Skript zur Vorlesung "Codierungstheorie und Kryptographie"

Codierungstheorie und Kryptographie
Udo Hebisch
SS 2012
Dieses Skript enthält nur den “roten Faden”
der Vorlesung. Wesentliche Inhalte werden ausschließlich
in der Vorlesung vermittelt. Daher ist dieses
Skript nicht zum Selbststudium gedacht, sondern
nur als “Erinnerungsstütze”.
1

1 Einführung und Motivation
Bei der Übertragung von Daten geht man im allgemeinen von folgendem Modell
aus. Ein Sender (auch Quelle genannt) erzeugt Nachrichten in Form von Signalen.
Handelt es sich dabei um kontinuierliche Signale, spricht man von analoger Datenübertragung,
handelt es sich dagegen um diskrete Signale, so betrachtet man
die digitale Datenübertragung. Die Nachrichten durchlaufen dann einen Kanal
und erreichen letztlich den Empfänger. Auch das Speichern von Daten auf einem
Medium, beispielsweise einer CD oder DVD, und das anschließende Herauslesen
kann man mit diesem Modell erfassen. Dabei wird das Speichermedium als
Kanal, der Speichervorgang als Senden und der Lesevorgang als Empfang gedeutet.
Im Rahmen dieser Vorlesung wird ausschließlich die digitale Datenübertragung
betrachtet und man faßt die einzelnen Signale als Buchstaben oder Symbole
aus einem Alphabet auf. Das geeignete mathematische Beschreibungswerkzeug ist
zunächst die Halbgruppentheorie (vgl. Beispiel 2.3).
Bei dieser Form der Datenübertragung können grundsätzlich mindestens die folgenden
beiden Problemkreise auftreten. Einerseits können beim Übertragen der
Zeichen im Kanal Störungen oder Fehler auftreten, indem einzelne Zeichen (Einzelfehler)
oder ganze Zeichenfolgen (Fehlerbündel) in andere Zeichen verfälscht
werden, wobei man auch die Auslöschung als Verfälschung in ein geeignetes Symbol
deuten kann. Man hat also die Aufgabe, den Nachrichten zusätzliche, eigentlich
überflüssige oder redundante Informationen mitzugeben, sie zu codieren.
Diese Informationen sollen es dem Empfänger bei der Decodierung gestatten,
möglichst viele aufgetretene Fehler zu erkennen oder gar zu korrigieren. Mit diesen
Problemen der Fehlererkennung und Fehlerkorrektur (vgl. Definition 3.5) befaßt
sich die Codierungstheorie, die den ersten Teil der Vorlesung ausmacht. Da
diese Störungen in der Regel technisch bedingt sind und zufällig auftreten, wird
man zu ihrer Modellierung und Behebung auch wahrscheinlichkeitstheoretische
Überlegungen heranziehen.
Beispiel 1.1 Bei der Übertragung der auf einer Tastatur darstellbaren Buchstaben,
Zahlen und Sonderzeichen in den Rechner werden diese Zeichen in der Regel
in Bytes umgewandelt oder codiert. Dies sind Folgen aus 8 Bits, wobei jedes Bit
entweder eine 0 oder eine 1 ist. Da es genau 2 8 = 256 verschiedene Bytes gibt,
kann man maximal 256 Zeichen auf diese Weise darstellen. Nun existieren auf der
Tastatur aber weit weniger als 128 verschiedene Zeichen, auch wenn man Großund
Kleinschreibung unterscheidet. Hiervon macht man Gebrauch, um einfache
Übertragungsfehler erkennen zu können. Man ordnet den Zeichen der Tastatur in
irgend einer festen Weise, beispielsweise nach dem ASCII-Code (American Standard
Code for Information Interchange) gemäß A ↦→ 1000001, B ↦→ 1000010, . . .,
einige der Zahlen von 0 = 0000000 bis 127 = 1111111 zu und ermittelt aus den
2

sieben Bits c 7 c 6 c 5 c 4 c 3 c 2 c 1 dieser Zahlen das führende achte Bit c 8 des Bytes als
Paritätsbit gemäß
(1)
7∑
c 8 = c i mod 2.
i=1
Ist also die Summe gerade, so wird c 8 = 0 berechnet, ist sie ungerade, so wird
c 8 = 1 berechnet. Die Summe aller 8 Bits eines codierten Zeichens ist also stets
gerade. Der Empfänger eines derart codierten Zeichens kann (1) wiederum folgendermaßen
als Kontrollgleichung benutzen. Tritt bei der Datenübertragung an
genau einer Stelle ein Fehler auf, d.h. wird genau eine 0 in eine 1 verwandelt oder
umgekehrt, so wird das empfangene Byte (1) nicht erfüllen und damit als fehlerhaft
erkennbar. Natürlich ist nicht erkennbar, welches Bit umgeklappt wurde,
und der aufgetretene Fehler kann nicht korrigiert werden. Es kann aber etwa eine
nochmalige Übertragung angefordert werden, sogenanntes ARQ-Verfahren (Automatic
Repeat Request). Fügt man dagegen weitere redundante Bits hinzu, so
können bestimmte Fehler nicht nur erkannt, sondern sogar automatisch korrigiert
werden, sogenanntes FEC-Verfahren (Forward Error Correction). Man kann aufgrund
dieses Beispiels erahnen, daß bei dieser Art der Codierungstheorie Lineare
Algebra über dem Körper Z/(2) oder allgemein über endlichen Körpern ins Spiel
kommt (vgl. auch Definition 3.13 und Folgerung 3.14).
Der zweite Problemkreis betrifft die Geheimhaltung der Nachrichten. Der Sender
ist oft daran interessiert, daß nur ein bestimmter Empfänger die Nachricht verstehen
kann und ein unbefugter Empfänger oder passiver Angreifer, der ebenfalls
den Kanal abhören kann, nur für ihn unverständliche Zeichenfolgen erkennt. Man
wird also die Nachricht, den Klartext, nach Möglichkeit so in einen Geheimtext
verschlüsseln oder chiffrieren, daß nur jemand, der über einen entsprechenden
Schlüssel verfügt, den eigentlichen Informationsgehalt der übertragenen Zeichenfolge
erschließen bzw. dechiffrieren kann. Ohne Schlüssel soll die Rekonstruktion
der ursprünglichen Nachricht extrem unwahrscheinlich sein. Weiterhin soll die
Verschlüsselung nach Möglichkeit verhindern, daß ein aktiver Angreifer die Nachricht
des Senders verändert, ohne daß der Empfänger dies bemerkt, die Integrität
der Nachricht soll garantiert sein. Darüber hinaus soll die Verschlüsselung dem
Empfänger eventuell auch die Möglichkeit geben, zu erkennen, ob der Absender
tatsächlich der vermutete Sender ist. Dieses Problem betrifft also die Authentifikation
des Senders. Schließlich sollte es dem Sender auch unmöglich sein, später
zu leugnen, eine bestimmte Nachricht gesendet zu haben. Die Nachricht sollte
verbindlich sein. Alle diese Aspekte der Sicherung von Nachrichten werden in
der Kryptographie oder Kryptologie untersucht, mit der sich der zweite Teil der
Vorlesung beschäftigt. (“Kryptographie” kommt aus dem griechischen κρυπτoσ
3

= “geheim” und γραϕɛιν = “schreiben”, in “Kryptologie” steckt noch λoγoσ
= “Wort, Wissenschaft, Lehre”.) Hierbei kommt es vor allem auf den Entwurf
sicherer Verschlüsselungsverfahren oder Kryptosysteme an, wobei hauptsächlich
algebraische und zahlentheoretische Methoden benutzt werden. Bei der Beurteilung
der Sicherheit von derartigen Verfahren wird man schließlich noch Methoden
der Komplexitätstheorie anwenden müssen.
Beispiel 1.2 Das folgende Verfahren benutzte bereits Julius Caesar (100 - 44
v. Chr.) zur Verschlüsselung geheimer Botschaften. Um Nachrichten aus den 26
Großbuchstaben des lateinischen Alphabets zu verschlüsseln (übrigens hatte das
Alphabet zur Zeit Caesars nur 21 Buchstaben!), ersetzte Caesar jeden Buchstaben
durch denjenigen, der drei Stellen später im Alphabet folgt, also A durch D, B
durch E, ..., X durch A, Y durch B und Z durch C. Da man diese Translation um
3 Buchstaben bei zyklischer Anordnung der Buchstaben auch als Rotation deuten
kann, wird das Verfahren kurz als ROT 3 bezeichnet. Der Empfänger muß dann
nur das analoge Verfahren ROT -3 oder ROT 23 anwenden, um die unverschlüsselte
Nachricht zu erhalten. (Übrigens wird ROT 13 wegen ROT -13 = ROT 13 heute
in einigen Browsern zur Verfügung gestellt, um Nachrichten gegen “unbeabsichtigtes
Lesen” zu sichern.) An Caesars Methode kann man verschiedene Komponenten
eines beliebigen Chiffrier- und Dechiffriersystems identifizieren. Es gibt
einen allgemeinen Algorithmus zum Verschlüsseln von Nachrichten, hier die Permutation
der Buchstaben, die durch eine beliebige, aber feste Rotation bewirkt
wird. Es gibt ebenfalls einen Algorithmus zum Entschlüsseln der Nachricht, der
in diesem Beispiel zufällig derselbe Algorithmus ist. Es gibt weiterhin eine Anzahl
von Schlüsseln, aus denen der Sender einen auswählen kann. Caesar wählte
die Zahl 3, die erwähnten Browser die Zahl 13. Übermittelt der Sender über
einen anderen Kommunikationskanal, etwa durch Boten, diesen Schlüssel an den
Empfänger, dann kann dieser eine derartig verschlüsselte Nachricht mit dem ihm
bekannten Algorithmus mühelos entschlüsseln. Da Sender und Empfänger über
denselben Schlüssel und seine Umkehrfunktion verfügen, nennt man diese Verfahren
auch symmetrisch. (Die moderne Kryptographie kennt auch Verfahren,
bei denen nur der Empfänger über einen geheimen Schlüssel verfügt. Diese asymmetrischen
Verfahren sind auch unter dem Begriff Public-Key-Kryptosysteme bekannt
geworden.) Der Angreifer muß nun zumindest noch den richtigen Schlüssel
raten, selbst wenn ihm die verwendeten Algorithmen bekannt sind. (In der modernen
Kryptographie geht man bei der Beurteilung eines Verschlüsselungssystem
grundsätzlich davon aus, daß die Algorithmen allgemein bekannt sind.) Es kommt
also ausschließlich darauf an, wie unwahrscheinlich die Ermittlung des verwendeten
Schlüssels ist. Bei diesem konkreten Beispiel hat es dann der Angreifer nicht
schwer. Er muß lediglich einen von 26 möglichen Schlüsseln finden, was in sehr
kurzer Zeit durch systematisches Probieren möglich ist. Man kann die Sicherheit
des Verfahrens dadurch erhöhen, daß man als mögliche Schlüssel beliebige Permutationen
der Buchstaben zuläßt (und die Algorithmen natürlich entsprechend
4

ändert). Der Angreifer muß dann den richtigen unter den immerhin 26! ∼ = 4 · 10 26
möglichen Schlüsseln finden. Hier machen aber statistische Informationen über
die Häufigkeiten der einzelnen Buchstaben in den gesendeten Nachrichten die
Suche immer noch recht einfach.
Beispiel 1.3 Das folgende, auf Ideen von Gilbert S. Vernam (1890 - 1960) im
Jahr 1917 zurückgehende Verfahren des Einwegschlüssels gewährt zwar größtmögliche
Sicherheit gegen unbefugtes Abhören, der Preis ist aber der aufwendige
Schlüsselaustausch zwischen Sender und Empfänger. Es wird hierbei nämlich vorausgesetzt,
daß Sender und Empfänger über eine identische und zufällige unendliche
Folge von Binärzeichen s 1 s 2 s 3 . . . verfügen. Die Nachrichten bestehen ebenfalls
aus Folgen von Binärzeichen n 1 n 2 n 3 . . .. Die Verschüsselung besteht darin,
daß aus dem Nachrichtensymbol n i das zu sendende Symbol m i = n i + s i mod 2
gemacht wird. Ist dies geschehen, so wird s i aus der Schlüsselfolge gestrichen, jedes
Schlüsselsymbol wird also nur einmal verwendet. Der Empfänger kann daraus
sofort n i = m i + s i mod 2 berechnen und anschließend aus seiner Schlüsselfolge
ebenfalls s i streichen. Dadurch bleiben die beiden Schlüsselfolgen synchron. Ein
Angreifer kann eine Nachricht nur dann entschlüsseln, wenn er für jedes m i das
zugehörige s i richtig errät. Die Wahrscheinlichkeit hierfür geht mit wachsender
Nachrichtenlänge aber gegen 0, wenn die Schlüsselfolge eine Zufallsfolge ist. In der
Praxis kann man sich auch mit Folgen von Pseudozufallszahlen behelfen, wobei
man statt der Schlüsselfolgen nur die entsprechenden Generatoren austauschen
muß.
Eine unterhaltsame Geschichte über die Entwicklung der Kryptologie seit dem
zweiten Weltkrieg kann man in dem Roman “Cryptonomicon” von Neal Stephenson
nachlesen.
Einführende Literatur zur Codierungstheorie
A. Betten et al., Codierungstheorie, Springer-Verlag, 1998. ISBN 3-540-64502-0.
W. Heise, P. Quattrocchi, Informations- und Codierungstheorie, Springer-Verlag,
1989. ISBN 3-540-50537-7.
Ernst Henze, Horst H. Homuth, Einführung in die Codierungstheorie, Vieweg,
1973. ISBN 3-528-03024-0.
Raymond Hill, A First Course in Coding Theory, Clarendon Press, 1986. ISBN
0-19-853803-0.
D. Jungnickel, Codierungstheorie, Spektrum-Verlag, 1995. ISBN 3-860-25432-4.
5

Werner Lütkebohmert, Codierungstheorie, Vieweg-Verlag, 2003.
ISBN 3-528-03197-2.
Ralph-Hardo Schulz, Codierungstheorie. Eine Einführung, Vieweg-Verlag, 2003.
ISBN 3-528-16419-0.
Peter Sweeney, Codierung zur Fehlererkennung und Fehlerkorrektur, Hanser-
Verlag, 1992. ISBN 3-446-16439-1.
Wolfgang Willems, Codierungstheorie, deGruyter, 1999. ISBN 3-11-015873-6.
Wolfgang Willems, Codierungstheorie und Kryptographie, Birkhäuser, 2008.
ISBN 978-3-7643-8611-5.
Einführende Literatur zur Kryptologie
Friedrich Bauer, Entzifferte Geheimnisse, Springer-Verlag, 1997. ISBN 3-540-
62632-8.
Albrecht Beutelspacher, Kryptologie, Vieweg-Verlag, 1996. ISBN 3-528-48990-1.
Albrecht Beutelspacher, Geheimsprachen. Geschichte und Techniken, Verlag C.
H. Beck, 2002. ISBN 3-406-49046-8.
Albrecht Beutelspacher, Jörg Schwenk, Klaus-Dieter Wolfenstetter, Moderne Verfahren
der Kryptographie, Vieweg-Verlag, 2001. ISBN 3-834-80083-X.
J. Buchmann, Einführung in die Kryptographie, Springer-Verlag, 1999. ISBN 3-
540-40508-9.
Walter Funny, Hans Peter Rieß, Kryptographie. Entwurf, Einsatz und Analyse
symmetrischer Kryptoverfahren, Oldenbourg, 1994. ISBN 3-486-22213-9.
R. Kippenhahn, Verschlüsselte Botschaften. Geheimschrift, Enigma und Chipkarte,
Rowohlt-Verlag, 1999. ISBN 3-937-87237-X.
Roland Matthes, Algebra, Kryptologie und Kodierungstheorie, Fachbuchverlag
Leipzig, 2003, ISBN 3-446-22431-9.
Michael Miller, Symmetrische Verschlüsselungsverfahren, Teubner-Verlag, 2003.
ISBN 3-519-02399-7.
Bruce Schneier, Angewandte Kryptographie, Wiley, 2006. ISBN 0-471-11709-9.
Simon Singh, Geheime Botschaften, Deutscher Taschenbuch Verlag, 2001. ISBN
3-423-33071-6
6

Abraham Sinkov, Elementary Cryptanalysis, Mathematical Association of America,
1966.
Andrea Sgarro, Marcus Würmli, Geheimschriften, Weltbild-Verlag, 1991. ISBN
3-89350-162-2.
Douglas R. Stinson, Cryptography, CRC Press, 1995. ISBN 0-8493-8521-0
Dominic Welsh, Codes und Kryptographie, VCH, 1991. ISBN 3-527-27959-8.
Anette Werner, Elliptische Kurven in der Kryptographie, Springer, 2002. ISBN
3-540-42518-7.
Kryptographie, Spektrum der Wissenschaft Dossier, 4/2001.
7

2 Freie Halbgruppen und Codierungen
In der algebraischen Codierungstheorie werden einige Begriffe und Resultate über
Halbgruppen, Gruppen, Körper und Vektorräume benötigt. Soweit sie in diesem
Skript nicht nochmals aufgeführt sind, kann man sie in den entsprechenden Skripten
zur Linearen Algebra und Klassischen Algebra finden.
Definition 2.1 Unter einer Halbgruppe (S, ·) versteht man eine nichtleere Menge
S zusammen mit einer binären Verknüpfung (der Multiplikation) ·, die also
je zwei Elementen a, b ∈ S genau ein Produkt a · b ∈ S zuordnet, so daß das
Assoziativgesetz gilt:
(2)
a · (b · c) = (a · b) · c für alle a, b, c ∈ S.
Besitzt die Halbgruppe ein Einselement e ∈ S gemäß
(3)
e · a = a · e = a für alle a ∈ S,
so spricht man von einem Monoid. Gilt in (S, ·) das Kommutativgesetz
(4)
a · b = b · a für alle a, b ∈ S,
so nennt man die Halbgruppe (das Monoid) kommutativ.
Definition 2.2 Sind a und b Elemente einer Halbgruppe (S, ·) und ist c = a·b ihr
Produkt, so nennt man a einen linken Teiler oder ein Präfix und b einen rechten
Teiler oder ein Postfix bzw. Suffix von c.
Beispiel 2.3 Für eine beliebige Menge X ≠ ∅ sei X + = ⋃ n∈N X n . Definiert man
für alle (x 1 , . . . , x n ), (y 1 , . . . , y m ) ∈ X + eine Multiplikation durch
(5)
(x 1 , . . . , x n ) · (y 1 , . . . , y m ) = (x 1 , . . . , x n , y 1 , . . . , y m ),
dann ist (X + , ·) eine Halbgruppe, die freie Halbgruppe über X. Man schreibt die
Elemente (x 1 , . . . , x n ) ∈ X + einfach in der Form x 1 · · · x n und die Multiplikation
als Konkatenation x 1 · · · x n y 1 · · · y m . Speziell für endliches X nennt man X ein
Alphabet, die Elemente x ∈ X Buchstaben und die Elemente x 1 · · · x n ∈ X +
8

Wörter oder Strings über X. Adjungiert man zu (X + , ·) ein leeres Wort λ als
Einselement, so nennt man X ∗ = X + ∪ {λ} das freie Monoid über X. Ist w =
x 1 · · · x n ∈ X ∗ , so nennt man l(w) = n die Länge von w; genau die Wörter
u 1 = x 1 , u 2 = x 1 x 2 , . . . , u n−1 = x 1 · · · x n−1 sind Präfixe und die Wörter v 1 =
x 2 · · · x n , . . . , v n−1 = x n sind Postfixe von w. Unter einer formalen Sprache L
(über dem Alphabet X) versteht man eine beliebige Teilmenge von X ∗ .
Definition 2.4 Sind A und B Teilmengen einer Halbgruppe (S, ·) so versteht
man unter dem Komplexprodukt AB die Teilmenge
(6)
AB = {a · b | a ∈ A, b ∈ B}.
Für A = B schreibt man auch A 2 anstelle von AA, für einelementige Mengen
A = {a} bzw. B = {b} schreibt man auch aB anstelle von {a}B bzw. Ab anstelle
von A{b}.
Definition 2.5 Es seien A und B Alphabete. Eine Codierung von A in B ist
eine beliebige Abbildung γ : A + → B + ; sie heißt eindeutig decodierbar, wenn sie
injektiv ist, und sie heißt homomorph, wenn
(7)
γ(uv) = γ(u)γ(v) für alle u, v ∈ A +
gilt. Die Menge C = γ(A) ⊂ B + heißt Code (zu γ), die Elemente c ∈ C Codewörter.
Für |B| = 2 spricht man von binären, für |B| = 3 von ternären Codes.
Besitzen alle Codewörter c ∈ C dieselbe Länge n = l(c), so heißt C ein Blockcode
der Länge n über B. Bei variablen Längen der Codewörter spricht man auch von
Faltungscodes. Ist |C| = 1, so nennt man C einen trivialen Code. Unter der Informationsrate
eines Blockcodes der Länge n über einem Alphabet mit q Elementen
versteht man R = R(C) = 1 n log q |C|.
Bemerkung 2.6 a) Man bezeichnet allgemein jede nichtleere endliche Teilmenge
C einer freien Halbgruppe B + als Code. Man kann dies mit der obigen Definition
in Einklang bringen, indem man als Alphabet A eine beliebige, zu C gleichmächtige
Menge wählt und als Codierung γ eine beliebige bijektive Abbildung von A
auf C = γ(A), die man in kanonischer Weise gemäß
(8)
γ(x 1 · · · x n ) = γ(x 1 ) . . . γ(x n )
9

zu einem Homomorphismus von A + in B + fortsetzt. Auf diese Weise entsteht
stets eine homomorphe Codierung, die jedoch nicht eindeutig decodierbar sein
muß (vgl. Aufgabe 2.17).
b) Bei dem Alphabet B = {b 1 , . . . , b q } kommt es nicht auf die konkreten Symbole
b i an, sondern nur auf die Mächtigkeit q = |B|. Man kann daher nach geeigneter
Umbenennung B = {1, . . . , q − 1, 0} annehmen und diese Menge mit der Trägermenge
des Restklassenringes (Z/(q), +, ·) identifizieren. Auf diese Weise hat man
stets die Möglichkeit, die Buchstaben des Alphabets zu addieren und zu multiplizieren.
Dies kann man unter Umständen bei der Konstruktion von Codierungen
mit besonderen Eigenschaften ausnutzen (vgl. Beispiel 1.1, Definition 3.13 und
Folgerung 3.14). Außerdem kann man das Auftreten von Übertragungsfehlern
dann dadurch modellieren, daß zu einem übertragenen Codewort ein geeignetes
Fehlerwort hinzuaddiert wurde. Ist q = p k sogar eine Primzahlpotenz, dann kann
man B auch mit dem endlichen Körper F q identifizieren, wodurch die Multiplikation
mit einem von 0 verschiedenen Buchstaben sogar invertierbar ist.
Beispiel 2.7 a) Es sei B ein Alphabet mit |B| = q. Für b ∈ B sei b = x 1 . . . x n ∈
B n mit x i = b für i = 1, . . . , n die n-fache Wiederholung des Buchstabens b. Der
Blockcode C = {b | b ∈ B} heißt q-närer Wiederholungscode der Länge n.
b) Ist allgemeiner C ⊆ B n ein beliebiger Blockcode der Länge n, so wird für
m ∈ N die m-fache Wiederholung von C als Blockcode {(c, . . . , c) ∈ B mn | c ∈ C}
definiert.
Beispiel 2.8 Es seien n, q ≥ 1 natürliche Zahlen und B = {0, 1, . . . , q − 1}. Der
volle q-näre Gray-Code C n der Länge n wird folgendermaßen rekursiv definiert.
Für n = 1 sei C 1 = B. Für n > 1 beginnen die ersten q n−1 Worte von C n mit
dem Zeichen 0 gefolgt von sämtlichen Codeworten von C n−1 in der konstruierten
Reihenfolge. Die nächsten q n−1 Codeworte beginnen mit dem Zeichen 1 gefolgt
von den Codeworten von C n−1 , diese aber in umgekehrter Reihenfolge ihrer Konstruktion.
Die nächsten q n−1 Codeworte beginnen mit dem Zeichen 2, gefolgt von
den Codeworten aus C n−1 , diesmal wieder in ihrer ursprünglichen Reihenfolge,
und so abwechselnd bis das erste Zeichen q − 1 ist. Natürlich gilt C n = B n , aber
die Reihenfolge der Codewörter ist hier entscheidend! Jede nichtleere Teilmenge
C aufeinanderfolgender Codeworte aus C n bezeichnet man als q-nären Gray-Code
der Länge n.
Definition 2.9 Es sei (S, ·) eine Halbgruppe. Eine nichtleere Teilmenge U von
S heißt eine Unterhalbgruppe von (S, ·), wenn
(9)
a, b ∈ U =⇒ a · b ∈ U
10

für alle a, b ∈ S erfüllt ist. Für eine nichtleere Teilmenge A von S sei < A > der
Durchschnitt aller Unterhalbgruppen U von (S, ·) mit A ⊆ U (vgl. Aufgabe 2.18).
Man nennt < A > die von A erzeugte Unterhalbgruppe von (S, ·).
Der Beweis der beiden folgenden grundlegenden Sätze ist umfangreicher und wird
innerhalb der Vorlesung daher nicht geführt.
Satz 2.10 Es sei B ein Alphabet. Eine nichtleere, endliche Teilmenge C ⊆ B +
ist genau dann ein eindeutig decodierbarer Code, wenn C =< C > \ < C > 2 gilt
und wenn für alle w ∈ B + aus < C > w ∩ < C >≠ ∅ und w < C > ∩ < C >≠ ∅
bereits w ∈< C > folgt.
Der nächste Satz gibt einen Algorithmus an, mit dem die eindeutige Decodierbarkeit
einer homomorphen Codierung entschieden werden kann. Dieser Algorithmus
geht auf eine Arbeit von Sardinas und Patterson im Jahr 1953 zurück.
Definition 2.11 Für Teilmengen M und N einer Halbgruppe (S, ·) sei
M −1 N = {x ∈ S | Mx ∩ N ≠ ∅}.
Satz 2.12 Es seien A und B Alphabete und γ : A + → B + eine homomorphe
Codierung. Die Mengen M n seien definiert durch M 0 = γ(A), M 1 = M0 −1 M 0 und
M n+1 = Mn
−1 M 0 ∪ M0 −1 M n . Genau dann ist γ eindeutig decodierbar, wenn γ|A
injektiv ist und M n ∩ M 0 = ∅ für alle n ≥ 1 gilt.
Definition 2.13 Ein Code C ⊂ B + heißt irreduzibel, sofort decodierbar oder ein
Präfix-Code, wenn kein Codewort Präfix eines anderen Codewortes ist.
Bemerkung 2.14 a) Man nennt diese Bedingung auch Präfix-Eigenschaft oder
Fano-Bedingung nach Robert Mario Fano (1917 - ).
b) Jeder Blockcode ist irreduzibel, jeder irreduzible Code ist eindeutig decodierbar.
Aufgabe 2.15 Beweisen Sie, daß das Einselement in einem Monoid stets eindeutig
bestimmt ist.
Aufgabe 2.16 Gibt es Alphabete X, für welche die freie Halbgruppe X + kommutativ
ist?
11

Aufgabe 2.17 Beweisen Sie, daß für die eindeutige Decodierbarkeit einer homomorphen
Codierung γ : A + → B + die Injektivität der Einschränkung γ|A
notwendig, aber nicht hinreichend ist.
Aufgabe 2.18 Beweisen Sie, daß der Durchschnitt beliebig vieler Unterhalbgruppen
einer Halbgruppe (S, ·) entweder leer oder Unterhalbgruppe von (S, ·)
ist.
Aufgabe 2.19 a) Zeigen Sie, daß jeder Blockcode eindeutig decodierbar ist.
b) Es seien A = {a, b, c}, B = {0, 1}, γ 1 (A) = C 1 = {0, 10, 01} und γ 2 (A) = C 2 =
{1, 10, 00}. Entscheiden Sie mit Satz 2.12, ob γ i eindeutig decodierbar ist.
c) Es sei C = {110, 11, 100, 00, 10} ⊂ B + . Entscheiden Sie, ob C eindeutig decodierbar
ist.
d) Zeigen Sie, daß C 1 = {11, 10, 110, 001} und C 2 = {11, 10, 001} eindeutig decodierbare
Codes über B = {0, 1} sind.
12

3 Eigenschaften von Blockcodes
Definition 3.1 Es sei B ein Alphabet und v, w ∈ B n ⊂ B + . Dann heißt
(10)
d(v, w) = |{i | v i ≠ w i }|,
also die Anzahl der Stellen, an denen sich v und w unterscheiden, der Hamming-
Abstand oder die Hamming-Distanz von v und w. (Dieser Begriff wurde 1950 von
R. W. Hamming eingeführt.)
Satz 3.2 Die Hamming-Distanz definiert eine Metrik auf B n , d. h. es gilt für
alle u, v, w ∈ B n
(11)
(12)
(13)
d(u, v) ≥ 0 und d(u, v) = 0 ⇐⇒ u = v,
d(u, v) = d(v, u),
d(u, v) ≤ d(u, w) + d(w, v).
Ist (B, +) eine additiv geschriebene abelsche Gruppe (was nach Bemerkung 2.6 b)
immer angenommen werden darf), so ist d translationsinvariant, d. h. es gilt
außerdem
(14)
d(u + w, v + w) = d(u, v).
Beweis: Aufgrund der Definition des Abstandes als Anzahl der unterschiedlichen
Stellen sind die Aussagen in (11) und (12) klar. Zum Beweis von (13) betrachte
eine beliebige Stelle i, an der u i ≠ v i gilt, die also in d(u, v) gezählt wird. Dann
muß w i aber auch von mindestens einem der beiden Zeichen u i oder v i verschieden
sein und wird daher in d(u, w) oder in d(w, v) (oder in beiden) gezählt. Damit ist
die rechte Seite mindestens so groß wie die linke. In (14) gilt die Gleichheit, weil
für jede Stelle i stets u i + w i = v i + w i gleichwertig zu u i = v i ist.
⋄
Definition 3.3 Es sei B ein Alphabet und r ∈ N 0 . Für v ∈ B n sei
(15)
B r (v) = {w ∈ B n | d(v, w) ≤ r}
die abgeschlossene Kugel vom Radius r um den Mittelpunkt v und
(16)
S r (v) = {w ∈ B n | d(v, w) = r}
die Sphäre vom Radius r um den Mittelpunkt v.
13

Lemma 3.4 Ist |B| = q, so gilt für alle j, r ∈ N 0 und v ∈ B n
(17)
|S j (v)| =
( n
j
)
(q − 1) j ,
und da die abgeschlossene Kugel B r (v) disjunkte Vereinigung der Sphären S j (v)
für j = 0, . . . , r ist,
(18)
( )
r∑ n
|B r (v)| = (q − 1) j .
j=0
j
Beweis: Offensichtlich ist nur (17) zu zeigen. Ein Element w ∈ B n liegt aber
genau dann in S j (v), wenn es genau j Stellen i 1 , . . . , i j gibt, an denen sich w und
v unterscheiden. Diese j Stellen können nun zunächst einmal auf ( )
n
j verschiedene
Weisen aus allen Stellen 1, . . . , n ausgewählt werden. Für jede so ausgewählte
Stelle i muß sich dann w i von v i unterscheiden, während an den nicht ausgewählten
Stellen v und w übereinstimmen. Da v i genau ein Zeichen aus B für diese
Stelle festlegt, kann w i an dieser Stelle jedes der anderen q − 1 Zeichen aus B
sein. Es gibt also für das Wort w genau q − 1 verschiedene Möglichkeiten, sich
von v an dieser Stelle i zu unterscheiden. Daher gibt es für das Wort w genau
(q − 1) j Möglichkeiten, sich an allen j ausgewählten Stellen von v zu unterscheiden
und an den anderen Stellen mit v übereinzustimmen. Also wird die Anzahl
aller w ∈ B n , die von v den Abstand j haben, durch die rechte Seite von (17)
beschrieben.
⋄
Definition 3.5 Es sei C ⊆ B n ein Blockcode der Länge n.
a) C heißt t-fehlererkennend, falls B t (c) für alle c ∈ C kein Codewort außer c
enthält.
b) C heißt e-fehlerkorrigierend, falls B e (c) ∩ B e (c ′ ) = ∅ für alle Codewörter c ≠ c ′
gilt.
c) Ist |C| > 1, so heißt
(19)
d(C) = min{d(c, c ′ ) | c ≠ c ′ , c, c ′ ∈ C}
die Minimaldistanz von C. Für jeden trivialen Code sei d(C) = 0.
d) Ist |C| = M und d(C) = d, so heißt C ein (n, M, d)-Code über B.
e) Mit A q (n, d) wird das maximale M bezeichnet, für das bei gegebenen q = |B|, n
und d ein (n, M, d)-Code über B existiert.
14

Beispiel 3.6 a) Jeder triviale Blockcode der Länge n ist ein (n, 1, 0)-Code, und
M = 1 ist für d = 0 aufgrund der Defintion der Minimaldistanz auch optimal,
d. h. es ist A q (n, 0) = 1 für jedes q und n.
b) Es ist C = B n ein (n, q n , 1)-Code und M = q n ist bei gegebenen n und q für
d = 1 ebenfalls optimal, also A q (n, 1) = q n . Dies folgt aus dem Satz 3.23.
c) Der q-näre Wiederholungscode C der Länge n ist ein (n, q, n)-Code.
Definition 3.7 Ein Blockcode C ⊆ B n erkennt Vertauschungsfehler an den Stellen
i und j aus {1, . . . , n}, wenn für alle (c 1 , . . . , c i , . . . , c j , . . . , c n ) ∈ C mit c i ≠ c j
gilt (c 1 , . . . , c j , . . . , c i , . . . , c n ) /∈ C.
Bemerkung 3.8 Es werden noch weitere Vertauschungsfehler unterschieden, die
bei der Übermittlung von Ziffern auftreten: Sprungtranspositionen (abc ↦→ cba),
Zwillingsfehler (aa ↦→ bb), Sprungzwillingsfehler (aca ↦→ bcb), phonetische Fehler
(a0 ↦→ 1a) und übrige, zufällige Fehler. Über die Häufigkeiten derartiger Fehler
gibt es statistische Untersuchungen.
Satz 3.9 Es sei C ⊆ B n ein Blockcode mit Minimaldistanz d.
a) Ist d ≥ t + 1, so ist C ein t-fehlererkennender Code.
b) Ist d ≥ 2e + 1, so ist C ein e-fehlerkorrigierender Code.
Beweis: a) Ist c ∈ C und c ≠ c ′ ∈ B n mit c ′ ∈ B t (c), dann folgt d(c, c ′ ) ≤ t < d,
also kann c ′ nicht auch in C liegen.
b) Wäre w ∈ B e (c)∩B e (c ′ ) für verschiedene Codeworte c und c ′ , so wäre d(c, c ′ ) ≤
d(c, w) + d(w, c ′ ) ≤ e + e < d, was nach Definition der Minimaldistanz nicht sein
kann.
⋄
Definition 3.10 Es sei C ⊂ B n ein Blockcode der Länge n. Man nennt C perfekt,
falls ein e ∈ N 0 existiert, so daß
(20)
B n = ⋃
B e (c)
c∈C
die disjunkte Vereinigung der Kugeln B e (c) ist.
15

Satz 3.11 Es sei C ⊆ B n ein Blockcode der Länge n über B und es gelte |B| = q.
a) Ist d(C) ≥ 2e + 1 für e ∈ N 0 , so gilt die Hamming-Schranke
(21)
( )
e∑ n
q n ≥ |C| (q − 1) j .
j=0
j
b) Genau dann ist ein nicht-trivialer Code C perfekt, wenn in (21) die Gleichheit
gilt. Diese Gleichung nennt man auch Kugelpackungsgleichung.
Beweis: a) Aus d(C) ≥ 2e + 1 folgt wie im Beweis von Satz 3.9 b) zunächst
einmal B e (c) ∩ B e (c ′ ) = ∅ für alle c ≠ c ′ aus C. Mit Lemma 3.4 erhält man
q n = |B n | ≥ | ⋃
B e (c)| = ∑ ( )
e∑ n
|B e (c)| = |C||B e (c)| = |C| (q − 1) j ,
c∈C c∈C
j=0
j
und hierin gilt Gleichheit genau dann, wenn B n = ⋃ c∈C B e (c) gilt.
b) Gilt also die Gleichheit, so ist C nach Definition perfekt. Ist C umgekehrt
nicht-trivial und perfekt, so ist ⋃ c∈C B e (c) disjunkte Überdeckung von B n und
da |C| > 1 gilt, hat man auch d(C) ≥ 2e+1. Nach a) gilt (21) also mit Gleichheit.
⋄
Beispiel 3.12 a) Triviale Codes (e = n) und C = B n (e = 0) sind perfekte
Codes. Der binäre Wiederholungscode ungerader Länge n = 2e + 1 ist perfekt,
denn B n wird von den beiden disjunkten Kugeln vom Radius e um die beiden
Codeworte 0 und 1 überdeckt. Diese Codes nennt man auch triviale perfekte
Codes.
b) Die weiter unten behandelten (linearen) Hamming-Codes sind perfekt.
c) Es gibt noch zwei von M. J. E. Golay im Jahr 1949 entdeckte perfekte Codes,
den binären (23, 2 12 , 7)-Golay-Code und den ternären (11, 3 6 , 5)-Golay-Code.
d) Zwei tiefliegende Resultate, die von verschiedenen Autoren in den 70er und
80er Jahren bewiesen wurden, besagen, daß für Primzahlpotenzen q = |B| ein
nicht-trivialer perfekter Code nur mit denselben Parametern wie die Hamming-
Codes und die Golay-Codes existieren kann. Außerdem ist für beliebiges q und
d(C) ≥ 7 der binäre Golay-Code der einzige nicht-triviale perfekte Code.
Durch die folgenden Begriffsbildungen wird das Vorgehen in Beispiel 1.1 verallgemeinert
und verständlicher.
16

Definition 3.13 Es sei C ⊆ B n ein Blockcode der Länge n und das Alphabet
B werde gemäß Bemerkung 2.6 b) als additive Gruppe vorausgesetzt. Der
Erweiterungscode C von C ist dann der Blockcode der Länge n + 1
n∑
C = {(v 1 , . . . , v n+1 ) | (v 1 , . . . , v n ) ∈ C, v n+1 = − v i }.
i=1
Lemma 3.14 a) Ist C Blockcode, so gilt d(C) ≤ d(C) ≤ d(C) + 1.
b) Ist C nicht-trivialer Blockcode, so gilt d(C) ≥ 2.
c) Ist C binärer Blockcode und d(C) ungerade, so gilt d(C) = d(C) + 1.
Beweis: a) Zu c = (c 1 , . . . , c n ) ∈ C sei stets c = (c 1 , . . . , c n , c n+1 ) ∈ C. Zwei Elemente
c und c ′ aus C unterscheiden sich mindestens an den Stellen, an denen sich
die zugehörigen Elemente c und c ′ aus C unterscheiden und höchstens zusätzlich
noch an der letzten Stelle. Es gilt also
(22)
d(c, c ′ ) ≤ d(c, c ′ ) ≤ d(c, c ′ ) + 1.
Hieraus folgt bereits die Behauptung, falls es zwei verschiedene Elemente c ≠ c ′ in
C gibt. Sonst ist mit C aber auch C einelementig und es gilt d(C) = 0 = d(C) < 1.
b) Wegen |C| > 1 existieren c ≠ c ′ aus C. Entweder gilt nun stets 2 ≤ d(c, c ′ ) für
alle c ≠ c ′ aus C oder es gibt c ≠ c ′ in C mit d(c, c ′ ) = 1. Im ersten Fall folgt aus
a) bereits 2 ≤ d(C) ≤ d(C). Im zweiten Fall unterscheiden sich c und c ′ an genau
einer Stelle j, an der sich c und c ′ dann ebenfalls unterscheiden. Außerdem ist
dann c n+1 ≠ c ′ n+1, da sich die beiden Summen genau in den Summanden c j ≠ c ′ j
unterscheiden. Dies zeigt d(c, c ′ ) = 2 für alle diese Paare. Also gilt d(C) ≥ 2.
c) Sei k = d(C) ≥ 1 ungerade. Wegen (22) bleibt d(c, c ′ ) = k =⇒ d(c, c ′ ) = k + 1
für alle c ≠ c ′ aus C zu zeigen. Gilt aber die Voraussetzung dieser Implikation,
so seien I = {i 1 , . . . , i k } die Stellen, an denen sich c und c ′ unterscheiden. Wenn
nun c an einer geraden Anzahl von Stellen aus I eine 1 hat, so hat c ′ dort eine
0 und folglich, da k ungerade ist, an einer ungeraden Anzahl von Stellen eine 1.
Sonst hat c an einer ungeraden Anzahl von Stellen eine 1 und c ′ an einer geraden
Anzahl. In jedem Fall ist ∑ i∈I c i ≠ ∑ i∈I c ′ i mod 2. Da die restlichen Stellen von
c und c ′ aber gleich sind, folgt c n+1 ≠ c ′ n+1 und daher d(c, c ′ ) = d(c, c ′ ) + 1. ⋄
Folgerung 3.15 Für ungerades d gilt A 2 (n + 1, d + 1) = A 2 (n, d). Also gilt für
gerades d > 0 auch A 2 (n, d) = A 2 (n − 1, d − 1).
17

Beweis: Offensichtlich reicht es, den ungeraden Fall zu beweisen. Sei also d ungerade.
Ist dann C ein binärer (n, M, d)-Code, so ist C ein (n+1, M, d+1)-Code.
Dies zeigt A 2 (n + 1, d + 1) ≥ A 2 (n, d). Sei umgekehrt C ein (n + 1, M, d + 1)-
Code. Entfernt man aus allen Codewörtern eine feste Koordinate, so bleiben
unterschiedliche Codeworte verschieden, da sie sich wegen d + 1 > 1 nicht nur
in dieser Koordinate unterscheiden konnten. Man erhält also eine Blockcode der
Länge n aus M Codewörtern. Zwei auf diese Weise erhaltene Codeworte der
Länge n unterschieden sich aber noch in mindestens d Koordinaten. Sind c ≠ c ′
zwei Codeworte aus C mit d(c, c ′ ) = d+1 und streicht man aus allen Codewörtern
eine Koordinate, an der sich c und c ′ unterscheiden, so haben die resultierenden
Codewörter nur noch den Abstand d, der resultierende Code ist also tatsächlich
ein (n, M, d)-Code. Dies zeigt auch die andere Ungleichung.
⋄
Definition 3.16 Ein Blockcode C der Länge n über B = Z/(q) heißt Paritätscode
zur Basis q mit den Gewichten g 1 , . . . , g n ∈ B, wenn C genau aus den
(c 1 , . . . , c n ) ∈ B n besteht, für die
(23)
n∑
g i c i ≡ 0 mod q
i=1
gilt. Das letzte Zeichen c n eines jeden Codewortes heißt dann das Kontrollzeichen
dieses Wortes. Stets ist (0, . . . , 0) in C. Gilt g i = 1 für alle Gewichte, wird also
zunächst die Quersumme berechnet, so heißt C einfach ein Paritätscode.
Beispiel 3.17 a) Bei der EAN (Europäische Artikel-Nummer) wird ein Paritätscode
zur Basis 10 entweder der Länge 13 (EAN13) oder der Länge 8 (EAN8) verwendet.
Beim EAN13 lauten die Gewichte 1, 3, 1, . . . , 3, 1, beim EAN8 dagegen
3, 1, . . . , 3, 1. Beide Codes sind also nach dem folgenden Satz 1-fehlererkennend.
b) Bei der ISBN10 (Internationale Standard Buch Nummer) wird ein Paritätscode
zur Basis 11 der Länge 10 verwendet. Die Gewichte lauten 10, 9, . . . , 1. Ist das
Kontrollzeichen eine 10, so wird dieses als X notiert. Nach dem folgenden Satz
ist der ISBN-Code 1-fehlererkennend. Er erkennt sogar Vertauschungsfehler an
beliebigen Stellen.
Seit 2007 wird auch die ISBN13 zur Basis 10 der Länge 13 verwendet. Die Gewichte
sind dieselben wie bei der EAN13. Die ISBN13 entsteht aus der ISBN10 durch
voranstellen der drei Ziffern 978 und der anderen Berechnung der Prüfziffer.
c) Bei den Euro-Banknoten kommt ein Paritätscode der Länge 9 zum Einsatz.
Die auftretenden Buchstaben werden vorher durch Ziffern aus {0, . . . , 9} ersetzt.
Sämtliche Gewichte sind 1.
18

Satz 3.18 Es sei C ein Paritätscode zur Basis q mit den Gewichten g i . Um das
Kontrollzeichen stets berechnen zu können, muß g n teilerfremd zu q sein.
a) Genau dann ist C 1-fehlererkennend, wenn jedes g i teilerfremd zu q ist. Insbesondere
ist also jeder Paritätscode 1-fehlererkennend.
b) Genau dann erkennt C alle Vertauschungsfehler an aufeinanderfolgenden Stellen,
wenn g i − g i+1 für i = 1, . . . , n − 1 teilerfremd zu q ist.
Beweis: Aus (23) folgt g n c n ≡ −(g 1 c 1 +. . .+g n−1 c n−1 ) mod q und diese Gleichung
ist genau dann nach c n auflösbar, wenn das Inverse gn
−1 modulo q existiert. Dies
ist aber genau für ggT (g n , q) = 1 der Fall.
a) Sei c = (c 1 , . . . , c n ) ∈ C und c ′ unterscheide sich genau an der Stelle i von c ′ .
Genau dann erkennt C diesen Fehler nicht, wenn q neben g 1 c 1 +. . .+q i c i +. . . q n c n
auch g 1 c 1 +. . .+q i c ′ i+. . . q n c n teilt oder gleichwertig, wenn q das Produkt g i (c i −c ′ i)
teilt. Also erkennt C genau dann diesen Fehler, wenn q keine der möglichen Zahlen
g i (c i − c ′ i) teilt.
Gilt nun ggT (q, g i ) = 1, so teilt q keine dieser Zahlen, da q sonst c i − c ′ i teilen
müßte, was wegen c i − c ′ i| ≤ q − 1 unmöglich ist.
Gilt andererseits ggT (q, g i ) = d > 1, so haben c = (0, . . . , 0, c i , 0, . . . , 0) und
c ′ = (0, . . . , 0, c ′ i, 0, . . . , 0) mit c ′ i = q ≠ 0 und c d i = 0 den Abstand 1 und liegen
wegen g i c ′ q
i = g i = q g i
beide in C, d. h., C erkennt diesen einfachen Fehler nicht.
d d
b) Sei c = (c 1 , . . . , c i , . . . , c j , . . . c n ) ∈ C und c ′ = (c 1 , . . . , c j , . . . , c i , . . . , c n ), wobei
i und j nicht notwendig benachbart sein müssen. Genau dann erkennt C diesen
Fehler nicht, wenn g 1 c 1 + . . . + g i c j + . . . + g j c i + . . . + g n c n ebenfalls von q geteilt
wird. Dies ist gleichwertig zu q | g i c i + g j c j − g i c j − g j c i = (g i − g j )(c i − c j ).
Also erkennt C genau dann diesen Fehler, wenn q keine der möglichen Zahlen
(g i − g j )(c i − c j ) teilt.
Mit der analogen Fallunterscheidung wie beim Beweis von a) folgt nun die Behauptung.
⋄
Folgerung 3.19 Für gerades q gibt es keinen Paritätscode zur Basis q der 1-
fehlererkennend ist und gleichzeitig alle Vertauschungsfehler an aufeinanderfolgenden
Stellen erkennt.
Beweis: Sei C Paritätscode der Länge n mit Gewichten g 1 , . . . , g n . Wenn C 1-
fehlererkennend ist, so müssen nach Satz 3.18 a) alle g i ungerade sein. Dann sind
aber alle Differenzen g i − g j für i ≠ j gerade und nicht teilerfremd zur geraden
Zahl q. Wegen Satz 3.18 b) erkennt C daher nicht alle Vertauschungsfehler. ⋄
19

Definition 3.20 Es sei (B, +) eine beliebige endliche Gruppe. Weiterhin seien
π i für i = 1, . . . , n Permutationen von B und a ∈ B. Dann heißt
(24)
n∑
C = {(c 1 , . . . , c n ) | c i ∈ B, π i (c i ) = a}
i=1
ein Kontrollcode und ∑ n
i=1 π i (c i ) = a die Kontrollgleichung von C.
Satz 3.21 a) Jeder Kontrollcode C ist 1-fehlererkennend.
b) Ein Kontrollcode C mit den Permutationen π 1 , . . . , π n erkennt alle Vertauschungen
an aufeinanderfolgenden Stellen, falls π i (b) + π i+1 (b ′ ) ≠ π i+1 (b) + π i (b ′ )
für alle b ≠ b ′ aus B und i = 1, . . . , n − 1 gilt.
Beweis: a) Für |C| = 1 ist nichts zu zeigen. Wären c = (c 1 , . . . , c i , . . . , c n ) und
c ′ = (c 1 , . . . , c ′ i, . . . , c n ) aus C mit d(c, c ′ ) = 1, also c i ≠ c ′ i, so würde
π 1 (c 1 ) + . . . + π i (c i ) + . . . + π n (c n ) = a = π 1 (c 1 ) + . . . + π i (c ′ i) + . . . + π n (c n )
in der Gruppe (B, +) sofort π i (c i ) = π i (c ′ i) und damit c i = c ′ i nach sich ziehen.
Also gilt stets d(c, c ′ ) ≥ 2 und daher ist C 1-fehlererkennend.
b) Sei c = (c 1 , . . . , c i , . . . , c j , . . . , c n ) ∈ C und c ′ = (c 1 , . . . , c j , . . . , c i , . . . , c n ) mit
c i ≠ c j . Genau dann erkennt C diese Vertauschung nicht, wenn sowohl π 1 (c 1 ) +
. . . + π i (c i ) + . . . + π j (c j ) + . . . + π n (c n ) = a als auch π 1 (c 1 ) + . . . + π i (c j ) + . . . +
π j (c i ) + . . . + π n (c n ) = a gelten. Durch Subtraktion gleicher Summanden folgt in
der Gruppe (B, +) dann
(25)
π i (c i ) + . . . + π j (c j ) = π i (c j ) + . . . + π j (c i ).
Wenn hierin also stets Ungleichheit gilt, so erkennt C alle Vertauschungen der
Stellen i und j. Für j = i + 1 ist dies gerade die Behauptung in b). Bei kommutativen
Gruppen kann man (25) sogar weiter vereinfachen zu
π i (c i ) + π j (c j ) = π i (c j ) + π j (c i ).
Daher erkennt in diesem Fall der Kontrollcode C alle Vertauschungen an den
Stellen i und j, wenn π i (b) + π j (b ′ ) ≠ π i (b ′ ) + π j (b) für alle b ≠ b ′ aus B gilt. ⋄
20

Bemerkung 3.22 a) Einige Banken verwenden bei der Vergabe ihrer Kontonummern
einen Kontrollcode über der Gruppe (Z/(10), +).
b) Bei den 9-stelligen Postgironummern wird ebenfalls ein Kontrollcode über
(Z/(10), +) angewendet.
c) Der bei der Numerierung der ehemaligen DM-Scheine verwendete Code war
ein Kontrollcode über der Diedergruppe der Ordnung 10.
d) Es sind auch Kontrollcodes über nichtassoziativen Quasigruppen untersucht
worden, die bessere Eigenschaften bezüglich der Fehlererkennung haben als die
über Gruppen definierten Kontrollcodes.
e) Der ISIN-Code (International Securities Identification Number) ordnet jedem
Wertpapier eine zwölfstellige Buchstaben-Zahlenkombination zu. So hat beispielsweise
die Aktie der Deutschen Telekom die ISIN DE0007664005. Zunächst werden
zwei Buchstaben als Länderkennung nach ISO 3166-1 angegeben, hier DE
für Deutschland. Danach folgen 9 Ziffern für das Papier. Die letzte Ziffer ist
eine Prüfziffer. Zu ihrer Berechnung werden die beiden Buchstaben der Länderkennung
in eine vierstellige Zahl umgewandelt, indem zur jeweiligen Stelle im
Alphabet 9 addiert wird, also gemäß A = 10, B = 11, . . . , Z = 35. Es entstehen
die Ziffern c 1 c 2 . . . c 13 . Die ungeraden Stellen werden unverändert gelassen, die
geraden Stellen durch die Abbildung π(z) = Quersumme(2z) permutiert. Dann
wird die Prüfziffer c 14 durch die Kontrollgleichung
π(c 1 ) + c 2 + π(c 3 ) + . . . + π(c 13 ) + c 14 = 0 mod 10
berechnet. Dieser Kontrollcode erkennt einfache Fehler und Vertauschungen benachbarter
Stellen, wenn es sich nicht um 09 und 90 handelt. In der Praxis werden
diese Kombinationen aber nicht konsequent vermieden, z. B. bei der BMW-
Stammaktie DE000519000.
Der folgende Satz wurde 1964 von R. C. Singleton bewiesen.
Satz 3.23 Es sei C ⊆ B n und |B| = q. Dann gilt für die Minimaldistanz d von
C die Singleton-Schranke
(26)
d ≤ n − log q |C| + 1.
Beweis: Im Fall d = 0, also |C| = 1, ist die Ungleichung jedenfalls erfüllt.
Für d ≥ 1 betrachte die Projektion ϕ : B n → B n−d+1 gemäß ϕ(v 1 , . . . , v n ) =
(v 1 , . . . , v n−d+1 ). Für c = (c 1 , . . . , c n ) ≠ (c ′ 1, . . . , c ′ n) = c ′ aus C gilt ϕ(c) ≠ ϕ(c ′ ),
21

da sonst (c 1 , . . . , c n−d+1 ) = (c ′ 1, . . . , c ′ n−d+1) und damit d(c, c ′ ) < d = d(C) wäre.
Also ist ϕ|C injektiv. Es folgt |C| = |ϕ(C)| ≤ |B n−d+1 | = q n−d+1 . Durch Logarithmieren
folgt hieraus sofort die behauptete Ungleichung.
⋄
Definition 3.24 Blockcodes C mit d(C) = n − log q |C| + 1 heißen Maximum
Distance Separable Codes, kurz MDS-Codes.
Bemerkung 3.25 Wegen der Singleton-Schranke ist also stets A q (n, d) ≤ q n−d+1
und für MDS-Codes wird diese obere Schranke auch erreicht. Es existiert aber
keineswegs für jede Kombination der Parameter ein Blockcode C, der die Schranke
auch mit Gleichheit erreicht.
Die folgende Tabelle gibt für binäre Codes (q = 2) und kleine Werte von n und d
(Wegen Folgerung 3.15 reicht es, ungerades d zu betrachten! Wegen Beispiel 3.6 b)
besteht eine entsprechende Spalte für d = 1 gerade aus den Potenzen 2 n .) exakte
Werte oder bekannte Abschätzungen für A 2 (n, d) an. Sie ist dem Buch “A First
Course in Coding Theory” von Raymond Hill aus dem Jahr 1986 entnommen.
Eine Aktualisierung könnte Thema einer Abschlußarbeit sein. Die Fälle, in denen
die Singleton-Schranke erreicht wird, sind fett hervorgehoben.
n d=3 d=5 d=7
3 2 - -
4 2 - -
5 4 2 -
6 8 2 -
7 16 2 2
8 20 4 2
9 40 6 2
10 72-79 12 2
11 144-158 24 4
12 256 32 4
13 512 64 8
14 1024 128 16
15 2048 256 32
16 2560-3276 256-340 36-37
Definition 3.26 Es sei C ⊆ B n ein Blockcode. Ein Decodierschema δ von C
bezüglich ∅ ≠ D ⊆ B n ist dann eine beliebige Abbildung δ : D → C. Dabei heißt
B n \ D Decodierausfall von δ, und δ heißt vollständig, wenn D = B n gilt.
22

Beispiel 3.27 Es sei B = {0, 1} und C = {00000, 11111} der binäre Wiederholungscode
der Länge n = 5. Dann sind mögliche Decodierschemata gegeben
durch D i = B i (00000) ∪ B i (11111) und δ i : D i → C mit δ i (v) = c für v ∈ B i (c)
für i = 0, 1, 2. Dabei ist nur δ 2 vollständig.
Aufgabe 3.28 Der nicht-triviale binäre Blockcode C der Länge n bestehe nur
aus Vektoren, die eine gerade Anzahl von Einsen besitzen. Dann gilt d(C) ≥ 2.
Aufgabe 3.29 Beweisen Sie A 2 (3, 2) = 4.
Aufgabe 3.30 Zeigen Sie, daß man das Kontrollzeichen bei der ISBN10 auch
gemäß
c 10 = 1 · c 1 + 2 · c 2 + . . . + 9 · c 9 mod 11
berechnen kann.
Aufgabe 3.31 Obwohl die Singleton-Schranke eingehalten wird, gibt es keinen
binären (7, 2 3 , 5)-Code.
Aufgabe 3.32 Konstruieren Sie einen binären MDS-Code mit den Parametern
(4, 8, 2).
Aufgabe 3.33 Bestimmen Sie die Prüfziffer der ISBN13 978-3-7643-8611-?
Aufgabe 3.34 Bestimmen Sie die Prüfziffer der ISIN der holländischen Elsevier-
Aktie NL000034948?
23

4 Lineare Codes
In diesem Abschnitt ist das Alphabet B stets ein endlicher Körper K = F q gemäß
Bemerkung 2.6 b). Auf dem K-Vektorraum K n sei durch
(27)
n∑
v · w T = v i w i
i=1
eine symmetrische Bilinearform definiert, die aber nicht positiv definit, also kein
Skalarprodukt ist. Für jeden Unterraum V von K n sei
(28)
V d = {w ∈ K n | v · w T = 0 für alle v ∈ V }
der Orthogonalraum von V . Es gilt dann (V d ) d = V und dim(V ) + dim(V d ) = n.
Es sei π ∈ S n eine Permutation. Durch
(29)
P π (v 1 , . . . , v n ) = (v π(1) , . . . , v π(n) )
wird eine lineare Abbildung P π : K n → K n definiert. Bezüglich der kanonischen
Basis entspricht ihr eine Permutationsmatrix P , d.h. eine Matrix, in der in jeder
Zeile und in jeder Spalte genau eine 1 und sonst lauter Nullen stehen. Die Abbildung
P π permutiert die Koordinaten von K n in der durch π vorgegebenen Weise.
Die speziell durch π = (1 2 · · · n 1) gegebene lineare Abbildung z = P π heißt
zyklische Verschiebung des K n .
Definition 4.1 Ein Linearcode C ist ein Unterraum des K-Vektorraums K n für
einen endlichen Körper K und n ∈ N. Ist k = dim(C) die Dimension von C und
d = d(C) die Minimaldistanz, so spricht man auch von einem [n, k, d]-Code oder
[n, k]-Code. Ist C ein [n, k]-Code, so nennt man den [n, n − k]-Code C d den zu C
dualen Code.
Beispiel 4.2 a) C = K n ist stets ein [n, n, 1]-Linearcode.
b) Der triviale Code C = {0} ⊂ K n ist stets ein [n, 0, 0]-Linearcode. Der duale
Code ist C d = K n .
c) Der q-näre Wiederholungscode C = {b | b ∈ K} ⊂ K n ist stets ein [n, 1, n]-
Linearcode. Der duale Code ist C d = K n−1 , also der Erweiterungscode von K n−1 .
24

Definition 4.3 a) Für v = (v 1 , . . . , v n ) ∈ K n sei
(30)
tr(v) = {i | v i ≠ 0}
der Träger von v und
(31)
wt(v) = d(v, 0) = |{i | v i ≠ 0}| = |tr(v)|
das Gewicht von v.
b) Für ∅ ≠ C ⊆ K n sei tr(C) = ⋃ c∈C tr(c) und
(32)
wt(C) = min{wt(c) | 0 ≠ c ∈ C}
heißt das Minimalgewicht von C ≠ {0}. Für C = {0} werde wt(C) = 0 gesetzt.
Bemerkung 4.4 Ist C ⊆ K n Linearcode und |tr(C)| < n, so haben alle Codeworte
c ∈ C an den Koordinatenstellen aus {1, . . . , n} \ tr(C) den Eintrag 0. Ein
Weglassen dieser Koordinaten ändert daher an der Linearität von C ebensowenig
wie an den Abständen zwischen den Codeworten. Man darf daher bei Bedarf für
nicht-triviale Linearcodes |tr(C)| = n annehmen.
Lemma 4.5 Für jeden Linearcode C gilt wt(C) = d(C).
Beweis: Für den trivialen Linearcode C = {0} ist wt(C) = d(C) = 0. Wegen
der Linearität von C ist für beliebige c, c ′ ∈ C auch die Differenz c − c ′ in C
enthalten. Insbesondere liegt der Nullvektor c − c = 0 in C und daher läßt sich
jeder Codevektor c ∈ C auch als Differenz c − 0 = c von Codevektoren schreiben.
Damit gilt für beliebige c ≠ c ′ aus C wegen der Translationsinvarianz (14) der
Hamming-Distanz d(c, c ′ ) = d(c − c ′ , 0) = wt(c − c ′ ) = wt(c ′′ ) mit c ′′ = c − c ′ ≠ 0.
Bildet man auf beiden Seiten das Minimum, so erhält man die Behauptung. ⋄
Definition 4.6 Es sei C ein [n, k]-Code über K.
a) Ist k > 0, so heißt eine k × n-Matrix G über K eine Erzeugermatrix oder
Generatormatrix für C, falls
(33)
K k G = {(v 1 , . . . , v k ) · G | v i ∈ K} = C
25

gilt, falls also die Zeilen von G eine Basis von C bilden. Im ausgearteten Fall
C = {0} sei G = (0, . . . , 0) ∈ K n die Erzeugermatrix von C. Stets hat G den
Rang k = dim(C).
b) Ist k < n, so heißt eine (n − k) × n-Matrix H über K mit rang(H) = n − k
eine Kontrollmatrix für C, falls
(34)
{v ∈ K n | H · v T = 0} = C
gilt. Im ausgearteten Fall C = K n sei H = (0, . . . , 0) ∈ K n die Kontrollmatrix
von C.
Bemerkung 4.7 Ist C ein Linearcode und C d der dazu duale Code, so ist jede
Generatormatrix von C eine Kontrollmatrix von C d und umgekehrt.
Satz 4.8 Ist C nicht-trivialer [n, k]-Code über K und H eine Kontrollmatrix von
C, so gilt
wt(C) = min{r ∈ N | es gibt r linear abhängige Spalten von H}
= max{r ∈ N | je r − 1 Spalten von H sind linear unabhängig}.
Beweis: Seien h 1 , . . . , h n die Spalten von H. Wegen C ≠ {0} sind sie linear
abhängig. Sei r minimal gewählt, so daß es r linear abhängige Spalten h i1 , . . . , h ir
gibt. Unmittelbar klar ist dann, daß es maximal r −1 linear unabhängige Spalten
von H gibt, so daß die zweite Gleichheit gilt. Weiterhin gibt es c i ∈ K für
i = 1, . . . , n mit c i ≠ 0 genau für i ∈ {i 1 , . . . , i r } und ∑ n
i=1 c i h i = 0. Daher liegt
c = (c 1 , . . . , c n ) wegen H · c T = 0 in C. Wegen wt(c) = r folgt wt(C) ≤ r.
Angenommen, es gäbe ein c ′ ∈ C mit wt(c ′ ) = r ′ < r. Dann würde H · c ′T = 0
die Existenz von r ′ < r linear abhängigen Spalten liefern, im Widerspruch zur
minimalen Wahl von r. Also gilt sogar wt(C) = r und damit auch die erste
Gleichheit.
⋄
Definition 4.9 Zwei [n, k]-Linearcodes C und C ′ heißen äquivalent, wenn es eine
Permutation π ∈ S n mit C ′ = P π (C) gibt. Ein [n, k]-Linearcode heißt systematisch,
wenn er eine Generatormatrix G der Form
(35)
G = (E k | G ′ )
besitzt, wobei E k die k×k-Einheitsmatrix und G ′ eine beliebige k×(n−k)-Matrix
ist.
26

Lemma 4.10 a) Zu jedem Linearcode existiert ein äquivalenter systematischer
Linearcode.
b) Ist C systematischer Linearcode mit einer Generatormatrix gemäß (35), dann
ist
(36)
H = (−G ′T | E n−k )
eine Kontrollmatrix von C.
Beweis: a) Mit dem Gauß-Algorithmus läßt sich eine beliebige Generatormatrix
von C in die Gestalt (35) bringen. Die dabei notwendigen Spaltenvertauschungen
bestimmen die Permutation π.
b) Multipliziert man die i-te Zeile von H mit der j-ten Spalte von G T , so ergibt
sich
(−g 1,i , . . . , −g k,i , 0 . . . , 1, . . . , 0)(0, . . . , 1, . . . , 0, g j,k+1 , . . . , g j,n ) = −g j,i + g j,i = 0.
Also ist H Kontrollmatrix von C.
⋄
Bemerkung 4.11 a) Ist C systematischer [n, k]-Linearcode, so nennt man die
ersten k Stellen jedes Codevektors auch Informationsstellen und die letzten n −
k Stellen Kontrollstellen (vgl. Definition 3.16). Die Informationsrate von C ist
gerade k n .
b) Ist C ein [n, k]-Linearcode mit Generatormatrix G, dann wird durch (vgl. (33))
γ(v) = v · G für alle v ∈ K k
eine injektive lineare Abbildung γ : K k → K n mit γ(K k ) = C definiert. Also ist
dann γ eine (lineare) Codierung für den Code C. Im allgemeinen gibt es daher
(abhängig von G) verschiedene Codierungen für denselben Code.
Beispiel 4.12 Für k ≥ 2 sei P k−1 = {〈v〉 | 0 ≠ v = (v 1 , . . . , v k ) T , v i ∈ K}
die Menge aller eindimensionalen Unterräume von K k , der projektive Raum der
Dimension k − 1 über K. Weiterhin sei n = (q k − 1)/(q − 1) = |P k−1 | und
P k−1 = {〈h 1 〉, . . . , 〈h n 〉}. Definiert man H = (h 1 , . . . , h n ) als Kontrollmatrix eines
Linearcodes C, dann nennt man C einen Hamming-Code. Da H den Rang k hat,
gilt dim(C) = n−k. Da ferner je zwei Spalten von H linear unabhängig sind, aber
auch drei linear abhängige Spalten existieren, gilt d(C) = 3 nach Satz 4.8. Also
ist C ein [n, n − k, 3]-Code. Da außerdem die Kugelpackungsgleichung erfüllt ist,
27

ist C perfekt. Dieser Hamming-Code wird auch mit Ham q (k) bezeichnet. Der zu
Ham q (k) duale Code, der also H als Generatormatrix besitzt, heißt Simplex-Code
Sim q (k). Man kann zeigen, daß es sich um einen (n, k, q k−1 )-Code handelt.
Wählt man etwa im binären Fall, also bei q = 2 den Parameter k = 3, so wird
n = 23 −1
= 7 und die 7 eindimensionalen Unterräume von 2−1
K3 werden erzeugt
von den Vektoren 001, 010, 100, 011, 101, 110, 111. Also ist
⎛
⎞
1 1 1 0 1 0 0
⎜
⎟
H = ⎝ 1 1 0 1 0 1 0 ⎠
1 0 1 1 0 0 1
Kontrollmatrix des Hamming-Codes C = Ham 2 (3). Offensichtlich sind je zwei
Spalten von H linear unabhängig, aber es gibt auch drei Spalten, die linear
abhängig sind. Daher ist die Minimaldistanz tatsächlich d(C) = 3. Nach Lemma
3.14 hat der Erweiterungscode C die Minimaldistanz 4.
Wählt man dagegen K = Z/(3) = {0, 1, 2}, also mit q = 3 den ternären Fall,
sowie k = 2, so wird n = 8/2 = 4 und die vier eindimensionalen Unterräume von
K 2 lassen sich von den Vektoren 01, 10, 11 und 12 erzeugen. Also ist
H =
( 1 1 1
) 0
2 1 0 1
Kontrollmatrix des Hamming-Codes C = Ham 3 (2). Eine Generatormatrix von
C ist daher
( )
1 0 2 1
G =
.
0 1 2 2
und man erhält C = {0000, 1021, 2012, 0122, 0211, 1110, 2220, 1202, 2101}.
Ist C ⊆ K n ein Linearcode, dann existiert der Quotientenraum V = K n /C,
dessen Elemente die Restklassen v modulo C von v ∈ K n sind, d.h. es ist v =
{v + c | c ∈ C}.
Lemma 4.13 Ist C ein [n, k]-Linearcode über K und H eine Kontrollmatrix von
C, dann gilt für alle v, v ′ ∈ K n
(37)
v = v ′ ⇐⇒ v · H T = v ′ · H T .
Beweis: Es ist v = v ′ gleichwertig zu v−v ′ ∈ C und dies wiederum nach Definiton
der Kontrollmatrix zu (v − v ′ ) · H T = 0, also zu v · H T − v ′ · H T = 0. ⋄
28

Definition 4.14 Es sei H Kontrollmatrix eines [n, k]-Linearcodes C. Für v ∈ K n
heißt S H (v) = v · H T das Syndrom von v bezüglich H.
Definition 4.15 Es sei C ein [n, k]-Code über K mit der Kontrollmatrix H.
Weiterhin sei in jeder Restklasse v ein Restklassenführer f v mit
wt(f v ) = min{wt(v + c) | c ∈ C}
gewählt. Bei der Syndrom-Decodierung wird zu einem empfangenen Wort c ′ das
Syndrom v = c ′ · H T berechnet und δ(c ′ ) = c ′ − f v gesetzt.
Bemerkung 4.16 a) Der Restklassenführer ist nicht immer eindeutig bestimmt.
Es gibt daher i. a. verschiedene Möglichkeiten der Decodierung.
b) Es ist stets δ(c ′ ) ∈ C und das Decodierschema ist vollständig.
Beispiel 4.17 Es sei B = K = Z/(2) der zweielementige Körper und der [4, 2]-
Linearcode C ⊂ K 4 sei gegeben durch die Generatormatrix
( ) 1100
G = .
0011
Wegen G · G T = O ist G auch Kontrollmatrix von C = C d , d. h. C ist selbstdual.
Eine Restklasse von K 4 /C ist immer gegeben durch C selbst, in diesem Fall
also durch C 0 = C = {0000, 1100, 0011, 1111}. Hieran kann man auch sofort die
Minimaldistanz d(C) = 2 ablesen. Der eindeutig bestimmte Restklassenführer
in C 0 ist stets der Nullvektor v 0 = 0 = 0000. Zur Bestimmung der nächsten
Restklasse C 1 wählt man einen Vektor aus K 4 \ C 0 mit minimalem Gewicht,
hier also einen der Einheitsvektoren, willkürlich aus. Für v 1 = 0001 erhält man
so C 1 = {0001, 0010, 1101, 1110}. Analog bestimmt man die nächste Restklasse
C 2 durch Auswahl eines Restklassenführers c 2 ∈ K 4 \ (C 0 ∪ C 1 ) mit minimalem
Gewicht. Wiederum kann man einen der beiden verbliebenen Einheitsvektoren
frei wählen. Für c 2 = 0100 erhält man so C 2 = {0100, 0111, 1000, 1011}. Die
noch übrigen vier Vektoren bilden dann die vierte und letzte Nebenklasse C 3 =
{0101, 0110, 1001, 1010}. Da alle das Gewicht 2 haben, kann man einen beliebigen
von ihnen als Restklassenführer wählen, beispielsweise c 3 = 0101.
Durch Multiplikation mit der Kontrollmatrix H = G erhält man die Syndrome
s H (c 0 ) = 00, s H (c 1 ) = 01, s H (c 2 ) = 10 und s H (c 3 ) = 11.
Empfängt man nun beispielsweise das Wort c ′ = 1001, so berechnet man v =
s H (c ′ ) = c ′ · H T = 11 ≠ 00, woran man erkennt, daß ein Übertragungsfehler
vorliegt. Man korrigiert ihn zu c = c ′ − c 3 = 1001 − 0101 = 1100 ∈ C. Bei Wahl
von 0110 als Restklassenführer von C 3 hätte man dagegen zu 1111 korrigiert.
29

Beispiel 4.18 Es seien K ein Körper mit q Elementen und d, n ∈ N mit 2 ≤
d ≤ n ≤ q. Weiterhin sei a = (a 1 , . . . , a n ) ∈ K n mit paarweise verschiedenen a i
und v = (v 1 , . . . , v n ) ∈ K n mit v i ≠ 0 für alle i. Die (d − 1) × n-Matrix H werde
definiert durch
⎛
⎞
v 1 . . . v n
a 1 v 1 . . . a n v n
H =
a 2 1v 1 . . . a 2 nv n
.
⎜
⎟
⎝ . . . ⎠
a d−2
1 v 1 . . . a d−2
n v n
Der verallgemeinerte Reed-Solomon-Code GRS d (a, v) ist dann
GRS d (a, v) = {c ∈ K n | H · c T = 0}.
Ist α ∈ K ein primitives Element, d. h. gilt K \ {0} = {1, α, α 2 , . . . , α q−2 }, und
setzt man a = v = (1, α, . . . , α q−2 ), so nennt man den Code GRS d (a, v) einen
Reed-Solomon-Code kurz: RS-Code (Irving Stoy Reed, Gustave Solomon 1960).
Bemerkung 4.19 a) Es ist GRS d (a, v) ein [n, n − d + 1, d]-Code und damit ein
MDS-Code.
b) Ein [255, 251, 5]-Reed-Solomon-Code über K = F 8 ist Ausgangspunkt für die
Konstruktion der Codierung, mit der Daten auf den gängigen Compact Discs
dargestellt werden. Bei der konkreten Konstruktion werden noch die Techniken
der Codeverkürzung und Codeverschachtelung benutzt:
Definition 4.20 Es seien n ≥ 2, C ein [n, k]-Code über K und i ∈ {1, . . . , n}.
Dann heißt
(38)
Č = Či = {(c 1 , . . . , c i−1 , c i+1 , . . . , c n ) | (c 1 , . . . , c i−1 , 0, c i+1 , . . . , c n ) ∈ C}
Verkürzung von C an der Stelle i und
(39)
C ∗ = C ∗ i = {(c 1 , . . . , c i−1 , c i+1 , . . . , c n ) | (c 1 , . . . , c i−1 , c i , c i+1 , . . . , c n ) ∈ C}
Punktierung von C an der Stelle i.
Definition 4.21 Es sei C ein [n, k, d]-Code und t ∈ N. Dann heißt der [tn, tk, d]-
Code
C(t) = {(c 11 , . . . , c t1 , . . . , c 1n , . . . , c tn ) | (c i1 , . . . , c in ) ∈ C, i = 1, . . . , t}
die Codeverschachtelung von C zur Tiefe t.
30

Bemerkung 4.22 Die Codeworte aus C(t) sind die spaltenweise gelesenen Einträge
der Matrizen
⎛
⎞
c 11 . . . c 1n
⎜
⎟
⎝ . . . ⎠ .
c t1 . . . c tn
Kann C Fehlerbündel der Länge l korrigieren, so kann C(t) Fehlerbündel der
Länge tl korrigieren. Man beachte aber, daß C und C(t) dieselbe Minimaldistanz
haben.
Definition 4.23 Ein Vektor v = (0, . . . , 0, v i , . . . , v i+l−1 , 0, . . . , 0) ∈ K n mit v i ≠
0 ≠ v i+l−1 heißt (Fehler-)Bündel der Länge l.
Lemma 4.24 Es sei C i ein [n, k i , d i ]-Code über K für i = 1, 2. Dann ist
(40)
C = C 1 ∞C 2 = {(c 1 , c 1 + c 2 ) | c i ∈ C i } ⊆ K 2n
ein [2n, k 1 + k 2 , min{2d 1 , d 2 }]-Code über K.
Beweis: Die Abbildung ϕ : C 1 ⊕ C 2 → C gemäß ϕ((c 1 , c 2 )) = (c 1 , c 1 + c 2 ) ist
offensichtlich surjektiv, injektiv und linear. Also gilt dim(C) = dim(ϕ(C 1 ⊕C 2 )) =
dim(C 1 ⊕ C 2 ) = k 1 + k 2 . Ist C = {0} trivial, so muß offensichtlich dasselbe für
C 1 und C 2 gelten. Also hat man d(C) = 0 = min{2d 1 , d 2 }.
Sei also C ≠ {0} und 0 ≠ c = (c 1 , c 1 + c 2 ) ∈ C. Für c 2 = 0 gilt wegen c 1 ≠ 0
dann wt(c) = 2wt(c 1 ) ≥ 2d 1 . Für c 2 ≠ 0 folgt wegen wt(c 1 ) ≥ |T r(c 1 ) ∩ T r(c 2 )|
wt(c) = wt(c 1 ) + wt(c 1 + c 2 )
≥ wt(c 1 ) + wt(c 1 ) + wt(c 2 ) − 2|T r(c 1 ) ∩ T r(c 2 )|
≥ wt(c 2 ) ≥ d 2 .
Insgesamt folgt d(C) ≥ min{2d 1 , d 2 }. Für c 1 = 0 und c 2 ∈ C 2 mit minimalem
Gewicht oder c 1 ∈ C 1 mit minimalem Gewicht und c 2 = 0 wird dieses Minimum
aber auch erreicht.
⋄
Die in (40) beschriebene Konstruktion geht auf M. Plotkin (1960) zurück.
31

Beispiel 4.25 Es sei K = {0, 1} und r, m ∈ N 0 mit 0 ≤ r ≤ m. Die binären
Reed-Muller-Codes RM(r, m) werden rekursiv definiert. Sie wurden 1954 von D.
E. Muller und Irving Stoy Reed unabhängig voneinander beschrieben. Es sei
RM(0, m) der binäre Wiederholungscode der Länge 2 m , also ein [2 m , 1, 2 m ]-Code,
RM(m, m) = K 2m und
RM(r, m) = RM(r, m − 1)∞RM(r − 1, m − 1)
für m = 1, 2, . . . und jeweils 1 ≤ r ≤ m − 1. Der Reed-Muller-Code r-ter Ordnung
RM(r, m) ist ein [2 m , ∑ ( )
r m
i=0 i , 2 m−r ]-Code. Der [32, 6, 16]-Code RM(1, 5) wurde
bei den Mariner-Marssonden 1969 bis 1976 zur Bildübertragung benutzt. Es
konnten bis zu 7 Fehler pro Codewort korrigiert werden. Die 2 6 = 64 Codeworte
entsprachen den verschiedenen Helligkeiten der Bildpunkte.
Es ist also
RM(1, 5) = RM(1, 4)∞RM(0, 4)
= ((RM(1, 3)∞RM(0, 3))∞RM(0, 4)
= (((RM(1, 2)∞RM(0, 2))∞RM(0, 3))∞RM(0, 4)
= (((RM(1, 1)∞RM(0, 1))∞RM(0, 2))∞RM(0, 3))∞RM(0, 4).
Hierin sind speziell RM(1, 1) = K 2 = {00, 01, 10, 11} und RM(0, 1) = {00, 11},
woraus sich RM(1, 2) = {0000, 0011, 0101, 0110, 1010, 1001, 1111, 1100} ergibt.
Also besteht RM(1, 2) genau aus allen binären Vektoren der Länge 4 mit geradem
Gewicht. Er kann also auch als Erweiterungscode von C = K 3 aufgefaßt werden.
Der nächste Konstruktionsschritt ergibt dann wegen RM(0, 3) = {0000, 1111}
den Code
RM(1, 3) = {00000000, 00001111, 00110011, 00111100,
01010101, 01011010, 01100110, 01101001,
10101010, 10100101, 10011001, 10010110,
11111111, 11110000, 11001100, 11000011}.
Dieser besitzt bereits die Minimaldistanz 4 und kann ebenso wie der [7, 4, 3]-
Hammingcode, der allerdings eine Stelle kürzer ist, einfache Fehler korrigieren.
Satz 4.26 (Griesmer-Schranke) Existiert ein [n, k, d]-Code über K, so gilt
(41)
n ≥
k−1 ∑
i=0
⌈ d
q i ⌉
.
32

Beweis: Der Beweis erfolgt durch Induktion nach k.
Für k = 0 und k = 1 besagt (41) gerade n ≥ 0 bzw. n ≥ d, was jeweils richtig ist.
Sei k ≥ 2 und G eine Generatormatrix eines [n, k, d]-Codes C, wobei die erste
Zeile von G einen Codevektor c ≠ 0 von minimalem Gewicht d enthalte. Durch
Übergang zu einem äquivalenten Linearcode darf
G =
( z
G 1 G 2
)
mit z = (1, . . . , 1, 0, . . . , 0), G 1 ∈ M k−1,d (K) und G 2 ∈ M k−1,n−d (K) angenommen
werden, wobei z genau in den ersten d Koordinaten Einsen enthält. Zeige nun,
daß G 2 den Rang k − 1 hat.
Wäre dies nicht der Fall, so könnte man durch Zeilenumformungen die erste Zeile
von G 2 zu einer Nullzeile machen und in der ersten Zeile von G 1 müßten alle
Elemente von 0 verschieden sein, wegen des minimalen Gewichtes d von z. Dann
könnte man aber aus den ersten beiden Zeilen von G durch Subtraktion ein von
0 verschiedenes Codewort bilden, das ein Gewicht kleiner als d = d(C) hat, was
unmöglich ist. Also erzeugt G 2 einen [n − d, k − 1, d 2 ]-Code C 2 .
Sei (u|v) mit u = (u 1 , . . . , u d ) eine beliebige Zeile von (G 1 |G 2 ). Für jedes b ∈ K
sei n b = |{i | u i = b}| und dann n a = max{n b | b ∈ K} für ein a ∈ K. Dann gilt
n a ≥ ⌈ d q ⌉.
Aus 0 ≠ (u|v) − az ∈ C und daher wt((u|v) − az) ≥ d folgt wt(v) ≥ ⌈ d ⌉. Durch
q
elementare Zeilenumformungen von (G 1 |G 2 ) kann man dies für jedes v = v 2 ∈ C 2
erreichen.
Nach Induktionsvoraussetzung gilt
k−2 ∑
n − d ≥ ⌈ d k−2
q ⌉ ≥ ∑
⌈ d k−1
i q ⌉ = ∑
⌈ d i+1 q ⌉, i
i=0
i=0
i=1
also
k−1 ∑
n ≥ ⌈ d k−1
q ⌉ + ⌈d⌉ = ∑
⌈ d i q ⌉. i
i=1
i=0
⋄
Folgerung 4.27 Die binären Reed-Muller-Codes RM(1, m) erster Ordnung erreichen
die Griesmer-Schranke.
33

Beweis: Für die binären Codes RM(1, m) lauten die Parameter q = 2, n =
2 m , k = m + 1 und d = 2 m−1 . Also gilt
m∑
2 m ≥ ⌈ 2m−1
⌉ = 2 m−1 + . . . + 2 + 1 + 1 = 2 m ,
i=0
2 i
also tatsächlich die Gleichheit.
⋄
Satz 4.28 (Gilbert-Varshamov-Schranke) Es sei K ein Körper mit q Elementen.
Ferner seien n, k, d ∈ N mit k ≤ n und
(42)
d−2
q n−k ∑
( ) n − 1
>
(q − 1) i .
i
i=0
Dann gibt es einen [n, k, d ′ ]-Code mit d ′ ≥ d.
Beweis: Für k = n ist q n−k = q 0 = 1 und die Summe auf der rechten Seite
von (42) muß 0 sein, was nur für d = 1 möglich ist. Dann ist aber C = K n mit
d ′ = d = 1 ein Linearcode der behaupteten Art.
Sei also k < n und V = K n−k sowie v 1 , . . . , v n−k Basis von V . Weiterhin seien
v n−k+1 , . . . , v n−k+s ∈ V, (s ≥ 0) so gewählt, daß je d − 1 Vektoren aus V s =
{v 1 , . . . , v n−k , v n−k+1 , . . . , v n−k+s } linear unabhängig sind. Die Anzahl der Vektoren,
die sich als Linearkombinationen von höchstens d − 2 Vektoren aus V s
darstellen lassen, ist kleiner oder gleich
d−2 ∑
i=0
( ) n − k + s
(q − 1) i .
i
Dabei beschreibt der Binomialkoeffizient alle möglichen Wahlen von jeweils i
Vektoren aus V s und die Potenz von q −1 alle Möglichkeiten, i von 0 verschiedene
Koeffizienten vor diese Vektoren zu setzen. Ist diese Summe nun echt kleiner als
q n−k , so existiert ein v n−k+s+1 ∈ V \ V s , so daß je d − 1 Vektoren aus V s+1 =
V s ∪ {v n−k+s+1 } linear unabhängig sind und sich folglich die Menge V s noch um
einen Vektor vergrößern läßt. Daher besagt (42) gerade, daß sich s bis s = k
vergrößern läßt. Also existiert eine Menge V k = {v 1 , . . . , v n } für die je d − 1 ihrer
Vektoren linear unanbhängig sind. Schreibt man diese Vektoren als Spalten einer
Matrix H, so ist diese eine (n − k) × n-Matrix und nach Satz 4.8 Kontrollmatrix
eines [n, k, d ′ ]-Linearcodes mit d ′ ≥ d.
⋄
Aufgabe 4.29 Bestimmen Sie Generatorenmatrizen und Kontrollmatrizen zu
den in Beispiel 4.2 erwähnten Codes.
34

Aufgabe 4.30 Ermitteln Sie die Anzahl aller binären [n, k]-Codes für n ≤ 4.
(Hinweis: Bestimmen Sie für k = 0, 1, . . . , n jeweils alle k-dimensionalen Unterräume
von {0, 1} n indem Sie mögliche Basisvektoren auswählen.) Geben Sie
aus jeder Klasse untereinander äquivalenter Codes jeweils einen an.
35

5 Zyklische Codes
Auch in diesem Abschnitt sei B = K = F q ein endlicher Körper. Mit K[x] werde
der Polynomring über K bezeichnet und für n ∈ N sei
n−1 ∑
V n = { a ν x ν | a ν ∈ K} ⊂ K[x]
ν=0
definiert. Dann bildet V n einen n-dimensionalen Vektorraum, der vermöge der
Isomorphie
(a n−1 , . . . , a 0 ) ↦→
n−1 ∑
ν=0
a ν x ν
mit K n identifiziert werden kann. Ist p(x) ∈ K[x] ein Polynom vom Grad n über
K, so existiert für f(x), g(x) ∈ V n die Division mit Rest gemäß f(x) · g(x) =
q(x) · p(x) + r(x) und der eindeutig bestimmte Rest r(x) liegt in V n . Man kann
daher auf V n eine Multiplikation erklären gemäß
(43)
f(x) ∗ g(x) = r(x).
Dann wird (V n , +, ∗) eine K-Algebra, also insbesondere ein kommutativer Ring
mit Einselement. Dieser Ring ist isomorph zum Restklassenring K[x]/(p(x)) von
K[x] nach dem von p(x) erzeugten Hauptideal und damit selbst ein Hauptidealring.
Genau dann ist (V n , +, ∗) ein Körper, wenn p(x) irreduzibel in K[x] ist, wenn
also jeder Teiler von p(x) entweder ein konstantes Polynom oder ein Polynom vom
Grad n ist.
Im folgenden sei ∗ die durch p(x) = x n −1 definierte Multiplikation auf K n = V n .
Definition 5.1 Ein [n, k]-Linearcode C heißt zyklisch genau dann, wenn z(C) =
C für die zyklische Verschiebung z : K n → K n gilt.
Beispiel 5.2 Der triviale Code C = {0} und der Code C = K n sind zyklische
Codes. Ebenso ist der q-näre Wiederholungscode ein zyklischer Code.
Satz 5.3 a) Ein [n, k]-Linearcode ist genau dann zyklisch, wenn z m (c) ∈ C für
alle c ∈ C und m ∈ N gilt.
b) Der Durchschnitt zyklischer Linearcodes der gleichen Länge n ist wieder zyklisch.
36

c) Für alle v ∈ K n und alle m ∈ N gilt z m (v) = x m ∗ v.
d) Ist C zyklischer [n, k]-Linearcode, so ist C Ideal von (V n , +, ∗).
e) ∅ ≠ C ⊆ K n ist genau dann zyklischer Linearcode, wenn C Ideal von (V n , +, ∗)
ist.
Beweis: a) Sei C zyklischer Code. Für c ∈ C gilt dann z(c) ∈ z(C) = C, also
die Behauptung für m = 1. Gelte die Behauptung also für ein m ∈ N. Dann folgt
z m+1 (c) = z(z m (c)) ∈ z(C) = C. Also gilt z m (c) ∈ C für alle c ∈ C und m ∈ N.
Umgekehrt folgt hieraus für m = 1 sofort z(C) ⊆ C, d. h. z(C) ist Unterraum von
C. Da die zyklische Verschiebung aber injektiv ist, haben beide Räume dieselbe
Dimension, woraus dann z(C) = C folgt.
b) Der Durchschnitt beliebiger Unterräume von K n ist wieder ein Unterraum.
Der Durchschnitt zyklischer Unterräume ist wegen a) aber wieder zyklisch.
c) Es sei v = (v n−1 , . . . , v 0 ) = v(x) = v n−1 x n−1 + . . . + v 1 x + v 0 ∈ K n = V n . Dann
gilt z(v) = (v n−2 , . . . , v 0 , v n−1 ) und x ∗ v(x) = v n−1 x n + v n−2 x n−1 + . . . + v 0 x =
v n−1 x n − v n−1 + v n−2 x n−1 + . . . + v 0 x + v n−1 = v n−2 x n−1 + . . . + v 0 x + v n−1 modulo
(x n − 1). Also sind z(v) und x ∗ v gleich. Der Rest folgt jetzt durch Induktion
nach m.
d) Da C Unterraum von K n ist, ist (C, +) Untergruppe von (K n , +) = (V n , +).
Ist c ∈ C, so liegt x∗c wieder in C und damit x m ∗c für alle m ∈ N. Mit x m ∗c liegt
dann aber auch a m x m ∗ c im Unterraum C für alle a m ∈ K. Da auch die Addition
von endlich vielen Elementen aus C nicht aus diesem Unterraum herausführt, gilt
f(x) ∗ c ∈ C für alle f(x) ∈ V n . Also ist C Ideal von (V n , +, ∗).
e) Wegen d) ist nur zu zeigen, daß jedes Ideal C von (V n , +, ∗) zyklischer Linearcode
ist. Dabei ist jedes solche Ideal offensichtlich bereits ein Unterraum, also ein
Linearcode. Außerdem gilt x ∗ c ∈ C für jedes c ∈ C. Wegen z(c) = x ∗ c wie im
Beweis von c) folgt z(c) ∈ C und damit nach a), daß C zylischer Code ist. ⋄
Bemerkung 5.4 Über e) hinaus gilt sogar: C ist genau dann zyklischer Linearcode,
wenn es ein g ∈ K n = V n mit g(x) | x n − 1 und C = g ∗ V n gibt, d. h. wenn
C Hauptideal von (V n , +, ∗) ist. Ein derartiges g(x) ist durch die Forderung “g(x)
normiert” eindeutig bestimmt. Dabei gehören zu den Extremfällen C = {0} und
C = K n aus Beispiel 5.2 gerade die trivialen Teiler g(x) = x n − 1 und g(x) = 1.
Satz 5.5 Es seien n ∈ N, g(x) ∈ K[x] mit grad(g(x)) = m < n, g(x) | x n − 1
und g(x) normiert.
37

a) Ist g(x) = x m + g m−1 x m−1 + . . . + g 0 , dann wird durch
(44)
⎛
x n−m−1 ⎞ ⎛
⎞
g(x) 1 g m−1 . . . g 1 g 0 0 . . . 0
G =
.
⎜
⎟
⎝ xg(x)
= 0 1 g m−1 . . . g 1 g 0 .
⎜
⎟
⎠ ⎝ . 0 ⎠
g(x) 0 . . . 0 1 g m−1 . . . g 1 g 0
eine Generatormatrix eines [n, n − m]-Linearcodes C definiert.
b) Ist C gemäß (44) gegeben, dann gilt für alle v = v(x) ∈ K n = V n
(45)
v ∈ C ⇐⇒ g(x) | v(x).
c) Ist C gemäß (45) gegeben, dann ist C zyklischer [n, n − m]-Linearcode.
Beweis: a) Offensichtlich ist G eine (n − m) × n-Matrix mit Rang(G) = n − m,
also definiert G einen [n, n − m]-Linearcode C.
b) Es ist v ∈ C genau dann, wenn v(x) Linearkombination der Zeilen von G ist,
was offensichtlich gleichwertig zu v(x) = a(x)g(x) mit einem Polynom a(x) vom
Grad höchstens n − m − 1 ist, wenn also g(x)|v(x) in V n gilt.
c) Es bleibt zu zeigen, daß z(v(x)) ∈ C für alle v(x) ∈ C gilt. Sei also v =
(v n−1 , . . . , v 0 ) ∈ K n mit g(x)|v(x) nach b). Dann folgt z(v(x)) = xv(x)−v n−1 x n +
v n−1 = xv(x)−v n−1 (x n −1) und wegen g(x)|(x n −1) teilt g(x) beide Summanden.
Also gilt g(x)|z(v(x)) und damit z(v(x)) ∈ C nach b).
⋄
Definition 5.6 Es sei n ∈ N, g(x) ∈ K[x] mit grad(g(x)) = m < n, g(x) | x n − 1
und g(x) normiert. Dann heißt g(x) Generatorpolynom des gemäß (44) definierten
zyklischen [n, n − m]-Linearcodes C.
Bemerkung 5.7 a) Aus g(x) | x n −1 folgt g 0 ≠ 0 und es existiert ein h(x) ∈ K[x]
mit g(x)h(x) = x n − 1, also ist auch h(x) Generatorpolynom eines zyklischen
Codes.
b) Aus (44) folgt sofort, daß ein zyklischer Code systematisch ist.
c) Ist C zyklischer Linearcode, dann ist das gemäß Bemerkung 5.4 existierende,
eindeutig bestimmte Polynom g(x) ∈ V n gerade Generatorpolynom von C.
38

Definition 5.8 Sei g(x) ∈ K[x] Generatorpolynom von C ⊆ K n . Dann heißt
h(x) ∈ K[x] mit g(x)h(x) = x n − 1 Kontrollpolynom von C.
Satz 5.9 Ist h(x) ∈ K[x] Kontrollpolynom von C ⊆ K n , dann gilt
(46)
v ∈ C ⇐⇒ v ∗ h = 0,
und mit grad(h(x)) = k = n − m, also h(x) = x k + h k−1 x k−1 + . . . + h 1 x + h 0 , ist
(47)
⎛
⎞
h 0 h 1 . . . h k−1 1 0 . . . 0
H =
0 h 0 h 1 . . . h k−1 1 .
⎜
⎟
⎝ . 0 ⎠
0 . . . 0 h 0 h 1 . . . h k−1 1
Kontrollmatrix von C.
Beweis: Ist v(x) ∈ C, dann existiert nach (45) ein f(x) ∈ K[x] mit v(x) =
f(x)·g(x) = f(x)∗g(x), woraus v(x)∗h(x) = f(x)∗g(x)∗h(x) = f(x)∗(x n −1) = 0
folgt.
Umgekehrt ergibt sich aus v(x) ∗ h(x) = 0 sofort v(x) · h(x) = f(x) · (x n − 1) für
ein f(x) ∈ K[x], also v(x) · h(x) = f(x) · g(x) · h(x) und daher v(x) = f(x) · g(x).
Die Behauptung über H ist dann klar.
⋄
Bemerkung 5.10 Ist C ein zyklischer [n, k]-Linearcode mit Generatorpolynom
g(x), dann wird durch
γ((v k−1 , . . . , v 0 )) =
( k−1
) ∑
v ν x ν g(x)
ν=0
eine injektive lineare Abbildung γ : K k → V n = K n mit γ(K k ) = C definiert. Also
ist γ eine (lineare) Codierung für den Code C. Wird w = (w n−1 , . . . , w 0 ) ∈ K n
mit w ∗ h ≠ 0 empfangen, so liegt ein Übertragungsfehler vor. Im anderen Fall
liefert eine Division von w(x) durch g(x) das codierte Zeichen.
Beispiel 5.11 Die Reed-Solomon-Codes sind zyklische Codes. Daher werden sie
auch bei der Codierung von Audio-CDs eingesetzt, wo die Korrektur von Fehlerbündeln
(Kratzern) sehr wichtig ist.
39

Satz 5.12 Ist C zyklischer [n, k]-Linearcode, dann existiert ein Decodierschema
δ : D → C, das jedes Fehlerbündel der Länge m mit 1 ≤ m ≤ n − k erkennt.
Beweis: Sei e ∈ K n \ {0} ein solches Fehlerbündel und b ∈ K n = V n mit
grad(b(x)) = m − 1 < n − k und e = z j (b) für ein j ∈ N. Da C Linearcode
ist, genügt es, e ∉ C zu zeigen. Sei dazu g(x) Generatorpolynom von C, also
grad(g(x)) = n−k. Wäre e ∈ C, dann auch b = z n−j (e) ∈ C. Dies ist aber wegen
grad(b(x)) < grad(g(x)) unmöglich.
⋄
Beispiel 5.13 Für kleine n lassen sich alle binären zyklischen Linearcodes der
Länge n systematisch bestimmen:
Nach Beispiel 5.2 sind für jedes n stets {0} und K n sowie der Wiederholungscode
der Länge n zyklisch. Für n = 1 und n = 2 sind dies auch sämtliche Linearcodes
und damit sämtliche zyklischen Codes. Für n = 1 stimmen K 1 = K und der
Wiederholungscode sogar noch überein.
Für n = 3 erhält man alle weiteren zyklischen Codes durch ihre Generatorpolynome
g(x), die Teiler von x 3 − 1 sind. Wegen x 3 − 1 = (x − 1)(x 2 + x + 1)
kommen nur g(x) = x − 1 = x + 1 und das irreduzible Polynom h(x) = x 2 + x + 1
in Frage. Dabei erzeugt g(x) den zyklischen Code C = {000, 011, 110, 101}, der
Erweiterungscode von K 2 ist. Der von h(x) erzeugte hierzu duale Code ist gerade
der Wiederholungscode.
Für n = 4 zerlegt man entsprechend x 4 −1 in unzerlegbare Faktoren: x 4 −1 = (x 2 −
1)(x 2 +1) = (x 2 −1) 2 = ((x−1)(x+1)) 2 = (x−1) 4 . Dies ergibt die Generatorpolynome
g 1 (x) = x−1, g 2 (x) = (x−1) 2 und g 3 (x) = (x−1) 3 = x 3 +x 2 +x+1. Hierbei
liefert g 1 (x) den Code C 1 = {0000, 0011, 0110, 1100, 1001, 1010, 0101, 1111} und
g 2 (x) den selbstdualen Code C 2 = {0000, 0101, 1010, 1111}, während g 3 (x) wieder
den Wiederholungscode erzeugt, der zu C 1 dual ist.
Beispiel 5.14 Seien K = Z/(2), n = 7 und g(x) = x 3 + x + 1 ∈ K[x]. Wegen
(x 7 − 1) : g(x) = x 4 + x 2 + x + 1 wird durch g(x) ein zyklischer [7, 4]-Code
C mit dem Kontrollpolynom h(x) = x 4 + x 2 + x + 1 definiert. Die zugehörige
Generatormatrix ist
⎛
⎞
1 0 1 1 0 0 0
0 1 0 1 1 0 0
G = ⎜
⎟
⎝ 0 0 1 0 1 1 0 ⎠ ,
0 0 0 1 0 1 1
die Kontrollmatrix entsprechend
⎛
⎞
1 1 1 0 1 0 0
⎜
⎟
H = ⎝ 0 1 1 1 0 1 0 ⎠ .
0 0 1 1 1 0 1
40

Da die Spalten von H alle 7 von 0 verschiedenen Vektoren des K 3 sind, handelt
es sich bei C um einen Hamming-Code.
Für die Permutation π = (12), also die Vertauschung der ersten beiden Koordinaten,
erhält man den Linearode C ′ = π(C) mit der Generatormatrix
⎛
⎞
0 1 1 1 0 0 0
G ′ 1 0 0 1 1 0 0
= ⎜
⎟
⎝ 0 0 1 0 1 1 0 ⎠ ,
0 0 0 1 0 1 1
der aber wegen z(0111000) = (1110000) ∉ C ′ nicht zyklisch ist. Natürlich ist aber
auch C ′ ein Hamming-Code.
Aufgabe 5.15 Ermitteln Sie alle binären zyklischen Linearcodes der Länge 5.
Aufgabe 5.16 Zeigen Sie, daß es neben dem ternären Wiederholungscode der
Länge 4 noch einen weiteren ternären zyklischen Linearcode C der Länge 4 mit
|C| = 3 gibt.
Aufgabe 5.17 Ermitteln Sie alle ternären zyklischen Linearcodes der Längen
n = 3 und n = 4.
Aufgabe 5.18 Für jeden Körper K mit |K| = q und jede Länge n ∈ N ist nach
Beispiel 5.2 der q-näre Wiederholungscode C der Länge n zyklisch. Geben Sie
das Generatorpolynom g(x) ∈ K[x] von C an.
41

6 Kryptosysteme und perfekte Sicherheit
Definition 6.1 Eine Kryptosystem (P(A), C(B), K, E, D) besteht aus
• einer Menge P von Klartexten (plaintext) über einem Klartextalphabet A,
• einer Menge C von Geheimtexten (ciphertext) über einem Geheimtextalphabet
B,
• einer Menge K von Schlüsseln (key), dem Schlüsselraum,
• der Verschlüsselung oder Chiffrierung E, d. h. einer Familie von Abbildungen
E K : P → C, K ∈ K,
• der Entschlüsselung oder Dechiffrierung D, d. h. einer Familie von Abbildungen
D K : C → P, K ∈ K,
so daß für alle K ∈ K gilt
D K ◦ E K = ι P .
Die Zuordnungen von E K und D K zu K ∈ K stellen den Chiffrier- und den
Dechiffrieralgorithmus dar.
Bemerkung 6.2 a) Einige klassische Kryptosysteme gestatteten es, einem Klartext
auch mehrere Geheimtexte zuzuordnen. Beispielsweise kann man für häufig
vorkommende Buchstaben im Klartext mehrere verschiedene Verschlüsselungen
durch Buchstaben im Geheimtext vorsehen, unter denen zufällig gewählt werden
darf. Hierdurch kann man die Häufigkeiten der Buchstaben im Geheimtext gegenüber
den Häufigkeiten der Buchstaben im Klartext verändern. Es handelt sich
dann bei den E K nur um linkseindeutige Relationen.
b) In der Kryptographie wird generell vorausgesetzt, daß die Chiffrier- und Dechiffrieralgorithmen
allgemein bekannt sind. Die Geheimhaltung basiert einzig
auf der Unkenntnis der verwendeten Schlüssel. Diese Sichtweise wurde durch den
niederländischen Kryptanalytiker A. Kerckhoffs im 19. Jahrhundert erstmals formuliert.
c) Klassische Kryptosysteme sind symmetrisch, bei ihnen ist es leicht, aus E K
die Umkehrabbildung D K zu berechnen. Bei asymmetrischen Systemen ist die
Ermittlung von D K aus E K ohne geheime Zusatzinformation extrem schwierig.
Man nennt derartige Funktionen E K Einwegfunktionen und die geheimen Zusatzinformationen
Falltüren. Wird ein solches Verfahren benutzt, so kann der
Empfänger einer Nachricht dem Sender einen Schlüssel K öffentlich mitteilen,
42

mit dem dieser eine Nachricht verschlüsseln soll. Wenn nur der Empfänger die
geheime Zusatzinformation besitzt, mit der er D K berechnen kann, ist einem Angreifer
die Entschlüsselung trotzdem nicht möglich. Derartige Verfahren werden
daher auch Kryptosysteme mit öffentlichem Schlüssel genannt.
Beispiel 6.3 a) Translations-Kryptosysteme Es sei q eine natürliche Zahl
und A = B = K = Z q . Für jeden Schlüssel K = b ∈ K sei E K (x) ≡ x + b mod q
und D K (x) ≡ x − b mod q für alle x ∈ Z q .
b) Affine Kryptosysteme Es sei q eine natürliche Zahl und A = B = Z q .
Weiterhin sei K = {(a, b) ∈ Z 2 q | ggT(a, q) = 1} und für jeden Schlüssel K =
(a, b) ∈ K sei E K (x) ≡ ax + b mod q und D K (x) ≡ a −1 (x − b) mod q für alle
x ∈ Z q . Für a = 1 erhält man die Translations-Kryptosysteme als Spezialfall.
c) Substitutions-Kryptosysteme Es sei q eine natürliche Zahl und A = B =
Z q . Weiterhin sei K = S q die symmetrische Gruppe der Ordnung q und für jeden
Schlüssel K = π ∈ K sei E K (x) = π(x) und D K (x) = π −1 (x) für alle x ∈ Z q .
Jede (bijektive) affine Transformation in b) und damit erst recht jede Translation
in a) liefert natürlich eine Permutaion von Z q . Daher ist jedes Affine Kryptosystem
ein Substitutions-Kryptosystem. Weil für alle Buchstaben der Klartexte aus
P dieselbe Verschlüsselungsfunktion verwendet wird, nennt man Substitutions-
Kryptosysteme auch monoalphabetische Kryptosysteme.
Definition 6.4 Ein Schlüssel K ∈ K eines Kryptosystems heißt involutorisch,
wenn E K = D K gilt.
Beispiel 6.5 a) In einem Translations-Kryptosystem existiert genau dann ein
involutorischer Schlüssel, wenn q gerade ist, nämlich K = q/2.
b) In einem affinen Kryptosystem sind stets K = (1, 0) und K = (−1, b) für
alle b ∈ Z q involutorisch. Es kann weitere involutorische Schlüssel geben (vgl.
Aufgabe 6.18).
c) In einem Substitutions-Kryptosystem sind offensichtlich genau die Schlüssel
K = π involutorisch, für die π = π −1 gilt.
Beispiel 6.6 a) Vigenère-Kryptosysteme (Blaise de Vigenère, 1525 - 1596)
Es seien m und q natürliche Zahlen und A = B = (Z q ) m = K.
Für K = (k 1 , . . . , k m ) ∈ K sei E K (x 1 , . . . , x m ) ≡ (x 1 + k 1 , . . . , x m + k m ) mod q
und D K (x 1 , . . . , x m ) ≡ (x 1 −k 1 , . . . , x m −k m ) mod q für alle (x 1 , . . . , x m ) ∈ (Z q ) m .
43

Für m = 1 ergibt sich ein Translations-Kryptosystem. Für m > 1 spricht man
von einem polyalphabetischen Kryptosystem, da für jeden Buchstaben, je nach
seiner Position im Klartext, mehrere Verschlüsselungen möglich sind.
b) Permutations-Kryptosysteme, Transpositions-Kryptosysteme (Giovanni
Battista Della Porta, 1535 - 1615) Es seien m und q natürliche Zahlen und
A = B = (Z q ) m . Weiterhin sei K = S m die symmetrische Gruppe der Ordnung m
und für jeden Schlüssel K = π ∈ K sei E K (x 1 , . . . , x m ) = (x π(1) , . . . , x π(m) ) und
D K (x 1 , . . . , x m ) = (x π −1 (1), . . . , x π −1 (m)). Die Buchstaben des Klartextes werden
also nur vertauscht, nicht verändert.
c) Hill-Kryptosysteme (Lester S. Hill, 1929) Es seien m und q natürliche Zahlen
und A = B = (Z q ) m . Weiterhin sei K = {K ∈ M m,m (Z q ) | K invertierbar }. Für
K ∈ K sei E K (x) = xK und D K (x) = xK −1 für alle x ∈ (Z q ) m . Für m = 1
ergeben sich spezielle affine Kryptosysteme mit b = 0. Für Permutationsmatrizen
K π ergeben sich die Permutations-Kryptosysteme.
Beispiel 6.7 a) RSA-Kryptosysteme (vgl. Abschnitt 8) Es seien p, q Primzahlen
und n = p · q sowie A = B = Z n . Weiterhin sei K = {(n, p, q, e, d) |
ed ≡ 1 mod ϕ(n)}. Für K = (n, p, q, e, d) sei E K (x) ≡ x e mod n und D K (x) ≡
x d mod n. Der Teil (n, e) von K heißt öffentlicher Schlüssel, der Teil (p, q, d)
geheimer Schlüssel.
b) Rabin-Kryptosysteme Es seien p, q Primzahlen mit p, q ≡ 3 mod 4 und
n = p · q sowie A = B = Z n . Weiterhin sei K = {(n, p, q, r) | √0 ≤ r ≤ n − 1}. Für
K = (n, p, q, r) sei E K (x) ≡ x(x + r) mod n und D K (x) ≡ r 2
+ x − r mod n.
4 2
Der Teil (n, r) von K heißt öffentlich, der Teil (p, q) geheim.
c) ElGamal-Kryptosysteme Es sei p eine “geeignete” Primzahl, α ∈ Z ∗ p primitives
Element (vgl. Satz 9.2), A = Z ∗ p und B = Z ∗ p × Z ∗ p. Weiterhin sei K =
{(p, α, a, β) | β = α a mod p}. Für K = (p, α, a, β) werde ein Exponent k ∈
{0, . . . , p−1} zufällig gewählt und E K (x, k) ≡ (α k , xβ k ) mod p und D K (x 1 , x 2 ) ≡
x 2 (x a 1) −1 mod p berechnet. Der Teil (p, α, β) von K heißt öffentlich, der Teil a geheim.
Bemerkung 6.8 Man unterscheidet verschiedene Angriffe auf Kryptosysteme:
i) Geheimtext-Angriffe liegen vor, wenn dem Angreifer nur Geheimtexte bekannt
sind, er daraus Klartexte und Schlüssel ermitteln möchte: Gegeben sind also
C i = E K (P i ) für i = 1, . . . , n, gesucht K, P i bzw. ein Algorithmus, um P n+1 aus
C n+1 = E K (P n+1 ) zu berechnen.
44

ii) Klartext-Geheimtext-Angriffe liegen vor, wenn dem Angreifer zusammengehörige
Paare aus Klartext und Geheimtext vorliegen und er daraus den Schlüssel
ermitteln möchte: Gegeben sind also P i , C i = E K (P i ) für i = 1, . . . , n, gesucht
K bzw. ein Algorithmus, um P n+1 aus C n+1 = E K (P n+1 ) zu berechnen. Für
die Sicherheit gegen derartige Angriffe ist es erforderlich, daß die Zuordnung
(P, E K (P )) ↦→ K eine Einweg-Funktion ohne Falltür ist.
iii) Angriffe mit gewähltem Klartext liegen vor, wenn der Angreifer die Geheimtexte
zu von ihm selbst gewählten Klartexten bestimmen kann: Gegeben sind
also P i , C i = E K (P i ) für i = 1, . . . , n mit frei gewählten Klartexten P i , gesucht
K bzw. ein Algorithmus, um P n+1 aus C n+1 = E K (P n+1 ) zu berechnen. Dies
ist insbesondere bei Public-Key-Verfahren stets der Fall, die also gegen derartige
Angriffe sicher sein müssen.
Bei einer adaptiven Variante dieses Angriffs werden die P i nacheinander in Abhängigkeit
von den zuvor erzielten Ergebnissen gewählt.
iv) Angriffe mit gewähltem Geheimtext liegen vor, wenn der Angreifer durch
Kenntnis der Dechiffrierung Geheimtexte wählen kann und daraus die zugehörigen
Klartexte ermitteln kann: Gegeben sind also C i , P i = D K (P i ) für i = 1, . . . , n,
gesucht K bzw. ein Algorithmus, um P n+1 aus C n+1 = E K (P n+1 ] zu berechnen
Auch diese Variante muß bei Public-Key-Systemen betrachtet werden.
Eine Kombination aus iii) und iv) wir auch ein Angriff mit gewählten Texten
genannt.
v) Angriffe durch Gewalt liegen vor, wenn der “Kryptanalytiker” den Schlüssel
durch Bedrohung, Erpressung oder körperliche Gewalt an sich bringt. Eine Variante
hiervon ist die Bestechung als Angriff mit gekauftem Schlüssel. Diese Methoden
sind sehr wirkungsvoll und oft der beste Weg, ein Kryptosystem zu brechen.
Im Rahmen dieser Vorlesung werden sie aber aus ethischen Gründen nicht weiter
behandelt!
vi) Brute-Force-Angriffe bestehen darin, daß man für einen gegebenen Geheimtext
C sämtliche Schlüssel K des Schlüsselraumes durchprobiert und nachschaut,
ob P = D K (C) ein sinnvoller Klartext ist. Auch diese Methode wird in dieser
Vorlesung als “unsportlich” angesehen!
Definition 6.9 Bei Blockchiffren werden die Klartexte aus P in Blöcke a 1 . . . a k
gleicher Länge k über dem Alphabet A eingeteilt und für jeden Schlüssel K ∈ K
ist dann E K : A k → B n eine Abbildung, die als Geheimtext eines solchen Blocks
einen Block der Länge n über dem Alphabet B erzeugt. Dabei wird für jeden
Block derselbe Schlüssel verwendet. Meist ist dabei A = B und n = k. Im Fall
45

n > k spricht man von einer gespreizten Chiffre. Bei Stromchiffren wird für jeden
Block dagegen ein anderer Schlüssel benutzt.
Wichtige Kryptosysteme, die auf der Verwendung von Blockchiffren beruhen, sind
neben denen aus den Beispielen 6.3, 6.6 und 6.7 der Data Encryption Standard
(DES) und der Advanced Encryption Standard (AES).
Definition 6.10 Eine Stromchiffre (P(A), C(B), K, L, F, E, D) besteht aus
• einer Menge P von Klartexten über einem Klartextalphabet A,
• einer Menge C von Geheimtexten über einem Geheimtextalphabet B,
• einer endlichen Menge K von Schlüsseln, dem Schlüsselraum,
• einem Schlüsselstromalphabet L,
• einem Schlüsselstromgenerator F = (f 1 , f 2 , . . .) mit
f i : K × A i−1 → L für i ≥ 1,
• der Verschlüsselung oder Chiffrierung E, d. h. einer Familie von Abbildungen
E z : P → C, z ∈ L,
• der Entschlüsselung oder Dechiffrierung D, d. h. einer Familie von Abbildungen
D z : C → P, z ∈ L,
so daß für alle z ∈ L gilt
D z ◦ E z = ι P .
Die Zuordnungen von E z und D z zu z ∈ L stellen den Chiffrier- und den Dechiffrieralgorithmus
dar.
Eine Stromchiffre heißt synchron, wenn die Funktionen f i nicht von den Klartexten
abhängen, also Funktionen auf K sind.
Eine Stromchiffre heißt periodisch mit der Periode d, wenn z i+d = z i für alle i ≥ 1
gilt.
Bemerkung 6.11 Blockchiffren können als spezielle (synchrone) Stromchiffren
mit z i = K für alle i ≥ 1 aufgefaßt werden.
Ein Vigenère-Kryptosystem mit Schlüsselwortlänge m kann als synchrone, periodische
Stromchiffre mit der Periode m aufgefaßt werden. Mit K = (k 1 , . . . , k m )
gilt dann z i = k i für 1 ≤ i ≤ m und periodischer Wiederholung.
46

Beispiel 6.12 Selbstschlüssel-Chiffre (nach Vigenère) Es sei q eine natürliche
Zahl, A = B = K = L = Z q , z 1 ∈ K und z i = x i−1 für i ≥ 2. Weiterhin seien
E z (x) = x + z mod q und D z (x) = x − z mod q für alle z ∈ L, x ∈ Z q . Hierdurch
wird eine nicht synchrone, nicht periodische Stromchiffre definiert.
Es sei (P(A), C(B), K, E, D) ein Kryptosystem mit endlichem Klartextraum P
und endlichem Schlüsselraum K. Jeder Klartext P ∈ P werde mit einer Wahrscheinlichkeit
p P gesendet und zu seiner Verschlüsselung unabhängig von P ein
Schlüssel K ∈ K mit einer Wahrscheinlichkeit q K ausgewählt. Die Wahrscheinlichkeit
für das Paar (P, K) ist also p P q K . Die Chiffrierung E K ordne P den
Geheimtext C zu. Die Wahrscheinlichkeit für das Auftreten von C ist dann
r(C) = ∑ P ∈P
∑
K∈K,C=E K (P )
p P q K .
Die bedingte Wahrscheinlichkeit für den Klartext P bei gegebenem Geheimtext
C ist dann
r(P |C) = 1 ∑
p P q K .
r(C)
K∈K,C=E K (P )
Damit wird die Entropie von P unter C definiert durch
H(P|C) = − ∑ r(P |C) log r(P |C),
P ∈P
und die mittlere Entropie von P unter C ist dann
H(P|C) = ∑ C∈C
r(C)H(P|C).
Schließlich ist
I(P, C) = H(P) − H(P|C)
die Information von C über P. Nach Claude E. Shannon (1949) definiert man
Definition 6.13 Ein Kryptosystem (P(A), C(B), K, E, D) heißt dann perfekt sicher,
wenn I(P, C) = 0 ist.
Satz 6.14 Ein Kryptosystem (P(A), C(B), K, E, D) ist genau dann perfekt sicher,
wenn p P = r(P |C) für alle Klartexte P und alle Geheimtexte C gilt, wenn
also die Wahrscheinlichkeitsverteilungen auf P und C unabhängig sind.
Folgerung 6.15 In einem perfekt sicheren Kryptosystem gibt es mindestens so
viele Schlüssel wie Klartexte.
47

Folgerung 6.16 Erfüllt ein Kryptosystem die Bedingungen (i) |P| = |K| und
(ii) q K = |K| −1 für alle K ∈ K, so ist es perfekt sicher.
Bemerkung 6.17 Die Verwendung von Einwegschlüsseln liefert also perfekt sichere
Kryptosysteme. Es sind dies auch die einzigen Verfahren, für die bis heute
die perfekte Sicherheit bewiesen ist.
Das Problem des sicheren Austausches von Einwegschlüsseln kann mittels der
technisch noch zu entwickelnden Quanten-Kryptographie zumindest theoretisch
sehr elegant gelöst werden.
Schlüsselvereinbarung in der Quanten-Kryptographie
In einem Quanten-Kanal werden einzelne Photonen (Lichtquanten) übertragen,
die jeweils eine von vier mögliche Polarisationsrichtungen aufweisen: 0 Grad (↕),
45 Grad (↗), 90 Grad (↔) oder 135 Grad (↘). Diese Photonen können als
Zeichen über dem Alphabet A = {0, 1, 2, 3} aufgefaßt werden.
Zur Vereinbarung eines Schüssels für eine spätere geheime Nachrichtenübertragung
durch einen gewöhnlichen Kanal sendet der Sender zunächst eine zufällige
Folge solcher Photonen über den Quanten-Kanal an den Empfänger, z. B.
(a) 0, 2, 1, 0, 3, 2, 2, 1, 0, 2, 3, 1, 1, . . .
Der Empfänger mißt jedes empfangene Photon durch einen jeweils zufällig gewählten
Polarisationsfilter, der ebenfalls durch eine der vier Richtungen bestimmt
ist, also auch als zufällige Folge über A dargestellt werden kann, z. B.
(b) 0, 1, 3, 2, 1, 0, 2, 2, 3, 0, 3, 2, 1, . . .
Wird dabei ein gerades (ungerades) Photon durch einen geraden (ungeraden)
Filter gemessen, so beobachtet der Empfänger bei Gleichheit mit Sicherheit ein
Signal (notiert als 1), bei Ungleichheit mit Sicherheit kein Signal (notiert als 0).
Stimmt dagegen die Parität von gesendetem Photon und Filter nicht überein, so
mißt der Empfänger nach den Gesetzen der Quantenmechanik jeweils mit 50 %
Wahrscheinlichkeit ein Signal oder kein Signal. Er ermittel also eine Meßfolge (c)
aus Nullen und Einsen, wobei er allerdings nicht weiß, welche Symbole “sicher”
sind und welche nur die Wahrscheinlichkeit 0.5 besitzen (vgl. Anhang).
Der Empfänger schickt nun über einen gewöhnlichen Kanal an den Sender die
Folge (b) seiner Filtereinstellungen. Hieraus und aus seinen eigenen Filtereinstellungen
kann der Sender die Indizes der “sicheren” Messungen und die jeweiligen
Ergebnisse des Empfängers berechnen. Er sendet nun dem Empfänger die Folge
48

(d) dieser Indizes ebenfalls über den gewöhnlichen Kanal. Im obigen Beispiel ist
dies
(d) 1, 3, 4, 5, 6, 10, 11, 13, . . .
Die zugehörige Folge der sicher gemessenen Bits stellt jetzt den beiden Beteiligten
bekannten Schlüssel dar. Die restlichen Messungen des Empfängers (ungefähr 50
%) werden ignoriert.
Ein Angreifer, der das Verfahren kennt und die Folge (a) “abhören” will, kann dies
nur tun, indem er die einzelnen Photonen durch einen Polarisationsfilter schickt.
Dabei kann er die Polarisationsrichtung ebenfalls nur zufällig raten. Wählt er
dabei eine andere Parität als der Empfänger, so mißt er entweder ein korrektes
Ergebnis (wenn der Empfänger nicht die Parität des Senders geraten hat), das
später aber verworfen wird, oder er mißt ein später benötigtes Ergebnis, wobei
seine Messung das benötigte Bit aber nur mit einer Wahrscheinlichkeit von 0.5
richtig darstellt. Die Hälfte der Messungen des Angreifers sind also unbrauchbar,
er kennt daher nur die Hälfte des vereinbarten Schlüssels, selbst wenn er alle
Photonen “abhört”.
Seine Situation ist aber noch ungünstiger. Da bei seiner Messung das Photon ausgelöscht
wird, muß er ein “Ersatzphoton” in den Quanten-Kanal einspeisen, sonst
verrät er sich sofort. Dies eingespeiste Photon muss er natürlich gemäß seiner eigenen
Messung polarisieren. In 25 % aller Fälle (siehe Anhang) wird dies aber die
falsche Parität haben, so daß jedes zweite Bit, daß der Empfänger später in seinem
Schlüssel benutzt, nicht mit dem Bit des Senders übereinstimmt. Tauschen daher
Sender und Empfänger über den gewöhnlichen Kanal einen kleinen Teil ihres
Schlüssels aus (und benutzen diesen Teil gegebenenfalls nicht), so können sie mit
hoher Wahrscheinlichkeit feststellen, ob der Quanten-Kanal bei der Schlüsselvereinbarung
abgehört wurde. Sie werden den Schlüssel daher insgesamt verwerfen
und einen erneuten Versuch starten.
Aufgabe 6.18 a) Geben Sie ein Kriterium dafür an, daß ein Schlüssel K = (a, b)
eines affinen Kryptosystems involutorisch ist. Ermitteln Sie damit alle involutorischen
Schlüssel für den Fall q = 15.
b) Gilt q = p 1 p 2 mit verschiedenen ungeraden Primzahlen p i , so gibt es genau
q + p 1 + p 2 + 1 involutorische Schlüssel für ein affines Kryptosystem. Überprüfen
Sie hiermit das Ergebnis aus a).
49

7 Data Encryption Standard
Definition 7.1 Es seien A = B = {0, 1}, n ∈ N gerade und t = n 2 . Jedes
P = (b 1 , . . . , b n ) ∈ A n werde in die beiden Hälften L = (b 1 , . . . , b t ) und R =
(b t+1 , . . . , b n ) zerlegt, es gilt also P = (L, R). Weiterhin sei r ∈ N eine Anzahl von
Runden und K 1 , . . . , K r für jede Runde ein Schlüssel, der jeweils eine Abbildung
f Ki : A t → A t , die innere Blockchiffre, bestimmt. Weiterhin sei π(L, R) = (R, L)
die Vertauschung von linker und rechter Blockhälfte und ϕ i (L, R) = (L, R ⊕
f Ki (L)) für i = 1, . . . , r. (Dabei sei ⊕ die Addition modulo 2.) Die Chiffrierung
mittels der Feistel-Chiffre (Horst Feistel, 1973) geschieht nun ausgehend vom
Klartextblock P = P 0 = (L 0 , R 0 ) iterativ gemäß
(48)
P i = ϕ i ◦ π(P i−1 ),
i = 1, . . . , r
und abschließender Berechnung des Geheimtextes C gemäß
(49)
C = (R r , L r ).
Insgesamt gilt also
(50)
C = π ◦ ϕ r ◦ π . . . ◦ ϕ 1 ◦ π(P ).
Bemerkung 7.2 Da sowohl π als auch ϕ i involutorische Abbildungen sind, d. h.
es gilt π −1 = π und ϕ −1
i = ϕ i , folgt (π ◦ ϕ r ◦ π . . . ◦ ϕ 1 ◦ π) −1 = π ◦ ϕ 1 ◦
π . . . ϕ r ◦ π, d. h. die Dechiffrierung erfolgt nach demselben Verfahren, wobei nur
die Schlüsselreihenfolge umzukehren ist.
Beispiel 7.3 Beim DES wird eine Feistel-Chiffre für n = 64 und r = 16 angewandt,
wobei die Rundenschlüssel K i nach einem festgelegten, öffentlich bekannten
Verfahren aus einem Hauptschlüssel K = (k 1 , . . . , k n ) ∈ A n berechnet
werden. In diesem Hauptschlüssel sind allerdings die Bits j = 8, 16, . . . , 64 irrelevant,
so daß es genau 2 56 verschiedene Schlüssel in K gibt. Auch die Konstruktion
der Chiffrierfunktionen f Ki für die einzelnen Runden der Feistel-Chiffre
folgt einem festen, öffentlich bekannten Verfahren. Zusätzlich existiert noch eine
initiale Permutation IP ∈ S 64 , die auf den zu verschlüsselnden Klartextblock
P ∈ A 64 angewandt wird und IP (P ) = (L 0 , R 0 ) liefert. Nach Anwendung der
Feistel-Chiffre wird schließlich C = IP −1 (R 16 , L 16 ) gebildet. Diese Permutation
IP ist kryptographisch wirkungslos, da sie ebenfalls öffentlich bekannt ist. Die
50

Sicherheit des DES beruht einzig und allein auf der Tatsache, daß die Berechnungen
der Chiffrierfunktionen aus dem Hauptschlüssel (nach heutigem Wissen)
Einwegfunktionen ohne Falltür sind. Trotz vielfältiger Bemühungen zahlreicher
Kryptoanalytiker hat der DES allen Angriffen standgehalten, mit einer einzigen
Ausnahme. Mit moderner Rechnerleistung ist es heute möglich, den gesamten
Schlüsselraum innerhalb eines Tages auszuschöpfen. Dies beruht aber nicht auf
einer Schwachstelle in der Konstruktion des DES. Man hat hier Abhilfe geschaffen,
indem man durch das sogenannte Triple-DES-Verfahren Schlüssellängen von
128 Bit verwendet. Da beide Verfahren auf Feistel-Chiffren beruhen, kann man
sie ebenso wie diese sowohl zur Ver- als auch zur Entschlüsselung benutzen, wenn
man entsprechend die Schlüsselreihenfolge umkehrt.
Mittlerweile existiert bereits ein Nachfolger zum DES, der AES (Advanced Encryption
Standard), der minimal mit Blocklängen von 128 Bit und gleichlangen
Schlüssellängen arbeitet. Bei dem darin verwendeten sogenannten Rijndael-
Algorithmus werden 10 Runden berechnet, allerdings handelt es sich nicht mehr
um Feistel-Chiffren.
Bemerkung 7.4 Beim DES gibt es 4 schwache Schlüssel K, für die alle jeweiligen
Rundenschlüssel K i übereinstimmen. Außerdem gibt es 6 Paare (K, K ′ )
halbschwacher Schlüssel, für die
DES K = DES −1
K ′
gilt. Bei jedem dieser 12 Schlüssel entstehen nur jeweils zwei verschiedene Rundenschlüssel.
Hinzu kommen noch 48 möglicherweise schwache Schlüssel, für die
nur je 4 verschiedene Rundenschlüssel existieren. Diese 64 Schlüssel sind also
tunlichst zu vermeiden.
Aufgabe 7.5 Beweisen Sie die in Bemerkung 7.2 enthaltenen Behauptungen.
Aufgabe 7.6 Bestimmen Sie sämtliche schwachen und halbschwachen Schlüssel
des DES.
51

8 Der RSA-Algorithmus
Dieser Algorithmus zum Einsatz in Kryptosystemen mit öffentlichen Schlüsseln,
wird nach seinen Entwicklern Rivest, Shamir und Adleman (1980) benannt. Zunächst
sei noch einmal das Grundprinzip derartiger Kryptosysteme beschrieben:
(1) Jeder Teilnehmer A konstruiert eine Verschlüsselungsfunktion E A als Einwegfunktion
mit Falltür. Die in die Konstruktion einfließende, nur ihm bekannte
Zusatzinformation liefert die Entschlüsselungsfunktion D A = EA −1 .
(2) Er gibt E A als seinen öffentlichen Schlüssel bekannt, hält aber D A geheim.
(3) Will ein Teilnehmer B eine Nachricht P an A senden, so verschlüsselt er sie
gemäß C = E A (P ) und sendet sie an A.
(4) Wenn A den Geheimtext C empfängt, wendet er D A an und erhält D A (C) =
D A (E A (P )) = P .
Die Idee dieser Systeme geht auf Diffie und Hellman (1975) zurück. Mittlerweile
ist bekannt, daß Mitarbeiter des britischen Geheimdienstes etwa gleichzeitig die
Idee entwickelt haben.
Zur Vorbereitung des RSA-Algorithmus werden einige zahlentheoretische Aussagen
benötigt.
Satz 8.1 Seien n > 0 eine natürliche Zahl und e ∈ Z. Genau dann existiert ein
d ∈ Z mit ed ≡ 1 mod m, wenn ggT (e, n) = 1 gilt.
Satz 8.2 Seien n > 0 eine natürliche Zahl und e ∈ Z teilerfremd zu n. Dann gilt
e ϕ(n) ≡ 1 mod n. Speziell gilt e p−1 ≡ 1 mod p, wenn n = p eine Primzahl und e
nicht durch p teilbar ist.
Satz 8.3 Genau dann ist die natürliche Zahl n > 1 Produkt paarweise verschiedener
Primzahlen, wenn für alle ganzen Zahlen a gilt
a ϕ(n)+1 ≡ a mod n.
Das RSA-Verfahren (vgl. Beispiel 6.7 a))
(1) A wählt zufällig zwei große Primzahlen p und q. (Gängige Wahlen sind
Binärzahlen mit Längen ≥ 256 oder sogar ≥ 512.)
52

(2) A berechnet n A = pq und ϕ(n A ) = (p − 1)(q − 1). Man nennt n A den RSA-
Modul von A.
(3) Weiterhin wählt A eine zu ϕ(n A ) teilerfremde Zahl e A , den Verschlüsselungsexponenten
von A zwischen 1 und ϕ(n A ) − 1.
(4) A bestimmt den Entschlüsselungs-Exponenten d A mit e A d A ≡ 1 mod ϕ(n A )
und 1 ≤ d A < ϕ(n A ).
(5) A gibt n A und e A öffentlich bekannt, hält die anderen Zahlen aber geheim.
(6) Will nun B eine Nachricht an A senden, so stellt er zunächst den Klartext P
als Folge natürlicher Zahlen n 1 , . . . , n r zwischen 0 und n A −1 dar. Dann bestimmt
er zu jeder dieser Zahlen n i den Geheimtext
c i ≡ n e A
i
mod n A
und sendet die Folge c 1 , . . . , c r an A.
(7) A bildet zu den empfangenen Geheimtexten c i die Potenzen
c d A
i ≡ n i mod n A ,
die dann noch in den Klartexte zurückverwandelt werden müssen.
Die Durchführbarkeit des Verfahrens beruht darauf, daß man große Primzahlen
relativ schnell finden kann und ebenso schnell die Exponentiation von Restklassen
durchführen kann. Dagegen beruht die Sicherheit darauf, daß die Faktorisierung
großer Zahlen n A ein “schweres” Problem ist. Es ist allerdings bisher nicht bewiesen,
daß für die Dechiffrierung tatsächlich die Faktorisierung des RSA-Moduls
notwendig ist.
53

9 Diskreter Logarithmus
Neben der Primfaktorzerlegung großer Zahlen ist die Berechnung des diskreten
Logarithmus ein Rechenverfahren, das möglicherweise eine Einwegfunktion ohne
Falltür darstellt und sich deshalb zur Konstruktion von Kryptosystemen mit
öffentlichen Schlüsseln eignet.
Definition 9.1 Es seien G eine Gruppe, g ∈ G und c = g e . Man nennt e den
(diskreten) Logarithmus von c bezüglich g. Hat g die endliche Ordnung n, so
normiert man noch 0 ≤ e < n.
Im folgenden sei p eine Primzahl und G = Z ∗ p
Körpers mit p Elementen.
die multiplikative Gruppe des
Satz 9.2 Für jede Primzahl p ist Z ∗ p eine zyklische Gruppe. Es gibt also ein g ∈ Z,
so daß zu jedem a ∈ Z mit ggT (a, p) = 1 ein Exponent e mit a ≡ g e mod p
existiert. Jedes derartige g nennt man eine Primitivwurzel oder ein primitives
Element modulo p.
Satz 9.3 Es sei p eine Primzahl. Genau dann ist g ∈ Z mit ggT (g, p) = 1 eine
Primitivwurzel modulo p, wenn
für alle Primteiler q von p − 1 gilt.
g (p−1)/q ≢ 1 mod p
Bemerkung 9.4 Es gibt genau ϕ(p − 1) Primitivwurzeln modulo p, also hinreichend
viele unter den Restklassen modulo p, so daß man durch systematische
Suche bald eine finden kann.
Das Diffie-Hellman-Verfahren
Das erste veröffentlichte Kryptosystem mit öffentlichen Schlüsseln stammt von
Diffie und Hellman. Dabei werden die Schlüssel wie folgt bestimmt:
(1) Der Sender wählt eine Primzahl p, eine Primitivwurzel α modulo p und eine
(geheime) Zahl 0 ≤ a < p − 1. Er berechnet β ≡ α a mod p und sendet dem
Empfänger die Nachricht (p, α, β).
(2) Der Empfänger wählt nun eine (ebenfalls geheime) Zahl 0 ≤ k < p − 1,
berechnet γ ≡ α k mod p und sendet γ an den Sender zurück.
54

(3) Der vereinbarte Schlüssel ist K = γ a = β k . Er kann von beiden Teilnehmern
berechnet werden.
Veröffentlicht der Sender schon vorab die Zahlen p und α als seinen öffentlichen
Schlüssel, so brauchen nur die Nachrichten β und γ ausgetauscht zu werden.
Sowohl Sender als auch Empfänger verfügen über die geheimen Zusatzinformationen,
die nur ihnen selbst bekannt sind, um den Schlüssel K zu berechnen. Die
Sicherheit des Verfahrens beruht darauf, daß sich der diskrete Logarithmus von
β bezüglich α nur schwer bestimmen läßt. Es ist aber noch nicht bewiesen, daß
sich α ab aus α a und α b ohne Kenntnis von a und b nicht bestimmen läßt.
Das ElGamal-Verfahren
Dieses Verfahren entsteht durch eine Modifikation des Diffie-Hellman-Verfahrens.
Die Schritte (1) und (2) laufen hier wie beim Diffie-Hellman-Verfahren ab. Will
nun der Empfänger dem Sender einen Klartext m mit k ≤ m ≤ p−1 als Nachricht
schicken, so multipliziert er den Schlüssel K = β k mit m und schickt das Paar
(γ, c) mit dem Geheimtext c ≡ Km mod p.
(3 ′ ) Der Sender setzt u = p − 1 − a und bestimmt
γ u c = α b(p−1−a) α ak m ≡ α k(p−1) m ≡ m mod p.
Der Nachteil dieses Verfahrens liegt darin, daß der Geheimtext (γ, c) doppelt so
lang ist wie der Klartext m. Der Vorteil besteht darin, daß durch die zufällige
Wahl von k derselbe Klartext nicht zweimal auf die gleiche Weise verschlüsselt
wird. Außerdem kann man das Verfahren auf andere Gruppen übertragen, bei
denen die Berechnung des diskreten Logarithmus noch “schwerer” ist als in Z ∗ p.
Insbesondere sind hier elliptische Kurven über endlichen Körpern im Gespräch.
55

10 Elliptische Kurven
Definition 10.1 Eine elliptische Kurve über dem Körper K = R ist eine Menge
E = {(x, y) ∈ K 2 | y 2 = x 3 + ax + b} ∪ {O}
für a, b ∈ K mit dem unendlich fernen Punkt O. Für 4a 3 + 27b 2 = 0 heißt E
singulär, sonst nicht-singulär.
Bemerkung 10.2 Die Bedingung 4a 3 + 27b 2 ≠ 0 ist hinreichend und notwendig
dafür, daß x 3 + ax + b = 0 drei verschiedene (komplexe) Nullstellen hat.
Ist E eine nicht-singuläre elliptische Kurve, so wird folgendermaßen eine Addition
+ auf E definiert, die (E, +) zu einer abelschen Gruppe macht. (Diese Addition
läßt sich durch eine geometrische Darstellung der Kurve motivieren!)
Zunächst setze O + P = P = P + O für alle P ∈ E. Damit ist O neutrales
Element in (E, +).
Für P = (x, y) ∈ E setze −P = (x, −y) und P + (−P ) = O = (−P ) + P . Dann
liegt −P in E und ist Entgegengesetztes von P .
Für P = (x 1 , y 1 ) und Q = (x 2 , y 2 ) ≠ −P setze
und
sowie
λ = y 2 − y 1
x 2 − x 1
falls x 1 ≠ x 2 ,
λ = 3x2 1 + a
2y 1
x 3 = λ 2 − x 1 − x 2 , y 3 = λ(x 1 − x 3 ) − y 1
P + Q = (x 3 , y 3 ).
sonst
Man kann nun zeigen, daß (x 3 , y 3 ) zu E gehört und die so definierte Addition
kommutativ und assoziativ ist. (Das letzte ist allerdings mühselig.)
Die obigen Definitionen bleiben korrekt, wenn man den Körper K = R durch
einen endlichen Körper K = Z p für eine Primzahl p > 3 ersetzt. (Die Fälle p = 2
und p = 3 sind auszuschließen, da die Bemerkung 10.2 dann nicht mehr richtig
ist und die Definition der Addition auf E so nicht mehr funktioniert.)
Satz 10.3 Es sei p > 3 eine Primzahl. Für jede nicht-singuläre elliptische Kurve
E über Z p gilt dann
p + 1 − 2 √ p ≤ |E| ≤ p + 1 + 2 √ p.
56

Bemerkung 10.4 Gilt |E| = p für die nicht-singuläre elliptische Kurve E über
Z p , so sind die diskreten Logarithmen auf E leicht berechenbar. Derartige Kurven
sind also in Kryptosystemen zu vermeiden. Ebenso zu vermeiden sind sogenannte
supersinguläre elliptische Kurven, die aber komplizierter zu definieren sind.
Satz 10.5 Es sei p > 3 eine Primzahl und E eine nicht-singuläre elliptische
Kurve über Z p . Dann gibt es natürliche Zahlen n und m mit m | n und m | (p−1),
so daß (E, +) isomorph zu dem direkten Produkt (Z n , +) × (Z m , +) ist.
Bemerkung 10.6 Es ist m = 1 genau dann, wenn (E, +) selbst eine zyklische
Gruppe ist. Dies ist speziell dann der Fall, wenn |E| prim oder das Produkt
verschiedener Primzahlen ist. In jedem Fall enthält aber (E, +) eine zyklische
Untergruppe. Diese kann für das ElGamal-Verfahren benutzt werden.
Beispiel 10.7 Für p = 11 betrachte die durch y 2 = x 3 +x+6 gegebene elliptische
Kurve E, also a = 1, b = 6. Wegen 4a 3 + 27b 6 = 4 + 5 · 3 = 19 ≠ 0 mod 11 ist
E nicht-singulär. Für x = 0, . . . , 10 ∈ Z 11 berechnet man schnell x 3 + x + 6 mod
11 und erhält 6, 8, 5, 3, 8, 4, 8, 4, 9, 7, 4. Von diesen Zahlen sind nur 5, 3, 4 und 9
Quadratzahlen in Z 11 mit den Wurzeln 4, 7, 5, 6, 2, 9 und 3, 8. Damit enthält E
neben O noch genau die 12 Punkte
(2, 4), (2, 7), (3, 5), (3, 6), (5, 2), (5, 9), (7, 2), (7, 9), (8, 3), (8, 8), (10, 2), (10, 9).
Wegen |E| = 13 ist (E, +) zyklisch und jedes Element außer O kann als primitives
Element genommen werden.
Für α = (2, 7) ergibt sich beispielsweise 2α = (2, 7) + (2, 7) = (5, 2) wegen
λ = (3·2 2 +1)·(2·7) −1 = 2·3 −1 = 2·4 = 8 mod 11 und damit x 3 = 8 2 −2−2 = 5
mod 11 sowie y 3 = 8(2 − 5) − 7 = 2 mod 11. Insgesamt erhält man
α = (2, 7)
2α = (5, 2)
3α = (8, 3)
4α = (10, 2)
5α = (3, 6)
6α = (7, 9)
7α = (7, 2)
8α = (3, 5)
9α = (10, 9)
10α = (8, 8)
11α = (5, 9)
12α = (2, 4)
57

12 Anhang
12.1 ASCII-Code
American Standard Code for Information Interchange
In den Spalten stehen nacheinander: das Zeichen, der Binärcode (zwei Halbbytes),
der Hexadezimalcode, der Dezimalcode. Natürlich sind auch die anderen Bytes
mit Zeichen belegt, die aber weniger häufig benutzt werden. Insbesondere die
ersten 32 Bytes entsprechen den Steuerzeichen des ISO-7-Codes.
A 0100 0001 41 065 a 0110 0001 61 097
B 0100 0010 42 066 b 0110 0010 62 098
C 0100 0011 43 067 c 0110 0011 63 099
D 0100 0100 44 068 d 0110 0100 64 100
E 0100 0101 45 069 e 0110 0101 65 101
F 0100 0110 46 070 f 0110 0110 66 102
G 0100 0111 47 071 g 0110 0111 67 103
H 0100 1000 48 072 h 0110 1000 68 104
I 0100 1001 49 073 i 0110 1001 69 105
J 0100 1010 4A 074 j 0110 1010 6A 106
K 0100 1011 4B 075 k 0110 1011 6B 107
L 0100 1100 4C 076 l 0110 1100 6C 108
M 0100 1101 4D 077 m 0110 1101 6D 109
N 0100 1110 4E 078 n 0110 1110 6E 110
O 0100 1111 4F 079 o 0110 1111 6F 111
P 0101 0000 50 080 p 0111 0000 70 112
Q 0101 0001 51 081 q 0111 0001 71 113
R 0101 0010 52 082 r 0111 0010 72 114
S 0101 0011 53 083 s 0111 0011 73 115
T 0101 0100 54 084 t 0111 0100 74 116
U 0101 0101 55 085 u 0111 0101 75 117
V 0101 0110 56 086 v 0111 0110 76 118
W 0101 0111 57 087 w 0111 0111 77 119
X 0101 1000 58 088 x 0111 1000 78 120
Y 0101 1001 59 089 y 0111 1001 79 121
Z 0101 1010 5A 090 z 0111 1010 7A 122
[ 0101 1011 5B 091 { 0111 1011 7B 123
\ 0101 1100 5C 092 | 0111 1100 7C 124
] 0101 1101 5D 093 } 0111 1101 7D 125
ˆ 0101 1110 5E 094 ∼ 0111 1110 7E 126
0101 1111 5F 095 > 0111 1111 7F 127
’ 0110 0000 60 096 / 1000 0000 80 128
58

0010 0000 20 032
! 0010 0001 21 033
“ 0010 0010 22 034
# 0010 0011 23 035
$ 0010 0100 24 036
% 0010 0101 25 037
& 0010 0110 26 038
´ 0010 0111 27 039
( 0010 1000 28 040
) 0010 1001 29 041
* 0010 1010 2A 042
+ 0010 1011 2B 043
, 0010 1100 2C 044
- 0010 1101 2D 045
. 0010 1110 2E 046
/ 0010 1111 2F 047
0 0011 0000 30 048
1 0011 0001 31 049
2 0011 0010 32 050
3 0011 0011 33 051
4 0011 0100 34 052
5 0011 0101 35 053
6 0011 0110 36 054
7 0011 0111 37 055
8 0011 1000 38 056
9 0011 1001 39 057
: 0011 1010 3A 058
; 0011 1011 3B 059
< 0011 1100 3C 060
= 0011 1101 3D 061
> 0022 1110 3E 062
? 0011 1111 3F 063
0100 0000 40 064
Die ASCII-Zeichen, bei denen das höchste Bit gleich 1 ist, werden unter anderem
für Sonderzeichen aus anderen Alphabeten (Dänisch, Spanisch etc.) genutzt und
je nach Ausgabemedium unterschiedlich dargestellt. Man faßt sie daher auch
oft als “nicht druckbare Zeichen” auf. Wenn sie nicht genutzt werden, wird das
höchste Bit frei und kann als Paritätsbit (vgl. Beispiel 1.1) benutzt werden.
59

12.2 Morse-Alphabet
Samuel Morse (1791 - 1872) benutzte für seinen Telegraphen 1837 zunächst
nur Ziffern zur Übertragung, aus denen nach einem Codebuch Wörter gebildet
wurden. 1840 führte er einen von A. Bain stammenden Code mit wechselnden
Wortlängen ein. Das heutige Morse-Alphabet wurde erst 1851 auf Vorschlag von
C. Gerke vom Deutsch-Österreichischen Telegraphenverein angenommen und erhielt
1865 im Internationalen Telegraphenverein allgemeine Anerkennung. (Schon
Gauß und Weber (1833) und ebenso Steinheil (1837) hatten Codes mit wechselnden
Wortlängen für ihre Telegraphen benutzt.)
a ·− 0 − − − − −
ä · − ·− 1 · − − − −
á · − − · − 2 · · − − −
b − · ·· 3 · · · − −
c − · −· 4 · · · · −
ch - - - - 5 · · · · ·
d − · · 6 − · · · ·
e · 7 − − · · ·
é · · − · · 8 − − − · ·
f · · −· 9 − − − − ·
g − − · . · − · − ·−
h · · ·· , − − · · −−
i ·· : − − − · ··
j · − −− - − · · · ·−
k − · − ’ · − − − −·
l · − ·· ( − · − − ·−
m −− ? · · − − ··
n −· “ · − · · −·
ñ − − · − −
o − − − Notruf · · · − − − · · ·
ö − − −· Anfang − · − · −
p · − −· Ende · · · − ·−
q − − ·−
r · − ·
s · · ·
t −
u · · −
v · · ·−
w · − −
x − · ·−
y − · −−
z − − ··
60

Eine gängige Binärcodierung des Morse-Alphabets ist
· ↔ 01, − ↔ 0111 “Zwischenraum” ↔ 000.
61

12.3 Buchstabenhäufigkeiten
Die Zahlenangaben bedeuten jeweils %.
Deutsch
Einzelbuchstaben (in Cliquen)
E (17.5)
N (9.8)
I (7.7) R (7.5) S (6.8) A (6.4) T (6.1)
D (4.8) U (4.2) H (4.2)
L (3.5) G (3.0) O (3.0) C (2.7) M (2.6)
B (1.9) F (1.6) W (1.5) K (1.5) Z (1.1)
P (1.0) V (0.9)
J (0.3) Y (0.1) X (0.04) Q (0.02)
Bigramme (676 = 26 · 26 mögliche)
EN (0.0443) ER (0.0375) CH (0.0280) EI (0.0242) DE (0.0233) ND (0.0208)
IN (0.0197) GE (0.0196) IE (0.0188) TE (0.0178) ES (0.0168) NE (0.0143) UN
(0.0139) RE (0.0124) HE (0.0124) ST (0.0118) BE (0.0104) AN (0.0082)
Trigramme (17567 = 26 3 mögliche)
EIN (0.0122) ICH (0.0111) NDE (0.0089) DIE (0.0087) UND (0.0087) DER
(0.0086) CHE (0.0075) END (0.0075) GEN (0.0071) SCH (0.0066) CHT (0.0061)
DEN (0.0057) INE (0.0053) NGE (0.0052) NUN (0.0048) UNG (0.0048)
Englisch
Einzelbuchstaben (in Cliquen)
E (12.5)
T (9.2)
A (8.0) O (7.6) I (7.3) N (7.1)
S (6.5) R (6.1) H (5.4)
62

L (4.1) D (4.0)
C (3.1) U (2.7) M (2.5) F (2.3)
P (2.0) G (2.0) W (1.9) Y (1.7) B (1.5)
V (1.0) K (0.7)
X (0.2) J (0.2) Q (0.1) Z (0.1)
Bigramme
TH (0.0330) HE (0.0270) IN (0.0202) ER (0.0191) RE (0.0169) AN (0.0167) ES
(0.0149) EN (0.0146) ON (0.0134) AT (0.0127) TI (0.0126) ED (0.0125) NT
(0.0124) ND (0.0122) ST (0.0116) OR (0.0091) AR (0.0083) IS (0.0079) TO
(0.0079)
Trigramme
THE (0.0353) ING (0.0111) AND (0.0102) ION (0.0075) TIO (0.0075) ENT
(0.0073) ERE (0.0069) HER (0.0068) ATE (0.0066) VER (0.0064) TER (0.0063)
THA (0.0062) ATI (0.0059) FOR (0.0059)
Französisch
Einzelbuchstaben
E (16) N A S R I U T O L D C M P V F B G X H Q Y Z J K W
Bigramme
ES EN OU DE NT TE ON SE AI IT LE ET ME ER EM
Trigramme
ENT QUE ION LES AIT TIO ANS ONT OUR ANT AIS OUS
63

Italienisch
Einzelbuchstaben
E (11) I (11) A (11) O R L N T S C D P U M G V H Z B F Q J K W X Y
Bigramme
ER ES ON RE EL EN DE SI DI TI AL NT AN RA
Trigramme
CHE ERE ZIO DEL ECO ARI QUE ATO IDE EDI ESI
Spanisch
Einzelbuchstaben
E (13) A O S R I N L D C T U P M Y Q G V H F B J Z K W X
Bigramme
ES EN EL DE LA OS UE AR RA RE ON ER AS ST AL AD TA CO OR
Trigramme
QUE EST ARA ADO AQU CIO DEL NTE EDE OSA PER NEI IST SDE
64

12.4 Vigenère-Tafel
Blaise de Vigenère (1525 - 1596),
Johannes Trithemius (1462 - 1516),
Giovanni Battista Della Porta (1538 - 1615)
A B C D E F G H I J K L M N O P Q R S T U V W X Y Z
B C D E F G H I J K L M N O P Q R S T U V W X Y Z A
C D E F G H I J K L M N O P Q R S T U V W X Y Z A B
D E F G H I J K L M N O P Q R S T U V W X Y Z A B C
E F G H I J K L M N O P Q R S T U V W X Y Z A B C D
F G H I J K L M N O P Q R S T U V W X Y Z A B C D E
G H I J K L M N O P Q R S T U V W X Y Z A B C D E F
H I J K L M N O P Q R S T U V W X Y Z A B C D E F G
I J K L M N O P Q R S T U V W X Y Z A B C D E F G H
J K L M N O P Q R S T U V W X Y Z A B C D E F G H I
K L M N O P Q R S T U V W X Y Z A B C D E F G H I J
L M N O P Q R S T U V W X Y Z A B C D E F G H I J K
M N O P Q R S T U V W X Y Z A B C D E F G H I J K L
N O P Q R S T U V W X Y Z A B C D E F G H I J K L M
O P Q R S T U V W X Y Z A B C D E F G H I J K L M N
P Q R S T U V W X Y Z A B C D E F G H I J K L M N O
Q R S T U V W X Y Z A B C D E F G H I J K L M N O P
R S T U V W X Y Z A B C D E F G H I J K L M N O P Q
S T U V W X Y Z A B C D E F G H I J K L M N O P Q R
T U V W X Y Z A B C D E F G H I J K L M N O P Q R S
U V W X Y Z A B C D E F G H I J K L M N O P Q R S T
V W X Y Z A B C D E F G H I J K L M N O P Q R S T U
W X Y Z A B C D E F G H I J K L M N O P Q R S T U V
X Y Z A B C D E F G H I J K L M N O P Q R S T U V W
Y Z A B C D E F G H I J K L M N O P Q R S T U V W X
Z A B C D E F G H I J K L M N O P Q R S T U V W X Y
65

12.5 Dezimalziffern-Codes
12.5.1 Zählcode
Wird bei Fernsprechern benutzt.
1 10
2 110
3 1110
4 11110
5 111110
6 1111110
7 11111110
8 111111110
9 1111111110
0 11111111110
12.5.2 Tetradencodes
BCD Excess-3 Aiken Gray Gray-Stibitz
0 0000 0011 0000 0000 0010
1 0001 0100 0001 0001 0110
2 0010 0101 0010 0011 0111
3 0011 0110 0011 0010 0101
4 0100 0111 0100 0110 0100
5 0101 1000 1011 0111 1100
6 0110 1001 1100 0101 1101
7 0111 1010 1101 0100 1111
8 1000 1011 1110 1100 1110
9 1001 1100 1111 1101 1010
BCD (Binary Coded Decimal)
Excess-3 heißt auch Stibitz-Code, er vermeidet die Tetraden 0000 (Stromunterbrechung)
und 1111 (Dauersignal)
Der Aiken-Code ist ein Stellenwertcode, die Bits stehen für die Werte 2,4,2,1, es
gilt, daß die Ziffer 9 − x das bitweise Komplement der Ziffer x ist.
Der Gray-Code (nach F. Gray 1953) hat die Eigenschaft, daß sich die Tetraden
aufeinanderfolgender Ziffern an genau einer Stelle unterscheiden. Gray-Codes
können über beliebigen q-nären Alphabeten und von beliebiger Länge konstruiert
werden, vgl. Beispiel 2.8.
66

12.5.3 Pentadencodes
2 aus 5 CCIT-2
0 11000 01101
1 00011 11101
2 00101 11001
3 00110 10000
4 01001 01010
5 01010 00001
6 01100 10101
7 10001 11100
8 10010 01100
9 10100 00011
Der 2-aus-5-Code wurde zur Codierung von Postleitzahlen benutzt. Mit Ausnahme
der Codierung von 0 handelt es sich um einen Stellenwertcode mit den Werten
7,4,2,1,0. Das letzte Bit kann man daher als Paritätskontrollbit deuten.
Der CCIT-2-Code (Comité consultatif international de télégraphie) ist der auf I.
M. Baudot zurückgehende Telegraphencode Nr. 2 im internationalen Fernschreibverkehr.
12.6 Längere Binärcodes
biquinär EBCDI 1 aus 10
0 000001 11110000 0000000001
1 000010 11110001 0000000010
2 000100 11110010 0000000100
3 001000 11110011 0000001000
4 010000 11110100 0000010000
5 100001 11110101 0000100000
6 100010 11110110 0001000000
7 100100 11110111 0010000000
8 101000 11111000 0100000000
9 110000 11111001 1000000000
Der Extended Binary Coded Decimal Interchange Code wurde von IBM entwickelt.
Die ersten 4 Bits bilden den Zonenteil und sind stets gleich 1111, die
letzten 4 Bits bilden den Ziffernteil und codieren gemäß BCD.
Weitere gebräuchliche Binärcodes für Ziffern findet man bei den EAN-Codierungen.
67

12.7 CCIT-2
Der CCIT-2-Code (Comité consultatif international de télégraphie) ist der auf
Murray zurückgehende Telegraphencode Nr. 2 im internationalen Fernschreibverkehr
(Telex). Er wurde 1932 genormt.
Es gibt zunächst 5 einfache belegte Codewörter, die Steuerzeichen codieren:
SP (Zwischenraum) 00000
CR (Wagenrücklauf) 00010
LF (Zeilenvorschub) 01000
Zeichenumschaltung 11011
Buchstabenumschaltung 11111
Dann ist jedes weitere Codewort doppelt belegt. Die Decodierung erfolgt je nach
Empfang der letzten Buchstabenumschaltung/Zeichenumschaltung.
Buchstabe Zeichen Codewort
A − 11000
B ? 10011
C : 01110
D Wer da? 10010
E 3 10000
F [ 10110
G ] 01011
H 10 00101
I 8 01100
J ; 11010
K ( 11110
L ) 01001
M . 00111
N , 00110
O 9 00011
P 0 01101
Q 1 11101
R 4 01010
S ’ 10100
T 5 00001
U 7 11100
V = 01111
W 2 11001
X / 10111
Y 6 10101
Z + 10001
68

Aufbauend auf dem Bacon-Code benutzte aber schon I. M. Baudot 1874 in seinem
Drucktelegraphen einen 5-Bit-Code und Carpentier benutzte 1887 den Fünf-
Spur-Lochstreifen, nachdem Wheatstone schon 1841 gelochte Papierstreifen ins
Fernschreibwesen eingeführt hatte.
69

12.8 ISO-7
International Standards Organization
(*) bezeichnet hier Plätze, die in nationalen Normen auch anders belegt werden
können.
0 1 2 3 4 5 6 7
00 NUL DLE SP 0 @ (*) P (*) p
01 SOH DC1 ! 1 A Q a q
02 STX DC2 ” 2 B R b r
03 ETX DC3 # (*) 3 C S c s
04 EOT DC4 $ 4 D T d t
05 ENQ NAK % 5 E U e u
06 ACK SYN & 6 F V f v
07 BEL ETB ’ 7 G W g h
08 BS CAN ( 8 H X h x
09 HT EM ) 9 I Y i y
10 LF SUB * : J Z j z
11 VT ESC + ; K [ (*) k { (*)
12 FF FS , < L \ (*) l | (*)
13 CR GS - = M ] (*) m } (*)
14 SO RS . > N (*) n ˜(*)
15 SI US / ? O − o DEL
In den ersten beiden Spalten stehen gewisse Steuerzeichen, beispielsweise NUL
= Leerzeichen, EOT = End of Transmission, BEL = Klingelzeichen, LF = Zeilenvorschub,
CR = Wagenrücklauf, SO = Dauerschaltung, SI = Rückschaltung,
CAN = ungültig, EM = End of Message, SUB = Substitutionszeichen, ESC =
Codeumschaltung.
Schreibt man die Zeilennummern hexadezimal, also 10 = A, 11 = B, 12 = C, 13 =
D, 14 = E, 15 = F und liest für das Zeichen das Paar (Spaltennummer, Zeilennummer)
als Hexadezimalzahl, so erhält man die Nummer des ASCII-Zeichens.
70

12.9 Flexowriter
Zeichen Codewort Zeichen Codewort
Leerzeichen 00000000 A 01000001
BS 10001000 B 01000010
HT 00001001 C 11000011
CR 00001010 D 01000100
LF 10001101 E 11000101
Zwischenraum 10100000 F 11000110
( 00101000 G 01000111
) 10101001 H 01001000
% 10100101 I 11001001
: 00111010 J 11001010
/ 10101111 K 01001011
+ 00101011 L 11001100
- 00101101 M 01001101
0 00110000 N 01001110
1 10110001 O 11001111
2 10110010 P 01010000
3 00110011 Q 11010001
4 10110100 R 11010010
5 00110101 S 01010011
6 00110110 T 11010100
7 10110111 U 01010101
8 10111000 V 01010110
9 00111001 W 11010111
Löschung einer Irrung 11111111 X 11011000
Y 01011001
Z 01011010
Das höchstwertige Bit ist ein Paritätskontrollbit.
71

12.10 IBM-Lochkarten-Code
Hermann Hollerith (1860 - 1929) benutzte erstmals 1889 bei der statistischen Auswertung
der amerikanischen Volkszählung die Binärverschlüsselung von Daten auf
Lochkarten. Alphanumerische Lochkartenmaschinen wurden 1931 eingeführt.
Zeichen Codewort Zeichen Codewort
0 001000000000 S 001010000000
1 000100000000 T 001001000000
2 000010000000 U 001000100000
3 000001000000 V 001000010000
4 000000100000 W 001000001000
5 000000010000 X 001000000100
6 000000001000 Y 001000000010
7 000000000100 Z 001000000001
8 000000000010 Zwischenraum 000000000000
9 000000000001 ≥ 000010000010
A 100100000000 = 000001000010
B 100010000000 ’ 000000100010
C 100001000000 : 000000010010
D 100000100000 ¿ 000000001010
E 100000010000 ˆ 000000000110
F 100000001000 + 100000000000
G 100000000100 ≤ 100010000010
H 100000000010 . 100001000010
I 100000000001 ) 100000100010
J 010100000000 [ 100000010010
K 010010000000 ¡ 100000001010
L 010001000000 | 100000000110
M 010000100000 - 010000000000
N 010000010000 ’ 010010000010
O 010000001000 $ 010001000010
P 010000000100 * 010000100010
Q 010000000010 ] 010000010010
R 010000000001 ; 010000001010
− 010000000110
/ 001100000000
≠ 001010000010
, 001001000010
( 001000100010
10 001000010010
‘ 001000001010
∨ 001000000110
72

12.11 Hexadezimalcode
Zahl Binärdarstellung Hexadezimalcode
0 0000 0
1 0001 1
2 0010 2
3 0011 3
4 0100 4
5 0101 5
6 0110 6
7 0111 7
8 1000 8
9 1001 9
10 1010 A
11 1011 B
12 1100 C
13 1101 D
14 1110 E
15 1111 F
Bytes (also Folgen von 8 Bits) werden oft durch zwei Hexadezimalzeichen dargestellt:
Byte Hexadezimalcode
00000000 00
00000001 01
.
.
00001111 0F
00010000 10
.
.
11111110 FE
11111111 FF
73

12.12 Bacon-Code (um 1580)
Francis Bacon (1561 - 1626), englischer Philosoph
a
b
c
d
e
f
g
h
i
k
l
m
n
o
p
q
r
s
t
v
w
x
y
z
AAAAA
AAAAB
AAABA
AAABB
AABAA
AABAB
AABBA
AABBB
ABAAA
ABAAB
ABABA
ABABB
ABBAA
ABBAB
ABBBA
ABBBB
BAAAA
BAAAB
BAABA
BAABB
BABAA
BABAB
BABBA
BABBB
74

12.13 EAN-13-Codierungen
Codiert werden 13 Ziffern c 1 c 2 . . . c 7 c 8 . . . c 13 . Dabei bestimmt die Ziffer c 1 durch
Code D, nach welchem Code (A bzw. B) die jeweilige Ziffer c 2 , c 3 , . . . , c 7 codiert
wird. Die Ziffern c 8 , . . . c 13 werden alle nach dem Code C codiert.
Zeichen Code A Code B Code C Code D
0 0001101 0100111 1110010 AAAAAA
1 0011001 0110011 1100110 AABABB
2 0010011 0011011 1101100 AABBAB
3 0111101 0100001 1000010 AABBBA
4 0100011 0011101 1011100 ABAABB
5 0110001 0111001 1001110 ABBAAB
6 0101111 0000101 1010000 ABBBAA
7 0111011 0010001 1000100 ABABAB
8 0110111 0001001 1001000 ABABBA
9 0001011 0010111 1110100 ABBABA
75

12.14 Länderkennungen der Euro-Banknoten
Land Kennbuchstabe Alphabetpos. + 10 Quersumme mod 9
Belgien Z 36 0
Griechenland Y 35 8
Deutschland X 34 7
(Dänemark) (W) 33 6
Spanien V 32 5
Frankreich U 31 4
Irland T 30 3
Italien S 29 2
Luxemburg R 28 1
Niederlande P 26 8
Österreich N 24 6
Portugal M 23 5
Finnland L 22 4
(Schweden) (K) 21 3
(Großbritannien) (J) 20 2
Slowenien H 18 0
Zypern G 17 8
Malta F 16 7
Slowakei E 15 6
Estland D 14 5
Die Buchstaben “Q”, “O” und “I” wurden nicht vergeben.
Griechenland hat mit Dänemark getauscht, da kein griechischer Buchstabe “W”
existiert.
Luxemburg verausgabt keine Banknoten.
76

12.15 Prüfzifferncodierung der DM-Scheine von 1990 -
2001
12.15.1 Codierung der Buchstaben
A D G K L N S U Y Z
0 1 2 3 4 5 6 7 8 9
12.15.2 Verknüpfungstafel der Diedergruppe D5
| 0 1 2 3 4 5 6 7 8 9
0 | 0 1 2 3 4 5 6 7 8 9
1 | 1 2 3 4 0 6 7 8 9 5
2 | 2 3 4 0 1 7 8 9 5 6
3 | 3 4 0 1 2 8 9 5 6 7
4 | 4 0 1 2 3 9 5 6 7 8
5 | 5 9 8 7 6 0 4 3 2 1
6 | 6 5 9 8 7 1 0 4 3 2
7 | 7 6 5 9 8 2 1 0 4 3
8 | 8 7 6 5 9 3 2 1 0 4
9 | 9 8 7 6 5 4 3 2 1 0
12.15.3 Verwendete Permutation und ihre Potenzen
∗ | 0 1 2 3 4 5 6 7 8 9
π | 1 5 7 6 2 8 3 0 9 4
π 2 | 5 8 0 3 7 9 6 1 4 2
π 3 | 8 9 1 6 0 4 3 5 2 7
π 4 | 9 4 5 3 1 2 6 8 7 0
π 5 | 4 2 8 6 5 7 3 9 0 1
π 6 | 2 7 9 3 8 0 6 4 1 5
π 7 | 7 0 4 6 9 1 3 2 5 8
π 8 | 0 1 2 3 4 5 6 7 8 9
π 9 | 1 5 7 6 2 8 3 0 9 4
π 10 | 5 8 0 3 7 9 6 1 4 2
77

12.16 Prüfzifferncode bei Schweizer Einzahlungsscheinen
Verknüpfungstafel der verwendeten Quasigruppe
∗ | 0 1 2 3 4 5 6 7 8 9
0 | 0 9 4 6 8 2 7 1 3 5
1 | 9 4 6 8 2 7 1 3 5 0
2 | 4 6 8 2 7 1 3 5 0 9
3 | 6 8 2 7 1 3 5 0 9 4
4 | 8 2 7 1 3 5 0 9 4 6
5 | 2 7 1 3 5 0 9 4 6 8
6 | 7 1 3 5 0 9 4 6 8 2
7 | 1 3 5 0 9 4 6 8 2 7
8 | 3 5 0 9 4 6 8 2 7 1
9 | 5 0 9 4 6 8 2 7 1 3
78

12.17 Fehlerhäufigkeiten bei der Ziffernübermittlung
Verhoeff führte 1969 eine Untersuchung über das Auftreten verschiedener Fehler
bei der Übermittlung sechsstelliger Zahlen (in niederländischer Sprache) durch.
Fehlertyp Beispiel rel. Häufigkeit
Einzelfehler a → a ′ 79.0 %
Nachbartranspositionen ab → ba 10.2 %
Sprungtranspositionen acb → bca 0.8 %
Zwillingsfehler aa → bb 0.6 %
Phonetische Fehler a0 → 1a(a ≥ 3) 0.5%
Sprung-Zwillingsfehler aca → bcb 0.3%
Restliche Fehler 8.6%
Die Fehlerhäufigkeit war nicht für alle Stellen gleich. Die letzten beiden Stellen
waren doppelt so oft betroffen wie die anderen. Die Häufigkeit von Fehlern steigt
mit der Länge der übermittelten Zahlen. Das (hier statistisch nicht betrachtete)
Auslassen von Ziffern tritt mit einer Wahrscheinlichkeit zwischen 10 und 20
Prozent auf, bevorzugt an der letzten Stelle und bei der Ziffer 0. Die Art der
Zahlenübermittlung (beispielsweise per Telefon oder handschriftlich) beeinflußt
die Fehlerhäufigkeiten erheblich.
79

12.18 Eight-To-Fourteen-Modulation (EFM)
Byte Codewort Byte Codewort
00000000 01001000100000 01000000 01001000100100
00000001 10000100000000 01000001 10000100100100
00000010 10010000100000 01000010 10010000100100
00000011 10001000100000 01000011 10001000100100
00000100 01000100000000 01000100 01000100100100
00000101 00000100010000 01000101 00000000100100
00000111 00100100000000 01000111 00100100100100
00001000 01001001000000 01001000 01001001000100
00001001 10000001000000 01001001 10000001000100
00001010 10010001000000 01001010 10010001000100
00001011 10001001000000 01001011 10001001000100
00001100 01000001000000 01001100 01000001000100
00001101 00000001000000 01001101 00000001000100
00001111 00100001000000 01001111 00100001000100
00010000 10000000100000 01010000 10000000100100
00010001 10000010000000 01010001 10000010000100
00010010 10010010000000 01010010 10010010000100
00010011 00100000100000 01010011 00100000100100
00010100 01000010000000 01010100 01000010000100
00010101 00000010000000 01010101 00000010000100
00010110 00010010000000 01010110 00010010000100
00010111 00100010000000 01010111 00100010000100
00011000 01001000010000 01011000 01001000000100
00011001 10000000010000 01011001 10000000000100
00011010 10010000010000 01011010 10010000000100
00011011 10001000010000 01011011 10001000000100
00011100 01000000010000 01011100 01000000000100
00011101 00001000010000 01011101 00001000000100
00011110 00010000010000 01011110 00010000000100
00011111 00100000010000 01011111 00100000000100
00100000 00000000100000 01100000 01001000100010
00100001 10000100001000 01100001 10000100100010
00100010 00001000100000 01100010 10010000100010
00100011 00100100100000 01100011 10001000100010
00100100 01000100001000 01100100 01000100100010
00100101 00000100001000 01100101 00000000100010
00100110 01000000100000 01100110 01000000100100
00100111 00100100001000 01100111 00100100100010
00101000 01001001001000 01101000 01001001000010
80

Byte Codewort Byte Codewort
00101001 10000001001000 01101001 10000001000010
00101010 10010001001000 01101010 10010001000010
00101011 10001001001000 01101011 10001001000010
00101100 01000001001000 01101100 01000001000010
00101101 00000001001000 01101101 00000001000010
00101110 00010001001000 01101110 00010001000010
00101111 00100001001000 01101111 00100001000010
00110000 00000100000000 01110000 10000000100010
00110001 10000010001000 01110001 10000010000010
00110010 10010010001000 01110010 10010010000010
00110011 10000100010000 01110011 00100000100010
00110100 01000010001000 01110100 01000010000010
00110101 00000010001000 01110101 00000010000010
00110110 00010010001000 01110110 00010010000010
00110111 00100010001000 01110111 00100010000010
00111000 01001000001000 01111000 01001000000010
00111001 10000000001000 01111001 00001001001000
00111010 10010000001000 01111010 10010000000010
00111011 10001000001000 01111011 10001000000010
00111100 01000000001000 01111100 01000000000010
00111101 00001000001000 01111101 00001000000010
00111110 00010000001000 01111110 00010000000010
00111111 00100000001000 01111111 00100000000010
Byte Codewort Byte Codewort
10000000 01001000100001 11000000 01000100100000
10000001 10000100100001 11000001 10000100010001
10000010 10010000100001 11000010 10010010010000
10000011 10001000100001 11000011 00001000100100
10000100 01000100100001 11000100 01000100010001
10000101 00000000100001 11000101 00000100010001
10000110 00010000100001 11000110 00010010010000
10000111 00100100100001 11000111 00100100010001
10001000 01001001000001 11001000 00001001000001
10001001 10000001000001 11001001 10000100000001
10001010 10010001000001 11001010 00001001000100
10001011 10001001000001 11001011 00001001000000
10001100 01000001000001 11001100 01000100000001
10001101 00000001000001 11001101 00000100000001
10001110 00010001000001 11001110 00000010010000
10001111 00100001000001 11001111 00100100000001
81

Byte Codewort Byte Codewort
10010000 10000000100001 11010000 00000100100100
10010001 10000010000001 11010001 10000010010001
10010010 10010010000001 11010010 10010010010001
10010011 00100000100001 11010011 10000100100000
10010100 01000010000001 11010100 01000010010001
10010101 00000010000001 11010101 00000010010001
10010110 00010010000001 11010110 00010010010001
10010111 00100010000001 11010111 00100010010001
10011000 01001000000001 11011000 01001000010001
10011001 10000010010000 11011001 10000000010001
10011010 10010000000001 11011010 10010000010001
10011011 10001000000001 11011011 10001000010001
10011100 01000010010000 11011100 01000000010001
10011101 00001000000001 11011101 00001000010001
10011110 00010000000001 11011110 00010000010001
10011111 00100010010000 11011111 00100000010001
10100000 00001000100001 11100000 01000100000010
10100001 10000100001001 11100001 00000100000010
10100010 01000100010000 11100010 10000100010010
10100011 00000100100001 11100011 00100100000010
10100100 01000100001001 11100100 01000100010010
10100101 00000100001001 11100101 00000100010010
10100110 01000000100001 11100110 01000000100010
10100111 00100100001001 11100111 00100100010010
10101000 01001001001001 11101000 10000100000010
10101001 10000001001001 11101001 10000100000100
10101010 10010001001001 11101010 00001001001001
10101011 10001001001001 11101011 00001001000010
10101100 01000001001001 11101100 01000100000100
10101101 00000001001001 11101101 00000100000100
10101110 00010001001001 11101110 00010000100010
10101111 00100001001001 11101111 00100100000100
10110000 00000100100000 11110000 00000100100010
10110001 10000010001001 11110001 10000010010010
10110010 10010010001001 11110010 10010010010010
10110011 00100100010000 11110011 00001000100010
10110100 01000010001001 11110100 01000010010010
10110101 00000010001001 11110101 00000010010010
10110110 00010010001001 11110110 00010010010010
10110111 00100010001001 11110111 00100010010010
82

Byte Codewort Byte Codewort
10111000 01001000001001 11111000 01001000010010
10111001 10000000001001 11111001 10000000010010
10111010 10010000001001 11111010 10010000010010
10111011 10001000001001 11111011 10001000010010
10111100 01000000001001 11111100 01000000010010
10111101 00001000001001 11111101 00001000010010
10111110 00010000001001 11111110 00010000010010
10111111 00100000001001 11111111 00100000010010
83

12.19 DES
12.19.1 Verwendete Permutationen/Expansion
IP IP −1 PC1 PC2 P E IP IP −1 PC1 PC2 E
1 58 40 57 14 16 32 33 57 36 31 51 22
2 50 8 49 17 7 1 34 49 4 23 45 23
3 42 48 41 11 20 2 35 41 44 15 33 24
4 34 16 33 24 21 3 36 33 12 7 48 25
5 26 56 25 1 29 4 37 25 52 62 44 24
6 18 24 17 5 12 5 38 17 20 54 49 25
7 10 64 9 3 28 4 39 9 60 46 39 26
8 2 32 1 28 17 5 40 1 28 38 56 27
9 60 39 58 15 1 6 41 59 35 30 34 28
10 52 7 50 6 15 7 42 51 3 22 53 29
11 44 47 42 21 23 8 43 43 43 14 46 28
12 36 15 34 10 26 9 44 35 11 6 42 29
13 28 55 26 23 5 8 45 27 51 61 50 30
14 20 23 18 19 18 9 46 19 19 53 36 31
15 12 63 10 12 31 10 47 11 59 45 29 32
16 4 31 2 4 10 11 48 3 27 37 32 1
17 62 38 59 26 2 12 49 61 34 29
18 54 6 51 8 8 13 50 53 2 21
19 46 46 43 16 24 12 51 45 42 13
20 38 14 35 7 14 13 52 37 10 5
21 30 54 27 27 32 14 53 29 50 28
22 22 22 19 20 27 15 54 21 18 20
23 14 62 11 13 3 16 55 13 58 12
24 6 30 3 2 9 17 56 5 26 4
25 64 37 60 41 19 16 57 63 33
26 56 5 52 52 13 17 58 55 1
27 48 45 44 31 30 18 59 47 41
28 40 13 36 37 6 19 60 39 9
29 32 53 63 47 22 20 61 31 49
30 24 21 55 55 11 21 62 23 17
31 16 61 47 30 4 20 63 15 57
32 8 29 39 40 25 21 64 7 25
84

12.19.2 S-Boxen
S
1
S
2
S
3
S
4
S
5
S
6
S
7
S
8
0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15
0 14 4 13 1 2 15 11 8 3 10 6 12 5 9 0 7
1 0 15 7 4 14 2 13 1 10 6 12 11 9 5 3 8
2 4 1 14 8 13 6 2 11 15 12 9 7 3 10 5 0
3 15 12 8 2 4 9 1 7 5 11 3 14 10 0 6 13
0 15 1 8 14 6 11 3 4 9 7 2 13 12 0 5 10
1 3 13 4 7 15 2 8 14 12 0 1 10 6 9 11 5
2 0 14 7 11 10 4 13 1 5 8 12 6 9 3 2 15
3 13 8 10 1 3 15 4 2 11 6 7 12 0 5 14 9
0 10 0 9 14 6 3 15 5 1 13 12 7 11 4 2 8
1 13 7 0 9 3 4 6 10 2 8 5 14 12 11 15 1
2 13 6 4 9 8 15 3 0 11 1 2 12 5 10 14 7
3 1 10 13 0 6 9 8 7 4 15 14 3 11 5 2 12
0 7 13 14 3 0 6 9 10 1 2 8 5 11 12 4 15
1 13 8 11 5 6 15 0 3 4 7 2 12 1 10 14 9
2 10 6 9 0 12 11 7 13 15 1 3 14 5 2 8 4
3 3 15 0 6 10 1 13 8 9 4 5 11 12 7 2 14
0 2 12 4 1 7 10 11 6 8 5 3 15 13 0 14 9
1 14 11 2 12 4 7 13 1 5 0 15 10 3 9 8 6
2 4 2 1 11 10 13 7 8 15 9 12 5 6 3 0 14
3 11 8 12 7 1 14 2 13 6 15 0 9 10 4 5 3
0 12 1 10 15 9 2 6 8 0 13 3 4 14 7 5 11
1 10 15 4 2 7 12 9 5 6 1 13 14 0 11 3 8
2 9 14 15 5 2 8 12 3 7 0 4 10 1 13 11 6
3 4 3 2 12 9 5 15 10 11 14 1 7 6 0 8 13
0 4 11 2 14 15 0 8 13 3 12 9 7 5 10 6 1
1 13 0 11 7 4 9 1 10 14 3 5 12 2 15 8 6
2 1 4 11 13 12 3 7 14 10 15 6 8 0 5 9 2
3 6 11 13 8 1 4 10 7 9 5 0 15 14 2 3 12
0 13 2 8 4 6 15 11 1 10 9 3 14 5 0 12 7
1 1 15 13 8 10 3 7 4 12 5 6 11 0 14 9 2
2 7 11 4 1 9 12 14 2 0 6 10 13 15 3 5 8
3 2 1 14 7 4 10 8 13 15 12 9 0 3 5 6 11
85

12.19.3 Rundenschlüssel
Runde 1
Runde 2
Runde 3
Runde 4
Runde 5
Runde 6
Runde 7
Runde 8
10 51 34 60 49 17 33 57 2 9 19 42
3 35 25 25 44 58 59 1 36 27 18 41
22 28 39 54 37 4 47 30 5 53 23 29
61 21 38 63 15 20 45 14 13 62 55 31
2 43 26 52 41 9 25 49 59 1 11 34
60 27 18 17 36 50 51 58 57 19 10 33
14 20 31 46 29 63 39 22 28 45 15 21
53 13 30 55 7 12 37 6 5 54 47 23
51 27 10 36 25 58 9 33 43 50 60 18
44 11 2 1 49 34 35 42 41 3 59 17
61 4 15 30 13 47 23 6 12 29 62 5
37 28 14 39 54 63 21 53 20 38 31 7
35 11 59 49 9 42 58 17 27 34 44 2
57 60 51 50 33 18 19 26 25 52 43 1
45 55 62 14 28 31 7 53 63 13 46 20
21 12 61 23 38 47 5 37 4 22 15 54
19 60 43 33 58 26 42 1 11 18 57 51
41 44 35 34 17 2 3 10 9 36 27 50
29 39 46 61 12 15 54 37 47 28 30 4
5 63 45 7 22 31 20 21 55 6 62 38
3 44 27 17 42 10 26 50 60 2 41 35
25 57 19 18 1 51 52 59 58 49 11 34
13 23 30 45 63 62 38 21 31 12 14 55
20 47 29 54 6 15 4 5 39 53 46 22
52 57 11 1 26 59 10 34 44 51 25 19
9 41 3 2 50 35 36 43 42 33 60 18
28 7 14 29 47 46 22 5 15 63 61 39
4 31 13 38 53 62 55 20 23 37 30 6
36 41 60 50 10 43 59 18 57 35 9 3
58 25 52 51 34 19 49 27 26 17 44 2
12 54 61 13 31 30 6 20 62 47 45 23
55 15 28 22 37 46 39 4 7 21 14 53
86

Runde 9
Runde 10
Runde 11
Runde 12
Runde 13
Runde 14
Runde 15
Runde 16
57 33 52 42 2 35 51 10 49 27 1 60
50 17 44 43 26 11 41 19 18 9 36 59
4 46 53 5 23 22 61 12 54 39 37 15
47 7 20 14 29 38 31 63 62 13 6 45
41 17 36 26 51 19 35 59 33 11 50 44
34 1 57 27 10 60 25 3 2 58 49 43
55 30 37 20 7 6 45 63 38 23 21 62
31 54 4 61 13 22 15 47 46 28 53 29
25 1 49 10 35 3 19 43 17 60 34 57
18 50 41 11 59 44 9 52 51 42 33 27
39 14 21 4 54 53 29 47 22 7 5 46
15 38 55 45 28 6 62 31 30 12 37 13
9 50 33 59 19 52 3 27 1 44 18 41
2 34 25 60 43 57 58 36 35 26 17 11
23 61 5 55 38 37 13 31 6 54 20 30
62 22 39 29 12 53 46 15 14 63 21 28
58 34 17 43 3 36 52 11 50 57 2 25
51 18 9 44 27 41 42 49 19 10 1 60
7 45 20 39 22 21 28 15 53 38 4 14
46 6 23 13 63 37 30 62 61 47 5 12
42 18 1 27 52 49 36 60 34 41 51 9
35 2 58 57 11 25 26 33 3 59 50 44
54 29 4 23 6 5 12 62 37 22 55 61
30 53 7 28 47 21 14 46 45 31 20 63
26 2 50 11 36 33 49 44 18 25 35 58
19 51 42 41 60 9 10 17 52 43 34 57
38 13 55 7 53 20 63 46 21 6 39 45
14 37 54 12 31 5 61 30 29 15 4 47
18 59 42 3 57 25 41 36 10 17 27 50
11 43 34 33 52 1 2 9 44 35 26 49
30 5 47 62 45 12 55 38 13 61 31 37
6 29 46 4 23 28 53 22 21 7 63 39
87

12.20 Quantencodierung
12.20.1 Schlüsselvereinbarung
Ein Eintrag 0|1 bedeutet, daß nach den Gesetzen der Quantenmechanik der
Empfänger mit 50 % Wahrscheinlichkeit ein Photon registriert oder nicht. Derartige
Bits werden vom Sender aussortiert. In der Hälfte aller Fälle wird also
eindeutig ein Bit vereinbart, in der anderen Hälfte wird das Bit verworfen.
Sender Empfänger Prozent gemessenes
Eingabe Messung der Fälle Bit
↕ ↕ 25 1
↕ ↔ 25 0
↕ ↗ 25 0|1
↕ ↘ 25 0|1
↔ ↕ 25 0
↔ ↔ 25 1
↔ ↗ 25 0|1
↔ ↘ 25 0|1
↗ ↕ 25 0|1
↗ ↔ 25 0|1
↗ ↗ 25 1
↗ ↘ 25 0
↘ ↕ 25 0|1
↘ ↔ 25 0|1
↘ ↗ 25 0
↘ ↘ 25 1
12.20.2 Abgehörter Quantenkanal
Sender Angreifer Prozent gem. Angreifer Empfänger gem.
Eingabe Messung der Fälle Bit Eingabe Messung Bit
↕ ↕ 25 1 ↕ ↕ 1
↕ ↔ 25 0 ↕ ↕ 1
↕ ↗ 12.5 1 ↗ ↕ 0|1
↕ ↗ 12.5 0 ↘ ↕ 0|1
↕ ↘ 12.5 1 ↘ ↕ 0|1
↕ ↘ 12.5 0 ↗ ↕ 0|1
In 25 % der Fälle stört der Angreifer also ein vereinbartes Bit. Dies läßt sich
beispielsweise durch den Vergleich zufällig ausgewählter Paritätsbits feststellen.
88