Введение в криптографию

Циммерман Филипп

Правительству известно, сколь значительную роль криптография обречена играть в "силовых" взаимоотношениях с его собственным народом. В апреле 93-го администрация Клинтона раскрыла кардинально новую криптографическую политику, разрабатывавшуюся в Агентстве национальной безопасности (АНБ) США с начала администрации Буша[-старшего]. Основой этой новой политики стала сконструированная в АНБ шифровальная микросхема, названная Clipper-чипом, содержащая новый засекреченный алгоритм шифрования АНБ — Skipjack. Правительство пыталось инспирировать частную индрустрию встраивать чип во все изделия для защищённых коммуникаций, такие как криптофоны, криптофаксы и пр. AT&T установила Clipper в свои криптографические речевые продукты. В чём же здесь фокус? В процессе производства в каждый Clipper-чип загружается его собственный уникальный

ключ, а правительство получает копию, которую помещает в депозитарий. Однако беспокоиться не о чем — правительство обещает использовать эти депонированные ключи для прослушки ваших переговоров, только когда"надлежащим образом уполномочено на то законом". Конечно, чтобы сделать Clipper безоговорочно эффективным, следующим логическим шагом было бы объявление всех иных форм криптографии вне закона.

Первоначально правительство заявляло, что использование Clipper-чипа будет добровольным, что никого не станут принуждать использовать его вместо других типов криптографии. Но реакция общественности против микросхемы была сильна, гораздо сильнее, чем рассчитывало правительство. Компьютерная индустрия объявила о своей монолитной оппозиции применению чипа. Директор ФБР Луис Фри отреагировал на вопрос, заданный на пресс-конференции в 1994, в том смысле, что если Clipper не получит общественного признания, и перехваты ФБР станут невозможны вследствие не контролируемой государством криптографии, его контора не будет иметь иного выхода, кроме поиска законодательной поддержки. Позднее, после трагедии в Оклахома-Сити, мистер Фри заявил на слушаниях в Сенатском Судебном Комитете, что доступность широкой общественности средств стойкой криптографии должна быть строго ограничена государством (хотя никто не доказал, что подрывники применяли криптографию в ходе планирования теракта).

Правительство проявляет тенденции, не склоняющие к уверенности в том, что оно никогда не станет нарушать наши гражданские права. Программа ФБР COINTELPRO была нацелена на группы, выступавшие против госполитики. Оно шпионило за антивоенным движением и за движением в поддержку гражданских свобод. Оно прослушивало телефон Мартина Лютера Кинга. Никсон вёл список своих врагов. Ещё был уотергейтский скандал. А не так давно и Конгресс пытался или достиг успеха в проведении законов, ограничивающих наши гражданские права в Интернете. Некоторые элементы из клинтонского Белого Дома собирали конфиденциальные досье ФБР на гражданских служащих Республиканцев, вероятно, для политического шантажа. А чрезмерно усердные прокуроры выказывали готовность пойти хоть на край света в поисках компрометирующих материалов о сексуальных "приключениях" своих политических противников. Ни в какие времена прошлого столетия не было общественное недоверие правительству столь широко распространено по всему политическому спектру, как оно есть сегодня.

В 1990-х я понял, что если мы хотим выстоять против этой разрушительной тенденции правительства по установлению криптографии вне закона, одна из мер, которой мы можем воспользоваться, — это применять криптографию столько, сколько сможем, пока её применение ещё легально. Когда применение стойкой криптографии станет популярным, правительству будет труднее криминализировать её. Поэтому использование PGP может выступать как средство сохранения демократии. Если права на частную жизнь станут вне закона, только те, кто вне закона, будут иметь частную жизнь.

Оказалось, что публикация PGP наряду с годами жёсткого общественного недовольства и индустриального давления на ослабление экспортного контроля дали позитивный эффект. В последние месяцы 1999 года администрация Клинтона объявила о радикальном пересмотре политики экпортного контроля криптотехнологий. Она попросту отказалась от режима ограничений. Сейчас мы, наконец, можем экспортировать средства стойкого шифрования без каких-либо максимальных порогов стойкости. Это была долгая борьба, но мы в конце концов одержали победу, по крайней мере на фронте экспортного контроля США. Теперь нужно продолжить наши усилия по распространению и популяризации криптографии, чтобы притупить эффект от усиливающихся мер по электронной слежке в Сети некоторыми государствами. И всё ещё нужно "продавить" наши права на её демократическое использование, несмотря на энергичные протесты ФБР.

PGP даёт людям власть взять защиту собственных гражданских прав в свои руки. На это существует высокая социальная потребность. Именно поэтому я создал PGP.

Симметричные алгоритмы PGP

PGP располагает набором различных алгоритмов с тайным ключом, шифрующих само сообщение. Под алгоритмами с тайным ключом мы подразумеваем симметричные блочные шифры, использующие один и тот же ключ как для зашифрования, так и для расшифрования. Симметричные блочные шифры, предлагаемые PGP, это CAST, Triple-DES, IDEA, Twofish, а такжеAES. Все эти алгоритмы не были написаны "на коленке" — это результаты серьёзных научных исследований криптологических групп с выдающейся репутацией.

Для интересующихся криптографией мы можем рассмотреть эти алгоритмы немного более детально. CAST, Triple-DES и IDEA оперируют с 64-битовыми блоками данных. CAST и IDEA имеют ключи длиной 128 бит, Triple-DES использует 168-битовый ключ. Как и Data Encryption Standart (DES), эти алгоритмы могут работать в режимах гаммирования с обратной связью по шифртексту (cipher feedback, CFB) и последовательного сцепления блоков шифртекста (cipher block chaining, CBC). PGP использует их в 64-битовом режиме CFB.

Я добавил в PGP алгоритм CAST по ряду причин: он подаёт надежды как стойкий блочный шифр со 128-битовым ключом, он очень быстр, и он бесплатный. Его название происходит от инициалов разработчиков, Карлайсла Адамса и Стаффорда Тавареса [9] , из Northern Telecom (Nortel). Nortel запатентовал CAST, но дал письменное обязательство оставить его доступным для каждого без выплат патентных гонораров. CAST представляется очень удачным шифром, спроектированным людьми с хорошей репутацией в своей профессиональной сфере. Дизайн основан на сугубо формальном подходе с рядом формально доказуемых положений; всё это даёт веские основания заключить, что для взлома его 128-битового ключа потребуется лобовая атака. CAST не имеет пространства слабых и полуслабых ключей. Есть серьёзные аргументы в пользу того, что CAST совершенно неподвержен линейному и дифференциальному криптоанализу, двум мощнейшим формам криптоанализа, описанным в открытой литературе, обе из которых оказались эффективны при взломе DES. Формальная DES-подобная архитектура CAST и хорошая репутация его авторов привлекли к алгоритму внимание и попытки криптоаналитических атак со стороны всего научного сообщества, которые он выстоял достойно. У меня появляется почти то же чувство уверенности в CAST, какое было несколько лет назад от IDEA, шифра, который я избрал для ранних версий PGP. На то время IDEA был слишком молод, чтобы иметь серьёзное доверие, но и поныне он демонстрирует себя очень хорошо.

9

Разработчики же утверждают, что название CAST связано с процедурой разработки, и должно напоминать о вероятностном характере процесса (cast, англ. — догадка), а не об инициалах авторов.

Блочный шифр IDEA (International Data Encryption Algorithm) основан на концепции"смешения операций из различных алгебраических групп". Он был разработан в ETH, Цюрих, Джеймсом Мэсси и Суэджа Лай, и опубликован в 1990 г. В первых публикациях алгоритм назывался IPES (Improved Proposed Encryption Standart), но позднее его переименовали в IDEA. IDEA гораздо более стоек против атак, нежели ранние шифры FEAL, REDOC–II, LOKI, Khufu и Khafre. Также, IDEA оказался гораздо устойчивей DES к очень удачной дифференциальной криптоатаке Бихама и Шамира, равно как и к линейному криптоанализу. Уверенность в IDEA растёт с каждым годом. К сожалению, самым большим препятствием к применению IDEA как стандарта шифрования стал тот факт, что держатель патента на его дизайн — AscomSystec — не предоставляет его для свободного применения без выплат роялти, как в случаях с DES и CAST.

Также, в числе прочих, в арсенал блочных шифров PGP включён и трёхключевой Triple-DES. DES был изобретён в IBM в середине 70-х. Хотя он и имеет эффективный дизайн, его 56-битовый ключ слишком мал по сегодняшним меркам. Triple-DES же крайне надёжен; за многие годы он был хорошо изучен, так что может быть это более удачный выбор в сравнении с относительно молодыми CAST и IDEA. Triple-DES — это DES, применяемый трижды на одном блоке данных, используя три разных ключа, за исключением того, что вторая операция проходит в обратном порядке в режиме расшифрования. Несмотря на то, что Triple-DES гораздо медленней, чем CAST или IDEA, скорость обычно не играет критической роли в email-приложениях. Хотя Triple-DES имеет длину ключа в 168 бит, эффективная стойкость составляет по меньшей мере 112 бит против взломщика с невероятно огромным вычислительным потенциалом, используемым в атаке. В соответствии с расчётами, представленными Майклом Винером на Crypto96, любые хотя бы удалённо правдоподобные ресурсы для хранения промежуточных вычислений, доступные взломщику, позволят провести атаку, требующую практически столько же времени/средств, сколько понадобится для лобового взлома 129-битового ключа. Применение Triple-DES не ограничено никакими патентами.