Zum Inhalt springen

Enigma (Maschine)

Dies ist ein als lesenswert ausgezeichneter Artikel.
aus Wikipedia, der freien Enzyklopädie
Dies ist eine alte Version dieser Seite, zuletzt bearbeitet am 5. Januar 2006 um 13:02 Uhr durch OS (Diskussion | Beiträge). Sie kann sich erheblich von der aktuellen Version unterscheiden.
Markenschild der Enigma

Die ENIGMA ist eine elektro-mechanische Rotor-Schlüsselmaschine, die im Zweiten Weltkrieg im Funkverkehr des deutschen Militärs verwendet wurde. Das Wort ENIGMA kommt aus dem Griechischen und bedeutet Rätsel.

Die deutsche Schlüsselmaschine ENIGMA

Prinzip

Die Schlüsselmaschine ENIGMA wurde vom deutschen Elektroingenieur Arthur Scherbius (*18781929) entwickelt, der hierzu am 23. Februar 1918 ein Patent (DRP 416219) anmeldete. Zur Fertigung der ENIGMA wurde am 9. Juli 1923 die Chiffriermaschinen-Aktiengesellschaft in Berlin gegründet. Die Maschine war zunächst als ziviles Chiffriersystem konzipiert und wurde kommerziell auf Messen zum Verkauf angeboten. Gegen Ende der 1920-er Jahre zeigten militärische Stellen verstärkt Interesse und sie verschwand bald darauf vom zivilen Markt.

Der Walzensatz aus drei rotierenden Walzen und der Umkehrwalze B (links)

Im Laufe der Zeit bis zum Kriegsende 1945 und noch darüber hinaus kamen viele verschiedene Modelle und Varianten der ENIGMA zum Einsatz. Die wohl verbreitetste ist die ENIGMA I (sprich: Enigma Eins), die ab 1930 von der Reichswehr und später von der Wehrmacht eingesetzt wurde und während des Zweiten Weltkriegs das wohl am häufigsten benutzte Schlüsselverfahren verkörpert. Die ENIGMA I sieht auf den ersten Blick aus wie eine Schreibmaschine. Sie besteht im Wesentlichen aus der Tastatur, einem Walzensatz von drei austauschbaren Walzen (Rotoren) sowie einem Lampenfeld zur Anzeige. Der Walzensatz ist das Herzstück zur Verschlüsselung. Die drei Walzen sind drehbar angeordnet und weisen auf beiden Seiten jeweils 26 elektrische Kontakte auf (je einen für jeden der 26 Buchstaben des Alphabets), die durch 26 Drähte im Inneren der Walze auf streng geheime Weise paarweise miteinander verbunden sind. Beispielsweise Kontakt A mit B, B mit D, und so weiter. Drückt man eine Buchstabentaste, so fließt elektrischer Strom von einer in der ENIGMA befindlichen Batterie über die gedrückte Taste durch den Walzensatz und lässt eine Anzeigelampe aufleuchten. Der angezeigte Buchstabe bildet die Verschlüsselung des gedrückten Buchstabens. Da sich bei jedem Tastendruck die Walzen ähnlich wie bei einem mechanischen Kilometerzähler weiterdrehen, ändert sich die Verschlüsselung nach jedem Buchstaben.

Gibt man OTTO ein, so leuchten nacheinander beispielsweise die Lampen PQWS auf. Wichtig und kryptographisch stark ist, dass anders als bei einfachen monoalphabetischen Verschlüsselungssystemen, bei denen ein Klartextbuchstabe stets in denselben Geheimtextbuchstaben verwandelt wird (man spricht von einem festen Alphabet), bei der ENIGMA sich aufgrund der Rotation der Walzen das zur Verschlüsselung benutzte Alphabet mit jedem weiteren eingegebenen Buchstaben ändert. Dies wird als polyalphabetische Verschlüsselung bezeichnet. (Würden sich die Walzen der ENIGMA nicht drehen, so bekäme man nur eine einfache monoalphabetische Verschlüsselung.)

Aufbau

Datei:Enigma,wiringdiagram.png
Skizze: Prinzipieller Aufbau der ENIGMA aus Walzensatz, Lampenfeld, Tastatur und Steckerbrett

Rechts vom Walzensatz befindet sich die Eintrittswalze (Stator), die sich nicht dreht und deren Kontakte über 26 Drähte (in der Prinzipskizze rechts sind nur vier davon gezeichnet) mit den Buchstabentasten verbunden sind. Links vom Walzensatz befindet sich die Umkehrwalze (UKW), die ebenfalls feststeht. Bei ihr handelt es sich um eine Erfindung (DRP 452 194, angem. 21.3.1926) von Willi Korn, einem Mitarbeiter von Scherbius. Sie weist nur auf ihrer rechten Seite 26 Kontakte auf (in der Skizze sind wieder nur vier davon eingezeichnet), die paarweise miteinander verbunden sind. Die Umkehrwalze bewirkt, dass der Strom, der den Walzensatz zunächst von rechts nach links durchfließt, umgelenkt wird und ihn noch einmal, nun von links nach rechts durchläuft. Der Strom verläßt den Walzensatz (wie er gekommen ist) wieder über die Eintrittswalze.

Die Tabelle zeigt das streng geheime Verdrahtungsschema der bei der ENIGMA I eingesetzten fünf drehbaren Walzen (I bis V) und der beiden Umkehrwalzen (B und C): 

        A B C D E F G H I J K L M N O P Q R S T U V W X Y Z
I       E K M F L G D Q V Z N T O W Y H X U S P A I B R C J
II      A J D K S I R U X B L H W T M C Q G Z N P Y F V O E
III     B D F H J L C P R T X V Z N Y E I W G A K M U S Q O
IV      E S O V P Z J A Y Q U I R H X L N F T G K D C M W B
V       V Z B R G I T Y U P S D N H L X A W M J Q O F E C K

UKW B   AY  BR  CU  DH  EQ  FS  GL  IP  JX  KN  MO  TZ  VW
UKW C   AF  BV  CP  DJ  EI  GO  HY  KR  LZ  MX  NW  QT  SU

An der Gerätefront ist ein Steckerbrett mit doppelpoligen Steckbuchsen für jeden der 26 Buchstaben angebracht. Der Strom von der Buchstabentaste wird, bevor er die Eintrittswalze erreicht, über dieses Steckerbrett geführt. Nach Durchlaufen und Wiederverlassen des Walzensatzes fließt er ein zweites mal über das Steckerbrett und bringt schließlich eine der 26 Buchstabenlampen zum Aufleuchten.

Funktion

Steckerbrett (im Bild ist A mit J und S mit O gesteckert)

Der von der Batterie gelieferte Strom fließt über die gedrückte Buchstabentaste (beispielsweise A) zum Steckerbrett. Ist dort die Buchse A mit einer anderen Buchse durch ein von außen angebrachtes Kabel verbunden (gesteckert), so wird A mit einem anderen Buchstaben, beispielsweise J vertauscht. Ist kein Kabel gesteckt (ungesteckert), dann gelangt der Strom direkt zum Kontakt A der Eintrittswalze.

Bei der weiteren Beschreibung der Funktion wird auf das Bild Stromfluss (zunächst nur obere Hälfte) Bezug genommen. Es dient nur zur Illustration und ist eine vereinfachte Darstellung des (rotierenden) Walzensatzes (mit linkem, mittlerem und rechten Rotor) und der (statischen) Umkehrwalze (Reflector). Aus Übersichtlichkeitsgründen wurde in der Skizze die Anzahl der Buchstaben von 26 auf 8 (A bis H) verringert.

Datei:Enigma-action.png
Stromfluss (oben): A wird in G verschlüsselt

Der Strom wird über die Eintrittswalze (sie ist in der Skizze nicht eingezeichnet) zum Eingangskontakt A der rechten Walze geleitet. Deren (streng geheime) Verdrahtung bewirkt eine Vertauschung (Permutation) des Buchstabens. Der Strom, der am Eingangskontakt A von rechts eintritt, verlässt die Walze auf deren linken Seite beispielsweise am Ausgangskontakt B. So wird durch die rechte Walze A in B umgewandelt.

Der Strom gelangt nun über den Kontakt B in die mittlere Walze und wird durch deren Verdrahtung wiederum permutiert. Durchaus möglich ist auch, dass bei einer Walze (wie im Bild) ein Eingangskontakt mit dem gleichnamigen Ausgangskontakt verbunden ist. Dann beibt es bei B. Der Strom verlässt hier über den Kontakt B die mittlere Walze und tritt in die linke Walze ein. Deren Verdrahtung sorgt dafür, dass der Strom vom Einganskontakt B, wie hier, zum Ausgangskontakt D geleitet wird.

Der Strom hat nun alle drei (drehbaren) Walzen einmal durchlaufen und die Umkehrwalze erreicht. Sie hat nur Kontakte auf der rechten Seite und verbindet die Buchstaben paarweise, beispielsweise D mit E.

Nun fließt der Strom ein zweites mal durch den Walzensatz, jetzt aber von links nach rechts. Durch die Umkehrwalze gelangt er über den Kontakt E in die linke Walze. Hier ist beispielsweise E mit C verdrahtet. Folglich fließt der Strom weiter über Kontakt C in die mittlere Walze, verlässt sie wieder über den Kontakt F, und fließt in die rechte Walze. Der Strom verlässt die rechte Walze schließlich am Kontakt G.

Der weitere Stromfluss geht aus der Skizze nicht hervor, ist aber leicht erklärt. Nach Austritt aus dem Walzensatz wird der Strom über die Eintrittswalze zurück zum Steckerbrett geleitet. Ist hier der Buchstabe G mit einem anderen Buchstaben gesteckert, dann findet eine letzte Permutation statt. Ist G ungesteckert, leuchtet die Lampe G auf. (Sie leuchtet übrigens nur solange auf, wie die Taste gedrückt gehalten wird. Lässt man sie los, erlischt die Lampe.) Im geschilderten Beispiel wird somit der Buchstabe A (dessen Taste eingangs gedrückt wurde und noch immer gedrückt ist) als Buchstabe G verschlüsselt.

Datei:Enigma-action.png
Stromfluss (unten): A wird in C verschlüsselt

Falls der zu verschlüsselnde Text AACHENISTGERETTET lautet, ist erneut ein A einzugeben. Also wird die Taste A losgelassen und zum zweiten mal gedrückt. Wichtig ist, dass mit dem mechanischen Druck auf die Taste mit Hilfe eines Fortschaltmechanismus gleichzeitig die rechte Walze um eine Position rotiert wird. (Die mittlere Walze rotiert erst nach 26 Schritten der rechten Walze.) In der unteren Hälfte des Bildes Stromfluss ist die Situation skizziert, nachdem die rechte Walze sich um eine Position (nach unten) weitergedreht hat.

Wie man an der Skizze erkennen kann, hat sich der Pfad für den erneut am Kontakt A der rechten Walze eintretenden Strom radikal geändert. Er nimmt jetzt auch bei der mittleren und linken Walze sowie der Umkehrwalze einen völlig anderen Weg als zuvor, obwohl sich diese Walzen nicht gedreht haben. Das Ergebnis ist eine andere Verschlüsselung des Buchstaben A, der nun in C umgewandelt wird.

Bedienung

Bei der ENIGMA I standen zunächst drei, ab 1939 fünf unterschiedliche Walzen zur Verfügung, die mit römischen Zahlen (I, II, III, IV und V) durchnummeriert waren. Der Benutzer wählte nach Vorgabe einer geheimen Schlüsseltabelle, die für jeden Tag wechselnde Einstellungen vorsah, drei der fünf Walzen aus und setzte diese nach der im Tagesschlüssel unter der Überschrift Walzenlage vorgeschriebenen Anordnung ein. Beispiel: Walzenlage I IV II bedeutet: Walze I ist links (als langsamer Rotor), Walze IV in der Mitte und Walze II rechts (als schneller Rotor) einzusetzen.

Kryptographische Stärken

Rechte Seite einer Walze
Linke Seite einer Walze

Als die ENIGMA im Jahre 1918 durch Scherbius zum Patent angemeldet wurde (also noch während der Zeit des Ersten Weltkriegs), war sie eine kryptographisch äußerst starke Maschine und durfte zu Recht als unknackbar bezeichnet werden. Innovativ war, im Gegensatz zu den damals noch gebräuchlichen manuellen Verschlüsselungsverfahren (beispielsweise ADFGX), eine maschinelle Verschlüsselung einzuführen. Sie war durch die damals allein üblichen manuellen, hauptsächlich linguistisch gestützten, Enzifferungsmethoden unangreifbar und blieb es auch noch bis in die 1930-er Jahre, also mehr als zehn Jahre lang.

Die kryptographischen Stärken der ENIGMA sind im Wesentlichen durch den rotierenden Walzensatz gegeben. Durch die Drehung der Walzen wird erreicht, dass jeder Buchstabe des Textes mit einem neuen Alphabet verschlüsselt wird (polyalphabetische Verschlüsselung). Entscheidend für die Sicherheit der Verschlüsselung gegen unbefugte Entzifferung sind die Geheimhaltung der Walzenverdrahtung sowie die Anzahl der im Walzensatz verwendeten Walzen. Das letztere ist ein ganz wichtiger Faktor, der die wesentlich stärkere Verschlüsselung der bei den deutschen U-Booten eingesetzten Vierwalzen-ENIGMA M4 im Vergleich zur ENIGMA I (mit nur drei Walzen) erklärt.

Mit Hilfe der doppelpoligen Steckkabel, die von vorne in das Steckerbrett gesteckt werden können, lassen sich Buchstaben vor und nach Durchlaufen des Walzensatzes paarweise (involutorisch) vertauschen. Diese Maßnahme diente zur weiteren Stärkung der kryptographischen Sicherheit der ENIGMA. Tatsächlich wird hierdurch der Schlüsselraum beträchtlich erweitert. Da die Steckeranordnung jedoch während des gesamten Verschlüsselungsvorgangs konstant bleibt (und nicht wie der Stromfluss durch den Walzensatz variabel ist), bewirkt sie nur einen geringen Schutz und kann durch den Angreifer abgestreift werden.

Die Ringe (Ringstellung) dienten hauptsächlich zum Schutz vor Spionage und sind krytographisch nahezu bedeutungslos. Durch sie wurde verhindert, dass durch Ablesen der von außen sichtbaren Walzenstellung auf die interne Position der Walzen geschlossen werden konnte.

Schlüsselraum

Der Schlüsselraum der ENIGMA lässt sich aus den einzelnen Komponenten des Schlüssels sowie der Anzahl der unterschiedlichen Schlüsseleinstellungen berechnen. Der Tagesschlüssel der ENIGMA besteht aus vier Teilschlüsseln, die in einem (geheimen) Formblatt ähnlich wie in der folgenden Tabelle (hier nur beispielhaft für drei Monatstage) angegeben waren: 

-------------------------------------------------------------------------
|Tag |UKW|    Walzenlage   |Ringstellung|      Steckerverbindungen      |
-------------------------------------------------------------------------
| 31 | B |  I    IV   III  |  16 26 08  | AD CN ET FL GI JV KZ PU QY WX |
| 30 | B |  II   V    I    |  18 24 11  | BN DZ EP FX GT HW IY OU QV RS |
| 29 | B |  III  I    IV   |  01 17 22  | AH BL CX DI ER FK GU NP OQ TY |

Beispielsweise für den 31. des aktuellen Monats ist als Umkehrwalze (UKW) die Walze B einzusetzen (Die ENIGMA I besaß zwei Umkehrwalzen, nämlich B und C). Als (drehbare) Walzen (Rotoren) sind die Walzen I, IV und III aus dem Sortiment von fünf Walzen (I bis V) auszuwählen und in der vorgeschriebenen Reihenfolge (Walze I links) in die ENIGMA einzubauen. Damit ist die Walzenlage definiert. Zuvor sind die an den einzelnen Walzen befindlichen Einstellringe (diese bestimmen den Buchstaben, an dem ein Übertrag auf die nächste Walze geschieht) noch in die angegebene Ringstellung zu bringen. Hier war eine Buchstaben-Zahlen-Zuordnung A=01, B=02, ..., Z=26 gebräuchlich. Schließlich sind an der Frontplatte der ENIGMA zehn Kabel zwischen den in der Spalte Steckerverbindungen verzeichneten Steckbuchsen anzuschließen, beispielsweise zwischen A und D, und so weiter.

Als letztes ist jede der drei Walzen durch den Benutzer in eine von 26 möglichen Anfangsstellungen zu drehen. Damit definiert er die Grundstellung. Nun ist die Maschine zur Verschlüsselung bereit.

Der gesamte Schlüsselraum der ENIGMA I ergibt sich somit aus den folgenden vier Faktoren:

a) Die Walzenlage

Drei von fünf Walzen und eine von zwei Umkehrwalzen werden ausgewählt. Dies ergibt 2·5·4·3 = 120 mögliche Walzenlagen (entspricht etwa 7 Bit).

b) Die Ringstellung

Es gibt jeweils 26 verschiedene Ringstellungen für die mittlere und die rechte Walze. (Der Ring der linken Walze ist kryptographisch bedeutungslos; er dient jedoch, wie auch die anderen Ringe, dem Schutz vor Spionage.) Insgesamt sind 26² = 676 Ringstellungen (entspricht etwa 9 Bit) relevant.

c) Die Grundstellung

Es gibt für jede der drei Walzen 26 unterschiedliche Grundstellungen. (Die Umkehrwalze kann nicht verstellt werden.) Insgesamt somit 26³ = 17.576 Grundstellungen (entspricht 14 Bit).

d) Die Steckerverbindungen

Es können bis zu maximal 13 Steckverbindungen zwischen den 26 Buchstaben durchgeführt werden. Für die erste Steckverbindung gibt es 26 Auswahlmöglichkeiten für das eine Steckerende und dann noch 25 für das andere Ende des Kabels. Somit also für das erste Kabel 26·25 unterschiedliche Möglichkeiten es einzustecken. Da es aber keine Rolle spielt, in welcher Reihenfolge die beiden Kabelenden gesteckt werden, entfallen davon die Hälfte der Möglichkeiten. Es bleiben also 26·25/2 = 325 Möglichkeiten für die erste Steckverbindung.

Für die zweite Steckverbindung erhält man analog 24·23/2 = 276 Möglichkeiten. Allgemein gibt es (26-2n+2)·(26-2n+1)/2 Möglichkeiten für die n-te Steckverbindung. 

Nummer der             Möglichkeiten für          Möglichkeiten für
Steckverbindung    erste Seite    zweite Seite    Steckverbindung	
    0                   1              1                1
    1                  26             25              325
    2                  24             23              276
    3                  22             21              231
    4                  20             19              190
    5                  18             17              153
    6                  16             15              120
    7                  14             13               91
    8                  12             11               66
    9                  10              9               45
   10                   8              7               28
   11                   6              5               15
   12                   4              3                6
   13                   2              1                1

Die Gesamtzahl der möglichen Steckkombinationen bei Verwendung von mehreren Steckern ergibt sich aus dem Produkt der Möglichkeiten für die einzelnen Steckverbindungen. Da aber auch hier die Reihenfolge der Durchführung keine Rolle spielt (es ist kryptographisch gleichwertig, wenn beispielsweise zuerst A mit X gesteckert wird und danach B mit Y oder umgekehrt zuerst B mit Y und dann A mit X) dürfen die entsprechenden Fälle nicht als Schlüsselkombinationen berücksichtigt werden. Dies sind bei zwei Steckverbindungen genau die Hälfte der Fälle. Das vorher ermittelte Produkt ist also durch 2 zu dividieren. Bei drei Steckerverbindungen gibt es 6 mögliche Reihenfolgen für die Durchführung der Steckungen, die alle sechs kryptographisch gleichwertig sind. Das Produkt ist also durch 6 zu dividieren. Im allgemeinen Fall, bei n Steckverbindungen ist das Produkt der vorher ermittelten Möglichkeiten durch n! zu dividieren. Es ergibt sich die folgende Anzahl der Möglichkeiten für genau n Steckverbindungen: 

                                n
                         1/n! · ∏ (26-2i+2)·(26-2i+1)/2 
                                i=1

Diese Produktdarstellung lässt sich umformen in: 

                                26!
                         -----------------
                          2^n·n!·(26-2n)!



 Stecker  -------------- Möglichkeiten für ----------------
          Steckver-     genau n Steck-      bis zu n Steck–
            bindung        erbindungen         verbindungen
    0         1                      1                    1
    1       325                    325                  326
    2       276                  44850                45176
    3       231                3453450              3498626
    4       190              164038875            167537501
    5       153             5019589575           5187127076
    6       120           100391791500         105578918576
    7        91          1305093289500        1410672208076
    8        66         10767019638375       12177691846451
    9        45         53835098191875       66012790038326
   10        28        150738274937250      216751064975576
   11        15        205552193096250      422303258071826
   12         6        102776096548125      525079354619951
   13         1          7905853580625      532985208200576

Bei der ENIGMA I wurden in der Regel genau zehn Steckerverbindungen durchgeführt. Für diese ergeben sich nach der obigen Tabelle 150.738.274.937.250 (150 Billionen) Steckmöglichkeiten (entspricht 47 Bit).

e) Der Gesamtschlüsselraum

Der gesamte Schlüsselraum einer ENIGMA I mit drei aus einem Vorrat von fünf ausgewählten Walzen und einer von zwei Umkehrwalzen sowie bei Verwendung von zehn Steckern lässt sich aus dem Produkt von 120 Walzenlagen, 676 Ringstellungen, 17.576 Grundstellungen und 150.738.274.937.250 Steckermöglichkeiten berechnen. Er beträgt

120·676·17.576·150.738.274.937.250 = 214.917.374.654.501.238.720.000

das sind etwa 2,149·10²³ Möglichkeiten und entspricht ungefähr 77 Bit.

Der Schlüsselraum ist riesig groß und hält auch einem Vergleich mit modernen Verschlüsselungsverfahren stand. Beispielsweise verfügt das über mehrere Jahrzehnte gegen Ende des zwanzigsten Jahrhunderts zum Standard erhobene Verschlüsselungsverfahren DES (Data Encryption Standard) über einen Schlüsselraum von genau 56 Bit, also deutlich weniger als die ENIGMA. Auch der Nachfolger für DES, das AES-Verfahren (Advanced Encryption Standard), von seinen Entwicklern Rijndael genannt, benutzt zumeist nur 128 Bit und gilt nach wie vor als unknackbar.

Die Größe des Schlüsselraums ist jedoch nur eine notwendige aber keine hinreichende Bedingung für die Sicherheit eines kryptographischen Verfahrens. Selbst eine so simple Methode wie eine einfache monoalphabetische Substitution verfügt über einen Schlüsselraum von 26!, das ist grob 4000·10²³ und entspricht ungefähr 88 Bit, und ist folglich sogar noch um etwa den Faktor 2000 größer als bei der ENIGMA I. Dennoch wird niemand behaupten, eine monoalphabetische Substitition wäre sicher.

Auch bei der ENIGMA ähnelt die wesentlich zur Größe des Schlüsselraums beitragende konstruktive Komponente, nämlich das Steckerbrett, einer einfachen monoalphabetischen Substitution, denn die Steckerung bleibt ja während der gesamten Verschlüsselung unverändert. Das Steckerbrett kann folglich mit Hilfe einer intelligenten kryptanalytischen Angriffsmethode (Turing-Bombe) überwunden und praktisch gänzlich eliminiert werden. Damit kann der Faktor 150.738.274.937.250 bei der Berechnung des Schlüsselraums effektiv wieder gestrichen werden. Auch die Ringe bewirken kryptographisch nur eine geringe Stärkung des Verfahrens. Sie verhinderten hauptsächlich, dass durch Ablesen der von außen sichtbaren Grundstellung auf die wahre Drehposition der Walzen geschlossen werden konnte und dienten somit in erster Linie dem Schutz vor Spionage. Damit kann man auch den Faktor 676 wieder streichen.

Übrig bleiben nur die 120·17576 Möglichkeiten (21 Bit) durch Walzenlage und Grundstellung. So schrumpft der vorher noch so gigantisch erscheinende Schlüsselraum auf vergleichsweise winzige 120·17576 = 2.109.120 (zwei Millionen) Möglichkeiten, eine Zahl, die auch bereits zu Zeiten des Zweiten Weltkriegs mit Hilfe der damaligen elektromechanischen Technik leicht vollständig (exhaustiv) abgearbeitet werden konnte.

Kryptographische Schwächen

Korn erreichte durch die Umkehrwalze, dass das Schlüsselverfahren involutorisch wird, das heißt, wenn bei einer bestimmten Stellung der Walzen ein U in ein X verschlüsselt wird, dann wird bei dieser Stellung auch ein X in ein U verschlüsselt. So vereinfachte er die Bedienung der Maschine, denn man muss nicht mehr zwischen Verschlüsselung und Entschlüsselung unterscheiden. Darüber hinaus erhoffte er sich wohl auch eine Steigerung der Sicherheit, denn der Strom durchfließt die Walzen ja nun zweimal. Dies war jedoch ein Trugschluss mit weitreichenden Konsequenzen.

Zum einen bewirkt die Umkehrwalze, dass nun kein Buchstabe mehr in sich selbst verschlüsselt werden kann, denn der Strom kann ja in keinem Fall genau den Weg durch den Walzensatz wieder zurücknehmen, den er gekommen ist. Er wird stets auf einem anderen Weg zurückgeleitet als er zur Umkehrwalze hingeflossen ist. Mathematisch spricht man hier von fixpunktfreien Permutationen. Diese Einschränkung mag als unwesentliche Kleinigkeit erscheinen, denn es bleiben ja noch 25 weitere Buchstaben des Alphabets zur Verschlüsselung, tatsächlich bedeutet dies jedoch eine drastische Reduzierung des Schlüsselraums und darüber hinaus eine neue Angreifbarkeit des Geheimtextes.

Zum anderen verursacht die Umkehrwalze, dass die Permutation und damit die Verschlüsselung involutorisch wird. Hierdurch verringert sich der Schlüsselraum noch weiter.

Die durch die Umkehrwalze eingefügten Schwächen, insbesondere die Reduzuierung des Schlüsselraums, lassen sich leicht an anschaulich klarmachen, wenn man statt von 26 Buchstaben vereinfacht von einem Alphabet von beispielsweise nur vier Buchstaben ausgeht:

Mit vier Buchstaben lassen sich 4! = 24 unterschiedliche Alphabete (damit meint der Kryptograph unterschiedliche Anordnungen der Buchstaben) erzeugen, nämlich 

 ABCD  ABDC  ACBD  ACDB  ADBC  ADCB
 
 BACD  BADC  BCAD  BCDA  BDAC  BDCA
 
 CABD  CADB  CBAD  CBDA  CDAB  CDBA
 
 DABC  DACB  DBAC  DBCA  DCAB  DCBA

Beschränkt man sich hier, statt auf alle 24 möglichen, nur auf die fixpunktfreien Permutationen, so fallen alle Alphabete weg, bei denen ein Buchstabe in sich selbst verschlüsselt wird, also auf seinem natürlichen alphabetischen Platz steht. Aus der obigen Liste sind damit die folgenden fünfzehn Alphabete zu streichen, da sie einen oder mehrere Fixpunkte aufweisen. Das ist bereits mehr als die Hälfte. 

 ABCD  ABDC  ACBD  ACDB  ADBC  ADCB
 
 BACD        BCAD              BDCA
 
 CABD        CBAD  CBDA            
 
       DACB  DBAC  DBCA

Übrig bleiben nur die folgenden neun fixpunktfreien Permutationen: 

 ----  ----  ----  ----  ----  ----
 
 ----  BADC  ----  BCDA  BDAC  ----
 
 ----  CADB  ----  ----  CDAB  CDBA
 
 DABC  ----  ----  ----  DCAB  DCBA

Berücksichtigt man jetzt noch, dass die Umkehrwalze nicht nur alle Permutationen mit Fixpunkten eliminiert, sondern auch alle nichtinvolutorischen Permutationen, so müssen aus der obigen Tabelle noch weitere sechs Fälle gestrichen werden. Übrig bleiben von allen möglichen 24 Permutationen eines Alphabets aus vier Buchstaben lediglich die drei fixpunktfreien und involutorischen Fälle. Sie werden als echt involutorische Permutationen bezeichnet. 

 ----  ----  ----  ----  ----  ----
 
 ----  BADC  ----  ----  ----  ----      
 
 ----  ----  ----  ----  CDAB  ----
 
 ----  ----  ----  ----  ----  DCBA

Bei der ENIGMA mit ihren 26 Buchstaben bewirkt diese Beschränkung, dass statt der 26!, also ungefähr 4033·10²³ insgesamt möglichen permutierten Alphabete, lediglich die etwa 4250·10¹¹ (fixpunktfreien) echt involutorischen Alphabete genutzt werden. Durch die Umkehrwalze verschenkt man also etwa den Faktor 10¹² (eine Billionen) an Möglichkeiten.

Kryptographisch noch katastrophaler als diese drastische Reduktion des Schlüsselraums ist jedoch, dass durch die Vermeidung von Fixpunkten Aussagen über den Text möglich sind wie "Nichts ist jemals es selbst!", die bei der Entzifferung eine ganz wesentliche Hilfe waren. Weiß der Angreifer, dass niemals ein Buchstabe die Verschlüsselung seiner selbst ist, dann eröffnet ihm diese Kenntnis Abkürzungen und er muss nicht mehr mühsam jeden einzelnen Fall abarbeiten, wie an folgendem Beispiel illustriert wird.

Ein seit Jahrhunderten bekanntes und bewährtes Entzifferungsverfahren ist die Methode des Wahrscheinlichen Worts. Hierbei errät, vermutet oder weiß der Angreifer, dass im Text eine bestimmte Phrase (engl. crib, franz. mot probable) auftritt, beispielsweise OBERKOMMANDODERWEHRMACHT. Liegt dem Angreifer zum Beispiel ein mit der ENIGMA verschlüsseltes Geheimtextfragment wie das folgende vor, so kann er ganz leicht ermitteln, an welcher Stelle im Text das vermutete Wahrscheinliche Wort sich nicht befinden kann, indem er für jede mögliche Lage prüft, ob ein Zeichen in sich selbst verschlüsselt würde, was wie er von der ENIGMA weiß, unmöglich ist. Dazu schreibt er das Wahrscheinliche Wort in den verschiedenen Lagen unter den Geheimtext und prüft auf Kollisionen, die im unteren Beispiel durch Fettdruck hervorgehoben sind: 

    FMHVPFUIDPJOUCXRWGYFZBECTIDFXZOSIVIEGVCEDBZDTJCOXH
  1 OBERKOMMANDODERWEHRMACHT
   2 OBERKOMMANDODERWEHRMACHT
    3 OBERKOMMANDODERWEHRMACHT
     4 OBERKOMMANDODERWEHRMACHT
      5 OBERKOMMANDODERWEHRMACHT
       6 OBERKOMMANDODERWEHRMACHT
        7 OBERKOMMANDODERWEHRMACHT
         8 OBERKOMMANDODERWEHRMACHT
          9 OBERKOMMANDODERWEHRMACHT
          10 OBERKOMMANDODERWEHRMACHT
           11 OBERKOMMANDODERWEHRMACHT
            12 OBERKOMMANDODERWEHRMACHT
             13 OBERKOMMANDODERWEHRMACHT
              14 OBERKOMMANDODERWEHRMACHT
               15 OBERKOMMANDODERWEHRMACHT
                16 OBERKOMMANDODERWEHRMACHT
                 17 OBERKOMMANDODERWEHRMACHT
                  18 OBERKOMMANDODERWEHRMACHT
                   19 OBERKOMMANDODERWEHRMACHT
                    20 OBERKOMMANDODERWEHRMACHT
                     21 OBERKOMMANDODERWEHRMACHT
                      22 OBERKOMMANDODERWEHRMACHT
                       23 OBERKOMMANDODERWEHRMACHT
                        24 OBERKOMMANDODERWEHRMACHT
                         25 OBERKOMMANDODERWEHRMACHT
                          26 OBERKOMMANDODERWEHRMACHT
                           27 OBERKOMMANDODERWEHRMACHT
    FMHVPFUIDPJOUCXRWGYFZBECTIDFXZOSIVIEGVCEDBZDTJCOXH

Die Anzahl der durch Kollisionen auszuschließenden Lagen lässt sich übrigens nach folgender Überlegung abschätzen: Bei einem Wahrscheinlichen Wort der Länge 1 (also nur ein einzelner wahrscheinlicher Buchstabe) ist die Wahrscheinlichkeit für eine Kollision 1/26. Folglich die Wahrscheinlichkeit für keine Kollision (1-1/26). Bei einem Wahrscheinlichen Wort wie oben mit der Länge 24 ist dann die Wahrscheinlichkeit für keine Kollision (1-1/26)^24, das sind etwa 39 %. Das heißt, bei 27 untersuchten Lagen erwartet man theoretisch für 27·(1-1/26)^24 der Fälle keine Kollisionen. Der Ausdruck ergibt etwa den Wert 10,5 und stimmt sehr gut mit den im Beispiel beobachteten elf kollisionsfreien Crib-Lagen überein.

Mit Hilfe dieser äußerst simplen kryptanalytischen Angriffsmethode lassen sich so von den 27 möglichen Lagen des Wahrscheinlichen Worts hier sechzehn, also mehr als die Hälfte als unmöglich eliminieren - eine erhebliche Arbeitsvereinfachung für den Angreifer.

Entzifferung

Die Betreiber der Schlüsselmaschine ENIGMA waren der Meinung, dass die durch sie maschinell verschlüsselten Texte (im Gegensatz zu fast allem, was bis 1918 gebräuchlich war) mit manuellen Methoden nicht zu knacken sind. Und damit hatten sie Recht. Was übersehen wurde ist, dass einer maschinellen Verschlüsselung durch maschinelle Entzifferung begegnet werden kann.

Geht man von der ENIGMA I aus, bei der drei Walzen aus einem Sortiment von fünf Walzen eingesetzt werden sowie eine von zwei möglichen Umkehrwalzen (B oder C), so ergeben sich 2·5!/2! = 120 verschiedene Kombinationsmöglichkeiten für die Walzenlage. Für jede dieser Walzenlagen gibt es 26³, also 17576 Grundstellungen. Wenn man vom Steckerbrett absieht, gibt es nur 120·17576, also 2.109.120 Möglichkeiten für die Verschlüsselung eines Textes. Diese etwa zwei Millionen unterschiedlichen Fälle sind von Hand in vernünftiger Zeit praktisch nicht durchzuprobieren. Mit Hilfe einer geeigneten Maschine jedoch, die motorbetrieben vielleicht zwanzig Fälle pro Sekunde abarbeiten kann, benötigt man nur noch 2109120/20/60/60, also etwa 30 Stunden, um sämtliche Möglichkeiten durchzutesten. Leistet man sich den Aufwand, sechzig Maschinen, also jeweils eine für jede Walzenlage (ohne Umkehrwalzen), einzusetzen, dann schrumpft die Zeit von 30 Stunden auf 30 Minuten - eine durchaus erträgliche Zeit.

Eine Gruppe polnischer Mathematiker um Marian Rejewski erzielte schon vor dem Zweiten Weltkrieg große Erfolge bei der Entzifferung von Texten, die mit der Enigma chiffriert waren. Die vor 1939 gebauten Versionen waren etwas einfacher konzipiert. Rejewski verwendete insbesondere Sätze der Permutationstheorie für seine Kryptoanalysen, außerdem nutzte er Verfahren, die linguistische Eigenheiten des Deutschen ausnutzten, sowie weitere Abweichungen von reinen Zufallszeichenfolgen, die durch den Einfluss des Menschen verursacht werden, etwa die Bevorzugung von Spruchschlüsseln wie AAA, BBB, ABC, usw.. (sog. "cillies", möglicherweise abgeleitet vom englischen silly, für dumm, blöd)

Die Tatsache, dass die Deutschen am Beginn einer jeden Nachricht einen so genannten Nachrichtenschlüssel (auch: Spruchschlüssel) mit dem Tagesschlüssel verschlüsselt sendeten, machte sich Rejewski zu Nutze, um den Suchraum des Codierungsschlüssels drastisch einzuschränken. Der Nachrichtenschlüssel bestand aus einer Kombination von drei Buchstaben (die Anfangsstellung der drei Walzen) die zur Vermeidung von Aufnahme- und Übertragungsfehlern zweimal hintereinander am Beginn jeder Nachricht gesendet wurde.

Der Empfänger entschlüsselte zunächst die ersten sechs Zeichen der eingetroffenen Nachricht mit dem jeweils für diesen Tag gültigen Tagesschlüssel und brachte dann die Walzen in die angegebene Ausgangsstellung zur Entschlüsselung der eigentlichen Nachricht.

Rejewski entwickelte zudem einen Katalog mit Fingerabdrücken aller Walzenkombinationen und -einstellungen. Diese Spezialmethode kam völlig ohne Klartextkenntnisse (cribs wie z.B. Beginn „An OKW“) aus. Nachdem später häufige Schlüsselwechsel vorgenommen wurden, wurde sie jedoch nutzlos. Der Spruchschlüssel war einer der kryptologischen Fehler der Deutschen, ein weiterer schwerwiegender war die vollständige Wiedergabe einer Klartext-Schlüssel-Schlüsseltext Kombination in frühen Ausgaben der Bedienungsanleitung, welche die Struktur der Walzen erschließbar machte. Ferner wurden unzweckmäßige Bedienung seitens der Funker ausgenutzt, so als jemand auf die Bitte, ein Testsignal zu senden, 50 mal den Buchstaben A übermittelte, was leicht erkennbar war. Dem polnischen Geheimdienst standen außerdem erbeutetes, deutsches Schlüsselmaterial zur Verfügung (Codebücher), wodurch der Lösungsaufwand verringert wurde. Den Klartext erhielt man nur, wenn man folgende Teilprobleme löste:

Aufklärung von: vorher: Struktur und Verschaltung aller Walzen inklusive Umkehrwalze, dann:

Mit Hilfe elektromechanischer Rechenmaschinen, sog. Bomben, konnte innerhalb von Stunden der Tagesschlüssel ermittelt werden, der zum Verschlüsseln von Nachrichten diente und von den Deutschen täglich um 0 Uhr gewechselt wurde. 1939 verbesserten die Deutschen die Handhabung der Enigma. Es wurden fünf statt drei Walzen verwendet (wobei jedoch nur jeweils drei Walzen in der Maschine eingesetzt waren) und mit Hilfe eines Steckbretts 10 statt bisher 4 Buchstabenpaare vertauscht. Der dadurch weiter angewachsene Schlüsselraum konnte nur durch den Bau von 60 weiteren Bomben bewältigt werden.

Zwei Wochen vor dem deutschen Angriff auf Polen konnten das Wissen um die kryptographischen Schwachstellen, ein Konstruktionsplan der Bomben und zwei Kopien der Enigma nach Frankreich und Großbritannien geschmuggelt werden. Die Erkenntnisse des Biuro Szyfrów (pl) wurden von den Alliierten, vor allem in Großbritannien, weiter genutzt und verbessert. Dies ist einem Deutschen zu verdanken, der eine Funkerstelle beim Militär innehatte und sich für seine Entlassung nach dem Ersten Weltkrieg an den Deutschen rächen wollte. Er nahm Kontakt mit dem französischem Geheimdienst auf. Er traf sich insgesamt dreimal mit einem Agenten mit dem Decknamen Rex. Er selbst erhielt als Deckname die zwei Buchstaben AH. Er lieferte den Franzosen Baupläne der Enigma, aber seine Pläne enthielten nicht die Verdrahtung der Enigma. Er wurde 1943 vom französischen Geheimdienst verraten und noch im selben Jahr hingerichtet. 1999 wurde bekannt, dass Hans-Thilo Schmidt, Deckname Asch an Bertrand ähnliche Unterlagen lieferte. Es wird angenommen, dass Rejewski auch ohne diese ausgekommen wäre, wenngleich sie zweifellos hilfreich waren.

Die Arbeiten der britischen Kryptoanalysten fanden in Bletchley Park unter dem Codenamen Ultra statt. Sie setzten die Arbeit an der Stelle fort, wo Rejewski aufhören musste und erreichten unter anderem das Dechiffrieren der 1939 verbesserten Enigma-Version. Sie machten sich dafür vor allem Nachlässigkeiten der deutschen Chiffrierer zu Nutze: wiederkehrende oder schlecht gewählte Nachrichtenschlüssel, schematischer Nachrichtenaufbau (z.B. Wettermeldungen oder Positionsangaben) usw. Insgesamt arbeiteten etwa 7000 Frauen und Männer in Bletchley. Verglichen mit den 15 polnischen Kryptologen der Gruppe Z im unbesetzen Frankreich (Cadix 1940) eine zahlenmäßig haushohe Überlegenheit der Briten, womit diese jedoch etwas nicht aus eigener Kraft ausgleichen konnten, was sie schon 1939 unwiederbringlich verloren hatten: Zeit. Nach Offenlegung einiger Geheimarchive muss als gesichert gelten, dass der von Rejewski erreichte Forschungsstand auf Alliierter Seite nicht eigenständig reproduziert hätte werden können. 1939 wurden auf polnische Initiative hin die verbündeten Dienste vollumfänglich in die polnische Dechiffrier-Technik eingeweiht, sowie Schlüsselmaterial und -technik übergeben.

Einer der Wissenschaftler in Bletchley Park war der britische Mathematiker Alan Turing, dessen Arbeiten für die Informatik auch heute noch wegweisend sind.

Turing lieferte wichtige Entwurfsideen für die englische Variante der bomba. Die technische Grundidee war in etwa folgende: Angenommen, aufgrund eines cribs (known-plaintext Attacke) ergibt sich eine 3 Buchstabenschleife: plaintext a auf ciphertxt b, b auf c und c wieder auf a. Das heißt in kurzem Abstand a-b-c-a. Würde man nun 3 Enigmas unter Auslassung des Steckerfeldes in der originalen Rotorposition hintereinanderschalten, so erhält man auch eine physikalische Leiterschleife insbesondere für den Fall der übereinstimmenden Rotorstellungen, die man detektieren kann, indem man etwa Lampen an die anderen Rotorkontakte anschließt. In diesem Fall ergibt sich die Verschaltung des Steckerfeldes als Lösung, wenn man die 17.000 Permutationen synchron durchlaufen lässt. Leider ist die Zuordnung nicht eindeutig, aber der Lösungsraum wird bereits recht klein.

Den Alliierten gelang es am 4. Mai 1941, das deutsche U-Boot U 110 zu übernehmen und eine Enigma M3 sowie zahlreiche Codetabellen zu erbeuten. Da die deutsche Besatzung vorher das schwer beschädigte U-Boot verlassen hatte, von dem Zerstörer HMS Bulldog aufgefischt und sofort unter Deck gebracht wurde, blieb den Deutschen diese Eroberung unbekannt. Im Juni 1944 konnten eine weitere Enigma-Maschine sowie die geheimen Schlüsselunterlagen erbeutet werden, als das U-Boot U 505 erfolgreich aufgebracht wurde.

Gegen Ende des Krieges waren die Alliierten in der Lage, große Teile des deutschen Funkverkehrs zu entschlüsseln. Unentschlüsselt blieben einige selten genutzte oder als weniger interessant erachtete Codes, sowie aus verschiedenen Gründen ein kleiner Teil von Nachrichten mit prinzipiell geknackten Codes.

Geschichtliche Konsequenzen

Allgemein wird die Kompromittierung des Enigma-Codes als einer der strategischen Vorteile angesehen, der maßgeblich zum Gewinn des Krieges durch die Alliierten geführt hat. Es gibt Historiker, die vermuten, dass der Bruch der Enigma den Krieg um etliche Monate, vielleicht sogar um ein volles Jahr, verkürzt hat. Der Historiker Rohwer schätzt den Wert der Enigma-Nachrichten auf 400 nichtversenkte alliierte Schiffe, wovon 300 bereits bei der Operation Overlord gefehlt hätten.

Wenn man noch weiter spekulieren möchte, kann man aus den Aussagen von Gordon Welchman, der neben Alan Turing einer der führenden Köpfe der britischen Codeknacker in Bletchley Park war, Schlussfolgerungen ziehen. In seinem Buch The Hut Six Story beschreibt er die Gratwanderung, die die allierten Codeknacker zu vollbringen hatten, um nicht den Anschluss an die immer wieder von den Deutschen neu eingeführten kryptographischen Komplikationen zu verlieren. Mehrfach stand die Entzifferungsfähigkeit auf des Messers Schneide und immer wieder senkte sich die Waagschale zugunsten der Codeknacker, oft auch mit viel Glück, wie Welchman in seinem Buch einräumt: "We were lucky".

Die Betrachtung alternativer Geschichtsverläufe ist gezwungenermaßen höchst spekulativ. Entscheidend ist natürlich auch der Zeitpunkt, zu dem die ENIGMA möglicherweise einbruchssicher gemacht worden wäre. Falls dies erst im Jahre 1945 geschehen wäre, hätte es vermutlich nur geringe Konsequenzen auf den Kriegsverlauf gehabt. Im Jahr 1944 dagegen wären die allierten Invasionspläne behindert worden. Wie man heute weiß, war aus entzifferten ENIGMA-Funksprüchen nahezu die gesamte deutsche Gefechtsaufstellung in der Normandie bekannt.

Was aber wäre gewesen, wenn die ENIGMA von Anfang an unknackbar geblieben wäre? Im Jahre 1940 beispielsweise setzte die Royal Air Force ihre letzten Reserven ein, um schließlich die Luftschlacht um England (The Battle of Britain) zu gewinnen. Auch hierbei waren entzifferte Funksprüche, insbesondere über die Angriffspläne der deutschen Luftwaffe, eine große Hilfe. Ohne diese Hilfe wäre die Luftschlacht eventuell verloren gegangen und das Unternehmen Seelöwe, also die deutsche Invasion Englands, hätte stattgefunden. Wie es ausgegangen wäre, darüber lässt sich nur spekulieren. Denkbar wäre, dass nach einer deutschen Besetzung Englands noch im Jahr 1940 der Krieg beendet gewesen wäre, denn zu diesem Zeitpunkt befanden sich weder die Sowjetunion noch die Vereinigten Staaten im Krieg. Möglicherweise wäre es so gar nicht zum Zweiten Weltkrieg gekommen und vielen Millionen Menschen auf allen Seiten wäre Leid und Tod erspart geblieben. Vielleicht wäre aber alles noch viel schrecklicher gekommen und Atombomben wären über Europa explodiert. Das alles sind Spekulationen - deutlich wird allerdings die enorme Bedeutung der Kryptographie und der Kryptanalyse der Schlüsselmaschine ENIGMA für den Verlauf der Geschichte.

Bemerkenswert ist überdies die Tatsache der funktionierenden Geheimhaltung der über entzifferte ENIGMA-Funksprüche gewonnenen Informationen (Tarnname ULTRA) durch die Alliierten während und selbst nach dem Krieg bis in die 1970er Jahre.

Aufgrund verschiedener, verdächtiger Ereignisse wurden auf deutscher Seite mehrfach Untersuchungen angestellt, wie es um die Sicherheit des Nachrichtenverkehrs bestellt sei, insbesondere auch beim T52-Fernschreiber (FISH). Hier wurden jedoch die falschen Schlussfolgerungen gezogen und die Personen mit der richtigen Einschätzung haben sich nicht durchgesetzt. Dies war umso verhängnisvoller, als die Abhängigkeit vom sicheren Funkverkehr extrem hoch war, und die Geheimhaltung des Schlüsseleinbruchs alliierterseits erstaunlich erfolgreich.

Nach dem Krieg wurden erbeutete sowie nachgebaute Enigma-Geräte von den Siegermächten, vor allem von England und den USA, in den Nahen Osten und nach Afrika verkauft. Den Siegermächten war es so möglich, den Nachrichtenverkehr dieser Staaten zu mitzulesen.

Verbesserungspotenzial

Schon 1883 formulierte der belgische Kryptograf Auguste Kerkhoffs unter der Annahme "Der Feind kennt das genutzte System" seine für seriöse Kryptografie bindende Maxime:

Die Sicherheit eines Kryptosystems darf nicht von der Geheimhaltung des Algorithmus' abhängen. Die Sicherheit gründet sich nur auf die Geheimhaltung des Schlüssels! (Kerkhoffs' Maxime)

Die kryptografische Sicherheit der ENIGMA hing - im Widerspruch zu Kerkhoffs' Maxime - wesentlich von der Geheimhaltung ihrer Walzenverdrahtung ab. Diese war unveränderbar, somit ein Teil des Algorithmus' und nicht des Schlüssels. Bemerkenswert ist, dass die Walzenverdrahtung niemals, seit den Anfängen in den 1920-er Jahren bis 1945, auch nur einmal verändert worden ist. Unter den üblichen Einsatzbedingungen einer so weit verbreiteten Schlüsselmaschine wie der ENIGMA, darf man nicht annehmen, dass deren algorithmische Bestandteile auf Dauer geheim gehalten werden können, auch wenn die Deutschen es versucht haben.

Ein erster möglicher Ansatz zur Verbesserung der ENIGMA wäre somit das (beispielsweise jährliche) vollständige Auswechseln des Walzensortiments gewesen. Noch wesentlich wirkungsvoller wären Walzen, deren innere Verdrahtung schlüsselabhängig variabel gestaltet werden könnte. Interessanterweise gab es hierzu einen Ansatz, nämlich die Umkehrwalze D, die genau diese Eigenschaft aufwies, jedoch erst spät und wohl nur vereinzelt zum Einsatz kam.

Weitere kryptographische Stärkungen der ENIGMA wären im Konstruktionsstadium relativ leicht möglich gewesen. In erster Linie hätte man die Beschränkung auf fixpunktfreie Permutationen vermeiden müssen. Auch die Involutorik, zwar bequem für die Bedienung, schwächte die Maschine enorm. Beides wäre vermieden worden, hätte man auf die Umkehrwalze verzichtet.

Interessanterweise verfügte bereits die ENIGMA A, eine Vorläuferin der ENIGMA I, im Jahre 1924 über acht nebeneinander fest angeordnete Walzen und einem allein durch die Grundstellung einstellbaren Schlüsselraum von mehr als 200 Milliarden (im Gegensatz zu nur 17.576 Grundstellungen der ENIGMA I). Zudem verfügte die ENIGMA A über keine Umkehrwalze und den damit verbundenen Schwächen. Hätte man diese Grundkonstruktion mit acht (statt nur drei) Walzen auf die ENIGMA I übertragen und wie dort die Lage der Walzen austauschbar gestaltet, wäre eine deutlich stärkere Maschine entstanden.

Walzensatz: Links unten ist eine Übertragskerbe zu erkennen

Eine weitere - sehr einfache Möglichkeit - die Maschine sicherer zu gestalten, ist die Verwendung von mehr als einer Übertragskerbe. Diese Kerben sind Bestandteil jeder Walze und bewirken den Übertrag auf die nächste, im Walzensatz weiter links liegende Walze und sorgen so für die Fortschaltung der Rotoren. Den Codeknackern kam es sehr gelegen, dass sie 26 Buchstaben lang davon ausgehen konnten, dass allein die rechte Walze rotierte und erst dann eine Fortschaltung auf den mittleren Rotor passierte. Für relativ lange Textpassagen besteht die ENIGMA somit aus Sicht des Kryptanalysten nur aus einer einzigen sich drehenden (rechten) Walze und einer, aus mittlerer und linker Walze sowie der Umkehrwalze bestehenden, sozusagen besonders dicken Umkehrwalze. Erst der Übertrag auf die mittlere Walze stört dies. Dieses wichtige Ereignis hatte bei den Codeknackern in Bletchley Park sogar einen Spitznamen: Sie nannten es crab (engl. für Krabbe) und das noch seltenere Fortschalten der linken Walze hieß lobster (engl. für Hummer). Hätten die Walzen der ENIGMA über mehr als nur eine einzige Übertragskerbe verfügt, beispielsweise elf, so wäre die Kryptanalyse durch häufige crabs und lobsters stark gestört worden.

Vielleicht fürchteten die Konstrukteure der ENIGMA eine Reduzierung der Periode, das ist die Anzahl der Zeichen, nach der sich das zur Verschlüsselung verwendete Alphabet wiederholt. Die Periode beträgt bei der ENIGMA I 16.900. Bei Verwendung von zwei, vier oder gar dreizehn Übertragskerben statt nur einer, würde sie tatsächlich absinken, da diese Zahlen gemeinsame Teiler mit 26 aufweisen. Bei drei, fünf, sieben, neun oder elf Kerben hingegen besteht diese Gefahr nicht, da sie zu 26 teilerfremd sind. Interessanterweise wurden bei der Marine, in Ergänzung zu den von der ENIGMA I bekannten fünf Walzen hinaus, drei weitere Walzen eingesetzt (VI, VII und VIII), die mehr als eine, nämlich zwei Übertragskerben aufweisen. Man fragt sich, warum nicht deutlich mehr? Die exklusiv von der Marine verwendeten drei Walzen vermieden übrigens einen weiteren Fehler der fünf Walzen der ENIGMA I, denn sie hatten ihre Übertragskerben alle bei identischen Buchstaben. Nicht so die Walzen I bis V, die dank ihrer bei unterschiedlichen Buchstaben angeordneten Kerben durch Beobachten einer Krabbe viel leichter identifizierbar waren.

Zusammenfassend können folgende Punkte zur kryptografischen Stärkung der ENIGMA festgehalten werden:

  • Identische Verschlüsselung zulassen
  • Involutorik vermeiden
  • Mehrere (z.B. elf) Übertragskerben anbringen
  • Übertragskerben für alle Walzen identisch anordnen
  • mehr als drei Walzen (z.B. acht) einbauen
  • Walzensortiment erweitern (z.B. zehn statt fünf)
  • Walzenverdrahtung gelegentlich radikal ändern
  • nicht involutorische Stecker verwenden

Eine ganz simple Methode, die laut Gordon Welchman zu jedem beliebigen Zeitpunkt leicht hätte eingeführt werden können, ist die Verwendung von einpoligen Steckverbindungen anstelle der doppelpoligen (involutorischen) Kabel. Dann könnte man beispielsweise X mit U steckern und U nun aber nicht notwendigerweise mit X, sondern mit irgendeinem anderen beliebigen Buchstaben. So hätte schlagartig die Involutorik des Steckerbretts und damit der gesamten Maschine beseitigt werden können. Dies hätte nach Welchman katastrophale Auswirkungen für die Codeknacker in Bletchley Park gehabt. Ein Großteil der dort erarbeiteten Methodik, inklusive des von Welchman selbst erfundenen "diagonal boards" wäre nutzlos geworden. Er schreibt "the output of Hut 6 Ultra would have been reduced to at best a delayed dribble, as opposed to our up-to-date flood."

Andere Rotormaschinen

Parallel zu der deutschen Enigma-Maschine verwendeten die Amerikaner den TELWA-Code, die SIGABA-Maschine sowie die M-209-Maschine für strategische Funksprüche.

Der US-Verschlüsselungscode TELWA wurde von den Deutschen während des zweiten Weltkriegs geknackt. Er bestand aus Buchstaben in Fünfergruppen, wobei die Funksprüche immer mit der Buchstabenkombination TELWA anfingen (daher der Name). Bei dem TELWA-Code handelt es sich um einen Ersetzungs-Code, bei dem jeweils fünf Buchstaben eine gleichbleibende Bedeutung hatten; die einzelnen Buchstaben in einer Fünfergruppe waren voneinander abhängig. Durch die Untersuchung von Wiederholungen, beispielsweise am Anfang und am Ende von Funksprüchen, konnte die erste Fünf-Buchstaben-Kombination durch die Deutschen entschlüsselt werden, woraus sich eine mathematische Formel zum Entschlüsseln des Telwa-Codes entwickeln ließ.

Eine beim US-Militär verbreitete Verschlüsselungsmaschine war die M-209, deren Funktionsprinzip vom schwedischen Unternehmer und Erfinder Boris Hagelin entwickelt worden war. Die erste Maschine dieser Baureihe wurde im Jahr 1936 unter der Bezeichnung C-36 an das französische Militär verkauft. Boris Hagelin gründete später in der Schweiz die heute immer noch existierende Firma Crypto AG. Kurz nach Kriegsbeginn fand er in den US-Streitkräften einen weiteren Großabnehmer, der die Funktionsweise des Geräts leicht abänderte und es anschließend M-209 taufte. Die Produktion fand in Lizenz in den USA statt. Insgesamt 140.000 Exemplare der M-209 wurden während des Kriegs hergestellt, wodurch diese die meistgebaute unter den öffentlich bekannten amerikanischen Verschlüsselungsmaschinen im 2. Weltkrieg wurde.

Durch auf einen Stangenkorb steckbare Reiter wurde der Schlüssel eingegeben; 101.405.950 unterschiedliche Kombinationen waren möglich. Da die M-209 nur das Verschlüsseln von alphabetischen Zeichen vorsah, mussten Zahlen immer in Wörtern ausgedrückt werden - hier lag der Ansatzpunkt der deutschen Kryptoanalysten. Das Entschlüsseln der Funksprüche dauerte zunächst bis zu einer Woche, konnte jedoch durch eine von den Deutschen gebaute Entschlüsselungsmaschine, die im September 1944 fertig gestellt wurde, auf sieben Stunden beschleunigt werden.

Diese Entschlüsselungsmaschine bestand aus vier Walzen mit je 26 Schlitzen sowie gestanzten Blechplatten und zahlreichen verlöteten Kabelverbindungen. Die Maschine bestand aus zwei Teilen: einem Kasten in der Größe eines Schreibtisches, der die Relais und die vier Drehwalzen enthielt, sowie einem weiteren Kasten mit 80 x 80 x 40 cm Kantenlänge. Letzterer enthielt 26 mal 16 Birnenfassungen, mit denen sich durch Birnen die Buchstaben der relativen Einstellung nachbilden ließen.

Die entschlüsselten M-209 Nachrichten enthielten teilweise brisante Informationen und Hinweise auf bevorstehende Bombardierungen deutscher Städte, die meist etwa sechs bis acht Wochen vor der Durchführung in Funksprüchen angekündigt wurden. Ob und wie diese entschlüsselten Nachrichten von höheren deutschen Stellen genutzt wurden, ist nicht bekannt.

Im Kampf gegen Japan benutzten die Amerikaner einen Code, der auf der Sprache amerikanischer Ureinwohner, nämlich der Indianer vom Stamm der Navajos basierte. Dieser Code wurde nie geknackt. Der amerikanische Spielfilm Windtalkers aus dem Jahre 2002 mit Nicolas Cage bezieht sich auf diese Ereignisse.

Literatur

  • Louis Kruh und Cipher Deavours: The commercial Enigma: Beginnings of machine cryptography. Cryptologia, Nr.1, vol. XXVI, Januar 2002
  • Gordon Welchman: The Hut Six Story: Breaking the Enigma Codes. M&M Baldwin, Cleobury Mortimer, 2000, ISBN 0-947712-34-8
  • Friedrich L. Bauer: Entzifferte Geheimnisse, Methoden und Maximen der Kryptographie. 3. Auflage, Springer, Berlin, 2000, ISBN 3-540-67931-6
  • Klaus Schmeh: Die Welt der geheimen Zeichen. W3L Verlag Bochum, 2004, ISBN 3-937-13790-4
  • Simon Singh: Geheime Botschaften, dtv, 2001, ISBN 3-423-33071-6
  • Robert Harris: Enigma (Fiktion), Heyne, 1996, ISBN 3-453-11593-7
  • Wladyslaw Kozaczuk: Geheimoperation Wicher 1990, wiss. Primärquelle
  • OKW: H.Dv.g. 13, Gebrauchsanleitung für die Chiffriermaschine Enigma, 1937
  • OKW: H.Dv.g. 14, Schlüsselanleitung zur Chiffriermaschine Enigma, 1940
  • OKW: H.Dv.g. 7, Allgemeine Schlüsselregeln für die Wehrmacht, 1944

Vorlage:Commons2

Abgerufen von „https://de.wikipedia.org/w/index.php?title=Enigma_(Maschine)&oldid=12286166