Während meiner 45 Berufsjahre als Mathematiker und Kryptologe hat sich die Kryptographie mehr verändert als in ihrer gesamten Geschichte zuvor. Bei meinem Dienstantritt 1953 hatte ich Kollegen und Vorgesetzte, die im Zweiten Weltkrieg bei Chiffrierbehörden der Wehrmacht oder des Auswärtigen Amtes maßgeblich tätig gewesen waren; einer von ihnen war sogar schon im Ersten Weltkrieg Kryptologe. Nahezu einhundert Jahre Kryptographie kann ich somit überblicken, aus eigener Anschauung oder durch viele, über Jahre geführte Fachgespräche mit den erwähnten Zeitzeugen. Ich selbst hatte an der revolutionären Neugestaltung der Kryptographie durch die Elektronik mitzuwirken. Schließlich erlebe ich nun ihre Einführung in die modernen Kommunikationsnetze der Wirtschaft.

Die Kryptographie ist eine alte Wissenschaft. Seit 6000 Jahren verfügt der Mensch über die Schrift, seit 3000 Jahren verschlüsselt er aber auch. In der Geschichtsschreibung hat die Kryptographie wenig Beachtung gefunden, doch ihr Einfluß auf das Weltgeschehen war beträchtlich. Kriege wurden durch sie ausgelöst oder entschieden, kriminelle Aktionen wurden unter ihrem Schutz begangen oder durch die kryptographischen Fähigkeiten von Sicherheitsbehörden vereitelt. Drei Beispiele mögen dies belegen: die Entzifferung der Zimmermanndepesche im Ersten Weltkrieg, die vergeblichen Bemühungen der deutschen Abwehr im Zweiten Weltkrieg, die Sendungen des Spions Sorge zu entziffern, und die Entzifferung der Enigma.

Im Jahre 1916 wollte die deutsche Reichsregierung Mexiko zum Krieg gegen die USA veranlassen mit dem Versprechen, nach einem Sieg Teile von Texas den USA wegzunehmen und an Mexiko zurückzugeben. In einem verschlüsselten Telegramm beauftragte der deutsche Außenminister Zimmermann seinen Botschafter mit entsprechenden Verhandlungen. Dieses Telegramm wurde abgefangen, entziffert und publiziert. Die Empörung der amerikanischen Öffentlichkeit war groß; wenig später traten die USA in den Krieg gegen die Mittelmächte ein, ein Ereignis, das die Geschichte unseres Jahrhunderts maßgeblich beeinflußt hat.

Dr. Richard Sorge war sowjetischer Spion in Japan. Durch ihn erfuhr Stalin, daß Japan nicht in den Krieg gegen die Sowjetunion eintreten würde. Dieser konnte daher seine Divisionen in den Westen verlegen und – kriegsentscheidend – gegen Deutschland einsetzen. Sorge verwendete, wie man nach seiner Festnahme ermittelte, ein hochwertiges Verschlüsselungsverfahren, das selbst heute noch unentzifferbar wäre.

Sorge hatte seine Geheimbotschaften noch auf traditionelle Weise produziert: mit Bleistift und Papier. Dabei war damals längst das Zeitalter der maschinellen Kryptographie angebrochen, von der in diesem Artikel im wesentlichen die Rede sein soll. Geheimdienste verschiedener Staaten wetteiferten darum, ihre Maschinen und Verfahren möglichst undurchschaubar zu machen. Das ging so weit, daß sie manches Mal ihr eigenes Gerät nicht durchschauten, insbesondere nicht, wie durchschaubar es war. So erging es im Zweiten Weltkrieg den Deutschen mit ihrer Chiffriermaschine Enigma. Deren Entzifferung durch die Alliierten ist zweifellos das folgenreichste Ereignis der Kryptographiegeschichte.





Die Enigma




Die Grundidee der Maschine ist an sich genial (Kasten oben): Durch einen schlichten Zählwerksantrieb, wie er in jedem Strom- und Kilometerzähler realisiert ist, änderte sich für jeden Buchstaben die Vorschrift, nach der ein Buchstabe des Klartexts durch einen des Geheimtexts zu ersetzen ist. Regelmäßigkeiten im Klartext, die dem Entzifferer hätten Anhaltspunkte geben können, wurden damit zur Unkenntlichkeit verwischt. Erst nach 17576 Zeichen wiederholte sich das Muster; die typischen Nachrichten waren weitaus kürzer. Zudem hatte die Maschine frei wählbare Parameter, nämlich die Anfangsstellungen der Zählwerksräder (Walzen). Indem die Anwender der Enigma diese Stellungen täglich wechselten, erschwerten sie den Entzifferern zusätzlich das Geschäft.

Gleichwohl steckten in den von der Enigma produzierten Geheimnachrichten weitaus mehr Regelmäßigkeiten, als ihre Anwender ahnten. Es gelang den Alliierten, diese zu nutzen, indem sie alle ihre Kräfte in Bletchley Park (England) konzentrierten und eigens entwickelte, computerähnliche Spezialgeräte einsetzten. Der Mathematiker Alan Turing (1912 bis 1954), besser bekannt als einer der Schöpfer der Informatik, hat dabei eine entscheidende Rolle gespielt.

Während des Krieges entzifferte die Gruppe von Bletchley Park unter größter Geheimhaltung etwa 300000 Meldungen der Deutschen. Die militärischen Folgen waren verheerend für die Wehrmacht: Der Afrikafeldzug, die Landung der Alliierten in der Normandie und insbesondere der U-Boot-Krieg wurden zu schweren Niederlagen, allein 30000 U-Boot-Fahrer verloren ihr Leben.

Erst 1975 wurde veröffentlicht, daß die Alliierten die Enigma-Verschlüsselung gebrochen hatten. Die Nachricht traf uns deutsche Kryptologen wie ein Schock. Wie konnte es geschehen, daß man gegenüber den Schwächen der eigenen Maschine so blind war?

Die Kryptographie war zu Kriegsbeginn und davor keine mathematische, sondern eine linguistische Wissenschaft. Das wichtigste Chiffrierverfahren der Zeit war der diplomatische Code, ein Wörterbuch, das zu jedem Wort eine vier- oder fünfstellige Zahlen- oder Buchstabengruppe aufführt. Anstelle der Klartextwörter enthält der Geheimtext die entsprechenden Buchstaben- oder Zahlengruppen. Nur den fähigsten Linguisten gelingt es, einen derartigen Geheimtext zu entziffern. Diese Kunst war in Deutschland, bedingt auch durch die Übernahme der hervorragenden österreichischen Kryptologen im Jahre 1938, zu hoher Meisterschaft entwickelt.

Bei Kriegsbeginn waren die Geheimcodes fast aller anderen Staaten, insbesondere der USA, entziffert. Die wenigen beschäftigten Mathematiker waren Hilfskräfte der Linguisten; sie hatten als wichtigste Aufgabe, die Überschlüsselungen der Codes zu beseitigen. (Vor dem Absenden pflegte man die mit dem Code erzeugten Zahlenfolgen nochmals mit einem anderen Verfahren zu verschlüsseln.) Auch bei dieser und anderen Tüftelaufgaben wurden Spitzenleistungen erzielt.

Ausruhend auf diesen Lorbeeren hatten die deutschen Fachleute die aufkommende Epoche der Chiffriermaschinen verschlafen. Sie hatten die Enigma nicht selbst entwickelt, sondern bei einer deutschen Firma, der Chiffriermaschinen AG, beschafft. Zu der dann dringend gebotenen mathematischen Analyse waren sie jedoch nicht fähig.

Sie hatten zwar erkannt, daß der gleichförmige Antrieb der Walzen eine Regelmäßigkeit war, welche die Maschine im Prinzip angreifbar machte, scheuten sich jedoch, die Walzen ungleichmäßig anzutreiben. Dadurch hätte sich nämlich das Muster der Umsetzungsvorschriften nicht erst nach 17576 Schritten, sondern schon früher wiederholt. Durch eine zusätzliche bewegliche Walze hätte sich diese Periodenverkürzung jedoch leicht kompensieren lassen; die theoretische maximale Periodenlänge hätte dann immerhin 264 = 456976 betragen. Damit und mit einem ungleichförmigen Antrieb wäre die Enigma nie entziffert worden.

Derartige Maschinen – allerdings mit mehr Walzen – waren noch lange nach dem Krieg, sogar bei der NATO, im Einsatz. Abgeschafft wurden sie nicht wegen mangelnder Sicherheit, sondern weil ihnen die elektronischen Maschinen in Handhabung und Arbeitsgeschwindigkeit überlegen waren.

Ein weiterer Grund für das deutsche Versagen war die Verzettelung der Kräfte. Da jede Nazigröße eine eigene Chiffrierstelle wollte – man traute sich gegenseitig nicht –, betätigten sich sieben Chiffrierbehörden im Dritten Reich, die nicht nur nicht zusammenarbeiteten, sondern einander sogar Informationen vorenthielten. Zudem arbeiteten die Deutschen, anders als die Alliierten, nicht mit den Verbündeten zusammen, sondern belauschten und entzifferten die Fernmeldeverkehre der Italiener und Japaner wie die der Feinde.

In einem verbrecherischen Krieg wie dem Zweiten Weltkrieg ist gerade für einen Deutschen die Enttäuschung über das Versagen der eigenen Experten eine ebenso zwiespältige Sache wie die Freude über ihre fachlichen Erfolge. In einem vertraulichen Gespräch hat mir ein amerikanischer Kollege und guter Freund die Einschätzung der Alliierten mitgeteilt: Man hätte den Krieg auch ohne die Enigma-Entzifferung gewonnen, nur hätte er dann etwa zwei Jahre länger gedauert – und noch mehr Opfer gefordert. Ich selbst hätte dann wohl kaum die Gelegenheit, diese Zeilen zu schreiben, denn ich war im März 1945 als 17jähriger Soldat an die Front befohlen worden, und die mittlere Lebenserwartung eines Frontsoldaten betrug zu der Zeit ungefähr vierzehn Tage.

Der historischen Gerechtigkeit wegen ist jedoch festzustellen, daß zu Beginn des Krieges auch die Kryptographie in England und den USA eher linguistisch als mathematisch orientiert war. Das Verdienst, daraus eine mathematische Wissenschaft gemacht und den Weg zur Lösung der Enigma mit algebraischen Mitteln gebahnt zu haben, gebührt polnischen Mathematikern. Sie hatten die algebraische Theorie der Enigma, auf der die grandiosen Erfolge beruhten, schon vor dem Krieg geschaffen und zu Kriegsbeginn nach Frankreich und England gebracht. Die von ihnen entwickelte Formel wurde später in der Literatur "The formula that won World-War II" genannt.

Das Schicksal der polnischen Kollegen ist erschütternd. Mehrere kamen im Kriege ums Leben. Der genialste unter ihnen, Marian Rejewski (1905 bis 1980), überlebte zwar, aber schon während des Krieges wurde ihm Unrecht zugefügt. Nachdem er sein Wissen preisgegeben hatte, durfte er an der weiteren Enigma-Entzifferung nicht mehr mitwirken; nur Briten und Amerikaner waren erwünscht. Erst Ende 1946 kehrte er in seine Heimat zurück. Und dort, im nun kommunistischen Polen, mißtraute man dem Westemigranten. Obwohl als Algebraiker hochqualifiziert und ausgewiesen, konnte er wissenschaftlich nicht mehr Fuß fassen und mußte Fabrikarbeiter werden. Gegen Ende seines Berufslebens stieg er immerhin zum Buchhalter auf. Erst kurz vor seinem Tode wurde er rehabilitiert und öffentlich geehrt.

In seinem Buch "Der erste Kreis der Hölle" schildert Alexander Solschenizyn das Schicksal eines anderen Kryptologen. Die authentische Hauptfigur dieses Romans ist der Mathematiker Gleb Nershin. Er hatte zur Stalin-Zeit die Aufgabe, das "geheime Telephon", also eine Verschlüsselung für Telephongespräche, zu entwickeln – so wie meine Kollegen und ich in Deutschland. Die Aufgabe war sehr schwer; auch wir mußten unvermeidlich Rückschläge hinnehmen. Aber Nershin wurde wegen mangelnden Erfolges zu Lagerhaft verurteilt und mußte seine Arbeiten im GULag fortsetzen. Solschenizyn läßt offen, ob Nershin überlebt hat, nachdem er aus dem "ersten Kreis der Hölle" in den inneren, den Vernichtungskreis, überführt wurde.

Mich hat dieses Schicksal zutiefst erschüttert und nicht mehr losgelassen. Ich sah in Gleb Nershin mein berufliches Spiegelbild in der Sowjetunion. Während er im Straflager war und vielleicht ermordet wurde, konnte ich zusammen mit meiner jungen Familie im beginnenden Wirtschaftswunder ein sorgloses und glückliches Leben führen.

Übrigens konnten Verschlüsselungsverfahren, wie sie Solschenizyn in seinem Buch beschreibt, später im sowjetischen Fernmeldeverkehr unschwer wiedererkannt werden.

Doch darf auch das Schicksal von Alan Turing nicht vergessen werden, des großen Kryptologen und Mathematikers. Als seine Homosexualität publik wurde, blieb ihm im prüden England der Nachkriegszeit nur der Freitod.





Deutsche Erfolge




Es wäre ein Fehler, aus der Enigma-Katastrophe auf ein generelles Versagen der deutschen Kryptologen zu schließen. Vielmehr haben sie in Einzelfällen Höchstleistungen erbracht, die gleichrangig neben denen der Alliierten stehen, allerdings den Ausgang von Schlachten oder des Krieges nicht beeinflußt haben.

Zwei Erfolge verdienen eine besondere Würdigung: die Entzifferung des Purple-Verfahrens der Japaner und die Entzifferung der amerikanischen Chiffriermaschine M 209.

Während des Krieges hatten die Japaner eine Chiffriermaschine entwickelt und zum Einsatz gebracht, die der amerikanischen Aufklärung größte Probleme bereitete. Da gelang es einer amerikanischen Gruppe um den Kryptologen William Friedman, diese Maschine, die als purple machine bezeichnet wurde, zu rekonstruieren und zu entziffern.

Dies gilt seither in Amerika als der größte Erfolg in der Kryptologie-Geschichte. Angeregt durch eine kürzlich ausgestrahlte Fernsehsendung fragte ich bei einem ehemaligen Kollegen nach, der während des Krieges auf diesem Gebiet tätig gewesen war, und erhielt bestätigt, woran ich bis dahin nur eine ungefähre Erinnerung hatte: Auch die Deutschen hatten die Sendungen der verbündeten Japaner bearbeitet, insbesondere die Meldungen, die der japanische Botschafter Oshima aus Berlin nach Tokio sandte. Einer Gruppe von Kryptologen und Technikern der Chiffrierabteilung des Oberkommandos der Wehrmacht (OKW) unter der Leitung des Mathematikers Erich Hüttenhain war die Entzifferung ebenso gelungen wie den Amerikanern. Hin und wieder war ein Bericht schon entziffert und weitergeleitet, wenn Tokio wegen Übermittlungsfehlern um nochmalige Übersendung bitten mußte. Wenn also die Entzifferung der purple machine der größte Entzifferungserfolg während des Zweiten Weltkrieges gewesen wäre (er war es nicht!), so hätten ihn Hüttenhain und sein Team ebenfalls errungen. Leider existieren in Deutschland hierzu keine Unterlagen mehr.

Die Chiffriermaschine M 209 war eine Weiterentwicklung der C-36, die der schwedische Erfinder Boris Hagelin 1940 auf abenteuerlichem Wege in die USA gebracht hatte. Sie wurde bis 1942 vom amerikanischen Heer eingesetzt (Kasten Seite 28). Ihrer komplizierten Mechanik zum Trotz wurde sie täglich von den Deutschen gelöst. Denn sie hatte mit der Enigma eine entscheidende Schwäche gemeinsam: den gleichförmigen Antrieb. Hinzu kamen Ungeschicklichkeiten im täglichen Gebrauch.

Der Erfolg der Deutschen endete durch einen kryptologischen Erfolg der Gegenseite: Die Alliierten hatten den italienischen Marinecode gebrochen und fanden eines Tages darin die Nachricht, daß die Deutschen die M-209-Sprüche entziffern konnten. Wenig später führten die Amerikaner ein Verfahren ein, das die Deutschen nicht mehr lösen konnten.

Die erwähnten Erfolge sind einer Generation jüngerer Mathematikprofessoren zuzuschreiben, die damals durch einen Befehl der Wehrmacht von den Universitäten weg zur Chiffrierabteilung der Wehrmacht oder zum Auswärtigen Amt dienstverpflichtet wurden. Es waren bekannte Namen darunter. Zwar geschah dies in erster Linie, wie mir später berichtet wurde, um sie vor der Front zu bewahren, um also "die Substanz der deutschen Mathematik" über den Krieg zu retten, doch trugen sie maßgeblich zu den Erfolgen bei. An der Enigma-Katastrophe hatten sie keinen Anteil: Als sie ausgebildet waren und zum Einsatz kamen, galt die Enigma längst als überprüft und sicher.





Nachkriegszeit




Mit der Kapitulation erlosch Deutschland als souveräner Staat und damit auch alle Aktivitäten des Chiffrierwesens. Sie lebten um 1952 wieder auf, als im Auswärtigen Amt und dem "Amt Blank", dem späteren Verteidigungsministerium, Chiffrierabteilungen entstanden. Erneut drohte eine Zersplitterung der Kräfte. Da beschloß die erste Bundesregierung, alle kryptographischen Tätigkeiten bei einer eigens zu schaffenden Behörde zu konzentrieren. In diese "Zentralstelle für das Chiffrierwesen" (ZfCh) bin ich 1953 eingetreten.

Die Zentralstelle hatte für den Bedarf aller Bundesbehörden Chiffriersysteme mathematisch und technisch zu entwickeln und ihre Sicherheit zu gewähr- leisten. Dabei war sie überraschend erfolgreich. Zusammen mit der Industrie entwickelten wir zunächst Geräte zur Verschlüsselung von Fernschreiben, später auch von Telephongesprächen und Datenströmen. Die Maschinen wurden nicht nur bei den Bundesbehörden, sondern auch bei der NATO eingesetzt, zum Teil nach heftiger Konkurrenz mit anderen NATO-Ländern. Die ZfCH zählte innerhalb der NATO zu den angesehensten Behörden. Den Mathematikern der Zentralstelle war es nämlich gelungen, die Wissenslücke auf dem Gebiet der mathematischen Kryptographie zu schließen und sichere Krypto-Algorithmen zu entwickeln.

In den Vordergrund traten jetzt die Wurm- oder, wie man heute sagt, die Strom-Chiffrierverfahren. Man nehme eine sehr lange Zeichenfolge, die keinerlei innere Struktur aufweist, einen sogenannten Zeichenwurm, und addiere sie Zeichen für Zeichen zum Klartext. Sind es Buchstaben, werden sie zunächst nach dem Schema a=0, b=1, … z=25 in Zahlen verwandelt. Entsteht durch die Addition eine Zahl, die größer als 25 ist, so wird 26 subtrahiert: Addition modulo 26. Im Zeitalter der Computer, die intern mit dem Binärsystem arbeiten, verwandelt man die Texte in Ketten aus Nullen und Einsen und addiert modulo 2: 0+0=0, 0+1=1+0=1, 1+1=0. Der Empfänger subtrahiert vom empfangenen Geheimtext den Zeichenwurm – modulo 26 beziehungsweise 2 – und gewinnt dadurch den Klartext zurück.

Das Zeichenwurmverfahren zerstört zuverlässig alle Strukturen des Klartextes und damit alle Angriffspunkte für den Entzifferer. Werden die Würmer mit Hilfe von Zufallsgeneratoren erzeugt und nur einmal, individuell für jeden Spruch, verwendet, so ist das Verfahren beweisbar sicher; es ist das einzige Chiffrierverfahren mit dieser Eigenschaft.

Somit war die erste Aufgabe der ZfCH die Entwicklung eines Geräts zur Herstellung von Würmern. Zufällige Folgen mit einer Maschine zu erzeugen ist nicht einfach. Unsere Zufallsgeneratoren beruhten anfangs auf hochfrequenten Spannungsschwankungen bestimmter Röhren, sogenannter Thyratrons, später auf radioaktiven Zerfallsereignissen. Die Generatoren erzeugten Würmer zweier verschiedener Arten: Buchstabenwürmer auf Papierblättern zum Handverschlüsseln von Texten, im wesentlichen für den Bedarf des Auswärtigen Amtes, und Bitwürmer auf Fernschreiblochstreifen. Sie werden mit einem besonderen Gerät, dem Mischgerät, mit den Zeichen des Klartextes verknüpft. Beide Verfahren sind heute noch als Notbehelfe und auf Sonderverbindungen in Betrieb.

Die Entwicklung des Mischgeräts Mitte der fünfziger Jahre war ein gewaltiger Fortschritt, denn sie ersparte es den diplomatischen Stellen, ihre täglichen Berichte und Meldungen mit der Hand zu ver- und entschlüsseln. Doch schon bald stellten sich die Nachteile dieses Verfahrens heraus: Da zu jedem Klarzeichen ein Schlüsselzeichen benötigt wird, mußten zumindest für große Netze, wie die des Auswärtigen Amtes oder der Verteidigung, riesige Mengen von Zufallszeichen geheim erzeugt und sicher zu den Außenstellen transportiert werden. Da unsere Auftraggeber diesen Datenverkehr drastisch reduzieren wollten, standen wir vor der Aufgabe, mathematische Krypto-Algorithmen zu entwickeln.

Um ein Haar hätten wir dabei einen katastrophalen Fehler begangen. Die Schwäche der Enigma war damals noch nicht bekannt, und die Vorgesetzten hätten sehr gern eine elektronische Enigma entwickelt, sie hielten sie immer noch für die "beste Chiffriermaschine überhaupt". Jedoch eignete sich das Prinzip nicht zur Realisierung mit den damals verfügbaren elektronischen Komponenten. Auf diese Weise sind wir mit Glück, aber auch wegen unbestimmter Vorbehalte, der "Enigma-Falle" entronnen.

Dagegen stellten wir fest, daß gerade das Wurmchiffrierverfahren besonders für elektronische Geräte geeignet ist. Es ging also darum, aus einer kurzen Ausgangsfolge von Zeichen, dem Schlüssel, einen langen Wurm zu machen, und zwar deterministisch, so daß Sender und Empfänger denselben Wurm zur Verfügung haben, zugleich aber so, daß der Wurm dem Lauscher keine Angriffsmöglichkeiten bietet: Er muß, obgleich nicht mehr vom Zufall bestimmt, die statistischen Eigenschaften einer Zufallsfolge haben, und aus einem Teil des Wurms darf der Schlüssel nicht mathematisch rekonstruierbar sein. Diese Aufgabe konnten wir erfolgreich meistern und die Lösung in neue Chiffriermaschinen umsetzen. Zwar mußten die Schlüssel immer noch geheim erzeugt und ebenso an den Kommunikationspartner überbracht werden, doch verringert sich die Menge der zu verbringenden Unterlagen beträchtlich, im allgemeinen auf Promillebruchteile.

Allerdings verliert man durch das Abgehen vom Zufallsprinzip einen wesentlichen Vorzug: die beweisbare Sicherheit des Verfahrens. Die von uns entwickelten Chiffrierverfahren sind daher immer wieder auf ihre Sicherheit überprüft worden, zum Teil durch unsere eigenen Experten, sogenannte Tigerteams, aber auch von der zentralen Prüfstelle der NATO, denn unsere Maschinen dienten auch im NATO-Hauptquartier. Sie haben allen Angriffen widerstanden.

Dennoch war unsere Sorge groß, als wir kurz vor der Wiedervereinigung Fachgespräche mit den Experten der damaligen DDR-Chiffrierbehörde, dem Zentralen Chiffrierorgan (ZCO), führen und Akten einsehen konnten. Und ebenso groß war unsere Erleichterung, als wir feststellten, daß auch dort alle Bemühungen, unsere Systeme zu brechen, gescheitert waren. Die erste Dienstreise zur ZCO in Hoppegarten bei Berlin und das erste Fachgespräch mit dem Leiter und seinen wichtigsten Mitarbeitern werde ich nie vergessen. Über Jahrzehnte waren wir Feinde gewesen, und nun saßen wir friedlich zusammen und diskutierten.

Aus der frühen Zeit der Zentralstelle ist mir ein anderer interessanter Erfolg in Erinnerung geblieben, der zusammen mit den Kollegen der Polizei gelungen ist. Eine fremde Spionageorganisation hatte anfangs der sechziger Jahre ihre Agenten in der Bundesrepublik mit einem als sicher geltenden Schlüsselverfahren ausgestattet, dem "Doppelwürfel". Die dortigen Kryptologen begingen jedoch einen Fehler: Sie gaben ihren Agenten Merksätze, die sie der Literatur entnahmen, als Schlüssel mit. Die Sicherheitsbehörden der Bundesrepublik hatten aber schon damals leistungsfähige Rechenanlagen (und ideenreiche Linguisten!) und probierten die aufgefangenen Meldungen mit allen der Struktur nach passenden Zitaten durch. Ein großer Teil dieser Meldungen wurde entziffert, zahlreiche Agenten festgenommen. Das Doppelwürfel-Verfahren gilt auch heute noch als ungelöst (Kasten Seite 31).





Die Entstehung der Kryptographie als öffentliche Wissenschaft




Bis in die Mitte der siebziger Jahre setzten nur staatliche Stellen kryptographische Verfahren ein, und das nur zur Verschlüsselung von diplomatischen oder militärischen Staatsgeheimnissen. Entsprechend fanden Forschung und Lehre nur bei den damit beauftragten nationalen Sicherheitsbehörden statt. Das änderte sich schlagartig, als mit der Einführung der Computer und insbesondere der Computernetze in Wirtschaft und Verwaltung auch die Computerkriminalität entstand und die EDV-Verantwortlichen feststellten, daß der Gefährdung ihrer Daten und Computer mit den Mitteln der Kryptographie begegnet werden kann. Universitäten und wissenschaftliche Institute unternahmen Forschungen und Entwicklungen in großer Breite und begründeten die Wissenschaft "Kryptologie". Sehr schnell wurden beträchtliche Erfolge erzielt und aufsehenerregende Publikationen vorgelegt. Inzwischen haben die Computer- und Kommunikationsnetze der Wirtschaft neuartige Sicherheitsprobleme aufgeworfen und der Kryptographie neue Anwendungsfelder erschlossen.

Wesentlich ist dabei der Übergang zu offenen Netzen. In geschlossenen Netzen wie dem des Auswärtigen Amtes sind alle Teilnehmer mit einem gemeinsamen Chiffriergerät oder -zusatz versorgt. Eine zentrale Stelle versorgt die Teilnehmer mit den stets wechselnden Schlüsseln. Diese Zentralstelle gibt es in offenen Netzen bislang nicht. Wenn also eine belgische Firma ein Angebot an ein deutsches Automobilwerk richten wollte, mit dem sie vorher keine Verbindung hatte, konnte sie dies nicht verschlüsselt tun.

Da gelang Whitfield Diffie und Martin Hellman ein sensationeller Durchbruch, die Erfindung der asymmetrischen Chiffrierverfahren (Spektrum der Wissenschaft, Oktober 1979, S. 92). Die Idee beruht wesentlich auf Denkweisen der Mathematik. Verschlüsseln ist Anwenden einer mathematischen Abbildung auf den Klartext; deren Ergebnis ist der Geheimtext. Entschlüsseln ist Anwenden der Umkehrabbildung. Die Sicherheit der Verschlüsselung beruht darauf, daß gewisse Parameter der Abbildung geheimgehalten werden und aus dem Geheimtext auch nicht erschließbar sind, unter anderem weil sie aus einem unüberschaubar großen Sortiment denkbarer Parameter ausgewählt sind. Der Parameter wird dann Schlüssel genannt. Beispielsweise ist die Abbildung bei den Wurmchiffren die zeichenweise Addition des Wurms zum Klartext, die Umkehrung ist die entsprechende Subtraktion, und der Wurm selbst ist der Schlüssel.

In diesem Fall kann, wer den Schlüssel kennt, aus der Abbildung ihre Umkehrung leicht erschließen. Die Idee von Diffie und Hellman ist es, eine Abbildung zu verwenden, deren Umkehrung zwar existiert, aber praktisch nur unter Verwendung eines zusätzlichen Geheimnisses erschließbar ist. Man spricht von trapdoor functions (Falltürfunktionen) Die belgische Zulieferfirma unseres Beispiels verschlüsselt ihre Nachricht mit dem veröffentlichten Schlüssel des Empfängers, und niemand anders als dieser kann sie lesen.

Wegen der Verschiedenheit der beiden Schlüssel werden diese Verfahren asymmetrische Schlüsselverfahren genannt oder auch Public-Key-Verfahren, da der Verschlüsselungsschlüssel veröffentlicht werden kann. Dagegen werden die herkömmlichen, auf der Geheimhaltung ihrer Schlüssel basierenden Verfahren als symmetrische oder Secret-Key-Schlüsselverfahren bezeichnet.

Wenig später verwirklichten Ronald Rivest, Adi Shamir und Leonard Adleman mit ihrem RSA-Verfahren die Idee von Diffie und Hellman. Sie erreichen die Asymmetrie zwischen einfacher Abbildung und hoffnungslos schwerer Umkehrung – die trapdoor – durch Rückgriff auf eine Asymmetrie aus der Zahlentheorie: Zwei große Zahlen zu multiplizieren ist leicht, eine große Zahl in ihre Primfaktoren zu zerlegen dagegen sehr schwer (Kasten unten; siehe auch Spektrum der Wissenschaft, September 1996, S. 80).

Doch schon bald stellte sich ein Nachteil des RSA-Verfahrens heraus: Es ist zu langsam für die Nachrichtenverschlüsselung. Zur Gewährleistung einer auch in der Zukunft ausreichenden Sicherheit und zur Abwehr zukünftiger Schlüsseldurchprobier-Angriffe müssen sehr große Zahlen – ungefähr 1000 Binär- oder 300 Dezimalstellen – verwendet werden. Es sind also derart große Zahlen mit anderen gleicher Größenordnung zu potenzieren. Und das kann trotz modernster Potenzierungsalgorithmen nicht schnell genug zur Verschlüsselung von Datenübertragungen geschehen.

Dennoch hat das RSA-Verfahren eine wichtige Anwendung gefunden: Es dient zur verschlüsselten Übertragung der geheimzuhaltenden Schlüssel für ein herkömmliches Verfahren, das dann die eigentliche Verschlüsselung vollzieht. Damit wurde das Problem der Verschlüsselung in offenen Netzen endgültig gelöst: Ein Kommunikationsteilnehmer setzt seinen offenen Schlüssel in ein Telephonbuch. Jeder andere kann ihm damit verschlüsselte Nachrichten zusenden, aber nur er selbst kann sie mit dem geheimen Schlüssel entschlüsseln.

Über Jahre hat die "Falltürfunktion" Primfaktorzerlegung mit dem RSA-Verfahren die Verschlüsselung in der Wirtschaft dominiert. Doch dann erwuchs ihm Konkurrenz: die diskreten Logarithmen (siehe auch Spektrum der Wissenschaft, Mai 1995, S. 46).

Eine Zahl a x-mal mit sich selbst zu multiplizieren ist einfach; in der Gleichung ax=b ist bei bekanntem a und x das b leicht zu finden. Das gilt auch, wenn wie oben alle Rechenoperationen modulo n zu verstehen sind, das heißt, stets der Rest bezüglich Division durch n gebildet wird. Ganz anders sieht es aus, wenn in der Gleichung ax=b bei bekanntem a und b das x zu berechnen ist. In den reellen Zahlen wäre x der Logarithmus von b zur Basis a. In ganzen Zahlen modulo n existiert zwar stets eine Lösung der Gleichung, aber sie ist nicht einfacher zu finden als durch Probieren. Und damit wird man für 300stellige Zahlen in irdischer Zeit nicht fertig. Wieder hat man eine einfache Abbildung mit praktisch undurchführbarer Umkehrung.

Ein weiteres Werkzeug liefern die elliptischen Kurven (Spektrum der Wissenschaft, September 1996, S. 80). Ursprünglich als geometrische Gebilde definiert, dienen sie in diesem Kontext nur dazu, eine neue Art von Multiplikation zu definieren, die mit der landläufigen Multiplikation nichts gemeinsam hat als die Rechenregeln. Abermals läßt sich diese Multiplikationsvorschrift auf ganze Zahlen modulo einer Zahl n übertragen, und Potenzen und Logarithmen sind von ihr herleitbar. Potenzieren auf elliptischen Kurven modulo n ist ebenfalls eine Falltürfunktion, denn die Umkehrung – der diskrete Logarithmus – ist ohne Zusatzinformation praktisch undurchführbar.

Ein weiterer wichtiger Fortschritt ist die Entwicklung der Blockchiffrierverfahren (Spektrum der Wissenschaft, Januar 1989, S. 6). Dabei wird der Klartext in Abschnitten (Blöcken) von 64 Bit oder 8 Byte in einem aus vielen Schritten bestehenden, komplizierten Verfahren in Geheim-Blöcke von ebenfalls 64 Bit verwandelt. Die Schritte bestehen aus Permutationen, Additionen und Substitutionen entsprechend einem geheimzu-haltenden Schlüssel. Dieser ist bei den meisten heute verwendeten Verfahren 128 Bit, beim älteren DES-Verfahren (Data Encryption Standard) 56 Bit lang.

Der erzeugte Geheimtext ist zwar nicht zufallsverteilt, vielmehr gehen im Gegensatz zu Stromchiffrierverfahren gleiche Klarblocks in gleiche Geheimblocks über. Das tut jedoch der Sicherheit keinen Abbruch. Blockverfahren haben den Vorteil, daß beim Entschlüsseln einer Sendung keine Synchronisierungsprobleme entstehen, denn der Blockschlüssel ist immer gleich. Dagegen gelingt bei Stromverfahren die Entschlüsselung nur dann, wenn der Wurm beim Ver- und Entschlüsseln synchron ist. Durch die aufwendigen Kryptoalgorithmen sind Block-Verfahren allerdings um ein Vielfaches langsamer als Stromverfahren.





Die Sicherheit von Chiffrierverfahren




Chiffrierverfahren sind sicher, wenn sie einerseits allen Angriffen mit mathematischen Verfahren widerstehen und andererseits ihre Schlüsselvielfalt so groß ist, daß man nicht alle möglichen Schlüssel durchprobieren kann.

Während bei den staatlichen Chiffrierverfahren eine eigene Prüfbehörde für die Sicherheit eines Verfahrens einsteht, muß das bei den Verfahren der Wirtschaft die öffentliche Wissenschaft leisten. Hier gilt die Regel: Ein Chiffrierverfahren ist zu veröffentlichen. Widersteht es über mehrere Jahre allen Entzifferungsversuchen der konkurrierenden Wissenschaftler – man schenkt sich dort nichts –, so gilt es mit Recht als sicher. Die Sicherheit heutiger öffentlich diskutierter Verfahren kommt derjenigen der behördlichen Verfahren durchaus gleich.

Die Sicherheit der asymmetrischen Chiffrierverfahren beruht auf ungelösten mathematischen Problemen, das RSA-Verfahren auf dem der Primfaktorzerlegung riesiger Zahlen. Würde dieses gelöst, wäre auch RSA unsicher. Wie steht es damit? Derzeit ist die größte in Primfaktoren zerlegte Zahl 130-stellig. Hierfür benötigen jedoch eine große Zahl von zusammengefaßten Leistungscomputern mehrere Tage. Versuchte man, mit denselben Computern und Algorithmen nun eine 140-stellige Zahl zu zerlegen, so benötigte man die 100000fache Zeit. Hingegen werden in der Literatur 300-stellige Zahlen als RSA-Parameter empfohlen. Überhaupt noch keinen Ansatz gibt es für das Problem der diskreten Logarithmen.

Auch das alte DES-Chiffrierverfahren von 1976 ist besser als sein Ruf. Bekanntgewordene mathematische Angriffe wirken nur in besonderen, leicht vermeidbaren Ausnahmefällen (Spektrum der Wissenschaft, Mai 1993, S. 19); richtig angewandt ist DES auch heute noch sicher vor mathematischer Entzifferung. Selbst die Schlüsselvielfalt bot bis vor kurzem keinen Anlaß zu Zweifeln. Es gibt beim DES 256, das sind etwa 1017 mögliche Schlüssel. Kann man eine Nachricht durch stures Durchprobieren aller Schlüssel entziffern? Noch vor wenigen Jahren hätte das selbst mit einem Supercomputer mehrere Wochen gedauert. Auch heute ist mit Universalrechnern, selbst den schnellsten, der Schlüsselvielfalt des DES nicht beizukommen.

Im Juli 1997 wurde die Sicherheit des DES durch eine Sensationsmeldung in Zweifel gezogen: Durch Zusammenschluß von 14000 Computern weltweit, darunter auch schnellen Vektor- und Parallelrechnern, war es gelungen, einen einzigen DES-Geheimtext zu entziffern. Der Versuch hatte vier Monate gedauert. Im März 1998 ist eine zweite derartige Aktion berichtet worden. Dieses Mal gelang die Entzifferung bereits in 39 Tagen – mit 50000 zusammengefaßten Computern. Mit derartigen Aktionen ist die Unsicherheit von DES nicht zu beweisen.

Mit Spezialrechnern, die FPGAs (field programmable gate arrays) oder gar ASICs (application-specific integrated circuits) enthalten (Spektrum der Wissenschaft, August 1997, S. 44), ist DES angreifbar – jedoch mit enormen Kosten. Man schätzt, daß ein Gerät, das einen Schlüssel in wenigen Minuten finden würde, mehrere Millionen DM kosten würde, eines, das nur Bruchteile von Sekunden benötigte, etwa 100 Millionen DM. Solche Anschaffungen können sich allenfalls die Nachrichtendienste der Großmächte leisten.

Sehr oft wird in letzter Zeit der Eindruck erweckt, daß die Schlüsselvielfalt ein Maß für die Sicherheit eines Chiffrierverfahrens sei. Das ist nicht richtig. Zwar muß diese groß genug sein, daß Durchprobieren aller Schlüssel in überschaubarer Zeit nicht möglich ist. Schon mit einer Schlüsselvielfalt von 1025 würde man gegen jeden Rechner auch noch in einigen Jahrzehnten bestehen. Eine weitere Erhöhung bringt keinen Vorteil. Dagegen gibt die Schlüsselvielfalt keinen Hinweis auf die kryptologische Sicherheit. Ein einfaches Substitutionsverfahren mit einem verwürfelten Alphabet (wähle für jeden Buchstaben des Klaralphabets einen Geheimbuchstaben und wende diese Vorschrift auf jeden Buchstaben des Klartextes an) hat eine Schlüsselvielfalt von 26!, also etwa 4×1026, und ist trotzdem von einem Geübten in einer Stunde entzifferbar. Die Schlüsselvielfalt ist kein Maß für die Sicherheit eines Chiffrierverfahrens.

Auch die in der Forschung befindlichen Quantenrechner werden hieran nichts ändern. Mit ihnen – wenn sie denn überhaupt gebaut werden – wären allenfalls Verfahren gefährdet und entsprechend zu modifizieren, die auf dem Faktorisierungsproblem oder auf diskreten Logarithmen basieren, nicht aber die anderen wie IDEA, Triple-DES oder auch der Doppelwürfel.

Ein Wort von Edgar Allan Poe ist ebenfalls richtigzustellen. Dieses lautet sinngemäß: "Alles, was das menschliche Gehirn ersinnt, kann es auch wieder rückgängig machen." Dies trifft in der Kryptographie nicht zu. Es gibt viele Chiffriersysteme, die nicht entzifferbar sind. Dem steht ein Wort von David Kahn, dem Nestor der Kryptographiegeschichte, gegenüber: "Das Wettrennen der Codemaker mit den Codebreakern ist entschieden, die Codemaker haben gewonnen." Ich teile die Meinung von David Kahn.





Verschlüsselung und Kriminalität




Kryptographische Systeme sind für die Wirtschaft zur Abwehr von Industriespionage und anderen illegalen Zugriffen auf ihre Daten unverzichtbar. Internet und vor allem elektronischer Handel (e-commerce) werden ihre erwartete – enorme – Bedeutung für den Markt nur erlangen, wenn geeignete Sicherungsverfahren, in erster Linie kryptographische Verfahren, zur Verfügung stehen und ohne Auflagen eingesetzt werden dürfen.

Jedoch beginnen auch kriminelle Organisationen, ihre Kommunikation durch Verschlüsselungssysteme vor der Überwachung durch die Ermittlungsbehörden zu verbergen. Die Sicherheitsbehörden, die in der Vergangenheit sehr häufig verschlüsselte Texte kriminellen Inhalts entziffern konnten, stehen nun in aller Regel vor einem unlösbaren Problem. Eine Entzifferung ohne Kenntnis des verwendeten Schlüssels ist nicht mehr möglich. Sollen die Möglichkeiten der Ermittlungsbehörden dennoch erhalten bleiben, so müssen diese im Ermittlungsfall über die Schlüssel verfügen. Es müßte also jedem, der verschlüsselt, gesetzlich vorgeschrieben werden, seine Schlüssel sowie eine genaue Beschreibung seines Verfahrens bei einer staatlichen Behörde zu hinterlegen. Diese insbesondere von der US-Regierung veranlaßte Diskussion hat eine stürmische öffentliche Debatte ausgelöst. Ein Verbot jeglicher Verschlüsselung mit Ausnahme der staatlich überwachbaren würde nach breitem Konsens der juristischen Fachwelt gegen das Grundgesetz verstoßen.

Aber es gibt auch fachliche Einwendungen. In modernen Netzen, in denen die Kommunikation nicht zwischen Menschen, sondern zwischen Computern – und mit Hilfe von Datenkompression – stattfindet, sind Verschlüsselungen kaum noch als solche nachweisbar. Zudem ist es nicht schwer, geheime Nachrichten in großen Datenmengen, typischerweise Bilddateien, so zu verstecken, daß ihre Anwesenheit unbemerkt bleibt und nur der Inhaber des Schlüssels sie aus dem Datenstrom wieder extrahieren kann. Diese sogenannten steganographischen Verfahren sind bereits auf dem Markt verfügbar.

Diesen Argumenten ist zu entnehmen, daß es nach dem heutigen Stand der Kryptologie eine Lösung des Problems Verschlüsselung und Kriminalität nicht gibt.

Literaturhinweise


The Codebreakers. Von David Kahn. Macmillan, New York 1967. Neuauflage, Scribner, New York 1996.

Geheimoperation Wicher. Von Wladyslaw Kozaczuk. Bernard und Graefe, Koblenz 1989.

Entzifferte Geheimnisse. Von F. L. Bauer. Zweite, erweiterte Auflage, Springer, Berlin 1997.

Angewandte Kryptographie. Von Bruce Schneier. Addison-Wesley, Bonn 1996.

Verschlüsselte Botschaften. Von Rudolf Kippenhahn. Rowohlt, Reinbek 1997


Aus: Spektrum der Wissenschaft 6 / 1999, Seite 26
© Spektrum der Wissenschaft Verlagsgesellschaft mbH