"Криптография и свобода" - читать интересную книгу автора (Масленников Михаил)

Freedom not free!

Глава 5. Подробности…

Сейчас, спустя пятнадцать лет, вся эта история с оснащением в 1992 году Центрального Банка России системой криптографической защиты телеграфных авизо, обрастает массой различных слухов и вымыслов. ФАПСИ, называющееся уже по-другому, естественно, все криптографические заслуги приписывает себе. Вот, например, что говорил г-н Матюхин в 2007 году.

«В конце ноября (2007 года – ММ) в Москве состоялся первый форум CNews. Он собрал представителей ключевых игроков ИТ-рынка и был призван определить будущее развития информационных технологий в России и в мире, понять роль ИТ в государстве и бизнесе завтрашнего дня.»

Это цитата с сайта http://safe.cnews.ru/reviews/index.shtml?2007/12/17/279874. Далее там говорится следующее.

«Чтобы определить будущее, полезно осознать наше сегодняшнее местонахождение "на карте развития ИТ". Оценки роли России в эволюции ИТ-индустрии и роли ИТ в жизни нашего государства, данные спикерами форума, были весьма неоднозначными. Например, руководитель Федерального агентства по информационным технологиям Владимир Матюхин не согласился с популярным мнением о том, что в области ИТ Россия постоянно догоняет Запад. По его словам, в нашей стране всегда были системы, аналоги которых западные страны так и не смогли разработать. Правда, эти решения были "страшно далеки от народа" и от реализации задач, в наибольшей степени востребованных населением. В качестве примера г-н Матюхин привел использование уникальной технологии, разработанной в 1993 году ФАПСИ и ставшей препятствием на пути распространения фальшивых авизо из Чечни. Данное решение фактически сделало этот преступный бизнес бессмысленным.»

Я, по правде говоря, так и не понял, в качестве чего привел г-н Матюхин пример «уникальной технологии, разработанной в 1993 году ФАПСИ»: в качестве решения, которое «страшно далеко от народа», или наоборот, в качестве «реализации задач в наибольшей степени востребованных населением». Но это можно отнести к издержкам редактирования данного выступления, по смыслу, все-таки, «препятствие на пути распространения фальшивых авизо из Чечни», которое «сделало этот преступный бизнес бессмысленным», не так уж далеко от народа. Скорее наоборот, судя по тому вниманию, которое сейчас, спустя столько лет, вызывают эти вопросы в Интернет.

Вот только хотелось бы услышать от руководителя такого высокого ранга хоть какие-нибудь подробности создания и внедрения этой уникальной технологии, а то в том же Интернете, в интервью информационному агентству REGNUM годом раньше, в декабре 2006 года (http://www.regnum.ru/news/749825.html), некий «эксперт, боровшийся с фальшивыми авизо», утверждает прямо противоположное и уже кое с какими подробностями.

«Мы разработали уникальную криптографическую систему защиты. Некоторые элементы этой системы не имеют аналогов в мире. Каждый финансовый платеж авизо защищался мини электронной цифровой подписью. Авизо пересылались по специальным средствам связи между РКЦ. Подделать такой финансовый платеж невозможно.

Когда началась эта работа, Центробанк вообще никому не доверял. Для государственной организации это было беспрецедентно, но, вероятно, для этого были основания. Руководство чувствовало, что кто-то и в самом Центральном банке работает на криминал, поэтому было принято решение на первом этапе изготавливать "ключи" (определенная последовательность цифр, которая вводится в шифратор; зная эту последовательность и имея шифратор, можно производить дешифрование информации – прим. ИА REGNUM) непосредственно в нашем офисе. На последующих этапах ЦБ РФ самостоятельно изготавливал ключи. Здесь, где мы с вами разговариваем, находились около двадцати охранников Центробанка – с автоматами, в бронежилетах, и под их защитой наши сотрудники делали эти "ключи". Можно сказать, что мы в тот момент держали в руках "ключ" от всех финансов России.

Таким образом, всю техническую сторону дела выполняла только компания "Анкорт". Необходимо было в течении нескольких месяцев поставить шесть тысяч шифраторов, разработать уникальные криптографические решения для защиты 1800 абонентов сети, правила функционирования защищенной сети и многое другое для обеспечения необходимого уровня информационной защиты сети ЦБ РФ. Наша компания выполнила свою задачу, и с 1 декабря 1992 г. защищенная система ЦБ РФ начала функционировать. Уже на протяжении более 14 лет никому не удалось технически подделать авизо ЦБ РФ.

Естественно, это было очень и очень небезопасно. У нас не было оружия, но мы ходили в бронежилетах. Мы столкнулись лицом к лицу с нашими противниками. Криминал приезжал с оружием, блокировал производство шифраторов, так что нам пришлось перевозить их в безопасное место, приносили огромные суммы денег, чтобы подкупить, угрожали и требовали "ключи". Но они опоздали, и им было сказано: "Что бы вы ни сделали, господа, все это будет бесполезно: система уже запущена, и изменить ее вы не сможете". С другой стороны, спохватились государственные органы: как же без их ведома производится защита государственного банка, а вдруг что-то случиться, могут снять с должности... И на всякий случай стали заводить уголовное дело на руководителя компании за несанкционированное оснащение ЦБ РФ»

И ни слова о ФАПСИ. Так, намеки, на какие-то «государственные органы», которые «на всякий случай стали заводить уголовное дело за несанкционированное оснащение ЦБ РФ» на героя – руководителя компании. Какие-то таинственные «наши сотрудники», которые в бронежилетах, под защитой около 20 охранников Центробанка, «держали в руках ключ от всех финансов России». Но имя главного героя, спасителя России, у читателей REGNUM не вызывает сомнений.

Эта публикация, с подробностями голливудского боевика, пошла гулять по всему Интернету, практически никто не усомнился в том, что есть еще на Руси такие криптографические богатыри, как компания «Анкорт», которая «выполнила всю техническую сторону» дела оснащения огромной сети ЦБ РФ надежнейшей защитой, разработала «уникальную криптографическую систему», не имеющую аналогов в мире. Обычная электронная подпись, основанная на системе с открытым распределением ключей, по сравнению с «мини электронной цифровой подписью», просто отдыхает.

Восторженных почитателей героя – «эксперта» мне хочется немного приземлить. Простеньким сравнением заголовка из этой статьи, опубликованной в конце 2006 года, с предисловием к моей книге «Практическая криптография», вышедшей в свет в начале 2003 года.

Мне кажется, что, забывая упомянуть всех, кроме самого себя, «эксперт» мог бы все же не опускаться до такого явного плагиата.

Впрочем, в сторону эти примитивные криптографические сказки. Я надеюсь, что читателю будет интересно узнать истинные подробности того, как в 1992 году появилась система защиты телеграфных и почтовых авизо в Центральном Банке России, от непосредственного участника тех событий. Сразу же оговорюсь: никаких бронежилетов я на себя ни разу в жизни не надевал и около 20 охранников Центробанка меня не охраняли, когда я распечатывал на двустороннем лазерном принтере ключевые таблицы. Ключ, правда не от всех финансов России, а всего лишь от системы выработки всех ключевых таблиц, в руках действительно держал: это была дискета 1, 44 Мб. И вынужден констатировать, что никто огромные суммы денег за эту дискету мне не предлагал. Да и за разработку всей системы тоже.

Итак, обо всех тех событиях по порядку в хронологической последовательности.

Первый портативный шифратор «Электроника МК – 85 С» появился на свет в конце 1990 года. И его роды были трудными, как всегда бывает, когда впервые используется новый тип шифра. А новизна заключалась в следующем: работал этот шифратор не с битами и не с байтами, а с обычными десятичными цифрами. Помните, в семнадцати мгновениях весны: «От предчувствия удачи у Мюллера заболела голова». Заболела потому, что он обнаружил одинаковые цифровые пятизначные группы в шифровке от русской радистки Кэт и в донесении, перехваченном от Штирлица в Берне. А еще в Советской Армии с очень давних времен использовались очень громоздкие и неудобные переговорные кодовые таблицы, в которых разные приказы, команды, военные сведения заменялись на цифровые кодовые обозначения. И если их не перешифровывать с помощью такой же десятичной гаммы наложения, то голова может заболеть не только у абстрактного Мюллера.

Причиной появления «Электроники МК – 85 С» стала война в Афганистане, когда неудобные переговорные кодовые таблицы в критических ситуациях вынуждали солдат передавать данные вообще открытым текстом, что приводило к трагическим событиям. Я уже упоминал ранее одного из инициаторов этой разработки, Славу, который к тому времени успел побывать в Афганистане и знал об этих проблемах не понаслышке. Тот отдел, куда я попал после степановского Теоретического отдела, как раз и занимался в том числе разработкой кодовых таблиц для Советской Армии и методами их перешифровки. Он и еще двое молодых ребят, все – математики, выпускники Высшей Школы КГБ, придумали первый вариант криптосхемы для «Электроники МК – 85 С».

Основным критерием была скорость шифрования. «Электроника МК – 85 С» это, фактически, бытовой программируемый калькулятор «Электроника МК – 85», в котором был реализован простейший язык BASIC. У меня даже сохранился его снимок.

Теоретически можно было бы вообще ничего в нем не переделывать, а запрограммировать на этом родном языке алгоритм шифрования и использовать в качестве шифратора дешевый бытовой калькулятор. Но проблема заключалась в том, что никаких периферийных устройств к нему не подключалось и ввести готовую программу шифрования было просто неоткуда. А дойти до такого садизма, как заставлять солдат Советской Армии вводить вручную написанную на BASIC программу шифрования, никто не мог даже в КГБ. Требовалось создать специализированную микросхему, реализующую алгоритм шифрования аппаратно, но алгоритм должен быть простой и быстрый, ресурсы калькулятора – весьма ограничены.

В борьбе за скорость разработчики алгоритма за основу взяли шифратор типа «Ангстрем-3», естественно переделанный по сравнению с тем первым вариантом, который я приводил в этой книге. Пришлось увеличивать длину входного слова, теряя при этом в скорости, и тогда ребята сначала решили использовать «Ангстрем-3» только для выработки разового ключа, а быструю раскрутку гаммы осуществлять с помощью простенькой балалайки. В Теоретическом отделе эта балалайка была быстро разломана, а у начальства тогда отложилось в голове, что калькулятор – нестойкий.

Балалайку выкинули, стали использовать «Ангстрем-3» для раскрутки гаммы. На грани между допустимым компромиссом между скоростью и стойкостью, давая повод для теоретических дискуссий на тему «стойкий – нестойкий» и нервируя начальство. Но дело в том, что для каких-то разумных подходов к снижению трудоемкости определения неизвестного ключа требовался огромный материал, огромное количество открытого и соответствующего ему шифрованного текста: если мне сейчас не изменяем память, порядка 106 – миллиона знаков. Теоретически такое допускалось, практически же, глядя на калькулятор, в то, что по его кнопкам можно нажать миллион раз и он при этом не сломается, верилось с трудом.

К чему я сейчас рассказываю об этом «криптографическом базаре»? Цена его оказалась слишком высокой. Но об этом чуть позже.

Все околокриптографические подробности, связанные с проталкиванием выпуска «Электроники МК – 85 С» на заводе Ангстрем в Зеленограде, я уже приводил выше. Финал таков: правдами и неправдами, в основном за счет усилий К., выпуск был налажен. В этом надо отдать ему должное. И действительно, для этого требовались деньги. Это было уже в 1991 году, еще до путча, полного паралича в Спецуправлении еще не было, опять же какими-то правдами и неправдами (окучиванием начальников) К. сумел добиться снятия с «Ангстрема-3» грифа секретности и разрешения продавать «Электронику МК – 85 С». Нельзя не признать, что это решение было разумным, иначе этот единственный реальный пример шифра на новой элементной базе так бы и сгнил в сейфах КГБ – ФАПСИ.

Августовский путч парализовал Спецуправление. Все ждали, что контору вот-вот разгонят, практически все работы встали, спасайся, кто может. Все стали патриотами коммерческой криптографии, включая руководство. Я тоже был тогда маленьким начальничком, правда не настоящим, как мне прямо говорили мои подчиненные, а компьютерным фанатом. К. тоже не считал меня за своего полноценного начальника, но мой компьютерный фанатизм, по-видимому, внушал ему уважение, и я тоже попал под его окучивание, правда, не как начальник, а как математик-криптограф-программист.

Для продажи «Электроники МК – 85 С» в 1990 году К. создал малое предприятие «Анкорт». Это предприятие было малое в самом прямом смысле слова: постоянно в нем работали только два человека – сам К. и его бухгалтер. К. начал заманивать в «Анкорт» офицеров Спецуправления, но желающих было мало, К. не вызывал к себе доверия у офицеров. Те ребята, которые разрабатывали криптосхему для «Электроники МК – 85 С», работать в «Анкорте» отказались. Практически все мои друзья не советовали мне связываться с К., но в Спецуправлении в конце 1991 года был хаос, всякая осмысленная работа, требующая знаний криптографии, практически встала, будущее – более чем неочевидно. Мысли о том, что кушать самому и кормить семью надо каждый день, заставляли искать пути к выживанию в то время. А контакты с «Анкортом», несмотря на негативные отзывы большинства людей о К., казались мне в то время меньшим из зол. Сейчас, по прошествии стольких лет, мне приходится признаваться самому себе: это была большая ошибка, нельзя было идти на «сделку с дьяволом» вопреки моральным принципам, которые в те времена существовали в среде математиков-криптографов.

Итак, К. соблазнил меня работать на «Анкорт», рисуя перспективы всяких «райских наслаждений». К тому времени, помимо фанатизма, у меня уже был достаточный опыт написания программ, поэтому подготовить программную реализацию шифратора «Электроника МК – 85 С» на компьютере не составляло большого труда. Кроме того, первая версия системы Криптоцентр стала приобретать товарный вид, и мне было даже интересно, как она будет воспринята в открытом мире.

Где-то с начала 1992 года К. стал активно рекламировать «Электронику МК-85 С». У нас с ним сложился своеобразный дуэт, в котором К. играл роль зазывалы-торговца, а я – технического специалиста, способного объяснить дотошным покупателям все криптографические нюансы портативного шифратора и своей программы. Мы стали с ним ездить по разным выставкам и выставлять на них эту криптографическую продукцию. И вот где-то в августе 1992 года на одной из выставок калькулятор приметили специалисты из ЦБ.

Здесь, упомянув про первые контакты с ЦБ, мне хочется сделать еще одно отступление про обстановку в Спецуправлении в то время. Период, когда слова «коммерческая криптография» были допустимыми, закончился где-то в мае 1992 года. В это время вышел Указ Президента Ельцина о запрете коммерческой деятельности в государственных структурах (точное название сейчас не помню, но смысл был именно такой). 8 и 16 управления КГБ, а также управление правительственной связи были выведены из структуры КГБ и объединены в ФАПСИ – Федеральное Агентство Правительственной Связи и Информации. Новый генеральный директор ФАПСИ рьяно бросился выполнять Указ: «Всякую коммерческую деятельность запретить, заключенные к тому времени Договоры – разорвать!» Вроде как выдавили из тюбика зубную пасту, а теперь приказано вдавить ее обратно. «Мобилизующий» приказ, такие не раз приходилось слышать и от генерала – начальника 4 факультета. Но времена уже были не те, грозные приказы не вызывали священного трепета. Лозунг – лозунгом, а жизнь – жизнью. К тому же поговорка «рыба гниет с головы», как показала дальнейшая история ФАПСИ, представленная сейчас в разделе уголовно-криминальной хроники на сайте компромат.ру, оказалась удивительно точной.

Мое сотрудничество с «Анкортом» продолжалось и в конце концов оно привело меня в Центральный Банк для разработки в минимально возможные сроки системы криптографической защиты платежных поручений. Сейчас, спустя 15 лет, когда всем стало ясно, что в 1992 – 1993 годах для Центрального Банка России была создана эффективная система защиты банковских авизо, у руководства бывшего ФАПСИ нет желания вспоминать какие-нибудь подробности того, как изгибалась «Генеральная линия» в то время, и какой хаос творился тогда в Спецуправлении. А подробности такие: эта система создавалась полулегально, в обход руководства ФАПСИ, под прикрытием малого предприятия «Анкорт», ибо любые попытки каким-то образом «легализовать» проводимые тогда работы неизбежно привели бы к их затягиванию.

Подробности состоят также в том, что сначала Центральный Банк пытался официально обратиться в ФАПСИ с просьбой разработать систему криптографической защиты банковских авизо. К тому времени у руководства ФАПСИ уже выработался условный рефлекс: коммерческая криптография должна использовать только алгоритм ГОСТ 28147-89, потому что с него давно сняты все подозрения в секретности. А как конкретно коммерсанты будут использовать этот алгоритм – их проблемы. Завод «Ангстрем» в Зеленограде начал выпускать специализированные платы «Криптон» для персональных компьютеров, вот пускай покупают и используют. Как и всегда было в СССР: что бы ни выпускала промышленность, все равно получается танк или автомат Калашникова. Калькулятор «Электроника МК – 85 С» явно не укладывался в этот стереотип, в нем не было криптографического танка – алгоритма ГОСТ, а по виду и по размерам он больше напоминал продукцию загнивающего запада, откуда, кстати, и вел свою родословную. Поэтому, хотя К. и протолкнул разрешение на его продажу, но это было еще в «прошлой жизни», до прихода нового руководства ФАПСИ. Выдавленная зубная паста должна быть загнана обратно в тюбик!

Под системой криптографической защиты для ЦБ в ФАПСИ понимали что-то такое, что в первую очередь минимизировало бы всякую ответственность. Только ГОСТ, ответственность за него минимальна и за десять лет согласований и утверждений «размазана» по такому количеству чиновников, что найти ответственного уже невозможно. Во вторую очередь, Указ Ельцина о запрете коммерческой деятельности в госаппарате понимался как запрет для подчиненных, но не для начальников. Вкус к получению денег уже пришел. Вот поэтому в 1992 году, в ответ на запрос Центрального Банка, ФАПСИ в свою очередь запросило на разработку системы криптографической защиты около двух лет, чтобы попытаться найти за это время, как и к какой элементной базе пристроить танк ГОСТ, поскольку во многих расчетно-кассовых центрах ЦБ в то время компьютеров попросту не было, и около двух миллиардов рублей.

Центральный Банк, надо отдать должное его руководству, не пошел на поводу у ФАПСИ. Два года затяжки грозили непредсказуемыми последствиями для всей финансовой системы России, фальшивые авизо вылавливались исключительно благодаря интуиции и опыту молодых девушек-операционисток из РКЦ практически ежедневно. А сколько не вылавливалось? Ответ на этот вопрос давал стремительный рост курса доллара.

Решающим оказался сентябрь 1992 года. Первая же встреча в ЦБ показала, насколько они заинтересованы в поисках тех, кто мог бы оказать хоть какую-то конкуренцию ФАПСИ. Срочно нужна криптографическая защита телеграфных авизо, все остальное – вторично. На первый взгляд, нет проблем, калькулятор – вот он, перед вами, шифруйте и защищайте, но дьявол, как всегда, скрывался в криптографических деталях.

Не требовалось шифровать, а нужна была короткая проверочная комбинация, код подтверждения достоверности, КПД, который бы гарантировал подлинность платежного поручения. Никто и никогда при разработке криптографических алгоритмов для «Электроники МК – 85 С» не предполагал, что калькулятор может потребоваться для выработки какого-то КПД. Поэтому, несмотря на всю заманчивость возможного контракта с ЦБ, К. сначала решил от него отказаться. Во-первых, калькулятор неприспособлен для выработки КПД, во-вторых, мало привлекала перспектива конкурировать с ФАПСИ, в котором он к тому времени был инженером, а я – действующим офицером, одним из его начальников.

И вот дернул же меня тогда какой-то черт с ним не согласиться! Точнее – посоветовать немного подождать с ответом: может быть что-то удастся придумать. Для меня это решение было абсолютно нелогичным, иррациональным, оторванным от всякой реальной жизни. Нужно ли мне портить отношения с ФАПСИ, когда остается всего два года до заветных 20 лет выслуги, дающих право на офицерскую пенсию? Такое ли безграничное доверие вызывал к себе К., от которого шарахались все офицеры Спецуправления? Нужно ли было отдавать в его руки такой уникальный контракт, как разработка системы защиты для всего Центрального Банка России? Такой ли большой я имел к тому времени опыт общения не с интеллигентными математиками-криптографами, а с циничным дельцом, с которым можно иметь дело только по принципу: не верь, не бойся, не проси?

В общем, мой первый опыт реального бизнеса оказался примерно таким же, как и первый вариант шифратора «Ангстрем-3», то есть не просто плохим, а прямо никудышным. В результате в 2006 году на всю страну публично заявляется: «…всю техническую сторону дела выполняла только компания "Анкорт"».

Нет, не всю. Компания «Анкорт» в лице ее директора выполняла безусловно важную функцию: выбивание из зеленоградского завода в кратчайшие сроки большого числа калькуляторов «Электроника МК – 85 С». Точка. Но этого недостаточно для оснащения такой организации, как Центральный Банк. Нужна еще криптографическая инфраструктура: разработка способов использования калькулятора для выработки КПД, создание и наладка системы выработки и смены ключей, нормативные инструкции, обучение персонала, модернизации системы и т.п. Нормальные компании, планирующие долгосрочный бизнес, подбирают для таких работ специалистов, заключают с ними юридически выверенные до мельчайших подробностей контракты, ведут прозрачную финансовую политику, со специалистами обращаются чрезвычайно бережно, всеми силами стараются вовлечь их в дела компании, заинтересовать в получении прибыли за счет заключенных контрактов и многое, многое другое, что гораздо позже я наблюдал в Корее.

Но мой первый опыт в коммерческой криптографии в виде контактов с «Анкорт» я сейчас не могу назвать иначе, как варварский. Огромный объем проделанной работы, удачный контракт с Центральным Банком, в результате – не просто ноль, а глубокий минус без пенсии офицера.

Это все философия жизни, пора перейти к прозе. К криптографическим раздумьям в сентябре 1992 года о том, как приспособить калькулятор для выработки КПД. Сначала – о том, что же вообще мог делать этот калькулятор.

Он изначально разрабатывался для Советской Армии, для засекречивания переговоров ни самом низовом уровне: отделение, взвод, рота. Два режима работы: буквенно-цифровой и чисто цифровой. В первом случае с клавиатуры вводилось нормальное сообщение на русском языке, которое затем засекречивалось и высвечивалось на экране в виде пятизначных цифровых групп. Этот режим считался основным, в перспективе предполагалось, что существовавшие долгое время в армии кодовые переговорные таблицы будут отменены, все сообщения будут вводиться открытым текстом с клавиатуры, засекречиваться, а затем полученные пятизначные группы будут продиктованы в канал связи. Но такое могло произойти очень нескоро, отмена переговорных кодовых таблиц – дело будущего, а пока предполагалось, что калькулятор может быть использован для их перешифровки, чтобы избежать опасных повторов кодовых обозначений, как об этом очень популярно поведали Штирлиц и Мюллер. В этом режиме с клавиатуры вводились только цифры, которые затем перешифровывались и на экран опять же выдавались цифровые пятизначные группы.

Ничего этого Центральному Банку не требовалось. Им не требовалось шифровать платежное поручение, лишний раз усложнять и без того непростую работу операционисток из РКЦ. Количество авизовок, обрабатываемых каждой из них, доходило до нескольких сотен за день, это не экзотические шифровки Юстас – Алексу, отсылаемые раз в месяц. Требовалось добавить к авизовкам какой-то короткий КПД, который бы зависел как от содержания платежного поручения (от кого, кому, какая сумма, дата и т.п.), так и от ключа, известного только в РКЦ. Нет ключа – вычислить КПД нельзя. И более того, нет ключа – нельзя в уже готовом платежном поручении изменить хоть какие-то данные (например, сумму перевода), ибо тогда КПД должен быть совсем другим, никак не связанным с первоначальным.

Самое печальное заключалось в том, что естественные методы защиты, например, зашифровать в цифровом режиме сумму перевода, были абсолютно неприемлемы. Во-первых, при шифровании в шифрованный текст автоматически добавлялся десятизначный маркант, а одним из требований ЦБ было то, что длина КПД не должна превосходить 10 цифр. Этот маркант являлся простым набором случайных чисел и гарантировал отсутствие повторов гаммы наложения, которое могло бы привести к повторениям в шифровках а-ля 17 мгновений весны. Но с точки зрения выработки КПД для ЦБ он был абсолютно бесполезным, не нес в себе никакой информации о платежном поручении и съедал отпущенный лимит по длине КПД. Во-вторых, и это самое главное, шифрование не давало гарантированной защиты от подделки. Шифрование – это простое гаммирование, сложение цифр открытого текста со знаками зависящей от ключа гаммы наложения. И если вычислить КПД было нельзя, то изменить в готовом платежном поручении сумму перевода можно было очень просто: сумма известна, зашифрованная сумма тоже известна из КПД, вычитаем одно из другого, получаем гамму наложения, складываем ее с измененной суммой, получается новый КПД, который будет принят получателем как истинный. В криптографии это было давно известно, еще со времен войны во Вьетнаме, когда зашифрованные шифром гаммирования команды управления советскими ракетами изменялись американскими системами перехвата. Советские ракеты стали летать не в те вьетнамские джунгли, а криптографы схватились за голову. В 70-е годы появилась теория шифрующих автоматов, одним из разделов которой стала имитостойкость, т.е. способность шифра противостоять целенаправленному навязыванию ложной информации. И первым постулатом, первой аксиомой стало: шифры гаммирования не являются имитостойкими. Калькулятор «Электроника МК – 85 С» был простейшим устройством шифрования именно по принципу гаммирования, никакие имитоприставки в нем не предполагались, ресурсов было по минимуму, да и для низовых звеньев Советской Армии они не требовались. Ведь там в цифровом режиме перешифровывались кодовые переговорные таблицы, их содержание потенциальному противнику предполагалось неизвестным, требовалось всего лишь гарантировать отсутствие повторений.

Попечалившись над этими проблемами пару дней, я стал искать нетривиальное решение. И оно в конце концов нашлось, простое и понятное, которое, с одной стороны, полностью устроило Центральный Банк, поскольку КПД получился коротким, не более 10 цифр, как того и требовал заказчик, а с другой – полностью исключило всякие возможности подделок. Только «покупай» ключи, как нас и учили в Высшей Школе КГБ, рассказывая о дисковых шифраторах.

Суть в следующем: шифровать ничего не будем. Займемся маркантом. Если поглядеть на снимок калькулятора, то среди его черных кнопок в верхнем ряду вторая справа – генератор случайного марканта. Он необходим в шифрах гаммирования для обеспечения уникальности вырабатываемой при каждом шифровании гаммы. С помощью марканта обеспечивается отсутствие повторений в шифртексте, даже если какие-то повторения встречались в открытом тексте. В «Электронике МК – 85 С» маркант многократно шифровался с помощью долговременного секретного ключа, но уже в режиме блочного шифра, и полученный таким образом результат становился разовым криптографическим ключом шифратора «Ангстрем-3», действительным только для данного сообщения. Своеобразный аналог session key в современных компьютерных системах, использующих протокол SSL. И вот тут то уже вовсю использовался «лавинный эффект» размножения различий, которым обладали блочные шифры. Измени хоть один символ в марканте – разовый ключ будет уже абсолютно другим, и каким конкретно – невозможно вычислить без знания долговременного ключа.

Но на приемном конце для расшифрования сообщения должны были ввести сначала маркант и затем вычислить с его помощью разовый ключ данного сообщения. Так и было, первые 10 знаков в любой шифровке, полученной с помощью калькулятора, всегда были маркантом. Пользователи этого практически не замечали, они вводили все подряд: маркант и шифртекст, а калькулятор сам отбирал первые 10 знаков, вычислял по ним разовый ключ и с его помощью расшифровывал остальной текст. Но эта была та зацепка, то нетривиальное решение, которое в конечном итоге и позволило спасти Центральный Банк от фальшивых авизо. Ничего не шифруем, а в цифровом режиме расшифрования в качестве марканта (первые 10 знаков) вводим банковскую информацию, которую необходимо защитить от подделок. Из этой информации калькулятор автоматически вычисляет разовый ключ для расшифрования непонятно чего, но нам расшифровывать ничего и не надо: вводим, например, в качестве шифртекста одни нули, тогда получаем чистую гамму наложения, кусочек нужной длины используем в качестве КПД. Хоть 5, хоть 7, хоть 10 знаков, это безразлично, всю имитозащиту выполнил маркант, точнее – алгоритм его преобразования в разовый ключ.

Эта неожиданная идея сразу перевернула все пессимистические взгляды на возможность использования калькулятора в ЦБ. КПД вырабатывать на калькуляторе можно, и способ выработки удовлетворяет всем банковским требованиям. Банк реально получал надежнейшую криптографическую защиту, для реализации которой не требовалось разрабатывать заново какие-то шифровальные средства, все уже готово и серийно выпускается в Зеленограде. Следовательно, в кратчайшие сроки можно решить проблему защиты от фальшивых авизо.

Решение есть, запатентовать бы. И выставить бы «эксперту, боровшемуся с фальшивыми авизо», как это и принято во всем цивилизованном мире, условия: решение – есть, хочешь – покупай. И потребовать оформить юридически Договор на передачу интеллектуальной собственности с указанием в нем своих роялти. Печально сейчас, 15 лет спустя, вспоминать об этом. Нет, не было тогда никаких реальных возможностей запатентовать это решение. Я был в то время действующим офицером ФАПСИ, т.е. юридически совершенно бесправным лицом, для любого патентования нужно было разрешение руководства. Один патент у меня к тому времени уже был – на алгоритм шифрования типа «Ангстрем-3», в нем – все по честному, только реальные разработчики из НИИ Автоматики и Спецуправления. Оформляли этот патент около двух лет. Проку с него, как показала практика, – ноль, все вопросы передачи прав на продажу «Электроники МК – 85 С» решались начальниками-генералами, про этот патент никто и не вспомнил. Криптографический ГУЛАГ оставался неизменным со сталинских времен.

Вот так «Анкорт» и получил «уникальную криптографическую систему защиты», у которой «некоторые элементы не имеют аналогов в мире», практически даром, как впоследствии практически даром были приватизированы многие природные ресурсы России. Но современные олигархи хотя бы не выступают публично с заявлениями типа: «Мы создали нефть и газ».

Итак, в середине сентября 1992 года стало окончательно ясно, что калькулятор можно использовать в ЦБ. Там сразу же за нее ухватились, как за соломинку, первоначально планируя использовать в течение полугода, до появления чего-то более серьезного, чем казавшийся примитивным калькулятор. «Анкорт» где-то в конце сентября заключил официальный контракт с Центральным Банком на поставку большой партии калькуляторов «Электроника МК – 85 С».

Но в ЦБ еще нужно с нуля создавать криптографическую инфраструктуру: систему выработки ключей к калькулятору, нормативные документы для банковского персонала, никогда до этого ни с какими шифровальными устройствами не работавшего, программную реализацию алгоритма выработки КПД на компьютере для больших РКЦ и многое другое. Про это в контракте не было речи по понятным соображениям: не хотели лишний раз дразнить ФАПСИ. И без этого реакция криптографических генералов, считавших себя единственными монополистами на все, что связано с криптографией, была однозначной: запретить! Во-первых, никто не хотел брать на себя никакой ответственности, а во-вторых, фактически уплывал богатый клиент. Но как запретить? Это был октябрь 1992 года, никаких официальных поводов для запрета еще нет, Указ Ельцина № 334 «О лицензировании и сертификации в области защиты информации» будет принят гораздо позже, в 1995 году. И вот тогда вспомнили «криптографический базар» в Теоретическом отделе о том, стойкий или нестойкий калькулятор «Электроника МК – 85 С», и запустили в ЦБ «пену»: сомневаемся в его криптографической надежности. Доллар растет, как на дрожжах из-за фальшивых авизо, а ФАПСИ в это время пускает в Центральный Банк, предпринявший реальные шаги для защиты своих платежей, криптографические «пенные волны». И самое интересное в том, что эти волны совершенно беспочвенны. Ведь для выработки КПД в калькуляторе, во-первых, ничего не шифруется, а во-вторых информация, обрабатываемая с помощью «Ангстрема-3» на одном разовом ключе, крайне мала, несколько знаков, тогда как все сомнения в криптографических качествах возникали при миллионе знаков.

Несколько эпизодов из этих событий мне особенно запомнились. В конце октября 1992 года Центральный Банк пригласил меня и К. на довольно представительный симпозиум по проблемам информатизации, который проходил в здании бывшего СЭВ на Арбате. У меня с собой был довольно экзотический по тем временам Notebook, выдававший разработчика, к тому же там было заявлено, что мы с К. разрабатываем систему защиты для ЦБ. И вот в перерыве на меня буквально налетел какой-то важный господин, по виду – высокопоставленный чиновник.

– А Вы знаете, что Ваша система нестойкая?

– Откуда у Вас такие сведения?

– Я знаю!

– А Вы сами по образованию кто, криптограф?

Господин не был криптографом по образованию, но то, что система защиты для ЦБ – нестойкая, почему-то не вызывало у него сомнений.

Результатом этих «пенных волн» была задержка с внедрением системы защиты примерно на две недели. Это было в начале октября 1992 года и читатель легко сможет прикинуть стоимость двухнедельной задержки по динамике роста курса доллара в то время.

Ну а мне в это время надо было подумать о криптографической инфраструктуре для ЦБ. Как вырабатывать ключи? Как вообще переложить на компьютер максимально возможную работу по защите телеграфных авизо? Идей была масса, все сводились к тому, чтобы в будущем попытаться максимально автоматизировать эту систему кодирования. В октябре 1992 года все начиналось с простейших программ – первых версий системы «Криптоцентр – авизо» для выработки КПД на компьютере и выработки ключей для такой огромной сети, как Центральный Банк. Первые две недели октября из-за «пенных волн» выдались спокойными, в ЦБ их переваривали, а у меня появилось время написать первую версию «Криптоцентра – авизо».

В начале ноября 1992 года в ЦБ было принято окончательное решение, несмотря на все возражения ФАПСИ, использовать калькулятор для защиты банковских платежей. Окончательная точка была поставлена на совещании у первого заместителя Председателя Центрального Банка Р.А.Ситдикова, которое проходило 7 ноября на Неглинке, неподалеку от Красной площади, на которой в этот день шумела то ли демонстрация в честь Великого Октября, то ли что-то еще. Первый же вопрос, который г-н Ситдиков задал разработчикам системы защиты, был, естественно, о криптографической стойкости.

– А Вы уверены, что Ваши калькуляторы стойкие?

У меня в голове уже вертелись длинные рассуждения про имитостойкость, маркант, советские ракеты во Вьетнаме, но К., знающий методы общения с высокими начальниками, опередил.

– Да, уверены. Мы оснастили ими Советскую Армию.

Вопросов о стойкости больше не было.

Изготовление и рассылка секретных ключей – деликатнейший криптографический вопрос. В 8 ГУ КГБ СССР существовало специальное управление «Б», которое занималось исключительно этими проблемами: как изготавливать и рассылать ключи. И вот ЦБ в годовщину Великого Октября идет на революционный шаг – отказывается от услуг управления «Б». Ключи для системы кодирования авизо первоначально будут изготавливаться в «Анкорте», а рассылаться с помощью службы инкассации ЦБ. Это был вызов проповедуемой со сталинских времен религии секретности в криптографии, которая способна завалить любое живое дело. А мне, как разработчику, эта новость давала пищу для размышлений: сейчас ЦБ отказывается от услуг управления «Б», так в дальнейшем может быть удастся внедрить и современную систему рассылки ключей по типовым каналам связи, шифруя их перед рассылкой с помощью системы с открытым распределением ключей. Это будет намного дешевле, чем услуги службы инкассации.

И, наконец, естественно был поднят вопрос о программной реализации системы кодирования авизо с помощью персональных компьютеров. Очень энергичная женщина, главный бухгалтер Центрального Операционного Управления, работать с калькуляторами наотрез отказалась.

– У нас столько авизовок проходит каждый день, а здесь экранчик и клавиатура такие миниатюрные, на выработку КПД для каждой авизо уходит слишком много времени, мы не справимся! Дайте нам программную реализацию алгоритма выработки КПД на персональном компьютере.

No problem! Через день я уже в ЦОУ, на своем Notebook объясняю девушкам-операционисткам, как кодировать авизо с помощью «Криптоцентр-авизо». Но в ЦОУ в этот день компьютеров еще не было, так что мои первые объяснения были чисто умозрительными. И потом, глядя на то, как работают эти девушки, заваленные кипами «входящих – исходящих», часами не отрывающиеся от своих рабочих мест, невольно закрадывались мысли: ну вот, у них и так здесь работы невпроворот, а я тут еще появляюсь со своей системой кодирования, усложняю их и без того непростую жизнь. Но когда они поведали мне некоторые подробности, то все сомнения сразу же отпали.

– У нас здесь постоянно в соседней комнате следователь МВД дежурит, мы чуть ли не каждый день фальшивые авизо вылавливаем и относим ему. А суммы-то в них какие: 800-900 миллионов рублей в каждой. Вы уж нам помогите!

На одной лишь интуиции молоденьких девушек-операционисток держалась вся система защиты платежных поручений Центрального Банка до декабря 1992 года! И то, что тогдашнее руководство ЦБ пошло наперекор догмам ФАПСИ, взяло на себя ответственность за спасение финансовой системы страны, не могло не вызывать у меня уважения. Появлялось желание доказать, что советская криптографическая школа – это не пустой звук, что те университетские традиции, которые существовали на 4 факультете вопреки начальникам, могут пригодиться в критической ситуации. Для Центрального Банка ситуация, несомненно, была критической, вынуждала к нестандартным решениям ради одной цели: в кратчайшие сроки защитить банковские платежи. В конце совещания 7 ноября Р.А.Ситдиков достает свою визитку и дает ее К.

– Вот моя визитка, а в ней – мой прямой телефон. Если кто-то будет мешать – звоните мне напрямую, на следующий день этот человек будет уволен.

В моей жизни было несколько случаев, когда возникало ощущение бессилия перед бюрократической стеной. В России три раза мне посчастливилось наблюдать ситуацию, когда в ответ находился решительный человек, начальник, который фактически заявлял: «Работайте, создавайте, Вам верят. Всю ответственность я беру на себя».

На внедрение системы защиты был дан карт-бланш. Но что же делать с программной реализацией? Тут опять я хочу посвятить читателя в некоторые нюансы существовавших в то время правил работы с шифровальной техникой.

Криптографическая стойкость – способность шифра противостоять математическим методам анализа – это только одна, хотя и важнейшая характеристика системы защиты. Шифр, как правило, реализуется с помощью каких-то электронных устройств, в которых есть побочные излучения. Да и простое нажатие на клавиши при вводе открытого текста или ключа вызывает миниатюрные звуковые волны, которые могут быть перехвачены чувствительным прибором. Все эти вопросы рассматривались в рамках так называемых специсследований, результаты которых, как правило, приводили к усложнению эксплуатации аппаратуры: требовались генераторы шумовых излучений, специальные звукоизолированные камеры, развязки по сети питания и многое, многое другое. Калькулятор «Электроника МК – 85 С» был хорош еще и тем, что все эти проблемы были в нем минимизированы: есть автономное питание, энергопотребление минимально, а следовательно минимальны побочные излучения. Но когда речь заходила о программной реализации, то, строго следуя инструкциям ФАПСИ, каждый компьютер нужно было в течение долгого времени исследовать на специальном стенде, чтобы выявить все опасные побочные излучения, а затем ужесточить и без того непростые условия работы операционисток из РКЦ. При этом, как правило, в ходе подобных тестов пытались найти хоть какие-то побочные излучения, заведомо считая все их опасными, и не вдаваясь в детали, насколько они опасны реально.

Это все было из разряда требований к военным и важнейшим правительственным линиям закрытой связи. Но здесь, в Центральном Банке, ситуация совсем иная. Защита практически отсутствует, нужно срочно внедрять криптографические методы, а любые контакты с ФАПСИ неизбежно приведут к затягиванию внедрения.

И здесь опять же ЦБ проявил реализм. Программная реализация «Криптоцентр-авизо» в 1992 году реально была внедрена в двух крупнейших РКЦ: Центральном Операционном Управлении и в Оперу – 1. Формально считалось, что кодирование осуществляется с помощью калькуляторов, а «Криптоцентр-авизо» работает в режиме тестирования. На самом деле калькуляторы валялись в сейфах и ни одного дня ими никто не пользовался в течение многих лет эксплуатации «Криптоцентра-авизо». А мне даже пришлось в 1999 году подписывать акт о том, что «Криптоцентр-авизо» стойкий к «проблеме 2000 года». Привет тем, кто придумал эту нетривиальную бизнес-акцию!

Итак, Центральный Банк получил элегантную криптографическую систему при минимальных затратах по времени и стоимости. Это стало возможным благодаря тому, что в течение почти 15 лет велась разработка теории шифров на новой элементной базе, которые позволили создать калькулятор «Электроника МК – 85 С», быстро подготовить систему выработки ключей и всю остальную криптографическую инфраструктуру. Причем не благодаря, а вопреки усилиям руководства ФАПСИ.

Что же касается «эксперта» К. – Бог ему судья. Сильный менеджер в таком деле необходим, одних усилий яйцеголовых математиков-криптографов в нашей стране явно недостаточно. Но после той интеллигентной среды, в которой я существовал всю свою сознательную жизнь, общение по принципам: «не верь, не бойся, не проси», моральный дискомфорт, постоянное ощущение: сейчас обманут, напрягись, не раскрывайся, – показались мне дикими. К., как всегда, занялся окучиванием центробанковских начальников, мне же гораздо интереснее было работать с простыми девушками-операционистками из расчетно-кассовых центров банка. Именно они были уже не абстрактными, а вполне конкретными потребителями моих криптографических идей и программ. И если для них, впервые в жизни услышавших слово «криптография», это слово оказалось с нормальным, человеческим, а не бюрократическим лицом, то я был этому очень рад. Именно они, эти молодые девушки, и являются истинными героинями, спасшими в 1992 году Россию от фальшивых авизо. На их интуиции и ответственности функционировала вся система платежей и до, и после внедрения системы криптографической защиты.

Ну и, наконец, последнее. У читателя, внимательно прочитавшего начало этой главы, неизбежно возникнет вопрос: система защиты авизо была внедрена в Центральном Банке с 1 декабря 1992 года, так почему же тогда г-н Матюхин говорит об «использовании уникальной технологии, разработанной в 1993 году ФАПСИ»? Что за временные чудеса, когда разработанная в 1993 году технология внедряется с 1 декабря 1992 года? Может быть в 1993 году ФАПСИ разработало какую-то принципиально другую технологию? Или же это просто опечатка в тексте?

В 1992 году ФАПСИ похвастаться было нечем. Неожиданно появился алгоритм, использующий маркант для выработки КПД, реакция – чисто рефлексная: запретить! В декабре 1992 года этот алгоритм на деле доказал свою стойкость: поток фальшивых авизо прекратился, доллар упал. Это официально признали в январе 1993 на Директорате Центрального Банка. Реакция ФАПСИ – это наша разработка! В январе 1993 года, на ежегодном отчете отдела, в котором я был заместителем начальника отделения, открытым текстом было заявлено: гендиректор ФАПСИ распорядился считать разработку для ЦБ проделанной не каким-то малым предприятием, а ФАПСИ. Формально – на 100% именно так. Калькулятор «Электроника МК – 85 С» – разработка ФАПСИ, вся инфраструктура разработана действующим офицером ФАПСИ. С одним маленьким добавлением: полулегально, без разрешений руководства. Вот и одна из возможных причин временных чудес: разработка внедрена с 1 декабря 1992 года, а указание считать ее разработкой ФАПСИ поступило в январе 1993 года.

Другая причина – да, действительно в 1993 году ФАПСИ приложило свою руку и к разработке. Острота проблемы спала, Центральный Банк не спеша стал обращаться в ФАПСИ с просьбой об официальном разрешении на использование уже реально действующей системы защиты банковских авизо. ФАПСИ, руководствуясь указаниями своего руководства, внесло некоторые косметические изменения в способ построения информационного блока авизо, подлежащего кодированию, ничего не меняя по существу: тот же калькулятор «Электроника МК – 85 С», в котором для выработки КПД используется маркант в режиме расшифрования. Этот алгоритм получил название «алгоритм ФАПСИ», на него было дано официальное разрешение, реально использоваться в банке он начал с начала 1994 года. К тому времени ЦБ уже заказал новую разработку – специализированный калькулятор «Электроника МК – 85 Б», только для Центрального Банка, и в нем было всего три алгоритма: старый, с 1992 года, новый, придуманный ФАПСИ, и оригинальный, только для этого нового калькулятора, не совместимый с «Электроникой МК – 85 С». Новый алгоритм я придумывал уже с учетом всех особенностей защиты авизо в Центральном Банке, в основе его по-прежнему лежали шифры на новой элементной базе, безо всяких монстров – ГОСТов, фактически это была специализированная хеш-функция, зависящая от ключа. Завод в Зеленограде выпустил несколько тысяч калькуляторов «Электроника МК – 85 Б», их разослали по всем РКЦ ЦБ, но разрешения на работу с третьим, оригинальным, придуманным только для ЦБ алгоритмом ФАПСИ так и не дало. Ни да, ни нет.