密码故事(中)

本系列为《密码故事》的书摘,共有上、中、下三篇,各篇链接及包含内容如下:

  • 上篇:单字母替换密码,多字母替换密码。
  • 中篇:加密的机械化,恩格玛机及其破解,象形文字和楔形文字的破解。
  • 下篇:公开密钥,PGP,量子密钥分发。

加密的机械化

20 世纪初,意大利物理学家古列尔莫・马可尼(Guglielmo Marconi)发明了无线电。无线电具有双重特性:易通信性和易拦截性,这在一战爆发后表现得尤为突出。所有成员都想充分发掘无线电的资源,却苦于不知如何保障安全。在 1914 年到 1918 年间,密码编码者提出了几个新密码,但一个个均被破解了。

ADFGVX 密码(ADFGVX cipher:是一战时德军使用的一种密码,在 1918 年 3 月 5 日首次使用。德国的密码编码师组成的一个小组从各种密码中选择了 ADFGVX 密码,他们相信它是不可破解的。这个密码的特点在于它错综复杂,综合了替换和移位两种处理方法。法国密码破译学家乔治斯・佩因芬(Georges Painvin)中尉在 6 月 2 日的晚上,破解了一段 ADFGVX 信息。佩因芬的突破导致了一系列其他密码依次被破解。ADFGVX 密码的破解成了一战期间密码学的典型。尽管产生了无数的新密码,但它们无非是 19 世纪已经破解了的密码的变形或组合。对于密码破译师来说,最大的问题是如何应付信息数量的急剧增长。一战期间,无线电的使用使得截获的信息激增。据估计法国在一战期间共截获的德国通讯信息达 1000 万个单词。

公元前 400 年,中国的孙武在他的著作《孙子兵法》中提到:「三军之事,莫亲于间,赏莫厚于间,事莫密于间。」大意为:在军队中,没有比间谍更为亲近的人,给予奖赏时,没有比间谍更为优厚的,没有什么事情比间谍更为秘密。法国人坚信孙武的话,在磨炼破译密码技能的同时,还发展了几个收集无线电情报的辅助技术。

法国监听员学会了如何辨别一个无线电操作员的「手迹」,一旦一条加密的信息以摩斯电码的形式发送出来,它就变成了一系列的点和短横,而我们可以通过分析每个无线电操作员的传送速度,他的停顿以及点和短横的相对长度来确定他们的身份。此外,法国人还建立了六个方向的搜索站,它们能够检测每个信息发自哪里。每个站点不断移动它的天线直到收到的信号最强,这就确定了信息源的一个方向。通过组合两个或两个以上站点的信息方向,就可能定位出敌方传送线的确切源头。再加上第一条信息即操作员的手迹,就可能确立某特定军营的身份和地点。法国的情报员可以在几天内跟踪它的走向,一般能推出某敌军部队的目的地和军事目的,这种形式的情报搜集被称作信道分析,它在一个新的密码出现后,前期显得非常有用。对于每个新密码来说,密码分析师可能暂时无法破解它,但即使一个信息无法破译,信道分析仍会提供一些有用的信息。

齐默尔曼的电报(Zimmermann Telegram:1917 年 1 月 17 日,英国截获了一个德军电报,由英国海军部的密码局「40 号房」的蒙哥马利教士(Reverend Montgomery)和曾为出版商的内格尔(Nigel de Grey)破解。这封电报由德国新上任的外交大臣阿瑟・齐默尔曼(Arthur Zimmermann)发出,齐默尔曼的策略是从 2 月 1 日起发动无限制潜艇战争,同时为了使美国保持中立,将和墨西哥联盟,说明墨西哥总统进攻美国,收回诸如得克萨斯、新墨西哥以及亚历桑那的领土,同时希望墨西哥总统说服日本也进攻美国,以此牵制美国使其无法派遣部队到欧洲。他将加密电报发给德国驻华盛顿的大使,再转交给德国驻墨西哥的大使,最后转交给墨西哥总统。

电报的密文如下所示(来自 Zimmermann Telegram):

英国在截获并破译了这份电报之后,为了争取美国加入盟军,并不是直接把解密的电报交给美国,而是安排在墨西哥的英国间谍 H 先生潜入墨西哥电报部门,获得了齐默尔曼电报的墨西哥版本,并公开在报纸上。这样德军将认为它是从墨西哥政府窃取的,而不会想到它是在去往美国途中被英国截获并破译的,从而发展更新更强大的加密系统。

电报被媒体公开后,在柏林的一个新闻公布会上,齐默尔曼公开承认他写过这封信,从而打消了美国认为电报是英国人伪造的担心,进而全面加入战争。另一方面,为了进一步分散人们对英国密码破译师的注意力,海军情报部门主管威廉・霍尔(William Hall)在英国报纸上编了一个故事,批评自己的组织没能截到齐默尔曼电报,这反过来导致一大批文章攻击英国的安全机构,同时表扬了美国人。

一次性便笺密码(One Time Pad)

维热纳尔密码最根本的弱点在于它的周期性,假如使用一个和明文一样长的密钥结果如何呢?首先需要密码编码者产生一个这么长的密钥,其次也并不一定安全。其不安全性主要是因为密钥是由有意义的单词组成。在明文中随机地插入单词 the,确定相应的密钥字母,可以判断单词 the 是否处在正确的位置,因为它产生的密钥字母看上去似乎是一些有意义单词的一部分。然后使用密钥中的这些片断来推出整个单词。反过来这些单词又给出更多关于明文的信息片断,这些片断同样可以扩展成整个单词,依此类推。整个过程就是在信息和密钥之间反复尝试。

一战接近尾声时,美军密码研究机构头目约瑟夫・莫博涅(Joseph Mauborgne)少校引入了随机密钥的概念,即密钥不是由一些有意义的单词组成,而是一个随机的字母序列。另外,莫博涅在 1914 年发表了历史上有记载的首个波雷费密码的破解方法。

莫博涅随机密钥系统的第一步是编辑一本厚的由几百页组成的小册子,每一页都是由随机排列的数百个字母组成并作为一个独一无二的密钥。加密一个信息时,发送者将使用小册子的第一页作为密钥对明文应用维热纳尔密码加密。一旦信息被成功地发送、接收和解密,收发双方都同时销毁已用作密钥的那一页,因此这个密钥再也不会被第二次使用,当需要加密另一条信息时,则使用小册中下一页的随机密钥。由于每个密钥都使用而且仅使用一次,所以这个系统就称作「一次性便笺密码」。

一次性便笺密码克服了以前密码的所有弱点。密文中没有重复的字母组合,无法使用巴比奇和卡西斯基测试。同时,把单词 the 放在不同的位置,得到的密钥片断也是无意义的字母组合,不能判断这个试验单词是否处在了正确的位置。就算使用无穷搜索的方法,抛开遍历所有可能的密钥无论是人力还是机械运算都是完全不可能的这点,就算所有不同的密钥被测试完,产生的相同长度且有意义的信息可能有很多个,密码分析师将不能辨别究竟哪一个才是真正的原信息。

一次性便笺密码的安全性在于密钥的随机性,可以从数学上证明,密码破译师是无法破解一条由一次性便笺密码加密的信息,它真的是绝对的无法破解,绝对的安全。一次性便笺密码提供了一个安全的保证,是密码编码学的圣杯

但一次性便笺密码实际操作起来有两个根本的难点:

  • 制造大量的随机密钥实际上是很困难的。最好的随机密钥应该是利用自然的物理过程生成,例如放射性即具有真正随机的行为。密码编码者可使用盖革计数器来测定放射性物质的放射能,连接一个显示屏以一定的速率循环显示字母表中的字母,一旦检测到放射,显示屏会暂时冻结,此时显示屏上显示的字母就可以作为密钥中的一个字母,如此反复。然而这对于每天进行的密码编码来说同样是不实际的。
  • 分发密码簿也是很困难的。战场上成百的无线电操作员处在同一个通讯网络中。要想开始工作,每个人必须有完全一样的一次性手册。然后当新的手册发行后,它们必须同时分发到每个人的手中。最后每个人必须在步调上保持一致性,以确保他们在特定时间使用的是手册上的同一页。一次性手册的广泛使用将使战场上充满信使和持书人。敌方只要捕获一套这样的密钥,那么整个通讯系统就瘫痪了。

阿尔伯提密码盘(Alberti cipher disk:最早的密码机器,由首次提出多字母替换密码的阿尔伯提发明。密码盘分内外两个同心盘,可以相互转动,外盘作为明码表,内盘作为密码表,如下图所示:

例如,使用密码盘来加密单词 goodbye,关键词是 LEON。先根据关键词的第一个字母来设置密码盘,将外盘的 A 指向内盘的 L,然后找到 g 在外盘上的位置记下内盘上对应的字母 R。要加密信息的第二个字母,则将外盘的 A 指向内盘的 E,然后找到 o 在外盘上的位置记下内盘上对应的字母 S,如此反复。

尽管密码盘提高了加密速度,减少了错误,但并没有提高它的安全强度,实际上只不过是在处理一种机械化的维热纳尔密码。

恩格玛机(Enigma machine:1918 年,德国发明家阿瑟・谢尔比斯(Arthur Scherbius)和他的好朋友理查德・里特(E. Richard Ritter)发明了一个密码编码装置,本质上仅仅将阿尔伯提密码盘电子化,称为恩格玛机。

恩格玛机的内部示意图如下所示(仅显示 6 个字母,真实的恩格玛机有 26 个字母):

其中的五种部件功能如下:

  • 键盘(keyboard)和显示板(lampboard):发送者通过键盘输入明文,在显示板上通过灯输出密文;接收者通过键盘输入密文,在显示板上输出明文。
  • 扰频器(scramblers):三级扰频器可以任意交换位置(共有 6 种排列组合),且每输入一个字母,第一个扰频器转动一个位置;输入 26 个字母之后,第一个扰频器转完一圈,此时第二个扰频器转动一个位置,依此类推,第二个扰频器转动一圈时,第三个扰频器转动一个位置,共有 26 × 26 × 26 = 17576 种设置。
  • 插线板(plugboard):允许发送者插入连接器,在字母进入扰频器之前先交换字母的位置。恩格玛机操作员有 6 个连接器,也就是能交换 6 对字母(共 12 个),剩下 14 个字母没有被交换。共有 100391791500 种连接方式。
  • 反射器(reflector):使得解密过程非常简便,在其它设置均相同时,输入明文产生密文,输入密文产生明文,加密和解密成为两个互为镜像的过程。

因此,密钥的总数目为 17576 × 6 × 100391791500 ≈ 10^16

恩格玛机中对密钥数量贡献最大的来自插线板,但仅有插线板的恩格玛机将退化为单字母替换密码。而扰频器虽然对密钥数量的贡献不大,但它的设置在加密过程中不断地变化,使得产生的密文不能通过频度分析来破译。谢尔比斯将扰频器和插线板巧妙地组合起来,防止了别人使用频度分析来破解它产生的密文,同时也具有了庞大数量的密钥可能。

破解恩格玛

破译恩格玛密码的第一步工作由德国的一个背叛者汉斯・西罗・施密特(Hans-Thilo Schmidt)完成。施密特参加过一战,战后德国根据《凡尔赛公约》实行裁员,他是其中之一。后经商失败,家庭濒临破产,与同样参加一战而官运亨通的哥哥鲁道夫形成鲜明对比。鲁道夫最后提升到德国陆军通信参谋部的首席长官,负责保证德国陆军通讯的安全,实际上正是鲁道夫正式批准了在军队中使用恩格玛密码机。

施密特在鲁道夫的帮助下进入恩格玛密码指挥中心,出于对哥哥的妒忌和对国家的报复,他将包含恩格玛密码机使用说明的两份文件(以允许对方拍照的形式)卖给了法国一个代号为「雷克思(Rex)」的秘密间谍。文件中尽管没有每一个扰频器内配线的详细描述,但仍然包含如何推导这些配线的信息。出于法国与波兰在 10 年前签署的军事合作协议,法国将施密特文件的照片交给了波兰密码局 — — 比尤罗・斯泽夫罗(Biuro Szyfrów)密码分析局。

日密钥就是三个扰频器初始时向上露出的字母组成的序列。为了预防每天的日密钥被破译,德国人不是使用日密钥加密当天所有的消息,而是使用日密钥为每条信息传递新的信息密钥。信息密钥与日密钥有相同的插线板设置和扰频器排列,但它的扰频器定位(转动的初始位置)不同。同时,德国人为避免由无线电干扰和操作者失误造成的错误,要求每条信息密钥重复发送两次,但他们并没有预见到这样会危害到通讯的安全性。

比尤罗密码局从波兹南大学(Poznán University)邀请了 20 位数学系学生参加一个密码学课程并要求他们发誓保密。尽管这所大学不是波兰最著名的科研机构,但它坐落在波兰西部,这一地区在 1918 年前还属于德国,所以这些数学系的学生都精通德语。20 人中有三位表现了破译密码的才能而被招募进入比尤罗密码局,其中最有天赋的是玛丽安・雷臼斯基(Marian Rejewski)

雷臼斯基攻击恩格玛密码的策略集中在敌人通讯保密是建立在重复之上这一事实:重复导致模式,而模式促进密码破译。在恩格玛密码中最明显的重复是信息密钥,它在每条信息的起始部分重复两次。每天,雷臼斯基都会发现他又有一批新截获的信息,所有信息都是以六个字母开始的,这六个字母是三字母信息密钥按照预先确定的日密钥重复两次译成密码获得的。所有的六个字母中,字母 1 和字母 4 都是信息密钥第一个字母的密码输出,字母 2 和字母 5 都是信息密钥第二个字母的密码输出,字母 3 和字母 6 都是信息密钥第三个字母的密码输出。例如,截获的四条消息的前六个字母如下:

对于字母 1 和字母 4 来说,可以得到 (L,R)、(M,X)、(J,M)、(D,P) 这样的对应关系。当一天中截获足够多的信息,那么就可以完成字母表相对应的所有关系,例如对于所有信息的字母 1 和字母 4 可能有如下的对应关系:

在上述对应关系中,可以找出如下四个字母链环及各自的长度:

  • A → F → W → A[3 链环]
  • B → Q → Z → K → V→ E → L → R → I → B[9 链环]
  • C → H → G → O → Y → D → P → C[7 链环]
  • J → M → X → Z → T → N → U → J[7 链环]

以上仅是字母 1 和字母 4 的联系,对于字母 2 和字母 5、字母 3 和字母 6 也可重复上述步骤。雷臼斯基通过不同寻常的洞察力发现:字母链环的数目及长度完全依赖于扰频器的设置,与插线板的设置完全无关;字母链环的数目及长度纯粹是扰频设置的结果。

然后,雷臼斯基的小组在根据施密特文件复制的恩格玛机上进行繁重的琐碎工作:检查 26^3 × 6 = 105456 种可能的扰频器设置,并归类每种设置产生的链条长度,形成每种扰频器设置与产生的字母链类型的索引目录,完成此项工作花去整整一年时间。此后,检查每天截获信息的前六个字母,使用这些字母建立字母关系表,并建立每条链的链环数目表,再到他的索引目录中去寻找,即可得到当天的扰频器设置。

得到了正确的扰频器设置之后,移除插线板上的所有导线,再将一段截获的密文输入复制的恩格玛机,会输出模糊可辨的短语或片断,例如「alliveinbelin」,推测这段句子可能是「arrive in Berlin」,如果假设是正确的,那么就可以推断字母 R 和 L 是被互换的,而 A、I、V、E、B 和 N 则没有互换。通过分析其他的短语,确定其他五个被插线板互换的字母是完全有可能的。

雷臼斯基通过把问题分解为确定扰频器设置和推断插线板连线两种,从而大大简化了寻找日密钥的任务。对每个分解后的问题来说,其本身都是可以解决的。

当德国人对他们传送信息的方法作了微小改动后,雷臼斯基的字母链长度的索引目录变得没有用处,但他没有制作新的索引目录,而是设置了他的目录系统的翻译机器,这台机器可以自动搜寻正确的扰频器设置。雷臼斯基的发明是对恩格玛机的一种适应,每次可快速查询 26^3 = 17576 种设置,直到找到相应的扰频器设置。因为有六种可能的扰频器排列,需要六台雷臼斯基机器并行工作,每一台机器代表一种可能的扰频器排列。六台机器一起构成一个工作单位,称为「炸弹(Bombe)」,大约是反映了这种机器在查找扰频器设置时发出的滴答声。

1938 年 12 月,德国密码译解员加强了恩格玛机的安全性:增加了两个新的扰频器,扰频器的排列可以从五个可能的扰频器中任意选取三个。排列组合方式从 6 种增加到 60 种。又一个月后,又把插线板的导线从 6 条增加到 10 条,线路接入扰频器之前,由原来的 12 个字母被交换增加到现在的 20 个字母被交换。密钥可能的数目也增加到 1.59 × 10^20。

新恩格玛密码的不可攻破性无疑对波兰是毁灭性的打击。1939 年 7 月 24 日,波兰将两台恩格玛机的复制品和「炸弹」机的蓝图提供给法国和英国,这些都将通过外交途径海运到巴黎。8 月 16 日,其中一台恩格玛机被运往伦敦。9 月 1 日,希特勒入侵波兰,战争爆发。

波兰人的突破向盟军表明了雇用数学家作为密码破解员也是件必要的事。在英国,新招来的人员并没有被带到伦敦的 40 号房,而是来到位于白金汉郡的布莱切利庄园(Bletchley Park,这里是政府密码学校(Government Code and Cipher School,GC&CS)所在地,能容纳更多的人,以应对战争爆发后激增的加密信息。

由于恩格玛密码自身的发展已使破解它的难度提高了 10 倍,但是布莱切利比波兰的比尤里・斯泽夫罗拥有更多的员工和资源,因而还能应付得了。一旦布莱切利密码破译师掌握了波兰的技术,他们就开始自己寻找确定恩格玛密钥的快捷途径。他们发现一些可预测的信息密钥,称作「色利斯(cillies)」,包括如下一些可能:

  • 德国恩格玛操作员由于过度工作往往不会浪费精力去想每一个随机密钥,而是从键盘上输入三个相邻的字母作为一个信息密钥。
  • 同一个密钥被重复使用,或许就是某个操作员女友姓名的首字母。
  • 德军规定避免一个扰频器连续两天处于同一位置,意味着减少了可能一半的扰频器排列。布莱切利密码破译师意识到这一点后,一旦他们确定了某一天的扰频器的设置,他们就能立刻为第二天排除可能一半的扰频器排列。
  • 德军规定插线板设置要避免交换字母表中相邻的两个字母,也就是说 S 只能和除 R 和 T 以外的字母交换。他们认为如此明显的交换应当有意地避免,但这个规定的实行再一次极大地减少了可能密钥的数量。

色利斯不是恩格玛机器本身的弱点,而是在使用的时候暴露出人为的弱点。可见一定程度上的人为错误也会使恩格玛机器的安全性打些折扣。

在布莱切利众多伟大的密码破译师和许多著名的突破中,不得不提的是阿兰・图灵(Alan Turing),他找出了恩格玛最大的一个弱点并进行毫不留情的攻击。即使在最艰难的环境下,也正是因为有图灵,才使破解恩格玛密码成为可能。

当一篇明文和一篇密文联系起来的时候,称这种组合为「克利巴(Crib)」。图灵将注意力集中在一种特别的克利巴上,这种克利巴内部能形成一个环路,就像雷臼斯基使用的字母链环一样。雷臼斯基的链环是将重复的信息密钥的字母连接起来,而图灵的环路和信息密钥没有任何关系,因为他本来就认为德军会很快停止发送重复的信息密钥。相反图灵的环路连接的是一个克利巴中明文和密文的字母。例如,如果已确信密文中的 ETJWPX 代表 wetter(德语「天气」的意思),那么可以得到如下克利巴环路:

图灵不是单单拿着一台恩格玛机测试每一条设置,而是想像有三台独立的机器,每台机器只处理环路中一个加密。第一台机器负责将 w 加密成 E,第二台负责将 e 加密成 T,第三台将 t 加密成 W。这三台机器有着完全一样的设置,区别就在于第二台机器的扰频器的定位比第一台机器的扰频器前进了一个位置,标号为 S+1;第三台机器的扰频器定位比第二台又前进了两个位置,标号为 S+3。更进一步地,图灵想像用电线通过输入端和输出端将三台机器连接起来,如下图所示:

上图的电流环路中,实际上已经抵消了插线板的影响。第一台恩格玛中,字母 w 产生的电流通过扰频器和反射器返回之后形成一个未知的字母,记为 L1。然后电流通过插线板 L1 变成了 E。这个字母 E 再通过电线连到第二台恩格玛的字母 e 上。随着电流经过第二个插线板它又变回了 L1。换句话说,这两个插线板的作用彼此相互抵消了。同样,在第二台恩格玛中电流继续通过扰频器和反射器返回后以未知字母 L2 回到插线板。经过插线板后变成了 T,T 又和第三个恩格玛机上的 t 字母相连。随着电流经过第三个插线板它又变回了 L2。简而言之,插线板在整个环路中相互抵消了彼此的影响,因此可以完全忽略插线板的设置。图灵只需将第一组扰频器的输出端 L1 直接连接到第二组扰频器的输入端,还是 L1。由于不知道 L1 究竟是哪个字母,因此必须把第一组扰频器的 26 个输出端和第二组扰频器相应的 26 个输入端相连,这样就有了 26 个电流环路,每个环路都有一个灯泡来标示电流环路的接通。然后这三组扰频器只需简单地测试 26^3 = 17576 种可能的定位,只要注意第二组扰频器比第一组多前进一步,第三组又比第二组多前进两步。最终,当正确的扰频器设置出现的时候,其中一个环路将完成前后连接,灯泡被点亮。如果扰频器每秒钟改变一种定位的话,那只需 5 个小时就能测试完所有的定位。

剩下两个问题:

  • 这三台机器的扰频器排列可能一开始就是错误的,因为恩格玛机可从 5 个扰频器中任选 3 个使用,这就产生了 60 种可能的排列。可以通过同时开展 60 组这样的测试以节省时间。
  • 扰频器的排列和定位确定后,如何确定插线板的设置。和雷臼斯基的方法一样,只需将密文输入后观察出现的明文,即可得知哪些字母被交换。如果得到的结果是 tewwer 而不是 wetter,那么很明显字母 w 和 t 被交换。再输入一些其他的密文即可揭示其他被交换的字母设置。

图灵上述装置的机理与雷臼斯基的炸弹有一定的相似性,因此仍称为「炸弹(Bombe)」。每个图灵「炸弹」由 12 组相连的恩格玛扰频器组成,因而能够处理更长的字母环。整个装置高 2 米,宽 2 米。

在「炸弹」开始寻找一个密钥之前,首先需要一个克利巴。不能保证密码分析师猜对了密文的正确意思,即使他们确实有正确的克利巴,也有可能所处的位置是错误的。有一种小技巧能够检查一个克利巴是否处在正确的位置。恩格玛机的一个特点就是不能将一个字母加密成该字母本身,这是由于存在反射器的原因。要找到正确的配对,只需简单地将密文和明文来回移动直到没有同样的字母自身配对即可。

恩格玛密码通讯是一项巨大的通信系统,此系统有几个不同的网络。北非的德国陆军使用的密码簿和欧洲的不同,德国空军和德国陆军又不同,而德国海军操纵着一个更复杂版本的恩格玛机。海军恩格玛操作员有 8 个扰频器可供选择,且不同于标准恩格玛的反射器只安置在一个特定的方向,海军恩格玛的反射器可能安置在 26 个方向中的任何一个。另外,海军的操作员非常小心,从不发送陈旧的信息,那么布莱切利就很难发现克利巴。而且,德国海军创立了更安全的系统,用于选择和传递信息密钥。额外的扰频器、多样的反射器、新异的信息和一个新的用于交换信息密钥的系统,这些使得破译德国海军的通信难上加难。

波兰的经验与施密特事件告诫布莱切利机构,如果在破解密码这种智力斗争中失败,就需要依赖间谍、潜入和盗窃等手段,来获取敌人的密钥。例如:

  • 播种行动:英国皇家空军的飞机在特定的地方布置水雷,迫使德国舰船发生警告信息,这些警告信息中将不可避免地含有一个地图信息,一旦为英国人所知,即可作为一个克利巴,也就是布莱切利知道该密码一些特定部分代表一套坐标。但此为皇家空军的特别飞行行动,因此这样的信息不可能有规律地收集。
  • 冷酷行动:在英吉利海峡将已缴获的德国轰炸机故意坠毁在德国舰船附近,德国海军就会靠近飞机营救他们。到时由英国飞行员假扮的德国人,到船上将密码簿偷取到。德国舰船通常要离开基地很长时间,密码簿一般来说至少一个月内是有效的。但由于没有德国战船在海上,此计划被不定期地延迟了。在对德国气象观测船和潜艇的无数次勇敢袭击中,最终获得了德国海军的密码簿。

就像齐默尔曼电报事件那样,英国人同样采取了各种措施避免德国人怀疑其通讯安全已遭破解。例如盗取密码簿后击沉该德国舰船,使德国海军上校相信密码材料已沉入海底,而不是落入英国人手里。另外,在利用取得的情报之前,也要有进一步防范措施。例如,恩格玛解码提供了德国潜艇的情报后,在开始进攻之前,先派遣侦察机侦察一下,或者盟军也可发送他们观察到德国潜艇的假情报,为袭击提供充分的理由。

成功破译了德国密码后,布莱切利又开始破译意大利和日本的电文。为方便破译这三国的密电,英军成立了一个叫「乌特拉(Ultra)」的组织。乌特拉对德军在整个地中海行动都作了准确地报道。乌特拉极大地影响了高级参谋和政府要员制定计划的决策,帮助盟军及时修正其作战计划。

二战结束后,英国仍然对布莱切利破译德军密码的成就保密,同时关闭了在布莱切利庄园的密码破译机构和密码破译学校,在战争中曾经对乌特拉作出过巨大贡献的成千上万的人员也被裁减了,破译密文相关的旧资料不是被封存起来就是烧毁了。电文破译组织被改名为政府通讯总部(GCHQ),地址在伦敦,于 1953 年后又搬到切尔滕纳姆。在经历了 30 年的沉默后,当年曾负责解散乌特拉组织的温特博特姆上校(Captain F. W. Winterbotham)给英国政府施压,有关部门只得勉强同意并允许他写一本关于布莱切利的书。1974 年温特博特姆上校的《乌特拉的秘密(The Ultra Secret)》出版,布莱切利庄园的秘密才终于公布于众。

但阿兰・图灵并没有看到温特博特姆的书出版的一刻。1952 年在一次被警察传讯中,他天真地透露自己是同性恋。警察根据 1885 年通过的刑法修正案第十一部分的反猥亵条例对他进行了起诉,新闻界也大肆炒作,搞得图灵身败名裂。英国政府撤回给他的各种保障,他也禁止在与计算机发展相关的研究领域工作。后来他被强迫向心理学家咨询,并且承受着外来的各种指责,这些都使他变得肥胖而虚弱,两年后他变得更加消沉。1954 年 6 月 7 日,他唱着《白雪公主与七个小矮人》中邪恶女巫的歌谣,将苹果放在氰化物里蘸了蘸,咬了几口。就这样一个真正的破译天才在他年近 42 岁时自杀了。

语言上的隔阂

英国的电文译码员破解了德国的恩格玛密码,并因此扭转了欧洲战场的战局。而与此同时,美国电文译码员在太平洋战区也起到了同样重要的作用。他们破解了被称为「紫色(Type B Cipher Machine,美军代号 Purple)」的日本机器密码。

英国军队所用的 Typex(或 Type X)加密机和美国军方的 SIGABA(或 M-134-C)加密机显示了机器加密的潜在实力。这两种机器都比恩格玛密码机更为复杂,由于得到了正确的使用(没有因为人为的疏忽和使用上的规则限制),以至于到战争结束它们都还没有被破解。

复杂的加密机并不是能够发送安全信息的唯一途径,实际上,二战中使用的一种最安全的加密方式恰恰是最简单的一种。洛杉矶的一句工程师菲利普・约翰斯顿(Philip Johnston)向美国海军提议使用纳瓦霍语(Navajo language)设计一套加密系统,海军拟定了一个「领航员」计划。选用纳瓦霍语有几个原因:

  • 土著部落中有足够的人既能说流利的英语又能说土著语。
  • 缺乏政府的投资,意味着在保留地之外很少人会这种语言。
  • 纳瓦霍族是近 20 年来唯一一个没有被德国学生侵染的部落。

纳瓦霍语中没有现代军队的行话,为了消除歧义,海军决定构造一个纳瓦霍语的专业术语词汇表。受训的纳瓦霍人协助构造了这个词汇表,他们倾向于选择描述自然世界的词汇来表示特定的军队用语,例如飞机用鸟的名字,舰船用鱼的名字,指挥官叫做「战争酋长」,排则叫做「泥巴部落」,要塞叫做「洞巢」,迫击炮被命名为「蹲着的枪」。而要翻译人名、地名以及一些难料的单词则根据语音设计一个加密的字母表,用它来拼出难词。

纳瓦霍语是纳迪尼语系的一种,这个语系与欧洲和亚洲的语言毫无关联。这是纳瓦霍语密码难以理解的原因。比如说,纳瓦霍语的动词不仅跟它的主语有关,还跟宾语有关。动词的后缀决定于宾语的种类。动词也常常和副词结合在一起,而且动词本身反映了说话人对他所说的事物的熟悉程度,他是不是道听途说。结果是,一个动词就相当于一个句子。一个外族人想弄明白它的意思,几乎是不可能的。

纳瓦霍语密码虽然很强大,但仍有两个重大的缺点:

  • 既不在纳瓦霍语词汇又不在官方认定的军事术语词汇表中的单词,必须用特殊的字母表拼出,这是个耗时的工作。所以,决定再向术语词汇表中添加 234 个常用词汇。例如,澳大利亚叫「滚动的帽子」,英国叫「被水包围着」,中国叫「编起来的头发」,德国叫「铁帽子」,菲律宾叫「漂流着的陆地」,而西班牙叫「痛苦的绵羊」。
  • 对于不得不拼出的单词,如果日本人意识到单词是拼出来的,他们用频度分析法很容易判断哪个纳瓦霍单词代表哪个字母。很快就会发现最常用的纳瓦霍单词是 dzeh,意为麋鹿(英文是 elk),代表英语中最常用的字母 e。解决的方法是增加更多的单词来代表同一个常用字母。于是,最常用的六个字母(e、t、a、o、i、n)各增加了 2 个额外的单词代表,次常用的六个字母(s、h、r、d、l、u)各增加了 1 个额外的单词代表。

总共有 420 名纳瓦霍密码通讯员。和图灵以及在布莱切利庄园工作的密码破译专家一样,纳瓦霍密码通讯员在战后不准谈论他们的工作。直到 1968 年政府撤销了纳瓦霍密码机密。次年,纳瓦霍密码通讯员举行了他们的第一次团聚会。1982 年,政府将 8 月 14 日定为「纳瓦霍密码通讯员日(National Navajo Code Talkers Day)」,以表彰他们在二战中的贡献。

破译失落的语言和古代的文字

古代文字破译的原理和传统的军事密码破译的原理在本质上是一致的。事实上,破译古代文字的挑战吸引了许多军事密码破译员。

最早的象形文字可以追溯到公元前 3000 年,此后这种华丽的书写持续使用了三千五百多年。象形文字(hieroglyphics)精致的书写符号非常适合刻在宏伟神殿的墙上,而日常书写中使用象形文字的简化写法:僧侣体(hieratic)。到了公元前 600 年,僧侣体被一种更加简单的书写文字 — — 通俗体(demotic)所替代。象形文字、僧侣体和通俗体本质上是同一种文字 — — 它们仅仅是同一种文字不同的写法而已。

接近公元 4 世纪末,仅仅一代人的时间,古埃及文字就消失了。基督教的扩张应该对古埃及文字失传负主要责任,为了消灭埃及的异教传统,基督教徒们宣布使用古埃及文字是不合法的。取代古埃及文字的是科普特(Coptic)。科普特是由 24 个希腊字母和 6 个通俗体字母联合组成,这 6 个通俗体字母补充了在希腊语中没有发音的古埃及语音。11 世纪,随着阿拉伯语的传播,科普特语和它的文字被取代了。与埃及古国的最后的语言联系就这样中断了。

直到 1799 年,拿破仑・波拿巴的侵略大军尾随的一队历史学家、科学家和绘图员(被戏称为「哈巴狗」)遇上了考古史上独一无二的最著名的一块石碑。这块石碑是由驻扎在朱利恩要塞的士兵发现的。朱利恩要塞位于尼罗河三角洲的罗塞塔城,因此这块石碑称为罗塞塔石碑(Rosetta Stone。罗塞塔石碑上刻了分别使用象形文字(上)、古埃及通俗体(中)和古希腊文(下)三种文字书写的同一段碑文,如下图所示(图片来自 Rosetta Stone):

法国人最后投降时,根据投降条约,亚历山大所藏的古代遗物多数给了英国,包括罗塞塔石碑。1802 年,这块无价的玄武岩被皇家海军舰船埃及号运往普利茅斯,同年它入住大英博物馆直至今日。希腊文的翻译揭示了罗塞塔石碑上碑文的内容,是埃及祭司最高会议于公元前 196 年颁布的布告。上面记录了法老托勒密赐福埃及人民,详述了祭司们作为回报给予法老的荣耀。

即使有了罗赛塔石碑,破译象形文字和通俗体仍存在三个重大的障碍:

  • 罗塞塔石碑受损情况很严重。尤其是最顶部的象形文字,几乎一半的文字全不见了,仅剩的 14 行文字也有部分缺失。
  • 至少 8 个世纪没有人说过埃及文字所记录的古埃及语了,使得即使考古学家可能把埃及文字与希腊单词对应起来,也不可能说出埃及文字的读音。
  • 历史上研究古埃及象形文字的学者,例如阿萨内修斯・基尔舍(Athanasius Kircher),遗留下来的知识遗产仍然鼓励考古学家认为埃及文字是表意符号而非表音符号,致使几乎没有人尝试着从语音上着手去破译象形文字。

英国天才博学家托马斯・杨(Thomas Young)是首先对象形文字是表意符号这种偏见提出质疑的学者之一。杨把注意力集中在一个被称为「涡卷饰(cartouche)」的圈包着的一串埃及象形文字上,他的直觉认为这些文字之所以被包起来,是因为它们代表的东西是非常重要的,比如说,法老托勒密的名字。因为,希腊文的碑文中也提到了法老托勒密的名字。如果是这样,杨就有可能从语音着手推测相对应的象形文字了,因为无论哪种语言中法老名字的读音是一样的。他猜测托勒密涡卷饰中每个象形文字的读音,并正确地判断了头两个象形文字的语音顺序。另外,杨发现在塞柏的卡尔奈克神殿上也有带有涡卷饰的文字,他怀疑那是法老托勒密的皇后贝蕾尼卡的名字,并再次运用了他的破译方法。在两个涡卷饰中有 11 个象形文字,杨完全正确地识别出其中的一半,还有 1/4 近乎正确。他还成功地辨别出表示女性名的后缀。但杨的工作突然搁浅,停滞不前了。可以看出,杨对基尔舍认为象形文字是表意符号的观点仍有太多的保留。他对他的语音上的发现是这样辩解的:托勒密王朝是亚历山大大帝的将军拉古斯的后裔,所以托勒密实际上是外国人。杨猜想他们的名字之所以被拼出来是因为在象形文字中没有相对应的表意符号,并类比为中文拼写外来文的方式。

而法国的一位年轻的语言学家让・弗朗索瓦・钱普里昂(Jean-François Champollion)将杨的工作推到了正确的结论上。钱普里昂 10 岁时参观了法国数学家傅立叶收藏的古埃及遗物(傅立叶是拿破仑最早的「哈巴狗」之一),从此对象形文字着了迷。他掌握了多国语言,他的语言天赋对他破译象形文字做好了充足的准备。他试着将杨的方法运用到其他的涡卷饰上,推出了更多象形文字(如「亚历山大」)的读音,并且发现这文字中常常省略元音。更进一步地,他在阿布辛贝神殿的浮雕品上的涡卷饰上,发现非常古老而传统的古埃及名字也是可以拼出来的。这个证据彻底推翻了仅有外来名是拼出来的理论。

最后,钱普里昂破译出代表「拉梅西斯」的象形文字,由此得出象形文字的四条原则:

  • 文字的语言就是纯正简单的科普特语。
  • 表意符号用来表示某些单词,比如,「太阳」就是由一个形似太阳的符号表示的。
  • 长的单词可以全部或部分通过「字谜游戏」规则拼出。也就是说,长单词被分成几个音节,每个音节由一个表意符号表示。
  • 古代抄录员依赖一种传统的发音字母表示方式拼写出了大多数的文字。语音学是象形文字的「灵魂」。

运用他深厚的科普特语言的知识,钱普里昂开始毫无障碍的对大量的象形文字进行破译。不到两年,他识别了大多数象形文字的读音,并在 1824 年发表了他的全部成就。由于象形文字的演化可以与僧侣体和通用体文字相类比,它们现在也被破译了。1828 年 7 月,钱普里昂开始了为期 18 个月的埃及之旅,并在三年后完成了他的埃及之行所有的笔记、图画和翻译。之后就一病不起,过世时年仅 41 岁。

楔形文字由亚瑟・埃文斯爵士(Sir Arthur Evans)于 1900 年在克里特岛挖掘的陶制碑上发现。这些碑可以分为三类:

  • 公元前 2000 年到公元前 1750 年。其中的碑文全部是图画,可能是表意符号。
  • 公元前 1750 年到公元前 1450 年。上面的字符都是由简单的线组成,因此这种文字被命名为 A 类楔形文字(Linear A)。
  • 公元前 1450 年到公元前 1375 年,上面刻的文字很像是精炼后的 A 类楔形文字,所以被命名为 B 类楔形文字(Linear B)。

由于 B 类楔形文字是最近的文字,亚瑟爵士和其他考古学家认为破译 B 类楔形文字的可能性最大。关于 B 类楔形文字,只知道两个有用的事实:

  • 书写的方向是从左至右的,因为行末的空白都出现在右侧。
  • 总共有 90 个不同的字符,这暗示这种文字几乎肯定是音节式的。纯字母表式的文字大概多在 20 到 40 个字符之间,而表意符号的文字(如汉字)往往含有成百上千个字符。音节式的文字在二者之间,一般有 50 到 100 个字符。

由于其中的 7 个符号很像塞浦路斯希腊语的文字,有人推测 B 类楔形文字是希腊语的一种书写方式。但亚瑟・埃文斯爵士坚定地认为 B 类楔形文字并非希腊文,他认为克里特岛上的迈诺斯帝国远比地中海大陆的文明先进,它应该保留着自己的语言,而不会用它对手的语言 — — 希腊语。

亚瑟・埃文斯爵士逝世之后,在 20 世纪 40 年代中期,一位布鲁克林大学的考古学者爱丽丝・科贝尔(Alice Kober)设法取得了碑文及相关的考古笔记。科贝尔抛弃之前所有关于 B 类楔形文字是否希腊语的成见,把注意力只放在全部文字的结构和单独词汇的构造上。她特别注意到一些单词按其形式可以三个一组归类,每一组词像是同一个词的三种形式。在同一组的三个词中,主干是相同的,而有三种不同的词尾。另外,她根据阿卡得语的形式,推测了 B 类楔形文字中「连接音节」的存在。更重要的是,她发现几组字符有相同的元音,而另外的几组字符有相同的辅音,由此得出一张宽两个元音、长五个辅音的表格。不幸的是,在她尝试做进一步工作之前,于 1950 年因肺癌去世,年仅 43 岁。

迈克・文特里斯(Michael Ventris)14 岁时,听了亚瑟・埃文斯爵士的讲座,从此对 B 类楔形文字着迷。18 岁时就在权威期刊《美国考古学期刊(American Journal of Archaeology)》上发表对 B 类楔形文字的最初想法,论文中十分支持亚瑟爵士关于 B 类楔形文字不是希腊语的观点,他个人认为 B 类楔形文字来自于伊特鲁里亚语,并且是可以破译的。

当他得知爱丽丝・科贝尔的工作后,仔细研究了她的出版物,并尝试寻找更多的共享主干且有连接音节的词,从而扩展科贝尔的表格,加入许多其他的辅音和元音。此外他还发现,并非所有的 B 类楔形文字都表示音节,也有表示单个元音的符号,且只出现在词首。他从碑文中反复出现的三个单词中猜测出是三个重要城市的名字,并在扩展的表格基础上,破译了三个城市的实际名字并由此确定了符号的读音。文特里斯缺少对古希腊的通彻了解,不能解释一些破译的单词,而约翰・查德威克(John Chadwick),通过文特里斯在 BBC 的访谈相互认识的古希腊语言演化专家,成了文特里斯的合作伙伴,从此破译的速度日益加快。

事实证明,亚瑟・埃文斯爵士和他那一代考古学家对 B 类楔形文字的推测大多都是错误的。首先,B 类楔形文字无疑是希腊文字。其次,如果克里特的迈诺斯人写的是希腊文,他们说的很可能就是希腊语,这将迫使考古学家重新认识迈诺斯的历史。看起来像是大约在公元前 1450 年迈锡尼人征服了克里特,强迫克里特人学习他们的语言,并把 A 类楔形文字改成 B 类楔形文字,使它能够拼出希腊语。1956 年,文特里斯和查德威克将他们的工作整理成三册具有权威性的《迈锡尼时期的希腊文卷(Documents in Mycenaean Greek)》。但在即将出版之际,文特里斯在车祸中意外丧生,年仅 34 岁。

以上。

One clap, two clap, three clap, forty?

By clapping more or less, you can signal to us which stories really stand out.