Сказ про то, как Дэвид Кан АНБ «победил»

грудня 17, 2024

Сказ про то, как Дэвид Кан АНБ «победил»

Более подходящим здесь названием было бы другое: «Про то, как крупнейшая шпионская спецслужба совратила самого знаменитого историка криптографии.» Но самому Дэвиду Кану нравилось изображать ситуацию иначе. И коль скоро имеется документ, где он сам не без юмора объясняет, как это всё произошло, есть смысл воспроизвести здесь данный рассказ в полном переводе. Ибо – поучительно…

Случилось так, что в 2002 году два весьма известных писателя в совершенно разных местах большой страны США выступили с интересными взаимно дополняющими речами. На первый взгляд, выступления их были посвящены темам вроде бы разным. Но если вдуматься в суть сказанного поглубже, то на самом деле говорилось там про одно и то же. Только с существенно разных позиций в понимании происходящего…

Писатель первый – и главный герой эпизода – это знаменитейший историк криптографии Дэвид Кан. В начале писательской карьеры, в 1967, сумевший сделать свою первую книгу Codebreakers (Взломщики кодов) настолько информативно-мощной, что она не на шутку обеспокоила Агентство национальной безопасности США. Которое вполне всерьёз пыталось даже заблокировать выход этой книги. Но безуспешно, впрочем. А вот ближе к концу карьеры, в 2002, Дэвид Кан в качестве почётного гостя сделал доклад на торжественном заседании в штаб-квартире АНБ [1], где отмечали 50-летний юбилей этого крупнейшей в мире шпионской организации, занимающейся перехватом и дешифрованием коммуникаций любого рода.

Писатель же второй – и по естественным причинам намного более всем известный – это Майкл Крайтон (тот самый Крайтон, кто запустил в мир бессмертную франшизу «Парк Юрского периода» и сериал «Скорая помощь», породивший в мире нескончаемую череду прочих сериалов «про медиков», не говоря уже о множестве других его известнейших книг и фильмов). В 2002 году Крайтон выступил с докладом на проходившем в Калифорнии «Форуме международного лидерства», а для нашей истории этот доклад особо интересен тем, что именно оттуда пошло в народ выражение «эффект амнезии Гелл-Манна.» [2]

И поскольку именно этот эффект практически идеально подходит для лучшего понимания того, каким образом Дэвида Кана угораздило оказаться среди почётных гостей на юбилейных торжествах в АНБ, начать полезно с цитаты из Крайтона.

[ Начало цитирования М. Крайтона ]

Средства массовой информации (в особенности «серьёзные газеты» вроде New York Times) пользуются таким уровнем доверия, которого они совершенно не заслуживают. Вы все испытывали это на себе – это эффект, который я называю «амнезия Гелл-Манна.» Я называю это таким именем, потому что однажды мы обсуждали данный эффект с [физиком-теоретиком и Нобелевским лауреатом] Марри Гелл-Манном, так что теперь, подсовывая столь знаменитое имя, я могу таким образом придавать бОльшую значимость и своим словам, и собственно эффекту.

Если вкратце, то эффект амнезии Гелл-Манна заключается в следующем. Вы открываете газету на статье о некоем предмете, который хорошо вам знаком. В случае Марри – это о физике. В моем случае – о шоу-бизнесе. Вы читаете статью и видите, что журналист абсолютно не разбирается ни в фактах, ни в проблемах темы. Зачастую статьи неверны до такой степени, что в действительности представляют историю с точностью до наоборот — меняя местами причину и следствие. Я называю такие истории баснями типа «мокрые улицы вызывают дождь». В газетах их полно.

В любом случае, с раздражением или изумлением вы ясно видите в такой статье многочисленные ошибки, а затем переворачиваете страницу на раздел национальных или международных событий. И там читаете статьи так, как будто остальная часть газеты каким-то образом описывает дела в Палестине более аккуратно и точно, нежели всю ту чушь, которую вы только что прочли чуть ранее. Вы переворачиваете страницу и забываете всё, что вы знаете.

Это вот и есть эффект амнезии Гелл-Манна. Хотел бы отметить, что в других сферах жизни он не действует. В обычной жизни, если кто-то постоянно преувеличивает или всё время вам врёт, довольно скоро вы перестаёте принимать во внимание то, что они вам говорят. В суде существует юридическая доктрина falsus in uno, falsus in omnibus, что означает «неправда в какой-то части, значит, неправда во всём».

Но когда речь заходит о средствах массовой информации, то мы, вопреки очевидности, считаем, что, вероятно, стоит потратить время на чтение других разделов газеты. Хотя на самом деле это почти наверняка не так. Единственное возможное объяснение для нашего поведения – это амнезия.

[ Конец цитирования М. Крайтона ]

Завершив столь содержательную – и глубоко верную по сути – преамбулу от Крайтона, при переходе к полному переводу выступления Дэвида Кана в АНБ следует в первую очередь отметить такой факт. Хотя Кан за свою долгую жизнь написал об истории криптографии не просто много, а очень много, он всегда это делал как журналист, никогда не имевший профессионального опыта ни во взломе шифров, ни в государственной разведслужбе.

Иначе говоря, практически всё, что многознающий историк Дэвид Кан сообщает публике о стойкости реальных шифров и об особенностях их взлома – всё это информация на уровне статей для солидной газеты типа New York Times. Соответственно, то, как воспринимают утверждения Кана обычные читатели, и то, как это же воспринимают профессиональные криптоаналитики спецслужб, – это две большие разницы.

Но по вполне объяснимым причинам высшему руководству АНБ с некоторых пор стали очень нравиться увлекательные басни Дэвида Кана о том, что «криптоанализ давно мёртв» (а «мокрые улицы вызывают дождь»)…

[ начало цитирования ]

Форт-Мид, 1 ноября 2002 года

Кто бы мог подумать, что когда-нибудь я буду выступать здесь, перед аудиторией АНБ?

Потому что всего 35 лет и один месяц назад, когда в 1967 году была опубликована моя книга «Взломщики кодов», то в Агентстве Национальной Безопасности она сразу стала запрещена для упоминаний. Специальный циркуляр на данный счёт был распространён здесь, в Форт-Миде, и разослан во все отделения АНБ по всему миру. И когда СМИ или кто-то ещё спрашивали о ней, скажем, на приёмах или вечеринках, говорить о ней было нельзя. Автор книги был для АНБ анафемой. Ведь он раскрыл всем, что Америка взламывает чужие шифры! Более сильную ненависть вызывали лишь Мартин и Митчелл.

И вот теперь он здесь, выступает на 50-летнем юбилее организации. Иногда я испытываю такое чувство, что мне следует поднять над головой плакат, примерно так же, как это сделал Гарри Трумэн после его победы в 1948 году, триумфально подняв свежую газету Chicago Tribune с [набранным заранее и оттого ошибочным] заголовком: «Дьюи победил Трумэна».

Что ж, Кан победил АНБ. Как же это произошло?

Времена, они изменились. Холодная война закончилась. Главный враг исчез. А оборонному комплексу страны пришлось искать новые способы для поддержания своего финансирования. И АНБ, и ЦРУ, и космической разведке, всем им пришлось выйти из тени.

АНБ, оказавшееся умнее других, создало Национальный криптологический музей. Выставив для экспозиции такие вещи, которые раньше были одними из самых тщательно охраняемых секретов Соединённых Штатов, музей рассказывает публике о некоторых из тех великих достижений, что были сделаны для нации криптологами. О тех жизнях, что были спасены, и о тех сокровищах, что им удалось сохранить.

Таким образом АНБ заручается общественной поддержкой, а также, есть такая надежда, ещё и государственными деньгами. Также есть надежда вдохновить таким образом молодых людей – чтобы они становились будущими Фридманами (1), будущими Кэнайнами (2), а может быть, даже и будущими Хейденами (3)! Частью этих же усилий является ещё и то, чтобы приглашать в заведение тех великих нечистых, тех великих без допусков, кто рассказывает истории – о хорошем и о плохом. И вот так я оказался здесь.

[ Примечания переводчика: (1) самый знаменитый криптолог США; (2) первый директор АНБ; (3) действующий директор АНБ, пригласивший Кана на юбилей. ]

Эта часть усилий, возможно, уже приносит свои реальные плоды. Несколько лет тому назад музей АНБ организовал автограф-сессию для обладателей книги «Взломщики кодов.» Для меня как автора это было очень лестно – ведь очередь за автографом растянулась аж за двери и до парковки. Но самым замечательным было то, что четыре или пять человек из этой очереди сказали мне, протягивая свои экземпляры книги: «Доктор Кан, вы изменили мою жизнь. Я прочитал вашу книгу и решил заняться криптологией».

Думаю, очень мало кто из авторов получает такого рода обратную связь, когда их книги столь непосредственно влияют на жизни людей. И таким вот образом для АНБ и для Америки нечто весьма полезное произошло из того, что АНБ поначалу считало плохим, однако по причинам, которые оно не само придумало, но которые оно в конце концов осознало, теперь считает это хорошим и приветствует.

Но сегодня меня здесь попросили рассказать о том, что я назвал смертью криптоанализа. Я позаимствовал эту идею у Герберта Ярдли, самого первого в США официального взломщика кодов. В своей нашумевшей, чудесной книге 1931 года «Американский Чёрный Кабинет » он описывает – преднамеренно завуалированным образом – шифровальную машину с одноразовой ключевой лентой (гаммой). И говорит он об этом так: «Рано или поздно все правительства, все беспроводные компании перейдут на какую-нибудь из таких систем. И когда они это сделают, криптография [он имел в виду криптоанализ] как профессия умрёт». Я думаю, в этом есть доля правды, но в правде этой больше нюансов, больше сложности, нежели в паре слов для заголовка «смерть криптоанализа».

[ Предупреждение переводчика: Все следующие абзацы с рассуждениями историка Кана о природе и смерти «чистого криптоанализа» являются полнейшей газетной чепухой – с точки зрения людей, профессионально занимающихся вскрытием шифров. ]

В некотором смысле, ныне криптоанализ мёртв уже более полувека. Я говорю здесь не о тех изобретателях, которые расхваливали свои системы шифрования как не поддающиеся взлому. Почти все, кто разрабатывал подобные системы, именовали их невскрываемыми. Вы можете увидеть такие заявления в книгах, издававшихся в Англии и Франции в викторианскую и эдвардианскую эпоху, в Национальных архивах в Колледж-Парке, в письмах людей, предлагавших свои шифры военному министерству и Государственному департаменту.

Но затем, во время Первой мировой войны, началась эра таких криптосистем, которые действительно были невскрываемыми в условиях технологий того времени. Это были роторные [дисковые] системы – в частности, машины калифорнийца Эдварда Х. Хеберна. У которого данная идея возникла, вероятно, когда он сидел в тюрьме за конокрадство, а затем его идеи были успешно украдены правительством США. И использованы – с важным усовершенствованием в виде неравномерного движения роторов – для изготовления шифраторов SIGABA времен Второй мировой войны. А также и в знаменитой германской машине Enigma Артура Шербиуса.

Криптограммы, зашифрованные на этих машинах, в те годы нельзя было дешифровать путём изучения только шифртекста, независимо от того, сколько материала было доступно. Другими словами, ни одна из этих криптограмм не могла быть вскрыта чистым анализом. И также их нельзя было вскрыть с помощью тотального перебора ключей – того, что сегодня можно было бы назвать лобовым вскрытием. Количество возможных ключей превышало возможности технологий того времени.

Так, например, для вскрытия сообщений машины Enigma требовались знания стандартов переписки. Знаменитые [специализированные вычислители] «bombes» работали по принципу сопоставления зашифрованного текста с предполагаемым открытым текстом, чтобы выяснить, приведёт ли это к такому расположению роторов и коммутаций панели, которые составляли бы «законный» ключ. Что затем позволяло расшифровать и другие сообщения, зашифрованные с помощью этого ключа. Но этот метод требовал опоры на открытый текст, известный или предполагаемый. Чистый криптоанализ был уже мёртв.

Конечно, компьютеры смогли бы расшифровать эти сообщения. Но компьютеры тогда ещё не были изобретены. И в этом заключается урок, к которому я ещё вернусь.

Так что чистый криптоанализ был бессилен против хороших криптосистем уже во времена Второй мировой войны. И он по-прежнему бессилен против хороших систем сегодня. Многие из тех криптосистем, что сотнями предлагаются сегодня на коммерческом рынке, не могут быть взломаны никакими известными методами криптоанализа. Ведь в таких системах даже атака с подобранным открытым текстом, где заведомо верный фрагмент открытого текста сопоставляется с зашифрованным текстом, не может предоставить ключ, который расшифровывал бы другие сообщения. А тогда, в некотором смысле, и криптоанализ мёртв.

Но это вовсе не конец истории. Криптоанализ, быть может, и умер, но есть и другие способы достигнуть цели. В самом деле, ведь сейчас возможностей для получения информации из средств коммуникаций стало больше, чем когда-либо прежде. Уже по той причине, что средств связи стало гораздо больше, чем в прежние времена. Точно так же, как телеграф в своё время сильно расширил возможности для перехвата сообщений по сравнению с курьерской связью, а радио расширило возможности в сравнении с телеграфом, так и ныне электронная почта, интернет и сотовые телефоны снова мощно увеличивают возможности для перехвата.

Люди вот кричат: оптика, оптические кабели! Это невозможно перехватить! Ну… и да, и нет. Быть может, сам кабель и не может прослушиваться. Но, прежде всего, не все коммуникации проходят по оптическому кабелю, как не все они идут и по проводам. Эти не-оптические средства связи могут быть перехвачены. Во-вторых, поскольку волоконно-оптические кабели не тянутся непрерывно тысячи миль, там необходимы ретрансляторы. И они, и их электроника уязвимы для перехвата. Наконец, какой-нибудь экскаваторщик может «случайно» выкопать кабель, а техника из обслуги можно подкупить, чтобы он воткнул какой-нибудь передающий жучок. Суть же в том, что с оптическим кабелем проблем может и становится больше, но они вовсе не обязательно непреодолимы.

Более того, появились новые методы взлома шифров через бэкдоры. Компьютеры могут отслеживать колебания в потреблении мощности компьютерным чипом и определять, когда, к примеру, в DES выполняются 16 циклов шифрования. Более того, когда в дело вступает каждый S-бокс, можно считывать и сам ключ. Для этого, конечно, требуется доступ к чипу, но такой доступ может быть очень кратковременным – только на то время, которое необходимо для совершения транзакции покупки. Главное, что это реально можно сделать, и для этого не нужен шпион, выдающий ключ.

При входе в систему в режиме реального времени разница в задержках между нажатиями клавиш – на одни кнопки уходит времени больше, чем на другие – может позволять перехватчику узнать, какие именно клавиши нажимаются, и таким образом получить доступ к системе. Это сработало в случае с гангстером по имени Скарфо. ФБР получило пароль, вошло в его компьютер и получило нужную им информацию.

То огромное количество компьютеров, которое постоянно прирастает, открывает новые возможности. Прежде всего, мир покупает американские компьютеры. Многие из бесчисленных устройств, которые составляют это аппаратное обеспечение, можно оснащать шпионскими закладками – если они уже ими не оснащены.

Конечно, крупным державам нет необходимости покупать американские компьютеры. Они могут производить свои собственные. Это делает малые страны потенциальными мишенями. Может показаться, что они не играют большой роли. Но не следует забывать, что во время Второй мировой войны одним из наиболее продуктивных источников информации как для союзников, так и для стран Оси была не великая держава, а нейтральная страна – Турция.

Во-вторых, программное обеспечение становится всё более сложным, и по мере этого растёт число потенциальных дыр в безопасности системы. Количество ошибок в компьютерном коде пропорционально квадрату размера программы. Многие из них являются потенциальными источниками утечек информации. Например, в одном из случаев к нарушению безопасности привела команда на печать файла. Компьютерный код был настолько большим и сложным, что эта уязвимость оставалась полностью незамеченной.

В-третьих, разработчик системы безопасности должен заделать все дыры, а злоумышленник должен найти только одну. Многие же из тех систем, в которые встроено шифрование, спроектированы не идеально. А если говорить откровенно, то спроектированы плохо. Всё это открывает возможности для разведки коммуникаций.

Наконец, если хакеры и подростки могут создавать вирусы, которые проникают в компьютеры и создают проблемы, то и криптоаналитики способны отыскивать способы проникновения в компьютер для извлечения информации и даже модификации самого оборудования.

Огромные объёмы коммуникаций, более чем когда-либо прежде, увеличивают также возможности для получения более содержательной и более качественной информации просто на основе анализа трафика. Это, конечно, не так надёжно, как результаты дешифрования, но и это может помогать.

Всё из перечисленного относится к сфере сегодняшних возможностей. Но и будущее также таит в себе новые возможности. В 1901 году великий математик Давид Гильберт сформулировал 23 проблемы, которые математикам предстояло решить. Столетие спустя примерно половина из них была решена. Некоторые математические проблемы – а криптология сегодня практически полностью математизирована – могут быть решены с помощью творческой переработки уже существующей информации.

Одним из таких примеров является решение Эндрю Уайлзом последней теоремы Ферма. Чтобы решить задачу, которая на протяжении веков не поддавалась остальным, он собрал всю известную математику. Это же может происходить и в криптологии.

Примером может служить разработка криптографии с открытым ключом, иначе именуемой асимметричной криптографией. Хотя тысячи криптологов, как любителей, так и профессионалов, размышляли о развитии криптографии годами, никому из них эта идея в голову не приходила. А вот Уиту Диффи и Марти Хеллману это как-то удалось. Более того, если бы прежде вы сказали мне, что можно создать такую систему шифрования, в которой ключ расшифрования является не обратным, а полностью отличным от ключа шифрования, я бы сказал, что это просто невозможно. Тем не менее, это оказалось не только возможным, но и практичным, а затем и невероятно успешным.

Суть же в том, что такого рода идеи могут воплощаться в жизнь. Многие криптосистемы зависят от сложности факторизации или проблемы дискретного логарифмирования. Возможно, когда-нибудь кто-нибудь найдёт быстрый способ разложения на множители больших чисел или решения задачи дискретного логарифмирования. Это может обеспечить взлом многих криптосистем.

Другая идея связана с квантовыми вычислениями. Это сделало бы возможными параллельные вычисления с беспрецедентными скоростями и быструю факторизацию больших чисел, а значит, и взлом многих криптосистем. Точно так же, как современные компьютеры способны взламывать вчерашние криптограммы, зашифрованные машиной Enigma, так и компьютеры будущего, возможно, смогут взламывать завтрашние шифрованные сообщения.

Это не есть идеи АНБ. АНБ не может знать и контролировать всё, свидетельством чему стали и криптография с открытым ключом, и фиаско АНБ в делах с депонированием ключей, а также и тот факт, что подводные лодки ВМС США используют Microsoft Windows.

Но, несмотря на то, что традиционный криптоанализ, возможно, мёртв, а может быть и так, что этому трупу уже полстолетия, впереди нас ждут не только другие возможности, но и, наверное, ещё больше таких возможностей. А АНБ – это умное ведомство. Оно может учиться. Как-никак, они же сами меня сюда пригласили. Ведь так?

[ конец цитирования ]

Практически к любому из абзацев этого выступления историка Д. Кана можно было бы сделать обширные комментарии «с точки зрения специалистов спецслужб»: что там «нечистый» (недопущенный до гостайны) Кан ухватил более-менее верно, а в чём он ошибался сильно и принципиально. В частности, массу содержательной информации на данный счёт можно найти в книге «Crypto…: Самая точная из оккультных наук» (2019), а также в публикациях из раздела Дополнительное чтение.

О том, что за мысли и чувства были у тех из опытных шпионов-криптоаналитиков АНБ, которые слушали юбилейные «наставления» от Дэвида Кана, нам, ясное дело, неведомо. Но вот о том, почему он так упорно настаивал но своей (в корне неверной) идее «о смерти криптоанализа», известно хорошо и вполне достоверно.

Известно же это от самого Кана. Которого в 1996 году угораздило завершить последнюю страницу в переиздании своей главной книги Codebreakers именно этим романтически-глупым прогнозом – о скорой смерти криптоанализа. И поскольку автор к тому времени уже очень прочно утвердился в роли «великого гуру-рассказчика», признавать собственную глупость даже перед лицом бесспорных фактов было для Кана совершенно нехарактерно. Да ещё выступая в качестве почётного гостя АНБ, где его вдруг так сильно зауважали…

Понятно, что в подобных условиях у Кана были основания считать себя «победителем». Ну а так ли это было на самом деле – или же его тщеславием и наивностью власти просто умело воспользовались для фальсификации реальной истории – это пусть каждый решает сам.

# # #