Ich muss ungefähr zehn bis zwölf Jahre alt gewesen sein, da sah ich in einem Schaufenster ein kleines Plakat, auf dem lauter Briefumschläge abgebildet waren, korrekt, aber ungewöhnlich frankiert: die Briefmarke kopfunter oder irgendwie verdreht aufgeklebt, nicht rechts oben, sondern an anderer Stelle auf dem Umschlag, mehrere Marken in kreativer Stückelung oder alles zusammen. Dazu die Erläuterung, welche geheime Botschaft in der jeweiligen Anordnung der Marken steckte: „Ich liebe dich“, „wir treffen uns übermorgen“, „warte auf mich“ …

Offensichtlich sollte dieses Mittel dazu dienen, Nachrichten zwischen Liebenden zu übermitteln, ohne dass deren Eltern, welche die Post in die Hände bekamen oder vielleicht sogar öffneten, davon etwas mitkriegten. Aber schon damals wurde mir klar, dass das im Ernst nicht funktionieren konnte. Schließlich hatten die Eltern ebenso wie die Kinder Gelegenheit, sich das Schaufenster anzusehen und damit den Geheimcode zu entschlüsseln.

Das Beispiel ist längst aus der Zeit gefallen. Wer verschickt heute noch papierne Liebesbriefe? (Noch ein paar Jahre später lautet die Gegenfrage vielleicht: Was ist eine Briefmarke?) Gleichwohl illustriert es das wesentliche Problem der geheimen Nachrichtenübermittlung. A möchte an B eine Nachricht senden, die nur B lesen soll und niemand sonst. Damit es nicht ganz so abstrakt aussieht, pflegt man die Beteiligten nicht A und B, sondern Alice und Bob zu nennen. Den beiden steht aber nur ein „unsicherer Kanal“ zur Verfügung. Das heißt, dass unterwegs jeder die Nachricht mitlesen kann. Also müssen sie vor der Versendung jeder Nachricht einen „Schlüssel“ verabreden: ein Verfahren, das den Klartext beim Sender in einen unverständlichen Geheimtext und diesen beim Empfänger wieder in den Klartext verwandelt. Und selbstverständlich darf ein solcher Schlüssel nicht im Schaufenster stehen!

Mit der Konstruktion von Schlüsseln befasst sich eine ganze Wissenschaft, die Kryptographie. Bei einem der einfachsten Verfahren schreibt Alice den Klartext wie üblich zeilenweise auf Rechenkästchenpapier – in jedes Kästchen einen Buchstaben – und schreibt ihn dann spaltenweise auf einen langen Papierstreifen ab: erst die Buchstaben in der linkesten Spalte, dann die in der zweitlinkesten und so weiter. Das ergibt den Geheimtext. Obgleich der genau dieselben Buchstaben in denselben Anzahlen enthält wie der Klartext, sieht er aus wie unverständliches Kauderwelsch. Und wenn per Zufall irgendwo ein sinnvolles Wort darin auftaucht, nützt das überhaupt nichts.

Für Bob dagegen ist die Entschlüsselung ein Kinderspiel: Er schreibt den Geheimtext spaltenweise auf ein Blatt Rechenkästchenpapier und liest die Nachricht unmittelbar ab. Dazu muss er nur wissen, wie lang eine Spalte ist; und selbst wenn er das nicht weiß, kommt er mit etwas Probieren dahinter.

Der Ärger ist nur: Das kann ein Bösewicht, der hinter das Geheimnis kommen will, auch. Sowie er erkannt hat, dass der Text nach einem Transpositionsverfahren chiffriert ist – so heißen alle Verfahren, bei denen nur die Reihenfolge der Buchstaben verändert wird –, testet er ein paar Spaltenlängen durch und ist relativ bald am Ziel. Übrigens heißt der Bösewicht in den wissenschaftlichen Veröffentlichungen in der Regel C oder auch – gendergerecht – Cleo als Kurzform von Kleopatra. 

In der Ausstellung „Geheim!“, die gegenwärtig in der Mathematik-Informatik-Station (MAINS) in Heidelberg zu sehen ist, können Sie diese und ähnliche Chiffrierverfahren selbst ausprobieren. In der Praxis spielen sie heute keine Rolle mehr. Aber immerhin hielt man bis zum Anfang des 20. Jahrhunderts dieses Niveau der Geheimhaltung selbst im diplomatischen Verkehr für ausreichend. 

Seitdem hat sich in der Kryptographie eine Menge getan. Ab den 1930er Jahren übernahmen Maschinen die mühselige Arbeit des Ver- und Entschlüsselns. Zunächst waren es hochspezialisierte mechanische Geräte; mittlerweile erledigen das geeignet programmierte Computer. Dadurch gerieten einerseits immer raffiniertere Verfahren in den Bereich des Möglichen. Andererseits wussten auch die „Codebrecher“ ihre Geräte einzusetzen, um Geheimtexte ohne Kenntnis des Schlüssels lesbar zu machen. Schon wenn es um das Durchprobieren verschiedener Schlüssel geht, sind die Computer viel schneller und geduldiger als Menschen. Mittlerweile spielt sich der Kampf zwischen den Spionen und ihren Enttarnern weitgehend auf der Ebene der Software ab.

Es ist zweckmäßig, sich Klar- wie Geheimtext als große Zahlen vorzustellen, oder auch als Folgen großer Zahlen. Zum Beispiel zerhackt man den Text in Teilstücke zu jeweils 100 Textzeichen und macht aus jedem Teilstück eine Zahl. Auf die Einzelheiten kommt es dabei nicht besonders an. Man kann die Buchstaben von 1 bis 26 durchnummerieren, dann wird aus jedem Buchstaben die entsprechende Ziffer einer Zahl im System zur Basis 26, oder etwas mehr, wenn man Leerzeichen, Satzzeichen und Ziffern mitverschlüsseln will.

Wenn jetzt der Schlüssel eine gleichartige Zahl ist, dann ist das Rezept einfach: Alice addiert Klartext und Schlüssel und schickt das Ergebnis als Geheimtext auf die Reise. Von dem muss Bob den Schlüssel nur subtrahieren und bekommt den Klartext heraus. Das Geheimnis bleibt gewahrt – solange der Schlüssel zufällig gewählt ist, also keine Struktur hat, die Cleo nutzen könnte, und vor allem nur ein einziges Mal verwendet wird. Denn wenn es Cleo gelingt, Alice einen Klartext unterzuschieben, den diese verschlüsselt an Bob weiterreicht – für einen Geheimdienstprofi eine der leichteren Übungen –, dann rechnet sie Geheimtext minus Klartext und hat den Schlüssel. Wenn Alice denselben Schlüssel noch einmal verwendet, kann Cleo mühelos mitlesen.

Soweit man weiß, war ein solcher Einmalschlüssel („one-time pad“) das bevorzugte Mittel der sowjetischen Geheimdienste. Die Nachteile dieses Verfahrens sind offensichtlich: Der Spion im Feindesland muss für alle Nachrichten, die er senden wird, vorab mit entsprechend viel Schlüsseltext ausgestattet werden und diesen bis zur Nutzung sorgfältig verstecken. Das beste Versteck, der eigene Kopf, ist in diesem Fall untauglich: So viele Zufallszeichen kann kein Mensch auswendig lernen.

Also gilt es, aus wenigen Daten, die man sich merken oder unauffällig aufbewahren kann, einen langen Schlüssel zu machen. Zum Beispiel haben Alice und Bob je ein Exemplar desselben Romans zu Hause und verabreden als Schlüssel des Tages den Text aus dem Roman, der an einer bestimmten Seite und dort in einer bestimmten Zeile beginnt. Welche Seite und welche Zeile das sein soll, errechnen sie auf irgendeine raffinierte Weise aus dem Datum oder entnehmen es aus einer – kurzen und daher leicht verbergbaren – Tabelle.

Zu dumm nur, dass Günter Guillaume, der Spion, der es Anfang der 1970er bis in die Nähe des damaligen Bundeskanzlers Willy Brandt gebracht hatte, und sein DDR-Führungsoffizier anstelle eines Romans ausgerechnet eine Sammlung deutschen Liedguts verabredet hatten. Den westdeutschen Ermittlern, die bereits aus anderen Gründen Verdacht geschöpft hatten, war diese Quelle aus dem gesamtdeutschen kulturellen Erbe geläufig. Das war am Ende das letzte Glied in einer Kette, die zur Enttarnung Guillaumes führte.

Aus einem kurzen Schlüssel kann man einen langen machen, entweder mit Hilfe eines Romans oder indem man eine Pseudozufallsfolge erzeugt. Eine solche Zahlenfolge ist zwar nicht wirklich vom Zufall bestimmt, sieht aber nach allen Kriterien so aus und bietet daher auch Widerstand gegen eine Vielzahl von Entschlüsselungsangriffen. Besser ist es allerdings, die schlichte Addition durch eine kompliziertere mathematische Operation zu ersetzen, die nicht so leicht umkehrbar ist.

Theoretisch muss jede Verschlüsselungsoperation umkehrbar sein; sonst hätte selbst der legitime Empfänger Bob keinen Zugriff auf den Klartext. Praktisch kann man diese Umkehrung so schwierig machen, dass sie selbst mit den schnellsten Supercomputern Jahrmillionen in Anspruch nehmen würde. Leicht wird sie, wenn man eine spezielle, sehr große Zahl kennt. Die muss Bob in der Tat geheim halten. Den Schlüssel selbst, mit dem man aus dem Klar- den Geheimtext macht, kann er dagegen bedenkenlos veröffentlichen. Das ist die Kryptographie mit veröffentlichtem Schlüssel (public key cryptography), die seit ihrer Erfindung Mitte der 1970er Jahre das ganze Feld revolutioniert hat. 

Heute kann jedermann Nachrichten verschicken, deren Verschlüsselung auch die NSA, der mächtigste und mit den größten Ressourcen ausgestattete Geheimdienst, nicht knacken kann. Als die NSA entdeckte, dass sie sozusagen blind zu werden drohte, setzte sie die Erfinder Whitfield Diffie und Martin Hellman mit ihren Mitteln unter Druck. Diffie und Hellman widerstanden, und Hellman entwickelte in der Folge sogar eine persönliche Freundschaft zum damaligen NSA-Chef Bobby Ray Inman – eine so romantische Geschichte, dass man sie kaum glauben kann (siehe dieses – kostenpflichtige – Interview, das ich mit Hellman geführt habe).

Von diesen neuen Entwicklungen findet sich nichts in der genannten Ausstellung „Geheim!“. Albrecht Beutelspacher, der die Ausstellung nach dem Konzept seines Gießener Mathematikum und dementsprechend als Mitmach-Ausstellung konzipiert hat, begründete das bei der Eröffnung überzeugend: Die Algorithmen, um die es da geht, sind so kompliziert, dass sie die Geduld jedes Ausstellungsbesuchers überfordern würden. 

Immerhin trifft es sich günstig, dass die maßgeblichen Wissenschaftler – neben Diffie und Hellman, die das Konzept entwickelten, vor allem Ron Rivest, Adi Shamir und Leonard Adleman, die dessen erste Realisierung fanden – im unmittelbar angrenzenden Raum mit großformatigen Fotos vertreten sind: Da ihre Leistungen inzwischen mit zahlreichen Preisen ausgezeichnet wurden, zählen sie zum illustren Kreis der „Masters of Abstraction“, welche die hinter der MAINS stehende Heidelberg Laureate Forum Foundation mit einer großen Bildersammlung würdigt.

Nur ein Exponat verweist auf die jüngere und eben auch gruselige Vergangenheit der Kryptographie: ein Exemplar des Schlüsselgeräts SG 41, das gegen Ende des Zweiten Weltkriegs mit seinem U-Boot im Meer versank und vom Salzwasser erheblich angefressen wurde. Es handelt sich um ein Nachfolgemodell der legendären „Enigma“, einer elektromechanischen Verschlüsselungsmaschine, welche die Deutschen zur militärischen Nachrichtenübermittlung verwendeten. 

Erst 1975, 30 Jahre nach Kriegsende, erfuhren sie, dass zunächst polnische Mathematiker, später die Briten unter maßgeblicher Mitwirkung von Alan Turing die Enigma-Verschlüsselung geknackt hatten. Dass sie die militärische Kommunikation der Deutschen mitlesen konnten, war von entscheidender Bedeutung: Nach Einschätzung kundiger Leute hätte der Zweite Weltkrieg ansonsten wohl zwei Jahre länger gedauert. Das SG 41, dessen Existenz erst vor wenigen Jahren öffentlich wurde, kam zu spät, um das Blatt noch zu wenden, auch wenn die britischen Kryptologen zugeben mussten, dass dessen Verschlüsselung erheblich schwieriger zu brechen war.

Damit zeigt uns das rostige Stück Metall, dass es bei der Kryptographie nicht nur darum geht, romantische Beziehungen geheim zu halten, sondern eben auch um Leben und Tod in großem Maßstab. Und als Deutscher findet man sich in der paradoxen Situation, froh zu sein darüber, dass die eigenen Landsleute in einem entscheidenden Punkt erfolglos waren. Otto Leiberich, der in der Nachkriegszeit zum Chef des Bundesamts für Sicherheit in der Informatik (BSI) aufstieg, wusste darüber lebhaft und sehr persönlich zu berichten.