Введение в криптографию

Зачем я создал PGP

Это дело личное, секретное и исключительно ваше. Вы можете планировать предвыборную кампанию, обсуждать налоги, вести тайный роман. А возможно вы общаетесь с политическим диссидентом, живущим в репрессивной стране. Чего бы ни касались ваши конфиденциальные документы и частная электронная переписка, вы не желаете, чтобы кто-то посторонний мог их прочитать. Нет ничего дурного в защите своих собственных прав. Право на тайну связи столь же важно, сколь и Конституция.

Право на тайну связи читается в каждой строке Билля о Правах. Но во времена написания Конституции Соединённых Штатов отцы-основатели не видели нужды явно закреплять права на тайну коммуникаций. Это было бы по меньшей мере странно. Двести лет назад всё общение было тайным. Если в пределах слышимости появлялся посторонний, вы могли просто свернуть за амбар и тайно продолжить свой разговор. Никто не смог бы подслушать. Право на тайну связи было естественным правом не столько в философском смысле, сколько в смысле законов физики, исходя из технологического уровня того времени.

Но с началом информационной эпохи, наступившей с изобретением телефона, всё изменилось. Теперь большая часть общения совершается электронно. Наши самые интимные разговоры никак не защищены. Звонок с мобильного телефона может быть перехвачен с помощью радиостанции. Электронная почта, отправляемая через Интернет, не более защищена, чем разговор по сотовому телефону. Электронная почта, становясь нормой жизни, быстро вытесняет бумажную.

До недавних пор, если правительство намеревалось нарушить право обычных граждан на тайну связи, оно было вынуждено затратить некоторое количество времени и средств, чтобы перехватить, отпарить и вскрыть бумажный конверт. Или ему приходилось прослушивать и, возможно, вручную стенографировать телефонный разговор, по крайней мере до появления технологий автоматического распознавания речи. Этот тип трудоёмких "ручных" перехватов был непрактичен в более крупных масштабах. Он применялся только в определённых исключительных обстоятельствах, когда оправдывал затраченные на него средства. Это напоминало ловлю на удочку по рыбке. Сегодня e-mail может автоматически сканироваться на предмет интересующих ключевых слов и фраз — в огромных масштабах, неподконтрольно и незаметно. Это словно ловля тонн рыбы траулерной сетью. А экспоненциальный рост компьютерных вычислительных мощностей делает то же самое возможным и для голосового трафика.

Вы, конечно, можете возразить, что ваша электронная почта не содержит ничего противозаконного, следовательно зачем её шифровать? Но если вы и правда такой законопослушный гражданин, которому нечего скрывать, тогда почему не отправляете всю свою бумажную корреспонденцию только на почтовый открытках? Почему не соглашаетесь на тест на содержание наркотиков по первому требованию? Почему требуете от полиции ордер на обыск вашего дома? Вы что-то прячете? Если вы отправляете письма в конвертах, разве это значит, что вы непременно преступник, или наркоторговец, или, быть может, чокнутый параноик? Есть ли у законопослушных граждан потребность шифровать свою электронную почту?

Что если все вдруг решат, что законопослушные граждане должны отправлять письма только на открытках? Если в такой ситуации нонконформист воспользуется бумажным конвертом, чтобы защитить свои гражданские права, это неминуемо привлечёт внимание. Наверняка представители власти вскроют его письмо, чтобы взглянуть, что же он прячет. К счастью, мы не живём в таком мире, поскольку все отправляют письма в конвертах, и это никому не кажется странным. Безопасность — в массах. Было бы замечательно, если бы все столь же обыденно шифровали весь отправляемый e-mail, безобидный или нет, так что никто не вызывал бы подозрение, просто используя криптографию для защиты своего права на тайну электронной переписки. Считайте это формой солидарности.

Сенатский законопроект 266, общий антикриминальный законопроект 1991 года, скрывал в себе разрушительную меру. Если бы эта необязательная резолюция стала реальным законом, она бы обязала производителей оборудования для защищённых коммуникаций встраивать в свои изделия особые "потайные ходы", позволяющие правительству читать любые зашифрованные сообщения. Цитата:

Именно эта законодательная инициатива побудила меня в том же году разместить PGP для свободного доступа в Сети незадолго до того, как под энергичным протестом индустриальных групп и либеральных объединений за права человека эта мера была отклонена.

Закон "О коммуникационном содействии в правоприменительной деятельности" (CALEA) 1994 года утвердил требование к телефонным компаниям установить в свои центральные цифровые коммутаторы дистанционные порты для перехвата телефонных сообщений, создавая тем самым новую технологическую инфраструктуру для прослушки одним щелчком мыши; больше федеральным агентам не придётся выезжать на место и подключаться к телефонной линии зажимами-крокодильчиками. Теперь они смогут спокойно сидеть с чашечкой кофе в своём вашингтонском офисе и слушать ваши телефонные звонки. Разумеется, закон всё ещё требует судебного ордера для организации прослушки. Но в то время, как технические инфраструктуры создаются на годы, законы и политика меняются в считанные часы. Когда оптимизированные для слежки коммуникационные инфраструктуры уже внедрены, перемена в политической обстановке может привести к злоупотреблению этой новоявленной силой. Политический контекст может измениться с избранием нового президента или, возможно более радикально и резко, после подрыва федерального здания[8].

Год спустя принятия CALEA ФБР обнародовало инициативу о требовании к телефонным компаниям установить в свои инфраструктуры достаточные мощности для единовременной прослушки одного процента всех телефонных переговоров в крупных городах США. Это бы представляло более чем тысячекратное увеличение в количестве прослушиваемых переговоров. В прежние годы осуществлялось лишь около тысячи судебно санкционированных телефонных перехватов в США за год на федеральном уровне, уровне штатов и местном уровне вместе взятых. Трудно представить, как правительство наймёт достаточно судей для подписания нужного числа ордеров; ещё труднее понять, откуда оно возьмёт столько федеральных агентов, которые будут сидеть и слушать весь этот трафик в реальном времени. Единственно возможный способ обработки такого объёма информации — это огромная оруэллианская программа по автоматическому распознаванию речи, которая будет просеивать весь трафик в поисках интересующих ключевых слов или голоса определённого человека. Если правительство не найдёт цель в первом однопроцентном образце, прослушка будет переключена на следующий и так далее, пока цель не будет обнаружена или пока все телефоны не будут прослушаны на предмет подозрительных переговоров. ФБР заверяло, что эти мощности нужны ему только в качестве задела на будущее. Но эта инициатива вызвала столь яростное общественное возмущение, что была отклонена Конгрессом. Однако сам факт, что ФБР затребовало столь серьёзную силу, свидетельствует о его ближайших планах.

Когда затрагиваются права на тайну частной жизни, технологические достижения не позволяют сохранять статус-кво. Статус-кво нестабилен. Если мы не будем ничего предпринимать, новые технологии дадут правительству такие возможности контроля и надзора за гражданами, о которых Сталин даже не мечтал. Единственный способ не отступить от своих гражданских прав в цифровую эпоху — это стойкая криптография.

Вам не нужно разувероваться во власти, чтобы начать применять криптографию. Ваши деловые переговоры могут быть перехвачены конкурентами, организованной преступностью и иностранными разведслужбами. Например, некоторые зарубежные правительства допускают использование своей информационно-технической разведки против компаний из других государств, чтобы сделать собственные корпорации более конкурентоспособными. Ирония в том, что режим ограничений, введённый правительством США в 90-х на распространение и использование стойкой криптографии, ослабил защиту собственного американского бизнеса от перечисленных угроз.

Правительству известно, сколь значительную роль криптография обречена играть в "силовых" взаимоотношениях с его собственным народом. В апреле 93-го администрация Клинтона раскрыла кардинально новую криптографическую политику, разрабатывавшуюся в Агентстве национальной безопасности (АНБ) США с начала администрации Буша[-старшего]. Основой этой новой политики стала сконструированная в АНБ шифровальная микросхема, названная Clipper-чипом, содержащая новый засекреченный алгоритм шифрования АНБ — Skipjack. Правительство пыталось инспирировать частную индрустрию встраивать чип во все изделия для защищённых коммуникаций, такие как криптофоны, криптофаксы и пр. AT&T установила Clipper в свои криптографические речевые продукты. В чём же здесь фокус? В процессе производства в каждый Clipper-чип загружается его собственный уникальный ключ, а правительство получает копию, которую помещает в депозитарий. Однако беспокоиться не о чем — правительство обещает использовать эти депонированные ключи для прослушки ваших переговоров, только когда"надлежащим образом уполномочено на то законом". Конечно, чтобы сделать Clipper безоговорочно эффективным, следующим логическим шагом было бы объявление всех иных форм криптографии вне закона.

Первоначально правительство заявляло, что использование Clipper-чипа будет добровольным, что никого не станут принуждать использовать его вместо других типов криптографии. Но реакция общественности против микросхемы была сильна, гораздо сильнее, чем рассчитывало правительство. Компьютерная индустрия объявила о своей монолитной оппозиции применению чипа. Директор ФБР Луис Фри отреагировал на вопрос, заданный на пресс-конференции в 1994, в том смысле, что если Clipper не получит общественного признания, и перехваты ФБР станут невозможны вследствие не контролируемой государством криптографии, его контора не будет иметь иного выхода, кроме поиска законодательной поддержки. Позднее, после трагедии в Оклахома-Сити, мистер Фри заявил на слушаниях в Сенатском Судебном Комитете, что доступность широкой общественности средств стойкой криптографии должна быть строго ограничена государством (хотя никто не доказал, что подрывники применяли криптографию в ходе планирования теракта).

Правительство проявляет тенденции, не склоняющие к уверенности в том, что оно никогда не станет нарушать наши гражданские права. Программа ФБР COINTELPRO была нацелена на группы, выступавшие против госполитики. Оно шпионило за антивоенным движением и за движением в поддержку гражданских свобод. Оно прослушивало телефон Мартина Лютера Кинга. Никсон вёл список своих врагов. Ещё был уотергейтский скандал. А не так давно и Конгресс пытался или достиг успеха в проведении законов, ограничивающих наши гражданские права в Интернете. Некоторые элементы из клинтонского Белого Дома собирали конфиденциальные досье ФБР на гражданских служащих Республиканцев, вероятно, для политического шантажа. А чрезмерно усердные прокуроры выказывали готовность пойти хоть на край света в поисках компрометирующих материалов о сексуальных "приключениях" своих политических противников. Ни в какие времена прошлого столетия не было общественное недоверие правительству столь широко распространено по всему политическому спектру, как оно есть сегодня.

В 1990-х я понял, что если мы хотим выстоять против этой разрушительной тенденции правительства по установлению криптографии вне закона, одна из мер, которой мы можем воспользоваться, — это применять криптографию столько, сколько сможем, пока её применение ещё легально. Когда применение стойкой криптографии станет популярным, правительству будет труднее криминализировать её. Поэтому использование PGP может выступать как средство сохранения демократии. Если права на частную жизнь станут вне закона, только те, кто вне закона, будут иметь частную жизнь.

Оказалось, что публикация PGP наряду с годами жёсткого общественного недовольства и индустриального давления на ослабление экспортного контроля дали позитивный эффект. В последние месяцы 1999 года администрация Клинтона объявила о радикальном пересмотре политики экпортного контроля криптотехнологий. Она попросту отказалась от режима ограничений. Сейчас мы, наконец, можем экспортировать средства стойкого шифрования без каких-либо максимальных порогов стойкости. Это была долгая борьба, но мы в конце концов одержали победу, по крайней мере на фронте экспортного контроля США. Теперь нужно продолжить наши усилия по распространению и популяризации криптографии, чтобы притупить эффект от усиливающихся мер по электронной слежке в Сети некоторыми государствами. И всё ещё нужно "продавить" наши права на её демократическое использование, несмотря на энергичные протесты ФБР.

PGP даёт людям власть взять защиту собственных гражданских прав в свои руки. На это существует высокая социальная потребность. Именно поэтому я создал PGP.

Симметричные алгоритмы PGP

Как защитить открытый ключ от подмены

В среде криптосистем с открытым ключом вам нет нужды предохранять открытые ключи от компрометации. Напротив, гораздо лучше, когда они широко распространены. Но очень важно защищать их от подделки, дабы всегда сохранялась уверенность, что конкретный открытый ключ действительно принадлежит человеку, чьё имя указано в сведениях сертификата. В этом состоит самое слабое место криптосистем с открытым ключом и это их главная уязвимость. Давайте для начала представим потенциально возможный инцидент, а затем разберёмся, как его не допустить.

Предположим, вам нужно отправить секретное послание Алисе. Вы скачиваете её сертификат и открытый ключ с сервера-депозитария, затем этим ключом зашифровываете письмо и отправляете его по электронной почте.

К несчастью для вас и Алисы, злоумышленник Мэллори сгенерировал собственную ключевую пару с идентификационными сведениями Алисы в сертификате (имя, email), взломал сервер и незаметно подменил подлинный открытый ключ Алисы своей подделкой. Ничего не подозревая, вы использовали поддельный ключ Мэллори вместо открытого ключа Алисы, ведь всё выглядело вполне правдоподобно, поскольку на поддельном ключе была идентификационная информация Алисы. Теперь Мэллори может перехватить и расшифровать сообщение, предназначенное Алисе, поскольку в его распоряжении соответствующий закрытый ключ. Он даже может вновь зашифровать письмо реальным ключом Алисы и отправить его по назначению, так что никто не заметит ничего подозрительного. Более того, он может делать собственным закрытым ключом подписи, якобы принадлежащие Алисе, поскольку для их проверки все будут использовать его подставной открытый ключ.

Единственный способ избежать подобной проблемы — не допускать махинаций с открытыми ключами. Это несложно, если вы получили открытый ключ Алисы непосредственно от неё при личной встрече, но может оказаться весьма проблематичным, если она в тысячах миль от вас или просто в данный момент недоступна.

Вероятно, вы сможете получить ключ Алисы от вашего с ней общего друга Дэвида, который имеет подлинную копию её открытого ключа. Дэвид может подписать открытый ключ Алисы собственным закрытым, тем самым поручаясь за его достоверность.

Так, Дэвид заверит сертификат ключа, чем укажет, что ключ Алисы не был подделан. В то же время, проверка подписи поручителя на сертификате требует наличия у вас подлинной копии открытого ключа Дэвида. Вероятно, Дэвид также сможет предоставить и Алисе надёжную копию вашего ключа. Таким образом, он станет доверенным посредником-поручителем между вами и Алисой.

Этот подписанный сертификат открытого ключа Алисы может быть загружен ей самой или Дэвидом на сервер-депозитарий с тем, чтобы вы могли его получить в любое удобное время. Скачав сертификат, вы сверяете подпись открытым ключом Дэвида и можете быть уверены, что это на самом деле подлинный открытый ключ Алисы. Ни один мошенник не сможет вас одурачить, выдавая свой поддельный ключ за ключ Алисы, поскольку никто не может подделать сертифицирующую этот ключ подпись Дэвида.

Широко известный и уважаемый человек может даже специализироваться на услугах посредничества и представительства между разными пользователями, подписывая сертификаты их открытых ключей. Этого доверенного индивида можно назвать Центром сертификации. Цифровой сертификат любого открытого ключа, содержащий подпись этого Центра сертификации, может быть априорно расценен как подлинный и действительно принадлежащий пользователю, чья идентификация указана в сведениях сертификата. Любому пользователю, желающему участвовать в такой Сети доверия, для проврки подписей будет достаточно достоверной копии открытого ключа ЦС. В некоторых случаях, ЦС может также выступать в качестве сервера-депозитария, позволяя пользователям сети запрашивать из него открытые ключи; но для сервера-депозитария заверять ключи нет никакой необходимости.

Доверенный централизованный ЦС особенно уместен в крупных корпоративных и государственных учреждениях с единой системой управления. Некоторые организации используют иерархии ЦС.

В более децентрализованной среде возможность всем пользователям выступать в качестве представителей и доверенных поручителей своих друзей и коллег будет более предпочтительна, нежели централизованный источник сертификации ключей.

Одна из привлекательных особенностей PGP состоит в том, что он реализуется равно эффективно и в централизованной среде с Центром сертификации, и в более децентрализованной, в которой пользователи самостоятельно обмениваются своими персональными ключами.

Комплекс мер по защите открытых ключей от подделки — это наиболее сложная проблема практических реализаций криптосистем с открытым ключом. Это "ахиллесова пята" всей асимметричной криптографии, и большая часть всех механизмов PGP завязана именно на решение этой главной задачи.

Не используйте чужой открытый ключ, пока полностью не убедитесь, что это не подделка, а подлинный ключ человека, чья идентификация указана в сведениях сертификата. Вы можете быть уверены в подлинности ключа, если получили его напрямую от владельца при личной встрече, либо если его сертификат подписан человеком, которому вы доверяете, при условии, что располагаете достоверной копией ключа поручителя. Кроме того, в сведениях сертификата должно быть отражено как имя, так и фамилия пользователя, а не одно его имя.

Как бы вы ни были опытны, не забывайте о мерах предосторожности и не полагайтесь на подлинность скачанного с сервера-депозитария или с веб-сайта открытого ключа, если он не заверен кем-то, кому вы доверяете. Такой несертифицированный открытый ключ мог быть подделан или заменён кем угодно, возможно даже системным администратором сервера или веб-сайта.

Если вас просят подписать чей-то ключ, прежде убедитесь, что он действительно принадлежит человеку, указанному в идентификации сертификата, поскольку подпись на сертификате открытого ключа — это ваше поручительство за его подлинность и принадлежность указанному человеку. Все, кто вам доверяет, примут этот открытый ключ за достоверный, потому что он несёт вашу сертифицирующую подпись. Не полагайтесь на домыслы и чужое мнение: подписывайте открытый ключ только тогда, когда лично и непосредственно убедились в его принадлежности заявленному владельцу. Предпочтительнее подписывать только те ключи, которые были напрямую получены от их истинных владельцев.

Для подписания сертификата ключа вы должны быть гораздо более уверены в его подлинности, нежели для его личного использования с целью шифрования сообщений. Для установления подлинности ключа только для личного применения будет достаточно подписи доверенного поручителя. Но чтобы подписать ключ самому, вам необходима собственная независимая непосредственная убеждённость в том, кто в действительности является владельцем этого ключа. Возможно, вам стоит позвонить владельцу (убедитесь, что говорите с тем, с кем надо) и попросить его прочитать отпечаток ключа, дабы удостовериться, что ключ, находящийся у вас, является точной копией оригинального.

Имейте в виду: ваша подпись на сертификате ключа не поручительствует за доверие владельцу; она поручительствует только за достоверность (подлинность) этого открытого ключа. Вы не рискуете репутацией, подписывая ключ социопата, если полностью убеждены, что ключ действительно принадлежит ему. Другие люди поверят в подлинность ключа, поскольку он подписан вами (допуская, что они вам доверяют), но не поверят его владельцу как человеку. Доверие целостности ключа и доверие его обладателю — не одно и то же.

Полезно держать свой открытый ключ вместе с набором удостоверяющих подписей от ряда поручителей в надежде, что большинство людей доверится сертифицирующей подписи хотя бы одного из них. Вы можете разместить свой ключ с набором подписей в различных депозитариях. Если подписываете чужой открытый ключ, верните его копию с вашей подписью обратно владельцу; таким образом, вы сможете выступать в качестве его представителя.

Примите все меры, чтобы никто не мог подменить файл вашей собственной связки открытых ключей. Проверка подписей на сертификате нового ключа полностью зависит от целостности достоверных открытых ключей, уже находящихся на вашей связке. Держите связку под физическим контролем; желательно хранить её, равно как и закрытый ключ, на собственном персональном компьютере, нежели на многопользовательской системе со свободным доступом или служебном ПК; это необходимо для защиты связки от подделки, а не от компрометации. Храните актуальную достоверную резервную копию связки открытых и закрытых ключей на защищённом от записи внешнем носителе, например, на компакт-диске.

Так как ваш собственный открытый ключ является последним источником прямой или опосредованной проверки подлинности всех остальных ключей на связке, этот ключ защитить от подделки важнее всего. Будет лучше, если вы сделаете его резервную копию и поместите её на надёжный носитель.

PGP в своей логике исходит из допущения, что вы держите связки ключей, сам PGP и систему в целом в полной физической безопасности. Если злоумышленник получит доступ к компьютеру, тогда, теоретически, он сможет изменить программу, делая неэффективными все её механизмы обнаружения недостоверных ключей.

Несколько усложнённым способом защиты всей связки открытых ключей от подделки будет подписание её файла закрытым ключом. Вы можете сделать это, создав съёмную подпись (detached signature) файла и регулярно её сверяя.

Как PGP определяет подлинность ключей

Прежде чем приступить к этому параграфу, ознакомьтесь с предыдущим, "Как защитить открытый ключ от подмены".

PGP следит, какие из открытых ключей на связке сертифицированы подписями ваших доверенных поручителей. Вам нужно лишь указать программе, кого вы считаете доверенными поручителями, подписав их открытые ключи собственным безоговорочно достоверным закрытым. Здесь PGP возьмёт работу на себя и будет автоматически удостоверять все остальные ключи, подписанные установленными вами поручителями; разумеется, вы можете продолжать самостоятельно сертифицировать дополнительные ключи.

PGP применяет два параллельных критерия оценки достоверности открытых ключей, не спутайте их:

1. Принадлежит ли ключ предполагаемому владельцу? Иными словами, заверен ли он доверенной подписью?

2. Принадлежит ли ключ человеку, уполномоченному вами на удостоверение иных ключей (поручителю)?

PGP автоматически вычисляет ответ на вопрос 1. Ответ на вопрос 2 вы предоставляете программе сами. Когда вы даёте ответ на вопрос 2, PGP может рассчитать ответ на вопрос 1 для всех ключей, подписанных установленным вами поручителем.

Ключи, заверенные доверенным поручителем, расцениваются подлинными. Ключ самого доверенного поручителя должен быть удостоверен или лично вами, или другим доверенным поручителем.

PGP даёт возможность указать одну из градаций доверия каждому поручителю. Уровень доверия владельцу ключа, выступающего в качестве поручителя, должен отражать не только вашу оценку порядочности этого человека, но и ваше мнение о его компетентности в понимании процедур управления ключами и их сертификации. Можно выставить уровень отсутствия доверия, частичного доверия или полного доверия пользователю в удостоверении других открытых ключей. Этот показатель будет хранится на вашей связке вместе с его ключом, но при экспортировании ключа со связки PGP её не копирует, поскольку ваше личное мнение считается конфиденциальным.

Рассчитывая достоверность открытого ключа, PGP проверяет уровни доверия всех сертифицирующих его подписей. Затем он выводит общую оценку достоверности: например, две частично доверяемые подписи расцениваются равнозначными одной полностью доверяемой. Скептицизм программы поддаётся регулировке: вы можете настроить PGP, чтобы для удостоверения ключа он требовал две полностью доверяемые или три частично доверяемые подписи и т. д[14].

Ваш собственный открытый ключ достоверен аксиоматически. Программа определяет, что открытый ключ принадлежит вам, находя на связке соответствующий ему закрытый. PGP также полагает, что вы целиком доверяете самому себе в сертификации других ключей.

С течением времени вы будете собирать на связке ключи корреспондентов, кого-то из которых решите наделить правом поручительства. Другие пользователи будут назначать собственных поручителей. Все постепенно будут накапливать и распространять со своими сертификатами наборы удостоверяющих подписей в надежде, что любой потенциальный корреспондент доверится хотя одной-двум из них. Всё это в конечном итоге сформирует децентрализованную отказоустойчивую Сеть доверия всех открытых ключей общественной информационной системы.

Этот уникальный децентрализованный подход резко констрастирует со стандартными схемами администрирования открытых ключей, разработанных в единоначальных государственных и частных консервативных организациях вроде Internet Privacy Enhanced Mail (PEM), полагающихся на централизованный контроль и навязываемую вертикальную систему доверия. Стандартные модели основаны на иерархии Центров сертификации, решающих за вас, кому вы можете доверять. Распределённый вероятностный метод определения подлинности открытых ключей — это краеугольный камень архитектуры управления ключами нашей программы. PGP ставит вас на вершину вашей собственной пирамиды сертификации, давая право самостоятельно решать, кто заслуживает доверия, а кто — нет. PGP создан для людей, предпочитающих лично паковать свои парашюты.

Имейте в виду, что акцентирование внимания на этом распределённом массовом подходе не означает, что PGP не может быть реализован и в более иерархичных структурированных схемах администрирования. Например, крупным корпоративным пользователям будет полезно иметь некую центральную фигуру (лицо или департамент), сертифицирующую ключи всех служащих. PGP справляется с таким централизованным сценарием, как с частным упрощённым случаем его собственной более универсальной модели доверия.

Как уберечь закрытый ключ от компрометации

Берегитесь ханаанского бальзама

Приобретая новый криптографический продукт, всегда возникает вопрос: можно ли ему доверять? Даже лично изучив исходные тексты программы, далеко не каждый имеет математическое образование, чтобы судить о надёжности реализации криптосистемы. И будь вы даже опытным криптографом, незначительные уязвимости алгоритмов всё же могут остаться незамеченными.

В начале 70-х, ещё учась в колледже, я придумал, как тогда полагал, блестящую шифровальную схему. Простой поток псевдослучайных чисел объединялся с потоком открытого текста, производя шифртекст. Это должно было сделать его устойчивым к любому статистическому анализу, не позволяя взломать шифр даже самым могучим разведслужбам. Я почувствовал такое самодовольство!

Годы спустя я обнаружил такую же схему в ряде консультативных статей и вводных материалов по криптографии. Как мило, другим криптологам на ум пришла та же мысль! К сожалению, схема была представлена как простое домашнее задание по использованию элементарных криптоаналитических техник для её тривиального взлома. Вот и вся моя блестящая идея…

Из этого горького опыта я вынес, как легко, разрабатывая шифровальный алгоритм, впасть в ложное чувство защищённости. Большинство людей не предполагают, насколько это трудно изобрести алгоритм, который бы выдержал продолжительную атаку профессионального и обладающего огромными ресурсами оппонента. Многие заурядные разработчики создали равно неэффективные шифровальные схемы (зачастую одну и ту же схему), и некоторые из них были включены в коммерческие программные продукты, проданные за хорошие деньги тысячам ничего не подозревающих пользователей.

Это то же самое, что продавать автомобильные ремни безопасности, которые красивы и удобны, но мгновенно раскрываются даже в самом мягком крэш-тесте. Полагаться на них будет даже хуже, чем не пристёгивать ремень вообще. Никто и не поймёт, что он бесполезен, пока не попадёт в настоящую автокатастрофу. Используя слабый криптопродукт, вы, ничего не подозревая, можете поставить ценную информацию под угрозу, тогда как не сделали бы этого, вовсе не имея криптографических средств. Возможно, вы даже никогда не узнаете, что ваши данные были похищены.

Иногда в коммерческих продуктах реализован федеральный Стандарт шифрования данных — DES — весьма неплохой блочный шифр (за исключением слишком короткого ключа), рекомендованный правительством для коммерческого использования (но не для секретной информации, что довольно странно. Хммм). DES может работать в нескольких режимах, одни из которых лучше, чем другие. Правительство особо указывает не использовать при пересылке сообщений самый простой и слабый — электронную шифрокнигу (electronic codebook, ECB). Вместо него оно предлагает более стойкие и комплексные режимы гаммирования с обратной связью(cipher feedback, CFB) и сцепления блоков шифртекста (cipher block chaining, CBC).

К несчастью, большинство исследованных мною в начале 1990-х, когда я только опубликовал PGP, коммерческих пакетов использовали именно режим ECB. В беседах с некоторыми из авторов подобных разработок они отвечали, что никогда и не слышали о режимах CBC или CFB и не знают о слабостях ECB. В тех же продуктах иногда реализуются неадекватные и небезопасные протоколы управления ключами. Один тот факт, что они не изучили даже основ криптографии, чтобы понимать такие элементарные вещи, ничуть не воодушевляет. Кроме того, нередко такие программные продукты содержат альтернативный более быстрый алгоритм, который может быть использован вместо медленного DES. Разработчик программы, как правило, считает свой собственный быстрый алгоритм столь же надёжным, сколь и DES, но после разговора с ним я обычно выяснял, что это лишь вариация на тему моего собственного "блестящего" изобретения студенческих лет. Возможно он даже не понимает, как работает его алгоритм, но горячо уверяет меня, что это — великолепная схема, на которую можно положиться. Я знаю, что он считает свой алгоритм безупречным, но как мне проверить надёжность, не изучив его?

Справедливости ради стоит отметить, что компании, специализирующиеся на криптотехнологиях, не выпускают таких кошмарно слабых программ.

Но даже действительно хорошие программы, применяющие DES в верном режиме, всё же имеют проблемы. Обычный DES использует 56-битовый ключ, слишком короткий по сегодняшним меркам, который может быть с лёгкостью взломан полным перебором на специальных высокоскоростных машинах. Жизнь DES подошла к концу, равно завершилась жизнь всех его реализаций.

Есть компания под названием AccessData, торгующая очень дешёвой программой, которая взламывает шифровальные схемы, встроенные в WordPerfect, Lotus 1-2-3, MS Excel, Symphony, Quattro Pro, Paradox, MS Word и PKZIP. Она не просто угадывает пароль, а производит настоящий криптоанализ. Некоторые люди покупают её, когда забывают пароли к собственным файлам. Силовые структуры тоже её покупают, чтобы читать файлы, которые изымают в ходе обысков. Я разговаривал с Эриком Томпсоном, автором программы, и он признался, что ей требуется всего доля секунды, чтобы взломать пароль, но он добавил несколько циклов задержки для замедления процесса, дабы он не казался покупателю столь элементарным.

В некотором смысле криптография аналогична фармацевтике. Её надёжность представляется критически важной. Плохой пенициллин на вид ничем не отличается от хорошего. Если с вашим текстовым редактором что-то не так, вы это увидите, но как вы определите надёжность своего криптографического пакета? Шифртекст, произведённый слабым алгоритмом, выглядит так же убедительно, как и шифртекст, сгенерированный стойким алгоритмом. В этом деле много ханаанского бальзама[16]. Много знахарских снадобий. В отличие от торгашей лекарствами древности, нынешние разработчики обычно даже не догадываются, что их продукты — ханаанский бальзам. Возможно, они неплохие программные инженеры, но, как правило, даже не знакомы с научными трудами по криптографии. Но продолжают считать, что могут написать хороший криптопродукт. А почему бы и нет? В конце концов, интуитивно это кажется несложным, а их программы вроде бы функционируют нормально.

Каждый, кто считает, что изобрёл безупречный криптографический алгоритм, либо невероятно редкостный гений, либо наивный дурак. К сожалению, порой мне приходится иметь дело с такими потенциальными криптографами, которые хотят внести в PGP свои "улучшения", добавив алгоритм собственной разработки.

Я вспоминаю случившуюся в 91-ом году беседу с Брайеном Сноу, высокопоставленным криптографом из АНБ. Он сказал, что никогда бы не поверил в надёжность алгоритма, созданного тем, кто для начала "не набил собственных шишек", потратив достаточно времени на взлом кодов. В этом есть смысл. Я обнаружил, что практически никто из мира коммерческой криптографии не подходит под такой критерий."Да, — добавил он с самоуверенной ухмылкой. — И это делает нашу работу в АНБ значительно проще". Пугающая мысль. Ведь я тоже не подхожу.

Правительство тоже приторговывало ханаанским бальзамом. После Второй мировой войны Соединённые Штаты продали германские шифровальные машины "Энигма" странам третьего мира. Но правительство не сообщило, что в ходе войны Союзники вскрыли код "Энигмы", факт, остававшийся засекреченным в течение десятилетий. Даже сегодня во многих UNIX-системах алгоритм "Энигмы" применяется для шифрования файлов, отчасти и потому, что правительство создало юридические преграды для использования чего-то лучшего. Оно даже пыталось предотвратить первоначальную публикацию RSA в 1977-м. И многие годы препятствовало практически всем попыткам коммерческой разработки эффективного криптофона для массового потребителя.

Главной задачей Агентства национальной безопасности США является сбор разведданных, главным образом путём скрытого прослушивания и перехватов частных гражданский коммуникаций (см. книгу Джеймса Бэмфорда"Дворец головоломок"). АНБ накопило значительные навыки и опыт по взлому кодов. Если люди не могут воспользоваться надёжными средствами шифрования, это делает задачу АНБ ещё более лёгкой. Агентство также отвественно за одобрение и рекомендацию криптоалгоритмов. Некоторые критики видят в этом конфликт интересов, например, как если посадить лисицу сторожить курятник. В 1980-х АНБ продавливало собственный симметричный шифровальный алгоритм (Утверждённая программа COMSEC), принципы действия которого отказывалось раскрывать, ссылаясь на"секретность информации". Агентство хотело, чтобы все просто приняли его на веру. Но любой криптолог скажет вам, что грамотно спроектированный алгоритм не нуждается в защите для сохранения надёжности. Защиты требуют только ключи. Как же в таком случае можно убедиться, что засекреченный алгоритм АНБ действительно безопасен? Агентству не составит большого труда разработать такой алгоритм, который только оно сможет взломать.

На момент первоначальной публикации PGP, качество коммерческих криптопродуктов в США определялось тремя главными факторами:

Во-первых, почти тотальной некомпетентностью разработчиков коммерческих криптографических решений (хотя после выпуска PGP наметились сдвиги). Каждый программист воображал себя криптографом, что вело к профанации крипторазработок и распространению продуктов крайне низкого качества.

Во-вторых, систематическим вмешательством АНБ с целью подавить все разработки хороших коммерческих криптотехнологий мерами юридического запугивания и экономического давления. Часть этого давления выразилась в строгом экспортном контроле продуктов шифрования, который, по законам рынка программного обеспечения, имел результирующий эффект и в подавлении внутренних криптографических разработок.

Третьим методом подавления являлось предоставление патентов на все алгоритмы шифрования с открытым ключом единственной компании, что позволяло давлением на эту критическую точку ограничивать распространение технологии в целом (в итоге осенью 95-го этот патентный картель развалился).

Совместный эффект всех этих факторов состоял в том, что до момента публикации PGP в США не было ни одного общедоступного универсального продукта, обеспечивающего шифрование с высокой степенью криптографической защиты.

Я не так уверен в надёжности PGP, как был когда-то уверен в своей "блестящей" шифровальной схеме. Будь это так, это было бы дурным симптомом. В то же время я не думаю, что PGP содержит какие-то зияющие дыры (хотя и убеждён, что в нём есть ошибки). Для реализации в нём я избрал лучшие алгоритмы из опубликованных в гражданской криптологической литературе. Эти алгоритмы были индивидуально детально изучены. Я знаю многих ведущих мировых криптографов, с некоторыми из них обсуждал большинство алгоритмов и протоколов, задействованных в PGP. Программа была годы в разработке и уже хорошо изучена. И я не работаю на АНБ. Но вы не обязаны мне верить, ведь её исходные тексты опубликованы именно с целью свободного изучения.

И ещё один момент в пользу надёжности и целостности PGP: после его первоначальной свободной публикации в 1991 году я провёл три года под уголовным преследованием Таможенной службой США за распространение программы за рубеж, с перспективой суда и многих лет тюремного заключения. Кстати, почему-то правительство не реагировало на другое криптографическое ПО, но только PGP вывел его из себя. Говорит ли вам это что-нибудь о стойкости PGP? Я заработал свою репутацию на криптографической целостности своих продуктов. Я не предам своих обязательств нашим гражданским и конституционным правам, ради которых рисковал собственной свободой. Я не позволю программе, автором которой являюсь, иметь секретные "потайные ходы".

Уязвимости