68618.fb2<!DOCTYPE html>
<html lang="ru-RU">
<head>
    <meta charset="UTF-8">
    <meta http-equiv="X-UA-Compatible" content="IE=edge">
    <meta name="viewport" content="width=device-width, initial-scale=1">
  <link rel="icon" href="https://books-online.in/favicon.ico" type="image/x-icon">

<script src="https://cdn.adfinity.pro/code/books-online.in/adfinity.js" async></script>
   
        <title>Книга шифров .Тайная история шифров и их расшифровки -  читать онлайн бесплатно полную версию книги . Страница 7</title>
    <meta name="description" content="Книга шифров .Тайная история шифров и их расшифровки -  читать онлайн бесплатно полную версию книги ">
<meta name="csrf-param" content="_csrf">
<meta name="csrf-token" content="GAsueoqHVOauroxogBZe_Tp_Zv6hrtOe_YFT2fPp7ixSQX8d4s0FqcPaywvVeBalCBxRsteDo6uJ1mGTh6e3fA==">

<link href="http://books-online.in/book/read?id=68618&amp;page=7" rel="canonical">
<link href="/assets/4b8d9ff8/css/bootstrap.css" rel="stylesheet">
<link href="/css/site.css" rel="stylesheet">
<link href="/assets/8ab62a5a/css/font-awesome.min.css" rel="stylesheet">
<script src="/assets/3650906e/jquery.js"></script>
<script src="/assets/bb605a4d/yii.js"></script>
<script src="/js/main.js"></script>
<!-- Yandex.RTB -->
<script>window.yaContextCb=window.yaContextCb||[]</script>
<script src="https://yandex.ru/ads/system/context.js" async></script>

<!-- Yandex.RTB -->
<script>window.yaContextCb=window.yaContextCb||[]</script>
<script src="https://yandex.ru/ads/system/context.js" async></script>

<!-- Yandex.RTB R-A-8383498-2 -->
<script>
window.yaContextCb.push(()=>{
	Ya.Context.AdvManager.render({
		"blockId": "R-A-8383498-2",
		"type": "fullscreen",
		"platform": "touch"
	})
})
</script>

<!-- Yandex.RTB R-A-8383498-1 -->
<script>
window.yaContextCb.push(()=>{
	Ya.Context.AdvManager.render({
		"blockId": "R-A-8383498-1",
		"type": "fullscreen",
		"platform": "desktop"
	})
})
</script>
	
</head>
<body>

<div class="wrap">
    <nav id="w0" class="navbar-inverse navbar-fixed-top navbar"><div class="container"><div class="navbar-header"><button type="button" class="navbar-toggle" data-toggle="collapse" data-target="#w0-collapse"><span class="sr-only">Toggle navigation</span>
<span class="icon-bar"></span>
<span class="icon-bar"></span>
<span class="icon-bar"></span></button><a class="navbar-brand" href="/"><b>Книги.</b>Онлайн</a></div><div id="w0-collapse" class="collapse navbar-collapse">	
	
	<!--<div class="header__show-search js-show-search"><i class="fa fa-search"></i></div>-->
	<div class=col-lg-4>
	<div class='header_search'>
	<form id="" action="/" method="get">    
		
		<input type="text" id="name" class="form-control" name="name" placeholder="Название книги ...">		
		<button type="submit" class=""><i class="fa fa-search"></i></button>            
		
    </form>
	</div>
	</div>
	<ul id="w1" class="navbar-nav navbar-right nav"><li><a href="/authors">Авторы</a></li>
<li class="dropdown"><a class="dropdown-toggle" href="#" data-toggle="dropdown">Жанры <span class="caret"></span></a><ul id="w2" class="dropdown-menu"><li><a href="/romany" tabindex="-1">Романы</a></li>
<li><a href="/istoriya" tabindex="-1">История</a></li>
<li><a href="/popadancy" tabindex="-1">Попаданцы</a></li>
<li><a href="/fantastika" tabindex="-1">Фантастика</a></li>
<li><a href="/yumor" tabindex="-1">Юмор</a></li>
<li><a href="/priklyucheniya" tabindex="-1">Приключения</a></li>
<li><a href="/detektivy-i-trillery" tabindex="-1">Детективы и Триллеры</a></li>
<li><a href="/romantika" tabindex="-1">Романтика</a></li>
<li><a href="/biznes-i-finansy" tabindex="-1">Бизнес и Финансы</a></li>
<li><a href="/mistika-i-uzhasy" tabindex="-1">Мистика и Ужасы</a></li>
<li><a href="/skazki" tabindex="-1">Сказки</a></li>
<li><a href="/poeziya-i-dramaturgiya" tabindex="-1">Поэзия и драматургия</a></li>
<li><a href="/dom-i-semya" tabindex="-1">Дом и Семья</a></li>
<li><a href="/ezoterika" tabindex="-1">Эзотерика</a></li>
<li><a href="/samorazvitie" tabindex="-1">Саморазвитие</a></li>
<li><a href="/medicina" tabindex="-1">Медицина</a></li>
<li><a href="/nauka-i-obrazovanie" tabindex="-1">Наука и Образование</a></li>
<li><a href="/psihologiya" tabindex="-1">Психология</a></li></ul></li>
<li><a href="/site/prav">Правообладателям</a></li>
<li>..</li></ul></div></div></nav>
    <div class="container">
		<div class=row>
		<div class=col-lg-12>
			<ul class="breadcrumb"><li><a href="/">Главная</a></li>
<li class="active">Книга шифров .Тайная история шифров и их расшифровки -  читать онлайн бесплатно полную версию книги . Страница 7</li>
</ul>						<div class="book-view">

    <h1>Книга шифров .Тайная история шифров и их расшифровки -  читать онлайн бесплатно полную версию книги . Страница 7</h1>
	<h3>6 Появляются Алиса и Боб</h3><p><strong><sub></sub></strong></p><p><strong><sub>Рис. 58 Табличка с линейным письмом В, датируемая 1400 годом до н. э</sub></strong></p><p>На самом деле из открытия Блегена не следует, что у микенцев и минойцев был единый язык. В средние века во многих европейских государствах, независимо от того, на каком языке они говорили, записи велись на латыни. Возможно, что язык линейного письма В был точно так же неким общепонятным смешанным языком, используемым на побережье Эгейского моря, который облегчал ведение торговли между народами, не говорившими на общем языке.</p><p>В течение четырех десятков лет все попытки дешифровать линейное письмо В заканчивались неудачей. В 1941 году, в возрасте девяноста лет, сэр Артур умер.</p><p>Он не дожил до того, чтобы стать свидетелем дешифрования линейного письма В или самому прочесть тексты, которые он обнаружил. В тот момент казалось, что шансы когда-либо дешифровать линейное письмо В крайне малы.</p><h3>Соединительные слоги</h3><p>После смерти сэра Артура Эванса архив с табличками с линейным письмом В и его собственные археологические заметки были доступны только ограниченному кругу археологов, тех, кто поддерживал его теорию, что линейное письмо В представляло собой особый, минойский язык. Однако в середине 40-х годов Алисе Кобер, профессору математики бруклинского колледжа, удалось получить доступ к материалам и приступить к тщательному и беспристрастному анализу письма.</p><p>Для тех, кто знал ее недостаточно хорошо, Кобер казалась вполне заурядной — безвкусно одетая, ни очарования, ни обаяния, довольно сухая и скучная. Однако ее страсть к своим исследованиям была безмерна. «Она трудилась с подавляющей всех энергией», — вспоминает Ева Бранн, ее бывшая студентка, продолжившая изучение археологии в Йельском университете. «Как-то она сказала мне, что единственный способ узнать, что ты сделал что-то поистине значительное — это когда у тебя покалывает позвоночник».</p><p>Кобер поняла, что ей, чтобы разгадать линейное письмо В, следует отказаться от всех ранее принятых мнений. Она стала внимательно изучать систему всего письма и структуру отдельных слов. В частности, она обратила внимание, что отдельные слова образуют тройки; это выражалось в том, что одно и то же слово могло появляться в трех слегка отличающихся формах. Внутри троек основа слова оставалась неизменной, но при этом существовали три возможных окончания. Отсюда Кобер сделала заключение, что линейное письмо В представляло собой язык с развитой системой флексий, когда за счет изменения окончания слова указывается род, время, падеж и так далее. Английский язык является почти нефлективным, поскольку, например, мы говорим: «I decipher, you decipher, he deciphers» — в третьем лице глагол принимает окончание «s». Однако более древние языки проявляют гораздо большую строгость к использованию таких окончаний. Кобер опубликовала статью, в которой описала флективный характер двух отдельных групп слов, которые представлены в таблице 17; здесь в каждой группе сохраняется единый для данной группы корень слова, но в зависимости от трех различных падежей он принимает различные окончания.</p><p></p><p><strong><sub>Рис 59. Алиса Кобер</sub></strong></p><p>Для простоты обсуждения каждому символу линейного письма В было присвоено двузначное число, как показано в таблице 18. С помощью этих чисел слова из таблицы 17 могут быть переписаны в виде, показанном в таблице 19. Обе группы слов могут быть именами существительными, изменяющими свое окончание в зависимости от падежа; например, падеж 1 может быть именительным падежом, падеж 2 — винительным, и падеж 3 — дательным. Ясно, что в обоих группах слов первые два числа <strong>(25-67- </strong>и <strong>70-52-) </strong>образуют корень, поскольку они повторяются во всех падежах. Однако, с третьим числом все не так просто. Если оно является частью корня, то должно в данном слове оставаться неизменным независимо от падежа, но этого не происходит. В слове А третьим числом является число <strong>37 </strong>для падежей 1 и 2, и <strong>05 </strong>для падежа 3. В слове В третьим числом является число <strong>41 </strong>для падежей 1 и 2, и <strong>12 </strong>для падежа 3. С другой стороны, если третье число не является частью корня, то тогда оно, возможно, часть окончания, но и это тоже сомнительно. Для всех случаев окончание должно быть одним и тем же независимо от слова, но для падежей 1 и 2 третьим числом будет <strong>37 </strong>в слове А и <strong>41 </strong>в слове В, а для падежа 3 третьим числом будет <strong>05 </strong>в слове А и <strong>12 </strong>в слове В.</p><p><strong><sub>Таблица 17 Два склоняемых слова в линейном письме В.</sub></strong></p><p></p><p><strong><sub>Таблица 18 Знаки линейного письма В и присвоенные им числа.</sub></strong></p><p></p><p><strong><sub>Таблица 19 Два склоняемых слова в линейном письме В, записанные с помощью чисел.</sub></strong></p><p><strong><sub></sub></strong></p><p>Эти третьи числа казались непреодолимой трудностью, поскольку складывалось впечатление, что они не являются ни частью корня, ни частью окончания. Кобер разрешила этот парадокс, воспользовавшись гипотезой, что каждый знак представляет собой слог, вероятно, сочетание согласной с последующей гласной. Она предположила, что третий слог мог быть соединительным слогом, представляющим собой часть корня и часть окончания. Согласная могла принадлежать корню, а гласная — окончанию. Чтобы проиллюстрировать свою гипотезу, она привела пример из аккадского языка, в котором также есть соединительные слоги и в котором также развита система флексий. Одно из аккадских имен существительных в первом падеже имеет вид <i>sadanu</i>, во втором падеже оно изменяется на <i>sadani </i>и в третьем падеже — на <i>sadu</i> (таблица 20). Ясно, что эти три слова состоят из корня <strong>sad- </strong>и окончаний<strong> — anu </strong>(падеж 1<strong>), — ani </strong>(падеж 2) или<strong> — u </strong>(падеж 3); при этом в качестве соединительных слогов выступают — <strong>da-, -da- </strong>или<strong> — du. </strong>Соединительные слоги одни и те же в падежах 1 и 2, но в падеже 3 он иной. Точно такая же картина наблюдается и в словах линейного письма В: третье число в каждом из слов Кобер будет соединительным слогом.</p><p><strong><sub>Таблица 20. Соединительные слоги в аккадском имен существительном <i>sadanu</i></sub></strong></p><p></p><p>Даже то, что Кобер просто определила флективный характер линейного письма В и наличие соединительных слогов, означало, что она продвинулась в дешифровании минойской письменности дальше, чем кто бы то ни был, и все же это было лишь начало. Она намеревалась сделать еще более глобальный вывод. В приведенном примере из аккадского языка соединительный слог менялся от<i> — da-</i> к — <i>du</i>, но в обоих слогах согласная оставалась неизменной. Аналогичным образом, в слогах <strong>37</strong> и <strong>05</strong> в слове А линейного письма В, как и в слогах <strong>41</strong> и <strong>12</strong> в слове В, должна использоваться одна и та же согласная. Впервые с тех пор, как Эванс обнаружил линейное письмо В, начали появляться сведения о фонетике символов. Кобер смогла также определить еще одну группу соответствий между символами. Ясно, что в линейном письме В слова А и В в падеже 1 должны иметь одно и то же окончание. Однако, соединительный слог меняется, принимая значения <strong>37</strong> и <strong>41</strong>. А из этого следует, что числа 37 и 41 представляют собой слоги с различными согласными, но одинаковыми гласными. Этим можно объяснить, почему числа различны, несмотря на то, что окончания обоих слов идентичны. Точно так же слоги <strong>05</strong> и <strong>12</strong> имен существительных в падеже 3 будут иметь одну и ту же гласную, но отличающиеся согласные.</p><p>Кобер не могла точно определить, какая гласная является общей для <strong>05 </strong>и <strong>12 </strong>и для <strong>37 </strong>и <strong>41; </strong>равно как и выяснить, какая согласная является общей для <strong>37 </strong>и <strong>05, </strong>а какая — для <strong>41 </strong>и <strong>12. </strong>Но тем не менее, независимо от их абсолютных фонетических значений, она установила строгие соответствия между определенными символами. Свои результаты Алиса Кобер свела в таблицу (см. таблицу 21). Следует сказать, что Кобер не имела ни малейшего понятия, какой слог был представлен числом <strong>37, </strong>но она знала, что его согласная совпадала с согласной числа <strong>05, </strong>а его гласная — с гласной числа <strong>41.</strong></p><p><strong><sub>Таблица 21. Таблица Кобер соответствий между символами линейного письма В.</sub></strong></p><p></p><p>Точно также она совершенно не представляла, какой слог был представлен числом 12, но знала, что его согласная совпадала с согласной числа <strong>41, </strong>а его гласная — с гласной числа <strong>05. </strong>Она применила свой метод и к другим словам, построив, в конечном счете, таблицу, содержащую десять чисел: два столбца с гласными и пять строчек с согласными. Вполне возможно, что Кобер предприняла бы и следующий, решающий шаг в дешифровании и смогла бы даже разгадать письмо В полностью. Однако она не успела воспользоваться результатами своей работы; в 1950 году, в возрасте сорока трех лет, она умерла от рака легких.</p><h3>«Пустая трата сил»</h3><p>Всего лишь за несколько месяцев до своей смерти Алиса Кобер получила письмо от Майкла Вентриса, английского архитектора, с детства увлекшегося линейным письмом В. Вентрис родился 12 июля 1922 года в семье английского армейского офицера. Мать его была наполовину полька, и именно она привила ему интерес к археологии, регулярно посещая с ним Британский музей, где он мог дивиться и восторгаться чудесами античного мира. Майкл был смышленым ребенком; особенно легко ему давались языки. Когда он начал учиться в школе, то его отвезли в Гштаад, в Швейцарию, и он стал свободно говорить по-французски и немецки. А в шесть лет самостоятельно выучил польский язык.</p><p>Подобно Жану-Франсуа Шампольону, в Вентрисе рано пробудилась увлеченность древними письменами. В семь лет он прочел книгу, посвященную египетской иероглифике, — впечатляющее достижение для столь юного возраста, особенно если учесть, что эта книга была написана по-немецки. Этот интерес к письменности древних цивилизаций сохранялся у него на протяжении всего детства. В 1936 году, когда ему исполнилось четырнадцать лет, ему посчастливилось послушать лекцию сэра Артура Эванса, первооткрывателя линейного письма В, и интерес в нем разгорелся с новой силой.</p><p>Юный Вентрис изучил все связанное с минойской цивилизацией и загадкой линейного письма В и поклялся, что он дешифрует эту письменность. В этот день родилась одержимость, которая сопровождала Вентриса на протяжении всей его короткой, но такой яркой жизни.</p><p>Ему было всего лишь восемнадцать лет, когда он изложил свои первые размышления о линейном письме В в статье, которую впоследствии опубликовал в весьма крупном и уважаемом <i>Американском журнале археологии.</i> Посылая статью в журнал, он постарался скрыть свой возраст от редакторов, опасаясь, что его не воспримут всерьез. В своей статье он поддержал сэра Артура в его критике гипотезы греческого языка, заявив: «Разумеется, теория, что минойский язык может являться греческим, основывается на умышленном пренебрежении исторической достоверностью». Сам он полагал, что линейное письмо В было связано с этрусским языком — разумная точка зрения, поскольку существовали доказательства, что этруски осели в Италии, придя туда с берегов Эгейского моря. Хотя его статья никак не касалась дешифрования, он самонадеянно сделал вывод: «Это может быть сделано».</p><p>Вентрис стал архитектором, а не профессиональным археологом, но по-прежнему оставался страстно влюблен в линейное письмо В, посвящая все свое свободное время изучению всех аспектов этой письменности. Когда он услышал о работе Алисы Кобер, ему страстно захотелось узнать о ее открытии и он написал ей, прося сообщить подробности. И хотя она умерла до того, как смогла ответить, ее идеи остались жить в ее публикациях, и Вентрис дотошно изучил их. Он вполне оценил всю мощь таблицы Кобер и попробовал отыскать новые слова с общими корнями и соединительными слогами. Вентрис расширил ее таблицу, включив в нее эти новые символы с другими гласными и согласными. Затем, после года интенсивных исследований, он заметил нечто весьма необычное — нечто, что, казалось, наводило на мысль об исключении из правила, гласящего, что все символы линейного письма В являются слогами.</p><p>Считалось общепринятым, что каждый символ линейного письма В представлял собой комбинацию согласной и гласной букв (С+Г); тем самым, для написания слова, его требовалось предварительно разбить на слоги (С+Г). Например, английское слово <strong>«minute» </strong>будет записано в виде <strong>mi-nu-te </strong>— последовательности трех слогов (С+Г). Однако многие слова не делятся на слоги (С+Г) удобным образом. Например, если мы разобьем на пары букв слово «visible», то получим <strong>vi-si-bl-е, </strong>что создает проблемы, поскольку это разбиение не состоит из последовательности слогов (С+Г): здесь есть слог, состоящий из двух согласных, и есть одиночная<strong> — е </strong>в конце. Вентрис предположил, что минойцы обходили это затруднение, вставляя немую букву <strong>i </strong>для образования косметического слога<strong> — bi-, </strong>так что слово теперь может быть записано как <strong>vi-si-bi-ie, </strong>то есть комбинацией слогов (С+Г).</p><p>Однако со словом <strong>«invisible» </strong>проблемы остаются. Здесь опять-та-ки необходимо вставить немые гласные, на этот раз после букв <strong>n </strong>и <strong>Ь</strong>, преобразуя их в слоги (С+Г). Более того, необходимо что-то сделать с одиночной гласной <strong>i </strong>в начале слова: <strong>i-ni-vi-si-bi-le. </strong>Начальную <strong>i </strong>нелегко превратить в слог (С+Г), так как подстановка непроизносимой согласной в начале слова может запросто привести к путанице. Короче говоря, Вентрис пришел к заключению, что линейном письме В должны быть символы, представляющие собой простые гласные и использующиеся в словах, начинающихся с гласной. Эти символы отыскать несложно, поскольку они будут появляться только в начале слов. Вентрис определил, как часто каждый символ появляется в начале, в середине и в конце слов.</p><p>Он обнаружил, что два символа, обозначенные числами <strong>08</strong> и <strong>61</strong>, встречались преимущественно в начале слов, и на основании этого пришел к выводу, что они представляют собой не слоги, а одиночные гласные.</p><p>Вентрис изложил свои мысли относительно гласных символов и то, как ему удалось расширить таблицу, в ряде «рабочих листков», которые рассылал другим исследователям линейного письма В. 1 июня 1952 года он опубликовал свой самый важный результат, «рабочий листок № 20», — поворотный момент в дешифровании линейного письма В. Он потратил последние два года на расширение коберовской таблицы, создав свой вариант — «решетку», которая представлена в таблице 22. «Решетка» состояла из 75 ячеек, образованных 5 столбцами и 15 рядами, при этом каждому столбцу соответствовала определенная гласная буква, а каждому ряду — согласная, и 5 дополнительных ячеек, предназначенных для одиночных гласных. Вентрис заполнил символами почти половину ячеек. Эта «решетка» оказалась просто кладезем информации.</p><p></p><p><strong><sub>Рис 60. Майкл Вентрис</sub></strong></p><p>Например, можно сказать, что в шестом ряду в слоговых символах <strong>37, 05 и 69</strong> используется одна и та же согласная, VI, но различные гласные, 1, 2 и 4. Вентрис не имел ни малейшего представления о точных значениях согласной VI или гласных 1, 2 и 4 и до этого момента сопротивлялся искушению присваивать звуковые значения всем этим символам. Он, однако, чувствовал, что пришло время проверить некоторые догадки относительно нескольких звуковых значений и посмотреть, что из этого получится.</p><p><strong><sub>Таблица 22 Расширенная «решетка» Вентриса соответствий между символами линейного письма В. Хотя на основании этой «решетки» нельзя определить гласные или согласные, она показывает, в каких символах используются общие гласные и согласные. Например, во всех символах в первом столбце используется одна и та же гласная, обозначенная 1. </sub></strong></p><p></p><p>Вентрис обратил внимание на три слова, которые то и дело появлялись на некоторых табличках с линейным письмом В: <strong>08-73-30-12, 70-52-12 и 69-53-12</strong>. Руководствуясь только своей интуицией, он предположил, что эти слова могли быть названиями важных городов. Вентрис уже догадался, что символ <strong>08</strong> был гласной, и поэтому название первого города должно было начинаться с гласной. Единственным подходящим названием был Amnisos (Амнис), важный портовый город. Если он был прав, то второй и третий символы, <strong>73</strong> и <strong>30</strong>, будут представлять собой — <strong>mi</strong>- и — <strong>ni</strong>-. Оба эти два слога содержат одну и ту же гласную в, поэтому символы <strong>73</strong> и <strong>30</strong> должны появляться в одном и том же столбце «решетки». Так и оказалось. Последний символ, <strong>12</strong>, будет представлять собой — <strong>во</strong>-; правда, не остается никакого символа, с которым можно было бы связать конечную <strong>s</strong>. Вентрис решил не обращать пока что внимания на затруднение, связанное с отсутствующей конечной <strong>s</strong>, и продолжил свой перевод:</p><p>Город 1 = <strong>08-73-30-12</strong> = <strong>a-mi-ni-so</strong> = Amnisos (Амнис)</p><p>Это было всего лишь предположение, но оно оказало огромное влияние на «решетку» Вентриса. К примеру, символ 12, который, по-видимому, соответствовал — <strong>so</strong>-, находится во втором столбце и в седьмом ряду. Так что если его предположение было правильно, то все остальные слоговые знаки во втором столбце будут содержать гласную <strong>о</strong>, а все остальные слоговые знаки в седьмом ряду будут содержать согласную <strong>s</strong>.</p><p>Когда Вентрис начал проверять второй город, он заметил, что в нем также имеется символ 12, -<strong>so</strong>-. Два других символа, <strong>70</strong> и <strong>52</strong>, находились в том же столбце, что и -<strong>80</strong>-, а это означало, что и в этих знаках имеется гласная <strong>о</strong>. Для второго города он смог в соответствующих местах вставить слог — <strong>sо</strong>- и буквы <strong>о</strong>, оставив пропуски для отсутствующих согласных; в результате у него получилось следующее:</p><p>Город 2 = <strong>70-52-12</strong> = <strong>?o-?o-so</strong> =?</p><p>Может быть, это Knossos (Кносс)? Символы могли представлять собой <strong>kо-nо-sо</strong>. Вентрис в очередной раз проигнорировал проблему отсутствующей конечной s, по крайней мере, пока. Он с удовлетворением отметил, что символ 52, который, предположительно, представлял собой — <strong>nо</strong>-, находился в том же ряду согласных, что и символ <strong>30</strong>, который, предположительно, представлял собой — <strong>ni</strong>- в Avnisos (Амнис). Это обнадеживало, поскольку если они содержали одну и ту же согласную, <strong>n</strong>, то они и в самом деле должны были находиться в одном ряду. Используя слоговые значения из Knossos (Кносс) и Amnisos (Амнис), он подставил следующие буквы в название третьего города:</p><p>Город 3 = <strong>69-53-12</strong> =?? — ?i-so</p><p>Единственным подходящим названием было Tulissos (Тулисс) (<strong>tu-li-so</strong>) — город в центре Крита, игравший важное значение. И опять конечная <strong>s</strong> отсутствовала, и опять Вентрис проигнорировал проблему. Он теперь опытным путем установил названия трех мест и звуковые значения восьми различных знаков:</p><p>Город 1 = <strong>08-73-30-12</strong> = <strong>a-mi-ni-so</strong> = Amnisos (Амнис)</p><p>Город 2 = <strong>70-52-12</strong> = <strong>kо-nо-sо </strong>= Knossos (Кносс)</p><p>Город 3 = <strong>69-53-12</strong> = <strong>tu-li-so</strong> = Tulissos (Тулисс)</p><p>Определение восьми символов имело огромное значение. Вентрис мог теперь узнать о согласных и гласных многих других символов в «решетке», если они находились в том же ряду или в том же столбце. В результате во многих символах открылась часть их слоговых значений, а некоторые оказалось возможным установить целиком. Например, символ <strong>05</strong> находится в том же столбце, что и <strong>12 (so), 52 (nо) и 70 (kо)</strong>, и поэтому его гласной должна быть гласная <strong>о</strong>. Рассуждая аналогичным образом, символ <strong>05</strong> находится в том же ряду, что и символ <strong>69</strong> (<strong>tu</strong>), и поэтому его согласной должна быть согласная <strong>t</strong>. Короче говоря, символ <strong>05</strong> представляет собой слог — <strong>to</strong>-. Если взять символ <strong>31</strong>, то он стоит в том же столбце, что и символ <strong>08</strong>, в столбце, который обозначается гласной <strong>a</strong>, и в том же ряду, что и символ <strong>12</strong>, то есть в ряду, который обозначается согласной <strong>s</strong>. Поэтому символ <strong>31</strong> обозначает слог — <strong>sa</strong>-.</p><p>Определение слоговых значений этих двух символов, <strong>05</strong> и <strong>31</strong>, было особенно важным, поскольку это дало Вентрису возможность прочитать целиком два слова, <strong>05–12</strong> и <strong>05–31</strong>, которые неоднократно появлялись в конце списков. К тому времени Вентрис знал, что символ <strong>12</strong> представляет собой слог — <strong>so</strong>-, так как этот символ появлялся в слове Tulissos (Тулисс), и поэтому <strong>05–12</strong> могло быть прочитано как <strong>to-so</strong>. И второе слово, <strong>05–31</strong>, могло быть прочитано как <strong>to-sa</strong>. Это был удивительный результат. Поскольку эти слова появлялись в конце списков, у специалистов возникло предположение, что они означали «всего». Вентрис прочитал их как <strong>toso</strong> и <strong>tosa</strong> — поразительно похоже на древнегреческие слова <i>tossos</i> и <i>tossa</i>, мужской и женский род слова, означающего «столько».</p><p>С того момента, когда ему было четырнадцать лет и он услышал лекцию сэра Артура Эванса, он верил, что язык минойцев не мог быть греческим. Теперь же он обнаружил слова, которые служили явным доказательством в пользу того, что языком линейного письма В был греческий.</p><p>Это была древняя кипрская письменность, вследствие чего и появились основания считать, что языком линейного письма В не мог быть греческий, поскольку слова линейного письма В редко кончались на <strong>s</strong>, в то время как это окончание является весьма обычным для слов греческого языка. Вентрис обнаружил, что и на самом деле слова линейного письма В редко заканчивались буквой <strong>s</strong>, но это происходило, возможно, просто потому, что при написании <strong>s</strong> могла обычно опускаться. Amnisos (Амнис), Knossos (Кносс), Tulissos (Тулисс) и <i>tossos —</i> все они писались без конечного <strong>s</strong>, указывая, что писцы просто не утруждали себя его написанием, позволяя читателю самому заполнять очевидные пропуски.</p><p>Вскоре Вентрис дешифровал несколько других слов, которые также имели сходство с греческими, но он по-прежнему не был абсолютно уверен, что линейное письмо В было греческой письменностью. Теоретически те несколько слов, которые он дешифровал, могли бы рассматриваться как заимствования, привнесенные в минойский язык. Иностранец, приехавший в отель в Англии, может ненароком услышать такие слова и выражения, как «rendezvous» или «bon appetit», но было бы неверным считать, что англичане говорят по-французски. Более того, Вентрису встретились слова, которые были ему совершенно непонятны, являясь, вроде бы, доказательством в пользу до сего времени неизвестного языка. В «рабочих листках № 20» он не отказался от греческой гипотезы, но назвал ее «пустой тратой сил». Его вывод был таким: «Я полагаю, что это направление дешифрования, если следовать ему, рано или поздно заведет в тупик или погрязнет в противоречиях».</p><p>Но несмотря на свои предчуствия, Вентрис продолжал разрабатывать гипотезу греческого языка. И вот когда «рабочие листки № 20» все еще продолжали рассылаться, он начал находить новые и новые греческие слова. Он смог определить такие слова, как <i>poimen</i> (пастух), <i>kerameus</i> (гончар), <i>khrusoworgos</i> (ювелир) и <i>khalkeus</i> (кузнец по бронзе), и даже перевел пару фраз целиком. Пока что ни одного из предвещавших беду противоречий на его пути не встретилось. Впервые за три тысячи лет снова заговорило ранее молчащее линейное письмо В, и язык его был, без сомнения, греческим.</p><p>Так вышло, что как раз в этот период, когда Вентрису начал сопутствовать успех, его попросили выступить на радио Би-би-си и рассказать о загадке минойской письменности. Он решил, что это было бы идеальной возможностью обнародовать свое открытие. После довольно скучной беседы о минойской истории и линейном письме В, он сделал свое революционное заявление: «За последние несколько недель я пришел к выводу, что таблички из Кносса и Пилоса были написаны все же на греческом языке — сложном и архаичном греческом языке, ввиду того, что он был на пятьсот лет старше Гомера, и написаны в довольно-таки сокращенном виде, но, тем не менее, на греческом». Одним из слушателей оказался Джон Чедвик, исследователь из Кембриджа, который интересовался дешифрованием линейного письма В с 30-х годов 20 века. Во время войны он служил криптоаналитиком сначала в Александрии, вскрывая итальянские шифры, а затем был переведен в Блечли-Парк, где занимался японскими шифрами. После войны он попытался еще раз дешифровать линейное письмо В, используя на этот раз методы, о которых узнал во время работы с военными шифрами. К сожалению, значительного успеха он не достиг.</p><p></p><p><strong><sub>Рис. 61 Джон Чедвик</sub></strong></p><p>Когда он услышал передачу по радио, то был совершенно ошеломлен явно абсурдным утверждением Вентриса. Чедвик, как и большинство ученых, слушавших эту радиопередачу, не воспринял всерьез это заявление, посчитав его работой дилетанта — чем она в сущности и была. Однако в качестве преподавателя греческого языка Чедвик понял, что его забросают градом вопросов относительно утверждения Вентриса, и, чтобы подготовиться к ним, решил детально разобраться в доказательствах Вентриса. Он получил копии «рабочих листков» Вентриса и принялся тщательно изучать их в полной уверенности, что в них не счесть пробелов и изъянов. Прошло лишь несколько дней, и скептически настроенный ученый превратился в одного из первых сторонников «греческой» теории Вентриса о языке линейного письма В. А вскоре Чедвик стал восхищаться молодым архитектором:</p><cite><p>Его мозг работал с удивительной быстротой, так что он мог обдумать все последствия выдвигаемого вами предложения едва ли не раньше, чем оно прозвучит из ваших уст. Его отличало стремление разобраться в реальном положении дел; микенцы были для него не смутной абстракцией, а живыми людьми, чьи мысли он мог постичь. Сам он делал упор на визуальном подходе к проблеме и настолько хорошо знал тексты, что большие куски запечатлелись в его мозгу просто как зрительные образы задолго до того, как дешифровка придала им смысл. Но одной фотографической памяти было недостаточно, и вот тут-то ему пригодилось его архитектурное образование. Глаз архитектора видит в здании не единственно лишь внешнюю сторону — беспорядочную мешанину декоративных элементов и конструктивных особенностей, он способен разглядеть то, что находится за ней: важные части орнамента, элементы конструкции и корпус здания. Так и Вентрис сумел разглядеть среди приводящего в замешательство многообразия загадочных символов и рисунков закономерности, которые раскрыли лежащую за ними внутреннюю структуру. Именно этим качеством — способностью разглядеть порядок в кажущемся беспорядке — характеризуются деяния всех великих людей.</p></cite><p>Однако Вентрису не хватало одного — досконального знания древнегреческого языка. Греческий язык Вентрис изучал только в детстве, во время учебы в Став Скул, и потому не мог в полной мере воспользоваться результатами своего открытия. Так, ему не удалось дать объяснения некоторым из дешифрованных слов, потому что он их не знал. Специальностью же Чедвика была греческая филология, изучение исторического развития греческого языка, и потому он был в достаточной мере вооружен знаниями, чтобы показать, что эти загадочные слова согласуются с теориями о древнейших формах греческого языка. Вместе они, Чедвик и Вентрис, образовали великолепную компанию.</p><p>Греческий язык Гомера насчитывал три тысячи лет, но греческий язык линейного письма В был старше него еще на пятьсот лет. Чтобы перевести его, Чедвику потребовалось проводить обратную экстраполяцию от известных слов древнегреческого языка к словам линейного письма В, принимая во внимание три пути, по которым развивается язык. Во-первых, со временем меняется фонетическая транскрипция. К примеру, греческое слово, обозначающее «тот, кто наполняет бассейн», изменилось с <i>lewotrokhowoi</i> в линейном письме В на <i>loutrokhowoi</i>, слово, которое использовалось во времена Гомера. Во-вторых, происходят грамматические изменения. Так, в линейном письме В окончанием родительного падежа является — <i>оiо</i>, но в классическом греческом языке оно заменяется на<i> — ои.</i> И наконец, может существенным образом измениться словарный состав языка. Одни слова рождаются, другие отмирают, третьи меняют свое значение. В линейном письме В слово <i>harmo</i> означало «колесо», но в более позднем греческом языке оно же означало «колесницу». Чедвик указал, что это похоже на использование в современном английском языке слова «колеса» для обозначения автомобиля.</p><p>Оба они, опираясь на практический опыт Вентриса в дешифровании и компетентность Чедвика в греческом языке, продолжали убеждать остальной мир, что линейное письмо В действительно написано на греческом языке. С каждым днем возрастала скорость, с которой выполнялся перевод. В отчете об их работе, «Дешифрование линейного письма В», Чедвик писал:</p><cite><p>Криптография является наукой дедукции и контролируемого эксперимента; гипотезы создаются, проверяются и нередко отбрасываются. Но остаток, который остается после проверок, постепенно накапливается, и, наконец, наступает тот момент, когда экспериментатор обретает твердую почву под ногами: его предположения начинают стыковаться, а общая картина приобретает осмысленный вид. Шифр «расколот». Пожалуй, это лучше всего определить как тот самый момент, когда возможные подсказки появляются быстрее, чем успеваешь их проверить. Это похоже на начало цепной реакции в атомной физике — как только перейден критический порог, реакция развивается сама.</p></cite><p>Это было незадолго до того, как они сумели продемонстрировать свое владение этой письменностью, написав друг другу короткие записки с помощью линейного письма В.</p><p>Неофициально проверка точности дешифрования определяется количеством богов в тексте. Нет ничего удивительного, что у тех, кто прежде шел неверным путем, образовывались бессмысленные слова, появление которых объяснялось тем, что они были именами неизвестных прежде богов. Однако Чедвик и Вентрис объявили только о четырех божественных именах, причем все это были уже хорошо известные боги.</p><p>В 1953 году, уверенные в своем анализе, они подробно написали о своей работе в статье, скромно озаглавив ее «Доказательство греческого диалекта в микенских архивах», которая была опубликована в «Джорнел оф Хелиник Стадиз». После этого археологи всего мира начали понимать, что оказались свидетелями подлинного переворота. В письме Вентрису немецкий ученый Эрнст Ситгиг выразил общее настроение академических кругов: «Я повторяю: ваши доводы с криптографической точки зрения являются самыми интересными, о которых я когда-либо слышал, и поистине впечатляющими. Если вы правы, то методы археологии, этнологии, истории и филологии последних пятидесяти лет сведены <i>ad absurdum».</i></p><p>Таблички с линейным письмом В опровергали почти все, о чем заявлял сэр Артур Эванс и его последователи. Прежде всего, оказалось, что в действительности линейное письмо В было написано по-гречески. Во-вторых, если минойцы на Крите писали по-гречески и, предположительно, говорили по-гречески, то это должно заставить археологов пересмотреть свои взгляды на минойскую историю. Сейчас представляется, что доминирующей силой в этом регионе были Микены, а минойский Крит был меньшим государством, люди которого говорили на языке своих более сильных соседей. Существуют, однако, свидетельства, что до 1450 года до н. э. Миноя была полностью независимым государством со своим собственным языком. Примерно в 1450 году до н. э. на смену линейному письму А пришло линейное письмо В, и хотя обе эти письменности выглядят очень похоже, линейное письмо А пока еще никому не удалось дешифровать. Возможно, потому, что для линейного письма А использовался совершенно другой язык, чем для линейного письма В. Похоже, что около 1450 года до н. э. микенцы победили минойцев, навязали тем свой язык и преобразовали линейное письмо А в линейное письмо В, так что оно служило в качестве письменности для греческого языка.</p><p>Помимо внесения ясности в общую историческую картину, дешифрование линейного письма В позволяет также уточнить некоторые детали. Так, при раскопках в Пилосе не удалось найти никаких ценностей в богатом дворце, который был в конечном счете уничтожен пожаром. Это вызвало подозрение, что дворец был намеренно подожжен захватчиками, вначале очистившими дворец от ценных вещей. Хотя в табличках с линейным письмом В в Пилосе о таком нападении специально не говорилось, но в них имелись намеки о подготовке к вторжению. В одной табличке описывается создание специального воинского отряда для защиты побережья, а в другой говорится о реквизировании бронзовых украшений для переделки их в наконечники для копий. Третья табличка, менее аккуратно написанная по сравнению с двумя другими, описывает особенно сложную храмовую церемонию, связанную, вероятно, с человеческими жертвоприношениями. Большинство табличек с линейным письмом В были аккуратно сложены, означая, что писцы обычно приступали к работе с выполнения предварительных набросков, которые позднее стирались. В неаккуратно написанной табличке имеются значительные промежутки, линии наполовину заполнены, а текст заходит на обратную сторону. Единственное возможное объяснение — это что в табличке написана просьба о божественном вмешательстве перед угрозой вторжения, но до того, как табличку переписали, дворец был разгромлен.</p><p>По большей части таблички с линейным письмом В представляют собой описи и, по сути, отображают каждодневные торговые операции. Эти таблички, в которых записывались все мельчайшие подробности производства промышленных товаров и сельскохозяйственной продукции, указывают на существование бюрократии, которая могла посоперничать с бюрократическим аппаратом в любой иной период истории. Чедвик сравнивал архив табличек с Книгой Судного Дня, а профессор Дени Пейдж описал степень детализации таким образом: «Овцы могли быть подсчитаны до поражающего общего количества в двадцать пять тысяч, но тут же в записях может быть отражен такой факт, что одно животное было пожертвовано Комавенсом… Может показаться, что нельзя было ни посеять зернышка, ни обработать грамма бронзы, ни выткать ткань, ни вырастить козы, ни откормить свиньи без того, чтобы не заполнить бланк в королевском дворце». Эти дворцовые записи могли бы показаться мирскими, но они были по самой своей природе романтичными, поскольку были неразрывно связаны с «Одиссеей» и «Илиадой». В то время как писцы в Кноссе и Тилосе записывали свои повседневные операции, шла Троянская война. Язык линейного письма В — это язык Одиссея.</p><p><strong><sub>Таблица 23 Символы линейного письма В, соответствующие им номера и звуковые значения.</sub></strong></p><p></p><p>24 июня 1953 года Вентрис прочел публичную лекцию, посвященную дешифрованию линейного письма В. На следующий день об этой лекции сообщила «Таймс» рядом с заметкой о недавнем покорении Эвереста. Благодаря этой заметке успех Вентриса и Чедвика стал известен как «Эверест греческой археологии». На следующий год они решили написать официальный отчет в трех томах о своей работе, в который бы вошло описание дешифрования, подробный анализ трехсот табличек, словарь из 630 микенских слов и список звуковых значений почти всех символов линейного письма В, как указано в таблице 23. Этот труд, «Документы о микенском греческом языке», был завершен летом 1955 года и подготовлен к опубликованию осенью 1956 года. Однако 6 сентября 1956 года, за несколько недель до его сдачи в печать, Майкл Вентрис погиб. Когда он поздно ночью ехал домой по Грейт Норт Роуд, неподалеку от Хэтфилда его автомобиль столкнулся с грузовиком. Джон Чедвик отдал дань своему коллеге, человеку, который сравнялся с гением Шампольона и который умер в столь трагично молодом возрасте: «Но его дело живет, а его имя будут помнить до тех пор, пока изучают древнегреческий язык и цивилизацию».</p><p>Во Второй мировой войне британские дешифровальщики одержали верх над немецкими шифровальщиками главным образом потому, что в Блечли-Парке, по примеру поляков, был разработан ряд технических средств для дешифрования сообщений противника. Помимо «бомб» Тьюринга, которые использовались для взлома шифра «Энигмы», англичане придумали и создали еще одно устройство, «Колосс», предназначенное для борьбы со значительно более стойким видом шифрования, а именно, с немецким шифром Лоренца. Из двух видов дешифровальных машин именно «Колосс» определил развитие криптографии во второй половине двадцатого столетия.</p><p>Шифр Лоренца использовался для связи между Гитлером и его генералами. Шифрование выполнялось с помощью машины Lorenz SZ40, которая действовала подобно «Энигме», но была намного сложнее, и из-за этого у дешифровальщиков в Блечли возникали огромные проблемы. Но все же двум дешифровальщикам, Джону Тилтману и Биллу Тьютте, удалось отыскать изъян в способе использования шифра Лоренца — то слабое место, которым сумели воспользоваться в Блечли и, благодаря этому, прочитать сообщения Гитлера.</p><p>Для дешифрования сообщений, зашифрованных шифром Лоренца, требовалось осуществлять перебор вариантов, сопоставлять их, проводить статистический анализ и на основании полученных результатов давать осторожную оценку, — ничего этого «бомбы» делать не могли. Они могли с огромной скоростью решать определенную задачу, но не обладали достаточной гибкостью, чтобы справиться с тонкостями шифра Лоренца. Зашифрованные этим шифром сообщения приходилось дешифровать вручную, что занимало недели кропотливых усилий, а за это время они по большей части уже устаревали. Со временем Макс Ньюмен, математик из Блечли, предложил способ, как механизировать криптоанализ шифра Лоренца.</p><p>В значительной степени позаимствовав концепцию универсальной машины Алана Тьюринга, Ньюмен спроектировал машину, которая была способна сама настраиваться на решение различных задач — то, что сегодня мы назвали бы программируемым компьютером.</p><p>Реализация конструкции Ньюмена считалась технически невозможной, так что руководство Блечли даже не стало рассматривать проект. По счастью, Томми Флауэрс, инженер, принимавший участие в обсуждении проекта Ньюмена, решил проигнорировать скептицизм Блечли и приступил к созданию такой машины. В исследовательском центре Управления почт и телеграфа в Доллис Хилл, в Северном Лондоне, Флауэрс взял чертежи Ньюмена и потратил десять месяцев, чтобы создать на его основе машину «Колосс», которую 8 декабря 1943 года передал в Блечли-Парк. Машина состояла из 1500 электронных ламп, которые действовали значительно быстрее медлительных электромеханических релейных переключателей, используемых в «бомбах». Но гораздо важнее скорости «Колосса» являлось то, что эту машину можно было программировать. Благодаря этому-то «Колосс» и стал предшественником современных цифровых ЭВМ.</p><p>После войны «Колосс», как и все остальное в Блечли-Парке, был демонтирован, а всем, кто так или иначе был связан с работой над «Колоссом», было запрещено даже упоминать о нем. Когда Томми Флауэрсу приказали уничтожить чертежи «Колосса», он послушно отнес их в котельную и сжег. Так были навсегда утрачены чертежи первого в мире компьютера. Такая секретность означала, что признание за изобретение компьютера получили другие ученые. В 1945 году Джон Преспер Эккерт и Джон Уильям Мочли в Пенсильванском университете завершили создание ЭНИАКа (электронного числового интегратора и компьютера), состоящего из 18 000 электронных ламп и способного выполнять 5000 вычислений в секунду. И в течение десятилетий именно вычислительная машина ЭНИАК, а не «Колосс», считалась прародительницей всех компьютеров.</p><p>Внеся вклад в рождение современного компьютера, криптоаналитики продолжали и после войны развивать компьютерные технологии и применять вычислительную технику для раскрытия любых видов шифров. Теперь они могли использовать быстродействие и гибкость программируемых компьютеров для перебора всех возможных ключей, пока не будет найден правильный ключ. Но время шло, и уже криптографы начали пользоваться всей мощью компьютеров для создания все более и более сложных шифров. Короче говоря, компьютер сыграл решающую роль в послевоенном поединке между шифровальщиками и дешифровальщиками.</p><p>Применение компьютера для зашифровывания сообщения во многом напоминает обычные способы шифрования. И в самом деле, между шифрованием с использованием компьютеров и шифрованием с использованием механических устройств, как, например, «Энигмы», существует всего лишь три основных отличия. Первое отличие состоит в том, что на деле можно построить механическую шифровальную машину только ограниченных размеров, в то время как компьютер может имитировать гипотетическую шифровальную машину огромной сложности. К примеру, компьютер мог бы быть запрограммирован так, чтобы воспроизвести действие сотен шифраторов, часть из которых вращается по часовой стрелке, а часть — против, некоторые шифраторы исчезают после каждой десятой буквы, а другие по ходу шифрования вращаются все быстрее и быстрее. Такую механическую машину в реальности изготовить невозможно, но ее виртуальный компьютеризованный аналог давал бы исключительно стойкий шифр.</p><p>Второе отличие заключается просто в быстродействии. Электроника может работать гораздо быстрее механических шифраторов; компьютер, запрограммированный для имитирования шифра «Энигмы», может вмиг зашифровать длинное сообщение. С другой стороны, компьютер, запрограммированный на использование существенно более сложного способа шифрования, по-прежнему способен выполнить свою задачу за приемлемое время.</p><p>Третье, и, пожалуй, наиболее существенное отличие — это то, что компьютер выполняет зашифровывание чисел, а не букв алфавита. Компьютеры работают только с двоичными числами — последовательностями единиц и нулей, которые называются <i>двоичными знаками</i>, или, для краткости, <i>битами.</i> Поэтому любое сообщение перед зашифровыванием должно быть преобразовано в двоичные знаки. Такое преобразование может выполняться в соответствии с различными протоколами, например, американским стандартным кодом для обмена информацией, широко известным как ASCII. В ASCII каждой букве алфавита сопоставляется число длиной 7 бит. Будем пока рассматривать двоичное число просто как последовательность единиц и нулей, которая однозначно определяет каждую букву (таблица 24), подобно тому, как в коде Морзе каждая буква обозначается своей последовательностью точек и тире. Существует 128 (2<sup>7</sup>) способов расположения 7 двоичных знаков, поэтому в ASCII можно определить до 128 различных символов. Этого вполне достаточно, чтобы задать все строчные буквы (например, <strong>а = 1100001), </strong>все необходимые знаки пунктуации (например, <strong>! = 0100001), </strong>а также другие символы (например, <i>&amp;</i> = <strong>0100110). </strong>После того как сообщение будет переведено в двоичный вид, можно приступать к его зашифровыванию.</p><p>Хотя мы имеем дело с компьютерами и числами, а не с машинами и буквами, зашифровывание по-прежнему выполняется с помощью традиционных способов замены и перестановки, при которых элементы сообщения заменяются другими элементами, либо элементы сообщения меняются местами, либо оба эти способа применяются совместно. Любой процесс зашифровывания — неважно, насколько он сложен — можно представить как сочетание этих двух простых операций. В следующих двух примерах наглядно показывается, насколько просто можно осуществить компьютерное шифрование с помощью элементарного шифра замены и элементарного шифра перестановки.</p><p>Допустим, что мы хотим зашифровать сообщение <strong>HELLO</strong> с использованием простой компьютерной версии шифра перестановки. Перед тем как начать зашифровывание, мы должны вначале преобразовать сообщение в ASCII-код в соответствии с таблицей 24:</p><p>Открытый текст = <strong>HELLO</strong> = 1001000 1000101 1001100 1001100 1001111</p><p>Здесь можно было бы воспользоваться одним из простейших видов шифра перестановки и поменять местами первую и вторую цифры, третью и четвертую цифры, и так далее. В этом случае последняя цифра останется на своем месте, поскольку их количество нечетно. Чтобы было более понятно, я убрал пробелы между группами чисел, представляющих собой ASCII-код исходного открытого текста, записал их сплошной строкой, а затем, для наглядности, выровнял относительно получившегося шифртекста:</p><p></p><p>При выполнении перестановок на уровне двоичных цифр возникает интересный аспект, заключающийся в том, что перестановки можно осуществлять внутри буквы. Более того, биты одной буквы можно менять местами с битами соседней буквы.</p><p>Так, например, если переставить седьмую и восьмую цифры, то поменяются местами последний <strong>0</strong> буквы <strong>Н</strong> и первая <strong>1</strong> буквы <strong>Е</strong>. Зашифрованное сообщение представляет собой сплошную строку из 35 двоичных цифр, которую можно передать получателю и из которой затем, путем обратной перестановки, можно воссоздать исходную строку двоичных цифр. После чего получатель преобразует двоичные цифры ASCII-кода и восстановит сообщение <strong>HELLO</strong>.</p><p><strong><sub>Таблица 24. ASCII-код двоичного представления заглавных букв</sub></strong></p><p></p><p>Допустим, что теперь мы хотим зашифровать это же сообщение, <strong>HELLO</strong>, только на этот раз с помощью простой компьютерной версии шифра замены. Перед тем как приступить к зашифровыванию, мы вначале опять-таки преобразуем сообщение в ASCII-код. Как обычно, при замене используется ключ, который был согласован между отправителем и получателем. В нашем случае ключом будет слово <strong>DAVID</strong>, преобразованное в ASCII-код, которое используется следующим образом. Каждый элемент открытого текста «добавляется» к соответствующему элементу ключа. «Добавление» двоичных цифр может выполняться, исходя из двух простых правил. Если элементы в открытом тексте и в ключе одинаковы, то элемент в открытом тексте заменяется на 0 в шифртексте. Если же элементы в сообщении и в ключе различны, то элемент в открытом тексте заменяется на 1 в шифртексте:</p><p></p><p>Получающееся зашифрованное сообщение представляет собой сплошную строку из 35 двоичных цифр, которую можно передать получателю, а тот уже с помощью этого же ключа проведет обратную замену, вновь воссоздав исходную строку двоичных цифр. После чего получатель преобразует двоичные цифры ASCII-кода и восстановит сообщение <strong>HELLO</strong>.</p><p>Компьютерное шифрование ограничивалось только тем кругом лиц, у кого имелись компьютеры; первоначально это означало правительство и военных. Однако ряд научных открытий, и технологических и инженерных достижений сделали компьютеры и компьютерное шифрование гораздо более широко доступными. В 1947 году в компании AT&amp;T Bell Laboratories был создан транзистор — дешевая альтернатива электронной лампе. Использование компьютеров для решения промышленных и коммерческих задач стало реальностью в 1951 году, когда такие компании, как Ферранти, начали изготавливать компьютеры на заказ. В 1953 году IBM выпустила свой первый компьютер, четыре года спустя она же представила Фортран — язык программирования, который позволил «обычным» людям писать компьютерные программы. А создание в 1959 году интегральных схем провозгласило новую эру компьютеризации.</p><p>В 60-х годах двадцатого века компьютеры стали более мощными и в то же время более дешевыми. Все больше и больше коммерческих компаний и промышленных предприятий могли позволить себе приобрести компьютеры и использовать их для зашифровывания важной информации, например, переводов денег или проведения щекотливых торговых переговоров. Однако по мере роста количества таких компаний и предприятий и в связи с тем, что шифрование между ними распространялось во все большей степени криптографы столкнулись с новыми сложностями, которых не существовало, когда криптография являлась прерогативой правительств и военных. Одним из первоочередных вопросов был вопрос стандартизации. В компании, для обеспечения безопасности внутренней связи, могла использоваться специфическая система шифрования, но с ее помощью нельзя было отправить секретное сообщение ни в какую другую организацию, если только получатель не пользовался той же самой системой шифрования. В итоге 15 мая 1973 года Американское Национальное бюро стандартов США наметило разрешить эту проблему и официально запросило предложения по стандартной системе шифрования, которая бы позволила обеспечить секретность связи между различными компаниями.</p><p>Одним из наиболее известных и признанных алгоритмов шифрования и кандидатом в качестве стандарта был продукт компании IBM, известный как Люцифер. Он был создан Хорстом Файстелем, немецким эмигрантом, приехавшим в Америку в 1934 году. Файстель уже вот-вот должен был получить гражданство США, когда Америка вступила в войну, что означало, что он находился под домашним арестом вплоть до 1944 года. После этого он еще несколько лет умалчивал о своем интересе к криптографии, чтобы не возбудить подозрений у американских властей. Когда же он в конце концов начал заниматься изучением шифров в Кембриджском научно-исследовательском центре ВВС США, то вскоре оказался под пристальным вниманием Агентства национальной безопасности (АНБ) — организации, отвечающей за обеспечение безопасности военной и правительственной связи, которая занималась также перехватом и дешифровкой иностранных сообщений. В АНБ работало больше математиков, она приобретала больше компьютерной техники и перехватывала больше сообщений, чем любая другая организация в мире. В общем, что касается совать нос в чужие дела, то тут оно является мировым лидером.</p><p>АНБ выдвигало обвинения не против прошлого Файстеля, оно просто хотело обладать монополией в области криптографических исследований, и, по-видимому, именно оно устроило так, что исследовательский проект Файстеля был закрыт. В 60-х годах Файстель перешел в компанию Mitre Corporation, но АНБ продолжало оказывать на него давление и вторично вынудило его бросить работу.</p><p>В конце концов Файстель оказался в исследовательской лаборатории Томаса Дж. Уотсона компании IBM неподалеку от Нью-Йорка, где в течение нескольких лет он мог без помех продолжать свои исследования. Там-то в начале 70-х он и создал систему Люцифер.</p><p>Люцифер зашифровывает сообщения следующим образом. Вначале сообщение преобразуется в длинную строку двоичных цифр. Далее эта строка разбивается на блоки из 64 цифр, и зашифровывание производится отдельно для каждого блока. Затем берется только один блок, 64 цифры этого блока перетасовываются, после чего его делят на два полублока, состоящих из 32 цифр и обозначаемых как Left<sup>0</sup> и Right<sup>0</sup>. Потом к цифрам в полублоке Right<sup>0</sup> применяется «функция обжима», которая сложным образом заменяет цифры. Затем «обжатый» полублок Right<sup>0</sup> добавляется к полублоку Left<sup>0</sup>, образуя новый полу-блок из 32 цифр, который обозначается как Right<sup>1</sup>. Производится переобозначение исходного полублока Right<sup>0</sup> на Left<sup>1</sup>. Данная последовательность операций называется раундом. Процесс повторяется во втором раунде, но начинается с новых полублоков, Left<sup>1</sup> и Right<sup>1</sup>, и заканчивается полублоками Left<sup>2</sup> и Right<sup>2</sup>, и так продолжается до тех пор, пока не будет выполнено 16 раундов. Процесс зашифровывания немного напоминает замешивание теста. Представьте себе длинный кусок теста в виде бруска с написанным на нем сообщением. Вначале этот длинный кусок делится на блоки длиной 64 см. Затем половинка одного из блоков подцепляется, обжимается, складывается пополам, добавляется к другой половине и растягивается, образуя новый блок. После чего процесс повторяется снова и снова, пока сообщение не станет основательно перемешанным. По завершении 16 циклов «замешивания» шифртекст отсылается; его расшифровка получателем производится точно так же, как и зашифровывание, но в обратном порядке.</p><p>Параметры «функции обжима» могут меняться; они определяются ключом, согласованным отправителем и получателем. Другими словами, одно и то же сообщение может быть зашифровано бесчисленным количеством различных способов в зависимости от того, какой был выбран ключ. Ключи, используемые в компьютерной криптографии, являются просто числами. Поэтому, чтобы выбрать ключ, и отправитель, и получатель должны просто договориться о числе. После этого для зашифровывания необходимо, чтобы отправитель ввел число-ключ и сообщение в Люцифер, который выдаст шифртекст. Получателю для расшифровывания требуется ввести в Люцифер это же самое число-ключ и шифртекст, после чего будет выдано исходное сообщение.</p><p>По всеобщему мнению Люцифер являлся одним из наиболее стойких, коммерчески доступных программных продуктов шифрования, вследствие чего он использовался рядом организаций. Казалось само собой разумеющимся, что эта система шифрования будет принята в качестве американского стандарта, но в работу Файстеля опять вмешалось АНБ. Люцифер оказался настолько стойким, что, будучи принятым в качестве стандарта шифрования, мог оказаться за пределами криптоаналитических возможностей АНБ; поэтому не удивительно, что АНБ не хотело видеть стандартом шифрования такой продукт, который они не смогут взломать. Ходили слухи, что АНБ, перед тем как разрешить принять Люцифер в качестве стандарта, пыталось ослабить один из его аспектов — сократить число возможных ключей.</p><p>Число возможных ключей является одним из решающих факторов, определяющих стойкость любого шифра. Криптоаналитик, стремящийся дешифровать зашифрованное сообщение, мог бы попытаться проверить все возможные ключи, и чем больше существует возможных ключей, тем больше времени придется затратить, чтобы найти правильный. Если существует всего 1 000 000 возможных ключей, то криптоаналитик мог бы воспользоваться мощным компьютером, чтобы найти верный, что заняло бы у него минуты, и тем самым дешифровать перехваченное сообщение. Однако, если число возможных ключей достаточно велико, отыскание правильного ключа становится практически невозможным. Если бы Люцифер стал стандартом шифрования, то АНБ хотело бы гарантировать, что в нем будет использоваться только ограниченное число ключей.</p><p>АНБ настаивало на том, чтобы число ключей составляло примерно 100 000 000 000 000 000 (или, иначе, 56 бит<a href="#note_25">[26]</a>, поскольку это число состоит из 56 цифр, если записать его в двоичном представлении). Видимо, АНБ полагало, что такой ключ обеспечит безопасность для гражданских организаций и лиц, так как ни в одной гражданской организации нет достаточно мощного компьютера, способного проверить все возможные ключи за приемлемое время. Однако само АНБ, имеющее доступ к самым мощным в мире вычислительным ресурсам, сможет раскрыть такие сообщения. 56-битовый вариант шифра Люцифер Файстеля, получивший название DES (стандарт шифрования данных), был официально принят 23 ноября 1976 года. Четверть века спустя DES по-прежнему остается официальным американским стандартом шифрования.</p><p>Принятие DES решило проблему стандартизации, содействуя использованию коммерческими компаниями и промышленными предприятиями криптографии для обеспечения безопасности. К тому же DES обладал достаточной стойкостью, чтобы гарантировать защиту от атак со стороны торговых конкурентов. Для компании, имеющей обычный компьютер, практически невозможно было взломать зашифрованное с помощью DES сообщение, поскольку число возможных ключей было достаточно велико. Но несмотря на стандартизацию и стойкость DES, коммерческие компании и промышленные предприятия по-прежнему сталкивались с еще одной значительной проблемой, известной как <i>проблема распределения ключей.</i></p><p>Представьте, что банк хочет передать определенную конфиденциальную информацию клиенту по телефонной линии, но обеспокоен тем, что кто-нибудь может подключиться к линии и перехватить сообщение. Банк выбирает ключ и использует DES, чтобы зашифровать информационное сообщение. Чтобы расшифровать сообщение, клиенту нужно не только иметь копию DES на своем компьютере, но также знать, какой ключ использовался для зашифровывания сообщения. Каким же образом банк может сообщить о ключе своему клиенту? Он не может выслать ключ по телефонной линии, поскольку подозревает, что на линии имеется подслушивающее устройство. Единственный, действительно безопасный способ передать ключ, — это вручить его лично, что, несомненно, требует времени. Менее безопасное, но более практичное решение — это передать ключ через курьера. В 70-х годах банки пытались передавать ключи, используя для этого специальных связных из числа наиболее доверенных служащих. Эти связные мчались через весь мир с запертыми на замок портфелями, лично доставляя ключи тем, кто должен будет получить сообщения от банка в течение следующей недели. По мере роста масштабов коммерческих сетей, передачи все большего числа сообщений и необходимости доставки все большего количества ключей, банки пришли к заключению, что процесс распределения превратился в ужасающий кошмар, а накладные расходы стали непомерно высоки.</p><p>Проблема распределения ключей беспокоила криптографов на протяжении всей истории. Так, во время Второй мировой войны немецкое Верховное командование должно было каждый месяц передавать книги с ключами текущего дня всем своим операторам «Энигмы», что представляло собой огромную проблему, связанную с осуществлением их доставки. Это же касалось и подводных лодок, которые длительное время находились вне своих баз, но должны были каким-то образом бесперебойно получать ключи. А прежде пользователи шифра Виженера должны были найти способ передать ключевое слово от отправителя к получателю. Неважно, насколько теоретически надежен шифр, на поверку его ценность может оказаться нулевой как раз из-за проблемы распределения ключей.</p><p>Правительство и вооруженные силы способны до известной степени справиться с проблемой распределения ключей, вкладывая в ее решение средства и ресурсы. Их сообщения настолько важны, что они не остановятся ни перед чем, чтобы обеспечить безопасность распределение ключей. Контролем и распределением ключей правительства США ведает COMSEC — сокращенное название подразделения, обеспечивающего безопасность передачи данных. В 70-х годах СОМ Б ЕС отвечала за перевозку огромного количества ключей текущего дня. Когда корабли, перевозящие материалы СОМ8ЕС, швартовались у причала, сотрудники, ответственные за хранение криптоключей, поднимались на борт и забирали кипы перфокарт, бумажные перфоленты, дискеты и любые другие носители, на которых могли храниться ключи, доставляя их затем адресатам.</p><p>Распределение ключей может показаться рутинной задачей, но она стала важнейшей для послевоенных криптографов. Если две стороны хотят обеспечить безопасный обмен информацией, они вынуждены полагаться на третьего участника, который осуществляет доставку ключа, и это становится самым слабым звеном в цепи. Дилемма для коммерческих компаний и промышленных предприятий была проста: если правительства со всеми их деньгами изо всех сил пытаются обеспечить безопасность распределения ключей, то как могли гражданские компании даже хотя бы надеяться достичь надежного распределения ключей и при этом не разориться?</p><p>Несмотря на заявления, что проблема распределения ключей неразрешима, команда ярких личностей справилась с ней несмотря ни на что и в середине 70-х предложила блестящее решение. Они придумали систему шифрования, которая, казалось, попирала всякую логику. Хотя компьютеры неузнаваемо изменили применение шифров, разработка способов преодоления проблемы распределения ключей явилась поистине переворотом в криптографии двадцатого столетия. И это безусловно расценивается как величайшее криптографическое достижение с момента изобретения свыше двух тысячелетий назад одноалфавитного шифра.</p><h3>Бог вознаграждает дураков</h3><p>Уитфилд Диффи — один из криптографов-энтузиастов своего поколения. Внешний вид его поражает и создает отчасти противоречивый образ. Его безупречный костюм отражает тот факт, что большую часть 90-х годов он трудился в одной из американских компьютерных корпораций — ныне официально его должность звучит как «Заслуженный инженер компании Сан Микросистеме». В то же время его длинные, до плеч, волосы и белая бородка говорят о том, что сердце его принадлежит 60-м. Он проводит массу времени за компьютером, но выглядит так, словно столь же комфортно он чувствовал бы себя и в ашраме Бомбея. Диффи понимает, что его одежда и внешность вполне могут оказать влияние на других, и так комментирует это: «Люди всегда думают, что я выше, чем я есть на самом деле, но я говорю, что это — «эффект тигра»: неважно, сколько он весит фунтов и унций; из-за своих прыжков он всегда кажется крупнее».</p><p>Диффи родился в 1944 году и большую часть детства жил в Куинсе, одном из районов Нью-Йорка. Еще ребенком он увлекся математикой, читая все подряд от «Сборника математических таблиц для компаний по производству синтетического каучука» до «Курса чистой математики» Г.Х. Харди. Он продолжил ее изучение в Массачусетском технологическом институте, который окончил в 1965 году. И к началу 70-х годов, поработав в нескольких местах, стал одним из нескольких полностью независимых экспертов по безопасности, свободным криптографом, не состоящим на службе у правительства или каких-либо крупных корпораций. Оглядываясь назад, можно сказать, что он был первым шифрпанком<a href="#note_26">[27]</a>.</p><p></p><p><strong><sub>Рис. 62. Уитфилд Диффи</sub></strong></p><p>Диффи особенно интересовался проблемой распределения ключей, и он понял, что тот, кому удастся найти решение, войдет в историю как один из самых величайших криптографов. Диффи настолько захватила проблема распределения ключей, что в его специальной записной книжке появилась даже запись «Задачи для величественной теории криптографии». Отчасти Диффи занялся этой проблемой еще и потому, что в воображении ему виделся мир, весь опутанный проводами. Еще в 60-е годы министерство обороны США стало финансировать организацию, занимающуюся самыми современными и перспективными исследованиями — Управление перспективных исследований<a href="#note_27">[28]</a> (ARPA), и одна из задач, стоящих перед Управлением, заключалась в том, чтобы найти способ объединить компьютеры военного назначения, находящиеся на значительных расстояниях друг от друга. Это позволило бы в случае повреждения или выхода из строя какого-либо компьютера передать решаемые им задачи другому компьютеру в сети. Основной целью являлось создание более надежной и стойкой к ядерному удару инфраструктуры имеющихся в Пентагоне компьютеров, но эта сеть также позволила бы ученым пересылать друг другу сообщения и выполнять вычисления, используя резервные мощности удаленных компьютеров. Сеть ARPANet была создана в 1969 году, а к концу этого же года четыре рабочих места уже стали объединены. ARPANet постоянно расширялся, и в 1982 году на ее основе появился Интернет. В конце 80-х доступ к Интернету получили пользователи, не являющиеся сотрудниками учебных заведений и правительственными служащими; с этого момента число пользователей стало быстро возрастать. Сегодня более сотни миллионов людей используют Интернет для обмена информацией и отправки сообщений по электронной почте.</p><p>Еще когда ARPANet пребывал во младенческом возрасте, Диффи оказался достаточно прозорлив, чтобы предсказать появление информационной «супермагистрали» и того, что произойдет цифровая революция. В один прекрасный день у обычных людей появятся собственные компьютеры, и эти компьютеры будут соединены между собой по телефонным линиям. Диффи был убежден, что если люди будут пользоваться своими компьютерами для обмена сообщениями по электронной почте, то они должны обладать правом зашифровывать их для обеспечения секретности переписки. Однако для зашифровывания требуется безопасный обмен ключами. Если даже правительства и крупные корпорации испытывали трудности с распределением ключей, то население сочло бы это попросту невозможным и фактически оказалось бы лишено права на приватность.</p><p>Диффи представил себе, что двое незнакомых людей встретились в Интернете, и задался вопросом, как они могли бы послать друг другу зашифрованное сообщение? А если человек захочет приобрести товары через Интернет? Каким образом он мог бы передать по электронной почте письмо с зашифрованными данными своей кредитной карточки так, чтобы только продавец интернет-магазина смог расшифровать их? По всему выходило, что обоим участникам и в первом, и во втором случае следует пользоваться ключом, но как можно было бы обменяться ключами безопасным образом?</p><p>Число случайных контактов и количество передаваемых пользователями по электронной почте сообщений будет огромным, и это означает, что распределение ключей окажется практически невыполнимым. Диффи был полон опасений, что необходимость распределения ключей не позволит широким массам обеспечить конфиденциальность личных данных, хранящихся в компьютере и передаваемых по электронной почте, и им завладела идея поиска решения данной проблемы.</p><p>В 1974 году Диффи, тогда еще странствующий криптограф, посетил исследовательскую лабораторию Томаса Дж. Уотсона компании 1ВМ, где его попросили сделать доклад. Его выступление касалось различных стратегий решения задачи распределения ключей, но все его идеи были чисто умозрительными, и настроение аудитории было скептическим. Единственный положительный отзыв на доклад Диффи был дан Аланом Конхеймом, одним из старших экспертов по криптографии компании IВМ, упомянувшим, что кто-то не так давно приезжал в лабораторию и прочел лекцию, посвященную проблеме распределения ключей. Тем докладчиком был Мартин Хеллман, профессор Стэнфордского университета в Калифорнии. В тот же вечер Диффи сел в свой автомобиль и отправился на западное побережье, за 5000 км, чтобы встретиться с единственным человеком, который, похоже, как и он, разделял его увлеченность. Союз Диффи и Хеллмана станет одним из самых плодотворных в криптографии.</p><p>Мартин Хеллман родился в 1945 году в еврейском квартале Бронкса, но, когда ему исполнилось четыре года, его семья переехала в другой район, где жили преимущественно ирландцы-католики. Как говорил Хеллман, это навсегда изменило его отношение к жизни: «Другие дети ходили в церковь, и там они узнали, что евреи убили Христа; из-за этого меня звали «Христоубийцей» и нередко били. Сначала мне хотелось быть таким же, как и другие дети: хотелось, чтобы у меня была рождественская елка и рождественские подарки. Но потом я понял, что таким же я быть не смогу, и тогда, в целях самозащиты, я занял позицию «а кому хочется быть похожим на других?» Свой интерес к шифрам Хеллман относит на счет стремления быть не похожим на других. Его коллеги говорили ему, что он сошел с ума, решив заняться исследованиями по криптографии, потому что его конкурентом будет АНБ с его многомиллиардным бюджетом. Как мог он надеяться найти что-то, чего им еще не было известно? А если даже он что-нибудь и обнаружит, АНБ тут же это засекретит.</p><p>Когда Хеллман приступил к исследованиям, он наткнулся на книгу «Взломщики кодов» историка Дэвида Кана. В этой книге впервые подробно рассказывается о развитии шифров, и в этом качестве она являлась прекрасным учебником для начинающих криптографов. «Взломщики кодов» была единственным помощником Хеллмана вплоть до сентября 1974 года, когда ему неожиданно позвонил Уитфилд Диффи, только что пересекший весь контитент, чтобы встретиться с ним. Хеллман никогда прежде не слышал о Диффи и с неохотой согласился уделить ему полчаса попозже днем. Но к концу встречи Хеллман понял, что Диффи был самым знающим человеком, которого он когда-либо встречал. И это чувство было обоюдным. Как вспоминает Хеллман: «Я пообещал своей жене, что буду дома, чтобы присмотреть за детьми, поэтому он пошел со мной, и мы вместе пообедали. Он уехал где-то за полночь. Мы совершенно разные, он гораздо больше нигилист, чем я, но в конечном счете наше несходство пошло нам обоим только на пользу. Для меня это оказалось словно глоток свежего воздуха. Работать «в вакууме» было поистине тяжело».</p><p>Поскольку Хеллману не выделяли значительных средств, у него не было возможности нанять на работу своего нового единомышленника в качестве исследователя. Вместо этого Диффи был зачислен как аспирант. Теперь уже они вместе, Хеллман и Диффи, приступили к изучению проблемы распределения ключей, отчаянно пытаясь найти альтернативу неинтересной задаче физической перевозки ключей на большие расстояния. Через некоторое время к ним присоединился Ральф Меркль, сбежавший из другой исследовательской группы, руководитель которой не выражал никакой симпатии к неосуществимой мечте решить проблему распределения ключей. Говорит Хеллман:</p><cite><p>Ральф, как и мы, хотел быть дураком. А единственным способом выбраться при начальном поиске — это быть дураком, поскольку только дураки не прекращают своих попыток. У вас появилась идея под номером 1, вы возбуждены, а она не оправдала надежд. Потом у вас появилась идея под номером 2, вы снова возбуждены, а она опять не оправдала надежд. Затем у вас появилась идея под номером 99, вы вновь чувствуете себя возбужденным, но и она не сработала. Только глупец ощутит возбуждение от сотой идеи, но может потребоваться проверить 100 предположений, прежде чем одно принесет свои плоды. Если только вы не глупы в достаточной мере, чтобы ощущать возбуждение, у вас не будет ни стимула, ни энергии, чтобы довести дело до конца. Бог вознаграждает дураков.</p></cite><p>В целом, проблема распределения ключей является классическим парадоксом. Если два человека хотят обменяться секретным сообщением по телефону, отправитель должен его зашифровать. Чтобы зашифровать секретное сообщение, отправитель должен воспользоваться ключом, который сам является секретом, поэтому возникает проблема передачи секретного ключа получателю, чтобы передать секретное сообщение. Короче говоря, до того, как два человека смогут передать друг другу секрет (зашифрованное сообщение), оба они уже должны обладать этим секретом (ключом).</p><p>Рассматривая проблему распределения ключей, полезно представить себе Алису, Боба и Еву, трех вымышленных лиц, ставших нарицательными персонажами при обсуждении вопросов криптографии. В типичной ситуации Алиса хочет послать сообщение Бобу, или наоборот, а Ева старается перехватить его. Если Алиса отправляет конфиденциальные сообщения Бобу, она должна будет перед отправкой зашифровать каждое из сообщений, всякий раз используя иной ключ. Поскольку Алисе необходимо безопасным образом передавать ключи Бобу, иначе он не сможет расшифровать сообщения, она то и дело сталкивается с проблемой распределения ключей.</p><p>Один из способов решения этой проблемы заключается в том, что Алиса и Боб встречаются раз в неделю и обмениваются ключами, число которых должно быть достаточным для отправки сообщений в течение следующих семи дней. Обмен ключами при личной встрече является, несомненно, безопасным, но неудобным способом, ведь если Алиса или Боб заболеют, вся эта система перестанет работать. Или же Алиса и Боб могли бы нанять курьеров, что оказалось бы менее надежно и более затратно, но им хотя бы перепоручили часть работы. Так ли, иначе ли, но, похоже, распределения ключей не избежать. В течение двух тысяч лет это считалось аксиомой криптографии — непререкаемой истиной. Можно, однако, поставить мысленный эксперимент, который, кажется, опровергает эту аксиому.</p><p></p><p><strong><sub>Рис. 63 Мартин Хеллман</sub></strong></p><p>Представьте себе, что Алиса и Боб живут в стране, в которой почтовая система совершенно аморальна и почтовые служащие читают всю незащищенную корреспонденцию. В один прекрасный день Алиса хочет отправить очень личное сообщение Бобу. Она кладет его в железную коробку, закрывает ее и запирает ключом замок. Затем она кладет запертую на замок коробку в почтовый ящик, а ключ оставляет себе. Но когда коробку доставляют Бобу, он не может открыть ее, так как у него нет ключа. Алиса может положить ключ в другую коробку, замкнуть ее на замок и отправить Бобу, но без ключа ко второму замку он не сможет открыть вторую коробку и достать оттуда ключ, которым откроет первую коробку. Для Алисы, по-видимому, единственный путь обойти эту проблему — это сделать дубликат своего ключа и заранее передать его Бобу, когда они встретятся за чашечкой кофе. До этого момента я просто переформулировал ту же старую задачу в новых условиях. Избежать распределения ключей кажется логически невозможным; если Алиса хочет запереть что-то в коробке так, чтобы только Боб мог открыть ее, она, безусловно, должна дать ему дубликат ключа. Или, на примере криптографии, если Алиса хочет зашифровать сообщение таким образом, чтобы только Боб мог расшифровать его, она должна передать ему копию ключа. Обмен ключами является неизбежной частью шифрования — или все-таки нет?</p><p>Теперь представим следующую картину. Как и прежде, Алиса хочет отправить очень личное сообщение Бобу. Она опять кладет свое секретное сообщение в железную коробку, запирает ее на замок и посылает Бобу. Когда коробка приходит, Боб навешивает свой собственный замок и высылает коробку обратно Алисе. Когда Алиса получит коробку, она уже заперта на два замка. Алиса снимает свой замок, оставляя на коробке только замок Боба, после чего посылает коробку назад Бобу. И вот здесь-то и заключается принципиальная разница: теперь Боб может открыть коробку, поскольку она заперта только на его собственный замок, к которому он один имеет ключ.</p><p>Значение этой небольшой истории огромно. В ней показано, что два человека могут безопасным образом обмениваться секретным сообщением, и при этом необходимости в обмене ключом нет. Впервые у нас появилось указание, что обмен ключами может не являться обязательной частью криптографии. Мы можем дать другое истолкование истории применительно к шифрованию. Алиса использует свой собственный ключ, чтобы зашифровать сообщение Бобу, который в свою очередь зашифровывает его уже своим ключом и возвращает его обратно. Когда Алиса получает дважды зашифрованное сообщение, она убирает свое шифрование и отсылает назад сообщение Бобу, который после этого может убрать уже свое шифрование и прочитать сообщение.</p><p>Кажется, что проблема распределения ключей может быть решена, поскольку в схеме с двойным зашифровыванием не требуется обмена ключами. Существует, однако, фундаментальное препятствие реализации системы, при которой Алиса зашифровывает, Боб зашифровывает, Алиса расшифровывает и Боб расшифровывает. Проблема состоит в том, в каком порядке выполняются зашифровывания и расшифровывания. Вообще говоря, порядок зашифровывания и расшифровывания является принципиальным и должен подчиняться принципу «последним пришел, первым ушел». Другими словами, последний этап при зашифровывании должен быть первым этапом при расшифровывании. В вышеприведенной же последовательности действий последним выполнял зашифровывание Боб, и поэтому при расшифровывании этот этап должен выполняться первым, но первой убирала свое шифрование Алиса — до того, как это сделал Боб. Важность порядка выполнения действий проще всего понять путем проверки чего-то такого, что мы выполняем каждый день. Утром мы надеваем носки, а затем ботинки, а вечером сначала снимаем ботинки, и только потом носки — не удастся снять носки раньше ботинок. Мы обязаны подчиняться принципу «последним пришел, первым ушел».</p><p>Некоторые самые элементарные шифры, такие как шифр Цезаря, являются настолько простыми, что порядок неважен. Однако в 70-х годах казалось, что любая форма стойкого шифрования должна подчиняться правилу «последним пришел, первым ушел». Если сообщение зашифровано ключом Алисы, а затем ключом Боба, то его необходимо вначале расшифровывать ключом Боба, а только потом — ключом Алисы. Порядок является критичным даже с одноалфавитным шифром замены. Представьте, что у Алисы и Боба имеются свои собственные ключи, как показано на следующей странице, и давайте взглянем, что случится, если порядок неправильный. Алиса использует свой ключ, чтобы зашифровать сообщение Бобу, затем Боб повторно зашифровывает то, что получилось, используя свой ключ; Алиса пользуется своим ключом, чтобы провести частичную расшифровку, и наконец, Боб своим ключом старается полностью расшифровать сообщение.</p><p></p><p>В результате получается бессмыслица. Вы можете, однако, сами проверить, что если расшифровывание будет производиться в обратном порядке — вначале Бобом, а затем Алисой, — то есть соблюдаться правило «последним пришел, первым ушел», то в результате будет получено исходное сообщение. Но если порядок настолько важен, то почему же, казалось бы, работала система с замками в шуточной истории о запертых коробках? Ответ заключается в том, что при использовании замков порядок неважен. Я могу навесить на коробку двадцать замков и отпирать их в любом порядке — в конце коробка будет открыта. К сожалению, системы шифрования в том, что касается порядка, оказываются гораздо более чувствительными, чем замки.</p><p>Несмотря на то что на практике принцип запертой на два замка коробки работать не будет, он вдохновил Диффи и Хеллмана на поиск способа, позволяющего избежать проблемы распределения ключей. Месяц за месяцем они старались найти решение. Хотя все предположения оканчивались ничем, они вели себя словно форменные дураки и настойчиво продолжали поиски. В своих исследованиях они занялись проверкой различных математических <i>функций.</i> Функция — это любая математическая операция, которая преобразует одно число в другое число. Например, «удвоение» представляет собой один из видов функции, поскольку с ее помощью число 3 превращается в число 6, а число 9 — в 18. Более того, мы можем рассматривать все виды компьютерного шифрования как функции, так как с их помощью одно число (открытый текст) преобразуется в другое число (шифртекст).</p><p>Большинство математических функций относится к двусторонним функциям, поскольку их легко применять при вычислениях в прямом и обратном направлении. К примеру, «удваивание» является двусторонней функцией, поскольку с ее помощью можно без труда образовать новое число, вдвое увеличив исходное число, и так же просто применить функцию в обратном направлении и вернуться от удвоенного к исходному числу. Так, если мы знаем, что результатом удваивания является число 26, то совершенно очевидно, что, чтобы найти исходное число — 13, следует применить данную функцию в обратном направлении. Самый простой способ понять, что такое двусторонняя функция, — это рассмотреть ее на примере повседневной деятельности. Включение освещения является функцией, так как при этом загорается лампочка. Эта функция — двусторонняя, поскольку если выключатель включен, то его легко и выключить, погасив тем самым горящую лампочку.</p><p>Но Диффи и Хеллман не интересовались двусторонними функциями. Они обратили свое внимание на односторонние функции. Как следует из названия, одностороннюю функцию легко вычислить в прямом направлении, но очень сложно в обратном. Другими словами, двусторонние функции обратимы, а односторонние функции необратимы. И опять-таки самый простой способ показать, что такое односторонняя функция, — это рассмотреть ее на примере повседневной деятельности. Смешивание желтой и синей красок для получения зеленой краски является односторонней функцией, поскольку краски смешать несложно, но вот разделить их после этого снова на исходные невозможно. Односторонней функцией также будет разбивание яйца: разбить яйцо легко, но вернуть его в исходное состояние уже невозможно. Из-за этого односторонние функции иногда называются функциями Шалтай-Болтая.</p><p><i>Модулярная арифметика</i>, иногда в школе называемая <i>арифметикой, оперирующей с абсолютными значениями чисел</i>, является разделом математики, который богат односторонними функциями. В модулярной арифметике математики имею дело с циклически замкнутыми конечными группами чисел, подобно числам на циферблате часов. Например, на рис. 64 показан циферблат часов с модулем 7, на котором имеется только 7 цифр от 0 до 6. Чтобы вычислить 2 + 3 по модулю 7 (или mod 7), мы возьмем в качестве отправной точки 2 и передвинемся на 3 позиции, получив в результате 5, то есть получим тот же самый ответ, что и в обычной арифметике. Чтобы вычислить 2 + 6 по модулю 7, мы возьмем в качестве начальной точки 2 и передвинемся на 6 позиций, но на сей раз мы обойдем весь циферблат и окажемся на 1, а это уже не тот результат, который мы получили бы в обычной арифметике. Эти результаты могут быть выражены в следующем виде:</p><p>2 + 3 = 5 (mod 7) и 2 + 6 = 1 (mod 7)</p><p>Модулярная арифметика сравнительно проста, и на самом деле мы пользуемся ею ежедневно, когда говорим о времени. Если сейчас 9 часов, а у нас назначена встреча, которая состоится через 8 часов, мы скажем, что встреча произойдет в 5, а не в 17 часов.</p><p>Мы в уме сосчитали 9 + 8 по (mod 12). Представьте себе, циферблат часов, посмотрите на 9, а затем отсчитайте 8 делений, и вы остановитесь на 5:</p><p>9 + 8 = 5 (mod 12)</p><p>Математики, вместо того чтобы представлять себе циферблаты на часах, часто выбирают кратчайший путь, выполняя модулярные вычисления следующим образом. Вначале вычисление проводится по правилам обычной арифметики. Затем, если мы хотим узнать ответ по (mod <i>х</i>), мы делим результат, полученный на предыдущем этапе, на <i>х</i> и записываем остаток. Этот остаток и является ответом по (mod <i>x</i>). Чтобы найти ответ в примере 11 x 9 (mod 13), мы поступим следующим образом:</p><p>11 х 9 = 99</p><p>99 + 13 = 7, остаток 8</p><p>11 x 9 = 8 (mod 13)</p><p>Функции, с которыми работают в модулярной арифметике, ведут себя хаотичным образом, что, в свою очередь, иногда делает их односторонними функциями. Это становится очевидным, если сравнить простую функцию в обычной арифметике с этой же простой функцией, но в модулярной арифметике. В первой арифметике данная функция будет двусторонней и легко вычисляемой в обратном направлении; во второй арифметике она станет односторонней, и обратные вычисления провести будет сложно. В качестве примера возьмем функцию 3<i><sup>х</sup>.</i> Это означает следующее: взять число <i>х</i>, а затем умножить 3 само на себя <i>х</i> раз, в результате получится новое число. Например, если <i>х</i> = 2, и мы выполняем функцию, тогда:</p><p>3<sup>x</sup> = З<sup>2</sup> = 3 х 3 = 9.</p><p>Другими словами, функция преобразует 2 в 9. В обычной арифметике по мере увеличения <i>х</i> возрастает также и значение функции. Поэтому если нам дано значение функции, то сравнительно несложно выполнить обратное преобразование и найти исходное значение.</p><p>Например, если результат равен 81, мы можем установить, что <i>х </i>равно 4, потому что 3<sup>4</sup> =_81. Если мы ошибемся и предположим, что <i>х</i> равно 5, путем вычисления мы можем определить, что 3<sup>5</sup> = 243, а это подскажет нам, что мы выбрали слишком большое значение <i>х</i>. После этого мы уменьшим <i>х</i> до 4 и получим правильный ответ. Короче говоря, даже когда наше предположение неверно, мы можем исправить свою ошибку и получить точное значение х, выполнив тем самым обратное преобразование функции.</p><p>Однако в модулярной арифметике эта же самая функция ведет себя не так благоразумно. Представьте, что нам сообщают, что 3<sup>х</sup> по модулю 7 (mod 7) дает 1, и просят найти значение <i>х.</i> В голову ничего не приходит, поскольку мы, как правило, не знакомы с модулярной арифметикой. Мы можем предположить, что x = 5, и мы можем вычислить З<sup>5</sup> (mod 7). В ответе получится 5, что слишком много, так как нам нужно, чтобы в ответе было 1. Напрашивается желание уменьшать значения <i>х.</i> Но так мы будем двигаться неверным путем, поскольку в действительности ответ будет x = 6.</p><p></p><p><strong><sub>Рис. 64 Модулярная арифметика выполняется на конечном множестве чисел, которые можно рассматривать как числа на циферблате часов. В этом случае мы можем вычислить 6 + 5 по модулю 7, если взять в качестве исходной точки 6 и отсчитать 5 делений, в результате чего мы окажемся на цифре 4.</sub></strong></p><p>В обычной арифметике мы можем проводить проверку чисел и в состоянии понять, движемся ли мы в нужном направлении или выбранное направление неверно. Модулярная арифметика не дает нам</p><p>таких путеводных нитей, и выполнять обратное преобразование функции гораздо труднее. Зачастую, единственный способ выполнить обратное преобразование функции в модулярной арифметике — это составить таблицу, вычисляя значение функции для множества значений <i>х</i>, пока не будет найден нужный ответ. В таблице 25 показан результат вычисления нескольких значений функции для обычной и для модулярной арифметики. Здесь ясно видно хаотическое поведение функции, когда расчеты проводятся в модулярной арифметике. До тех пор пока мы имеем дело со сравнительно небольшими числами, составление такой таблицы лишь слегка утомительно, но как же мучительно тягостно создавать таблицу, если имеешь дело с такой, к примеру, функцией, как 453<sup>х</sup> (mod 21 997). Это классический пример односторонней функции, так как я могу выбрать значение для <i>х</i> и вычислить результирующее значение функции, но если я сообщу вам значение функции, скажем, 5787, у вас возникнут огромные трудности при обратном преобразовании функции и вычислении выбранного мною значения <i>х.</i> Чтобы провести вычисления и получить число 5787, мне понадобится лишь несколько секунд, вам же потребуются многие часы, чтобы составить таблицу и найти мое <i>х.</i></p><p><strong><sub>Таблица 25 Вычисленные значения функции 3<i><sup>x</sup></i>в обычной арифметике (ряд 2) и модулярной арифметике (ряд 3). В обычной арифметике функция растет непрерывным образом, в модулярной арифметике ее поведение крайне хаотично. </sub></strong></p><p></p><p>Спустя два года исследований в области модулярной арифметики и односторонних функций, «глупость» Хеллмана начала приносить плоды. Весной 1976 года он натолкнулся на алгоритм решения проблемы обмена ключами. За полчаса исступленной работы он доказал, что Алиса и Боб могут договориться о ключе, не встречаясь друг с другом, покончив, тем самым, с аксиомой, считавшейся непререкаемой в течение столетий. Идея Хеллмана основывалась на использовании односторонней функции вида <i>Y<sup>x</sup></i> (mod <i>Р).</i> Вначале Алиса и Боб договариваются о значениях чисел <i>Y</i> и <i>Р.</i> Подходят почти любые значения за исключением некоторых ограничений; так, например, <i>Y</i> должно быть меньше, чем <i>Р.</i> Эти значения несекретны, так что Алиса может позвонить Бобу и предложить, скажем, <i>Y =</i> 7 и <i>Р =</i> 11. Даже если телефонная линия ненадежна и подлая Ева слышит этот разговор, это, как мы увидим позже, не имеет значения. Алиса и Боб договорились об односторонней функции <i>Т<sup>X</sup></i> (mod 11). Сейчас они уже могут начать процесс создания секретного ключа. Поскольку их работа идет параллельно, я объясню их действия в двух колонках таблицы 26.</p><p><strong><sub>Таблица 26 Общей односторонней функцией является Yx (mod Р). Алиса и Боб выбрали значения для Y и Р и тем самым договорились об односторонней функции 7<sup>х</sup> (mod 11).</sub></strong></p><p></p><p>Внимательно изучив этапы в таблице 26, вы увидите, что и не встречаясь Алиса и Боб договорились об одном и том же ключе, который они могут использовать для зашифровывания сообщения. Например, они могут использовать свое число 9 в качестве ключа для DES-шифрования. (В действительности, в DES применяются в качестве ключа гораздо большие числа, и процесс обмена, описанный в таблице 26, будет выполняться с гораздо большими числами, соответственно давая в результате большой ключ DES.) Воспользовавшись схемой Хеллмана, Алиса и Боб смогли договориться о ключе; им не пришлось встречаться, чтобы шепотом сообщить этот ключ друг другу. Исключительность достижения состоит в том, что секретный ключ был создан путем обмена информацией по обычной телефонной линии. Но если Ева подключилась к этой линии, то будет ли также и она знать ключ?</p><p>Проверим схему Хеллмана с позиции Евы. Если она подключилась к линии, ей станут известны только следующие факты: что функцией является <i>Т<sup>X</sup></i>(mod 11), что Алиса отправила α = 2 и что Боб отправил β = 4. Чтобы определить ключ, она должна сделать либо то, что делает Боб, который, зная <i>В</i>, преобразует в ключ α, либо то, что делает Алиса, которая, зная <i>А,</i> преобразует в ключ β.</p><p>Однако Ева не знает, чему равны <i>А</i> и <i>В,</i> потому что Алиса и Боб не обменивались значениями этих чисел, держа их в секрете. Ева находится в безвыходном положении. У нее есть только одна надежда: теоретически, так как функция ей известна, она могла бы вычислить <i>А</i> из α, поскольку а представляет собой результат подстановки в нее <i>А</i>, или же она могла бы вычислить <i>В</i> из β, поскольку β представляет собой результат подстановки в нее <i>В.</i> К сожалению для Евы, эта функция является односторонней, так что хотя для Алисы преобразовать <i>А</i> в α, а для Боба — <i>В</i> в β не представляет сложности, Ева сможет выполнить обратное преобразование с огромным трудом, особенно в случае очень больших чисел.</p><p>Боб и Алиса передали друг другу ровно столько информаци, сколько нужно, чтобы дать им возможность создать ключ, но Еве для вычисления ключа ее оказывается недостаточно. Чтобы показать, как работает схема Хеллмана, представьте шифр, в котором в качестве ключа каким-то образом используется цвет. Допустим вначале, что у всех, включая Алису, Боба и Еву, имеется трехлитровая банка, в которую налит один литр желтой краски. Если Алиса и Боб хотят договориться о секретном ключе, они добавляют в свои банки по одному литру своей собственной секретной краски. Алиса может добавить краску фиолетового оттенка, а Боб — малинового. После этого каждый из них посылает свою банку с перемешанным содержимым другому. И наконец, Алиса берет смесь Боба и подливает в нее один литр своей секретной краски, а Боб берет смесь Алисы и добавляет в нее один литр своей секретной краски. Краска в обеих банках теперь станет одного цвета, поскольку в каждой находится по одному литру желтой, фиолетовой и малиновой краски. Именно этот цвет, полученный при добавлении дважды в банки красок, и будет использоваться как ключ. Алиса понятия не имеет, какую краску добавил Боб, а Боб также не представляет, какую краску налила Алиса, но оба они достигли одного и того же результата. Между тем Ева в ярости. Даже если она и сумеет перехватить банки с промежуточным продуктом, ей не удастся определить конечный цвет, который и будет согласованным ключом. Ева может видеть цвет краски, полученной при перемешивании желтой краски и секретной краски Алисы в банке, отправленной Бобу, и она может видеть цвет краски, полученной при перемешивании желтой краски и секретной краски Боба в банке, отправленной Алисе, но чтобы найти ключ, ей, на самом деле, необходимо знать цвета исходных секретных красок Алисы и Боба. Однако, рассматривая банки с перемешанными красками, Ева не сможет определить секретные краски Алисы и Боба. Даже если она возьмет образец одной из смешанных красок, ей не удастся разделить ее на исходные краски, чтобы найти секретную, поскольку смешивание краски является односторонней функцией.</p><p>Озарение снизошло на Хеллмана глубокой ночью, так что, когда он закончил расчеты, было уже слишком поздно, чтобы звонить Диффи и Мерклю. Ему пришлось ждать утра, когда он смог продемонстрировать свое открытие двум единственным в мире людям, кто верил в возможность решения проблемы распределения ключей. «Осенило меня, — говорит Хеллман, — но в разработке принципов участвовали мы все вместе». Диффи сразу же осознал всю мощь открытия Хеллмана: «Марти объяснил свою систему обмена ключами во всей ее простоте. Когда я слушал его, то понял, что ка-кое-то время эта идея крутилась и у меня в голове, но так и не выкристаллизовалась».</p><p>Как известно, схема обмена ключами Диффи-Хеллмана-Меркля дает возможность Алисе и Бобу установить секретную переписку посредством открытых переговоров. Это было одно из самых алогичных открытий в истории науки, вынудившее криптографический истэблишмент переработать правила шифрования. Диффи, Хеллман и Меркль во всеуслышание сообщили о своем открытии на национальной компьютерной конференции в июне 1976 года, чем поразили аудиторию, состоящую из экспертов по криптокрафии и криптоанализу. На следующий год они подали заявку на патент. Впредь Алисе и Бобу больше не было нужды встречаться, чтобы обменяться ключом. Вместо этого Алиса могла просто позвонить Бобу по телефону, обменяться с ним парой чисел, сообща создать секретный ключ, а затем приступить к зашифровыванию.</p><p>Хотя обмен ключами Диффи-Хеллмана-Меркля оказался гигантским шагом вперед, сама система была несовершенной, поскольку по своей сути оказалась неудобной. Представим, что Алиса живет на Гавайях и хочет послать сообщение по электронной почте Бобу, живущему в Стамбуле. Боб в этот момент, возможно, спит, но электронная почта удобна тем, что Алиса может послать сообщение в любой момент и оно будет находиться в компьютере Боба, ожидая, пока он не проснется. Однако, если Алиса желает зашифровать свое сообщение, то ей нужно согласовать ключ с Бобом, а чтобы осуществить обмен ключами, для Алисы и Боба лучше одновременно находиться в режиме онлайн, так как для создания ключа требуется обоюдный обмен информацией. Так что Алисе придется ждать, пока проснется Боб. Как вариант, Алиса могла бы отправить свою часть и ожидать 12 часов ответа Боба; при получении ответа Боба ключ будет создан, и Алиса сможет, если сама не будет спать в это время, зашифровать и отправить сообщение. Так или иначе, но система обмена ключами Хеллмана затрудняет непринужденное общение по электронной почте.</p><p>Хеллман разрушил один из догматов криптографии и доказал, что Бобу и Алисе не нужно встречаться, чтобы условиться о секретном ключе. Теперь уже кто-нибудь просто обязан был предложить более эффективную схему, позволяющую справиться с проблемой распределения ключей.</p><p>Мэри Фишер никогда не забудет тот день, когда Уитфилд Диффи впервые пригласил ее на свидание: «Он знал, что я была фанатично предана космосу, и поэтому предложил пойти посмотреть на запуск ракеты. Уит объяснил, что сегодня вечером он ушел, чтобы увидеть старт Скайлэба, и мы ехали всю ночь и прибыли туда примерно в 3 утра. Как в те дни говорили, «птичка уже летела к нам». У Уита было удостоверение представителя прессы, но у меня его не было. Поэтому, когда потребовали мое удостоверение личности и спросили, кто я такая, Уит ответил: «Моя жена». Это было 16 ноября 1973 года». В конце концов, они действительно поженились, и в первые годы Мэри поддерживала мужа во время его криптографических раздумий. Диффи все еще работал в качестве аспиранта, получая скудное жалованье. И чтобы свести концы с концами, Мэри, археолог по образованию, нанялась на работу в Бритиш Пертолеум.</p><p>Когда Мартин Хеллман открыл свой метод обмена ключами, Уитфилд Диффи разрабатывал совершенно иной подход к решению проблемы распределения ключей. У него часто случались долгие периоды бесплодных раздумий во время одного из которых, в 1975 году, он был настолько расстроен, что уверял Мэри, что он неудачник, который никогда ничего не добьется, и даже предложил ей найти кого-нибудь другого. Но в ответ Мэри возразила, что она беспредельно верит в него, а спустя всего лишь две недели Диффи предложил поистине блестящую идею.</p><p>Он до сих пор вспоминает, как идея мелькнула у него в голове, а затем чуть было не исчезла: «Я спускался вниз по лестнице, чтобы купить кока-колу, и почти забыл об идее. Я помнил, что думал о чем-то интересном, но совершенно не мог припомнить, что же это было. Затем она всплыла в памяти, и я почувствовал прилив возбуждения с настоящим адреналиновым шоком. Впервые с тех пор, как я начал заниматься криптографией, я понимал, что обнаружил что-то действительно стоящее. Все, что мне удавалось до сегодняшнего дня найти в этой области, представлялось просто техническими деталями». Это случилось в полдень, и Диффи пришлось томиться ожиданием еще пару часов, пока не вернулась Мэри. «Уит ждал у двери», — вспоминает она. «Он сказал, что должен что-то сообщить мне, и у него было забавное выражение лица. Я вошла, и он произнес: «Сядь, пожалуйста, я хочу поговорить с тобой. Я думаю, что сделал великое открытие; я знаю, что я — первый человек, который сделал это». В этот момент весь мир для меня замер. Я почувствовала себя так, словно я — героиня голливудского фильма».</p><p>Диффи придумал новый вид шифра — шифра, который включал в себя так называемый <i>асимметричный ключ.</i> Все те алгоритмы шифрования, о которых до сих пор рассказывалось в этой книге, были <i>симметричными</i>, то есть расшифровывание представляло собой просто процесс, обратный зашифровыванию. К примеру, чтобы зашифровать сообщение, в шифровальной машине «Энигма» используется определенный ключ, а получатель, чтобы его расшифровать, использует идентичную шифровальную машину с тем же самым ключом. Точно так же при зашифровывай и и с помощью алгоритма DES применяется ключ для выполнения 16 раундов шифрования, а затем при расшифровывании с помощью алгоритма DES используется этот же ключ для выполнения 16 раундов, только в обратном порядке. Оба, и отправитель, и получатель, фактически обладают равным знанием, и оба они используют один и тот же ключ для зашифровывания и расшифровывания, то есть их взаимоотношение является симметричным. С другой стороны, в системе с асимметричным ключом, как это следует из названия, ключ для зашифровывания и ключ для расшифровывания не идентичны. При использовании асимметричного шифра, если Алиса знает ключ для зашифровывания, она сможет зашифровать сообщение, но вот расшифровать его не сумеет. Чтобы расшифровать сообщение, Алиса должна иметь доступ к ключу для расшифровывания. Вот в этом-то различии между ключом для зашифровывания и ключом для расшифровывания и заключается особенность асимметричного шифра.</p><p>Здесь стоит подчеркнуть, что, хотя Диффи сформулировал общую концепцию асимметричного шифра, но на самом деле никакого конкретного примера такого шифра у него не было. Но даже просто концепция асимметричного шифра стала революционной. Если бы криптографы смогли найти действительно работающий асимметричный шифр — систему, которая отвечает требованиям Диффи, — то для Алисы и Боба это будет иметь огромное значение. Алиса могла бы создавать свою собственную пару ключей: один ключ для зашифровывания и один — для расшифровывания. Если предположить, что асимметричный шифр является видом компьютерного шифрования, тогда Алисин ключ для зашифровывания является одним числом, а ключ для расшифровывания — другим числом. Ключ для расшифровывания Алиса хранит в секрете, поэтому он обычно называется <i>секретным ключом</i> Алисы. В то же время свой ключ для зашифровывания она предает гласности, так что все имеют к нему доступ, вот почему он обычно называется <i>открытым ключом</i> Алисы. Если Боб хочет послать Алисе сообщение, он просто ищет ее открытый ключ, который будет указан в чем-то сродни телефонному справочнику. Затем Боб берет этот открытый ключ Алисы и зашифровывает сообщение. Он посылает зашифрованное сообщение Алисе, и, когда оно приходит, Алиса может расшифровать его с помощью своего секретного ключа для расшифровывания. Точно так же, если зашифрованное сообщение Алисе хотят послать Чарли, Дон или Эдвард, они также могут отыскать открытый ключ Алисы для зашифровывания, и в каждом случае только Алиса имеет доступ к секретному ключу, необходимому, чтобы расшифровать сообщения.</p><p>Важным достоинством этой системы является то, что здесь нет той суматохи, как при использовании алгоритма обмена ключами Диффи-Хеллмана-Меркля. Бобу больше нет нужды ждать, пока придет информация от Алисы, прежде чем он сможет зашифровать и послать ей сообщение; ему просто надо найти ее открытый ключ для зашифровывания. К тому же асимметричный шифр еще и позволяет разрешить проблему распределения ключей. Алисе не требуется секретно доставлять открытый ключ для зашифровывания Бобу; напротив, она может теперь всем и всюду сообщать о своем открытом ключе для зашифровывания. Она хочет, чтобы весь мир знал ее открытый ключ для зашифровывания, чтобы любой мог воспользоваться им и слать ей зашифрованные сообщения. Но в то же время, даже если весь мир будет знать открытый ключ Алисы, ни один человек, включая Еву, не сможет расшифровать зашифрованные этим ключом сообщения, поскольку знание открытого ключа не поможет в расшифровывании. Кстати, после того как Боб зашифрует сообщение с помощью открытого ключа Алисы, даже он не сможет расшифровать его. Одна лишь Алиса, у которой имеется секретный ключ, сумеет расшифровать сообщение.</p><p>То есть здесь, в отличие от традиционного симметричного шифра, когда Алисе приходилось идти на все, чтобы безопасным образом передать ключ для зашифровывания Бобу, ситуация прямо противоположная. В симметричном шифре ключ для зашифровывания и ключ для расшифровывания один и тот же, так что Алиса и Боб должны были принимать изрядные меры предосторожности, чтобы ключ не попал в руки Евы. Это — основа основ в проблеме распределения ключей.</p><p>Если вернуться к аналогии с замками, то шифрование с открытым ключом можно представить себе следующим образом. Любой способен запереть замок, просто защелкнув его, чтобы он закрылся, но отпереть его может только тот, у кого есть ключ. Запереть замок (зашифровывание) легко, почти все могут это сделать, но открыть его (расшифровывание) имеет возможность только владелец ключа. Понимание того, как защелкнуть замок, чтобы он закрылся, ничего не скажет вам, как его отпереть. Можно провести и более глубокую аналогию. Представьте, что Алиса проектирует замок и ключ. Она бдительно охраняет ключ, но при этом изготавливает тысячи дубликатов замков и рассылает их по почтовым отделениям по всему миру. Если Боб хочет послать сообщение, он кладет его в коробку, идет на местный почтамт, просит «замок Алисы» и запирает им коробку. Теперь уже ему не удастся открыть коробку, но когда коробку получит Алиса, она сможет открыть ее своим единственным ключом. Замок и защелкивание его, чтобы он закрылся, эквивалентны общему ключу для зашифровывания, поскольку все имеют доступ к замкам и все могут воспользоваться замком, чтобы закрыть сообщение в коробке. Ключ от замка эквивалентен секретному ключу для расшифровывания, потому что он имеется только у Алисы, только она сможет открыть замок, и только она сможет получить доступ к находящемуся в коробке сообщению.</p><p>Эта система представляется простой, если рассматривать ее применительно к замкам, но далеко не так-то легко найти такую математическую функцию, которая выполняет то же самое действие, функцию, которую можно было бы включить в работоспособную криптографическую систему. Чтобы перейти от прекрасной идеи к практической реализации асимметричных шифров, кто-то должен найти подходящую математическую функцию. Диффи рассматривал специальный тип односторонней функции — функции, которая могла бы быть обратимой при особых обстоятельствах. В асимметричной системе Диффи Боб зашифровывает сообщение с помощью открытого ключа, но он не может расшифровать его — это, по сути, односторонняя функция. Однако Алиса сможет расшифровать сообщение, поскольку у нее есть секретный ключ — специальная порция информации, которая дает ей возможность провести обратное вычисление функции. Еще раз — замки являются хорошей аналогией — запирание замка представляет собой одностороннюю функцию, поскольку обычно сложно открыть замок, если только у вас нет специального инструмента (ключа) — в этом случае функция становится легко обратимой.</p><p>Диффи опубликовал основные принципы своей идеи летом 1975 года, после чего другие ученые присоединились к поискам подходящей односторонней функции, функции, которая отвечала бы критериям, требующимся для асимметричного шифра. Вначале все были настроены крайне оптимистично, но к концу года никто так и не смог найти подходящую кандидатуру. Шли месяцы, и все больше и больше создавалось впечатление, что специальных односторонних функций не существует. Казалось, что идея Диффи работала только в теории, но не на практике. Тем не менее к концу 1976 года команда Диффи, Хеллмана и Меркля произвела переворот в мире криптографии. Они убедили всех, что решение проблемы распределения ключей существует, и создали алгоритм обмена ключами Диффи-Хеллмана-Меркля — работоспособную, хотя и несовершенную систему, а также предложили концепцию асимметричного шифра — совершенную, но пока что неработоспособную систему. Свои исследования они продолжили в Стэнфордском университете, стараясь отыскать специальную одностороннюю функцию, которая позволила бы сделать асимметричные шифры реальностью. Однако найти ее им не удалось. Состязания по поиску асимметричного шифра выиграла другая троица исследователей, которая находилась за 5000 км от них, на восточном побережье Америки.</p><h3>Главные подозреваемые</h3><p>«Я вошел в кабинет Рона Ривеста, — вспоминает Леонард Адлеман, — и Рон держал в руках эту статью. Он начал было говорить: «Эти парни из Стэнфорда действительно сделали эту ерунду». А я в этот момент, помнится, подумал: «Это прекрасно, Рон, но мне бы хотелось поговорить о другом». Я совсем не знал истории криптографии, и меня совершенно не интересовало, о чем он говорит». Статью, которая привела Рона Ривеста в такое возбуждение, написали Диффи и Хеллман, и в ней была дана концепция асимметричных шифров. В конце концов, Ривес убедил Адлемана, что в этой проблеме может заключаться интересная математика, и они решили вместе попытаться найти одностороннюю функцию, которая удовлетворяла бы требованиям асимметричного шифра. К ним присоединился также Ади Шамир. Все трое были исследователями и работали в лаборатории вычислительной техники на восьмом этаже Массачусетского технологического института.</p><p>Ривест, Шамир и Адлеман составили великолепную команду. Ривест был специалистом в области теории вычислительных машин и систем; он обладал исключительной способностью впитывать новые идеи и применять их в самых неожиданных областях. Он всегда был в курсе последних научных статей, служивших источником его идей, то и дело предлагая причудливые и поразительные кандидатуры на лежащие в основе асимметричного шифра односторонние функции. Но в каждой из них обнаруживались изъяны. Шамир, еще один ученый в той же области, имел быстрый ум, необычайную проницательность и способность концентрироваться на сути проблемы. Он также регулярно генерировал идеи по созданию асимметричного шифра, но и они также неизменно оказывались ошибочными. Адлеман, математик, отличающийся огромным упорством и терпением, был занят преимущественно тем, что выискивал в идеях Ривеста и Шамира недостатки и слабые места, гарантируя тем самым, что они не станут впустую тратить время. Ривест и Шамир потратили год, предлагая новые идеи, а Адлеман — разбивая их вдребезги. Троица начала терять надежду, но они и не предполагали, что череда непрерывных неудач послужила необходимой частью их исследований, мягко направляя их из области чистой математики на более благодатную почву. В должное время их усилия были вознаграждены.</p><p>В апреле 1977 года Ривест, Шамир и Адлеман отмечали еврейскую Пасху в студенческом общежитии колледжа и выпили значительное количество вина Манишевич, а где-то около полуночи отправились по домам. Ривест не мог уснуть и, лежа на кровати, читал учебник по математике. Непроизвольно он начал размышлять над вопросом, который занимал его уже много недель: можно ли создать асимметричный шифр? Существует ли односторонняя функция, которую можно было бы обратить, только если у получателя есть некая специальная информация? Внезапно туман в голове стал рассеиваться, и на него снизошло откровение. Остаток ночи он провел, формализуя свою идею, и, еще до того, как наступил рассвет, практически написал законченную научную статью. Ривест сделал открытие, но состоялось оно только благодаря длившемуся целый год сотрудничеству с Шамиром и Адлеманом, а без них оказалось бы невозможным. Закончил статью Ривест перечислением авторов в алфавитном порядке: Адлеман, Ривест, Шамир.</p><p>На следующее утро Ривест передал статью Адлеману, который, как обычно, постарался ее растерзать, но на сей раз он не смог найти ни одной ошибки. Единственно, он раскритиковал список авторов.</p><p><i>«</i>Я попросил Рона, чтобы он убрал мое имя из статьи, — вспоминает Адлеман. — Я сказал ему, что это его открытие, а не мое. Но Рон отказался, и в результате завязался спор. Мы порешили, что я отправлюсь домой, поразмышляю над этим ночь и скажу, чего бы мне хотелось. На следующий день я вернулся и пред ложил Рону, чтобы он поставил меня третьим автором. Как мне сейчас вспоминается, тогда я думал, что эта статья будет самой неинтересной из всех, которые я когда-либо писал». Вряд ли Адлеман мог ошибиться сильнее. Алгоритм, получивший название RSA (Ривест, Шамир, Адлеман), а не ARS, стал важнейшим шифром в современной криптографии.</p><p>Перед тем как познакомиться с идеей Ривеста, напомним, что же искали ученые для создания асимметричного шифра:</p><p>(1) Алиса должна создать открытый ключ, который затем обнародует, так что Боб (и любой другой) смогут воспользоваться им, чтобы зашифровывать для нее сообщения. Поскольку открытый ключ является односторонней функцией, он должен быть таким, чтобы обратить эту функцию и расшифровать сообщения для Алисы не смог практически никто.</p><p>(2) Алисе, однако, необходимо расшифровывать присланные ей сообщения. Поэтому у нее должен иметься секретный ключ — некоторое количество специальной информации, которая позволит ей обратить действие открытого ключа. Тем самым Алиса (и лишь она одна) сумеет расшифровать все присланные ей сообщения.</p><p></p><p><strong><sub>Рис. 65 Рональд Ривест, Ади Шамир и Леонард Адлеман.</sub></strong></p><p>Душой асимметричного шифра Ривеста является односторонняя функция, основанная на модулярной функции, описанной ранее в этой главе. Односторонняя функция Ривеста может применяться для зашифровывания сообщения; к сообщению, которое в нашем случает является числом, применяется функция, и в результате получается шифртекст — другое число. Я не буду подробно описывать одностороннюю функцию Ривеста (для этого см. Приложение J) один особый аспект, известный просто как <i>N</i>, поскольку именно <i>N</i> делает при определенных обстоятельствах одностороннюю функцию обратимой и, тем самым, идеальной для применения в качестве асимметричного шифра.</p><p><i>N</i> важно, поскольку оно представляет собой изменяющийся элемент односторонней функции, благодаря чему каждый человек может выбирать различные значения N, образуя всякий раз различные односторонние функции. Чтобы выбрать свое собственное значение N, Алиса берет два простых числа, <i>р</i> и <i>q</i> перемножает их. Простое число — это число, у которого нет других делителей, кроме самого себя и 1. Например, 7 — это простое число, т. к. оно не делится без остатка ни на какое другое число, кроме 1 и 7. Точно так же и 13 — простое число, т. к. оно тоже не делится без остатка ни на какое другое число, кроме 1 и 13. А вот 8 уже является не простым, а составным числом, поскольку может делиться на 2 и на 4.</p><p>Итак, Алиса может выбрать свои простые числа, например, <i>р</i> = 17 159 и <i>q</i> = 10 247. Перемножая эти два числа, она получает 17 159 х 10 247 = 175 828 273. Полученное Алисой N фактически будет ее открытым ключом для зашифровывания, и она может напечатать его на своей визитной карточке, разместить в Интернете или опубликовать в справочнике открытых ключей вместе со значениями <i>N</i> других людей. Если Боб захочет зашифровать сообщение для Алисы, он отыскивает ее значение <i>N</i> (175 828 273), а затем вставляет его в одностороннюю функцию общего вида, которая также известна всем. Теперь у Боба есть односторонняя функция, сшитая с открытым ключом Алисы, поэтому ее можно назвать односторонней функцией Алисы. Чтобы зашифровать сообщение для Алисы, он берет одностороннюю функцию Алисы, вставляет сообщение, выписывает результат и отправляет его Алисе.</p><p>В этот момент зашифрованное сообщение становится секретным, поскольку никто не сможет расшифровать его. Сообщение было зашифровано с помощью односторонней функции, поэтому обращение односторонней функции и расшифровка сообщения по определению является исключительно трудным делом. Однако остается вопрос, как же Алиса сумеет его расшифровать? Чтобы прочитать присланные ей сообщения, у Алисы должен быть способ обращения односторонней функции. Ей необходимо иметь доступ к некоторой специальной порции информации, которая и даст ей возможность расшифровать сообщение. К счастью для Алисы, Ривест задумал и создал одностороннюю функцию таким образом, что она является обратимой для каждого, кто знает значения <i>p </i>и <i>q —</i> два простых числа, которые были перемножены для получения <i>N.</i> Хотя Алиса сообщила всем, что у нее <i>N</i> равняется 175 828 273, она не раскрыла значений <i>р</i> и <i>q,</i> поэтому только у нее есть специальная информация, необходимая для расшифровки своих сообщений.</p><p>Мы можем рассматривать <i>N</i> как открытый ключ — информация, которая доступна всем и каждому и необходимая для того, чтобы зашифровывать сообщения для Алисы. Тогда как <i>р</i> и <i>q</i> являются секретным ключом, доступным только Алисе, — информация, необходимая для расшифровывания этих сообщений.</p><p>Подробности того, как можно использовать <i>р</i> и <i>q</i> для обращения односторонней функции приведены в Приложении J. Имеется, однако, один вопрос, который следует решить не откладывая. Если все знают открытый ключ <i>N,</i> то разве нельзя найти <i>р</i> и <i>q</i> — секретный ключ — и прочесть сообщения Алисы? Как-никак, <i>N</i>было образовано из<i> р</i> и <i>q.</i> В действительности же оказывается, что если <i>N</i> достаточно велико, то из него практически невозможно вычислить <i>р</i> и <i>q,</i> и это, пожалуй, самый превосходный и элегантный аспект в асимметричном шифре RSA.</p><p>Алиса образовала <i>N,</i> выбрав <i>p</i>и<i>q</i>затем перемножив их вместе. Основной момент здесь заключается в том, что это по своей сути односторонняя функция. Чтобы продемонстрировать односторонний характер умножения простых чисел, мы можем взять два простых числа, например, 9419 и 1933, и перемножить их. Используя калькулятор, нам понадобится всего лишь несколько секунд, чтобы получить ответ 18 206 927. Однако, если вместо этого нам дадут число 18 206 927 и попросят найти простые множители (два числа, которые перемножили, чтобы получить 18 206 927), это займет у нас гораздо больше времени. Если вы сомневаетесь в том, насколько трудно находить простые множители, то примите во внимание следующее. Мне понадобилось лишь десять секунд, чтобы образовать число 1 709 023, но у вас с калькулятором в руках, чтобы найти простые множители, это займет добрую часть дня.</p><p>Считается, что данная система асимметричной криптографии, известная как RSA, является одним из видов <i>шифрования с открытым ключом.</i> Чтобы понять, насколько надежна RSA, мы можем проверить ее с точки зрения Евы и попробовать прочесть сообщение, посланное Алисой Бобу. Для того чтобы зашифровать сообщение для Боба, Алиса должна отыскать его открытый ключ. Для создания своего открытого ключа Боб берет выбранные им самим простые числа, <i>р<sub>B</sub></i> и <i>q<sub>B</sub></i>, и перемножает их, получая <i>N<sub>B</sub>.</i> Он хранит <i>р<sub>B</sub></i> и <i>q<sub>B</sub> </i>в секрете, ибо они составляют его секретный ключ для дешифровывания, но при этом публикует <i>N<sub>V</sub></i>, которое равно 408 508 091. Так что Алиса подставляет открытый ключ Боба <i>N<sub>B</sub></i> в общую одностороннюю функцию шифрования, а затем зашифровывает свое сообщение ему. Когда приходит зашифрованное сообщение, Боб может обратить функцию и расшифровать его, используя значения <i>р<sub>в </sub></i>и<i> q<sub>B</sub>, </i>которые составляют его секретный ключ. Между тем Ева сумела во время передачи сообщения перехватить его. Ее единственная надежда расшифровать сообщение — обратить одностороннюю функцию, а это возможно только в том случае, если она знает <i>р<sub>B</sub></i> и <i>q<sub>B</sub>.</i> Боб держит <i>рv</i> и <i>qv</i> в секрете, но, как и всем остальным, Еве известно <i>N</i><sub>B</sub>, равное 408 508 091. Далее Ева пытается найти значения <i>р<sub>B</sub></i> и <i>q<sub>B</sub></i> путем подбора чисел, которые при перемножении дают 408 508 091 — процесс, известный как <i>разложение на множители.</i></p><p>Операция разложения на множители отнимает очень много времени, но сколько же на самом деле понадобится Еве времени, чтобы найти сомножители числа 408 508 091? Существуют различные способы разложения на множители числа <i>N<sub>B</sub>.</i> Хотя одни из них быстрее, а другие — медленнее, но, по сути, во всех них проверяется, делится ли <i>N<sub>B</sub></i> без остатка на каждое из простых чисел. Например, 3 — это простое число, но оно не является множителем числа 408 508 091, так как 408 508 091 нацело на 3 не делится. Поэтому Ева берет следующее простое число — 5. 5 точно так же не является множителем, поэтому Ева переходит к следующему простому числу и так далее. В конце концов, Ева добирается до числа 18 313, 2000-го простого числа, которое является множителем числа 408 508 091. Найдя один из сомножителей, легко найти и другой — 22 307. Если у Евы есть калькулятор и она способна проверять четыре простых числа в минуту, то ей, чтобы отыскать <i>р<sub>B</sub></i> и <i>q<sub>B</sub></i>, потребуется 500 минут, или свыше 8 часов. Другими словами, Ева сможет раскрыть секретный ключ Боба и, тем самым, расшифровать перехваченное сообщение менее, чем за день.</p><p>Это не слишком-то высокий уровень стойкости, но Боб мог бы выбрать гораздо большие простые числа и повысить стойкость своего секретного ключа. Например, он мог бы выбрать простые числа, состоящие из 10<sup>65</sup> цифр (это означает 1 с 65 нулями, или сто тысяч миллионов миллионов миллионов миллионов миллионов миллионов миллионов миллионов миллионов миллионов). В результате величина <i>N</i> будет приблизительно составлять 10<sup>65</sup> х 10<sup>65</sup>, то есть 10<sup>130</sup> цифр. Компьютер смог бы перемножить оба простых числа и вычислить <i>N</i> всего лишь за секунду, но если Ева захочет выполнить обратную операцию и определить <i>р</i> и <i>q,</i> на это потребуется не в пример больше времени. Насколько больше, зависит от быстродействия компьютера Евы. По оценке эксперта по безопасности Симеона Гарфинкеля, 100-MHz компьютеру Intel Pentium с 8 MB RAM, чтобы разложить на множители число, состоящее из 10<sup>130</sup> цифр потребуется около 50 лет. Криптографы проявляют тенденцию к параноидальности и учитывают при определении стойкости своих шифров наихудшие ситуации, как, например, глобальная секретность. Поэтому Гарфинкель рассматривал, что произойдет, если объединить вместе сотню миллионов персональных компьютеров (количество компьютеров, проданных в 1995 году). В результате он получил, что число, состоящее из 10<sup>130</sup> цифр, может быть разложено на множители примерно за 15 секунд. Так что в настоящее время общепринято, что для обеспечения подлинной стойкости необходимо использовать еще большие простые числа. Для ответственных банковских операций <i>N </i>стремятся сделать как минимум 10<sup>308</sup>, которое в десять миллионов миллиардов миллиардов миллиардов миллиардов миллиардов миллиардов миллиардов миллиардов миллиардов миллиардов миллиардов миллиардов миллиардов миллиардов миллиардов миллиардов миллиардов миллиардов миллиардов раз больше, чем 10<sup>130</sup>. Объединенными усилиями сотне миллионов персональных компьютеров потребуется затратить более тысячи лет, чтобы раскрыть такой шифр. При достаточно больших значениях <i>р</i> и <i>q,</i> RSA является неуязвимой.</p><p>Единственное предупреждение относительно надежности использования алгоритма RSA шифрования с открытым ключом — это то, что в будущем кто-нибудь сможет найти способ быстро находить множители <i>N.</i> Возможно, через десять лет или даже завтра, кто-то откроет способ быстрого разложения на множители, после чего RSA станет бесполезным. Однако свыше двух тысяч лет математики пытались и не смогли его отыскать, и на сегодняшний момент для разложения на множители требуется огромное количество времени.</p><p>Большинство математиков полагает,' что разложение на множители по своей природе является трудной задачей и что существует некий математический закон, который запрещает любые ускоренные вычисления. Если, допустим, они правы, то RSA останется надежной в течение обозримого будущего.</p><p>Огромным преимуществом алгоритма RSA шифрования с открытым ключом является то, что он избавляет от всех проблем, связанных с традиционными шифрами и обменом ключами. Алисе больше не надо волноваться о безопасности доставки ключа Бобу или что Ева сможет перехватить ключ. Более того, Алиса даже не беспокоится, кто увидит открытый ключ — чем больше, тем лучше, — так так открытый ключ помогает только при зашифровывании, а не при расшифровывании. Единственно, что следует хранить в секрете, — это секретный ключ, применяющийся для расшифровывания, и Алиса может всегда держать его при себе.</p><p>Об RSA впервые было объявлено в августе 1977 года, когда Мартин Гарднер написал статью, озаглавленную «Новый вид шифра, для взлома которого потребуются миллионы лет», для колонки «Математические игры» в «Сайентифик Америкен». Объяснив, как происходит шифрование с открытым ключом, Гарднер задал задачу своим читателям. Он напечатал зашифрованное сообщение и дал открытый ключ, который использовал для его зашифровывания:</p><p>N = 114 381 625 757 888 867 669 235 779 976 146 612 010 218 296 721 242 362 562 561 842 935 706 935 245 733 897 830 597 123 563 958 705 058 989 075 147 599 290 026 879 543 541.</p><p>Задача заключалась в том, чтобы разложить на сомножители <i>р</i> и <i>q</i>, а затем использовать эти числа, чтобы расшифровать сообщение. Призом были 100 долларов. У Гарднера не было места, чтобы объяснить все подробности алгоритма RSA; вместо этого он попросил читателей написать в лабораторию вычислительной техники Массачусетского технологического института, откуда им пришлют технический меморандум, который был как раз к тому времени подготовлен. Ривест, Шамир и Адлеман были поражены, получив три тысячи запросов. Однако ответили они не сразу, так как были обеспокоены, что открытое распространение их идеи могло бы поставить под угрозу получение патента. Когда же вопросы по выдаче патента были в конце концов разрешены, троица устроила праздничную вечеринку, на которой преподаватели и студенты уплетали пиццу, запивая ее пивом, и одновременно раскладывали по конвертам технические меморандумы для читателей «Сайентифик Америкен».</p><p>Что касается задачи Гарднера, то для ее решения потребовалось 17 лет. 26 апреля 1994 года команда из шестисот добровольцев сообщила о том, какие сомножители были у <i>N</i>:</p><p><i>q</i> = 3 490 529 510 847 650 949 147 849 619 903 898 133 417 764 638 493 387 843 990 820 577</p><p><i>р</i> = 32 769 132 993 266 709 549 961 988 190 834 461 413 177 642 967 992 942 539 798 288 533.</p><p>Используя эти значения в качестве секретного ключа, они смогли расшифровать сообщение. Сообщение состояло из ряда чисел, но, преобразованное в буквы, гласило: «Волшебные слова: брезгливая скопа». Задача разложения на множители была распределена между добровольцами, проживающими в Австралии, Англии, США и Венесуэле. Они использовали свободное время своих рабочих станций, больших ЭВМ и суперкомпьютеров; при этом каждый занимался только частью задачи. По сути, чтобы решить задачу Гарднера, компьютеры, разбросанные по всему миру, объединялись в сеть и работали одновременно. Даже принимая во внимание огромную работу, которая велась параллельно, некоторые читатели могут удивиться, что RSA была взломана за такое короткое время, но следует заметить, что в задаче Гарднера использовалось относительно малое значение <i>N; </i>оно составляло порядка 10<sup>129</sup>. Сегодня, чтобы обеспечить безопасность жизненно важной информации, пользователи RSA могут брать гораздо большие значения. Ныне вполне обычное дело зашифровывать сообщение с использованием такого большого <i>N,</i> что всем компьютерам в мире, чтобы взломать шифр, потребуется время, превышающее возраст Вселенной.</p><h3>Альтернативная история шифрования с открытым ключом</h3><p>За последние двадцать лет Диффи, Хеллман и Меркль приобрели мировую известность как криптографы, которые придумали способ шифрования с открытым ключом, а Ривесту, Шамиру и Адлеману приписывается слава создания RSA — самой превосходной реализации криптографии с открытым ключом. Однако появившаяся недавно информация означает, что учебники истории необходимо переписать.</p><p>Как заявило правительство Великобритании, шифрование с открытым ключом было первоначально разработано в Штаб-квартире правительственной связи (ШКПС) в Челтенхеме, сверхсекретном учреждении, которое было сформировано из остатков Блечли-Парка после Второй мировой войны. Это — рассказ о поразительной изобретательности, безвестных героях и о правительственном комплексе мер по обеспечению скрытности, что длилось несколько десятилетий.</p><p>История началась в конце 60-х годов, когда перед Вооруженными силами Великобритании встала проблема распределения ключей. Заглядывая в 70-е годы, высшие армейские чины представили себе ситуацию, когда миниатюризация и снижение стоимости радио приведет к тому, что у каждого солдата будет постоянная связь со своим офицером. Преимущества такого широкого распространения средств связи были бы неоспоримы, но информация при этом должна передаваться в зашифрованном виде, и проблема распределения ключей оказалась бы непреодолимой. То была эпоха, когда существовала единственно симметричная форма криптографии, так что каждому участнику коммуникационной сети следовало надежным образом передать отдельный ключ. Любое расширение линий коммуникации вело к тому, что они стали бы просто задыхаться под бременем проблемы распределения ключей. Поэтому в начале 1969 гот да представители вооруженных сил попросили Джеймса Эллиса, одного из ведущих правительственных криптографов Великобритании, изучить, каким образом можно было бы справиться с проблемой распределения ключей.</p><p>Эллис был любознательным и слегка эксцентричным человеком. Он с гордостью похвалялся, что объехал пол мира еще до рождения: зачат он был в Британии, а родился в Австралии. Затем, еще будучи ребенком, он вернулся в Лондон и в 20-е годы рос в Ист-Энде. В школе его прежде всего интересовала наука. После школы он продолжил изучение физики в Имперском колледже, а затем поступил на службу в исследовательский центр Управления почт и телеграфа в Доллис Хилл, где Томми Флауэрс построил «Колосс», первый компьютер для взлома шифров. Криптографическое отделение в Доллис Хилл было в итоге присоединено к ШКПС, и поэтому 1 апреля 1965 года Эллис был переведен в Челтенхем для работы во вновь созданном Отделении обеспечения скрытности работы средств связи и электронного оборудования, специальное подразделение в ШКПС, предназначенное для обеспечения безопасности британских средств коммуникации. В связи с тем, что его работа была связана с вопросами национальной безопасности, Эллис обязался хранить тайну в течение всего срока службы. Хотя его жена и семья знали, что он работал на ШКПС, им ничего не было известно о его открытиях, и они и не подозревали, что он являлся одним из самых выдающихся криптографов страны.</p><p></p><p><strong><sub>Рис 66 Джеймс Эллис</sub></strong></p><p>Но несмотря на его высокую квалификацию как криптографа, Эллиса никогда не назначали руководителем любой мало-мальски важной исследовательской группы ШКПС. Он был гениален, но непредсказуем, интроверт, и его никак нельзя было назвать настоящим членом команды. Его коллега Ричард Уолтон вспоминал:</p><cite><p>Он был довольно своеобразным работником и, по правде говоря, не годился для повседневной деятельности ШКПС. Но если надо предложить новые идеи, тут ему не было равных. Время от времени вам приходится разгребать груду макулатуры, он же был исключительно творческой личностью и всегда желал бросить вызов ортодоксальности и общепринятому порядку. Нас бы всерьез тревожило, если бы все в ШКПС были как он, но мы, в отличие от большинства организаций, можем вытерпеть большее число таких людей. Мы миримся с некоторым количеством похожих на него людей.</p></cite><p>Что больше всего поражало в Эллисе, так это его широта знаний. Он прочитывал все научные журналы, которые попадали ему в руки, и никогда ничего не выбрасывал. В целях безопасности сотрудники ШКПС должны были каждый вечер освобождать свои столы и все складывать в запирающиеся шкафы, и поэтому шкафы Эллиса были набиты под завязку самыми непонятными изданиями. Он приобрел репутацию «криптогуру», и если кто-то из исследователей сталкивался с исключительно сложной задачей, он стучался к нему в дверь в надежде, что его обширные знания и оригинальность мышления позволят решить ее. Возможно, что именно благодаря такой своей репутации его и попросили исследовать проблему распределения ключей.</p><p>Затраты на распределение ключей уже были огромны, становясь фактором, сдерживающим любое расширение шифрования. Даже снижение затрат на распределение ключей на 10 процентов пробило бы значительную брешь в статье расходов на безопасность бюджета вооруженных сил. Однако Эллис не стал потихоньку подбираться к проблеме, он сразу же принялся за поиск радикального и полного ее решения. «Он обычно всегда приступал к решению задачи с вопроса: «Это действительно то, что мы хотим сделать? — говорит Уолтон. — Джеймс есть Джеймс, и первое, что он делал, это выяснял необходимость совместного пользования секретными данными, я имею в виду — ключом. Теоремы, гласящей, что вам требуется иметь совместно используемые секретные данные, не было. Это было нечто, вызывающее сомнения».</p><p>Эллис приступил к решению проблемы с того, что перерыл всю свою сокровищницу научных статей. Много лет спустя он записал тот миг, когда обнаружил, что распределение ключей не является обязательной частью криптографии:</p><cite><p>Случаем, который изменил мою точку зрения, послужило то, что я нашел подготовленный в военное время отчет неизвестного автора из компании Белл Телефон, в котором описывалась остроумная идея, как обезопасить телефонные разговоры. Предлагалось, чтобы тот, кто слушает, маскировал речь говорящего, создавая шум в линии. Потом он смог бы отсечь шум, так как это он создал его и потому знает, каков он. Использовать такую систему не позволили ее очевидные практические недостатки, но в ней было несколько интересных моментов. Разница между этой системой и обычным шифрованием заключалась в том, что в данном случае тот, кто слушает, участвует в процессе шифрования… Так родилась идея.</p></cite><p>Шумом называется любой сигнал, который накладывается на сигналы, используемые для связи. Обычно он создается естественными причинами, и больше всего в нем раздражает то, что он носит совершенно случайный характер, что означает, что убрать шум из сообщения крайне сложно. Если радиосистема хорошо спроектирована, то уровень шума низок и сообщение отчетливо слышно, но если уровень шума высок и он забивает сообщение помехами, то разобрать сообщение не удается. Эллис предложил, чтобы получатель, Алиса, намеренно создавала шум, который она может измерять перед тем, как подать его в канал связи, соединяющий ее и Боба. После этого Боб может послать сообщение Алисе; если же Ева подсоединится к каналу связи, она не сможет прочесть сообщение, потому что оно будет «утоплено» в шуме. Ева не сможет выделить сообщение из шума. Так что единственным человеком, который в состоянии устранить шум и прочесть сообщение, будет Алиса, поскольку она единственная знает точную природу шума. Эллис понял, что безопасность достигнута без обмена какими-либо ключами. Ключом здесь послужил шум, и только Алисе требовалось знать все об этом шуме.</p><p>В меморандуме Эллис подробно описал ход своих мыслей: «Следующий вопрос был очевиден. Может ли это быть выполнено при обычном зашифровывании? Можем ли создать надежным образом зашифрованное сообщение, которое сможет прочесть законный получатель без какого-то ни было предварительного секретного обмена ключом? Этот вопрос действительно как-то ночью, когда я лежал в кровати, пришел мне в голову, причем на доказательство теоретической возможности мне понадобилось всего несколько минут. Мы получили теорему существования. То, что представлялось немыслимым, на самом деле было возможно». (Теорема существования показывает, что конкретное решение возможно, но не затрагивает подробностей решения). Другими словами, вплоть до того момента поиск решения проблемы распределения ключей напоминал поиск иголки в стоге сена, причем была вероятность, что иголки там может и не быть вовсе. Однако благодаря теореме существования Эллис теперь знал, что иголка где-то там есть.</p><p>Идеи Эллиса очень напоминали идеи Диффи, Хеллмана и Мерк-ля, за исключением того, что он на несколько лет опережал их. Однако никто не знал о работе Эллиса, так как он был служащим Британского правительства и потому дал клятву хранить тайну. Похоже, что в конце 1969 года Эллис зашел в тот же тупик, что и стэнфордская троица в 1975 году. Он убедился, что криптография с открытым ключом (или, как он ее назвал, «несекретное шифрование») возможна, и развил концепцию раздельных открытых и секретных ключей. Он также знал, что ему необходимо найти специальную одностороннюю функцию — функцию, которая смогла бы стать обратимой, если получатель имел доступ к некоторому количеству специальной информации. К сожалению, Эллис не был математиком. Он поэкспериментировал с несколькими математическими функциями, но вскоре понял, что самостоятельно добиться большего не сможет.</p><p>На этом этапе Эллис представил свое открытие руководству. Какова была их реакция — до сих пор относится к засекреченным материалам, но в интервью Ричард Уолтон был готов изложить мне своими словами содержание различных меморандумов, которые были заменены. Он сидел с портфелем на коленях, так чтобы крышка его закрывала бумаги от моего взора, и бегло просматривал документы:</p><cite><p>Я не могу показать вам бумаги, которые у меня сейчас есть, так как на них на всех все еще стоят сомнительные слова вроде «совершенно секретно». По сути, идея Джеймса дошла до самого главного начальника, который, как делают все начальники, перепоручил разобраться с ней, и чтобы на нее смогли взглянуть эксперты. Те заявили, что то, о чем говорит Джеймс, — истинная правда. Другими словами, они не могут отмахнуться от этого человека, посчитав его сумасбродом. В то же время они не могут представить себе, каким образом внедрить его идею на практике. Так что они поражены изобретательностью Джеймса, но им непонятно, как этим воспользоваться.</p></cite><p>Следующие три года самые светлые умы ШКПС изо всех сил старались отыскать одностороннюю функцию, которая удовлетворила бы требованиям Эллиса, но ничего не вышло. В сентябре 1973 года к команде присоединился новый математик. Клиффорд Кокс недавно окончил Кембриджский университет, где он специализировался в теории чисел, разделе, который относится к чистой математике. Когда он пришел в ШКПС, он почти ничего не знал ни о шифровании, ни о призрачном мире военных и дипломатических средств связи, так что ему был выделен наставник, Ник Паттерсон, который инструктировал и направлял его первые несколько недель в ШКПС.</p><p>Примерно через шесть недель Паттерсон рассказал Коксу о «совершенно дурацкой идее». Он в общих чертах обрисовал теорию Эллиса относительно криптографии с открытым ключом и пояснил, что до сих пор никто не сумел отыскать требуемую математическую функцию. Паттерсон поделился с Коксом не потому, что ожидал от него, что тот попробует ее решить, а поскольку это была самая щекочущая нервы криптографическая идея. Однако в тот же день, чуть позже, Кокс принялся за эту работу. Как он объясняет: «Ничего особенного не происходило, так что я решил поразмыслить над этой идеей. Поскольку я работал в области теории чисел, было вполне естественно, что и думать я стал об односторонних функциях, с помощью которых вы можете что-то сделать, но вернуться обратно уже не удастся. Явными кандидатурами были простые числа и разложение на множители, и это стало моей отправной точкой».</p><p></p><p><strong><sub>Рис 67 Клиффорд Кокс</sub></strong></p><p>Кокс начал разрабатывать алгоритм, который позднее стал известен как асимметричный шифр RSA. Ривест, Шамир и Адлеман нашли свой алгоритм для криптографии с открытым ключом в 1977 году, но четырьмя годами раньше юный выпускник Кембриджа шел тем же самым путем. Как вспоминает Кокс: «От начала и до конца это заняло у меня не более получаса. Я был вполне доволен собой. Я думал: «О, это здорово. Мне дали задачу, и я решил ее».</p><p>Кокс не мог в полной мере оценить всю значимость своего открытия. Он не знал, что самые светлые умы ШКПС целых три года всеми силами старались отыскать решение проблемы, и не подозревал, что совершил переворот в криптографии, сделав самое выдающееся открытие века. Отчасти причиной успеха Кокса могла быть его неискушенность, позволившая ему самонадеянно взяться за решение проблемы. Кокс рассказал своему наставнику о найденном им решении, а уже тот сообщил об этом руководству.</p><p>Кокс был очень застенчив и пока еще оставался слишком «зеленым» новичком, в то время как Паттерсон полностью разбирался в ситуации и в большей мере мог разрешить технические вопросы, которые неизбежно возникнут в дальнейшем. Вскоре к Коксу начали подходить и поздравлять его совершенно незнакомые люди. Одним из них был Джеймс Эллис, страстно желающий встретиться с тем, кто превратил его мечту в реальность. Поскольку Кокс все еще не понимал всей важности своего достижения, эта встреча не произвела на него сильного впечатления, и поэтому сегодня, спустя двадцать лет, он не помнит реакции Эллиса.</p><p>Когда в конце концов Кокс понял, что он сделал, его осенило, что это открытие могло бы разочаровать Г.Х. Харди, одного из величайших английских математиков начала века. В своей книге «Апология математика», написанной в 1940 году, Харди с гордостью заявлял: «Истинная математика никак не влияет на войну. Никто еще не обнаружил ни одной, связанной с военной деятельностью цели, для которой понадобилась бы теория чисел». Под истинной математикой подразумевается «чистая» математика, как, например, теория чисел, которая послужила основой для работы Кокса. Кокс доказал, что Харди был неправ. Теперь сложности теории чисел могли помочь генералам планировать свои сражения в абсолютной секретности. Поскольку работа Кокса имела значение для военной связи, ему, как и Эллису, было запрещено говорить кому бы то ни было за пределами ШКПС о том, что он сделал. Работа в совершенно секретном правительственном учреждении означала, что он не мог поделиться этим ни со своими родителями, ни со своими прежними коллегами из Кембриджского университета. Единственным человеком, с кем он мог общаться, была его жена, Джил, так как она тоже работала на ШКПС.</p><p>Несмотря на то что идея Кокса была одной из важнейших в ШКПС, она страдала от того, что время для нее еще не пришло. Кокс нашел математическую функцию, которая дала жизнь криптографии с открытым ключом, но по-прежнему оставалась сложность с реализацией данной системы. Для шифрования с использованием криптографии с открытым ключом требуются гораздо большие вычислительные мощности, чем для шифрования с использованием симметричного шифра, как, например, DES. Но в начале 70-х компьютеры были все еще сравнительно примитивными и не могли выполнять процесс шифрования с открытым ключом за приемлемое время. Так что ШКПС была не в состоянии использовать криптографию с открытым ключом. Кокс и Эллис доказали, что, казалось бы, невозможное было возможным, но никто не мог найти способ сделать возможное осуществимым.</p><p>В начале следующего, 1974 года Кокс рассказал о своей работе по криптографии с открытым ключом Малькольму Уильямсону, который недавно был принят в ШКПС в качестве криптографа. Так случилось, что оба они были давними друзьями. Оба ходили в манчестерскую среднюю школу, девизом которой был <i>Sapere aude —</i> «Имей мужество пользоваться собственным умом». В 1968, еще учась в школе, оба мальчика представляли Великобританию на математической Олимпиаде, проводившейся в Советском Союзе. Оба поступили в Кембриджский университет, где их дороги на пару лет разошлись, но теперь они вновь воссоединились в ШКПС. Они обменивались математическими идеями уже в одиннадцать лет, но открытие Коксом криптографии с открытым ключом было самым поразительным, о чем когда-либо слышал Уильямсон. «Клиф объяснил мне свою идею, — вспоминает Уильямсон, — но я, вообще-то, не поверил в нее. Я был очень недоверчив, ведь это крайне специфическая вещь, чтобы суметь ее сделать».</p><p>Уильямсон ушел, решив попытаться доказать, что Кокс сделал ошибку и что криптографии с открытым ключом в действительности не существует. Он внимательно изучил математические выкладки в поисках изъянов и слабых мест. Криптография с открытым ключом казалась слишком хорошей, чтобы быть правдой, и Уильямсон был настолько полон решимости найти ошибку, что взял задачу домой.</p><p>Сотрудникам ШКПС запрещалось брать работу на дом, поскольку все, что они делали, было секретным, а семейная обстановка потенциально уязвима для шпионажа. Однако задача настолько засела в голове Уильямсона, что перестать думать о ней он не мог и, проигнорировав инструкции и предписания, забрал работу к себе домой. Он потратил пять часов, стараясь найти ошибку. «В конце концов я сдался, — говорит Уильямсон. — Вместо этого я предложил другое решение проблемы распределения ключей». Уильямсон нашел алгоритм обмена ключами Диффи-Хеллмана-Меркля, примерно в то же время, когда его открыл Мартин Хеллман. Начальная реакция Уильямсона отражала его циничный характер: «Выглядит это превосходно, — думал я про себя. — Интересно, смогу ли я найти здесь ошибку. Полагаю, что в тот день у меня было дурное настроение».</p><p></p><p><strong><sub>Рис 68 Малькольм Уильямсон</sub></strong></p><p>К 1975 году Джеймс Эллис, Клиффорд Кокс и Малькольм Уильямсон нашли все фундаментальные аспекты криптографии с открытым ключом, но им по-прежнему приходилось молчать. Все три англичанина вынуждены были наблюдать, как в течение трех следующих лет их открытия были заново открыты Диффи, Хеллманом, Мерклем, Ривестом, Шамиром и Адлеманом. Любопытно, что в ШКПС шифр RSA был найден раньше алгоритма обмена ключами Диффи-Хеллмана-Меркля, в то время как во внешнем мире вначале появился алгоритм обмена ключами Диффи-Хеллмана-Меркля. В научной печати сообщалось о выдающихся достижениях в Стэнфорде и Массачусетском технологическом институте, а исследователи, которым было разрешено опубликовать свои работы в научных журналах, стали известны в криптографическом сообществе.</p><p>Если провести поиск в Интернете с помощью какой-нибудь из поисковых машин, то окажется, что Клиффорд Кокс упоминается на 15 веб-страницах, а Уитфилд Диффи — на 1382. Кокс относится к этому исключительно сдержанно: «Вы ввязались в это дело не для получения всеобщего признания». Так же спокоен и Уильямсон: «Моей реакцией было: «Ну что ж, так устроен мир». В сущности ведь жизнь продолжается».</p><p></p><p><strong><sub>Рис. 69 Малькольм Уильямсон (второй слева) и Клиффорд Кокс (крайний справа), прибывшие на математическую Олимпиаду 1968 года.</sub></strong></p><p>Единственно, что тревожило Уильямсона, это то, что ШКПС не стала брать патент на криптографию с открытым ключом. Когда Кокс и Уильямсон совершали свои открытия, в руководстве ШКПС существовало мнение, что патентование невозможно по двум причинам. Во-первых, патентование означало бы раскрытие деталей их работы, что противоречило бы целям ШКПС. Во-вторых, в начале 70-х годов было далеко не ясно, могут ли быть запатентованы математические алгоритмы. Однако когда Диффи и Хеллман в 1976 году попробовали подать заявку на патент, оказалось, что патентовать их можно. В этот момент у Уильямсона появилось огромное желание предать гласности свое открытие и заблокировать заявку Диффи и Хеллмана, но ему было отказано руководителями высокого ранга, которые не были достаточно дальновидны, чтобы разглядеть возникновение цифровой революции и возможностей криптографии с открытым ключом. К началу 80-х руководство Уильямсона начало уже раскаиваться в своем решении, поскольку усовершенствования в компьютерах и зарождающийся Интернет убедительно показали, что RSA и алгоритм обмена ключами Диффи-Хеллмана-Меркля оказались бы продуктами, имеющими огромный коммерческий успех. В 1996 году компанией RSA Дата Секьюрити Инк. было продано продуктов RSA на сумму 200 миллионов долларов.</p><p>Несмотря на то что работа в ШКПС оставалась по-прежнему секретной, существовала еще одна организация, которой было известно об открытиях, совершенных в Великобритании. К началу 80-х годов американское Агентство национальной безопасности знало о работе Эллиса, Кокса и Уильямсона, и возможно, что именно от АНБ до Уитфилда Диффи дошел слух об открытиях в Великобритании. В сентябре 1982 года Диффи решил проверить, насколько слухи истинны, и со своей женой отправился в Челтенхем, чтобы с глазу на глаз поговорить с Джеймсом Эллисом. Они встретились в местном пабе, и очень скоро незаурядная личность Эллиса произвела впечатление на Мэри:</p><cite><p>Мы сидели, беседуя, и внезапно я поняла, что это был самый удивительный человек, которого вы когда-либо могли себе представить. Я не могу с уверенностью утверждать, насколько обширны его познания в математике, но он был истинным джентльменом, чрезвычайно скромным, человеком исключительного благородства духа и аристократизма. Когда я говорю «аристократизма», я не имею в виду, что он был старомодным и косным. Этот человек был <i>рыцарем.</i> Он был хорошим человеком, действительно хорошим. Он был доброй душой.</p></cite><p>Диффи и Эллис обсуждали различные темы: от археологии до вопроса о том, как крысы в бочке улучшают вкус сидра, но каждый раз, как разговор начинал переходить на криптографию, Эллис мягко менял тему. В конце своего визита Диффи, поскольку он уже готовился уезжать и больше не мог выжидать, без обиняков спросил Эллиса: «Расскажите мне, как вам удалось открыть криптографию с открытым ключом?» Последовала длинная пауза. Наконец Эллис прошептал: «Ну, я не знаю, сколько я могу рассказать. Позвольте мне только заметить, что вы сделали гораздо больше, чем мы».</p><p>И хотя криптографию с открытым ключом вначале нашли в ШКПС, не следует недооценивать достижения ученых, открывших ее «заново». Именно они первыми осознали возможности шифрования с открытым ключом, и именно они воплотили ее в жизнь. Более того, вполне возможно, что ШКПС никогда бы и не обнародовала их работу, воспрепятствовав тем самым появлению шифрования, которое позволит цифровой революции раскрыть все свои возможности. И наконец, открытие было сделано учеными совершенно независимо от открытия в ШКПС, а интеллектуально — наравне с нею. Засекреченная область закрытых исследований полностью обособлена от академической среды, и ученые академических институтов не имеют доступа к программным продуктам и секретным сведениям, которые могут быть скрыты от них в засекреченном мире. С другой стороны, у исследователей, работающих в засекреченной области, всегда есть доступ к академическим изданиям. Можно представить себе этот поток информации как одностороннюю функцию: информация свободно движется в одном направлении, но в обратном направлении передавать информацию запрещено.</p><p>Когда Диффи рассказывал Хеллману об Эллисе, Коксе и Уильямсоне, по его мнению, поступить надо было следующим образом: об открытиях ученых академических институтов следует указывать в виде примечания в историческом описании закрытых исследований, а об открытиях, сделанных в ШКПС, следует указывать в виде примечания в историческом описании академических исследований. Однако на данном этапе никто, кроме ШКПС, АНБ, Диффи и Хеллмана, не знал о закрытых исследованиях, и поэтому их не удалось бы дать даже в качестве ссылки.</p><p>К середине 80-х настроение в ШКПС изменилось и ее руководство подумывало о том, чтобы открыто объявить о работе Эллиса, Кокса и Уильямсона. Математика криптографии с открытым ключом была уже в достаточной мере разработана в открытых исследованиях, и не было причин продолжать держать ее в секрете. Более того, если бы Великобритания обнародовала свою выдающуюся работу по криптографии с открытым ключом, это принесло бы очевидные выгоды. Как вспоминает Ричард Уолтон:</p><cite><p>В 1984 году мы носились с идеей рассказать всю правду. Мы стали осознавать преимущества для ШКПС, будь оно более известно в обществе. Это было время, когда сфера обеспечения секретности на государственном уровне стала расширяться, охватывая не только традиционных военных или дипломатических потребителей, но и тех, кто обычно не имел с нами дел, и нам необходимо было завоевать их доверие. То была середина периода правления Тэтчер, и мы старались противостоять духу того времени: «правительственное — это плохое, частное — это хорошее». Поэтому у нас было намерение опубликовать статью, но идею загубил этот тип, Питер Райт, написавший книгу «Ловец шпионов». Мы только-только начали «разогревать» руководство, чтобы оно дало разрешение на публикацию, когда вокруг «Ловца шпионов» поднялась вся эта шумиха. Время тогда было такое: «Нос в воротник, шляпа на глаза».</p></cite><p>Питер Райт был отставным офицером британской секретной службы, и его мемуары «Ловец шпионов» привели Британское правительство в сильное замешательство. Это произошло за 13 лет до того, как о ШКПС в конце концов стало известно широкому обществу, и через 28 лет после первого важного открытия Эллиса. В 1997 году Клиффорд Кокс закончил имеющую важное значение несекретную работу по RSA, которая представляла интерес для широкой общественности, и которая, если бы ее опубликовали, не представляла угрозы системе безопасности. В результате его попросили представить статью на конференцию в Институт математики и ее приложений, которая должна была проводиться в Сиренчестере. Комната была переполнена экспертами-криптографами. Только некоторые из них знали, что Кокс, доклад которого будет посвящен только одному аспекту RSA, являлся на самом деле его невоспетым автором. Существовал риск, что кто-нибудь мог задать ему неуместный вопрос, например: «Это вы придумали RSA?» Если бы такой вопрос прозвучал, как должен был реагировать Кокс? Согласно политике ШКПС, ему следовало отрицать свое участие в разработке RSA и тем самым лгать в совершенно безобидном вопросе. Ситуация была совершенно смехотворной, и ШКПС решила, что настало время изменить свою политику. Коксу разрешили начать свой доклад с краткой предыстории</p><p>о вкладе ШКПС в криптографию с открытым ключом.</p><p>18 декабря 1997 года Кокс прочитал свой доклад. После почти трех десятилетий секретности Эллис, Кокс и Уильямсон получили заслуженное признание. К сожалению, Джеймс Эллис умер месяцем раньше, 25 ноября 1997 года, в возрасте семидесяти трех лет. Эллис попал в список британских экспертов по шифрам, чей вклад не был оценен при их жизни. О том, что Чарльз Бэббидж раскрыл шифр Виженера, никогда не сообщалось, пока он был жив, так как его работа была бесценной для английских войск в Крымской войне. А вся слава досталась Фридриху Касиски. Так же не имел себе равного в повышении обороноспособности страны и вклад Алана Тьюринга, и тем не менее, в целях обеспечения государственной секретности, потребовалось, чтобы его работа по Энигме не была обнародована.</p><p>В 1987 году Эллис написал секретный документ, который свидетельствует о его вкладе в криптографию с открытым ключом и в котором содержатся его размышления о секретности, которой столь часто окружен труд шифровальщика:</p><cite><p>Криптография — самая необычная наука. Большинство ученых стремятся первыми опубликовать свою работу, потому что только путем распространения работа приобретает ценность. Наибольшая ценность криптографии, напротив, обеспечивается путем минимизации доступной возможному противнику информации. Поэтому профессиональные криптографы обычно работают в замкнутых сообществах, где можно создать условия для нормального профессионального взаимодействия в целях гарантирования качества и в то же время сохранения секретности от непосвященных. Раскрытие этих секретов обычно разрешается исключительно в интересах исторической точности после того, как станет ясно, что никакой пользы из дальнейшей секретности уже нельзя будет извлечь.</p></cite><h2>7 «Вполне достаточная секретность»</h2><p>Как в начале 70-х предсказывал Уит Диффи, мы вступаем в информационный век — постиндустриальную эру, в которой информация является самым ценным товаром. Обмен цифровой информацией стал неотъемлемой частью нашего общества. Ежедневно отправляются уже десятки миллионов электронных писем, и электронная почта вскоре станет более популярной, чем обычная. Интернет, пока еще находящийся в младенческом возрасте, создал инфраструктуру для электронного рынка, в результате чего стала быстро развиваться электронная торговля. Деньги протекают через киберпространство, и, по оценке, ежедневно половина мирового валового внутреннего продукта проходит по сети международной межбанковской электронной системы платежей (СВИФТ). В будущем голосование в демократических государствах при проведении референдумов станет происходить в интерактивном режиме, а правительства будут пользоваться Интернетом, как средством, помогающим в управлении страной, предлагая, к примеру, такие возможности, как заполнение декларации о налогах в режиме on-line.</p><p>Однако процветание информационного века зависит от способности защищать информацию в процессе ее передвижения по миру, а это основано на могуществе криптографии. Шифрование может рассматриваться как замки и ключи информационного века. В течение двух тысячелетий шифрование имело значение только для правительства и военных, сегодня оно способствует ведению бизнеса, завтра же обычные люди станут пользоваться криптографией для защиты своей частной переписки. К счастью, как раз в начале информационного века, мы получили доступ к исключительно стойкому шифрованию. Появление криптографии с открытым ключом, в частности, шифра RSA, дало сегодняшнему поколению криптографов явное преимущество в их непрекращающемся противостоянии с криптоаналитиками. Если величина <i>N</i> достаточно велика, то для нахождения <i>p </i>и <i>q</i> Еве потребуется неоправданно большое количество времени, так что шифрование RSA является практически нераскрываемым. Но важнее всего то, что криптография с открытым ключом не может быть ослаблена никакими проблемами распределения ключей. Короче говоря, RSA гарантирует почти нераскрываемые замки для наших самых ценных сообщений.</p><p></p><p><strong><sub>Рис. 70 Фил Циммерман.</sub></strong></p><p>Однако как в любой технологии, у шифрования есть и негативная сторона. Наряду с защитой информации законопослушных граждан, оно также обеспечивает защиту информации преступников и террористов. Нынче, в исключительных случаях, если, например, вопрос касается организованной преступности или терроризма, полиция в целях сбора доказательств организует прослушивание телефонных разговоров, но это окажется невозможным, если преступники станут применять нераскрываемые шифры. Поскольку мы вступили в двадцать первый век, основная дилемма, стоящая перед криптографией, заключается в том, чтобы найти способ, дающий возможность пользоваться шифрованием обществу и бизнесу и не позволяющий в то же время преступникам злоупотребить им и избежать ареста. В настоящее время идут активные дебаты о наилучших путях решения данного вопроса, и значительная часть дискуссий вдохновлена историей Фила Циммермана, человека, чьи старания содействовать широкому применению стойкого шифрования вызвали панику среди американских экспертов по безопасности, представляли угрозу эффективности деятельности Агентства национальной безопасности с его многомиллиардным бюджетом и сделали его объектом пристального внимания со стороны ФБР и расследования Большим Жюри.</p><p>Фил Циммерман провел половину 70-х годов во Флоридском Атлантическом университете, где изучал физику, а затем программирование. Казалось, что после окончания учебы его ждет успешная деятельность и карьера в быстро развивающейся компьютерной индустрии, но политические события начала 80-х изменили его жизнь: его уже меньше интересовала технология кремниевых чипов, а больше тревожила угроза ядерной войны. Он был обеспокоен вторжением советских войск в Афганистан, выборами Рональда Рейгана, нестабильностью, вызванной старением Брежнева, и постоянно растущей напряженностью в холодной войне. Он даже подумывал перебраться с семьей в Новую Зеландию, полагая, что это одно из немногих мест на Земле, которое останется годным для жизни после ядерного конфликта. Но как раз, когда он получил паспорт и все необходимые бумаги для иммиграции, они с женой побывали на собрании, проводимом кампанией за замораживание ядерных вооружений. Теперь вместо того, чтобы бежать, чета Циммерманов решила остаться и принять участие в борьбе дома, став активистами движения за запрещение ядерного оружия; они просвещали политических кандидатов по вопросам военной политики, и были арестованы у ядерного испытательного полигона штата Невада вместе с Карлом Саганом и четырьмя сотнями других протестующих.</p><p>Несколькими годами позднее, в 1988 году, Михаил Горбачев стал главой Советсткого Союза, провозгласив перестройку, гласность и сокращение напряженности между Востоком и Западом. Опасения Циммермана начали притупляться, но страсти к демонстрациям и политическим митингам протеста он не потерял, а просто направил ее в другом направлении. Его внимание привлекла цифровая революция и необходимость в шифровании:</p><cite><p>Криптография обычно считается малопонятной наукой, слабо связанной с повседневной жизнью. Исторически она всегда играла особую роль в военной и дипломатической переписке. Но в информационный век криптография становится политической силой, в частности, как мощный инструмент отношений между правительством и его народом. Это примерно как право на частную жизнь, свободу слова, свободу политических объединений, свободу печати, свободу от необоснованного преследования и цензуры, свободу быть предоставленным самому себе.</p></cite><p>Эти убеждения могли бы показаться параноидальными, но, как заявлял Циммерман, между обычной и цифровой связью существует фундаментальное различие, которое имеет важное значение для обеспечения безопасности:</p><cite><p>В прошлом, если правительство хотело вторгнуться в частную жизнь обычных граждан, оно должно было затратить определенные усилия, чтобы перехватить, распечатать с помощью пара и прочитать бумажную корреспонденцию, или прослушать и, при необходимости, записать телефонные разговоры. Это аналогично ловле рыбы на леску с крючком: за раз не больше одной рыбы. К счастью для свободы и демократии, этот вид слежки очень трудоемок и в широких масштабах не осуществим. Сегодня электронная почта постепенно заменяет бумажную корреспонденцию и вскоре станет нормой для всех, а не новинкой, как сейчас. В отличие от бумажной корреспонденции, электронные письма перехватить и проверить на наличие интересующих ключевых слов как раз гораздо проще. Это можно делать без труда, регулярно, в автоматическом режиме и скрытно в широких масштабах. И это уже напоминает ловлю рыбы дрифтерными сетями, становясь количественным и качественным. Напоминает описанное у Оруэлла отличие от процветания демократии.</p></cite><p>Отличие между обычным и электронным письмом может быть продемонстрировано, если, например, представить, что Алиса хочет разослать приглашения на празднование своего дня рождения и что Ева, которую не пригласили, желает узнать время и место, где будет проходить празднование. Если Алиса пользуется обычным способом рассылки писем по почте, то Еве будет крайне трудно перехватить одно из приглашений. Во-первых, Ева не знает, откуда приглашения Алисы попадут в почтовую систему, потому что Алиса может воспользоваться любым почтовым ящиком в городе. Ее единственная надежда перехватить одно из этих приглашений — это каким-то образом выяснить адрес одного из Алисиных друзей и проникнуть в местное отделение, занимающееся сортировкой писем. После этого она должна проверить каждое письмо вручную. Если удастся найти письмо от Алисы, то Еве потребуется распечатать его с помощью пара, чтобы получить интересующую ее информацию, а затем придать письму исходный вид, чтобы не возникло никаких подозрений в его вскрытии.</p><p>Задача Евы станет не в пример проще, если Алиса рассылает свои приглашения по электронной почте. Как только сообщения покидают Алисин компьютер, они попадают на локальный сервер — основную точку входа в Интернет; если Ева достаточно умна, она сумеет влезть в этот локальный сервер, не выходя из своего дома. Поскольку на приглашениях будет стоять адрес электронной почты Алисы, то не составит труда установить электронный фильтр, который станет искать электронные письма, содержащие адрес Алисы. Как только приглашение будет найдено, то никакого конверта вскрывать не нужно, и потому не составит труда прочитать его. Более того, приглашение может быть отослано далее своим путем, и у него не будет никаких признаков того, что оно было перехвачено. Алиса и знать не будет о том, что произошло. Есть, однако, способ не позволить Еве читать Алисины электронные письма — это зашифровывание.</p><p>Ежедневно по всему миру отправляются более сотни миллионов электронных писем, и все они уязвимы для перехвата. Цифровая техника стала для связи незаменимым помощником, но породила также и возможность слежения за средствами коммуникации. По словам Циммермана, криптографы обязаны содействовать использованию шифрования и тем самым защищать частную жизнь граждан:</p><cite><p>Будущее правительство может унаследовать технологическую инфраструктуру, которая наиболее эффективна для слежки, когда они могут отслеживать действия своих политических противников, следить за любой финансовой сделкой, за любыми средствами связи, за каждым битом электронных писем, за каждым телефонным звонком. Все может быть профильтровано, и просканировано, и автоматически распознано с помощью аппаратуры распознавания речи, и записано. Пора криптографии выйти из тени шпионов и военных на солнечный свет, чтобы ею могли воспользоваться и все остальные.</p></cite><p>Когда в 1977 году был придуман RSA, он стал, теоретически, противоядием действиям «Старшего Брата»<a href="#note_28">[29]</a>, так как каждый мог создавать свои собственные открытые и секретные ключи, а затем отправлять и получать надежным образом защищенные сообщения. Однако на практике возникла существенная проблема, поскольку для шифрования RSA по сравнению с симметричными видами шифрования, например, DES, требуются значительно большие вычислительные мощности. Так что в 80-х годах использовали RSA только правительство, вооруженные силы и крупные предприятия и компании, обладающие достаточно мощными компьютерами. Не удивительно, что RSA Дата Секьюрити Инк. — компания, основанная для налаживания выпуска и продажи RSA, создавала свои программные продукты для шифрования, предназначенные только для этих рынков.</p><p>Циммерман же, напротив, считал, что каждый заслужил право на частную жизнь, которую предлагает шифрование RSA, и направил все свое рвение на создание программного продукта для шифрования RSA для масс. Он намеревался воспользоваться своим опытом в программировании для создания экономичной и эффективной программы, которая не вызовет перегрузки обычного персонального компьютера, а также хотел придать своему варианту RSA исключительно удобный интерфейс, чтобы пользователю не нужно было быть знатоком криптографии для работы с ним. Циммерман назвал свой проект Pretty Good Privacy, или, для краткости, PGP. На это его вдохновило название фирмы-спонсора одной из его любимых радиопостановок Гаррисона Кейлора.</p><p>В конце 80-х годов, трудясь у себя дома в Боулдере, штат Колорадо, Циммерман постепенно соединил воедино свой пакет программ, осуществляющий шифрование. Его основной целью было ускорить шифрование RSA. Обычно если Алиса хочет воспользоваться RSA, чтобы зашифровать сообщение Бобу, она ищет его открытый ключ, а затем применяет к этому сообщению одностороннюю функцию RSA. В свою очередь Боб расшифровывает зашифрованный текст, используя свой секретный ключ для обращения односторонней функции RSA. Для обоих процессов требуются изрядные математические преобразования, так что если сообщение длинное, то на персональном компьютере зашифровывание и расшифровывание могут занять несколько минут. Если Алиса отправляет сотню сообщений в день, она не может позволить себе тратить несколько минут на зашифровывание каждого. Для ускорения зашифровывания и расшифровывания Циммерман применил способ, при котором совместно используются асимметричное шифрование RSA и старое, доброе симметричное шифрование. Обычное симметричное шифрование может быть точно так же надежно, как и асимметричное шифрование, и выполнять его гораздо быстрее, но симметричное шифрование страдает от проблемы необходимости распределения ключа, который должен быть безопасным образом доставлен от отправителя получателю. Вот здесь-то и приходит на помощь RSA, потому что RSA можно использовать, чтобы зашифровать симметричный ключ.</p><p>Циммерман представил следующий план действий. Если Алиса хочет послать зашифрованное сообщение Бобу, она начинает с того, что зашифровывает его с помощью симметричного шифра. Циммерман предложил использовать шифр, известный как IDEA и который похож на DES. Для зашифровывания с помощью IDEA Алисе нужно выбрать ключ, но чтобы Боб смог расшифровать сообщение, Алисе надо каким-то образом передать этот ключ ему. Алиса справляется с этим затруднением: она находит открытый ключ RSA Боба, а затем использует его, чтобы зашифровать ключ IDEA. Таким образом Алиса завершает свои действия, высылая Бобу сообщение, зашифрованное симметричным шифром IDEA, и ключ IDEA, зашифрованный асимметричным шифром RSA. На другом конце Боб использует свой секретный ключ RSA, чтобы расшифровать ключ IDEA, а затем использует ключ IDEA, чтобы расшифровать сообщение. Это может показаться слишком сложным, но преимущество заключается в том, что сообщение, которое может содержать большой объем информации, зашифровывается быстрым симметричным шифром, и только симметричный ключ IDEA, состоящий из сравнительно небольшого количества информации, зашифровывается медленным асимметричным шифром. Циммерман предполагал включить эту комбинацию RSA и IDEA в свою программу PGP, но удобный интерфейс означает, что пользователя не должно волновать, что при этом происходит.</p><p>Разрешив, в основном, проблему быстродействия, Циммерман включил также в PGP ряд полезных свойств. Например, перед применением RSA, Алисе необходимо сгенерировать свои секретный и открытый ключи. Процесс создания ключа не прост, поскольку требует нахождения пары огромных простых чисел. Но единственное, что следует сделать Алисе, — это случайным образом подвигать своей мышкой, и программа PGP создаст ее секретный и открытый ключи; движениями мышки вводится случайный фактор, который используется в PGP и благодаря которому гарантируется, что у каждого пользователя будет своя отличающаяся от других пара простых чисел и, тем самым, своя уникальная комбинация секретного и открытого ключей. После этого Алиса должна просто известить о своем открытом ключе.</p><p>Еще одно полезное свойство PGP — простота выполнения электронной подписи на сообщениях, отправляемых по электронной почте. Как правило, на этих сообщениях подпись не ставится, что означает невозможность проверки подлинности автора электронного сообщения. Например, если Алиса воспользуется электронной почтой, чтобы послать Бобу любовное письмо, она зашифрует его открытым ключом Боба, а тот, когда получит, расшифрует его своим секретным ключом. Вначале Бобу это льстит, но может ли он быть уверен, что любовное письмо действительно от Алисы? Возможно, что злокозненная Ева написала это электронное письмо и подписалась именем Алисы в конце. Кроме заверения собственноручно написанной чернилами подписью другого явного способа проверить авторство нет.</p><p>Или же представьте себе, что банк получает электронное письмо от клиента, в котором отдаются распоряжения, чтобы все его денежные средства были перечислены на номерной банковский счет частного лица на Каймановых островах. Опять-таки без собственноручно написанной подписи как может банк знать, что это электронное письмо действительно пришло от клиента? Оно могло бы быть написано преступником, пытающимся переместить денежные средства на свой банковский счет на Каймановых островах. Для выработки доверия к Интернету важно, чтобы существовала какая-либо форма достоверной цифровой подписи.</p><p>Цифровая подпись в PGP основана на принципе, который был впервые разработан Уитфилдом Диффй и Мартином Хеллманом. Когда они предложили идею о раздельных открытых и секретных ключах, то поняли, что наряду с решением проблемы распределения ключей их открытие позволяет также создавать подписи для электронных писем. В главе 6 мы видели, что открытый ключ используется для зашифровывания, а секретный ключ — для расшифровывания. На самом деле эти операции можно поменять местами, так что для зашифровывания будет использоваться секретный ключ, а для расшифровывания — открытый ключ. Режим зашифровывания как правило, игнорируется, поскольку никакой безопасности он не обеспечивает. Если Алиса применяет свой секретный ключ, чтобы зашифровать сообщение для Боба, то каждый может расшифровать его, потому что у всех есть открытый ключ Алисы. Но как бы то ни было, данный режим подтверждает авторство, так как если Боб может расшифровать сообщение с помощью открытого ключа Алисы, значит, оно должно было быть зашифровано с использованием ее секретного ключа; но только у Алисы имеется доступ к своему секретному ключу, поэтому данное сообщение было отправлено Алисой.</p><p>В сущности, если Алиса хочет послать Бобу любовное письмо, у нее есть две возможности. Либо она зашифрует сообщение с помощью открытого ключа Боба, чтобы обеспечить секретность переписки, либо она зашифрует его своим собственным секретным ключом, чтобы подтвердить авторство. Однако если она объединит обе операции, то сможет гарантировать и секретность переписки, и авторство. Существуют более быстрые способы для достижения этого, но здесь приводится один из способов, которым Алиса может послать свое любовное письмо. Она начинает с того, что зашифровывает сообщение с помощью своего секретного ключа, а затем зашифровывает получающийся зашифрованный текст, используя открытый ключ Боба. Вообразите себе сообщение, окруженное хрупкой внутренней оболочкой, которая представляет собой шифрование, выполненное с помощью секретного ключа Алисы, и прочную наружную оболочку, представляющую шифрование с использованием открытого ключа Боба. Получающийся шифртекст может быть расшифрован только Бобом, потому что только он имеет доступ к секретному ключу, необходимому для того, чтобы разбить эту прочную наружную оболочку. Расшифровав наружную оболочку, Боб затем сможет легко расшифровать с помощью открытого ключа Алисы и внутреннюю оболочку; эта внутренняя оболочка служит не для того, чтобы защитить сообщение, она удостоверяет, что данное сообщение пришло от Алисы, а не от какого-нибудь мошенника.</p><p>К этому моменту отправка зашифрованного PGP сообщения становится довольно сложной. Шифр IDEA используется для того, чтобы зашифровать сообщение, RSA применяется для зашифровывания ключа IDEA, а если необходима цифровая подпись, то должен быть задействован еще один этап шифрования. Однако Циммерман разработал свою программу таким образом, что она все будет делать автоматически, так что Алисе и Бобу не придется беспокоиться о математике. Чтобы отправить сообщение Бобу, Алиса просто напишет свое электронное письмо и выберет из меню на экране своего компьютера нужную опцию PGP. Затем она введет имя Боба, после чего PGP отыщет открытый ключ Боба и автоматически выполнит зашифровывание. Одновременно с этим PGP будет проделывать все необходимые манипуляции, требующиеся для создания электронной подписи на сообщении. При получении зашифрованного сообщения Боб выберет опцию PGP, и PGP расшифрует сообщение и удостоверит подлинность автора. В PGP нет ничего нового: Диффи и Хеллман уже придумали цифровые подписи, а другие криптографы пользовались комбинацией симметричного и асимметричного шифров для повышения скорости шифрования, но Циммерман первым объединил все это в простом в применении программном продукте для шифрования, который оказался достаточно эффективным для использования на персональном компьютере средних размеров.</p><p>К лету 1991 года Циммерман уже готов был придать PGP законченный вид. Оставались только две проблемы, причем ни одна из них не являлась технической. Одна из них — и проблема эта стояла довольно длительное время — заключалась в том, что RSA, который лежал в основе PGP, являлся запатентованным продуктом, а по патентному законодательству, перед тем как выпустить PGP, Циммерману требовалось получить лицензию у компании RSA Дата Секью-рити Инк. Однако Циммерман решил пока отложить эту проблему. PGP задумывалась не как программа для предприятий и компаний, а скорее как программа для отдельных людей. Он полагал, что не станет непосредственно конкурировать с RSA Дата Секьюрити Инк., и надеялся, что компания без задержки предоставит ему свободную лицензию.</p><p>Более серьезной и требующей немедленного разрешения проблемой был законопроект по борьбе с преступностью сената США от 1991 года, в котором содержался следующий пункт: «Конгресс считает, что поставщики услуг электронных средств связи и производители оборудования электронных средств связи должны обеспечить, чтобы системы связи позволяли правительству получать содержание открытого текста при осуществлении связи по телефонной и радиотелефонной линиям, при передаче данных и при использовании других средств коммуникации, когда, соответственно, это разрешено законодательно».</p><p>Сенат был обеспокоен тем, что развитие цифровой техники, к примеру, появление сотовых телефонов, может лишить возможности сотрудникам правоприменяющих органов вести прослушивание телефонных разговоров. Однако этот законопроект, помимо того, что вынуждал компании обеспечивать возможность прослушивания, похоже, представлял угрозу для всех видов криптостойкого шифрования.</p><p>Объединенными усилиями RSA Дата Секьюрити Инк., индустрии услуг связи и групп, выступающих за гражданские свободы, данный пункт пришлось снять, но по единодушному мнению, это явилось только временной отсрочкой. Циммерман опасался, что рано или поздно, но правительство снова попытается внести данный проект на рассмотрение, который фактически поставил бы шифрование и, в частности, PGP вне закона. Он всегда предполагал заняться продажей PGP, но теперь он изменил свое решение. Чем ждать и рисковать, что PGP будет запрещено правительством, он решил, что важнее, пока не станет слишком поздно, сделать ее доступной для всех. В июне 1991 года он предпринял решительный шаг и попросил своего друга разместить PGP на электронной доске объявлений Usenet. PGP — это всего-навсего программный продукт, так что его мог свободно и бесплатно переписать с доски объявлений любой желающий. Так PGP попал в Интернет.</p><p>Вначале PGP произвела ажиотаж только среди страстных поклонников криптографии. Следом ее переписали себе более широкие слои энтузиастов Интернета. Потом компьютерные журналы дали сначала краткую информацию, а затем статьи на целые страницы, посвященные феномену PGP. Постепенно PGP стала проникать во все более и более удаленные уголки интернет-сообщества. К примеру, во всем мире группы по защите прав человека стали использовать PGP для зашифровывания своих документов, чтобы не допустить попадания информации в руки режимов, которые обвинялись в нарушениях этих прав. Циммерман стал получать электронные письма, восхваляющие его за то, что он создал. «В Бирме есть группы сопротивления, — говорит Циммерман, — которые пользуются ею в учебных лагерях, расположенных в джунглях. Они сообщали, что она им очень помогла укрепить боевой дух, потому что до того, как стала применяться PGP, захваченные документы приводили к арестам, пыткам и казням целых семей». В 1991 году, в день, когда Борис Ельцин обстреливал здание московского Парламента, Циммерман получил это электронное письмо от кого-то через Латвию: «Фил, я хочу, чтобы вы знали, — надеюсь, этого никогда не случится, но, если диктатура захватит власть в России, ваша PGP широко разошлась от Балтики до Дальнего Востока и, если нужно, поможет демократам. Благодарю».</p><p>В то время как по всему миру росло число поклонников Циммермана, у себя дома, в Америке, он стал предметом критики. Компания RSA Дата Секыорити Инк. пришла в ярость, что права на ее патент были нарушены, и решила не предоставлять Циммерман свободную лицензию. Несмотря на то что Циммерман выпустил PGP как freeware, но в ней содержалась система шифрования с открытым ключом RSA, и из-за этого RSA Дата Секыорити Инк. назвала PGP — banditware<a href="#note_29">[30]</a>. Циммерман отдал нечто такое, что принадлежало другому. Спор по поводу патента продолжался несколько лет, а за это время Циммерман столкнулся с еще большей проблемой.</p><p>В феврале 1993 года Циммерману нанесли визит два государственных следователя. После первых вопросов о нарушении патентного права они стали задавать вопросы в связи с гораздо более серьезным обвинением в незаконном вывозе оружия. Так как правительство США определило программные продукты для шифрования как вооружение — наряду с ракетами, минометами и пулеметами, PGP не могла экспортироваться без разрешения государственного департамента. Другими словами, Циммерман обвинялся в том, что является торговцем оружием, поскольку экспортировал PGP через Интернет. На следующие три года Циммерман стал объектом расследования Большого Жюри и преследования со стороны ФБР.</p><h3>Шифрование для масс… Или нет?</h3><p>Расследование в отношении Фила Циммермана и PGP вызвало споры о положительных и отрицательных сторонах шифрования в информационный век. Распространение PGP заставило криптографов, политиков, борцов за гражданские права и сотрудников правоприменяющих органов серьезно задуматься о последствиях широкого применения шифрования. Были такие, кто, как и Циммерман, верили, что широкое применение криптостойкого шифрования окажется благом для общества, гарантируя всем конфиденциальность при использовании цифровых средств связи. Против них выступали те, кто считал, что шифрование представляет угрозу обществу, потому что преступники и террористы смогут осуществлять связь тайно, недоступно для прослушивания полицией.</p><p>Споры длились на протяжении всех 90-х годов, и по сей день эта проблема столь же неоднозначна, как и раньше. Основной вопрос заключается в том, должны ли правительства запрещать криптографию законодательным порядком, или нет. Криптографическая свобода позволит всем, в том числе и преступникам, быть уверенными, что их электронные письма защищены от прочтения. С другой стороны, ограничение в использовании криптографии даст возможность полиции следить за преступниками, но оно же позволит ей и всем остальным заинтересованным службам следить и за рядовыми гражданами. В конечном счете это нам предстоит решать — через правительства, которые мы избираем, — будущую роль криптографии. В этом разделе в общих чертах излагаются позиции обеих сторон в данном споре. Большая часть обсуждения отводится политическим принципам и тем, кто определяет и формирует политику в Америке, отчасти потому, что PGP, вокруг которой ведется столько дебатов, появилась именно здесь, а отчасти поскольку какую бы политику ни приняли в Америке, она в конечном итоге будет оказывать влияние на политику на всем земном шаре.</p><p>Доводы против широкого использования шифрования, которыми аргументируют сотрудники правоприменяющих органов, заключаются в желании сохранить статус-кво. Десятилетиями полиция во всем мире проводила узаконенное прослушивание телефонных переговоров, чтобы схватить преступников. Так, в Америке в 1918 году прослушивание телефонных переговоров применялось в качестве меры противодействия военным шпионам, а в 20-е годы оно оказалось исключительно эффективным для вынесения приговоров бутлегерам. Точка зрения, что прослушивание телефонных переговоров являлось необходимым инструментом обеспечения правопорядка, утвердилась в конце 60-х, когда ФБР осознала, что организованная преступность превратилась в растущую угрозу нации. Полицейские испытывали огромные сложности при вынесении приговоров подозреваемым, так как гангстеры угрожали всем, кто мог бы дать против них показания, а кроме того, существовал еще и кодекс молчания, или <i>омерта.</i> Полиция полагала, что единственная надежда для нее — это получить доказательства путем прослушивания телефонных переговоров, и Верховный Суд благожелательно отнесся к этому аргументу. В 1967 году он постановил, что полиция может заниматься прослушиванием телефонных переговоров до тех пор, пока у нее есть предварительно полученное решение суда.</p><p>И через двадцать лет ФБР по-прежнему уверяет, что «прослушивание телефонных переговоров по распоряжению суда является единственным, наиболее эффективным средством расследования, применяемым органами правопорядка для борьбы с запрещенными наркотиками, терроризмом, тяжкими преступлениями, шпионажем и организованной преступностью». Однако прослушивание телефонных переговоров полицией окажется бесполезным, если преступники получат доступ к шифрованию. Телефонный звонок через линию цифровой связи будет ничем иным, как потоком чисел, и может быть зашифрован тем же способом, которым зашифровываются электронные письма. К примеру, PGP является одним из нескольких продуктов, способных шифровать телефонные разговоры по Интернету.</p><p>Сотрудники правоприменяющих органов доказывают, что эффективное прослушивание телефонных переговоров необходимо для поддержания закона и порядка и что шифрование должно быть ограничено, чтобы они могли и дальше продолжать перехватывать сообщения.</p><p>В руки полиции уже попадались преступники, использующие, для того, чтобы обезопасить себя, стойкое шифрование. Немецкий эксперт по правовым вопросам говорил, что «вопросы в таких видах криминального бизнеса, как торговля оружием и наркотиками, больше не решаются по телефону, но улаживаются в зашифрованном виде по всемирной сети передачи данных». Один из сотрудников администрации Белого дома указывал на подобную, вызывающую беспокойство тенденцию и в Америке, заявив, что «членами организованных преступных группировок являются некоторые из наиболее опытных пользователей компьютерных систем и криптостойкого шифрования». Так, наркокартель, базирующийся в г. Кали (Колумбия) организовывал свои сделки с наркотиками посредством зашифрованной связи. Сотрудники полиции опасаются, что Интернет в сочетании с криптографией поможет преступникам осуществлять связь и координировать свои усилия; особенно их беспокоят так называемые «Четыре всадника Инфокалипсиса»: торговцы наркотиками, организованная преступность, террористы и педофилы, то есть те группы, которые получат от шифрования наибольшую пользу.</p><p>Наряду с шифрованием связи преступники и террористы зашифровывают также свои планы и учетные документы, препятствуя получению доказательств. Оказалось, что секта Аум Синрикё, ответственная за газовую атаку в токийском метро в 1995 году, некоторые из своих документов зашифровывала с использованием RSA. Рамзи Юсеф, один из террористов, организовавший взрыв бомбы во Всемирном торговом центре, хранил планы будущих террористических актов зашифрованными на своем портативном компьютере. Помимо международных террористических организаций, от шифрования получат также пользу многочисленные заурядные преступники. Так, один из синдикатов в Америке, занимающийся незаконными азартными играми, зашифровал свои отчеты за четыре года. Исследование, проведенное Дороти Деннинг и Уильямом Боу, порученное им в 1997 году рабочей группой по организованной преступности Национального центра стратегической информации США, показало, что в мире было совершено пятьсот преступлений, связанных с шифрованием, и был дан прогноз, что ориентировочно их количество будет ежегодно удваиваться.</p><p>Но помимо внутренней политики существуют также вопросы национальной безопасности. Американское Агентство национальной безопасности отвечает за сбор разведывательных данных по врагам государства путем дешифрования их сообщений. АН Б использует глобальную систему станций перехвата совместно с Великобританией, Австралией, Канадой и Новой Зеландией, которые также осуществляют сбор и обмениваются информацией. В систему входят такие центры, как база радиоэлектронной разведки в Менвис Хилле в Йоркшире, крупнейшая в мире шпионская станция. Часть работы в Менвис Хилле заключается в использовании системы «Эшелон», которая способна осуществлять сканирование электронных писем, факсов, телексов и телефонных звонков в поиске определенных слов.</p><p>«Эшелон» работает в соответствии со словарем подозрительных слов, таких как «Хезболлах», «террорист» и «Клинтон», и эта система достаточно быстрая, чтобы распознать эти слова в реальном времени. «Эшелон» может помечать вызывающие сомнения сообщения для дальнейшей проверки, позволяя следить за сообщениями конкретных политических группировок или террористических организаций. Однако «Эшелон» окажется бесполезным, если все сообщения станут зашифрованными. Все участвующие в «Эшелоне» государства потеряют важную разведывательную информацию о политических интригах и террористических атаках.</p><p>По другую сторону спора находятся борцы за гражданские права, в том числе такие группы, как Центр демократии и технологии, а также Фонд электронных границ<a href="#note_30">[31]</a>. Аргументация в поддержку шифрования основывается на убежденности, что частная жизнь является основным правом человека, как указано в статье 12 Всеобщей декларации прав человека: «Никто не может подвергаться произвольному вмешательству в его личную и семейную жизнь, произвольным посягательствам на неприкосновенность его жилища, тайну его корреспонденции или на его честь и репутацию. Каждый человек имеет право на защиту закона от такого вмешательства или таких посягательств».</p><p>Борцы за гражданские права доказывают, что широкое применение шифрования является важнейшим фактором, гарантирующим право на личную жизнь. Они опасаются, что в противном случае появление цифровой техники, значительно упрощающей ведение слежки, возвестит наступление новой эры прослушивания телефонов и неминуемо связанных с этим злоупотреблений. Правительства в прошлом неоднократно пользовались своей властью, чтобы осуществлять прослушивание телефонных разговоров законопослушных граждан. Президенты Линдон Джонсон и Ричард Никсон были виновны в необоснованном прослушивании телефонных разговоров, а президент Джон Ф. Кеннеди санкционировал их прослушивание в первый же месяц своего президентства. При подготовке законопроекта, касающегося импорта сахара из Доминиканской республики, Кеннеди потребовал подключить подслушивающие устройства к телефонам нескольких конгрессменов. Его оправдывало, по-видимому, обоснованное беспокойство о национальной безопасности и вера, что те берут взятки. Однако никаких доказательств взяточничества получено не было, а прослушивание телефонных разговоров просто-напросто дало Кеннеди ценную политическую информацию, которая помогла администрации провести данный законопроект.</p><p>Одним из самых известных случаев связан с Мартином Лютером Кингом-младшим, чьи телефонные разговоры неправомерно прослушивались в течение нескольких лет. Так, в 1963 году ФБР получило информацию на Кинга путем прослушивания телефонных переговоров и предоставило ее сенатору Джеймсу Истланду, чтобы помочь ему в дебатах по законопроекту о гражданских правах. По большей части ФБР собирало подробности о личной жизни Кинга, которые использовались для его дискредитации. Записи о Кинге, рассказывающем скабрезные истории, были посланы его жене и воспроизведены перед президентом Джонсоном. А после того, как Кингу была присуждена Нобелевская премия мира, обескураживающие подробности о жизни Кинга были переданы во все организации, которые, как считалось, поддержали его награждение.</p><p>Другие правительства не меньше виновны в злоупотреблениях при прослушивании телефонных разговоров. По оценке Commission Nationale de Controle des Interceptions de Securite ежегодно во Франции осуществляется примерно 100 000 незаконных прослушиваний телефонов. Видимо, самым значительным посягательством на частную жизнь всех людей является межународная программа «Эшелон». «Эшелон» не обязана обосновывать свои перехваты, и целью ее не являются определенные лица. Напротив, она собирает информацию, невзирая на лица и не делая никаких исключений, используя для этого приемники, которые определяют осуществление передачи данных по спутниковым каналам. Если Алиса посылает безобидное трансатлантическое сообщение Бобу, то оно, без сомнения, будет перехвачено «Эшелоном», если же вдруг в сообщении окажется несколько слов, входящих в словарь «Эшелона», оно будет помечено, как требующее дальнейшей проверки, наряду с сообщениями от экстремистских политических группировок и террористических организаций. Несмотря на то что сотрудники правоприменяющих органов доказывают, что шифрование должно быть запрещено, ибо оно сделает «Эшелон» неэффективным, борцы за гражданские права заявляют, что шифрование точно необходимо и именно потому, что оно сделает «Эшелон» неэффективным.</p><p>Когда сотрудники правоприменяющих органов доказывают, что криптостойкое шифрование уменьшит количество осужденных преступников, борцы за гражданские права отвечают, что вопрос частной жизни гораздо важнее. В любом случае, как утверждают борцы за гражданские права, шифрование не станет непреодолимым препятствием для органов правопорядка, поскольку в большинстве случаев прослушивание телефонных разговоров не является решающим. К примеру, в Америке в 1994 году осуществлялось порядка тысячи санкционированных судом прослушиваний телефонов, — сравните это с четвертью миллионов федеральных дел.</p><p>Не удивительно, что среди сторонников криптографической свободы есть несколько изобретателей шифрования с открытым ключом. Уитфилд Диффи заявляет, что чуть ли не впервые в истории граждане получили возможность полностью сохранять в тайне свою частную жизнь:</p><cite><p>В 90-х годах восемнадцатого века, когда был ратифицирован билль о правах, любые два человека могли вести секретную беседу — с определенностью можно сказать, что ни у кого в мире сегодня нет такой возможности, — пройдя несколько метров по дороге и осмотревшись, чтобы убедиться, что никто не прячется в кустах. Не было никаких записывающих устройств, параболических микрофонов или лазерных интерферометров, отражающихся стеклами их очков. Обратите внимание, что цивилизация выжила. Многие из нас расценивают тот период, как золотой век в американской политической культуре.</p></cite><p>Рон Ривест, один из тех, кто придумал RSA, полагает, что ограничение криптографии окажется безрассудством:</p><cite><p>Плохо без разбора запрещать технологию только потому, что некоторые преступники могут использовать ее в своих целях. Так, любой гражданин США может свободно купить пару перчаток, даже при том, что ими мог бы воспользоваться грабитель, чтобы очистить дом, не оставив отпечатков пальцев. Криптография — это средство для защиты данных, точно так же, как перчатки — средство для защиты рук. Криптография защищает данные от хакеров, корпоративных шпионов и мошенников, в то время как перчатки предохраняют руки от порезов, царапин, жары, холода, инфекции. Первая может воспрепятствовать ФБР прослушивать телефонные разговоры, а вторые — помешают ФБР найти отпечатки пальцев. И криптография, и перчатки — они дешевле пареной репы и есть везде. В действительности вы можете переписать хорошую криптографическую программу из Интернета за цену меньшую, чем стоимость пары хороших перчаток.</p></cite><p>Возможно, что самыми большими сторонниками дела борцов за гражданские права являются крупные корпорации. Электронная коммерция еще только зарождается, но продажи растут как на дрожжах; здесь ведущую роль играют продавцы книг, музыкальных компакт-дисков и программного обеспечения для компьютеров, а вслед за ними движутся супермаркеты, туристические фирмы и компании с другими видами деятельности. В 1998 году миллион англичан через Интернет купили продукции на 400 миллионов фунтов стерлингов, а в 1999 — в четыре раза больше. Всего лишь через несколько лет электронная коммерция может стать доминирующей на рынке, но только если предприятия и компании смогут решить вопросы безопасности и доверия. Бизнес должен быть способен гарантировать конфиденциальность и безопасность финансовых сделок, и единственным способом этого является использование криптостойкого шифрования.</p><p>В настоящий момент безопасность покупки через Интернет может гарантировать криптография с открытым ключом. Алиса заходит на страницу компании в Интернете и выбирает, что ей нужно. Затем она заполняет бланк заказа, в котором требуется сообщить ее имя, адрес и данные кредитной карточки. Чтобы зашифровать бланк заказа, Алиса использует открытый ключ компании. Зашифрованный бланк заказа пересылается в компанию, которая единственная может расшифровать ее, так как только у них есть секретный ключ, требующийся для расшифровки. Все это выполняется автоматически Алисиным веб-браузером (например, Netscape или Explorer) во взаимодействии с компьютером данной компании.</p><p>Как обычно, надежность шифрования зависит от размера ключа. В Америке нет ограничений на его размер, но компаниям США, занимающимся разработкой программного обеспечения, до сих пор не позволяют экспортировать продукцию, позволяющую осуществлять стойкое шифрование.</p><p>Так что браузеры, поставляемые в остальной мир, могут работать только с ключами небольшого размера, обеспечивая тем самым только среднюю безопасность. То есть, если Алиса находится в Лондоне и покупает книгу у компании в Чикаго, ее сделка через Интернет в миллион миллион миллионов раз менее надежна по сравнению с Бобом, который, находясь к Нью-Йорке, покупает книгу у той же компании. Сделка Боба абсолютно надежна, поскольку его браузер поддерживает шифрование с большим размером ключа, в то время как сделка Алисы может быть расшифрована полным решимости сделать это злоумышленником. К счастью, стоимость оборудования, необходимого для того, чтобы определить данные кредитной карточки Алисы, намного превышает обычную сумму денег на кредитной карточке, так что такая атака экономически нецелесообразна. Однако по мере возрастания денежных сумм, проходящих через Интернет, злоумышленникам со временем станет выгодным дешифровать данные кредитных карточек. Короче говоря, чтобы электронная коммерция процветала, потребители во всем мире должны обладать надлежащей безопасностью, а бизнес не должен допускать использования ущербного шифрования.</p><p>Бизнесу требуется криптостойкое шифрование еще по одной причине. Корпорации хранят огромное количество информации, в том числе описание продукции, данные о клиентах и бухгалтерские счета, в базах данных на компьютере. Естественно, что корпорации хотят защитить эту информацию от хакеров, которые могут проникнуть в компьютер и выкрасть эту информацию. Такая защита может быть обеспечена зашифровыванием хранимой информации с тем, чтобы она была доступной только работникам, имеющим ключ для дешифровывания.</p><p>Подведем итог. Очевидно, что спор ведется между двумя лагерями: борцы за гражданские права и компании выступают за криптостойкое шифрование, в то время как сотрудники правоприменяющих органов высказываются в пользу строгих ограничений. В целом, общественное мнение, на которое повлияли благожелательные средства массовой информации и пара голливудских фильмов, поддерживает альянс, выступающий за шифрование. В начале 1998 года в фильме «Меркурий в опасности» была рассказана история о новом шифре АНБ, который, как полагали, взломать было невозможно, но который был непреднамеренно раскрыт девятилетним, умственно неполноценным, хотя и гениальным в отдельных областях мальчиком. Агент АНБ, чью роль сыграл Алек Болдуин, намеревается убить ребенка, воспринимаемого им в качестве угрозы национальной безопасности. По счастью у мальчика есть защитник, Брюс Уиллис, который спасает его. В том же 1998 году Голливуд выпустил фильм «Враг государства», где речь шла о заговоре АНБ с целью убийства политика, ратующего за стойкое шифрование. Политик убит, но в конечном итоге адвокат, которого сыграл Уилл Смит, и бунтарь из АНБ, сыгранный Джином Хэкманом, отдали убийц из АНБ в руки правосудия.</p><p>В обоих фильмах АНБ изображается более зловещей, чем ЦРУ, и во многом АНБ унаследовала роль этого ведомства, несущего угрозу. В то время как лобби, выступающее за шифрование, приводит доводы в пользу криптографической свободы, а выступающее против шифрования отстаивает криптографические ограничения, есть и третий вариант, который может обеспечить компромисс. За последнее десятилетие криптографы и лица, определяющие политику, изучили все за и против схемы, известной как <i>депонирование ключей. </i>Термин «депонирование» обычно относится к договоренности, когда один человек передает некую сумму денег третьему лицу, а тот может при определенных условиях передать деньги второму человеку. Например, арендатор может вручить залог адвокату, который передаст его домовладельцу в случае повреждения его собственности. С точки зрения криптографии, «депонирование» означает, что Алиса передаст копию своего секретного ключа эскроу-агенту, независимому и надежному посреднику, которому дано право передать секретный ключ в полицию при наличии весомых доказательств, что Алиса вовлечена в преступную деятельность.</p><p>Самым известным примером криптографического депонирования ключей был американский стандарт шифрования с депонированием ключей, принятый в 1994 году. Целью было внедрение двух систем шифрования, названных «Клиппер» и «Кэпстоун», и предназначенных для применения соответственно в телефонной и компьютерной связи. Чтобы воспользоваться шифрованием с помощью «Клиппера», Алиса покупает телефон с заранее установленной в нем микросхемой, в которой содержится информация о ее секретном ключе. В момент покупки телефона с микросхемой «Клиппер» копия секретного ключа в микросхеме разделяется на две половинки, каждая из которых будет послана в два независимых федеральных ведомства на хранение. Правительство США утверждает, что у Алисы будет иметься доступ к криптостойкому шифрованию, а ее приватность будет нарушена, только если сотрудники правоприменяющих органов смогут убедить оба федеральных ведомства в необходимости получения ее депонированного секретного ключа.</p><p>Правительство США использовало «Клиппер» и «Кэпстоун» для своих собственных средств коммуникации и вменило в обязанность для компаний, принимающих участие в работах по государственному заказу, внедрить американский стандарт шифрования с депонированием ключей. Другие компании и частные лица были вольны пользоваться любыми видами шифрования, но правительство надеялось, что со временем наиболее предпочитаемыми в государственном масштабе станут «Клиппер» и «Кэпстоун». Однако надежды не оправдались. Идея депонирования ключей заполучила всего несколько сторонников вне правительства. Борцам за гражданские права не нравилась идея федеральных ведомств, владеющих ключами каждого; проводя аналогию с настоящими ключами, они спрашивали, как бы чувствовали себя люди, если бы у правительства имелись ключи ото всех наших домов.</p><p>Эксперты в криптографии указывали, что всего лишь один недобросовестный или нечестный сотрудник может нанести вред всей системе, продавая депонированные ключи покупателю, который предложит за них самую высокую цену. Конфиденциальностью были озабочены и компании. К примеру, европейские компании в Америке опасались, что их сообщения перехватывались американскими должностными лицами в попытке выведать секреты, которые могли бы дать американским соперникам преимущество в конкурентной борьбе.</p><p>Несмотря на провал «Клиппера» и «Кэпстоуна», многие правительства по-прежнему убеждены, что депонированием ключей можно пользоваться, пока ключи достаточно хорошо защищены от злоумышленников и пока есть гарантии, что эта система закрыта для злоупотреблений со стороны правительства. В 1996 году Луис Дж. Фри, директор ФБР, заявил: «Органы правопорядка полностью поддерживают сбалансированную политику шифрования… Депонирование ключей — это едва ли не единственное решение; это, к тому же, исключительно хорошее решение, поскольку оно фактически обеспечивает решение основных социальных вопросов, в том числе конфиденциальности, информационной безопасности, электронной коммерции, общественной и национальной безопасности.» Хотя правительство США отказалось от своих предложений депонирования, многие подозревают, что какое-то время спустя оно вновь попытается ввести альтернативную форму депонирования ключей. Оказавшись свидетелем неудачи добровольного депонирования ключей, правительства могут даже подумывать об обязательном их депонировании. А тем временем сторонники шифрования продолжают выступать против депонирования ключей. Технический журналист Кеннет Нейл Кьюкер писал, что, «все те, кто принимает участие в дебатах по вопросам криптологии, умны, честны и выступают в защиту депонирования, но никто из них не обладает одновременно более чем двумя этими качествами».</p><p>Имеются и другие возможности, которыми могут воспользоваться правительства, чтобы постараться учесть интересы борцов за гражданские права, бизнеса и органов правопорядка. Пока не ясно, какая окажется наиболее предпочтительной, поскольку в настоящее время политика в отношении криптографии все время меняется. На ход дискуссии о шифровании оказывали влияние постоянно происходящие в мире события. В ноябре 1998 года королева в своей речи<a href="#note_31">[32]</a> объявила о готовящемся законопроекте Великобритании, касающемся электронного рынка. В декабре 1998 года 33 государства подписали Вассенаарское соглашение, ограничивающее экспорт вооружений, в которое также вошли криптостойкие технологии шифрования. В январе 1999 года Франция отменила свои анти-криптографические законы, которые прежде были самыми жесткими в Западной Европе, возможно, как результат давления со стороны деловых кругов. В марте 1999 года Британское правительство выпустило консультативный документ по предложенному законопроекту об электронной коммерции.</p><p>К тому времени, как вы будете читать эту книгу, в дебатах о криптографической политике произойдет еще несколько неожиданных поворотов и зигзагов. Однако один аспект будущей политики шифрования представляется бесспорным: необходимость в <i>органах по сертификации.</i> Если Алиса захочет послать зашифрованное электронное письмо своему новому другу Заку, ей понадобится его открытый ключ. Она может попросить Зака выслать ей свой открытый ключ по почте. К сожалению, в этом случае существует опасность, что Ева перехватит письмо Зака Алисе и уничтожит его, а взамен подготовит новое, в котором вместо ключа Зака будет на самом деле содержаться ее собственный открытый ключ. После этого Алиса сможет послать Заку нежное письмо по электронной почте, но ей и невдомек, что она зашифровала его открытым ключом Евы. Если Ева сумеет перехватить это электронное письмо, для нее не составит труда расшифровать и прочитать его. Другими словами, одна из проблем, связанных с шифрованием с открытым ключом, — это необходимость быть уверенным в том, что у вас имеется подлинный открытый ключ именно того человека, с которым вы хотите переписываться. Органы по сертификации как раз и являются организациями, которые должны будут удостоверять, что данный открытый ключ действительно принадлежит данному конкретному человеку. Орган по сертификации может потребовать личной встречи с Заком, чтобы убедиться, что они правильно внесли в каталог его открытый ключ. Если Алиса доверяет органу по сертификации, она может получить там открытый ключ Зака и быть уверенной, что этот ключ действительно Зака.</p><p>Я уже объяснял, как Алиса могла бы, ничего не опасаясь, покупать товары через Интернет с помощью открытого ключа компании, применяемого для того, чтобы зашифровать бланк заказа. Фактически она бы сделала это, только если подлинность открытого ключа подтверждена органом по сертификации. В 1998 году ведущей в области сертификации была компания Верисигн, оборот которой всего лишь за четыре года вырос до 30 миллионов долларов. Помимо обеспечения надежного шифрования путем сертифицирования открытых ключей, органы по сертификации могут также гарантировать подтверждение подлинности цифровых подписей. В 1998 году ирландская компания Балтимор Текнолоджис осуществила аутентификацию цифровых подписей президента Билла Клинтона и премьер-министра Берти Ахерна. Это дало возможность обоим лидерам скрепить в Дублине цифровой подписью коммюнике.</p><p>Органы по сертификации никоим образом не угрожают безопасности. Они просто попросят Зака предъявить свой открытый ключ с тем, чтобы подтвердить его подлинность для тех людей, кто захотел бы послать ему зашифрованные сообщения. Существуют, однако, и другие компании, называемые <i>доверенными третьими сторонами</i> (ДТС), предоставляющие более спорную услугу, известную как <i>восстановление ключа.</i> Представьте себе легально действующую компанию, которая защищает все свои жизненно важные документы путем зашифровывания их своим открытым ключом, так что только она одна и может расшифровать их своим секретным ключом. Такая система является эффективным способом защиты от хакеров и любых других лиц, кто мог бы попытаться выкрасть информацию. Но что произойдет, если ответственный за хранение секретного ключа сотрудник забудет его, скроется вместе с ним или же его собьет автобус? Правительства содействуют появлению ДТС в целях хранения копий всех ключей. Компания, которая потеряет свой секретный ключ, сможет восстановить его, обратившись в ДТС.</p><p>Доверенные третьи стороны являются спорными, так как они будут иметь доступ к секретным ключам людей, и тем самым у них будет возможность читать сообщения своих клиентов. Эти ДТС должны быть заслуживающими доверия и благонадежными, иначе неминуемы злоупотребления. Некоторые утверждают, что ДТС являются фактически реинкарнацией депонирования ключей и что у сотрудников правоприменяющих органов возникнет соблазн заставить ДТС выдать им ключи своих клиентов во время проведения полицейского расследования. Другие считают, что ДТС являются необходимым элементом инфраструктуры с открытым ключом.</p><p>Никто не может предугадать, какую роль ДТС будут играть в будущем, и никто не может с уверенностью предсказать политику в отношении криптографии через десять лет. Впрочем, я полагаю, что в ближайшем будущем первоначально победят в споре сторонники шифрования, главным образом потому, что ни одна страна не захочет иметь законы, направленные против шифрования, которые препятствовали бы электронной коммерции. Однако, окажись такая политика ошибочной, — всегда возможно поменять законы. Если бы случилась серия террористических злодеяний и сотрудники правоохранительных органов смогли бы доказать, что прослушивание телефонных переговоров предотвратило бы их, то в правительствах быстро бы снискала симпатию политика депонирования ключей. Всех, кто пользуется стойким шифрованием, заставили бы депонировать свои ключи у эскроу-агента, и, соответственно, любой, кто отправит зашифрованное сообщение с недепонированным ключом, окажется нарушителем закона. Если наказание за шифрование с недепонированным ключом будет достаточно суровым, сотрудники правоприменяющих органов смогут вновь обрести контроль. Позднее, если правительства злоупотребят доверием, касающимся системы депонирования ключей, общество потребует возврата к криптографической свободе, и маятник качнется назад. Короче говоря, нет причин, по которым мы не сможем изменить свою политику и приспособить ее к требованиям политического, экономического и общественного климата. И кого общество будет при этом бояться больше — преступников или правительства, — окажется в этом случае решающим фактором.</p><h3>Реабилитация Циммермана</h3><p>В 1993 году Фил Циммерман оказался объектом расследования Большого Жюри. По утверждению ФБР, он экспортировал военное снаряжение, поскольку поставлял враждебным государствам и террористам программные средства, в которых те нуждались, чтобы обойти полномочные органы правительства США. По мере того как тянулось расследование, все больше и больше криптографов и борцов за гражданские права стремилось поддержать Циммермана, учредив международный фонд для финансирования его юридической защиты. В то же время пришедшая к нему в результате расследования я ФБР известность способствовала росту популярности PGP, и детище Циммермана стало распространяться через Интернет еще быстрее; как-никак, эта программа шифрования оказалась настолько криптостойкой, что напугала даже федералов.</p><p>Первоначально Pretty Good Privacy выпускалась второпях, и потому программа была не настолько отшлифованной, как могла бы. Но вскоре стали раздаваться настойчивые требования доработать PGP, хотя было ясно, что продолжать работать над программой Циммерман не в состоянии. Вместо него за модернизацию PGP взялись специалисты по разработке программного обеспечения в Европе. Вообще говоря, отношение европейцев к шифрованию было — да и остается по сей день — более либеральным, и не возникало никаких ограничений по распространению европейской версии PGP по всему миру. К тому же спор о патенте RSA в Европе не возникал, поскольку патенты RSA за пределами Америки не заявлялись.</p><p>И три года спустя после начала расследования Большим Жюри Циммерман все еще не был привлечен к суду. Случай оказался запутанным из-за характера самой PGP и способа, которым она распространялась. Если бы Циммерман установил PGP в каком-нибудь компьютере, а затем отправил бы его в страну с враждебным режимом, то доказательства против него были бы просты, так как ясно, что он был бы виновен в экспортировании работоспособной системы шифрования. Если бы он отправил диск, содержащий программу PGP, то этот физический объект мог бы рассматриваться как криптографическое устройство, и опять-таки доказательства против Циммермана были бы вполне весомыми. С другой стороны, если бы он распечатал компьютерную программу и экспортировал ее в виде книги, никаких аргументов против него уже нельзя было бы выдвинуть, поскольку в этом случае считалось бы, что он экспортирует знания, а не криптографическое устройство. Однако напечатанная документация может быть легко отсканирована, а информация введена прямо в компьютер, что означает, что книга столь же опасна, как и диск. В действительности же Циммерман передал копию PGP «другу», который всего лишь установил ее на американском компьютере, а тот, так уж случилось, оказался подключенным к Интернету. После чего враждебный режим вполне мог переписать ее. Так был ли Циммерман действительно виновен в экспортировании PGP? Даже сегодня продолжаются споры по правовым вопросам, относящимся к Интернету. А уж в начале 90-х годов ситуация была вообще неясна.</p><p>В 1996 году, после трехлетнего расследования, Генеральная прокуратура США сняла свои обвинения против Циммермана. ФБР поняла, что стало уже слишком поздно: PGP попала в Интернет, и преследованием Циммермана в судебном порядке ничего не добиться. Существовала и еще одна проблема, заключающаяся в том, что Циммермана поддерживало большинство институтов, таких как например, издательство Массачусетского технологического института, которое опубликовало 600-страничную книгу, посвященную PGP. Эта книга разошлась по всему миру, а посему обвинение Циммермана означало бы обвинение и издательства МТИ. ФБР отказалось от судебного преследования еще и потому, что существовала немалая возможность того, что Циммерман будет признан невиновным. Судебным разбирательством ФБР не смогло бы добиться ничего, кроме как конституционных дебатов о праве на неприкосновенность частной жизни, вызывая тем самым еще большую симпатию общества в пользу широкого распространения шифрования.</p><p>Исчезла также и другая основная проблема Циммермана. Он, в конце концов, достиг соглашения с RSA и получил лицензию, которая разрешила вопрос с патентом. Наконец-то PGP стала легальным продуктом, а Циммерман — свободным человеком. Расследование превратило его в крестоносца от криптографии, и все менеджеры по маркетингу в мире, должно быть, завидовали известности и бесплатной рекламе, выпавшим по воле случая PGP. В конце 1997 года Циммерман продал PGP компании Нетворк Ассошиэйтс и стал в ней одним из старших сотрудников. Хотя PGP не продавалась предприятиям и компаниям, она по-прежнему доступна для всех, кто не намерен использовать ее для каких бы то ни было коммерческих целей. Другими словами, те, кто стремится просто воспользоваться своим правом на неприкосновенность частной жизни, сможет, как и раньше, бесплатно переписать PGP из Интернета.</p><p>Если вы хотите получить копию PGP, в Интернете имеется множество сайтов с этой программой, и вы без труда найдете их. Самый, пожалуй, надежный источник находится по адресу <a l:href="http://www.pgpi.com/">http://www.pgpi.com/</a> — это начальная страница International PGP, откуда вы сможете переписать американскую и международную версии PGP. Здесь я хотел бы снять с себя всякую ответственность. Если решите установить у себя PGP, вам самому необходимо проверить, может ли она работать на вашем компьютере, не заражено ли программное обеспечение вирусом и так далее. Вам также следует удостовериться, что вы находитесь в стране, где разрешено использование криптостойкого шифрования. Наконец, вам необходимо убедиться, что вы переписываете соответствующую версию PGP; лицам, живущим за пределами Америки, не следует переписывать американскую версию PGP, потому что этим будут нарушены американские экспортные законы. Международная же версия PGP от экспортных ограничений свободна.</p><p>Я все еще помню тот воскресный полдень, когда я впервые переписал копию PGP из Интернета. С того самого момента я застрахован от того, что мои электронные письма будут перехвачены и прочитаны, потому что теперь я могу зашифровать важную информацию для Алисы, Боба и для всех, у кого есть программа PGP. Мой портативный компьютер и программа PGP дают мне такую криптостойкость, которая не по зубам совместным усилиям всех дешифровальных ведомств мира.</p><h2>8 Квантовый прыжок в будущее</h2><p>На протяжении двух тысячелетий создатели шифров прикладывали все усилия, чтобы сохранить секреты, дешифровальщики же старались сделать все возможное, чтобы их раскрыть. Между ними всегда шло острое соперничество: дешифровальщики отступали, когда шифровальщики чувствовали себя хозяевами положения, а создатели шифров, в свою очередь, придумывали новые, более стойкие виды шифрования, когда предыдущие оказывались скомпрометированными. Открытие криптографии с открытым ключом и политические споры, ведущиеся вокруг использования стойкой криптографии, приводят нас к сегодняшнему дню, и не вызывает сомнений, что в информационной войне побеждают криптографы. По словам Фила Циммермана, мы живем в «золотом веке» криптографии: «Сейчас в современной криптографии можно создать такие шифры, которые будут совершенно недоступны всем известным видам криптоанализа. И я полагаю, что так будет и впредь». Точку зрения Циммермана разделяет Уильям Кроуэлл, заместитель директора Агентства национальной безопасности: «Если все персональные компьютеры мира, а их примерно 260 миллионов, заставить работать над единственным сообщением, зашифрованным PGP, то для его дешифрования потребовалось бы в среднем время в 12 миллионов раз превышающее возраст Вселенной».</p><p>Впрочем, из прежнего опыта нам известно, что рано или поздно, но любой так называемый «нераскрываемый» шифр не смог устоять перед криптоанализом. Шифр Виженера назывался «нераскрываемым шифром», но Бэббидж взломал его; «Энигма» считалась неуязвимой до тех пор, пока поляки не выявили ее слабости. Так что же, криптоаналитики стоят на пороге нового открытия, или же прав Циммерман? Предсказывать будущее развитие любой технологии всегда рискованно, но когда дело касается шифров, это рискованно особенно. Мало того что мы должны предугадать, какие открытия состоятся в будущем, мы также должны постараться отгадать, какие открытия заключены в настоящем. Повествование о Джеймсе Эллисе и ШКПС дает нам понять, что уже и сейчас могут существовать поразительные достижения, скрытые за завесой правительственной секретности.</p><p>Эта заключительная глава посвящена рассмотрению нескольких футуристических идей, которые могут повысить или погубить конфиденциальность в двадцать первом столетии. В следующем разделе обсуждается будущее криптоанализа и, в частности, одна из идей, которая смогла бы дать возможность криптоаналитикам раскрыть все сегодняшние шифры. В последнем разделе данной книги, напротив, рассказывается о самой волнующей надежде криптографии — о системе, которая может гарантировать абсолютную секретность.</p><h3>Криптоанализ завтрашнего дня</h3><p>Несмотря на исключительную стойкость RSA и других современных шифров, роль криптоаналитиков в сборе разведывательной информации все так же важна. Доказательством успешности их деятельности служит тот факт, что сейчас спрос на криптоаналитиков выше, чем когда бы то ни было раньше, и АНБ по-прежнему является крупнейшим в мире работодателем для математиков.</p><p>Лишь незначительное количество передаваемой по всему миру информации надежно зашифровано; остальная же ее часть либо зашифрована плохо, либо не зашифрована вовсе. Причина этого заключается в быстро растущем числе пользователей Интернета, и пока что лишь немногие из них предпринимают адекватные меры предосторожности в том, что касается обеспечения секретности. А это, в свою очередь, означает, что организации, отвечающие за национальную безопасность, сотрудники правоприменяющих органов и вообще любой любопытствующий могут заполучить в свои руки больше информации, чем допустимо.</p><p>Даже если пользователи надлежащим образом применяют шифр RSA, у дешифровальщиков по-прежнему есть масса возможностей добыть информацию из перехваченного сообщения. Дешифровальщики продолжают пользоваться старыми, добрыми методами, как, например, анализ трафика; если им и не удастся понять содержание сообщения, то они сумеют как минимум определить, кто является его отправителем и кому оно направлено, что само по себе может сказать о многом. Более современной разработкой является так называемая темпест-атака, цель которой — обнаружение электромагнитных сигналов, излучаемых электронными схемами в дисплее компьютера. Если Ева припаркует фургон на улице неподалеку от дома Алисы, она сможет воспользоваться чувствительной темпест-аппаратурой и распознать любые нажатия на клавиши, которые выполняет Алиса на своем компьютере. Это позволит Еве перехватить сообщение в тот момент, когда оно вводится в компьютер, еще до того, как оно будет зашифровано. Чтобы защититься от темпест-атак, компании производят и поставляют экранирующие материалы, которые могут использоваться для облицовки стен комнаты в целях предотвращения прохождения электромагнитных сигналов. В Америке, прежде чем купить такой экранирующий материал, следует получить разрешение у правительства, что наводит на мысль, что такие организации, как ФБР, регулярно проводят слежку и наблюдение с применением темпест-аппаратуры.</p><p>Другие виды атак заключаются в использовании вирусов и «троянских коней»<a href="#note_32">[33]</a>. Ева могла бы создать вирус, который заразит программу PGP и тайно сядет в компьютере Алисы. В тот момент, когда Алиса воспользуется своим секретным ключом для дешифррвания сообщения, вирус «проснется» и запишет этот ключ. Когда Алиса в следующий раз подключится к Интернету, вирус тайно отправит этот секретный ключ Еве, позволив ей тем самым дешифровать все сообщения, посылаемые после этого Алисе. «Троянский конь» — еще одна составленная Евой каверзная компьютерная программа, которая, на первый взгляд, действует как настоящая программа шифрования, но на самом деле обманывает пользователя. Например, Алиса считает, что переписывает подлинную копию PGP, в то время как в действительности она загружает одну из версий «троянского коня». Эта модифицированная версия выглядит точно так же, как и настоящая программа PGP, но содержит инструкции пересылать Еве копии всей расшифрованной корреспонденции Алисы. Как высказался Фил Циммерман: «Любой может модифицировать исходный код и создать имитацию программы PGP, представляющую собой лоботомированного зомби, которая хоть и выглядит как настоящая, но выполняет приказы своего дьявольского хозяина. Впоследствии эта версия PGP с «троянским конем» может получить широкое хождение, поскольку утверждается, что она якобы исходит от меня. Какое коварство! Вам следует приложить все усилия, чтобы получить свою копию PGP из надежного источника, чего бы вам этого ни стоило».</p><p>Одним из вариантов «троянского коня» является принципиально новый фрагмент программного обеспечения для шифрования, который выглядит вполне надежно, но в действительности содержит <i>«черный ход»,</i> который иногда позволяет его разработчикам дешифровывать сообщения всех и каждого. В 1998 году в отчете Уэйна Мэдсена было обнародовано, что швейцарская криптографическая компания Крипто АГ установила «черные ходы» в некоторых из своих программных продуктов и предоставила правительству США подробные сведения о том, как пользоваться этими «черными ходами». В результате Америка оказалась способна прочесть сообщения некоторых стран. В 1991 году убийц Шахпура Бахтияра, бывшего премьер-министра Ирана, жившего в изгнании, задержали благодаря тому, что были перехвачены и дешифрованы с помощью «черного хода» иранские сообщения, зашифрованные с помощью оборудования Крипто АГ.</p><p>Несмотря на то что и анализ трафика, и темпест-атаки, и вирусы, и «троянские кони» до сих пор представляют собой полезные способы сбора разведывательной информации, криптоаналитики понимают, что их подлинной целью является поиск способа взлома шифра RSA — краеугольного камня современного шифрования. Шифр RSA используется для защиты самых важных военных, дипломатических, коммерческих и криминальных сообщений — то есть как раз тех сообщений, дешифрование которых и представляет интерес для организаций, занятых сбором разведывательной информации. Криптоаналитикам, чтобы бросить вызов стойкому шифрованию RSA, потребуется совершить крупное теоретическое открытие или значительный технологический прорыв.</p><p>Теоретическое открытие станет принципиально новым способом поиска секретного ключа Алисы. Секретный ключ Алисы состоит из чисел <i>р</i> и <i>q,</i> и они находятся путем разложения на множители открытого ключа <i>N.</i> Стандартный подход — поочередно проверять все простые числа, чтобы посмотреть, делится ли <i>N</i> на них, или нет, правда, как мы знаем, на это потребуется неоправданно много времени. Криптоаналитики пробовали отыскать способ быстрого разложения на множители — способ, который бы значительно сократил число шагов, необходимых для нахождения <i>р</i> и <i>q,</i> но до сих пор все их попытки выработать рецепт быстрого разложения на множители заканчивались неудачей. Веками математики изучали разложение на множители, но и сегодня способы разложения на множители ненамного лучше, чем античные методы. Более того, вполне может оказаться так, что существование существенного упрощения операции разложения на множители запрещается самими законами математики.</p><p>В отсутствии надежды на теоретическое открытие, криптоаналитики были вынуждены искать какое-нибудь техническое новшество. Если явного способа сократить количество действий, требующихся для разложения на множители, нет, то тогда криптоаналитикам необходим способ, с помощью которого эти действия будут выполняться гораздо быстрее. С годами кремниевые чипы будут работать все быстрее и быстрее, удваивая свою скорость примерно каждые восемнадцать месяцев, но для того, чтобы хоть как-то повлиять на скорость разложения на множители, этого недостаточно; криптоаналитикам требуются устройства, которые были бы в миллионы раз быстрее современных компьютеров. Так что криптоаналитики рассчитывают на принципиально новый вид компьютера — квантовый компьютер. Если бы ученые смогли создать квантовый компьютер, это позволило бы выполнять вычисления с такой скоростью, что современный суперкомпьютер выглядел бы по сравнению с ним сломанными счетами.</p><p>Далее в этом разделе будет обсуждаться концепция квантового компьютера, и поэтому здесь вводятся некоторые принципы квантовой физики, называемой иногда квантовой механикой. Прежде чем двигаться дальше, обратите, пожалуйста, внимание на предупреждение, которое поначалу дал Нильс Бор, один из «отцов» квантовой механики: «Тот, кто способен размышлять о квантовой механике, не испытывая при этом головокружения, не понял ее». Другими словами, приготовьтесь к встрече с несколькими довольно причудливыми идеями.</p><p>Чтобы объяснить принципы квантовых вычислений, полезно вернуться в конец восемнадцатого века к работе Томаса Юнга, английского энциклопедиста, сделавшего первый шаг в дешифровании египетской иероглифики. Юнг, член совета колледжа Эммануэль в Кембридже, частенько проводил послеобеденное время, отдыхая около пруда для уток рядом с колледжем. Как-то раз, как гласит предание, он обратил внимание на двух безмятежно плывущих бок о бок уток. Он заметил, что каждая из уток оставляла за собой на воде след в виде двух расходящихся веером волн, которые взаимодействовали друг с другом и создавали своеобразную картину, состоящую из участков, покрытых рябью, и участков со спокойной гладью воды. Когда гребень волны, идущей от одной из уток, встречался со впадиной между волнами, идущими от другой утки, в результате образовывался небольшой участок спокойной глади воды — гребень волны и впадина между волнами взаимно уничтожали друг друга. И наоборот, если в каком-то месте одновременно встречались две волны, то в результате образовывалась еще более высокая волна, если же в каком-то месте одновременно встречались две впадины, то образовывалась еще более глубокая впадина. Его это крайне заинтересовало, потому что утки напомнили ему об эксперименте, связанном с изучением природы света, который он провел в 1799 году.</p><p>В том эксперименте, как показано на рисунке 71 (а), Юнг освещал светом перегородку, в которой были две узкие вертикальные щели. На экране, расположенном на некотором расстоянии позади щелей, Юнг ожидал увидеть две светлые полоски — проекции щелей. Вместо этого он заметил, что свет от обеих щелей расходился веером, создавая на экране рисунок из нескольких светлых и темных полос. Такой рисунок в виде полос на экране озадачил его, но теперь он был уверен, что вполне смог бы дать ему объяснение, исходя из того, что он увидел на пруду для уток.</p><p>Юнг начал с предположения, что свет представляет собой волну. Но если свет, выходящий из двух щелей, ведет себя как волна, тогда эти волны ведут себя почти так же, как и волновые следы позади обеих уток. Более того, причиной появления светлых и темных полос на экране было то же самое взаимодействие, которое приводило к образованию высоких волн, глубоких впадин между волнами и участков со спокойной гладью воды. Юнг представил себе точки на экране, где встретились пик волны и впадина между волнами, что привело к их взаимному уничтожению и образованию темной полосы, и точки на экране, где встретились две волны (или две впадины), что вызвало их усиление и образование светлой полосы, как показано на рисунке 71 (b). Утки позволили Юнгу лучше понять природу света, в результате чего он опубликовал «Волновую теорию света» — нестареющий классический труд по физике.</p><p></p><p><strong><sub>Рис. 71 Эксперимент Юнга со щелями (вид сверху). На рисунке (а) видны световые волны, расходящиеся веером из двух щелей в перегородке, которые взаимодействуют между собой и образуют на экране рисунок в виде полос. На рисунке (b) показывается, как взаимодействуют между собой отдельные волны. Если на экране встречаются впадина между волнами и волна, то в результате образуется темная полоса. Если на экране встречаются две впадины между волнами (или две волны), то в результате образуется светлая полоса.</sub></strong></p><p>Сейчас нам известно, что свет действительно ведет себя как волна, но мы также знаем, что он ведет себя и как частица. То, как мы воспринимаем свет — в качестве волны или же частицы, — зависит от конкретной ситуации, и такая двойственность в поведении света называется корпускулярно-волновым дуализмом. Мы не будем далее обсуждать этот дуализм, просто укажем, что в современной физике световой пучок считается состоящим из бесчисленного множества отдельных частиц, называемых фотонами, которые и проявляют волновые свойства. При таком подходе мы можем трактовать эксперимент Юнга, как вылетающие из щели, а затем взаимодействующие с обратной стороны перегородки фотоны.</p><p>Вроде бы ничего особенно странного в эксперименте Юнга нет. Однако современная технология позволяет физикам повторить эксперимент Юнга, используя для этого нить накаливания, которая настолько тусклая, что испускает одиночные световые фотоны с частотой, скажем, раз в минуту, и каждый фотон в одиночку движется к перегородке. Время от времени фотон пролетает через одну из двух щелей и попадает на экран. Хотя наши глаза недостаточно чувствительны, чтобы видеть отдельные фотоны, за ними можно наблюдать с помощью специального датчика, и по прошествии нескольких часов мы сможем получить полную картину попадания фотонов на экран. Если в любой момент времени через щели пролетает только один фотон, то рассчитывать, что мы увидим полосы, которые наблюдал Юнг, мы не можем, потому что они образуются, похоже, только в том случае, когда два фотона одновременно пролетят через разные щели и затем провзаимодействуют друг с другом. Вместо них мы могли бы ожидать появления только двух светлых полосок — проекций щелей в перегородке. Однако по какой-то непонятной причине даже при одиночных фотонах на экране по-прежнему образуется точно такой же рисунок из светлых и темных полос, как если бы фотоны взаимодействовали друг с другом.</p><p>Этот поразительный результат противоречит здравому смыслу. С точки зрения законов классической физики, то есть таких законов, которые были созданы для описания того, как ведут себя обычные предметы, объяснить это явление невозможно. Классическая физика может объяснить орбиты планет или траекторию пушечного ядра, но совершенно не способна дать описание микромира, например, траектории фотона. Для объяснения таких фотонных процессов физики прибегают к квантовой теории, объясняющей поведение объектов на микроскопическом уровне. Однако даже теоретики квантовой физики не могут прийти к согласию относительно объяснения результата этого эксперимента. Они раскололись на два лагеря, каждый из которых интерпретирует результат по-своему.</p><p>Первым лагерем постулируется концепция, известная как <i>суперпозиция</i>. Сторонники суперпозиции начинают с того, что заявляют, что доподлинно нам известны о фотоне только две вещи: он вылетает из нити накаливания и он попадает на экран. Все остальное — полнейшая загадка, в том числе, полетит ли фотон через левую или через правую щель. Так как точный путь фотона неизвестен, сторонники суперпозиции считают, что фотон каким-то образом пролетает одновременно через обе щели, что позволяет ему затем проинтерферировать самому с собой и создать рисунок в виде полос, который и наблюдается на экране. Но разве способен одиночный фотон пролететь через обе щели?</p><p>Аргументация сторонников суперпозиции на этот счет следующая. Если мы не знаем, как ведет себя частица, то значит, могут одновременно реализовываться все вероятности. В случае фотона нам не известно, пролетит ли он через левую или же через правую щель, поэтому мы предполагаем, что он пролетает через обе щели одновременно. Каждая вероятность называется <i>состоянием</i>, а поскольку в данном случае с фотоном реализуются обе вероятности, то говорят, что он находится в <i>суперпозиции состояний.</i> Мы знаем, что один фотон испускается нитью накаливания, и мы знаем, что один фотон попадает на экран за перегородкой, но между этими событиями он каким-то образом разделяется на два «фотона-призрака», которые пролетают через обе щели. Суперпозиция может звучать и глупо, но она хотя бы дает объяснение появлению рисунка в виде полос, получающегося в эксперименте Юнга с отдельными фотонами. Сравните, классическое представление, состоящее в том, что фотон должен пролететь через одну из двух щелей — мы просто не знаем, через какую именно, — кажется более здравым, чем квантовое, но, к сожалению, оно не способно объяснить получающийся результат.</p><p>Эрвин Шредингер, получивший Нобелевскую премию по физике в 1933 году, придумал мысленный эксперимент, известный под названием «кошка Шредингера», который часто используется для объяснения концепции суперпозиции. Представьте себе кошку, находящуюся в ящике. Для этой кошки существуют два возможных состояния: мертвая или живая. Вначале мы достоверно знаем, что кошка находится в одном определенном состоянии, поскольку можем видеть, что она живая. В этот момент кошка не находится в суперпозиции состояний. Затем положим в ящик рядом с кошкой ампулу с цианидом и закроем крышку. Теперь для нас наступил период неведения, потому что не можем видеть кошку или определить ее состояние. Жива ли она, или же наступила на ампулу с цианидом и умерла? В обычной жизни мы бы сказали, что кошка либо мертва, либо жива, — мы только не знаем, что именно. Квантовая теория, однако, говорит, что кошка находится в суперпозиции из двух состояний: она и мертва, и жива, то есть она находится во всех возможных состояниях. Суперпозиция возникает только тогда, когда объект пропадает у нас из виду и является способом описания объекта в период неопределенности. Когда, в конечном итоге, мы откроем ящик, мы сможем увидеть, жива ли кошка или мертва. Это действие — мы смотрим на кошку — вынуждает ее перейти в одно из определенных состояний, и тут же суперпозиция исчезает.</p><p>Для тех читателей, кому не нравится суперпозиция, есть второй квантовый лагерь, выступающий за иную интерпретацию эксперимента Юнга. К сожалению, эта альтернативная точка зрения столь же причудлива. В <i>многомировой интерпретации</i> объявляется, что после того, как фотон вылетел из нити накаливания, у него есть две возможности: он пролетит либо через левую, либо через правую щель — в этот момент мир разделяется на два мира, и в одном мире фотон пролетает через левую щель, а в другом мире фотон пролетает через правую щель. Оба эти мира как-то взаимодействуют друг с другом, чем и объясняется появление рисунка в виде полос. Сторонники многомировой интерпретации считают, что всякий раз, как у объекта появляется возможность перейти в одно из нескольких вероятных состояний, мир разделяется на множество миров с тем, чтобы каждая вероятность реализовывалась в отличающемся мире. Такое множественное число миров именуется <i>мультимиром.</i></p><p>Неважно, выбираем ли мы суперпозицию или многомировую интерпретацию, квантовая теория является сложной философской доктриной. Но несмотря на свою сложность, она показала себя самой успешной и практичной научной теорией, которая когда-либо появлялась. Квантовая теория помимо того, что способна объяснить результат, полученный в эксперименте Юнга, успешно объясняет и множество других явлений. Только квантовая теория дает возможность физикам рассчитать последствия ядерных реакций в атомных электростанциях; только квантовая теория может дать объяснение чудесам ДНК; только квантовая теория объясняет, почему светит Солнце; только квантовая теория может применяться при разработке лазера для считывания компакт-дисков в вашей стереосистеме. Так что нравится нам это или нет, но мы живем в квантовом мире.</p><p>Из всех следствий квантовой теории самым технически важным является, по-видимому, квантовый компьютер, который помимо того, что разрушит стойкость всех современных шифров, возвестит приход новой эры вычислительных возможностей. Одним из пионеров квантовых вычислений был Дэвид Дойч, британский физик, начавший трудиться над этим принципом в 1984 году после участия в конференции по теории вычислений. Слушая на конференции одно из выступлений, Дойч обнаружил нечто такое, на что ранее не обращали внимания. Неявно предполагалось, что все компьютеры действовали по законам классической физики, но Дойч был убежден, что на самом деле компьютеры должны подчиняться законам квантовой физики, так как квантовые законы являются более фундаментальными.</p><p>Обычные компьютеры действуют на относительно макроскопическом уровне, а на этом уровне в законах квантовой и классической физики почти нет отличий. Поэтому не имело значения, что ученые, как правило, рассматривали обычные компьютеры с точки зрения классической физики. Однако на микроскопическом уровне возникают различия в этих двух совокупностях законов, и на этом уровне применимы только законы квантовой физики. На микроскопическом уровне квантовые законы демонстрируют свою истинную фантастичность, и компьютер, созданный на основе этих законов, станет вести себя совершенно по-иному. После конференции Дойч вернулся домой и принялся за переработку теории компьютеров в свете квантовой физики. В статье, опубликованной в 1985 году, он дал свое видение квантового компьютера, действующего по законам квантовой физики. В частности, он объяснил, чем его квантовый компьютер отличается от обычного компьютера.</p><p></p><p><strong><sub>Рис. 72 Дэвид Дойч</sub></strong></p><p>Представьте, что у вас есть два варианта вопроса. Чтобы ответить на оба с помощью обычного компьютера, вам нужно будет ввести первый вариант и дождаться ответа, а затем ввести второй вариант и снова ждать ответ. Другими словами, обычный компьютер может в каждый момент времени работать только с одним вопросом, а если есть несколько вопросов, то работать с ними придется последовательно. Однако при использовании квантового компьютера оба варианта могут быть объединены в виде суперпозиции двух состояний и заданы одновременно, а машина сама после этого введет суперпозицию обоих состояний, по одному на каждый вариант. Или, в соответствии с многомировой интерпретацией, машина введет два различных мира и даст ответ по каждому варианту вопроса в различных мирах. Но безотносительно к интерпретации, квантовый компьютер может в одно и то же время обрабатывать два варианта, используя законы квантовой физики.</p><p>Чтобы получить представление о возможностях квантового компьютера, мы можем сравнить его эффективность с эффективностью работы обычного компьютера, посмотрев, что происходит, когда каждый из них используется для решения конкретной задачи. К примеру, компьютеры обоих типов могут решать задачу нахождения такого числа, в квадрате и кубе которого будут присутствовать, но ни разу не повторяться, все цифры от 0 до 9. Если мы проверим число 19, то получим, что 19<sup>2</sup> = 361, а 19<sup>3</sup> = 6859. Это число не удовлетворяет нашему требованию, поскольку в его квадрате и кубе используются только цифры 1, 3, 5, 6, 6, 8 и 9, то есть цифр 0, 2, 4 и 7 нет, а цифра 6 повторяется дважды.</p><p>Для решения этой задачи с помощью обычного компьютера оператор должен применить следующий подход. Оператор вводит число 1 и дает возможность компьютеру проверить его. После того как компьютер выполнит необходимые вычисления, он сообщает, удовлетворяет ли данное число критерию или нет. Число 1 критерию не удовлетворяет, поэтому оператор вводит число 2 и дает возможность компьютеру выполнить очередную проверку и так далее, пока не будет в конце концов найдено соответствующее число. Оказывается, что это будет число 69, поскольку 69<sup>2</sup> = 4761, а 69<sup>3</sup> = 328509, и в эти числах действительно по одному разу используется каждая из десяти цифр. На самом же деле 69 является единственным числом, удовлетворяющим нашему требованию. Ясно, что такой процесс занимает много времени, так как обычный компьютер может в каждый момент времени проверять только одно число. Если на проверку каждого числа компьютер затрачивает одну секунду, то, чтобы найти ответ, ему понадобится 69 секунд. Квантовому же компьютеру для нахождения ответа потребуется всего лишь 1 секунда.</p><p>Оператор начинает с того, что представляет числа особым образом с тем, чтобы воспользоваться мощью квантового компьютера. Один из способов заключается в представлении чисел посредством вращающихся частиц: многие элементарные частицы обладают собственным спином, и они могут вращаться либо с запада на восток, либо с востока на запад<a href="#note_33">[34]</a>, подобно баскетбольному мячу, крутящемуся на кончике пальца. Когда частица вращается с запада на восток, она обозначает 1, а когда вращается с востока на запад, то 0. Поэтому последовательность вращающихся частиц представляет собой последовательность единиц и нулей, или двоичное число. К примеру, семь частиц, вращающихся соответственно на восток, восток, запад, восток, запад, запад, запад, сообща образуют двоичное число <strong>1101000</strong>, которое соответствует десятичному числу 104. Комбинация из семи частиц, с учетом спинов, может представлять собой любое число между 0 и 127.</p><p>При использовании обычного компьютера оператор вводит одну конкретную последовательность спинов, например, на запад, запад, запад, запад, запад, запад, восток, которая соответствует числу <strong>0000001</strong>, или просто десятичному числу 1. Далее оператор ждет, пока компьютер проверит это число, чтобы выяснить, удовлетворяет ли оно указанному выше критерию. После этого оператор вводит <strong>0000010</strong>, что соответствует последовательности вращающихся частиц, обозначающих 2, и так далее. Как и раньше, числа должны будут вводиться каждый раз по одному, что, как мы знаем, потребует много времени. Однако если мы имеем дело с квантовым компьютером, у оператора имеется альтернативный, гораздо более быстрый способ ввода чисел. Поскольку каждая частица является элементарной, она подчиняется законам квантовой физики. Поэтому когда частица не наблюдаема, она может задать суперпозицию состояний, которая означает, что она вращается одновременно в обоих направлениях и тем самым представляет одновременно и 0, и 1. Или же мы можем представить себе частицу, которая попадает в два разных мира; в одном мире она вращается с запада на восток и представляет собой 1, в то время как в другом она вращается с востока на запад и представляет собой 0.</p><p>Суперпозиция достигается следующим образом. Представьте, что мы можем наблюдать за одной из частиц — она вращается с востока на запад. Чтобы изменить ее спин, мы выстрелим мощным импульсом энергии, достаточным, чтобы частица стала вращаться с запада на восток. Если бы мы выстрелили более слабым импульсом, то иногда нам бы посчастливилось и частица изменила бы спин, а иногда нас бы постигла неудача и частица сохранила бы свое вращение с востока на запад. Вплоть до этого момента частица была все время на виду и мы могли проследить за ее движением. Однако если мы поместим вращающуюся с востока на запад частицу в ящик, где не сможем наблюдать за ней, и выстрелим в нее слабым импульсом энергии, то мы не будем иметь понятия, изменился ли ее спин. Частица перейдет в суперпозицию спинов с вращением с запада на восток и с востока на запад, аналогично тому, как кошка попадает в суперпозицию мертвая-живая. Если взять семь вращающихся с востока на запад частиц, поместить их в ящик и выстрелить в них семью слабыми импульсами, то все семь частиц перейдут в суперпозицию.</p><p>Когда все семь частиц находятся в суперпозиции, они фактически представляют все возможные сочетания спинов с вращением с запада на восток и с востока на запад. Эти семь частиц одновременно представляют собой 128 различных состояний, или 128 различных чисел. Оператор вводит семь частиц, когда они находятся в суперпозиции состояний, в квантовый компьютер, который после этого выполняет вычисления таким образом, как если бы он проверял все 128 чисел одновременно. Через 1 секунду компьютер выдаст число, 69, которое отвечает требуемому критерию. Оператор получает 128 вычислений «по цене одного».</p><p>Концепция квантового компьютера противоречит здравому смыслу. Если на минутку отвлечься от деталей, то квантовый компьютер можно представить себе двумя различными способами, в зависимости от того, какую квантовую трактовку вы предпочитаете. Некоторые физики считают квантовый компьютер единичным объектом, который выполняет вычисления одновременно со 128 числами. Другие рассматривают его как 128 объектов, каждый в своем отдельном мире, выполняющих только одно вычисление. Квантовые вычисления являются технологией в области неопределенности.</p><p>Когда обычные компьютеры оперируют с <strong>1</strong> и <strong>0</strong>, эти <strong>1</strong> и <strong>0</strong> называются двоичными цифрами, или, для краткости, битами. Поскольку квантовый компьютер имеет дело с <strong>1</strong> и <strong>0</strong>, представляющими собой квантовую суперпозицию, они называются квантовыми битами, или кубитами. Достоинства кубитов станут еще более заметными, если мы будем рассматривать большее количество частиц. С помощью 250 вращающихся частиц, или 250 кубитов, можно образовать примерно 10<sup>75</sup> комбинаций, что больше всего количества атомов во Вселенной. Если бы можно было достичь соответствующей суперпозиции с 250 частицами, то квантовый компьютер смог бы одновременно выполнять 10<sup>75</sup> вычислений и все их закончить в течение всего лишь одной секунды.</p><p>Использование квантовых эффектов смогло бы дать квантовым компьютерам невообразимую мощь. К сожалению, когда Дойч создавал свою концепцию квантового компьютера в середине 80-х, никто не мог в полной мере представить себе, каким образом создать на практике работоспособную машину. К примеру, ученые не могли ничего построить, что могло бы выполнять вычисления со спиновыми частицами, находящимися в суперпозиционном состоянии. Одна из самых значительных трудностей заключалась в сохранении суперпозиции состояний во время вычислений. Суперпозиция существует, только когда она ненаблюдаема, но в самом общем смысле наблюдение состоит в любом взаимодействии с чем-то, что находится вне суперпозиции. Какой-нибудь одиночный случайный атом, провзаимодействовав с одной из вращающихся частиц, вызовет нарушение суперпозиции, которая выродится в базисное состояние, и в результате квантовые вычисления выполнить не удастся.</p><p>Еще одна проблема была вызвана тем, что ученые не знали, как запрограммировать квантовый компьютер, и поэтому не были уверены, какого рода вычисления он способен производить. Однако в 1994 году Питеру Шору из AT&amp;T Bell Laboratories штата Нью-Джерси удалось составить пригодный для квантового компьютера алгоритм. Замечательной новостью для криптоаналитиков было то, что алгоритм Шора описывал ряд шагов, которые могли бы быть использованы квантовым компьютером для разложения на множители гигантского числа, то есть как раз то, что требовалось для взлома шифра RSA. Когда Мартин Гарднер опубликовал задачу по RSA в «Сайентифик Америкен», потребовалась работа шести сотен компьютеров в течение нескольких месяцев, чтобы разложить на множители число, состоящее из 129 цифр. Для сравнения, с помощью алгоритма Шора можно было разложить на множители число, в миллион раз большее, за время, в миллион раз меньшее. К сожалению, он не мог продемонстрировать свой алгоритм для разложения на множители, поскольку по-прежнему не было такого инструмента, как квантовый компьютер.</p><p>В 1996 году Лов Гровер, также из Bell Laboratories, разработал еще один мощный алгоритм. Алгоритм Гровера — это способ осуществления поиска в списке<a href="#note_34">[35]</a> с невероятно высокой скоростью, что может казаться не особенно интересным, пока вы не поймете, что это именно то, что требуется для взлома шифра DES. Чтобы взломать шифр DES, необходимо выполнить поиск списка всех возможных ключей, чтобы найти правильный. Если обычный компьютер может проверять миллион ключей в секунду, то для раскрытия шифра DES ему потребуется свыше тысячи лет, в то время как квантовый компьютер с помощью алгоритма Гровера смог бы найти ключ менее, чем за четыре минуты.</p><p>Чисто случайно оба этих первых разработанных алгоритма для квантовых компьютеров оказались именно теми, которые криптоаналитики ставили на первое место в своих списках пожеланий. Хотя алгоритмы Шора и Гровера породили колоссальный оптимизм среди дешифровальщиков, но возникло также и чувство огромного разочарования, так как все еще не существовало такой вещи, как действующий квантовый компьютер, на. котором можно было бы реализовать эти алгоритмы. Не удивительно, что возможности самого грозного оружия в дешифровании разожгли аппетит таких организаций, как американское Управление перспективных оборонных исследований (DARPA) и Лос-Аламосская национальная лаборатория, которые отчаянно пытались создать устройства, которые смогли бы обращаться с кубитами точно так же, как кремниевые чипы оперируют с битами.</p><p>Справедливости ради следует отметить, что, хотя ряд новейших достижений укрепил дух исследователей, технология остается в высшей степени примитивной. В 1998 году Серж Харош из университета «Paris VI»<a href="#note_35">[36]</a> показал подоплеку шумихи вокруг этих достижений, развеяв заверения, что до реально существующего квантового компьютера всего лишь несколько лет. Он заявил, что это напоминает бахвальство после кропотливой сборки первого слоя карточного домика, что следующие 15 000 слоев будут простой формальностью.</p><p>Только время покажет, будет ли и если будет, то когда, разрешена проблема создания квантового компьютера. А тем временем мы можем только строить предположения относительно того, какое влияние он окажет на мир криптографии. После 70-х годов благодаря таким шифрам, как DES и RSA, шифровальщики явно лидируют в состязании с дешифровальщиками. Эти виды шифров — ресурс огромной ценности, поскольку мы полагаемся на них, чтобы зашифровать свои электронные письма и защитить свое право на частную жизнь. Аналогичным образом, поскольку мы вступили в двадцать первое столетие, коммерческая деятельность будет все больше и больше проводиться через Интернет, а электронный рынок будет рассчитывать на стойкие шифры для защиты и контроля финансовых сделок. А поскольку информация становится самым ценным товаром в мире, участь государств в сфере экономики, политики и вооруженных сил будет зависеть от стойкости шифров.</p><p>Поэтому создание полностью работоспособного квантового компьютера создаст угрозу неприкосновенности нашей личной жизни, разрушит электронную коммерцию и уничтожит понятие национальной безопасности. Квантовый компьютер поставит под удар стабильность мира. Какая бы страна ни стала первой, она получит возможность отслеживать средства связи своих граждан, читать о намерениях своих конкурентов в коммерции, прослушивать планы своих противников. И несмотря на то, что квантовые вычисления находятся еще в. процессе зарождения, они представляют потенциальную опасность для личности, международного бизнеса и глобальной безопасности.</p><h3>Квантовая криптография</h3><p>В то время как криптоаналитики ожидают появления квантовых компьютеров, криптографы вовсю трудятся над своим собственным технологическим чудом — системой шифрования, которая вновь позволит обрести конфиденциальность, даже в противостоянии с мощью квантового компьютера.</p><p>Этот новый вид шифрования в корне отличен от тех, с которыми мы прежде сталкивались, то есть дает надежду на совершенную стойкость. Другими словами, у этой системы не будет изъянов и слабых мест, и она сможет навечно гарантировать абсолютную секретность. Более того, она основывается на квантовой теории — той самой теории, которая положена в основу квантовых компьютеров. Так что квантовая теория, с одной стороны, используется в компьютере, который сможет раскрыть все нынешние шифры, с другой же — это основа нового нераскрываемого шифра, названного <i>квантовая криптография.</i></p><p>История квантовой криптографии начинается с любопытной идеи, высказанной в конце 60-х Стивеном Виснером, в то время еще аспирантом Колумбийского университета. Достойно сожаления, что идея Виснера значительно опередила свое время и никто ее не воспринял всерьез. Он до сих пор вспоминает реакцию своих наставников: «Я не получил никакой поддержки от своего научного руководителя — он вообще не проявил к ней интереса. Я показал ее еще нескольким людям — у них делались странные лица, и они возвращались к своим занятиям». Виснер предлагал поразительную концепцию квантовых денег, огромное преимущество которых заключалось в том, что подделать их было невозможно.</p><p>Квантовые деньги Виснера основывались главным образом на физике фотонов. Как показано на рисунке 73 (а), фотон во время своего движения производит колебания. Все четыре фотона летят в одном направлении, но в каждом случае угол колебаний различен. Угол колебаний называется поляризацией фотона, и лампочкой накаливания создаются фотоны всех поляризаций, что означает, что у части фотонов колебания будут происходить вверх-вниз, у части фотонов — влево-вправо, а у остальных колебания будут происходить при любых углах между этими направлениями. Для простоты предположим, что фотоны обладают только четырьмя возможными поляризациями, которые мы обозначим .</p><p>Если на пути фотонов установить фильтр, называющийся поляризационным, то выходящий пучок света будет состоять из фотонов, которые колеблются в одном определенном направлении; другими словами, все фотоны будут иметь одну и ту же поляризацию. Мы можем рассматривать поляризационный фильтр как в некотором роде сито, а фотоны — как спички, беспорядочно рассыпанные по ситу. Спички проскользнут сквозь сито только в том случае, если они располагаются под нужным углом. Любой фотон, поляризованный в том же направлении, что и поляризация поляризационного фильтра, заведомо пройдет через него без изменений, а фотоны, поляризованные в направлении, перпендикулярном фильтру, будут задержаны.</p><p>К сожалению, аналогия со спичками не срабатывает, когда мы рассматриваем диагонально поляризованные фотоны, попадающие на поляризационный фильтр с вертикальной поляризацией. Хотя диагонально расположенные спички будут задержаны вертикальным ситом, совсем не обязательно, что это же самое произойдет с диагонально поляризованными фотонами, попадающими на поляризационный фильтр с вертикальной поляризацией. На самом деле, когда диагонально поляризованные фотоны встретятся с поляризационным фильтром с вертикальной поляризацией, то половина из них будет задержана, а половина пройдет через фильтр, причем те, которые пройдут, приобретут вертикальную поляризацию. На рисунке 73 (b) показаны восемь фотонов, попадающих на поляризационный фильтр с вертикальной поляризацией, а на рисунке 73 (с) показано, что через фильтр благополучно прошли только четыре из восьми фотонов. Прошли все вертикально поляризованные фотоны и половина диагонально поляризованных фотонов, а все горизонтально поляризованные фотоны задержаны.</p><p></p><p><strong><sub>Рис. 73 (а) Хотя колебания фотонов происходят во всех направлениях, мы, для простоты рассмотрения, предполагаем, что имеется только четыре различных направления, как показано на данном рисунке. (b) Лампочка испустила восемь фотонов, которые колеблются в различных направлениях. Говорят, что каждый фотон имеет поляризацию. Фотоны летят к поляризационному фильтру с вертикальной поляризацией, (с) По другую сторону фильтра уцелела только половина фотонов. Вертикально поляризованные фотоны прошли, а горизонтально поляризованные фотоны нет. Прошла половина диагонально поляризованных фотонов, после чего они стали вертикально поляризованными.</sub></strong></p><p>Именно такая способность задерживать определенные фотоны и объясняет, каким образом действуют поляроидные солнцезащитные очки. По сути, вы можете рассмотреть влияние поляризационных фильтров, экспериментируя с линзами от поляроидных солнцезащитных очков. Сначала вытащите одну линзу и зажмурьте или прикройте чем-нибудь один глаз, а вторым глазом смотрите через оставшуюся линзу. Не удивительно, что мир выглядит таким темным, ведь линза задерживает множество фотонов, которые иначе попали бы в ваш глаз. В этот момент все фотоны, попавшие в ваш глаз, имеют одну и ту же поляризацию. Затем держите вторую линзу перед линзой, через которую вы смотрите, и медленно вращайте ее. В определенный момент при вращении снятая линза не будет оказывать никакого влияния на количество света, который попадает в ваш глаз, потому что ее ориентация такая же, что и у закрепленной линзы — все фотоны, которые прошли через снятую линзу, пройдут также и через закрепленную линзу. Если теперь вы повернете снятую линзу на 90°, все станет совершенно черным. При таком расположении поляризация снятой линзы перпендикулярна поляризации закрепленной линзы, так что все фотоны, прошедшие через снятую линзу, задерживаются закрепленной линзой. Теперь, если вы повернете снятую линзу на 45°, то окажетесь в промежуточном положении, когда половина фотонов, прошедших через снятую линзу, сумеют пройти и через закрепленную линзу.</p><p>Виснер планировал воспользоваться поляризацией фотонов в качестве способа создания долларовых банкнот, которые никогда нельзя будет подделать. Его идея заключалась в том, чтобы в каждой долларовой банкноте было 20 ловушек для фотонов — крошечных устройств, способных захватить и удержать фотон. Он предположил, что банки могли бы использовать четыре поляризационных фильтра, ориентированных четырьмя различными способами (), чтобы заполнить 20 ловушек 20 поляризованными фотонами; причем для каждой банкноты использовалась бы отличная от других последовательность поляризованных фотонов. К примеру, на рисунке 74 показана банкнота со следующей поляризационной последовательностью (). Хотя на рисунке 74 эти поляризации показаны в явном виде, но в действительности они будут скрыты от взора. На каждой банкноте отпечатан также обычный номер серии — В2801695Е для долларовой банкноты, показанной на рисунке. Банк-эмитент может идентифицировать каждую долларовую банкноту в соответствии с ее поляризационной последовательностью и отпечатанным номером серии и составить список номеров серий и соответствующих поляризационных последовательностей.</p><p>Теперь фальшивомонетчик сталкивается с проблемой: он не может просто подделать долларовую банкноту с произвольным номером серии и случайной поляризационной последовательностью в ловушках для фотонов, поскольку такой пары в банковском списке нет, и банк обнаружит, что эта долларовая банкнота является фальшивой. Чтобы подделка была качественной, фальшивомонетчик должен в качестве образца использовать подлинную банкноту, каким-то образом измерить его 20 поляризаций, а затем сделать копию долларовой банкноты, взяв за образец номер серии и соответствующим образом заполнив ловушки для фотонов. Однако измерение поляризации фотонов является исключительно сложной задачей, и если фальшивомонетчик не сможет точно измерить их в подлинной банкноте-образце, то он не смеет надеяться сделать копию.</p><p>Чтобы понять всю сложность измерения поляризации фотонов, нам необходимо выяснить, как мы собираемся его выполнять. Единственный способ выяснить что-либо о поляризации фотона — это воспользоваться поляризационным фильтром. Чтобы измерить поляризацию фотона в определенной ловушке для фотонов, фальшивомонетчик выбирает поляризационный фильтр и ориентирует его в определенном направлении, скажем, вертикально, . Если фотон, вылетающий из ловушки для фотонов, окажется вертикально поляризованным, он пройдет через поляризационный фильтр с вертикальной поляризацией, и фальшивомонетчик вполне справедливо предположит, что это вертикально поляризованный фотон.</p><p>Если же вылетающий фотон является горизонтально поляризованным, то через поляризационный фильтр с вертикальной поляризацией он не пройдет, и фальшивомонетчик вполне справедливо предположит, что это горизонтально поляризованный фотон. Однако может случиться так, что вылетающий фотон окажется диагонально поляризованным ( или <i>),</i> и тогда он может как пройти через фильтр, так и не пройти через него; в любом случае фальшивомонетчик не сумеет определить его истинную природу. Фотон с поляризацией  может пройти через поляризационный фильтр с вертикальной поляризацией, и в этом случае фальшивомонетчик ошибочно предположит, что это вертикально поляризованный фотон. Но этот же самый фотон может не пройти через фильтр, и в этом случае фальшивомонетчик ошибочно предположит, что это горизонтально поляризованный фотон. С другой стороны, если фальшивомонетчик собирается измерить фотон в другой ловушке для фотонов, ориентируя фильтр диагонально, допустим, , то этим он правильно определит природу диагонально поляризованного фотона, но безошибочно идентифицировать вертикально или горизонтально поляризованный фотон не сумеет.</p><p>Проблема для фальшивомонетчика состоит в том, что для определения поляризации фотона он должен правильно сориентировать поляризационный фильтр, но он не знает, какую ориентацию использовать, так как не знает поляризацию фотона. Такая парадоксальная ситуация свойственна физике фотонов. Представим себе, что фальшивомонетчик выбирает -фильтр для измерения фотона, вылетающего из второй ловушки для фотонов, а фотон не проходит через фильтр. Фальшивомонетчик может быть уверен, что этот фотон не был -поляризован, поскольку такой фотон прошел бы через фильтр. Однако фальшивомонетчик не может сказать, был ли этот фотон таким, который заведомо не прошел бы через фильтр, то есть -поляризован, или же его поляризация была такова, что в половине случаев он будет задержан, то есть он был - или -поляризован.</p><p></p><p><strong><sub>Рис. 74 Квантовые деньги Стивена Виснера. Каждая банкнота является уникальной благодаря своему номеру серии, который можно легко видеть, и 20 ловушкам для фотонов, чье содержимое является загадкой. В ловушках для фотонов находятся фотоны с различными поляризациями. Банк знает поляризационные последовательности, соответствующие каждому номеру серии, фальшивомонетчик же — нет.</sub></strong></p><p>Сложность при измерении фотонов является одним из положений принципа неопределенности, открытым в 20-е годы немецким физиком Вернером Гейзенбергом. Он сформулировал свое в высшей степени специальное положение в виде простого утверждения: «Мы в принципе <i>не можем</i> знать настоящее во всех его подробностях». Это не означает, что мы не знаем всего, потому что у нас нет достаточно средств измерения или потому что наше оборудование плохо сконструировано. Напротив, Гейзенберг утверждал, что логически невозможно измерить все характеристики определенного объекта с абсолютной точностью. В нашем конкретном случае мы не можем с абсолютной точностью измерить все характеристики находящихся в ловушках фотонов. Принцип неопределенности — это еще одно причудливое следствие квантовой теории.</p><p>Квантовые деньги Виснера учитывают тот факт, что подделка денег является двухступенчатым процессом: во-первых, фальшивомонетчику необходимо провести измерение оригинальной банкноты с высокой точностью, а затем он должен сделать ее копию. За счет использования фотонов, долларовую банкноту теперь измерить точно стало невозможно, и поэтому на пути подделки денег возник барьер.</p><p>Наивный фальшивомонетчик полагает, что если он не может измерить поляризации фотонов в ловушках, то этого не сможет сделать и банк. Он может попробовать изготовить долларовые банкноты, заполняя ловушки для фотонов произвольной поляризационной последовательностью. Банк, однако, способен проверить подлинность банкнот. Он сверяет номер серии со своим тайным списком, чтобы выяснить, какие фотоны должны находиться в ловушках для фотонов. Поскольку банк знает, какие поляризации следует ожидать в каждой из ловушек, он может правильным образом сориентировать поляризационный фильтр для каждой ловушки и выполнить точное измерение. Если банкнота фальшивая, то есть когда фальшивомонетчик заполнил ловушки произвольной поляризационной последовательностью, это приведет к неправильным результатам измерений и банкнота будет признана подделкой. Например, если банк применяет -фильтр для измерения фотона, который должен иметь -поляризацию, но оказывается, что фотон задерживается фильтром, это означает, что фальшивомонетчик заполнил ловушку неправильным фотоном. Если же банкнота окажется подлинной, то банк повторно заполнит ловушки для фотонов соответствующими фотонами и вновь запустит ее в обращение.</p><p>Короче говоря, фальшивомонетчик не может измерить поляризации в подлинной банкноте, поскольку он не имеет представления, какого вида фотоны находятся в каждой из ловушек для фотонов, и не может поэтому знать, как сориентировать поляризационный фильтр, чтобы точно его измерить. С другой стороны, банк способен проверить поляризации в подлинной банкноте, потому что он сам изначально задал поляризацию, и поэтому знает, как сориентировать поляризационный фильтр для каждой из ловушек.</p><p>Квантовые деньги — это блестящая идея. И к тому же совершенно неосуществимая. Начать с того, что инженеры пока что не разработали способ улавливать в ловушки фотоны с заданными поляризованными состояниями на достаточно долгое время. Даже если такой способ и существует, реализовать его окажется слишком дорого. Защита каждой долларовой банкноты может стоить где-то около 1 млн долларов. Но несмотря на всю их нереализуемость, квантовая теория в квантовых деньгах применяется весьма любопытным способом, так что невзирая на отсутствие интереса и поддержки со стороны своего научного руководителя Виснер направил статью в научный журнал. Ее отвергли. Он направил статью в три других журнала; ее отвергли еще три раза. Виснер заявил, что они просто не разбираются в физике.</p><p>Казалось, что только один человек разделял заинтересованность Виснера концепцией квантовых денег. Это был его старый друг по имени Чарльз Беннет, который несколькими годами ранее окончил вместе с ним университет Брандейса. Беннета отличало любопытство, проявляемое им в различных областях науки. Он говорил, что уже в три года знал, что хочет быть ученым, и даже мать не смогла притушить его детское увлечение ею. Однажды она вернулась домой и обнаружила на плите кипящую кастрюлю с каким-то странным тушеным мясом. По счастью, она не соблазнилась попробовать его; как потом выяснилось, это были останки черепахи, которую юный Беннет кипятил в щелочи, чтобы отделить мясо от костей и получить великолепный образец ее скелета. В юношеском возрасте интересы Беннета простирались от биологии до биохимии, а к тому времени, как поступить в Брандейс, он решил посвятить себя химии. В аспирантуре Беннет вплотную занялся физической химией, а затем переключился на исследования в физике, математике, логике и, вдобавок, программировании.</p><p>Зная широту интересов Беннета, Виснер надеялся, что тот в полной мере оценит концепцию квантовых денег, и передал ему копию своей отвергнутой статьи. Беннет сразу же увлекся этой идеей, посчитав ее одной из самых прекрасных, с которыми он когда-либо сталкивался. В следующие десять лет он время от времени перечитывал статью, задаваясь вопросом, существует ли способ реализовать каким-либо образом эту гениальную идею. Даже став в начале 80-х научным сотрудником исследовательской лаборатории Томаса Дж. Уотсона компании IВМ, Беннет не перестал размышлять об идее Виснера. Журналы, может, и не хотели публиковать ее, но Беннета она увлекла.</p><p></p><p><strong><sub>Рис. 75 Чарльз Беннет.</sub></strong></p><p>Как-то раз Беннет рас казал об идее квантовых денег Жилю Брассарду, программисту из Монреальского университета. Беннет и Брассард, сотрудничавшие в различных исследовательских проектах, снова и снова обращались к статье Виснера, обсуждая ее сложности. Мало-помалу они начали осознавать, что идея Виснера смогла бы найти применение в криптографии. Для того чтобы Ева сумела дешифровать зашифрованное сообщение между Алисой и Бобом, она вначале должна перехватить его, что означает, что она должна каким-то образом точно определить содержимое передаваемого сообщения. Квантовые деньги Виснера были надежными, поскольку точно определить поляризацию фотонов, находящихся в ловушках в долларовой банкноте, было невозможно. Беннет и Брассард задались вопросом, что произойдет, если зашифрованное сообщение будет представлено, а затем передано с помощью поляризованных фотонов. Вроде бы, теоретически, Ева не сможет безошибочно прочесть зашифрованное сообщение, а раз не сможет прочесть зашифрованное сообщение, то не сможет и дешифровать его.</p><p>Беннет и Брассард стали придумывать систему, которая работала бы по следующему принципу. Представьте себе, что Алиса хочет отправить Бобу зашифрованное сообщение, которое состоит из последовательности <strong>1</strong> и <strong>0</strong>. Вместо этих <strong>1</strong> и <strong>0</strong> она посылает фотоны с определенными поляризациями. У Алисы есть две возможных схемы, с помощью которых она может связать поляризации фотонов с <strong>1</strong> или <strong>0</strong>. В первой схеме, называемой <i>ортогональной<a href="#note_36">[37]</a></i> или +-схемой, для представления <strong>1</strong> она посылает , а для представления 0 — . Во второй схеме, называемой <i>диагональной</i> или Х-схемой, для представления <strong>1</strong> она посылает , а для представления <strong>0</strong> — .</p><p>При отправке сообщения, представленного в двоичном виде, она постоянно переключается с одной схемы на другую совершенно непредсказуемым образом. Так что двоичное сообщение 1101101001 может быть передано следующим образом:</p><p></p><p>Алиса передает первую <strong>1</strong> с использованием +-схемы, а вторую <strong>1</strong> — с использованием Х-схемы. Так что в обоих случаях передается <strong>1</strong>, но всякий раз она представляется различным образом поляризованными фотонами.</p><p>Если Ева захочет перехватить это сообщение, ей потребуется определить поляризацию каждого фотона, точно так же как и фальшивомонетчику необходимо определить поляризацию каждого фотона в ловушках для фотонов долларовой банкноты. Чтобы измерить поляризацию каждого фотона, Ева должна решить, каким образом сориентировать свой поляризационный фильтр по мере прихода каждого фотона. Она не может знать наверняка, какой схемой воспользовалась Алиса для каждого из фотонов, поэтому наугад выбирает ориентацию поляризационного фильтра, которая окажется неверной в половине случаев. А следовательно, она не сможет точно определить содержимое передаваемого сообщения.</p><p>Чтобы было проще представить себе затруднительность положения Евы, предположим, что в ее распоряжении имеются два типа детекторов для определения поляризации. +-детектор способен с абсолютной точностью измерять горизонтально и вертикально поляризованные фотоны, на не может достоверно измерить диагонально поляризованные фотоны и просто ошибочно считает их вертикально или горизонтально поляризованными фотонами. С другой стороны, Х-детектор может с абсолютной точностью измерять диагонально поляризованные фотоны но не способен надежно измерить горизонтально и вертикально поляризованные фотоны, ошибочно считая их диагонально поляризованными фотонами. Так, если для измерения первого фотона, имеющего  поляризацию, Ева использует Х-детектор, то она ошибочно посчитает его фотоном с поляризациями  или . Если Ева ошибочно посчитала его  фотоном, то проблемы у нее не возникнет, потому что он также представляет собой <strong>1</strong>, но вот если она ошибочно посчитала его  фотоном, то это станет для нее бедой, ибо этот фотон представляет собой <strong>0</strong>. Что еще хуже, так это то, что у Евы есть только один шанс точно измерить фотон. Фотон неделим, и поэтому она не может разделить его на два фотона и измерить их с помощью обеих схем.</p><p>Похоже, что у данной системы есть ряд славных свойств. Ева не может быть уверенной в точном перехвате зашифрованного сообщения, так что у нее нет никакой надежды и дешифровать его. Правда, данной системе присуща серьезная и, видимо, неразрешимая проблема: Боб находится в том же положении, что и Ева, так как у него также нет возможности узнать, какой поляризационной схемой воспользовалась Алиса для каждого из фотонов, и поэтому он тоже будет ошибаться при приеме сообщения. Очевидное решение проблемы — это согласование Алисой и Бобом, какую поляризационную схему они будут применять для каждого фотона. Для вышеприведенного примера Алиса и Боб должны иметь список, или ключ, с помощью которого будет прочитано + х + х х х + + х х. Однако мы теперь вновь вернулись к той же старой проблеме распределения ключей: каким образом Алиса должна безопасно передать список поляризационных схем Бобу?</p><p>Разумеется, Алиса могла бы зашифровать список поляризационных схем с помощью шифра с общим ключом, например, RSA, а затем отправить его Бобу. Представьте, однако, что мы живем в то время, когда RSA взломан, возможно, в результате создания мощных квантовых компьютеров. Система Беннета и Брассарда должна быть независимой и не опираться на RSA. В течение долгих месяцев Беннет и Брассард пытались придумать способ обойти проблему распределения ключей. В 1984 году оба они стояли на платформе станции Кротон-Хармон неподалеку от исследовательской лаборатории Томаса Дж. Уотсона компании IBM. Они ожидали поезд, который доставил бы Брассарда обратно в Монреаль, и проводили время в непринужденной беседе о злоключениях и бедствиях Алисы, Боба и Евы. Приди поезд на несколько минут раньше, они бы помахали друг другу рукой на прощание, а проблема распределения ключей так и осталась бы нерешенной. Но вместо этого — <i>эврика! — </i>они создали квантовую криптографию — самый стойкий вид криптографии, который был когда-либо придуман.</p><p>По их способу для квантовой, криптографии требуется три подготовительных этапа. Хотя эти этапы не включают в себя отправку зашифрованного сообщения, с их помощью осуществляется безопасный обмен ключом, с помощью которого позднее можно будет зашифровать сообщение.</p><p><i>Этап 1.</i> Алиса начинает передавать случайную последовательность из 1 и 0 (биты), используя для этого случайным образом выбираемые ортогональные (горизонтальная и вертикальная поляризации) и диагональные поляризационные схемы. На рисунке 76 показана такая последовательность фотонов, движущихся к Бобу.</p><p><i>Этап 2.</i> Боб должен измерить поляризацию этих фотонов. Поскольку он не имеет представления, какой поляризационной схемой Алиса пользовалась для каждого из фотонов, то в произвольном порядке выбирает +-детектор и Х — детектор. Иногда Боб выбирает правильный детектор, иногда — нет. Если Боб воспользуется не тем детектором, то он вполне может неправильно распознать фотон Алисы. В таблице 27 указаны все возможные случаи. К примеру, в верхней строке для посылки <strong>1</strong> Алиса использует ортогональную схему и поэтому передает ; далее Боб использует правильный детектор, определяет  и выписывает <strong>1</strong> в качестве первого бита последовательности. В следующей строке действия Алисы те же самые, но Боб теперь использует неверный детектор, и поэтому он может определить  или , что означает, что либо он верно выпишет <strong>1</strong>, либо неверно — <strong>0</strong>.</p><p><i>Этап 3.</i> К этому моменту Алиса уже отправила последовательность <strong>1</strong> и <strong>0</strong>, а Боб уже определил их; какие-то правильно, какие-то — нет. После этого Алиса звонит Бобу по обычной незащищенной линии и сообщает ему, какую поляризационную схему она использовала для каждого фотона, но не как она поляризовала каждый из фотонов. Так, она может сказать, что первый фотон был послан с использованием ортогональной схемы, но не скажет, какой это был фотон:  или . Боб сообщает Алисе, в каких случаях он угадал с правильной поляризационной схемой. В этих случаях он, несомненно, измерил правильную поляризацию и верно выписал <strong>1</strong> или <strong>0</strong>. В конечном итоге Алиса и Боб игнорируют все те фотоны, для которых Боб пользовался неверной схемой, и используют только те из них, для которых он угадал с правильной схемой. В действительности они создали новую, более короткую последовательность битов, состоящих только из правильных измерений Боба. Весь этот этап изображен в виде таблицы в нижней части рисунка 76.</p><p>Благодаря этим трем этапам, Алисе и Бобу удалось образовать общую согласованную последовательность цифр, <strong>11001001</strong>, которая показана на рисунке 76. Ключевым для этой последовательности является то, что она случайна, поскольку получена из исходной последовательности Алисы, которая сама была случайной. Более того, события, когда Боб использует правильный детектор, сами являются случайными. Поэтому данная согласованная последовательность может использоваться в качестве случайного ключа. И вот теперь-то можно начать процесс зашифровывания.</p><p></p><p><strong><sub>Рис. 76 Алиса передает последовательность из 1 и 0 Бобу. Каждая 1 и каждый О представлены поляризованным фотоном в соответствии либо с ортогональной (горизонтальная и вертикальная поляризации), либо с диагональной поляризационной схемой. Боб измеряет каждый фотон с помощью либо своего ортогонального, либо диагонального детектора. Он выбирает правильный детектор для самого первого фотона и верно определяет его как 1. Однако для следующего фотона его выбор детектора неверен. По случайности он правильно определил его как 0, но позднее этот бит будет тем не менее отброшен, поскольку Боб не может быть уверен, что он измерил его правильно.</sub></strong></p><p><strong><sub>Таблица 27 Все возможные случаи на втором этапе при обмене фотонами между Алисой и Бобом.</sub></strong></p><p><strong><sub></sub></strong></p><p>Эта согласованная случайная последовательность может использоваться в качестве ключа для шифра одноразового шифрблокнота. В главе 3 описывается, каким образом случайный набор букв или цифр — одноразовый шифрблокнот — может создать нераскрываемый шифр — не практически, а абсолютно нераскрываемый. Ранее говорилось, что единственная проблема с одноразовым шифрблокнотом — это сложность его безопасной доставки, но способ Беннета и Брассарда решает эту проблему. Алиса и Боб достигли договоренности об одноразовом шифрблокноте, а законы квантовой физики фактически не позволяют Еве успешно его перехватить. Теперь самое время стать на место Евы, после чего мы увидим, почему она не сумеет перехватить ключ.</p><p>Во время передачи Алисой поляризованных фотонов Ева пытается измерить их, но она не знает, использовать ли +-детектор или, может быть, Х — детектор. В половине случаев выбор детектора будет неверным. Это та же самая ситуация, в которой находится и Боб, поскольку он тоже в половине случаев выбирает неправильный детектор. Однако после этой передачи Алиса сообщает Бобу, какой схемой он должен был воспользоваться для каждого из фотонов, и они договариваются использовать только те фотоны, которые были измерены при использовании Бобом правильного детектора. Это, впрочем, ничем не поможет Еве, поскольку половину из этих фотонов она измерит не тем детектором, который был нужен, и поэтому неверно определит некоторые фотоны, которые составляют окончательный ключ.</p><p>Можно также рассматривать квантовую криптографию на примере колоды карт, а не поляризованных фотонов. У каждой игральной карты есть достоинство и масть, например, валет червей или шестерка треф, и, как правило, мы, взглянув на карту, сразу же видим ее достоинство и масть. Представьте, однако, что можно измерить либо только достоинство, либо только масть, но никак не обе вместе. Алиса берет карту из колоды и должна решить, что измерить: достоинство или масть. Предположим, что она решила измерить масть, которая является «пиками». Этой взятой картой оказалась четверка пик, но Алиса знает только, что это пики. После этого она передает карту по телефону Бобу. В этот момент Ева старается провести измерение карты, но, к сожалению, она решила измерить ее достоинство, которое является «четверкой». Когда карта приходит к Бобу, он решает измерить ее масть, которая по-прежнему «пики», и он записывает ее. После этого Алиса звонит Бобу и спрашивает его, масть ли он измерил, — а как раз это он и сделал, так что Алиса и Боб теперь знают, что у них есть некоторая общая информация: они оба на своих блокнотах сделали запись «пики». Ева же в своем блокноте сделала запись «четверка», что вообще не имеет никакой пользы.</p><p>После этого Алиса берет из колоды другую карту, скажем, короля бубей, но она, опять-таки, может измерить только один параметр. На этот раз она решает измерить ее достоинство, которое будет «король», и передает карту по телефону Бобу. Ева старается провести измерение карты и также делает выбор в пользу измерения ее достоинства — «король». Когда карта приходит к Бобу, он решает измерить ее масть, являющуюся «бубнами». После этого Алиса звонит Бобу и спрашивает его, достоинство ли карты он измерил, — и тот должен признать, что на этот раз он ошибся и измерил ее масть. Алиса и Боб не беспокоятся об этом, поскольку могут проигнорировать эту конкретную карту и повторить попытку с другой картой, наобум вытащенной из колоды. В этом последнем случае догадка Евы оказалась правильной, и она измерила то же, что и Алиса — «король», — но карта была отброшена, потому что Боб неправильно измерил ее. Таким образом Боб не беспокоится о сроих ошибках, так как они с Алисой могут условиться пропускать их, Ева же со своими ошибками осталась у разбитого корыта. После того как будут посланы несколько карт, Алиса и Боб имеют возможность договориться о последовательности мастей и достоинств, которые могут затем быть использованы в качестве основы для некоторого ключа.</p><p>Квантовая криптография позволяет Алисе и Бобу договориться о ключе, Ева же не может перехватить этот ключ, не сделав ошибок. Более того, у квантовой криптографии есть еще одно достоинство: она позволяет Алисе и Бобу определить, перехватывает ли Ева сообщения. Присутствие Евы в телефонной линии становится явным, потому что всякий раз, как она измеряет фотон, она рискует изменить его, и эти изменения видны Алисе и Бобу.</p><p>Допустим, что Алиса посылает , а Ева измеряет его неправильно выбранным детектором — +-детектор. +-детектор преобразует поступающий  фотон, и тот на выходе детектора становится либо , либо  фотоном, поскольку для фотона это единственная возможность пройти через детектор Евы. Если Боб измеряет этот видоизмененный фотон своим Х — детектором, то тогда он может либо зарегистрировать , что на самом деле послала Алиса, или же он может получить , то есть измерение окажется неверным. Для Алисы и Боба это окажется непонятной ситуацией, ведь Алиса послала диагонально поляризованный фотон, и Боб воспользовался нужным детектором, и все же он смог измерить его неверно. Короче говоря, когда Ева выбирает неправильный детектор, она «исказит» некоторые фотоны, и это заставит Боба сообщить по телефону об ошибках, даже если он воспользовался правильно выбранным детектором. Эти ошибки могут быть обнаружены, если Алиса и Боб выполняют обычную проверку на наличие ошибок.</p><p>Проверка на наличие ошибок проводится после трех предварительных этапов; к этому времени Алиса и Боб уже получили одинаковые последовательности из <strong>1</strong> и <strong>0</strong>. Допустим, что они создали последовательность, состоящую из 1075 двоичных цифр. У Алисы и Боба есть только один способ проверить, что их соответствующие последовательности совпадают: Алиса звонит Бобу и зачитывает ему свою последовательность целиком. К сожалению, если Ева осуществляет перехват сообщений, она сможет перехватить и полный ключ. Ясно, что проверять всю последовательность неразумно, да в этом и нет необходимости. Вместо этого Алиса просто должна выбрать какие-нибудь произвольные 75 цифр и проверить только их. Если эти 75 цифр совпадают с теми, которые получил Боб, то весьма маловероятно, чтобы Ева смогла осуществить перехват в процессе первоначальной передачи фотонов. В действительности, вероятность того, что Ева подключилась к телефонной линии и не повлияла на измерения Боба этих 75 цифр, составляет менее одной триллионной. Ввиду того, что эти 75 цифр открыто обсуждались Алисой и Бобом, они просто отбрасывают их, и их одноразовый шифрблокнот таким образом сокращается с 1075 до 1000 двоичных цифр. С другой стороны, если Алиса и Боб обнаружат несоответствие среди этих 75 цифр, тогда им станет известно, что Ева осуществила перехват; в этом случае им придется отказаться полностью от этого одноразового шифрблокнота, перейти на другой телефон и начать все заново.</p><p>Подведем итог. Квантовая криптография является системой, которая обеспечивает секретность связи, не позволяя Еве безошибочно прочесть сообщение между Алисой и Бобом. Более того, если Ева попробует осуществить перехват, то Алиса и Боб смогут обнаружить ее присутствие. Тем самым квантовая криптография дает Алисе и Бобу возможность обменяться информацией и согласовать одноразовый шифрблокнот совершенно конфиденциальным образом, после чего они смогут использовать его в качестве ключа для зашифровываю«! сообщения. Этот способ состоит из пяти основных этапов:</p><p>(1) Алиса посылает Бобу последовательность фотонов, а Боб измеряет их.</p><p>(2) Алиса сообщает Бобу, в каких случаях он измерил их правильно. (Хотя Алиса и говорит Бобу, когда он выполнил правильное измерение, она не сообщает ему, каков должен быть правильный результат, так что, даже если подслушивать их разговор, это не представляет ровным счетом никакой опасности.)</p><p>(3) Чтобы создать пару идентичных одноразовых шифрблокнотов, Алиса и Боб отбрасывают те измерения, которые Боб выполнил неверно, и используют те из них, которые он выполнил правильно.</p><p>(4) Алиса и Боб проверяют неприкосновенность своих одноразовых шифрблокнотов путем сличения нескольких цифр.</p><p>(5) Если процедура проверки показала удовлетворительные результаты, они могут использовать одноразовый шифрблокнот для зашифровывания сообщения; если же проверка выявила ошибки, то им становится известно, что Ева осуществила перехват фотонов, и им следует начать все заново.</p><p>Статья Виснера о квантовых деньгах, спустя четырнадцать лет после того, как была отклонена научными журналами, послужила причиной появления абсолютно стойкой системы связи. Теперь, живя в Израиле, Виснер испытывает удовлетворение от того, что наконец-то его работа получила признание: «Вглядываясь назад, я думаю, смог ли бы сделать больше этого. Люди осудили меня за то, что я бросил это дело, за то, что я не приложил никаких дополнительных усилий для опубликования своей идеи; я полагаю, что они в какой-то мере правы, но я, был молодым аспирантом, и ко мне не было особого доверия. Во всяком случае, квантовые деньги, похоже, никого не интересовали».</p><p>Криптографы с энтузиазмом восприняли квантовую криптографию Беннета и Брассарда. Однако многие экспериментаторы считают, что эта система хорошо работает в теории, но окажется непригодной на практике. Они полагают, что из-за сложности обращения с отдельными фотонами эту систему реализовать будет невозможно. Но несмотря на эти критические замечания Беннет и Брассард убеждены, что квантовую криптографию можно заставить работать. На самом деле они настолько верят в нее, что создание аппаратуры их совершенно не беспокоит. Как однажды заявил Беннет: «Нет никакого смысла отправляться на Северный полюс, если вы знаете, что он находится там».</p><p>Однако растущий скептицизм в конечном счете вынудил Беннета представить доказательства, что система действительно может работать. В 1988 году он начал собирать компоненты, необходимые для создания квантовой криптографической системы и пригласил аспиранта Джона Смолина помочь ему собрать установку. Год спустя они уже готовы были попытаться послать первое сообщение, зашифрованное с помощью квантовой криптографии. Как-то поздним вечером они уединились в своей лаборатории, куда не мог извне проникнуть свет, а внутри все было черным, как смоль, что предохраняло от случайных фотонов, которые могли бы помешать эксперименту. Плотно пообедав, они были вполне готовы к работе на установке в течение всей длинной ночи. Они начали с того, что попытались послать поляризованные фотоны через комнату, а затем измерить их с помощью +-детектора и Х-детектора. Компьютер, в итоге названный «Алисой», контролировал передачу фотонов, а компьютер, названный «Бобом», принимал решение, какой из детекторов следовало использовать для измерения каждого фотон.</p><p>Примерно в 3 часа утра Беннет зарегистрировал первый квантовокриптографический обмен. «Алиса» и «Боб» сумели отправить и принять фотоны, они «обсудили» поляризационные схемы, которые использовала «Алиса», они отбросили те фотоны, которые были измерены «Бобом» с помощью неправильного детектора, и они согласовали одноразовый шифрблокнот, состоящий из оставшихся фотонов. «Не было никакого сомнения, что это будет работать, — заявил Беннет, — единственно, только наши пальцы могут оказаться слишком неуклюжими, чтобы построить ее». Эксперимент Беннета показал, что два компьютера — «Алиса» и «Боб» — смогли осуществить абсолютно секретную связь. Это был исторический эксперимент, несмотря на тот факт, что эти два компьютера находились на расстоянии всего лишь 30 см.</p><p>С момента эксперимента Беннета основной задачей стало создание квантовой криптографической системы, которая смогла бы работать на значительных расстояниях. Это не простая задача, поскольку фотоны «ведут себя нехорошо». Если Алиса передает фотон с определенной поляризацией по воздуху, то молекулы воздуха будут взаимодействовать с ним, приводя к изменению его поляризации, что недопустимо. Более подходящей средой для передачи фотонов является оптоволокно, и в настоящее время исследователи преуспели в применении его для создания квантовых криптографических систем, которые действуют на больших расстояниях. В 1995 году исследователям из Женевского университета удалось реализовать квантовую криптографию по оптоволоконному кабелю протяженностью 23 км от Женевы до города Нион.</p><p>Совсем недавно группа ученых из Лос-Аламосской национальной лаборатории в Нью-Мексико снова приступила к экспериментам с квантовой криптографией в воздухе. Их конечной целью является создание квантовой криптографической системы, которая сможет работать через спутники. Если они сумеют этого добиться, то это позволит создать абсолютно стойкую глобальную связь. Пока что Лос-Аламосской группе удалось передать квантовый ключ через воздух на расстояние 1 км.</p><p>Нынче эксперты по безопасности задаются вопросом, сколько пройдет времени, пока квантовая криптография не станет реальностью. Сегодня квантовая криптография не дает никаких преимуществ, так как шифр RSA уже обеспечивает нам доступ к практически неразрываемому шифрованию. Однако как только квантовые компьютеры станут реальностью, то RSA и все другие современные шифры окажутся бесполезными и квантовая криптография превратится в необходимость. Так что гонка продолжается. Действительно важным является вопрос: вовремя ли появится квантовая криптография, чтобы спасти нас от квантовых компьютеров, или же между созданием квантовых компьютеров и появлением квантовой криптографии возникнет брешь. До сих пор квантовая криптография была более передовой технологией. Эксперимент в Швейцарии с оптоволоконными кабелями продемонстрировал, что вполне реально создать систему, которая позволит обеспечить секретную связь между финансовыми учреждениями в пределах одного города. Более того, в настоящее время можно уже создать канал линии передачи с использованием квантовой криптографии между Белым домом и Пентагоном. Не исключено, что такой канал уже существует.</p><p>Квантовая криптография означала бы конец противостоянию между шифровальщиками и дешифровальщиками, и шифровальщики оказались бы победителями. Квантовая криптография является нераскрываемой системой шифрования. Возможно, что это покажется преувеличением, особенно в свете предыдущих подобных заявлений. За последние две тысячи лет криптографы в разное время были уверены, что одноалфавитный шифр, многоалфавитный шифр и машинные шифры, как, например, шифр «Энигмы», были нераскрываемыми. В каждом из этих случаев криптографы в конце концов убеждались в своей неправоте, поскольку их заявления основывались исключительно на том факте, что в какой-то момент истории сложность шифров опережала мастерство и методы криптоаналитиков. Оглядываясь в прошлое, мы можем видеть, что криптоаналитики рано или поздно, но находили способ взлома всех этих шифров или создавали метод, который помогал их взломать.</p><p>Однако заявление, что квантовая криптография является стойкой, качественно отличается от всех прежних заявлений. Квантовая криптография является не просто практически нераскрываемой, она нераскрываема совершенно. Квантовая теория — самая удачная теория в истории физики — подразумевает, что Ева никогда не сможет безошибочно перехватить криптографический ключ одноразового использования, который был создан Алисой и Бобом. Ева не сможет даже попытаться перехватить криптографический ключ одноразового использования без того, чтобы Алиса и Боб не были предупреждены о ее действиях. На самом деле, если бы сообщение, защищенное с использованием квантовой криптографии, оказалось бы когда-нибудь расшифровано, это означало бы, что квантовая теория ошибочна, что имело бы ужасающие последствия для физиков — им пришлось бы заново пересмотреть свое понимание действия самых фундаментальных законов Вселенной.</p><p>Если смогут быть созданы квантовые криптографические системы, способные действовать на значительных расстояниях, развитие шифров остановится. Поиск обеспечения секретности закончится. Данная технология для обеспечения безопасной связи будет доступна правительству, вооруженным силам, предприятиям, компаниям и обществу. Останется только один вопрос: позволят ли нам правительства воспользоваться данной технологией? И каким образом правительства станут осуществлять управление квантовой криптографией, чтобы обогатить информационный век, но при этом не защитить преступников?</p><h3>Вызов читателям. Задачи по дешифрованию</h3><p>Вызов читателям в виде задач по дешифрованию — это десять зашифрованных сообщений, которые я поместил в первом издании «Книги шифров», вышедшем в 1999 году. Помимо интеллектуального удовлетворения от разгадки всех десяти сообщений, была назначена премия в размере 10000 фунтов стерлингов для того, кто первым решит все задачи. Они были в конечном итоге решены 7 октября 2000 года, через один год и один месяц напряженных усилий любителей и профессионалов — дешифровальщиков со всего мира.</p><p>Задачи по дешифрованию остались частью этой книги. Премии за их решение больше нет, но я бы посоветовал читателям попробовать свои силы в дешифровании каких-нибудь из них. Предполагалось, что сложность этих десяти задач будет постепенно возрастать, хотя многие дешифровальщики посчитали, что задача 3 сложнее задачи 4. Шифры в этих задачах различны и охватывают целые столетия, так что в начале использованы старинные шифры, раскрыть которые достаточно просто, тогда как в последних задачах используются современные шифры, и для них потребуется гораздо больше усилий. Короче говоря, задачи (ступени) с 1 по 4 предназначены для любителей, задачи с 5 по 8 — для подлинных энтузиастов, а 9 и 10 — для тех, кто посвятил себя делу дешифрования.</p><p>Если вы хотите больше узнать о задачах по дешифрованию, вы можете зайти на мой веб-сайт (<a l:href="http://www.simonsingh.com/">www.simonsingh.com</a>), где дается различная информация, в том числе и ссылка на сообщение, написанное победителями этого вызова: Фредриком Альмгреном, Гуннаром Андерсоном, Торбьерном Гранлундом, Ларсом Ивансоном и Стефаном Ульфбергом. Это сообщение прекрасно читается, но помните, что в нем, как и в других материалах на этом веб-сайте, используется много дополнительных сведений, которые вам, может, пока еще будут неинтересны.</p><p>Основная цель вызова состояла в том, чтобы пробудить интерес людей, заинтересовать их криптографией и взломом шифров. Тот факт, что вызов приняли тысячи человек, доставляет мне огромное удовлетворение. В настоящее время действие вызова формально закончилось, но я надеюсь, он будет по-прежнему будить интерес среди новых читателей, тех, кто захочет проверить свое мастерство и умение во взломе шифров.</p><p>Удачи вам, Саймон Сингх</p><p><strong><sub>Задача 1: Простой одноалфавитный шифр замены</sub></strong></p><p></p><p><strong><sub>Задача 2: Шифр Цезаря</sub></strong></p><h3></h3><p><strong><sub>Задача 3: Одноалфавитный шифр с омофонами</sub></strong></p><h3></h3><p><strong><sub>Задача 4: Шифр Виженера</sub></strong></p><p></p><p><strong><sub>Задача 5</sub></strong></p><p></p><p><strong><sub>Задача 6</sub></strong></p><p></p><p><strong><sub>Задача 7</sub></strong></p><p></p><p></p><p></p><p></p><p></p><h3></h3><p><sub><strong>Задача 8</strong></sub></p><p></p><h3></h3><h3></h3><p><strong><sub>Задача 9</sub></strong></p><p></p><p><strong><sub>Задача 10</sub></strong></p><p><strong><sub>Короткое сообщение</sub></strong></p><p></p><p><strong><sub>Длинное сообщение</sub></strong></p><h3></h3><h3>Приложение А</h3><h3>Первый абзац романа Жоржа Перека «А Void» в переводе Гилберта Адэра.</h3><cite><p>Today, by radio, and also on giant hoardings, a rabbi, an admiral notorious for his links to masonry, a trio of cardinals, a trio, too, of insignificant politicians (bought and paid for by a rich and corrupt Anglo-Canadian banking corporation), inform us all of how our country now risks dying of starvation. A rumor, that’s my initial thought as I switch off my radio, a rumor or possibly a hoax. Propaganda, I murmur anxiously — as though, just by saying so, I might allay my doubts — typical politicians’ propaganda. But public opinion gradually absorbs it as a fact. Individuals start strutting around with stout clubs. ‘Food, glorious food!’ is a common cry (occasionally sung to Bart’s music), with ordinary hard-working folk harassing officials, both local and national, and cursing capitalists and captains of industry. Cops shrink from going out on night shift. In Macon a mob storms a municipal building. In Rocadamour ruffians rob a hangar full of foodstuffs, pillaging tons of tuna fish, milk and cocoa, as also a vast quantity of com — all of it, alas, totally unfit for human consumption. Without fuss or ado, and naturally without any sort of trial, an indignant crowd hangs 26 solicitors on a hastily built scaffold in front of Nancy’s law courts (this Nancy is a town, not a woman) and ransacks a local journal, a disgusting right-wing rag that is siding against it. Up and down this land of ours looting has brought docks, shops and farms to a virtual standstill.</p></cite><p>Впервые опубликован во Франции под названием «La Disparition» («Исчезновение») издательством Denoel в 1969 году, а в Великобритании — издательством Harvill в 1994 году. Copyright © by Editions Denoel 1969; в английском переводе © Harvill 1994. Воспроизведено с разрешения Harvill Press.</p><h3>Приложение B</h3><h3>Некоторые элементарные советы по выполнению частотного анализа</h3><p>(1) Начните с подсчета частоты появления каждой из букв шифртекста. Примерно пять букв должны появляться с частотой менее 1 процента, и они, вероятно, представляют собой <strong>j</strong>, <strong>k</strong>, <strong>q</strong>, <strong>x</strong> и <strong>z.</strong> Одна из букв должна появляться с частотой более 10 процентов, и она, по-видимому, представляет собой <strong>е. </strong>Если шифртекст не подчиняется этому распределению частот, то, возможно, исходное сообщение написано не на английском языке. Вы можете определить, какой это язык, если проанализируете частотное распределение букв в шифртексте. К примеру, в итальянском языке обычно есть три буквы с частотностью более 10 процентов и 9 букв с частотностью менее 1 процента. В немецком языке буква <strong>е </strong>имеет чрезвычайно высокую частотность — 19 процентов, поэтому любой шифртекст, в котором одна из букв встречается столь же часто, является, вполне возможно, немецким. После того как вы определили язык, для выполнения частотного анализа вам следует воспользоваться соответствующей таблицей частотности букв для данного языка. Если у вас есть нужная таблица частотности букв, то нередко удается дешифровать даже шифртексты на неизвестном языке.</p><p>(2) Если установлена взаимосвязь с английским языком, но, как часто и происходит, сразу же открытый текст не появляется, тогда обратите внимание на пары повторяющихся букв. В английском языке чаще всего повторяющимися буквами будут <strong>ss</strong>, <strong>ее, tt, ff, ll, mm </strong>и <strong>оо. </strong>Если в шифртексте имеются какие-либо повторяющиеся символы, то вы можете считать, что они представляют собой одну из этих пар.</p><p>(3) Если в шифртексте имеются пробелы между словами, то постарайтесь определить слова, состоящие из одной, двух или трех букв. Единственными словами в английском языке, состоящими из одной буквы, являются <strong>а </strong>и <strong>I. </strong>Чаще всего встречающимися двухбуквенными словами будут <strong>of, to, in, it, is</strong>, <strong>Ьe, аs, аt, so, we, hе, Ьу, ог, оn, dо, if, me, my, up, an, go, no, us, am. </strong>Наиболее часто появляющиеся трехбуквенные слова — <strong>the </strong>и <strong>and.</strong></p><p>(4) Если удастся, подготовьте таблицу частотности букв для сообщения, которое вы стараетесь дешифровать. Например, в военных донесениях стремятся опускать местоимения и артикли, и отсутствие таких слов, как <strong>I, hе, а</strong> и <strong>the</strong>, будет снижать частотность некоторых из чаще всего встречающихся букв. Если вы знаете, что работаете с военным донесением, вам следует использовать таблицу частотности букв, созданную на основе других военных донесений.</p><p>(5) Одно из самых полезных для криптоаналитика умений — это способность благодаря собственному опыту или чисто интуитивно — распознавать слова или даже целые фразы. Аль-Халил, один из первых арабских криптоаналитиков, продемонстрировал свои способности, когда взломал греческий шифртекст. Он предположил, что шифртекст начинается с приветствия «Во имя бога». Установив, что эти буквы соответствуют определенному фрагменту шифртекста, он смог использовать их в качестве лома и раскрыть остальной шифртекст. Это получило название криб.</p><p>(6) В некоторых случаях наиболее часто встречающейся буквой в шифртексте может быть <strong>Е</strong>, следующей по частоте появления — <strong>Т</strong> и так далее. Другими словами, частотность букв в шифртексте уже совпадает с частотностью букв в таблице. По-видимому, буква <strong>Е</strong> в шифртексте является действительно <strong>е</strong>, и то же самое, похоже, справедливо и для других букв, и все же шифртекст выглядит тарабарщиной. В этом случае вы столкнулись не с шифром замены, а с шифром перестановки. Все буквы остались теми же самыми, но находятся они не на своих местах.</p><p>Хорошей книгой, в которой даются начальные сведения, является «Криптоанализ» Хелен Фош Гаинэ (Dover). Наряду с советами в ней также представлены таблицы частотности букв для различных языков и приведен перечень чаще всего встречающихся слов в английском языке.</p><h3>Приложение C</h3><h3>Так называемый Библейский код</h3><p>В 1997 году книга Майкла Дроснина «Библейский код» вызвала ажиотаж в мире. Дроснин объявил, что в Библии скрыты сообщения, которые можно найти, проводя поиск по эквидистантным последовательностям букв. Если мы возьмем произвольный текст, выберем начальную букву, а затем будем двигаться вперед, перепрыгивая каждый раз через определенное количество букв, то получим эквидистантную последовательность. Так, например, в этом разделе мы могли бы начать с буквы «<strong>М</strong>» в слове Майкл и всякий раз перепрыгивать, допустим, через четыре буквы. Если бы мы отмечали каждую пятую букву, то у нас образовалась бы эквидистантная последовательность <strong>mesahirt</strong><a href="#note_37">[38]</a>…</p><p>Хотя в данной конкретной эквидистантной последовательности не содержится никаких осмысленных слов, Дроснин написал об открытии поразительного количества содержащихся в Библии эквидистантных последовательностей, которые не только дают осмысленные слова, Но и образуют целые предложения. Согласно Дроснину, эти предложения представляют собой библейские предсказания. К примеру, он утверждал, что обнаружил упоминание об убийстве Джона Ф. Кеннеди, Роберта Кеннеди и Анвара Садата. В одной из эквидистантных последовательностей имя Ньютона упоминается рядом с силой тяжести, а в другом Эдисон связывается с электрической лампочкой. Несмотря на то что книга Дроснина основывается на статье, опубликованной Дороном Витцумом, Элияху Рипсом и Йоавом Розенбергом, она гораздо более претенциозна по своим заявлениям и тем навлекла на себя массу критики. Основным поводом послужило то, что изучаемый текст был огромным; стоит ли удивляться, что меняя исходную точку и величину прыжка, в достаточно большом тексте могут появляться осмысленные фразы.</p><p>Брендан МакКей из Австралийского Национального университета постарался продемонстрировать необоснованность метода Дроснина путем поиска эквидистантных последовательностей в «Моби Дике» и обнаружил тринадцать сообщений, касающихся убийства известных людей, в том числе Троцкого, Ганди и Роберта Кеннеди. Более того, в текстах на иврите просто обязано быть исключительно огромное число эквидистантных последовательностей, потому что в них преимущественно нет гласных. А это означает, что толкователи могут вставлять гласные в тех местах, которые кажутся им подходящими, благодаря чему задача получения предсказаний упрощается.</p><h3>Приложение D</h3><h3>Шифр Pigpen</h3><p>Одноалфавитный шифр замены, существовавший в том или ином виде в течение целых столетий. Шифр Pigpen, например, использовался франкмасонами для обеспечения секретности своих документов еще в восемнадцатом веке, но и по сей день применяется школьниками. В шифре не производится замена одной буквы другой; здесь каждая буква заменяется символом по следующему образцу.</p><p></p><p>Чтобы зашифровать определенную букву, определите ее местонахождение в одной из четырех сеток, а затем нарисуйте ту часть сетки, которая соответствует этой букве. Таким образом:</p><h3></h3><p>Если вы знаете ключ, то расшифровать шифр Pigpen легко. Если же нет, то его легко взломать с помощью:</p><p></p><h3>Приложение E</h3><h3>Шифр Плейфера</h3><p>Шифр Плейфера стал известным благодаря Леону Плейферу, первому барону Плейферу из Сент-Эндрюса, однако придумал его сэр Чарльз Уитстон, один из первооткрывателей электрического телеграфа. Оба они жили неподалеку друг от друга, буквально через Хаммерсмитский мост, и нередко встречались, чтобы поделиться своими мыслями о криптографии.</p><p>В шифре каждая пара букв открытого текста заменяется другой парой букв. Чтобы зашифровать и передать сообщение, отправитель и получатель должны вначале условиться между собой о ключевом слове. К примеру, в качестве ключевого слова мы можем использовать имя Уитстона — <strong>CHARLES</strong>. Затем, перед тем как приступить к зашифровыванию, буквы алфавита, начиная с ключевого слова, вписываются в квадрат 5 x 5, при этом буквы <strong>I</strong> и <strong>J</strong> объединяются вместе:</p><p></p><p>Далее сообщение разбивается на пары букв, или диграфы. Во всех диграфах обе буквы должны быть различными. Для этого, как показано в следующем примере, в слове <strong>hammersmith</strong> между удвоенной буквой m вставляется дополнительная буква <strong>х</strong>. Кроме того, к концу предложения дописывается еще одна дополнительная буква <strong>х</strong>, чтобы вместо остающейся одиночной буквы также получался диграф:</p><p></p><p>Теперь можно приступать к зашифровыванию. Все диграфы относятся к одной из трех категорий: (а) обе буквы находятся в одной строке, (б) обе буквы находятся в одном столбце, (в) обе буквы находятся в разных строках и столбцах. Если обе буквы находятся в одной строке, то каждая из них заменяется соседней, стоящей справа от нее буквой; таким образом <strong>mi</strong> преобразуется в <strong>NK</strong>. Если одна из букв находится в конце строки, то она заменяется первой буквой строки; тем самым <strong>ni </strong>становится <strong>GK</strong>. Если обе буквы находятся в одном столбце, то каждая из них заменяется буквой, находящейся непосредственно под ней; так что вместо <strong>ge</strong> получается <strong>OG</strong>. Если одна из букв является нижней буквой столбца, то она заменяется верхней буквой столбца; таким образом <strong>vе</strong> заменяется на <strong>CG</strong>.</p><p>Если же буквы диграфа находятся в разных строках и столбцах, шифровальщик поступает по-другому. Чтобы зашифровать первую букву, двигайтесь вдоль строки, в которой находится первая буква, пока не достигнете столбца, в котором находится вторая буква; после чего замените первую букву буквой, находящейся на пересечении этой строки и столбца. Чтобы зашифровать вторую букву, двигайтесь вдоль строки, в которой находится вторая буква, пока не достигнете столбца, в котором находится первая буква; после чего замените вторую букву буквой, находящейся на пересечении этой строки и столбца. Таким образом, <strong>mе </strong>станет <strong>GD, </strong>а <strong>еt </strong>преобразуется в <strong>DO. </strong>Полностью зашифрованное сообщение примет вид:</p><p></p><p>Получатель, которому известно ключевое слово, может легко расшифровать шифртекст, просто выполняя ту же операцию в обратном порядке. К примеру, зашифрованные буквы, находящиеся в одной строке, расшифровываются путем замены их буквами, стоящими слева от них.</p><p>Плейфер был не только ученым, но и выдающимся общественным деятелем (вице-спикер палаты общин, министр почт и специальный уполномоченный по здравоохранению, который помог заложить современную основу санитарии), и его попросили поддержать идею Уитстона среди политических деятелей самого высокого ранга. Он впервые упомянул об этом на обеде в 1854 году перед принцем Альбертом и будущим премьер-министром лордом Пальмерстоном, а позднее представил Уитстона заместителю министра иностранных дел. К сожалению, заместитель министра посетовал, что эта система слишком сложна для использования в условиях сражения, на что Уитстон заявил, что смог бы научить этому способу мальчиков из ближайшей начальной школы за 15 минут. «Вполне возможно, что это и так, — ответил заместитель министра, — но вы никогда не сумеете научить этому никого из атташе».</p><p>Плейфер продолжал настаивать, и в конце концов британское военное министерство втайне приняло эту систему и, по-видимому, впервые использовало ее в англо-бурской войне. Хотя какое-то время она была эффективной, шифр Плейфера оказался далеко не неуязвимым. Его можно было атаковать, отыскивая в шифртексте чаще всего появляющиеся диграфы и предполагая, что они представляют собой чаще всего встречающиеся диграфы в английском языке: <strong>th, Ье, аn, in, ег, ге, еs.</strong></p><h3>Приложение F</h3><h3>Шифр ADFGVX</h3><p>Особенность шифра ADFGVX состоит в том, что здесь осуществляется и замена, и перестановка. Зашифровывание начинается с того, что рисуется сетка 6 x 6, и 36 квадратов заполняются 26 буквами и 10 цифрами в произвольном порядке. Каждая строка и столбец сетки задается одной из шести букв: А, О, Р, в, V или X. Расположение элементов в сетке служит в качестве части ключа, поэтому получателю, чтобы расшифровать сообщение, необходимо знать, как они в ней располагаются.</p><p></p><p>На первом этапе зашифровывания следует взять каждый символ сообщения, определить его положение в сетке и заменить его буквами, которые обозначают строку и столбец. Так, 8 будет заменено на <strong>АА</strong>, а <strong>р</strong> — на <strong>AD</strong>. Ниже, в качестве примера, показано зашифрованное этим способом короткое сообщение:</p><p></p><p>Пока что это — использование простого одноалфавитного шифра замены, и, чтобы взломать сообщение, достаточно воспользоваться частотным анализом. Однако второй этап — применение перестановки, что делает криптоанализ гораздо сложнее. Перестановка зависит от ключевого слова, которым, в нашем случае, будет слово <strong>MARK</strong> и которое должно быть известно получателю.</p><p>Перестановка производится следующим способом. Вначале в верхней строке незаполненной сетки записываются буквы ключевого слова. Далее, как показано ниже, под этим словом построчно записывается зашифрованный текст, полученный на первом шаге зашифровывания. Затем столбцы сетки переставляются местами таким образом, чтобы буквы ключевого слова шли в алфавитном порядке. После этого, двигаясь сверху вниз поочередно по каждому столбцу, выписываются буквы, которые и образуют окончательный вид шифртекста.</p><p></p><p>В этом виде шифртекст будет затем передан с помощью кода Морзе; получателю, чтобы восстановить первоначальный текст, потребуется выполнить действия, обратные зашифровыванию. Шифртекст состоит всего лишь из шести букв (т. е. <strong>А, D, F, G, V, X</strong>), так как этими буквами обозначаются строки и столбцы исходной сетки 6 x 6. Люди часто удивляются, почему были выбраны именно эти буквы, а не, скажем, <strong>А, В, С, D, Е и F</strong>. Все дело в том, что если буквы <strong>А, D, F, G, V</strong> и <strong>X</strong> представить в виде точек и тире кода Морзе, то они будут существенно отличаться одна от другой; тем самым выбор этих букв минимизирует опасность появления ошибок во время передачи.</p><h3>Приложение G</h3><h3>Слабости повторного использования одноразового шифрблокнота</h3><p>По причинам, изложенным в главе 3, шифртексты, зашифрованные с помощью шифра из одноразового шифрблокнота, являются нераскрываемыми. Однако это относится к одноразовому шифрблокноту, который используется один, и только один раз. Если же мы сумели перехватить два различных шифртекста, которые были зашифрованы с помощью одного и того же одноразового шифрблокнота, мы сможем дешифровать их следующим образом.</p><p>Мы, вероятно, будем правы, если предположим, что в первом шифртексте где-то есть слово <strong>the</strong>, и поэтому криптоанализ начинается с допущения, что все сообщение целиком состоит из последовательности слов <strong>the</strong>. Далее мы полагаем, что искомый одноразовый шифрблокнот преобразует всю эту последовательность слов <strong>the</strong> в первый шифртекст. Это станет нашим исходным предположением об одноразовом шифрблокноте. Но как же мы сможем узнать, какие части этого одноразового шифрблокнота правильны?</p><p>Мы можем применить наше исходное предположение об одноразовом шифрблокноте ко второму шифртексту и посмотреть, имеет ли какой-нибудь смысл получающийся открытый текст. Если нам улыбнется удача, мы сможем распознать несколько фрагментов слов во втором открытом тексте, что укажет нам, что соответствующие части одноразового шифрблокнота верны. А это, в свою очередь, укажет нам, в каких местах первого сообщения должны стоять <strong>the</strong>.</p><p>Восстанавливая фрагменты слов, которые мы отыскали во втором открытом тексте, до полных слов, мы можем узнать больше об одноразовом шифрблокноте, а затем выявить новые фрагменты в первом открытом тексте. Путем восстановления этих фрагментов в первом открытом тексте, мы можем узнать еще больше об одноразовом шифрблокноте, а затем определить новые фрагменты во втором открытом тексте. Мы можем продолжать этот процесс до тех пор, пока не расшифруем оба открытых текста.</p><p>Это очень напоминает дешифрование сообщения, зашифрованного шифром Виженера с использованием ключа, состоящего из нескольких слов, что было показано в главе 3, где ключом являлось <strong>CANADABRAZILEGYPTCUBA</strong>.</p><h3>Приложение H</h3><h3>Решение кроссворда, опубликованного в «Дейли Телеграф»</h3><h3></h3><h3>Упражнения для заинтересовавшихся читателей</h3><p>Некоторые самые значительные дешифрования в истории были сделаны непрофессионалами. Так, Георг Гротефенд, положивший начало дешифрованию клинописи, был школьным учителем. Для тех читателей, кого влечет последовать по его стопам, есть несколько письменностей, которые по-прежнему представляют загадку. Линейное письмо А — минойская письменность — успешно противостоит всем попыткам дешифрования, отчасти из-за недостаточности материала. Этрусская письменность не страдает от этой проблемы — для изучения имеется более 10 000 надписей, — но и она также ставит в тупик ученых с мировым именем. Равно непостижимо и иберийское письмо — еще одна доримская письменность.</p><p>Самое любопытное древнее европейское письмо обнаружено на единственном фестосском диске, найденном в южной части Крита в 1908 году. На этой круглой табличке, датируемой примерно 1700 годом до н. э., с каждой стороны сделана надпись, идущая в виде спирали. Знаки на диске выполнены не вручную, а оттиснуты с помощью множества печатей; это пример самого древнего в мире использования «пишущей машинки». Удивительно то, что больше никогда ничего похожего не находили, и потому для дешифрования имеется очень ограниченная информация: всего лишь 242 символа, разделенных на 61 группу. Однако отпечатанный на пишущей машинке документ подразумевает массовое производство, так что есть надежда, что археологи в конце концов отыщут склад подобных дисков и прольют свет на эту неподдающуюся письменность.</p><p>За пределами Европы одной из самых значительных задач является дешифрование письменности бронзового века протоиндийской цивилизации, которую можно обнаружить на тысячах печатей, начиная с третьего тысячелетия до н. э. На каждой печати изображено какое-либо животное и имеется короткая надпись, но что они означают — до сих пор ставит в тупик всех специалистов. В одном необычном случае надпись обнаружили на большой деревянной доске, и она была выполнена гигантскими буквами 37 см высотой. Это мог быть самый древний в мире рекламный щит. Что, в свою очередь, означает, что грамотность не являлась привилегией исключительно элиты, и возникает вопрос, о чем же говорится в объявлении? Вероятнее всего, что это была часть рекламной кампании по выборам короля, и если бы можно было установить его личность, то этот рекламный щит проложил бы путь к остальной части письменности.</p><h3>Приложение J</h3><h3>Математика RSA</h3><p>Ниже в несложном виде дается математическое описание принципа шифрования и дешифрования с помощью RSA.</p><p>(1) Алиса выбирает два гигантских простых числа <i>р</i> и <i>q.</i> Простые числа должны быть громадными, но мы, для простоты, предположим, что Алиса выбрала числа <i>р</i> = 17, <i>q</i> = 11. Она должна хранить эти числа в секрете.</p><p>(2) Алиса перемножает их и получает число <i>N.</i> В нашем случае <i>N</i> = 187. Теперь она выбирает еще одно число — <i>е;</i> в нашем случае она выбрала <i>е</i> = 7.</p><p>(<i>е</i> и <i>(р-</i> 1) х <i>(q — </i>1) должны быть взаимно простыми<a href="#note_38">[39]</a>, но это — техническая сторона дела).</p><p>(3) Алиса может теперь опубликовать <i>е</i> и <i>N</i> в чем-то сродни телефонному справочнику. Поскольку эти два числа необходимы для зашифровывания, они должны быть доступны всем, кто захочет зашифровать сообщение для Алисы. Вместе эти числа называются открытым ключом. (Это число <i>е </i>может являться частью открытого ключа не только Алисы, но и любого другого человека. Однако у всех остальных должны быть иные значения <i>N,</i> которые зависят от выбора <i>р</i> и <i>q.)</i></p><p>(4) Перед тем как приступить к зашифровыванию сообщения, оно должно быть вначале преобразовано в число <i>М.</i> Например, слово заменяется на двоичные цифры ASCII-кода, а эти двоичные цифры могут рассматриваться как десятичное число. После этого <i>М</i> зашифровывается, образуя шифртекст С, по формуле:</p><p><i>С= M<sup>e</sup></i>(mod <i>N)</i></p><p>(5) Представьте, что Боб хочет послать Алисе простой поцелуй — всего лишь букву <i>X</i>. В ASCII-коде она представляется числом 1011000, которое эквивалентно 88 в десятичном виде. Поэтому <i>М —</i> 88.</p><p>(6) Чтобы зашифровать это сообщение, Боб начинает разыскивать открытый ключ Алисы и находит, что <i>N=</i> 187, а <i>е</i> = 7. Это дает ему формулу шифрования, необходимую, чтобы зашифровывать сообщения для Алисы. При <i>М=</i> 88 формула имеет вид:</p><p><i>С =</i> 88<sup>7</sup> (mod 187)</p><p>(7) Вычислить ее на калькуляторе непросто, поскольку дисплей не способен справиться с такими огромными числами. В модулярной арифметике есть, однако, способ вычисления экпоненциальных функций. Мы знаем, что, поскольку 7 = 4 + 2+ 1, то:</p><p>88<sup>7</sup> (mod 187) = [88<sup>4</sup> (mod 187) х 88<sup>2</sup> (mod 187) х 88<sup>1</sup>] (mod 187)] (mod 187) 88<sup>1</sup> = 88 = 88 (mod 187)</p><p>88<sup>2</sup> = 7744 = 77 (mod 187)</p><p>88<sup>4</sup> = 59969536 = 132 (mod 187)</p><p>88<sup>7</sup> = 88<sup>1</sup> х 88<sup>2</sup> х 88<sup>4</sup> = 88 х 77 х 132 = 894432 = 11 (mod 187)</p><p>Теперь Боб отправляет Алисе зашифрованный текст: <i>С =</i> 11.</p><p>(8) Мы знаем, что экпоненциальные функции в модулярной арифметике являются односторонними функциями, поэтому двигаться в обратном направлении и восстановить из С = 11 исходное сообщение <i>М</i> исключительно сложно. Так что Ева дешифровать сообщение не сможет.</p><p>(9) Алиса, однако, способна расшифровать его, поскольку у нее есть определенная специальная информация: ей известны значения <i>р</i> и <i>q.</i> Она вычисляет особое число <i>d —</i> ключ для расшифровывания, иначе известный как ее секретный ключ. Число <i>d</i> рассчитывается по следующей формуле:</p><p><i>е</i> х <i>d = </i>1 (mod (<i>р-</i> 1) $х <i>(q</i> — 1))</p><p>7 х <i>d</i> (mod 16 $x 10)</p><p>7 x <i>d</i> = 1 (mod 160)</p><p><i>d =</i> 23</p><p>(Вычислить значение <i>d</i> не просто, но с помощью метода, известного как алгоритм Евклида, Алиса сможет быстро и без труда найти <i>d.)</i></p><p>(10) Чтобы расшифровать сообщение, Алиса просто воспользуется следующей формулой:</p><p><i>М= С<sup>d </sup></i>(mod 187)</p><p><i>М=</i> 11<sup>23</sup> (mod 187)</p><p>M = [11<sup>1</sup>(mod 187) х 11<sup>2</sup>(mod 187) х 11<sup>4</sup>(m od 187) х 11<sup>16</sup>(mod 187)] (mod 187)</p><p>M = 11 х 121 х 55 х 154 (mod 187)</p><p><i>М =</i> 88 = <i>Х</i> в виде ASCII-кода</p><p>Ривест, Шамир и АДлеман создали специальную одностороннюю функцию — функцию, которая может быть обращена только тем человеком, который имеет доступ х сугубо конфиденциальной информации, то есть к значениям чисел <i>р</i> и <i>q.</i> Каждая функция может быть индивидуализирована путем выбора <i>р</i> и <i>q,</i> которые перемножаются для получения <i>N.</i> Эта функция позволяет всем зашифровывать сообщения для конкретного лица, используя для этого полученное им число <i>N,</i> но только тот, кому предназначено это сообщение, сможет расшифровать его, поскольку только он знает <i>р</i> и <i>q</i>, следовательно, только он знает ключ для расшифровывания <i>d.</i></p><h3>Словарь специальных терминов</h3><p><strong>ASCII</strong> — американский стандартный код для обмена информацией; стандарт для перевода букв и других символов в числа.</p><p><strong>DES</strong> — стандарт шифрования данных, разработан IBM и принят в качестве стандарта в 1976 году.</p><p><strong>Pretty Good Privacy (PGP) («Вполне достаточная секретность»)</strong> — алгоритм компьютерного шифрования, разработанный Филом Циммерманом на основе RSA.</p><p><strong>RSA</strong> — первая система, которая удовлетворяла условиям шифрования с открытым ключом; была придумана Роном Ривестом, Ади Шамиром и Леонардом Адлеманом в 1977 году.</p><p><strong>Агентство национальной безопасности (АНБ)</strong> — подразделение министерства обороны США, отвечающее за безопасность американских средств связи и за проникновение в линии связи других стран.</p><p><strong>Алгоритм шифрования</strong> — любой общий процесс зашифровывания, который может быть строго определен выбором ключа.</p><p><strong>Декодировать</strong> — преобразовать закодированное сообщение обратно в исходное.</p><p><strong>Депонирование ключей</strong> — схема, когда пользователи отдают на хранение копии своих секретных ключей заслуживающему доверия третьему лицу, эскроу-агенту, который передает их сотрудникам правоприменяющих органов только в определенных ситуациях, например, по распоряжению суда.</p><p><strong>Дешифровать</strong> — преобразовать зашифрованное сообщение обратно в исходное сообщение. Формально данный термин относится только к получателю данного сообщения, который знает ключ, необходимый для того, чтобы получить открытый текст, но в действительности также относится к криптоанализу, при котором дешифрование осуществляется противником, перехватившим сообщение<a href="#note_39">[40]</a>.</p><p><strong>Длина ключа</strong> — при компьютерном шифровании используются ключи, которые являются числами. Длина ключа относится к количеству цифр или битов в ключе и, таким образом, указывает самое большое число, которое может быть использовано в качестве ключа, задавая тем самым число возможных ключей. Чем больше длина ключа (или чем больше число возможных ключей), тем больше времени потребуется криптоаналитику, чтобы проверить все ключи.</p><p><strong>Закодировать </strong>— преобразовать исходное сообщение в закодированное.</p><p><strong>Зашифровать </strong>— преобразовать исходное сообщение в зашифрованное.</p><p><strong>Квантовый компьютер </strong>— чрезвычайно мощный компьютер, который использует квантовую теорию, в частности, теорию, что объект может одновременно находиться во многих состояниях (суперпозиция), или теорию, что объект может одновременно находиться во многих мирах. Если бы ученые смогли создать квантовый компьютер, это поставило бы под угрозу стойкость всех нынешних шифров, за исключением шифра одноразового шифрблокнота.</p><p><strong>Квантовая криптография </strong>— нераскрываемая форма криптографии, в которой применяется квантовая теория, в частности, принцип неопределенности, который гласит, что нельзя измерить все параметры объекта с абсолютной точностью. Квантовая криптография гарантирует безопасный обмен случайной последовательностью битов, которая затем используется в качестве основы для шифра одноразового шифрблокнота.</p><p><strong>Ключ </strong>— элемент, который преобразует общий алгоритм шифрования в конкретный способ шифрования. Вообще говоря, противник может знать алгоритм шифрования, используемый отправителем и получателем, но следует приложить все силы, чтобы он не узнал ключ.</p><p><strong>Код </strong>— система, предназначенная для скрытия содержания сообщения путем замены каждого слова или фразы в исходном сообщении другим символом или набором символов. Таблица замен содержится в кодовой книге. (Другое определение кода: это любая форма шифрования, которая не обладает внутренней гибкостью, то есть существует только один ключ — кодовая книга.)</p><p><strong>Кодовая книга </strong>— таблица замен слов или фраз в исходном сообщении.</p><p><strong>Криптоанализ </strong>— наука получения открытого текста из шифртекста без знания ключа.</p><p><strong>Криптография </strong>— наука зашифровывания сообщения или наука скрытия содержания сообщения. Иногда этот термин используется в более широком смысле для обозначения науки, так или иначе связанной с шифрами, и является другим названием криптологии.</p><p><strong>Криптография с асимметричным ключом </strong>— вид криптографии, в которой ключ, необходимый для зашифровывания, не совпадает с ключом, требующимся для расшифровывания. Описывает системы шифрования с открытым ключом, такие как RSA.</p><p><strong>Криптография с симметричным ключом </strong>— вид криптографии, в которой ключ, необходимый для зашифровывания, совпадает с ключом, необходимым для расшифровывания. Данным термином описываются все традиционные виды шифрования, то есть те, которые использовались до 70-х годов.</p><p><strong>Криптология </strong>— наука тайнописи во всех ее проявлениях; включает в себя как криптографию, так и криптоанализ.</p><p><strong>Многоалфавитный шифр замены </strong>— шифр замены, при котором шифралфавит меняется в процессе шифрования, например, шифр Виженера. Изменение шифралфавита задается ключом.</p><p><strong>Обмен ключами Диффи-Хеллмана-Меркля</strong> — процесс, при котором отправитель и получатель могут договориться о секретном ключе по незащищенному каналу. После согласования ключа отправитель, чтобы зашифровать сообщение, может воспользоваться таким, например, шифром, как DES.</p><p><strong>Одноалфавитный шифр замены </strong>— шифр замены, при котором шифралфавит остается неизменным на протяжении всего процесса шифрования.</p><p><strong>Одноразовый шифрблокнот</strong> — единственная известная форма шифрования, являющаяся нераскрываемой. Она основана на случайном ключе, длина которого равна длине сообщения. Каждый ключ может использоваться один, и только один раз.</p><p><strong>Омофонический шифр замены </strong>— шифр, в котором существует несколько возможных замен для каждой буквы открытого текста. Здесь принципиальным является то, что, если, скажем, существует шесть возможных замен для буквы открытого текста <strong>а, </strong>то эти шесть символов могут представлять собой только букву <strong>а. </strong>Этот шифр является одним из видов одноалфавитного шифра замены.</p><p><strong>Открытый ключ </strong>— в системе шифрования с открытым ключом — ключ, применяемый получателем сообщения для того, чтобы зашифровать его. Открытый ключ доступен всем.</p><p><strong>Открытый текст </strong>— исходное сообщение до зашифровывания.</p><p><strong>Распределение ключей </strong>— процесс, обеспечивающий получение доступа отправителя и получателя к ключу, требующемуся для зашифровывания и расшифровывания сообщения; при этом принимаются меры, чтобы ключ не попал в руки противника. До изобретения шифрования с открытым ключом распределение ключей являлось главной проблемой с точки зрения безопасности их доставки.</p><p><strong>Секретный ключ </strong>— в системе шифрования с открытым ключом — ключ, применяемый получателем сообщения для того, чтобы расшифровать его. Секретный ключ должен храниться в секрете.</p><p><strong>Стеганография </strong>— наука, связанная с сокрытием наличия существующего сообщения, в отличие от криптографии, которая используется для скрытия содержания сообщения.</p><p><strong>Цифровая подпись</strong> — способ удостоверения авторства электронного документа. Нередко создается автором, зашифровывающим документ своим секретным ключом.</p><p><strong>Шифр </strong>— любая система, предназначенная для скрытия содержания сообщения путем замены каждой буквы в исходном сообщении другой буквой. Система должна обладать некоторой внутренней гибкостью, известной как ключ.</p><p><strong>Шифр Виженера </strong>— многоалфавитный шифр, который был разработан около 1500 года. Квадрат Виженера состоит из 26 отдельных шифралфавитов, каждый из которых смещен на одну позицию, а ключевое слово задает, каким из шифралфавитов следует пользоваться для зашифровывания каждой буквы сообщения.</p><p><strong>Шифр замены </strong>— система шифрования, в которой каждая буква сообщения заменяется другим символом, но в сообщении остается на своем месте.</p><p><strong>Шифр замены Цезаря </strong>— первоначально так обозначался шифр, в котором каждая буква в сообщении заменяется буквой, отстоящей в алфавите на три позиции дальше. В более общем смысле, это шифр, в котором каждая буква в сообщении заменяется буквой, находящейся в алфавите на <i>х</i> позиций дальше, где <i>х</i> является числом от 1 до 25<a href="#note_40">[41]</a>.</p><p><strong>Шифр перестановки </strong>— система шифрования, в которой каждая буква сообщения остается сама собой, но меняет свое место в сообщении.</p><p><strong>Шифралфавит </strong>— перестановка обычного алфавита (или алфавита открытого текста), который после этого задает, как зашифровывается каждая буква в исходном сообщении. Шифралфавит может также состоять из чисел или любых других символов, но в любом случае им обусловливаются замены букв в исходном сообщении.</p><p><strong>Шифртекст</strong> — сообщение (или открытый текст) после зашифровывания.</p><p><strong>Шифрование с открытым ключом </strong>— система криптографии, в которой преодолены проблемы, связанные с распределением ключей. Для шифрования с открытым ключом требуется асимметричный шифр для того, чтобы каждый пользователь мог создать открытый ключ для зашифровывания и секретный ключ для расшифровывания.</p><h3>Благодарности</h3><p>При написании этой книги мне выпала честь встретиться с некоторыми из самых выдающихся в мире создателей кодов и теми, кто их взламывает, начиная с тех, кто трудился в Блечли-Парке, до тех, кто и в настоящее время разрабатывает шифры, которые обогатят информационный век. Я бы хотел поблагодарить Уитфилда Диффи и Мартина Хеллмана, выбравших время, чтобы рассказать мне, когда я был в солнечной Калифорнии, о своей работе. Точно также в огромной степени помогли мне Клиффорд Кокс, Малькольм Уильямсон и Ричард Уолтон во время моей поездки в хмурый Челтенхем. В частности, я выражаю признательность группе информационной безопасности колледжа Ройял Холоуэй в Лондоне, позволившей мне посетить магистерский курс по информационной безопасности. Профессор Фред Пайпер, Саймон Блэкберн, Джонатан Тулиани и Фозан Мирца — все они дали мне бесценные знания о кодах и шифрах.</p><p>Когда я был в Вирджинии, мне повезло, и я совершил экскурсию по следам сокровища Биля под руководством Питера Виемейстера, знатока этой загадки. Кроме того, музей округа Бедфорд и Стивен Коварт из Ассоциации шифров Биля и сокровищ помогли мне провести исследование данного предмета. Я также благодарен Дэвиду Дойчу и Мишель Моска из оксфордского центра квантовых вычислений, Чарльзу Беннету и его группе из исследовательской лаборатории Томаса Дж. Уотсона компании IВМ, Стивену Виснеру, Леонарду Адлеману, Рональду Ривесту, Паулю Ротемунду, Джиму Джиллольи, Паулю Лейланду и Нейлу Барретту.</p><p>Дерек Таунт, Алан Стрипп и Дональд Дейвис любезно объяснили мне, каким образом в Блечли-Парке взломали Энигму; помог мне также и Блечли-Парк Траст, члены которого регулярно читают просветительские лекции по различным вопросам. Доктор Мохаммед Мрайати и доктор Ибрагим Кади занимались вопросами, касающимися первых достижений арабов в криптоанализе, и были так добры, что выслали мне соответствующие документы. В ежеквартально выходящем журнале «Криптология» также были размещены статьи об арабском криптоанализе, а также о множестве других криптографических тем, и мне хотелось бы поблагодарить Брайана Винкеля за присланные мне старые экземпляры журналов.</p><p>Я бы посоветовал читателям посетить национальный криптологический музей неподалеку от Вашингтона в округе Колумбия и бункер Черчилля в Лондоне, и надеюсь, что вы будете столь же увлечены, как и я во время своего приезда. Благодарю хранителей и библиотекарей этих музеев за помощь в моих исследованиях. Когда мне не хватало времени, Джеймс Ховард, Бинду Матур,</p><p>Притги Сагу, Анна Сингх и Ник Шеринг — все они помогали мне разыскать важные и интересные статьи, книги и документы, и я признателен им за их усилия. Выражаю также свою благодарность Энтони Буономо с www.verti- go.co.uk, который помог мне создать мой веб-сайт.</p><p>Я не только расспрашивал специалистов, но и полагался на многочисленные книги и статьи. В списке для дальнейшего прочтения приведены некоторые из моих источников, но он не является ни абсолютно полной библиографией, ни установленным списком рекомендованной литературы. Напротив, в него всего лишь входит материал, который может быть интересен широкому кругу читателей. Из всех книг, с которыми мне пришлось встретиться в своих исследованиях, я бы хотел особо выделить одну: «Взломщики кодов» Дэвида Кана. В этой книге документально отражены почти все криптографические события истории, и благодаря этому она является бесценным источником.</p><p>Различные библиотеки, учреждения и отдельные лица предоставили мне фотографии. Все они перечислены в списке лиц и организаций, предоставивших фотографии для данной книги, но особую благодарность я хотел бы выразить Салли МакКлейн за фотографии радистов-навахо, профессору Еве Бранн за то, что она нашла единственную известную фотографию Алисы Кобер, Джоан Чедвик за фотографию Джона Чедвика и Бренду Эллис за то, что позволила мне позаимствовать фотографии Джеймса Эллиса. Хочу также поблагодарить Хью Уайтмора, позволившего мне использовать цитату из его пьесы «Взлом шифра» по книге Эндрю Ходжеса «Алан Тьюринг — Энигма».</p><p>Мне бы хотелось поблагодарить друзей и семью, которые терпели меня более двух лет, пока я писал эту книгу. Нейл Бойнтон, Дон Дзедзы, Соня Холбраад, Тим Джонсон, Ричард Сингх и Эндрю Томпсон — все помогали мне остаться в здравом уме в то время, как я пробивался через запутанные криптографические концепции. Бернадетт Алвес, в частности, обеспечивала меня богатой смесью из моральной поддержки и критических замечаний. Вглядываясь назад, выражаю также признательность всем людям и организациям, благодаря которым я состоялся как профессионал, в том числе Веллингтон Скул, Королевскому колледжу и группе физики высоких энергий Кембриджского университета, Дану Пурвис из Би-би-си, которая впервые ввела меня в курс дела на телевидении, и Роджеру Хайфилду в «Дейли Телеграф», кто вселил в меня мужество написать первую статью.</p><p>Наконец, мне выпала огромная удача работать с некоторыми из превосходных людей в издательской системе. Патрик Уолш — это агент, отличающийся любовью к науке, заботой о своих авторах и безграничным энтузиазмом. Он связал меня с самыми лучшими и самыми талантливыми издателями — это, главным образом, касается Fourth Estate, чьи сотрудники сносят мой постоянный поток вопросов с большим присутствием духа. Последнее, но не менее важное, — мои редакторы Кристофер Поттер, Лео Холлис и Петернелле ван Арсдале — помогли мне следовать ясным путем по предмету, чей путь сквозь три тысячелетия был так извилист. За это я благодарен чрезвычайно.</p><div><hr><ol><li id="note_25"><p>3десь под числом ключей автор, вероятно, имеет в виду длину ключей. — Прим. пер.</p></li><li id="note_26"><p>Человек, который полагает, что любая информация частного характера неприкосновенна и должна быть надежно защищена с помощью стойких криптографических алгоритмов. — Прим. пер.</p></li><li id="note_27"><p>Используется также название — «агентство передовых исследовательских проектов». В последующем оно было переименовано в ОАЯРА — Управление перспективных оборонных исследований (агентство передовых оборонных исследовательских проектов). — Прим. пер.</p></li><li id="note_28"><p>Или «Большого Брата» — АНБ, ЦРУ, ФБР, полиция. — Прим. пер.</p></li><li id="note_29"><p>Freeware — свободно и бесплатно распространяемая программа или программный продукт, banditware — бандитская программа. — Прим. пер.</p></li><li id="note_30"><p>Могут также называться «Центр за демократию и технологию» и «Фонд электронного фронтира». — Прим. пер.</p></li><li id="note_31"><p>Законодательная программа правительства, объявляемая при открытии новой сессии парламента. Программу объявляет королева, однако готовит ее правительство. — Прим. пер.</p></li><li id="note_32"><p>Программы, вводящие некоторые дополнительные команды, которые открывают доступ к защищаемой информации. — Прим. пер.</p></li><li id="note_33"><p>Более привычные аналогии: «по часовой стрелке» и «против часовой стрелки»; левостороннее и правосторонее вращение; «левый» и «правый» спин. — Прим. пер.</p></li><li id="note_34"><p>Точнее говоря, в неиндексированной базе данных. — Прим. пер.</p></li><li id="note_35"><p>Университет имени Пьера и Марии Кюри. — Прим. пер.</p></li><li id="note_36"><p>Иногда называют также прямолинейной. — Прим. пер.</p></li><li id="note_37"><p>Для английского текста книги; для русского варианта такой последовательностью будет манисовж… — Прим. пер.</p></li><li id="note_38"><p>Числа называются взаимно простыми, если их наибольший делитель равен единице. — Прим. пер.</p></li><li id="note_39"><p>Как правило, данный термин употребляется, если ключ неизвестен; если же он известен, то вместо дешифровать, дешифрование используется расшифровать, расшифровывание. В этом смысле в названии книги следовало бы употребить более корректный, но менее расхожий термин, «дешифрование»: «Тайная история шифров и их дешифрования». — Прим. пер.</p></li><li id="note_40"><p>Для английского алфавита, состоящего из 26 букв. — Прим. пер.</p></li></ol></div><ul class="pagination"><li class="prev"><a href="/book/read?id=68618&amp;page=6" data-page="5">&laquo;</a></li>
<li><a href="/book/read?id=68618&amp;page=1" data-page="0">1</a></li>
<li><a href="/book/read?id=68618&amp;page=2" data-page="1">2</a></li>
<li><a href="/book/read?id=68618&amp;page=3" data-page="2">3</a></li>
<li><a href="/book/read?id=68618&amp;page=4" data-page="3">4</a></li>
<li><a href="/book/read?id=68618&amp;page=5" data-page="4">5</a></li>
<li><a href="/book/read?id=68618&amp;page=6" data-page="5">6</a></li>
<li class="active"><a href="/book/read?id=68618&amp;page=7" data-page="6">7</a></li>
<li class="next disabled"><span>&raquo;</span></li></ul>
<!-- Yandex.RTB R-A-8383498-1 -->
<script>
window.yaContextCb.push(()=>{
	Ya.Context.AdvManager.render({
		"blockId": "R-A-8383498-1",
		"type": "fullscreen",
		"platform": "desktop"
	})
})
</script>

<!-- Yandex.RTB R-A-8383498-2 -->
<script>
window.yaContextCb.push(()=>{
	Ya.Context.AdvManager.render({
		"blockId": "R-A-8383498-2",
		"type": "fullscreen",
		"platform": "touch"
	})
})
</script>
</div>
		</div>
		<div class=col-lg-3>
		
		</div>
		</div>
    </div>
</div>

<footer class="footer">
    <div class="container">
        <p class="pull-left">&copy; <b>Книги.</b>Онлайн 2025год<br>

         Наша самая популярная <br>электронная библиотека<br>
           Вход на сайт<br>
          Комментарии и отзывы</p>
          

        <p class="pull-right">Зарубежная литература<br>Книги СССР<br>Проза, право<br>Боевое произведение<br>Взгляд, политика</p>
         

         <p align="center">Любовные, фэнтези<br>
         Современные, детские<br>
         Крутые боевики<br>
         Магические, самиздат<br>
         Юмористические, жуткие
     </p>
    </div>



 <!-- Yandex.Metrika counter -->
<script type="text/javascript" >
   (function(m,e,t,r,i,k,a){m[i]=m[i]||function(){(m[i].a=m[i].a||[]).push(arguments)};
   m[i].l=1*new Date();
   for (var j = 0; j < document.scripts.length; j++) {if (document.scripts[j].src === r) { return; }}
   k=e.createElement(t),a=e.getElementsByTagName(t)[0],k.async=1,k.src=r,a.parentNode.insertBefore(k,a)})
   (window, document, "script", "https://mc.yandex.ru/metrika/tag.js", "ym");

   ym(97153354, "init", {
        clickmap:true,
        trackLinks:true,
        accurateTrackBounce:true
   });
</script>
<noscript><div><img src="https://mc.yandex.ru/watch/97153354" style="position:absolute; left:-9999px;" alt="" /></div></noscript>
<!-- /Yandex.Metrika counter -->

</footer>

<script src="/assets/4b8d9ff8/js/bootstrap.js"></script>


</body>
</html>