Н. Н. Андреев: Россия остается в числе лидеров мировой криптографии
Предлагаем вашему вниманию беседу с руководителем российской криптографической науки, вице-президентом Академии криптографии РФ Николаем Николаевичем Андреевым.
Николай Николаевич, не могли бы вы немного рассказать о возглавляемой вами Академии криптографии и решаемых ею задачах.
Академия создавалась для проведения фундаментальных и важнейших прикладных работ в области криптографии и смежных дисциплин, большинство из которых являются закрытыми. Сейчас в составе Академии насчитывается три отделения: первое отделение занимается математическими проблемами криптографии, второе - физико-техническими и, наконец, третье - проблемами специальной связи и защиты информационных ресурсов. В наших рядах сегодня работают 24 академика и 29 членов-корреспондентов - крупнейших специалистов-криптографов нашей страны. Среди них - многие видные российские ученые - представители Российской академии наук - В. А. Котельников, Ю. В. Прохоров, В. Я. Козлов, В. К. Левин, Б. А. Севастьянов. Научная работа в Академии ведется силами временных проблемных комиссий из числа ученых, причем не обязательно работающих в нашем учреждении. Это специалисты Федерального агентства правительственной связи и информации, Федеральной службы безопасности, Российской академии наук, Московского государственного университета, Санкт-Петербургского политехнического института и других научных организаций. Каждая Комиссия создается для решения конкретной целевой задачи и состоит из 20-25 человек. Это лучшие специалисты страны по данной проблематике, которыми руководят члены нашей Академии. Ежегодно создается порядка 20 таких Комиссий. Задачи, ставящиеся перед этими коллективами, никогда не бывают простыми, соответственно и срок, в течение которого приходится искать их решение, весьма продолжителен, как правило, год, а иногда и более. Академия является государственной организацией и решает задачи государственной важности по обеспечению национальной безопасности и обороноспособности страны. Вместе с тем, некоторая часть осуществляемых нами работ является хозрасчетной. Так, недавно нашим заказчиком выступила фирма - оператор сотовой связи "Билайн", для которой нашими специалистами была проведена работа по защите стандарта GSM-1800. Ее цель заключалась в создании шифраторов для защищенной телефонной связи, которой могли бы пользоваться государственные учреждения, поскольку криптографические стандарты, заложенные в GSM-1800, а особенно его ключевая система, не соответствуют требованиям по защите закрытой информации. Хотя Академия изначально создавалась как учреждение для ведения закрытых научно-исследовательских разработок, результаты по ряду исследований, разумеется из числа открытых, мы публикуем в журналах Российской академии наук и других научных периодических изданиях. В частности, математические результаты публикуем совместно с учеными РАН в приложении к журналу "Дискретная математика".
Как вы оцениваете научный и технический потенциал российских специалистов в этой области по сравнению с зарубежными? Можно ли утверждать, что несмотря на трудности последних лет, отечественная криптографическая школа не утратила своего авторитета?
Еще несколько лет назад смело можно было утверждать, что в мире существуют только две крупные криптографические державы - СССР и США. В течение нескольких десятилетий в стране создавалась и развивалась криптографическая школа. В этой работе участвовали многие выдающиеся ученые, а некоторые из них и по сей день продолжают работу в наших стенах. Огромная заслуга этих людей состоит, в частности, в том, что они сумели создать преемственность в деле воспитания квалифицированных кадров для отечественной криптографической науки. Поэтому я считаю - несмотря ни на что ее сегодняшний уровень никоим образом не ниже американского.
Тем не менее, сегодня во многих странах вызывает беспокойство перспектива установления мощными индустриальными державами, такими как США и Япония, глобального информационного контроля над мировым сообществом. Насколько реальна эта угроза?
Угроза, на мой взгляд, достаточно реальная, потому что именно эти страны держат в руках практически весь информационный и телекоммуникационный рынки, а также рынок средств защиты информации. Все ведущие операционные и прикладные системы основаны на американских алгоритмах. Взять хотя бы известный стандарт шифрования DES. До недавних пор экспорту подлежали лишь те его реализации, длина ключа в которых не превышала 48 разрядов. Теперь это число увеличено до 56, благодаря тому, что в результате совершенствования вычислительной техники атака на ключ такой длины не относится более к числу неразрешимых задач. Причем мы прогнозировали этот шаг американцев, поскольку приблизительно знаем тот путь, по которому они движутся для достижения положительного результата.
Как же Россия сможет противостоять информационному контролю со стороны этих государств?
А мы в силах это делать и делаем. Конечно, финансовые возможности не позволяют вести речь о глобальном наблюдении за информационными потоками, но, при условии сосредоточения усилий на наиболее важных направлениях, эта работа приносит свои плоды, причем не только в том, что касается защиты собственных информационных ресурсов.
Принято считать, что конкуренция - это естественный рыночный механизм, позволяющий улучшать стоимостные и технические характеристики продукции. Как вы считаете, действует ли данное положение в реализации систем криптографического преобразования? Может быть стоит допустить в эту область коммерческие структуры, тем более, если у государства недостает средств на подобные работы?
Дело в том, что сегодня криптография вышла на такой уровень, когда создание хорошего шифра под силу только очень большим коллективам ученых. Этот факт не дает возможности коммерческим фирмам конкурировать с государством. Конечно, большинство их сотрудников в прошлом работали в государственных структурах и что-то они разработать могут. Но создать продукт - это одно, а осуществить его комплексную проверку - совсем другое. Доказать стойкость шифра чисто математическими методами невозможно, если только речь не идет об одноразовых шифрах. Кроме того, подобное доказательство верное на сегодняшний день, совсем не обещает оставаться таковым и в дальнейшем. В момент своего создания шифратор всегда имеет очень высокую стойкость, но через некоторое время усилиями математиков и инженеров противоборствующей стороны она начинает снижаться. Разве сможет небольшая фирма доказать гарантированную стойкость своего продукта?
Наверное, это может сделать ФАПСИ?
ФАПСИ может подтвердить, что данный шифратор защищает пользователя от конкретных криптоаналитических методов. Но они же постоянно совершенствуются, за этим процессом необходимо следить. И раньше и сейчас этим занимаются тысячи квалифицированных ученых, применяющих мощную вычислительную технику, которая есть только в ФАПСИ. Использование всего этого потенциала и позволяет делать выводы о гарантированной стойкости того или иного шифра.
Несколько смущает тот факт, что все выданные ФАПСИ сертификаты, по сути выданы самим себе.
Именно во избежание подозрений в сокрытии допущенных недочетов мы опубликовали схему разработанного нами ГОСТа 28147.89. Еще в момент его появления на одном из совещаний были высказаны сомнения в отсутствии в нем неких лазеек. Но я-то точно знал, что эти подозрения беспочвенны, поскольку в анализ ГОСТа был вложен колоссальный труд многих коллективов. Поэтому сразу сказал: "Пожалуйста, мы опубликуем схему. Пробуйте, ломайте зубы". Мы же не делаем из схемы тайны даже для иностранных специалистов, потому что уверены - придраться там абсолютно не к чему.
Не следует ли ожидать в скором времени появления нового стандарта шифрования?
В том, что новый стандарт скоро появится, сомнений нет. Нынешний был разработан главным образом для закрытия каналов связи в середине 80-х годов. С учетом скоростей передачи данных того времени, созданный алгоритм был приемлемым. Когда же начались испытания высокоскоростных каналов связи, он уже имел недостаточные скорости. Тем не менее, за неимением другого, его решено было использовать в качестве стандарта шифрования.
Как скоро новый стандарт может выйти в свет?
Разработка нового алгоритма - задача непростая. Точнее сказать, сам алгоритм можно разработать достаточно быстро, а вот доказательство его стойкости занимает не менее 2-3 лет, так как эта работа требует анализа огромного количества методов криптоанализа. Да и впоследствии необходимо доказывать, что появление новых методов не ведет к снижению его криптостойкости. Сейчас ведутся работы по его созданию, и думаю, что окончательный результат можно ожидать через год, максимум - два.
Уже несколько лет во всем мире не утихает дискуссия относительно противостояния государственных интересов интересам, так называемой, гражданской криптографии. В России эта проблема пока не столь остра, тем не менее, в чем вы видите разумный компромисс в решении этого вопроса?
Гражданская криптография занимается в основном проблемами открытого ключа. Мы следим за этими работами самым внимательным образом, но, повторю еще раз, мы не заинтересованы в том, чтобы на наших линиях связи использовались слабые шифры. Для правительственной и военной связи однозначно должны использоваться только сертифицированные средства криптографической защиты, то же самое относится и к системе Центробанка. Бесконтрольная закупка западного оборудования и использование встроенных в них средств защиты делают закрываемые с их помощью информационные ресурсы легкой добычей для АНБ, так как нет никаких сомнений в том, что все подобное оборудование делается под его неусыпным контролем. Конечно, для защиты от проникновения криминальных структур эти средства вполне пригодны, поскольку преступники не обладают необходимым научно-техническим потенциалом для их взлома. Но в то же время даже для защиты коммерческой тайны от конкурентов, особенно западных, требуются надежные шифры. Короче говоря, надо иметь разные шифры для коммерческих и государственных целей.
Николай Николаевич, разрешите теперь отрешиться от проблем сегодняшнего дня и прояснить ряд моментов из недавнего прошлого отечественной криптографической службы. В начале 70-х годов функции криптоанализа перешли в ведение специально созданного самостоятельного 16-го управления КГБ, выделившегося из состава 8-го Главного Управления, которое вы возглавляли в то время. С чем это было связано?
8-е Главное Управление КГБ в ту пору представляло из себя достаточно большую, разноплановую структуру и успехи, достигнутые в дешифровании в какой-то момент позволяли не слишком серьезно заниматься анализом собственных шифров и, наоборот, на успехи отечественного шифрования можно было списывать неудачи в других областях.
Служба криптоанализа не давала в то время хороших результатов?
Нет, она всегда давала хорошие результаты, менее гладко обстояло дело как раз с защитой собственных шифров. Кроме того, все научные достижения необходимо реализовывать в технике. Если аппаратура временной стойкости стоила тогда условно 5000 рублей, а гарантированной - 1000000, то не возникает сомнений, какая из них более надежна. Но закрыть ею можно лишь весьма ограниченное число каналов передачи информации. Хорошая криптография ничего не дает, если у нее нет прочного фундамента в виде сильной производственной базы, которая бы позволяла типизировать аппаратуру, создавать ее по наиболее технологичной схеме и в достаточно большом количестве. Ведь именно технологичность позволяет закрыть более широкое поле при одних и тех же затратах. Поэтому и было решено, что каждый должен заниматься своим делом. Как показало время, это решение оказалось абсолютно верным - была создана целая отрасль промышленности, построено большое количество институтов, заводов. Во многом благодаря этому решению мы по сей день удерживаем свои позиции среди лидеров мировой криптографии.
Сегодня уже не секрет, что значительную роль в мирном разрешении "карибского кризиса" сыграли сведения, добытые нашей радиоразведкой. Нельзя ли рассказать об этом подробнее?
Я же в то время работал дешифровальщиком, чья задача - расколоть шифр, а прочитать сам текст - это уже дело переводчика, действующего по определенному алгоритму. Поэтому добавить что-то существенное к уже опубликованному я не могу. Самым главным в те дни было то, что руководство страны точно знало, на каком этапе развития кризиса американцы готовы применить ядерное оружие. Знание этого рубежа позволяло контролировать ситуацию, владеть инициативой в принятии решений - перешагнуть его или остановиться.
Расскажите, пожалуйста, о вашей встрече с известным американским писателем Дэвидом Каном.
Кан неоднократно обращался ко мне с подобным предложением, но разрешение на нашу встречу руководство дало только в 1996 году. Его очень интересовали успехи советской криптографической службы во время второй мировой войны. Удивляюсь почему, но для него стал откровением тот факт, что во время войны мы читали японскую дипломатическую переписку, анализ которой позволил сделать вывод о том, что Япония не намерена начинать военные действия против СССР, что дало возможность перебросить значительные силы на германский фронт. Впоследствии им были обойдены некоторые невыгодные для американской стороны моменты нашей встречи. Так, Кан ничего не рассказал о моем предостережении опубликовать имеющиеся в нашем распоряжении материалы в ответ на предание гласности американцами 2000 перехваченных ими в результате известной операции "Венона" наших телеграмм и намерении опубликовать еще 4000. Он обещал довести эту информацию до сведения руководства АНБ и, видимо, сдержал слово, поскольку дальнейших публикаций не последовало. Никак не были им опровергнуты сведения, полученные от сбежавшего на Запад бывшего сотрудника 16-го управления КГБ Виктора Макарова, утверждавшего, что радиоразведывательную информацию СССР получал главным образом путем использования специальных технических средств, а не благодаря работе своих криптоаналитиков. Между тем, это утверждение в корне не верно. Многие результаты были достигнуты "чистыми" методами, с помощью математики и вычислительной техники. Дело в том, что Макаров по специальности являлся переводчиком с греческого, греки же в то время в основном применяли в работе шифры одноразового использования, которые невозможно вскрыть аналитическим путем. В данном случае действительно пригодны только инженерно-технические методы. Быть может поэтому у Макарова и создалось такое впечатление. Между тем, многие американские шифры были вскрыты тогда путем комбинированного использования криптоаналитического и инженерно-технического методов, а также мощной вычислительной техники. Впрочем, для вскрытия настоящих шифров такой путь - единственно возможный.
Приходилось читать, что на этой встрече вы высказали Кану свою заинтересованность в сотрудничестве ФАПСИ и АНБ в работе по вскрытию шифров различного рода преступных организаций. Имело ли это предложение какую-либо реакцию с американской стороны?
Нет, пока никакой реакции не последовало. А жаль, думаю, что совместными усилиями с США и другими передовыми странами мы могли бы сделать значительные шаги по контролю за действиями международных мафиозных структур и воротил наркобизнеса.
