Филипп Циммерманн - Введение в криптографию

В 1990-х я понял, что если мы хотим выстоять против этой разрушительной тенденции правительства по установлению криптографии вне закона, одна из мер, которой мы можем воспользоваться, — это применять криптографию столько, сколько сможем, пока её применение ещё легально. Когда применение стойкой криптографии станет популярным, правительству будет труднее криминализировать её. Поэтому использование PGP может выступать как средство сохранения демократии . Если права на частную жизнь станут вне закона, только те, кто вне закона, будут иметь частную жизнь.

Оказалось, что публикация PGP наряду с годами жёсткого общественного недовольства и индустриального давления на ослабление экспортного контроля дали позитивный эффект. В последние месяцы 1999 года администрация Клинтона объявила о радикальном пересмотре политики экпортного контроля криптотехнологий. Она попросту отказалась от режима ограничений. Сейчас мы, наконец, можем экспортировать средства стойкого шифрования без каких-либо максимальных порогов стойкости. Это была долгая борьба, но мы в конце концов одержали победу, по крайней мере на фронте экспортного контроля США. Теперь нужно продолжить наши усилия по распространению и популяризации криптографии, чтобы притупить эффект от усиливающихся мер по электронной слежке в Сети некоторыми государствами. И всё ещё нужно "продавить" наши права на её демократическое использование, несмотря на энергичные протесты ФБР.

PGP даёт людям власть взять защиту собственных гражданских прав в свои руки. На это существует высокая социальная потребность. Именно поэтому я создал PGP.

PGP располагает набором различных алгоритмов с тайным ключом, шифрующих само сообщение. Под алгоритмами с тайным ключом мы подразумеваем симметричные блочные шифры, использующие один и тот же ключ как для зашифрования, так и для расшифрования. Симметричные блочные шифры, предлагаемые PGP, это CAST, Triple-DES, IDEA, Twofish , а также AES . Все эти алгоритмы не были написаны "на коленке" — это результаты серьёзных научных исследований криптологических групп с выдающейся репутацией.

Для интересующихся криптографией мы можем рассмотреть эти алгоритмы немного более детально. CAST, Triple-DES и IDEA оперируют с 64-битовыми блоками данных. CAST и IDEA имеют ключи длиной 128 бит, Triple-DES использует 168-битовый ключ. Как и Data Encryption Standart (DES), эти алгоритмы могут работать в режимах гаммирования с обратной связью по шифртексту (cipher feedback, CFB) и последовательного сцепления блоков шифртекста (cipher block chaining, CBC). PGP использует их в 64-битовом режиме CFB.

Я добавил в PGP алгоритм CAST по ряду причин: он подаёт надежды как стойкий блочный шифр со 128-битовым ключом, он очень быстр, и он бесплатный. Его название происходит от инициалов разработчиков, Карлайсла Адамса и Стаффорда Тавареса [9] Разработчики же утверждают, что название CAST связано с процедурой разработки, и должно напоминать о вероятностном характере процесса (cast, англ. — догадка), а не об инициалах авторов. , из Northern Telecom (Nortel). Nortel запатентовал CAST, но дал письменное обязательство оставить его доступным для каждого без выплат патентных гонораров. CAST представляется очень удачным шифром, спроектированным людьми с хорошей репутацией в своей профессиональной сфере. Дизайн основан на сугубо формальном подходе с рядом формально доказуемых положений; всё это даёт веские основания заключить, что для взлома его 128-битового ключа потребуется лобовая атака. CAST не имеет пространства слабых и полуслабых ключей. Есть серьёзные аргументы в пользу того, что CAST совершенно неподвержен линейному и дифференциальному криптоанализу, двум мощнейшим формам криптоанализа, описанным в открытой литературе, обе из которых оказались эффективны при взломе DES. Формальная DES-подобная архитектура CAST и хорошая репутация его авторов привлекли к алгоритму внимание и попытки криптоаналитических атак со стороны всего научного сообщества, которые он выстоял достойно. У меня появляется почти то же чувство уверенности в CAST, какое было несколько лет назад от IDEA, шифра, который я избрал для ранних версий PGP. На то время IDEA был слишком молод, чтобы иметь серьёзное доверие, но и поныне он демонстрирует себя очень хорошо.

Блочный шифр IDEA (International Data Encryption Algorithm) основан на концепции "смешения операций из различных алгебраических групп" . Он был разработан в ETH, Цюрих, Джеймсом Мэсси и Суэджа Лай, и опубликован в 1990 г. В первых публикациях алгоритм назывался IPES (Improved Proposed Encryption Standart), но позднее его переименовали в IDEA. IDEA гораздо более стоек против атак, нежели ранние шифры FEAL, REDOC–II, LOKI, Khufu и Khafre. Также, IDEA оказался гораздо устойчивей DES к очень удачной дифференциальной криптоатаке Бихама и Шамира, равно как и к линейному криптоанализу. Уверенность в IDEA растёт с каждым годом. К сожалению, самым большим препятствием к применению IDEA как стандарта шифрования стал тот факт, что держатель патента на его дизайн — AscomSystec — не предоставляет его для свободного применения без выплат роялти, как в случаях с DES и CAST.

Также, в числе прочих, в арсенал блочных шифров PGP включён и трёхключевой Triple-DES. DES был изобретён в IBM в середине 70-х. Хотя он и имеет эффективный дизайн, его 56-битовый ключ слишком мал по сегодняшним меркам. Triple-DES же крайне надёжен; за многие годы он был хорошо изучен, так что может быть это более удачный выбор в сравнении с относительно молодыми CAST и IDEA. Triple-DES — это DES, применяемый трижды на одном блоке данных, используя три разных ключа, за исключением того, что вторая операция проходит в обратном порядке в режиме расшифрования. Несмотря на то, что Triple-DES гораздо медленней, чем CAST или IDEA, скорость обычно не играет критической роли в email-приложениях. Хотя Triple-DES имеет длину ключа в 168 бит, эффективная стойкость составляет по меньшей мере 112 бит против взломщика с невероятно огромным вычислительным потенциалом, используемым в атаке. В соответствии с расчётами, представленными Майклом Винером на Crypto96, любые хотя бы удалённо правдоподобные ресурсы для хранения промежуточных вычислений, доступные взломщику, позволят провести атаку, требующую практически столько же времени/средств, сколько понадобится для лобового взлома 129-битового ключа. Применение Triple-DES не ограничено никакими патентами.

Начав с версии PGP 7.0, мы добавили алгоритм Брюса Шнайера Twofish. Twofish стал одним из пяти финалистов в проекте NIST "Улучшенный стандарт шифрования" (AES). AES представляет собой новую архитектуру блочного шифра, работающего на 128-битовых блоках, с размерами ключа в 128, 192 или 256 бит. Пятнадцать криптографических групп со всего света подали свои разработки, когда в 1996 году NIST объявил о начале конкурса, из которых в 1998 выбрал пять.