О стойкости крипто, о надежности коммуникации и о "секретных теоремах высшей алгебры"
АрхивКаждому болту нужна своя гайка,
Каждой гайке нужен гаечный ключ.
Мой ключ на месте - на шее, под майкой.
Твой взгляд недоверчив, твой взгляд колюч.
Юрий Богатенков,
"Делай больше денег", 1991 г.
В интервью с В. Шабадом и в статье М. Ваннаха приведены различные точки зрения на надежность криптографической защиты. Эти два текста объединены тем, что предположения высказываются не профессиональными криптографами, а (актуальными или потенциальными) пользователями криптографических приложений.
Шабад полагает, что стойкость PGP "можно считать достаточной". Ваннах советует "исходить из того, что американское АНБ и родимое ФАПСИ будет щелкать закодированные [пользователями] сообщения".
Полностью поддерживая мысль последнего о том, что к заявлениям о "несокрушимости" отдельных алгоритмов следует относиться с величайшей осторожностью, я все же не могу поддержать (а может быть, и понять) ход его основного рассуждения.
Роль криптологии при возведении и освоении киберпространства примерно соответствует роли дисциплины под названием "сопротивление материалов" в инженерном освоении пространства физического.
Каждый день мы доверяем свое имущество, здоровье и жизнь вероятностным суждениям о надежности материальных конструкций. Например, переходя Днепр по мосту, я полагаю, что, вероятно, мост подо мной не обвалится, а садясь в самолет, - что он не упадет. При этом крайне любопытно, что сам я сопромат особо не учил (фольклор инженерных вузов приписывал этому предмету загадочность и сложность примерно такие же, как Ваннах - криптологии, криптографии и криптоанализу). Наверное, я испытываю определенное доверие к инженерам и строителям. Я предполагаю, а) что знания, которыми они пользуются, в сущности, истинны и б) что представители этих профессий не будут злоупотреблять моим доверием, намеренно применяя оные неправильно (зачем им портить собственный бизнес?).
Однако, вынося практические суждения о стойкости криптографических средств (например, используя криптомодуль RSA в браузере Netscape 1 для шифрования данных о карточке или даже "закрывая" с помощью PGP переписку с деловым партнером), я чувствую себя несколько менее уверенно. И это притом, что математические основания криптологии я понимаю гораздо лучше, чем основания таинственного сопромата.
Но не подозрения о существовании "закрытых теорем высшей алгебры" тому виной. Своеобразие криптографии очень хорошо выразил Росс Андерсон, криптолог, начавший свою карьеру с практического криптоанализа и взломавший ряд криптосистем. Сейчас он работает в Кембридже (Великобритания). В своей знаменитом выступлении на Первом конгрессе по безопасности компьютеров и коммуникаций он заметил: "Разработчики криптографических систем находятся в невыгодном, по сравнению с большинством других инженеров, положении. Информацию о сбоях таких систем трудно получить: традиционно их основными пользователями были правительственные службы, склонные к секретности в том, что касается их ошибок" 2(курсив мой - М.О.).
Сегодня крупнейшими "потребителями крипто" являются уже не спецслужбы, а финансовые институты. От стойкости используемых ими алгоритмических решений и надежности их реализации зависит целостность национальных и межнациональных платежных систем. К сожалению, гражданских криптологов должной квалификации хронически не хватает, поэтому многие компоненты финансовых криптосистем разрабатываются и эксплуатируются специалистами, получившими подготовку, соответствующую "негражданской", "секретной" криптологической парадигме.
Успешные атаки на международные расчетные системы и банковские сети (о которых иногда все же можно узнать из прессы) - прямое следствие этого. Иногда недобросовестность инженеров-"секретчиков" приводит не только к материальному ущербу, но и ущербу гражданским правам пользователей. Андерсон в упомянутой статье приводит несколько примеров облыжных обвинений пользователей банкоматных сетей в мошенничестве, в то время как неверная информация была следствием "дыры" в реализации защищенных транзакций.
* * *
К сожалению, я не могу ничего сказать читателю о "секретных теоремах" высшей алгебры 3. Однако взамен предлагаю свою Теорему о секретности: "Надежность системы, разработанной гражданскими специалистами, при прочих равных, выше надежности системы, разработанной специалистами из секретных ведомств".
Формальное доказательство еще ждет своего выведения, однако общий его контур и основные леммы представляются мне достаточно прозрачными. Лемма открытости утверждает, что эффективность разработок стимулируется академической свободой и коммерческой конкуренцией. Лемма ответственности предполагает, что разработчик или сторонний эксперт, сделавший свою ставку 4, заинтересован в обнаружении ошибки как можно раньше, пока потенциальный ущерб можно купировать, а не в сокрытии ее.
Лемма мотивации гласит, что при вознаграждении в гражданском секторе, в несколько раз превышающем пределы сетки окладов правительственных служащих, профессионалы будут делать правильный выбор. Конечно, мотивация может быть самой извращенной, но, учитывая, что в "страшилках" о свинцовых переплетах и кока-коле со стрихнином содержится хоть малая толика правды, математику, полагающему, что он нашел что-то криптологически значимое, прямой резон как можно скорее сообщить об этом как можно более широкому кругу лиц. Голова целее будет.
Так, я склонен доверять криптографической стойкости PGP. Причем не просто абстрактно "доверять", а доверять целостность (конфиденциальность, аутентичность и т. д.) конкретной информации, которая каждый раз, прямо или косвенно, может быть оценена конкретной денежной суммой. Основания этого доверия - приведенная выше (хотя и недоказанная) Теорема о секретности и примерно те же соображения, которые приводит Зиммерманн в конце публикуемого текста.
Более того, я, при определенных условиях, - рекомендую использовать технологию PGP своим клиентам, нуждающимся в надежной информационной инфраструктуре. Хотя я впрямую не отвечаю финансово за последствия такой рекомендации, от них зависит моя репутация, которая составляет основной капитал любого эксперта или консультанта (см. выше Лемму об ответственности).
При этом я четко понимаю (и стараюсь передать такое понимание своим клиентам) разницу между стойкостью криптоалгоритма и надежностью канала коммуникации в целом. Я знаю, сколько будет стоить атака обладающего ресурсами оппонента (будь то недобросовестный конкурент, криминальная группировка или спецслужба) на другие компоненты, вовлеченные в коммуникацию - радиоатака на оборудование или физическое давление на одного из коммуникантов, например. Я знаю, сколько стоит защита (не криптографическая) от таких атак.
Я предполагаю (ответственно), что эти суммы гораздо меньше стоимости криптоаналитической атаки на PGP, даже с допущением, что кто-то уже создал квантовый компьютер. Дальше - сплошная бухгалтерия, выходящая за рамки темы этого номера.
* * *
Ваннах, выдвигая основания для своего предположения о "секретных теоремах", утверждает, что "в отличие от физики… имеющей дело с законами объективного мира, криптология, являясь формально математической дисциплиной, может допускать построения, которые другой человек или другая школа криптографов смогут воспроизвести лишь с очень малой вероятностью".
Это утверждение я полагаю ложным. Во-первых, по факту: если говорить об истории математики, то общеизвестны примеры "воспроизведения" одной школой результатов построений другой школы - практически одновременное "открытие" ("изобретение") исчислений бесконечно малых Ляйбницем и Ньютоном в конце XVII в. И - также независимая и практически одновременная - разработка неевклидовых геометрий тремя математиками в начале XIX в. (список можно продолжить).
Во-вторых, я его полагаю ложным по принципу. Свойства интеллигибельных конструкций, порождение и исследование которых суть предмет математики, не произвольны. Конструкция синуса предполагает его значение в интервале [-1, 1], которое в этом интервале и будет находиться (даже в военное время). Дважды два существенно меньше, чем пять (даже в секретной лаборатории АНБ США).
Мне представляется, рассуждение Ваннаха подпало под сомнительное отождествление информации и знаний, против которого сам не так давно изящно аргументировал 5.
Сведения (или, если использовать модное слово, информация) подвержены естественной энтропии. Кроме того, их можно эффективно скрывать, например, уничтожая их носители (или носителей). Является ли такое сокрытие окончательным, или грядущий Последний Суд сделает тайное явным - вопрос теологический, не имеющий отношения к этому обсуждению.
Знания же - знаковые конструкции, замещающие определенное содержание и позволяющие им манипулировать, - строятся по совершенно определенным правилам. Совокупная система знаний ("эпистема"), доступная человеку в каждый момент, пронизана генетическими и конструктивными связями, пересекающими границы отдельных наук, дисциплин и предметов.
"Секретная математика" с неизбежностью требовала бы существования секретной логики, секретной метафизики и предполагала бы возможность развертывания "альтернативной" физики, химии и биологии. По сути дела - создания параллельного мира.
Миф о параллельных мирах и системах тайного эзотерического знания хорошо изучен. Из новейших публикаций я бы упомянул очень известную книгу "Маятник Фуко" Умберто Эко и менее известную дилогию "Князь мира сего" и "Имя мое легион" Григория Климова (в прошлом, кстати, офицера ГРУ Генштаба РККА). В механизм воспроизводства этого мифа входит и отрицание наличия "тайных знаний", и я это хорошо знаю.
Но есть исторические примеры попыток его эксплуатации. В частности, криптологи Третьего Рейха работали вместе с астрологами и имперскими экзорцистами. Британские криптоаналитики из Блетчи-Парка разбили их "параллельный мир", основываясь на традициях европейского рационализма, приправленных чисто англосаксонским здравым смыслом.
Если обнаружится, что кто-то "втихую" построил квантовый компьютер, и если окажется, что квантовый компьютер может при разумных затратах "взломать" шифр RSA, я очень удивлюсь. Тем не менее, я знаю, что это возможно 6.
Предположить же, что существует "быстрый" (в полиномиальном времени) способ разложить составное на простые множители или выполнить дискретное логарифмирование (а "секретные теоремы", чтобы создавать угрозы стойкости применяющимся алгоритмам криптографии с открытым ключом, должны указывать способ выполнения именно таких действий), на мой взгляд, - то же самое, что предположить 2x2=5.
Замечу, что если 2*2 может быть равно не только 4, но и 5, то расчеты прочности моста или самолета в корне ошибочны, и мост может развалиться в любой момент, а самолет - упасть.
* * *
Раскрытие секретных архивов "тихушников", в отличие от Ваннаха, я также считаю вполне секулярным делом и полагаю, что вероятность такого раскрытия в ходе грядущего демонтажа национальной государственности достаточно высока. Я также полагаю, что результаты этого раскрытия с достаточной вероятностью можно предсказать уже сегодня. Результаты будут такими же, как и результаты раскрытия других, менее секретных архивов: в них содержится несколько толковых компиляций трудов гражданских специалистов, несколько грамотных собственных разработок, знакомство с которыми не изменит существующей парадигмы, и бесчисленные свидетельства бездарной траты бюджетных средств на паранаучные исследования. Плюс к этому - масса свидетельств небрежности разработчиков и безалаберности пользователей гражданских криптографических средств (т. е., нас с вами).
На этих весьма вероятностных предположениях я заканчиваю свой анализ темы номера. Кстати, на них же я строю свой бизнес.
1 Конечно, я не использую "кастрированный" для соответствия американским правилам регулирования экспорта модуль. Альтернативная разработка доступна на http://www.geocities.com/Eureka/Plaza/6333/
2 Ross Anderson Why Cryptosystems Fail // "1st Conf.Computer and Comm. Security '93": 1993 ACM 0-89791-629-8 93/0011
3 Систематически изложенные несекретные теоремы высшей алгебры читатель может найти, например, в учебном курсе Shafi Goldwasser & Mihir Bellare Lecture Notes on Cryptography (Cambridge, IL: 1997), читанном авторами - профессорами лаборатории информатики МТИ и кафедры информатики университета Калифорнии в Сан-Диего, соответственно, лето 1996 и 1997 г.
4 Целостность ключей, предоставляемых сегодня, например, в рамках иерархии Verisign, страхуется на сумму до $10000; в ближайшее время сумма таких страховок может повыситься на два порядка. Пресловутая "аттестация" алгоритма или "сертификация" продукта правительственным ведомством не предполагают финансовой ответственности последнего, и есть, следовательно, с коммерческой и прагматической точки зрения, производство филькиных грамот, не имеющих рыночной ценности.
5 См. "Компьютерра", #43 за этот год, сс. 52-53.
6 Не могу удержаться и не сослаться еще на один текст оппонента, где он вспоминает, как американские аналитики на пять лет ошиблись, вычисляя срок, к которому СССР будет располагать ядерной бомбой ("Компьютерра", #30 за этот год, сс. 34-35).