主题：【秘密通信的世界】ENIGMA的兴亡（一） -- 阿康

ENIGMA的兴亡（三中）

三、灭亡（中）

　　图灵设想的虚拟机器拥有一条无限长的纸带、一个读写头，和一

个控制装置。控制装置具有有限个内部状态，它能够根据这些内部状

态来控制读写头作出相应的动作，比如说沿着纸带前后移动，在纸带

上记录改变或抹去信息，或者读取纸带上的信息并据此改变自己的内

部状态。你可以把纸带上的信息看做是指令或者数据，读写头根据这

些指令和数据来完成一系列的动作。图灵提出了各种各样这样的机器，

有些能做加法（只要在纸带上先写好两个数，然后让图灵机运行，最

后机器停止时写在纸条上的那个数就是起先两数的和），有些能做乘

法，等等等等。当然有些似乎什么也不做，或者在纸带上乱涂乱画，

而另外有一些，好像永远也不停下来。这就是在信息科学史上和“冯

?诺依曼机器”齐名的“图灵机”。

　　图灵机的个数是可数无限个，所以我们可以用自然数把所有的图

灵机都标上号。图灵发现了这样一种图灵机，它能够做到任何一台图

灵机能办到的事情，只要在纸带上首先标出想要模拟的图灵机的号码，

然后给出相应的输入，最后它的输出将是号码被指定的那台图灵机的

输出。可以说这是一台“万能”图灵机，当然它只是一种理想的计算

模型，或者说是一种理想中的计算机。事实上我们平时使用的计算机

就可以被看做是这样一台“万能”图灵机（只是它没有一条无限长的

纸带，也就是内存。不过如今内存便宜得这个模样，对于一般的问题

来说，差不多可以说有无穷的内存了），纸带上的那些指令就相当于

程序和数据，如果程序不同，计算机可以完成的任务也不同。

　　图灵发现，有些问题是这台“万能”图灵机也不能回答的。比如

说著名的“停机问题”：给定一台图灵机的编号，和纸带上的输入，

是否总能回答它最终是否会停下来？不能。这是和哥德尔不完全性定

理密切相关的，图灵的结果从另一个侧面支持了数学中的“不确定性”。

但是和不完全性定理不同的是，图灵的成果给数学家指出了一条具体

构造这样一台“万能机器”的途径。虽然那还是在二十世纪的三十年

代，当时的技术能力还不能将图灵的设想变为现实，但是他毫不怀疑

自己的设想能够实现。这无疑是二十世纪科学理论最重要的发展之一，

在计算机被广泛应用，甚至影响到我们每个人的日常生活的今天来看，

尤其如此。当年，图灵年仅二十六岁。

　　这是图灵事业最为辉煌的时期，他在国王学院取得了教职，在剑

桥过着平静的学术生活。1938年迪斯尼公司著名的动画片《白雪公主

和七个小矮人》上映，图灵兴冲冲地跑去看。在后来的一些日子里，

他的同事听见他不停地哼哼电影中巫婆王后泡制毒苹果时的歌：“毒

液浸透苹果，如睡之死渗入。”

　　　图灵

　　图灵喜欢他在剑桥的岁月，成功的事业，活跃和宽容的环境。大

学并不对同性恋大惊小怪，他可以和几个人同时结交而不用担心谁在

背后叽叽喳喳。但是在1933年他的学院生涯突然中断了，他受代码及

加密学校的邀请成为一个密码分析专家。1939年9月4日，就在首相张

伯伦向德国宣战的第二天，图灵离开了剑桥，来到离布莱切利公园五

公里的雪纳利布鲁克恩德(Shenley Brook End)居住。他每天骑自行车到

布莱切利公园上班。因为患有对花粉过敏的鼻炎，图灵就常常戴个防

毒面具骑车上班，招摇过市。

　　在布莱切利公园里，每天他花一部分时间和其他人一样在小木屋

里进行破译密码的工作，而另一些时间他就呆在被称为“智慧水箱”

(Think Tank)，原来用来放水果的储藏室里。在那里密码分析专家思考

在未来日子里有可能碰到的难题以及它们的解决方法。

　　直到当时，对ENIGMA的破译都采用雷杰夫斯基的方法，即利用

每条密文最开始重复的密钥。如果此电文的密钥为YGB，那么电文开

头就是六个由YGBYGB加密而成的字母，德国人以此来预防可能的传

送错误。但是这是ENIGMA使用中的一个重大弱点，德国人很可能会

发觉这一点并取消这种重复，这样就会使英国密码分析专家的破译手

段变得毫无用处。图灵的任务就是要找到另一种不必利用重复密钥的

破译方法。

　　在分析了以前大量德国电文后，图灵发现许多电报有相当固定的

格式，他可以根据电文发出的时间、发信人、收信人这些无关于电文

内容的信息来推断出一部分电文的内容。比方说，德国人每天的天气

预报总在早上六点左右发出，要是在六点零五分截获了一份德国电报，

它里面八成有Wetter这个词，也就是德文中的“天气”。根据在此之

前德国人天气预报电文的死板格式，图灵甚至能相当准确地知道这个

词具体在密文的哪个位置。这就使得图灵想到了用“候选单词”这一

方法来破译ENIGMA电文，在英语中，图灵把这些“候选单词”叫做

Cribs。

　　如果在一篇密文中，图灵知道Wetter这个词被加密成了ETJWPX，

那么剩下的任务就是要找到将Wetter加密成ETJWPX的初始设置。如果

采用一个一个试过去的暴力破解法，那就会碰到1590亿种组合这个大

问题。但是雷杰夫斯基的天才思想告诉图灵，必须把转子方向变化造

成的问题和连接板交换字母造成的问题分开来考虑。如果他能够象雷

杰夫斯基那样发现在Cribs中某些不随连接板上连线方式变化的特性，

他就可以最多只用尝试1054560次（60种转子放置方法乘以17576种转

子初始方向）便可找到正确的转子设置。

　　图灵找到了这样的特性。这是一种和雷杰夫斯基发现的循环字母

圈类似的东西，只不过这回和重复的密钥没有关系，却是基于候选单

词。假设图灵已经正确地猜到wetter被加密成了ETJWPX，这里就存

在着一个字母循环圈：

　字母循环圈

　　图灵并不清楚在密文中出现这个候选单词时的转子状态，但是假

设他猜对了这个候选单词，把这个候选单词起始时转子的方向记为S，

那么在此时ENIGMA把w加密成了E；然后转子转到下一个方向，就是

S+1，ENIGMA把e加密成T；在方向S+2上一个不属于这个循环的字母

被加密了，这个我们暂且不去管它；接下来在方向S+3，ENIGMA把t

加密为W。

　　这看起来好像还是让人摸不着头脑，但是图灵想的办法很巧妙，

因为在这个字母循环圈里有3个字母，所以他想像如果用3台ENIGMA

同时加密这个候选单词，会发生些什么事。三台ENIGMA的初始设置

除了转子方向外完全一样，第一台ENIGMA机的转子初始方向被定为

原来的S，而第二台ENIGMA机的转子初始方向却是S+1，第三台的转

子初始方向是S+3。当然一开始图灵根本就不知道这个S具体是什么

（要是知道的话密码也就破译出来了），所以只能一个一个方向地试。

大家可能会问，那为什么需要3台ENIGMA呢？只要在第一台上我们发

现了一个把wetter加密成ETJWPX的转子方向，不就找到了密码吗？

　　这就要考虑连接板的问题。上面我们说过，如果只用一台ENIGMA

来试所有的密码，我们要试的就不仅仅是所有的转子方向，而且还要

考虑所有的连接板上的连线方向，那个数目是1590亿种。图灵的绝妙

主意就是用3台ENIGMA把连接板上连线的效应抵消掉！这样他就只要

考虑1054560种转子方向就可以了。

　　图灵把三台ENIGMA的显示器按下图的方式连接起来，也就是说

　“炸弹”原理

把第一台ENIGMA显示器上的E和第二台ENIGMA显示器上的e连起来，

又把第二台上的T和第三台上的t连起来，最后把第三台上的W和第一

台上的w连起来（注意ENIGMA上字母没有大小写之分，这里我们只是

用大小写来区别密文和明文）。下面的解释听起来稍微有一点复杂，

最好对照着上面的图来读。假设连接板上有关的交换字母的连线是下

面这样的（三台ENIGMA机上的都一样）

　　E←→L1

　　T←→L2

　　W←→L3

当然这里的L1、L2和L3都还是未知的。

　　现在假设字母w被输入第一台ENIGMA，它先通过连接板变成了L3，

然后通过三个转子经过反射器，再通过三个转子返回连接板；因为我

们根据候选单词知道w此时会被加密成E，所以没有经过接线板前它一

定是和E对应的L1；L1经过接线板变成E后，直接成了第二台ENIGMA

的输入。提醒一下，第二台ENIGMA的转子方向是S+1，所以根据候选

单词知道e此时会被加密成T，我们来看看具体是怎么回事。从第一台

ENIGMA来的e通过连接板变成了L1，再通过转子和反射器回来变成了

连接板上和字母T对应的L2；通过连接板后变成了T，然后这个T又变

成第三台ENIGMA机上的输入t。第三台ENIGMA机的转子方向是S+3，

这个传送过来的t会被加密成E，具体的情况和上面第一第二台上的类

似。我们发现现在三台ENIGMA机的线路组成了一个闭合回路，如果

在里面加上一个灯泡，它就会亮起来。这个闭合回路事实上就是那

个字母循环圈的形象化。

　　稍微思考一下就可以看到，无论连接板上的连线实际如何（也就

是说无论L1、L2和L3实际上是什么），只要转子方向凑对了，这个闭

合回路就会形成（当然如果有闭合回路形成不等于这个方向就一定是

正确的，但是这样的情况很少，用手工就可以把正确的方向从中选出）。

就这样，连接板上的连线效应被消除了。找到了转子的初始方向S，当

然还要找到连接板上的连线，才能最终找到完整的密钥，但是这就相

当简单了，这只是一个简单替换密码。如果在一台普通的ENIGMA上

不接连线板，调整好找到的转子方向，键入密文ETJWPX，出来的明

文成了tewwer，我们马上就知道w和t被交换了。键入密文的其他部分

可以猜出其他字母的交换状况。

　　把候选单词，字母循环圈和用线路连接起来的多台ENIGMA机构

成了密码分析的强大武器。而只有图灵，这个数学虚拟机器的发明人，

才能有这样的想像力。图灵对ENIGMA的破译方法完全是纯数学和理

论性的，他为此写了一篇著名的论文，在http://frode.home.cern.ch/frode/crypto/Turing/

你可以读到这篇论文的一部分。但是他的理论研究已经完全可以让工

程师来实际造出这样一台机器了。

　　布莱切利公园得到十万镑的经费来研制这种机器，绰号仍叫“炸

弹”(bombes)。每个“炸弹”里都有十二组转子（因为根据上面的分

析，显示器，连接板实际上都没必要存在了。而上面的例子里只要三

台ENIGMA的原因是字母循环圈的长度是3，十二组转子的目的就是要

攻击更长的字母循环圈）。一台这样的“炸弹”高两米长两米宽一米。

图灵的研究于1940年初完成，机器由英国塔布拉丁机械厂(British Tabulating

Machinery)制造。

　　图灵的发明赢得了他在布莱切利公园的同事的尊敬，大家把他看

做是超群的密码分析专家。他的一位同事彼得?希尔顿(Peter Hilton)

回忆道：“图灵毫无疑问是个天才，而且是个极近人情的天才。他总

是愿意花费时间和精力来解释他的想法。这不是一个钻在狭窄领域里

的专家，他的思想遍布科学的许多领域。”

　　当然图灵的工作在布莱切利公园之外是绝对机密，就连他的父母

都不知道他在干破译密码的工作，因为他是全英国最厉害的密码分析

专家。有一次去看他母亲时图灵提到过他正在为军事部门工作，但是

没有透露其他风声。他母亲在意的是他儿子剃的头很难看。虽然领导

布莱切利公园的是些军人，不过他们也知道在生活细节上不能对这些

知识分子严格要求，在这方面都是睁眼闭眼。图灵就经常不刮脸，穿

着皱皱巴巴的衣服，指甲又长又黑。但是军队没有过问图灵的同性恋，

是因为他们不知情。布莱切利公园的退伍军人杰克?古德(Jack Good)

后来说：“幸亏布莱切利公园的负责人不知道图灵是个同性恋，否则

的话，我们就会打败这场战争。”

　　1940年3月14日第一台“炸弹”运抵布莱切利公园。可是它运行得

太慢，有时要一个星期才找得到一个密钥。工程师们花了很大的努力

来改善“炸弹”的设计，然后开始制造新的“炸弹”，这又花了四个

月时间。但是在5月10日，最令英国密码分析专家担心的事情发生了，

德国人改变了密码传递规则，他们的密钥不再重复，这使得布莱切利

公园破译的电文量急剧下降。幸运的是，改进以后的“炸弹”在8月8

日到达，而且这次它运行得很好。在接下来的八个月里，十五台新

“炸弹”在布莱切利公园里轰然作响。一般上一台“炸弹”可以在一

小时里找到一个密钥。

　“炸弹”

　　　　　　　　　　　　　　　“炸弹”

　　但是并非有了“炸弹”就万事大吉了。在让它运行之前还有许多

困难要克服。比如说使用“炸弹”前先要找到一个候选单词。但是密

码分析人员不能保证他猜的词一定在电报的明文中；就算猜对了，要

把候选单词所在的位置正确地找出来也不是一件容易的事情，很有可

能他猜到了电文中的一整句话，但是把这句话的位置搞错了，那“炸

弹”也就白白运行了。密码分析人员找到了一些技巧，比如说，他知

道下面“wetterbullsechs”一定在电文明文中，但是具体位置却只知道

个大概。于是他猜想密文和明文的对应是：

　　候选单词： wetterbullsechs

　　　　密文：IPRENLWKMJJSXCPLEJWQ

在介绍ENIGMA的构造时我们知道，由于反射器的作用，一个字母从

来也不会被加密成它本身。所以上面的候选单词所对应的位置一定是

不对的，因为第二个字母e被对应到E上了。解决方法可以是慢慢地移

动候选单词，看看是否每个字母都对应一个和自己不同的字母。比如

把上面例子中的候选单词向左移动一位，变成

　　候选单词： wetterbullsechs

　　　　密文：IPRENLWKMJJSXCPLEJWQ

现在就符合要求了，所以此时才可以让“炸弹”去试试它的威力。

　　英国领导高层当然非常注重密码分析工作，温斯顿?丘吉尔亲自

访问了布莱切利公园，他把这帮具有稀奇古怪才能的密码分析专家称

为“从不呱呱叫的下金蛋的鹅”。在图灵和他的同事的努力和丘吉尔

的亲自过问下，布莱切利公园解决了经费和人员缺乏的困难。到1942

年底，密码局拥有49台“炸弹”，密码分析人员的队伍也在不断扩大。

事实证明玩填字游戏的高手往往会成为密码分析的高手，英国情报部

门甚至在报纸上登出填字游戏来招聘新的密码分析人员。