Niemand hat sie je geknackt. Und

Die Geheimschrift Chaocipher ist fast genauso alt wie die berühmte Enigma. Doch während die deutsche Verschlüsselungsmaschine im Zweiten Weltkrieg geknackt wurde, blieb Chaocipher ein Geheimnis. Jetzt ist es gelüftet.

Niemand hat sie je geknackt. Und das, obwohl ihr Erfinder John Francis Byrne sogar einen Geldpreis von 5000 Dollar ausgeschrieben hatte – für den, der die Funktionsweise seiner Verschlüsselungsmethode aus einigen Seiten Klartext und Code erraten konnte. „Bemerkenswerter als die Spaltung des Atoms” fand Byrne seine Methode, und taufte sie „Chaocipher”, weil sie Texte in einen chaotischen Buchstabensalat chiffrierte. Inzwischen ist klar: Die einzige Geheimschrift-Erfindung des Amateur-Kryptologen war tatsächlich ein Geniestreich. „Wir wissen heute, dass Chaocipher als Chiffriermethode ihrer Zeit weit voraus war. Ich glaube nicht, dass irgendjemand das System ohne weiteres Material hätte knacken können”, sagt Moshe Rubin. Jahrzehntelang jagte der israelische Software-Entwickler hinter dem Rätsel der Chaocipher her – bis es ihm letztes Jahr endlich gelang, es zu lösen. Denn Byrne selbst hatte nie öffentlich verraten, wie sein System funktionierte. Selbst in seiner Autobiografie, die er nach eigenem Bekunden 1953 nur zu dem Zweck schrieb, Chaocipher bekannt zu machen, erging er sich nur in Andeutungen.

Gelöst wie ein schachproblem

John Francis Byrne blieb in der Kryptologie weitgehend unbekannt. Allenfalls Anglisten sagt sein Name etwas, denn Byrne war ein enger Freund des Schriftstellers James Joyce. Im Jahr 1910 wanderte er von Irland in die USA aus. In der Neuen Welt hoffte er auf ein besseres Leben und fasste als Wirtschaftsjournalist Fuß. 1918, zum Ende des Ersten Weltkriegs, kam dem passionierten Schachspieler plötzlich die Idee, wie man die Buchstaben eines Textes scheinbar chaotisch durcheinander mischen kann. „Als ich mein Chiffriersystem ersann, habe ich weder mit einem Modell noch mit einem Diagramm gearbeitet”, schrieb er später stolz. „Ich habe das Problem blind gelöst, wie ein Schachproblem.” Umgehend entwickelte Byrne große Pläne für seine Erfindung. Die Ausgangslage dafür war nicht schlecht: Die Zeit zwischen den Weltkriegen war eine Hochphase der Kryptographie. Nationen rüsteten auf und hüteten eifersüchtig militärische und wirtschaftliche Geheimnisse. „Ich bin davon überzeugt, dass der richtig große Markt für mein System in der kommerziellen, allgemeinen Korrespondenz liegt”, glaubte der Erfinder noch 1953. „Ich stellte mir zum Beispiel vor, wie meine Maschine und Methode von Kaufleuten für die geschäftliche Kommunikation, von Bruderschaften und von sozialen oder religiösen Einrichtungen verwendet wird. Sie könnte wie eine Schreibmaschine gemietet werden, in Hotels, auf Dampfschiffen oder vielleicht sogar in Zügen und Flugzeugen, verfügbar für jedermann zu jeder Zeit. Und ich glaube auch, dass die Zeit kommen wird – und zwar bald –, in der mein System für die Veröffentlichung von chiffrierten Broschüren und Zeitungen verwendet werden wird, die unlesbar sind für alle, für die sie nicht bestimmt sind.”

Tatsächlich konnte Byrne die führenden Kryptologen seiner Zeit für das System interessieren. „William F. Friedman, der Vater der amerikanischen Kryptologie, bat Byrne mehrfach um 25 chiffrierte Botschaften für eine Analyse. Das wissen wir aus der Korrespondenz. Doch Byrne sandte sie nie ab. Aus diesem Grund nahm ihn niemand ernst”, stellt Chaocipher-Experte Moshe Rubin fest. Eifersüchtig versuchte Byrne offenbar, sein Geheimnis zu hüten. Nur wenige Familienangehörige wurden eingeweiht, und auf eine Patentierung verzichtete er.

Zu Einfach, um erfolgreich zu sein

Dass Chaocipher nie eine Anwendung fand, lag paradoxerweise auch an ihrer Einfachheit. Immer wieder betonte Byrne, schon ein „ normaler zehnjähriger Schuljunge” könne Texte damit in ein Chaos verwandeln und sie anschließend wieder entschlüsseln (siehe Kasten rechts „So funktioniert das Codieren mit Chaocipher”). Zu Präsentationen erschien er mit Chaocipher-„Maschinen” aus Karton und Holz. Das weckte bei den möglichen Kunden Misstrauen: Einem Kinderspielzeug sollten sie ihre Geheimnisse anvertrauen? Die Marine suchte statt Kartonmodellen einen Apparat wie die Enigma, einfach zu bedienen wie eine Schreibmaschine. Byrne entwickelte zwar technische Pläne für eine solche Maschine und ließ Blaupausen zeichnen, doch er setzte sie nie um – vermutlich scheute er die Kosten. Vor allem aber übersah Byrne in seiner Begeisterung als Amateur-Kryptologe, worin das tatsächlich Neue seiner Erfindung bestand. „Chaocipher ist das früheste Beispiel eines sogenannten dynamischen Substitution-Systems. Wir wissen heute, dass solche Systeme extrem schwierig zu knacken sind”, sagt Moshe Rubin. Bislang waren Kryptologen davon ausgegangen, dass die dynamische Substitution erst in den 1990er-Jahren entwickelt wurde – über 70 Jahre nach Byrnes Geistesblitz. Heute ist klar, dass der Name Chaocipher gut gewählt war: Der Grund dafür, dass dynamische Substitutionsverfahren so schwer zu knacken sind, liegt tatsächlich darin, dass die verschlüsselten Texte kaum Muster aufweisen – viel weniger als Texte, die mit statischen Substitutionen verschlüsselt wurden. Das bekannteste und einfachste statische Substitutionsverfahren ist die „Cäsar” -Chiffrierung: Man würfelt das Alphabet durcheinander und ersetzt jeden Buchstaben im Klartext durch sein Gegenstück im gemischten Alphabet. Angeblich verfasste schon der römische Feldherr damit Geheimbotschaften.

Codes dieser Art sind recht leicht durch Häufigkeitsanalysen zu knacken, weil Buchstaben nicht gleich oft verwendet werden. Im Deutschen etwa ist das E mit ungefähr 17 Prozent statistisch gesehen der häufigste Buchstabe. Und der Buchstabe, in den das E verschlüsselt wird, kommt ähnlich oft vor, wenn die Botschaft lang genug ist. Schon im 16. Jahrhundert erweiterte der französische Diplomat Blaise de Vigenère daher den Cäsar-Code und verwendete mehrere, unterschiedlich gemischte Alphabete. So kann man zum Beispiel den ersten Buchstaben im Klartext nach dem ersten Alphabet verschlüsseln, den zweiten nach dem zweiten und so weiter. Wenn die Alphabete zur Neige gehen, fängt man wieder mit dem ersten an. In welcher Reihenfolge die Alphabete gewählt werden, lässt sich zum Beispiel durch ein Passwort festlegen, oder man macht es vom bereits verschlüsselten Text abhängig. De Vigenère hatte damit etwas erfunden, was Kryptologen später „ polyalphabetische Substitution” tauften.

456 976 Alphabete

Theoretisch gibt es 26! (sprich „26 Fakultät”, das heißt 1·2·3·4 …·25·26 < 4 ·1026) Möglichkeiten, das Alphabet zu mischen – etwa so viele, wie Wassermoleküle in einer vollen Badewanne sind. Im Barock galt bereits die polyalphabetische Substitution mit 26 Alphabeten, wie sie Vigenère formulierte, als unentschlüsselbar. Ausgefeilte statistische Verfahren machten in der Neuzeit mehr Alphabete nötig. Als sich im Februar 1918 der Elektroingenieur Arthur Scherbius die Idee für eine „Ciphering Machine” patentieren ließ, nutzte er 456 976 Alphabete. Die Enigma, die aus seiner Erfindung weiterentwickelt wurde, griff auf „nur” 16 900 Alphabete zurück, die vor dem Verschlüsseln durch die Einstellung von Walzen und die Verdrahtung in der Maschine festgelegt wurden. Während des Betriebs klickt man sich stur durch diese voreingestellten Alphabete hindurch.

Byrnes Chaocipher-System, nur wenige Monate nach der Enigma geboren, arbeitete viel trickreicher: Wie das Alphabet gemischt wird, das man zum Verschlüsseln des aktuellen Buchstabens verwendet, hängt vom Text ab, den man bisher chiffriert hat – und nicht nur von der Position des Buchstabens. Angenommen, man verschlüsselt das Wort HALLO mithilfe einer Enigma-Maschine, und das Ergebnis lautet PXDPK. Startet man die Enigma in derselben Ausgangsstellung neu und verschlüsselt das Wort HELLO, dann werden alle Buchstaben bis auf das E genau wie zuvor verschlüsselt. Das Ergebnis könnte also zum Beispiel PMDPK lauten. Chaocipher dagegen wird ab dem E einen völlig anderen Code produzieren, weil das A beziehungsweise das E die folgende Verschlüsselung beeinflusst. (Mit den Schlüssel-Alphabeten im Kasten „So funktioniert das Codieren mit Chaocipher” würde das Wort HALLO zu EOQBZ und das Wort HELLO zu EBUBU.) Häufigkeitsanalysen versagen also.

Bis zu seinem Tod 1960 verriet Byrne nur einer Handvoll von Vertrauten sein Geheimnis. Aber Kryptologen in aller Welt haben seither immer wieder versucht, aus den öffentlich zugänglichen Informationen über Chaocipher – allen voran die Autobiografie Byrnes mit dem 5000-Dollar-Code – sich ein Bild von der Maschine zu machen. 1973 kam Bewegung in die Sache: Damals machten sich Louis Kruh und Cipher A. Deavours, zwei namhafte amerikanische Kryptologen, auf die Suche nach Nachkommen Byrnes. Und sie wurden fündig: John Byrne, der Sohn John Francis Byrnes, ein Ausstellungsdesigner in Vermont, kannte das Geheimnis.

Einstein wusste auch nicht weiter

Fast gleichzeitig las der 14-jährige Moshe Rubin zum ersten Mal von Chaocipher – und war elektrisiert: „Ich war absolut fasziniert vom Thema und den Leuten darum herum.” Während Kruh und Deavours den Sohn von John Francis Byrne beknieten, ihnen die Funktionsweise der Chaocipher zu offenbaren, versenkte sich der Teenager Rubin in der Jewish National and University Library Jerusalem in Kryptografie-Literatur. Er hatte eine Ausgabe der Autobiografie „Silent Years” von Byrnes entdeckt – offenbar Einsteins persönliches Exemplar. Byrne hatte es dem Physiker geschickt, in der Hoffnung, dessen Interesse zu wecken. Vermutlich ging Byrnes Rechnung auf: Das Buch weist viele Markierungen auf, Anstreichungen und Pfeile, die wohl von Einstein stammen. „Ich kam zum ersten Mal in Kontakt mit der großen Geschichte, mit codierten Botschaften von echten Menschen, John Francis Byrne, Albert Einstein. Das befeuerte meine Fantasie” , erzählt Rubin.

Er versuchte Muster in den Codes zu erkennen – vergeblich, jahrelang. Unterdessen hatten Kruh und Deavours beim Sohn von Byrnes endlich Erfolg: John Byrne zeigte ihnen im Jahre 1989 die Lösung für das Rätsel Chaocipher – unter dem Siegel der Verschwiegenheit. Kruh und Deavours waren begeistert und schrieben einen Artikel über das Thema. Doch sie verrieten nicht, wie Chaocipher funktioniert.

Vereinte Kräfte im Internet

Auch Moshe Rubin ließ die geheimnisvolle Chiffriermethode keine Ruhe. Über 30 Jahre lang brütete er immer wieder über dem Problem. „Im Juli 2008 gründete ich dann das ,Chaocipher Clearing House‘, eine Internet-Plattform, auf der er ich alle Informationen einstellte, die ich über Chaocipher hatte. Ich wollte Klarheit. Und ich wollte ruhig schlafen können.” Rubin suchte über das Chaocipher Clearing House Mitstreiter – und fand Jeffrey Hill, einen US-amerikanischen Hobby-Kryptologen, der sich bereits intensiv mit Chaocipher beschäftigt hatte. Gemeinsam machten sie sich daran, aus den Andeutungen, die sie über die Jahrzehnte gesammelt hatten, mögliche Prototypen für Chaocipher zu entwickeln. „Es war das erste Mal, dass jemand Modelle für Chaocipher entwickelte, die funktionieren konnten”, meint Rubin. Das Problem: Abhängig vom Schlüssel produzierten diese Modelle aus ein- und derselben Botschaft völlig unterschiedliche Buchstabensalate. Hill und Rubin konnten daher nicht direkt ihre codierten Botschaften mit denen Byrnes vergleichen, sondern sie mussten prüfen, ob sie in den Chiffren typische übereinstimmende Muster fanden. Doch ihre Mühe erwies sich als vergebens: Mit ihren Modellen ließen sich Codes vom Typ Chaocipher nicht reproduzieren. „In der Rückschau glaube ich nicht, dass jemand Chaocipher hätte knacken können – da waren zu viele Faktoren beteiligt”, stellt Rubin fest.

Er versuchte es nun auf einem anderen Weg: über Byrnes Sohn. Doch der war inzwischen verstorben. Aber Rubin hatte Glück – mehr Glück als Kruh und Deavours Jahre vor ihm: Patricia Byrne, die Schwiegertochter John Francis Byrnes, lebte noch. Rubin überzeugte sie, das Material über Chaocipher der Öffentlichkeit zur Verfügung zu stellen. 2010 entschloss sich Patricia Byrne, den Chaocipher-Nachlass dem National Cryptologic Museum in Maryland zu überlassen: Zwei Schachteln mit Papieren und persönlicher Korrespondenz von Byrne, zwei Ausgaben von Silent Years, ein großes hölzernes Demonstrationsmodell, fünf Blaupausen für eine Chaocipher- Maschine – und Notizen, aus denen Rubin endlich die Funktionsweise der Maschine rekonstruieren konnte.

Falls eine Chaocipher-Maschine je gebaut wird, steht sie aller Wahrscheinlichkeit nach in einem Museum. Denn heute ist klar: Byrnes Idee wird nie so genutzt werden, wie er sich das vorgestellt hat. Denn die aktuellen Verschlüsselungsverfahren verwenden zwei Schlüssel: einen zum Verschlüsseln und einen zum Entschlüsseln. Bei diesen „Public-Key-Verfahren” – bekannt ist RSA –, ist der Schlüssel zum Verschlüsseln öffentlich zugänglich, während der Schlüssel zum Entschlüsseln geheim gehalten wird. Das Chaocipher-Verfahren hat den Nachteil, dass es nur einen Schlüssel gibt, den beide Seiten kennen müssen – die einzige Schwachstelle dieser Methode. Trotzdem: Byrne bleibt das Verdienst, seiner Zeit um Jahrzehnte voraus gewesen zu sein. ■

ANDREAS LOOS ist Mathe- matiker und Wissenschaftsjournalist in Berlin. In bdw berichtete er bereits über „Mathe als Kult” (5/2008).

von Andreas Loos