В течение столетий использование простого одноалфавитного шифра замены было достаточным, чтобы обеспечить секретность. Последующее развитие частотного анализа, вначале арабами, а затем в Европе, разрушило его стойкость. Трагическая казнь Марии Стюарт, королевы Шотландии, явилась драматической иллюстрацией слабостей одноалфавитной замены; очевидно, что в поединке между криптографами и криптоаналитиками последние одержали верх. Любой, кто отправлял зашифрованное сообщение, должен был отдавать себе отчет, что опытный дешифровальщик противника может перехватить и раскрыть самые ценные секреты.
Таким образом, криптографы должны были придумать новый, более стойкий шифр, с помощью которого смогли бы перехитрить криптоаналитиков. Хотя такой шифр появился в конце шестнадцатого века, однако его истоки восходят к пятнадцатому веку к флорентийскому энциклопедисту Леону Баттиста Альберти. Альберти родился в 1404 году и был одним из выдающихся личностей Возрождения — художник, композитор, поэт и философ, а также автор первого научного анализа законов перспективы, трактата о комнатной мухе и речи, произнесенной на похоронах своей собаки. Но, пожалуй, более всего он известен как архитектор, спроектировавший первый римский фонтан Треви и написавший первую печатную книгу «Об архитектуре», которая послужила толчком для перехода от готики к архитектуре эпохи Возрождения.
Как-то в шестидесятых годах пятнадцатого века Альберти прогуливался по саду в Ватикане и столкнулся со своим другом, Леонардо Дато, служившим секретарем у папы. Они поболтали; причем Дато завел разговор о криптографии и о сложностях в ней. Этот случайный разговор натолкнул Альберти на мысль написать исследование по этому предмету, наметив в общих чертах, каким, по его мнению, должен быть новый вид шифра. В то время все шифры замены требовали отдельного шифралфавита для зашифровывания каждого сообщения.
Альберти же предложил использовать два или более шифралфавитов, переходя от одного к другому в процессе зашифровывания и сбивая этим с толку возможных криптоаналитиков.
Здесь, например, у нас есть два возможных шифралфавита, и мы можем зашифровать сообщение, используя поочередно то один, то другой. Так, чтобы зашифровать слово hello, мы зашифруем первую букву с помощью первого шифралфавита, так что h превратится в A, вторую же букву мы зашифруем, используя второй шифралфавит, при этом e станет F. Для зашифровывания третьей буквы мы вернемся опять к первому шифралфавиту, а чтобы зашифровать четвертую букву, мы вновь обратимся ко второму шифралфавиту. Благодаря этому, первая l будет зашифрована как P, а вторая l превратится в A. Последняя буква, o, зашифровывается первым шифралфавитом и преобразуется в D. Окончательный вид шифртекста: AFPAD. Основное преимущество системы Альберти заключается в том, что одинаковые буквы в открытом тексте не обязательно останутся одинаковыми в шифртексте, поэтому повторяющиеся l в слове hello зашифровываются различным образом. Точно так же повторяющиеся А в шифртексте являются различными буквами открытого текста, сначала h, а потом l.
Несмотря на то что Альберти совершил самый значительный за более чем тысячу лет переворот в криптографии, он не сумел довести свою идею до целостной системы. Решать эту задачу, основываясь на первоначальной идее Альберти, предстояло уже другим, вначале Иоганну Тритемию, немецкому аббату, родившемуся в 1462 году, затем Джованни Порта, итальянскому ученому, родившемуся в 1535 году, и, наконец, Блезу де Виженеру, французскому дипломату, родившемуся в 1523 году. Виженер познакомился с трудами Альберти, Тритемия и Порта, когда его в двадцать шесть лет послали на два года в Рим с дипломатической миссией. Вначале интерес Виженера к криптографии был чисто практического свойства и связан с дипломатической службой. Но затем, когда ему исполнилось тридцать девять лет, он решил, что накопил уже достаточно денег, чтобы оставить службу, отказаться от карьеры и сосредоточиться на исследованиях. И только потом он детально проверил идеи Альберти, Тритемия и Порта, создав на их основе новый шифр.
Рис. 11 Блез де Виженер
Хотя и Альберти, и Тритемий, и Порта, каждый внесли значительный вклад в создание нового шифра, но этот шифр известен как шифр Виженера, в честь человека, который придал ему окончательный вид. Стойкость шифра Виженера состоит в том, что для зашифровывания сообщения в нем используется не один, а 26 различных шифралфавитов. Шифрование начинается с построения так называемого квадрата Виженера, показанного в таблице 3: алфавит открытого текста с последующими 26 шифралфавитами, каждый из которых сдвинут на одну букву относительно предыдущего алфавита.
Таблица 3 Квадрат Виженера.
Здесь ряд 1 представляет собой алфавит шифра Цезаря со сдвигом на 1 позицию, то есть этот шифралфавит может использоваться в качестве алфавита шифра Цезаря, в котором каждая буква открытого текста заменяется буквой, расположенной в алфавите на одну позицию дальше. Точно так же ряд 2 представляет собой алфавит шифра Цезаря со сдвигом на 2 позиции и так далее.
Верхний ряд квадрата, со строчными буквами, представляет буквы алфавита открытого текста. Вы можете зашифровать каждую букву открытого текста с помощью любого из 26 шифралфавитов. Например, если используется шифралфавит номер 2, то буква a зашифровывается как C, если же используется шифралфавит номер 12, тогда a преобразуется в M.
Если отправитель, чтобы зашифровать сообщение, пользуется только одним из шифралфавитов, то это фактически будет простым шифром Цезаря, который является исключительно нестойким видом шифрования, так что сообщение может быть без труда дешифровано противником, перехватившим его. В шифре же Виженера для зашифровывания различных букв сообщения применяются различные строки квадрата Виженера (различные шифралфавиты). Другими словами, отправитель может зашифровать первую букву с помощью ряда 5, вторую букву с помощью ряда 14, третью букву с помощью ряда 21 и так далее.
Получателю сообщения, чтобы расшифровать его, следует знать, какая из строк квадрата Виженера использовалась для зашифровывания каждой из букв, поэтому должна быть задана система переходов между строками. Это обеспечивается с помощью ключевого слова. Чтобы показать, как применяется ключевое слово с квадратом Виженера для зашифровывания короткого сообщения, зашифруем следующую фразу divert troops to east ridge с помощью ключевого слова WHITE. Прежде всего ключевое слово буква за буквой записывается над сообщением, и его повторяют до тех пор, пока каждой букве в сообщении не будет сопоставлена буква ключевого слова. Далее приступим к созданию шифртекста, что делается следующим образом. Чтобы зашифровать первую букву, d, определим вначале букву ключа над ней, W, которая, в свою очередь задает строку в квадрате Виженера. Именно строка, начинающаяся с буквы W, — двадцать вторая строка, — и является шифралфавитом, который будет использован для нахождения буквы, которой будет заменена буква d открытого текста. Посмотрим, где столбец с буквой d в первой строке пересекается со строкой, начинающейся с буквы W; это будет буква Z.
Следовательно, буква d в открытом тексте будет буквой Z в шифртексте.
Точно так же поступим, чтобы зашифровать вторую букву сообщения, i. Буквой ключа над i является H, поэтому она зашифровывается по другой строке в квадрате Виженера, и новым шифралфавитом будет строка, начинающаяся с буквы H, — седьмая строка. Чтобы зашифровать i, теперь посмотрим, где столбец с буквой i в первой строке пересекается со строкой, начинающейся с буквы Н; это будет буква P.
Поэтому буква i в открытом тексте будет буквой P в шифртексте. Каждая буква ключевого слова задает конкретный шифралфавит в квадрате Виженера, и, поскольку ключевое слово состоит из пяти букв, отправитель зашифровывает сообщение, циклически проходя пять строк квадрата Виженера. Пятая буква сообщения зашифровывается по пятой букве ключевого слова, E, но, чтобы зашифровать шестую букву сообщения, мы должны вернуться к первой букве ключевого слова. При использовании более длинного ключевого слова или, к примеру, ключевой фразы в процесс зашифровывания будет вовлечено большее число строк и шифр усложнится. В таблице 4 приведен квадрат Виженера с выделенными пятью строками (т. е. пятью шифралфавитами), которые определяются ключевым словом WHITE.
Таблица 4 Квадрат Виженера с выделенными строками, которые определяются ключевым словом WHITE. Зашифровывание осуществляется переходом между пятью выделенными шифралфавитами, задаваемыми буквами W, H, I, T и E.
Неоспоримым достоинством шифра Виженера является то, что он неуязвим для частотного анализа, о котором рассказано в главе 1. К примеру, криптоаналитик, применяющий частотный анализ к фрагменту шифртекста, обычно начинает с того, что определяет, какая буква чаще всего встречается в шифртексте — в нашем случае это Z, а затем делает предположение, что она является и наиболее часто встречающейся буквой в английском языке, e. На самом деле буква Z является тремя различными буквами: d, r и s, но не e. Несомненно, что для криптоаналитика это создает сложности. То, что буква, которая несколько раз появляется в шифртексте, может представлять собой различные буквы открытого текста, создает для криптоаналитика огромные затруднения. Равно как и то, что буква, которая появляется несколько раз в открытом тексте, может быть представлена различными буквами в шифртексте. Например, буква о, которая дважды встречается в слове troops, заменяется двумя различными буквами, и oo преобразуется в HS.
Помимо того, что сам шифр Виженера неуязвим для частотного анализа, здесь может использоваться гигантское количество ключей. Отправитель и получатель могут договориться об использовании любого слова из словаря, любой комбинации слов или даже придумать свои слова. А криптоаналитик не сможет дешифровать сообщение перебором всех возможных ключей, так как число возможных вариантов просто слишком огромно.
«Трактат о шифрах», который был опубликован в 1586 году, явился венцом работы Виженера. По иронии судьбы это произошло в тот самый год, когда Томас Фелиппес взломал шифр Марии, королевы Шотландии. Если бы только секретарь Марии прочел этот трактат, он бы узнал о шифре Виженера, и Фелиппес тщетно бы старался дешифровать сообщения Марии Бабингтону, а жизнь Марии могла бы быть спасена.
Благодаря стойкости этого шифра и тому, что он гарантировал секретность, представлялось вполне естественным, если бы шифр Виженера был немедленно принят на вооружение шифровальщиками всей Европы. Разве не помогло бы им, обрети они вновь надежный способ шифрования? Шифровальщики же, напротив, похоже, с презрением отнеслись к шифру Виженера. Этой, казалось бы, безупречной системой в течение двух последующих веков по большей частью пренебрегали.
Традиционные виды шифров замены, которые существовали до появления шифра Виженера, назывались одноалфавитными шифрами замены, поскольку для зашифровывания сообщения в них использовался только один шифралфавит. В отличие от них шифр Виженера относится к классу шифров, известных как многоалфавитные, поскольку здесь для зашифровывания сообщения применяется несколько шифралфавитов. Многоалфавитность шифра Виженера как раз и обеспечивает ему стойкость, но из-за этого же пользоваться им значительно сложнее — вот эта-то необходимость применения дополнительных усилий многим отбивала охоту от его использования.
Одноалфавитный шифр замены прекрасно подходил для многих целей семнадцатого века. Если вы хотели, чтобы ваш слуга не смог прочесть вашу частную переписку или если вы хотели защитить свой дневник от любопытствующих глаз своей жены или мужа, тогда вполне годился этот тип шифра. Одноалфавитная замена выполнялась быстро, она отличалась простотой и обеспечивала защиту от людей, не сведущих в криптоанализе. Фактически простой одноалфавитный шифр замены в той или иной форме служил в течение многих столетий (см. Приложение D). Для более серьезных целей, как, например, военная или правительственная связь, где обеспечение секретности является важнейшей задачей, использование одноалфавитного шифра было явно недостаточно. Профессиональным криптографам в противоборстве с профессиональными криптоаналитиками необходимо было что-то получше, однако они все еще не были расположены применять многоалфавитный шифр из-за его сложности. В частности, для военной связи требовались скорость и простота, а в дипломатических учреждениях ежедневно отправляли и получали сотни сообщений, поэтому время имело существенное значение. Вследствие этого криптографы искали некий промежуточный шифр, взломать который было бы сложнее, чем простой одноалфавитный шифр, но пользоваться которым было бы проще, чем многоалфавитным шифром.
Среди различных кандидатов на такой шифр был поразительно эффективный омофонический шифр замены. Здесь каждая буква заменяется различными подставляемыми символами, причем количество возможных подставляемых символов для какой-либо буквы пропорционально частотности этой буквы. К примеру, частота появления буквы a в английских текстах составляет около 8 процентов, поэтому мы поставим в соответствие этой букве восемь символов. Всякий раз, как в открытом тексте появится буква a, она будет заменена в шифртексте одним из восьми выбираемых случайным образом символов, так что к концу зашифровывания частотность каждого символа в зашифрованном тексте будет составлять примерно 1 процент.
Для сравнения, частотность буквы b составляет всего 2 процента, поэтому этой букве будут соответствовать только два символа. Каждый раз, как в открытом тексте появляется буква b, для ее замены будет выбираться один из двух символов, и к концу зашифровывания частотность каждого символа в зашифрованном тексте также будет составлять около 1 процента. Данный способ назначения каждой букве различного количества символов, заменяющих эти буквы, проводится для всего алфавита, пока мы не доберемся до буквы z, которая появляется настолько редко, что для ее замены потребуется всего один символ. В примере, приведенном в таблице 5, подставляемыми символами в шифралфавите служат двузначные числа, и для каждой буквы в алфавите открытого текста имеется от одного до двенадцати подставляемых символов в зависимости от распространенности каждой из букв.
Мы можем считать, что все двузначные числа, которые соответствуют букве а открытого текста, фактически представляют собой один и тот же звук в шифртексте, то есть звук, соответствующий букве a. Поэтому в названии этого шифра — омофонический — homos по-гречески означает «тот же самый», a phonos — «звук». Смысл использования нескольких вариантов замены для часто встречающихся букв заключается в том, чтобы уравнять частотность появления символов в шифртексте.
Если мы зашифровали сообщение с помощью шифралфавита из таблицы 5, то частота появления каждого из чисел в тексте будет составлять примерно 1 процент. Если ни один из символов не появляется чаще остальных, то любая возможная атака с использованием частотного анализа окажется безуспешной. Абсолютная стойкость? Не совсем.
Для искусного криптоаналитика в шифртексте по-прежнему содержится множество тончайших нитей, ведущих к разгадке. Как мы видели в главе 1, каждая буква в английском языке имеет свои индивидуальные особенности, определяемые ее связью со всеми другими буквами, и эти черты можно разглядеть, даже если шифрование осуществляется путем омофонической замены. В английском языке самым наглядным примером буквы с ярко выраженной особенностью является буква q, после которой всегда стоит только одна буква u.
Таблица 5 Пример омофонического шифра замены. В верхней строке приведен алфавит открытого текста, строки ниже представляют собой шифралфавит с различными вариантами замены для часто встречающихся букв.
Если бы мы попытались дешифровать шифртекст, то мы могли бы начать с того, что подметили бы, что q является редко встречающейся буквой, и поэтому она, по всей видимости, представлена только одним символом; мы также знаем, что u, которая появляется примерно в 3 процентах, представляется тремя символами. Поэтому если мы найдем символ в шифртексте, за которым всегда следуют три определенных символа, то целесообразно предположить, что первым символом является q, а три остальных представляют собой u. Другие буквы распознать сложнее, но и их также можно определить по тому, как они связаны одна с другой. Хотя омофонический шифр можно взломать, но он гораздо более надежен, чем простой одноалфавитный шифр.
Омофонический шифр, возможно, и выглядит как многоалфавитный, поскольку каждая буква открытого текста может быть зашифрована множеством способов, но тут есть одно принципиальное отличие, и в действительности омофонический шифр является одним из видов одноалфавитного шифра. В таблице омофонов, приведенной выше, буква a может быть представлена восемью числами. Существенно то, что эти восемь чисел являются обозначением только буквы a. Другими словами, буква открытого текста может быть представлена несколькими символами, но каждый символ может представлять только одну букву. В многоалфавитном же шифре буква открытого текста также будет представлена различными символами, но больше всего в замешательство приводит тот факт, что в процессе шифрования эти символы будут представлять собой различные буквы.
Пожалуй, основная причина, почему омофонический шифр считается одноалфавитным, заключается в том, что после того, как шифралфавит был определен, он не меняется на протяжении всего процесса шифрования. То, что в шифралфавите заложено несколько возможных вариантов зашифровывания каждой буквы, несущественно. В то же время криптограф, применяющий многоалфавитный шифр, в процессе шифрования должен постоянно переходить от одного шифралфавита к другому.
Улучшив базовый одноалфавитный шифр различными способами, например, добавляя омофоны, становится возможным надежно зашифровать сообщения, не прибегая к сложностям многоалфавитного шифра. Одним из наиболее ярких примеров усовершенствованного одноалфавитного шифра был «великий шифр»[11] Людовика XIV.
«Великий шифр» применялся для зашифровывания наиболее секретных сообщений короля, скрывая детали его планов, замыслов и политических интриг. В одном из этих сообщений упоминалась одна из наиболее загадочных личностей во французской истории, человек в железной маске, но стойкость «Великого шифра» означала, что сообщение останется нерасшифрованным и непрочитанным в течение двух столетий.
«Великий шифр» был придуман Россиньолями, отцом и сыном, Антуаном и Бонавентуром. Антуан впервые приобрел известность в 1626 году. Ему передали зашифрованное письмо, захваченное у курьера, пробирающегося из осажденного города Реальмон, и к концу дня он дешифровал его; из письма стало ясно, что армия гугенотов, которая удерживала город, находится на грани гибели. Французы, которые до этого не подозревали об отчаянном положении гугенотов, вернули письмо вместе с его расшифровкой. Теперь гугеноты знали, что их противник не отступит, и немедленно сдались. Так победа французов явилась результатом дешифрования.
Могущество криптографии стало очевидным, и Россиньоли получили Высокие должности при дворе. После службы у Людовика XIII они продолжали трудиться криптоаналитиками и при Людовике XIV, на которого их работа произвела такое впечатление, что он предоставил им кабинеты рядом со своими апартаментами с тем, чтобы Россиньоли, и отец и сын, могли активно участвовать в формировании французской дипломатической политики. Данью всеобщего восхищения их умению взламывать шифры явилось то, что слово россиньолъ стало французским жаргонным названием отмычки.
Выдающееся мастерство и накопленный опыт по взламыванию шифров позволило Россиньолям понять, как создать более стойкий шифр, и они придумали так называемый «великий шифр». «Великий шифр» оказался настолько надежен, что сумел противостоять усилиям всех криптоаналитиков той эпохи, пытающихся выведать французские секреты, и даже последующих поколений дешифровальщиков. К сожалению, после смерти отца и сына «великий шифр» перестал применяться, а его подробности были быстро утеряны, что означало, что зашифрованные бумаги во французских архивах больше нельзя было прочесть.
Историки понимали, что бумаги, зашифрованные «великим шифром», могли бы дать уникальную возможность разгадать интриги Франции семнадцатого века, но даже к концу девятнадцатого столетия они по-прежнему не могли дешифровать их. В 1890 году Виктор Гендрон, военный историк, изучавший кампании Людовика XIV, разыскал новую серию писем, зашифрованных «великим шифром». Не сумев разобраться в них, он передал их Этьену Базери, выдающемуся эксперту в шифровальном отделе французской армии. Базери расценил эти письма как вызов и потратил следующие три года в попытках дешифровать их.
Зашифрованные страницы содержали тысячи чисел, но только 587 из них были разными. Стало ясно, что «великий шифр» более сложен, чем обычный шифр замены, поскольку для него требовалось всего лишь 26 различных чисел, по одному на каждую букву. Первоначально Базери полагал, что остальные числа являются омофонами и что некоторые числа представляют собой одну и ту же букву. Проверка этого направления заняла месяцы кропотливого труда, но все оказалось напрасным. «Великий шифр» не был омофоническим шифром.
Затем его осенила идея, что каждое число может представлять пару букв, или диграф. Имеется только 26 отдельных букв, но из них можно образовать 676 возможных пар букв, и это примерно равно количеству различных чисел в зашифрованных письмах. Базери попытался провести дешифрование, ища наиболее часто встречающиеся числа в зашифрованных письмах (22, 42, 124, 125 и 341) и предположив, что они, возможно, обозначают самые распространенные французские диграфы (es, en, ou, de, nt). Фактически он применил частотный анализ на уровне пар букв. Но, к сожалению, после нескольких месяцев труда и это предположение не дало никаких осмысленных результатов дешифрования.
Базери, похоже, уже был готов отказаться от этой идеи, когда ему пришло в голову использовать новый подход. Возможно, что мысль с диграфами была не так уж и далека от истины. Он начал обдумывать возможность того, что каждое число представляет не пару букв, а скорее целый слог. Он попытался сопоставить каждое число со слогом: может быть, чаще всего встречающиеся числа обозначают самые распространенные французские слоги.
Базери пробовал разные перестановки, но все они приводили к появлению тарабарщины — до тех пор, пока он не достиг успеха, отыскав одно отдельное слово. На каждой странице несколько раз появлялась группа чисел (124-22-125-46-345), и Базери предположил, что они обозначают les-en-ne-mi-s, то есть «les ennemis». Это оказалось ключевым моментом.
Теперь уже Базери мог проверить остальные отрывки зашифрованных писем, где эти числа появлялись в других словах. Он вставлял в них полученные из «les enemis» слоги, и открывались части уже других слов. Те, кто увлекается решением кроссвордов, знают, что, когда слово частично разгадано, нередко можно просто догадаться об остальной его части. По мере того как Базери определял новые слова, он находил новые слоги, которые, в свою очередь, давали возможность определить очередные слова, и так далее. Нередко он становился в тупик, отчасти из-за того, что силлабические значения никогда не были очевидны, отчасти потому, что некоторые числа представляли простые буквы, а не слоги, а иногда из-за того, что Россиньоли расставили в шифре ловушки. Так, например, одно из чисел не было ни слогом, ни буквой, а использовалось для того, чтобы удалить предыдущее число.
Когда дешифрование завершилось, Базери оказался первым за два столетия человеком, посвященным в тайны Людовика XIV. Вновь открывшиеся сведения привели в восторг историков, которые, в частности, уделяли большое внимание одному из писем, доставлявшее им танталовы муки. Похоже, что будет решена одна из величайших загадок семнадцатого века: кем же в действительности был «Человек в железной маске».
«Человек в железной маске» стал источником массы предположений с того самого момента, как был вначале заключен во французской крепости Пиньероль в Савойе. Когда в 1698 году его переводили в Бастилию, крестьяне старались хоть мельком увидеть этого человека, и каждый по-разному описывал его: низкий и высокий, светловолосый и темный, молодой и старый. Иные даже утверждали, что это был не мужчина, а женщина. Обладая столь ничтожным количеством противоречивых фактов, все, от Вольтера до Бенджамина Франклина, придумывали каждый свою теорию для объяснения истории «Человека в железной маске». Согласно наиболее популярной теории предполагалось, что «Маска» (как его иногда называли) был братом-близнецом Людовика XIV, приговоренным к заключению, дабы избежать любых разногласий в споре, кто является истинным претендентом на трон. В одном из вариантов этой теории приводятся доказательства, что у «Маски» были потомки и он был связан скрытым родством по королевской линии. В памфлете, выпущенном в 1801 году, утверждалось, что сам Наполеон был потомком «Маски», — слух, который император и не отрицал, так как он только укреплял его положение.
История «Маски» даже вдохновила поэтов, прозаиков и драматургов. В 1848 году Виктор Гюго начал создание пьесы «Близнецы», но когда выяснил, что Александр Дюма уже разработал этот же сюжет, то, несмотря на то что два акта уже были написаны, отказался от продолжения работы. С тех пор история «Человека в железной маске» для нас связана с именем Дюма. Успех его романа подкрепил идею, что «Маска» была связана с королевской фамилией, и эта теория сохранилась, несмотря на свидетельства, приведенные в одной из дешифровок Базери.
Базери дешифровал письмо, написанное Франсуа де Лувуа, военным министром при Людовике XIV, в котором тот подробно излагал преступления Вивьена де Булона, командира, ответственного за нападение на город Кунео на французско-итальянской границе. Булон, хотя ему было приказано удерживать свои позиции, испугался наступления австрийских войск и сбежал, бросив снаряжение и оставив на произвол судьбы многих своих раненых солдат. Военный министр заявлял, что такие действия поставили под угрозу всю пьемонтскую кампанию, и из письма ясно, что король расценивал поступок Булона как исключительную трусость:
Его Величество знает лучше, чем кто бы то ни было, последствия такого поступка, и он также осознает, насколько серьезно наша неудача нанесет вред нашему благому делу, неудача, которая должна быть исправлена за зиму. Его Величество желает, чтобы вы немедленно арестовали генерала Булона и препроводили его в крепость Пиньероль, где он должен будет находиться ночью запертым на замок в тюремной камере и под стражей, а днем ему разрешается прогулка по крепостной стене в маске.
Это было явным указанием на узника в маске, заключенного в крепости Пиньероль, на достаточно серьезное преступление, с датами, которые, похоже, соответствуют «Человеку в железной маске». Но раскрывает ли это тайну? Не удивительно, что те, кто отдает предпочтение разгадкам, связанным с заговорами, нашли изъяны в этой версии, по которой «Человеком в железной маске» является Булон. Например, приводится аргумент, что если бы Людовик XIV действительно попытался заключить в тюрьму без огласки своего непризнанного брата-близнеца, то он должен был бы оставить ряд ложных следов. Может быть, зашифрованное письмо как раз и предназначалось для того, чтобы его дешифровали? Может быть, дешифровальщик девятнадцатого века Базери попался в ловушку семнадцатого столетия?
Усиление одноалфавитного шифра посредством применения его к слогам или добавления омофонов оказалось бы вполне достаточным в семнадцатом веке, но к восемнадцатому веку криптоанализ начал приобретать «промышленные» черты, с командами криптоаналитиков, состоящих на службе у правительства и совместно работающих над взломом многих наиболее сложных одноалфавитных шифров. В ведении каждой европейской державы был свой, так называемый «черный кабинет», — мозговой центр, занимающийся дешифрованием сообщений и сбором информации. Самым известным, славящимся строгой дисциплиной и эффективно действующим «черным кабинетом» был Geheime Kabinets-Kanzlei в Вене.
Он работал по жесткому графику, поскольку было жизненно важно, чтобы его гнусная деятельность не влияла на четкий ход работы почтовой службы. Письма, которые следовало доставить в посольства в Вене, вначале поступали в 7 утра в «черный кабинет». Секретари растапливали печати, а несколько стенографистов, работая параллельно, составляли копии писем. Если возникала необходимость, то для копирования документа на редком языке привлекался знающий этот язык специалист. В течение трех часов письма снова раскладывались по конвертам, запечатывались и возвращались в центральное почтовое ведомство, чтобы теперь уже их можно было доставить по назначению. Письма, просто пересылаемые транзитом через Австрию, поступали в «черный кабинет» в 10 утра, а письма, отправляемые из венских посольств за границу, передавались в «черный кабинет» в 4 часа пополудни. Со всех этих писем, перед тем как отправлять их дальше, также снимались копии. Ежедневно через венский «черный кабинет» проходили сотни сообщений.
Затем копии передавались криптоаналитикам, сидевшим в небольших будках в готовности препарировать сообщения, чтобы выискать в них смысл. Венский «черный кабинет» поставлял бесценную информацию императорам Австрии, но, помимо этого, он также продавал собранные им сведения и в другие государства Европы. В 1774 году в обмен на 1000 дукатов аббат Жоржель, секретарь французского посольства, получил возможность дважды в неделю просматривать полученные сведения, а затем отослал письма, в которых, предположительно, содержались секретные планы монархов различных стран, непосредственно Людовику XV в Париж.
«Черные кабинеты» действовали настолько эффективно, что все виды одноалфавитных шифров перестали быть надежными. Столкнувшись с таким профессиональным криптоаналитическим противодействием, криптографы, наконец, оказались вынуждены использовать более сложный, однако и более стойкий шифр Виженера. Постепенно шифровальщики начали переходить на применение многоалфавитных шифров. Наряду с тем, что криптоанализ стал более эффективным, существовала еще одна причина, повлиявшая на переход к более надежным видам шифрования — развитие телеграфа и необходимость защищать телеграммы от перехвата и дешифрования.
Хотя телеграф появился в девятнадцатом столетии, но его история началась еще в 1753 году, когда в шотландский журнал поступило письмо без подписи, в котором описывался способ, с помощью которого, связав отправителя и получателя 26 кабелями, — по одному на каждую букву алфавита, — можно было бы передавать сообщения на значительные расстояния. В этом случае отправитель смог бы передавать сообщение побуквенно, посылая по каждому проводу электрические импульсы. Так, чтобы передать слово hello, отправитель должен вначале послать сигнал по проводу h, затем по проводу e и так далее. Получатель должен будет каким-то образом определить наличие электрического тока в каждом из проводов и прочитать сообщение. Однако этот «быстрый способ передачи сведений», как его назвал изобретатель, так никогда и не был реализован, поскольку для этого необходимо было преодолеть определенные сложности технического характера.
К примеру, инженерам нужна была достаточно чувствительная система для обнаружения электрических сигналов. В Англии сэр Чарльз Уитстон и Уильям Фозерджил Кук создали детекторы из магнитных стрелок, которые отклонялись, когда по кабелю протекал ток. В 1839 году система Уитстона-Кука была опробована для передачи сообщений на расстояние 29 км между железнодорожными станциями в Уэст Дрейтоне и Паддингтоне. Вскоре весть о телеграфе и о том, с какой поразительной скоростью осуществляется связь с его помощью, распространилась по всей Англии, рождение же 6 августа 1844 года в Виндзоре у королевы Виктории второго сына, принца Альфреда, привело к тому, что телеграф приобрел огромную популярность. Новость о рождении сына была передана по телеграфу в Лондон, а уже через час на улицах появилась газета «Таймс» с объявлением об этом событии. На следующий год телеграф получил еще большую известность, когда с его помощью был задержан Джон Тейвел, убивший в городке Слау свою госпожу и попытавшийся скрыться, вскочив на направляющийся в Лондон поезд. Местная полиция передала по телеграфу в Лондон описание Тейвела, и, как только он прибыл в Паддингтон, был сразу же арестован.
Тем, временем в Америке Сэмюэль Морзе как раз организовал свою первую телеграфную линию, протянувшуюся на 60 км между Балтимором и Вашингтоном. Для усиления сигнала Морзе использовал электромагнит; в результате приходящий получателю сигнал был достаточно сильным, чтобы на бумаге можно было напечатать ряд коротких и длинных знаков — точек и тире. Он также придумал код, носящий в настоящее время название «код Морзе», в котором каждая буква алфавита представлена в виде серии точек и тире и который приведен в таблице 6, и создал аппарат «клопфер», с помощью которого получатель мог принимать на слух каждую букву как последовательность точек и тире.
В Европе телеграф, созданный с использованием принципа Морзе, постепенно вытеснил систему Уитстона-Кука, а в 1851 году на континенте была принята европейская форма кода Морзе, куда вошли буквы со знаком ударения. С каждым годом код Морзе и телеграф во все большей степени оказывали влияние на мир, помогая полиции задерживать преступников, а газетам доносить до читателей самые свежие новости, предоставляя ценную информацию для делового мира и давая возможность далеко расположенным друг от друга компаниям мгновенно заключать сделки.
Однако главной заботой было обеспечить защиту этой связи. Код Морзе по своей сути не является видом криптографии, потому что здесь не происходит сокрытия сообщения. Точки и тире являются просто удобным способом представления букв для передачи по телеграфу, и этот код является ни чем иным, как алфавитом другого вида. Проблема обеспечения безопасности возникла главным образом из-за того, что тот, кто хотел послать сообщение, должен был передать это сообщение телеграфисту, который, перед тем как его передавать, должен был вначале его прочесть. Телеграфисты имели доступ ко всем сообщениям, и поэтому существовала опасность, что какая-нибудь компания могла бы подкупить телеграфиста для получения доступа к переписке конкурента. Эта проблема была изложена в статье, посвященной телеграфу и опубликованной в 1853 году в английском журнале «Ежеквартальное обозрение»:
Следует также принять меры, чтобы устранить один крупный недостаток, ныне ощущаемый при отправке частных сообщений по телеграфу, — полное нарушение секретности, поскольку в любом случае полдюжины людей должны знать каждое слово, адресованное одним человеком другому. Служащие английской телеграфной компании принесли клятву о сохранении секретности, но мы часто пишем такие вещи, что видеть посторонних людей, читающих их перед нашими глазами, невыносимо. Это серьезный недостаток телеграфа, и его необходимо устранить тем или иным способом.
Таблица 6 Символы международного кода Морзе.
Решение заключалось в шифровании сообщения перед тем, как передать его телеграфисту. После этого телеграфист переводил зашифрованный текст в код Морзе и передавал его. Шифрование, помимо того что не давало возможности телеграфистам знакомиться с содержанием текста, также сводило на нет усилия любого шпиона, который мог подключиться к телеграфному проводу. Многоалфавитный шифр Виженера явно был наилучшим способом обеспечения секретности для важной деловой переписки. Этот шифр считался невзламываемым и получил название нераскрываемый шифр. Хотя бы на время, но криптографы добились явного превосходства над криптоаналитиками.
Наиболее любопытной фигурой в криптоанализе девятнадцатого века был Чарльз Бэббидж, эксцентричный английский гений, более всего известный разработкой прототипа современного компьютера. Чарльз Бэббидж родился в 1791 году в семье Бенджамина Бэббиджа, богатого лондонского банкира. Когда Чарльз женился без отцовского благословения, доступ отныне к состоянию Бэббиджа был ему закрыт, но все же у него хватало средств, чтобы быть финансово независимым, и он вел жизнь свободного ученого, занимаясь всем, что занимало его воображение. Среди его изобретений были спидометр и скотосбрасыватель — приспособление, которое могло крепиться перед паровозом и предназначенное для освобождения железнодорожных путей от скота. Что касается научных открытий, то Бэббидж был первым, кто догадался, что ширина годовых колец дерева зависит от того, какая погода была в том году, когда образовалось кольцо. На основании этого Бэббидж пришел к выводу, что, изучая древние деревья, можно определить, каким был климат в прошлом. Он также интересовался статистикой и в качестве развлечения составил набор статистических таблиц смертности — основной инструмент современного страхового дела.
Бэббидж не ограничивался только научными и техническими проблемами. Стоимость пересылки письма обычно зависит от расстояния, но Бэббидж показал, что затраты на подсчет стоимости каждого письма превышают стоимость почтовых расходов. Вместо этого он предложил систему, которой мы продолжаем пользоваться и по сей день: единая цена для всех писем, независимо от того, где проживает адресат. Его также интересовали политика и социальные проблемы; к концу своей жизни он начал кампанию за то, чтобы избавиться от бродивших по Лондону шарманщиков и уличных музыкантов. Он жаловался, что «зачастую под музыку танцуют малолетние уличные оборванцы, а иногда и полупьяный люд, которые своими визгливыми голосами порой присоединяются к шуму.
Еще одной группой больших приверженцев уличной музыки являются леди легкого поведения с гибкими понятиями о морали и свободных взглядов, которым она дает изрядный повод для демонстрации своих прелестей в открытых окнах». В ответ музыканты собирались большими группами вокруг его дома и играли как можно громче.
Поворотным моментом в научной карьере Бэббиджа стал 1821 год, когда они с астрономом Джоном Гершелем проверяли наборы математических таблиц, используемых для астрономических, инженерных и навигационных расчетов. Они* оба негодовали по поводу огромного количества ошибок в таблицах, которые, в свою очередь, приводили к ошибкам в важных вычислениях. Так, например, только в «Навигационных астрономических таблицах для определения широты и долготы на море» было больше тысячи ошибок. Вот именно эти-то ошибки и приводили к многочисленным кораблекрушениям и авариям.
Математические таблицы рассчитывались вручную, а потому ошибки в них были просто результатом ошибок вычислений, выполняемых человеком. Это вынудило Бэббиджа воскликнуть: «Как бы мне хотелось, чтобы эти вычисления выполнялись паром!» Тем самым было положено начало попыткам построить машину, способную безошибочно вычислять таблицы с высокой степенью точности. В 1823 году Бэббидж разработал «разностную машину № 1» — великолепный вычислитель, состоящий из 25 000 точно подогнанных деталей, который предполагалось создать с помощью финансирования за счет государственных средств. Бэббидж был блестящим изобретателем, но никак не великим конструктором. После десяти лет тяжелого труда он отказался от «разностной машины № 1», придумал абсолютно новую конструкцию и принялся за создание «разностной машины № 2».
Когда Бэббидж отказался от своей первой машины, правительство потеряло в него веру и решило списать убытки, отказавшись от участия в проекте — оно уже и так потратило 17 470 фунтов, — достаточно, чтобы построить пару линкоров. Возможно, что именно этот отказ в поддержке побудил Бэббиджа позднее посетовать: «Предложите англичанину какую-нибудь идею или какой-нибудь инструмент, и, как бы она ни была превосходна, Вы увидите, что все усилия английского ума будут направлены на поиск в ней недостатков, изъянов или ее неосуществимости. Если Вы обсуждаете с ним машину для очистки картофеля, он заявит, что создать ее невозможно; если Вы очистите ею картофель перед его глазами, он объявит ее бесполезной, потому что она не режет ананас ломтиками».
Рис. 12 Чарльз Бэббидж
Отсутствие финансовой поддержки со стороны правительства означало, что Бэббидж никогда не сможет закончить «разностную машину № 2». Трагедия заключалась в том, что машина Бэббиджа являлась как бы ступенькой на пути создания аналитической машины.
Аналитическая машина могла не просто рассчитывать определенный набор таблиц, а решать различные математические задачи в зависимости от задаваемых ей инструкций. Фактически аналитическая машина являлась прототипом современных компьютеров. В ее конструкцию входили «хранилище» (память) и «мельница» (процессор), благодаря которым она могла принимать решения и повторять выполнение команд, что эквивалентно командам «If… then…» и «цикл» в современном программировании.
Столетием позже, во время Второй мировой войны, первые электронные воплощения машины Бэббиджа оказали значительное влияние на криптоанализ, однако и при жизни Бэббидж внес существенный вклад в этом направлении: ему удалось взломать шифр Виженера, и это стало величайшим достижением в криптоанализе с тех пор, как арабские ученые в девятом веке взломали одноалфавитный шифр, изобретя частотный анализ. Для этого Бэббиджу не потребовалось проводить никаких вычислений или сложных выкладок. Единственное, что оказалось необходимым, это сообразительность.
Бэббидж заинтересовался шифрами в очень юном возрасте. Позднее он вспоминал, как его детское увлечение временами доставляло ему неприятности: «Старшие ребята придумывали шифры, но если мне попадалось хотя бы несколько слов, то я, как правило, находил ключ. Последствия этого бывали подчас болезненны: владельцы раскрытых шифров иногда задавали мне трепку, хотя виной всему была их собственная глупость». Эти колотушки не обескураживали Бэббиджа; криптоанализ по-прежнему пленял его. В своей автобиографии он писал: «…дешифрование, на мой взгляд, является одним из самых захватывающих искусств».
Очень скоро он приобрел известность в лондонском обществе как дешифровальщик, готовый взяться за любое зашифрованное сообщение, и к нему стали обращаться со всевозможными задачами. Так, Бэббидж помог отчаявшемуся биографу, пытающемуся дешифровать стенографические записи Джона Флемстида, первого королевского астронома Англии. Он также пришел на помощь историку, разгадывающему шифр Генриетты-Марии, жены Карла I. В 1854 году Бэббидж сотрудничал с адвокатом и использовал криптоанализ, чтобы представить в судебном разбирательстве решающее доказательство. За эти годы он собрал значительную картотеку зашифрованных сообщений, которые он собирался использовать в качестве основы для авторитетной книги по криптоанализу под названием «Основные принципы дешифрования». В книге были бы даны по два примера каждого вида шифра; на одном из примеров было бы показано, как взломать шифр, а второй предназначался бы в качестве упражнения для читателя. К сожалению, как это случилось и со множеством других его грандиозных замыслов, книга не была закончена.
Несмотря на то что большинство криптоаналитиков уже оставили всякую надежду когда-либо взломать шифр Виженера, Бэббиджа побудил попытаться дешифровать его обмен письмами с Джоном Холом Бруком Твэйтсом, дантистом из Бристоля, имевшим довольно наивное представление о шифрах. В 1854 году Твэйтс заявил, что он придумал новый шифр, который по сути был аналогичен шифру Виженера. Он написал в «Джорнел оф зе Сэсайети оф Артс» с намерением запатентовать свою идею, явно не осознавая, что опоздал на несколько столетий. Бэббидж написал в журнал, указав, что «данный шифр… известен уже очень давно и его можно найти во многих книгах». Твэйтс был непримирим и потребовал от Бэббиджа, чтобы тот раскрыл его шифр. Можно ли было взломать этот шифр или нет, никак не зависело от того, был ли он старым или новым, но любопытство Бэббиджа было достаточно разбужено, чтобы попробовать найти слабое место в шифре Виженера.
Взламывание сложного шифра напоминает восхождение по обрывистой отвесной скале. Криптоаналитик стремится отыскать любую трещинку или выступ, которые могли бы дать хоть сколь-нибудь мельчайшую зацепку. В одноалфавитном шифре криптоаналитик будет отталкиваться от частотности появления букв, потому что чаще всего встречающиеся буквы, как, например, e, t и а, будут просто бросаться в глаза, независимо от того, как они были замаскированы. В многоалфавитном же шифре Виженера буквы появляются более равномерно, поскольку для перехода от одного шифралфавита к другому применяется ключевое слово. Поэтому на первый взгляд поверхность скалы кажется совершенно ровной.
Вспомните, что исключительная стойкость шифра Виженера обеспечивается тем, что одна и та же буква будет зашифрована различными способами. Например, если ключевым будет слово KING, тогда каждая буква в открытом тексте может быть зашифрована четырьмя различными способами, потому что в ключевом слове содержится четыре буквы. Как показано в таблице 7, каждая буква ключевого слова задает различные шифралфавиты в квадрате Виженера. Здесь в квадрате выделен столбец e, чтобы показать, почему зашифровывание, в зависимости от того, какой буквой ключевого слова задается шифрование, происходит различным образом:
Если для зашифровывания буквы e используется K из слова KING, то в шифртексте будет стоять буква O.
Если для зашифровывания буквы e используется I из слова KING, то в шифртексте будет стоять буква M.
Если для зашифровывания буквы e используется N из слова KING, то в шифртексте будет стоять буква R.
Если для зашифровывания буквы e используется G из слова KING, то в шифртексте будет стоять буква К.
Точно так же различными способами будут зашифрованы и цельте слова: слово the, например, в зависимости от его положения относительно ключевого слова, может быть зашифровано как DPR, BUK, CNO или ZRM. Хотя это и усложняет проведение криптоанализа, но он все же возможен. Следует отметить следующий важный, момент: если существует всего лишь четыре способа зашифровывания слова the, и если в исходном тексте это слово появляется несколько раз, то некоторые из этих четырех возможных зашифрованных слов почти наверняка встретятся в шифртексте. Это показано в следующем примере, где строка The Sun and the Man in the Moon была зашифрована с помощью шифра Виженера и ключевого слова KING.
Слово the зашифровывается как DPR в первом случае и как BUK во втором и третьем случаях. Причина повторного появления BUK заключается в том, что второе the отстоит от третьего the на восемь букв, а восемь кратно длине ключевого слова, которое состоит из четырех букв. Другими словами, второе the было зашифровано в соответствии с тем, как оно располагается относительно ключевого слова (the находится прямо под ING), и к тому моменту, как мы дойдем до третьего the, ключевое слово повторится точно два раза.
Таблица 7 Квадрат Виженера, применяемый совместно с ключевым словом KING. Ключевое слово задает четыре различных шифралфавита, так что буква e может быть зашифрована как O, M, R или К.
Бэббидж понял, что такой характер повторения дает ему точку опоры, которая необходима, чтобы раскрыть шифр Виженера. Он сумел определить ряд сравнительно простых действий, следуя которым любой криптоаналитик сможет взломать до того момента нераскрываемый шифр. Чтобы продемонстрировать его блистательный метод, представим себе, что у нас есть перехваченный шифртекст, представленный на рисунке 13. Мы знаем, что он был зашифрован с помощью шифра Виженера, но нам ничего не известно об исходном сообщении, и ключевое слово представляет для нас загадку.
Первый этап криптоанализа Бэббиджа заключался в том, чтобы отыскать последовательности букв, которые появляются в шифртексте более одного раза. Существуют две причины, почему могут возникнуть такие повторения. Первая, и наиболее вероятная, состоит в том, что одна и та же последовательность букв в открытом тексте была зашифрована с помощью одной и той же части ключа. Но есть также определенная, хотя и незначительная, вероятность того, что две разных последовательности букв в открытом тексте, зашифрованных различными частями ключа, случайно образуют идентичные последовательности в шифртексте.
Рис. 13 Шифртекст, созданный с помощью шифра Виженера.
Если мы ограничимся только длинными последовательностями, например, как в данном случае, когда будем рассматривать повторяющиеся последовательности, только если они состоят из четырех или более букв, то вторая причина станет практически нереализуемой и ее можно будет в расчет не принимать. В таблице 8 приведены эти повторяющиеся последовательности, а также указаны интервалы между повторениями этих последовательностей. К примеру, последовательность E-F-I-Q появляется в первой строке шифртекста, а затем в пятой строке; интервал составляет 95 букв.
Ключевое слово, помимо того что оно служит для преобразования открытого текста в зашифрованный, используется также получателем, чтобы расшифровать зашифрованный текст. Поэтому, если бы мы смогли определить ключевое слово, то дешифровать текст было бы очень просто. На этом этапе у нас нет пока достаточно информации, чтобы подобрать ключевое слово, но таблица 8 дает несколько очень ценных подсказок о его длине. Здесь перечислены, какие последовательности повторяются и интервал между этими повторениями, а остальная часть таблицы посвящена определению множителей интервала между повторениями — чисел, на которые можно разделить нацело интервал между повторениями.
Например, последовательность W-C–X-Y-M повторяется через 20 букв, так что множителями будут числа 1, 2, 4, 5, 10 и 20, поскольку на них 20 делится без остатка. Эти множители означают наличие шести возможностей:
(1) Длина ключа составляется 1 букву, и он повторяется 20 раз.
(2) Длина ключа составляется 2 буквы, и он повторяется 10 раз.
(3) Длина ключа составляется 4 буквы, и он повторяется 5 раз.
(4) Длина ключа составляется 5 букв, и он повторяется 4 раза.
(5) Длина ключа составляется 10 букв, и он повторяется 2 раза.
(6) Длина ключа составляется 20 букв, и он повторяется 1 раз.
Первая возможность может быть исключена, так как ключ, длина которого составляет всего 1 букву, сразу же приводит к одноалфавитному шифру; для шифрования всего текста будет использоваться только одна строка квадрата Виженера, и шифралфавит не будет меняться. Крайне маловероятно, чтобы криптограф так поступил. Чтобы показать все другие возможности, в соответствующей колонке таблицы 8 поставлен символ Ѵ. Каждый символ Ѵ указывает возможную длину ключа.
Чтобы определить, какова длина ключа, то есть будет ли она составлять 2,4, 5,10 или 20 букв, нам понадобится рассмотреть множители и всех остальных интервалов между повторениями. Поскольку, по всей видимости, длина ключевого слова составляет 20 букв или меньше, в таблице 8 для всех этих интервалов указаны те множители, которые не превышают 20. Здесь явно прослеживается тенденция делимости интервалов на 5. Фактически на 5 делятся все интервалы. Первая повторяющаяся последовательность, E-F-I-Q, может быть объяснена следующим образом: ключевое слово длиной 5 букв девятнадцать раз повторяется между первой и второй последовательностями. Вторая повторяющаяся последовательность, P-S-D-L-P, может быть объяснена тем, что между первой и второй последовательностями ключевое слово длиной 5 букв повторилось только один раз.
Третья повторяющаяся последовательность, W-С-X-Y-M, может быть объяснена тем, что ключевое слово длиной 5 букв между первой и второй последовательностями повторилось четыре раза. Четвертая повторяющаяся последовательность, E-T-R-L, может быть объяснена тем, что ключевое слово длиной 5 букв между первой и второй последовательностями повторилось двадцать четыре раза. Короче говоря, все указывает на наличие пятибуквенного ключевого слова.
Предположим, что длина ключевого слова действительно составляет 5 букв; тогда следующий этап будет заключаться в том, чтобы найти эти буквы. Пока обозначим ключевое слово в виде L1-L2-L3-L4-L5, где L1 будет первой буквой ключевого слова, L2 — второй, и так далее. Тогда процесс шифрования начнется с зашифровывания первой буквы открытого текста в соответствии с первой буквой ключевого слова Буква определяет строку квадрата Виженера и, тем самым, задает одноалфавитный шифр замены для первой буквы открытого текста. Однако когда наступает время для зашифровывания второй буквы открытого текста, криптограф должен использовать L2, чтобы определить другую строку квадрата Виженера, задавая тем самым уже иной одноалфавитный шифр замены. Третья буква открытого текста будет зашифровываться в соответствии с L3, четвертая — в соответствии с L4, а пятая — в соответствии с L5. Каждая буква ключевого слова задает для шифрования свой отличающийся шифралфавит. Но затем шестая буква открытого текста будет опять зашифровываться в соответствии с L1, седьмая буква — в соответствии с L2, и далее цикл повторяется. Другими словами, в нашем случае многоалфавитный шифр состоит из пяти одноалфавитных шифров, причем каждый одноалфавитный шифр отвечает за шифрование 1/5 части всего сообщения. Но самое главное состоит в том, что нам уже известно, как проводить криптоанализ одноалфавитных шифров.
Таблица 8 Повторяющиеся последовательности и интервалы между ними в шифртексте.
Поступим следующим образом. Мы знаем, что одна из строк квадрата Виженера, определяемая буквой задает шифралфавит, которым зашифрованы 1-я, 6-я, 11-я, 16-я… буквы сообщения. Поэтому если возьмем 1-ю, 6-ю, 11-ю, 16-ю… буквы шифртекста, то мы сможем применить добрый, старый частотный анализ для определения данного шифралфавита. На рисунке 14 показано частотное распределение букв, которые стоят на 1-м, 6-м, 11-м, 16-м… местах шифртекста; это буквы W, I, R, E… Здесь следует напомнить, что каждый шифралфавит в квадрате Виженера — это просто обычный алфавит, сдвинутый на 1… 26 позиций. Поэтому частотное распределение на рисунке 14 должно иметь те же особенности, что и частотное распределение стандартного алфавита, за исключением того, что оно будет сдвинуто на некоторое расстояние. Сравнивая распределение L1 со стандартным распределением, можно определить величину сдвига. На рисунке 15 показано стандартное частотное распределение для отрывка английского открытого текста.
В стандартном распределении имеются пики, плато и впадины, и, чтобы сравнить его с распределением шифра L1 поищем наиболее заметные особенности и их комбинации. Так, весьма характерную особенность в стандартном распределении (рис. 15) составляют три пика у R-S-T и длинная ложбина справа от них, которая захватывает шесть букв от U до Z включительно. В распределении (рис. 14) есть только один похожий участок с тремя пиками у V-W-X и последующей впадиной, простирающейся вдоль шести букв от Y до D. А это означает, что все буквы, зашифрованные в соответствии с L1 были сдвинуты на четыре позиции, и L1 определяет шифралфавит, который начинается с E, F, G, Н…, то есть первая буква ключевого слова, L1 это, по всей видимости, E. Данное предположение может быть проверено путем сдвига распределения на четыре буквы назад и сравнения его со стандартным распределением. На рисунке 16 даны для сравнения оба распределения. Совпадение между основными пиками очень хорошее, так что нет никаких сомнений, что ключевое слово действительно начинается с буквы E.
Рис. 14 Частотное распределение букв в зашифрованном с помощью шифралфавита L1 тексте (число появлений букв).
Рис. 15 Стандартное частотное распределение букв (число появлений букв на основе отрывка открытого текста, содержащего то же самое количество букв, что и в шифртексте).
Подведем итоги. Поиск повторений в шифртексте позволил нам определить длину ключевого слова, которое, как оказалось, состоит из пяти букв. Это позволило нам разделить шифртекст на пять частей, где каждая часть зашифрована с помощью шифра одноалфавитной замены, который определяется одной буквой ключевого слова. При анализе той части шифртекста, которая была зашифрована в соответствии с первой буквой ключевого слова, мы смогли показать, что эта буква, L1, является, по-видимому, буквой E. Этот же прием применяется и для поиска второй буквы ключевого слова. Выясняется распределение частот появления 2-й, 7-й, 12-й, 17-й… букв в шифртексте, и получившееся распределение, приведенное на рисунке 17, снова сравнивается со стандартным распределением, после чего находится величина сдвига.
Это распределение анализировать сложнее. Явных кандидатов для трех соседствующих пиков, которые соответствуют буквам R-S-T, не находится. Однако отчетливо видна ложбина, которая тянется от G до L и которая, видимо, соответствует ложбине, идущей от U до Z в стандартном распределении. Если это так, то можно ожидать, что пики, соответствующие R-S-T, появятся у букв D, E и F, однако пика у буквы E не наблюдается.
Рис. 16 Распределение L1 сдвинутое на четыре буквы назад (вверху), в сравнении со стандартным частотным распределением (внизу). Совпадают все основные пики и впадины.
Рис. 17 Частотное распределение букв в зашифрованном с помощью шифралфавита L2 тексте (число появлений букв).
Забудем пока об отсутствующем пике, посчитав его статистическим выбросом, и продолжим наш анализ, предполагая, что ложбина от G до L как раз и является той самой отличительной особенностью. Отсюда следует, что все буквы, зашифрованные в соответствии с L2, были сдвинуты на двенадцать позиций, и L2 определяет шифралфавит, который начинается с M, N, O, P…, то есть второй буквой ключевого слова, L2, является M. Данное предположение вновь может быть проверено путем сдвига распределения L2 на двенадцать букв назад и сравнения его со стандартным распределением.
На рисунке 18 даны для сравнения оба распределения. Совпадение между основными пиками очень хорошее, так что нет никаких сомнений, что второй буквой ключевого слова действительно является M.
Рис. 18 Распределение L2, сдвинутое назад на двенадцать букв (вверху), в сравнении со стандартным частотным распределением (внизу). Совпадают все основные пики и впадины
Я не буду продолжать дальнейшее рассмотрение; достаточно сказать, что при анализе 3-й, 8-й, 13-й… букв третьей буквой ключевого слова будет буква I, при анализе 4-й, 9-й, 14-й… букв четвертой буквой ключевого слова будет L, а при анализе 5-й, 10-й, 15-й… букв пятой буквой ключевого слова будет Y. Ключевым словом является EMILY. Теперь можно завершить криптоанализ. Первая буква шифртекста — W, и она была зашифрована в соответствии с первой буквой ключевого слова E. Будем действовать в обратном порядке: возьмем квадрат Виженера и поищем W в ряду, начинающемся с буквы E, а затем посмотрим, какая буква находится вверху этого столбца. Этой буквой будет буква в, которая и будет первой буквой открытого текста. Повторяя эту операцию шаг за шагом, мы получим открытый текст, который начинается следующим образом: sittheedow-nandhavenoshamecheekbyjol… Вставив в соответствующих местах пробелы между словами и знаки пунктуации, приведем открытый текст к окончательному виду:
Sit thee down, and have no shame,
Cheek by jowl, and knee by knee:
What саге I for any name?
What for order or degree?
Let me screw thee up a peg:
Let me loose thy tongue with wine:
Callest thou that thing a leg?
Which is thinnest? thine or mine?
Thou shalt not be saved by works:
Thou hast been a sinner too:
Ruined trunks on withered forks,
Empty scarecrows, I and you!
Fill the cup, and fill the can:
Have a rouse before the morn:
Every moment dies a man,
Every moment one is born.
Это стихи из поэмы Альфреда Теннисона «Видение греха». Ключевым словом оказалось первое имя жены Теннисона, Эмилии Селлвуд. Я выбрал в качестве примера криптоанализа отрывок этой замечательной поэмы, так как именно он побудил Бэббиджа направить письмо великому поэту. Будучи строгим ревнителем статистики и составителем таблиц смертности, Бэббидж не был согласен со строками: «Каждую минуту умирает человек, Но каждую минуту человек рождается», — последними строками приведенного выше незашифрованного текста. И он предложил подправить «во всем остальном превосходную» поэму Теннисона:
Следует указать, что если это было бы так, то тогда численность населения Земли не менялась бы… поэтому я беру на себя смелость предложить, чтобы в следующем издании Вашей поэмы Вы исправили бы эти строчки следующим образом: «Каждую минуту умирает человек, Но 11/16 человека рождается»…На самом деле число настолько длинное, что я не могу записать его в одну строку, но полагаю, что 11/16 будет достаточно точным для поэзии.
Остаюсь в Вашем распоряжении,
По-видимому, успеха во взломе шифра Виженера Бэббидж добился в 1854 году, вскоре после разногласий с Твэйтсом, но о его открытии никто так и не узнал, потому что Бэббидж не опубликовал его. Это обнаружилось только в двадцатом веке, когда ученые принялись разбирать его многочисленные заметки. А тем временем этот же способ независимо от Бэббиджа был найден Фридрихом Вильгельмом Касиски, отставным офицером прусской армии. С 1863 года, когда он опубликовал в «Die Geheimschriften und die Dechiffrirkunst» («Тайнопись и искусство дешифрования») работу о своем крупном открытии в криптоанализе, этот алгоритм известней как «тест Касиски», имя же Бэббиджа и его вклад вспоминают нечасто.
Так почему же Бэббидж не сообщил о том, что он сумел взломать этот имеющий столь важное значение шифр? Несомненно, была у него такая привычка — бросать незавершенными значительные и многообещающие начинания и не сообщать о своих открытиях, и в данном случае это могло бы являться просто еще одним примером его равнодушного к этому отношения. Имеется, однако, и другое объяснение. Бэббидж сделал свое открытие вскоре после того, как разразилась Крымская война, а в одной из теорий было выдвинуто предположение, что оно давало Британии явное преимущество над Россией, ее противником. Вполне возможно, что британская секретная служба потребовала от Бэббиджа, чтобы он сохранил свою работу в секрете, тем самым обеспечив себе девятилетнюю фору перед остальным миром. И если это так, то это полностью соответствует многолетней традиции умалчивания о достижениях в области криптоанализа в интересах национальной безопасности, — обычай, который сохранился и в двадцатом столетии.
Благодаря достижениям Чарльза Бэббиджа и Фридриха Касиски шифр Виженера более не был безопасным. Теперь, когда криптоаналитики вновь обрели контроль в коммуникационной войне, криптографы не могли гарантировать секретности. Хотя они и пытались разрабатывать новые шифры, но во второй половине девятнадцатого столетия не появилось ничего существенного, и профессиональные криптографы были в смятении. Однако как раз в это же самое время у широкой публики появился огромный интерес к шифрам.
Развитие телеграфа, которое вызвало рост интереса коммерческого характера к криптографии, привело также и к формированию общественного интереса к ней. Люди осознали необходимость защищать свои сообщения сугубо личного характера, и если в том возникала необходимость, то применялось шифрование, хотя это и требовало больше времени на их отправку, тем самым увеличивая стоимость телеграмм. Скорость работы телеграфистов, использовавших азбуку Морзе, с открытым незашифрованным английским текстом доходила до 35 слов в минуту, поскольку они могли запоминать фразы целиком и целиком же передавать их, в то время как передавать мешанину букв, которые образуют шифртекст, получалось значительно медленнее, потому что телеграфист должен был постоянно обращаться к письменному сообщению отправителя, чтобы проверять порядок следования букв. Шифры, используемые широкими массами, не смогли бы противостоять профессиональному криптоаналитику, но их вполне хватало для защиты от посторонних людей, любящих совать нос не в свои дела.
По мере того как люди все увереннее выполняли шифрование, они начинали выражать свое умение в криптографии разнообразными способами. Например, юным влюбленным в викторианской Англии часто запрещалось в открытую выражать свои чувства, и они не могли даже переписываться, поскольку их родители могли перехватить письмо и прочитать его. В результате этого влюбленные стали посылать друг другу зашифрованные сообщения посредством газетной колонки частных объявлений. Эти «объявления о розыске родных», как их стали называть, вызвали любопытство криптоаналитиков, которые стали просматривать объявления и старались дешифровать их содержание. Как было известно, не отказывал себе в этом даже Чарльз Бэббидж со своими друзьями* сэром Чарльзом Уитстоном и бароном Леоном Плейфером, которые вместе разработали шифр Плейфера (приведен в Приложении E). Как-то раз Уитстон расшифровал объявление в «Таймс» от оксфордского студента, который предлагал тайно бежать своей возлюбленной. Спустя несколько дней Уитстон поместил свое собственное сообщение, зашифрованное тем же самым шифром, советуя паре не действовать так бунтарски и поспешно. Вскоре после этого там же появилось и третье сообщение, уже от леди, на сей раз незашифрованое: «Дорогой Чарли, больше не пиши. Наш шифр раскрыт».
Со временем в газетах появлялось всё большее количество разнообразных зашифрованных объявлений. Криптографы начали помещать там зашифрованные сообщения, просто чтобы бросить вызов своим коллегам. В других случаях зашифрованные объявления использовались в целях критики общественных деятелей или организации. Однажды «Таймс» разместила следующее сообщение, содержащее в себе непреднамеренно зашифрованный подтекст: «“Таймс” — это Джеффрис прессы». Газета, по сути, приравняла себя печально известному судье-вешателю семнадцатого века Джеффриру, что означало, что она являлась жестоким, беспощадным печатным органом, который действовал как рупор правительства.
Еще одним примером знакомства общества с криптографией было широко распространенное использование булавочных проколов для шифрования сообщений. Древнегреческий историк Эней Тактик предлагал передавать тайные послания прокалывая точечные отверстия под определенными буквами во внешне безобидном тексте, точно так же, как поставлены точки под некоторыми буквами в этом абзаце. С помощью этих букв получатель, которому предназначается это секретное послание, сможет легко его прочесть. Однако если страницу будет разглядывать кто-то еще, то он, скорее всего, не обратит внимания на крошечные булавочные проколы и не будет подозревать о наличии секретного послания. Спустя два тысячелетия британцы применяли точно такой же криптографический метод, правда, не для того, чтобы обеспечить секретность переписки, а просто чтобы избежать чрезмерных почтовых расходов. До модернизации почтовой системы в середине девятнадцатого столетия стоимость отправки письма составляла примерно один шиллинг на каждые сто миль, что было не по средствам для большинства людей. Однако газеты можно было отправить по почте бесплатно, и это стало лазейкой для бережливых англичан Викторианской эпохи. Вместо того чтобы писать и отправлять письма, люди начади пользоваться булавочными проколами, чтобы составить сообщение на титульном листе газеты. После чего они посылали газету через почтовое отделение, не платя ни пенни.
Растущая притягательность криптографических методов для широкой публики означала, что очень скоро коды и шифры стали использоваться в литературе девятнадцатого столетия. В романе Жюль Верна «Путешествие к центру Земли» дешифрование пергамента, заполненного руническими письменами, явилось первым шагом героического путешествия. Эти письмена представляют собой часть шифра замены, который образует текст на латинском языке, и который, в свою очередь, приобретает смысл только тогда, когда буквы идут в обратном порядке: «Спустись в кратер вулкана Снайфельдс, который тень Скартариса ласкает перед июльскими календами, отважный странник, и ты достигнешь центра Земли». В 1885 году Верн в своем романе «Матиас Шандор» также использовал шифр в качестве центрального элемента. В Британии одним из наиболее выдающихся авторов художественных произведений, посвященных криптографии, был сэр Артур Конан Дойль. И не удивительно, что Шерлок Холмс был экспертом в криптографии и, как он сообщил доктору Ватсону, был «автором небольшого научного труда, в котором проанализировано сто шестьдесят различных шифров». O самом известном случае дешифрования, которое выполнил Холмс, говорится в рассказе «Пляшущие человечки»; в этом рассказе использовался шифр, состоящий из человечков, напоминающих детские рисунки, но при этом каждая поза этих человечков является отдельной буквой.
Рис. 19 Часть зашифрованного сообщения из рассказа «Пляшущие человечки», написанного сэром Артуром Конан Дойлем о приключениях Шерлока Холмса.
Благодаря Эдгару Аллану По интерес к криптоанализу рос также и по другую сторону Атлантики. Он бросил вызов читателям филадельфийского журнала «Александер Уикли Мессенджер», заявив, что сумеет дешифровать любой одноалфавитный шифр замены. Сотни читателей прислали свои зашифрованные тексты, и все они были успешно дешифрованы. Читатели были удивлены его достижениями, хотя для этого нужно было всего лишь знать частотный анализ. Один из его почитателей даже провозгласил его «самым выдающимся и искусным из когда-либо живших криптографов».
В 1843 году, стремясь поддержать пробудившийся интерес, По написал короткий рассказ о шифрах «Золотой жук», которому профессиональными криптографами была дана высокая оценка как великолепному произведению художественной литературы в этой области. В нем рассказывается об Уильяме Легране, который находит необычного жука золотого цвета и подбирает его лежащим неподалеку клочком бумаги. Тем же вечером он делает набросок золотого жука на этом клочке, а затем подносит его к свету огня, чтобы проверить точность рисунка.
Однако его набросок уничтожен невидимыми чернилами, которые проявились под действием высокой температуры пламени. Легран исследует появившиеся знаки и убеждается, что в его руках находится зашифрованный документ, в котором даются указания, как отыскать сокровища Капитана Кидда. Остальная часть рассказа — это классическая демонстрация применения частотного анализа, который приводит к дешифрованию ключей Капитана Кидда и обнаружению его спрятанного сокровища.
Хотя рассказ «Золотой жук» — чистый вымысел, однако существует под линная история, произошедшая в девятнадцатом веке, история, в которой присутствуют многие детали рассказа Эдгара По. Случай с шифрами Биля — это и авантюрные похождения на Диком Западе, и ковбой, собравший огромное богатство, и спрятанное сокровище стоимостью 20 миллионов долларов, и таинственный комплект зашифрованных бумаг, в которых даны указания на то место, где оно находится. Многое из того, что мы знаем об этой истории, включая зашифрованные бумаги, содержится в брошюре, изданной в 1885 году. Эта брошюра, состоящая всего-навсего из 23 страниц, ставила в тупик поколения криптоаналитиков и манила сотни искателей сокровищ.
История начинается в гостинице «Вашингтон» городка Линчберг штата Вирджиния за шестьдесят пять лет до выхода в свет брошюры. Как было в ней сказано, и о гостинице, и о ее владельце, Роберте Моррисе, сложилось высокое мнение: «Его покладистый характер, неподкупная честность, превосходное управление и хорошо организованное ведение хозяйства вскоре создало ему известность как хозяину гостиницы, а о его репутации было известно даже в других штатах. Его дом был лучшим в городе, и только здесь собиралось светское общество». В январе 1820 года незнакомец по имени Томас Биль въехал в Линчберг и зарегистрировался в гостинице «Вашингтон». Как вспоминал Моррис: «Ростом он был шести футов, черные, как смоль, глаза и волосы того же цвета, одежда чуть длиннее, чем было принято носить в то время. Он был стройным и производил впечатление необычайно сильного и деятельного человека, его отличительной особенностью был темный и смуглый цвет лица, как если бы он много времени проводил на солнце и открытом воздухе. Это, однако, не портило его внешности, и я считал его самым красивым человеком, которого когда-либо видел». Хотя Биль провел остаток зимы с Моррисом и «чрезвычайно нравился всем, особенно женщинам», он никогда не говорил о своем прошлом, о своей семье и о цели своего приезда. Затем, в конце марта, он уехал так же внезапно, как и приехал.
Рис. 20 Титульный лист брошюры «Документы Биля», в которой содержится все, что мы знаем о загадке сокровища Биля.
Через два года, в январе 1822 года, Биль вернулся в гостиницу «Вашингтон» «более темным и смуглым, чем когда-либо». Остаток и этой зимы он провел в Линчберге, снова исчезнув весной, но перед этим он вручил Моррису запертую железную коробку, в которой, как он сказал, находятся «ценные и важные бумаги». Моррис положил коробку в сейф и не вспоминал ни о ней, ни о ее содержимом, пока не получил письмо от Биля, датированное 9 мая 1822 года и отправленное из Сент-Луиса. После нескольких шуток и абзаца, посвященного предполагаемой поездке в прерии, «чтобы поохотиться на бизонов и помериться силами со свирепыми гризли», в письме наконец-то была раскрыта значимость этой коробки:
В коробке находятся бумаги, жизненно важные для меня и многих других людей, занятых общим делом со мной, и в случае моей смерти ее потеря стала бы непоправимым бедствием. Поэтому необходимо беречь ее и позаботиться о том, чтобы с ней ничего не случилось. Если ни один из нас никогда не вернется, пожалуйста, бережно храните эту коробку еще в течение десяти лет, считая с даты отправки этого письма, и если ни я, и никто другой с доверенностью от меня за это время не потребует выдать ее, взломайте замок и вскройте коробку. Наряду с бумагами, адресованными Вам, Вы найдете там и другие бумаги, которые нельзя будет прочитать не зная ключа. Этот ключ я оставил здесь, в руках друга, запечатанным и адресованным лично Вам, с припиской, чтобы это послание было Вам доставлено не ранее июня 1832 года. С помощью этого ключа Вы поймете все, что Вам необходимо будет сделать.
Исполненный сознанием долга, Моррис продолжал хранить коробку, ожидая, пока Биль не заберет ее, но смуглый таинственный незнакомец так и не вернулся в Линчберг. Он исчез без объяснений, и его никто никогда больше не видел. Спустя десять лет Моррис мог выполнить указания, данные в письме, и открыть коробку, но делать этого он, похоже, не собирался. В письме Биля упоминалось, что в июне 1832 года Моррису будет послано сообщение, которое должно было объяснить, как дешифровать содержимое коробки. Однако сообщение так никогда и не пришло, и, видимо, Моррис понимал, что не имело никакого смысла открывать коробку, если он не сумеет расшифровывать то, что было внутри нее. В конце концов, в 1845 году, любопытство победило и Моррис взломал замок. В коробке лежало три листа с зашифрованным текстом и небольшое письмо, написанное Билем на английском языке.
Письмо оказалось прелюбопытным; в нем рассказывалась вся правда о Биле, о коробке и о шифрах. Из письма стало ясно, что в апреле 1817 года, почти за три года до первой встречи с Моррисом, Биль и еще 29 человек предприняли поездку по Америке. Проехав через богатые дичью равнины Запада, они прибыли в город Санта-Фе и остановились на зиму в «маленьком мексиканском городишке». В марте они направились на север и начали двигаться за «огромным стадом бизонов», отстреливая столько, сколько было возможно. И вот тут-то, как писал Биль, им улыбнулась удача:
Как-то раз, преследуя бизонов, наша группа стала лагерем в небольшом ущелье, примерно в 250 или 300 милях к северу от Санта-Фе; привязав лошадей, мы принялись готовить ужин, как вдруг кто-то обнаружил в расщелине меж скал некий кусок, который по всем признакам походил на золотой, и показал его остальным. Внимательно осмотрев его, все единодушно решили, что это золото и есть. Открытие привело всех в огромное возбуждение.
Далее в письме говорилось, что Биль и его товарищи с помощью индейцев местного племени в течение последующих восемнадцати месяцев проводили разработку этого участка и за это время они добыли большое количество золота, а также немного серебра, найденного неподалеку. Все были согласны, что их богатство следует укрыть в безопасном месте, и решили переправить его домой, в Вирджинию, где оно должно быть надежно спрятано. В 1820 году Биль отправился в Линчберг с золотом и серебром, нашел подходящее место и закопал его. Именно тогда он в первый раз остановился в гостинице «Вашингтон» и познакомился с Моррисом. Уехав в конце зимы, Биль вернулся к своим товарищам, которые продолжали трудиться во время его отсутствия.
Еще через восемнадцать месяцев Биль снова приехал в Линчберг, чтобы пополнить свой тайник, причем на этот раз золота и серебра было даже больше. Но для его поездки сюда имелась еще одна причина:
Перед тем как я покинул своих товарищей, остающихся в прериях, мы решили, что если с нами произойдет что-то непредвиденное, то спрятанные сокровища будут потеряны для наших родных, если не принять некоторых мер против таких непредвиденных обстоятельств. Поэтому мне было поручено найти нескольких абсолютно надежных людей, если таковые вообще найдутся, кому можно было бы открыться, чтобы они выполнили наши пожелания и передали бы наши соответствующие части нашим родным.
Биль был уверен, что Моррис — честный человек, вот почему он доверил ему коробку с тремя листами, зашифрованными так называемыми шифрами Биля. На каждом зашифрованном листе находилось множество чисел (они были перепечатаны из брошюры и приведены здесь в виде рисунков 21, 22 и 23), и их дешифрование даст все важные детали.
Первый лист давал описание места, где спрятаны сокровища, второй — сообщал в общих чертах о том, что это были за сокровища, а в третьем был список родных тех, кто должен был получить свою часть сокровищ. Когда Моррис читал это письмо, минуло уже примерно 23 года после того, как он в последний раз видел Томаса Биля. Будучи уверенным, что Биль и его люди мертвы, Моррис почувствовал себя обязанным найти это золото и разделить его среди родных этих людей. Однако, не имея ключа, ему пришлось начать дешифрование «с нуля», — задача, решению которой он посвятил последующие двадцать лет и которая закончилась безуспешно.
В 1862 году в возрасте восьмидесяти четырех лет Моррис понял, что его жизнь подходит к концу и что он должен поделиться с кем-нибудь тайной шифров Биля, иначе все надежды исполнить желания Биля умрут вместе с ним. Моррис открылся своему другу, но, к сожалению, кто он, так и остается загадкой. Все, что мы знаем о друге Морриса, так это то, что именно он написал в 1885 году брошюру, поэтому далее я буду называть его просто автор. В брошюре автор так объяснил причины своей анонимности:
Я предвижу, что эти документы будут опубликованы большим тиражом, и, чтобы избежать огромного количества писем, которыми меня будут забрасывать со всех концов Америки, задавая всевозможные вопросы и требуя ответы, что, если уделять им всем внимание, полностью поглотило бы все мое время и только изменило бы характер моей работы, я решил, чтобы мое имя не упоминалось в издании, заверяя всех заинтересовавшихся, что я сообщил все, что я знаю об этом деле, и что я не могу добавить ни одного слова к содержащимся здесь заявлениям.
Чтобы скрыть свою личность, автор попросил Джеймса В. Уорда, уважаемого члена местной общины и окружного инспектора дорог, действовать в качестве его агента и издателя.
Все, что нам известно, напечатано в брошюре, поэтому следует выразить признательность автору за то, что у нас есть и шифры Биля, и удивительный рассказ Морриса об этой истории. Кроме того, автору также удалось успешно дешифровать второй шифр Биля. Аналогично первому и третьему шифрам, второй шифр состоял из страницы чисел, и автор предположил, что каждое число представляло собой букву. Однако диапазон чисел намного превышает количество букв в алфавите, поэтому автор понял, что он имел дело с шифром, в котором для записи одной и той же буквы используются несколько чисел.
Рис. 21 Первый шифр Биля.
Рис. 22 Второй шифр Биля.
Рис. 23 Третий шифр Биля.
Одним из шифров, который удовлетворяет этому критерию, является так называемый книжный шифр, в котором книга или любой другой отрывок текста сами являются ключом.
Сначала криптограф последовательно присваивает номера каждому слову в ключевом тексте. После этого каждое число заменяет начальную букву слова. 1For 2example, 3if 4the 5sender 6and 7receiver 8agreed 9that 10this 11 sentence 12were 13to 14be 15the 16keytext, 17then 18every 19word 20would 21be 22numerically 23labelled, 24each 25number 26providing 27the 28basis 29for 30encryption. Затем необходимо составить список, в котором каждое число сопоставляется с начальной буквой слова:
Теперь сообщение может быть зашифровано путем замены букв в открытом тексте на числа в соответствии с составленным списком. Таким образом, буква открытого текста f будет заменяться на 1, а буква открытого текста e может быть заменена любым из чисел: 2, 18, 24 или 30. Из-за того что наш ключевой текст является очень коротким предложением, у нас нет чисел, с помощью которых мы смогли бы заменить такие редко встречающиеся буквы, как x и z, но их вполне достаточно, чтобы зашифровать слово Beale, которое может быть записано как 14-2-8-23-18. Если у получателя есть копия ключевого текста, то расшифровка зашифрованного сообщения элементарна. Однако если злоумышленник перехватит один только зашифрованный текст, то криптоанализ будет заключаться в том, чтобы каким-то образом определить ключевой текст. Автор брошюры писал: «Увлеченный этой идеей, я проверял каждую книгу, какую мог достать, нумеруя их буквы и сравнивая числа с числами из брошюры; однако все было тщетно, пока мне не попалась Декларация Независимости, которая дала ключ к одной из бумаг и воскресила все мои надежды».
Декларация Независимости явилась ключевым текстом для второго шифра Биля, и, нумеруя слова в Декларации, оказалось возможным разгадать его.
На рисунке 24 показано начало Декларации Независимости, в которой рядом с каждым десятым словом поставлен номер, чтобы читатель смог увидеть, как производится дешифрование. На рисунке 22 приведен зашифрованный текст; здесь первое число 115, а 115-м словом в Декларации будет слово «instituted», поэтому первое число обозначает букву i. Второе число в зашифрованном тексте 73, и 73-е слово в Декларации — «hold», поэтому второе число обозначает букву h. В брошюре полностью приведен дешифрованный текст:
В округе Бедфорд, примерно в четырех милях от Бафорда я поместил в выкопанное на глубине шести футов хранилище следующие предметы, принадлежащие совместно сторонам, чьи имена указаны на листе под номером «3», при этом:
Первый вклад состоял из одной тысячи четырнадцати фунтов золота и трех тысяч восьмисот двенадцати фунтов серебра; внесен в ноябре 1819 года. Второй вклад был сделан в декабре 1821 года и состоял из тысячи девятисот семи фунтов золота и тысячи двухсот восьмидесяти восьми фунтов серебра, а также драгоценных камней, полученных в Сент-Луисе в обмен на серебро, в целях экономии на перевозку, и оцененных в 13000 долларов.
Вышеупомянутое надежно упаковано в железных горшках с железными крышками. Хранилище грубо отделано камнем, горшки стоят на одном большом камне и закрыты другими камнями. В бумаге под номером «1» описывается точное местонахождение хранилища, так что найти его не составит никакого труда.
Следует отметить, что в зашифрованном сообщении вкралось несколько ошибок. К примеру, в дешифрованном тексте есть слова «four miles (четыре мили)», которые определяются 95-м словом в Декларации Независимости, начинающимся с буквы u. Однако 95-м стоит слово «inalienable». Так могло случиться из-за небрежности при шифровании или из-за того, что у Биля была копия Декларации, где 95-м словом было слово ««inalienable»», что встречалось в некоторых вариантах Декларации в начале девятнадцатого века. Но как бы то ни было, благодаря успешному дешифрованию стала ясна стоимость сокровищ — не менее 20 миллионов долларов при нынешних ценах на слитки из драгоценных металлов.
Не удивительно, что как только автор узнал о стоимости сокровищ, он потратил куда больше времени, пытаясь дешифровать остальные два листа, в особенности лист с первым шифром Биля, в котором указывается место, где они спрятаны. Но, несмотря на все усилия, он потерпел неудачу и шифры не принесли ему ничего, кроме разочарования:
Я потратил на расшифровку массу времени, и из-за этого, будучи в начале пути относительно обеспеченным, скатился в полную нищету, что навлекло страдания на тех, кого моим долгом было защищать, и это — невзирая на все их уговоры. В конце концов мои глаза открылись на то, в каком положении они оказались, и я решил раз и навсегда покончить с этим делом и, если еще возможно, исправить свои ошибки. Чтобы избавиться от искушения, я решил предать гласности все, что я знаю, и этим снять со своих плеч ответственность перед Моррисом.
Результатом такого решения явилась брошюра, изданная в 1885 году, в которой наряду с шифрами было опубликовано все, что было известно автору. Хотя пожар на складе уничтожил большую часть тиража, но те брошюры, которые уцелели, вызвали в Линчберге настоящий переполох. Среди наиболее ревностных охотников за сокровищами, привлеченных шифрами Биля, были братья Джордж и Клейтон Харт. В течение нескольких лет они внимательно изучали два оставшихся шифра, разрабатывая и осуществляя различные способы криптоаналитических атак, порой даже якобы находя решение. При неверном выборе способа атаки среди огромного количества бессмысленных слов иногда встречаются несколько осмысленных, что окрыляет криптоаналитика и заставляет его придумывать объяснения бессмыслице. Для беспристрастного наблюдателя такой дешифрованный текст является ни чем иным, как принятием желаемого за действительное, но для охотника за сокровищами он полон смысла. Один из вариантов дешифровки текста даже воодушевил братьев Харт применить динамит, чтобы вынуть грунт на определенном участке; но, к сожалению, в образовавшемся котловане никакого золота не оказалось. Хотя Клейтон Харт бросил заниматься шифрами Биля в 1912 году, но Джордж продолжил работать над ними вплоть до 1952 года. Еще более упорным оказался Хайрам Герберт-младцшй, который впервые заинтересовался этой проблемой в 1923, а попытки разгадать шифры Биля оставил в 70-х годах. Его усилия также оказались бесплодными.
When, in the course of human events, it becomes 10necessary for one people to dissolve the political bands which 20have connected them with another, and to assume among the 30powers of the earth, the separate and equal station to 40which the laws of nature and of nature’s God entitle 50them, a decent respect to the opinions of mankind requires 60that they should declare the causes which impel them to 70the separation.
We hold these truths to be self-evident, 80that all men are created equal, that they are endowed 90y their Creator with certain inalienable rights, that among these 100are life, liberty and the pursuit of happiness; That to 110secure these rights, governments are instituted among men, deriving their 120just powers from the consent of the governed; That whenever 130any form of government becomes destructive of these ends, it 140is the right of the people to alter or to 150abolish it, and to institute a new government, laying its 160foundation on such principles and organizing its powers in such 170form, as to them shall seem most likely to effect 180their safety and happiness. Prudence, indeed, will dictate that governments 190long established should not be changed for light and transient 200causes; and accordingly all experience hath shewn, that mankind are 210more disposed to suffer, while evils are sufferable, than to 220right themselves by abolishing the forms to which they are 230accustomed.
But when a long train of abuses and usurpations, 240pursuing invariably the same object evinces a design to reduce them 250under absolute despotism, it is their right, it is their 260duty, to throw off such government, and to provide new 270Guards for their future security. Such has been the patient 280sufferance of these Colonies; and such is now the necessity 290which constrains them to alter their former systems of government. 300The history of the present King of Great Britain is 310a history of repeated injuries and usurpations, all having in 320&direct object the establishment of an absolute tyranny over these 330States. To prove this, let facts be submitted to a 340candid world.
Рис. 14 Первые три абзаца Декларации Независимости; у каждого десятого слова поставлен номер. Декларация является ключом для дешифрования второго шифра Биля.
Профессиональные криптоаналитики также старались напасть на след сокровища Биля. Герберт О. Ярдли, основавший в конце Первой мировой войны Бюро шифров США (известный как американский «черный кабинет»), был заинтригован шифрами Биля, точно так же, как и полковник Уильям Фридман — фигура первой величины в американском криптоанализе в первой половине двадцатого столетия. Ярдли, когда возглавлял Службу радиоразведки, включил шифры Биля в программу обучения, возможно, потому, что, как однажды сказала его жена, он считал, что шифры обладают «дьявольской привлекательностью, специально предназначенной, чтобы заманить неосторожного читателя».
Достаточно часто в архиве Фридмана, созданном после его смерти в 1969 году в исследовательском центре Джорджа Маршалла, проводятся консультации под руководством военных историков, однако подавляющее большинство посетителей — это энтузиасты, надеющиеся довести дело до конца и расшифровать документы Биля. Позднее одной из наиболее заметных фигур, занимающихся поиском сокровищ Биля, был Карл Хаммер, ушедший на пенсию руководитель отдела теории вычислительной техники компании Сперри Унивак и один из основоположников компьютерного криптоанализа. Как полагал Хаммер: «Шифры Биля занимали по меньшей мере 10 % лучших криптоаналитических умов страны. И не стоит жалеть потраченных на это усилий. Такая работа, даже те направления, которые завели в тупикг окупится сторицей при проведении исследований по развитию и усовершенствовании компьютеров». Хаммер был видным членом Ассоциации шифров Биля и сокровищ, учрежденной в 60-х годах двадцатого века с целью поддержания интереса к загадке Биля. Первоначально в Ассоциации требовалось, чтобы любой, кто обнаружит клад, разделил его с другими, но, по-видимому, это отпугнуло многих охотников за сокровищами от того, чтобы примкнуть к Ассоциации, и поэтому вскоре это условие было снято.
Несмотря на все усилия членов Ассоциации, охотников за сокровищами и профессиональных криптоаналитиков, первый и третий шифры Биля так и остались неразгаданными в течение всего этого времени; и золото, и серебро, и драгоценные камни еще только предстоит отыскать. Множество попыток по дешифрованию вращалось вокруг Декларации Независимости, которая явилась ключом для второго шифра Биля. Хотя при непосредственной нумерации слов Декларации первый и третий шифры не поддались, криптоаналитики пробовали применить и другие схемы, как-то: нумерация слов в обратном порядке, нумерация слов через одно и т. п., но пока безрезультатно. Кроме того, в первом шифре есть номер 2906, Декларация же состоит всего из 1322 слов. В качестве возможных ключей были проверены другие тексты и книги. Многими криптоаналитиками даже рассматривалась возможность того, что была использована совершенно другая система шифрования.
Возможно, что вас удивляет стойкость неразгаданных шифров Биля, особенно если учесть, что в непрерывно длящемся поединке между шифровальщиками и дешифровальщиками именно дешифровальщики всегда одерживали верх. Бэббидж и Касиски придумали способ, как взломать шифр Виженера, и шифровальщики изо всех сил старались найти какой-нибудь другой шифр взамен него. Как же Биль сумел сделать так, что шифр оказался таким непреодолимым? Ответ заключается в том, что шифры Биля были созданы при таких обстоятельствах, которые обеспечили криптографу огромное преимущество.
Документы предназначались для разового использования, и, поскольку они касались такого огромного богатства, Биль мог придумать специальный, предназначенный для данного случая ключевой текст для первого и третьего шифров. В самом деле, если ключевой текст был написан самим Билем, то этим можно было бы объяснить, почему поиски по опубликованным изданиям не дали результата. Мы можем предположить, что Биль, например, написал рассказ об охоте на бизонов длиной 2000 слов, который существовал всего в одном экземпляре. И только тот, у кого был этот рассказ, — уникальный ключевой текст, — смог бы дешифровать первый и третий шифры Биля. Биль упоминал, что он оставил ключ в «руках друга» в Сент-Луисе, но если друг потерял или уничтожил ключ, то вполне возможно, что криптоаналитики никогда не смогут разгадать шифры Биля.
Создание для сообщения ключевого текста одноразового использования является несравненно более надежным, чем применение ключа на основе опубликованной книги, но практическую ценность это имеет только в том случае, если у отправителя есть время для подготовки ключевого текста и у него есть возможность передать его получателю, а эти требования невыполнимы для обычной повседневной переписки. В случае же Биля, он мог на досуге составить, не спеша, свой ключевой текст, в любой момент, когда бы ему ни пришлось проезжать через Сент-Луис, передать его там своему другу, а затем, когда потребуются сокровища, попросить друга выслать ключевой текст по почте или забрать его самому.
По другой теории, в которой объясняется нераскрываемость шифров Биля, автор брошюры сознательно изменил их перед тем, как опубликовать. Возможно, автор просто не хотел, чтобы можно было воспользоваться ключом, который находился в руках друга Биля в Сент-Луисе. Если бы он опубликовал шифры в точности в том виде, как они были, то друг смог бы дешифровать их и забрать золото, а автор не получил бы никакой награды за свои труды. Однако, если шифры были каким-то образом искажены, то друг, в конце концов, сумел бы понять, что ему потребуется помощь автора, и связался бы с издателем, Уордом, который, в свою очередь, связался бы с автором. После чего автор передал бы точные шифры в обмен на свою часть сокровищ.
Также вполне возможно, что сокровище было найдено уже много лет назад и что тот, кто обнаружил его, тайно вывез сокровище не замеченный местными жителями. Некоторые из энтузиастов, занятых поисками сокровищ Биля, предполагают, что сокровища уже найдены NSA (Агентством национальной безопасности, АНБ). Центральное американское правительственное ведомство, занимающееся шифрами, имеет доступ к самым мощным компьютерам и имеет возможность привлекать к работе некоторых из наиболее блестящих умов мирового уровня, и они могли обнаружить в шифрах что-то такое, что ускользнуло от внимания остальных.
Отсутствие каких бы то ни было заявлений вполне в духе АН Б — даже высказывалось предположение, что АНБ означает не Агентство национальной безопасности, а организацию под названием «никому ничего не говори» или вообще «нет такого агентства»[12].
Наконец, мы не можем исключить возможность того, что шифры Биля являются тщательно разработанной мистификацией и что в действительности Биля никогда не существовало. Скептики полагали, что неизвестный автор, вдохновленный рассказом Эдгара По «Золотой жук», придумал всю эту историю и опубликовал брошюру в качестве способа нажиться на алчности других людей. Сторонники теории мистификации отыскали противоречия и ошибки в истории Биля. Так, согласно брошюре, в письме Биля, которое было заперто в железном ящике и, предположительно, написано в 1822 году, есть слово «stampede», но этого слова не встречалось в печати до 1834 года. Однако вполне возможно, что оно еще задолго до того широко употреблялось на Диком Западе, и Биль вполне мог слышать его во время своих путешествий.
Одним из самых главных скептиков был криптограф Луис Крух, объявивший, что нашел доказательство того, что автор брошюры написал и письма Биля: одно, которое, предположительно, было послано из Сент-Луиса, и другое, которое, предположительно, находилось в ящике. Он провел текстовый анализ слов, приписываемых автору, и слов, приписываемых Билю, чтобы определить, нет ли в них каких-нибудь сходных черт. Крух сравнивал такие аспекты, как процент предложений, начинающихся со слов «The», «Of» и «And», усредненное количество запятых и точек с запятой на предложение и стиль письма: использование отрицаний, отрицаний в страдательном залоге, инфинитивов, относительных придаточных предложений и т. п. Помимо слов автора и писем Биля, анализировалась также манера письма еще трех жителей Вирджинии девятнадцатого века. Из пяти использованных для анализа документов максимально схожими оказались документы, написанные Билем и автором брошюры, что дает основание считать, что они могли быть написаны одним человеком. Другими словами, это наводит на мысль, что автор сфабриковал письма, приписывамые Билю, и придумал всю эту историю.
С другой стороны, из многочисленных источников получены свидетельства в пользу достоверности шифров Биля. Во-первых, если бы нераскрываемые шифры были сфальсифицированы, мы могли бы полагать, что обманщик не обращал бы никакого внимания на выбор чисел или оно было бы минимальным. Однако числа образуют различные сложные комбинации. Одну из таких комбинаций можно найти с помощью Декларации Независимости в качестве ключа для первого шифра.
В ней отсутствуют явные слова, однако она образует последовательности вида abfdefghiljklmmnohpp. Хотя это и не алфавитный список, но определенно и не случайный набор букв. Джеймс Джиллольи из Американской криптологической ассоциации не уверен в подлинности шифров Биля, однако по его оценку, в предположении, что в основе первого шифра лежит криптографический принцип, вероятность случайного появления таких последовательностей составляет менее 10-14. По одной из теорий, Декларация действительно является ключом, но для получающегося в результате текста требуется второй этап дешифрования; другими словами, первый документ Биля был зашифрован в два этапа, с помощью так называемого многократного шифрования. Если это действительно так, то алфавитная последовательность может рассматриваться как свидетельство того, что первый этап дешифрования был успешно завершен.
Новым доказательством в пользу истинности шифров служит проведенное историческое исследование, которое может быть использовано для проверки истории Томаса Биля. Питер Виемейстер, местный историк, собрал и включил в свою книгу «Сокровища Биля — история загадки» значительную часть материала, полученного в результате поисков. Виемейстер прежде всего задался вопросом, а есть ли какое-нибудь доказательство того, что Томас Биль действительно существовал? Используя данные переписи 1790 года и другие документы, Виемейстер выявил нескольких Томасов Б ил ей, которые родились в Вирджинии и чьи биографические данные совпадают с немногими известными деталями. Виемейстер также попытался подкрепить другие факты из брошюры, например такие, как поездка Биля в Санта-Фе и то, что он обнаружил золото. Так, в Шайенне существует легенда, возникшая примерно в 1820 году, в которой говорится о золоте и серебре, привезенном с Запада и закопанном в Восточных горах. Кроме того, в реестре почтовой службы города Сент-Луис от 1820 года значится «Томас Билл», что согласуется с утверждением, приведенным в брошюре, что Биль проезжал через этот город в 1820 году, когда отправлялся на запад, уехав из Линчберга. В брошюре также говорится, что Биль послал письмо из Сент-Луиса в 1822 году.
Так что, видимо, история шифров Биля имеет под собой основание и продолжает манить криптоаналитиков и кладоискателей, таких как Джозеф Янцик, Мэрилин Парсонс и их пес Мафин. В феврале 1983 года их обвинили в «осквернении могилы», поймав производящими раскопки среди ночи на кладбище Маунтин Вью Черч. Не найдя ничего, кроме гроба, они провели остаток уикэнда в окружной тюрьме, и в итоге были оштрафованы на 500 долларов.
Эти дилетанты-гробокопатели могут утешиться тем, что они вряд ли были менее удачливы, чем Мэл Фишер, профессиональный охотник за сокровищами, который поднял с затонувшего испанского галеона «Нуэстра Сеньора де Атоха», обнаруженного им в 1985 году неподалеку от городка Ки-Уэст во Флориде, золото стоимостью 40 миллионов долларов. В ноябре 1989 года Фишер получил конфиденциальную информацию от эксперта по шифрам Биля во Флориде, который считал, что клад Биля был зарыт у завода Грэхема в округе Бедфорд штата Вирджиния. При поддержке нескольких состоятельных вкладчиков Фишер приобрел участок, зарегистрировав его, чтобы не вызвать никаких подозрений, на имя мистера Вода. Но несмотря на тщательные поиски он так ничего и не обнаружил.
Кое-кто из охотников за сокровищами отказался от попыток дешифровать два оставшихся нерасшифрованными листа и сосредоточился на тщательном отыскании ключей в уже дешифрованном тексте. Так, наряду с описанием спрятанного сокровища, в нем говорится, что оно было закопано «примерно в четырех милях от Бафорда»; по-видимому, это название относится к населенному пункту Бафорд, или, точнее, к таверне Бафорда, расположенной в центре рисунка 25. В шифре также упоминается, что «хранилище грубо отделано камнем», и поэтому многие охотники за сокровищами искали вдоль русла реки Гус Крик места выхода крупных камней. Каждое лето этот район привлекает огромное количество питающих надежды найти сокровища людей, некоторые из них вооружены металлоискателями, других сопровождают экстрасенсы или лозоходцы. В близлежащем городке Бедфорд целый ряд компаний с удовольствием предоставляют снаряжение для проведения поисков, включая даже крупные экскаваторы. Но местные фермеры гораздо менее приветливы к чужакам, которые нередко посягают на их землю, ломают изгороди и роют гигантские ямы.
Изложенная здесь история о шифрах Биля может сподвигнуть вас самому взяться за эту задачу. Соблазн в виде неразгаданного шифра девятнадцатого века, наряду с сокровищем стоимостью 20 миллионов долларов, способен оказаться неодолимым. Но прежде чем отправиться по следу сокровища, выслушайте совет, который дал автор брошюры:
Прежде чем я передам эти бумаги широкой общественности, мне бы хотелось обратиться к тем, кто мог бы проявить к ним интерес, и дать им небольшой совет, исходя из своего горького опыта. Это — уделяйте этой задаче столько времени, сколько Вы можете выкроить из своих дел, но если у Вас нет ни капли свободного времени, оставьте ее… И еще раз повторю, никогда не приносите в жертву, как это случилось со мной, свои интересы и интересы своей семьи тому, что может оказаться иллюзией; но, как я уже говорил, когда день позади и вся работа сделана, а Вы уютно сидите перед очагом, немножко времени, посвященного этой задаче, никому не смогут принести вред, а лишь только пользу и награду.
Рис. 25 Часть карты геологической съемки США 1891 года. Радиус круга — четыре мили, а его центр расположен в таверне Бафорда, месте, о котором упоминается во втором шифре.