Zurück
SKS V/1 Informationsaustauschgerät mit Chiffrator; BStU*48, *128, *219



                                        COBEPШEHHO CEKPETHO

                                        Geheime Verschlußsache
                                        MfS 020/747/73
                                        05. Ausfertigung 163 Blatt

            Kryptologische Analyse des Chiffrators
                    des Systems OPERATION

Bestätigt: Leiter des Zentralen Chiffrierorgans
           im Ministerium für Staatssicherheit
           der Deutschen Demokratischen Republik

                                        Schürrmann
                                          Oberst


INHALT

Einleitung

Kapitel I    Chiffrierverbindungen im System OPERATION
             §1 Schema der Chiffrierverbindungen
             §2 Nachrichten auf dem Übertragungskanal
                1.  Struktur der Nachrichten
                2.  Klartexteigenschaften
                3.  Nachrichtenübertragung
                4.  Informationsdichte
                5.  Blendnachrichten
                6.  Geheimhaltung der Nachrichten

Kapitel II   Das Chiffriersystem im System OPERATION
             §1 Forderungen an das Chiffriersystem
             §2 Konzeption des Chiffriersystems
                1.  Chiffrierprinzip
                2.  Synchronisationsprinzip
                3.  Erzeugung der Additionsreihen
             §3 Die Funktionen der Chiffriereinrichtung
                1.  Schlüsseleingabeeinheit
                2.  Synchronisationseinheit
                3.  Chiffrator und Prüf-Chiffrator
                4.  Steuerung
             §4 Die Funktionseinheit einer Dechiffrier-
                einrichtung
                1. Schlüsseleingabeeinheit
                2. Synchronisationseinheit
                3. Dechiffrator
                4. Steuerung

Kapitel III  Die kryptologische Schaltung des Chiffrators
             im System OPERATION
             §1 Beschreibung der kryptologischen Schaltung
                des Chiffrators
                1.  Kryptologische Schaltung
                2.Beschreibung der Erzeugung eines Abschnittes
                    (wi)jki1 (k > 76) von W = (wi)8i1,
                    dessen Anfangsabschnitt (wi)jij
                    als Additionsreihe genutzt wird.
                3.  Prüfung und Blockierung
             §2 Das Schlüsselsystem
                1.  Kurzzeitschlüssel
                2.  Langzeitschlüssel
                3.  Reserveschlüssel
             §3 Begründung der kryptologischen Schaltung
                1.  Ausgangspunkt für die Entwicklung der
                    kryptologischen Schaltung
                2.  Festlegung des Schlüsselsystems
                3.  Grundprinzip der Erzeugung der Folge W
                4.  Festlegung der Grundstruktur der krypto-
                    logischen Schaltung II
                5.  Festlegung der Parameter der kryptolo-
                    gischen Schaltung II
                5.1 Anzahl der internen Arbeitstakte T 350 kHz
                    pro Übertragungstakt TÜi
                5.2 Kurzzeitschlüssel
                5.3 Zustandsspeicher U
                5.4 Realisierung der Überführungsfunktion
                5.5 Verarbeitung von FUi, S1 und S2
                5.6 Einstellung des Anfangszustandes U(0)
                5.7 Abgriff der Elemente wi von W
              §4 Kryptologische Sicherheit im System OPERATION
              §5 Änderungsmöglichkeiten der kryptologischen
                Schaltung des Chiffrators
                1.  Allgemeine Aussagen
                2.  Änderung der Struktur des Zustandsspeichers
                3.  Änderung der Funktion x
                4.  Änderung der Festlegung des Anfangszustan-
                    des U(0)

Kapitel IV  Die Untersuchung der Struktur der Chiffierabbildung
            Einführung
            §1 Die Abbildung ϕ
               1.  Definition der Abbildung ϕ
               2.  Bedingungen für die Eineindeutigkeit von ϕ
               2.1 Das grundlegende Gleichungssystem
               2.2 Notwendige Bedingungen
               2.3 Hinreichende Bedingungen
               2.4 Die Anzahl der Elemente in PR
               3.  Fixpunkte
               4.  Zustandsklassen
               4.1 Definition einer Zustandsklasse
               4.2 Die Menge {ϕnU}
               4.3 Die Mengen {ϕU1 U2} und {ϕ-1ϕU}
               5.  Der Spezialfall {P0, R0}
            §2 Determiniertes Chiffratormodell
               1.  Definition von Abbildungen
               2.  Kryptologische Interpretation und elementare
                   Eigenschaften der Abbildungen
               3.  Periodizitätseigenschaften
               3.1 Periodizität von Folgen
               3.2 Die Periode der Folge r
               3.3 Die Periode der Folge (Ui)i=0,1,2,…
               3.4 Die Periode der Folge (uia)a i=0,1,2,…
               4.  Analytische Abhängigkeiten
            §3 Äquivalente Schlüssel
               1.  Grundlegende Definition
               2.  Äquivalente Schlüssel bezüglich der
                   Folge (Ui)i=1,2,…
               3.  Äquivalente Schlüssel bezüglich UN
               4.  Äquivalente Schlüssel bezüglich der
                   Folge (uia)i=1,2,…
            §4 Stochastische Modelle der Chiffrierabbildung
               1.  Markowsche Kette
               2.  Ein anderes Modell
               3.  Experimentelle Untersuchung der statis-
                   tischen Eigenschaften der Additionsreihe

Kapitel V   Einschätzung der Sicherheit des Chiffrators
            Einleitung
            §1 Methoden der Bestimmung des Schlüssels
            §2 Kryptologische Auswirkungen technischer Fehler
               1.  Allgemeine Aussagen über technische Fehler
               2.  Technische Fehler im Chiffrator und bei der
                   Verarbeitung der Folge W
               3.  Kryptologisch schlechte Folge FU im Chif-
                   frator
               3.1 Technische Fehler bei der Erzeugung von FU
               3.2 Wahrscheinlichkeit gleicher F-Folgen-Ab-
                   schnitte im Ergebnis von Stromunterbrechung
               4.  Ausfall des Taktes t104 im Chiffrator und
                   im Prüf-Chiffrator
               5.  Verarbeitung fehlerhafter Schlüssel S
               6.  Technische Fehler in den Prüfbaugruppen,
                   -bausteinen und Baugruppen B1, B2
            §3 Bedienungsfehler und deren Einfluß auf die
               kryptologische Sicherheit
               1.  Mehrmalige Verwendung des gleichen Kurz-
                   zeitschlüssels S
               2.  Verwendung fehlerhafter Kurzzeitschlüssel S
               3.  Sonstige Bedienungsfehler

Zusammenfassung
               1.  Zusammenfassung der Resultate des Kapitels IV
               2.  Zusammenfassung der Resultate des Kapitels V
               3.  Das Schlüsselsystem und kryptologische Reserven
               4.  Richtungen der weiteren Untersuchungen der
                   kryptologischen Schaltung

Schlußfolgerungen

Literatur

Einleitung

Das System OPERATION wird entwickelt zur weiteren Automatisierung
des Gesamtkomplexes der Peilung von Funkstellen. Das System
OPERATION soll das System KRISTALL_QUARZ, welches auf der stra-
tegischen Ebene (Fernpeilung) eingesetzt wird, auf der taktischen
Ebene (Nah- und Nächstpeilung) ergänzen.
Das System OPERATION besteht aus einer Zentrale mit:
- einer Apparatur des Fahndungsstabes (2 Fahrzeuge)
- der Apparatur einer halbstationären Funkbeobachtungsstelle
  mit max. 20 Horchposten (10 Fahrzeuge)
und mehreren (maximal 20) halbstationären und beweglichen
Peilpunkten (je ein Fahrzeug pro Peilpunkt).
Im einzelnen dient das System folgenden Zwecken:
a) in der Zentrale:
   - der Eingabe und Aufbereitung von Kommandos zur Peilung
     von Funkstationen;
   - der automatischen Auswahl, Übernahme und Aufbereitung von
     Kommandos, die über das System KRISTALL-QUARZ empfangen
     werden;
   - der Übertragung der aufbereiteten Kommandos;
b) in den Peilpunkten:
   - dem Empfang und der Anzeige der Kommandos.

Der Prozeß der Übertragung und des Empfangs der Kommandos
verläuft nach folgendem Prinzip:
1. Stellt der Horchfunker eine Funkstation fest, tastet er ihr
   wichtigstes Merkmal als Zusatzmitteilung ein (ein Merkmal
   aus 100 möglichen).
2. Danach löst er über eine Taste die automatische Messung der
   Frequenz der festgestellten Funkstation aus.
3. Die gemessene Frequenz wird automatisch an eine Zentralein-
   heit übergeben, wo mittels Korrekturfrequenz automatisch die
   vollständige Empfangsfrequenz bestimmt wird. Die vollständige
   Empfangsfrequenz und die Zusatzmitteilung werden in der Zen-
   traleinheit zwischengespeichert.
4. Von der Zentraleinheit wird dieses Kommando an die Einrich-
   tungen zur Kodierung und Chiffrierung übergeben, wo die wei-
   tere automatische Aufbereitung für die Übertragung erfolgt.
5. Die Kommandos werden 5 s. lang fortwährend wiederholt über-
   tragen, sofern keine Unterbrechung erfolgt durch die notwen-
   dig werdende Übertragung eines neuen Kommandos.
6. Die Kommandos gelangen über Leitungen, Kurzwellen- oder
   Ultrakurzwellenkanäle zu den Empfangseinrichtungen der
   Peilstationen. Hier werden sie automatisch dekodiert, de-
   chiffriert und angezeigt.

Das System OPERATION ist für 24-Stunden-Betrieb ausgelegt.
Die zu übermittelnden Kommandos haben einen sehr hohen Geheim-
haltungsgrad, der durch das System OPERATION gehörende Chif-
friersystem gewährleistet werden muß.
Das System OPERATION wird in der DDR im Militärbereich des
Instituts für Regelungstechnik Berlin (IfR) entwickelt. Die
Mitarbeiter des IfR haben gewisse Erfahrungen auf dem Gebiet
der Entwicklung von automatisierten Kommandosystemen.
An der Entwicklung des Systems OPERATION arbeitet im IfR etwa
25 Entwicklungsingenieure. Die TTF für das System OPERATION
[1] wurden im Januar 1971 an das IfR übergeben. Der eigentliche
Beginn der Arbeiten im IfR war Herbst 1971. Im Dezember 1972
stand das AF2-Muster des Systems (die wesentlichsten Appara-
turen für eine Zentrale und zwei Peilpunkte) für die Labor-
erprobung bereit. Zum Ende des Jahres 1973 wird das K5-Muster
(die Apparaturen für eine Zentrale und 4 Peilstationen) fertig-
gestellt. Ab März 1974 ist die operative Erprobung des K5-
Musters vorgesehen. Während der Erprobung werden keine opera-
tiven Kommandos verarbeitet.
Das System OPERATION wurde auf der Grundlage der elektronischen
Bausteintechnik SN 54/74 der Firma Texas Instruments entwickelt.
Das AF2-Muster wurde mit diesen Baustein bestückt. Im K5-Muster
werden schon in größeren Umfang Modulbausteine der DDR-Baustein-
serie KME-10 verarbeitet. Diese Technik wird dann auch zum Bau
der Seriengeräte verwendet. Im Militärbereich des IfR arbeitet
eine Gruppe von Mitarbeitern, die vom ZCO der DDR entsprechend
den Bedingungen für das Chiffrierwesen bestätigt sind, an der
Entwicklung des Chiffriersystems für das System OPERATION.
Zu dieser Gruppe gehören 4 Diplomingenieure, 1 Mechaniker und
eine technische Zeichnerin. Zwischen dem ZCO der DDR und dieser
speziellen Gruppe im IfR besteht eine sehr enge Zusammenarbeit.

Die Arbeiten zur Entwicklung des Chiffriersystems im System
OPERATION wurden faktisch erst im November 1971 begonnen. An
der kryptologischen Entwicklung des Chiffriersystems konnten
im wesentlichen nur zwei Mitarbeiter des ZCO der DDR arbeiten.
Die Konzeption für das Chiffriersystem wurde vom ZCO am
20.12.1971 vorgelegt. Die allgemeine Konzeption der kryptolo-
gischen Schaltung für den Chiffrator (s. z. B. [3], Abb. 5)
wurde am 20.01.1972 festgelegt. Die kryptologische Schaltung
für den Chiffrator des AF2-Musters (s. z. B. [3], Abb. 1)
wurde am 25.05.1972 in allen Einzelheiten bestimmt. An der
Analyse des Chiffrators für das AF2-Muster konnten nur
zwei Genossen des ZCO der DDR arbeiten.

Auf der Beratung zwischen Genossen des ZCO der UdSSR und des
ZCO der DDR, die im Rahmen der Beratung zur Vorstellung des
AF2-Musters von der Gruppe der Koordinierung vom 27.02. -
03.03.1973 in Berlin stattfand, wurde eingeschätzt (s. [4]),
daß der Chiffrator des AF2-Musters die geforderte Sicherheit
nicht gewährleistet.
Die aus Sicht des ZCO der DDR notwendig erscheinenden Änderungen
der kryptologischen Schaltung (s.[5]) wurde am 02.04.1973
festgelegt. An der hier vorliegenden Analyse dieser neuen
kryptologischen Schaltung arbeitete im ZCO der DDR eine Gruppe
mit 5 Diplommathematikern und einem Programmierer. An der Pro-
grammierung der statistischen Kontrolle der Additionsreihe
arbeitete zeitweise noch ein zweiter Programmierer. Er ge-
hörte nicht zur Gruppe. Der Leiter der Gruppe hat die Quali-
fikation, Kandidat der Wissenschaften. Zwei der 5 Mathematiker
haben erst im Jahre 1972 ihr Studium beendet. Der Programmierer
der Gruppe hat in der Programmierung des zur Verfügung stehenden
Rechners vom Typ Siemens 4004/45 noch wenig Erfahrung. Ana-
lysearbeiten von solcher Art und solchem Umfang wie für den
Chiffrator des Systems OPERATION wurde im ZCO der DDR zum
ersten Male durchgeführt. Für die Entwicklung des Chiffrators
und dessen Analyse gab es praktisch keine eigenen Erfahrungen
im ZCO der DDR. Es mußten und konnten dank der Unterstützung
der Genossen des ZCO der UdSSR in großen Umfang sowjetische
Erfahrungen bei der Bearbeitung der Probleme genutzt werden.
Dennoch konnten Arbeiten für die Analyse nicht vollständig aus-
geführt werden, da dafür zu wenig Zeit und zu wenig qualifi-
zierte Kader zur Verfügung standen.


                      KAPITEL I

   Chiffrierverbindungen im System OPERATION

§1. Schema der Chiffrierverbindungen

    Das Schema der Chiffrierverbindungen des Systems OPERATION
    zeigt Abbildung 1.1.
Bild 11
    Die in der Station C (Zentrale) gebildeten Nachrichten
    (Kommandos) werden im Simplexbetrieb an alle Stationen E
    (Peilpunkt) zugleich übermittelt.
    Der Chiffrierverkehr im System OPERATION ist zirkularer
    Verkehr. Die zwei Stationen A gehören zum System KRISTALL-
    QUARZ. Nachricht der Stationen A, die in der Station
    OPERATION über KRISTALL-QUARZ empfangen werden, werden zur
    weiteren Übermittlung an die Stationen E in der Station C
    neu chiffriert.

§2. Nachrichten auf dem Übertragungskanal

    1. Struktur der Nachrichten

       Die Übertragung der Nachrichten von der Station C an die
       Station E erfolgt nach dem Start-Stop-Prinzip mit In-
       formationsblöcken.
       Ein Informationsblock besteht aus 77 Bit und setzt sich
       zusammen aus dem Startkode mit 16 Bit (für Blocksynchro-
       nisation), dem Geheimtextblock mit 47 Bit, einem Kontroll-
       bit für die Aussage "Chiffrierung normal" und der Kode-
       sicherung 2 mit 13 Bit.
       Ein Geheimtextblock besteht aus dem chiffrierten Grund
       textblock mit 47 Bit.
       Ein Grundtextblock beseht aus dem Klartexblock mit
       41 Bit und der Kodesicherung 1 mit 6 Bit.
       Ein Klartextblock enthält eine vollständige Nachricht
       (ein vollständiges Kommando) und setzt sich wie folgt
       zusammen (s. [7], 2.2.8.1):
       Lfd. Nr.  Information                      Bit
        1.       löschen des Kommandos             1
        2.       Blendkennung                      1
        3.       frei (festliegend)                4
        4.       Frequenz (6 Dezimalziffern im
                 BCD-Kode 2421)                   24
        5.       Zusatzmitteilung (2 Dezimal-
                 ziffern im BCD-Kode 2421)         8
        6.       SKP                               1
        7.       Station arbeitet                  1
        8.       Parität                           1
        (In der angegebenen Reihenfolge wird der Klartextblock
        in die Chiffriereinrichtung übergeben und chiffriert.)
        Die 4 freien Bit (lfd. Nr. 3) waren ursprünglich auch
        als echte Informationsträger vorgesehen. Die Verkürzung
        der Klartextblöcke auf 37 Bit bedeutet größere tech-
        nische Veränderungen. Eine zufallsmäßige Belegung der 4
        festen Bit bzw. ihre unchiffrierte Übertragung kann erst
        nach der K5-Entwicklung realisiert werden.

     2. Klartexteigenschaften

        In den Klartextblöcken treten durch die Darstellung der
        8 Dezimalziffern im BCD-Kode 2421 und durch die 4 festen
        Bit sehr starke Gesetzmäßigkeiten auf. Es können nur
        maximal 108 * 23 verschiedene Klartextblöcke von den
        241 ≈ 22 * 1012 theoretische möglichen auftreten.
        Bei der Information "löschen des Kommandos" tritt ein
        Zeichen von {0, L} häufiger als das andere auf.

     3. Nachrichtenübertragung

        Zur Senkung der Verlustfehlerwahrscheinlichkeit der
        im Simplexbetrieb übertragenen Nachrichten werden
        diese mehrfach wiederholt übertragen. Vom Zeitpunkt
        der Auslösung einer Nachricht 5 s. lang. Bei den vor-
        gesehenen Übertragungsgeschwindigkeiten von 200, 600
        und 1200 Bd. bedeutet das die Übertragung von bzw. 13,
        39 und 78 unmittelbar aufeinanderfolgenden Informations-
        blöcken mit gleichem Grundtextblock. Im System werden
        Nachrichten mit drei verschiedenen Rängen übertragen.
        Die Übertragung einer Nachricht mit niederem Rang wird
        unterbrochen, wenn eine Korrektur der ursprünglichen
        Nachricht erfolgt. Die Unterbrechung erfolgt nur am
        Ende der Übertragung eines Informationsblockes. Der
        erste Informationsblock mit der neuen Nachricht wird
        unmittelbar nach dem letzten Informationsblock mit der
        alten Nachricht übertragen. Die neue Nachricht wird
        wieder 5 s. lang übertragen. Auf dem Nachrichtenkanal
        erscheinen nicht die reinen Informationsblöcke.
        Zu den je 77 Elementen der Informationsblöcke werden
        Bit für Bit addiert mod 2 die Elemente entsprechend
        langer Abschnitte einer Synchronisationsfolge F. In
        den Zeiten, in denen von der Station C keine Informa-
        tionsblöcke übertragen werden, wird nur die Folge F
        übertragen.

     4. Informationsdichte

        Es kann nach den letzten Informationen angenommen werden
        (vgl. [8], Pkt. 2.2.3.1), daß die Zeitpunkte der Auslö-
        sung einer Nachrichtenübertragung gleichverteilt sind,
        wobei folgende Parameter zeitweise gelten:

        mittlerer Abstand zwischen zwei Auslösungen 10 s
        min       Abstand zwischen zwei Auslösungen  1 s
        max       Abstand zwischen zwei Auslösungen 20 s

     5. Blendnachrichten

        Zur Verschleierung der Zeitpunkte der Übermittlung
        von Nachrichten können im Datensender der Station
        C Blendinformationsblöcke gebildet und 5 s lang über-
        tragen werden. Die Bildung und Übertragung der Blend-
        nachrichten erfolgt automatisch und wird durch Tasten-
        druck ausgelöst. Die Blendinformationsblöcke entstehen
        aus Blendklartextblöcken analog wie die Informations-
        blöcke aus den Klartextblöcken. Ein Blendklartextblock
        besteht aus einem Bit Blendkennung und einem Abschnitt
        der Länge 40 einer Pseudo-Zufallsfolge B. Blendinfor-
        mationsblöcke sind auf dem Kanal nicht von anderen
        Informationsblöcken unterscheidbar.

     6. Geheimhaltung der Nachrichten

        Die Geheimhaltung der übermittelten Nachrichten ist
        praktisch für unbegrenzte Zeit zu gewährleisten.

                    KAPITEL II

        Das Chiffriersystem im System OPERATION

§1 Forderungen an das Chiffriersystem

   Das Chiffriersystem muß die automatische Chiffrierung bzw.
   Dechiffrierung der zu übermittelnden Nachricht gewährleisten.
   Chiffrierung und Dechiffrierung müssen innerhalb der insge-
   samt zulässigen Übertragungszeit in 0,5 sec erfolgen.
   (s. [1] Pkt. 11.1.23, 11.1.24)
   Das Chiffriersystem muß die kryptologische Sicherheit der
   Nachrichten für praktisch unbegrenzte Zeit gewährleisten,
   wobei der Zeitschlüssel nicht mehr als ein bis zwei Mal
   täglich gewechselt wird und der Gegner das Chiffriersystem
   kennt (s. [2]). Die Vorbereitungszeit für den Schlüssel-
   wechsel darf nicht länger als 2 Minuten sein, der Schlüssel-
   wechsel selbst muß innerhalb 10 sec erfolgen.
   Durch Übermittlung von Blendnachrichten muß es möglich sein,
   den Zeitpunkt der Übertragung operativer Nachrichten zu
   verschleiern. (s. [4] 4.6.3 u. 11.1.36)
   Das Volumen und das Gewicht der Chiffriereinrichtung, be-
   sonders die für die Station E, sind möglichst gering zu
   halten.
   Das Chiffriersystem muß den elektrischen, klimatischen usw.
   Forderungen des Gesamtsystems genügen.

§2 Konzeption des Chiffriersystems1)

1) Zur Begründung der Konzeption s. [3], Abschnitt 3.

   1. Chiffrierprinzip

      In der Station C ist eine Chiffriereinrichtung enthalten.
      In jeder Station E ist eine Dechiffriereinrichtung ent-
      halten.
      Im Chiffriersystem wird ein Additionsverfahren realisiert.
      Die Additionsreihen zur Chiffrierung bzw. zur Dechiffrie-
      rung werden in der Chiffriereinrichtung und allen Dechif-
      friereinrichtungen des Chiffriersystems unter Benutzung
      eines Zeitschlüssels S und einer Synchronisationsfolge
      F synchron gebildet.

   2. Synchronisationsprinzip

      In der Chiffriereinrichtung und allen Dechiffriereinrich-
      tungen des Chiffriersystems wird ständig im Übertragungs-
      takt TÜ = (TÜi)8i1 eine rekurrente Folge (fi)8i1
      (fi ∈ {0,1}, i=1,2,…) Synchron erzeugt. zu diesem Zweck
      wird die in  der Chiffriereinrichtung erzeugte Folge F
      von der Station C ständig an alle Stationen E übermittelt.
      In den Zeiten, in denen von der Station C keine Infor-
      mationsblöcke übertragen werden, wird die in den Stationen
      E empfangene Folge in den Dechiffriereinrichtungen zur
      Herstellung bzw. Aufrechterhaltung der Synchronisation
      genutzt.

   3. Erzeugung der Additionsreihen

      Aus der Folge F = (fi)8i1 und dem Zeitschlüssel S wird
      im Übertragungstakt TÜ = (TÜi)8i1 eine Folge
      W = (wi)8i1 (wi ∈ {0,1}, i=1,2,…) in Abhängigkeit von den
      Chiffrierzeitpunkten (Dechiffrierzeitpunkten) erzeugt.
      Zur Chiffrierung der Grundtextblöcke (Dechiffrierung der
      Geheimtextblöcke) werden von der Folge W Abschnitte Wi,
      Wi+1, …, Wi+46 als Additionsreihen genutzt und mit den
      Grundtextblöcken (Geheimtextblöcken) verknüpft.
      Die Grundtextblöcke (insbesondere auch gleiche) der auf
      dem Übertragungskanal aufeinanderfolgenden Informations-
      blöcke werden mit unterschiedlichen Abschnitten der Folge
      W (unterschiedlichen Additionsreihen) chiffriert.
      Zwischen den jeweils ersten Elementen der Geheimtextblöcke
      von zwei unmittelbar aufeinander folgenden Informations-
      blöcke besteht ein Abstand von 77 Übertragungstakten.
      Wenn der erste Geheimtextblock durch Addition des Grund-
      textblockes mit dem Abschnitt Ai = Wi, Wi+, …, Wi+46 von
      W entstanden ist, dann ist der folgende Geheimtextblock
      durch Addition des gleichen Grundtextblockes mit dem
      Abschnitt Ai+77 = Wi+77, Wi+78 … Wi+123 entstanden. Der
      Abstand beider W-abschnitte ist 30 Übertragungstakte.
      Bei Unterbrechung einer Nachricht durch Übermittlung
      einer neuen Nachricht ist der Abstand der jeweils ersten
      Elemente des letzten Informationsblöcke mit der alten
      Nachricht und des ersten Informationsblockes mit der neuen
      Nachricht ebenfalls 77 Übertragungstakte. Entsprechend
      ist der Abstand der zur Chiffrierung der aufeinanderfol-
      genden unterschiedlichen Grundtextblöcke genutzten Ab-
      schnitte von W wiederum 30 Übertragungstakte.

§3 Die Funktionseinheit der Chiffriereinrichtung

   1. Schlüsseleingabeeinheit

      Der Zeitschlüssel S besteht aus zwei 0,1-Folgen S1 und
      S2. Die Schlüsseleingabeeinheit SE besteht aus einem
      optoelektronischen Lochkartenleser, zwei Schlüsselspei-
      chern SRS1 und SRS2 und Steuer- und Prüfbaugruppen.
      Der Zeitschlüssel S ist für die Eingabe auf einer Loch-
      karte gespeichert.
      Der Zeitschlüssel wird beim Herausziehen der Lochkarte
      aus der Eingabeeinheit in die Speicher SRS1 und SRS2
      eingelesen.
      Wenn der Strom für die Schlüsseleingabeeinheit unter-
      brochen wird, werden die Speicher SRS1 und SRS2 gelöscht.
      In den Prüfbausteinen der Schlüsseleingabeeinheit werden
      die Eingabe des Schlüssels Sund seine Verarbeitung kon-
      trolliert. Fehler bei der Eingabe des Schlüssels (Signal
      FGSE) werden von Fehlern bei der Verarbeitung des
      Schlüssels (M4-SE) unterschieden. Vom Zeitpunkt des Ein-
      schaltens des Stromes für die Schlüsseleingabeeinheit oder
      vom Zeitpunkt des Beginns der Neueingabe eines Schlüssels
      (Schlüsselwechsel) bis zum fehlerfreien Abschluß der Ein-
      gabe eines Schlüssels wird das Signal FGSE = 0 erzeugt.
      Nur wenn FGSE=L ist (Schlüssel fehlerfrei in SE), kann
      das Fehlersignal M4-SE=L erzeugt werden.
      In der Steuerbaugruppe der Schlüsseleingabeeinheit wird
      aus dem Steuersignal FGFU und dem internen Takt T 350 kHz
      der Takt t104 gebildet. Der Takt t104 enthält pro Über-
      tratungstakt TUi (i=1,2,…) genau 104 Takte von T 350 kHz.
      Mit dem Takt t104 wird die Verarbeitung des Zeitschlüssels S
      im Chiffrator und Prüf-Chiffrator gesteuert.

   2. Synchronisationseinheit

      Die Synchronisationseinheit besteht aus dem F-Generator,
      einem Zufallsgenerator, einem Taktgenerator, sowie Steuer-
      und Prüfbaugruppen.
      Im F-Generator wird die Synchronisationsfolge F = (fi)8i1
      (fi ∈ {0,1}, i=1,2,…) erzeugt. F genügt der Rekursion
      fi+52 = fi+3 ⊕ fi (i≥1).
      Zur Herstellung eines zufälligen Anfangswertes für die
      Folge F bei Inbetriebnahme der Chiffriereinrichtung oder
      nach Stromausfall wird die Ausgangsfolge Y = yii
      (yi ∈ {0,1}, i=1,2…,3*56) des Zufallsgenerators für
      3*56 Übertragungstakte TÜi genutzt:
      fi+52 = fi+3 ⊕ fi ⊕ yi (i=1,2, …, 3*56.)
      FU = (FUi)8i1 abgeleitet. Wenn im Schieberegister des
      F-Generators im i-ten Übertragungstakt TÜi (i=1,2,…)
      der Abschnitt fifi+1 … fi+51 enthalten ist, so gilt
      FUi = (fi+1, fi+2, …, fi+51, fi, fi+1, … fi+51, fi).
      Im Taktgenerator wird der interne Takt T 350 kHz erzeugt.
      In den Prüfbaugruppen wird die Erzeugung der Folge F
      laufende kontrolliert. Während  der Erzeugung der zufäl-
      ligen Anfangswertes von F wird die Folge yii überprüft.
      Durch die Steuerbaugruppen wird die Funktion und das Zu-
      sammenwirken der anderen Baugruppen der Synchronisations-
      einheit gesteuert. Darüberhinaus wird das Steuersignal
      FGFU zur Steuerung der Schlüsseleingabeeinheit erzeugt.

   3. Chiffrator und Prüf-Chiffrator

      Im Chiffrator wird die Folge W = (wi)8i1 (wi ∈ {0,1}, i=1,2,…)
      im Übertragungstakt TÜ = (TÜi)8i1 erzeugt. Wenn im i-ten
      Übertragungstakt TÜi (i=1,2…) das erste Additions-
      element der Additionsreiche zur Chiffrierung eines Grund-
      textblockes erzeugt werden soll, wird der Chiffrator
      zum Beginn von TÜi in einen festen bestimmten Anfangs-
      zustand uio = U(0) gebracht. Unter Einwirkung des Elements
      FUi der Folge FU und des Zeitschlüssels S wird dann im
      i-ten Übertragungstakt TÜi das Element wi erzeugt. Der
      Chiffrator geht dabei aus dem Zustand uio in den Zu-
      stand ui104 über.
      Unter Einwirkung des Elements FUi+1 der Folge FU und des
      Zeitschlüssels S wird dann im (i+1)ten Übertragungstakt
      TÜi+1 das Element wi+1 erzeugt. Der Chiffrator geht dabei
      aus dem Zustand ui104a in den Zustand ui208 über. Und so
      weiter bis zum Übertragungstakt Ti+k (k ∈ {77,78,…}),
      in dem wiederum das erste Additionselement der Additions-
      reihe zur Chiffrierung eines Grundtextblockes erzeugt
      werden soll. Parallel zum Chiffrator wird zum Zweck der
      Prüfung des Chiffrators im Prüf-Chiffrator die Folge
      W = (wi)8i1 erzeugt.
      Chiffrator und Prüfchiffrator unterscheiden sich nicht.
      w1 wird aus U(0) erzeugt (damit die Prüfung nicht zu
      Beginn anspricht).

  4. Steuerung

     Die Steuerung steuert den Datenaustausch der Chiffrier-
     einrichtung mit anderen Funktionseinheiten der Station C
     und die internen Betriebsabläufe in der Chiffriereinrich-
     tung.
     Die Klartextblöcke werden seriell im Übertragungstakt TÜ
     vom Datensender der Station C an die Steuerung der Chif-
     friereinrichtung übergeben. Die Übergabe wird (sofern im
     Datensender kein neuer Klartextblock vorliegt) über einen
     Zeitraum von 5 s nach jeweils 77 Übertragungstakten wieder-
     holt. In der Steuerung werden aus den Klartextblöcken in
     der Kodierung I (zyklischer Kode mit Basispolynom
     g(x) = x6+x+I) in die Grundtextblöcke gebildet. Diese
     werden dann durch bitweise Addition mod 2 mit der Folge W
     zu Geheimtextblöcken verknüpft. Den Geheimtextblöcken wird
     am Ende noch ein Prüfbit "Chiffrierung normal" zugeführt.
     Die entstehende Datenfolge wird mit einer Verzögerung von
     5 1/2 Übertragungstakten von der Steuerung an den Daten-
     sender übergeben.
     Die in der Synchronisationseinheit erzeugte Folge F wird
     über die Steuerung ebenfalls an den Datensender übergeben.
     In der Steuerung wird die Erzeugung der Folge W und deren
     Verknüpfung mit den Grundtextblöcken, sowie die Erzeugung
     der Folge FU und des Steuersignals FGFU auf Fehler geprüft.
     In den Baugruppen zur Blockierung werden die Prüfungen
     aller Prüfbaugruppen der Chiffriereinrichtung erfaßt und
     ausgewertet. Jedes Fehlersignal (M4-… = L, FGSE = 0)
     führt zur Blockierung des Geheimtextausganges der Steuerung.
     In der Steuerung wird weiter das Fehlersignal M4-CE = M4i-…
     gebildet zur Fehlermeldung an den Datensender. Als Folge
     von M4-CE = L wird die Übertragung auf dem Übertragungskanal
     unterbrochen.

§4 Die Funktionseinheit einer Dechiffriereinrichtung

   1. Schlüsseleingabeeinheit

      Die Schlüsseleingabeeinheit einer Dechiffriereinrichtung
      unterscheidet sich nicht von der Schlüsseleingabeeinheit
      der Chiffriereinrichtung.

   2. Synchronisationseinheit

      In der Synchronisationseinheit wird die Folge F synchron
      zu der in der Chiffriereinrichtung des Chiffriersystems
      hergestellten Folge F erzeugt. Dazu wir die von der Sta-
      tion C empfangene Datenfolge laufend auf Abschnitte der
      Länge 108 untersucht, die die Rekursion

           fi+52 = fi+3 + fi (i ≥ 1)
      genügend. Wenn ein solcher Abschnitt in der Datenfolge
      festgestellt wird, wird er zur weiteren Erzeugung von F
      genutzt. (Synchronisationsalgorithmus [3], 4.2.)
      Aus der Folge F wird ebenso wie in der Synchronisations-
      einheit der Chiffriereinrichtung die Folge FU abgeleitet.
      Zur Synchronisationseinheit gehört noch ein Taktgenerator
      zur Erzeugung des Taktes T 350 kHz.

   3. Dechiffrator

      Der Dechiffrator der Dechiffriereinrichtung unterscheidet
      sich nicht vom Chiffrator der Chiffriereinrichtung.

   4. Steuerung

      Die Steuerung steuert den Datenaustausch der Dechif-
      friereinrichtung mit den anderen Funktionseinheiten der
      Station E und die internen Betriebsabläufe in der De-
      chiffriereinrichtung.

      Die in der Station E empfangene Datenfolge wird seriell
      an die Steuerung übergeben. Zu dieser Datenfolge wird die
      in der Synchronisationseinheit erzeugte Folge F bit-
      weise mod 2 addiert. Die entstehende Datenfolge wird
      an den Datenempfänger der Station E übergeben.
      Parallel dazu werden die in der entstehenden Datenfolge
      (im Datensender) erkannten Geheimtextblöcke in der Steu-
      erung dechiffriert, überprüft (Dekodierung 1, Auswertung
      des Prüfbit "Chiffrierung normal") und an den Datenem-
      pfänger übergeben.


                    KAPITEL III

Die kryptologische Schaltung des Chiffrators im System OPERATION
(Kryptologische und technische Realisierung des Chiffriersystems)

§1 Beschreibung der kryptologischen Schaltung des Chiffrators

   1. Kryptologische Schaltung

      Die kryptologischer Schaltung ist in Abbildung 1 dargestellt.

Zeichenerklärung:
Bild 3- Additionselement mod 2
- Speicher der Länge n Verzögerung um n Takte ti
      - U = u1u2…u28 - Zustandsspeicher des Chiffrators

      - U(0)   - Speicher für den Anfangszustand
              U(0) = (uo28) ∈ {0,1}28  des Chiffrators

      - Z - logische Funktion
        Z (e1,e2,…,e6) = 1 ⊕ e1 ⊕ e5 ⊕ e6 ⊕ e14
           ⊕ e23 ⊕ e25 ⊕ e45 ⊕ e56 ⊕ e134 ⊕ e136
           ⊕ ⊕ e145 ⊕ e236 ⊕ e246 ⊕ e356 ⊕ e1234
           ⊕ e1235 ⊕ e1256 ⊕ e2346 ⊕ e12345 ⊕ e13456
           (eij…k = ei*ej … ek)

      - p129 - Kommutator

        umkehrbar eindeutige Verknüpfung der Ausgänge Vα von P
        mit den Eingängen uPα von P (α = 1,2,…,28) und
        von V29 mit uP29 (P29 ∈ {1,2,…,28}).

        Durch P wird eine Verknüpfung (Abbildung) der Ausgänge
        V1, v2, … v29 von P mit den Eingängen u1, u2, …u28
        realisiert. Als Abbildung P : {1,2,…,27,28,29} → {1,2,…,28}
        hat P folgende Eigenschaften mindestens eine der beiden
        Einschränkungen:
                        P : {1,2,…,27,28} → {1,2,…,28}
                        P : {1,2,…,27,29} → {1,2,…,28}
        von P ist umkehrbar eindeutig.

      - q19 - Kommutator (Permutation 10 x 10)

        umkehrbar eindeutige Verknüpfung der Ausgänge tɳ mit
        den Eingängen rQɳ-1 (ɳ = 0,1,2,…,9);

        rq19.
Bild 1

   2. Beschreibung der Erzeugung eines Abschnittes
      (wi)kjo1 (k > 76) von W = (wi)8i1, dessen Anfangs-
      abschnitt (wi)jij als Additionsreihe genutzt wird.

      Das Element wj+m (m=0,1…,k) von W wird im (j+m)-ten Über-
      gangstakt TÜj+m (Zeitintervall [tj+m, tj+m+1]) erzeugt. Der
      Chiffrator befindet sich zu Beginn von TÜj+m im Zustand U(104*m).
      U(0) ist der Anfangszustand des Chiffrators. Zu Beginn der
      Erzeugung von (wi)jk1 wird der Chiffrator durch
      ein Steuersignal in diesen Zustand gebracht. Im
      Speicher SRF des F-Generators ist der Abschnitt (fj+m,
      fj+m+1,…,fj+m+51) von F mit fj+μ+52 = fj+μ+3⊕fj+μ
      (μ = 0,1,…,m-1; (fj, fj+1,…,fj+51) ∈ {0,1}52 - Anfangs-
      abschnitt von F zu Beginn von TÜj) enthalten.
      In den Speichern SRS1 und SRS2 sind die Folgen S1 = u0v1
      und S2 = s0v1 enthalten.
      Im Zeitintervall [tj+m, tj+m+1] wird der Chiffrator zusammen
      mit den Schieberegistern SRF, SRS1 und SRS2 104 mal im inter-
      nen Arbeitstakt T 350 kHz getaktet. Der Chiffrator durchläuft
      dabei die Zustände U(104m), U(104*m+1), … U(104*m+104).
      Der Inhalt Uupm des Speicherelements UP29 von U
      wird in der Steuerung als Element wj+m von W verarbeitet.
      Der Zustand U(104*m+v-1) (m=0,1,…,k; v =1,2,…,104)
      des Chiffrators geht unter der Einwirkung der Eingangs-
      kombination
      (uv0, s(v), r(m,v)) (m= 0,1,…,k; v=1,2,…,104)
      mit
      r(m,v) = r(m,v+52) = fj+m+v (m=0,1,…,k; v=1,2,…,51),
      r(m,v) = fj+m  (m=0,1,…,k; v=52, 104) j+m (104*m+v)
      in den Zustand U(104*m+v) über nach folgender Vorschrift: (3.1):

      p31b

      p31b (ɳ=2,3,…,9),

      p31c (ɳ=1,2,…,9),

      p31d,

      p31e.

      Dabei sind die Tɳ = Tɳ(e0,e1,…e28) (ɳ=0,1,…,9) in
      (3.1) logische Funktionen mit
      TR0 = e0
      TR1 = 0
      TR2 = Z(e1,e2,…,e6)
      TR3 = TR2 + e7
      TR4 = TR3 + Z(e8,e9,…,e13)
      TR5 = TR4 + e14
      TR6 = TR5 + Z(e15, e16,…,e20) + e1
      TR7 = TR6 + e21
      TR8 = TR7 + Z(e22, e23,…,e27)
      TR9 = TR8 + e28

   3. Prüfung und Blockierung

      Abbildung 3.2 zeigt das Blockschaltbild der Prüfung und
      Blockierung der Chiffriereinrichtung.
      In der Baugruppe FG1 wird die Folge F erzeugt im Über-
      tragungstakte TÜ und gleichzeitig dazu in die Baugruppe
      FG2 eingegeben (Schalter S2 in Stellung 1). Aus dem in
      FG2 jeweils gespeicherten Abschnitt von F (i=1,2,…)
      wird im Takt T 350 kHz die Folge FUi gebildet (Schalter
      S2 Stellung 2). In der Prüfbaugruppe P-ZG/F wird die in
      FG1 erzeugte Folge F laufend auf konstante Abschnitte der
      Länge 56 überprüft. Im Prüfbaustein P-F werden parallel
      die in FG1 und FG2 erzeugten Folgen F verglichen. In den
      Prüfbausteinen P-FU und P-FU-P wird überprüft, ob die
      Folgen FUi oder FUi-P (i=1,2,…) konstant sind.
Bild 32
      Schalter S1 wird nur unmittelbar nach Einschalten des
      Stromes für die Chiffriereinrichtung für genau 168 Takte
      (TÜ1)168 geschlossen. Die im Zufallsgenerator ZG erzeugte
      Folge (yi)168 erzeugt im Speicher SRF von FG1 einen zu-
      fälligen Anfangswert.
      Der Zufallsgenerator wird nur unmittelbar nach dem Ein-
      schalten des Stromes in der Prüfbaugruppe P-ZG/F über-
      prüft. Die Folge (yi)168 wird als ausreichend zufällig,
      angesehen, wenn gilt
Bild 44a
      Die richtige Funktion von P-ZG/F und vom Additionselement
      A3 wird überprüft durch Addition einer konstanten Folge
      L≡1 anstelle der Zufallsfolge (yi). Die Addition
      von L wird durch Drücken einer entsprechenden Prüftaste
      ausgelöst. Im Chiffrator Ch und Prüfchiffrator P-Ch werden
      die Signale FU oder FU-P, t104, S=(S1,S2) und tR verarbei-
      tet. (tR ist das Steuersignal, mit dem Chiffrator und
      Prüf-Chiffrator in den Anfangszustand U(0) gebracht werden)
      Der in der Steuerungsbaugruppe St-SE der Schlüsselein-
      gabeeinheit aus FGFU und T 350 kHz gebildete Takt t104
      wird im Prüfbaustein P-t104 daraufhin überprüft, ob pro
      Übertragungstakt TÜi genau 104 Takte von t104 vorhanden
      sind. Im Prüfbaustein P-S1/S2 wird überprüft, ob für S1
      und S2 die Bedingung
      uvu,uvs
      erfüllt ist. (s. auch Kap. III, §2.).
      Im Prüfbaustein P-E-S1/S2 wird nur bei der Eingabe  des
      Schlüssels S in SRS1/SRS2 überprüft, ob die Bedingungen
      s45a

      s45b (m = 0, 1, 2, 3)
      erfüllt sind.
      Im Baustein P-SE werden entsprechend der Eingabesituation
      des Schlüssels S (Eingabe richtig abgeschlossen oder nicht)
      die Signale FGSE und M4-SE gebildet (s. Kap. II, §3, 1.).
      Ein in P-t104 oder P-S1/S2 erkannter Fehler führt immer
      entweder zu FGSE = 0 oder M4-SE = L.
      Ein in P-E-S1/S2 erkannter Fehler führt immer dazu, daß
      FGSE=0 nicht aufgehoben wird.
      Im Prüfbaustein P-FGFU wird überprüft, ob pro Übertragungs-
      takt ein endliches Freigabesignal übernommen wird.
      Vom Chiffrator und vom Prüf-Chiffrator werden in jedem
      Übertragungstakt FÜ1 (i=1,2,…) die Folgen Wi und Wi-P
      der 105 Speicherinhalte des Speicherelements uP29 von U
      an die Baugruppe der Steuerung V übergeben. In den Prüf-
      bausteinen P-W und P-W-P werden diese Folgen Wi und Wi-P
      auf Konstanz überprüft.
      Im Prüfbaustein P-W ⊕ KT2 werden die Ausgänge der
      Additionselemente A1 und A2 verglichen. (Damit wird auch
      das Additionselement A1, in dem der kodierte Klartext
      (Grundtextblöcke KT2) mit der Folge W verknüpft wird,
      überprüft.)
      Die Fehlersignale aller Prüfbaugruppen und -bausteine
      (außer FGSE) werden in den zwei parallelen Baugruppen
      B1 und B2 erfaßt. Durch B1 wird der Geheimtextausgang
      über den Schalter S2, durch B2 über den Schalter S4 bei
      Auftreten eines beliebigen Fehlersignals gesperrt. Das
      Fehlersignal FGSE = 0 führt direkt zur Blockierung des
      Geheimtextausgangs.
      Das Fehlersignal M4-CE führt zur Unterbrechung der Über-
      tragung auf dem Kanal.
      Die Prüfbaugruppen und -bausteine P-… und B1 und B2
      werden durch die Taktsignale TÜ1 und TÜ2 (Übertragungs-
      takte) gesteuert.
      Durch das Signal B0 (zentral auf Bedienpult auslösbar)
      werden die Fehlerspeicher von B1 und B2 (außer bei Feh-
      lersignalen von P-ZG/F oder P-SE) zurückgestellt, d. h.
      die Blockierung des Geheimtextausganges wird aufgehoben.
      Das Signal B0 führt für die Dauer seiner Auslösung in
      der Chiffriereinrichtung zur Blockierung des Geheimtext-
      ausganges über die Schalter S3 und S4.

§2 Das Schlüsselsystem

   1. Kurzzeitschlüssel

      Der Kurzzeitschlüssel S = (S1,S2) besteht aus den beiden
      Folgen
      S1 = uo1v,

      S  = s0v1  uvo, S(v) ∈{0,1} , v = 1, 2, …, 104).
      Zur Herstellung des Kurzzeitschlüssels werden irreguläre
      Dualfolgen verwendet. Die Irregularität der Dualfolge
      wird durch Überprüfung mit den Kriterien gesichert, die
      auch bei der Herstellung irregulärer Dualfolgen für
      Schlüsselverfahren angewendet werden. Unterschiedliche
      Schlüssel werden aus voneinander unabhängigen irregulären
      Dualfolgen hergestellt.

      Als Abschnitte

      u70

      u240 (m = 0, 1, 2, 3),

      S(1), S(2), …, S(7).

      S(24m+9), S(24m+10), …, S(24m+31) (m = 0, 1, 2, 3),

      von S werden aus der irregulären Dualfolge voneinander
      unabhängige Abschnitt der Länge 23 bzw. 7 genommen. Die
      fehlenden Elemente von S werden gebildet durch die
      Vorschrift.

      s47a ⊕ uvo

      s47b (m = 0, 1, 2, 3)

      s47c ⊕ S(v)

      s47d ⊕ S(24m+v) (m = 0, 1, 2, 3)

      Der Kurzzeitschlüsselvorrat ist 2198 > 1059.
      Es ist vorgesehen, den Schlüssel S als Tagesschlüssel
      zu benutzen.

   2. Langzeitschlüssel

      Die Relation P und Q und der Anfangszustand U(0) des
      Chiffrators bilden den Langzeitschlüssel (P,Q,U(0)).
      Er kann im Ergebnis der kryptologischen Analyse des Chif-
      frators für verschiedene Anlagen OPERATION in verschiedenen
      Schlüsselbereichen festgelegt werden.
      Ein Wechsel des Langzeitschlüssel ist nur in Ausnahme-
      fällen (Kompromittierung des Langzeitschlüssels) vorge-
      sehen.
      Die Relation P ist auf einer Leiterplatte  und die Re-
      lation Q ist zusammen mit dem Anfangszustand U(0)
      auf einer zweiten Leiterplatte durch eingelötete Draht-
      brücken realisiert.

   3. Reserveschlüssel

      Der Langzeitschlüssel oder Elemente des Langzeitschlüssels
      können unter Berücksichtigung des technischen Aufwandes
      bedingt auch als Kurzzeitschlüssel verwendet werden.
      Der Schlüsselvorrat für die Elemente P,Q und U(0) dieses
      Reserveschlüssels ist aus kryptologischen und technischen
      Gründen beschränkt.
      Der Elementevorrat für P ist 28!*28.
      Der Elementevorrat für Q ist 10!.
      Die Anzahl der technisch möglichen Anfangszustände U(0)
      des Chiffrators ist
      s48
      technisch nicht realisierbar ist.

§3 Begründung der kryptologischen Schaltung

   1. Ausgangspunkt für die Entwicklung der kryptologischen Schaltung

      Ausgehend von den Forderungen zur Entwicklung eines Chif-
      friersystems für das System OPERATION wurde eine krypto-
      logische Schaltung I für den Chiffrator entwickelt. Diese
      kryptologische Schaltung ist in [3] beschrieben und be-
      gründet.
      Nach einer ersten vorläufigen Analyse dieser kryptolo-
      gischen Schaltung I durch das ZCO der UdSSR (siehe [4])
      wurde festgestellt, daß die kryptologische Sicherheit
      der Nachrichten bei dieser Schaltung nicht gewährleistet
      ist.
      Als wesentliche Schwächen wurden erkannt (siehe [4]):
      (1) die geringe effektive Schlüsselvorrat;
      (2) die ungleichmäßige Mächtigkeit der Klassen äquiva-
          lenter Schlüssel;
      (3) die Existenz einer großen Anzahl von Schlüsseln, die
          inbezug auf die statistischen Eigenschaften der den
          Prozeß der Zustandsänderung des Chiffrators beschrei-
          benden Markoffschen Kette und damit vermutlich auch
          in Bezug auf die statistische Eigenschaften der Ad-
          ditionsreihen, schlecht sind.
      Die Überwindung dieser schwächen unter Beibehaltung der
      wesentlichen Festlegungen der Konzeption des Chiffrier-
      systems und des Volumens insbesondere für die Dechif-
      friereinrichtung, war der Ausgangspunkt für die Ent-
      wicklung der kryptologischen Schaltung des Chiffrators
      in der jetzt vorliegenden Gestalt (Schaltung II).

   2. Festlegung des Schlüsselsystems

      Die gegenwärtig verfügbaren Kommutatoren sind aufgrund
      ihrer mechanischen, elektrischen und klimatischen Eigen-
      schaften oder aufgrund ihres großen Volumens als Schlüs-
      seleingabevorrichtungen für den Einsatz in den Chiffrier-
      und Dechiffriereinrichtungen des Systems OPERATION nicht
      geeignet.
      Es besteht gegenwärtig auch keine Aussicht, einsatzfähige
      Kommutatoren in entsprechend kurzer Zeit zu entwickeln.
      Kommutatoren sind deshalb im Prinzip zur Zeit nur zur
      Realisierung von Langzeitschlüsseln geeignet.
      Im Gegensatz dazu war es möglich, in relativ kurzer Zeit
      eine optoelektronische Vorrichtung zur Einspeicherung von
      0,1-Folgen zu entwickeln, die die Forderungen an eine
      Schlüsseleingabevorrichtung im Chiffriersystem von
      OPERATION erfüllt.
      Ausgehend von diesen technischen Bedingungen wurde fest-
      gelegt, 0,1-Folgen als Kurzzeitschlüssel zu benutzen.
      Zur Erhöhung der kryptologischen Sicherheit des Chiffrators
      erscheint es günstig, diesen Kurzzeitschlüssel mit einem
      Langzeitschlüssel, speziell mit einem durch Kommutatoren
      realisierten Langzeitschlüssel, zu kombinieren.

   3. Grundprinzip der Erzeugung der Folge W

      In der vorläufigen Analyse der kryptologischen Schaltung I
      wurde festgelegt, daß die in dieser Schaltung realisierte
      Umformung der Eingangsfolge FUi (i=1,2,…) hinreichend
      kompliziert ist (siehe [4]).
      Deshalb konnte bei der Entwicklung der kryptologischen
      Schaltung II am Prinzip der Erzeugung der Folge W, wie
      es in der Schaltung I realisiert wird, festgehalten
      werden: Erzeugung eines Elements wi von W im i-ten
      Übertragungstakt durch n-malige rückgekoppelte Umformung
      des Inhalts im Zustandsspeicher U des Chiffrators unter
      Einwirkung des Abschnittes (fi,fi+1, …, fi+51) von F
      und in Abhängigkeit vom Kurzzeitschlüssel S.

   4. Festlegung der Grundstruktur der kryptologischen Schaltung II

      Ausgehend von der Festlegung des Schlüsselsystems und
      der Beibehaltung des Grundprinzips der Erzeugung der
      Folge W wurde in Anlehnung an die Struktur der Schaltung I
      für die kryptologische Schaltung II die in Abb. 3.3 dar-
      gestellte Grundstruktur festgelegt.
Bild 4
      Abb. 3.3 Grundstruktur der kryptologischen Schaltung II

      Im Speicher SRS ist der Kurzzeitschlüssel S gespeichert.
      Die Kommutatoren P und Q und der Speicher U(0) für den
      Anfangszustand U(0) des Chiffrators realisieren
      den Langzeitschlüssel (P,Q,U(0)). SRF ist
      Speicher des F-Generators. U ist der Zustandsspeicher
      des Chiffrators, aus dem auch die Folge W abgeleitet wird.

      X ist eine logische Funktion. Der Komplex (P,X,Q) rea-
      lisiert die Überführungsfunktion ϕ:ExM→M
      (M-Zustandsmenge) des Chiffrators, E-Eingabemenge des
      Chiffrators) des Chiffrators.
      Bei der weiteren Präzisierung der Struktur des Chiffrators
      mußte folgende Beschränkungen des Volumens des Chiffrators
      beachtet werden:
      Zur Realisierung des Chiffrators (U(0),P,Q,U,X) stand der
      Platz für 10 Leiterplatten 170x94 mm zur Verfügung.

   5. Festlegung der Parameter der kryptologischen Schaltung II

  5.1 Anzahl der internen Arbeitstakte T 350 kHz pro Übertra-
      gungstakt TÜi

      Für die Entwicklung der kryptologischen Schaltung II wurde
      eine Veränderung der Rekursion fi+52 = fi+3 ⊕ fi für
      die Folge F=(fi)8i1nicht als notwendig angesehen. Damit
      bleibt die Begründung für die Wahl von 104 internen Ar-
      beitstakten pro Übertragungstakt TÜi (i=1,2,…) die
      gleiche wie in der Begründung der Schaltung I (s. [3], Punkt 5.2.3.1).

  5.2 Kurzzeitschlüssel S

      Entsprechend der Wahl von 104 internen Arbeitstakten pro
      Übertragungstakt wurde die Länge der 0,1-Folge für den
      Kurzzeitschlüssel S auf 104 Elemente bestimmt. Die Ver-
      wendung nur einer Folge der Länge 104 als Kurzzeitschlüs-
      sel wurde nicht als ausreichend eingeschätzt unter Beach-
      tung des gegenwärtigen Standes de Analysearbeiten. Es
      wird eingeschätzt, daß die Verwendung von zwei Folgen
      S1, S2 mit je 104 Elementen als Kurzzeitschlüssel
      S = (S1, S2) mit dem Schlüsselvorrat 2198
      ausreicht.

  5.3 Zustandsspeicher U

     Die Größe des Zustandsspeichers U und seine Struktur haben
     Einfluß auf die Kompliziertheit der durch den Chiffrator
     realisierten kryptologischen Abbildung Bs mit
     Bs(fi,fi+1, …, fi+51) = wi
     (i=1,2,…;(fi, fi+1, …, fi+51) ∈ {0,1}52).
     Der Zustandsspeicher U in der kryptologischen Schaltung I
     hat 17 Speicherelemente. Durch Vergrößerung des Speichers
     U wird bei entsprechender Gestaltung der Überführungsfunk-
     tion ϕ die Abbildung Bs kryptologisch komplizierter.
     Bei einer gewissen Einschränkung des technischen Aufwands
     zur Realisierung der logischen Funktion X (s. Pkt. 5.4)
     war es möglich, den Zustandsspeicher auf 27 Speicherele-
     mente zu vergrößern und 9 Rückführungen t1,t2, …, t9 zu
     realisieren (s. Abb. 3.4).
Bild 5
     Abb. 3.4 Zustandsspeicher U

  5.4 Die Realisierung der Überführungsfunktion ϕ

     Ausgehend von der Struktur des Zustandsspeichers lag es
     nahe, alle 27 Ausgänge von U an den Kommutator P zu führen
     und permutiert in der logischen Funktion X zu verarbeiten.
     Der Kommutator Q realisiert eine Permutation vom Grade 9.
     Zur Realisierung von 9 unterschiedlichen Rückführungen
     wurde in Anlehnung an die kryptologische Schaltung für
     die logische Funktion X die in Abbildung 3.5 dargestellte
     Struktur gewählt.
Bild6
     Abb. 3.5

     Z: {0,1}6 → {0,1} ist eine logische
     Funktion. In der Funktion der kryptologischen Schaltung I
     wirken 6 logische Funktionen Z:{0,1}5 - {0,1}.
     Die Beschränkung auf 4 logische Funktionen Z bedeutet
     keine Verschlechterung, da die Anzahl der effektiv ver-
     schiedenen Eingänge in X und die Anzahl der aus X abge-
     leiteten Rückführungen wesentlich größer ist als in der
     Schaltung I.
     Durch die Festlegung von Z wird die kryptologische Qua-
     lität des Chiffrators beeinflußt. Es wurde davon ausge-
     gangen, daß eine Funktion Z kryptologisch geeignet ist,
     wenn sie folgende Forderungen erfüllt:

     (1) |{x = (x1,x2, …, x6) ∈ {0,1}6 | z(x) = 0}| = 25

     (2) |{x = (x1,x2, …, x6) ∈ {0,1}6 | z(x) = 0,s61 xi = r}|≈(r6)*1/2 (r = 0,1, …, 6)

     (3) |{x = (x1,x2, …, x6) ∈ {0,1}6 | Z(x1, x2, …, xi, …, x6) = Z(x1, …, xi ⊕ 1, …, x6)} ≈ 25  (i = 1, 2,…, 6)

     (4) Z ist nicht symmetrisch
     (d. h., Z(x1,x2, …,x6) ≠ Z(xP1,xP2, …,xp6)
     für eine beliebige Permutation P vom Grade 6, die ungleich
     der identischen Abbildung ist.)
     Das gewählte Z erfüllt diese Bedingungen.
     Durch die Funktion X werden bei statistisch guten Eigen-
     schaften der Eingangsfolgen statistisch gute Ausgangs-
     folgen hergestellt.

  5.5. Verarbeitung von FUi, S1 und S2

     Zur Erhöhung der Kompliziertheit der durch den Chiffrator
     realisierten Abbildungen Bs erscheint es günstig, FUi,
     S1 und S2 in unterschiedlicher Weise im Chiffrator zu ver-
     arbeiten. Die in der Abbildung 3.6 dargestellte Form der
     Verarbeitung wurde für die erste Variante der kryptolo-
     gischen Schaltung II (zur Konsultation im April in Moskau
     vorgestellt, s. [5]) gewählt.
Bild 7
     Abb. 3.6

     Die Elemente von FUi wirken unmittelbar über alle 9 Rück-
     führungen t1,…,t9 auf den Speicher U. Der Einfluß von
     FUi auf die Zustandsänderung des Chiffrators ist so be-
     trachtet am stärksten on den drei Eingangskomponenten
     FUi, S1, S2. Es wird angenommen, daß durch diese Verarbei-
     tung von FUi die Zusammenhänge zwischen FUi und wi bzw.
     zwischen F und W komplizierter werden als in der Schaltung I.
     In ersten Untersuchungen zur Analyse der kryptologischen
     Schaltung wurde festgestellt, daß die in Abb. 3.6 darge-
     stellte Variante der Verarbeitung der Zeitschlüsselkom-
     ponente S2 eine gewisse Einschränkung der Wirksamkeit von
     S2 bedeutet. Für genau 226 der 227 möglichen Zustände U
     des Chiffrators ist die Zustandsänderung U → U ϕ(u0,s,r)
     unabhängig von s. Deshalb wurde festgelegt, S2 zusätzlich
     noch zu w5 mod 2 zu addieren. Die Zustandsänderung
     U → U ϕ(uo,s,r) ist dann für jedes Element U ∈{0,1}27 von
     s abhängig. S2 wirkt immer entweder auf die Rückfüh-
     rung r1,r2,r3,r5 oder r5,r6,r7,r8.
     Im Laufe der technischen Entwicklung ergab sich noch die
     Möglichkeit, S1 über den Kommutator Q (Erweiterung: Permu-
     tation 10ten Grades) auf den Zustandsspeicher U einwirken
     zu lassen. Diese Möglichkeit wurde genutzt.

  5.6. Einstellung des Anfangszustandes U(0)

     Durch die Rückstellung des Chiffrators in den Anfangszu-
     stand U(0) jeweils nur zu Beginn der Erzeugung eines als
     Additionsreihe genutzten Abschnittes (wi)ij46 von W werden
     alle Zusammenhänge zwischen (FUi)ij46 noch komplizierter
     gestaltet.
     Im Chiffrator werden unter dieser Voraussetzung 47 krypto-
     logische Abbildungen

     Bsn (n = 0, 1,…, 46) mit
     Bsn (fj, fj+1, …,fj+n+51) = wj+n
     ((fj, fj+1, …,fj+n+51) ∈ {0,1}n+52)

     realisiert.

  5.7 Abgriff der Elemente wi von W

     Ursprünglich war vorgesehen, die Elemente wi von W nach
     Ablauf der 104 internen Arbeitstakte pro Übertragungstakt
     aus einem der Speicherelemente u1,u2,…,u27 von U zu
     entnehmen. Das wurde kryptologisch als ausreichend einge-
     schätzt.
     Im Laufe der technischen Entwicklung der kryptologischen
     Schaltung ergab sich die Möglichkeit, den Speicher U noch
     um ein Speicherelement u28 zu erweitern und in der in
     Abbildung 3.1 angegebenen Weise (Erweiterung der Relation
     P: 28 Eingänge, 29 Ausgänge) einzusetzen.

§4 Kryptologische Sicherheit im System OPERATION

   Die über das System OPERATION übermittelten Nachrichten werden
   vor Kompromittierung gesichert durch den Kurzzeitschlüssel S
   (Tagesschlüssel) unter der Voraussetzung, daß die Schlüs-
   selherstellung qualitätsgerecht erfolgt und dem Gegner das
   Chiffriersystem in allen Einzelheiten bekannt ist.

§5 Änderungsmöglichkeiten der kryptologischen Schaltung des
   Chiffrators                                             

   1. Allgemeine Aussagen

      (1) Änderungen der Schaltung einer Baugruppe sind i.a.
          dann möglich, wenn sie nur eine Änderung der Ver-
          drahtung zwischen den Leiterplatten der Baugruppen
          erfordern.
      (2) Änderungen einzelner Leiterplatten sind unter Schwie-
          rigkeiten und i.a. nur dann möglich, wenn keine Aus-
          wirkungen auf andere Leiterplatten auftreten und die
          Anzahl der Leiterplatten in der Funktionseinheit
          gleichbleibt.

   2. Änderung der Struktur des Zustandsspeichers U

      Der Zustandsspeicher U ist auf 4 Leiterplatten realisiert.
      Auf jeder Leiterplatte sind 7 Speicherelemente in Gruppen
      zu 3,2 und 2x1 Element und 5 Adder. Als Grundbausteine
      für U stehen 4 Speicher der Länge 3, 4 Speicher der
      Länge 2, 8 Speicher der Länge 1 und 10 Adder zur Verfügung.
      Diese Grundbausteine können nach Wahl zusammengeschaltet
      werden (Verdrahtungsänderung).

   3. Änderung der Funktion X

      Die Funktion Z wird auf einer Leiterplatte realisiert.
      Diese Leiterplatte wird für das K5-Muster von Hand her-
      gestellt. Die Funktion Z kann verändert werden unter der
      Voraussetzung, daß die neue Funktion Z auf einer Leiter-
      platte realisierbar ist.
      Die Zusammenschaltung der 10 Adder die auf den Platinen
      zur Realisierung von U noch übrig sind, zur Bildung der
      r1,r2, …, r9 kann variiert werden (Verdrahtungsänderung).

   4. Änderung der Festlegung des Anfangszustandes U(0)

      Unter der Bedingung, daß der Kommutator Q nicht mehr
      auf einer Leiterplatte sondern in der Verdrahtung des
      Chiffrators realisiert wird und die freiwerdende Lei-
      terplatte zusätzlich zur Steuerung der Anfangszustands-
      einschaltung genutzt wird, kann der Anfangszustand U(0)
      für den Chiffrator jeweils durch den Kurzzeitschlüssel
      (S1, S2) bestimmt werden.


                    KAPITEL IV

     Untersuchung der Struktur der Chiffrierabbildung

Einführung

Im vorliegenden Kapitel, das man unabhängig von den vorigen
lesen kann, werden die gewonnen Resultate der Untersuchung
der Struktur der Chiffrierabbildung des Chiffrators des Systems
OPERATION darlegt.
Die kryptologische Schaltung wird nicht in der allgemeinsten
Form untersucht, die im vorigen Kapitel beschrieben ist; die
genaue Definition des Gegenstandes der Untersuchungen werden
an den entsprechenden Stellen gegeben.
Wir geben im weiteren allgemeine und grundlegende Bezeichnun-
gen an, die im gesamten Kapitel verwendet werden. Mengen werden
entweder mit {…} oder mit großen deutschen Buchstaben
bezeichnet: F, M usw.

|{…}|   - Zahl der Elemente der Menge {…}
{0,1}ɳ    - Menge aller Tupel von Nullen und Einsen der
            Länge n (|{0,1}ɳ)| = 2ɳ).

M = {0,1}27: wenn U= (Uα)a27 = (u1, u2, …, u27), dann
sei 2U = (u3ɳ-2)n9, 1U = (u3ɳ-1)n9, 0U = (u)n9
P=(1227), R=(129)- Permutation;
P1P2P27R1R2R9
{(P,R)} - Menge aller möglichen Permutationspaare (P,R);
P0=(123456789101112131415161718192021222324252627)
227182162723314113252412174119261510198520621

R0=(123456789).
856294731
Z -logische Funktion (Boolsche Funktion):

Z = Z (e1,e2,…,e6) = Z(1,2,…,6) =

L+1+5+6+14+23+25+45+56+134+136+145+236+246+
  356+1234+1235+1256+2346+12345+13456

(Addition mod 2; diese Art der Addition wird hier und im
weiteren nicht speziell erwähnt, weil sie immer eindeutig
aus dem Kontext bestimmt wird);
                                               ___
logische Funktionen Tɳ = Tɳ (e2,e2,…,e28), ɳ = 1,9:

TR1 = 0
TR2 = Z(e1,e2,…,e6)
TR3 = TR2 + e7
TR4 = TR3 + Z(e8,e9,…,e13)
TR5 = TR4 + e14
TR6 = TR5 + Z(e15,e16,…,e20)
TR7 = TR6 + e21
TR8 = TR7 + Z(e22,e23,…,e27)
TR9 = TR8 + e28.

§1 Die Abbildung ϕ

1. Definition der Abbildung ϕ

   Ausgangspunkt der kryptologischen Untersuchungen des Chif-
   frators des Systems OPERATION sind die Eigenschaften der
   Umformung des xx-Registerinhalts. Deshalb beschäftigen wir
   uns zuerst mit dieser Frage und damit zusammenhängenden
   Problemen.

   Seien U = (u1,u2,…,u27) ∈ M;
         Y = (y1,y2,…,y27) ∈ M;
u0 ∈{0,1}, s ∈{0,1}, r ∈{0,1} - Parameter;

∆ɳ,ɳ = 1,9 - Konstante: ∆ɳ = nr19

Die Abbildung ϕ = ϕ(u0,s,r) der Menge M in sich, die
U ∈ M auf ϕU = Y ∈ M abbildet, bestimmt sich aus den
Formeln
y3n-1 = u3n-3 + r+ s∆ɳ + Tɳ(S,uP1,uP2,…,uP27) |
y3n-1 = u3n-2                                 > (1.1)
y3n  = u3n-1, n = 1,9                        |

Wir bezeichnen mit {ϕnU} die Menge aller Elemente von M,
die man aus U nach genau n Schritten erhält (n-fache Anwen-
dung von ϕ), n sei eine natürliche Zahl, die Parameter
können alle möglichen Werte annehmen.

2. Bedingungen für die Eineindeutigkeit von ϕ

2.1. Das grundlegende Gleichungssystem

     Unter kryptologischen Gesichtspunkten spielt die Menge PR
     aller der Permutationspaaren (P,R) ∈ {(P,R)} eine ent-
     scheidende Rolle, für die die Abbildung ϕ bei beliebigen
     Parameterwerten (u0,s,r) eineindeutig ist, d.h. eine Abbil-
     dung der Menge M auf sich ist: ϕM = M.
     Wenden wir uns der Bestimmung von (P,R) ∈ PR zu.

     Bemerkung: Die Klasse PR und die Methode ihrer Bestimmung
                  sind dieselben, wenn man annimmt
                  ∆ɳ = 0 für alle ɳ = 1,9

     Die Forderung (P,R) ∈ PR ist gleichbedeutend damit, daß für
     alle Y ∈ M und (u0,s,r) ∈{0,1}3 das System (1.1) eine
     eindeutige Lösung U = (u1,u2,…u27) ∈ M hat.
     Offensichtlich sind wegen
     u3ɳ-2 = y3ɳ-1, u3ɳ-1 =y (n=1,9)
     Unbekannt nur die 9 Werte u, ɳ = 1,9.
     Wir bezeichnen
  (2.1)
     u27 = x9
     u3Rɳ-3 = xɳ-1, ɳ = 1,9
     y3Rɳ-2 + y3R(ɳ-1) = hɳ, ɳ=2,9
     y3R1-2 + r = h1

     Dann kann man durch paarweise Addition der ersten 9
     Gleichungen des Systems (1.1) zu folgender Formel
     gelangen:
  (2.2)
     (1) 0 = x0 + h1
     (2) 0 = x1 + x0 + Z(s,uP1,…,uP5) + h2
     (3) 0 = x2 + x1 + uP6 + h3
     (4) 0 = x3 + x2 + Z(uP7,…,uP12) + h4
     (5) 0 = x4 + x3 + uP13 + h5
     (6) 0 = x5 + x4 + Z(uP14,…,uP19) + s + h6
     (7) 0 = x6 + x5 + uP20 + h7
     (8) 0 = x7 + x6 + Z(uP21,…,uP26) + h8
     (9) 0 = x8 + x7 + uP27 + h9
    (10) 0 = U0 + xR1-1

     Dieses System soll eine eindeutige Lösung für alle Parameter-
     werte habe, wenn man x0,x1,…x9 als Unbekannte annimmt,
     und h1,h2,…,h9,u0,s,u1,u2,u4,u5,u7,…u26 als
     Parameter, die unabhängig voneinander jeden beliebigen Wert
     0 oder 1 annehmen können.
     Wir bezeichnen das System (2.2) als grundlegendes Gleichungs-
     system, da es eine entscheidende Rolle bei der Klärung der
     Eigenschaften der Abbildung ϕ spielt.

2.2  Notwendige Bedingungen

     Wir finden einige notwendige Bedingungen dafür, daß
     (P,R) ∈ PR erfüllt ist.
     (N1) R1 ≠ 1
     Für R1 = 1 gilt gleichzeitig x0 = h1 und x0 = u0, dies ist
     aber nicht zulässig.
     (N2) P27 ≠ 3R9-3

     Beweis: Wenn P27 = 3R9-3, so gilt infolge (2.1) UP27 = x8.
             Da in diesem Fall x8 in keiner anderen Gleichung
             vorkommt, muß es aus der Gleichung uP27 = x8 be-
             stimmt werden. Das heißt, uP27 muß einer der Parame-
             ter u1,u2,u4,u5,u7,…,u26 sein. Aber dies ist
             unmöglich, da nach Voraussetzung P27 ≡ 0 (mod 3) gilt.

     (N3) Bei R2 = 1 muß gelten P6 ≠ 3R3-3
     Beweis: R2 = 1 ~>(10) x1 = u0      |
                                       > ~>(3) u0 + h3 = 0
             P6 = 3R3-3 ~>(2.1) x2 = up6 | s1 = h3

     (N4) Bei R3 = 1 muß gelten P6 ≠ 3R2-3
     (N5) Bei R4 = 1 muß gelten P13 ≠ 3R5-3
     (N6) Bei R5 = 1 muß gelten P13 ≠ 3R4-3
     (N7) Bei R6 = 1 muß gelten P20 ≠ 3R7-3
     (N8) Bei R7 = 1 muß gelten P20 ≠ 3R6-3
     (N9) Bei R9 = 1 muß gelten P27 ≠ 3R8-3
     (N4) bis (N9) werden analog (N3) bewiesen.

2.3 Hinreichende Bedingungen

    Am Beispiel zweigen wir, wie man Untermengen der Menge PR
    erhalten kann, wenn man von dem grundlegenden Gleichungs-
    system (2.2) ausgeht.
    Die Methode besteht in der sukzessiven Bestimmung der
    Unbekannten x0,x1,…,x9.
    Jede Gleichung dient der Bestimmung genau einer Unbekannten.
    Dabei wird stufenweise ein System hinreichender Bedingungen
    dafür erarbeitet, daß (P,R) ∈ PR ist.

    Schritt 1 : (1) → x0 = h1
    Schritt 2 : Sei R4 = 1, dann: (10) → x3 = u0
    Schritt 3 : Sei τ12,…,τ5 irgend eine Permutation
                der Zahlen 1,2,…,5, symbolisch:{τ1,…,τ5} = {1,…,5};
                Pτ2,Pτ34,Pτ5 ≠ 0 (mod 3); Pτ1 = 3R1-3.
                Dann ist uPτ1 = x0 = h1, folglich enthält
                Z(s,uP1,…,up5) keine Unbekannte,
                folglich: (2) → x1 = h1 + h2 + Z.
    Schritt 4 : Sei {τ7,…,τ12} = {7,…,12};
                Pτ7 = 3R2-3; Pτ8,…,Pτ12 ≠ 0 (mod 3).
                Dann folgt analog uPτ7 = x1 und
                (4) → x2 = u0 + h4 + Z.
    Schritt 5 : Sei P6 = 3R5-3. Dann ist up6 = x4, und
                (3) → x4 = x1 + xx2 + h3.
    Schritt 6 : Sei {τ14,…,τ19} = {14,…19};
                Pτ14 = 3R3-3; Pτ15,…,Pτ19 ≠ 0 (mod 3).
                Dann ist U14 = x2 und
                (6) → x5 = x4 + Z + S + h6.
    Schritt 7 : Sei P13 = 3R7-3. Dann ist UP13 = x6, und
                (5) → x6 = x3 + x4 + h5.
    Schritt 8 : Sei P27 = 3R8-3. Dann ist UP27 = x7, und
                (9) → x8 = h9.
    Schritt 9 : Sei P20 = 27. Dann ist uP20 = x9, und
                (7) → x9 = x5 + x6 + h7.
    Schritt 10: Sei {τ21,…,τ26} = {21,…,26};
                Pτ21 = 3R6-3; Pτ22 = 3R9-3; Pτ23,…,Pτ26 ≠ 0 (mod 3).
                Dann ist uPτ21 = x5, uPτ22 = x8 und
                (8) → x7 = x6 + Z + h8.
    Alle Gleichungen sind also verwertet und die Unbekannten sind
    gefunden. Widersprüche sind nicht aufgetreten.

    Zusammenfassend kann man folgende hinreichende Bedingungen
    dafür, daß (P,R) ∈ PR erfüllt ist, formulieren.
    (D 1) Es gelten gleichzeitig die Gleichungen

    R4 = 1, P20 = 27, P6 = 3R5-3, P13 = 3R7-3,
    P27 = 3R8-3, Pτ1 = 3R1-3, Pτ7 = 3R2-3,
    Pτ21 = 3R6-3, Pτ22 = 3R9-3, Pτ14 = 3R3-3

    wobei
    τ1 ∈{1,…,5}, τ7 ∈{7,…,12}, τ14 ∈{14,…,19},
    τ21 ∈{21,…,26}, τ22 ∈{21,…,26}, τ21 ≠ τ22

    Völlig analog lassen sich folgende hinreichende Bedingungen
    herleiten:
    (D 2) Es gelten gleichzeitig die Gleichungen

    R3 = 1, P6 = 27, Pτ7 = 3R1-3, Pτ1 = 3R2-3,
    Pτ21 = 3R4-3, Pτ15 = 3R5-3, P20 = 3R6-3,
    Pτ22 = 3R7-3, Pτ16 = 3R8-3, Pτ17 = 3R9-3

    wobei
    τ7 ∈{7,…,12}, τ21, τ22 ∈{21,…,26}
    τ14, τ15, τ16, τ17,  ∈{14,…,19}

    und alle τ seinen paarweise verschieden.
    (D 3) Es gelten gleichzeitig die Gleichungen

    R5 = 1, P6 = 27, Pτ7 = 3R1-3, Pτ8 = 3R6-3,
    Pτ9 = 3R9-3, Pτ14 = 3R4-3, Pτ21 = 3R2-3,
    Pτ22 = 3R3-3, Pτ23 = 3R7-3, P27 = 3R8-3

    wobei
    τ7, τ8, τ9 ∈{7,…,12},
    τ14 ∈ {14,…,19},
    τ21, τ22, τ23 ∈ {21,…,26}

    und alle τ seien paarweise verschieden.

    (D 4) Es gelten gleichzeitig die Gleichungen

    R6 = 1, P6 = 27, Pτ7 = 3R5-3, Pτ8 = 3R9-3,
    Pτ14 = 3R1-3, Pτ15 = 3R2-3, Pτ21 = 3R3-3,
    Pτ22 = 3R4-3, Pτ23 = 3R7-3, P27 = 3R8-3

    wobei
    τ7, τ8 ∈ {7,…,12},
    τ14, τ15 ∈ {14,…,19},
    τ21, τ22, τ23 ∈ {21,…,26}

    und alle τ seien paarweise verschieden.

    (D 5) Es gelten gleichzeitig die Gleichungen

    R7 = 1, Pτr = 3R8-3, Pτ7 = 3R9-3, Pτ8 = 3R2-3,
    Pτ9 = 3R3-3, P13 = 3R4-3, Pτ14 = 3R5-3,
    P20 = 27, Pτ21 = 3R1-3, Pτ22 = 3R6-3

    wobei
    τ1 ∈ {1,…,5},
    τ7, τ8, τ9 ∈ {7,…,12}, τ14 ∈ {14,…,19}
    τ21, τ22 ∈{21,…,26}

    und alle τ seien paarweise verschieden.

    (D 6) Es gelten gleichzeitig die Gleichungen

    R8 = 1, Pτ1 = 3R7-3, Pτ7 = 3R2-3, P27 = 27,
    Pτ8 = 3R3-3, P13 = 3R4-3, Pτ14 = 3R1-3,
    Pτ15 = 3R5-3, P20 = 3R9-3, Pτ21 = 3R6-3

    wobei
    τ1 ∈ {1,…,5},
    τ14, τ15 ∈ {14,…,19},
    τ21 ∈{21,…,26}

    und alle τ seien paarweise verschieden.

    (D 7) Es gelten gleichzeitig die Gleichungen

    R9 = 1, P13 = 3R4-3, P27 = 27,
    Pτ1 = 3R1-3, Pτ2 = 3R2-3,
    Pτ8 = 3R3-3, Pτ9 = 3R8-3, Pτ14 = 3R5-3,
    Pτ21 = 3R6-3

    wobei
    τ1, τ2 ∈ {1,…,5},
    τ7, τ8, τ9 ∈ {7,…,12},
    τ14 ∈{14,…,19}, τ21 ∈{21,…,26}

    und alle τ seien paarweise verschieden.

    (D 8)

    R9 = 1, P6 = 27, P27 = 3R1-3, P20 = 3R3-3,
    Pτ7 = 3R4-3, P13 = 3R5-3, Pτ14 = 3R2-3
    Pτ15 = 3R6-3, Pτ1 = 3R7-3, Pτ21 = 3R8-3,

    wobei
    τ1 ∈ {1,…,5}, , τ7 ∈ {7,…,12}
    τ14, τ15 ∈{14,…,19}, τ21 ∈{21,…,26}, τ14 ≠  τ15.

2.4 Die Anzahl der Elemente in PR

    Aus den erhaltenen Ergebnissen kann man für |PR| die Ab-
    schätzung
  (2.3)
              1026 < |PR| < 1034

    herleiten.

    Beweis:
    (1) Offensichtlich gilt |{PR}| = 27! * 9!.
        Der Bedingung R1 = 1 genügen 27! * 8! Paare, und
        der Bedingung P27 = 3R9 - 3 genügen 26! * 9! Paare.

        Deshalb gilt

        |PR| ≤ 27! * 9! - 27! * 8! - 26! * 9! + 26! * 8! =
              26! * 8! * 26 * 8 ≈ 3*1033.

    (2) Wir betrachten (D1).
        Wegen
        {R5,R7,R8,R1,R2,R6,R9,R3} = {2,3,4,5,6,7,8,9}
        muß
        {P6,P13,P27,Pτ1,Pτ7,Pτ21,Pτ22,Pτ14} = {3,6,9,12,15,18,21,24}
        sein.

        Das ergibt den Faktor

        8! + 5 * 6 * 6 * k62 * 2! = 8! * 5400.

        Es sind 18 Elemente von P beliebig.
        Deshalb gilt

    (D1)
        genügen 18! * 8! * 5400 Paare (P,R).

        Analog läßt sich errechnen daß

    (D2)
        18! * 8! * 6 + (6 2) * k62 *2! * 4! Paare entsprechen,
    (D3)
        genügen 18! * 8! * 6 * k63 * k63 * 3! * 3! Paare,
    (D4)
        genügen 18! * 8! * 6 * k62 * k62 * (6 3) * 2! * 2! * 3! Paare,
    (D5)
        genügen 18! * 8! * 5 * 6 * k62k63 * 2! * 3! Paare,
    (D6)
        genügen 18! * 8! * 5 * 6 * k62k62 * 2! * 2! Paare,
    (D7)
        genügen 18! * 8! * 6 * 6 * k52k63 * 2! * 3! Paare,
    (D8)
        genügen 18! * 8! * 6 * 6 * k62 * 2! Paare.
    Summiert man alle diese Zahlen auf, so erhält man

    |PR| ≥ 18! * 8! * 52 * 63 *91 ≈ 1,3 * 1026.

3. Fixpunkte

3.1 Als Fixpunkte der Abbildung ϕ wird ein solches Element
    U ∈ M bezeichnet, für welches
              ϕU = U

    für irgendeinen Parameterwert (u0,s,r) gilt.
    Für Fixpunkte U hat das System (1.1) das Aussehen

  (3.1)
       U3ɳ-2 = U3ɳ-3 + r + s∆ɳ Tɳ(s,Up)
       U3ɳ-1 = U3ɳ-2
       U  = U3ɳ-1, n = 1,9.

    Daraus ergeben sich notwendige Bedingungen für Fixpunkte:

    (N1) U3ɳ-2 = U3ɳ-1 = U, ɳ = 1,9
    (N2) U3R1-2 + U3R1-3 + r = 0 (wegen ∆R1 = TR1 = 0)
    Um für konkrete (P,R) und (u0,s,r) Fixpunkte zu finden, muß
    das System (3.1) bezüglich der Unbekannten u1,u2,…,u27
    gelöst werden, was keine prinzipiellen Schwierigkeiten
    bereitet.
    Für (P0,R0) werden alle Fixpunkte errechnet:

    u0 s r   u3  u6  u9  u12  u15  u18  u21  u24  u27
     0 0 0   0   0   1   0   0   0    1   1   0
     0 0 1   0   1   1   1   0   0    0   1   1
     0 1 0           --------------
     0 1 1           --------------
     1 0 0   0   0   0   0   1   0    1   1   0
     1 0 1   0   0   1   0   1   0    0   1   0
     1 1 0   0   0   1   1   1   1    0   0   0
    ?1 1 0   1   1   1   0   1   0    0   0   0?
     1 1 1           --------------

    Folgerung: Für gegebenes (R,R) und u0,s,r) können entweder
    kein, oder ein oder mehrere Fixpunkte existieren.

3.2 Einen Fixpunkt der Abbildung ϕ2 nennt man ein solches
    U ∈ M, für das gilt:
                          U ∈ {ϕ2U}.

    Offenbar ist ein Fixpunkt der Abbildung ϕ auch ein Fixpunkt
    der Abbildung ϕ2.
    Betrachten wir den analytischen Ausdruck für ϕ2U.
    Seien
    ϕ(u01, s1,r1) U = Y, ϕ(u02,s2,r2) Y = V.
    Dann erhalten wir aus dem System (1.1) für ɳ = 1,9:

    y3ɳ-2 = u3ɳ-1 + r1 + s1ɳ +Tɳ(s1,up),
    y3ɳ-1 = u3ɳ-2, y = u3ɳ-1,
    v3ɳ-2 = y3ɳ-3 + r2 + s2ɳ + Tɳ(s2,yp),
    v3ɳ-1 = y3ɳ-2, v = y3ɳ-1,
    u0 = u01, y0 = u02.

    Daraus folgt für ɳ = 1,9:
  (1.6)
    v3ɳ-2|ɳ>1 = u3ɳ-4 + r2 +s2ɳ +Tɳ(s2,yp)
    v1 = u02 + r2 + s21 + T1(s2,yp)
    v3ɳ-1 = u3ɳ-3 + r1 + s1ɳ + Tɳ(s1,up)
    v u3ɳ-2.

    Das Auffinden der Fixpunkte der Abbildung ϕ2, das ist die
    Lösung des Systems (1.6) für V = U bezüglich der Unbekannten
    u1, u2, … , u27.
    Aus (1.6) ergeben sich notwendige Bedingungen für die Existenz
    von Fixpunkten:

    (N1) u = u3ɳ-2, ɳ = 1,9,
    (N2) u3R1-1 + u3R1-3 + r1 = 0 (wegen ∆R1 = TR1 = 0),
    (N3) u3R1-2 + u3R1-4 + r2 = 0 wenn R1 ≠ 1 (wegen ∆R1 = TR1 = 0).

4. Zustandsklassen

4.1 Definition einer Zustandsklasse

    Wir betrachten (P,R) als fest. Ir setzen (P,R) ∈ PR vor-
    aus, obwohl nicht überall in diesem Punkt diese Einschrän-
    kung notwendig ist. Die Menge M läßt sich dann völlig in
    disjunkte Teilmenge zerlegen, wobei in einer Teilmenge die-
    jenigen Elemente aus M enthalten sind, die bei ein- oder
    mehrfacher Anwendung der Abbildung ϕ und ϕ-1 ineinander
    übergehen. Dabei können die Abbildung bei wiederholter An-
    wendung verschiedene Parameterwerte annehmen.
    Die Teilmenge bezeichnen wir als Zustandsklassen des Chiffra-
    tors. Von der Rechtmäßigkeit der Definition kann man sich über-
    zeugen, indem man zum Beispiel die 8 Abbildung ϕ, die ver-
    schiedenen Parameterwerten entsprechend, als Permutationen der
    Menge M betrachtet.
    Wenden wir uns der Frage nach der Struktur der Zustandsklasse
    und der Anzahl der Elemente in der Klasse zu.
    Aufgrund der Voraussetzung (P,R) ∈ PR erweitern wir die Be-
    zeichnungen {ϕnU} auf natürliche Art auf alle ganzzahligen n.

4.2. Die Mengen {ϕnU}

4.2.1 Aus der Definition der Abbildung ϕ ergibt sich die folgende
      Darstellung für

      Y = ϕ(u0,s,r) U ∈ {ϕU}:
  (4.1)
      2Y = (u0+r+s∆1+T1(s,Up), u3+r+s∆2+T2(s,Up), …
          …, u24+r+s∆9+T9(s,Up))
      1Y = 2U, 0Y = 1U.

      Folgerungen: 1Y und 0Y hängen nicht von Parametern ab.
  (4.2)  Alle Komponenten von 2Y hängen von r ab;
         eine Komponente -y1- hängt von u0 ab;
         vier Komponenten hängen von s ab:

             y3ɳ-2 für ɳ = R2,R3,R4,R5, falls Z(s,uP1,…,up5)
             von s abhängt,

             y3ɳ-2 für ɳ = R6,R7,R8,R9, falls Z(s,uP1,…,up5)
             unabhängig von s ist.

  (4.3) |{ϕU}| = |{2U}| < 8, |{1Y}| = |{0Y}| = 1.
         Das heißt, bei verschiedenen Werten des Parame-
         ters geht der Vektor U in verschiedene ϕU über.

  (4.4) Für die 8 Vektoren 2Y nimmt jede Komponente zur
        Hälfte die Werte 0 bzw. 1 an.

        Seien Y = ϕ(u0,s,r) U ∈ {ϕU}, Y'=ϕ(u0+1,s,r)U
              Y" = ϕ(u0),s+1,r)U, Y"' =ϕ(u0,s,r+1)U.

        Dann gelten folgende Gleichungen:
  (4.5) 1U = 0Y' = 0Y" = 0Y"';
        2U = 1Y = 1Y' = 1Y" = 1Y"';
        ys1 = y1 + 1, ɳ = 2,9: y'3ɳ-2 = y3n-2;
        y"3R1-2 = y3R1-2,

                       y3ɳ-2 + 1 + c  ɳ = R2,R3,R4,R5
            y"3ɳ-2 = {
                       y3ɳ-2 + c      ɳ = R6,R7,R8,R9

           c = 0, wenn Z(s,uP1,…,up5) von s abhängt,
           c = 1, wenn Z(s,uP1,…,up5) nicht von s abhängt;
           ɳ = 1,9: y"'3ɳ-2 = y3ɳ-2 + 1.

4.2.2 Betrachteten wir {ϕ2U}

      Seien Y = ϕ(u01,s1,r1) U, V = ϕ(u02,s2,r2) Y.
      Dann sind
  (4.6)
      2V = (u01 + r2 + s21 + T1(s2,Yp),
           y3 + r2 + s22 + T2(s2,Yp),…
           …, y24 + r2 + s29 + T9(s2,Yp))
      1V = 2Y = (u0+r1+s11+T1(s1,Up), …)
      0V = 1Y = 2U.

      Folgerungen:
  (4.7) Alle Komponenten 2V hängen von r2 ab;
        9 bis 17 Komponenten hängen von r1 ab: 1V und
        möglicherweise einige Komponenten von 2V außer
        v3R1-2;
        eine Komponente -v1- hängt von u02 ab;
        1 bis 9 Komponenten hängen von u01 ab: v2 und
        möglicherweise einige Komponenten von 2V außer
        v3R1-2;
        4 Komponenten hängen von s2 ab: v3ɳ-2 entweder
        für n=R2,R5 oder für ɳ = R6,R9;
        4 bis 12 Komponenten hängen von s1 ab: v3ɳ-1
        entweder für n = R2,R5 oder für n = R6,R9 und
        möglicherweise einige Komponenten von 2V außer
        v3R1-2.

  (4.8) |{ϕ2U}| = 64, 8 ≤ |{2V}| ≤ 64, |{1V}| = 8, |{0V}| = 1.

  (4.9) Wenn man alle 64 Vektoren V ∈ {ϕ2U} betrachtet,
        dann nimmt jede Komponente der 64 Vektoren 0V
        und der 64 Vektor 0V die Werte 0 und 1 zur
        Hälfte an.

4.2.3 Wenn wir bei der Betrachtung von {ϕ3U}
      die Bezeichnung
      W = ϕ(u03, s3, r3)V einführen, dann erhalten wir für
      W eine analoge Darstellung.
      Insbesondere:
  (4.10) 1W = 2V, 1V = 2Y.

      Daraus folgt
  (4.11) |{ϕ3U}| = 512, 8 ≤ |{2W}| ≤ 512, , 8 ≤ |{1W}| ≤ 64, |{0W}| = 8.

  (4.12) In den 512 Vektoren W ∈ {ϕ3U} nimmt jede
         Komponente die Werte 0 und 1 zur Hälfte an.
         Aus (4.11) folgt, daß jede Zustandsklasse
         mindestens 512 Elemente enthält.

4.2.4 Wir überlegen uns nun einige Eigenschaften der Elemente der
      Menge {ϕ-nU} für n = 1,2,3. Sei Y = ϕ-1(u0,s,r)U.
      Dann gilt infolge (4.1)
  (4.13)
      2Y = 1U, 1Y = 0U
      aber eine explizite Darstellung für die Elemente von 0Y ist
      nur dann möglich, wenn (P,R) fixiert ist. Die Elemente von
      0Y genügen dem grundlegenden Gleichungssystem, siehe Punkt 2.1.

      Folgerungen:
  (4.14) Nur die Komponenten des Vektors 0Y können
         von u0,s und r abhängen.

  (4.15) |{ϕ-1U}| = |{0Y}| = 8, |{1Y}| = |{2Y}| = 1.

      Beweis:
      Seien ϕ1 ≠ ϕ2, ϕm11U = U1, ϕm12 = U, U1 = U2
      Dann gilt ϕ1U1 = ϕ2U2 = ϕ2U1, was jedoch (4.3) widerspricht.
      Analog kann man beweisen:
  (4.16)
      |{ϕ-2U}| = 64
  (4.17)
      |{ϕ-3U}| = 512

4.2.5 Wir weisen jetzt einige Eigenschaften der Menge {ϕn),U}
      im allgemeinen Fall nach. Zur Vereinfachung der Schreibweise
      bezeichnen wir

                     |{ϕn)U}| = μn)U.

      Zuerst fixieren wir die offensichtlichen Ungleichungen
  (4.18)
       μ±nU ≤ 23n,
  (4.19)
       μ±nU ≤ 227

      die aus der Definition von {ϕn)U} und aus Gleichung
      |M| = 227 folgen.

      Theorem:
      Wenn für gegebenes natürliches n für alle U ∈ M
      μnU = 23n gilt, so gilt für alle U ∈ M
  (4.20)
       μ-nU = μnU = 23n.

      Beweis:
      Sei μ-nU1 < 23n. Dann existieren U2M:
         ϕm111ϕm112 … ϕm11nU1 = U2 = ϕm121ϕm122 … ϕM12nU1

      und es gilt nicht gleichzeitig ϕ1i = ϕ2i für alle i = 1,n.
      Aber dann gilt U1 = ϕ1n … ϕ12ϕ11 U2 = ϕ2n … ϕ22ϕ21U2
      was μnU2 = 23n widerspricht.

      Theorem:

      Für natürliches n gilt
  (4.21)
       μnU ≤ μn+1 U,
  (4.22)
       μ-n ≤ μ-n-1 U.

      Beweis:

      Wir bezeichnen die Elemente {ϕnU} mit V1,V2, …,Vm.
      Sei ϕ0 = ϕ(0,0,0). Dann gilt ϕ0Vi ≠ ϕ0Vh
      für alle i ≠ j, i = 1,m, j = 1,m. Deshalb gilt
         μnU = |{ϕ0V1, ϕ0V2, …, ϕ0Vm}|.
      Andererseits gilt
         {μ0V10V2,…,μ0Vm} ≤ {ϕn+1U},
      woraus die erste Behauptung des Theorems folgt. Die
      zweite wird analog bewiesen.

4.3 Mengen {ϕU1U2} und {ϕ-1ϕU}

    Zur Vereinfachung der Schreibweise bezeichnen wir
      {ϕU1U2} = {ϕU1} ^ {ϕU2 }; U1M, U2M.
    Die Menge {ϕ-1ϕU} definieren wir - entsprechend anderen
    Mengenbezeichnung  - als Vereinigung der Mengen {ϕ-1Yi}, i = 1,8
    wenn mit Yi die Elemente der Mengen {ϕU} bezeichnet werden.
    Wir überlegen uns die Eigenschaften dieser Mengen.
  (4.31)
      0 ≤ |{ϕU1U2}| ≤ 8
    Dies gilt offensichtlich aufgrund |{ϕU1U2}| ≤ |{ϕU1}| = 8.
    Folgende Aussagen sind gleichbedeutend:
  (4,32)
    |{ϕU1U2}| > 0, U1 ∈ {ϕ-1ϕU2}, U2 ∈{ϕ-1ϕU1}.

    Beweis:

            ϕ1U1 = ϕ2U2 ↔ U1 = ϕm11ϕ2U2 ↔ U2 = ϕm12ϕ1U1.
            |{ϕU1U2}| > 0 ist gleichbedeutend damit, daß
            V ∈ {ϕU1U2} existiert mit U1 ∈ {ϕ-1V}, U2 ∈ {ϕ-1V}

    Das ist offensichtlich. Sei dazu V = (vα)a271,

    V = ϕ(u01,s1,r1)U1 = ϕ(u02,s2,r2)U2.
    Wir suchen andere Elemente, die in der Menge {ϕU1U2}
    liegen. Wir betrachten V1 = ϕ(u02,s2,r2 + 1)U1 und
    V2 = ϕ(u01 + 1,s1,r1)U1.
    Es gilt
  (4.33)
    V1 ∈{ϕU1U2} und V1 = ϕ(u02, s2,r2+1)U2
    Es gilt
  (4.34)
    V2 ∈{ϕU1U2} und V2 = ϕ(u02+1,s2,r2)U2

    Das folgt aus (4.5).
    Ein analoges Resultat für den Parameter s zu erhalten, ist
    aufgrund der Eigenschaften der Funktion Z komplizierter.
    Man muß zwei Fälle unterscheiden:

    (A) Die beiden Funktionen Z(s,u1P1,…,u1P5) und
        Z(s,u2P1,…,u2p5) hängen beide von s ab
        oder sind beide unabhängig von s;

    (B) Eine der Funktionen hängt von s ab, die andere nicht.
        Wir bemerken, daß apriori unbekannt ist, ob man für
        gegebenes P beide Fälle unter der Bedingung |{ϕU1U2}| > 0
        realisieren kann.
        Wir betrachten V3 = ϕ(u01,s1+1,r1)U1.

        Theorem: V3 ∈ {ϕU1U2} gilt genau dann, wenn
                   (A) erfüllte ist. In diesem Fall gilt
  (4.35)
       V3 = ϕ(u02,s2+1,r2)U2.

        Beweis:
        Nach Definition von V haben wir für ɳ=1,9,
        ut10 = u01, us20 = u02:

        v3ɳ-2 = us13n2+r1+s1ɳ+Tɳ(s1,U1P) = us23n2+r2+s2ɳ+Tɳ(s2,U2P).

        Sei (A)erfüllt. Dann folgt hieraus und aus der Defini-
        tion von V3 für ɳ=1,9
  (4.36)
        vn332 = us13n2+r1+(s1+1)∆ɳ+Tɳ(s1+1,U1P) = us23n2+r2+(s2+1)∆ɳ+Tɳ(s2+1,U2P).

        Dies ist schon die zu beweisende Beziehung.
        Sei (B) erfüllt, dann gilt im Unterschied zu (A) für
        n ≠ R1
        Tɳ(s1U1P) + Tɳ(s2,U2p) + Tɳ(s1+1,U1P) + Tɳ(s2+1,U1P) = 1

        Anstelle von (4.36) erhalten wir für n ≠ R1
        vn332 = us13n2+r1+(s1+1)∆ɳ+Tɳ(s1+1,U1P) = 1 + us23n2+r2+(s2+1)∆ɳ+Tɳ(s2+1,U2P).

        Hieraus folgt V3 ≠ ϕ(u02 + a, s2,r2 + b)U2
        für alle (a,b) ∈ {0,1}2, wie unschwer zu erkennen ist,
        wenn man das Gegenteil annimmt.

        Außerdem gilt V3 ≠ ϕ(u02 + a, s2, r2 + b)U2 für alle
        (a,b) ∈ {0,1}2, da V3 ≠ V, V3 ≠ V1, V3 ≠ V2
        per Definition gilt, woraus weiter folgt
        V3 ≠ ϕ(u02+1, s2, r2 + 1)U2.
        Deshalb liegt V3 nicht in der Menge {ϕ U2}.

        Aufgrund der vorausgesetzten Resultate kann man
        |{ϕU1U2}| ausrechnen.

        Theorem:
        Wir nehmen U1M und U2M so an, daß |{ϕU1U2}| > 0
        gilt. Dann gilt im Fall (A)
  (4.37)
        |{ϕU1U2}| = 8, d.h. {sU2} = {ϕU2}.
  (4.38)
        Im Fall (B) gilt |{ϕU1U2}| = 4

        Beweis:
        Sei Vabc = ϕ(u0 + a, s+b, r+c)U1, (abc) ∈ {0,1}3.
        Wenn V000 Element {ϕ,U1U2}, dann liegen aufgrund von (4.33)
        und (4.34) in dieser Menge auch V100,U001 und V101.
        Aus dem vorigen Theorem folgt, daß V010,V110,U011
        und V111 im Fall (A) in der Menge {ϕU1U2} liegen und
        im Fall (B) nicht in dieser Menge liegen.
        Bis jetzt habe wir feste U1 und U2 betrachtet. Jetzt
        betrachten wir für gegebenes U1 alle U2, für die
           |{ϕU1U2} > 0 gilt.
        Das heißt, wir betrachten {ϕ-1sU}.

        Theorem:
  (4.39)
        8 ≤ |{ϕ-1sU}| ≤ 16

        Beweis:
        (I) Wir bezeichnen V = ϕ(u01,s1,r1)U,
                           W = ϕ-1(u02,s2,r2)V.
        Dann gilt nach Definition ϕ
        2U = 1V = 1U = 0V = 1W,
        v3ɳ-2=u3ɳ-3+r1+s1ɳTɳ(s1,Up)=
          = w3ɳ-3+r2+s2ɳ+Tɳ(s2,Wp), (ɳ = 1,9)

        u0 = u01, w0 = u02.

        Variabel sind nur die Elemente von 0W.
        Sie genügen den Gleichungen

        u3ɳ-3+w3ɳ-3+r1+r2+(s1+s2)∆ɳ+Tɳ(s1,Up)+Tɳ(s2,Wp)= 0.

        Wenn die Parameter (u01,s1,r1,u02,s2,r2) die Menge
        {0,1}6 durchlaufen, dann ist offensichtlich 0W
        ein und dasselbe für (r1,r2) = (r1+1,r2+1) und auch für
        (u01,u02) = (u01+1,u02+1).
        Das heißt, faktisch gibt es nur vier freie Parameter,
        deshalb gilt |{ϕ-1ϕU}| ≤ 24 = 16.
        (2) Sei V ∈{ϕ,U} fest. Dann gilt {ϕ-1V} ≤ {ϕ-1ϕU}.
        Deshalb ist 8 = |{ϕ-1V}| ≤ |{ϕ-1ϕU}.

5. Der Spezialfall (P0,R0)

5.1. Viele Probleme lassen sich wesentlich einfacher lösen, wenn
     wir (P,R) nicht als beliebig, sondern als fest annehmen.
     Außerdem weist in einigen Fällen der Lösungsweg eines Problems
     für festes (P,R) auf den Lösungsweg dieses Problems für be-
     liebiges (P,R) oder zumindest für eine gewisse Klasse von
     (P,R) hin.
     Indem wir berücksichtigen, daß (P,R) Langzeitschlüssel sind,
     ist die Untersuchung der kryptologischen Schaltung für
     (P0,R0), für die vorgesehenen ist, sie als Langzeitschlüssel
     im Muster des Chiffrators zu benutzen, völlig gerechtfertigt.

5.2. Für (P,R) = (P0,R0) nimmt das System (1.1) zur Definition
     der Abbildung ϕ(u0,s,r)U=Y folgende Gestalt an:

  (5.1)
     (a) y1=u0+s+r+u15+u21+u24+u27+Z0+Z1+Z2+Z3
     (b) y4=r+u3+u27+Z0+Z1
     (c) y7=s+r+u6+u15+u24+u27+Z0+Z1+Z2+Z3
     (d) y10=s+r+u9+u24+u27+Z0+Z1+Z2
     (e) y13=r+u12+Z0
     (f) y16=r+u15+u27+Z0
     (g) y19=s+r+u15+u18+u24+u27+Z0+Z1+Z2
     (h) y22=r+u21
     (i) y25=r+u27+Z0+Z1
     (j) y3ɳ-1=u3ɳ-2, y=u3ɳ-1 (ɳ=1,9).

     Zur Vereinfachung der Schreibweise werden hier folgende
     Bezeichnungen benutzt.

     Z0 = Z(s,u22,u7,u18,u2,u16)
     Z1 = Z(u23,u3,u14,u1,u13,u25)
     Z2 = Z(u12,u17,u4,u11,u9,u26)
     Z3 = Z(u10,u19,u8,u5,u20,u6)

     Aufgrund der hinreichenden Bedingung (D8) im Punkt 2.3
     gilt (P0,R0) ∈ PR, d.h., die Abbildung ϕ ist eineindeutig.
     Das grundlegende Gleichungssystem nimmt folgenden Gestalt an:
  (5.2)
     (a) 0 = u21+y22+r
     (b) 0 = u12+u21+Z0+y13+y22
     (c) 0 = u15+u12+u27+y16+y13
     (d) 0 = u3+u15+Z1+y4+y16
     (e) 0 = u3+y25+y4
     (f) 0 = u9+u24+Z2+s+y10+y25
     (g) 0 = u18+u9+u15+y19+y10
     (h) 0 = u6+u18+Z3+y7+y19
     (i) 0 = u0+u6+u21+y1+y7

     Hieraus erhalten wird das Gleichungssystem für die
     Abbildung ϕ-1(u0,s,r)Y = U.

     Zur Vereinfachung der Schreibweise setzen wir

     Z4 = Z(y24,y4,y25,y15,y2,y14,y26)
     Z5 = Z(y11,y20,y9,y6,y21,u0+r+y1+y7+y22)
     Z6 = Z(s,y23,y8,u0+r+y1+y19+y22+Z5,y3,y17)
     Z7 = Z(r+y13+Z6,y18,y5,y12,u0+r+y1+y10+y16+y22+y25+Z4+Z5,y27).

     Dann gilt
  (5.3)
     (a) u3 = y4+y25
     (b) u6 = u0+r+y1+y7+y22
     (c) u9 = u0+r+y1+y10+y16+y22+y25+Z4+Z5
     (d) u12 = r+y13+Z6
     (e) u15 = y16+y25+Z4
     (f) u18 = u0+r+y1+y19+y22+Z5
     (g) u21 = r+y22
     (h) u24 = u0+r+y1+y16+y22+Z4+Z5+Z7
     (i) u27 = r+y25+Z4+Z6
     (j) u3ɳ-1 = y3ɳ-1, u3ɳ-1 = y (ɳ = 1,9)

5.3 Ausgehend vom Gegenteil, zeigen wir

     |{ϕ4U}| = 212.

     Sei V ∈ {ϕ4U} und V kann aus U nach 4 Schritten
     auf zwei verschiedenen Wegen erhalten:
(u01,s1,r1)u(02,s2,r2)u(03,s3,r3)
/X1X2X3\
U/V\(u04,s4,r4)
(u'04,s'4,r'4)
\/
\Y1Y2Y3/
(u'01,ss1,rs1)u'(02,ss2,r'2)u'(03,s'3,r'3)
     X1 = ϕ(u01,s1,r1)U; Y1=ϕ(us01,ss1,rs1)U

     X2 = ϕ(u02,s2,r2)X1; Y2=ϕ(uS02,ss2,rs2)Y1

     X3 = ϕ(u03,s3,r3)X2; Y3=ϕ(us03,ss3,rs3)Y2

     V = ϕ(u04,s4,r4)X3 = ϕ(us04,ss4,rs4)Y3

     Xi ≠ Yi für zumindest ein i ∈ {1,2,3}.
     Aus dieser Voraussetzung folgt aufgrund (4.8) und (4.11)
     Xi ≠ Yi für alle i = 1,3;
  (5.5)
     aufgrund von (4.1), (4.6) und (4.19) gilt
  (5.6)
     2U = 1X1 = 0X2 = 1Y1 = 0Y2
     1U = 0X1 = 0Y1
     2X1 = 1X2 = 0X3
     2Y1 = 1Y2 = 0Y3
     2X2 = 1X3 = 0V = 2Y2 = 1Y3
     2X3 = 1V = 2Y3
  (5.7)
     aufgrund (5.5) 2X12Y1, 1X21Y2, 0X30Y3

     Im weiteren benutzen wir von diesen Beziehungen nur
  (5.8)
     0X3 = 2Y12Y1 = 0Y3

     sei (s1+ss1∆ɳ + Tɳ(s1,Up) + Tɳ(ss1,Up) = Hɳ.

     Nach Definition gilt für ɳ = 2,9
  (5.9)
     xn132+yn132 = r1 + rs1 + Hɳ = Xs33n + Xs33n
     und für ɳ = 1 gilt
  (5.10)
     xt11 + yt11 = u01+us01+r1+rs1+H1 = xs33 + ys33

     Für s1 = ss1 ist offensichtlich Hɳ = 0, ɳ = 1,9.

     Für s1 ≠ ss1 erhalten wir für ɳ = 1,9, ɳ ≠ R1:

        Hɳ = ∆ɳ + Z(0,uP1,…,up5) + Z(1,uP1,…,up5),
     und HR1 = 0. Das heißt,

              c   für  ɳ = R2,R3,R4,R5
         Hɳ {
              c+1 für  ɳ = R6,R7,R8,R9,

     wobei c ∈ {0,1} nur von U und P abhängt. Für R = R0
     gilt

              c   für  ɳ = 2,5,6,9
         Hɳ {
              c+1 für  ɳ = 1,3,4,7

     und H8 = 0.

     Aufgrund (5.8) und (5.9) gilt dann
     xs36 + ys36 = xs315 + ys315 = xs318 + ys318 = xs327 + ys327.

     xs39 + ys39 = xs312 + ys312 = xs321 + ys321

     Aus (5.3e) folgt
     xs315 = ys315, deshalb xs36 = ys36, xs318 = ys318, xs327 + ys327.

     Hieraus und aus (5.2.g) folgt xs39 = ys39, deshalb
     xs312 = ys312, xs321 = ys321

     Und jetzt erhalten wir aus (5.9) für s1 ≠ ss1
     den Widerspruch:

     für ɳ = 2 ist 0 = r1+rs1 + c,

     für ɳ = 3 ist 0 = r1+rs1 + c+1.

     für s1 = ss1 folgt aus (5.9) r1 = rs1. Aber wegen (5.3.a)
     gilt xs33 = ys33, deshalb folgt aus (5.10) u01 = us01.

     Dies widerspricht X1 ≠ Y1.

5.4. Fixpunkte bezüglich ϕ2

     Mit Hilfe einer EDVA wurden Fixpunkt bezüglich ϕ2 berech-
     net. Zu diesem Zweck wurde das System (1.6) in ein zur Pro
     grammierung günstigeres System umgeformt, unter besonderer
     Berücksichtigung der notwendigen Bedingung (N1).
     Die Methode zur Lösung der Aufgabe bestand im Durchprobieren
     von 212 Möglichkeiten für 12 freie Variablen. Es wurden 74
     Fixpunkte erhalten. Darunter, wie es auch sein muß, alle
     Fixpunkte der Abbildung ϕ, siehe Punkt 3.1.
     Die Aufstellung der Fixpunkte kann man auf den folgenden
     Seiten finden.

     Dort bedeutet

     PAR  - das Parametertupel (u01, u02, s1, s2, r1, r2),

     FREV - gewisse Freie Parameter, die man nicht berücksichtigen braucht,
     U03 U06 … U27 - die Darstellung des Fixpunktes U = (u1, u2,…,u27),

     ANZAHL FREV - die Anzahl der Fixpunkte für eine gegebenes PAR.

     Das erhaltene Resultat zeigt, daß die Verteilung der Fixpunkte
     ziemlich unregelmäßig ist, obwohl man auch einige Beziehungen
     bemerken kann.

Erläuterung zum Wert PAR:

PAR  0   0   0   0  0  0
    s11 s12 s21 s22 f1 f2

03.10.1973  PROJEKT:MODELLVERGLEICH   PROGRAMM:  S4057

  PAR       FREV   U03 U06 U09 U12 U15 U18 U21 U24 U27
000000     000110  000 000 111 000 000 000 111 111 000
      ANZAHL FREV:  1
000011     001011  000 111 111 111 000 000 000 111 111
           110010  111 010 010 000 000 010 000 111 101
           111011  111 101 101 000 000 101 000 111 010
      ANZAHL FREV:  3
000101     111010  111 111 000 111 000 111 000 101 000
      ANZAHL FREV:  1
000110     100110  101 010 111 101 000 010 111 101 000
           101100  101 111 000 000 000 010 101 000 101
      ANZAHL FREV:  2
000111     010010  010 000 010 000 000 010 000 111 101
      ANZAHL FREV:  1
001001     011001  010 111 000 000 000 101 010 000 010
           011100  010 101 111 010 000 101 111 010 000
      ANZAHL FREV:  2
001010     111000   111 111 000 111 000 111 000 010 000
      ANZAHL FREV:  1
001011     100011   101 000 101 000 000 101 000 111 010
      ANZAHL FREV:  1
001111     001001   000 111 010 101 000 101 010 010 111
           001111   000 111 101 010 000 010 101 101 111
      ANZAHL FREV:  2
010000     100100   101 010 111 101 010 101 101 010 000
           101010   101 111 010 000 010 101 010 101 101
      ANZAHL FREV:  2
010001     010110   010 000 101 000 010 101 101 111 101
      ANZAHL FREV:  1
010010     111010   111 111 000 111 010 000 010 111 000
      ANZAHL FREV:  1
010011     010000   010 000 010 010 010 000 010 010 101
           011110   010 101 111 010 010 010 101 101 000
           111001   111 101 101 000 010 010 010 010 010
      ANZAHL FREV:  3
011000     010111   010 010 000 111 010 111 101 101 111
      ANZAHL FREV:  1
011000     010101   010 010 000 111 010 111 101 010 111
           011101   010 111 010 000 010 010 101 010 010
           101001   101 101 010 101 010 010 000 000 111
      ANZAHL FREV:  3
011100     001001   000 111 010 101 010 010 000 000 111
           110000   111 010 111 010 010 000 000 000 101
      ANZAHL FREV:  2
011101     000001   000 010 101 111 010 101 010 000 010
           110111   111 000 000 010 010 101 101 111 111
      ANZAHL FREV:  2
011110     001011   000 111 111 111 010 111 010 111 111
      ANZAHL FREV:  1
100000     011010   010 101 111 010 101 010 010 101 000
           011101   010 111 101 000 101 010 101 010 010
      ANZAHL FREV:  2
100001     111110   111 111 000 111 101 000 101 111 000
      ANZAHL FREV:  1
100010     100011   101 000 010 000 101 010 010 111 010
      ANZAHL FREV:  1
100011     100000   101 010 111 101 101 101 010 010 000
           100111   101 000 101 101 101 000 101 101 010
           110110   111 010 010 000 101 101 101 101 101
      ANZAHL FREV:  3
100100     010001   010 010 101 010 101 101 000 000 111
           101010   101 111 101 000 101 101 010 101 101
           101011   101 101 000 111 101 111 010 101 111
      ANZAHL FREV:  3
101011     101001   101 101 000 111 101 111 010 010 111
      ANZAHL FREV:  1
101100     001001   000 111 101 010 101 101 000 000 111
           111001   111 101 111 101 101 000 000 000 010
      ANZAHL FREV:  2
101101     001111   000 111 111 111 101 111 101 111 111
      ANZAHL FREV:  1
101110     001100   000 101 010 111 101 010 101 000 101
           110011   111 000 000 101 101 010 010 111 111
      ANZAHL FREV:  2
110000     000110   000 000 000 000 111 000 111 111 000
      ANZAHL FREV:  1
110011     000010   000 000 111 000 111 000 000 111 000
           110000   111 010 000 111 111 101 010 010 101
           111111   111 101 000 111 111 010 101 101 010
      ANZAHL FREV:  3
110100     010111   010 010 111 000 111 111 111 111 111
           110100   111 010 111 111 111 101 101 010 101
      ANZAHL FREV:  2
11010      001011   000 111 000 000 111 111 000 101 111
           010011   010 010 000 000 111 111 000 101 111
           101010   101 111 101 111 111 101 000 101 101
           101011   101 101 000 000 111 111 000 101 111
           110011   111 000 000 000 111 111 000 101 111
      ANZAHL FREV:  5
110111     101000   101 111 000 101 111 000 010 010 101
           101101   101 101 111 000 111 111 111 000 111
      ANZAHL FREV:  2
111000     101111   101 101 111 000 111 111 111 111 111
           111010   111 101 111 111 111 010 010 101 010
      ANZAHL FREV:  2
111010     001001   000 111 000 000 111 111 000 010 111
           010001   010 010 000 000 111 111 000 010 111
           011001   010 111 010 111 111 010 000 010 010
           101001   101 101 000 000 111 111 000 010 111
           110001   111 000 000 000 111 111 000 010 111
      ANZAHL FREV:  5
111011     010101   010 010 111 000 111 111 111 000 111
           011111   010 111 000 010 111 000 101 101 010
      ANZAHL FREV:  2
111100     000000   000 000 111 111 111 111 000 000 000
           010110   010 000 010 101 111 000 111 111 101
           011110   010 101 000 010 111 101 111 111 000
           100110   101 010 000 101 111 010 111 111 000
           100111   101 000 101 010 111 000 111 111 010
           111000   111 111 111 000 111 000 000 000 000
      ANZAHL FREV:  6
*** SUMME FREV: 074

5.5 Die Anzahl der Elemente in einer Zustandsklasse

    Es wurde ein Programm für die EDVA aufgestellt, das eine
    Abschätzung der Anzahl der Zustande in einer Klasse geben
    soll.
    Die Folge

    (Ui)i=1,2,… = (ϕi(0,0,0)U0)i=1,2,…
    wird ausgehend von U0=(0,0,0,…,0) berechnet.
    Diese Folge ist reinperiodisch. Wenn in ihr das erste mal
    der Zustand Ui=(0,0,0,…,0) auftritt, dann ist ein Zyklus
    von ϕ(0,0,0), wenn man diese Ableitung als Permutation der
    Menge M betrachtet, durchlaufen.
    Die Klasse enthält in diesem Falle nicht weniger als i Elemente.
    Um irgend eine Kontrolle über die Richtigkeit der Rechnung zu
    haben, werden sämtliche Ui ausgegeben, welche einem
    von fünf im voraus gegebenen Fixpunkten sind oder die
  (5.11)
    Usi8 = Usi9 = … = Us27 = 0

    genügen.

    Bis zum 10. Oktober 1973 wurde nach 35 Stunden Rechenzeit
    i ≈ 27,7 * 106 erreicht, ohne den Zyklus zu beenden; es
    wurden 2 Fixpunkte und 26 Werte, die (5.11) genügen
    durchlaufen.

    Daraus folgt:

    Es existiert eine Zustandsklasse, die ≈ 27,7 * 106
    oder mehr Elemente enthält.

§2 Determiniertes Chiffratormodell

1. Definition von Abbildungen

   Bezeichnungen:

   nots = {0,1}208, notf = {0,1}52.

   Ein Element S ∈ nots hat folgende Gestalt

   S = ((st11,st12),(ss21,ss22), …,(ss1041,ss1042)).

   Wenn für S ∈ nots für k = 1,2 gilt

   s104

   dann sind diese S Elemente der Teilmenge s der Menge nots.
   Die Tupel (ssik)S104 werden rekurrent nach der Formel
   ss104 ssik (k = 1,2; i = 1,2,…) fortgesetzt.
   Das Tupel F =(fi)s52 wird rekurrent nach der
   Formel fi+52 = fi+3 + fi  (i = 1,2,…)
   fortgesetzt.
   Mit f bezeichnen wir die Menge aller F ∈ notf außer
   F = (0,0,0,….,0).
   Die Folge (ri)i=1,2,… wird durch die Formel
   rk+10ö = rk+52+104l = fП(k)+l  (k=1,52; l=0,1,2,…);
   definiert, wobei П(k) folgende Permutation ist
   pik
   Schließlich führen wir noch folgende Bezeichnungen ein:

   nota ={0,1}, notaL
   L - sei eine beliebige natürliche Zahl.

   Wir können die Abbildung Ψ der Menge Mxnots x notf innota
   und die Abbildung ΨL der Menge M x nots x notf in notaL
   auf folgende Art definieren:
   Ausgehend von einem U = U0M wird die Folge

   (Ui)i=1,2,…
   mit Hilfe der Abbildung ϕ (siehe §1) nach der Formel
   Ui = ϕ(si1,si12,ri)Ui-1

   gebildet, wobei (P,R) fest seien.

   Sei ϕ ein fester Index aus dem Bereich 1,27. Wir setzen
   us104ia = ai (i=1,2,…)
   (ai)i=1,2,… = A,
   (ai)li1 = AL.

   Dann gilt

   A = Ψ(U,S,F) , AL = ΨL(U,S,F).

   Wir bezeichnen mit A die Menge aller Elemente A ∈ nota, die wir
   erhalten, wenn (U,S,F) die Menge M x s x f durchläuft;

   aL erhalten wir entsprechend.

   ΨL : M x s x faL teilm notaL  (L = 1,2,…)

   Symbolisch:

   a = Ψ(s,f)  , aLL(s,f).
   Desweiteren werden wir auch manchmal die Abbildung Φ
   der Menge M in sich benutzen;

   Φ(S,F)U = U104 = ϕ(ss1041,ss1042,r104) … ϕ(st11,st12,r1)U.

   Manchmal ist es zweckmäßig, mit Ui(U0),S,F) die Abhängigkeit
   von Ui = ϕ(si1,si12,ri) … ϕ(st11,st12,r1)U0 von U0,S,F zu
   kennzeichnen.
   Im gesamten Paragraphen sei stets (P,R) ∈ P,R, obwohl diese
   Einschränkung nicht immer notwendig ist.

2. Kryptologische Interpretation und elementare
   Eigenschaften der Abbildungen               

2.1. Für L = 47 wird die Abbildung ΨL im Chiffrator des Systems
     OPERATION in der derzeitigen Gestalt realisiert, siehe
     Kapitel III. Dabei ist s die Schlüsselmenge;
     für die weitere Untersuchungen betrachten wir manchmal
     nots als Schlüsselmenge. Das Tupel F ist der Inhalt des
     Registers SRF.
     A47 ist die Additionsreihe. U0, α, P und R sind Lang-
     zeitschlüssel, die als feststehend angenommen werden.
     Im weiteren werden wir manchmal  ΨL für allgemeines L
     betrachten; in diesem Fall ist AL die Additionsreihe.

2.2. Infolge |s| = 2198 ≈ 1060 ist der Schlüsselvorrat
     gleich dieser Zahl.
     Wenn der Schlüssel zweimal innerhalb von 24 Stunden gewech-
     selt wird und gleichzeitig 20 Chiffriernetze arbeiten, dann
     hat die Wahrscheinlichkeit dafür, daß in einem Jahr in allen
     Netzen zusammengenommen kein Schlüssel zweimal verwendet
     wird, die Ordnung 1-10-52.
     Tatsächlich, wenn a = 2 * 20 * 365 ist, wird diese Wahr-
     scheinlichkeit nach folgender Formel berechnet:

     |s| * (|s|-1) * … * (|s|-a+1) ≈ 1 -   a2  ≈ 1-10-52
                   |s|a                   2(s)

2.3 Die Zahl der Additionsreihen, die man theoretische mit
    einem Schlüssel erzeugen kann, ist gleich

      |f| = 252-1 ≈ 1015.

    Aus der Beschreibung des Chiffrators, siehe Kapitel II,
    folgt, daß der Abstand zwischen aufeinanderfolgenden
    Additionsreihen 77 Zeichen der Folge(fi)i oder mehr
    beträgt. Deshalb kann man mit einem Schlüssel nicht mehr
    als 1/77 (252-1) ≈ 5 * 1013 Additionsreihen erzeugen. In
    24 Stunden werden bei maximaler Arbeitsgeschwindigkeit des
    Chiffrators von 1200 Baud

        1200 * 24 * 60 * 60 Zeichen (fi)i

    abgearbeitet, d.h. b = 1/77 1200 * 24  * 60 * 60 ≈ 1060
    Additionsreihen; diese Zahl verringert sich etwas, wenn
    wir die Notwendigkeit der Synchronisation berücksichtigen.
    Abstrahieren wir von der Realität und setzen die Elemente
    F ∈ f für die Erzeugung der Additionsreihe als zufällig
    gewählt voraus.
    Wir setzen weiter voraus, daß alle 247 möglichen Additions-
    reihen gleich häufig entstehen, d. h. 25 = 32 Mal, wenn F
    die ganze Menge notf durchläuft.
    Dann ist die Wahrscheinlichkeit dafür, daß alle in 24 Stun-
    den erhaltenen Additionsreihen paarweise verschieden sind,
    analog zum vorigen Punkt

       ≈ 1 - 32 * 62 ≈ 0,98.
            |f|  2
    Dieses Resultat weist daraufhin, daß es in der Praxis
    in einzelnen Fällen vorkommen kann, daß es im Geltungs-
    zeitraum ein- und desselben Schlüssels zwei Klartexte gibt,
    die, bei verschiedenen F, mit ein- und der selben Additions-
    reihe chiffriert werden.
    Erst recht kann es vorkommen, daß zwei Additionsreihen
    phasengleich sind.

2.4 Die Abbildung Φ, Ψ und ΨL sind offensichtlich eindeutig.
    Für feste S und F ist Φ(S,F) eineindeutig auf M genau dann,
    wenn (P,R) ∈ P,R.
    Kann dieselbe Folge (Ui)i=1,2, … durch verschiedene
     (U0,S,F) ∈ M x nots x notf  entstehen?
    Mögen (U,S,F) und (U',S',F') dieselbe Folge (Ui)i=1,2,…
    erzeugen. Wir haben

    U1 = ϕ(st11,st12,r1)U = ϕ(st11',st12',r1')U'.

    Für U = U' erhält man aufgrund der Eineindeutigkeit von ϕ
    st11 = st11', st12 = st12', r1 = r1'.
    Analog erhält man aus der Betrachtung U2, U3, …
    S = S' und F = F'.

    Für U ≠ U' muß (st11, st12,r1) ≠ (st11', st12', r1') sein.

    Aber aus der Betrachtung von U2, U3, … erhält man
    (si1, si12,ri) = (si1', si12', ri') für i = 2,3,…
    und somit: Für festes U0 besteht eine eineindeutige
    Zuordnung zwischen nots x notf und der Gesamtheit der
    Folgen (Ui)i=1,2, …
    Für U0 ≠ U0' können die Folgen (Ui)i=1,2,… bzw. (Ui')i=1,2,…
    genau dann übereinstimmen, wenn U0' ∈ {ϕ-1ϕU0}.
    Die Menge {ϕ-1ϕU} wird im §1, Punkt 4, untersucht.

2.5. Im §1, Punkt 4, wurden die Zustandsklassen der Abbildung ϕ
     definiert:

     muki, i ≠ j :kiki

     Analog kann man die Zustandsklassen von Φ definieren,
     wobei S ∈ nots und F ∈ notf zugelassen werden:

     muli, i ≠ j :lili

     Dann ist leicht zu sehen, daß lzx gilt, und jede Klasse
     Ki zerfällt in (eine oder mehrere) Klassen li1, li2, …
     Aufgrund dessen, daß Φ das Produkt mehrerer ϕ ist, folgt
     aus v ≡ u (mod l) v ≡ u (mod K), aber die Umkehrung gilt
     nicht unbedingt, da Φ nicht alle möglichen Produkte von ϕ
     einschließt.
     (Die Schreibweise v ≡ u (mod …) bedeutet, daß v ∈ M und
      u ∈ M zu einer Klasse von Φ bzw. ϕ gehören).

2.6 Wir zeigen, daß bei festen S ∈ nots und U0M eine
    eineindeutige Zuordnung zwischen notf und der Gesamtheit
    der Folgen (Ui)i=1,2,…, sowie zwischen notf und der
    Gesamtheit der Folgen (uia)i=1,2,… bei festen α ∈ 1,57
    besteht.
    Die erste Behauptung folgt aus den Ergebnissen des Punktes 2.4.
    Beweisen wir die zweite Behauptung.
    Seien F = (f1,f2,…,f52) ∈ notf,

          F1 = (ft11,fs21, …,fs521) ∈ notf, F≠F1
          k - der kleinste Index, bei dem sich F und F1
              voneinander unterscheiden (k ∈ 1,52),
          α = 3ɳ-2, ɳ ∈ 1,9.
    Offenbar ist dann Ui(F) = Ui(F1) für i < K,

    uk3n2(F) = uk13n + fK + sK∆ɳ + Tɳ(sK,uk1)

    uk3n2(F1) = uk13n + fk1 + sK∆ɳ + Tɳ(sK,uk1).

    Wegen fK ≠ fk1 ergibt sich uk3n2(F) ≠ uk3n2(F1).

    Der Fall α ≠ 3ɳ-2 erfordert keine besondere Betrachtung
    wegen 2Ui = 1Ui+1 = 0Ui+2.

3. Periodizitätseigenschaften

3.1 Periodizität von Folgen

    Eine endliche oder unendliche Folge

    g = (gi)i=1,2,…, gi ∈ A, wobei A irgendeine endliche
    Menge ist, heißt periodisch (genauer: reinperiodisch),
    wenn eine natürliche Zahl D existiert, so daß
    gi+D = gi für alle i=1,2,…
    Die Zahl D nennen wir Periode der Folge g. Wenn D Periode
    ist, so ist ein beliebiges Vielfaches der Zahl D ebenfalls
    Periode. Die kleinste Periode nennen wir Minimalperiode und
    bezeichnen sie mit d.
    Die Minimalperiode ist Teiler jeder beliebigen anderen
  (3.1)
    Periode:  d/D.
    (Wenn a und b natürliche Zahlen sind, so bedeuten a/b, daß
    a Teiler von b ist, und a teil b bedeutet das Gegenteil.)
    In der Tat,
    sei d teil D. Dann existiert eine natürliche Zahl A, 0 < A < d,
    mit der Eigenschaft d/D + A. Aber da D + A = nd, gilt
    gi = gi+nd = gi+D+A = gi+A für alle i,
    was der Definition der Minimalperiode d widerspricht.
    (Diese Definition der Minimalperiode ist allgemein bekannt.)
    Wenn g nur ab i0 > 1 reinperiodisch ist, so heißt der Teil
    (g1,g2,…,gi0-1) der Folge g Vorperiode der Länge
    i0-1, und die Folge selbst heißt periodisch mit Vorperiode.
    Zur Bezeichnung der Minimalperiode der Folge g verwenden wir
    im weiteren die Bezeichnung
            d = d <g>.
    Sei die Folge h = (hi)i=1,2,… aus g nach der Formel
    hi = gni gebildet, wobei n eine beliebige fest natürliche
    Zahl ist. Dann ist d <g> Periode von h:
    hi+d = gni+nd = gni = hi,
  (3.2)
    und nach (3.1) d<h> | <g>.
    Wenn g reinperiodisch ist, so ist auch h reinperiodisch.

3.2 Die Periode der Folge r

    Aus der Literatur ist bekannt, daß für f = (fi)i=1,2,…
    gilt d>f< = d0 = s52-1.
    Die Folge r = (ri)i=1,2,… hat die Periode e = 104d0.
    Das ist durch wiederholte Anwendung der Definition von
    r leicht zu sehen;

    k = 1,52; l = 0,1,2,…
    rk+104l+e = rk+52+104l+e = fΠ(k)+l+d0 = fΠ(k)+l = rk+104l = rk+52+104l

    Theorem:

  (3.3)           d <r> = 104 * (252-1)

    Beweis:

    Sei S < 104 d0 Periode von r.
    Dann kann man δ folgendermaßen darstellen
    δ = 104 a+b, 0 ≤ a < d0, 0 ≤ b < 104.
    Sei 52/δ. dann gilt b = 0 oder b = 52 und man kann für alle
    k = 1,52 und l = 0,1,2,… schreiben
    fΠ(k)+l = rk+104l = rk+104(l+a)+b fΠ(k)+l+a,
    was a < d0 widerspricht.
    Sei 0 < b < 52. Wir betrachten die Gleichung ri = ri+104a+b
    für i = 104j + 52 und für i = 104j + 104 (j=0,1,2,…).
    Dann erhalten wir aus der Definition von r
    fΠ(52)+j = fΠ(b)+j+a
    fΠ(52)+j = fΠ(b)+1+j+a
    das heißt
    fΠ(b)+a = fΠ(b)+a+1 = fΠ(b)+a+2 = …,
    was unmöglich ist.
    Für 52 < b < 104 erhält man ein analoges Resultat, wenn man
    i = 104j+1 und i = 104j+53 betrachtet.

3.3 Die Periode der Folge (Ui)i=0,1,2,…

    Seien (P,R) ∈ P,R, U0M, S ∈ nots, F ∈ notf fest.
    Es gilt
  (3.4)
    d < (si1,si12,ri)i=1,2,… > / 104 * (252-1)

    Tatsächlich, diese Zahl fällt zusammen mit d<r> = e
    und d < (ssik)i=1,2,… > / 104 für k = 1,2.
    Das heißt, wenn wir bezeichnen ϕi = ϕ(si1,i12,ri), so gilt
    d < (ϕi)i=1,2,… e und ϕi = ϕi+e für i=1,2,…
    Aufgrund der Endlichkeit der Menge M existieren natür-
    liche Zahlen j1 und j2 > j1 derart, daß
    Uj1e = Uj2e, j2 ≤ j1 + 227.
    Indem wir ϕ1 = ϕ1+j1e = ϕ1+j2e berücksichtigen, folgt
    Uj1e+1 = ϕ1+j1e, Uj1e = ϕ1+j2e, Uj2e = Uj2e+1 usw.
    Deshalb ist (Ui)i periodisch, wobei die M Periode ein
    Vielfaches der Zahl e und nicht größer als 227e ist.
    Angenommen, die Folge habe eine Vorperiode der Länge n
    und die Periode me:
    (Ui)i = U0, U1, …, Un-1, Un, Un+1,…, Un+me-1, Un, Un+1,…
    Unter dieser Voraussetzung muß gelten
    Un-1 ≠ Un+me-1
    Aber aus der Gleichung
    Un = ϕn+meUn+me = ϕnUn+me-1 = ϕnUn-1
    folgt aufgrund der Eineindeutigkeit von ϕ ein Widerspruch.
    Deshalb ist (Ui)i reinperiodisch.
    Wir bezeichnen p = d (Ui)i = 0,1,….
    Die Komponentenfolge  (uia)i=0,1,… mit α = 1,27 sind rein-
    periodisch mit der Periode p. Nach Definition ϕ gilt
    uj3r = uj3r + ri

    ujp3 = uj23r + ri+P

    Indem wir beide Gleichungen addieren, erhalten wir
    ri = ri+p i = 1,2,…
    Hieraus folgt aufgrund von (3.3) p > e, e | p.
    Die erhaltenen Resultate führen uns zu folgendem Theorem:

    Theorem:

    Die Folge (Ui)i=0,1,… ist reinperiodisch.
    Sei p ihre Minimalperiode. Dann gilt
  (3.5)
    p = K * 104 * (252-1),
    wobei K eine natürliche Zahl aus dem Abschnitt 1,227 ist.

    Bemerkung:

    Infolge (3.2) dar man hieraus nicht auf

      d < (U104i)i=0,1,… | d (U1)

    schließen.
    Wegen (3.5) muß man darauf schließen.

3.4 Die Periode der Folge (uia)i=0,1,…

    Da (Ui)i reinperiodisch ist, ist jede Komponentenfolge
    (uia)i reinperiodisch
    Jede Periode von (Ui)i ist offensichtlich für jedes
    α ∈ 1,27 Periode von (Ui)i.
    Indem man Pα = d < (Ui)i=0,1,… > bezeichnet, kann man auf-
    grund von(3.1) folgende Ungleichung aufstellen
  (3.6)
    Pα ≤P, α = 1,27
  (3.7)
    Da ui3n2 = ui13n = ui23n gilt
       P3ɳ-2 = P3ɳ-1 = P, ɳ = 1,9
    Die Folge (us104ia)i ist reinperiodisch;
    aufgrund von (3.2) und (3.6) gilt
  (3.8)
    α < (us104ia)i | P

4. Analytische Abhängigkeiten

   Mit der Formel (§1, 1.1) wird die Abbildung durch lo-
   gische Funktionen definiert.
   Analog kann man jedes Element uia als logische Funktion
   darstellen, deren Argumente die 287 Komponenten der Größen
   U0, S und F sind:

   uia = uia (U0), S, F) = hia(us0a,…,st11,…,st12,…,f1,…,f52).

   In der Gesamtheit dieser Funktionen für α = 1,27 und
   i = 1,2,… ist die vollständige Information über die kryp-
   tologische Schaltung enthalten. Das heißt, man kann in der
   Sprache dieser Funktionen alle zu untersuchenden Aufgaben
   formulieren und zu lösen versuchen. Bereits die Anzahl der
   Argumente  der Funktion hia weist darauf hin, daß man ihren
   expliziten Ausdruck für außerordentlich umfangreich halten
   muß, und es schwerlich gelingen wird, damit fertig zu werden.

   Das ist aus kryptologischer Sicht nicht schlecht, aber
   erschwert die analytische Untersuchung.
   Wegen der Determiniertheit und der vollständigen Definiert-
   heit der kryptologischen Schaltung kann man die Berechnung
   von hia vollständig formalisieren und somit einer EDVA
   übergeben.
   Dasselbe gilt für das Auffinden vieler Eigenschaften
   von hia, zum Beispiel das Finden der Anzahl der
   effektiven Argumente.

   Ein Argument einer logischen Funktion heißt effektiv, falls
   die Funktion effektiv von ihm abhängt. Zum Beispiel können
         fi+1, fi+2, … ,fi+52
   nach der Definition von uia nicht effektive Argumente der
   logischen Funktion hia mit i < 52, α ∈ 1,27 sein.
   Eine beliebige logische Funktion kann man als Summe (mod 2)
   von Produkten der Argumente darstellen:
   hia = samm(us0a)μ1…(St11)μ28…(f52)μ287,
   wobei
   μ = (μ1),μ2, … ,μ287, aμ ∈ {0,1}.
   Es ist möglich, eine Folge "angenäherter" kryptologischer
   Schaltungen zu erzeugen und zu untersuchen.
   Die angenäherte kryptologische Schaltung der Ordnung n = 1,2,…
   wird durch die logische Funktionen hiam, α = 1,27, i = 1,2,…
   beschrieben, die sich aus hia bilden lassen, indem man alle
   Summanden mit mehr als n Faktoren wegläßt.
   Es wurde die Erarbeitung eines Programms für eine EDVA zur
   Berechnung solcher Funktionen und ihrer Untersuchung begonnen.
   Dabei wird wesentlich ausgenutzt, daß hia0, α= 1,27 berech-
   net werden kann, ohne hj1a, α= 1,27 zu kennen, bekannt sei
   lediglich hj1an, α= 1,27.

§3 Äquivalente Schlüssel

1. Grundlegende Definitionen

   Die Frage nach der Existenz und Mächtigkeit von Klassen
   äquivalenter Schlüssel ist eine Grundfrage bei der Be-
   stimmung der Sicherheit des Chiffrators. Man muß berück-
   sichtigen, daß man in der Schlüsselelemente s die Beziehungen
   der Äquivalenz verschieden definieren kann;zwischen den
   verschiedenen Beziehungen existieren in der Regel Ver-
   bindungen.
   Die wichtigste Beziehung vom kryptologischen Gesichtspunkt
   ist die Äquivalenz im folgenden Sinne:

   Definition:

   Zwei Schlüssel S ∈ s und S' ∈ s heißen äquivalent bezüg-
   lich der Additionsreihe der Länge L, wenn, für festes
   U ∈ M, für alle F ∈ f gilt
  (1.1)
    ΨL(U,S,F) = ΨL(U,S',F).
   Obwohl es keine unmittelbaren Ergebnisse über äquivalente
   Schlüssel bezüglich der Additionsreihe gibt, kann man sagen,
   daß alle erhaltenen und unten dargelegten Resultate über
   L = 47 die Mächtigkeit der Klasse äquivalenter Schlüssel
   bezüglich der Additionsreihe kleiner oder sogar gleich Eins
   ist (d.h., äquivalente Schlüssel bezüglich der Additions-
   reihe existieren nicht).
   Im gesamten Paragraphen setzen wir (P,R) ∈ PR voraus,
   obwohl diese Einschränkung nicht mehr notwendig ist.
   Wir verwenden die Bezeichnung aus §2, Punkt 1.

2. Äquivalente Schlüssel bezüglich der Folge (Ui)i=1,2,…

   Diese Art der Äquivalenz läßt sich leicht Untersuchen. Sie
   wird dadurch interessant, daß im Fall der Äquivalenz die
   entsprechenden Schlüssel auch äquivalent bezüglich der
   Additionsreihe sind.
   Wir geben genaue Formulierungen.

   Definition:

   Zwei Schlüssel S ∈ nots und S' ∈ nots heißen äquivalent bezüg-
   lich der Folge (Ui)ni1 beziehungsweise (Ui)i=1,2,…,
   wenn für festes U0M, für alle F ∈ f gilt
 (2.1)
          Ui(U0,S,F) = Ui(U0,S',F)
   für alle i = 1,N, bzw. i= 1,2,…
   Im zweiten Fall sei N = + ∞ und wir schreiben (Ui)8i1.

   Theorem:

   Für N < 104 sind S und S' genau dann äquivalent, wenn sie
   in den ersten N Stellen übereinstimmen.
   Für N ≥ 104 existieren keine äquivalenten Schlüssel.

   Beweis:

   Seien S und S' äquivalent. Dann gilt
   Ui(U0,S,F) = ϕ(si1,si12,ri) Ui-1(U0,S,F) =
               Ui(U0,S',F) = ϕ(si1',si12',ri) Ui-1(U0,S,F)

   Aufgrund der Eigenschaft (§1, 4.3) folgt
   (si1, si12) = (si1', si12') für alle i = 1,N.

   Für N < 104 ist das gleichbedeutend mit dem Übereinstimmen
   von S und S' in den ersten N Stellen.
   Für N ≥ 104 erhalten wir S = S'.
   Aus dem Beweis geht hervor, daß das Theorem gültig bleibt,
   wenn in der Definition der Äquivalenz die Gleichung (2.1)
   nicht für alle, sondern nur für ein F ∈ f gilt.
   Eine bedeutend kompliziertere Situation tritt in dem Fall
   ein, wenn Teilfolgen, z. B. (U104i)s47i, der Folge (Ui)ni1
   betrachtet werden.
   Nur für den Fall (Uni)ni1 für n = 2 und n = 3 kann man
   analoge Theoreme zeigen, indem man (§1, 4.8) und (§1, 4.11)
   anwendet.

3. Äquivalente Schlüssel bezüglich UN

3.1. Definition

     Zwei Schlüssel S ∈ nots und S' ∈ nots heißen äquivalent be-
     züglich UN, N - natürliche Zahl, falls die Gleichung
  (3.1)
           UN(U0),S,F) = UN(U0),S',F)
     für alle F ∈ f und für alle U0M gilt.
     In diesem Falle werden wir die Bezeichnungen S ntild S' benutzen.
     Bei N < 104 sind offensichtlich alle Schlüssel, die sich von-
     einander nur in den Stellen N+1, N+2, … , 104 unterscheiden,
     äquivalent bezüglich UN.
     Wir definieren die Abbildung ρ = ρ(r) der Menge M auf
     M durch die Formel
  (3.2)
            (r ∈{0,1})
            ρ(r)U=(u1,u2,u3,u4+r,u5,u27).
     Dann kann man schreiben
  (3.3)
           ϕ(s1,s2,r)U = ρ(r)ϕ(s1,s2,0)U.
     Sei ntild S', S ≠ S'.
     Wir bezeichnen

       s' = ( (st11',st12'), …, (ss1041',ss1042') ),

       ϕi = ϕ(si1, si12, 0) ϕi' = ϕ(si1', si12', 0), ρi = ρ(ri)

       v = min {i:ϕi≠ϕi'}, μ = max{i:ϕi≠ϕi'}.

     Bei N ≥ 104 gilt offensichtlich v ≤ 104. Bei N < 104
     nehmen wir an, daß v und μ existieren (d.h., S und S'
     fallen an den N ersten Stellen nicht zusammen).
     S ntild S' kann man in der Form schreiben:
       ρN ϕNρN-1 … ϕ1U0 = ρN ϕ'N ρN-1 … ϕs1U0
     für alle F ∈ f und alle U0M,
     oder
  (3.4)
             ϕNρN-1 … ϕ1 = ϕ'NρN-1 … ϕs1
     für alle F ∈ f.
     Aus μ = v folgt auch unmittelbar ϕμ ≠ ϕ'μ,
     deshalb gilt:
     Falls S ntild S', dann unterscheiden sich S und S' mindestens
     an zwei Stellen.
     Weiter gilt:
     Falls S ntild S' so ist μ z v+3.
     Wir beweisen diese Behauptung für μ = v+2 (der Fall
     μ=v+1 ist analog): Aus (3.4) würde folgen
       ϕv+2 ρv+1 ϕv+1 ρv ϕv = ϕ'v+2 ρv+1 ϕ'v+1 ρv ϕ'v1
     daraus folgt für alle ρv, ρv+1, d.h.
      ϕv+2ϕv+1ϕv = ϕ'v+2ϕ'v+1ϕ'v,
     was nicht sein kann.
     Daraus folgt, daß S ntild S' nicht gelten kann, falls
     S und S' nicht identisch an den ersten N Stellen sind,
     für N = 1,2,3.
     Zur Betrachtung des allgemeinen Falles führen wir die
     Abbildungen

      ω = ω(μ,v;F) = ϕμ-1 ρμ-2 ϕμ-2 … ϕv
      ω' = ω'(μ,v;F) = ϕ'μ-1 ρμ-2 ϕ'μ-2 … ϕv.
     ein.
     Aus (3.4) folgt für alle F ∈ f
       ϕμρμ-1ω = ϕ'μρμ-1ω'.
     Dabei ist zu berücksichtigen, daß bei a ≥ 52 die Parame-
     ter ri+1, ri+2, … ,ri+a nicht als unabhängig voneinan-
     der angenommen werden dürfen. Deshalb setzen wir zusätzlich
       μ ≤ v+51 voraus.
     Für rμ-1 = 0 erhalten wir
       ω' = (ϕ'μ)-1ϕμω,
     und für rμ-1 = 1
       ϕμρ(1)ω = ϕ'μρ(1)(ϕ'μ)-1ϕμω.
     Deshalb gilt
        ϕμρ(1) = ϕ'μρ(1)(ϕ'μ)-1ϕμ
     oder
        ϕμρ(1)ϕμ-1 = ϕ'μρ(1)(ϕ'μ)-1

     Daraus folgt eine notwendige Bedingung für die Existenz
     äquivalenter Schlüssel bezüglich UN:
     Falls bei gegebenen (P,R) ∈ PR für ein natürliches N S ∈ nots und
     S' ∈ nots, S ≠ S', μ ≤ v+51 mit der Eigenschaft S ntild S'
     existieren (für N < 104 wird zusätzlich vorausgesetzt, daß
     S und S' an den ersten N Stellen nicht identisch sind) dann
     gibt es Paare
     (s1,s2) ∈ {0,1}2 und (ss1,ss2) ∈ {0,1}2, (s1,s2) ≠ (ss1,ss2)
     mit der Eigenschaft
  (3.5)
        ϕ(s1,s2,0) ρ(1) ϕ-1(s1,s2,0) =
        ϕ(ss1,ss2,0) ρ(1) ϕ-1(ss1,ss2,0).
     In anderer Formulierung erhält man eine hinreichende Bedin-
     gung der Nichtexistenz äquivalenter Schlüssel bezüglich UN:
     Falls bei gegebenen (P,R) ∈ PR für beliebige Paare
     (s1,s2) ∈ {0,1}2 und (ss1,ss2) ∈ {0,1}2 aus der Gültigkeit
     von (3.5) folgt (s1,s2) = (ss1,ss2) dann existieren für kein natürliches
     N < 104 S und S' mit der Eigenschaft S ntild S', die an den ersten
     N Stellen nicht identisch sind und μ ≤ v+51 genügen, aber
     auch für natürliches N ≥ 104 existieren keine S ∈ nots und S' ∈ nots.
     S ≠ S', die auch μ ≤ v+51 genügen, mit der Eigenschaft
     S ntild S'.
     Aus dem Gang der Darlegung folgt die Notwendigkeit der
     Gültigkeit von (3.1) für alle U0M.
     Es gelang nicht, irgendwelche ähnlichen Ergebnisse für den
     der Realität näheren Fall der Äquivalenz bezüglich UN zu
     erhalten, falls die Gleichung (3.1) nur für ein festes
     U0M erfüllt ist.
     Eine wesentliche Einschränkung stellt auch die Bedingung
        μ ≤ v+51 dar.
     Von ihr kann man sich nur lösen, wenn man die Äquivalenz
     in der Weise definiert, daß alle Folgen

       {r1,r2, …, rN} ∈ {0,1}N
     zugelassen sind.
     Wegen (3.4) folgt aus S ntild S' für alle k = 1,2,3,…
        S s104t S'.
     Wünschenswert wäre es, eine notwendige und hinreichende
     Bedingung für die Existenz äquivalenter Schlüssel bezüglich
     UN zu erreichen, aber der vorliegende Gedankengang
     ist nicht umkehrbar.

3.2. Wir betrachten die Gleichung (3.5) und ersetzen sie durch
     einfachere äquivalente Bedingungen.
     Wir bezeichnen:
     U = (ui)s27i, V = (vi)s27i, W = (wi)s27i, Y = (yi)s27i,
     ϕ-1(s1,s2,0)U=V, ρ(1)V = W, ϕ(s1, s2, 0)W = Y,
     Z1 = Z(s2,vP1, …, vP5) + Z(s2,wP1, …, wP5),
     Z2 = Z(vP7, …, vP12) + Z(wP7, …, wP12),
     Z3 = Z(vP14, …, vP19) + Z(wP14, …, wP19),
     Z4 = Z(vP21, …, vP26) + Z(wP21, …, wP26).

     Dann gilt nach Definition für ɳ=1,9

     u3ɳ-2 = v3ɳ-3 + ∆ɳ + Tɳ(s2,vP)
     u3ɳ-1 = v3ɳ-2, u) = v3ɳ-1, v0=s1;

     w3ɳ-2 = v3ɳ-2 + 1, w3ɳ-1 = v3ɳ-1, w = v;

     y3ɳ-2 = w3ɳ-3 + ∆ɳs2 + Tɳ(s2,wP)
     y3ɳ-1 = w3ɳ-2, y = w3ɳ-1, w0 = s1.

     Man muß Bedingungen finden, unter denen das Element Y ∈ M
     für mindestens ein U ∈ M 4 verschiedene Werte annimmt, wenn
     das Paar (s1,s2) 4 verschiedene Werte annimmt.
     Wir vergleichen die verschiedenen, oben angegebenen
     Bedingungen und erhalten

     y3ɳ-2 = u3ɳ-2 Tɳ(s2,vP) + Tɳ(s2,wP),
     y3ɳ-1 = u3ɳ-1 + 1, y = u,

     hieraus folgt, daß nur die 8 Werte y3ɳ-1, ɳ=1,9, ɳ ≠ R1
     von s1 und s2 abhängen können.

     Wir haben

     y3R-2 = u3R-2 + Z1
     y3R-2 = u3R-2 + Z1 + vP6 + wP6
     y3R-2 = u3R-2 + Z1 + vP6 + wP6 + Z2
     …
     y3R-2 = u3R-2 + Z1 + … Z4  + vP27 + wP27

     Die Summe vα + wα hängt nicht von s1 und s2 ab. Deshalb
     nimmt Y genau dann 4 verschiedene Werte an, wenn das
     Tupel Z = (Z1, Z2, Z3, Z4) 4 verschiedene Werte annimmt (weil
     das dazu äquivalent ist, daß das Tupel (Z1,Z1+Z2, Z1+Z2+Z3,
     Z1+Z2+Z3+Z4) 4 verschiedene Werte annimmt.)
     Folglich kann man dieses Resultat formulieren:
     Aus der Gleichung (3.5) folgt genau dann (s1,s2) = (ss1,ss2),
     wenn für mindestens ein U ∈ M Z vier verschiedene Werte
     annimmt, wenn (s1,s2) alle möglichen Werte durchläuft.
     Diese Frage wird nur gelöst, indem man konkrete (P,R)
     betrachtet.

4. Äquivalente Schlüssel bezüglich der Folge (uia)i=1,2,…

4.1. Definition

     Zwei Schlüssel S ∈ nots und S' ∈ nots heißen äquivalent bezüglich der
     Folge (uia)ni1, wobei α eine feste Zahl aus dem Bereich
     1,27 ist, Wenn für alle U ∈ M und für alle F ∈ f gilt:
  (4.1)
      uia(U,S,F) = uia(U,S',F)

     für alle i = 1,N.

     Wir lassen N = ∞ zu.

     uia(U,S,F) - das ist die Komponente mit der Nummer α
                      des Elements Ui = Ui(U,S,F) = uias27aM

     Theorem:

     Für N < 104 sind S und S' genau dann äquivalent bezüglich
     (ui1)ni1, wenn sie in den ersten N Stellen übereinstimmen.
     Für N ≥ existieren keine äquivalenten Schlüssel
     bezüglich (ui1)ni1.

     Beweis:

     (1) Seien S und S' äquivalent. Wir zeigen, daß dann S = S'
         gilt (zumindestens auf den ersten N Stellen für N < 104).
         Wir haben

         ut11 = st11 + r1 + st121 + T1(st12,uP) =
               st11' + r1 + st12'∆1 + T1(st12',uP).

         Sei Z(e1+e2, …,e6) = e1Z1(e2, … , e6) + Z2(e2, … , e6).

         Dann folgt aus den Darstellungen für ut11
         st11+st11'+(st12+st11')∆1 = (st12+st12')Z1(uP1, …, uP5).
         Für st12≠st12' folgt st11 = st11'.
         Für st12≠st12' nimmt die rechte Seite in Abhängigkeit von U
         die Werte 0 und 1 an. Aber das widerspricht dem, daß
         die linke Seite nicht von U abhängt.

     (2) Das Theorem sei für N-1 bewiesen; wir betrachten N.
         Seien S und S' äquivalent für N. Dann stimmen sie aufgrund
         der Induktionsvoraussetzung und der Definition (4.1)
         in den ersten N-1 Stellen überein.
         Deshalb ist
         UN-1(U,S,F) = UN-1(U,S',F) und un1 hat folgende Darstellung
         un1 = sn1 + rN + sn21 + T1(sn2, usn1p) =
            = sn1' + rN + sn2'∆1 + T1(sn2', usn1p).

         Die weiteren Überlegungen erfolgen analog zu (2).
         Eine Betrachtung des Beweises zeigt, daß das Theorem
         gültig bleibt, wenn (4.1) nur für ein F ∈ f gilt.
         Aber wesentlich ist die Einschränkung auf den Fall α = 1.

§4 Stochastische Modelle der Chiffrierabbildung

1. Markowsche Kette

   Wir definieren folgende Markowsche Kette:
   M sei die Menge der Zustände der Kette; der Anfangszustand
   sei ein beliebiges U ∈ M, wobei alle Anfangszustände
   gleichwahrscheinlich sind; der Übergang von einem zustand
   in einen anderen wird durch die Abbildung ϕ verwirklicht,
   d.h., durch die Formeln (§1, 1.1);
   (P,R) seinen fest (wir betrachteten (P,R) ∈ PR); (u0,s,r) sei
   ein zufälliger Vektor, der alle 8 Werte gleichwahrscheinlich
   annimmt.
   Dieses Modell unterscheidet sich von der kryptologischen Schal-
   tung dadurch, daß in ihr der Anfangszustand fest (Langzeit-
   schlüssel) und die Vektorfolge (usi0,si,ri)i determiniert ist,
   wobei man nur gewisse Anfangswerte als beliebig ansehen kann.
   Betrachten wir zu Beginn die Übergangsmatrix Π. Die Abbil-
   dung ϕ = ϕ(u0,s,r) realisiert eine Permutation der
   Menge M. Diese Permutation entspricht auf allbekannte
   Weise eine quadratische Matrix Π(u0,s,r) der Ordnung 227 aus
   Nullen und Einsen, welche in jeder Zeile und jeder Spalte
   genau eine Eins hat.
   Dann hat Π das Aussehen:

       Π = 1/8 ∑ Π(u0,s,r),

   die Summe wird über sämtliche Werte des Vektors

       (u0,s,r) ∈ {0,1}3

   genommen.
   In beliebiger Zeile und in beliebiger Spalte der Matrix Π
   befindet sich an genau 8 Stellen der Wert 1/8, und an allen
   übrigen Stellen steht Null. Das folgt aus (§1, 4.3) und
   (§1, 4.15). Daher ist die Matrix Π doppelt stochastisch.
   (Das heißt, die Summe aller Zeilen und aller Spalten sind
   gleich Eins.)
   Ein Zustand U ∈ M heißt wesentlich, wenn für alle V ∈ M
   gilt:
   falls man von U, nach mehrmaliger Anwendung der Abbildung ϕ,
   möglicherweise mit verschiedenen Parametern, zu V gelangen
   kann, so kann man auch von V durch wiederholte Anwendung der
   Abbildung ϕ zu U gelangen.
   Wegen der Eineindeutigkeit von ϕ sind alle Zustände
   wesentlich.
   Die Menge M kann man vollständig in Klassen wesentlicher
   Zustände zerlegen, wobei in jeder Klasse alle die Zustände
   vereint sind, die ineinander übergehen können. Diese Klassen
   stimmen mit den Zustandsklassen überein, die in §1 Punkt 4.1
   definiert sind.

   Satz:

   Falls eine Klasse wesentlicher Zustände einen Fixpunkt
   enthält, dann sind alle Zustände dieser Klasse asymptomatisch
   gleichverteilt.

   Beweis:

   Aus der Theorie der Markowschen Ketten ist bekannt, daß die
   Zustände aus einer Klasse wesentlicher Zustände asymptomatisch
   gleichverteilt sind, dann kann man bei hinreichend großem K
   aus einen Zustand in einen anderen in K und in K+1 Schritten
   gelangen, indem man über den Fixpunkt geht. Aber das ist
   gleichbedeutend mit der Aperiodizität der Klasse.

   Bemerkung:

   Die Voraussetzung über die Existenz eines Fixpunktes kann man
   durch eine beliebige andere hinreichende Bedingung der Aperio-
   dizität der Zustandsklassen ersetzen.
   Wir setzen voraus, daß alle Zustande eine Klasse bilden
   (welche mit der Menge M zusammenfällt) und daß es einen
   Fixpunkt gibt.
   Analog zu §2, Punkt 1 definieren wir die unendliche Folge
   A = Ψ(U,S,F). Im gegebenen Modell entspricht a der Additions-
   reihe, die in §2 definiert ist, wenn sie bis ins Unendliche
   fortgesetzt wird.
   Falls U die gesamte Klasse durchläuft, d.h., die gesamte
   Menge M, dann nimmt die Komponente uα, α ∈1,27, die
   Werte 0 und 1 zur Hälfte an. Deshalb kommen die Werte 0 und
   1, nach dem bewiesenen Satz, in A asymptomatisch gleichwahr-
   scheinlich vor.
   Mit anderen Worten, bei hinreichend großem i nimmt in
   A =(ai)i=1,2,… das Element ai die Werte 0 und 1 praktisch
   gleichhäufig an.
   Sei die Anzahl der Klassen größer als Eins. Dann erhält man
   ein ebenso günstiges Resultat, wenn die Klasse, die U = U0
   enthält, aperiodisch ist und wenn in ihr die Komponente
   uα 0 und 1 zur Hälfte annimmt.

2. Ein anderes Modell

2.1. Wir ändern das Modell, das im §2, Punkt 1 beschrieben ist,
     in der Weise ab, daß die Folge (ri)i=1,2,… eine zufällige
     gleichwahrscheinliche Folge ist, d.h., eine Folgeunabhän-
     giger Realisierungen einer Zufallsgröße, die die Werte 0
     und 1 mit gleicher Wahrscheinlichkeit annimmt. Alles übrige
     im Modell lassen wir unverändert.

     Satz:

     Im beschriebenen Modell mit festem U0M und S ∈ nots
     ist die Additionsreihe AL eine zufällige gleichwahrschein-
     liche Folge.

     Beweis:

     (1) Betrachten wir un132 für irgend ein ɳ ∈ 1,9 und i=1,2,…:

         un132 = u13n3+ri+siɳ+Tɳ(si,ui1p).

         Daraus wird unmittelbar klar, daß ui3n2 Werte unabhän-
         gig von Ui-1, Ui-2, … annimmt, da ri nicht auf diese
         Größen wirkt, und gleichwahrscheinlich ist, da ri
         gleichwahrscheinliche Werte annimmt.

     (2) Der Fall α ≠ 3ɳ-2 ist analog wegen

         ui3n2 = ui13n = ui23n.

     (3) Die Teilfolge (gn i)i=1,2…, n - natürlich, der
         zufälligen gleichwahrscheinlichen Folge (gi)i=1,2…
         ist ebenfalls zufällig und gleichwahrscheinlich.

     Bemerkung:

     Es wurde bewiesen: Für festes α ∈ 1,27 ist die Folge
     (uia)i=1,2,… zufällig und gleichwahrscheinlich (für α=3ɳ-1
     mit Ausnahme von uia, für α=3ɳ mit Ausnahme von us1a und us2a).

2.2 Dieses Modell unterscheidet sich von der kryptologischen
    Schaltung weniger, als die in Punkt 1 untersuchte Markowsche
    Kette, aber es wurde ein stärkeres Ergebnis erhalten. Der
    Unterschied zur kryptologischen Schaltung besteht nur darin,
    daß in ihr (ri)i=1,2,… eine determinierte Folge ist.

    In ai = us104ia mit α3ɳ-2 geht fi ein:

    us104ia = us104ia + r104i + ss104i2ɳ + Tɳ(ss104i2,us104i1)

    r104i = r52+52+104(i-1) = fi.
    Aber fi und r104i-52, und geht deshalb schon in us10452 ein
    und wirkt auf U104i-1.
    Falls dieser Einfluß nicht beachtet wird, was durch die
    Kompliziertheit der Ausdrücke Tɳ begründet werden kann,
    erhält man eine analoge Situation:

    Die statistischen Eigenschaften von (fi)i werden AL
    übertragen.
    Aus der Literatur ist bekannt, daß lineare rekurrente Folgen
    über {0,1} mit Maximalperiode viele gute statistische
    Eigenschaften besitzen.
    Zum Beispiel unterscheiden sich die Verteilung der Häufig-
    keiten von 0 und 1 und die Serienverteilung (Teilfolgen
    gleicher Elemente) faktisch nicht von zufälligen gleich-
    wahrscheinlichen Folgen.
    Daher kann man damit rechnen, daß die Additionsreihen gute
    statistische Eigenschaften besitzen.

3. Experimentelle Untersuchung der statistischen
   Eigenschaften der Additionsreihe             

   Es wird ein Programm für eine EDVA erarbeitet, in dem die
   in §2, Punkt 1 beschriebene kryptologische Schaltung
   realisiert und die Additionsreihen AL=(ai)li1
   erzeugt werden.
   Aus ihnen werden einige statistische Zahlencharakteris-
   tiken zum Zweck der Kontrolle der Zufälligkeit und Unabhän-
   gigkeit der Additionsreihen berechnet.
   Aus verschiedenen Gründen verzögert sich die Programm-
   testung und -abarbeitung.
   Die bisher erhaltenen Resultate geben keinerlei Hinweise
   darauf, daß die Additionsreihen die statistischen Eigen-
   schaften zufälliger gleichverteilter voneinander unab-
   hängiger Folgen nicht besitzen.


                    KAPITEL V

   Einschätzung der Sicherheit des Chiffrators

Einleitung

Im vorliegenden Kapitel werden einige grundlegende Methoden
der Bestimmung des schlüssel sowie einige Fragen der kryp-
tologischen Einschätzung von Fehlern in der Arbeit des
Systems und bei seiner Bedienung betrachtet.
Es werden die Bezeichnungen des vorigen Kapitels angewandt.
In den Fällen, in denen es notwendig ist, werden wir immer
(P,R) ∈ PR betrachten.

§1 Methoden der Bestimmung des Schlüssels

1. Wir betrachten folgendes Problem:

   Der Dekrypteur kennt die kryptologische Schaltung, die
   Langzeitschlüssel, das Schlüsselsystem, die Methode der
   Herstellung der Schlüssel, die Gebrauchsanweisung des
   Chiffrators und außerdem Additionsreihen (der Länge 47)
   in beliebiger Anzahl.
   Er muß den Schlüssel bestimmen. Es wird vorausgesetzt, daß
   der Dekrypteur eine EDVA höchster Leitungsfähigkeit zur
   Verfügung hat.
   Im weiteren betrachten wir einige wichtige Teilaufgaben
   dieser allgemeinen Problemstellung.

2. Wir betrachten die totale Probiermethode.
   Wir berechnen die mittlere Zahl E1 der Elementar-Operationen
   zur Bestimmung des Schlüssels, mit dem eine gewisse Gesamt-
   heit gegebener Additionsreihen erzeugt wurde, von denen be-
   kannt ist, daß sie ein- und demselben Schlüssel entsprechen.
   Eine Elementaroperation[4.] entspricht der Arbeit, die zur
   Realisierung eines Arbeitstaktes des Chiffrators (des
   Übergangs Ui → Ui+1) auf der EDVA aufgewandt werden muß.
   Wir nehmen an, daß die Arbeitsgeschwindigkeit der EDVA
   1011 Elementaroperationen pro Sekunde oder 3*1018
   Elementaroperationen pro Jahr beträgt.
   Dann gilt E1 = |s|*2*104.
   Der Faktor |s| berücksichtigt, daß im Durchschnitt nach dem
   (zufälligen) Probieren von |s| Schlüsseln der richtige
   gefunden wird.
   Der Faktor 2 weist darauf hin, daß man im Durchschnitt
   2 Zeichen der Additionsreihe erzeugen muß, um eine Entschei-
   dung über die Richtigkeit des probierten Schlüssels zu
   treffen.
   Und der Faktor 104 wird deswegen gefordert, weil zur Erzeu-
   gung eines Zeichens der Additionsreihe 104 Arbeitstakte des
   Chiffrators erforderlich sind.
   Das heißt:
            E1 = s199*104 ≈ 6*1061
   Folglich würde die EDVA durchschnittlich ca. 1043 Jahre
   arbeiten, um den Schlüssel zu finden.

3. Wir betrachten jetzt die Probiermethode unter Beachtung der
   Existenz von Klassen äquivalenter Schlüssel bezüglich der
   Additionsreihe - Definition siehe Kapitel IV, §3, Einleitung
   - gleicher Mächtigkeit K.
   Wir bezeichnen mit E2 die mittlere Zahl der Elementar-
   operationen, die zur Bestimmung des Schlüssels erforderlich sind.

   Analog zum vorigen Punkt erhalten wir

          E2 = |s|1/K * 2 * 104.

   Der Faktor 1/K berücksichtigt, daß man aus jeder Klasse
   äquivalenter Schlüssel nur einen Vertreter probieren muß.
   Wir nehmen z.B. an, K ≈ 2120 ≈ 1036.
   Dann gilt

         E2 ≈ 5 * 1025.

   Folglich würde die EDVA durchschnittlich ca. 107 Jahre arbeiten,
   um den Schlüssel zu finden. Diese Zahl wird nicht wesentlich
   gesenkt, wenn andere Varianten der Probiermethode benutzt
   werden.
   Wenn zum Beispiel dem Dekrypteur Additionsreihen zur Verfü-
   gung stehen, die M verschiedene Schlüsseln entsprechen
   (aber einem Langzeitschlüssel), so kann man

                   M ≤ 104

   annehmen, da in 24 Stunden entweder 1 oder 2 Schlüssel ver-
   wendet werden, und deshalb wird die Zahl M = 104 nicht früher
   als nach ca 14 Jahren erreicht.
   Vor allem die Größe K könnte die Sicherheit der Chiffrierab-
   bildung wesentlich senken, wenn sie sehr große Werte annehmen
   würde. Aber, worauf schon im Kapitel IV, §3, hingewiesen
   wurde, gibt es dafür keinerlei Anhaltspunkte. Dasselbe trifft
   auf den Fall der Existenz von Klassen äquivalenter Schlüssel
   verschiedener Mächtigkeit zu.

4. Dekryptierung, wenn (uia)i bekannt ist

   Wir abstrahieren von der Realität, indem wir nicht nur die
   Additionsreihe, sondern die gesamte Folge (uia)ni1
   für hinreichend großes N als bekannt voraussetzen.
   Von der Sicherheit der kryptologischen Schaltung unter
   dieser starken Voraussetzung, kann man auf die Sicherheit
   der kryptologischen Schaltung unter realen Bedingungen
   schließen. Wir betrachten einige Varianten dieser Aufgabe
   und damit verbundene Probleme.

4.1 Fast trivial ist der Fall, wenn die Folge (Ui)ni1 bekannt
    ist. In diesem Fall wird aufgrund der Gleichung

    Ui = ϕ(si1,si12)Ui-1 (i=1,N)

    und der Eineindeutigkeit von ϕ der Schlüssel S ∈ s
    unmittelbar und ohne Benutzung einer EDVA bestimmt.
    Eine völlig analoge Situation liegt vor, wenn die
    Folge (2Ui)ni1 bekannt ist; mit anderen Worten, wenn die
    9 Folgen (ui3n2)ni1, ɳ=1,9 bekannt sind.
    Infolge 2Ui = 1Ui+1 betrachten wir des weiteren
    nur die Folge (ui3n2)ni1.

4.2 Wir setzen die drei Folgen

    (ui1)ni1, (ui3n2')ni1, (ui3n2'')ni1

    als bekannt voraus.

    Seien ɳ'∈{R2,R3,R4,R5}, ɳ"∈{R6,R7,R8,R9},
    ɳ' ≠ 1, ɳ" ≠ 1.
    Dann werden S ∈s unmittelbar und ohne Benutzung einer
    EDVA bestimmt. Tatsächlich, wir betrachten die Gleichungen

    ui1 = si1+ri+si121+T1(si12,ui1p),

    ui3n2 = u13n3' + ri+si12ɳ'+Tɳ'(si12,ui1p),

    ui3n2'' = u13n3''+ri+si12ɳ''+Tɳ''(si12,ui1p)

    Zuerst wird si12 aus der zweiten oder dritten Gleichung
    bestimmt, was davon abhängt, ob Z(si12uj1p1, …, uj1p5)
    von si12 abhängt oder nicht. Und danach wird si1 aus der
    ersten Gleichung bestimmt. Dieses Resultat weist darauf
    hin, daß man aus der Kenntnis von nur zwei Folgen
    aufgrund der Eigenschaften der Funktion Z im allgemeinen
    nicht unmittelbar auf den Wert (si1,si2) schließen
    kann. Es weist auch darauf hin, daß es nicht gleichgültig
    ist, welche Folge gerade bekannt sind.

4.3 Wir gehen von einer anderen Seite an das Problem heran.
    Wir setzen für Festes S zwei Folgen (ui1)ni1 und (ui1')ni1
    die F ∈ f beziehungsweise F' ∈ f, F ≠ F', entsprechend,
    als bekannt voraus.
    Wir betrachten die Gleichungen

    ui1 = si1+ri + si12(Z1(ui1p) + ∆1)+tilde(ui1p),

    ui1' = si1+ri' + si12(Z1(ui1p)') + ∆1)+tilde(ui1p')

    dabei wird

    T1(ss1,ui1p) = si12Z1(ui1p) + tilde(ui1p)

    bezeichnet und für ui1p' entsprechend.
    Sofort ist klar, daß das Paar (si1, si12) eindeutig
    genau dann nicht bestimmt werden kann, wenn

    Z1(ui1p) = Z1(ui1p') = ∆1,

    das heißt, im Durchschnitt in einem der vier Fälle.
    In diesem Fall ist si1 eindeutig, aber si12 läßt beide
    Werte 0 und 1 zu, wieder aufgrund der Eigenschaft der
    Funktion Z.
    Im Durchschnitt werden drei Viertel aller Paare (si1,si12)
    eindeutig bestimmt und ein Paar läßt zwei Werte zu.
    Für N = 104 erhalten wir deshalb im Durchschnitt 21/4*104
    = 226 ≈ 6*107 Schlüssel.
    Diese Zahl wird nicht viel kleiner, wenn wir nur die
    S ∈snots berücksichtigen. Sie ist geringfügig im Vergleich
    zu |s|. Man kann annehmen, daß sie sich weiter wesentlich
    verkleinert, wenn drei oder mehr Folgen bekannt sind, die
    paarweise verschiedenen F ∈ f entsprechen.
    Somit: Wenn hinreichend viele Folgen (ui1)S104 bekannt
    sind, die ein- und demselben S ∈ s entsprechen, kann man
    S eindeutig bestimmen. Die Methode der Bestimmung von S folgen
    aus den oben gezeigten Überlegungen. Sie ist in der Praxis
    ohne EDVA durchführbar.
    Wenn einige Folgen (ui3n2)ni1 für ɳ≠1 bekannt sind, werden
    die Gleichungen komplizierter, aber das Endresultat bleibt
    das gleiche.

4.4 Wenn nur eine Folge (ui3n2)ni1 ɳ ∈ 1,9
    bekannt ist, ist es unmöglich, S unmittelbar zu bestimmen.
    Betrachten wir zuerst (ui1)S104 und finden die Teilmenge
    s* aller S ∈ nots, die für gegebenes F dieser Folge erzeugen.
    Die Größe ui1 wurde durch folgende Formel bestimmt
  (4.1)
    ui1 = si1.+ri+si121+T1(si12,ui1p)

    Wir bezeichnen mit ∑n = {δn} die Menge aller Tupel

    δn =((si1,si12),(ss21,ss22), …, (snn1,snn2)) ∈ {0,1}2n,
    die der Formel für i=1,n genügen.
    Es ist leicht zu sehen, daß |∑1|=2 ist.
    Für festes ρn ist der Vektor Un ebenfalls fest, aber dann
    erhält man aus der Gleichung (4.1) genau zwei Lösungen
    (snn1+1,snn2+1). Deshalb ist |∑n+2| = 2|∑n|,
    woraus folgt |∑n| = 2n für n ≤ 104.
    Das heißt |∑104| = |s*| = 2104 ≈ 1032.
    Wenn wir nur S ∈ s zulassen, so sinkt diese Zahl wenig.
    Aber diese Zahl weiter zu verringern, ist auf keine Weise
    möglich, wenn wir nicht neue Informationen hinzufügen.
    Man muß zum Fall N > 104 übergehen.
    Für N > 104 kann man die Gleichung

    si104 = ssik (k = 1,2; i = 1,2, …) ausnutzen.

    Für festes δ104s* ist der Vektor U104 auch fest, und
    dann ergeben sich aus der Gleichung (4.1) genau zwei
    Lösungen (ss1051,ss105). Entweder stimmt keine der beiden
    mit (si1si12) überein, oder eine. Im ersten Fall muß man δ1
    aus der Menge s* entfernen, im zweiten Fall muß man∑104
    in s* lassen. Wenn δ104 nicht der richtige Schlüssel
    ist, so kann man annehmen, daß im Durchschnitt beide Fälle
    gleich oft eintreten. Das würde bedeuten, daß in diesem
    Schritt s* im Durchschnitt auf die Hälfte verringert wird.
    Analog erhielten wir, indem wir bis N = 208 fortsetzten,
    im Durchschnitt

    |s*| = 1/2104 * (Σ104) = 1.

    Das heißt, im Durchschnitt kann man aus (ui1)8i1 S eindeutig
    bestimmen.
    Wir bemerken, daß man in der Praxis diesen Weg nicht
    realisieren kann, da man ≈1032 paarweise verschiedener
    Schlüssel S ∈ s* berechnen, speichern und abarbeiten muß.
    Die Situation wird noch komplizierter, wenn (ui3n2)ni1
    für ɳ≠ 1 betrachtet wird. in diesem Fall geht
    si1 nicht in die Bestimmung von ui3n2 ein.

5. Bemerkungen zur analytischen Dekryptiermethode

   Wir setzen die Additionsreihen

   A47 = Ψ47(U,S,F)

   für alle F ∈ notf bei festem Schlüssel S ∈ nots als bekannt
   voraus. Die Aufgabe besteht in der Ermittlung von S mit
   der Methode der Lösung des Gleichungssystems

   As47i = Ψ47(U,S,Fi), i = 1,252.

   Das System ist nichtlinear mit 208 Unbekannten und
   47 - 252 Gleichungen. Vergleicht man die Anzahl der
   Unbekannten mit der Anzahl der Gleichungen, so kann man
   vermuten, daß die Lösung eindeutig ist. Man kann weiter
   vermuten, daß einige Gleichungen Unbekannte in linearer Form
   haben, was zur schrittweisen Verringerung der Anzahl der
   Unbekannten ausnutzbar ist. Aufgrund der Kompliziertheit der
   Abbildung Φ muß man jedoch die Aufstellung der Gleichungen
   und ihrer Anwendung als in der Praxis nicht realisierbar
   bezeichnen. Siehe auch Kap. IV, §2, 4.

§2 Kryptologische Auswirkungen technischer Fehler1)

1. Allgemeine Aussagen über technische Fehler

   ___
   1) In diesem und dem folgenden Paragraphen werden die Bezeich-
      nungen der Kapitel I - III genutzt.

   In der Chiffriereinrichtung der Station C können aus
   technischer Sicht folgende Fehler während des Betriebes
   auftreten:

   (a) Ausfall elektronischer Bauelemente
   (b) Leitungsbruch auf gedruckten Leiterplatten
   (c) Kalte Lötstelle
   (d) Ausfall von Wickelverbindungen
   (e) Unterbrechung des Kontaktes zwischen Leiterplatte und
       Verdrahtung (Kontakt Steckerleiste - Steckverbinder)
   (f) Drahtbruch in der Verdrahtung.

   Die Einschätzung der Funktionssicherheit der Bauelemente wird
   durch die Angabe von Ausfallraten λ gegeben. Zur Funktions-
   sicherheit der Bauelemente und der Baugruppen in den serien-
   mäßig zu produzierenden Anlagen sind zur Zeit keine quantita-
   tiven Aussagen möglich. Bei der Erprobung des Labormusters
   der Anlage OPERATION traten keine technischen Fehler oben
   angegebener Art auf. Schlußfolgerungen auf die serienmäßig
   produzierten Anlagen können daraus jedoch nicht abgeleitet
   werden.
   Im Entwicklungsinstitut IfR wird zur Zeit angenommen,
   daß unter Laborbedingungen für die oben angegebenen Fehler
   folgende Ausfallraten λ zutreffen (λ = a * 10-6 * n-1):

   (a) a = 0,01  (je KME-10- Schaltkreis)
   (b) a = 0,5   (je doppelt kaschierter Leiterplatte gesamt)
   (c) a = 0,01  (je Lötstelle)
   (d) a = 0,001 (je Wickelverbindung)
   (e) a = 0,05  (je Kontakt).

   Zu (f) existieren keine Angaben.

   Funktionell gesehen, gehören die angegebenen Fehlermöglich-
   keiten zu zwei verschiedenen Klassen.
   Zur ersten Klasse gehört (1). Technische Fehler der Art (1)
   sind in ihren Auswirkungen relativ unbestimmt.
   Zur zweiten Klasse gehören die Arten (b)-(e). Als
   Folge dieser Fehler werden konstante L-Folgen erzeugt.

2. Technische Fehler im Chiffrator und bei der Verarbeitung
   der Folge W                                             

   Im Chiffrator und Prüf-Chiffrator werden folgende Signale
   verarbeitet (s. Kap. III, Abb. 3.2):

   FU, t104, tR, S = (S1,S2).

   Es wird jetzt vorausgesetzt, daß alle diese Signale richtig
   am Eingang des Chiffrators und des Prüf-Chiffrators anliegen.
   weiter wird vorausgesetzt, daß durch den Prüfbaustein P-W+KT2
   Die Blockierung des Geheimtextausganges der Chiffriereinrich-
   tung (Öffnung Schalter S3 oder/und S4 kurz: Blockierung) aus-
   gelöst wird, wenn sich die Ausgänge der Additionselemente A1
   und A2 in der Verschlüsselungsbaugruppe V unterscheiden.
   Unter diesen Voraussetzungen führt ein technische Fehler
   gleich welcher Art im Chiffrator oder bei der Verarbeitung
   der Folge Wi (Linie Ausgang Chiffrator bis Ausgang A1) nur
   dann nicht zur Blockierung, wenn ein in seiner Wirkung
   gleicher Fehler gleichzeitig oder nahezu gleichzeitig
   (Zeiteinheit ∆t)1) parallel auch im Prüf-Chiffrator oder
   bei der Verarbeitung der Folge Wi-P (Linie Ausgang Prüf-
   Chiffrator bis Ausgang A2) auftritt.
   Die Wahrscheinlichkeit, daß in parallelen, sich nicht gegen-
   seitig beeinflussenden Baugruppen gleichzeitig oder nahezu
   gleichzeitig der gleiche Fehler auftritt, ist sehr gering,
   auch wenn man beachtet, daß gewisse Abhängigkeiten gleicher
   Baugruppen durch die Produktion vorhanden sein können
   ___
   1) Vom Bedienpult der Anlage kann durch das Signal BO die
      Blockierung aufgehoben werden. Wenn in der Zeit zwischen
      Blockierung und dem Signal BO in der parallelen Baugruppe der
      gleiche Fehler auftritt, erfolgt keine weitere Blockierung.
      Der Zeitraum ∆t muß somit aus kryptologischer Sicht bestimmt
      werden. Mit der Festlegung von ∆t wird gefordert, daß bei
      Auftreten des Fehlersignals M4-CE zum Zeitpunkt t, letztmalig
      zum Zeitpunkt t + ∆t BO gegeben wird, wenn nach vorherigen
      BO M4-CE nicht gelöscht worden ist.
      Wenn bei diesem letzten BO M4-CE nicht gelöscht worden ist,
      muß eine Überprüfung der Chiffriereinrichtung erfolgen.

3. Kryptologisch schlechte Folgen FU im Chiffrator

3.1 Technische Fehler bei der Erzeugung von FU

    Kryptologisch von Bedeutung sind die Fehler, die zu einer
    Folge FU mit kurzer Periode gleichzeitig am Eingang des
    Chiffrators und des Prüf-Chiffrators führen. Wenn FU kurz-
    periodisch ist, so besteht die Möglichkeit der Benutzung
    gleicher Additionsreihen der Länge 47 zur Chiffrierung ver-
    schiedener Grundtextblöcke. Speziell wenn FU die Periode 1 hat,
    wird zur Chiffrierung aller Grundtexte die gleiche Additions-
    reihe hergestellt im Chiffrator.
    In Abbildung 3.2 im Kapitel III sind schematisch die Erzeugung
    der Folge F und der Folge FU und die entsprechenden Prüfungen
    dargestellt.
    Es wird jetzt vorausgesetzt, daß die Blockierung anspricht,
    wenn

    (a) in P-ZG/F eine Folge mit einem konstanten Abschnitt
        der Länge ≥ 56 eingegeben wird;
    (b) in P-FU oder/und P-FU-P im i-ten Übertragungstakt
        TÜi (i=1,2,…) eine konstante Folge eingegeben wird,
    (c) sich die in FG1 und FG2 erzeugten Folgen F, die in P-F
        verglichen werden, unterscheiden;
    (d) sich die vom Chiffrator und Prüf-Chiffrator erzeugten
        Folgen W und W-P unterscheiden.

    Anhand Abbildung 3.2, im Kapitel III ist zu erkennen, daß un-
    ter dieser Voraussetzung nur dann im Chiffrator und im Prüf-
    Chiffrator die gleichen kurzperiodischen Folgen FU, FU-P verarbeitet
    werden, ohne daß die Blockierung anspricht, wenn

    (a) in FG1 und in FG2 gleichzeitig oder nahezu gleichzeitig
        (Zeiteinheit ∆t) auftretender Fehler gleiche kurzperio-
        dische nichtkonstante Folgen F erzeugt werden;
    (b) gleichzeitig oder nahezu gleichzeitig (Zeiteinheit ∆t)
        die Leitung FUi-P nach der Abzweigung für P-FU-P und die
        Leitung FUi nach der Abzweigung für P-FU unterbrochen
        wird.

    Die Wahrscheinlichkeit dieses Ereignis ist sehr gering.

3.2 Wahrscheinlichkeit gleicher F-Folgen-Abschnitte im
    Ergebnis von Stromunterbrechungen                

    Die Anlage OPERATION arbeitet im Dauerbetrieb. Nur dann,
    wenn die Prüftaste zur Kontrolle von Ü-ZG/F und A3 gedrückt
    wird (s. Punkt 6 dieses Paragraphen) oder wenn der Strom
    aufgrund technischer Fehler ausfällt [oder wenn in der An-
    lage ein (systematischer) Fehler auftritt, zu dessen Besei-
    tigung der Strom ausgeschaltet wird], wird die Erzeugung der
    Folge F unterbrochen. Über die Häufigkeit solcher Unter-
    brechungen ist zur Zeit keine Aussage möglich.
    Wenn während der Geltungsdauer eines Schlüssels S (Kurzzeit-
    schlüssel) eine Unterbrechung der Erzeugung von F erfolgt,
    besteht die Möglichkeit, daß nach Wiedereinschalten des Stro-
    mes eine Folge F erzeugt wird, die mit der vor der Unter-
    brechung erzeugten Folge F phasengleich ist. Damit entsteht
    die Möglichkeit der Erzeugung gleicher Additionsreihen zur
    Chiffrierung unterschiedlicher Grundtextblöcke.
    Unter der Voraussetzung, daß der Zufallsgenerator ZG eine
    hinreichend zufällige Folge erzeugt und die Geltungsdauer
    des Kurzzeitschlüssels S nicht größer als eine Woche ist,
    ist die Wahrscheinlichkeit für eine Übereinstimmung der nach
    einer Unterbrechung erzeugten Folge F mit einem Abschnitt
    der bei gleichem S gesamten vorher erzeugten Folge F kleiner
    als rund

4. Ausfall des Taktes t104 im Chiffrator und im Prüf-Chiffrator

   Bei Ausfall des Taktes t104 im Chiffrator ändert sich der
   innere Zustand im Chiffrator nicht, d.h. der Inhalt des
   Speicherelements UP29 vom Speicher U ändert sich nicht.
   Es entstehen somit nur Additionsreihen identisch 0 (oder
   identisch 1).
   Es wird jetzt vorausgesetzt, daß mindestens zwei der drei
   Prüfbausteine P-W, P-W-P und P-W ⊕ KT2 beim Auftreten
   entsprechender Fehler die Blockierung auslöst. Unter dieser
   Voraussetzung führt der Ausfall von t104 im Chiffrator
   oder/und im Prüf-Chiffrator immer zur Blockierung. Wenn der
   Takt t104 ausfällt aufgrund des Ausfalls von T350 oder/und
   FGFU in der Schlüsseleingabeeinheit, dann wird das im Prüf-
   baustein P-t104 erkannt.

5. Verarbeitung fehlerhafter Schlüssel S

   Wenn im Chiffrator ein Schlüssel S = (S1,S2) verarbeitet
   wird, der nicht mit dem auf der Schlüssellochkarte gespei-
   cherten Schlüssel übereinstimmt, so entstehen keine krypto-
   logisch schlechten Additionsreihen. Es wird vorausgesetzt,
   daß für den Dekrypteur erkennbar ist, wenn die Station C und
   speziell die Chiffriereinrichtung fehlerhaft arbeitet.
   Es bleibt für ihn die Möglichkeit zu probieren, die
   verschiedenen möglichen Fehlervarianten zur Dekryp-
   tierung zu nutzen.
   In Bezug auf die Verarbeitung des Schlüssels S im Chiffra-
   tor ist die Möglichkeit der Nutzung solcher Fehler, die dazu
   führen, daß eine oder beide der im Chiffrator verarbeiteten
   Komponenten S1, S2 des Schlüssels identisch 0 oder identisch
   1 ist, real.
   Im Prüfbaustein P-S1/S2 wir überprüft, ob die Bedingung

   s158

   erfüllt ist. Diese Bedingung ist nicht erfüllt, wenn S1
   oder S2 identisch 0 oder identisch 1 ist.
   Unter der Voraussetzung, daß bei S1 const. oder S2 const.
   in P-S1/S2 die Blockierung ausgelöst wird (M4-SE = 1),
   entstehen nicht erkennbare Fehler oben erwähnter Art nur dann, wenn zu-
   gleich oder nahezu zugleich (Zeiteinheit ∆t) die Verbindung
   Verzweigungspunkt G oder/und H Chiffrator und die Verbindung
   Verzweigungspunkt G oder/und H Prüf-Chiffrator unterbrochen
   werden. Die Wahrscheinlichkeit solcher gleichzeitig oder nahe-
   zu gleichzeitig (Zeiteinheit ∆t) auftretender Fehler ist
   sehr gering.

6. Technische Fehler in den Prüfbaugruppen, -bausteinen
   und Baugruppen B1, B2                              

   Kryptologisch sind nur die technischen Fehler von Bedeu-
   tung, die selbst nicht zur Blockierung führen und es über
   dies zulassen, daß bei auftretenden Fehlern in den anderen
   Baugruppen keine Blockierung der Chiffriereinrichtung aus-
   gelöst wird.
   Fehler dieser Art sind im normalen Betrieb der Anlage  nicht
   sofort erkennbar. Sie können sich bemerkbar machen durch
   Ausfall des gesamten Systems, wenn zusätzlich ein entsprechen-
   der Fehler bei der Bildung des Geheimtextes auftritt (alle
   Stationen E können die empfangenen Nachrichten nicht mehr
   dechiffrieren).
   Die Prüfbausteine (außer P-t104) bestehen nur aus wenigen
   Bauelementen (maximal 3 Schaltkreise vom Typ KME-10).
   Für die Funktionsfähigkeit der Prüfbaugruppen, -bausteine
   und von B1, B2 ist ihre Taktung mit dem Übertragungstakt TÜ
   (Abfrage des Prüfergebnisses) notwendig (außer P-F und
   P-W ⊕ KT2).
   Die Taktführung ist so gestaltet (TÜ1 und TÜ2), daß die
   Prüfbaugruppen, -bausteine und B1, B2 parallel an die Haupt-
   taktleitungen angeschlossen sind. Die Hauptleitungen TÜ1-a
   TÜ2 enden jeweils an einem Ausgangsspeicher (AS1 und AS2) für
   den Geheimtext. Der Ausfall des Taktes TÜ1 oder TÜ2
   auf der Hauptleitung entspricht damit einer Blockierung
   des Geheimtextausgangs der Chiffriereinrichtung.
   Durch das Signal B0 kann die Blockierung der Chiffrierein-
   richtung aufgehoben werden. (s. Kap. III, §1, Punkt 3)
   B1 und B2 sind parallel an die Leitung B0 angeschlossen.
   Diese Leitung endet an den Schaltern S2 und S4. Wenn das Sig-
   nal B0 aufgrund von Fehlern ständig in der Chiffriereinrich-
   tung vorhanden ist, führt es zwar einerseits zur Wirkungslo-
   sigkeit der meisten Prüfungen, aber andererseits zugleich
   auch zur Blockierung des Geheimtextausganges.
   Kryptologisch wesentliche Prüfungen und Blockierungen sind
   damit doppelt ausgeführt. Das gilt für den Vergleich der
   von FG1 und FG2 erzeugten F-Folgen (Dopplung des Vergleiches
   in P-F), für die Prüfung FUi ≡ constant (P-FU parallel zu
   P-FU-P), für die Prüfung Wi ≡ constant. (P-W-P parallel zu P-W),
   für den Vergleich der Ausgänge A1 und A2 (Dopplung des
   Vergleichs in P-2 ⊕ KT2), für die Blockierung des Ausganges
   für den Geheimtext (B1 und S3 parallel zu B2 und S4).
   Zur Kontrolle der Prüfbaugruppen, -bausteine, der Bau-
   gruppen B1, B2 und von S3, S4 können durch Drücken verschie-
   dener Prüftasten in der Chiffriereinrichtung die einzelnen
   Fehler erzeugt werden, auf die die Prüfung und die
   Blockierung ansprechen müssen bei fehlerfreier Arbeit -
   "Handprüfung".
   Der Zeitraum ∆t für diese Handprüfung ist für den Einsatz
   der serienmäßig produzierten Anlage OPERATION so zu
   bestimmen, daß die Wahrscheinlichkeit dafür, daß die
   Blockierung des Geheimtextausganges der Chiffriereinrichtung
   zum Zeitpunkt t2 nicht ausgelöst wird, wenn zum Zeitpunkt
   t1 (t2-t1 ≤ ∆t) die Chiffriereinrichtung fehlerfrei
   gearbeitet hat, und wenn zum Zeitpunkt t2 ein Fehler in einer
   Baueinheit der Chiffriereinrichtung auftritt, der bei
   richtiger Funktion der Prüfungen und Blockierungen zur
   Blockierung des Geheimtextausganges der Chiffriereinrichtung
   führen würde, ausreichend klein ist.

§3 Bedienungsfehler und deren Einfluß auf die
   kryptologische Sicherheit                 

1. Mehrmalige Verwendung des gleichen Kurzzeitschlüssels S

   Die mehrmalige Verwendung des gleichen Kurzzeitschlüssels S
   ist äquivalent der Verlängerung der Gültigkeit von S.
   Als Folge dieses Fehlers steht dem Dekrypteur eine
   größere Menge von Ausgangsmaterial (mehr Geheimtexte,
   eventuell mehr Zuordnungen F-Abschnitt-Additionsreihe)
   zur Dekryptierung zur Verfügung.
   Die mehrmalige Verwendung des gleichen Schlüssels S ist
   jedoch auf dem Übertragungskanal nicht erkennbar.
   Beim Wechsel des Kurzzeitschlüssels S wird die Erzeugung
   der Folge F nicht unterbrochen. Sollte die Erzeugung von F
   jedoch aus irgendwelchen Gründen unterbrochen werden, so
   wird nach der Unterbrechung, sofern keine technischen
   Fehler auftreten, automatisch wieder ein zufälliger
   Anfangswert für die weitere Erzeugung von F gebildet.
   Wenn durch die mehrmalige Verwendung des gleichen
   Schlüssels S dessen Gültigkeit praktisch auf eine Woche
   verlängert wird, so ist die Wahrscheinlichkeit dafür, daß
   während der Gültigkeitsdauer dieses Schlüssels gleiche
   F-Folgenabschnitte erzeugt werden, kleiner als 10-6.

2. Verwendung fehlerhafter Kurzzeitschlüssel S

   Unter den schlüsseln der theoretisch möglichen Schlüssel-
   menge nots gibt es keine kryptologisch schlechten Schlüssel.
   Die Verwendung fehlerhafter Schlüssel ist auf dem Übertra-
   gungskanal nicht erkennbar. Außer den schlüsseln S = (S1,S2)
   mit S1 oder S2 identisch 0 oder identisch 1 sind unter
   den Schlüssel von nots keine weiteren Schlüssel bekannt, die
   infolge von Fehlern, seien es technische Fehler oder
   Bedienungsfehler, mit größerer Wahrscheinlichkeit Verwendung
   finden könnten.
   Die Verwendung fehlerhafter Kurzzeitschlüssel hat damit
   kryptologisch keine Auswirkungen.
   Diese Situation ändert sich, wenn zur Prüfung der Funktions-
   einheiten der Chiffriereinrichtung mit einem speziellen
   Prüfkurzzeitschlüssel gearbeitet wird. Es ist denkbar, daß
   unter gewissen Umständen dieser Prüfkurzzeitschlüssel
   auch fehlerhaft als Kurzzeitschlüssel im normalen Betrieb
   der Anlage eingesetzt wird.
   Diese Möglichkeit besteht z. B. dann, wenn nach einer
   Prüfung beim Übergang zum normalen Betrieb der Prüfkurz-
   zeitschlüssel nicht automatisch gelöscht wird.
   Zur Arbeit mit einem Prüfkurzzeitschlüssel sind noch
   keine Festlegungen getroffen worden.
   Bei der Festlegung der Prüfvorschrift muß diese
   Möglichkeit beachtet werden.

3. Sonstige Bedienungsfehler

   Außer der fehlerhaften Verwendung des Prüfkurzzeitschlüssels
   wurde bisher keine reale Möglichkeit für Fehler bei der
   Bedienung und Wartung der Chiffriereinrichtung mit krypto-
   logischen Auswirkungen festgestellt.
   Das gilt auch für Fehler bei der Bedingung und Wartung der
   gesamten Anlage. Aufgrund der hohen Automatisierung der
   Anlage sind eine Reihe subjektiver Fehler ausgeschlossen,
   die bei anderen Chiffrierverfahren möglich sind (z. B. Über-
   mittlung von Klartext, mehrmalige Benutzung der gleichen
   Kenngruppe).
   Ein Mangel des Chiffrierverfahrens im System OPERATION
   ist die Notwendigkeit zur Übermittlung von Blendnachrichten
   (s. Kap. I, §2, Punkt 5.). Die Blendnachrichten werden nicht
   automatisch ausgelöst. Wenn Blendnachrichten nicht in ent-
   sprechender Häufigkeit, speziell, wenn zu wenig Blendnach-
   richten ausgelöst werden, können durch den Dekrypteur aus
   den Zeitpunkten der Übermittlung von Nachrichten gewisse
   Rückschlüsse auf deren Inhalt gemacht werden.

                 Zusammenfassung

1. Zusammenfassung der Resultate des Kapitels IV

   Im Kapitel IV wird die Struktur der Chiffrierabbildung
   ausgehend von der Grundvoraussetzung, daß der Prozeß der
   Umformung des Inhalts des Registers U entscheidend ist,
   untersucht. Wenn er gut ist, so kann man eine Methode der
   Erzeugung einer guten Additionsreihe finden. Der Prozeß
   ist gut, wenn insbesondere gilt:

   - es gibt keine unwesentlichen Zustände (im Sinne der
     Theorie Markowscher Ketten),
   - alle Zustände bilden eine Klasse,
   - alle Zustände sind asymptomatisch gleichwahrscheinlich,
   - die Periodizität ist maximal,
   - die Abhängigkeit von den Eingangselementen ist wesentlich
     und kompliziert,
   - es sind solche mathematischen Eigenschaften vorhanden, die
     es nicht gestatten, Dekrypteur-Methoden anzuwenden, die
     wesentlich effektiver sind als die totale Probiermethode,
     insbesondere analytische Methoden.

   Im Laufe der Untersuchungen wurden in dieser Richtung
   folgende Hauptresultate erhalten:

   (1) Es existiert eine Klasse PR von Elementen (P,R)
       des Langzeitschlüssels, die mehr als 1026 Elemente
       enthält, bei deren Anwendung keine unwesentlichen Zu-
       stände auftreten.
   (2) Die Zustandsklassen enthalten mindestens 512 Elemente,
       es gibt nicht mehr als 218 Klassen.
       Im Spezialfall (P0,R0) gibt es nicht mehr als 215
       Klassen, jede mit 4096 Elementen oder mehr; experimen-
       tell wurde festgestellt, daß eine der Klassen nicht
       weniger als 27,7*106 Elemente enthält.
   (3) Unter gewissen Voraussetzungen sind alle Zustände asymp-
       totisch gleichwahrscheinlich. Es wurden starke Argumente
       dafür gewonnen, daß man annehmen kann, daß die
       Additionsreihen gute statistische Eigenschaften besitzen.
   (4) Es wurde eine Abschätzung für die Periode P der Umfor-
       mung des Inhalts des Registers U gefunden:

              104 * (252-1) ≤ P ≤ 227*104(252-1).

   (5) Es gibt keine äquivalenten schlüssel bezüglich der
       Folge der Inhalte des Registers U.
   (6) Es gibt keine äquivalenten Schlüssel bezüglich der
       Folge der ersten Elemente der Inhalte des Registers U
       für alle Anfangszustände des U - Registers gleichzeitig.
   (7) Es wurde ein stochastisches Modell des Chiffrators
       gefunden, da sich nicht wesentlich von der tatsäch-
       lichen Chiffrierabbildung unterscheidet, in dem die
       Additionsreihen zufällige gleichwahrscheinliche
       Folgen sind.

   Wichtige, bis jetzt nicht gelöste Probleme (bezüglich der
   Thematik Kapitel IV) sind:

   (1) Die Zahl und die Mächtigkeit der Zustandsklassen; für
       welche (P,R) bilden alle Zustände eine Klasse?
   (2) Die analytische Abhängigkeit der Elemente der Additions-
       reihe von Anfangswerten.
   (3) Die Periode der Additionsreihe
   (4) Eine Abschätzung der Mächtigkeit der Klassen äquivalen-
       ter Schlüssel bezüglich der Additionsreihe; gibt es
       äquivalente Schlüssel bezüglich der Additionsreihe?
   (5) Eine tiefere theoretische Untersuchung der statistischen
       Eigenschaften der Additionsreihe.
   (6) Eine experimentelle Untersuchung der statistischen
       Eigenschaften der Additionsreihen auf EDVA.

2. Zusammenfassung der Resultate des Kapitels V

   Das Studium einige Methoden der Dekryptierung zeigt, daß
   die Chiffrierabbildung sogar bei Vorhandensein großer Klas-
   sen äquivalenter Schlüssel sicher bleibt. Nach den Resulta-
   ten im Kapitel IV existieren solche (großen) Klassen nicht.
   Es wurde die Aufgabe der Bestimmung des Schlüssels unter der
   Voraussetzung, daß Komponentenfolgen bekannt sind, untersucht.
   Es wurden Bedingungen gefunden, unter denen diese Aufgabe
   lösbar ist.
   Es wird ein Verzeichnis der möglichen technischen Fehler im
   System und insbesondere in der Chiffriervorrichtung, die die
   kryptologische Sicherheit herabsetzen könnten, angegeben.
   Daraus wird der Schluß gezogen, daß entweder das System des
   Schutzes vor Fehlern anspricht oder daß der Fehler äußerst
   unwahrscheinlich ist.
   Es werden möglich Fehler bei der Bedienung betrachtet, und
   analoge Resultate abgeleitet.
   Offen blieben vor allem folgenden Probleme:
   - Das Finden einer Methode zur Bestimmung des Schlüssels mit
     minimaler Anzahl von Elementaroperationen;
   - Eine Methode des Lesens des Textes ohne Bestimmung des
     Schlüssels;
   - Eine detaillierte Untersuchung der Folgen gewisser Fehler.

3. Das Schlüsselsystem und kryptologische Reserven

3.1 Es wird empfohlen, den Schlüsselwechsel ein- oder zweimal
    täglich durchzuführen.

3.2 Kriterien für die Auswahl der Elemente des Langzeitschlüssels:

    Die Elemente (P,R)

    Zu empfehlen ist (P,R) ∈ PR.
    Die Mehrheit der Resultate wurde unter dieser Voraussetzung
    erhalten, wobei diese ziemlich oft wesentlich war.
    Für die Muster des Chiffrators empfehlen wir (P,R) = (P0,R0).

    Das Element U0 (die Anfangsbelegung des u-Registers)

    Es wird empfohlen, U0 aus einer Klasse von Zuständen zu neh-
    men, die einen Fixpunkt enthalten, und die soviel wie möglich
    Elemente besitzen.
    Für die Muster des Chiffrators wird

    U0 = (us01,us02, …, us027) = (000 000 011 011 111 111 111 100 000 000)

    empfohlen. Dieser Wert U0 ∈ {ϕU*}, wobei U* einer der Fix-
    punkte der Klasse ist, die auf einer EDVA berechnet wurden,
    Siehe Kapitel IV, §1, 3.1 und 5.5.

    Das Element α (Die Abgriffstelle der Additionsreihe)

    Es wird empfohlen α = 1.

    Bei der Untersuchung hatte die konkrete Wahl von α nur
    in Zusammenhang mit äquivalenten Schlüsseln eine Bedeutung,
    aber in diesem Fall erwies sich die Wahl von α = 1 als
    die beste.
    Außerdem kann die erste Stelle der Additionsreihe nur bei
    α = 1 von allen Schlüsselelementen abhängen.

3.3 Die kryptologische Schaltung, die im Kapitel III (siehe
    Abb. 3.1) beschrieben und technisch realisiert wurde, ver-
    allgemeinert die im Kapitel IV und V untersuchte Chiffrier-
    abbildung in dem Sinne, daß diese Chiffrierabbildung bei
    spezieller Wahl der Elemente U0, P und Q = R-1 realisiert wird.
    Deshalb kann man beim Finden von Schwächen der Chiffrierab-
    bildung auf die verallgemeinerte kryptologische Schaltung
    übergehen.
    Eine weitere mächtige Reserve stellen die in Kapitel III auf-
    gezeigte Veränderung der kryptologischen Schaltung dar, die
    man bis zum Beginn der Serienproduktion des Chiffrators aus-
    nutzen kann:

    - die Abänderung der Struktur des U-Registers,
    - die Veränderung der logischen Funktion Z,
    - der Anfangswert U0 des u-Registers hängt vom
      (Kurzzeit-) Schlüssel S ab.

4. Richtung der weiteren Untersuchungen der kryptologischen
   Schaltung                                               

4.1 Die wichtigste Richtung besteht in Methoden der Dekryptierung
    und damit verbundenen Fragen.
    Insbesondere muß man den Fall der im gewissen Sinne "nahen"
    Additionsreihe sowie die analytischen Dekryptierungen unter-
    suchen.
    Im Zusammenhang damit muß man die Kriterien der Auswahl des
    Langzeitschlüssels präzisieren.

4.2 Bezüglich der Struktur des Chiffrators:

   - die Äquivalenz der Schlüssel bezüglich der Additionsreihe,
   - Suche nach Methoden der Abschätzung der Anzahl der Zustands-
     klassen,
   - Untersuchung der angenäherten (im Sinne von Kapitel IV,
     §2) kryptologischen Schaltung.

4.3 Bezüglich der Arbeit mit er EDVA:

    - Fortsetzung der Berechnung der Zustandsklassen (Kapitel
      IV, §1, 5.).
    - Untersuchung der statistischen Eigenschaften der Additions-
      reihen (Kapitel IV, §4, 3.),
    - Rechnen mit logischen Funktionen (Kapitel IV, §2, 4.).

4.4 Weitere Untersuchungen über das System des Schutzes vor
    technischen Fehlern und Fehlern in der Bedingung des Systems
    OPERATION.

    Schlußfolgerungen

1. Unter den Voraussetzungen, daß

   - die kryptologische Schaltung, die Gebrauchsanweisung,
     das Schlüsselsystem und die Langzeitschlüssel bekannt
     sind;
   - der Langzeitschlüssel nach den im Punkt 3. der Zusammen-
     fassung angegebenen Kriterien gewählt wird;
   - im Chiffrator keine technischen Fehler auftreten;
   - kein Verstoß gegen die Gebrauchsanweisung des Chiffrators
     zugelassen wird,

   beträgt die kryptologische Sicherheit des Chiffrators nicht
   weniger als 1025 Elementaroperationen, was bei einer Geschwin-
   digkeit von 1011 Elementaroperationen/sec. nicht weniger als
   107 Jahre Rechenzeit auf der EDVA bedeutet.

2. Das System des Schutzes vor technischen Fehlern ist hinrei-
   chend vollständig und zuverlässig. Insbesondere spricht es
   bei Fehlern in der Bedienung an. Somit verringert sich bei
   technischen Fehlern und bei Fehlern in der Bedienung die
   kryptologische Sicherheit des Chiffrators in der Praxis nicht.

3. Der Chiffrator des Systems OPERATION genügt den gestellten
   Forderungen an die Sicherheit der Chiffrierung und kann im
   System OPERATION angewandt werden.

           Krey           Helbig
           Hauptmann      Oberleutnant

           einverstanden: Leiter der Unterabteilung

                          Hübler
                          Major

ЛИTEPATУPA / Literatur

/1/ Technisch-taktische-Forderungen für die Entwicklung einer technischen
    Einrichtung zur Nachrichtenübermittlung und Anzeige (Deckbezeichnung
    SKS V/1), VVS B 100/L/1/71

/2/ OБЩИE OПEPATИBHЫE TPEБOBAHИЯ K ПAPAMETPAM ШИФPУЮЩEГO
    УCTOЙCTBA AППAPATУPЫ "OПEPAЦИЯ"
    (ПИЬCMO K-72 OT 2-ГO ИЮHЯ I973 Г. AППAPATA ПO KOOPДИHAЦИИ
     B BAPШABE)

/3/ ПOДCИCTEMA ЗAШИФPOBAHИE/PACШИФPOBAHИE B CИCTEME OПEPAЦИЯ,
    COB. CEK. № 020-638/72

/4/ ПPEДBAPИTEЛЬHOE ЗAKЛЮЧEHИE o KPИПTOГPAФИЧECKOЙ CTOЙKOCTИ
    ШИФPATOPA CИCTEMЫ OПEPAЦИЯ, COB. CEK. № Л-I860

/5/ AЛГOPИФM ДЛЯ BЫPAБOTKИ ГAMMЫ HAЛOЖEHИЯ
    GVS MfS 020 Nr. 290/73

/6/ HEKOTOPЫE CBOЙCTBA KPИПTOCХEMЫ ШИФPATOPA CИCTEMЫ OПEPAЦИЯ
    GVS MfS 020 Nr. XI/440/73

/7/ AF 3 - Bericht SKS V/1, VVS B 198 - 35/73

/8/ Pflichtenheft SKS V/1, Entwurf, VVS B 198 - 45/73

                                        COBEPШEHHO CEKPETHO!

                                        Geheime Verschlußsache
                                        MfS 020 Nr. XI/76/74
                                        ……..Ausfertigungen
                                        05. Ausfertigung 41 Blatt

        Kryptologische Analyse des Chiffrators
                des Systems OPERATION

                - Erste Ergänzung -

Bestätigt: Leiter des Zentralen Chiffrierorgans
           im Ministerium für Staatssicherheit
           der Deutschen Demokratischen Republik


                              Schürrmann
                              Oberst

Inhalt:

1.    Einleitung

2.     Darlegung zu den Kapiteln I - III
2.1.   Bausteintechnik
2.2.   Schema der Chiffrierverbindungen
2.3.   Kryptologische Schaltung
2.4.   Nachrichten

3.     Darlegungen zu Kapitel IV
3.1.   Zerlegung der Abbildung ϕ(0,0,0) in Zyklen
3.2.   Korrektur zu [1; IV, §2, 1.]
3.3.   Die logische Funktion hia
3.4.   Ergänzung zu [1; IV, §1, 2.2]
3.5.   Äquivalente Schlüssel
3.6.   Äquivalente F ∈ f
3.7.   Experimentelle Untersuchungen der statistischen
       Eigenschaften der Additionsreihe
3.7.1. Allgemeine Programmbeschreibung
3.7.2. Beschreibung der Statistiken und Varianten
3.7.3. Zu erwartende Ergebnisse
3.7.4. Beobachtete Resultate

4.     Ausführungen zu Kapitel V
4.1.   Methoden zur Bestimmung des Schlüssels
4.2.   Über Dekryptierbarkeit ohne Rekonstruktion
       des Schlüssels
4.3.   Der Einfluß der Blendnachrichten auf die krypto-
       logischen Eigenschaften des Systems OPERATION

5.     Zusammenfassung

       Literatur

1. Einleitung

   Bei der Analyse des Chiffrators des Systems OPERATION [1]
   gelang es nicht, alle stark interessierenden Problem zu
   lösen. Deshalb wurde die analytische Arbeit fortgesetzt.
   Die neu erhaltenen theoretischen und experimentellen Ergeb-
   nisse werden in dieser Ergänzung dargelegt. Außerdem werden
   hier Präzisierungen, Korrekturen und Ergänzungen zum Text
   der Analyse [1] vorgenommen.
   Für die Lektüre der Ergänzung ist es notwendig, mit dieser
   Analyse [1] bekannt zu sein, zumindestens mit den Paragraphen
   und Punkten, zu denen die entsprechende Darlegung gehört.
   Die Bezeichnungen bleiben unverändert, wenn nicht etwas
   anders vorbehalten wurde. Hinweise werden auf folgende Art
   gegeben:
   [1; IV, §1, (2.2)] bezeichnet die Formel (2.2) des Para-
   graphen 1 des IV. Kapitels der Analyse [1].

2. Darlegung zu den Kapiteln I - III

2.1. Bausteintechnik (siehe Einleitung)

     Die Bausteinserie D 10 (alte Bezeichnung KME-10), die in
     großem Umfang im K5-Muster (Versuchsmuster) verwendet
     wird und zur Verwendung in der Serienproduktion vorge-
     sehen ist, entspricht in den grundlegenden technischen
     Parametern der Bausteinserie SN 74. Gegenwärtig wird die
     Möglichkeit der Verwendung dieser Bausteine bei Tempera-
     turen von -25 °C bis +85 °C (Serie E 10) untersucht.

2.2. Schema der Chiffrierverbindungen (s. Kap. I, §1)

     Die Station A geht nicht in das Schema der Chiffrierver-
     bindungen im System OPERATION ein. Die Nachrichten von
     der Station A zur Station C werden im System KRISTALL-
     QUARZ dechiffriert, danach in das System OPERATION über-
     mittelt (automatisch) und in ihm für die Übermittlung
     zur Station E dechiffriert.

2.3. Kryptologische Schaltung (s. Kap. III, §1.1)

     Der Kommutator P realisiert eineindeutig die Verbindung
     der Ausgänge vα mit den Eingängen u für α = 1,27 und
     Pα = 1,27 und außerdem die Verbindung entweder von v28
     mit u28 = uP28 und v29 = u29, P29 ∈ 1,27 oder v28
     mit uP28, P28 ∈ 1,27 und v29 mit u28 = uP29.
     Einige Verallgemeinerungen sind von technischer Seite
     möglich.

2.4. Nachrichten (s. Kap. I, §2)

2.4.1. Klartext und Grundtext

       Die Darstellung der Zahlen im BCD-Code 2421 wird durch
       die Formel a4 * 2 + a3 * 4 + a2 * 2 + a1 * 1 verwirklicht,
       d. h. 0 -0000, 1 - 0001, … 7 - 0111, 8 - 1110, 9 - 1111.
       Wir bezeichnen den Grundtextblock mit G = (g1, g2, … , g47).
       Dann ist g1 - laufende Nummer 1 "Löschen des Kommandos" -
       das erste Bit im Kanal. Wir betrachten das Polynom
       G(x) = g1x40 + g1x39 + … + g41.
       Die Division

       s179

       wo h(x) ein Polynom ist, liefert das Polynom
       R(x) = g42x5 + g43x4 + … + g47, dessen Koeffizienten
       Kontrollbits (Codesicherung I) sind.

2.4.2. Informationsblock

       Das Kontrollbit für die Aussage "Chiffrierung normal" wird
       nicht benutzt. Dieses Bit hat den festen Wert Null.

2.4.3. Bildung der Blendnachrichten

       Der sogenannte Übernahmespeicher im Datensender, der den
       Klartextblock enthält und diesen Block in die Chiffrier-
       einrichtung übergibt, wird sofort nach Beendigung dieser
       Übermittlung automatisch in ein rückgekoppeltes Schiebe-
       register mit einer Frequenz von 100 kHz umgeschaltet.
       Der Klartexblock wird rekurrent mit dem Polynom X41 + x38 + 1
       umgeformt.
       Wenn die Taste Blendtext gedrückt wird, werden 40 Bit der
       Rekursion, die im Speicher sind, in die Chiffriereinrichtung
       übergeben und bilden zusammen mit der 'Blendkennung' den
       Blendklartextblock, der analog zu anderen Klartextblöcken
       abgearbeietet wird. Der Übernahmespeicher arbeitet in dieser
       Zeit rekursiv weiter mit einer Frequenz von 100 kHz, und nach
       30 Übertragungstakten übermittelt er wieder 40 Bit der Rekur-
       sion in die Chiffriereinrichtung und so weiter 5 sek. lang.
       Durch wiederholten Tastendruck kann man erreichen, daß die
       Übermittlung von Blendblöcken länger als 5 sek. andauert.
       Blendnachrichten haben den niedrigsten Rang.

3. Darlegung zu Kapitel IV

3.1. Zerlegung der Abbildung ϕ(0,0,0) in Zyklen

     Für feste Parameter (u0),s,r) kann man die Abbildung
     ϕ(u0),s,r) als Permutation der Menge M betrachten
     und in Zyklen zerlegen. Mit Hilfe einer EDVA werden für
     (P,R) = (P0,R0) fünf Zyklen gefunden, deren Längen
     92209323, 32830171, 6282627, 1468372, 950434
     betragen. (Ausführliche Resultate siehe [2].)
     Außerdem existiert ein Zyklus der Länge 1 - ein Fixpunkt
     [1; IV, §1, 3.1.].
     Alle Elemente, die in einem Zyklus auftreten, liegen in
     einer Zustandsklasse. Damit wurde bewiesen, daß für
     (P0,R0) sehr große Zustandsklassen existieren, und es
     wurden Abschätzungen der Anzahl der Elemente von unten
     in diesen Klassen gefunden. Es wird angenommen, daß alle
     Zustände eine einzige Klasse bilden.

3.2. Korrektur zu [1; IV, §2, 1.]

     Die Teilmenge s muß in der folgenden Weise definiert
     werden:

     s181 (k = 1,2).

     siehe [1; III, §2,1.]

3.3. Die logischen Funktionen hia

     In [1; IV, §2, 4.] wurde die Möglichkeit der Darstellung
     der Komponenten hia des Vektors Ui als logische Funktionen
     hia, deren Veränderliche die Komponenten von U0,S,F sind,
     und ihre Berechenbarkeit auf einer EDVA gezeigt.
     Von uns wird ein Programm zur Berechnung von hia für
     (P,R) = (P0,R0) und U0 = (000 000 011 011 111 111 100 000 000)
     [1; Zusammenfassung, 3.2] für alle α=1,27
     und i = 1,i0 erarbeitet, wobei i0 so gewählt wurde, daß die
     Funktion hia nicht riesig und überschaubar sind. Es
     wird erwartet, daß i0 etwa 10 - 20 angenommen werden kann.
     Die Berechnung nach diesem Programm soll eine Vorstellung
     über die Kompliziertheit der Funktion hia für kleine i,
     über den Zeitaufwand zur Berechnung und das Speichervolumen
     geben. Außerdem müssen Gesetzmäßigkeiten in diesen Funktio-
     nen gesucht werden. Möglicherweise läßt sich eine Abschä-
     tzung der Anzahl der Zustandsklassen erhalten.
     In Abhängigkeit von diese Ergebnissen werden Programm
     zur Berechnung von hiam für n = 2 und i = 104, 208, …
     sowie zur Berechnung von hia, wobei einige Veränderliche
     festgehalten werden, z. B. F = (f2, f3, f1, 0, … , 0) und
     gegebenenfalls andere Programme erarbeitet werden.

3.4. Ergänzung zu [1; IV, §1, 2.2]

     (N10) es muß eine der folgenden Gleichungen erfüllt sein:
     P6 = 27, P13 = 27, P20 = 27, P27 = 27.

     Beweis: Sei irgend ein Paar (P,R) mit der Eigenschaft
                    P21 = 27 festgehalten.

     Stellen wir die Funktion Z in der Weise dar:

     Z(e1, e2, …, e6) = e1z1(e2, … , e6) + z2(e2, … , e6).
     Diese Darstellung ist eindeutig. Es existieren ein Tupel:
     (e2, … , e6) ∈ {0,1}5, für das z1 = 0 ist.
     Wir betrachten die Formel (1.1.) für ɳ = R9:

     Y3R9-2 = u3R9 - 3 + r + s + z(s,uP1, …, uP5) + UP6 +
          + z(uP7, …) + uP13 + z(uP14, …) + uP20 +
          + u27z1(uP22, …, uP26) + z2(uP22, …, uP26) + uP27.

     Es existieren U1M und U2M, die sich nur in der
     Komponente u27 unterscheiden, für die Z1 = 0 ist. Für diese
     nimmt y3R9-2 ein und denselben wert an und ebenso alle
     übrigen Komponenten yɳ.
     Das widerspricht der Eineindeutigkeit.
     Analog läßt sich für die übrigen 22 Fälle ein Widerspruch
     herleiten.

3.5. Äquivalente Schlüssel

3.5.1. Äquivalente Schlüssel bezüglich UN für (P0,R0)

       Sei (P,R) = (P0,R0), und wir betrachten den speziell
       ausgewählten Wert U = (000 001 000 100 100 100 100 100 000).
       Für diesen U ∈ M erhalten wir Z = (s2 + 1, 0, 0, 0, s1 + 1)
       mit den Bezeichnungen von [1; IV, §3, 3.2]. Folglich ist
       die hinreichende Bedingung für die Nichtexistenz äquivalen-
       ter Schlüssel erfüllt.
       Seien v = 1 und μ = 52, so finden wir, daß nicht weni-
       ger als 2104 paarweise verschiedene Schlüssel S ∈ s
       existieren, die nichtäquivalent bezüglich U104 sind.
       Auf der Grundlage der Folgerung am Schluß des Punktes
       3.1 kann man folgern, daß nicht weniger als 2104 paarweise
       verschiedene Schlüssel S ∈ nots existieren, die nicht äquvia-
       lent bezüglich der Folge (U104i)ni1 für beliebiges natür-
       liches N sind, wenn man diese Art von Äquivalenz für alle
       U0M definiert.

3.5.2. Äquivalente Schlüssel bezüglich der Additionsreihe

       Aus allen erhaltenen Ergebnissen darf man keine direkten
       Schlüsse über äquivalente Schlüssel bezüglich der Addi-
       tionsreihe ziehen, obgleich nach allen heuristischen
       Schlüssen die Lage positiv einzuschätzen ist. Trotz aller
       Bemühungen konnte kein annehmbarer theoretischer Weg zu
       dem Problem äquivalente Schlüssel bezüglich der Additions-
       reihe gefunden werden, welches in der vorliegenden Ana-
       lyse nach dem gegenwärtigen Stand des Wissens über die
       Chiffrierabbilung als das wichtigste Problem angesehen
       wird.
       Berücksichtigt man die Möglichkeit der zur Verfügung
       stehenden Rechentechnik, so kann man nicht mehr als 107
       paarweise verschiedene Schlüssel experimentell auf Äquiva-
       lenz prüfen, was im Vergleich mit |s| ≈ 1059 zu
       wenig ist. Unter Beachtung der Möglichkeiten der technischen
       Realisierung kann man Abänderungen in der kryptologischen
       Schaltung durchführen, z. B. je 104 Elemente der Folge
       (ui1) addieren:

        s185 , i = 1,47

       Leider vereinfacht sich durch solche Änderung die
       Aufgabe nicht.
       Man kann versuchen, theoretisch und experimentell verein-
       fachte Modelle der kryptologischen Schaltung zu untersuchen.
       Es ist jedoch kein Weg sichtbar, die in solchen Modellen
       erhaltenen Ergebnisse zu verallgemeinern.
       Aus den aufgezeigten Gründen wird das Problem der äquiva-
       lenten Schlüssel im Chiffrator des Systems OPERATION
       nicht weiter untersucht.

3.6. Äquivalente F ∈ f

     Im Chiffriersystem wird nur Zeitschlüssel verwendet. Mit
     der Folge (fi)i wird erreicht, daß zu verschiedenen Zeit-
     punkten für ein und denselben Schlüssel in der Regel ver-
     scheidene Additionsreihen erzeugt werden. Dieser wesent-
     liche kryptologische Effekt wird abgeschwächt, wenn ver-
     schiendene Abschnitte der Folge (fi)i für beliebige Schlüs-
     sel ein und dieselbe Additionsreihe erzeugen.
     (Wir bemerken, daß aufgrund

      |f| = s52 - 1 < 247 = |{0,1}47|

     für festes S gewiß solche Abschnitte existieren.)

     Definition:

     Zwei Elemente F ∈ f und F' ∈ f heißen äquivalent bezüglich
     der Additionsreihe der Länge L, wenn für festes U ∈ M,
     für alle S ∈ s gilt ΨL(U,S,F) = ΨL(U,S,F').
     Es besteht eine gewisse Analogie zu den äquivalenten
     Schlüsseln, aber natürlich auch Besonderheiten. Analog
     zu den äquivalenten Schlüsseln konnten überhaupt keine
     Ergebnisse bei der Untersuchung der Äquivalenz bezüglich
     der Additionsreihe erreicht werden, aber bezüglich ande-
     rer Arten der Äquivalenz kann man gewisse Gesetzmäßig-
     keiten exakt nachweisen.
     Man kann zum Beispiel analog zu [1; IV, §3, 3.1] die
     Äquivalenz bezüglich UN definieren.
     Der dort dargelegte Gang der Überlegung wird mit gewis-
     sen unwesentlichen Änderungen übernommen. Man erhält
     wieder die Formel (3.5).
     Hier ist jedoch ein Unterschied; Die notwendige Bedingung
     der Existenz äquivalenter Schlüssel verlangt, daß Paare
     (s1, s2) ≠ (ss1,ss2) mit der Eigenschaft (3.5) existieren,
     aber die notwendige Bedingung der Existenz äquivalenter F
     verlangt, daß für alle (s1,s2) ≠ (ss1,ss2) die Eigenschaft
     (3.5) erfüllt ist.
     In der weiteren Untersuchung dieses Problems spielt die
     Menge {ϕ-1ϕU} (über sie siehe [1; IV, §1, 4.3])
     eine Rolle.

3.7. Experimentelle Untersuchung der statistischen
     Eigenschaften der Additionsreihen            

3.7.1. Allgemeine Programmbeschreibung

       Das erarbeitete Programm für eine EDVA realisiert die in
       [1; IV, §2, 1.] beschriebene kryptologische Schaltung
       und erzeugt Additionsreihen AL = (ai)li = 1.
       Dabei ist (P,R) = P0,R0) festgelegt, U0M - belie-
       big, S ∈ nots - beliebig, α ∈ 1,27 - beliebig.
       Das Programm verfährt auf die Weise, daß U0, S, α und
       L festgelegt werden und mit ihnen N Additionsreihen AL
       berechnet werden, wobei zufällig hergestellte F ∈ notf benutzt
       werden.
       Diese N Additionsreihen sind der unten beschriebenen
       statistischen Auswertung mit den Varianten A, B, C, D,
       E unterworfen.
       Mit Hilfe eines Pseudo-Zufallsgenerators mit der Formel
       Xi = (165+1)Xi-1 + b(mod 1613), wobei b eine ungerade
       Konstante ist, werden die zufälligen F erzeugt.
       Aus der Literatur ist bekannt, daß für beliebiges
       x00, 1613 - 1 die Folge (xi)i gute statistische
       Eigenschaften besitzt.
       Der Wert x0 ergibt sich automatisch durch Ausnutzung der
       Uhr in der EDVA und des Datums. Damit garantiert,
       daß sich bei richtiger Arbeit des Programms keine x0-Wert
       im Lauf eines Jahres wiederholen kann.
       Schließlich wird (yi)i = 1,2,.. = (x3i)i=1,2,…
       gebildet. Die werte yi sind die zufälligen F.

3.7.2. Beschreibung der Statistiken und Varianten

       Definieren wir Zahlencharakteristiken der Additionsreihe
       AL = (ai)li1, welche durch das Programm berechnet werden.
       Wir bezeichnen durch Ali, j = 1,N, die Additionsreihen,
       die mit einem Schlüssel berechnet werden.
       t1(AL) = s188a - Anzahl der Einsen in AL.

       T1 = s188b.
       t2,k(AL), K = 0,31 - Anzahl der Polygramme der Länge 5
       derselben Art in AL, wobei eine Überlappung zugelassen
       ist. (d. h., es werden alle Tupel aiai+1ai+3ai+3ai+4)
       für alle i = 1,L-4 berücksichtigt.)

       T2K = s188c

       t3K(AL), K = 1,L - Anzahl der Serien (der maximalen
       Teilfolge gleicher Elemente) der Länge K in AL.
       t30(AL) - Anzahl der Serien in AL, deren Länge
       über K hinausgeht, K ist eine feste Zahl aus dem Intervall
       1,L-1.
       T3K = s188d, K = 0,L.
       t4(AL) = s188e(Anzahl der Serein in AL)
       T4 = s188f
t5(A47) ={t1(A47)≤ 23, t1(F)≤ 25
≤23≥ 26
≥24≤ 25
≥24≥ 26,
       wobei A47 gerade mit dem F ∈ notf gebildet wird, für welches
       t1(F) - Anzahl der Einsen in F = (f1, f2, …, f52) - be-
       rechnet wird.

       T5K = s189a, K = 0,3,

       wobei δ(a,b) das Kronecker - Symbol (δ(a,a) = 1,δ(a,b) = 0)
       für a≠b).
t6(A1) ={0a1 = a1 = 0
1a1 = 0, 11 = 1
2a1 = 1, 11 = 0
3a1 = a1 = 1,
       wobei a1 mit Hilfe von F = (f1,f2, …, f51, f52) gebil-
       det wird, und a1 mit Hilfe von F = (f1, f2, …, f51, f52+1).

       T6K = s189b, K = 0,3.

       Das Programm läßt folgende Varianten zu:

       Varianten A und B

       T1, T2K (K = 0,31), T3K (K = 0,K), T4 werden für
       L = 47 (A) oder 48 ≤ L ≤ 10 000(B) berechnet und ausge-
       geben.
       Außerdem werden folgende Werte berechnet und ausgegeben:

       s189c;

       s189d;

       T2(δ), δ = 1, 2, 3 - die Zahl der Werte T2K im Intervall

       s189e.

       Variante C

       Sie berechnet und gibt aus T1 für L = 1.

       Variante D

       Sie berechnet und gibt aus T5K, K = 0,3, für L = 47.

       Variante E

       Sie berchnet und gibt aus T6K, K = 0,3 für L = 1.

3.7.3. Zu erwartende Ergebnisse

       Es wird erwartet, daß die Additionsreihen die statistischen
       Eigenschaften zufälliger, gleichwahrscheinlicher, vonein-
       ander und von F unabhängiger Folgen aufweisen. Das ist die
       Grundhypothese, die durch die oben aufzeigten Statistiken
       geprüft wird.
       Sei AL ein Zufallsvektor, der alle 2L Werte aus {0,1}L
       gleichwahrscheinlich annimmt. Analog sei F ein Zufallsvek-
       tor, der alle 252 Werte aus notf gleichwahrscheinlich annimmt.
       Dann sind t1, T1, t2k usw. Zufallsgrößen, deren Wahrschein-
       lichkeitsverteilung eindeutig definiert ist.
       Wir bezeichnen durch p(ξ = x) die Wahrscheinlichkeit da-
       f+r, daß die Zufallsgröße ξ den Wert x annimmt, durch Mξ
       die mathematische Erwartung und durch Dξ die Dispersion
       der Zufallsgröße ξ.
       Es nehme ξ die Werte x1,x2, …, xn mit den entsprechen-
       den Wahrscheinlichkeiten p1, p2, …, pn an. Dann gilt
       nach Definition:

       Mξ = s190 und Dξ = M(ξ - Mξ)2.

       Mit der Statistik T1 wird die Häufigkeit des Auftretens
       der Eins in den Additionsreihen geprüft. Es ist

       p(t1 = x) = s1x1 x = 0,L

       p(NT1 = x) = sn1x x = 0,NL

       woraus folgt MT1 = L/2, DT1 = L/4N.

       Der beobachtete Wert T1 muß die Wahrscheinlichkeit ≈ 68 %
       im Intervall [s191a], mit Wahrscheinlichkeit
       ≈ 96 % im Intervall [s191b] und mit Wah-
       scheinlichkeit ≈ 97 % im Intervall [s191C]
       liegen.
       Die Statistik T2K überprüft die Häufigkeit des Auftretens
       der Polygramme der Länge 5. Abweichungen von den theoretischen
       Werten würden, bei Übereinstimmung der theoretischen und beobach-
       teten Werte für T1, auf Abhängigkeit zwischen aufeinander-
       folgenden Additionseinheiten schließen lassen. Betrachten wir die
       Zufallsgröße t2K für festes K. Wenn man aufeinanderfolgende
       Polygramme in AL als unabhängig voneinander ansieht (was nicht
       ganz korrekt ist), so kann man die Binominalverteilung annehmen:

       p(t2,K = x) = s191d, x = 0,L-4

       Dann ist

       Mt2K = s1432, Dt2K = s191e,

       woraus bei Betrachtung der Summe NT2K unabhängiger Zufalls-
       größen folgt

       MT2K = s1432, DT2K = s191e; K = 0,31.

       Analog zu T1 kann man entsprechende Intervalle angeben
       (sogenannte δ - Bereiche):

       s192a, δ = 1,2,3

       In denen der Wert T2K mit der angegebenen Wahrscheinlichkeit
       (68%, 96%, 99,7%) liegen muß.

       Indem wir die Gleichberechtigung aller T2K bzgl. K berücksichtigen
       und die als unabhängig ansehen, kann man den Ausdruck

       s192b

       betrachten, der für N → ∞ gegen die X2-Verteilung mit
       31 Freiheitsgraden strebt. Aus der Literatur ist bekannt
       [3, Seite 551], daß für diese Verteilung sein muß:

       mit Wahrscheinlichkeit ≈ 50 %  X2 ≤ 30
       mit Wahrscheinlichkeit ≈ 95 %  X2 ≤ 46
       mit Wahrscheinlichkeit ≈ 99 %  X2 ≤ 52.

       Auf Abhängigkeiten zwischen aufeinanderfolgenden Additions-
       einheiten würden auch Abweichungen von den theoretischen Werten
       der Statistiken T3K hingewiesen.

       Die Verteilung der Größen t3K wurde in [4] untersucht.
       Es gilt

       Mt3K = s193a, K = 1,L-1
       Mt3L = s193b, K = 1,L-1

       Da T3K laut Definition eine Summe von Zufallsgrößen t3k
       darstellt, folgt hieraus

       MT3K = s193c, K = 1,L-1

       MT3L = s193d

       Man kann t30 als Summe zufälliger Größen betrachten:

       t30 = t3,K+1 +        t30 = t3,K+2 + … +        t30 = t3,L

       Dann erhalten wir

       Mt30 = s193e

       Hieraus folgt

       MT30 = s193f

       Wir bilden die Größe

       s193g

       Es wird erwartet, daß sie für N → ∞ gegen die X2-Verteilung
       Mit K Freiheitsgraden strebt. Man muß einen geeigneten Wert
       für K festlegen.

       Für die Anzahl aller Serien t4 erhalten wir aus [4]

       Mt4 = s112, Dt4 = s114;

       für L → ∞ nähert sich die Verteilung t4 der Normalverteilung.
       Wenn wir die unabhängigen zufälligen Größen aufsummieren,
       erhalten wir

       MT4 = n112, DT4 = n114.

       Entsprechend muß sich mit Wahrscheinlichkeit 68 %, 96 %, 99,7 %
       der beobachtete Wert T4 in dem Intervall

       s194a, δ = 1,2,3

       befinden.

       Wir betrachten t5. Wenn man A47 und das ihr entsprechende F als
       voneinander unabhängig vorausgesetzt, so sind die zufälligen
       Größen t1(A47) und t1(F) unabhängig. Wir haben

       P[t1(A47) = x] = 194b, x = 0,47,


       P[t1(F) = x] = 194b, x = 0,52.

       Wenn man bezeichnet c = 195a ≈ 0,1101, so ist

       P[t1(A47) ≤ 23] = p[t1(A47) ≥ 24] = 1/2,
       p[t1(F) ≤ 25] = p[t1(F) ≥ 27] = 1/2 * c/2,
       p[t1(F) ≥ 26] = p[t1(F) = 26]+p[t1(F) ≥ 27] = 1/2 + c/2.

       Wenn man die Unabhängigkeit von A47 und F ausnutzt, so folgt

       P(t5 = 0) = p(t5 = 2) = (1 - c)/4,
       P(t5 = 1) = p(t5 = 3) = (1 + c)/4.

       Für NT5K erhalten wir die Binomialverteilung

       P(NT5K = x) = s195b, x = 0,N, K = 0,3.

       Folglich ist

       MT5K = p(t5 = K),
       DT5K = s1n p(t5 = K)*[1-p(t5 = K)].

       Die Zahlenwerte sind:

       MT50 = MT52 = 0,222       MT51 = MT53 = 0,278
       DT50 = DT52 = s1n * 0,17   DT51 = DT53 = s1n * 0,20

       Der beobachtete Wert T5K muß sich mit Wahrscheinlichkeit 68 %
       oder 96 % oder 99,7 % im Inervall

           MT5K ± dt5; δ = 1, 2, 3

       befinden. Abweichungen würden auf Abhängigkeiten zwischen A47
       und F hinweisen. Eine solche Abhängigkeit kännte für die Dekryptierung
       (Ordnung der Additionsreihen nach Wahrscheinlichkeit) ausgenutzt
       werden, da F dem Dekrypteur bekannt ist.

       Man Muß auch fordern, daß sich Abhängigkeiten zwischen ver-
       schienen F nicht in den Additionsreihen widerspiegeln. Mit
       diesem Ziel wird T6K untersucht.

       Es muß gelten

         P(t6 = K) = 1/4, K = 0,3,

       Folglich ist

         P(NT6K = x) = s196a, x = 0,N, K = 0,3.

       und deshalb ist

         MT6K = 1/4, DT6K = n1 * 3/16, K = 0,3.

       Der beobachtete Wert T6K muß sich mit Wahrscheinlichkeit
       68 %, 96 %, 99,7% im Intervall iv, δ = 1, 2, 3
       befinden.

3.7.4. Beobachtete Resultate

       Es wurden 32 Schlüssel untersucht; drunter einige
       reguläre, z. B. S0 = ((0,0),(0,0), …, (0,0)) ∈ nots
       Entweder bzgl. der Varianten A + C + D + E oder bzgl.
       der Variante B. Die Gesamtzahl der Additionsreihen beträgt
       für A - 15220, für B - 32 (der Länge L = 10 000).
       In allen Fällen gilt α = 1,
         U0 = (000 000 011 011 111 111 100 000 000).
       Die Resultate bzgl. der Varianten A + C + D + E siehe
       Tabelle I. Hier bedeutet z. B. δT1 = +2, daß der
       beobachtete Wert T1 im Intervall

       iv1 liegt.

       Kmax bezeichnet den Wert K, für den max T2K erreicht
       wird, Kmin - analog.
       Die Abweichung von der Gleichverteilung bzgl. Kmax
       und Kmin ist dadurch zu erklären, daß die Voraussetzung
       in Punkt 3.7.3. über die Unabhängigkeit aufeinanderfolgender
       Polygramme nicht völlig korrekt ist.

       Der Wert K wurde so gewählt, daß gilt MT3K ≈ 5.
       Für N = 1000 ist K = 12, für die restlichen N-Werte ist
       K = 14.

       Die Resultate bzgl. der Variante B siehe Tabelle II, hier ist
       überall K = 10.

       Folglich: Die beobachteten Resultate unterstützen die
       Hypothese, daß die Additionsreihen die statistischen Eigen-
       schaften zufälliger, gleichverteilter, voneinander und von
       F unabhängiger Folgen besitzen.

       Bemerkung: In dem Dokument Erste Ergebnisse statistischer
Untersuchungen der Additionsreihe, GVS 020-623/73, müssen
       auf den Seiten 2 und 6 die Werte

         x2t2, T2 (1), T2 (2), T2 (3) und 2t3

       durch die in Tabelle I, N0 29 (S. 2) und N0 30 (S. 6)
       angegebenen Werte ersetzt werden. Außerdem muß der Buchstabe
       L durch K und M durch L ersetzt werden.
TAБЛИЦA I
Tabelle I
N01213141516171829303132
N1000100010001000100010001000150072019004100
T123,51523,51923,45423,4823,44623,54923,4523,46223,76523,53923,527
δT1(A)+1+1-1-1-1+1-1-1+3+1+1
kmax0009312110281921290018/31
kmin1823073123201025060200
T2(1)2428222421251925182720
T2(2)641079712513411
T2(3)20012012111
x2t22715221931,2153222,540,317,136,9
T3044315210254
2t312,774,458,9711,5012,387,6119,928,3610,8118,5812,97
δT4-3+1+1+1-1-1-1+2-1+2+2
δT1(C)+1-1-2-2-1-2+1+2+2+1-2
δT50+1+2+1+1+1+2+1-1-1+1-1
δT51-1-1+2+1+1-1+1+1-1-1+1
δT52+1-2-2-1-2-1+1-2+1+1-1
δT53-1-1+1-1+1-1-2+1+1+1+1
δT60+1+1+3+1+1+2-2-1±0-1+3
δT61-2-1-1+2±0+1+2-2-3+1±0
δT62+1-1-2±0+1-1-1±0+1+1-2
δT63+1-1+1-2-1-1+1+2+2+1-2

TAБЛИЦA II
Tabelle II
N0123456789101119202122232425262728
N222222222221111111111
T149765085,55018,5500550065015,54964,54971,54968,55003,549674953500849524908495449744945498350304966
δT1-1+3+1+1+1+1-2-1-1+1-1-1+1-1-2-1-1-2-1+1-1
kmax00310621000400310509000218000600/1810121813/311/16/20
kmin1900/12002801/1613061926021703171431263131001018
T2(1)301225241819242224202217182522262326212621
T2(2)1134719710510812116959410610
T2(3)132124103213210102101
x2t212,377,36233,2623,3440,5750,0924,91429,21629,0629,9238,27446,38753,54523,4632,618,27522,42525,22428,13422,01329753
T309951113781113994736423334
2t312,3714,657,88,724,558,7414,6713,324,029,0322,8014,3810,878,8510,995,739,179,987,236,235,19
δT4-1+1+2+1-1+2-1-1+1-1+1+2-1-1+1-1+1+1+2-1+1
4. Ausführungen zu Kapitel V

4.1. Methoden zur Bestimmung des Schlüssels

4.1.1. Wir betrachten die Komponentenfolge (uia)nio für
       festes α ∈ 1,27 und N ≥ 52, für beliebig festes U0M
       in Abhängigkeit von F ∈ notf.
       Dann sind für gegebenes S ∈ nots für alle 252 Folgen paarweise
       verschieden auf Grund der Eigenschaften der Abbildung ϕ.
       Legen wir eine gewisse eineindeutige Zuordnung zwischen
       der Menge {0,1}52 und der Menge der Zahlen 1,252 fest.
       Dann kann man für gegebenes S die Gesamtheit der Komponenten-
       folgen als Permutation Π(S) dieser Zahlenmenge betrachten,
       indem man (uia)s52 berücksichtigt. Die Eigenschaft Π(S) = Π(S')
       für bestimmte S ≠ S' ist gleichbedeutend mit der Äquivalenz
       dieser Schlüssel bezüglich der Folge (uia)s52 für festes
       U0M.

       Für α = 1 folgt aus der Darstellung

       (*) uj1 = sj1 + fi + ssi21 + T1(si2,Ui1p); i = 1,52
       daß für einen gegebenen Platz in der Permutation
       Π(d. h. für gegebenes F) 252 * 452 Schlüssel existieren,
       für die Π(S) an dieser Stelle übereinstimmen.

       Die Aufgabe besteht in der Bestimmung von S, falls Π(S)
       teilweise oder vollständig bekannt ist.
       Falls Π(S) bekannt ist, dann ist S bis auf äquivalente
       (im obigen Sinne) Schlüssel bekannt.
       Wenn ein Element der Permutation Π(S) bekannt ist, so sind
       2156 Elemente S ∈ nots bekannt, die an gegebener Stelle in Π
       das bekannte Element besitzen.
       Wieviel Elemente von Π(S) müssen bekannt sein, um S
       eindeutig bestimmen zu können?
       Seien zwei Elemente von Π(S) bekannt. Wir betrachten und
       vergleichen die Gleichungen, die (*) entsprechen,
       für S ∈ und S' ∈ nots, sowie für die Elemente F1notf und F2notf
       für die Elemente von Π(S) bekannt sind. Die gleichzeitige
       Erfüllung aller dieser Gleichungen ist dann wenig wahr-
       scheinlich, wenn sich die Komponenten von F1 und F2 bereits
       für kleine i unterscheiden.
       Deshalb ist in der Regel damit zu rechnen, daß sich aus der
       Kenntnis zweier Elemente von Π(S) der Schlüssel schon eindeutig
       ergibt. Die Nichteindeutigkeit ist dann wahrscheinlich, wenn
       sich F1 und F2 unwesentlich und nur in den letzten Stellen
       (für i ≈ 52) unterscheiden.
       Das Problem der Bestimmung von S, ausgehend von den
       Komponentenfolgen für verschiedene F wurde bereits in
       [1; V, §1, 4.3] betrachtet.
       Die dort und hier erhaltenen Resultate ergänzen einander.
       Bei der praktischen Bestimmung ergibt sich S auf dem in [1]
       gezeigten Weg.
       Um den Realen Wert dieser Methode einzuschätzen, muß man
       berücksichtigen, daß der Dekrypteur nicht schwerer die
       Klartexte oder den Schlüssel bekommt, als die Kompo-
       nentenfolge.

4.1.2. Betrachten wir einen festen Langzeitschlüssel (P,R,α,U0).
       Wir zerlegen nots in Äquivalenzklassen Ki, i = 1,247
       in Abhängigkeit von F ∈ notf, wobei in einer Klasse alle S ∈ nots
       enthalten seinen, die bei diesem F die gleiche Additions-
       reihe AL mit L = 47 erzeugen.
       Wir setzen bekannte Additionsreihen A1, A2, …, An
       voraus, die durch paarweise verschiedene (bekannte)
       F1, F2, …,  Fn und ein und dem selben (unbekannten) S
       erzeugt sind.

       Dann ist

       S ∈ S207A.

       Indem man die Zerlegung von nots in Klassen ausnutzt, kann
       man S bei hinreichend großem n als eindeutig bestimmbar
       ansehen.
       Im Mittel ist |Ki| = 2208-47 = 2161, obgleich starke
       Abweichungen möglich scheinen (denkbar ist sogar, daß
       einige Klassen leer sind).
       Wenn die erste Additionsreihe A1 und F1 bekannt ist,
       kann man die Zahl der möglichen Schlüssel im Mittel von
       2208 auf 2161 verringern. Kennt man die zweite Folge
       A2 und F2, kann man eine andere Klasse bestimmen.
       Der Durchschnitt beider Klassen enthält im Mittel
       2208-2*47 = 2114 Elemente.
       Weiter fortgesetzt verbleiben nach der Auswertung von
       drei Additionsreihen 267 und nach der Auswertung von
       vier Additionsreihen 220 Schlüssel im Mittel.
       Im Mittel mit der fünften Additionsreihe wird der Schlüs-
       sel eindeutig bestimmt, und die Aufgabe ist gelöst.
       Kann man diese Methode in der Praxis anwenden?
       Im ersten Schritt muß der Durchschnitt der Klassen gefunden
       werden, die  F1 und F2 entsprechen. Dazu muß jedes von
       2161 Elementen der ersten Klasse verglichen werden. Diese Zahl
       ist im Mittel nicht kleiner als 2161, sogar wenn die
       Elemente in der Menge nots wohl geordnet sind, betrachteten
       wir beispielsweise nots als die Zahlenmenge {1,2, …, 2208},
       und daher ist dieser Weg in der Praxis untauglich.
       Die Anzahl der Elementaroperationen kann daher nicht zu
       einer hinreichend kleinen Zahl absinken. Die betrachtete
       Methode erfordert außerdem die Berechnung und Speicherung
       von 252 Zerlegungen der Menge nots in Klassen, was in der
       Praxis unmöglich ist. Folglich vereinfacht diese Methode
       nicht die Lösung des Problems der Rekonstruktion des
       Schlüssels.

4.2. Über Dekryptierbarkeit ohne Rekonstruktion des Schlüssels

4.2.1. Wir betrachten die Aufgabe der unmittelbaren Erarbeitung
       einer Information aus Geheimtexten, ohne den Schlüssel
       selber zu rekonstruieren. Wir setzen voraus, daß alle
       Additionsreihen zufällige, gleichwahrscheinliche und
       voneinander unabhängige Folgen der Länge 47 sind. Das heißt,
       die Situation ist eben die wie bei einer Chiffrierabbildung
       mit garantierter Sicherheit. (Dies ist die einzig mögliche
       Voraussetzung, da es keinerlei Hinweise darauf gibt, wie man
       die vorhandenen Abhängigkeiten zwischen den Additionsreihen
       ausnutzen könnte)

4.2.2. Zuerst betrachten wir identische Additionsreihen.
       Die Wahrscheinlichkeit dafür, daß zwei gegebene Addi-
       tionsreihen identisch sind, ist gleich 2-47.
       Wir bezeichnen mit G = (g1, g2, …, g47)
       den Grundtext und mit A = (a1, a2, …, a47)
       die Additionsreihe. Dann wird der Geheimtext C = (c1, c2, …, c47)
       nach der Formel C = G + A = (g1 + a1, g2 + 12, …, g47 + a47)
       gebildet.
       Wir formulieren notwendige Bedingungen dafür, daß ein
       gegebenes Paar von Geheimtexten (C1, C2) ein und
       dieselbe Additionsreihe hat.

       (N1) Cli + Cs2i = 0, für i = 3,6

       Das folgt daraus, daß die Elemente gi, i = 3,7,
       bei allen Klartexten konstant sind, [1; I, §2];
       mit Ausnahme von Blendtexten, die uns nicht interessieren.

       (N2) s209a

       Das folgt daraus, daß das Element g41 (Parität) eindeutig
       durch die Summe s209b bestimmt ist.
       Aus den Eigenschaften der Codesicherung I folgt (N3)
       Die Summe C1 + C2 ist ein Codevektor.
       Wenn man berücksichtigt, daß man aus dem Blendtext keinerlei
       Informationen erhalten kann, so können nur solche Texte
       interessieren, die keine Blendtexte sind. Für sie nimmt
       g2 einen festen Wert an. Folglich:

       (N4) Ct12 + Cs22 = 0

       Wir berechnen jetzt die Zahl der Paare (C1, C2),
       die (N1) - (N4) genügen, wobei wir die entsprechenden
       A1 und A2 als unabhängig voraussetzen und Blendtexte
       nicht berücksichtigen.
       Dann genügt das gegebene Paar (C1, C2) (N1) mit
       (N4) - 2-1. Folglich sind unter n Paaren von Geheimtexten
       (ohne Blendtexte) im Mittel n * 2-12 Paare, die (N1) - (N4)
       genügen.
       Der Dekrypteur habe 224 ≈ 16 000 000 Geheimtextblöcke
       ohne Blendtexte zur Verfügung. Sie bilden (s2242) ≈ 247 Paare,
       unter denen im Mittel ein Paar mit ein und derselben
       Additionsreihe ist. Wenn man die Kriterien (N1) - (N4)
       anwendet, verringert sich die Zahl der Paare, die man für
       die weitere Verarbeitung speichern muß auf 235 ≈ 3 * 1010.
       Da es nicht gelingt andere notwendige oder gar hinreichende
       Kriterien zu finden, folgt hieraus klar, daß es faktisch
       nicht gelingt, die Paare (C1, C2) zu finden, die ein und
       dieselbe Additionsreihe besitzen.

4.2.3. Wir setzen voraus, daß der Dekrypteur trotz allem weiß
       (oder mit hinreichend großer Bestimmtheit annimmt), daß
       das gegebene Paar ein und dieselbe Additionsreihe besitzt.
       Dann kann man ausnutzen, daß die Frequenz und die Zusatz-
       information im Code BCD 2421 dargestellt werden.
       Das bedeutet, daß an den Stellen

          G(i) = g7+4i g8+4i g9+4i g10+4i i = 0,7

       nur 10 von 16 möglichen Werten aus {1,0}4 stehen können.
       Für A1 = A2 kann man schreiben

          G2 = G1 + C1 + C2.

       Wenn G1kik 10 BCD-Werte durchläuft, so nimmt nicht in
       allen Fällen Gs2kik auch BCD-Werte an, im Mittel nur in ≈ 2/3
       aller Fälle. In einem beliebigen Fall, jedoch ergeben sich
       zumindest einige vereinbare Paare (G1kik,Gskik).
       Wenn der Dekrypteur das Nachrichtennetz so gut kennt, daß
       er die Klartexte nach Wahrscheinlichkeit ordnen kann
       (diese Annahme ist genügend realistisch) so kann er das
       Paar (G1,G2) finden, das mit der größten Wahrscheinlichkeit
       (C1,C2) entspricht.
       Die Sicherheit der Chiffrierabbildung sinkt damit nicht ab,
       weil solche Paare nur mit Wahrscheinlichkeit 2-47 auftreten
       und das am meisten wahrscheinliche Paar durchaus nicht
       das richtige sein muß.

4.2.4. Wir betrachten den Fall der im gewissen Sinne "nahen"
       oder abhängigen Additionsreihen, zum Beispiel
       A2 + A2 = (1, 1, …, 1) oder (0, 0, …, 1, 0, …, 0)
       oder asli = as2ik für festes K und gewisse i.
       Man kann notwendige Kriterien für die Erfüllung solcher
       Beziehungen finden. Aber aufgrund der geringen Wahrschein-
       lichkeit dieser Ereignisse und der geringen Effektivität
       dieser Kriterien gelingt es faktisch weder solcher Paare
       zu finden, noch sie auszunutzen.

4.2.5. Folglich: Das Dekryptieren ohne Rekonstruktion des
                 Schlüssels ist in der Praxis unmöglich.

4.3. Der Einfluß der Blendnachrichten auf die kryptologischen
     Eigenschaften des Systems OPERATION                     

     Bei störungsfreier Arbeit der Technik und ihrer vorschrifts-
     mäßigen Bedienung unterscheiden sich die Blendnachrichten
     auf dem Kanal in keiner Weise von operativen Nachrichten.
     Von 241 theoretisch möglichen Klartextblöcken können
     240 als Blendklartexte auftreten.
     Die Eigenschaften des Polynoms x41 + x38 + 1, das der
     rekurrenten Folge entspricht, die die Blendblöcke bildet,
     garantieren, daß alle 240 Blöcke in der Praxis etwa gleich
     oft auftreten werden. Unmittelbar aufeinanderfolgende
     Blöcke sind durch die rekurrente Gleichung verbunden.
     Diese Verbindung auszunutzen ist jedoch für en Dekrypteur
     nicht einfacher, als die Eigenschaften der operativen
     Klartexte auszunutzen.
     Da die Übermittlung der Blendnachrichten durch Tastendruck
     verwirklicht wird, beeinflussen subjektive Faktoren
     wesentlich die Effektivität der Blendnachrichten. Man muß
     genaue Vorschriften für ihre Verwendung formulieren.
     Technische Mängel bei der Erarbeitung und Übermittlung von
     Blendnachrichten können durch die Wirkung der Blockierungen
     nicht zu einer Verringerung der kryptologischen Sicherheit
     führen.

5. Zusammenfassung

5.1. Zusammenfassung der Resultate

     Die Untersuchung der zyklischen Struktur der Abbildung
     ϕ(0,0,0) zeigt, daß bei der Wahl des Langzeitschlüssels
     (P,R) = (P0,R0) und U0 entsprechend den Hinweisen in
     [1; Zusammenfassung, 3.2] die Zustandsklasse nicht weniger
     als 92,2 * 106 Elemente enthält.
     Für (P0,R0) ist die in [1] erarbeitete hinreichende
     Bedingung für die Nichtexistenz äquivalenter Schlüssel
     bzgl. UN erfüllt.
     Die experimentelle Untersuchung unterstützt die Hypothese,
     daß die Additionsreihen die statistischen Eigenschaften
     zufälliger, gleichverteilter unabhängiger Folgen besitzen.

     Die Suche nach weiteren Methoden der Bestimmung des Schlüssels
     und die Untersuchung der Aufgabe des Lesens der Chiffrier-
     abbildung ohne den Schlüssel zu bestimmen zeigen, daß die
     kryptologische Sicherheit der Chiffrierabbildung den For-
     derungen genügt.
     Das System der Erarbeitung und Verwendung von Blendnachrichten
     genügt den Forderungen.

5.2. Wichtige, ungelöste Probleme

     - Äquivalente Schlüssel bzgl. der Additionsreihe
     - Analytische Abhängigkeit der Additionseinheiten
       von den Anfangswerten
     - Periode der Additionsreihe
     - Theoretische Begründung der statistischen Eigenschaften
       der Additionsreihe
     - Bilden alle Zustände eine einzige Klasse?

5.3. Richtungen der weiteren Untersuchung

5.3.1. Untersuchung der Funktion hia (siehe Punkt 3.3.
       dieser Ergänzung).

5.3.2. Untersuchung vereinfachter Modelle von Chiffrier-
       abbildungen


Schlußfolgerungen

Die Schlußfolgerungen der Analyse [1] bleiben gültig.

Krey                  Helbig
Hauptmann             Oberleutnant

Einverstanden         Leiter der Unterabteilung

                      Hübler
                      Major

Literatur:

[1]  Kryptologische Analyse des Chiffrators des Systems
     OPERATION, GVS MfS 020 747/73

[2]  Die Zyklenstruktur der Abbildung ϕ im Chiffriersystem
     des Systems OPERATION, GVS MfS 020 867/73

[3]  KENDALL, STUART: Theorie der Verteilung, Übersetzung
     aus dem Englischen ins Russische, Moskau 1966

[4]  GONTSCHAROW: aus dem Gebiet der Kombinatorik, russisch,
     Nachrichten der Akademie der Wissenschaften der UdSSR,
     math. Serie, 8 (1944)