|
||||
|
Часть 2 КОЛЕЯ 1979 год. Брежневская эпоха надоела всем до чертиков. Масса анекдотов, частушек, сплетен на эту тему, а товаров в магазинах все меньше и меньше. Все последние годы заметно невооруженным взглядом: система катится вниз. Про победу коммунизма, записанную в действующей в то время Программе КПСС, уже почти не вспоминают, хотя все вступающие в партию пишут: «Устав и Программу КПСС признаю и обязуюсь выполнять». Людей, которые бы искренне верили во все эти сказки, практически нет, система натужно пытается эксплуатировать несмышленую молодежь, засылая ее с большой помпой и показухой то на БАМ, то на еще какую-нибудь «стройку века», и оставляя там без человеческих условий жизни. Газеты, радио и телевидение забиты «Ленинскими университетами миллионов», «Трудовыми рапортами ударников пятилетки», «Вестями с полей», «Хрониками трудовых вахт» и прочей подобной чепухой, от которой хочется напиться, что большинство и делает. Нормальный труд забыт, к работе отношение как к обязательному отбыванию положенного срока, скучному и бесцельному. Это были мрачные, какие-то предгрозовые годы. Полно предчувствий, что несоответствие между словом и делом в проводимой в стране политике должно закончиться чем-то печальным. Чем именно, никто тогда предсказать не мог, но все шептались: куда мы катимся? Почему так стремительно отстаем от Запада? Везде невиданный ажиотаж вокруг качественных иностранных товаров: мебели, одежды, телевизоров, магнитофонов, просто купить практически ничего путного невозможно, везде очереди, списки, каждое утро надо бегать в магазин отмечаться, ловить момент, когда «выкинут» товар. Лучше живут те, у кого есть связи в торговле, кто может что-то достать, договориться, замолвить словечко. Слово «коррупция» еще под запретом, но фактически она уже расцвела пышным цветом. При реальном социализме важны реальные блага! Что в таких случаях нужно, чтобы взбодрить страну? Масштабное шоу или маленькая победоносная война. А можно и то, и другое в одном флаконе. И вот, вместо обещанного наступления в 1980 году коммунизма, СССР готовится к проведению в 1980 году XX летних Олимпийских игр в Москве, а в конце 1979 года советские войска входят в Афганистан. В связи со всеми этими событиями офицерам КГБ прибавили зарплату. Мы, молодые лейтенанты, только что выпущенные из 4 факультета ВКШ КГБ, сразу же получаем оклад 250 рублей, а это довольно много по советским меркам того времени. Выпускник обычного института, попадая на должность младшего научного сотрудника в каком-нибудь НИИ, как правило, получает 120-130 рублей. Но наш оклад состоит из двух частей: оклад по должности (130 руб.) и оклад по офицерскому званию (120 руб.), хотя военной формы в управлениях КГБ не носят. Вот в таких условиях начиналась моя офицерская военная служба, хотя, конечно, «военного» в ней было очень мало. Больше все это походило на работу в обычном НИИ, в котором за счет специально подобранного состава сотрудников и относительно высоких окладов еще была иногда какая-то осмысленная работа, очень сильный коллектив математиков и обязательное отбывание на рабочем месте с 9 до 6. Глава 1. Спецуправление В КГБ начала 80-х годов было три управления, так или иначе связанных с криптографией и испытывавших потребность в выпускниках 4 факультета Высшей школы КГБ: 8 Главное управление, 16 не Главное, а просто управление, и управление правительственной связи, УПС без всякого номера и главности. Распределение обязанностей было такое. УПС – эксплуатация шифровальной аппаратуры на правительственных линиях связи, чаще всего – на спецмашинах, на которых члены Политбюро ЦК КПСС со страшной скоростью проносились по Рублевскому шоссе, на спецлиниях, связывающих Кремль с дачами на Черном море и в других местах. Про УПС многие узнали после путча 1991 года, когда оно оперативно отключило все каналы спецсвязи у Горбачева, изолированного в Форосе. 16 управление – дешифровальная служба, взлом шифров наших потенциальных противников, а также ненадежных друзей-союзников и просто всех тех, кто не придает должного значения криптографии. 8 Главное управление – обеспечение безопасности всех отечественных линий, где используется шифрованная связь, т.е. та криптографическая сила, которая должна была противостоять могучему американскому АНБ – агентству национальной безопасности, занимавшемуся сбором шифрованной информации по всему миру и взломом нестойких шифров. 8 ГУ КГБ СССР состояло из трех больших подразделений – управлений A, B и C, из которых управление A отвечало за безопасность дипломатической переписки, управление B – за безопасную выработку ключей и своевременное обеспечение ими всех нуждающихся, а управление C – Спецуправление – за все остальное: за контрольный криптографический анализ старых шифров, за разработку новых перспективных шифров, за инженерно-криптографическую защиту, за нормативную базу при работе с шифрами, за связь с промышленностью и прочая, прочая, прочая. Вот здесь, в Спецуправлении, началась в 1979 году моя офицерская служба в КГБ, которая там же драматически и закончилась в 1993 году, не дотянув нескольких месяцев до заветных общих 20 лет выслуги, дающих право сравнительно молодому человеку 37 лет от роду на получение офицерской пенсии. Но, право, получать в 37 лет сравнительно высокую (по советским меркам!) офицерскую пенсию не за боевые заслуги, не за какие-то выдающиеся достижения, а за работу фактически в обычном НИИ, часто просто за просиженные штаны, за безропотность и послушание, в нашей стране несколько стыдно. Основная часть Спецуправления (это слово всегда писали с большой буквы!) размещалась в Кунцеве, в здании, напоминавшем известное здание Совета Экономической Взаимопомощи на Арбате – раскрытую книгу. Только «страницы» этой книги были не выгнутыми, как в оригинальном СЭВе, а прямыми, и их было не две, а три, да и этажей поменьше. А так, по конструкции и по стилю – схожи, все из стекла (за что и прозвано было в народе стекляшкой), летом жарко, а зимой – холодно. В Спецуправлении 8 ГУ КГБ СССР было несколько отделов, каждый из которых специализировался на каком-то определенном круге криптографических задач. Но давняя мечта руководства Спецуправления была одна – своя небольшая производственная база, свой «свечной заводик», который позволил бы хоть немного избежать зависимости от советской промышленности. Шифраппаратуру того времени никак не отнесешь к товарам народного потребления, она выпускалась по спецзаказам для специальных целей, но в ней все равно использовалась стандартная элементная база, стандартная советская электроника со стандартными советскими проблемами. Идея наладить выпуск «спецэлектроники» для перспективной шифраппаратуры овладевала умами руководства Спецуправления, порождая проекты один грандиознее другого. А начать эти проекты, как и полагалось в советское время, следовало со строительства. Стекляшка занимала сравнительно небольшой по площади треугольничек на пересечении Молодогвардейской и Ельнинской улиц и в самом остром углу этого треугольника оставалось еще свободное место. Вот здесь-то и решили начать возводить криптографический «свечной заводик». Это, как и многое другое при социализме, стало «народной» стройкой. В том смысле, что профессиональных строителей, как всегда, не хватало, и для выполнения самой тяжелой и низкооплачиваемой работы спускали (в приказном порядке) разнарядки офицерам Спецуправления. И вот молодые и полные энтузиазма выпускники 4 факультета Высшей школы КГБ начинали свою трудовую деятельность с того, что воочию наблюдают примерно такие картинки советской действительности. Картинка первая. Паркет. Дефицитнейший материал, когда-то им устилали полы в жилых домах, но это было очень давно. Сейчас паркетом устилают полы только в элитных местах, к которому, просто по определению, должно относиться возводимое здание собственного «свечного заводика» Спецуправления. Но настилают паркет не рабочие-профессионалы, а солдаты срочной службы из какого-то строительного батальона. А офицеры Спецуправления им этот паркет подносят. Дело это было весной и то ли солдаты при этом больше о дембеле думали, чем о паркете, то ли вместо дуба, который, как известно, «годится на паркет, так ведь нет…», в нем использовали иные породы древесины, но только той же осенью уже молодые солдаты-салаги этот паркет отдирали, а те же офицеры его отодранный относили на свалку. Неправильно весной уложили, вздулся и рассыпался. Картинка вторая. Экскаватор. Предназначен для копания котлована. Ну как тут не вспомнить бессмертное изречение: «У тебя работа в рублях, а у меня – в сутках». Работа экскаваторщика явно оценивалась в сутках и солярке, сожженной за эти сутки. Пока офицеры Спецуправления разносили и укладывали подвезенный бетон, экскаваторщик завел мотор на своем экскаваторе и бесследно испарился. Полдня непрерывно тарахтящий мотор экскаватора изображал его работу, а сам экскаваторщик занимался при этом видимо какими-то более важными делами. И все – практически в открытую, на глазах у офицеров КГБ, разносящих в это время бетон на носилках. Наверное каждый, кто жил в то время, таких картинок насмотрелся достаточно, это, может быть, интересно для нынешнего молодого поколения, проявляющего интерес к социализму советских времен. Самый лучший способ насытить подобный интерес – попробуйте покопать канаву от забора и до обеда. В конечном итоге это строительное произведение вылилось в дополнительный трехэтажный корпус («пункт приема стеклотары»), вся территория Спецуправления стала треугольной и полностью соответствовала магическому русскому числу три: три стороны у стекляшки, три этажа у «пункта приема стеклотары», и треугольный забор с колючей проволокой, все это хозяйство огораживающий. Это были уже не первые мои уроки реальной жизни, реального социализма, его реальных строек. Еще при строительстве нового здания Высшей школы КГБ на Мичуринском проспекте нас, слушателей 4 факультета, несколько раз использовали в качестве подсобной рабочей силы на «воскресниках». Но в Высшей школе был учебный процесс, часто отрывать от которого слушателей было все-таки сложно (тогда, а как сейчас – ничего определенного по этому поводу сказать не могу) . А здесь, в стекляшке, никакого учебного процесса уже нет, все являются военнослужащими, которые обязаны безропотно выполнять приказы начальства. Так и велись все стройки на объектах в управлении B на проспекте Вернадского и в стекляшке, а молодые офицеры, полные сил и энергии, еще раз вспоминали на них описанную Александром Солженицыным в романе «В круге первом» криптографическую шарашку. Но по сравнению с 4 факультетом была все-таки одна существенная разница: глупостей, вроде «в первую очередь нам нужны хорошие офицеры, а потом уже хорошие специалисты» здесь уже в открытую не говорили и уровень интеллекта руководства Спецуправления был намного выше. Не было, как на 4 факультете, четкого разделения на преподавателей и начальников, все начальники – это, как правило, тоже математики, только делающие при этом такую работу, которую везде принято называть карьерой. И в треугольнике «офицер – чиновник – специалист» еще неизвестно, какая сторона должна быть больше, во всяком случае, для большинства этот треугольник был явно не равносторонний. Люди, попадая на руководящие должности, понемногу менялись, становились более важными и вальяжными, любили давать руководящие указания, выступать с общими рассуждениями на партийных собраниях (все сотрудники КГБ должны были быть коммунистами), постоянно находили недостатки у подчиненных. Но если на 4 факультете эти недостатки все время выражались в «неприческах» и плохо почищенных сапогах, то в Спецуправлении начальники очень любили до бесконечности вносить мелкие стилистические поправки в подготовленные их подчиненными статьи для издававшегося в 8 ГУ КГБ внутреннего научно-технического сборника. У меня была возможность сравнивать 4 факультет и Спецуправление: и в одном и в другом месте я провел достаточно времени. 4 факультет – резко выраженный контраст между преподавателями и начальниками и в целом более свободная, раскрепощенная атмосфера. Здесь меньше думают о карьерных интересах, здесь более популярны профессионалы, люди, выделяющиеся по своим качествам из общей массы. Здесь, наконец, много молодых людей с еще не закостеневшими мозгами, не успевшими растерять свой идеализм, какие-то неуловимые и нетривиальные черты, по которым практически любой преподаватель, общаясь с ними, становится сам моложе и раскованнее. А Спецуправление – это уже машина, механизм, производство. Здесь нет начальника курса, подобного нашему Чуде, нет и такого коллектива, легкого на подъем, свободного, демократичного, раскованного, какой сложился в нашей учебной группе на 4 факультете. Все в Спецуправлении уже сами за себя, больше думают о карьерном росте, о начальственных перспективах, о смысле жизни и реальных ценностях в ней. Сказывается и возрастное неравенство: старшие коллеги более опытные и имеют больше прав, молодому специалисту еще предстоит доказывать, чего он стоит на самом деле. Обстановка в Спецуправлении показалась мне все-таки более скучной и серой, чем на 4 факультете, постоянные сплетни в курилке, одни и те же темы: кто и как делает себе карьеру, кого назначат начальничком, чего ожидать в ближайшем будущем… Да не хочу я ничего ожидать и расписывать свою жизнь заранее на 20 лет вперед: через три года выбиться в руководители группы, еще через пять – в руководство отделения и карабкаться в этой тихой и заезженной колее до седых волос. Хочется каких-то нетривиальных поступков, нестандартных решений, неординарных действий, не хочется быть таким, как все. Но это все, наверное, несбыточные мечты, реальность – вот она, гораздо проще и прозаичнее: разнарядка на стройку, дежурство по продовольственным заказам, высиживание каждый день с 9 до 6 за одним и тем же столом, глядя на одни и те же лица, политучеба после работы, одна и та же скучная и унылая обывательщина. И так – до пенсии? Ну уж нет, может быть, кому-то такая колея и по душе, но не мне. Год, два, а затем – искать выезд из нее. Один отдел в Спецуправлении занимал особое положение в самом что ни на есть прямом смысле слова: находился не в стекляшке, а в обособленном старинном здании тюремного типа минутах в 15-20 ходьбы от стекляшки. Это был Теоретический отдел, в котором начальником был уже известный нам по лекциям по ТВИСТу Вадим Евдокимович Степанов. К нему-то я и попал сразу же после окончания факультета. Глава 2. У Степанова В 5 (Теоретическом) отделе Спецуправления работало около 50 человек, три отделения по 15-20 человек в каждом. Основной задачей отдела было проведение контрольных криптографических анализов действующей шифраппаратуры, выявление ее возможных слабостей и потенциальных опасностей, связанных с постоянным развитием вычислительной техники и криптографических методов анализа шифров. По действующим в те времена положениям, любая реально эксплуатируемая шифраппаратура должна была быть подвергнута контрольному криптографическому анализу не реже, чем один раз в 5 лет. Это довольно разумное положение, поскольку дать 100% гарантию стойкости на все времена никто не мог, криптографический анализ постоянно развивался, появлялись новые методы, новые люди, свежие взгляды. Сам криптографический анализ длился, как правило, около года и проводился следующим образом. Группе экспертов из 3-5 человек давали все предыдущие отчеты по анализу данной аппаратуры, подробное описание ее криптографической схемы, условий эксплуатации, требований, предъявляемых заказчиком аппаратуры, и за год надо было попытаться найти какие-то новые методы криптографического анализа этой схемы, которые позволили бы скинуть с предыдущих оценок стойкости 1-2 порядка. Работа почти всегда чисто абстрактная, самой этой аппаратуры эксперты часто вовсе не видели. Конечно же, качество проведенного криптографического анализа очень сильно зависело от квалификации экспертов, от их криптографического кругозора, эрудиции, умения найти и применить какие-то нетрадиционные, нетривиальные подходы, заметить то, что было пропущено на предыдущих экспертизах. В основном в 5 отделе работали сравнительно молодые ребята, еще не потерявшие вкуса к криптографии как к науке. Всячески поддерживались и поощрялись различные семинары, диспуты, споры, здоровая конкуренция за лучшую идею, за скинутые порядки с оценок стойкости. Степанов старался придерживаться баланса: половина людей в отделе заканчивала 4 факультет ВКШ КГБ, другая половина – МГУ, вроде как две разные команды, в которых «школьники» (4 факультет) обладали тем преимуществом, что были уже знакомы с криптографией, а приходящему на работу человеку со стороны требовался год-два на то, чтобы вникнуть во все тонкости криптографических методов. Но одними контрольными криптографическими анализами занять столько людей было невозможно. Отдел вел еще несколько перспективных НИР, в которых пытались предугадать возможности развития криптографии и вычислительной техники в будущем, появление новых направлений в анализе и синтезе шифров, проблемы искусственного криптографического интеллекта. Тут было огромное поле для различных дискуссий, для проявления остроумия и юмора (ТИКИ – КИКИ – теория искусственного криптографического интеллекта – конкретный искусственный криптографический интеллект), но сейчас, спустя почти 25 лет, стало ясно: с перспективами наша криптографическая наука явно промазала. Американцы, с их идеями открытых ключей и электронной подписи, с их коммерческой криптографией оказались куда более практичнее. Конечно же, идеи системы с открытым распределением ключей У. Диффи и М. Хеллмана, впервые опубликованные в 1977 году, были известны, но отношение к ним тогда, на рубеже 80-х годов, было весьма настороженное. По привычке считали их какой-то уловкой американских спецслужб, своего рода «криптографической провокацией», призванной сбить с толку развивающиеся страны, внедрить у них эту систему, которую американцы, зная «потайной ход» в ней, затем смогут вскрывать. Про развитие электронной коммерции в то время думать никому не приходило в голову: для советской экономики вполне хватало коммерции по блату или с черного хода. Основная забота была о военных шифрах, а в них использование сравнительно новых американских идей было абсолютно нереальным. Еще один вызов, который бросили американцы в то время – это DES, Data Encryption Standart. Открыто опубликованная криптографическая схема, в то время, как в СССР все, что было прямо или косвенно связано с криптографией, подвергалось тщательному засекречиванию. Такая система была заложена еще Сталиным и сохранялась до 90 годов практически в неизменном виде. Доходило до анекдотов. В 1986 году издательство «Радио и связь» в плане изданий на 1987 год опубликовало анонс книги Д.Конхейма «Основы криптографии». Книга зарубежного автора, в ней содержались только общеизвестные понятия, описание американского DES, самые тривиальные подходы к его криптографическому анализу. Реакция 8 ГУ КГБ СССР была однозначной: запретить. Весь тираж был объявлен ДСП (Для служебного пользования) и направлен в закрытые спецбиблиотеки управлений КГБ. Но план издательства был уже широко опубликован и в издательство начали приходить заявки на эту книгу. Все эти заявки издательство пересылало в 8 ГУ КГБ СССР, где, прямо на моих глазах, происходили следующие сцены. – Так, Дальневосточный военный округ. Ну, тут все ясно. – А это что? Мурманское морское пароходство? Ну-ка, разберитесь, кто это там так шибко заинтересовался криптографией, что они лезут, куда не следует! Как мотыльки на ночной свет, полетели на анонсированную книгу все подпольные и полуподпольные криптографы. А в 8 ГУ КГБ СССР только и оставалось, что наладить их учет и контроль. Почти такая же история, только уже с несколько другим сценарием, повторилась почти 10 лет спустя. В 1995 году был принят Указ Президента России № 334, в котором на любое использование криптографических средств требовалась лицензия ФАПСИ. К тому времени в России уже было множество коммерческих банков, использовавших различные системы шифрования и электронной подписи. Дальнейшее продолжение этой истории слишком тривиально, чтобы уделять ей здесь внимание, система и через 10 лет осталась практически той же. Но вернемся к DES. Взломать DES предлагали всем желающим, и уж Теоретический отдел не мог остаться от этого в стороне. «Если вы найдете способы взлома DES, то я сразу же буду докладывать об этом на очень высоком уровне» – так выступал перед нами генерал, заместитель начальника Главка. Но, к чести 5 отдела, сильно напрягаться над попытками взлома DES никто не стал. Ломовая и тупая схема, которой не коснулись ни красота, ни изящество, ни оптимальность выбранных параметров, ни простота реализации. Но к ней было приковано высочайшее внимание! Получить какие-то красивые результаты и написать диссертацию на анализе DES было очень трудно, а завоевать внимание начальства – очень легко. И вот с конца 70-х годов в 5 отделе стали заниматься «криптографической теологией»: как малость приукрасить DES, чтобы немного скрыть его уродства, но в то же время (не дай бог!) не раскрыть при этом каких-то своих криптографических тайн. В те времена – начало 80-х годов – расклад «криптографических сил» в 5 отделе был примерно следующим: 1 отделение – «криптографические законотворцы», те, кто занимался разработкой новых требований к перспективной шифраппаратуре (об этом речь пойдет впереди), а также разработкой советского стандарта шифрования, основанного на схеме типа DES. Кузница кадров для будущих криптографических чиновников. 2 отделение – вероятностники, то есть те, кто, в основном, специализировался на статистических методах анализа шифров. Их любимыми объектами были «балалайки», традиционные электронные шифраторы, работающие с битами на элементной базе 60-х годов, состоящей из типовых логических элементов. 3 отделение – алгебраисты, те кто специализировался на алгебраических методах криптографического анализа. Здесь, помимо анализа традиционных «балалаек», были люди, занимавшиеся разработкой шифров на новой элементной базе, а также, те, кто изучал и анализировал появившиеся новые американские идеи открытых ключей. Мне посчастливилось попасть к алгебраистам. Между алгебраистами и вероятностниками всегда шли острые дискуссии на тему, чья же вера более истинная, и кто приносит больше пользы в криптографии. К «криптографическому законотворчеству» отношение во 2 и 3 отделениях было примерно такое же, как к политинформациям: спущено сверху, значит кому-то надо. Никто не верил, что разрабатывая новые требования или приукрашивая DES, можно получать какие-то красивые и полезные научные результаты, но приказ начальства – закон для подчиненных. «Криптографическое законотворчество» не было доминирующим в Теоретическом отделе. Большинство людей стремилось к самостоятельной научной работе, писали и защищали диссертации, искали новые, оригинальные решения. Мне кажется, что Степанов был более расположен к таким людям, поскольку его собственный интеллект и кругозор был необычайно широк. Он досконально вникал во все отчеты, выполненные в отделе, поэтому все написанное, прежде чем попасть к Степанову, проходило через неоднократные обсуждения, проверки, споры. Наверное, любой другой подход неизбежно привел бы к фикции, к имитации бурной деятельности, к обесцениванию криптографического анализа, ведь даже если американцы и нашли какую-то слабость в наших шифрах, то вряд ли об этом станет известно. Вопрос о «критерии истинности» выполненных в 5 отделе работ, как правило, решался окончательным мнением Степанова, а придумать тут что-либо другое было невозможно. С другой стороны, наличие сильного лидера всегда благоприятно влияет на коллектив, вызывает естественное желание подтягиваться до его уровня, нацеливает на более трудные задачи. Сколько подобных примеров известно в нашей истории: С.П.Королев, И.В.Курчатов, А.П.Александров, М.В.Келдыш и многие другие. А если взять не науку, а, к примеру, спорт, то и здесь влияние одного человека, неординарной личности, трудно переоценить. Как не вспомнить советскую хоккейную сборную времен А.В.Тарасова, редко знавшую поражения, а все больше победы, добываемые тяжелым трудом. И начальник Теоретического отдела тоже был из тех людей, кто явно выделялся из общей массы, кто был на голову выше своих подчиненных, причем выше именно в силу своего интеллекта, образованности, знаний, а не административного положения. Мой приход в 5 отдел очень символично совпал с одним событием: в здании, где располагался отдел, в это время начали ломать советскую ЭВМ «Весна». Весь двор был заставлен мусорными контейнерами с платами и схемами (которые не микро), составлявшими раньше hardware этого очередного чуда техники. Увлекаясь в детстве сборкой транзисторных радиоприемников, я с ужасом прикидывал количество выкинутых транзисторов, диодов, конденсаторов и сопротивлений, которые всегда были дефицитом и предметом моего неутомимого поиска по разным радиомагазинам. Здесь же были совершенно иные единицы измерения, не штуки, а ящики, контейнеры, кубометры. Душа не выдержала, и не только у меня одного. Около этих сокровищ стали появляться и другие люди с плоскогубцами и кусачками и одна из последних моделей чисто советских ЭВМ приняла чисто советскую смерть. Примерно через год какими-то неведомыми путями Спецуправление умудрилось закупить американский компьютер (тогда еще не персональный, а многопользовательский) Hewlett-Packard и установить его в стекляшке. И сразу все почувствовали разницу! Цивилизованные клавиатура и монитор, диалоговый режим работы, нет никаких перфолент и перфокарт, простой язык программирования BASIC, вместо машинных кодов и примитивного ассемблера, с которыми мы имели дело на «Руте-110» на 4 факультете. Этот компьютер сразу же стал центром всеобщего притяжения, а уж в 5 отделе – тем более, ибо располагался в стекляшке, где не было своего «отдельского» начальства. Фраза «Я пошел на машину» стала любимой для многих сотрудников, желающих обрести некоторую свободу творчества, особенно после обеда. Но все же основная работа в Теоретическом отделе была с карандашом и бумагой. Строгие математические факты, доказанные теоремы и вытекающие из них оценки стойкости шифров – вот та продукция, которая требовалась от теоретиков. Разобраться с криптосхемой, вникнуть во все ее особенности, сильные и слабые стороны, а затем попытаться взглянуть на нее по-новому, свежим взглядом, с другой стороны. Этого уже нельзя прописать ни в каких инструкциях и приказах, это процесс творческий, решение может прийти неожиданно и внезапно, а можно и «зациклиться», гонять взад-вперед одни и те же идеи, не двигаясь с места. И вот тут важна обстановка, та атмосфера, в которой приходится работать теоретику. «Сидя все время на рабочем месте, работать по-настоящему невозможно» – такими словами меня встретили в отделе. Собрав полсотни математиков в одном месте, установив жесткий режим работы: с 9 до 6 вечера, невозможно добиться от них свежих идей. Очень часто самые красивые результаты получались не благодаря, а вопреки такому режиму: кто-то приноровился работать дома вечерами и ночами, отсыпаясь днем на работе, кто-то старался почаще брать больничный, библиотечные дни или аспирантский отпуск. Степанов все прекрасно понимал, но ничего поделать не мог или не хотел. Не мог он объявить во всем отделе свободный график работы, потому что все мы были действующие офицеры КГБ и подчинялись общему распорядку, установленному в Конторе. Приход на работу – ровно в 9.00. Ежедневный обход контролера: все ли реально присутствуют на своих рабочих местах? Первые два часа, до 11.00 – творческое время. Все всегда дружно пытались договориться: ну давайте хоть первые два часа, пока голова еще свежая, никто никого не будет дергать, пусть будет возможность хоть немного спокойно поработать. Все эти благие намерения про творческое время быстро забывались, верх брали повседневные житейские проблемы: распределение продуктовых заказов, сдача партийных и комсомольских взносов, обсуждение бурных дебатов на последнем партсобрании, слухи о возможных новых назначениях и перемещениях людей и многое, многое другое в том же духе. Ровно в 11 – пятнадцатиминутная физкультурная пауза, которую, по традиции, в первые годы моего пребывания в отделе использовали под шахматные блиц-партии, а позже, после появления персональных компьютеров, – под компьютерные игры. Ожидание обеда, и обед в столовой, после которой многие вознаграждались хроническим гастритом. Военная часть, столовую обслуживали солдаты из местной роты охраны, практически никаких контролеров, интеллигентная обслуживаемая публика, которая не будет поднимать скандала из-за некачественной пищи. Примерно через год я пришел к твердому убеждению: а ну ее в болото! Проще приносить из дома бутерброды и термосы с горячим бульоном, чем добровольно, за свои деньги, загибаться в этой травиловке. Ну а после обеда – мучительное ожидание конца рабочего дня. Как же медленно ползет время! Все проблемы уже обсуждены и переговорены с утра, все мысли в голове начисто перебиваются буйным обедом в желудке, перед тобой раскрытая тетрадь, гора предыдущих отчетов и часа четыре времени, оставшегося до финального свистка. Самое ненавистное время, ни разу ничего путного за это время мне в голову не приходило. И так каждый день, одно и то же, за редкими исключениями. Тоже ведь своеобразная школа выживания, в которой самое главное – не опуститься до уровня, когда эти повседневные проблемы вытолкнут все остальное из головы, когда забудешь о своем образовании, квалификации, призвании, займешься одной общественной или партийной работой, превратишься в заурядного сплетника и пустомелю из курилки. Довольно быстро я понял, что такой образ жизни – не по мне, хотелось живой, интересной работы, хотелось видеть реальные результаты своей работы, которые можно выразить не только абстрактными теоремами, а чем-то иным, более приземленным, более понятным, более очевидным. Чтобы критериями успешного завершения работы были не одобрительные слова даже такого авторитетного человека, как Степанов, а что-то другое, тоже простое и понятное практически любому. У авиаконструктора, например, есть такие критерии: если его самолет успешно прошел летные испытания, значит он все сделал правильно, если у агронома вырос хороший урожай, значит он тоже сделал все верно. Да в том же 16 управлении, если вскрыли шифр, прочитали открытый текст – безусловный успех, заслуженная награда. Но в Теоретическом отделе 8 управления КГБ таких критериев чаще всего не было, случаи, когда удавалось «колонуть» какой-то свой действующий шифр были, во-первых, крайне редки, а, во-вторых, расколоть шифр с помощью абстрактного его анализа – это одно, а реально прочитать шифрованную переписку – это совсем другое. Отдел плодил кучи отчетов, статей в закрытые научно-технические сборники, проводил массу фундаментальных и прогнозных исследований, казалось, что собранные в одном месте сильные математики способны предложить новые оригинальные идеи, которые будут конкурентоспособны с последними американскими достижениями в криптографии. Но часто приходилось слышать такие речи: – На самом деле мы здесь в резерве, на случай непредвиденных обстоятельств. А все эти теоремы – это так, чтобы не было скучно сидеть. В триаде «специалист-офицер-чиновник» далеко не очевидно, что специалиста надо было ставить на первое место. Но все же основное мое впечатление от времени, проведенном в отделе у Степанова – это очень сильный коллектив, в котором есть общепризнанный лидер, а у большинства сотрудников есть желание походить на такого лидера, достичь его уровня, составить ему конкуренцию. Такого коллектива мне, к сожалению, за всю последующую жизнь встречать больше не довелось. И любой молодой выпускник 4 факультета, попадая к Степанову, невольно впитывал в себя такие качества, как строгая логика в рассуждениях, подчинение их какой-то определенной цели, умение сразу же отличить реальные аргументы от пустой фразеологии, оценка человека по реальным результатам его деятельности. И эта степановская школа оказалась очень полезной во всей моей дальнейшей биографии, а прошедших ее людей потом приходилось встречать в таких организациях, как Газпром и Сбербанк. Глава 3. Оперативные наряды В 1980 году на Москву надвигалось не стихийное, а заранее задуманное бедствие – летняя Олимпиада.
Так в народе окрестили забавного олимпийского мишку, эмблему XX летних Олимпийских Игр. Любое мероприятие, раздуваемое советской пропагандой, вызывало настороженное отношение, а Олимпиада рекламировалась со всей удалью и прытью. Все традиционные советские массовые шоу, типа парадов на Красной площади и съездов КПСС уже приелись, не вызывали никаких эмоций, стали привычными спектаклями. А здесь впервые международное событие такого масштаба, призванное показать достижения развитого социализма (большей частью фиктивные), авторитет и признание ведущей роли СССР в мире (держащиеся исключительно на страхе перед ракетами и танками). Политическое событие, впервые Олимпиада проходит в социалистическом государстве, где расцвели свобода и демократия, нет эксплуатации и насилия (а также товаров в магазинах). Накануне Олимпиады в центральном клубе КГБ СССР лектор на полном серьезе около двух часов сравнивал перед офицерами КГБ условия жизни в США и СССР. Их зарплаты в 3000-5000 $ – это ничто, блеф, мистика, все деньги уходят на налоги, оплату жилья, медицину, да и вообще жизнь в Штатах невыносима, в два счета могут ограбить и убить. То ли дело в СССР, тишь да гладь, да божья благодать, живи себе и радуйся на свою зарплату, в 10 раз меньшую, чем в США. Не могу сказать, что в то время подобные байки вызывали ярость. Нет, скорее полное равнодушие, собачка лает – ветер относит, провели мероприятие, поставили галочку в отчете – всем хорошо, и лектору и его слушателям. Коммунистическая система казалась вечной, ну подумаешь, дошли лидеры до старческого маразма, «сосиськи сраные» вместо «социалистические страны» произносят, нечего забивать себе этим голову. Все равно ничего не изменишь, а к тому же есть хорошее образование, работа, кусок хлеба, живешь как все, может даже в чем-то чуть-чуть лучше. Пусть все катится и дальше по наезженной колее, пока молодой, полон сил, энергии, чего думать о каких-то абстрактных проблемах и противоречиях. Пускай врут и дальше все эти лектора и пропагандисты, политинформаторы и агитаторы, мне от этого ни холодно, ни жарко. Точно так же, в то время практически безразлично, отнеслось большинство народа к вводу советских войск в Афганистан в декабре 1979 года. Солдаты отправились защищать какую-то там апрельскую революцию, дело святое, или мы, или американцы – вот типичные настроения тех лет. Гораздо интереснее было наблюдать за всей затеей с Олимпиадой. А Афганистан отразился на Московской Олимпиаде самым прямым образом. Американцы и их союзники, в знак протеста против ввода советских войск в Афганистан, призвали к бойкоту Олимпиады. Шоу грозило стать урезанным, неполноценным, неким немного расширенным вариантом спартакиады народов СССР. На пропаганду и агитацию были брошены все силы, в журналах публиковались карты боев, в которых страны, присоединившиеся к бойкоту Московской Олимпиады, закрашивались черным цветом, а обещающие приехать – красным. На обеспечение проведения Московской Олимпиады были мобилизованы все без исключения сотрудники КГБ. Это называлось оперативный наряд. Главное – не допустить какой-нибудь провокации, под которой понимали в первую очередь антисоветские лозунги, митинги и демонстрации. «СССР – вон из Афганистана» – самый что ни на есть антисоветский лозунг, возмущенные советские граждане (капитаны да майоры) должны были сразу же дать ему решительный отпор и быстро доказать всему миру, что Советский Союз – самая миролюбивая страна в мире. Не стало исключением и 8 ГУ КГБ СССР. Но польза от яйцеголовых, как от оперативников, была практически нулевая, поэтому большая часть сотрудников нашего отдела всю Олимпиаду провела на стадионе в Лужниках. Солнце всходит и заходит…, а болельщики – все те же. Мне, к сожалению или к счастью, не довелось сидеть до посинения на стадионе. Небольшую группу сотрудников нашего отдела направили «на обеспечение безопасности и порядка» в гостиницу «Космос», куда съехалось множество иностранных туристов. – Ребята, вы здесь совершенно не нужны, тут без вас уже тьма народа. Но раз уж вас прислали, то мне гораздо проще вас вообще не замечать, чем пытаться что-то изменить в такой ситуации. Так нас приветствовал начальник оперативного штаба гостиницы, созданного на время Олимпиады. Доброе напутствие, а мужик, видно, хорошо знает реальную жизнь! В конце концов нашли оптимальный вариант для всех: мы парами дежурим в холле гостиницы, изображая из себя праздную публику, которой там и так хватало, но поскольку народа от отдела прислали много, «с запасом», а большой кучи народа в холле не нужно, то режим дежурства – день (с 10 утра до 8 вечера) дежуришь, а потом 3 (три!) дня – отдыхаешь. С таким режимом я был бы согласен на то, чтобы Олимпиаду в Москве проводили как можно чаще, хоть летнюю, хоть зимнюю. В холле стоял большой телевизионный экран, весь ход Олимпиады можно было смотреть из удобного кресла, а не с галерки на трибунах. Советская пропаганда всячески заискивала перед приехавшими иностранцами, и вместо того, чтобы попытаться получить с Олимпиады максимальный финансовый доход, старалась вовсю дудеть в идеологические дудки: мы не гонимся за прибылью, мы социалистическая страна. – Завтра для зарубежных гостей столицы состоится теплоходная экскурсия по Москве и Подмосковью. Экскурсия бесплатная. Зарубежные гости были немало удивлены подобной халяве. Наверное, такое было указание: занять иностранцев чем-нибудь, а то начнут еще по магазинам советским ходить (хотя и приукрашенным к Олимпиаде), с простыми людьми встречаться, беседовать о жизни… Забавный случай произошел на моих глазах с японцами. Наслушавшись вражьих голосов о проблемах с продуктами в СССР, они решили привезти все с собой. Упаковали еду в огромные баулы и вот с этими баулами предстали перед службой входного контроля гостиницы «Космос». А в этой службе были молодые ребята с собачками, натренированными на запах взрывчатки. Пока дежурный проверял паспорта, эти ребята подводили собачек к багажу и проводили свою проверку. И вот к баулу, забитому японской копченой колбасой, подводят такую собачку. Взрывчаткой не пахнет, пахнет чем-то другим, гораздо более вкусным, собачка не лает, но уходить от баула явно не хочет. Багажа много, проводник пытается силой оттащить ее, а она сопротивляется, и в конце концов решает это место пометить. На всякий случай, вдруг пригодится! Бойкот Олимпиады – это была внешняя реакция мира на развязанную кровопролитную войну в Афганистане. Но совершенно неожиданно советская система получила уже во время Олимпиады наглядное отражение отношения к ней своего собственного народа. Это произошло в результате такого печального события, как внезапная смерть Владимира Высоцкого 25 июля 1980 года. Официальная советская пропаганда старалась его не замечать, слишком нетривиальная и неудобная для властей это была личность. Признанный государством кумир должен был обязательно хоть раз в жизни (а то и чаще) похвалить партию и правительство за счастливую жизнь, сказать что-нибудь типа того, что его самая яркая роль – это чтение по TV книжек Л.И.Брежнева, прыгать от радости по поводу полученного от Генерального секретаря ЦК КПСС приветствия, ну на худой конец – спеть на праздничном концерте:
Ну и что с того, что у Высоцкого было много прекрасных военных песен, которые знала наизусть вся страна? Они не были одобрены в идеологическом отделе ЦК КПСС, хотя их слушали внуки Брежнева. Неуправляемый это был человек, чувствительный к той лжи, которая потоками лилась изо всех партийных щелей, не променявший свое истинное народное признание на дешевую мишуру официальных званий и наград.
вот мотив его творчества, его выступлений с концертами перед тысячами простых людей в Сибири, на Камазе, на нефтяных промыслах, по всей стране. Некролог о смерти Высоцкого напечатали только в одной газете, «Вечерней Москве», в нижнем углу на последней странице. Но на следующий день тысячи людей, презрев Олимпиаду, пришли проститься с ним к театру на Таганке. Власти растерялись и по привычке сделали вид, что ничего особенного не произошло, продолжая радоваться долгожданной Олимпиаде. Москва была в шоке. Вся Олимпиадная помпезность и показуха сразу же как-то поблекли и выветрились, ясно стало видно циничное отношение правителей к своему собственному народу, к его горестям и потерям. Вот только изменить что-либо в той системе в то время было невозможно. Пройдет еще много лет, война в Афганистане станет суровой реальностью с многочисленными загубленными или искалеченными молодыми жизнями, только тогда общество начнет понемногу переходить к реальным действиям по избавлению от коммунистического дурмана. Нам же Олимпиада ясно показала одно: математиков в системе КГБ считают за людей «второго сорта», рассчитывать на какое-то разумное использование полученного образования и навыков при подобных мероприятиях не приходится. Эта система в таких случаях работает по принципу «навались, ребята», без разбору посылая кого угодно и куда угодно, а после начальники раздают сами себе ордена и награды. Но особого сожаления о том, что не являюсь «истинным» чекистом, я почему-то не испытывал. После Олимпиады за время моей службы в КГБ в Москве прошло еще несколько подобных мероприятий, на которых нас использовали в качестве «оперативников». Но все они, как правило, оставляли одно и то же тусклое впечатление: бесконечное и бесцельное высиживание, не требующее ни ума, ни знаний, ни образования, а только терпения и умения как-то подавлять скуку. Правда, в 1986 году одно такое мероприятие немного выделилось из этого серого ряда. Это был чемпионат мира по хоккею с шайбой, проходивший в Москве во дворце спорта «Лужники». Хоккей с шайбой – это любимая игра моего детства, у него были миллионы поклонников, достать билеты на матчи с участием советской непобедимой сборной было для многих несбыточной мечтой. Усилиями выдающегося тренера, фаната своего дела Анатолия Владимировича Тарасова сборная СССР почти всегда побеждала, игроки поражали своим виртуозным мастерством, а во дворах на многочисленных хоккейных «коробках» мальчишки старались подражать Фирсову, Харламову, Старшинову, Рагулину, без конца комментировали каждый забитый ими гол, их финты и обводки. И вот теперь у меня появилась возможность не просто посидеть на трибуне во время матчей чемпионата мира по хоккею, а проникнуть за кулисы, в фойе перед раздевалками команд, увидеть своих кумиров живьем, поговорить с ними, взять автографы. Оказалось, что большинство наших хоккейных звезд – совершенно нормальные ребята, гораздо менее заносчивые, чем КГБшные генералы, тренирующиеся до седьмого пота, добывающие свою славу и награды очень тяжелым трудом. И находящиеся под пристальным вниманием различных людей, не всегда преследующих только честные и благородные цели. Примерно за два часа до начала финального матча за золотые медали СССР-Швеция один иностранный корреспондент, который стоял на улице и его не пускали к раздевалкам, стал просить о встрече с Игорем Ларионовым. Корреспондент говорил только по-английски, обычные охранники не могли его понять и попросили меня, как человека, слегка объясняющегося по-английски, узнать, чего он хочет от одного из лучших игроков сборной СССР. Он показал мне пачку фотографий. – Это сборная СССР после прошлогоднего чемпионата мира, проходившего в Праге. После окончания игр был прием в Ратуше. Это советская команда на приеме, а это серебряное ведерко для шампанского, которое было полное водки и советская команда его выпила. Ничего особенного на этих фотографиях не было – молодые ребята после трудного чемпионата, совершенно нормальные. Но в Советском Союзе того времени разрешалось изображать советских кумиров только положительно, а полное водки серебряное ведерко для шампанского явно не укладывалось в эти стереотипы. Все было до предела очевидно – перед решающим матчем корреспондент хотел испортить настроение нашим хоккеистам. В хоккее чехи были нашими давними заклятыми друзьями и не гнушались никаких методов. Но советская сторона тоже не оставалась в долгу. Спонсором того чемпионата мира было чешское отделение компании «Пепси-Кола», они развесили везде свою рекламу и установили в фойе перед раздевалками два автомата для бесплатной раздачи этого напитка. Народу в этом фойе было немного, но народ попадался иногда очень даже боевой. У автоматов дежурили две куколки-чешки, которые иногда отлучались со своего поста. И вот тут российский народ показывал, на что он способен, давал чехам свой, асимметричный ответ на их происки. В мирное время, т.е. во времена обычных соревнований, в этом фойе дежурили две бабули – то ли администраторши, то ли билетерши. На время чемпионата мира все их контрольные функции взяло на себя КГБ, а бабули первое время сидели безо всякого дела. Но это продолжалось недолго. Вскоре они, как только куколки-чешки покидали свои автоматы, стали делать таинственные знаки и тотчас же из близлежащих кустов появлялись другие такие же бабули с трехлитровыми банками, которые бабули-агенты тащили к чешскому автомату. Не прошло и половины чемпионата, как представитель чешской «Пепси-Кола» стал взбудораженно бегать по фойе и удивляться, почему такой большой расход у этих двух автоматов. Практически все запасы фирмы на весь двухнедельный чемпионат мира были израсходованы меньше чем через неделю и чехословацкому отделению Пепси-Кола стал грозить международный скандал. Да, это был, пожалуй, единственный оперативный наряд за всю мою КГБшную практику, на память о котором остались яркие воспоминания, красочный альбом с автографами практически всех советских хоккейных звезд, канадская шайба и шведская клюшка. Глава 4. Шифры на новой элементной базе Про шифры на новой элементной базе я уже несколько раз упоминал в этой книге, но в основном абстрактно: были заложены основы, велись теоретические разработки. А как пощупать их руками? Что в них было действительно нового? Здесь надо немного окунуться в ту «докомпьютерную» эпоху. Что такое микропроцессор – представление об этом было весьма расплывчатое. Что-то такое, что реализовано с помощью никому тогда не ведомого процессора, но только очень маленького, размером с копеечную монету. Живьем микропроцессор мало кто видел, только общие сведения: способен выполнять некоторые операции с двоичными векторами, достаточно быстро по сравнению с типовыми логическими элементами. Один раз, еще в Высшей Школе КГБ, нам, рассказывая про микропроцессоры того времени, сказали, что их стоимость сравнима со стоимостью золота, сопоставимого по весу с микропроцессором. Сначала, как только я пришел на работу в отдел Степанова, там загорелись идеей создать специализированный криптографический процессор, ориентированный на выполнение определенных криптографических преобразований. Что это должны быть за преобразования – тоже не было единого мнения. Преобразования для системы с открытым распределением ключей? Или для симметричного шифрования, без которого система с открытым распределением ключей теряет всю свою эффективность? В общем, начальный период создания криптографического процессора прошел в абстрактных криптографических спорах, которые были спущены на грешную землю одним простым вопросом, заданным спорщикам инженером, приглашенным из Зеленоградского завода Ангстрем, на котором предполагалось изготавливать эти процессоры: – А какой толщины должен быть слой лакового покрытия вашего процессора? Все криптографы сразу же выпали в полный осадок. Ответить на вопрос о толщине слоя лакового покрытия никто не смог, абстрактный криптографический процессор, рожденный в умах теоретиков, так там и остался. Но идеи шифров, реализуемых не с помощью какого-то надуманного криптографического микропроцессора, а с помощью начинавших появляться в то время самых обычных микропроцессоров для портативной бытовой электроники, оказались весьма живучими. Все очень просто: есть выпускаемые промышленностью микропроцессоры, выполняющие стандартные арифметические операции, их производительность невелика, но они очень дешевы. Задача криптографов – приспособить эти стандартные процессоры для выполнения криптографических преобразований. Не гора должна идти к Магомету, а Магомет к горе. Однажды к нам в гости пожаловали ребята из НИИ Автоматики. Это был один из ведущих институтов Министерства радиоэлектронной промышленности, который занимался разработкой шифрующих устройств и в котором работало много выпускников 4 факультета. В теории 8 управление КГБ должно было выполнять только экспертные функции, разработку шифраторов должна была проводить промышленность, но в реальной жизни все тесно переплеталось, наш отдел постоянно выдавал какие-то идеи для новых схем, масса людей писала на этом диссертации, поэтому провести четкую грань между разработкой и экспертизой часто было невозможно. Эти ребята тоже занимались разработкой шифров на новой элементной базе. Но они были практиками, для них первичным было «железо», реально существующие в то время микропроцессоры, под которые надо было придумать криптосхему, в которой все преобразования осуществляются не с традиционными битами, а сразу с байтами, 8-мерными двоичными векторами. – Мы постарались придумать максимально простую для реализации криптосхему. Вы можете прикинуть оценки ее стойкости? Ребята молодые, может быть старше меня года на 3-4. Один из них уже начальник сектора, пишет диссертацию. Эта тема – шифры на новой элементной базе – интересует многих. На 4 факультете кафедра математики подготовила два солидных отчета о проведенных исследованиях по аналогичной теме, несколько человек уже защитились. Новое, перспективное направление, что же оно из себя представляло? Здесь я вынужден извиниться перед читателем этой книги, не имевшим ранее никаких дел с математикой. Сейчас придется немного залезть в теорию групп и теорию подстановок, со своими специфическими терминами: симметрическая группа, циклическая подстановка, свойство 2-транзитивности и т.п. Может быть неискушенный читатель пробежит эту часть «по-диагонали», не вдаваясь особо в подробности и не забивая себе в голову всех этих премудростей. Но в математике, как и в любой другой области науки, иногда удается получить красивый результат, и, чтобы оценить его красоту, надо немного вникнуть в детали, подробности, предшествующие его получению. Так что читатель, окунувшийся в начинающиеся ниже математические дебри (не такие уж и сложные, как может показаться на первый взгляд!), в конце концов будет вознагражден одной красивой «изюминкой». Большинство традиционных электронных шифраторов реализовано с помощью «балалаек», работающих с битами. В этих «балалайках» в ячейки регистра сдвига могут быть записаны только два элемента – 0 или 1, такой регистр сдвига называется регистром сдвига над полем GF(2) – полем Галуа из двух элементов. Операции с битами тоже весьма простые: сложение и умножение по модулю 2, а также отрицание. Все методы анализа подобных «балалаек» ориентированы на двоичные операции, на операции в поле GF(2). Если же мы вместо битов переходим к байтам, то появляется много нового. Традиционные операции с байтами можно осуществлять несколькими способами. Например, сложение и вычитание могут быть с переносом или без переноса, т.е. или это будут операции в кольце вычетов по модулю 256, или покоординатное сложение бит. Но самое интересное обобщение происходит с операцией отрицания. Отрицание (инверсия) бита – это фактически подстановка на множестве из 2 элементов. Когда всего 2 элемента, то мощность симметрической группы S2 составляет всего 2! = 2, всего две подстановки: тривиальная единичная (ничего не меняется) и инверсия, когда 0 переходит в 1, а 1 – в 0. Мощность же симметрической группы S256 составляет 256! – совершенно фантастическое число. Введение подстановки в регистр сдвига, работающий с байтами, а не с битами, переворачивает все привычные методы криптографического анализа. Совершенно другие операции, а следовательно, нужны и другие подходы к анализу и оценке стойкости таких схем, чем те, которые использовались в традиционных двоичных «балалайках». С чего начала кафедра математики на 4 факультете? С самого простейшего преобразования, осуществляемого с n-мерными двоичными векторами, с преобразования типа (GП)k, где G – группа, порожденная циклическим сдвигом (G = <g>, g =(0,1,…,2n-1)-циклическая подстановка), П – некоторая фиксированная подстановка из S2n, а k – некоторое целое число. Если здесь перейти от математических терминов из теории групп к обычной криптографической терминологии, то преобразование типа (GП)k – это следующий узел. Преобразования типа (GП)k - это, фактически, множество подстановок вида gx1П gx2П… gxkП, и задачей кафедры математики было обосновать какие-то свойства подобного множества, найти их зависимости от подстановки П. Типичная криптографическая ситуация – когда в таком узле входное слово x1,x2,…xk является ключевым параметром, требуется найти подходы к его определению по нескольким известным переходам в реализуемой подстановке. Кафедра начала с изучения группы <g, П >, т.е. группы, порожденной двумя подстановками: циклическим сдвигом g и фиксированной произвольной подстановкой П. Это естественное обобщение преобразования (GП)k, предельный случай. Свойства группы <g, П > дают ответ на вопрос, что в принципе можно ожидать от нашего преобразования при увеличении длины k до бесконечности. Можем ли мы таким путем получить все подстановки или же есть какие-то запреты? Оказалось, что если случайно и равновероятно выбрать из всей симметрической группы фиксированную подстановку П, то с вероятностью, близкой к 1, группа <g, П > будет совпадать со всей симметрической группой, т.е. запретов не будет. Те подстановки П, для которых это не так, очень часто легко определяются, например, П=g, а также любая линейная подстановка, реализующая преобразование вида П(x) = ax+b, где a и b – фиксированные элементы из Z/2n. Дальше, естественно, стали возникать вопросы: а как скоро мы сможем достичь симметрической группы? Какова будет мощность слоя (GП)k при некотором значении k, например, при k=2 или при k=3? При каком k множество (GП)k станет 2-транзитивным, т.е. по имеющимся в нем подстановкам любая пара (y1,y2), в которой y1<>y2, сможет перейти в любую пару (z1,z2), в которой z1<>z2? Что в общем случае можно будет сказать про обобщение 2-транзитивности – m-транзитивность? За свойство 2-транзитивности взялись основательно, чувствовалось, что здесь могут быть интересные криптографические зацепки: если 2-транзитивность отсутствует, то появляются запреты переходов биграмм текста, широкое поле деятельности для криптоаналитика. Например, если П – упомянутая выше линейная подстановка, то для любой пары (y1,y2) будет справедливо соотношение: П(y1)- П(y2) = (ay1+b) – (ay2+b) = a(y1-y2) В этом случае при применении подстановки П сохраняется соотношение между разностями знаков, а поэтому кратной транзитивности заведомо не будет. А если П – не линейная, а произвольная подстановка? При каком минимальном значении k множество (GП)k может достичь свойства 2-транзитивности? Всего имеется 2n(2n-1) различных пар (z1,z2), в которых z1<>z2, а количество различных подстановок в (GП)k не превосходит (2n)k. Следовательно, свойства 2-транзитивности можно достичь только при k>=2. Можно ли при k=2? Рассмотрим множество подстановок (GП)2. Это множество реализует всевозможные преобразования произвольного значения t в значение s по формуле s = П (П (t+x1)+x2) при всевозможных x1,x2. Если бы это множество было 2-транзитивным, то для любых заранее фиксированных s1,s2, t1,t2 , в которых s1<>s2 и t1<>t2, система уравнений: s1 = П (П (t1+x1)+x2) s2 = П (П (t2+x1)+x2) имела бы решение относительно x1,x2, а, следовательно, поскольку П – подстановка, то и система s1 = П (t1+x1)+x2 (1) s2 = П (t2+x1)+x2 имела бы решение для любых заранее фиксированных s1,s2, t1,t2, в которых s1<>s2 и t1<>t2 Отсюда, вычитая одно уравнение из другого, мы приходим к одной очень важной криптографической характеристике подстановки П – матрице частот встречаемости разностей переходов ненулевых биграмм P(П) размера (2n-1)x(2n-1), а именно, на пересечении i-ой строки и j-го столбца в этой матрице стоит значение pij – число решений системы уравнений относительно x и y: x-y = i (2) П(x) – П(y) = j где i, j <> 0. Если при каких-то i, j <> 0 pij =0, то это означает, что при заранее фиксированных s1,s2, t1,t2, в которых s1<>s2 и t1<>t2, а также t1-t2 = i, s1-s2 = j, система (1) заведомо не имеет решения, ибо в противном случае имела бы решение и система (2). Заметим, что pij = p(2n-i)(2n-j). Действительно, каждому решению (x1,y1) системы (2) можно поставить во взаимно однозначное соответствие решение (x2,y2)=(y1,x1) системы x-y = 2n-i П(x) – П(y) = 2n-j если домножить на –1 оба уравнения (2). Из системы (2) очевидно вытекает, что число ее решений равно числу значений y, при которых П(y+i) – П(y) = j (3) Если каждому решению (x1,y1) системы (2) поставить во взаимно-однозначное соответствие пару (x2,y2) = (П-1(x1),П-1(y1)), то такая пара будет решением системы x-y = j (4) П-1(x) – П-1(y) = i Следовательно, число решений системы (2) будет равно числу значений y, при которых П-1(y+j) – П-1(y) = i (5) Из (3) очевидно вытекает, что сумма всех элементов pij в i-ой строке при любом i равна 2n. Аналогично, из (5) вытекает, что сумма всех элементов pij в j-ом столбце при любом j равна 2n. Поскольку размер P(П) равен (2n-1)x(2n-1), то из условия, что сумма всех элементов pij в i-ой строке при любом i равна 2n следует, что если бы P(П) не содержала нулей, то в любой ее строке все элементы были бы равны 1, кроме одного, равного 2. Аналогично получаем, что в этом случае в любом столбце должны быть все элементы 1, кроме одного, равного 2. Если при некотором y выполняется П(y+2n-1) – П(y) = 2n-1, (6) то, поскольку 2n–2n-1 = 2n-1, то (6) будет справедливо и при значении y1 = y+2n-1. Таким образом, элемент p(2n-1)(2n-1) не может быть нечетным. Предположим, что некоторая i-я строка целиком ненулевая. Это означает, что среди значений j0,j1,…,j2n-1, получаемых по формуле jk =П(k+i)- П(k) (7) содержатся все ненулевые элементы из Z/2n, а какой-то один элемент встретился ровно 2 раза. Просуммируем соотношение (7) по всем k от 0 до 2n-1. Поскольку П – подстановка, то в правой части суммы получается 0, следовательно, сумма всех значений jk также должна быть нулевой. Но среди j0,j1,…,j2n-1 содержатся все ненулевые элементы из Z/2n, а какой-то один элемент встретился ровно 2 раза. Поскольку сумма (по модулю 2n) всех ненулевых элементов кольца Z/2n равна 2n-1(2n-1) = 2n-1, то элементом, встретившимся два раза, должно быть 2n-1. Тогда, в силу свойства pij = p(2n-i)(2n-j) для любого значения i должно выполняться pi2n-1 = p(2n-i)2n-1 = 2 и при i<>2n-1 получается, что в 2n-1 столбце как минимум 2 элемента равны 2. Следовательно, если некоторая i-я строка при i<>2n-1 целиком ненулевая, то 2n-1 столбец заведомо содержит хотя бы один нулевой элемент, т.е. множество (GП)2 не является 2-транзитивным ни при какой подстановке П. И еще отсюда сразу же вытекает, что общее число нулей в матрице P(П) не может быть меньше, чем 2n-3. В этом случае в матрице ровно две ненулевых строки, расположенных симметрично друг от друга, а в средней строке с номером 2n-1 ровно одно нулевое значение посередине: p(2n-1)(2n-1) = 0. Подобными же методами легко показать, что в общем случае множество (GП)k является 2-транзитивным при k>2 в том и только том случае, когда матрица P(П)k-1 не содержит нулей. В частности, множество (GП)3 является 2-транзитивным тогда и только тогда, когда матрица P(П)2 не содержит нулей. Стало ясно, в каком направлении вести математические раскопки теории шифров на новой элементной базе: изучать матрицы P(П) для различных подстановок П. Здесь сразу же выделялись плохие подстановки – это линейные преобразования вида П(x) = ax+b В этом случае при любом фиксированном i<>0 система (2) имеет решение только при одном значении j<>0, такая матрица заведомо не будет положительной ни в какой степени и свойство 2-транзитивности недостижимо. Число нулей у такой матрицы будет максимальным. А можно ли построить подстановки с минимально возможным числом нулей в матрице P(П)? Этот вопрос уже гораздо интереснее, простого и тривиального ответа на него нет. Пока. Но в следующих главах этой книги ситуация проясниться и в конечном итоге получится очень красивый результат. Но это больше теоретические дебри. С точки зрения практического применения гораздо важнее знать, чего можно ожидать от матрицы P(П) при случайном и равновероятном выборе П. И здесь были доказаны очень важные теоремы о том, что в среднем ненулевых элементов в этой матрице будет примерно 2/3, что с вероятностью, близкой к 1, при случайном и равновероятном выборе П матрица P(П)2 не будет содержать нулевых элементов, а группа <g,П> будет совпадать с симметрической. В общем, все то, что требуется для использования подстановки П в качестве случайного разового ключа. Вот такая была предыстория работ по шифрам на новой элементной базе. А ребята из НИИ Автоматики, по мотивам всех этих результатов, придумали следующую схему блочного шифра, работающего на основе байтового регистра сдвига и использующего только самые типовые операции с байтами, которые заложены в архитектуру появлявшихся тогда микропроцессоров. Эту схему назвали «Ангстрем-3». В ней два регистра сдвига, работающих с байтами. В первый регистр сдвига длиной 8 байт записывается 8-байтовый блок открытого текста, во второй – ключ, или как его еще можно здесь назвать входное слово, длины Т для первого регистра. Схема крутится Т тактов, после чего заполнение первого регистра выдается в качестве 8 байтового блока шифртекста. Типичный блочный шифр, все операции сложения – в кольце Z/256, реализация – изумительно простая, если писать программу, то это буквально две-три строки. Но программы будут позже, а пока, в 1980 году, эту схему предполагалось реализовывать аппаратно, с помощью типовых микропроцессоров, работающих с байтами. Идеи подстановки-ключа тоже появятся позже, первоначально предполагалось П выбрать и зафиксировать. А главный вопрос, который интересовал НИИ Автоматики – до какого предела можно уменьшать значение Т, количество тактов, которые должна отработать схема для зашифрования одного блока. Чем меньше Т, тем выше скорость шифрования, а это было для них определяющим фактором. – Нельзя ли выбрать Т=16? – Нужно подумать. Так начиналась моя осмысленная работа в Теоретическом отделе. Перед глазами – чистая тетрадь, отчеты 4 факультета и НИИ Автоматики, сиди и думай, нельзя ли выбрать Т=16. Глава 5. Взломаем? Итак, читатель, давай себе представим, что мы – высококвалифицированные криптоаналитики из американского АНБ. Собственный загородный трехэтажный особняк, жена-красавица, три машины, одна из которых джип для воскресных поездок к морю, ежемесячный оклад тысяч так 5-6 USD. На этом месте мое воображение представлять что-нибудь еще просто отказывается. Так и хочется воскликнуть, немного перефразируя крылатые слова Жеглова – Высоцкого: – Ну посмотри, какой из тебя американский криптоаналитик? У тебя же зарплата 250 рублей на лбу написана! Так что лучше представить себе что-нибудь другое, ближе к нашей Российской действительности. Например, вот такую вот сценку, свидетелем которой мне довелось быть уже намного позже, в 1993 году в период активной работы с Центральным Банком России. Это было вскоре после успешного внедрения системы защиты телеграфных авизо. Руководство ЦБ решило устроить селекторное совещание со всеми крупнейшими расчетно-кассовыми центрами (РКЦ) и пригласить на него разработчиков системы защиты с тем, чтобы все смогли напрямую высказать свое мнение о системе и предложения по ее совершенствованию. Но помимо системы защиты телеграфных авизо все старались воспользоваться благоприятным моментом и донести до центробанковского начальства свои заботы и печали. Так мне невольно пришлось стать свидетелем реальных будней из жизни Российской глубинки. Один момент из жизни инкассаторов (они должны были развозить секретные ключи для системы защиты авизо) запомнился особо. – Недавно в нашем РКЦ произошло ЧП. Один из инкассаторов, будучи в нетрезвом состоянии, на спор пробил ломом бронированное лобовое стекло инкассаторской машины. Вот это уже родное, а то какие-то американские криптографы с их роскошной жизнью! Так что давайте представим, что один советский криптограф на спор взялся взломать «Ангстрем-3» при Т=16. А другой (начальник) пообещал, что если взломает, то ему прибавят к ежемесячному окладу в 250 руб. еще 20 руб. Здесь я еще раз хочу извиниться перед читателями за ту криптографическую рутину, которая сейчас последует. Что поделаешь: сказывается многолетняя привычка никогда и ничему не верить на слово, требовать ясных и четких доказательств. Заявлено: шифры на новой элементной базе, новое перспективное направление, математические результаты… Хватит общих слов! Нужны конкретные результаты! Что там было нового и как анализировались эти шифры? И здесь, признаюсь, началось с того, что первый пример шифра на новой элементной базе был самым тривиальным образом взломан. Так, как в этом примере. Вот шифровка, которую надо прочитать. D8 C7 83 EF F9 CA 71 FA 07 55 16 9B 3A 1A 99 53 87 CC 83 9D FA 1D D6 D8 35 98 FA 84 A2 57 EE 67 F2 F1 B7 63 2D AC 6C EB 76 08 38 99 B3 D5 83 A9 31 CB 5C 03 9A 2A 3C 23 8A 8F DC 62 CD 72 C5 DE 5C E2 0C 7B A8 1E B4 96 D9 77 28 30 EA CD F9 38 89 BB 30 71 08 EC 01 50 2C E0 E2 C4 2B 03 8B 30 35 C3 10 A5 86 92 B8 06 F7 F2 00 21 BF 28 4E 0A 04 67 11 07 B6 7E 7C 5D AA 25 7F 68 1B 09 F2 81 FF E4 31 A5 41 4D CA BE D1 58 85 1F 76 F3 DE 89 03 40 9D B4 00 50 29 99 EC C9 DF BB 66 86 6D CC CA 2F 0E 93 E7 2D AB 38 F3 1B AD EE 55 09 44 B3 D6 D3 CC 4F 0A 01 0D 63 78 FA 9D D4 A1 C9 84 85 CC B5 4C D4 99 5C 4D CB 2E 92 F0 29 19 7B 85 7F 7C 9E FD 63 7F 9B 95 5A 4D D7 AF A5 CD 6E 80 5F A5 B8 9E E5 C9 AB 6F 0F CD 33 46 98 6A D5 66 21 D4 E9 19 20 3E AD 03 6E F6 6D 8A 73 F6 B2 CE 60 F1 AE 87 A7 11 18 36 46 E8 C5 3A 30 9A 24 F2 65 55 8D 49 90 BD 0D F5 FD 29 D2 56 D9 D0 A9 92 22 16 76 D9 69 67 C2 B7 6A 42 CB E2 82 36 94 ED C0 91 2E A0 9D CD B0 9B FC 5C 77 15 5A C4 ED 17 54 22 22 F2 E3 26 39 A5 4A E6 91 63 7F 60 A0 F2 EA 5C 6A FF 9F D3 0F E0 63 0E 69 97 A8 05 5A 91 07 65 52 65 E0 6C DF EA EB 28 4E B4 34 FF AC B1 36 35 C8 19 DE 44 02 8B F1 50 6F CE 1C 6C 99 55 0E 2E 92 F0 29 19 7B 85 7F E8 D3 CB 3B 84 79 D7 8E 62 88 D6 2F D1 D9 2E 9F EE B1 D6 54 85 D2 65 ED 3A 73 F8 C5 90 E5 ED DB 6F B8 A2 0F 01 D6 CA B6 B7 9C B1 31 12 EA 45 48 F6 D0 D4 A2 F0 45 3B E9 AE D1 14 04 22 2C 15 FB CA 3E 58 99 14 3F 51 29 49 43 4D 95 48 FD 6C 2F ED 48 0C C9 6B F6 BC F9 5A EE 79 E9 0C 35 A2 F4 A6 C7 4E 1E B1 2B CB F9 A3 4B 30 9F 57 51 6A 90 97 72 45 90 72 95 BE 19 7B F3 D2 41 34 18 9D E1 BA 7C EF 07 35 B3 A1 D9 CF 2D 6B 80 5C F4 73 93 A8 3B 78 B5 3D 09 00 BE 85 09 B7 98 B6 74 BE 45 40 29 43 0E 92 92 C2 AA B1 50 94 AB FD CE 2D B5 8D 4E CD 35 DD 05 EA C2 6E C0 CE 45 3F 29 4D E8 49 8C D9 7B A7 D9 2A 59 C8 50 25 F3 29 29 F0 D2 27 3B BB E7 1D 7C 58 8C 7C D4 0E E2 7F 55 16 A1 89 2D A0 8D EC 82 2B C5 6B 88 2C 45 10 D9 46 55 4B 26 CC 25 21 8E 7D D7 4C CD 7C DE A5 A1 25 15 C4 52 5D 81 66 B6 6B 48 97 F2 A7 A1 8C E4 ED 39 82 E9 7C 6A AE 4A 8A 7F B0 32 43 57 F2 E4 EB 2A 13 14 51 5E CF 03 F7 02 F2 C2 38 5A 00 79 7C 04 6D 4E 50 46 E1 8D 55 9F 98 E5 04 F4 03 8F DF 28 DC 09 AB 9C C2 9C 36 24 A9 93 43 F2 C7 2C 01 EE F6 3D 63 74 EC 04 4F 2A 64 11 69 E2 F2 BE 50 F4 46 D3 6E AA CD EE F2 87 9E 6B 46 8F 27 7D B2 9A 73 4E DB 02 64 29 90 C7 00 28 A6 3F 0A 3E 06 62 C3 76 D9 BA 75 CD AC 05 3C 51 DF 7D 29 16 44 80 0C 8B DF 53 EB C0 1E 48 04 B6 40 4F 77 75 88 D0 28 76 EE 70 B6 D5 3C 44 77 AD 6C 13 55 AC 8D 15 18 C4 6B DD FF 0C 32 60 7B 52 2F B8 0E 57 E2 01 0F A5 85 C9 69 DD DC 5D D0 60 27 64 28 43 AD 11 19 B1 25 6D AF 36 F5 80 F3 CB 54 91 F0 B6 08 B8 11 FD 5C A3 C9 41 BD 70 86 27 AB 26 AB 31 BA FE F7 36 0B 06 69 8B 65 24 B0 54 6A A0 CD F9 19 CC E3 E2 77 5F F3 D5 1B 39 99 64 0A 69 F0 B4 BF E4 6D 9B B4 63 28 B1 1C DD E5 A1 B1 87 E8 83 3D 99 C2 E0 09 3C 70 96 61 7E 9E FE FA 47 CE 91 16 FF AA 11 EA 20 A1 7E 5A BB 43 47 33 0E C4 B8 34 78 EE AF 74 EF 23 81 B3 EE 47 44 05 18 2A CB 6D 4E A4 0C 2B 2F 8D 2D 93 03 3C 91 F4 48 08 50 FB DC 91 BC 5F 7B B4 C1 2F BC 81 9E FA 57 2E 20 AB 38 0D 8D 92 A0 87 6D 58 8A B6 86 DE 31 60 94 2C D7 41 8C E8 99 CA 2E 63 D8 0E 0A A4 7C 6A FB A8 76 E1 B8 A9 4F 75 41 08 CA 74 24 9C 6F D2 86 49 E4 DF D8 88 CD BC 79 AE DE 5C 1D D1 6E 23 61 FE 38 08 C1 6E 0B 4A F5 F3 75 61 95 04 D2 8A 4F 35 4F 96 D1 9F CC F7 63 33 AB D0 75 29 74 82 68 84 5A 3A 50 1A 55 D4 37 6A 9B 12 49 C9 6F 9C 2A 83 D7 12 5C 87 0D F3 AB 67 32 BF 0A 9B 9D 9E 50 74 BD BC 75 87 E9 19 21 92 C5 C6 A8 0A 0C 6F 9E D9 09 C8 1A F4 11 81 E8 A3 52 6D 06 48 FE 04 AF 31 1C 3D 51 2B 33 B5 2F 21 85 08 F4 13 C2 8D C2 C8 7B D9 0E EC D8 F5 30 C0 0E AB D8 AB ED F5 38 3D 4A E6 06 C6 84 89 4B 29 A4 B2 56 E7 FE D3 6C 82 62 3A 1F F8 93 5A 41 EC F6 4C 1C 7E 72 91 E0 67 FD 92 9A 94 B3 45 63 FC BC 6E 3B BD 41 F7 A4 DA 0E 6B 48 E1 61 5A 7A 7F 4A 50 1E 85 99 CA 8C 47 64 5A A6 1F 5C EC BF 5D 5B 12 A3 13 D6 4A 4D CC E0 AC C7 52 CA 2B E4 1F E5 76 22 9C 91 7F AF 94 21 D6 BC F1 6E CC AA AD E7 15 77 09 10 36 8A 8D F5 35 95 41 30 43 62 C8 09 46 D3 6E AA CD EE F2 87 F0 4B E2 7C DE 71 96 58 CF 24 AF 9F 57 0E 7E 97 FC 73 06 4B 91 3C 5B 12 5E D6 E7 94 E3 4B 91 C9 2E 55 FF 64 00 7F 08 36 05 0F 1C 33 BB A6 3A C2 02 FC 5F B8 B9 4B 92 ED 8A 69 CF 37 F8 2A EA E1 6A AB A4 6F AF 6E C3 D0 B8 92 39 56 C0 38 FA 07 AD 8F 21 79 4E 95 EF B5 13 A1 59 64 70 64 D1 8A 35 1D 25 F6 C6 D5 0D 01 4E FF 62 D4 D5 50 8E A4 C3 EC C1 C0 A0 0C F8 AE 11 60 DE 21 11 8C CB A1 04 F6 04 05 6F 72 4A 27 F2 3E C0 0C 39 11 61 4B F3 CA F0 E6 0A 8C 52 A3 C3 F3 F8 21 18 0B 28 AF 47 55 03 88 A4 03 D5 B6 F0 75 EB BD E2 7C 49 56 22 76 F8 1D EA B8 5B 1A 7F CE 84 00 D5 97 84 B9 74 B3 AD 3D 13 EE F2 60 Эта шифровка в ASCII-символах, т.е. в элементах по модулю 256, представленных в шестнадцатиричной записи. Известно, что она была получена с помощью схемы «Ангстрем-3» при Т=16 и известна подстановка П: Что известно об открытом тексте? Это военная телеграмма, в которой содержится какой-то приказ. Начало телеграммы – стандартное: «Совершенно секретно. Приказ №», или в шестнадцатиричной записи соответствующих ASCII-символов D1 EE E2 E5 F0 F8 E5 ED ED EE 20 F1 E5 EA F0 E5 F2 ED EE 2E 20 CF F0 E8 EA E0 E7 20 B9 Приступим к взлому, т.е. к определению неизвестного ключа х1,х2,…х16, записанного во втором регистре сдвига. Давайте сначала выпишем уравнения зашифрования, реализуемые этой схемой. Если (y1,y2,…,y8) – блок, записанный в первом регистре сдвига «Ангстрем-3», то за один такт работы схемы он перейдет в блок (y2,y3,…,y9), где y9 = П(y1+y2+y8+x1), х1 – первый байт неизвестного ключа. В общем случае, если последовательность всех заполнений первого регистра сдвига обозначить как у1,у2,….,у23,у24, где (y1,y2,…,y8) – блок открытого текста, (y17,y18,…,y24) – блок шифртекста, то для любого i>=9 будет справедливо: yi = П(yi-8+yi-7+yi-1+xi-8) Преобразование блока (yi, yi+1,…yi+7) в блок (yi+1,yi+2,…,yi+8) за один такт обозначим как бxi. Очевидно, что это взаимно-однозначное преобразование, поскольку П – подстановка: бxi (yi, yi+1,…yi+7) = (yi+1,yi+2,…, П(yi+yi+1+yi+7+xi)) бxi – это подстановка на множестве Z/264. Тогда все преобразование, осуществляемое схемой «Ангстрем-3», будет выглядеть как произведение подстановок: бх1,х2,…,х16 = бx1бx2…бx16 Рассмотрим преобразование Ф(у1,у2,…у8) = (П (у1), П (у2),…, П (у8)). Заметим, что Ф-1(у1,у2,…у8) = (П-1 (у1), П-1 (у2),…, П-1 (у8)). Имеем Ф-1бх1,х2,…,х16 Ф = Ф-1бx1бx2…бx16 Ф = Ф-1бx1ФФ-1бx2ФФ-1…ФФ-1бx16 Ф = фх1фх2…фх16 = фх1,х2,…х16, где фхi = Ф-1бxiФ Если блок открытого текста (y1,y2,…,y8) переходит в блок шифртекста (y17,y18,…,y24) с помощью преобразования бх1,х2,…,х16, т.е. бх1,х2,…,х16(y1,y2,…,y8) = (y17,y18,…,y24), то Ф-1бх1,х2,…,х16(y1,y2,…,y8) = Ф-1 (y17,y18,…,y24) = (П-1 (у17), П-1 (у18),…, П-1 (у24)). Тогда (П-1(у17), П-1(у18),…, П-1(у24)) = Ф-1бх1,х2,…,х16 ФФ-1 (y1,y2,…,y8) = Ф-1бх1,х2,…,х16Ф (П-1 (у1), П-1 (у2),…, П-1 (у8)) Итак, вот она, первая зацепка для анализа «Ангстрем-3»: заменяем позначно все буквы шифрованного и известного открытого текста по подстановке П-1 и дальше используем вместо бxi преобразования фхi. А теперь давайте посмотрим на эти преобразования повнимательнее. фхi (yi, yi+1,…yi+7)= Ф-1бxiФ(yi, yi+1,…yi+7) = Ф-1бxi(П (yi), П (yi+1),… П (yi+7)) = Ф-1(П(yi+1), П(yi+2),….,П(П(yi)+П(yi+1)+П(yi+7)+хi) = (yi+1, yi+2,…., П (yi)+П (yi+1)+П (yi+7)+хi) Жизнь прекрасна и удивительна! Какие уравнения получились! уi+8 = П (yi)+П (yi+1)+П (yi+7)+хi Возьмем-ка теперь парочку блоков открытого текста (y1,y2,…,y8) (z1,z2,…,z8) и соответствующие им блоки шифртекста (y17,y18,…,y24) (z17,z18,…,z24) и выпишем уравнения одни под другими… уi+8 = П (yi)+П (yi+1)+П (yi+7)+хi zi+8 = П (zi)+П (zi+1)+П (zi+7)+хi Это же криптографический Клондайк! Вычитаем одно уравнение из другого и ключ пропадает! ui+8 = vi+vi+1+vi+7 (1) где ui = yi-zi, vi = П(yi)- П(zi). Из (1) имеем: vi = ui+8 –vi+1-vi+7 (2) Линейное уравнение – мечта криптографа! Тут только надо найти все такие решения, при которых для каждой пары (ui,vi) соответствующий элемент рui,vi в матрице Р(П) был бы ненулевым. Поехали! При Т=16 из (1) и (2) имеем: u1,u2,…u8, v1,v2,…v8 – известны – это открытый текст u17,u18,…u24, v17,v18,…v24 – известны – это шифртекст Из (2) последовательно находим: v16 = u24-v17-v23 v15 = u23-v16-v22 ………… v9 = u17-v10-v16 а затем уже из (1) – все ui. Система (1) полностью решена! Дальше – раздолье. Ключ опробуем позначно. Для первого байта ключа x1 оставляем допустимыми только те значения, при которых пара (y9,z9) является решением системы y9-z9 = u9 П(y9)- П(z9) = v9 Если таких значений будет несколько, то возьмем еще одну пару и истинным будут только те значения, которые содержатся в пересечении этих множеств и так поштучно определяем весь ключ. Вот теперь пора и почитать, что там наша доблестная армия нашифровала. Военный приказ будем взламывать по-военному четко: делай раз, делай два, делай три. 1. Берем первые 24 знака известного нам открытого текста, соответствующие им знаки шифртекста и составляем две пары переходов из открытого текста в шифрованный. Первая пара Вторая пара 2. Все байты в этих парах заменяем по подстановке П-1. 3. Для каждой из этих двух пар составляем и решаем систему линейных уравнений (1). Первая пара Открытый текст Шифртекст Сначала с помощью уравнений (2) вычисляем промежуточные значения v16,v15,…,v9. v16 = u24 – v17 –v23 = 03 –D1-D8 = 5A v15 = u23 – v16 –v22 = 12 –5A-B0 = 08 v14 = u22 – v15 –v21 = 70 – 08-BF =A9 v13 = u21 – v14 –v20 = 11 – A9-54 = 14 v12 = u20 – v13 –v19 = A6 – 14 -6D = 25 v11 = u19 – v12 –v18 = 37 – 25 -72 = A0 v10 = u18 – v11 –v17 = FA – A0 -D1 = 89 v9 = u17 – v10 –v16 = 26 – 89 -5A = 43 Затем с помощью (1) вычисляем u9,u10,…,u16. u9 = v1+v2+v8 = E4+00+08 = EC u10 = v2+v3+v9 = 00+C2+43 = 05 u11 = v3+v4+v10 = C2+F4+89 = 3F u12 = v4+v5+v11 = F4+0B+A0 = 9F u13 = v5+v6+v12 = 0B+0E+25 = 3E u14 = v6+v7+v13 = 0E+F5+14 = 17 u15 = v7+v8+v14 = F5+08+A9 = A6 u16 = v8+v9+v15 = 08+43+08 = 53 Таким образом, получилась табличка промежуточных значений. Промежуточные значения для первой пары Теперь проделываем все то же самое для второй пары. Открытый текст Промежуточные значения Шифртекст Чуток осталось! Для определения первого знака ключа х1 надо найти у9, поскольку х1=у9-П(у1)- П(у2)- П(у8), а все значения у1,у2,…,у8 – известны. Значение же у9 находим исходя из следующих условий: П(у9)- П(у9-ЕС)= 43 (для первой пары) и П(у9)- П(у9-E5)= C0 (для второй пары) Честно перебрав все 256 значений, находим: у9 = 9В, тогда х1 = 9В – D1 – EE – ED = EF. Далее – все аналогично. Для второго знака ключа П(у10)- П(у10-05)= 89 (для первой пары) и П(у10)- П(у10-В5)= 5F (для второй пары) откуда у10 = 98, тогда х2 = 98 – ЕЕ – Е2 – В0 = 18 Точно таким же путем можно вычислить и все остальные знаки ключа. Небольшое затруднение возникнет лишь при определении х11, поскольку в этом случае система получится такая: П(у19)- П(у19-37)= 6D (для первой пары) и П(у9)- П(у9-00)= 00 (для второй пары) Вторая пара здесь ничего не дает, но зато первая отсеяла все отлично, только одно допустимое значение остается: F7. Вот он, полностью вычисленный ключ к «Ангстрему-3» при Т=16: EF 18 9E C8 7B B9 0F A1 8E BC 71 6F D1 07 94 92 А вот и телеграмма, расшифрованная с его помощью:
Была ли такая телеграмма на самом деле – ничего определенного сказать не могу, дальних военных округов в России много, за всеми не уследишь. Но легенда про армейский приказ считать все группы абелевыми очень долго ходила по 4 факультету ВКШ КГБ. А вообще-то «Ангстрем-3» при Т=16 вполне можно поставлять развивающимся странам в качестве братской бескорыстной помощи. Назад, к балалайкам? Глава 6. Там выезд есть из колеи… Итак, с шифрами на новой элементной базе первый блин получился комом. И что же дальше? Отказаться от той простоты их реализации, которая сразу же бросалась в глаза любому криптографу, знакомому с DES или со старыми советскими шифрами? Создавать различных монстров типа специализированного криптографического процессора, который по стоимости будет сопоставим с танком? Или же напрячься и попытаться довести до криптографического ума «Ангстрем-3»? «Криптографический танк» в конце концов появился, правда гораздо позже, уже после появления первых персональных компьютеров. Забегая вперед и снимая шляпу перед читателем, который хотя бы бегло просмотрел то, что было написано в предыдущей главе, я хочу рассказать историю появления специализированной компьютерной платы «Криптон». Что бы ни пыталась производить советская военная промышленность, перешедшая на мирные рельсы, все равно в итоге получались танки («Москвич-412»). Криптография, переведенная на нужды простого народа, произвела советский стандарт шифрования – алгоритм ГОСТ 28147-89, скопированный с американского DES и немного переделанный. Но даже сами американцы (Брюс Шнайер в своей книге «Прикладная криптография») признавали, что DES – не самое лучшее произведение криптографического искусства.
С появлением первых персональных компьютеров IBM PC XT – 86 появились и первые попытки реализовать с их помощью криптографические процедуры, основанные на ГОСТ 28147-89. Но тут, даже несмотря на те фантастические (по тем временам) возможности, которые открывал перед криптографами персональный компьютер, скорость работы советского стандарта оказалась настолько медленной, что было принято решение создавать специализированную плату для IBM PC, на которой ГОСТ реализовывался бы аппаратно. Так появился советский криптографический танк «Криптон». Конечно же, с ростом производительности персональных компьютеров менялись взгляды и на возможности реализации с их помощью криптографических алгоритмов. С появлением IBM PC AT – 286 скорость ГОСТа оказалась уже не столь актуальна, но маховик советской промышленности был запущен, Зеленоград начал выпускать «Криптоны», вложены деньги, нужна отдача. Все на танки! Все это произошло спустя несколько лет после описываемых здесь событий. Те люди, которые были в курсе криптографических баталий в Теоретическом отделе Спецуправления в начале 80-х годов, могли с сожалением констатировать в стиле чудесного Виктора Степановича Черномырдина: «Хотели как лучше, а получилось как всегда». Но вернемся в 1980-й год. Первый вариант «Ангстрема-3» разломан, но не выброшен на свалку. Ребята из НИИ Автоматики весть о его взломе восприняли даже с энтузиазмом: у них, разработчиков этой схемы, появились достойные оппоненты, с которыми будет интересно иметь дело, устраивать своего рода творческие соревнования на самую оригинальную идею для шифров на новой элементной базе. Закладывался базис, основа для будущих схем, здесь очень важно было не упустить что-то существенное, что исправить в дальнейшем будет очень сложно, но не менее важно было не скатиться до примитивного уровня американского DES, наворотив на схему всяких накруток в ущерб простоте, изяществу и скорости ее реализации. Ясно, что длины Т=16 для обеспечения стойкости схемы явно маловато, ее надо увеличивать. Но насколько? Каждое увеличение – это потеря в скорости шифрования, нужно найти оптимальную границу между безопасностью и эффективностью. Широко раскинулось поле деятельности для Теоретического отдела, так что здесь я, получив свой честный двадцатник, попал в струю. Вот только за два с лишним года, проведенных в отделе у Степанова, этот полутюремный режим работы с контролером времени прихода и ухода с работы уже порядком надоел. Сейчас здесь, в Корее, у меня уже есть возможность сравнивать. Однажды корейцы свозили меня в научно-исследовательский центр в городке Дей-Джоне. Нечто вроде небольшого коттеджного поселка в горах, ухожен так, что хоть картины пиши. Хочешь – сходи в горы, подумай там в одиночестве о своих проблемах, хочешь – отвлекись, посмотри на цветных декоративных рыбок, весело плавающих в пруду. Вид из окон – очаровывающе красив, величественные горы, слегка тронутые цивилизацией в виде линий электропередач, лес, декоративные деревья, все цветет и благоухает, корейцы неторопливо что-то обсуждают, сидя под ними. 5 отдел Спецуправления 8 ГУ КГБ СССР, 1981 год. Тюремное 3-этажное здание из красного кирпича, забор, обнесенный колючей проволокой, контрольно-следовая полоса, солдаты с автоматами. Вид из окна – на этот тюремный двор, в нем гараж, в котором стоят машины службы радиоперехвата. Около машин – солдаты-срочники, всем своим видом показывающие, сколько им осталось до дембеля. Сколько раз я ловил себя на мысли, что эта гнетущая обстановка часто просто парализует всякое желание нетрадиционно мыслить, искать новые решения. А просиживать там надо было строго с 9 до 6. Утром в 9 – обход контролера, не дай бог опоздать на 5 минут, хотя потом часа два можно вообще ничего не делать или дружно ловить всей комнатой залетевшую осу. Постоянная суета, не имеющая ничего общего с криптографией, сплетни, продовольственные заказы, общественная работа – все, все это легко затягивает в колею, из которой не выбраться до самой пенсии. Энтузиазм проходит, на его месте появляется будничная рутина, год, два – и нет специалиста, полностью втянулся в эти типичные в те времена «правила игры», стал сереньким чиновником. Не высовывайся, не перечь начальству, не проявляй инициативы, будь как все – и получишь тихую, спокойную жизнь на много лет вперед. Правила игры простые: не замечай несоответствия между словом и делом, не пытайся найти рациональное объяснение вещам заведомо иррациональным, почти мистическим. Ну зачем теоретикам нужен такой строгий режим присутствия в этом здании? Не является ли ежедневный обход контролера в 9.00 унизительным? Что важнее: результаты или присутствие на рабочем месте? А как влияют результаты работы на твое материальное благосостояние? Не задавай ни себе, ни другим этих и многих подобных вопросов, ответа все равно не получишь. Так завелось еще с давних времен, времен Вождя Всех Народов. Закрытые системы, подобные шифровальной службе, легче перенесли все бушевавшие затем страсти, волнение улеглось, лозунги и названия поменялись, а порядки и «правила игры» во многом восстановились. И что, в такой ситуации губить все лучшие молодые годы жизни, чтобы к 30 годам стать законченным старым ворчуном, отсчитывающим дни до пенсии? Всю жизнь торчать в этом тюремном здании, натужно досиживать там каждый день до 6 вечера заведомо зная, что от этих посиделок нет ни малейшей пользы, только вред? Самый реальный выход из этой колеи – очная аспирантура при том же 4 факультете ВКШ КГБ. Теоретический отдел, кому как не теоретикам поставлять туда аспирантов-очников. А тут как раз завязалась эта эпопея с шифрами на новой элементной базе, там можно будет все основательно обдумать, взвесить и выдать какие-то разумные предложения. А самое главное – сменить эту ненавистную обстановку, эти высиживания до 6, этот тюремный двор с колючей проволокой. Степанов косо посмотрел на меня, когда я заявил ему о своем желании поступать в очную аспирантуру. – Ну Вы еще молодой, у Вас все впереди. У нас сейчас напряженные планы, Вы поработайте еще годик-другой, сдайте экзамены кандидатского минимума, создайте хороший задел для своей диссертации, а там посмотрим. В отдел пришла разнарядка: выделить одного человека в очную аспирантуру. Очередные претенденты на нее отказались, поскольку учеба в аспирантуре на три года «замораживала» карьерный рост в 5 отделе. Степанов уже собирался отрапортовать, что желающих нет, когда я, по совету своих боевых товарищей, так нахально перечеркнул проповедуемый им «патриотизм к отделу». – Вадим Евдокимович, у нас каждый год напряженные планы. А очная аспирантура для того и создана, чтобы человек мог, обучаясь в ней, сдать экзамены кандидатского минимума и написать диссертацию. Степанов действовал в этом случае как прагматичный начальник. Ему нужен уход из отдела на три года молодого, перспективного сотрудника? Конечно, нет! Он – хозяин отдела, сотрудники – это его рабочая сила. Всеми способами надо постараться эту рабочую силу удерживать, не раздавать просто так направо-налево. Хотя здесь разнарядка была спущена сверху, из Главка, но ее, если бы не нашлось желающих, можно было тихо спустить на тормозах: напряженные планы, найдем человека в аспирантуру попозже, в другой раз. А тут молодой, два с небольшим года проработавший птенец все это ломает! – В аспирантуре у Вас не будет возможности для служебного роста. Да и диссертацию за три года, я думаю, Вам защитить не удастся. Этим словам я тогда, по молодости, не придал особого значения. Да, действительно, за три года очной аспирантуры редко кому удавалось защититься. Люди возвращались обратно в отдел и Степанов явно или неявно как бы укорял их: «Ну что, сынку, помогла тебе твоя очная аспирантура?» Для того, чтобы понравиться Степанову, надо было быть «патриотом» отдела, не воротить нос на сторону, на предложения об очной аспирантуре гневно отвечать: «Мне дорог мой отдел, я лучше буду обучаться заочно». Но ребята, прошедшие очную аспирантуру, дружно говорили: «Плюнь ты на то, что там говорит Степанов. Это три года свободной жизни!» Степанов был очень умным человеком, блестящим математиком. Но это был начальник, любивший крепостные порядки, сталинскую машину и винтики. Он не любил, когда люди поступали вопреки его мнению. И мне, к сожалению, еще пришлось испытать это на собственной шкуре. Но это позже. А пока – успешно сданы вступительные экзамены в аспирантуру, впереди – новая жизнь, встреча со старым знакомым – 4 факультетом ВКШ КГБ, но уже в ином качестве. Прочь из этой колеи! |
|
||
Главная | Контакты | Прислать материал | Добавить в избранное | Сообщить об ошибке |
||||
|