Floradora (Kryptologie)
Floradora war der im Zweiten Weltkrieg benutzte englische Deckname, mit dem britische Codebreaker in Bletchley Park ein deutsches Verschlüsselungsverfahren bezeichneten. In seiner ultimativen Ausprägung basierte es auf einem Einmalschlüssel-Verfahren (OTP). Der amerikanische kryptanalytische Dienst Signal Intelligence Service (SIS) gab ihm die systematische Kurzbezeichnung GEC beziehungsweise GEE, wobei G für German stand. Eine alternative Bezeichnung war schlicht Keyword (deutsch Stichwort).
Vorgeschichte
Vor und während des Zweiten Weltkriegs nutzten die deutschen Dienste, wie Wehrmacht, Polizei, Geheimdienste, diplomatische Dienste, SD, SS, Reichspost und Reichsbahn, eine Fülle von unterschiedlichen manuellen und maschinellen Verfahren zur Verschlüsselung.
Schon 1921, also noch während der Zeit der Weimarer Republik (1919–1933), hatten die Deutschen Werner Kunze, Rudolf Schauffler und Erich Langlotz vorgeschlagen, Blöcke, die mit zufällig erstellten Ziffern bedruckt waren, zur Überschlüsselung der damaligen diplomatischen Codes zu verwenden. Sie bezeichneten diese Ziffernfolgen als „individuellen Wurm“, kurz i-Wurm (heutiger Fachbegriff: One-Time-Pad; deutsch wörtlich „Einmalblock“). Der diplomatische Dienst des Auswärtigen Amts (AA) setzte diese Methode tatsächlich ein. Das Verfahren wurde auch nach der „Machtergreifung“ (1933) beibehalten und vom nun nationalsozialistischen AA weiter genutzt, insbesondere dann auch im Zweiten Weltkrieg (1939–1945).
Verfahren
Das von deutscher Seite benutzte Verfahren bestand aus zwei Schritten. Der erste basierte auf einem Codebuch, genannt „Deutsches Satzbuch“ (vom SIS kurz als DESAB bezeichnet), das fünfziffrige Zahlen (00000 bis 99999) als Geheimtexte enthielt, denen gewisse Begriffe, Wörter oder Satzteile als Klartexte zugeordnet waren.
Es gab mehrere Ausgaben des Satzbuchs, die dritte (DESAB 3) enthielt etwa 31.500 Code-Paare und wurde bis Dezember 1941 verwendet. Ihr folgte die vierte (DESAB 4) mit rund 57.500 Paaren, die ab Januar 1942 bis Kriegsende eingesetzt wurde. Die Benutzung von Codebüchern ist eine uralte kryptographische Methode, die als nicht besonders sicher angesehen wird. Auch das AA sah es nicht anders. Bei der Benutzung des Satzbuches ging es auch nicht um die Erzeugung von kryptographischer Sicherheit, sondern um die Umwandlung von (alphanumerischem) Klartext in einen standardisierten (nur aus fünfziffrigen Gruppen bestehenden) „Zwischentext“.
Im zweiten Schritt wurden die Ziffern mithilfe des i-Wurms überschlüsselt. Dabei wird jede einzelne Ziffer des Zwischentexts einzeln und ohne Übertrag zu der entsprechenden Ziffer des i-Wurms addiert. Das Ergebnis dieser Modulo-Addition ist der zu übermittelnde Geheimtext.
Der befugte Empfänger des Geheimtextes, der im Besitz des identischen i-Wurms ist, kann den genannten zweiten Verschlüsselungsschritt durch ziffernweise Subtraktion ohne Übertrag leicht rückgängig machen und erhält so den ursprünglichen Zwischentext. Durch Nachschlagen der nun erhaltenen fünfziffrigen Code-Gruppen im Satzbuch wird für ihn schließlich der ursprüngliche Klartext wieder sichtbar.
Unter der Voraussetzung, dass der i-Wurm gleichverteilt zufällig erzeugt wurde, nicht in fremde Hände fällt, also geheim bleibt, und nicht ein zweites Mal verwendet wird, ist das Verfahren nachweislich sicher und kann nicht gebrochen werden.
Die Deutschen setzten drei Varianten des beschriebenen Verfahrens ein und waren offenbar von dessen „Unbrechbarkeit“ so überzeugt, dass sie zuweilen unwichtige Nachrichten allein mit dem Satzbuch kodiert (ohne Überschlüsselung mithilfe des i-Wurms) sendeten. Dies erlaubte es dem SIS relativ einfach, einen Großteil des Satzbuchs (DESAB 3) bereits Anfang 1940 zu rekonstruieren, also weit vor dem im Dezember 1941 erfolgenden Kriegseintritt der Vereinigten Staaten. Im Juli 1940 gelang es dem FBI sogar, einen deutschen Kurier bei seiner Passage auf einem japanischen Dampfer durch den Panamakanal zu „filzen“ und dabei ein intaktes DESAB 3 sicherzustellen. Auch der britischen Seite war es gelungen, Teile von DESAB 3 zu rekonstruieren, bevor auch sie in den Besitz eines Deutschen Satzbuches gelangten. Damit war den Westalliierten der Inhalt des Codebuchs, auf dem allerdings die deutsche Zuversicht nicht fußte, kein Geheimnis mehr.
Spalierverfahren
Die einfachste Variante nannten die Deutschen „Spalierverfahren“. Hierbei geschah die Überschlüsselung nicht mithilfe eines i-Wurms, sondern stattdessen wurden involutorische (reziproke) Bigrammtabellen genutzt, ähnlich den von der Kriegsmarine in Zusammenhang mit der Enigma verwendeten Doppelbuchstabentauschtafeln. Solche Tauschtafeln stellen im Fall von Buchstaben (wie bei der Marine) in tabellarischer Form für alle 26² = 676 möglichen Doppelbuchstaben von AA bis ZZ entsprechende Verschlüsselungen dar, beispielsweise AA-PQ, AB-CH, AC-OS und so weiter bis ZZ-NG. Im Fall von Ziffern sind es 10² = 100 mögliche zweistellige Zahlen von 00 bis 99. Es handelt sich also um eine Bigrammsubstitution. Die Tauschtafel war so gestaltet, dass die Vertauschungen involutorisch waren, das heißt, wenn beispielsweise die Zahl 27 in 89 vertauscht wurde, dann wurde 89 in 27 vertauscht. Dies erleichtert den Umgang mit den Tafeln, denn man muss nicht zwischen Verschlüsselung und Entschlüsselung unterscheiden. Gleichzeitig stellt diese Eigenschaft aber auch eine kryptographische Schwäche dar. Die entscheidende Schwäche des Spalierverfahrens aber war, dass es immer gleiche Vertauschungen bewirkte, im Beispiel wurde 27 stets in 89 gewandelt. Damit weist es ähnliche Schwächen auf wie andere monoalphabetische Substitutionen und war für die Alliierten relativ leicht zu brechen. Allerdings fingen sie nur wenige Funksprüche ab, die mithilfe des Spalierverfahrens verschlüsselt waren.
Grundverfahren
Die von den Deutschen als „Grundverfahren“ bezeichnete Methode war das eigentliche Floradora (der Briten in B.P.) beziehungsweise GEC (der Amerikaner vom SIS). Auch hier wurde kein i-Wurm benutzt, aber auch nicht die Tauschtafeln, sondern ein Buch mit Additiven, also Zahlen, die zu den fünfstelligen Zahlengruppen des Zwischentexts dazu addiert wurden. Das Buch umfasste hundert Seiten (00 bis 99) mit jeweils hundert Zeilen (00 bis 99). In jeder der insgesamt 100·100 = 10.000 Zeilen waren sechs fünfstellige Zahlen aufgelistet. Während die erste Hälfte des Buchs (Seite 00 bis 49) der Verschlüsselung diente, war die zweite Hälfte (Seite 50 bis 99) für die Entschlüsselung gedacht. Die entsprechenden Fünfergruppen bildeten folglich die passenden Komplemente, also beispielsweise 43642 in der ersten Hälfte entsprach 67468 in der zweiten. Wie man sieht, ergibt, wie gewünscht, für jede beliebige fünfstellige Zahl die ziffernweise Addition von 43642 und anschließend von 67468 wieder die ursprüngliche Zahl.
Die Kommunikationspartner müssen die Start-Adresse im Buch vereinbaren, beispielsweise Seite 35, Zeile 55, und können dann ein Additiv nach dem anderen aus ihren Büchern entnehmen. Eine „Komplikation“, die zusätzlich eingeführt wurde, um das Verfahren vermeintlich sicher zu machen, war, die zweifache Benutzung solch eines Additivs. Hierzu wird die zweite Start-Adresse gegenüber der ersten um einen Offset verschoben.
Den Briten in B.P. gelang es 1941 zunächst nicht, in Floradora einzubrechen, während dem SIS vereinzelte Erfolge glückten. Allerdings schafften beide bis April 1942 keinen nachhaltigen Einbruch. Dies begann sich im Mai deutlich zu verbessern, als die Entzifferung einer Reihe von älteren Sprüchen glückte, und endlich im August 1942 es gelang, Floradora zu überwinden. Dies wurde von Commander (Fregattenkapitän) Alastair Denniston (1881–1961), Leiter der Government Code and Cypher School (GC&CS) von B.P., ausdrücklich mit den Worten gewürdigt: „Die Zusammenarbeit mit Amerika war auffallend erfolgreich“ (englisch “liaison with America has been conspicuously successful”).[1] Auf britischer Seite war dieser Erfolg hauptsächlich Ernst Fetterlein und Bill Filby zu verdanken, in Washington war es Solomon Kullback. Spätestens ab 1944 konnten praktisch alle Floradora-Sprüche laufend mitgelesen werden.[2]
Blockverfahren
Die dritte Variante, genannt das „Blockverfahren“, von den Amerikanern als GEE bezeichnet, war die mit Abstand sicherste Methode. Bei fehlerfreier Implementierung wäre sie unbrechbar gewesen. Wie der amerikanische Wissenschaftler Claude Shannon (1916–2001) kurz nach dem Krieg, Ende der 1940er-Jahre, bewies, liegt hier „perfekte Sicherheit“ vor. Ein OTP ist informationstheoretisch sicher. Es kann nicht gebrochen werden.[3]
Dies gilt allerdings nur, wenn keine Fehler passieren. Ein möglicher Fehler ist, den i-Wurm nicht völlig zufällig zu generieren. Echten Zufall zu erzeugen, ist tatsächlich nicht einfach. Wirklich gute Zufallszahlen zu erzeugen, bereitet selbst heute noch Kopfzerbrechen. Die Deutschen wählten damals eine maschinelle Methode und bauten eine Druckmaschine mit 240 Druckrädern. Jedes Rad trug in jeweils unterschiedlich „verwürfelter“ Reihenfolge die zehn Ziffern von 0 bis 9. Damit konnten auf einen Schlag zwei Seiten des Einmalblocks gedruckt werden. Anschließend drehten sich die Räder weiter und die nächsten zwei Seiten wurden gedruckt. Für das menschliche Auge sehen die so erzeugten Zahlenkolonnen vollkommen zufällig aus. Den amerikanischen Kryptoanalytikern des SIS, unter der Leitung von Thomas Waggoner, gelang es jedoch nach mühsamer Detailarbeit, dies aufzudecken und den zugrundeliegenden Algorithmus zu rekonstruieren. So schafften sie das scheinbar Unmögliche und brachen ab Januar 1945 sogar die GEE-Verschlüsselung.[4]
Literatur
- Stephen Budiansky: Codebreaking with IBM Machines in World War II. Cryptologia, 25:4, 2001, S. 241–255, doi:10.1080/0161-110191889914.
- Ralph Erskine: From the Archives – What the Sinkov Mission brought to Bletchley Park. Cryptologia, 27:2, 2003, S. 111–118, doi:10.1080/0161-110391891793.
- P. W. Filby: Floradora and a Unique Break into One‐Time Pad ciphers. Journal of Intelligence and National Security, 10:3, 1995, S. 408–422, doi:10.1080/02684529508432310.
- Cecil Phillips: The American Solution of a German Onetime-Pad Cryptographic System (G-OTP), Cryptologia, 24:4, S. 324–332, doi:10.1080/01611190008984249.
- Frode Weierud und Sandy Zabell: German mathematicians and cryptology in WWII. Cryptologia, 2019, doi:10.1080/01611194.2019.1600076.
Einzelnachweise
- Ralph Erskine: From the Archives – What the Sinkov Mission brought to Bletchley Park. Cryptologia, 27:2, doi:10.1080/0161-110391891793, S. 113.
- Frode Weierud und Sandy Zabell: German mathematicians and cryptology in WWII. Cryptologia, doi:10.1080/01611194.2019.1600076, S. 37.
- Claude Shannon: Communication Theory of Secrecy Systems (PDF; 563 kB). Bell System Technical Journal, Band 28, 1949 (Oktober), S. 656–715.
- Ralph Erskine: From the Archives – What the Sinkov Mission brought to Bletchley Park. Cryptologia, 27:2, doi:10.1080/0161-110391891793, S. 114.