主题：【原创】密码传奇（三）：17、怪异的AE -- 1001n

诺克斯的故事头绪不少，从哪里开始讲比较好呢？想来想去，还是从ENIGMA家族中，一种名气不大不小的机型开始说起吧。它，就是军事情报署型ENIGMA，一般称为Abwehr ENIGMA（以下擅自简称为AE ）。

AE全称中的“Abwehr”，在德语里有“防御，抗击”的意思；而据1001n分析，其实应该是Abwehrdienst的简称，即“反间谍机关”，针对当时的德国而言，一般翻译为军事情报署。此外，说到Abwehrdienst的后缀“-dienst”，也有个有意思的地方：“dienst”意为“部门，机关”，而在密码对抗史中，还有不止一个这样的dienst，让英国人伤透脑筋。不过，这是以后篇章的内容，这里就先按下不表了。

如我们在【纯技术篇】里所看到的那样，三军装备的ENIGMA之间的差别相当之大。德国军事情报署作为ENIGMA的买主，自然也有权要求厂家改变配置。只不过，最后改型出来的AE，也实在是有点怪兮兮的。

在介绍具体AE的特性以前，们不妨先来看一看：在已经有了不少军用型号的ENIGMA之后，军事情报署为什么认为有必要开发自己型号的ENIGMA呢？看清了它的思路，不仅于有助于我们知其然并知其所以然，也更有利于明白为什么在种类繁杂的ENIGMA家族中，AE会成为英国人的第一个刀下之鬼。

军事情报署，从名字上看，是个搞情报的单位。事实上，这样的单位往往还同时兼着与名字相反的另一项任务，就是所谓的“反情报”工作。这样名副其实同时又名不副实的例子在军队中并不少见，比如我军的防化兵就是——想有效防化，起码先该搞清楚化学武器是什么吧——扯远了，赶紧拉回来。

由于军事情报署的这个特性，就决定了它既要派遣间谍，又要防止渗透。对无线电通信特别是使用ENIGMA发报而言，这就产生了两个需求：第一，间谍携带和使用的机器，最好与众不同。这样，即便其它型号的ENIGMA被敌人攻破，身处敌占区的间谍起码不会因此被一窝端；第二，从反情报的角度说，它本身就是最敏感的事务，必须要求绝对保密。想来想去，要求开发出独立的ENIGMA应该就是顺理成章的了——这是大原则方面的考虑。

同时，间谍有时会发送超长篇幅的电报，以便详细地描述自己的情报发现，甚至有可能是获取了敌方文件后，直接拍发回来。这就产生了一个问题，那就是，在面对长文本的加密时，ENIGMA够不够保密？——这是具体技术细节方面的考虑。

在【纯技术篇】中，1001n已经提到ENIGMA转轮组中有三个转轮，在设置了进位点和特殊的步进、进位机制后，它的密钥周期长度是 26 * 25 * 26 = 16900 。

那么，这个16900又意味着什么？

如果我们打个通俗的比方，其实可以把这个密钥周期理解为换字表的总数量。总共16900张换字表，每加密一个字母就换一张换字表，就意味着在加密第1个字母时所用的换字表，和在加密第（ 1 + 16900 = 16901 ）个字母时，所使用的换字表是相同的；加密第2个字母和加密第16902个字母所用的换字表是相同的，以此类推。

这也就是说，换字表虽然多，但是经过16900次使用以后，会出现循环现象。更要命的是，这是全部的换字表——也就是说，密文中的每个字母都必然是通过这16900张换字表其中的某张映射而来，童叟无欺。

从理论上讲，这就有了一个破绽：由于加密第1个字母，和加密第16900个字母，甚至加密第（ 1 + 16900 + 16900 = 33801 ）……个字母时，用的都是同一张换字表；那么，如果有心人能够积累足够多的电文，他只要简单地挑出特定位置的密文字母，再使用频率分析，就肯定能击破对应那一个特定位置的那一张换字表；以此类推，全部一万多张换字表都被破解，也绝对不是不可能的事。

在破译实践中，即便不考虑转轮组以外其它的加密方式的影响，仅仅由于ENIGMA选定的转轮是可更改的，次序也是可变的，进位点也可以调整，实际上拥有的换字表就已经当然不止这16900张。这样一来，想要破解，当然也更麻烦得多，但以上的办法，也总算一条思路。比如，雷杰文斯基的破译方式其实就有这个思路的影子；当然，他的选定目标和后续步骤可要聪明的多了——具体细节，在【波兰篇】里已经讲的很多了。

因为这个原因，军事情报署的人就不得不思考：万一间谍必须使用ENIGMA来拍发长文，会怎么样？尽管为了防范对手的密码分析，当时德国人曾经非常明智地规定：使用ENIGMA拍发电文，每次不得超过500字，过长的电文必须截成几封乃至十几、几十封发——但是，万一有特殊情况呢？同时，即便不是为长文而设，这16900的密钥周期是不是也太短了点？

在密码分析实践中，长报文当然是极受欢迎的；但是对手也不傻，不会这么白给你送礼。因此，能截获的电文，总的来说还是以短文居多；对比当时日本人的电文习惯就能看出，一份冗长的明文，那一定是要切成很多截才发出的——即便如此，日本人的电文还是太长了，这里暂且不表——目的就是为了消灭过长的明文可能对密码系统造成的危害。

在只能截收到短消息的前提下，破译的另一个技术性指标——“报文量”就非常重要了，道理也不难理解：截收的电文越多，越有利于进行密码分析。这样就有了所谓“报文临界量”的概念，也就是说，当截收的电文数量多到某个程度，则整个密码系统就有被攻破的危险。

而具体要积累多少电文才能完成破译，可不是一个常数，而是一个相对的概念；在密码分析中，一般把这个即将引发质变的电文累积量称为报文的“临界量”。临界量是多少，跟加密手段有关系，跟报文长短有关系，跟发报员是否恪守无线电纪律也紧密相关。

其中，如果能延长密钥周期，也可以提高这个报文临界量的门槛。如此说来，无论是从拍发长文的需要，还是增加对手破译难度的角度来看，密钥周期都是越长越好；这个思路，也就成为AE研制的主要立足点。

显而易见，解决“密钥周期短”的办法只有两个：延长密钥周期，或者，叠加其它类型加密，构成复合加密来摧毁这个要命的特征。

延长密钥周期的办法并不太多：如果转轮上还是只有26个字母的话，那么，就只能在转轮个数上做文章了。军事情报署的选择很简单：再加一个转轮。这样一来，密钥周期一下拓展成原来的26倍，可谓省心省力。

这个选择很自然，但我们还是要说，AE是种怪兮兮的密码机。那么，它究竟又怪在哪里呢？

很简单，它没有复合加密机制——换言之，它根本就没有连接板！

自从1930年陆军使用的ENIGMA出现了连接板以来，这个很有特色的配件已经推广到了所有的ENIGMA机器上。而在九年之后的1939年，新诞生的AE居然莫名其妙地取消了连接板，岂非是在疯狂地大开历史倒车？军事情报署的密码安全负责官员为何做出这等蠢事，现在实在不得而知，或许他们认为，只要这个周期看上去足够的大，就不可能被破译了吧？

为了增加ENIGMA的安全强度，他们又瞄上了转轮组的运行机制。显然，它转得越复杂、越眼花缭乱越好；为此，当其它型号ENIGMA的每个转轮上，一般只有一个、最多两个进位点的时候，AE的每个转轮上，赫然竟分别有11、15、19个进位点！如他们所愿，转轮组一转起来，果然是非常复杂：转轮往往加密不了几个字母就要忙着进位，而几个转轮都是如此的话，整个转轮组的运行就变得空前复杂，其规律简直是匪夷所思。

其次，跟海军的M4型ENIGMA类似，AE的反射板也会旋转。这么一搞，AE就变成了有四个转轮、反射板可以旋转的型号，倒可以看成是M4的精简版了——问题是，AE恰恰精简掉了最不该缺少的连接板——这样的决定，几乎就是投敌……

诺克斯的助手，前面提到的那位数学家特温，站在密码安全性的角度上，对AE的这三项变化做了简单的评价：

——反射板会转，很好；

——进位点增加，很好；

——没有连接板，糟透了。

而对于AE多出的第四个转轮，特温不知道为什么根本就没有评价。或许，那并不是问题关键所在吧。

现在让我们把目光重新投向庄园，看看它为了对付军事情报署，又是如何有针对性地进行组织设置的吧。

顺便说一句，一切密码分析机构的组织体系都不是凭空想定，而是针对实际需要构建的；比如我们在【波兰篇】中曾经提到，波兰密码分析机构针对德国密码成立了BS-4，而针对苏联密码成立了BS-3。庄园自然也不例外，既然要破译德国军事情报署的密电，自然得先研究一下，军事情报署的密电有什么特征。

很快英国人就弄明白了，军事情报署的密电，其加密手段分成两种：一种是通过AE加密得来的，其余则是通过传统的手工加密得来的。

因此，布莱奇利庄园顺理成章地成立了两个部门，分别针对性地对付以上两种密电。它们的正式名称都是情报处（Intelligence Sections，IS），而私下里，人们宁可称它们为“非法处”（Illicit Sections），简称倒是不变，呵呵。

其中，针对手工加密的情报处，负责人是奥立佛·斯特雷奇（Oliver Strachey），把IS和他的姓名首写字母相结合，这个处就被称为ISOS；类似地，破译AE的情报处的负责人，正是我们介绍的诺克斯（Knox），而他所率领的这个情报处，也就被称为ISK了。

现在，我们就来看看ISK是怎么对付AE的——实际上，主要就是看诺克斯是怎么表演了。可是翻查资料，不难发现，同样是破解ENIGMA，诺克斯的工作相对而言却很不出名，即便介绍往往也就是一两句话。为什么会这样呢？

说穿了其实就是两点：第一，他主要对付的AE，并不是ENIGMA家族中最困难的机型；第二，作为一个语言学家，他的确是不太善于使用数学。

特别是最后一点，让他在密码分析学界正在掀起数学狂潮的时候，面对后辈的成功，也只能望洋兴叹了。

• 1001n的《密码传奇》系列网址