Wer diese Verschlüsselung knackt, könnte dazu beitragen, ein aktuelles Verbrechen zu lösen. Kann ein Leser der US-Polizei entsprechende Amtshilfe leisten?

Über die Fälle von US-Gang-Code-Experte Gary Klivans habe ich auf Klausis Krypto Kolumne schon mehrfach berichtet (z. B. hier und hier). Der heutige Fall ist jedoch etwas Besonderes:  Es handelt sich um eine ungelöste Verschlüsselung, die mit einem ungeklärten Kriminalfall in Zusammenhang steht. Wer das Kryptogramm löst, kann damit der Polizei in den USA einen großen Gefallen tun.

Leider konnte mir Gary Klivans keine Details zu besagtem Kriminalfall nennen. Der Verfasser des Kryptogramms wird als Computer-Programmierer beschrieben. Ort und Art des Verbrechens sind mir nicht bekannt (wenn Computer imSpiel sind, geht es oft um Kinderpornografie, wie meine Liste zeigt, aber das ist reine Spekulation). Die verschlüsselte Nachricht sieht wie folgt aus (aus nahe liegenden Gründen will ich sie als “Lelele-Kryptogramm” bezeichnen):

Klivans-Lelele

Wie man sieht, enthält das Kryptogramm vor allem die Buchstaben P, E und L. Um eine Buchstaben-Ersetzung oder eine Transposition dürfte es sich kaum handeln. Schon eher erinnert mich dieser Buchstaben-Salat an eine esoterische Programmiersprache wie Brainfuck.

Hat ein Leser eine Idee, was dahinter stecken könnte?

Zum Weiterlesen: Die ungelösten Codes des mutmaßlichen Frauenmörders Henry Debosnys

Kommentare (31)

  1. #1 Peter Lichtenberger
    Kornkreisproduktionsanstalt
    26. Juli 2015

    Erinnert mich ein bisschen an die Kranichsprache. Evtl. sind die Buchstaben durch längere Folgen der verwendeten Zeichen entstanden.

  2. #2 Max Baertl
    26. Juli 2015

    “Hope all is Sean” Am Ende des Textes, scheint ein Stück Klartext zu sein.

  3. #3 A.maack
    hamburg
    26. Juli 2015

    Ich denke das ein E eine 0 ein L eine 1 ode E eine 1 L eine 0
    maschien sprache

  4. #4 Ludwig
    wattens
    26. Juli 2015

    Die zweite Zeile ist abgeschnitten? Ist das pe, pee oder gar was anderes? Gibt’s wo den Text komplett?

    • #5 Klaus Schmeh
      26. Juli 2015

      Gary Klivans hat mir gerade mitgeteilt: Er hat den Text in dieser Form erhalten, er kennt den bzw. die letzten Buchstaben der zweiten Zeile nicht.

  5. #6 Braunschweiger
    26. Juli 2015

    Der Text im mittleren Teil besteht hauptsächlich aus den Zeichen “e”, “l” (klein-L), “p” und “3”, daneben auch “r”, “s” und “0” (sollten Groß-I und Klein-L gemischt sein, ist das nicht zu entziffern). Am rechten Rand bei “pe” kommt nach dem verlinkten Großbild mindestens noch ein Zeichen, so etwas wie “pee”.

    Diese Zeichen könnten z.B. einen Code auf der Basis 4 (Ziffern 0 .. 3) darstellen, und diese könnte man dann durch Buchstaben ersetzen. Es könnte aber auch eine Huffman-Codierung sein, d.h. die Codeabschnitte haben variable Länge, sind aber eindeutig erkennbar, und die kürzeren sind die Häufigeren. Es wären auch Codierungen denkbar, bei denen Buchstaben mit Unter- oder Oberlänge oder ganz ohne jeweils verschiedene Ziffern codieren, um dann eine Zahl zusammenzusetzen, die dann wieder einen Buchstaben zugeordnet bekommen könnte.

    Diese Möglichkeiten habe ich nicht durchprobiert. Im folgenden mein etwas suggestives Transskript des Textes. Ich habe Leerzeichen und Zeilenumbrüche ignoriert und den Text in Vierer-Gruppen angeordnet. Dies kommt für eine durchschnittliche Zeilenlänge von 4 * 15 = 60 Zeichen gut hin. Leerzeichen und Unterstriche und das “?” sind reine Platzhalter. Auf diese Weise konnte ich gut eigene Tippfehler finden. Die [1] usw. kennzeichnen die Zeilen.

    [1]
    Hwy_ ll__ poll
    llel rrle lele llre llrl 3lel eele lell elel elel elee lele lele lele lele
    [2]
    lele lele lele llel elll elel elel elle lele lell elle llel elel elle lell
    lele lele llel elel peel pee?
    [3]
    pepe peel epep epep elpe pepl eell epel pepl eelp epee ppep elep elel epep
    [4]
    epee pele lepe lele lpee pele lele pepl epll eple elle lele lele elel plee
    [5]
    lell eele lele lele lpel peel elel 3lel elel epel elel lele lele pele llee
    [6]
    lell elel 3ele lplp pell eepe plel e3ll eele pelp eell elee lepe llli ke__
    [7]
    pepe pepe pele elss spp0 0ppp 00ph opea llis Sean

    Eventuelle Tippfehler bitte posten!
    Letzter Hinweis: 60 Zeichen je Zeile lassen sich auch gut in 20 Gruppen à 3 aufteilen.

  6. #7 Knox
    26. Juli 2015

    @Brunswick #6

    I missed an L. After correction and deleting spaces, my text matches yours. I tried blocking the text with groups of 2, 3, 4, and 5. I tried nGrams of various lengths. All distributions were top-heavy so I think you are right about the units being of variable length. Less likely, so I think, is that there are many nulls or dividers. For testing, I will end the text before “like”. Most of the remainder seems to be a different system.

    I apologize to those who do not read English.

    Curiously, Google translated “lele lele” from “German” to “English” as “Pa ra lle l”.

  7. #8 Braunschweiger
    27. Juli 2015

    @Knox #7

    Thanks for your hints and the acknowledge! So we do know that blocking with fixed lengths of 2,3, 4, and 5 is very unlikely?
    But actually, I was thinking of a code of fixed block length of 3, with 4 elements (r = e, l, p, 3). This would be capable of coding 64 symbols, as mighty as a 6-bit BCD code.

    English is international, no one to blame. But Google is kidding—“lele” is no german at all, except possibly baby speak.

  8. #9 Knox
    27. Juli 2015

    More information about the cipher is needed for a guide.
    Distribution of “r” is curious.
    Correction for Google translation. I should have written
    llel rrle –> Pa ra lle l

  9. #10 schorsch
    27. Juli 2015

    Die Buchstaben e und r sowie p und l liegen auf der Standardtastatur jeweils beieinander, die 3 und das O liegen jeweils angrenzend und könnten vertippte e bzw. l sein.

    Ein solches Zeichenmuster wie im Bild ist einigermaßen erwartbar, wenn man eine Spielfigur mittels Tastatur über eine Spielfläche steuert und die Tastendrücke aus irgendeinem Grund in einem Textfenster mitgeschrieben werden.

    Die üblichen Tasten wären w, a, s und d für die linkshändige Steuerung der Figur, die rechte Hand übernimmt Sonderfunktionen wie Ballern, springen, kriechen… Aber es kann durchaus sinnvoll sein, die Steuerung auf beide Hände zu verteilen, und gelegentlich mit der Leertaste zu ballern und der Eingabetaste irgendeine Aktion zu quittieren.

  10. #11 Stefan Wagner
    https://demystifikation.wordpress.com/2015/01/25/kryptoverbote/
    27. Juli 2015

    Off-Topic:
    Halb zufällig über diesen Link zu einer Geheim-Weltschreibmaschinenwerbung Discret von 1899 gestolpert: https://plus.google.com/+PeterGlaser/posts/91ViZejWWYh – wahrscheinlich ein alter Hut, aber vielleicht auch nicht. Kann ja kaum schaden.

    • #12 Klaus Schmeh
      27. Juli 2015

      Danke für den Hinweis. Die Maschine kannte ich, diese Werbung aber noch nicht. Interessant finde ich, dass in der Anzeige Leipzig erwähnt wird. Meines Wissens wurde die Maschine in Karlsruhe hergestellt.

  11. #13 wikka
    Templin
    28. Juli 2015

    Mich erinnert das eher an den Kenny-Translator, der diesen Satz so übersetzen würde:

    Ppmmffmmfmfp mpppffmffppppppmpppfffmp mpmmmmfmm mppmfpmpppff mmmppp mpmmppppp Pmpmppppppppffm-Fmppffmmmpppfmmpmfmmmfmpppfpff, mpmmpppff mpmmffmppfmmmppppp Fmmmmmfmpffp fmmppf ümmpmpppfffmmmppfmpffpmppppp fppüpffmpmmpp:

    http://www.namesuppressed.com/kenny/

  12. #14 Braunschweiger
    28. Juli 2015

    @wikka: Guter Einfall. Wichtige Frage — ist das invertierbar, also eindeutig rückübersetzbar? Ansonsten würde eine Dekodierung ausscheiden.
     

    @schorsch: Auch eine nette Idee. Allerdings würde ich dann wenigstens einige Vorkommen von 3 oder mehr gleichen Zeichen erwarten. Eine Eigenschaft des Textes ist es, zwischen “poll” und “like” maximal zwei gleiche Zeichen hintereinander zu haben — bis auf ein Vorkommen von “lll”.
     

    @all: Der Text hat zu viele Vorkommen von “elel” und “lele” und damit eine miese Entropie. Eine sinnvolle Huffman-Codierung scheidet damit eigentlich aus. Eher sieht es danach aus, als hätte jemand zur Verschleierung von Häufigkeiten einige besonders lange monotone Zeichenfolgen eingefügt. Der Grundgedanke, die Buchstaben in zwei Gruppen für “0” und “1” einzuteilen und dann ein line coding aus der Übertragungstechnik anzuwenden, bleibt aber möglich.

  13. #15 Ludwig
    Wattens
    29. Juli 2015

    Might be some kind of weird but did you think about this possible interpretation:

    hwy ll poll -> “Hello i will poll”
    then a link/url
    hope all is sean.

    why? cause poll is also known as: https://en.wikipedia.org/wiki/Polling_(computer_science)

    so the ? could be a simply not encoded character, which you got in php requests like this
    [http[s]://]anyurl/script.php?varX=x[&varY=x]
    [] mean optional stuff
    or a REST service call

  14. #16 Braunschweiger
    29. Juli 2015

    @Ludwig: Sorry, the “?” is a placeholder — it was my idea to put it for a symbol that is expected to be there but not pictured on the screenshot (if referred to #6). Maybe I am wrong, so this can also stand for “no symbol at all”.

  15. #17 schorsch
    29. Juli 2015

    @Braunschweiger: Es gibt (relativ primitive) Spiele, bei denen z. B. mittels Tastendrücken ein Bewegungsverhalten simuliert wird, beispielsweise rechtes Bein, linkes Bein, rechtes… eines Läufers. Da entsprächen Mehrfachvorkommen einem Stolpern…

    Und es ist auch üblich, wenn auch heute weitgehend von Videosequenzen in youtube verdrängt, ein Transkript der Tastendrücke mitzuschreiben, um damit ein Replay einer Spielsequenz zu ermöglichen. Auf diese Weise können komplexe Spielsequenzen in sehr kleinen Dateien – oder eben Mails – übermittelt werden. Darüber könnte man dann auch steganografisch versteckte Informationen transportieren.

    Allerdings benötigen solche Transkripte eigentlich immer auch Timinginformationen, und die fehlen hier vollständig.

    Andererseits könnten die eingestreuten englische Texte wie poll und like ebenfalls einem Spieltranskript entstammen, nämlich über eine Chatfunktioneingeflossen sein.

    Und auch die Lage der Tasten (e und r horizontal nebeneinander, l und p diagonal) deuten auf die typische Haltung des Hardcoregamers hin: http://yourpopfilter.com/wp-content/uploads/2012/05/South-Park-WoW-Guy.jpg – allerdings mit – im Gegensatz zum zitierten Foto aus der Reality-Show ‘Southpark’ – nach rechts geneigtem Oberkörper

  16. #18 Braunschweiger
    30. Juli 2015

    @schorsch: Das klingt alles recht interessant und einleuchtend. Jetzt müsste man einen Grund finden, warum der Eine dem Anderen eine solche Nachricht schicken sollte. Das stammt doch aus dem Bereich von Häftlingen — vielleicht wollte jemand Kampftechniken vermitteln? Man weiß es erst, wenn man das passende Spiel dazu hat. Also wäre die nächste Aufgabe, das Spiel zu finden, die Ausgangsituation, und was dann passiert.

    Das sind aber dermaßen viele Voraussetzungen, die in der Nachricht nicht geklärt zu sein scheinen, dazu die fehlenden Zeitinformationen, so dass es mir insgesamt eher unwahrscheinlich vorkommt. Immerhin, man könnte nach weiteren Argumenten suchen. Beispielsweise sind solche Spiele heute ein wichtiger Teil der Freizeit und Identität. Sind aber passende Spielgeräte überhaupt in Anstalten erlaubt, ergäbe eine solche Nachrricht also Sinn?

  17. #19 schorsch
    30. Juli 2015

    @Braunschweiger: Dass Häftlinge in den Fall verwickelt wären, kann ich dem Artikel nicht entnehmen. Kann es sein, dass du das mit dem kürzlich besprochenen Fall des “Der Krieg-der-Sterne”-Codes verwechselt hast?

    Wer hier mit wem kommuniziert hat, geht aus Klaus’ Artikel nicht hervor. Lediglich, dass der Verfasser des möglichen Kryptogramms ein Programmierer sei.

    Für mich sieht das so aus, als habe eine Haussuchung stattgefunden, bei der eine Fotografie des Bildschirms gemacht wurde, um einen ansonsten flüchtigen Text wenigstens auf diese Weise festzuhalten. Denn bereits ein Speichern des Textes auf der Festplatte durch die Polizei hätte den forensischen Beweiswert der Festplatte zumindest sehr zweifelhaft werden lassen. Aber auch das ist reine Spekulation.

    Die Anordnung der im Text verwendeten Buchstaben auf der Tastatur und deren Abfolge sind jedenfalls sehr starke Indizien dafür, dass sie mit den Fingern auf der Tastatur zwar gezielt, aber nach einem weitgehend zufälligen Muster eingeklöppelt worden sind. Dann handelte es sich bei dem Text nicht um ein Krypto-, möglicherweise aber um ein Steganogramm.

  18. #20 Braunschweiger
    30. Juli 2015

    Das stimmt, Häftlinge wurden nicht erwähnt. Es gibt lediglich den Hinweis “US-Gang-Code-Experte Gary Klivans”, und Mr. Klivans ist aus früheren Berichten von Klaus Schmeh bekannt. Also sollte ich besser schreiben “Gang-Milieu” oder kriminelles Umfeld.

    Woher der Text kommt scheint weitgehend egal (keine Hinweise angegeben), aber “Programmierer” ist ein wichtiger Hinweis. Daher würde ich auch mit einer anspruchsvolleren oder “andersartigen” Kodierung rechnen, einschließlich der Möglichkeit eines Spiele-Logs.

    Steganografie wäre auch möglich, allerdings finde ich den “Brainfuck”-Hinweis noch besser. Es ist ja ohne weiteres möglich, die dortigen Symbole durch andere zu ersetzen; allerdings ist die Anzahl der Zeichen noch zu gering. Ud außerdem hat das dann wohl schon jemand durchprobiert.

  19. #21 Peter
    31. Juli 2015

    Sieht für mich wie ein Morseschlüssel aus. Welcher Buchstabe an welcher stelle steht lasse ich mal offen.
    Siehe:
    https://www.google.ch/search?q=morseschl%C3%BCssel&espv=2&biw=1366&bih=705&tbm=isch&tbo=u&source=univ&sa=X&ved=0CB0QsARqFQoTCLu64a7ahMcCFYe5FAodJhgIcg

  20. #22 Braunschweiger
    1. August 2015

    @Peter:
    Warum sieht es wie ein Morseschlüssel aus? Könnte ja sein — mach’ doch mal einen kreativen Vorschlag zur Buchstabenbedeutung. Welches Zeichen soll was symbolisieren? Drei Buchstaben für Punkt, Strich und Pause, und der Rest evtl. Füllzeichen? Oder anders?

  21. #23 DonPohlino
    AC
    4. August 2015

    Hello folks, I just took Braunschweigers Text and thought for myself, that you could say that Rs are in fact Es and Ps are in fact Ls a 3 is a leetspeak E and so I basically end up with a text just consisting of two characters give or take. If I then change them to 1s and 0s (where I say 1=E and 0=L because of the keyboard key locations – may also be the other way round) I have a text looking like this:
    1)
    Hwy_ 11__ 1o11
    1101 0010 1010 1100 1101 0101 0010 1011 0101 0101 0100 1010 1010 1010 1010
    2)
    1010 1010 1010 1101 0111 0101 0101 0110 1010 1011 0110 1101 0101 0110 1011
    1010 1010 1101 0101 1001 100?
    3)
    1010 1001 0101 0101 0110 1011 0011 0101 1011 0011 0100 1101 0101 0101 0101
    4)
    0100 1010 1010 1010 1100 1010 1010 1011 0111 0110 0110 1010 1010 0101 1100
    5)
    1011 0010 1010 1010 1101 1001 0101 0101 0101 0101 0101 1010 1010 1010 1100
    6)
    1011 0101 0010 1111 1011 0010 1101 0011 0010 1011 0011 0100 1010 111i k0__
    7)
    1010 1010 1010 01ss s110 0111 001h o10a 11is S0an

    maybe this could be the jumpig-off point for someone here

  22. #24 DonPohlino
    AC
    4. August 2015

    Here the first two segments translatet to Line 1 decimal values Line 2 hex values

    1)
    Hwy_ 11__ 1o11
    1101 0010 1010 1100 1101 0101 0010 1011 0101 0101 0100 1010 1010 1010 1010
    13 2 10 12 13 5 2 11 5 5 4 10 10 10 10
    C 2 B D E 5 2 C 5 5 4 B B B B
    2)
    1010 1010 1010 1101 0111 0101 0101 0110 1010 1011 0110 1101 0101 0110 1011
    10 10 10 13 7 5 5 6 10 11 6 13 5 6 11
    B B B E 7 5 5 6 B C 6 E 5 6 C
    1010 1010 1101 0101 1001 100?
    10 10 13 5 9 8/9
    B B E 5 9 A?

  23. #25 DonPohlino
    AC
    4. August 2015

    If you take the morse alphabet that “Peter” sent you could use it as a so called binary tree (especially with those pictures) and translate the first line either to this:

    Hwy_ 11__ 1o11
    Q F C Z Q _ F Y _ _ L C C C C

    or to this:

    F Q _ _ F C Q L C C Y _ _ _ _

    depending on what you intrepret as long and short but the high amount of “wrong” combinations unfortunately makes it somewhat unlikely that this approach is correct…

  24. #26 schorsch
    4. August 2015

    I translated the text into a binary text too. My approach was a little different (I took P,L,O/0 as one nibble, E, R, and 3 as the other one), but the result was mostly the same – too less entropy.

    I don’t think, that it is morse code, or if it is, it is undecipherable, because morse is a trinary cody, not binary. But I checked against other (more or less) binary codes like e. g. Braille, I created Tupels of 4, 5, 6, 7 or 8 bits, horizontally and vertically, with all lines and with lines 1, 3, 4 and 5 only (because they are of same length). The same result every time: hot steam.

  25. #27 Stefan Fendt
    Castrop-Rauxel
    2. März 2016

    Für die Annahme, dass es sich um eine Nachricht handelt und nicht um mehr oder weniger sinnlose Tastendücke, die aus Versehen in das Fenster geraten sind spricht, dass:

    1. Spiele den Eingabefokus typischerweise komplett blockieren
    2. die Tastenkombinationen für die Steuerung von Spielen ungünstig liegen

    Auf die Gefahr das Offensichtliche zu wiederholen… Unter der Annahme, dass es sich überhaupt um eine Nachricht handelt: Da das Subject fehlt, ist es sehr wahrscheinlich, dass es sich nicht um eine gerade empfangene, sondern um eine gerade frisch eingegebene Nachricht handelt. Offenkundig wurden keinerlei weitere Hilfsmittel (z.B. Papier mit Codetabellen) sichergestellt, denn sonst wären diese als weitere Hilfe entweder mit veröffentlicht worden oder der Cypher wäre damit schon gebrochen worden. Es ist also davon auszugehen, dass diese Hilfsmittel nicht existieren und es sich um ein Verfahren handelt, welches ausschließlich im Kopf durchführbar ist. Sollte diese Annahme stimmen, dann scheiden binäre Zahlen aus, da selbst erfahrene Programmierer damit beim Kopfrechnen durcheinander geraten und das Abzählen/Rechnen mit den Fingern hierbei unerträglich lange dauert. Auch ein binärer Baum oder ein Huffman-Code scheiden damit sehr wahrscheinlich aus.

    Morsezeichen oder ähnliches ggf. verbunden mit einer einfachen Substitution erscheinen unter dieser Maßgabe eher wahrscheinlich. Möglicherweise ist das Leerzeichen ein Blender und der wahre Buchstabentrenner ein anderer…

  26. #28 Stefan Fendt
    2. März 2016

    Nur so eine Idee: Wenn es doch Binär ist und eine URL, dann könnte das erste eine IP sein… Was ich übersehen hatte: Viele “bordmittel”-Taschenrechner können BINHEXDEZ…

    1101 0010 1010 1100 1101 ‘3’ (=11) 10 1001 0101
    entsprechend
    11010010.10101100.11011110.10010101
    210.172.222.149

    Den Trenner ‘/’ könnte sich der Autor sparen, da eine IP eine feste Größe hat und dann zuende wäre. Eine 128-Bit IP scheided vermutlich aus (zu kurz). Der Pfad (welcher ggf. auch nur aus Ziffern besteht und anstelle ‘/’ ein Leerzeichen) könnte folgen… Möglich wäre also als Anfang einer Übersetzung:

    “H(o)w(d)y I(‘l)l poll 210.172.222.149/357870250/…”
    oder
    “H(o)w(d)y I(‘l)l poll 210.172.222.149/1554AAAA/…”

    Zumindest würde dies die teilweisen Klartextpassagen (“I like…”/”all is…”) erklären können. “3” wäre also nicht l337sp3ak sondern das Nibble “11”.

  27. #29 Stefan Fendt
    2. März 2016

    Ich habe die Idee, dass es binäre Zahlen sind, ein bisschen weiterverfolgt. Wenn binäre Zahlen überhaupt einen Sinn ergeben sollen, dann muss das große i oder das kleine l mit an Sicherheit grenzender Wahrscheinlichkeit eine 1 sein. Binärzahlen fangen von links gelesen immer mit einer 1 an. Damit ist ‘e’ sehr, sehr wahrscheinlich eine 0.

    So wenig Entropie, wie Schorsch schreibt, ist da meiner Meinung nach übrigens gar nicht drin:

    1. Zeile:
    Hwy Il poll llelrrlelelellrellrl3leleelelelleleleleleleelelelelelelelele

    Annahme l=1, e=0, r=0, 3=0
    … 110100101010110011010101001010110101010101001010101010101010
    (0000)1101 00101010 11001101 01010010 10110101 01010100 10101010 10101010
    0D 2A CD 52 B5 54 AA AA

    Annahme l=1, e=0, r=0, 3=1
    … 110100101010110011011101001010110101010101001010101010101010
    (0000)1101 00101010 11001101 11010010 10110101 01010100 10101010 10101010
    0D 2A CD D2 B5 54 AA AA

    Annahme l=1, e=0, r=1, 3=1
    … 110111101010111011111101001010110101010101001010101010101010
    (0000)1101 11101010 11101111 11010010 10110101 01010100 10101010 10101010
    0D EA EF D2 B5 54 AA AA

    Annahme l=1, e=0, r=1, 3=0
    … 110111101010111011110101001010110101010101001010101010101010
    (0000)1101 11101010 11101111 01010010 10110101 01010100 10101010 10101010
    0D EA EF 52 B5 54 AA AA

    2. Zeile:
    10101010 10101101 01110101 01010110 10101011 (/) 0 11011010 10101101 (/) 011 10101010 11010101 (/) p001 p0[01]
    –> bewusst zunächst nicht weiter gemacht damit, da unvollständig. Wenn meine Annahme (s.u.) über p (=1) stimmt, dann lautet die Zeile vollständig vermutlich “… peel peel”

    3. Zeile:
    pepepeelepepepepelpepepleellepelpepleelpepeeppepelepelelepep
    p0p0p0010p0p0p0p01p0p0p100110p01p0p1001p0p00pp0p010p01010p0p

    Annahme p ist blender:
    0 0 0010 0 0 0 01 0 0 100110 01 0 1001 0 00 0 010 01010 0
    0000100 00010010 01100101 00100000 10010100
    04 12 65 20 94 –> unwahrscheinlich

    Annahme p ist 1
    101010010101010101101011001101011011001101001101010101010101
    (0000)1010 10010101 01010110 10110011 01011011 00110100 11010101 01010101
    0A 95 56 B3 5B 34 D5 55

    Annahme p ist 0
    000000010000000001000001001100010001001000000000010001010000
    (0000)0000 00010000 00000100 00010011 00010001 00100000 00000100 01010000
    00 10 04 13 11 20 04 50 –> unwahrscheinlich

    So, für heute ist erstmal Schluss… 😉 Vielleicht bringen die obigen Gedanken ja jemanden weiter?

  28. #30 Stefan Fendt
    3. März 2016

    Vermutlich auch ein Fehlschlag aber man kann das ganze auch so formatieren:

    _Hwy _llp _oll _lle _lrr _lel _ele _llr
    _ell _rl3 _lel _eel _ele _lle _lel _ele
    _lel _eel _ele _lel _ele _lel _ele _lel
    _ele _lel _ele _lle _lel _lle _lel _ele
    _lel _lel _ele _lel _lel _lel _lel _ele
    _lel _lel _ell _lel _ele _lel _lel _ele
    _lpe _elp _eep _epe _pee _lep _epe _pep
    _elp _epe _ple _ell _epe _lpe _ple _elp
    _epe _epp _epe _lep _ele _lep _epe _pee
    _pel _ele _pel _ele _lpe _epe _lel _ele
    _pep _lep _lle _ple _ell _ele _lel _ele
    _ele _lpl _eel _ell _eel _ele _lel _ele
    _lpe _lpe _ele _lel _3le _lel _ele _pel
    _ele _lle _lel _ele _pel _ell _eel _ell
    _ele _l3e _lel _plp _pel _lee _pep _lel
    _e3l _lee _lep _elp _eel _lel _eel _epe
    _lll _ike _pep _epe _pep _ele _els _ssp
    _p00 _ppp _00p _hop _eal _lis
    Sean

    Wenn nun alle Konsonanten und die 3 als ‘1’ und alle Vokale und die 0 als ‘0’ gewertet werden erhält man dies:


    6 7 | 6 6 | 7 5 | 2 7
    3 7 | 5 1 | 2 6 | 5 2
    5 1 | 2 5 | 2 5 | 2 5
    2 5 | 2 6 | 5 6 | 5 2
    5 5 | 2 5 | 5 5 | 5 2
    5 5 | 3 5 | 2 5 | 5 2
    6 3 | 1 2 | 4 5 | 2 5
    3 2 | 6 3 | 2 6 | 6 3
    2 3 | 2 5 | 2 5 | 2 4
    5 2 | 5 2 | 6 2 | 5 2
    5 5 | 6 6 | 3 2 | 5 2
    2 7 | 1 3 | 1 2 | 5 2
    6 6 | 2 5 | 6 5 | 2 5
    2 6 | 5 2 | 5 3 | 1 3
    2 6 | 5 7 | 5 4 | 5 5
    3 4 | 5 3 | 1 5 | 1 2
    7 2 | 5 2 | 5 2 | 6 7
    4 7 | 1 5 | 1 5 | _ _
    Sean

    Leider viel zu spekulativ und leider gibt es darin die Zahl 7… Das war also vermutlich auch nichts, es sei denn, man wertet diese (Modulo 6) als weitere Möglichkeit für die 1…

    … hmm …

  29. #31 Axon/TNC
    22. April 2016

    Versuch einer Analyse des “Lelele-Kryptograms” oder vielmehr Gedanken dazu…

    Zunächst wurde ein Transkript des lediglich mit einer Kamera von einem Bildschirm abfotografierten Kryptograms erstellt. Hierbei ist zu beachten, dass das Kryptogramm in einem Zeichensatz erstellt wurde, der die Unterscheidung von “I”, “l” und “|” (großes I, kleines L und “Pipe”-Trenner) nicht zulässt und dass zudem Zeile 2 offenbar unvollständig ist:

    Auf dem Foto endet die Zeile mit “peel pe”. Ein weiteres “e” ist erahnbar, wobei mutmaßlich (siehe weiter unten) ein weiteres “l” folgt. Beide Stellen wurden im Transkript mit “?” markiert.

    Die schon in den Kommentaren verfügbaren Transkriptionen wurden nicht verwendet, da sie die Position des Leerzeichens nicht wiedergeben und dieses möglicherweise für die Dechiffrierung wichtig ist. Darauf deutet hin, dass es relativ selten im Chiffrat auftritt. Der Versuch einer Dechiffrierung kann nur erfolgreich sein, wenn die Unterscheidbarkeit von “I”, “l” und “|” für das verwendete Verfahren irrelevant ist.

    [alle Kommentare bisher gehen davon aus, dass “Hwy” zum Cyphertext gehört. Warum ich bloß nicht auch? Ehrlich, ich habe k.A. …]


    Transkript der Nachricht:
    =========================

    [Zeile 1]
    Hwy Il poll llelrrlelelellrellrl3leleelelelleleleleleleelelelelelelelele

    [Zeile 2]
    lelelelelelellelelllelelelelellelelelell ellellelelelellel elllelelelellelelel peel pe??

    [Zeile 3]
    pepepeelepepepepelpepepleellepelpepleelpepeeppepelepelelepep

    [Zeile 4]
    epeepelelepelelelpeepelelelepeplepllepleelleleleleleelelplee

    [Zeile 5]
    lelleelelelelelelpelpeelelel3lelelelepelelellelelelepelellee

    [Zeile 6]
    lellelel3elelplppelleepeplele3lleelepelpeelleleel epell like

    [Zeile 7]
    pepepepepeleelssspp0 0ppp00p hope all is Sean

    Analyse der Symbolhäufigkeit
    ============================

    e : 177
    l : 164
    p : 58
    s : 5
    r : 4
    0 : 4
    3 : 4
    i : 3
    a : 2
    h : 2
    o : 2
    k : 1
    n : 1
    w : 1
    y : 1
    ---------
    429
    =========

    Die Symbolhäufigkeit ist deutlich auffällig. Fast achtzig Prozent der Nachricht entfallen auf nur zwei Symbole. Dies deutet auf die Verwendung eines binären Codes hin. Werden aus dem Chiffrat der Anfang “Hwy Il poll”, die Buchstabenfolge “like”, sowie das Ende ab “hope” entfernt, denn sie passen statistisch sowie so nicht sauber zum Rest, so fällt die Verteilung noch deutlicher aus:

    e : 174
    l : 158
    p : 56
    r : 4
    0 : 4
    3 : 4
    s : 3
    ---------
    403
    =========

    Die Leerzeichen sind eine weitere Auffälligkeit. Normalerweise belässt der Absender einer verschlüsselten Nachricht so wenig strukturelle Hinweise in der Nachricht, wie eben möglich, da diese immer Potential für einen Angriff liefern. Es kann also davon ausgegangen werden, dass die Leerzeichen nicht ohne Grund in der Nachricht verblieben sind. Der leichteren Übertragung, wie z.B. 5-er Gruppen dienen sie auf jeden Fall nicht. Weiterhin ist sofort augenfällig, dass die Symbole sich über weite Strecken in Gruppen wiederholen. Eine Eigenschaft, die Texte nicht aufweisen, wohl aber Zahlen. Die Gruppenlänge (4) ist ebenfalls auffällig. Diese deutet auf Hexadezimalzahlen hin. Betrachtet man die Symbolfolge als binäre Zahlen, so fällt auf, dass sie nicht immer mit demselben Symbol beginnen (Abgesehen von führenden Nullen, beginnt eine Dualzahl immer mit ‘1’).

    Die meisten der Symbolfolgen beginnen auch mit “l” (es kann daher als ziemlich sicher gelten, dass “l”=1 gilt) aber nicht alle. Schaut man sich die Länge der Symbolfolgen an, die nicht mit “l” beginnen, sondern mit “e” (sehr wahrscheinlich gilt “e”=0), fällt auf, dass bis auf in einem Fall alle diese vorangestellten “e” an Stellen auftreten, wo vom niederwertigen zum höherwertigen Teil der Sequenz ein neues 4-Bit-Nibble betreten wird. Das macht aber nur Sinn, wenn es sich um hexadezimale Zahlen handelt und der Autor führende Nullen schreiben wollte. Insbesondere, weil der Autor angeblich Programmierer ist und sich mit Dualzahlen sicher auskennen wird. Aus diesem Grund kann man ebenso herleiten, dass ziemlich sicher “p”=1 gilt.

    All das zusammengenommen ist die Nachricht mit an Sicherheit grenzender Wahrscheinlichkeit eine Folge von unterschiedlich langen Hexadezimalzahlen.

    Unter dieser Maßgabe ist es sehr wahrscheinlich dass die abgeschnittene Zeile 2 entweder auf “pee” oder (ich favorisiere ohne speziellen Grund dieses) wiederum “peel” endet.


    Transkript der Nachricht mit den obigen Annahmen:
    =================================================

    [Zeile 1]
    Hwy Il poll 1101rr10101011r011r13101001010110101010101001010101010101010

    [Zeile 2]
    1010101010101101011101010101011010101011 01101101010101101 0111010101011010101 1001 1001

    [Zeile 3]
    101010010101010101101011001101011011001101001101010101010101

    [Zeile 4]
    010010101010101011001010101010110111011001101010101001011100

    [Zeile 5]
    101100101010101011011001010131010101010101011010101010101100

    [Zeile 6]
    1011010130101111101100101101031100101011001101001 01011 like

    [Zeile 7]
    10101010101001sss110 0111001 hope all is Sean

    Es verbleiben nur noch “s”, “3” und “r”. Strenggenommen sind diese nicht zu klären. Ich vermute aber, dass der folgende Zusammenhang vom Autor der Nachricht intuitiv gewählt wurde: Konsonanten = 1, Vokale = 0, “0”=0, “3”=1. Das liegt daran, dass ein Programmierer die Zahl drei immer mit einem gesetzten untern Bit verbindet. Trotzdem kann diese Zuordnung — sie wurde willkürlich von mir gewählt — falsch sein. Dazu mehr weiter unten.

    Die Bitfolgen wären mit diesen zusätzlichen Annahmen (von rechts aus Trenner für 8-Bit eingefügt):


    1101|11101010|11101111|11010010|10110101|01010100|10101010|10101010
    10101010|10101101|01110101|01010110|10101011
    0|11011010|10101101
    011|10101010|11010101
    1001
    1001
    1010|10010101|01010110|10110011|01011011|00110100|11010101|01010101
    0100|10101010|10101100|10101010|10110111|01100110|10101010|01011100
    1011|00101010|10101101|10010101|11010101|01010101|10101010|10101100
    1|01101011|01011111|01100101|10101110|01010110|01101001
    0|1011

    1010|10101010|01111110
    0111001

    Und hexadezimal so (ergänzt um die oben ausgelassenen Stellen, nach dem gleichen Schema ausgewertet):


    (7) [Hwy]
    (3) [Il]
    (B) [poll]
    DEAEFD2B554AAAA
    AAAD7556AB
    0DAAD
    3AAD5
    9
    9
    A9556B35B34D555
    4AAACAAB766AA5C
    B2AAD95D555AAAC
    16B5F65AE5669
    0B
    (A) [like]
    AAA7E
    39
    (A) [hope]
    (3) [all]
    (1) [is]
    (9) [Sean]

    Nun hat man zwei Möglichkeiten, wie man mit den obigen Daten weiter vorgeht:

    Möglichkeit 1 (die Variante ohne “like” und Co, macht hier allerdings kaum Sinn):


    73BD EAEF D2B5 54AA AAAA AD75 56AB 0DAA
    D3AA D599 A955 6B35 B34D 5554 AAAC AAB7
    66AA 5CB2 AAD9 5D55 5AAA C16B 5F65 AE56
    690B AAAA 7E39 A319

    Möglichkeit 2:

    http(s)://(B)D.EA.EF.D2/B554AAAA/AAAD7556AB/0DAAD/3AAD5/...
    mit 0xB : http(s)://189.234.239.210/B554AAAA/AAAD7556AB/0DAAD/3AAD5/...
    ohne 0xB : http(s)://13.234.239.210/B554AAAA/AAAD7556AB/0DAAD/3AAD5/...

    Diese URL-Notation (das ist auch der Grund, warum ich sie für die wahrscheinlichere Lösung halte — und BTW ich halte die 13.234… für die wahrscheinlichere IP) ist mir aus der Demo/Hacker/Warez-Szene bekannt/geläufig. Der Server antwortet nur genau auf diese URL (quasi wie ein überlanges Passwort) und leht alle anderen Anfragen ab. Das ist auch der eigentliche Witz an diesem Wust…

    Verifizieren könnte man das nur, insbesondere weil ja schon einige Annahmen bzgl Bitmapping vollkommen willkürlich-intuitiv erfolgt sind, indem man die in Frage kommenden 16 (Zuordnung s,r,0,3) Ergebnis-URLs ansurft und nachschaut, ob wer antwortet und was da liegt.

    […Vermutlich ist das nach dieser Zeit total sinnlos. Solche URLs sind im Regelfalle nur wenige Wochen in der jeweiligen Konfiguration online…]

    Der zweite Teil nach “like” wäre dann ein Verzeichniszweig in analoger Schreibung. Im besten Falle liegt “Warez”- oder Demoscene-Kram darin. Im schlimmsten Fall sind es (wohl eher) sehr ekelhafte Bilder…

    Trotzdem: Die Möglichkeit dass “Möglichkeit 1” stimmt, existiert natürlich auch. Nur, welches Verfahren könnte das dann sein? Für eines, welches im Kopf oder mit Hilfe des Windows-Taschenrechners entstanden ist, wäre das … “spannend”… Da weitere Hilfsmittel nicht gefunden wurden, gehe ich davon aus, dass sie nicht existieren.

    ?!? Occam’s Razor…?!?

    Nachtrag:

    Verknüpft man die obigen Bitfolge mit “…010101010” so erhält man dies:


    011101000000010001010111100000011111111111100000000000000000
    74045781FFE0000

    0000000000000111110111111111110000000001
    7DFFC01

    00111000000000111
    7007

    0010000000001111111
    1007f

    0011
    3

    0011
    3

    000000111111111111000001100111110001100111100111111111111111
    3FFC19F19E7FFF

    111000000000000001100000000000011101110011000000000011110110
    E0006001DCC00F6

    000110000000000001110011111101111111111111110000000000000110
    180073F7FFF0006

    1110000011111010111001111000001001111110011000011
    1C1F5CF04FCC3

    00001
    1

    00000000000011010100
    D4

    0010011
    13

    Das deutet darauf hin, dass die Binärmuster willkürlich gewählt wurden, was wiederum für die URL spräche, oder — das wäre auch möglich — haben wir nun einen einfachen binären Baum vor uns…