Kryptologie: Die Enigma

Kryptologie

Die Enigma

a7Hzq .#5r< kÜ\as TâÆK$ ûj(Ö2 ñw%h: Úk{4R f~`z8 ¤˜Æ+Ô „&¢Dø

Beschreibungen, Artikel, Simulationen

[Externe Links]

Historical Ciphers (Linksammlung von Joe Peschel).
Basic Principles of the Enigma (John Savard).
Louis Kruh and Cipher Deavours: The commercial Enigma: Beginnings of machine cryptography. Cryptologia XXVI/1 (2002), 1 - 16.
CFD Hosts Lecture on Enigma.
How the Enigma Works (by Alan Stripp).
Papers on Enigma (by David Hamer).
Turing's Treatise on Enigma.
German Army Enigma Message (Frode Weierud).
James J. Gillogly: Ciphertext-only Cryptanalysis of Enigma. Cryptologia XIX/4 (1995).
Kommentare dazu.
The Influence of ULTRA in the Second World War (Harry Hinsley).
Decoding Nazi Secrets (Nova online).
The Alan Turing Home Page (Andrew Hodges)

Historische Daten

Gründung der »Chiffriermaschinen AG« durch Scherbius.
Angebot Enigma A, B als ziviles, kommerzielles Chiffriersystem;
4 Rotoren (»Durchgangsräder«) mit Zahnlückenantrieb.
1926 Willi Korn: Patentanmeldung »Umkehrwalze« ® Enigma C.
1927 Enigma D mit einstellbarer Umkehrwalze.
1933 Auflösung der »Chiffriermaschinen AG«;
Neugründung der »Chiffriermaschinen-Gesellschaft Heimsoeth und Rinke« (bis 1945).
Weiterentwicklung zu militärischem Chiffriergerät (Enigma I, »Wehrmachts-Enigma«).
Einführung des »Steckerbretts«.
1938-1942: Enigma K an Schweizer Armee verkauft.
1942 Version M4 für die Marine mit zusätzlichem Rotor.
Nach dem Krieg Verkauf der erbeuteten Maschinen an Entwicklungsländer; im Gebrauch bis ca. 1975.

Ausländische Varianten

ca. 1928 britische Variante: TYPEX.
Polnische Variante: Lacida.
Japanische Variante: »GREEN«.
US-Variante M-235 = SIGFOY von Friedman.
1946 NEMA für Schweizer Armee mit 6 Rotoren.
NATO-Chiffriergerät KL-7 [extern].
Variante mit 7 Rotoren von OMI (Ottico Meccanica Italiana).

Besonderheiten der Enigma

Von den verschiedenen Versionen wird hier die »Wehrmachts-Enigma« beschrieben.

Es werden q = 3 Walzen (Rotoren) aus einem Walzenkorb der Größe p = 5 ausgewählt.
Der Strom fließt von rechts durch die drei Rotoren, dann durch die Umkehrwalze, dann in umgekehrter Richtung wieder durch die drei Rotoren nach rechts wie in der Abbildung

oder wie hier von John Savard skizziert.
Die Umkehrwalze (oder »Reflektor«)
- dreht sich nicht,
- verdoppelt die Anzahl der durchlaufenen Rotoren,
- macht die gesamte Verschlüsselung involutorisch, d. h., Verschlüsselungs- und Entschlüsselungsfunktion sind identisch,
- ermöglicht dem Kryptoanalytiker eine negative Mustersuche, da niemals ein Buchstabe durch sich selbst verschlüsselt wird.
Die drei Rotoren werden im wesentlichen nach dem Zählwerkprinzip weitergeschaltet; der rechte, also erste und letzte Rotor im Stromlauf, ist der schnelle, der linke, an die Umkehrwalze grenzende, der langsame. Es gibt eine kleine Unregelmäßigkeit: Immer, wenn sich der langsame Rotor dreht, schiebt er den mittleren noch eine Position weiter, so dass dieser eine ganze Umdrehung schon nach 25 Schritten schafft.
Die Beschriftung jedes Rotors ist auf dem »Alphabetring« angebracht, der den Rotor umschließt und sich frei auf diesem drehen läßt. Da die Mitnehmer für die Zählwerk-Schaltung am Alphabetring befestigt sind, wird dadurch deren Stellung veränderlich und beeinflusst die Zustandsänderungsfunktion g. Das ergibt einen zusätzlichen Schlüssel, die »Ringstellung«.
Die Zuordnung der Tastatur bzw. der Lämpchen zum Eingang des rechten Rotors wird über ein Steckerbrett geführt; jeder der 10 gesetzten Stecker vertauscht ein Buchstabenpaar. Das Steckerbrett bewirkt also eine zusätzliche Involution auf der Input- wie auf der Output-Seite. Das ergibt nochmal einen zusätzlichen Schlüssel, die »Steckerverbindungen«.

Bilder der gesamten Maschine sind hier (Wehrmachts-Enigma) oder hier (Marine-Enigma) oder extern, bei NOVA, zu sehen.

Laut Dienstvorschrift durften bei der Wehrmacht verschlüsselte Nachrichten nicht länger als 250 Zeichen sein - längere Texte mussten aufgeteilt und mit verschiedenen Spruchschlüsseln chiffriert werden.

Der Schlüsselraum

Es gibt

5!/2! = 60 Walzenlagen,
26³ = 17576 Ringstellungen,
26!/(2¹⁰×10!×6!) = 150 738 274 937 250 Möglichkeiten für die Steckerverbindungen [siehe unten],
26³ = 17576 Anfangsstellungen.

Der gesamte Schlüsselraum K (Primär- und Sekundärschlüssel) hat also die Größe

#K = 60 × 17576 × 150 738 274 937 250 × 17576 = 2 793 925 870 508 516 103 360 000 » 2.8 × 10²⁴ » 1.16 × 2⁸¹.

Da aber überhaupt nicht klar ist, ob alle Schlüssel verschiedene Substitutionen definieren, kann man daraus nur schließen, dass die effektive Schlüssellänge höchstens ungefähr 81 ist.

Die Anzahl der Involutionen

Die oben behauptete Anzahl der Möglichkeiten für die Steckerverbindungen bedarf noch einer Begründung. Es handelt sich dabei um die Anzahl der Involutionen in S₂₆ mit höchstens 10 Zweierzyklen.

Allgemein bestimmen wir die Anzahl der Involutionen in der symmetrischen Gruppe S_n mit höchstens k Zweierzyklen, wobei 0 £ 2k £ n. Sie ist gleich der Anzahl d(n,k) der Möglichkeiten, k Paare aus n Elementen zu wählen.

Wahl von # Möglichkeiten Wahl von # Möglichkeiten

1. Element: n

1. Partner: n-1 1. Paar: n(n-1)/2

2. Element: n-2

2. Partner: n-3 2. Paar: (n-2)(n-3)/2

… … … …

k. Element: n-2(k-1)

k. Partner: n-2(k-1)-1 k. Paar: (n-2k+2)(n-2k+1)/2

Wahl von	# Möglichkeiten	Wahl von	# Möglichkeiten
1. Element:	n
1. Partner:	n-1	1. Paar:	n(n-1)/2
2. Element:	n-2
2. Partner:	n-3	2. Paar:	(n-2)(n-3)/2
…	…	…	…
k. Element:	n-2(k-1)
k. Partner:	n-2(k-1)-1	k. Paar:	(n-2k+2)(n-2k+1)/2

Insgesamt ergibt das mit Berücksichtigung der Reihenfolge

n(n-1)××× (n-2k+2)(n-2k+1)/2^k = n!/[(n-2k)!×2^k]

Möglichkeiten. Davon sind, wenn man nun die Reihenfolge außer Acht lässt, jeweils k! identisch. Die gesuchte Anzahl ist also

d(n,k) = n!/[2^kk!(n-2k)!]

Im Falle der Wehrmachts-Enigma ist n = 26 und k = 10, und so wurde die oben angegebene Anzahl berechnet.

Die Steuerlogik

Üblicherweise wird der schnelle Rotor mit 1, der mittlere mit 2 und der langsame mit 3 bezeichnet. Nach der obigen Beschreibung ist die Zustandsänderungsfunktion also

g(z₁, z₂, z₃) = (z₁+1, z₂+l(z₁)+l(z₁)l(z₂), z₃+l(z₁)l(z₂))

mit l(x) = d_x,m (Kronecker-Symbol),

wobei m die Position des »Mitnehmers« ist. Die Periode ist also 26×25×26 = 16900.

Die Enigma-Gleichung

Die drei beweglichen Rotoren, die zunächst von rechts nach links durchquert werden, werden in dieser Reihenfolge nummeriert. Ihr Zustand wird dann durch einen Vektor

z = (z₃, z₂, z₁)

beschrieben. Die zugehörige Rotorsubstitution werde mit

s_z = r₃^(z₃) ° r₂^(z₂) ° r₁^(z₁)

bezeichnet. Die Umkehrwalze bewirkt eine Permutation p, die eine echte Involution ist, d. h., kein Element wird auf sich selbst abgebildet. Das Steckerbrett bewirkt ebenfalls eine Involution h.

Die Enigma-Substitution, die Gesamtsubstitution im Zustand z, ist also

r_z = h^-1 ° s_z^-1 ° p ° s_z ° h

oder, ausführlich geschrieben, als Enigma-Gleichung:

c_i = r_z(a_i) = h^-1 t^z₁ r₁^-1 t^z₂-z₁ r₂^-1 t^z₃-z₂ r₃^-1 t^-z₃ p t^z₃ r₃ t^z₂-z₃ r₂ t^z₁-z₂ r₁ t^-z₁ h (a_i).

Satz. Die Enigma-Substitution r_z im Zustand z ist eine echte Involution.

Beweis. Involution:

r_z^-1 = h^-1 ° s_z^-1 ° p^-1 ° s_z ° h = r_z ,

da p^-1 = p.

Echte Involution: Wäre r_z(s) = s für einen Buchstaben s Î S, so wäre

s_z h(s) = s_z h r_z(s) = p s_z h(s),

also p(t) = t für t = s_zh(s) Î S, im Widerspruch dazu, dass p eine echte Involution ist.¨

Bemerkung. Dass h Involution ist, wurde dabei nicht benötigt. Es wurde wegen der Einfachheit der Realisierung so eingerichtet. Kryptographisch flexibler wären variable Verbindungsstecker zwischen dem Eingangsrotor und Tastatur/Lampenfeld.

Autor: Klaus Pommerening, 14. Dezember 1999; letzte Änderung: 10. Januar 2005.
E-Mail an Pommerening@imsd.uni-mainz.de.