Опубликовано в журнале "Домашний компьютер" №10 от 01.10.2001 г.
Тайнопись является ровесницей письменности. Простые приемы шифрования применялись и получили некоторое распространение уже в эпоху древних царств и в античности, так что Аристотель успел упомянуть два типа простых шифров - подстановку и перестановку букв (в некотором смысле они оставались до недавнего времени основными методами криптографии) - и дать рекомендации по их дешифровке (элементарный криптанализ).
На службе их величеств
Криптанализ систематически разрабатывался арабами в VII-XII вв., однако эти работы лишь недавно были возвращены в научный оборот, а Европе в период раннего Возрождения пришлось самостоятельно переоткрывать и статистический анализ буквенно-слогового состава текста, и научный криптанализ. В разработке криптанализа и криптографических методов принимали участие Леон Альберти, Фрэнсис Бэкон, Джованни Баттиста Белазо, Иоанн Тритемиус и др., а позже - Джероламо Кардано, Блез де Винижер и другие знаменитые ученые и инженеры. Основной сферой применения полученных ими результатов была военно-дипломатическая (и отчасти сфера крупной торговли и финансов), а основными заказчиками - правители. Понятно, что последние не горели желанием поддерживать академическую свободу в столь щекотливом предмете, как обеспечение секретности переписки правящих дворов. Однако дух космополитической «республики ученых» был неудержим и неизбежно выливался в примечательные события - например, в публикацию аббатом Тритемиусом в 1518 году «Полиграфии» - первого печатного труда по криптографии, содержащего свод криптографических и криптаналитических приемов.
В XIX веке, кроме развития криптанализа и изобретения новых шифров, криптографы озаботились «механизацией» шифрования и расшифровки, результатом чего стали «шифраторы»: ротор Томаса Джефферсона, диски Дезиуса Уодсворта и Чарлза Уитстона - их «потомки» широко распространились к началу первой мировой войны и дальнейшее развитие получили в электромеханических шифраторах (роторных шифровальных машинах), использовавшихся военными и дипломатами до самого последнего времени.
В начале XX века инженеры попытались соединить шифровальные устройства с телеграфом. Интереснейшие результаты были получены американцем Гилбертом Вернамом: один из вариантов предложенного им шифра, как спустя полвека показал Клод Шеннон, был абсолютно стойким.
Заслуга формулирования основных принципов разработки криптосистем (1901 г.) принадлежит Огюсту Керкхоффу (фламандцу, работавшему во Франции), среди них - самый «контринтуитивный» принцип № 2: криптосистема «не должна требовать секретности, и доступ к ней противника не должен влечь неприятных последствий». Фактически Керкхофф отделил общеизвестную криптосистему (то, что сегодня мы называем криптоалгоритмами) от секретного компактного ключа - одного из параметров шифра 2.
Криптография и криптанализ стали особенно актуальными во время второй мировой войны. До сих пор известны не все детали истории разработки методов криптанализа, приведшей, в частности, к появлению первых компьютеров. Больших успехов добился американец Клод Шеннон, который разработал количественные теории коммуникации и секретности, введя дискретную меру информации - бит (подобные результаты были получены в Британии Аланом Тьюрингом и в СССР Алексеем Котельниковым, однако их работы в области криптологии остаются секретными и поныне). Казалось, криптология должна была окончательно стать на научную основу и превратиться в математическую дисциплину.
Однако вплоть до шестидесятых-семидесятых годов XX века рынок практических криптографических приложений был ограничен в основном военной и дипломатической сферами, а криптология, соответственно, оставалась «эзотерической» областью знаний - не только в том смысле, что ею занимался узкий круг людей, но и в смысле отсутствия нормальной ученой и академической среды (не случайно книготорговцы ставили криптологические и криптографические сочинения на полку «оккультных наук»).
Гражданская криптография
Радикальные перемены в способах существования и применения криптологических знаний приходятся на последнюю четверть XX века. Компьютеризация бизнеса и общества, появление региональных и глобальных сетей обмена цифровой информацией привели ко все более осознанному и выраженному спросу на массовые криптографические приложения, способные защитить гражданские права и коммерчески ценную информацию в «прозрачном» цифровом мире.
В середине семидесятых произошли два важнейших события: во-первых, в США был принят первый гражданский стандарт на криптографическую защиту информации (DES), а во-вторых, американские ученые Уитфилд Диффи и Мартин Хеллман предложили революционную концепцию криптографии с открытым ключом 3, реализованную чуть позже Ралфом Мерклом, Майклом Ривестом, Ади Шамиром и Леонардом Эдлманом.
В отличие от сформулированного Керкхоффом понятия криптосистемы (которую теперь называют «симметричной криптосистемой» или «криптосистемой с секретным ключом»), криптосистема с открытым ключом (асимметричная) не требует наличия общего секретного ключа у каждой пары (или большего количества) абонентов.
Криптография с открытым ключом не только дала возможность развернуть действительно массовые криптосистемы, но и расширила область самой криптологии, включив в нее помимо традиционной задачи обеспечения конфиденциальности еще и задачи аутентификации информации и идентификации контрагента в цифровой коммуникации («цифровая подпись», формируемая с помощью закрытого ключа и проверяемая с помощью открытого).
Позднее понятие криптосистемы было расширено до понятия «криптопротокола» - последовательности шагов, исполняемых партнерами в замысловатом «танце» распределенных вычислений, позволяющей решать гораздо более широкий круг задач, не обязательно ограниченных обеспечением секретности или аутентификации. В восьмидесятых изучение свойств вновь сконструированных так называемых «особых протоколов цифровой подписи» позволило создать прототипы систем «цифровой наличности» (в которых обращаются предъявительские [«анонимные»] финансовые инструменты), систем тайного цифрового голосования, строго анонимной коммуникации и т. д.
Появление криптографии с открытым ключом отнюдь не означало «отмену» криптографии симметричной: наоборот, симметричные и асимметричные алгоритмы чаще всего используются вместе; иногда их совместное использование называют «гибридной криптографией».
Формирование гражданского криптографического сообщества и рост криптологической грамотности разработчиков оборудования и программистов вызвали жесткую реакцию со стороны спецслужб, понимавших, что теряют монополию на практические криптографические приложения, и серьезный политический конфликт во многих странах. К началу XXI века большинство препятствий на пути свободного развития криптологии и криптографии в демократических странах устранено, хотя опасность рецидива «криптофобии» сохраняется.
В то же время нет никаких оснований говорить о беспроблемности сегодняшней ситуации внедрения криптографических решений.
Стандартизация алгоритмов и протоколов идет медленно, причем до самого недавнего времени политический расклад был таков, что на международном уровне стандартизовались лишь протоколы, а подстановка в них конкретных алгоритмов приводила к неопределенности итоговой оценки надежности и несовместимости «стандартных» реализаций.
Большая часть современного системного и коммуникационного программного обеспечения включает криптографическую функциональность, но, как правило, она остается в лучшем случае незадействованной (более 90% информации, проходящей по сетям Интернета, передается в открытом виде), а в худшем - используется так, что создает лишь иллюзию безопасности.
Серьезной проблемой остается неразвитость нотариальной системы заверения ключей - к сожалению, в законодательстве об эквивалентности цифровой подписи собственноручной большинство стран «заложились» на неадекватную, рискованную и бесперспективную иерархическую архитектуру сертификации 4.
Немалый урон репутации криптографии наносят шарлатаны, периодически пытающиеся продать «криптографические» решения задач, не имеющих отношения к криптографии, а иногда и вовсе неразрешимых (например, так называемая «защита контента» - аудио, видео или текста, правообладатели которых пытаются технологическими средствами ограничить законные права своей аудитории).
Из-за инерции технологической инфраструктуры финансовой отрасли пока крайне медленно внедряются финансово-криптографические решения, потенциально способные «расшить» многие узкие места сетевого бизнеса (анонимную оплату услуг в реальном времени, мини- и микроплатежи) 5.
В России развитие гражданской криптологии и криптографии началось лишь после падения советской власти (еще в середине восьмидесятых попытка издания переводного справочника по криптографии привела к аресту большей части тиража). В значительной степени оно все еще сдерживается недостатком гражданских кадров и попытками вмешательства военизированных организаций. Тем не менее, за последние годы было опубликовано несколько серьезных книг (как переводных, так и отечественных), ряд разработчиков получил неплохие результаты, рынок и признание, в том числе за рубежом. Все больше российских программистов работает в международных криптографических проектах. С 1999 года ассоциация «РусКрипто» проводит ежегодные конференции под тем же названием.
1 (обратно к тексту) - Подробнее см. статью «Почему шифры стойкие» в «КТ» № 27-28, 1999.
2 (обратно к тексту) - Подробнее см. статью «Инварианты Огюста Керкхоффа» в «КТ» № 22, 1999.
3 (обратно к тексту) - Недавно стало известно, что подобные идеи чуть раньше выдвигал британский военный криптограф Джеймс Эллис, однако рамки секретности, в которых ему приходилось работать, привели к тому, что замысел «лег под сукно» и не получил развития.
4 (обратно к тексту) - Подробнее см. статью Филипа Зиммерманна.
5 (обратно к тексту) - Приятно отметить относительные успехи российской финансово-криптографической компании PayCash.
Один в поле
С виду его легче было бы принять за профессора провинциального университета, практикующего врача или просто коммивояжера, чем за бунтовщика и революционера, которым он, скорее всего невольно, оказался.
Но в течение многих лет он вселял, без преувеличения, тихий ужас в одних и служил образцом гражданской ответственности в глазах других. Агентство национальной безопасности США объявило его врагом народа, а народ - по крайней мере сетевой - ему рукоплескал. Ему угрожали тюремным заключением и представляли к национальным и международным премиям. Любой рассказ о новейшей истории криптографии будет неполным без 
упоминания о роли Филипа Зиммерманна.
Меж двух огней
Известность американский программист Филип Р. Зиммерманн получил в 1991 году, когда в США существовала реальная угроза принятия закона, ограничивающего право граждан на использование стойких криптографических алгоритмов для защиты тайны связи. Тогда Зиммерманн спешно опубликовал разрабатывавшуюся им программу Pretty Good Privacy 1 в Интернете вместе с лицензией на бесплатное некоммерческое распространение и использование.
PGP (версия 2.0, сентябрь 1992 г.) оказалась единственным профессиональным средством, реализующим самые стойкие из известных в то время криптографических алгоритмов и в то же время достаточно простым для рядового пользователя.
Пресловутые положения билля 226 так и не были приняты, но к тому времени PGP успела разойтись не только по Соединенным Штатам, но и по всему миру. Слух о том, что федеральное правительство всерьез готово интерпретировать ее публикацию как «незаконный экспорт вооружений», создавало программе ореол «нелегальности», что способствовало росту ее популярности, и очень быстро она стала de facto стандартом защиты частной почты.
Сам герой в послании по случаю десятилетия первого релиза PGP 2 уделил происшедшему сухой абзац: «Вскоре после выхода PGP 2.0 Таможенная служба США проявила к нам интерес. Они и не представляли, какую помощь окажут в пропаганде PGP, одновременно обостряя то противоречие, которое и привело в конце концов к отмене американских ограничений на экспорт стойкой криптографии». Но коллеги помнят, что ему было нелегко: было и вынужденное молчание на конференциях в интересах тактики защиты, и общественный фонд для оплаты адвокатов.
В то же время Зиммерманн стал мишенью многочисленных претензий со стороны держателей патентов на основные криптографические алгоритмы. Он, в свою очередь, придумал для них обидную кличку «криптокартель» 3.
Где найдешь, где потеряешь?
К моменту официального объявления о прекращении расследования инцидента с «экспортом» (выставившего американскую Фемиду на посмешище, подобно тому, как сегодня развиваются события вокруг DMCA) на руках у Зиммерманна оказался значительный моральный капитал.
Поскольку действие происходило в Америке, компания под названием PGP, Inc. просто не могла не появиться. Сравнительно легко молодая фирма заключила ряд стратегических соглашений, демонстрирующих потенциал OEM-рынка ее продуктов, никак не меньший, чем рынка «горизонтальных» продаж.
Повредить компания могла только сама себе. И только одним способом: разрушив имидж символа. И вот в октябре 1997 года пользователи прочитали в документации на только что выпущенный «Комплект для деловой безопасности PGP» (включающий PGP 5.5) о новом свойстве, называвшемся «Корпоративное восстановление сообщений» (КВС), которое являлось «мощным средством, позволяющим организации расшифровывать сообщения, отправленные сотруднику этой организации. Процедура выполнялась за счет связывания открытого ключа сотрудника с ключом корпоративного восстановления сообщений. При использовании КВС любое сообщение, шифруемое с помощью открытого ключа сотрудника, шифруется также и с помощью ключа восстановления. Это позволяет владельцу ключа восстановления расшифровать любое сообщение, направленное сотруднику».
Вообще говоря, для КВС легко найти легитимное применение 4. Однако если в вышеприведенном описании заменить слово «организация» на «правительственный орган», а «сотрудник» - на «гражданин», получится формулировка, использовавшаяся в самых агрессивных ограничительных планах ФБР и АНБ. Вопрос: зачем развивать технологию, которая потенциально может быть использована в дурных целях?
После поглощения компании PGP, Inc. новым крупным игроком на рынке программного обеспечения Network Associates, Inc. (NAI) противоречия между КВС, оказавшимся крайне привлекательным для клиентуры NAI, и исходной задачей защиты приватности только обострились. Последовал ряд прорывов безопасности, связанных с КВС, которые негативно отразились на брэнде PGP в целом. NAI, не отказываясь от политики публикации исходных текстов PGP, все более затягивала ее с каждой новой версией.
Вторая декада
Это несоответствие стало просто вопиющим, и в начале 2001 года Зиммерманн решил покинуть корпорацию. «За последние три года, - писал он в прощальном письме в феврале этого года, - в NAI выработали свой взгляд на будущее PGP, и для меня настало время перейти к другим проектам, больше соответствующим моей цели: защите приватности».
NAI осталась владельцем торговой марки Pretty Good Privacy, а нам остался свободный формат OpenPGP, поддерживаемый десятками разработчиков и поставщиков программного обеспечения 5. Зиммерманн сотрудничает с некоторыми из них и возглавляет консорциум OpenPGP, в состав которого, после некоторых колебаний, вошла и NAI - на правах рядового члена и возобновив публикацию исходников.
«Ну и десятилетие это было», - лаконично завершает свое юбилейное послание Зиммерманн. Пошел отсчет второго.
1 (обратно к тексту) - Что переводят и как «Почти полная приватность», и как «Просто приятная приватность», а на самом деле это просто «Неплохая приватность».
2 (обратно к тексту) - Полный текст см. на www.pgpi.org/files/anniversary.txt.
3 (обратно к тексту) - Общее отношение к концентрации патентов в руках Public Key Partners сыграло свою роль в том, что его участники перессорились и партнерство, после мучительных судебных разбирательств, наконец распалось.
4 (обратно к тексту) - Часто сотрудник использует электронную почту для деловой переписки, от лица, так сказать, своей должности, а не от себя лично. Если организация не имеет доступа к закрытому ключу (вследствие его утраты пользователем, отсутствия пользователя на рабочем месте или гипотетического акта саботажа), то могут возникнуть проблемы в коммуникации с клиентами или партнерами.
5 (обратно к тексту) - Списки программ и их поставщиков можно найти на www.pgpi.org и www.openpgp.org.