«Н. Н. Токарева Симметричная криптография. Краткий курс Учебное пособие Новосибирск 2012 УДК 519.7 ББК 22.1 Т 510 ISBN 978-5-4437-0067-0 Токарева Н. Н. Симметричная криптография. Краткий курс: учебное пособие / Новосиб. ...»

МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ РФ

НОВОСИБИРСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ

Механико-математический факультет

Кафедра теоретической кибернетики

Н. Н. Токарева

Симметричная криптография.

Краткий курс

Учебное пособие

Новосибирск

2012

УДК 519.7

ББК 22.1

Т 510

ISBN 978-5-4437-0067-0

Токарева Н. Н. Симметричная криптография. Краткий курс: учебное пособие / Новосиб. гос. ун-т. Новосибирск, 2012. 234 с.

Учебное пособие представляет собой введение в современные методы симметричной криптографии и служит учебным материалом для спецкурса «Криптография и криптоанализ», читаемого автором для студентов ММФ НГУ и учащихся СУНЦ НГУ. В пособии отражены такие направления, как история криптографии в России, криптографические свойства булевых функций, алгоритмы блочного и поточного шифрования, статистические и алгебраические методы криптоанализа симметричных шифров.

Предназначено для школьников старших классов, студентов и преподавателей.

Рецензент — канд. физ.-мат. наук, доц. А. Л. Пережогин Издание подготовлено в рамках реализации Программы развития государственного образовательного учреждения высшего профессионального образования «Новосибирский государственный университет» на 2009–2018 годы.

Новосибирский государственный c университет, Токарева Н. Н., c ISBN 978-5-4437-0067- Оглавление Оглавление 1 Из истории криптографии в России 1.1 Первые шифры....................... 1.2 Появление криптографии в России........... 1.3 Чёрные кабинеты..................... 1.4 Первая половина XIX века................ 1.5 Шифры второй половины XIX века........... 1.6 Криптограф-соловчанин................. 1.7 Первая мировая война.................. 1.8 «На грани крушения»................... 1.9 Глеб Бокий и начало советской криптографии..... 1.10 Секретная связь во время Великой Отечественной войны 1.11 В. А. Котельников..................... 1.12 Немного о советских шифрмашинах........... 1.13 После войны........................ 1.14 Современность....................... 2 Первое приближение 2.1 Криптографические термины.............. 2.2 Правило стойкости..................... 2.3 Принципы Шеннона.................... 2.4 Виды криптографии.................... 2.5 Криптосистемы RSA и ElGamal............. 2.6 Криптографические протоколы............. 3 Булевы функции. Комбинаторный подход 3.1 Определение........................ 3.2 Алгебраическая нормальная форма........... 3.3 Векторные булевы функции............... 3.4 Булев куб.......................... 3.5 Расстояние Хэмминга................... 3.6 Грани и подпространства................. 3.7 Булевы функции и куб.................. 3.8 Аффинно эквивалентные функции........... 3.9 Преобразование Уолша — Адамара........... 4 Оглавление 4 Булевы функции. Алгебраический подход 7.1 Принципы построения................... 7.2 Регистры сдвига с обратной связью........... 7.3 Комбинирующая и фильтрующая модели поточных генераторов.......................... 7.4 Линейные рекуррентные последовательности..... 7.5 Алгоритм Берлекэмпа — Месси............. 7.6 Шифрование в сотовой связи.............. 7.7 Алгоритм A5/1 из группы GSM............. 10.2 Лицензирование криптографической деятельности.. Предметный указатель Вместо предисловия Криптография — наука о секретной передаче информации. На самом деле науки две. Собственно криптография, наука о шифровании, и криптоанализ, наука о взломе шифров. Оба направления имеют долгую и драматичную историю и до сих пор остаются «наиболее важными формами разведки в современном мире».

Научные методы криптографии — это методы дискретной математики, алгебры, теории вероятностей и математической статистики.

И в то же время криптография — это искусство. Объекты, которые она исследует, могут не подчиняться математическим законам, а научные методы иногда не давать результата.

И тогда остатся только воображение.

Истории криптографии в России, до сих пор остающейся мало изученной и во многом засекреченной, посвящена первая глава пособия. В дальнейшем основное внимание уделяется современным методам симметричной криптографии, в частности — использованию в конструкциях шифров криптографических булевых функций. Рассматриваются математические свойства таких булевых функций и способы их построения, приводятся необходимые утверждения дискретной математики и алгебры. Многие приводимые результаты о криптографических булевых функциях получены совсем недавно и пока не нашли отражения в учебной литературе. В пособии сделан обзор современных методов криптоанализа шифров. Приводится серия криптографических и комбинаторных задач, а также нерешнных е проблем в области теоретической криптографии.

Автор выражает свою глубокую благодарность А. Д. Коршунову, А. Л. Пережогину и В. М. Фомичву за ценные замечания и обсуже дения.

Криптография незаметно проникает в кровь и делает странные вещи с людьми.

Герберт Ярдли, американский криптограф, XX век 1. Из истории криптографии в России Небольшие очерки, которые приводятся в данной главе, относятся в основном к истории криптографии в России. До сих пор она остатся мало изученной. Иногда мы будем отступать от краткого хронологического изложения и останавливаться на отдельных событиях и людях, повлиявших на ход истории криптографии или своеобразно его отразивших.

1.1 Первые шифры Появление первых зашифрованных текстов можно отнести к шестому тысячелетию до нашей эры. Это был текст «Великие Арканы Таро», написанный древними египтянами на символическом языке.

Текст о принципах мироздания, об абсолютной и относительной истинах, дешифрованный лишь в 1998 году [9]. К V веку до н. э. относится шифр «сцитала», изобретенный в древней Спарте. С рассказа именно об этом шифре начинаются многие книги по криптографии. Сцитала — это цилиндр специального диаметра, послуживший первым шифровальным прибором. На цилиндр аккуратно наматывалась тонкая лента стык в стык, и на не выписывалось секретное сообщение вдоль оси сциталы. Затем лента сматывалась и передавалась адресату, имеющему под рукой сциталу такого же диаметра и длины. Криптоанализ этого спартанского шифра предложил древнегреческий философ Аристотель (IV век до н. э.), став при этом первым криптоаналитиком. Аристотель использовал длинное конусообразное копье, наматывал на него ленту и сдвигал е по копью до тех пор, пока не удавалось прочесть осмысленный текст.

Один из наиболее известных древних шифров — это шифр Цезаря (I век до н. э.), которым великий полководец пользовался в своей секретной переписке. Шифрование заключалось в циклическом сдвиге каждой буквы сообщения на три позиции вправо по алфавиту. Например, применительно к русскому алфавиту, слово ЦЕЗАРЬ было бы зашифровано как ЩИКГУЯ. Для зашифрования и расшифрования достаточно было иметь перед глазами оригинальный алфавит и его сдвиг:

АБВ Г Д Е Ж З И Й КЛМНОПР С ТУФ Х Ц Ч ШЩЪ Ы Ь ЭЮЯ

Г ДЕЖ З И Й КЛМНО П Р С ТУФХЦЧШЩЪ Ы Ь Э ЮЯА Б В

Несложно понять, что этот шифр может быть легко дешифрован.

Ещ одним известным примером древнего шифра служит «кваде рат Полибия» (Древняя Греция, II век до н. э.). Как и шифр Цезаря, он является криптографически очень слабым. Однако шифр приобрел огромную популярность в российских и советских тюрьмах за удобный и быстрый способ кодирования сообщений. Другое его название — тюремная азбука. Считается, что в России в активное употребление этот шифр ввл декабрист М. А. Бестужев. Для шифрования запоминалась следующая таблица размера ким стуком указывался номер строки, затем через короткую паузу — номер столбца более частым стуком. Потом шла следующая буква и т. д. Таким способом, например, пользовался один из героев романа А. Рыбакова «Дети Арбата».

Большое значение иносказанию, которое можно считать одним из криптографических методов, придавали древнегреческие философы.

Так, ещ в VI веке до н. э., как пишет Э. Шюре в своей книге «Велие кие посвящнные», «философы испытывали потребность для своего учения в двух различных доктринах, в одной — открытой для всех и в другой — тайной, которые передавали бы одну и ту же истину, но под различными формами и в мере, приспособленной для степени развития их учеников». Там же упоминается, что Пифагор «никогда не записывал сво эзотерическое учение иначе, как тайными знаками и под различными символами» [81].

Тайнописью активно пользовались и религиозно-мистические организации, так называемые «мистерии», послужившие впоследствии прообразом масонских обществ. «В мистериях существовал свой язык, доступный только посвящнным. В нм использовались мифы, метае е форы, иносказания, сокращения, специальная символика и т. д.» [9].

1.2. Появление криптографии в России 1.2 Появление криптографии в России Первые профессиональные криптографы на Руси появились при Иване Грозном (1530–1584). Они находились на службе в Посольском приказе, созданном им в 1549 году и отвечавшем за внешнюю политику страны. Криптографы разрабатывали так называемые «азбуки», «цифири», «цифры» или шифры, как они стали называться позднее.

Вначале это были простые шифры замены.

Но вс-таки, как отмечает в своей книге [66] исследователь исе тории шифровального дела Т. А. Соболева, первым из российских государей, осознавшим всю важность криптографии для безопасности страны, стал Птр I (1672–1725). Он поставил шифровальную службу действительно на профессиональную основу.

С 1700 года вся работа по созданию шифров и шифрованию велась в цифирном отделении Посольского приказа, а позднее, с года, — в Посольской канцелярии. Криптографическая служба в это время находилась под постоянным и непосредственным контролем государственного канцлера Гавриила Ивановича Головкина и вицеканцлера Петра Павловича Шафирова. Ими же заслушивались отч- е ты о перехваченных иностранных шифрах, что может свидетельствовать и о начале криптоаналитической деятельности. Затем криптографическая работа велась в Первой экспедиции Коллегии иностранных дел, где она стала строго регламентироваться и засекречиваться.

Типичным шифром того времени был шифр простой замены: каждая буква алфавита заменялась новым знаком, буквой или сочетанием букв. Кроме того, добавлялись «пустышки» — незначащие символы, а также вводились специальные обозначения для часто употребимых в определнном контексте слов или словосочетаний (тае кой словарь назывался «суплемент»). Авторство некоторых цифирей принадлежало лично Петру I.

У Петра I имелся даже специальный блокнот с шестью шифрами, которыми он активно пользовался. Однако в переписке случались и некоторые казусы. В книге [66] приводится такой пример. Птр I часто употреблял французские шифры. В одном из писем фельдмаршал Г. Б. Огильви жаловался Головкину: «Французские цифирные грамотки нихто читать не может, тако не знаю, что на них ответствовать...» и писал напрямую Петру I: «...никого здесь нет, который бы французское ваше мог разуметь, понеже Рен ключ от того потерял... Изволте ко мне через цифирь мою писать, чтоб я мог разуметь...», на что Птр I отвечал: «Французскою азбукою к вам писали для того, что иной не было. А которую вы перво прислали, и та не годна, понеже так, как простое письмо, честь можно. А когда другую прислал, то от тех пор ею, а не французскою к вам пишем. А и французской ключ послан.». Кажется, что потеря ключа в то время не сильно озадачивала переписчиков. Однако, позднее к Огильви был приставлен А. И. Репнин, доверенное лицо Петра I, которому было поручено наблюдать за действиями фельдмаршала.

1.3 Чёрные кабинеты Криптографическую службу России продолжал курировать вицеканцлер. С 1725 года этот пост занимал Андрей Иванович Остерман.

При нм шифры становятся неалфавитными — кодируются уже коме бинации букв, а в качестве шифробозначений теперь используются исключительно цифры. В 1741 году с приходом к власти Елизаветы Петровны (1709–1761) вице-канцлером и главным директором почт назначается Алексей Петрович Бестужев-Рюмин. С его именем связано появление в России службы перлюстрации (тайного вскрытия почты). Осуществляется эта деятельность в «чрных кабинетах» — тайных комнатах, имевшихся во всех крупных почтовых отделениях.

Вскрывать письма было непросто. Нужна была необыкновенная аккуратность и изобретательность. А иной раз ничего и не выходило. Например, об одной своей неудаче сообщал перлюстратор Ф. Аш в письме к Бестужеву-Рюмину: «...на письмах нитка таким образом утверждена была, что оный клей от пара кипятка, над чем письма я несколько часов держал, никак распуститься и отстать не мог. Да и тот клей, который под печатями находился (кои я хотя искусно снял), однако ж 1.4. Первая половина XIX века не распустился. Следовательно же я к превеликому моему соболезнованию никакой возможности не нашел оных писем распечатать без совершенного разодрания кувертов. И тако я оные паки запечатал и стафету в ея дорогу отправить принуждн е был...» [66]. Со временем в чрных кабинетах появился целый штат сотрудников: оде ни вскрывали и запечатывали письма, другие прошивали их ниткой и подделывали печати, третьи копировали содержимое, четвртые переводили, пятые занимались дешифрованием и т. д. Их деятельность держалась в строгом секрете.

Государственные интересы оказывались выше доводов морали. И не только в России. Надо сказать, что в европейских странах чрные кабинеты начали свою работу лет на сто раньше.

В 1742 году на «особливую должность» в Коллегию иностранных дел был принят первый профессиональный криптоаналитик. Им стал математик Христиан Гольдбах (1690–1764), получивший через год первые успехи на новом поприще. Он дешифровал ряд французских дипломатических шифров. Позднее криптоанализом занимались математики Ф. Эпинус и И. Тауберт; русские криптографы братья Ерофей и Фдор Коржавины и другие, [54].

1.4 Первая половина XIX века С начала XIX века вся криптографическая деятельность, а также руководство службой перлюстрации осуществляются в Канцелярии только что созданного (1802 г.) Министерства иностранных дел. Непосредственно руководит Канцелярией (с 1810 года) статс– секретарь Карл Васильевич Нессельроде, позднее ставший министром иностранных дел и государственным канцлером.

К числу ярких успехов того времени относится дешифрование военной переписки Наполеона. Этот факт сыграл важную роль в исходе Отечественной войны 1812 года и поражении наполеоновской армии.

– Нам очень сильно помогло то, что мы всегда знали намерения вашего императора из его же собственных депеш – Я считаю очень странным, что Вы смогли их прочесть. Кто-нибудь, наверное, выдал Вам ключ?

– Отнюдь нет! Я даю Вам честное слово, что ничего подобного не имело места.

Мы просто дешифровали их.

(из разговора, состоявшегося после войны между императором Александром I и командующим одним из корпусов армии Наполеона маршалом Макдональдом) Интересно, что выдающийся русский учный Павел Львович Шиле линг (1786–1837) — электротехник, изобретатель первого электромагнитного телеграфа1 и электрической мины, собиратель ценнейших коллекций китайских и японских рукописей, учный–востоковед, оте важный военный, участвовавший в сражениях Отечественной войны и награжднный одной из самых почтных наград — саблей с надписью «За храбрость», блестящий игрок в шахматы, «весельчак, Получивший распространение телеграф С. Морзе был запатентован в году — спустя пять лет после изобретения П. Л. Шиллинга.

1.5. Шифры второй половины XIX века отличный говорун» и, кстати, петербургский знакомый А. С. Пушкина и К. Н. Батюшкова — был, кроме того, одним из крупнейших криптографов XIX века! И эта особая сторона его многогранной деятельности долгое время оставалась засекреченной. Даже сейчас она ещ не исследована должным образом.

Павел Львович Шиллинг — крупнейший криптограф XIX века.

Портрет и мини-потрет на советской марке Известно, что с 1803 года П. Л. Шиллинг работал в МИД, в которое он вернулся и после окончания Отечественной войны. Именно он организовал министерскую литографию — способ плоской печати, только что входивший в употребление в Европе. До этого шифрдокументы копировались от руки. С 1818 года барон Шиллинг стал заведующим цифирной экспедицией Канцелярии МИД, занимающейся разработкой шифров. Ему принадлежит изобретение биграммного шифра, в котором шифровались не отдельные буквы, а их двойные сочетания, биграммы. При этом некоторые статистические зависимости снимались за счт того, что в биграммы объединялись буквы, находящиеся друг от друга на большом расстоянии [66].

1.5 Шифры второй половины XIX века Во второй половине XIX века криптографическая служба России перестала быть привилегией МИД и была создана ещ в двух ведоме ствах: военном и Министерстве внутренних дел. Тем самым сущеГлава 1. Из истории криптографии в России ственно расширялись сферы использования криптографии, е значее ние в жизни государства неуклонно росло. Появилась классификация шифров по их назначению и области применения. Были выделены шифры военного ведомства (включая императорские), шифры жандармерии, гражданские шифры (например, Министерства финансов), агентурные шифры, предназначенные для связи с разведчиками.

Активно использовались биграммные шифры, введнные барое ном Шиллингом; биклавные шифры — шифры многозначной замены, определяемой двумя ключами (автор — барон Н. Ф. Дризен);

шифровальные коды — шифры, использовавшие цифры в качестве шифралфавита; коды с перешифровкой2.

Термины «шифр» и «ключ» тогда ещ были синонимами. Ключом назывался, по сути, принцип шифрования сообщения, его алгоритм. Раскрытие ключа было равносильно гибели всей криптографической системы. Не так будет обстоять дело в XX веке, когда ключ станет сменной частью сложной криптосистемы. Раскрытие ключа не будет приводить к краху шифра, а будет означать лишь то, что ключ необходимо поменять.

Цифирный комитет устанавливал предельный срок действия каждого шифра в среднем от трх до шести лет. Но любопытно, что многие шифры использовались и по истечении их «срока годности», что, несомненно, сказывалось на тайне переписки. Кроме того, имели место серьзные нарушения. Так, представлялось возможным снова использовать скомпрометированные шифры в других регионах или спустя некоторое время.

Например, русский биграммный ключ №356 использовался почти 25 лет! История его такова. Он был введен в действие в 1869 году «в консульствах на Востоке».

В 1888 году его экземпляр был украден из Российской миссии в Пекине. Вследствие этого шифр был выведен из употребления, но лишь на некоторое время. Несмотря на очевидность компрометации в начале 90-х годов XIX века шифр вновь ввели в действие, но уже в другом регионе. Он был направлен в Амстердам, Гаагу, Берн, Женеву, Стокгольм и другие города. В 1898 году произошла ещ одна компрометация этого шифра: один его экземпляр был потерян начальником Адриатической эскадры. Вероятно, именно это событие, как пишет Т. А. Соболева [66], наконец заставило руководителей шифрслужбы окончательно изъять ключ №356 из употребления. В Отметим, что сейчас термин «код» в криптографии почти не используется.

«Коды» изучаются в теории кодирования, основной задачей которой является не сокрытие информации от злоумышленника, а защита е от помех при передаче по каналу связи. Таким образом, свой «секретный» смысл термин «код» утратил.

А вот «шифры» криптография продолжает изучать.

1.5. Шифры второй половины XIX века соответствующем заключении было указано: «вследствие почти 1/4-векового всемирного использования». Лучше и не скажешь.

Но в целом криптографическая служба России в то время находилась на достаточно высоком профессиональном уровне. Очень быстро и эффективно работали чрные кабинеты.

«Сохранить тайну шифра в Петербурге особенно трудно», — отмечал канцлер Германской империи Отто фон Бисмарк [22].

Один из бывших сотрудников спецслужбы перлюстратор С. Майский вспоминал: «Иностранная дипломатическая переписка попадала в руки российских специалистов практически полностью. «Чрные кабинеты», разумеется, существовали везде, даже в самых демократических республиках Америки и Старого Света. Но справедливость требует сказать, что нигде в мире «чрный кабинет» не работал так чисто, как в России, и в особенности в Петрограде» [22].

Интересно, что император Александр III в течение всего своего правления отказывался читать выписки из писем, добытые в чрном кабинете. После вступления на престол и знакомства со службой перлюстрации он заявил: «Мне этого не нужно».

Не так поступали другие императоры.

В Военном ведомстве второй половины XIX века чаще всего использовались «словарные ключи». Работали они так. Составлялся словарь небольшого объма (до 1 000 словарных величин), каждое му слову которого соответствовал код — трх- или четырхзначное число. Шифрование велось непосредственной заменой по словарю.

Такие «военные ключи» действовали длительное время, при этом относительно часто менялся словарь.

Подобными (словарными) шифрами пользовался и Николай II. Примечательно, что словари Его Императорского Величества, предназначенные для деловой переписки, содержали множество слов с эмоциональной окраской. Например, такие:

«бескорыстный», «безотрадный», «благородный», «болезненный», «ни под каким видом», «молва», «нелепый», «неправдоподобный» и др. [66].

Особое положение занимали агентурные шифры, использовавшиеся разведчиками и агентами царской охранки. Одним из основных требований, предъявляемых к таким шифрам, была «скрываемость», «безуликовость» их документации. Ключ должен был запоминаться или легко извлекаться из «окружающих предметов» (например, распространнных книг), наличие которых никак не компрометировало агента. Сам процесс шифрования должен был быть быстрым и простым. К числу таких шифров относились варианты шифра Цезаря, книжные шифры, шифры перестановок.

Книжный шифр при правильном использовании мог быть действительно очень ниц, строк и букв в строках служили шифробозначениями для шифруемых букв.

Подобные шифры массово использовались и в русском подполье конца XIX века.

Однако сотрудники «чрных кабинетов» обнаружили несколько «зацепок» к расе крытию таких шифров. Оказалось, что корреспонденты предпочитали находить в книгах буквы, стоящие неподалеку от начала строки или страницы. Так, подсчт номера буквы занимал меньше времени, да и риск ошибки был ниже. А вот редкие буквы обычно имели большие номера, так как в начале строк они попросту не попадались. Другой «зацепкой» было изъятие и внимательное изучение личной библиотеки каждого подозреваемого.

Подробнее о российской криптографии XIX века и начала XX века можно прочитать в статьях [10]–[14], [23]–[30].

1.6 Криптограф-соловчанин В 1898 году сотрудник российской криптографической службы, коллежский регистратор, Владимир Иванович Кривош (1865–1942) был послан в Париж для изучения иностранного опыта в делах перлюстрации. В том числе устройства местного чрного кабинета.

Любопытно описание этого учреждения, которое приведм по книге [66]. «Пае рижский чрный кабинет был устроен аналогично петербургскому. Эта «секретная часть» находилась в частном доме. Официальная вывеска на нм гласила, что здесь располагается землемерный институт. Один из служащих «секретной части» действительно знал толк в лесоводстве, и если какой-то частный человек туда забредал, то ему давалась вполне квалифицированная справка. В передней комнате, куда мог прийти с улицы кто угодно, на стенах висели карты, планы земельных участков, а на столах лежали свежие газеты и письменные принадлежности. Из этой комнаты была дверь в следующую, в которой также не было ничего секретного, но был шкаф, служивший дверью в третью комнату. Таким образом, чтобы пройти в действительно секретную часть, необходимо было идти через шкаф, зная как его открыть (наступить одновременно на две дощечки на полу и нажать одно из украшений шкафа).

Дверь автоматически сама запиралась за прошедшим через не. В следующей коме нате была перлюстрационная часть, имевшая сообщение пневматической почтой с главным почтамтом. Все прибывающие в Париж дипломатические пост-пакеты прежде всего отправлялись сюда. Здесь проводилась их регистрация и передача в кабинеты дешифровальщикам, занимавшимся с ними по двое. После дешифрования и фотографирования письма вновь заклеивались и отправлялись по той же трубе пневматическим способом на почтамт. Для президента ежедневно выпускался «лиКриптограф-соловчанин сток» со всеми полученными за сутки сведениями — нечто вроде дипломатической газеты.»

Поездка не прошла даром. Вместе с французскими специалистами были раскрыты шифры, использовавшиеся Японией, Англией и Германией. В. И. Кривош, словак по происхождению, стал одним из ведущих российских криптографов. За предложенные им усовершенствования российской криптографической службы он получил орден Святого Владимира 4-й степени из рук П. А. Столыпина. Владимир Иванович постоянно приглашался для ведения заседаний государственных комиссий различного уровня секретности.

Удивительна судьба этого человека. В. И. Кривош родился в одной из деревень Австро-венгерской монархии. Он рос вблизи строящейся железной дороги и мечтал: когда дорога будет достроена, он уедет в далкие края. Какими же суровыми и фантастическими они оказались...

Его родители были мелкими предпринимателями, которым хватило средств отправить на учбу только одного сына, Владимира.

Его одарнность открыла ему поистине удивительные перспективы.

Сначала были гимназии: немецко-словацко-венгерская и итальянскохорватская. Потом с поразительной быстротой — Королевская Ориентальная Академия, Петербургский университет, парижская Сорбонна. В 1890 году Владимиру Ивановичу — 25 лет. Он блестяще образован, изучил математику и статистику, владеет пятнадцатью языками (к концу его жизни это число достигнет сорока!), написал диссертацию по арабской литературе и уже стал незаменимым российским специалистом в области криптографии и стенографии.

Вскоре он становится Главным цензором газет и журналов Российской Империи и занимает множество «особых» и «сверхсекретных»

должностей. Царское правительство использует его талант в самых разных областях.

Однако в 1915 г. он попадает под подозрение в шпионаже. За этим следует разжалование и ссылка в Сибирь. И возвращение в революционный Петербург в 1917-м. Встреча и работа с В. И. Лениным, который зачисляет В. И. Кривоша в состав наркомата иностранных дел. Так начинается новый, советский, период его жизни.

А дальше, как пишет Любомир Гузи [32], исследователь жизни и творчества выдающегося криптографа, «жизненный путь этого человека напоминает шутку потерявшего всякую объективность биографа-графомана». Кривоша арестовывают: его прошлое дискредитирует советскую власть. Но расстрелять лучшего специалиста не решаются. Из тюрьмы он переводится на службу в разведку, потом становится переводчиком-дешифровальщиком Особого отдела ВЧК.

Новый арест. И последовавший затем перевод в Спецотдел на разработку сложнейших шифров и их дешифрование. Вскоре «за принятие мер к выезду из страны» Кривош арестовывается и приговаривается к расстрелу. Но снова помилован. В мае 1922-го — очередное освобождение и очередное назначение в контрразведку. Год спустя — опять арест «за несанкционированные контакты с представителями чехословацкой миссии». В тюрьме он ожидает то расстрела, то ссылки в лагерь. Кривош временно теряет зрение, но, когда оно возвращается, с радостью читает тюремную библиотеку и занимается переводами.

Он приговаривается к 10-летнему заключению в концлагерь, который ему разрешают выбрать самому — выбирает Соловки3. Главным образом потому, что первую волну заключнных составили преимуе щественно интеллектуалы бывшего режима.

На Соловках Кривош выбирает псевдоним «Тот, у которого ничего нет», что по-словацки звучит как «Нема нич». Он работает ботаником, зоологом, орнитологом, переводчиком, преподат иностранные Соловки, или СЛОН — Соловецкий лагерь особого назначения — первый концентрационный лагерь Советской России. Организован в 1923 году на базе древнего Соловецкого монастыря, расформирован в 1933-м.

1.6. Криптограф-соловчанин языки, основывает оркестр, становится председателем научной комиссии по фауне и флоре Севера России.

Узник СЛОНа Владимир Иванович Кривош-Неманич, выдающийся криптограф царской и советской России Фрагмент стены Соловецкого монастыря В 1928 году Кривош-Неманич выходит на свободу. Дома его встречает жена, которая не отказалась от мужа во время всех преследований. До 1936 года этот удивительный человек (принявший фамилию Кирпичников) работает в Министерстве иностранных дел, но вернуться на словацкую родину ему не удается. Во время войны он живет в эвакуации в Уфе, где преподат иностранные языки. Умер Кривош-Неманич в августе 1942-го. Хоронил его сын, однако через несколько лет останки выдающегося криптографа царской и советской России были перемещены в братскую могилу, следы которой затерялись [69]...

1.7 Первая мировая война Общий недостаточный уровень подготовки России к войне отразился и на работе криптографической службы.

В то время в российской армии практически отсутствовала наде жная проволочная телеграфная связь, поэтому основное взаимодействие между частями велось по радиосвязи. Но никакого отлаженного механизма использования шифрованной радиосвязи не было.

Вследствие беспорядка с распределением и согласованием шифров радиостанции часто «не понимали» друг друга. Им приходилось передавать свои сообщения открытым текстом...

«Такое легкомыслие очень облегчало нам ведение войны на Востоке, иногда лишь благодаря ему и вообще возможно было вести операции», — вспоминал немецкий военачальник М. Гофман, позднее — командующий германскими войсками на Восточном фронте.

«Русские пользовались своими аппаратами так легкомысленно, как если бы они не предполагали, что в распоряжении австрийцев имеются такие же приемники, которые без труда настраивались на соответствующую волну. Австрийцы пользовались своими радиостанциями гораздо экономнее и осторожнее и, главным образом, для подслушивания, что им с успехом удавалось. Иногда расшифровка удавалась путм догадок, а иногда при помощи прямых запросов по радио во время радиопередачи. Русские охотно помогали «своим», как они считали, коллегам.» — из отзыва М. Ронге — начальника разведывательного бюро австрийского генштаба, см. [22].

Вс это очень грустно.

Ошибка с передачей специального военного шифра сыграла определнную роль в поражении армии А. В. Самсонова на Мазурских островах у Танненберга [66]. Во время восточно-прусской операции в августе 1914 года две армии (Самсонова и Ренненкампфа), выступив до завершения мобилизации, должны были оттянуть на 1.7. Первая мировая война себя часть немецких сил, тем самым сорвав основное наступление Германии против Франции. Но сценарий реализовался другой. При взаимодействии двух армий оказалось, что в армии П. К. Ренненкампфа новый шифр уже получен, а старый уничтожен, а в армии Самсонова ещ действовал старый шифр. Поэтому радиопее реговоры между ними велись в открытую, чем не могло не воспользоваться немецкое командование. Кроме того, армия Самсонова не имела запасов телеграфной проволоки, командованию и разведке приходилось использовать для связи даже телефоны местных жителей. В то же время посылаемые приказы командующего фронтом о своевременном отходе армий к определнным рубежам просто не доходили до Самсонова. Его армия попала в окружение и героически сражалась, оставшись без какой-либо поддержки. К ней на помощь должна была прийти армия Ренненкампфа, но не пришла: по оценкам историков, это было фактическое предательство. В результате, армия Самсонова была уничтожена. Потери составили десятки тысяч убитыми, ранеными и пленными [66]...

Русские офицеры. Фото времен Первой мировой войны В сентябре 1914 года российскому командованию вс-таки удае лось обеспечить войска шифровальными средствами. Однако новый шифр был без труда раскрыт дешифровальной службой Австро-Венгрии уже через пять дней после его введения! Наши противники бесперебойно читали шифрпереписку русской армии. Потом они настолько привыкли к этому, что даже не отдавали приказов до тех пор, пока не получали очередной порции информации от своих дешифровальщиков.

В целом «войну в эфире» мы проиграли. Причинами этого послужили плохая организация шифрованной радиосвязи царских армий, слабость российских шифров и нарушения в их использовании. К этому необходимо добавить и то, что до войны в России не существовало военных дешифровальных отделений (они были только у Франции и Австро-Венгрии). Когда такие отделения были созданы, им не хватало соответствующих специалистов и оборудования — например радиостанций пеленгации и перехвата.

Отметим и ряд успехов нашей криптографической службы. Перед войной и во время войны дешифровальная служба МИД работала довольно результативно. Ею читалась переписка многих иностранных государств (в первую очередь, Австрии, Германии, Болгарии, Италии, Турции и др.). Позднее число перехваченных и дешифрованных телеграмм снизилось в связи с тем, что Германия и Австро-Венгрия стали чаще использовать телеграф, а не радиосвязь.

В недавно созданных военных дешифровальных отделениях достаточно быстро вскрывались ключи немецкого морского шифра, что позволяло читать немецкие сообщения и приказы.

К числу успешных относится и операция по захвату кодовых книг с затонувшего немецкого крейсера «Магдебург» в 1914 году.

Приведм эту историю, следуя книге [22]. «В августе 1914 года наскочил на мель в восточной части Балтийского моря у острова Оденсхольм лгкий немецкий крейсер «Маге дебург». Русские моряки сумели достать с этого крейсера кодовые книги ВМС Германии.

Для того чтобы скрыть факт захвата кодовых книг с «Магдебурга» от немцев, русские провели следующую операцию. Немцы не знали, что командир «Магдебурга» Хабенихт при аварии был тяжело ранен и умирал в госпитале. В операции было решено использовать двойника командира немецкого крейсера. В Шлиссельбурге под охраной жил офицер русского флота И. И. Ренгартен. Он свободно говорил по-немецки и был внешне похож на Хабенихта. Как и рассчитывало русское командование Балтфлотом, немцы сумели выйти с ним на связь. Это было сделано с помощью немецких газет, которые «командир» заказывал в шведском посольстве. Над буквами одной из статей Ренгартен обнаружил еле видные точки. Помеченные буквы складывались в следующий текст: «Где книги? Если уничтожили их, сообщите так: если утопили, попросите журнал «Иллюстрированные новости», если сожгли, то «Шахматный журнал Кагана» — номер, соответствующий номеру котла на “Магдебурге”». Ренгартен заказал «Шахматный журнал Кагана» номер 14. Именно в этом котле крейсера русскими были сожжены фальшивые кодовые книги и подлинные обложки в свинцовом переплте. На следующий день к сидящему на камнях «Магдебургу» подое шла немецкая подводная лодка. Высадившаяся из не на крей ер группа извлекла пепел от «сгоревших кодовых книг», остатки переплта и кожи от обложек. Русские подводную лодку «не заметили». Так н мцы убедились в том, что кодовые книги с «Магдебурга»

уничтожены. В резуль ате свой код они не сменили.» [22].

Примечание автора к электронной версии (2014). После выхода данного пособия автору стало известно о том, что приведённые выше детали захвата крейсера «Магдебург»

являются вымышленными. Обсуждению подлинной истории крейсера «Магдебург» и мифам вокруг неё посвящены статьи «Рифы и мифы острова Оденсхольм. К истории захвата секретных документов германского флота на крейсере “Магдебург”» в августе 1914 года», «“Магдебургская” история — “работа над ошибками”» (автор – М. А. Партала) в журнале «Защита информации. Inside» (2007, 2014). Выражаю свою благодарность автору статей за указание на эти работы.

1.8. «На грани крушения»

Крейсер «Магдебург», севший на мель. Справа виден маяк о. Оденсхольм (северное побережье современной Эстонии) Для России это был большой успех. Захваченными шифрами русские поделились с англичанами. Уинстон Черчиль, получивший доступ к этим документам, назвал их «бесценными». Англичане эффективно использовали русский подарок. Они не только дешифровывали ценные телеграммы, но и посылали сообщения от имени германского командования. Одно из таких сообщений привело к крупной победе англичан на море: была уничтожена немецкая эскадра под командованием генерала Шпее осенью 1914 г. недалеко от Южной Америки.

1.8 «На грани крушения»

Глубокий кризис, который переживала российская криптографическая служба, особенно остро ощущался самими криптографами.

Многие из них искренно переживали за судьбу не только своей службы, но и России в целом. Юрий Александрович Колемин, управляющий шифровальной частью МИД, писал в своей докладной записке министру иностранных дел С. Д. Сазонову о необходимости немедленной реорганизации криптографической службы, находящейся, по его словам, «на грани крушения». Он писал о ничтожных окладах е сотрудников, об их «второсортном положении», а по сути об их ненужности государству. «На каком именно основании, — пишет Колемин, — они должны чувствовать солидарность с интересами своГлава 1. Из истории криптографии в России его дела?», ведь «добросовестность нельзя безнаказанно эксплуатировать». В его записке встречаются такие слова, как «крах», «безнаджность», «банкротство»... Пользуясь активной поддержкой свое их служащих, он предлагает организацию нового Отделения, детально разрабатывает принципы его устройства, вкладывает в это дело «всю свою душу»! Но этим планам не суждено было реализоваться.

На пороге стоял 1917 год. И история начиналась совсем другая.

1.9 Глеб Бокий и начало советской «По ночам Самбикин долго не мог заснуть от воображения труда на советской земле, освещнного сейчас электричеством. Он вставал с кровати, зажигал свет и ходил в волнении, желая предпринять что-либо немедленно. Он включал радио и слышал, что музыка уже не играет, но пространство гудит в своей тревоге, будто безлюдная дорога, по которой хотелось уйти.»

Пятого мая 1921 года при ВЧК был создан Спецотдел, заведовавший криптографическими делами. Отдел находился на особом положении: его действия координировались непосредственно Политбюро. Распоряжения Спецотдела по всем вопросам шифрования были обязательными к исполнению всеми ведомствами РСФСР. Возглавил новую криптографическую службу Глеб Иванович Бокий (1879– 1937), соратник В. И. Ленина.

Об этом человеке трудно найти какую-либо информацию. Особенно непротиворечивую. Историк Т. А. Соболева в своей книге [66] пишет: «Даже в мом собствене ном окружении, в той самой службе КГБ, которая была детищем Бокия и которую он возглавлял 17 лет, о нм почти никто ничего не знал».

Дворянин Г. И. Бокий вступил в Российскую социал-демократическую рабочую партию (РСДРП) в 1900 году. Кстати, его партийный билет был номер 7. «Бокий, как и Сталин, в предреволюционный и революционный период входил в ядро, руководящую верхушку большевистской партии» [66]. На протяжении 20 лет (с 1897 по год) он являлся одним из руководителей петербургского большевистского подполья. За это время Бокий двенадцать раз подвергался арестам, провл полтора года в одиночной камере, два с половиной года — в сибирской ссылке, от побоев в тюрьме получил травматический туберкулз [56]. Параллельно с революционной деятельностью 1.9. Глеб Бокий и начало советской криптографии он учился в Петербургском горном институте, работал гидротехником и горным инженером. Основательно изучал философию и политэкономию. «Работал над своим образованием настолько упорно, что позволял себе спать не более четырх часов в сутки» [66].

Максим Горький писал о нм так: «Человек из породы революционеров-болье шевиков старого, несокрушимого закала. Я знаю почти всю его жизнь, всю работу и мне хотелось бы сказать ему о мом уважении к людям его типа, о симпатии лично к нему. Он, вероятно, отнсся бы к такому «излиянию чувств» недоумнно, оценил бы это как излишнюю и, пожалуй, смешную сентиментальность». [31].

В советский период Г. И. Бокий не только руководил Спецотделом, но и был членом ВЧК, затем коллегии ОГПУ и НКВД, входил в состав «троек» ОГПУ, приговаривавших людей к расстрелам — часто заочно: без участия обвиняемых, свидетелей и защиты. Он был одним из активных создателей системы ГУЛАГ. В частности, Соловецкого лагеря, уже упоминавшегося в этой главе.

Именем Бокия был назван пароход, в трюме которого в Соловки привозили новых заключнных. Известный советский учный–филолог Дмитрий Сергеевич Лие е хачв, узник Соловков, вспоминал свою поездку на пароходе так: «Вывели нас на пристань с вещами, построили, пересчитали. Потом стали выносить трупы задохшихся в трюме или тяжело заболевших: стиснутых до перелома костей, до кровавого поноса...» [48]. А однажды, на пароходе прибыл и сам «куратор Соловков». Но это был его рабочий визит. Заключнные лагеря сочинили тогда такие строки [69]: «В волненье все, но я спокоен. // Весь шум мне кажется нелеп: // Уедет так же, как приехал, // На «Глебе Боком» — Бокий Глеб.»

На службе у Бокия работали некоторые криптографы царской России. Был здесь В. И. Кривош-Неманич, И. А. Зыбин, дешифровавший в сво время переписку Ленина, И. М. Ямченко, бывший начальник врангелевской радиостанции. В создании службы участвовали и люди, ранее не работавшие в области шифрования. Зять Бокия, писатель Лев Разгон, вспоминал: «В спецотделе работало множество самого разного народа, так как криптографический талант — талант от Бога. Были старые дамы с аристократическим прошлым, был немец с бородой почти до ступней» и множество других непонятных людей.

К работе на Спецотдел Бокий привлек и учного-мистика А. Барченко, исслее довавшего биоэлектрические явления в жизни клетки, в работе мозга и в живом организме в целом. Свои лабораторные опыты Барченко совмещал с должностью эксперта Бокия по психологии и парапсихологии. В частности, им разрабатывалась методика выявления лиц, склонных к криптографической работе. Учный выступал консультантом при обследовании всевозможных знахарей, шаманов, гипнотизров и прочих людей, утверждавших, что они общаются с призраками. С конца 1920-х годов Спецотдел активно использовал их в своей работе. Как отмечается в книге [56], исследования и методика Барченко применялись и в особенно сложных случаях дешифрования вражеских сообщений — в таких ситуациях проводились сеансы связи с духами.

Первый успех новой криптографической службы относится к году: был раскрыт немецкий дипломатический код. С этого времени и вплоть до 1933 года контролировалась переписка многих линий дипломатической связи Германии и е консульств в СССР. С 1921 года читалась переписка внутренних линий связи Турции. В 1924 году были вскрыты два шифра польского разведотдела генерального штаба, которые использовались для связи с военными атташе в Москве, Париже, Лондоне, Вашингтоне и Токио. В 1927 году началось чтение японской переписки, в 1930 году — переписки некоторых линий связи США. Разрабатывались коды и других стран.

Одновременно со «взломом» чужих шифров шла напряжнная е работа по созданию своих. В 1924 году на основе 52 различных шифров был создан так называемый «русский код», дешифровать который не удалось никому. В литературе по истории криптографии об этом коде нет информации. По одним источникам, «на десятилетия он стал основным шифром для всех служб СССР», по другим — такого кода никогда не было.

Несмотря на большой спектр решаемых задач спецотдел ВЧК, а затем ОГПУ был в их структуре самым засекреченным. Его сотрудСекретная связь во время Великой Отечественной войны никам запрещалось даже родным говорить, где они работают.

В 30-е годы руководство криптографической службой сменилось, а Глеб Бокий был расстрелян.

Его жизнь окружена множеством легенд. Кто-то их подтверждает, кто-то яростно опровергает. Часто говорится о связи Г. И. Бокия c представителями тайных обществ, о его поисках Шамбалы — страны вечных мудрецов, по преданию затерянной где-то в Азии. В 1925 году он даже планировал туда научную экспедицию, но запретило Политбюро.

Одни считали Бокия «страшным человеком», устраивавшим тайные оргии на своей даче. Вспоминали, что некоторые сотрудники спецотдела, принимавшие в них участие, потом заканчивали жизни самоубийством. Атмосферу созданной им «дачной коммуны» сравнивали с атмосферой Великого бала у сатаны в романе его современника М. А. Булгакова «Мастер и Маргарита». Только в действительности, вспоминали очевидцы, было ещ страшнее. Другие с возмущением отвергали подобе ные «байки», считая их «версией, которую пустили в обиход после ареста Бокия».

Эти люди вспоминали Бокия как «интеллигентного и весьма скромного человека, никогда и никому не пожимавшего руки и отказывавшегося от всех привилегий».

Как человека, который «на сделку с совестью не шл никогда».

1.10 Секретная связь во время Великой В этом и следующих разделах речь пойдт о методах секретной связи и криптографии в СССР во время Великой Отечественной войны и в период подготовки к ней. Это и секретная телефонная связь, и радиосвязь, и создание текстовых шифраторов.

Первые разработки аппаратов секретного телефонирования в СССР относятся к 1927–1928 гг., когда в Научно-исследовательском институте связи РККА были изготовлены для погранохраны и войск ОГПУ 6 телефонных аппаратов ГЭС (конструктор Н. Г. Суэтин).

В 1930-х годах в области секретной телефонии вели работы семь организаций:

НИИ НКПиТ (наркомата почт и телеграфа), НИИС РККА, завод имени Коминтерна, завод «Красная Заря», НИИ связи и телемеханики ВМФ, НИИ №20 Наркомата электропромышленности (НКЭП), лаборатория НКВД.

ВЧ-связь. В 1930 году заработали первые линии междугородной правительственной высокочастотной связи (ВЧ-связи) Москва — Ленинград и Москва — Харьков. Отметим, что сама технология ВЧ-связи без применения аппаратуры шифрования была совершенно ненаджна и могла защитить только от прямого прослушивания. В 1935–1936 годах на заводе «Красная Заря» было создано устройство автоматического засекречивания телефонных переговоров — инвертор ЕС (названный по фамилиям разработчиков К. П. Егорова и Г. В. Старицына) — и налажен его выпуск для каналов телефонной ВЧ-связи. Практически на всм протяжении Великой Отечественной войны и позднее для организации ВЧ-связи успешно использовались устройства этого типа.

К 1941 году в СССР функционировало 116 ВЧ-станций и 39 трансляционных пунктов, а число абонентов высшего партийного и государственного руководства достигло 720.

К первому периоду войны относится разработка портативной, исполненной в виде чемодана, засекречивающей аппаратуры СИ- («Синица») и САУ-16 («Снегирь»), которая использовалась в основном при выездах высшего командного состава в пункты, не имевшие ВЧ-станций.

В 1938–1939 гг. в Центральном научно-исследовательском институте связи были созданы две лаборатории по засекречиванию телеграфной и телефонной информации. Возглавил их выдающийся учный Владимир Александрович Котельников. Это человек, сыге равший ключевую роль в организации наджной секретной связи самого высокого уровня во время Великой Отечественной войны и после не.

Секретная телеграфная связь. В. А. Котельниковым впервые в СССР были разработаны принципы построения телеграфной засекречивающей аппаратуры путм наложения на сообщение знаков гаммы (аппаратура «Москва»).

Как приводится в статье [15], «Сам шифратор, сконструированный на электромеханических узлах, был сложным и громоздким. В основе конструкции лежал барабан, заполненный шариками. При вращении барабана через систему штырей из щелей шарики случайным образом скатывались по шести вертикальным трубкам на две движущиеся телеграфные ленты, которые были наложены одна на другую через «копирку». В результате на обеих лентах получался одинаковый рисунок — «дорожки» из случайно расположенных пятен. Затем по этим меткам ленты перфорировались. Эти ленты образовывали случайный ключ и рассылались на пункты установки аппаратуры.».

Сама схема наложения гаммы на открытый текст была уже хорошо известна к тому времени благодаря изобретению Гильберта Вернама 1917 года. Она оказалась очень привлекательной и долгое время использовалась в аппаратуре последующих поколений.

1.10. Секретная связь во время Великой Отечественной войны Владимир Александрович Котельников Секретная телефонная связь. В 1939 году В. А. Котельникову было поручено решение важной государственной задачи — создание шифратора для засекречивания речевых сигналов с повышенной стойкостью к дешифрованию.

В лаборатории Котельникова было установлено, что для хорошей маскировки речевого сигнала необходимо использовать частотные преобразования и временные перестановки отрезков речи одновременно [18]. Эти принципы легли в основу новой разработанной под руководством Котельникова сложной засекречивающей аппаратуры С-1 («Соболь») [38], которая стала широко использоваться в действующей армии. Несмотря на все трудности уже к осени 1942 года сотрудники лаборатории Котельникова изготовили несколько образцов оборудования «Соболь-П». Согласно статье [15] это была самая сложная аппаратура засекречивания информации, не имевшая аналогов в мире. «Соболь-П» использовался для обеспечения секретной связи самого высокого уровня (Ставки Верховного главнокомандующего со штабами фронтов), причм впервые такая связь осуществлялась с помощью радиоканала. Заменить относительно безопасный проводной канал связи на радиоканал для связи такого уровня оказалось возможно только благодаря исключительной стойкости использованного шифрования.

Как вспоминали ветераны ВОВ, применение шифраторов Котельникова в ходе решающих боев на Курской дуге в значительной степени определило успешный исход битвы [15]. По сведениям советской разведки, А. Гитлер заявлял, что за одного криптоаналитика, способного «взломать» советскую радиосвязь, он не пожалел бы трх отборных дивизий.

Уже в то время В. А. Котельников понимал, что для обеспечения высокой стойкости и уровня маскировки речевого сигнала необходимо сначала проводить сжатие речи [18]. Поэтому параллельно с разработкой «Соболя-П» В. А. Котельников проводил работы по созданию вокодера — устройства, обеспечивавшего компрессию спектра речи примерно в десять раз. К октябрю 1941 года вокодер начал «говорить». В ноябре 1941-го лаборатория продолжила свою работу в Уфе, куда была эвакуирована.

За создание шифраторов В. А. Котельников и его коллеги по лаборатории (И. С. Нейман, Д. П. Горелов, А. М. Трахтман, Н. Н. Найде нов) получили в марте 1943 года Сталинские премии I степени.

Все разработки были жстко засекречены. Сотрудник лаборатории Е. В. Руднев передает атмосферу секретности в своих стихах–воспоминаниях [60]: «В 43-м весною, по радио // Мы узнали — трудились не зря. // Золотыми нагрудными знаками // Удостоена эта работа была. // Первый том был написан В. А. // Мой четвртый — последний, // Между ними два тома Д. Б. и Ю. С. // Все четыре — под грифом С. С.»

Аппаратура «Соболь-П» очень активно использовалась в дальнейшем. После окончания Второй мировой войны она получила применение и на дипломатических линиях связи Москвы с Хельсинки, Парижем и Веной при проведении переговоров по заключению мирных договоров, а также при проведении Тегеранской, Ялтинской и Потсдамской конференций и для связи с Москвой нашей делегации во время принятия капитуляции Германии в мае 1945 года. За дальнейшие разработки в области шифраторов Котельникову и его группе в 1946 году была повторно присуждена Сталинская премия I степени.

Одновременно с созданием аппаратуры засекречивания в СССР проводились и работы по е дешифрованию. Было установлено, что аналоговая аппаратура шифрования мозаичного типа теоретически дешифруема. Для того чтобы получить недешифруемую аппаратуру засекречивания телефонных переговоров, речь необходимо переводить в цифровую форму.

1.10. Секретная связь во время Великой Отечественной войны В 1941 году Владимир Александрович доказал, что можно создать математически недешифруемую систему засекречивания, если каждый знак сообщения будет засекречиваться выбираемым случайно и равновероятно знаком гаммы. Параллельно и независимо к нон. Подобные системы он стал называть совершенно секретными шифрами. Такие системы, как показал В. А. Котельников, должны быть цифровыми, а преобразование аналогового сигнала в цифровую форму должно основываться на доказанной им теореме отсчтове (другое название — теорема дискретизации). Эта теорема, как и другие результаты В. А. Котельникова, прочно вошла в Золотой фонд классических результатов современной теории информации.

Теорема Котельникова. Если аналоговый сигнал () имеет ограниченный спектр, то он может быть восстановлен однозначно и без потерь по своим дискретным отсчтам, взятым с частотой не менее удвоенной максимальной частоты спектра.

Другими словами, теорема говорит о возможности восстановления непрерывных функций с ограниченным спектром по их значениям через определнные интервалы времени. Заслуга Котельникова состоит в том, что он первый осознал возможности приложений этого математического факта и осуществил удачный выбор класса функций для дискретизации. В зарубежной литературе эта теорема более известна как теорема Найквиста – Шеннона.

С этих результатов В. А. Котельникова, представленных в секретной научной работе «Основные положения автоматической шифровки» (1941) и независимо полученных К. Шенноном в 1945 году, и началась криптография как наука. Для криптографических методов впервые за всю историю их развития был разработан строгий математический аппарат.

Необходимо отметить, что результаты К. Шеннона были опубликованы в открытой печати, тогда как работы В. А. Котельникова долгое время оставались засекреченными. Поэтому приоритет в этой области по праву закреплн за К. Шенноном.

После войны, 21 января 1948 года была создана секретная Марфинская лаборатория [38] для работы над следующими проблемами:

дискретизация непрерывного речевого сигнала;

увеличение скорости передачи двоичных сигналов;

разработка высокоскоростного шифратора;

создание нового направления — криптографического анализа.

Однако В. А. Котельников отказался возглавить лабораторию;

он только е курировал. В это время он продолжал работать в Мосе ковском энергетическом институте (МЭИ). Руководил Марфинской лабораторией А. М. Васильев.

В новой лаборатории вместе с вольными работали заключнные спецтюрьмы №16 МГБ СССР. На проведение всех работ руководство страны поставило сверхкороткий срок — полтора года! Атмосфера была очень напряжнной. Марфинская криптографическая лаборае тория описана в романе А. И. Солженицына «В круге первом».

«Марфинская шарашка», спецтюрьма №16 МГБ СССР Правда, как вспоминал в 2003 году В. А. Котельников, «Солженицын не слишком правильно описал атмосферу в лаборатории. «Вольным» приходилось работать больше, чем заключнным, и кормили их много хуже. Усложняла работу и обстановка излишней секретности. Закрытость и секретность вообще много вреда принесли нашей науке» [36].

1.11 В. А. Котельников Владимир Александрович Котельников (1908–2005) родился в Казани, в семье университетского профессора — известного математика — Александра Петровича Котельникова. Его дед, Птр Иванович Кое тельников, также всю жизнь проработал математиком в Казанском университете и между прочим был первым математиком, который 1.11. В. А. Котельников открыто поддержал смелые работы Н. И. Лобачевского о неевклидовой геометрии.

В 1926 году Владимир Александрович поступил в Московское высшее техническое училище им. Баумана, на последних курсах перешел в отделившийся от училища Московский энергетический институт (МЭИ), который и окончил в 1930 году, получив звание инженера-электрика. Однако научная деятельность В. А. Котельникова началась раньше — в 1930 году в НИИ связи Красной армии, куда он был зачислен в качестве инженера. Одновременно с научной деятельностью с 1931 по 1941 г. В. А. Котельников преподавал на кафедре радиотехники МЭИ. В конце 30-х гг. и в годы войны Владимир Александрович занимался разработкой специальной шифровальной аппаратуры связи. Достигнутые им криптографические успехи без преувеличения внесли огромный вклад в нашу победу, а сам В. А. Котельников снискал себе негласный титул «патриарха секретной телефонии».

В конце 40-х годов Владимир Александрович организовал Особое конструкторское бюро МЭИ, ставшее впоследствии одним из ведущих предприятий в области космической техники. С 1954 года В. А. Котельников возглавил недавно созданный Институт радиотехники и электроники (ИРЭ), получивший при нм мощное развитие.

В 90-е годы В. А. Котельников был одним из шести основателей Академии Криптографии. Он принимал активное участие в работе е советов и комиссий.

Обширные научные интересы Владимира Александровича включали в себя общую и прикладную физику; радиофизику, радиотехнику и электронику; теорию информации, в частности — методы защиты информации от помех в системах радиосвязи и криптографию, практические вопросы разработки специальной аппаратуры связи;

исследования космоса, в особенности созданное им направление планетной радиолокации и многое, многое другое. Во всех этих областях В. А. Котельников получил существенные результаты. В этом пособии мы коснулись лишь его криптографической деятельности.

В. А. Котельников — лауреат Ленинской премии, дважды лауреат Государственной премии СССР, дважды Герой Социалистического труда. Он награждн шестью орденами Ленина, орденом «За заслуги перед Отечеством» I степени, другими орденами и медалями, в частности орденом «За заслуги перед Москвой». Хоть и с большим опозданием его научные заслуги были признаны во всем мире. В году ему были присуждены высшие международные награды — премия Э. Рейна и Золотая медаль А. Белла. Решением Международного астрономического союза астероид №2726 носит имя «Kotelnikov».

Президент Международного Института электронной и электрической инженерии Брюс Эйзенштейн (США) признавал самый существенный вклад Котельникова в развитие радиосвязи и криптографии, он говорил: «Over the years the West had its Shannon; and the East had its Kotelnikov.»

Владимир Александрович Котельников Полученные звания и награды не стали препятствием основному делу его жизни: Владимир Александрович сохранил научную активность до самого последнего времени. Его творческий и земной путь завершился на 97-м году жизни почти законченной, но не опубликованной работой «Модельная квантовая механика».

Коллеги В. А. Котельникова отмечали его выдающиеся личные качества. «Прежде всего, это необычайная серьзность в подходе к решению любого вопроса, будь то государственная проблема или личная проблема сотрудника. Далее, неизменная доброжелательность, обязательность в выполнении обещанного, стремление всегда решить вопрос не откладывая на завтра — вот те замечательные качества, которые характеризовали Владимира Александровича как руководителя и как человека» (директор ИРЭ академик Ю. В. Гуляев [33]).

На работе и в жизни Владимир Александрович был скромен и прост. Он умел видеть главное и быть требовательным. Читая воспоминания [40] тех, кому посчастливилось работать с ним, отмечаешь, что в присутствии Владимира Александровича людям неожиданно 1.12. Немного о советских шифрмашинах становилось... стыдно. За себя, за недостатки в своей работе. И они старались работать лучше, не позволяя себе «халтуры», и сами менялись к лучшему.

1.12 Немного о советских шифрмашинах Когда речь заходит о шифровальной технике времен Второй мировой войны, то, как правило, вспоминают знаменитую немецкую шифровальную машину «Энигма» — изобретение инженера Артура Шербиуса 1918 года. Этим дисковым шифратором с 1926 года стали оснащаться вооружнные силы и спецслужбы Германии. Наиболее востребованной «Энигма» стала после прихода к власти А. Гитлера и особенно во время войны. По некоторым оценкам для вооружения немецкой армии было выпущено до 100 000 е экземпляров.

Вспоминают тайную работу по дешифрованию «Энигмы», которая велась в разных странах и увенчалась успехом. На протяжении войны немецкие сообщения тайно читались англичанами, американцами, русскими и др.

Первый математический аппарат для дешифрования «Энигмы»

разработали выпускники Познаньского университета (Польша) Мариан Раевский, Генрих Зыгальский и Ежи Розицкий (см. подробнее [39], [22], [65]). В 2008 году в Познани о них был снят документальный фильм [113]. Результатами польских криптоаналитиков воспользовались англичане. Ими была спланирована масштабная операция «Ультра», нацеленная как на аналитическое дешифрование сообщений «Энигмы», так и на захват е действующих кодовых книг. Об этой успешной операции и е главном криптографическом центре в Блетчли–парке написано довольно много. Большой объм сведений можно найти и о самой «Энигме».

А какими были советские шифрмашины?

До последнего времени информации о них практически не было.

«...кто возьмет в плен русского шифровальщика, либо захватит русскую шифровальную технику, будет награждн Железным кресе том, отпуском на родину и обеспечен работой в Берлине, а после окончания войны — поместьем в Крыму.».

«Эти проклятые русские шифровальные машины, мы никак не можем их расколоть!».

Многое дают понять эти слова А. Гитлера. Он инициировал настоящую охоту за советскими шифровальщиками. Однако немцам так и не удалось дешифровать сообщения, зашифрованные с помощью советской техники. С 1942 года эти сообщения перестали перехватывать. Благодаря разработанной перед войной шифровальной технике Советскому Союзу удалось скрыть свои стратегические планы. Это был огромный успех нашей шифровальной службы!

В подтверждение приведм несколько цитат.

«Ни одно донесение о готовящихся военно-стратегических операциях нашей армии не стало достоянием фашистских разведок» (начальник Генштаба Маршал Советского Союза А. М. Василевский).

«Хорошая работа шифровальщиков помогла выиграть не одно сражение» (зам.

Верховного Главнокомандующего Маршал Советского Союза Г. К. Жуков).

В своих показаниях начальник штаба при ставке верховного главнокомандования немецких вооружнных сил генерал-полковник А. Йодль сообщал: «Радиоразведка играла особую роль в самом начале войны, но и до последнего времени не теряла своего значения. Правда нам никогда не удавалось перехватить и расшифровать радиограммы вашей ставки, штабов фронтов и армий. Радиоразведка, как и все прочие виды разведок, ограничивалась только тактической зоной» [46].

Первая попытка создать текстовый электромеханический шифратор в СССР была предпринята в 1923 году в Особом техническом бюро по военным изобретениям специального назначения. Найти какую-либо информацию об этой попытке достаточно трудно.

В 30-е годы образцы советской шифровальной техники создавались под руководством талантливого инженера Ивана Павловича Волоска. Шифрмашины того времени реализовывали наложение случайной последовательности (гаммы) на открытое текстовое сообщение. Даже сейчас такой подход абсолютно современный и при выполнении некоторых условий может обеспечивать гарантированную стойкость шифрования.

В-4, М-100 — одни из первых советских шифрмашин, реализующих шифры гаммирования. В 1938 году началось их серийное производство.

«Шифровальная машина М-100 состояла из трх основных узлов: клавиатуры с контактными группами, лентопротяжного механизма с трансмиттером и приспособления, устанавливаемого на клавиатуру пишущей машинки, и семи дополнительных блоков. Общий вес комплекта достигал 141 кг. Только одни аккумуляторы для автономного питания электрической части машины весили 32 кг. Тем не менее, данная техника выпускалась серийно и в 1938 году была успешно испытана в боевых условиях во время гражданской войны в Испании (1936–1939 гг.), на Халхин-Голе (1939), во 1.12. Немного о советских шифрмашинах время советско-финской войны (1939–1940 гг.). Шифрованная связь в этих военных конфликтах осуществлялась в звене Генеральный штаб — Штаб армии» [15].

Позднее появились и более компактные машины. Например, К-37 («Кристалл»), М-101 («Изумруд») и другие. Наряду с шифрами гаммирования применялись и шифры многоалфавитной замены. После войны в СССР использовались такие шифрмашины, как М- «Агат», М-125 «Фиалка» и другие.

Широко использовалось и ручное шифрование. Телеграммы отправлялись с помощью лгких, весом в три килограмма, радиостанций «Север». Или — «Северок», как их ласково называли военные связисты. Эта техника, быстро завоевавшая симпатии наших разведчиков и партизан, выпускалась в блокадном Ленинграде.

На машинную шифросвязь в годы войны легла основная нагрузка при передаче секретных телеграмм. И с этой нагрузкой, как уже отмечалось выше, наша шифровальная служба справилась блестяще.

Только в 8-м Управлении Красной Армии за период с 1941 по год было обработано свыше 1,6 миллионов шифротелеграмм.

Не будем забывать про эти успехи.

Известно много примеров героического поведения наших шифровальщиков на войне [46]. Офицеры спецсвязи на грани жизни и смерти, часто с тяжелейшими ранениями, уничтожали шифровальные документы перед приходом врага. В большинстве случаев это было то последнее, что они успевали сделать перед смертью.

Советские шифровальщики под страшными пытками не выдавали ни наших кодовых таблиц, ни особенностей использования нашей шифровальной техники.

Без этого личного героизма секретная работа даже самой наджной шифрое вальной техники была бы невозможна.

Успехи нашей дешифровальной службы во время войны требуют отдельного исследования. Приведм лишь один пример. Как отмее чает в свом интервью Н. Н. Андреев, бывший руководителем 8-го Главного Управления КГБ, с 1992 по 1998 год — президент Академии криптографии РФ, «во время войны мы читали японскую дипломатическую переписку, анализ которой позволил сделать вывод о том, что Япония не намерена начинать военные действия против СССР, что дало возможность перебросить значительные силы на германский фронт» [37].

1.13 После войны О том, как развивалась отечественная криптография после войны, есть только обрывочные сведения.

Ещ с 1 сентября 1939 года в СССР велась подготовка военных криптографов. С момента образования Спецотдела ВЧК и вплоть до Великой Отечественной войны каких-либо стационарных учебных заведений (кроме краткосрочных курсов и школ) для подготовки профессионалов-криптографов не было. В эти годы основы криптографии преподавались в Военно-инженерной академии имени В. В. Куйбышева и в Военной академии связи в Ленинграде.

В Спецотделе разрабатывались и первые учебники по криптографии. Среди них — пособие «Шифры и их применение» (1933), учебник «Криптография (шифрование и дешифрование)» (авторы: А. И. Копытцев, С. Г. Андреев, С. С. Толстой, Б. А. Аронский, 1939). В эти же годы был подготовлен, а в 1951 году издан учебник «Введение в криптографию» (автор — М. С. Одноробов). Учебник состоял из четырх частей (общим объмом — 737 страниц), содержал большое количество примеров, построенных на реальных материалах. Подробнее см. [59].

В 1940 году при ОГПУ была создана криптографическая школа особого назначения (ШОН), которая с началом войны перебазировалась в Уфу.

1.13. После войны Именно там, в криптографической школе, преподавал иностранные языки удивительный В. И. Кривош-Неманич. Кстати, языковой подготовке в СССР уделялось очень большое внимание. Считалось, что каждому криптографу следует владеть хотя бы одним иностранным языком.

В начале 1946 года при Высшей школе НКГБ были организованы криптографические кур ы. Эти курсы позднее послужили осс новой подготовки криптографов на закрытом отделении механикоматематического факультета МГУ. Такое отделение было создано в 1949 году и просуществовало до 1957 года; его возглавлял Георгий Иванович Пондопуло (1910–1996).

Как вспоминает в своей статье [63] выпускник закрытого отделения мех-мата В. Н. Сачков, «в послевоенные годы в связи с резким увеличением информационного обмена и необходимостью его наджной защиты, а также с целью повышения эффективности дешифровальной работы возникла потребность существенного усиления криптографических служб ведущих держав. С этой целью в Советском Союзе в 1949 году было создано Главное управление специальной службы (ГУСС), а в США в 1952 году — Агентство национальной безопасности (АНБ). Деятельность как ГУСС, так и АНБ протекала в условиях строгой секретности.»

19 октября 1949 года, в год четырхсотлетия российской криптое графической службы, были созданы Главное управление Специальной службы (ГУСС) и Высшая школа криптографов (ВШК). ВШК стала первым и единственным в стране высшим учебным заведением такого профиля. Впоследствии она была преобразована в Высшую школу криптографов 8-го Управления МВД СССР, затем — в Высшую школу криптографов КГБ при Совете Министров СССР, затем — в технический факультет Высшей школы 8-го Главного управления КГБ при СМ СССР, а в 1992 году — в Институт криптографии, связи и информатики (ИКСИ). Все эти годы днм рождения ИКСИ и его предшественников считается 19 октября [59].

Позволим небольшое отступление от хронологии. 19 октября — это день рождения ещ одного учебного заведения — Царскосельского лицея, особо почитаемый его первыми выпускниками. Помните у А. С. Пушкина: «Кому ж из нас под старость день лицея // Торжествовать придется одному?». «Торжествовать» пришлось Александру Михайловичу Горчакову (1798–1883), российскому дипломату, министру иностранных дел России с 1856 по 1882 г. Любопытно вспомнить его здесь как человека, на самом высоком уровне причастного к криптографической деятельности.

Ведь именно министр иностранных дел в XIX веке контролировал шифровальную службу.

С 40-х годов XX века криптографические задачи стали существенно сложнее и математичнее. В ряде институтов, таких как математиГлава 1. Из истории криптографии в России ческий институт им. В. А. Стеклова, были созданы закрытые отделы для их решения.

Например, в терминах теории вероятностей и математической статистики решалась задача о критерии открытого текста. Она заключалась в том, чтобы из всевозможных «хаотических» вариантов, которые получаются при дешифровании перехваченного сообщения, выделить единственный верный вариант. Для этого нужно было очень тонко учитывать статистические особенности, присущие неизвестному «правильному» тексту, составленному на том или ином языке.

Как отмечается в книге [59], в пятидесятые годы в Высшей школе активизировалась работа по подготовке специалистов–криптографов.

В 1955 году в ВШ был создан Учный совет, стали готовиться науче ные работы и диссертации. Большой творческий вклад в подготовку научных кадров внс член-корреспондент Академии наук СССР Владимир Яковлевич Козлов (1914–2007) — им подготовлено более 25 кандидатов и докторов наук [8]. Забота о становлении, развитии и укреплении дневного отделения подготовки криптографов (создано в 1962 году) легла на плечи Ивана Яковлевича Верченко (1907–1995), очень уважаемого студентами преподавателя, декана технического факультета Высшей школы КГБ [62].

По заказам оборонных предприятий криптографические исследования проводились во многих вузах страны (см. например, [5]).

Результаты исследований публиковались в закрытых сборниках, о которых и сейчас мало информации. Попытки опубликовать криптографические результаты в открытой печати, предпринимавшиеся отдельными исследователями, были безуспешны.

Так, рукопись А. Д. Закревского «Метод автоматической шифрации сообщений» 1959 года была не принята к печати из-за е высокой секретности; автору пришлось сменить область своих исследований. Спустя 50 лет рукопись была опубликована в журнале «Прикладная дискретная математика» [34].

В целом специалисты–криптографы высоко оценивали работу нашей шифровальной службы послевоенного времени. Американский криптограф Дэвид Кан так описывает криптографические успехи СССР 50–60-х годов: «Россия сама по себе остатся загадкой, овеяне ной тайной из тайн. То же самое касается и е средств связи. Одное разовые шифрблокноты обеспечивают наджную защиту для сообе щений российских разведчиков, военных, дипломатов и работников тайной политической полиции. Грамотно сконструированные шифраторы навечно сохраняют в секрете от врагов России е наиболее важную дипломатическую, агентурную и военную переписку. В периПосле войны од «холодной войны» русские сумели вскрыть шифры американского посольства в Москве. Такие подвиги свидетельствуют об их осведомлнности, базирующейся на глубоком понимании шифровального дела и криптоанализа. Так или иначе русские вознесли достижения своей страны в криптологии до высоты полта е космических спуте е ников» [39].

1) Шифрмашина М-125 «Фиалка»;

2) Кодовая книга советского разведчика (одноразовый блокнот) Однако не вс было гладко. С начала 40-х годов и вплоть до октября 1980 года в контрразведке США действовал проект Venona, направленный на дешифрование советских сообщений. Успехи американцев привели к раскрытию нескольких советских разведчиков и утечке секретных сведений. Официально проект был рассекречен в США в 1995 году.

В отличие от других стран, в СССР все исследования по криптографии были сильно засекречены. Почти вплоть до распада Союза «упоминание слова «криптография» в открытой печати даже в невинном контексте часто вызывало в инстанциях резкие возражения и обычно под тем или иным предлогом приводило к запрещению этого упоминания» [45].

До сих пор большинство архивов по истории российских спецслужб (в том числе по истории криптографии) остаются закрытыми.

Более того, как отмечается в книге А. Солдатова и И. Бороган [67], «некоторые архивы, открытые в 1990-е, были вновь засекречены в недавнее время».

1.14 Современность «Остановиться бы тогда, в конце 80-х годов, снять с глаз тмные очки и оглядеться вокруг на окружающую действительность. Была же ведь реальная возможность побороться за мировые рынки сбыта наукомкой криптографической продукции, программ и алгорите мов, была возможность даже в каком-то смысле стать законодателями криптографической моды. Были и идеи, и отличные молодые специалисты...» — так рассуждает в своей книге «Криптография и свобода» [52] криптограф М. Е. Масленников, выпускник 4-го факультета Высшей школы, с 1979 по 1993 г. сотрудник 8-го Главного управления КГБ, ныне — свободный житель Южной Кореи.

Но возможность была упущена. Тогда, в конце 80-х, криптографическая служба России была не готова к переменам. Как в далком 1917 году, она переживала тяжлые времена.

И вс же те времена миновали. Страна выдержала. Выдержала и обновилась криптографическая служба. Начиная с 90-х годов в России стала развиваться гражданская криптография. Теперь криптография изучается в гражданских вузах, многие статьи и книги по криптографии публикуются в открытой печати, широко используются криптографические средства защиты информации.

Отметим лишь некоторые события последних десятилетий в области российской криптографии и защиты информации.

В 70—80-х годах был разработан блочный шифр ГОСТ 28147-89, ставший с 1990 года государственным стандартом России. Он был рассекречен в 1994 году.

В 1991 году было создано Федеральное агентство правительственной связи и информации при Президенте РФ (ФАПСИ). Упразднено в 2003 году.

В 1992 году в России была создана Академия криптографии. Е е первым президентом стал Н. Н. Андреев. Идею создания Академии поддержали академики и член-корреспонденты РАН: В. А. Котельников, Ю. В. Прохоров, В. Я. Козлов, В. К. Левин, Б. А. Севастьянов.

1.14. Современность Академия решает задачи государственной важности по обеспечению национальной безопасности и обороноспособности страны [37].

В 90-е и 2000-е годы защиту информации и криптографию начали изучать в гражданских вузах страны.

В 1995 году был издан Указ Президента РФ от 03.04.1995 № о мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации. Согласно Указу был наложен запрет на использование, разработку, производство, реализацию и эксплуатацию шифровальных средств юридическими и физическими лицами без наличия лицензий ФАПСИ.

В настоящее время криптографическая деятельность в России также подлежит обязательному лицензированию, см. Приказ ФСБ России от 09.02.2005 №66 «Об утверждении положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (положение пкзПостановление Правительства РФ от 29.12.2007 №957 «Об утверждении положений о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами».

В 1997 году была образована «Лаборатория Касперского». Е возе главляет Евгений Касперский — выпускник 1987 года технического факультета Высшей школы КГБ СССР. Сейчас компания является одним из мировых лидеров в сфере программных решений для информационной защиты конечных пользователей.

В 1999 году Институт криптографии, связи и информатики отметил сво пятидесятилетие. Ко дню рождения вышла книга [59] об истории ИКСИ, ставшая библиографической редкостью.

В 1999 году была создана Российская криптографическая ассоциация «РусКрипто», аналог международной организации IACR.

В 2003 году на базе ФАПСИ была создана Служба специальной связи и информации Федеральной службы охраны РФ (Спецсвязь России).

В 2010 году шифр ГОСТ был заявлен в качестве участника конкурса Международной организации по стандартизации (ISO) на приобретение статуса Всемирного стандарта шифрования (Worldwide Industrial Encryption Standard).

В апреле 2011 года вступил в силу закон об электронной подписи в РФ, согласно которому каждый гражданин России может завести себе электронную подпись.

В 2013 году в 15-й и соответственно в 12-й раз пройдут российские конференции РусКрипто и SIBECRYPT по криптографии.

О советской криптографии сняты несколько документально-публицистических фильмов. Среди них:

«Открытая закрытая связь» (режисср Д. Скворцов, 2006) — фильм об истории создания секретной телефонной связи в СССР;

«Код Верченко» (режисср А. Трофимов, 2007) — фильм о сое ветском криптографе И. Я. Верченко (1907–1995), сотруднике Марфинской лаборатории, позднее — декане технического факультета Высшей школы КГБ.

Для более глубокого знакомства с историей криптографии в России можно рекомендовать книги Т. А. Соболевой «История шифровального дела в России» [66], Ю. И. Гольева, Д. А. Ларина, А. Е. Тришина, Г. П. Шанкина «Криптография: страницы истории тайных операций» [22], А. В. Бабаша, Г. П. Шанкина «История криптографии» (часть 1) [9], Д. Кана «Взломщики кодов» [39], С. Сингха «Книга шифров. Тайная история шифров и их расшифровки» [65], главы по истории в книгах А. П. Алфрова, А. Ю. Зубова, А. С. Кузье мина, А. В. Чермушкина [7], В. И. Нечаева [53], В. М. Фомичва [76]. Российской криптографии XIX века и начала XX века посвящены статьи А. В. Бабаша, Ю. И. Гольева, Д. А. Ларина, А. Е. Тришина, Г. П. Шанкина [10]–[14], [23]–[30]. О вкладе Х. Гольдбаха и Ф. Эпинуса в российскую криптографию можно прочитать в работе В. К. Новика [54]. Дополнительно о В. И. Кривоше—Неманиче см. публикации [32], [69]. О криптографии во время Великой Отечественной войны, В. А. Котельникове, марфинской лаборатории можно прочитать в статье Д. А. Ларина [46], сборнике «В. А. Котельников. Судьба, охватившая век» [40], книге К. Ф. Калачва [38]. О криптографии в XX веке — в сборнике об истории ИКСИ [59], статьях и интервью Н. Н. Андреева [37], [8], В. А. Котельникова [36], В. Н. Сачкова [63], А. Д. Закревского [34], Г. П. Агибалова [5], сайте фонда им. И. Я. Верченко [62], публикациях сайта [1], отчте лаборае тории МГУ [45], книге [52] и других. На английском языке истории российской криптографии посвящены некоторые публикации журнала «Cryptologia», среди них — статьи T. R. Hammant [116]–[118], D. Kahn [121], D. Schimmelpenninck [138], J. Bury [91], Z. J. Kapera [122] и другие.

2. Первое приближение 2.1 Криптографические термины Для знакомства с криптографической терминологией очень полезным может оказаться словарь терминов сайта www.cryptofaq.ru.

Приведм лишь основные определения. Лучше сразу запоминать их вместе с английскими терминами.

Открытый текст — секретное сообщение, как правило, это последовательность двоичных битов; plaintext.

Шифртекст — результат зашифрования; ciphertext.

Зашифрование — процесс преобразования открытого текста в шифрованный с помощью шифра; encryption.

Шифр — семейство обратимых отображений множества последовательностей открытых текстов в множество последовательностей шифртекстов. Каждое отображение определяется параметром, называемым ключом. Ключ является сменной частью шифра. В зависимости от способа представления открытых текстов различают поточные и блочные шифры. Поточные шифры осуществляют зашифрование отдельных символов (битов) открытого текста, тогда как блочные шифры обрабатывают блоки фиксированной длины. Соответствующие английские термины — cipher; key; stream cipher; block cipher.

Расшифрование — процесс, обратный зашифрованию, реализуемый при известном значении ключа; deciphering, decryption.

Дешифрование — процесс получения открытого текста без предварительного знания ключа, взлом; decryption.

Криптография — научная и практическая деятельность, связанная с разработкой криптографических средств защиты информации, а также анализом и обоснованием их криптографической стойкости. В отличие от организационных и других способов защиты информации, под криптографическими понимаются такие, которые используют математические методы преобразования информации;

cryptography.

Криптоанализ — научная и практическая деятельность по исследованию криптографических алгоритмов с целью получения обоснованных оценок их криптографической стойкости; cryptanalysis.

Криптология — понятие, объединяющее криптографию и криптоанализ; cryptology.

Для более глубокого знакомства с основами криптологии можно порекомендовать книги [7], [75], [2], [61], [80], [50], [21] и другие.

2.2 Правило стойкости Голландский криптограф Огюст Керкгоффс (1835–1903) в своей монографии «Военная криптография» впервые сформулировал правило стойкости шифрсистемы, которое и сейчас остатся актуалье ным:

1) весь механизм преобразований шифрсистемы не должен требовать секретности; надо полагать, что он известен злоумышленнику;

2) наджность шифрсистемы должна определяться только неизе вестным значением секретного ключа.

Таким образом, Керкгоффс впервые разделил понятия криптографического алгоритма и ключа, чтко определив их роли. Алгое ритм — это «долгоиграющий» элемент системы. Он тщательно разрабатывается и меняется в редких случаях, его раскрытие не снижает стойкости системы. Ключ — «легко сменяемый» элемент шифрсистемы, который и обеспечивает е наджность. Он предназначен для частого модифицирования в соответствии с некоторым порядком.

Правило Керкгоффса стимулировало появление более качественных алгоритмов шифрования. Во-первых, потому что была осознана необходимость испытания шифрсистемы в условиях, благоприятных для злоумышленника. Во-вторых, на разработку алгоритма теперь можно потратить больше времени и средств, так как при взломе системы е наджность легко восстанавливается заменой ключа.

В XIX веке Керкгоффсом заложен первый элемент стандартизации в криптографии, поскольку он выступил за разработку открытых способов криптографических преобразований. Их стойкость определяется не секретностью, а математическими характеристиками использованных методов. Керкгоффс опередил сво время. В рее альности открытые стандарты в криптографии стали появляться лишь в конце XX века.

2.3 Принципы Шеннона Как наука криптография возникла после фундаментальных работ американского математика и электротехника Клода Шеннона (1916– 2.3. Принципы Шеннона 2001). В его работах «Математическая теория связи» и «Теория связи в секретных системах» (1949) содержится обобщение большого опыта создания шифров, накопленного до него, и разрабатывается полноценный математический аппарат для криптографических задач [79].

Напомним, что многие результаты Шеннона независимо были получены В. А. Котельниковым ещ в 1941 году, но были строго засекрее чены.

Анализируя ранее существовавшие шифры, Клод Шеннон пришл е к выводу, что большинство из них (даже самые сложные шифры) сконструированы из простых типичных компонент, осуществляющих замену и перестановку. Более глубокое понимание того, как должны строиться наджные шифры, привело Шеннона к выделению двух общих принципов построения криптографических преобразований:

перемешивание и рассеивание (confusion and diffusion).

Перемешивание означает усложнение всевозможных связей между битами открытого и шифрованного текстов. Рассеивание подразумевает распространение влияния одного бита открытого текста на большое число битов шифрованного текста. Как реализовать эти принципы в конкретной системе, разработчики каждый раз решают заново: в криптографии, как и в других науках, нет универсальных примов.

Клод Шеннон впервые математически строго сформулировал вопросы о теоретической стойкости шифров. А именно, насколько устойчивой является шифрсистема для злоумышленника, обладающего неограниченными ресурсами (временем, памятью и т. д.)?

Какой минимальный объм шифртекста злоумышленнику необе ходимо перехватить, чтобы однозначно восстановить по нему исходный открытый текст? Этот объм в среднем, т. е. длина шифртекста, называется расстоянием единственности шифра. Клод Шеннон показал, что расстояние единственности прямо пропорционально длине ключа и обратно пропорционально избыточности исходного открытого текста.

А существуют ли шифрсистемы, в которых злоумышленник не получит никакой информации, сколько бы он ни перехватывал шифртекст? Ответ оказался неожиданным: да! Шифрсистемы, обладающие таким свойством, называются совершенно секретными.

Шеннон доказал, что необходимое и достаточное условие совершенной секретности состоит в том, чтобы условная вероятность получить шифртекст при условии, что он соответствует некоторому открытому тексту, не зависела от выбора текста. Эта вероятность должна быть равна вероятности просто получить шифртекст.

К числу таких совершенно секретных систем относится, например, шифр «одноразовый блокнот» (или шифр Вернама). В этом шифре открытый текст = (1,..., ) переводится в шифртекст = (1,..., ) путм наложения на него секретной гаммы = (1,..., ), а именно Сложение выполняется по модулю некоторого целого числа. Например, если открытый текст (0110) сложить по модулю 2 с секретной гаммой (1011), то шифртекстом будет вектор (1101). Нетрудно понять, что вероятность получить такой шифртекст не зависит от текста. Шифртекст в равной степени может соответствовать любому открытому тексту.

Но криптография на результатах о совершенной секретности не остановилась. Наоборот! Совершенно секретные системы очень редко используются на практике, так как длина секретного ключа (гаммы) слишком велика. Она должна совпадать с длиной открытого текста, что практически невыполнимо при современных объмах ине формации. Так возникает задача построения шифрсистем, в которых 2.4. Виды криптографии валась бы относительно малым размером ключа. Например таких, чтобы гигабайты информации можно было шифровать с помощью нескольких килобайтов ключа. Конечно, такие системы заведомо не будут теоретически стойкими, но их практическая стойкость может оказаться достаточно высокой.

2.4 Виды криптографии Условно говоря, вся криптография делится на симметричную криптографию (с закрытым ключом) и асимметричную (с открытым ключом). Различаются они по типу используемых шифрсистем.

Симметричная шифрсистема — система шифрования, в которой ключи зашифрования и расшифрования совпадают, либо легко определяются один по другому. Перед использованием симметричной шифрсистемы абонентам необходимо заранее договариваться о едином секретном ключе.

Асимметричная шифрсистема — система шифрования, в которой используются ключи двух видов — открытые ключи и секретные ключи. Открытый ключ применяется в процессе зашифрования и, как правило, является общедоступным. Секретный ключ используется в процессе расшифрования сообщения и должен храниться в тайне получателем сообщения. Криптографическая стойкость асимметричной системы определяется трудоемкостью, с которой злоумышленник может вычислить секретный ключ исходя из знания открытого ключа и другой дополнительной информации о шифрсистеме. Основным преимуществом асимметричной шифрсистемы является то, что абонентам не нужно заранее договариваться об общем секретном ключе. На практике активно используются шифрсистемы обоих видов.

У каждого из них есть свои преимущества и недостатки.

До 1976 года все шифрсистемы относились к симметричной криптографии. Но неожиданно вс изменилось. Асимметричные крипе тосистемы — изобретение американских криптографов У. Диффи, М. Хеллмана и Р. Меркля — оказались основаны совсем на иных принципах. Здесь нашла сво применение математическая теория сложных задач. Оказалось возможным строить такие математические функции, которые «легко» вычисляются, а обращаются «очень трудно»: для этого необходимы нереальные вычислительные ресурГлава 2. Первое приближение сы и время. Однако если для подобной функции известна некоторая дополнительная информация (е часто называют «лазейкой»), то обе ратить функцию можно тоже «легко». Такие функции называются односторонними или односторонними с лазейкой.

Р. Меркль, М. Хеллман, У. Диффи — 1977 год и современность Используя одностороннюю функцию с лазейкой, абонент А может построить асимметричную шифрсистему, например так. Алгоритм вычисления функции объявить открытым ключом и сделать общедоступным. «Лазейку» назвать своим секретным ключом и сохранить в тайне. Любой другой абонент, скажем B, используя открытый ключ, может зашифровать секретное сообщение для абонента А. Для этого он вычисляет значение (), которое и передает абоненту А по открытому каналу связи. Злоумышленник, перехватив значение (), не может восстановить сообщение, так как задача обращения функции «очень трудна». Только абонент А может 2.5. Криптосистемы RSA и ElGamal справиться с задачей обращения, так как ему известна «лазейка».

Вычисляя 1 (, ), он «легко» восстанавливает сообщение.

До сих пор существование односторонних функций строго не доказано. Но имеется несколько функций-кандидатов, обладающих свойствами односторонних функций. Они используются для построения современных асимметричных шифрсистем.

Среди них, например, функция произведения двух простых чисел, скажем, и. Обратить такую функцию, т. е. решить задачу факторизации (разложения на множители числа = ), очень сложно, если и достаточно большие, например имеют в десятичной записи не менее 100 знаков. Дополнительной информацией для быстрого обращения может служить, например, один из делителей или значение функции Эйлера от числа. На основе функции произведения двух простых чисел строится криптосистема RSA.

Другая функция-кандидат — возведение в степень по модулю.

Пусть и — целые числа такие, что 2 1. Пусть функция сопоставляет произвольному целому числу, 1 1 значение = mod. Восстановить по значениям, и — это тоже очень трудная задача, которая называется задачей дискретного логарифмирования. Криптосистема ЭльГамаля строится на е основе. е Краткое описание двух самых известных асимметричных шифрсистем приводится в следующем разделе, далее будут рассматриваться только методы симметричной криптографии.

Основательное знакомство с методами асимметричной криптографии (и не только) можно получить, прочитав книгу Б. Я. Рябко и А. Н. Фионова «Основы современной криптографии и стеганографии» [61].

2.5 Криптосистемы RSA и ElGamal RSA — самая популярная криптосистема с открытым ключом.

Она основана на сложности задачи факторизации числа и была предложена в 1978 году Рональдом Ривестом, Ади Шамиром и Леонардом Адлеманом. Приведм е краткое описание. Пусть, — большие простые числа;

() = ( 1)( 1) — функция Эйлера числа ;

, — натуральные числа такие, что, взаимно просты с () и выполняется 1 mod ().

Первый абонент (Алиса) формирует свой открытый ключ = {, } и секретный ключ = {,, }. Открытый ключ Алисы сообщается всем абонентам. Любой другой абонент (Боб) может зашифровать секретное сообщение для Алисы, воспользовавшись е е открытым ключом. Получив шифртекст, Алиса расшифрует его с помощью своего секретного ключа.

Корректность расшифрования, т. е. того, что после применения функции к шифртексту будет получено именно сообщение, несложно доказать, используя теорему Эйлера.