Воспоминания о конце 1992 года
- -
- 100%
- +
Предисловие
С конца 1992-го года прошло уже свыше 30 лет. Воспоминания о конце 1992 года не дают покоя ни мне, ни некоторым другим молодым ребятам, интересующимся историей криптографии в СССР и России. Что же так подогревает интерес к этому времени?
До начала 90-х годов криптография в СССР была исключительно монополией спецслужб. Ни о каком реальном применении криптографии в повседневной жизни общества речи не шло, практически все, что касалось криптографии, было засекречено и спрятано за семью замками. Но научно-технический прогресс, происходивший во всем цивилизованном мире, особенно появление первых персональных компьютеров и компьютерных сетей, настоятельно подводили к мысли о том, что криптография может быть весьма полезной и для гражданского общества. Особенно далеко продвинулись в гражданской криптографии США. Они не просто декларировали ее появление, но с середины 70-х годов начали готовить практическую базу – асимметричные системы шифрования и ЭЦП, использующие открытые ключи. Во всем мире поняли, что американцы всерьез взялись за развитие гражданской криптографии и прозвали системы с открытым распределением ключей «американской революцией в криптографии». Понимали ли это в тогдашнем СССР? И да, и нет. Дело в том, что в СССР после второй мировой войны криптографии уделяли много внимания и, в частности, привлекли к работам в области криптографии многих хороших специалистов-математиков. Эти люди сразу же оценили математическую красоту и огромную практическую значимость асимметричных криптографических систем и открытых ключей. Но кроме хороших специалистов к криптографии были причастны многие чиновники и хорошие офицеры, которым не хотелось расставаться с такой привычной и спокойной секретностью ради какой-то непонятной в те времена гражданской криптографии, которую придумали в США.
С послевоенных времен до середины 70-х годов СССР всегда конкурировал с США в области криптографии. Но американская революция вызвала в СССР переполох. Как ответить американцам? Думали долго, но примерно через 10 лет пришли к выводам, что просто отрицать эту революцию нельзя.
Американцы не спешили. Сам научно-технический прогресс во всем мире, появление компьютерных сетей и Интернета, настоятельно требовали гражданской криптографии. В середине 90-х американцы, наконец, решились: делаем криптографию общедоступной! Этот вывод появился в результате тщательного взвешивания всех за и против, которые провел весьма представительный «Комитет по изучению национальной политики в области криптографии».
Таким образом, между появлением асимметричных криптографических систем с открытыми ключами и до американского вывода об общедоступности криптографии прошло 20 лет. Если бы СССР, а затем Россия смогли вклиниться в этот 20-летний зазор и попытаться завоевать какую-то часть мирового рынка криптографической продукции! Самый удобный момент для этого был именно в начале 90-х.
На мой взгляд, в конце 1992 года был переломный момент, когда российская криптография могла повернуться в ту или иную сторону. С одной стороны, был шанс развития гражданской и свободной криптографии раньше американцев, а с другой – еще круче завернуть гайки. Завернули гайки. Ради чего, что это дало? Постараюсь высказать на эту тему свою точку зрения.
Энигма
Долгое время, особенно до и сразу после 2 мировой войны, все, что связано с криптографией, было строго засекречено, причем не только в СССР, но и на Западе. Чтение англичанами немецкой переписки, зашифрованной с помощью шифровальной машины «Энигма», существенно влияло на ход боевых действий и, поэтому, хранилось в строгой тайне. Классический пример – история с английским городом Ковентри. Черчилль, за счет дешифровки немецкой «Энигмы», знал об этой бомбардировке заранее и мог предпринять меры для защиты английского города. Однако в этом случае немцы могли догадаться, что их шифрованная переписка читается англичанами и сменить шифр. Черчилль сознательно пошел на уничтожение Ковентри только ради того, чтобы немцы не заподозрили, что шифры, получаемые с помощью их «Энигмы», вскрыты англичанами.
После 2 мировой войны тот факт, что англичане читали «Энигму», стал общеизвестным, и криптографии стало уделяться повышенное внимание со стороны руководства стран, вступивших в «холодную» войну. 19 октября 1949 года Сталин создал ГУСС – Главное управление специальной связи, подчинив его непосредственно ЦК ВКП(б). Задачу ГУСС он сформулировал так: «Читать всех, но наши шифры и переписку читать никто не должен».
Создал широко и основательно, ибо пример немецкой Энигмы был очень впечатляющим и свежим. Чего только не было в функциональных обязанностях ГУСС, прописанных в специальном секретном дополнении к Постановлению Политбюро ЦК ВКП(б) от 19 октября 1949 года о создании ГУСС! Это чтение иностранной дипломатической, военной, коммерческой и агентурной шифропереписки, разработка и контроль аппаратуры для отечественной шифрованной связи, радиоперехват шифрованной переписки иностранных государств. Создавался НИИ для разработки теоретических основ дешифрования главным образом машинных шифраторов Америки и Англии; теоретических основ и анализа стойкости отечественных шифров; проблем по созданию и использованию быстродействующих счетно-аналитических машин и проблем по новым методам перехвата сообщений.
Этим же постановлением создавались Высшая школа криптографов (ВШК) и закрытое отделение механико-математического факультета Московского государственного университета.
Почти три года спустя, 24 октября 1952 года, секретной директивой Трумена было создано АНБ – американское Агентство национальной безопасности, цели которого были примерно такие же, что и у ГУСС.
Абсолютная стойкость
Лозунг Сталина «Читать всех, но наши шифры и переписку читать никто не должен» был неудачным. В конце 40-х годов американский математик и криптограф Клод Шеннон сформулировал математические условия для абсолютно стойкого шифра: энтропия открытого текста при условии известного соответствующего шифртекста должна совпадать с безусловной энтропией открытого текста. Энтропия – это мера неопределенности. В русском языке есть хорошее выражение: «ткнуть пальцем в небо». Это означает что-то угадывать, не учитывая при этом ничего объективного. В криптографии тоже можно расшифровывать по принципу «ткнуть пальцем в небо» – попросту придумать какой-то открытый текст, соответствующий шифрованному, и вдруг произойдет чудо – этот текст окажется верным. Шеннон доказал, что при наложении на открытый текст случайной и равновероятной гаммы никаких других способов вскрытия такой шифровки, кроме как «ткнуть пальцем в небо», нет. Переходя к строгому математическому языку, в этом случае энтропия открытого текста при условии известного шифртекста равна безусловной энтропии открытого текста.
Попытка известного советского математика-криптографа Ивана Яковлевича Верченко объяснить результаты Шеннона Лаврентию Павловичу Берия привели последнего в ярость. Какой-то американский империалист выступил против указаний товарища Сталина, а вместо отпора империалисту советский криптограф Верченко начинает его оправдывать, причем публично, на одном из совещаний у Берии в апреле 1953 года! Оргвыводы последовали незамедлительно, разбираться правы или неправы Шеннон и его приспешник Верченко, никто не стал. На выходе из здания МГБ у Верченко отобрали служебное удостоверение, а ГУСС вскоре ликвидировали.
Так может и правильно, что ликвидировали ГУСС? Раз Верченко публично утверждал, что в соответствии с результатами Шеннона существуют абсолютно стойкие шифры, взломать которые невозможно даже теоретически, то зачем тогда нужно ГУСС, одной из основных задач которого был именно взлом шифров потенциальных противников?
Дьявол, как всегда, скрывался в деталях. Да, действительно, наложение на открытый текст случайной и равновероятной гаммы давало абсолютно стойкий шифр. Но где взять случайную и равновероятную гамму? Можно заранее вырабатывать в Центре так называемые шифрблокноты со случайной и равновероятной гаммой и рассылать их каким-то способом, гарантирующим неприкосновенность, адресатам, т.е. тем, с кем Центр будет поддерживать шифрованную связь. Так во многих случаях и поступают. Но, очевидно, основным недостатком такого метода является ограниченность количества гаммы и, следовательно, ограниченность объема шифрованной переписки. Кроме того, фраза «рассылать их каким-то способом, гарантирующим неприкосновенность» также вызывает множество вопросов.
Не сегодня и даже не вчера стали известны шифрблокноты. И все время эти проблемы, связанные с их использованием на практике, приводили всех: и криптографов, и тех, кто пользовался шифрованной связью, – к одним и тем же мыслям – нужна шифрмашина. Случайная и равновероятная гамма – замечательная вещь, но во многих случаях неудобная на практике. А что, если гамма будет ПСЕВДОслучайной, но практически неограниченно вырабатываемой не в Центре, а самим пользователем в зависимости от некоторого КЛЮЧА, гарантирующего точное повторение этой псевдослучайной гаммы в Центре? Результаты Шеннона в этом случае работать перестают, вскрытие шифра равносильно определению ключа для выработки гаммы наложения и это уже зависит от того, насколько криптографически грамотно был сконструирован алгоритм построения гаммы из ключа. А еще более точно – такой шифр в большинстве случаев может быть вскрыт с помощью тотального перебора всевозможных ключей. За удобство на практике приходится платить отказом от абсолютной стойкости.
Криптография в те теперь уже далекие времена служила исключительно интересам довольного узкого круга людей: правительствам, военным, дипломатам и некоторым другим. В большинстве своем они никогда и ничего не слышали ни про какого Шеннона и его абсолютную стойкость. А хотели иметь, например, надежно защищенную телефонную связь. И это еще не все. Такая связь должна быть простой в эксплуатации, не намного сложнее обычной телефонной связи. Как говорят математики, ежу понятно, что с шифрблокнотами такой телефонной связи не сделаешь.
Гарантированная стойкость
А раз так, то от абсолютной стойкости отказываемся. Вместо случайной гаммы наложения переходим к псевдослучайной, вырабатываемой с помощью специального алгоритма выработки, и некоторого ключа. Ключей – конечное число, вырабатываемая гамма теоретически может быть бесконечной и, следовательно, перебирая всевозможные ключи, получая с помощью перебираемого ключа некоторый отрезок гаммы, для которого по некоторым критериям можно определить, является ли он истинным или ложным, в конечном счете можно вычислить истинный ключ.
Абсолютной стойкости по Шеннону уже нет. Действительно, что дает в этом случае знание шифртекста? Оно дает некоторый критерий для отсева ложных значений ключа. Шифрпереписка или засекреченные телефонные переговоры обычно содержат некоторые стандарты, по которым можно вычислить куски истинной гаммы наложения. Несовпадение с ними соответствующих кусков гаммы, вырабатываемой на опробуемом ложном ключе, служит критерием отсева ложного ключа.
А высокопоставленный заказчик требует: «Наши шифры и переписку читать никто не должен!». И еще: «Хочу защищенную телефонную связь!». Что делать?
Вместо абсолютной стойкости ввести понятие ГАРАНТИРОВАННОЙ стойкости. Что это такое? Если АБСОЛЮТНАЯ стойкость – это чисто математическое понятие, то понятие ГАРАНТИРОВАННОЙ стойкости включает в себя как математические, так и практические жизненные элементы, вырабатываемые годами вместе с опытом эксплуатации шифровальной аппаратуры.
В двух словах, гарантированная стойкость означает, что теоретически шифр может быть вскрыт, а практически – нет.
Возьмем, к примеру, метод тотального опробования всевозможных ключей. Сколько ключей реально можно опробовать? Если где-то на уровне 1010, то такое количество вариантов на современной вычислительной технике перебрать вполне реально. А если 10100? Такое число вариантов перебрать нереально ни сейчас, ни в ближайшем и даже отдаленном будущем. Таким образом, первым шагом на пути к гарантированной стойкости является обеспечение такого большого количества всевозможных ключей, перебрать которые нет никакой практической возможности.
И это еще не все. Можно ли сократить трудоемкость тотального перебора ключей за счет неудачно выбранной схемы выработки гаммы из ключа? Даже чисто интуитивно ясно, что здесь открывается широкое поле деятельности для математиков-криптографов. Масса вопросов по выбору схемы. Какие математические и криптографические свойства нужно обеспечить, чтобы избежать возможности сокращения тотального перебора ключей? Какие методы применять для сокращения перебора: алгебраические, статистические или и те и другие?
Таким образом, криптография стала тесно переплетаться с математикой. Если раньше, где-то в 20-30-х годах прошлого века, основным инструментом криптографа тех времен был остро отточенный карандаш, то с конца 40-х все криптографы бросились изучать алгебру, теорию вероятностей, математическую статистику и вычислительную технику.
Криптографическая синусоида
Советская криптография с конца 40-х годов пережила немало шараханий из стороны в сторону. В 49-м – создание ГУСС, которое, по замыслу Сталина, должно было гарантировать Советский Союз от тех неприятностей, которые настигли Германию во 2 мировой войне за счет того, что шифровальная машина «Энигма» вскрывалась английскими криптографами. Берите в ГУСС всех лучших специалистов Советского Союза, создавайте им комфортные условия работы и повседневной жизни, но обеспечьте надежность нашей закрытой спецсвязи.
После смерти Сталина эта политика круто изменилась. А не жирно ли живут эти криптографы? А что они полезного сделали для страны, за что им достались такие привилегии? Теоремы доказывали. А какая польза от их теорем? Под эти и другие подобные разговоры ГУСС разогнали.
Но страх перед противниками в наступившей холодной войне оставался. Спецсвязь есть? Есть, куда же без нее. Кто ей пользуется? Высшее руководство Советского Союза. Секретные сведения по ней передаются? А как же, для того она и была создана. А если американцы или те же англичане ее могут прочитать? Ведь они, если даже и научатся читать советскую спецсвязь, то будут держать этот факт в строжайшей тайне. Подобные рассуждения не позволяли расправиться с криптографами так же, как, например, расправились с генетиками в 50-х годах, несмотря на ликвидацию ГУСС. Но криптографов довольно хаотически переподчиняли, реорганизовывали, сокращали и вновь укрупняли вплоть до начала 60-х годов.
У главного противника в холодной войне – США – никто с АНБ так не поступал. Их не ликвидировали и не шибко донимали различными административными «инициативами». Тихо и спокойно, без лишнего шума АНБ превратилось в «большой пылесос», который перехватывал все, что только можно было перехватить, в том числе и шифрованную переписку, и пытался ее расшифровывать.
Давайте немного порассуждаем над тем, почему англичанам удалось взломать «Энигму». Шифрованная спецсвязь – штука весьма непростая. В ней нужны очень строгие порядок и дисциплина. Много секретов, касающихся как самой аппаратуры спецсвязи, так и ключей, необходимых для ее работы. Казалось бы, немцы, с их любовью к порядку и дисциплине, должны были быть надежно гарантированы от взлома их спецсвязи. Но немецкая аккуратность и педантичность в конечном счете сыграли с ними злую шутку во 2 мировой войне. Отсутствие инициативы и каких-то нестандартных решений у немцев отмечали и многие советские военачальники. Ну а причем здесь «Энигма»? Дело в том, что безопасность спецсвязи обеспечивают две категории людей. Одни – офицеры спецсвязи – непосредственно работают с аппаратурой и ключами, единственное, что от них требуется – это аккуратность и дисциплина, строгое выполнение должностных инструкций и распоряжений. Но, как показала 2 мировая война, для безопасности спецсвязи этого недостаточно. Сама аппаратура спецсвязи должна как можно чаще подвергаться криптографической экспертизе, которую способны осуществить только высокообразованные специалисты – математики-криптографы. И от этих специалистов в первую очередь ждут нестандартных подходов к анализу этой аппаратуры, нешаблонного мышления, раскрепощенности в рассуждениях о ее криптографических свойствах. И, видимо, с этим у немцев во 2 мировой войне были проблемы.
Хорошие офицеры или хорошие специалисты?
Что для безопасности спецсвязи важнее: хорошие офицеры или хорошие специалисты? До взлома немецкой «Энигмы» приоритет безусловно отдавался хорошим офицерам. После того, как стало широко известно о «бомбе Тюринга» для взлома «Энигмы», в СССР пришли к выводу, что для безопасности спецсвязи хорошие специалисты важны по крайней мере не меньше, чем хорошие офицеры. В рамках ГУСС даже создали Высшую школу криптографов (ВШК), в которую привлекли многих лучших математиков того времени. Криптографов стали также готовить на специальном закрытом отделении мехмата МГУ.
Шарахания из стороны в сторону, которым подверглась советская криптография в 50-х годах ХХ века, привели к тому, что ГУСС вместе с ВШК ликвидировали. В 1955 году по предложению ректора МГУ академика И.Г.Петровского было ликвидировано закрытое отделение мехмата МГУ.
«Энигму» потихоньку стали забывать. Советская спецсвязь работает? Работает. Есть ли какие-нибудь сведения о ее взломе? Таких сведений не поступало. Значит, все прекрасно и замечательно? А вот это вряд ли. Боялись тогда, да и не только тогда, стремительного научно-технического прогресса на западе.
В 1960 году произошло одно событие, оказавшее существенное влияние на развитие криптографии в СССР. Специалисты АНБ Вильям Мартин и Бернон Митчелл бежали в СССР, где поведали сотрудникам КГБ о работе агентства. В КГБ, который к тому времени стал отвечать за шифрованную спецсвязь, откровенно испугались. Как в АНБ все четко отлажено и отработано! Сколько там работает первоклассных математиков-криптографов! Какая в их распоряжении современная и мощная вычислительная техника! Как в таких условиях гарантировать правительству безопасность спецсвязи? Единое ГУСС, которое вполне могло быть сопоставимо с АНБ, разогнано, на его месте что-то раздробленное, со множеством различных административных подчинений, без четкой системы подготовки профессиональных криптографов, которые могли бы дать уверенность в гарантированной стойкости советских шифров. Советские «философы» с «классовых позиций» объявили в начале 50-х кибернетику «буржуазной лженаукой», застопорив развитие вычислительной техники для нужд криптографии.
Мартин и Митчелл напомнили обо всем этом своим советским коллегам и вызвали у них настоящий переполох. А что, если деловые американцы у себя в Силиконовой долине по аналогии с английской «бомбой Тюринга» уже сделали какую-нибудь «бомбу Шеннона» для взлома советских шифров? А что, если команда на запуск баллистической ракеты будет перехвачена и расшифрована американцами раньше, чем дойдет до какого-нибудь заполярного Салехарда, и ракету уничтожат, не дав даже взлететь?
Отбросили залихватский сталинский лозунг: «Читать всех, но наши шифры и переписку читать никто не должен». Вместо него стал популярным другой: «Кадры решают все!».
Иван Яковлевич Верченко
Решили звать на помощь настоящих специалистов-криптографов, например, Ивана Яковлевича Верченко. Те, кто принимал тогда, в начале 60-х, решения о реорганизации советской криптографии, в большинстве своем могли не знать результаты Верченко в математике и криптографии, даже не знать подробностей о результатах Шеннона, но рассказ о том, как Верченко осмелился публично возражать Берия, знали все.
К Верченко обратился не кто-нибудь, а сам отдел науки ЦК КПСС. Я не знаю, извинились ли за ту расправу, которую учинил над ним в апреле 1953 года Берия. Важнее то, что поступок Ивана Яковлевича стал для многих последующих поколений советских криптографов ярким и наглядным примером истинной принципиальности и верности своей профессии, своему призванию.
Выходец из простой рабочей семьи, окончивший сельскую трудовую школу, Иван Яковлевич за счет своего трудолюбия и увлеченности математикой смог поступить и окончить мехмат МГУ, защитить кандидатскую и докторские диссертации и в конце 40-х годов стал одним из ведущих математиков СССР. В 1947 году его пригласили на работу в МГБ СССР на наиболее сложный участок исследовательской работы по вопросам анализа и синтеза машинных шифрсистем.
Упоминавшаяся мною выше полемика Верченко с Берией привела к тому, что Верченко был уволен из органов безопасности. И вот в начале 60-х руководство КГБ вспомнило о нем снова. После откровений Мартина и Митчела опять вспомнили, что в криптографии хорошие специалисты важны не менее, чем хорошие офицеры. Значит, нужно готовить хороших специалистов-криптографов. Желательно не переучивать уже сложившихся математиков в криптографов, а обучать математике и криптографии на самом высоком уровне молодых ребят прямо сразу после окончания средней школы. Воссоздать существовавшую еще при ГУСС Высшую школу криптографов.
Еще Ленин писал: «Жить в обществе и быть свободным от общества нельзя. Всякая свобода в буржуазном обществе есть лишь замаскированная, либо лицемерно маскируемая, зависимость от денежного мешка, от подкупа, от содержания». Работа называется, кажется, «Партийная организация и партийная литература», цитирую так, как запомнил со времен изучения марксизма-ленинизма, не заглядывая в ПСС Ленина.
От ВШК к ВКШ
Чудесная идея – воссоздать существовавшую во времена ГУСС Высшую школу криптографов. Но как? «Зависимость от денежного мешка, от подкупа, от содержания» при социализме 60-х годов никто не отменял. К ним добавились еще зависимости от различных идеологических фантазий, от политинформаций, от КПСС с ее партийными собраниями, от общественной нагрузки и прочая, прочая, прочая. В большинстве своем эти зависимости подготовке хороших специалистов никак не способствовали, скорее мешали.
Главное – зависимость от денежного мешка. Нужно привлечь в ВШК лучших преподавателей математики и криптографии, а также заинтересовать наиболее сообразительных молодых ребят перспективой обучения в ВШК. Где взять для этого кучу денег?
В 1949 году роль денежного мешка выполнило опекаемое Сталиным ГУСС при ЦК ВКП(б). В 60-х на воссоздание ГУСС при ЦК КПСС не решились, о чем впоследствии многие жалели, глядя на американское АНБ. Но, видимо, одних откровений Мартина и Митчела было недостаточно, а может не хватило влияния на высшее руководство криптографических лоббистов. Мало ли что рассказывали эти американцы! Денег на ГУСС у нас нет!
Но для ВШК денежный мешок нашелся. И написано на нем было почти то, что надо: ВКШ. Всего-то две буквы поменять местами! А что такое ВКШ? Это Высшая Краснознаменная школа КГБ. От одного слова «Краснознаменная» уже веяло хорошими офицерами. А готовить надо хороших специалистов-криптографов. Но других денежных мешков в начале 60-х для ВШК найти так и не смогли. Попытались использовать ВКШ.
Философия была такой. Да, мы вынуждены использовать для воссоздания ВШК существующую и хорошо финансируемую структуру ВКШ. Но – джентельменские договоренности – все, что мешает подготовке хороших специалистов-криптографов, постараемся минимизировать. В рамках ВКШ создаем отдельный IV (Технический) факультет и негласно устанавливаем там свои особые порядки и собственные критерии отбора студентов на этот факультет. Поступивших на факультет абитуриентов зачисляем на действительную военную службу, именуем слушателями высшего военного учебного заведения и платим им не стипендию, а денежное довольствие слушателя-военнослужащего. Это в 2 с лишним раза выше стипендии обычного студента.
Большинство преподавателей IV факультета получают статус офицеров-военнослужащих и дополнительные оклады за звание.
Денежный мешок для привлечения отличных преподавателей и подготовки хороших специалистов-криптографов заработал.
Теперь – главное. Как не утопить в военизированности нетривиальность мышления, стремление к самостоятельности и свободе творчества будущих специалистов-криптографов? Военизированность должна быть чисто формальной, не доставать своими отрицательными сторонами, короче – быть приемлемой для хорошего специалиста. Это во многом зависит от личности начальника факультета, от его образованности и интеллекта, от преданности математике и криптографии.
Первым начальником IV факультета ВКШ КГБ СССР стал Иван Яковлевич Верченко. У многих выпускников факультета сложилось твердое убеждение, что это был очень удачный выбор. Вот как об этом они сами говорили.