigma (Fiktion), Heyne, 1996, ISBN 3-453-11593-7
• Wladyslaw Kozaczuk: Geheimoperation Wicher 1990, wiss. Primärquelle
• OKW: H.Dv.g. 13, Gebrauchsanleitung für die Chiffriermaschine Enigma, 1937
• OKW: H.Dv.g. 14, Schlüsselanleitung zur Chiffriermaschine Enigma, 1940
• OKW: H.Dv.g. 7, Allgemeine Schlüsselregeln für die Wehrmacht, 1944

Vorlage:Commons2

• http://www.deutsches-museum-bonn.de/ausstellungen/meisterwerke/2_3enigma/enigma_d.html
• http://stud4.tuwien.ac.at/~e0125012/download/chiffriermaschinen.pdf
• Erklärung der Funktionsweise inklusive einer Simulation der Enigma vom Fachbereich Mathematik der Universität Wuppertal
• Simulation einer Enigma-Chiffriermachine des 2. Weltkrieges
• Enigma simulation fur Windows (Wehrmacht und Kriegmarine M4, Freeware download)
• Drei Zeitzeugenberichte: W. Gruhle, A. Born, G. Hasenjaeger
• Simulation einer Enigma als Java-Applet mit Quellcode zum Herunterladen
• Flash-Simulation einer Enigma-Chiffriermaschine
• Frode Weierud's CryptoCellar | Enigma and the Turing Bombe | The Bombe Simulator (Englisch)
• Freewareprogramm Enigma zum Ver- und Entschlüsseln von E-Mails und Dokumenten
• http://www.deutsches-museum.de/ausstell/meister/enigma.htm
• http://sites.inka.de/hhg/crypto/dhecht/Enigma.html
• http://www.informatica-didactica.de/Lehre/SPS/EnigmaBochan.pdf
• Informationen zu TELWA und M-209
• Militärgeschichtlicher Hintergrund
• Verzeichnis geheimer Vorschriften zur Enigma und zur Verschlüsselung
• Simulator By Russell Schwager (Englisch)
• [1] [2] [3] Drei Artikel in Telepolis
• Dissertation: Chiffriermaschinen und Entzifferungsgeräte im Zweiten Weltkrieg: Technikgeschichte und informatikhistorische Aspekte