Table Of ContentEntzifferte Geheimnisse
Springer
Berlin
Heidelberg
New York
Barcelona
Hongkong
London
Mailand
Paris
Singapur
Tokio
Friedrich L. Bauer
Entzifferte
Geheimnisse
Methoden und Maximen
der Kryptologie
Dritte, tiberarbeitete und erweiterte Auflage
Mit 166 Abbildungen, 26 Tabellen
und 16 Farbtafeln
i
Springer
Dr. rer. nat. Dr. es sc. h.c. Dr. rer. nat. h.c. multo Friedrich L. Bauer
Professor emeritus der Mathematik und Informatik
Technische Universitat Miinchen
Institut fUr Informatik
ArcisstraBe 21, 80333 Miinchen
Deutschland
ACM Computing Classification (1998): E.3, D.4.6, K.6.5, E.4
Mathematics Subject Classification (1991): 94A60, 68P25
ISBN 3-540-67931-6 Springer-Verlag Berlin Heidelberg New York
ISBN 3-540-62632-8 2. Auf!age Springer-Verlag Berlin Heidelberg New York
Die Deutsche Bibliothek - CIP-Einheitsaufnahme
Bauer. Friedrich L.: Entzifferte Geheimnisse: Methoden und Maximen der Kryptologie /
Friedrich L. Bauer. - 3., iiberarb. u. erw. Auf!. - Berlin; Heidelberg; New York; Barcelona;
Hongkong; London; Mailand; Paris; Singapur; Tokio: Springer, 2000
ISBN 3-540-67931-6
Dieses Werk ist urheberrechtlich geschiitzt. Die dadurch begriindeten Rechte, insbesondere
die der Ubersetzung, des Nachdruckes, des Vortrags, der Entnahme von Abbildungen und
Tabellen, der Funksendung, der Mikroverfilmung oder der Vervielfaltigung auf anderen
Wegen und der Speicherung in Datenverarbeitungsanlagen bleiben, auch bei nur auszugs
weiser Verwertung, vorbehalten. Eine Vervielfaltigung dieses Werkes oder von Teilen die
ses Werkes bt auch im Einzelfall nur in den Grenzen der gesetzlichen Bestimmungen des
Urheberrechtsgesetzes der Bundesrepublik Deutschland vom 9. September 1965 in der je
weils geltenden Fassung zulassig. Sie ist grundsatzlich vergiitungspf!ichtig. Zuwiderhand
lungen unterliegen den Strafbestimmungen des Urheberrechtsgesetzes.
Springer-Verlag Berlin Heidelberg New York
Ein Unternehmen der BertelsmannSpringer Science+Business Media GmbH
© Springer-Verlag Berlin Heidelberg 1993, 1994, 1995, 1997, 2000
Die Wiedergabe von Gebrauchsnamen, Handelsnamen, Warenbezeichnungen usw. in die
sem Werk berechtigt auch ohne besondere Kennzeichnung nicht zu der Annahme, daB
solehe Namen im Sinne der Warenzeichen- und Markenschutz-Gesetzgebung als frei zu
betrachten waren und daher von jedermann benutzt werden kiinnten.
Umschlaggestaltung: design & production GmbH, Heidelberg
Farbaufnahmen: Reinhard Krause, Deutsches Museum Miinchen
Satz: Vom Autor in 'lEX
Gedruckt auf saurefreiem Papier SPIN 10777934 45/3142ud - 543210
Vorwort
Gegen Ende der sechziger Jahre begann, unter dem EinftuB der raschen Ent
wicklung der Mikroelektronik, die Kryptologie aus ihrem verborgenen Dasein
herauszutreten. Unter den Informatikern wuchs das Interesse an ihr. Damals
konnte ich das Fehlen einschliigiger Kenntnisse (bei den meisten Informati
kern) uber die lange Entwicklung und den hohen Stand der professionellen
Kryptologie beobachten. Ich befUrchtete, daB dies nachteilig fUr die kommer
zielle und wissenschaftliche Entwicklung sein wurde und daB die amtlichen
Dienste in einer Vorteilsposition waren, die sie auch ausnutzen wurden.
So kam ich auf den Gedanken, an der Technischen Universitiit Munchen Vor
lesungen uber dieses Thema zu halten. Gestutzt vornehmlich auf das reieh
haltige und zuverliissige Buch "The Codebreakers" (1967) von David Kahn,
fanden sie erstmals 1977/78, sowie dann 1981 (unter Mitarbeit von Man
fred Broy), 1986/87 (unter Mitarbeit von Herbert Ehler) und seit 1990/91
wiederholt (unter Mitarbeit von Anton Gerold) statt. Seit 1995 hat Herr
Dr. Gerold einen Lehrauftrag fur das Gebiet an der Technischen Universitiit
Munchen.
Die Vorlesung im Wintersemester 1977/78 war ein Versuchsballon. Ich kun
digte sie deshalb an als ,Spezielle Probleme der Informationstheorie' und war
damit sicher, daB weder zu viele Studenten noch Interessenten von auBerhalb
der Universitiit kommen wurden. 1m Sommersemester 1981 kundigte ich eine
Vorlesung unter dem offenen Titel ,Kryptologie' an. Es war sieher die erste
offentliche Vorlesung uber dieses Thema an einer deutschen, wenn nicht sogar
an einer kontinentaleuropiiischen Universitiit1.
Ich hielt es fUr gut moglich, daB die amtlichen Dienste aufmerksam wurden;
allerdings hatte ich keine Ahnung, wie schnell und in welcher Art und Weise
sie sich bemerkbar machen wurden. Es geschah nichts. Als ich dann im
Wintersemester 1986/87 die Vorlesung wieder hielt, sagte ich trotzdem in
der ersten Stunde, als ich uber den "heimlichen" (clandestine) Charakter der
Kryptologie sprach, scherzend zu meinen Studenten: "Wenn Sie eines Tages
in der Vorlesung die Ihnen bisher unbekannten Gesichter zweier mittelal-
1 A. Konheim wurde 1978 durch J. Schwartz aufgefordert, eine einsemestrige Vorlesung
iiber kryptographische Methoden am Courant Institute der New York University zu
halten.
VI Vorwort
terlicher Herren mit Anzugen, die sich von den lhren abheben, bemerken
sollten, so denken Sie sich etwas." Wie es der Zufall wollte, platzten nach
etwa sechs Wochen zwei Gestalten, auf die meine Beschreibung paBte, in die
Vorlesung - eine Viertelstunde nach Beginn; aber der Seminarraum 1229,
in dem sie stattfand, ist schwer zu finden. Geistesgegenwiirtig begruBte ich
sie mit: "GruB Gott, die Herren, kommen's direkt aus Pullach?" GroBes
Geliichter bei den Studenten und verlegene Gesichter bei den beiden, die mir
eine Antwort schuldig blieben. So weiB ich bis heute nicht, ob mein Verdacht
gerechtfertigt war. lch wiege mich weiterhin in der Hoffnung, daB meine
Tiitigkeit die amtlichen Dienste nicht stort.
Aus der Vorlesung 1986/87 entstand dann sogar ein Skriptum. Das Driingen
der Studierenden nach einer regelmiiBigen Kryptologie-Vorlesung wurde da
durch vielleicht sogar verstiirkt, und so kam es nach meiner Emeritierung
noch zur Vorlesung 1990/91 und zu einer urn die Kryptanalyse erweiterten,
die ich im Sommersemester 1993 und Wintersemester 1993/94 abhielt. Das
nunmehr durch die Kryptanalyse ergiinzte Skriptum fuhrte dann zu einem
Studienbuch, das in erster Aufiage 1993, in zweiter 1994 erschien. Eine Aus
gabe mit fest em Einband wurde erweitert und grundlich uberarbeitet. Sie
wurde moglich durch das rege Interesse, das das Buch auch auBerhalb der
Fachwelt gefunden hat. Die vorliegende dritte Aufiage, die zu der englischen
Ausgabe parallelliiuft, wurde wiederum uberarbeitet und erweitert.
leh habe insbesondere versucht, auf den nichtmathematischen Leser Ruck
sicht zu nehmen. In einer lobenden Besprechung des Buches schrieb Thomas
von Randow in der ZEIT: " ... daB der Text in dem MaBe, in dem er sich
den Verfahren der modernen Wissenschaft niihert, an Trockenheit zunimmt.
So werden die meisten Leser, die Kryptologie nicht studieren mussen, ...
die Lektiire vorzeitig beenden. Dennoch wird niemand den Kauf bereuen.
Geraten sei allerdings jenen, die den erst en Buchteil nicht bis zur Neige
ausschopfen mochten oder konnen, mit dem zweiten Teil ,Kryptanalyse' er
neut zu beginnen. Dort findet sich nicht nur viel Leichtverstiindliches, ...
sondern auch Anregendes." Diese den Kern treffende Anregung soIl dem Le
ser des Buches nicht vorenthalten werden. Die Kryptanalyse bietet in der Tat
eine Fulle vergnuglicher Einzelheiten. Das Ganze muB jedoch auf die inneren
Zusammenhiinge hin ausgerichtet werden, und dafur ermoglicht der mathe
matische Formalismus die kurzeste und auch klarste Darstellung. Die nach
Mathematik riechenden Einsprengsel mag mancher Leser auch uberschlagen,
zumindest bei der erst en Lekture; er wird dann auf sie zuruckgreifen konnen,
wenn er gewisse Einzelheiten genauer oder auch ganz genau verstehen will.
1m ubrigen ist die verwendete Mathematik ganz elementar und liegt im Stoff
umfang der Oberstufe des Gymnasiums.
leh bin es dem Leser nun doch schuldig, zu erkliiren, wo mein Interesse an
der Kryptologie und meine Vertrautheit mit ihr herruhrt. Vorab, mein groB
ter Vorteil ist, daB ich nie Angehoriger eines Dienstes war. leh stehe also
unter keiner irgendwie gearteten Schweigepfiicht. Wohl konnte ich jedoch
Vorwort VII
meine Augen offenhalten und meine Ohren gebrauchen; mein wissenschaftli
ches Metier war auch ein giinstiger Ausgangspunkt fiir mancherlei Gesprache.
'Thotzdem weiB ich nie, ob ich das, was ich weiB, auch wissen darf. Jedoch fing
es zunachst ganz harmlos an: 1951 erzahlte ich Wilhelm Britzelmayr, meinem
damaligen Logikprofessor an der Ludwig-Maximilians-Universitat Miinchen,
von meiner Erfindung eines fehlerkorrigierenden Codes fiir Fernschreibver
bindungen2. Das loste bei ihm eine falsche Assoziation aus, und er gab mir
ein paar Tage darauf ein Exemplar des eben erschienenen Buches von Sacco3.
Ich hatte insofern Gliick, als es das beste Buch war, das ich damals bekommen
konnte - was ich allerdings nicht wuBte -, und ich verschlang es. Von da an
kam ich von der Kryptologie nicht mehr los. Zudem legte mir mein Mitassi
stent und (fast vaterlicher) Freund Paul August Mann, der von meinem Inter
esse an Shannons Arbeiten iiber redundanzmindernde Codierung wuBte, eines
Tages im Jahr 1951 die inzwischen beriihmte, aber damals als Bell System
Technical Report nur schwer zugangliche Arbeit von Claude Shannon "Com
munication Theory of Secrecy Systems" auf den Tisch4. Ich war fasziniert von
diesem Hintergrund der mir bereits gelaufigen mathematischen Informations
theorie Shannons. Dies pragte mein Interesse fUr Kryptologie, aufgefaBt als
Seitengebiet der Theorie der Codierung und der formalen Sprachen im weite
sten Sinn - einem Gebiet, das mich lange Jahre wissenschaftlich beschaftig
teo In den friihen fiinfziger Jahren wurde mir dann von meinem Chef Robert
Sauer der Entwurf einer Dissertation "Hilfsgerate der Kryptographie" von
Postrat Dipl.-Ing. Willi Jensen (Flensburg) mit der Bitte urn Begutachtung
vorgelegt. Diese sehr aufschluBreiche Arbeit wurde nicht veroffentlicht. Merk
wiirdige Zufalle - oder vielleicht gescharfte Aufmerksamkeit - fiihrten mich
dann immer wieder zu Beriihrungen mit Personlichkeiten, die der Kryptolo
gie naher standen: mit Karl Stein (Miinchen) 1955, mit meinem Mainzer
Kollegen Hans Rohrbach 1959, mit Helmut Grunsky und Ernst Witt. Auch
mit Erich Hiittenhain (Bad Godesberg) wurde ich 1957 bckannt; unsere Ge
sprache iiber maschinelle Kryptologie konnten aber den Umstanden gemiiB
in gewisse Details nicht gehen. Unter den amerikanischen und britischen
Berufskollegen, mit denen ich engeren wissenschaftlichen Kontakt hatte, wa
ren sicher einige, die im 2. Weltkrieg der Kryptologie nahestanden; doch
dariiber "sprach man nicht", insbesondere nicht vor 1976, dem Jahr, in
dem auf einem Symposium in Los Alamos B. Randell und I. J. Good erste
Einzelheiten aufdeckten. Kerngegenstand meines Interesses war jedenfalls,
meinem wissenschaftlichen Metier entsprechend, iiber all die Jahre hinweg
die ,maschinelle Kryptanalyse'. Andere wichtige Apekte von SIGINT, wie
'traffic analysis' und 'direction finding', liegen nicht in der Reichweite die
ses Buches, ebensowenig physikalische MaBnahmen zur Abschirmung der von
Chiffriermaschinen ausgehenden elektromagnetischen Strahlung.
2 DBP Nr. 892767, angemeldet 21. Januar 1951.
3 General Luigi Sacco, Manuel de Cryptographie. Payot, Paris 1951.
4 Bell Systems Technical Journal 28, Oct. 1949, p.656-715.
VIII Vorwort
Dieses Buch enthiilt im ersten Teil die kryptographischen Methoden. Uber
Kryptanalyse bringt es im zweiten Teil vor allem Hinweise, die fiir die Ver
fahrensbeurteilung wichtig sind und den Benutzer kryptographischer Me
thoden vor unliebsamen Uberraschungen bewahren sollen. Eingedenk der
Maxime von Kerckhoffs bemiihte ich mich stets, meinen Studierenden auch
grundlegende Erfahrungen in der Kryptanalyse zu vermitteln. Eine theoreti
sche Vorlesung iiber bloBe Methoden erschien mir blutleer. Hier sind aber
Grenzen zu beachten: Der SpaB, den der neugierige Student zuniichst an
der unbefugten Entzifferung hat, konnte ihn vergessen lassen, daB profes
sionelle Kryptanalyse ein hartes Geschiift ist. Auch kann man ihm keinen
Hochstleistungsrechner wie CRAY unbeschriinkt zur Verfiigung stellen -
es ist aber erstaunlich, wie viel man schon mit einem Arbeitsplatzrechner
machen kann. Bedriickend ist, daB die amtlichen Dienste ein solches Un
ternehmen entweder als uninteressant einstufen miissen - wozu sollte man
sich dann die Miihe machen - oder als gefiihrlich ('sensitive'); es gibt kaum
Spielraum dazwischen.
Meine intellektuelle Freude an der maschinellen Kryptologie konnte ich dann
ab 1984 so richtig ausleben beim Aufbau des kryptologischen Kabinetts in der
von mir konzipierten, 1988 eroffneten Sammlung "Informatik" des Deutschen
Museums Miinchen. Der Besuch der Ausstellung sei dem Leser wiirmstens
empfohlen. Mit freundlicher Genehmigung der Generaldirektion ist im An
hang der einschliigige Ausschnitt aus dem aktualisierten Fiihrer durch die
Ausstellung "Informatik" abgedruckt.
Mein herzlicher Dank geht auch an die Herren Manfred Broy, Herbert Ehler,
Anton Gerold und Hugh Casement (Munchen), die mir in vielerlei Weise be
hilflich waren; den Herren Karl Stein, Otto Leiberich, Ralph Erskine,
Frode Weierud, Heinz Ulbricht, Tony Sale, Kjell-Ove Widman, Otto J. Horak
und Fritz-Rudolf Giintsch danke ich fiir anregende Gespriiche und informati
yen Briefwechsel. Dem Deutschen Museum in Miinchen sei iiberdies gedankt
fiir die Uberlassung der von Herrn Reinhard Krause angefertigten Farbauf
nahmen. Bei der Beschaffung weiterer Bildvorlagen und schwer zugiinglicher
Literatur kam mir auch die Hilfe der Crypto AG, Zug (Schweiz) sehr gelegen.
Meinen besonderen Dank mochte ich abstatten Herrn Kirk H. Kirchhofer,
Oberiigeri. Dr. Hildegard Bauer-Vogg half mir bei den Korrekturen und bei
der Ubersetzung schwieriger lateinischer Texte, Martin Bauer, Ulrich Bauer
und Bernhard Bauer lieferten Zeichnungen und Berechnungen; auch ihnen
sei gedankt.
Herrn J. Andrew Ross, dem copy editor der englischen Ausgabe, verdanke ich
zahlreiche Hinweise auf kliirungsbediirftige Punkte im deutschen Text. Herr
Dr. Hans Wossner yom Springer-Verlag war mir in vieler Weise behilflich;
ihm danke ich wieder einmal fiir die gute Zusammenarbeit und fiir die reiche
Ausstattung des Buches.
Grafrath, Sommer 2000 F.L.Bauer
Inhaltsverzeichnis
Teil I: Kryptographie .............................................. 1
Die Leute ........................................................... 2
1 Einleitender Uberblick ........................................ 9
1.1 Kryptographie und Steganographie ............................... 9
1.2 Semagramme ..................................................... 10
1.3 Maskierung ....................................................... 14
1.4 Stichworter ....................................................... 18
1.5 Verschleierung: Wiirfel ........................................... 19
1.6 Verschleierung: Raster ............................................ 24
1. 7 Klassifizierung der kryptographischen Methoden .................. 25
2 Aufgabe und Methode der Kryptographie .................. 27
2.1 Charakter der Kryptographie ..................................... 27
2.2 Chiffrierung ...................................................... 34
2.3 Chiffrierschritt-System ............................................ 35
2.4 Polyphonie ....................................................... 38
2.5 Zeichenvorrate .................................................... 40
2.6 Schliissel ......................................................... 42
3 Chiffrierschritte: Einfache Substitution ...................... 46
3.1 Fall V(l) --+- W (unipartite einfache Substitutionen) ........... 46
3.2 Spezialfall V +---+- V (Permutationen) ............................ 48
3.3 Fall V(1) --+- wm (multipartite einfache Substitutionen) . . . . . . . .. 55
3.4 Der allgemeine Fall V(l) --+- w(m), Spreizen .................... 57
4 Chiffrierschritte: Polygraphische Substitution
und Codierung ................................................. 60
4.1 Der Fall V2 --+- w(m) von Bigramm-Substitutionen ............ 60
4.2 Spezialfalle von Playfair und Delastelle:
Tomographische Verfahren ........................................ 66
4.3 Der Fall V3 --+- w(m) von Trigramm-Substitutionen ........... 69
4.4 Der allgemeine Fall v(n) --+- w(m): Codes ...................... 70
5 Chiffrierschritte: Lineare Substitution ....................... 82
5.1 Involutorische lineare Substitutionen .............................. 84
5.2 Homogene und inhomogene lineare Substitutionen ................ 84
5.3 Binare lineare Substitutionen ..................................... 88
5.4 Allgemeine lineare Substitutionen ................................. 88
5.5 Zerfallende lineare Substitutionen ................................. 89
