Таблица 27 все возможные случаи на втором этапе при обмене фотонами между алисой и бобом.

↑

▷ Содержание

⇐ ПредыдущаяСтр 45 из 52Следующая ⇒

Рис. 70 Фил Циммерман.

Однако как в любой технологии, у шифрования есть и негативная сторона. Наряду с защитой информации законопослушных граждан, оно также обеспечивает защиту информации преступников и террористов. Нынче, в исключительных случаях, если, например, вопрос касается организованной преступности или терроризма, полиция в целях сбора доказательств организует прослушивание телефонных разговоров, но это окажется невозможным, если преступники станут применять нераскрываемые шифры. Поскольку мы вступили в двадцать первый век, основная дилемма, стоящая перед криптографией, заключается в том, чтобы найти способ, дающий возможность пользоваться шифрованием обществу и бизнесу и не позволяющий в то же время преступникам злоупотребить им и избежать ареста. В настоящее время идут активные дебаты о наилучших путях решения данного вопроса, и значительная часть дискуссий вдохновлена историей Фила Циммермана, человека, чьи старания содействовать широкому применению стойкого шифрования вызвали панику среди американских экспертов по безопасности, представляли угрозу эффективности деятельности Агентства национальной безопасности с его многомиллиардным бюджетом и сделали его объектом пристального внимания со стороны ФБР и расследования Большим Жюри.

Фил Циммерман провел половину 70-х годов во Флоридском Атлантическом университете, где изучал физику, а затем программирование. Казалось, что после окончания учебы его ждет успешная деятельность и карьера в быстро развивающейся компьютерной индустрии, но политические события начала 80-х изменили его жизнь: его уже меньше интересовала технология кремниевых чипов, а больше тревожила угроза ядерной войны. Он был обеспокоен вторжением советских войск в Афганистан, выборами Рональда Рейгана, нестабильностью, вызванной старением Брежнева, и постоянно растущей напряженностью в холодной войне. Он даже подумывал перебраться с семьей в Новую Зеландию, полагая, что это одно из немногих мест на Земле, которое останется годным для жизни после ядерного конфликта. Но как раз, когда он получил паспорт и все необходимые бумаги для иммиграции, они с женой побывали на собрании, проводимом кампанией за замораживание ядерных вооружений. Теперь вместо того, чтобы бежать, чета Циммерманов решила остаться и принять участие в борьбе дома, став активистами движения за запрещение ядерного оружия; они просвещали политических кандидатов по вопросам военной политики, и были арестованы у ядерного испытательного полигона штата Невада вместе с Карлом Саганом и четырьмя сотнями других протестующих.

Несколькими годами позднее, в 1988 году, Михаил Горбачев стал главой Советсткого Союза, провозгласив перестройку, гласность и сокращение напряженности между Востоком и Западом. Опасения Циммермана начали притупляться, но страсти к демонстрациям и политическим митингам протеста он не потерял, а просто направил ее в другом направлении. Его внимание привлекла цифровая революция и необходимость в шифровании:

Криптография обычно считается малопонятной наукой, слабо связанной с повседневной жизнью. Исторически она всегда играла особую роль в военной и дипломатической переписке. Но в информационный век криптография становится политической силой, в частности, как мощный инструмент отношений между правительством и его народом. Это примерно как право на частную жизнь, свободу слова, свободу политических объединений, свободу печати, свободу от необоснованного преследования и цензуры, свободу быть предоставленным самому себе.

Эти убеждения могли бы показаться параноидальными, но, как заявлял Циммерман, между обычной и цифровой связью существует фундаментальное различие, которое имеет важное значение для обеспечения безопасности:

В прошлом, если правительство хотело вторгнуться в частную жизнь обычных граждан, оно должно было затратить определенные усилия, чтобы перехватить, распечатать с помощью пара и прочитать бумажную корреспонденцию, или прослушать и, при необходимости, записать телефонные разговоры. Это аналогично ловле рыбы на леску с крючком: за раз не больше одной рыбы. К счастью для свободы и демократии, этот вид слежки очень трудоемок и в широких масштабах не осуществим. Сегодня электронная почта постепенно заменяет бумажную корреспонденцию и вскоре станет нормой для всех, а не новинкой, как сейчас. В отличие от бумажной корреспонденции, электронные письма перехватить и проверить на наличие интересующих ключевых слов как раз гораздо проще. Это можно делать без труда, регулярно, в автоматическом режиме и скрытно в широких масштабах. И это уже напоминает ловлю рыбы дрифтерными сетями, становясь количественным и качественным. Напоминает описанное у Оруэлла отличие от процветания демократии.

Отличие между обычным и электронным письмом может быть продемонстрировано, если, например, представить, что Алиса хочет разослать приглашения на празднование своего дня рождения и что Ева, которую не пригласили, желает узнать время и место, где будет проходить празднование. Если Алиса пользуется обычным способом рассылки писем по почте, то Еве будет крайне трудно перехватить одно из приглашений. Во-первых, Ева не знает, откуда приглашения Алисы попадут в почтовую систему, потому что Алиса может воспользоваться любым почтовым ящиком в городе. Ее единственная надежда перехватить одно из этих приглашений — это каким-то образом выяснить адрес одного из Алисиных друзей и проникнуть в местное отделение, занимающееся сортировкой писем. После этого она должна проверить каждое письмо вручную. Если удастся найти письмо от Алисы, то Еве потребуется распечатать его с помощью пара, чтобы получить интересующую ее информацию, а затем придать письму исходный вид, чтобы не возникло никаких подозрений в его вскрытии.

Задача Евы станет не в пример проще, если Алиса рассылает свои приглашения по электронной почте. Как только сообщения покидают Алисин компьютер, они попадают на локальный сервер — основную точку входа в Интернет; если Ева достаточно умна, она сумеет влезть в этот локальный сервер, не выходя из своего дома. Поскольку на приглашениях будет стоять адрес электронной почты Алисы, то не составит труда установить электронный фильтр, который станет искать электронные письма, содержащие адрес Алисы. Как только приглашение будет найдено, то никакого конверта вскрывать не нужно, и потому не составит труда прочитать его. Более того, приглашение может быть отослано далее своим путем, и у него не будет никаких признаков того, что оно было перехвачено. Алиса и знать не будет о том, что произошло. Есть, однако, способ не позволить Еве читать Алисины электронные письма — это зашифровывание.

Ежедневно по всему миру отправляются более сотни миллионов электронных писем, и все они уязвимы для перехвата. Цифровая техника стала для связи незаменимым помощником, но породила также и возможность слежения за средствами коммуникации. По словам Циммермана, криптографы обязаны содействовать использованию шифрования и тем самым защищать частную жизнь граждан:

Будущее правительство может унаследовать технологическую инфраструктуру, которая наиболее эффективна для слежки, когда они могут отслеживать действия своих политических противников, следить за любой финансовой сделкой, за любыми средствами связи, за каждым битом электронных писем, за каждым телефонным звонком. Все может быть профильтровано, и просканировано, и автоматически распознано с помощью аппаратуры распознавания речи, и записано. Пора криптографии выйти из тени шпионов и военных на солнечный свет, чтобы ею могли воспользоваться и все остальные.

Когда в 1977 году был придуман RSA, он стал, теоретически, противоядием действиям «Старшего Брата»[29], так как каждый мог создавать свои собственные открытые и секретные ключи, а затем отправлять и получать надежным образом защищенные сообщения. Однако на практике возникла существенная проблема, поскольку для шифрования RSA по сравнению с симметричными видами шифрования, например, DES, требуются значительно большие вычислительные мощности. Так что в 80-х годах использовали RSA только правительство, вооруженные силы и крупные предприятия и компании, обладающие достаточно мощными компьютерами. Не удивительно, что RSA Дата Секьюрити Инк. — компания, основанная для налаживания выпуска и продажи RSA, создавала свои программные продукты для шифрования, предназначенные только для этих рынков.

Циммерман же, напротив, считал, что каждый заслужил право на частную жизнь, которую предлагает шифрование RSA, и направил все свое рвение на создание программного продукта для шифрования RSA для масс. Он намеревался воспользоваться своим опытом в программировании для создания экономичной и эффективной программы, которая не вызовет перегрузки обычного персонального компьютера, а также хотел придать своему варианту RSA исключительно удобный интерфейс, чтобы пользователю не нужно было быть знатоком криптографии для работы с ним. Циммерман назвал свой проект Pretty Good Privacy, или, для краткости, PGP. На это его вдохновило название фирмы-спонсора одной из его любимых радиопостановок Гаррисона Кейлора.

В конце 80-х годов, трудясь у себя дома в Боулдере, штат Колорадо, Циммерман постепенно соединил воедино свой пакет программ, осуществляющий шифрование. Его основной целью было ускорить шифрование RSA. Обычно если Алиса хочет воспользоваться RSA, чтобы зашифровать сообщение Бобу, она ищет его открытый ключ, а затем применяет к этому сообщению одностороннюю функцию RSA. В свою очередь Боб расшифровывает зашифрованный текст, используя свой секретный ключ для обращения односторонней функции RSA. Для обоих процессов требуются изрядные математические преобразования, так что если сообщение длинное, то на персональном компьютере зашифровывание и расшифровывание могут занять несколько минут. Если Алиса отправляет сотню сообщений в день, она не может позволить себе тратить несколько минут на зашифровывание каждого. Для ускорения зашифровывания и расшифровывания Циммерман применил способ, при котором совместно используются асимметричное шифрование RSA и старое, доброе симметричное шифрование. Обычное симметричное шифрование может быть точно так же надежно, как и асимметричное шифрование, и выполнять его гораздо быстрее, но симметричное шифрование страдает от проблемы необходимости распределения ключа, который должен быть безопасным образом доставлен от отправителя получателю. Вот здесь-то и приходит на помощь RSA, потому что RSA можно использовать, чтобы зашифровать симметричный ключ.

Циммерман представил следующий план действий. Если Алиса хочет послать зашифрованное сообщение Бобу, она начинает с того, что зашифровывает его с помощью симметричного шифра. Циммерман предложил использовать шифр, известный как IDEA и который похож на DES. Для зашифровывания с помощью IDEA Алисе нужно выбрать ключ, но чтобы Боб смог расшифровать сообщение, Алисе надо каким-то образом передать этот ключ ему. Алиса справляется с этим затруднением: она находит открытый ключ RSA Боба, а затем использует его, чтобы зашифровать ключ IDEA. Таким образом Алиса завершает свои действия, высылая Бобу сообщение, зашифрованное симметричным шифром IDEA, и ключ IDEA, зашифрованный асимметричным шифром RSA. На другом конце Боб использует свой секретный ключ RSA, чтобы расшифровать ключ IDEA, а затем использует ключ IDEA, чтобы расшифровать сообщение. Это может показаться слишком сложным, но преимущество заключается в том, что сообщение, которое может содержать большой объем информации, зашифровывается быстрым симметричным шифром, и только симметричный ключ IDEA, состоящий из сравнительно небольшого количества информации, зашифровывается медленным асимметричным шифром. Циммерман предполагал включить эту комбинацию RSA и IDEA в свою программу PGP, но удобный интерфейс означает, что пользователя не должно волновать, что при этом происходит.

Разрешив, в основном, проблему быстродействия, Циммерман включил также в PGP ряд полезных свойств. Например, перед применением RSA, Алисе необходимо сгенерировать свои секретный и открытый ключи. Процесс создания ключа не прост, поскольку требует нахождения пары огромных простых чисел. Но единственное, что следует сделать Алисе, — это случайным образом подвигать своей мышкой, и программа PGP создаст ее секретный и открытый ключи; движениями мышки вводится случайный фактор, который используется в PGP и благодаря которому гарантируется, что у каждого пользователя будет своя отличающаяся от других пара простых чисел и, тем самым, своя уникальная комбинация секретного и открытого ключей. После этого Алиса должна просто известить о своем открытом ключе.

Еще одно полезное свойство PGP — простота выполнения электронной подписи на сообщениях, отправляемых по электронной почте. Как правило, на этих сообщениях подпись не ставится, что означает невозможность проверки подлинности автора электронного сообщения. Например, если Алиса воспользуется электронной почтой, чтобы послать Бобу любовное письмо, она зашифрует его открытым ключом Боба, а тот, когда получит, расшифрует его своим секретным ключом. Вначале Бобу это льстит, но может ли он быть уверен, что любовное письмо действительно от Алисы? Возможно, что злокозненная Ева написала это электронное письмо и подписалась именем Алисы в конце. Кроме заверения собственноручно написанной чернилами подписью другого явного способа проверить авторство нет.

Или же представьте себе, что банк получает электронное письмо от клиента, в котором отдаются распоряжения, чтобы все его денежные средства были перечислены на номерной банковский счет частного лица на Каймановых островах. Опять-таки без собственноручно написанной подписи как может банк знать, что это электронное письмо действительно пришло от клиента? Оно могло бы быть написано преступником, пытающимся переместить денежные средства на свой банковский счет на Каймановых островах. Для выработки доверия к Интернету важно, чтобы существовала какая-либо форма достоверной цифровой подписи.

Цифровая подпись в PGP основана на принципе, который был впервые разработан Уитфилдом Диффй и Мартином Хеллманом. Когда они предложили идею о раздельных открытых и секретных ключах, то поняли, что наряду с решением проблемы распределения ключей их открытие позволяет также создавать подписи для электронных писем. В главе 6 мы видели, что открытый ключ используется для зашифровывания, а секретный ключ — для расшифровывания. На самом деле эти операции можно поменять местами, так что для зашифровывания будет использоваться секретный ключ, а для расшифровывания — открытый ключ. Режим зашифровывания как правило, игнорируется, поскольку никакой безопасности он не обеспечивает. Если Алиса применяет свой секретный ключ, чтобы зашифровать сообщение для Боба, то каждый может расшифровать его, потому что у всех есть открытый ключ Алисы. Но как бы то ни было, данный режим подтверждает авторство, так как если Боб может расшифровать сообщение с помощью открытого ключа Алисы, значит, оно должно было быть зашифровано с использованием ее секретного ключа; но только у Алисы имеется доступ к своему секретному ключу, поэтому данное сообщение было отправлено Алисой.

В сущности, если Алиса хочет послать Бобу любовное письмо, у нее есть две возможности. Либо она зашифрует сообщение с помощью открытого ключа Боба, чтобы обеспечить секретность переписки, либо она зашифрует его своим собственным секретным ключом, чтобы подтвердить авторство. Однако если она объединит обе операции, то сможет гарантировать и секретность переписки, и авторство. Существуют более быстрые способы для достижения этого, но здесь приводится один из способов, которым Алиса может послать свое любовное письмо. Она начинает с того, что зашифровывает сообщение с помощью своего секретного ключа, а затем зашифровывает получающийся зашифрованный текст, используя открытый ключ Боба. Вообразите себе сообщение, окруженное хрупкой внутренней оболочкой, которая представляет собой шифрование, выполненное с помощью секретного ключа Алисы, и прочную наружную оболочку, представляющую шифрование с использованием открытого ключа Боба. Получающийся шифртекст может быть расшифрован только Бобом, потому что только он имеет доступ к секретному ключу, необходимому для того, чтобы разбить эту прочную наружную оболочку. Расшифровав наружную оболочку, Боб затем сможет легко расшифровать с помощью открытого ключа Алисы и внутреннюю оболочку; эта внутренняя оболочка служит не для того, чтобы защитить сообщение, она удостоверяет, что данное сообщение пришло от Алисы, а не от какого-нибудь мошенника.

К этому моменту отправка зашифрованного PGP сообщения становится довольно сложной. Шифр IDEA используется для того, чтобы зашифровать сообщение, RSA применяется для зашифровывания ключа IDEA, а если необходима цифровая подпись, то должен быть задействован еще один этап шифрования. Однако Циммерман разработал свою программу таким образом, что она все будет делать автоматически, так что Алисе и Бобу не придется беспокоиться о математике. Чтобы отправить сообщение Бобу, Алиса просто напишет свое электронное письмо и выберет из меню на экране своего компьютера нужную опцию PGP. Затем она введет имя Боба, после чего PGP отыщет открытый ключ Боба и автоматически выполнит зашифровывание. Одновременно с этим PGP будет проделывать все необходимые манипуляции, требующиеся для создания электронной подписи на сообщении. При получении зашифрованного сообщения Боб выберет опцию PGP, и PGP расшифрует сообщение и удостоверит подлинность автора. В PGP нет ничего нового: Диффи и Хеллман уже придумали цифровые подписи, а другие криптографы пользовались комбинацией симметричного и асимметричного шифров для повышения скорости шифрования, но Циммерман первым объединил все это в простом в применении программном продукте для шифрования, который оказался достаточно эффективным для использования на персональном компьютере средних размеров.

К лету 1991 года Циммерман уже готов был придать PGP законченный вид. Оставались только две проблемы, причем ни одна из них не являлась технической. Одна из них — и проблема эта стояла довольно длительное время — заключалась в том, что RSA, который лежал в основе PGP, являлся запатентованным продуктом, а по патентному законодательству, перед тем как выпустить PGP, Циммерману требовалось получить лицензию у компании RSA Дата Секью-рити Инк. Однако Циммерман решил пока отложить эту проблему. PGP задумывалась не как программа для предприятий и компаний, а скорее как программа для отдельных людей. Он полагал, что не станет непосредственно конкурировать с RSA Дата Секьюрити Инк., и надеялся, что компания без задержки предоставит ему свободную лицензию.

Более серьезной и требующей немедленного разрешения проблемой был законопроект по борьбе с преступностью сената США от 1991 года, в котором содержался следующий пункт: «Конгресс считает, что поставщики услуг электронных средств связи и производители оборудования электронных средств связи должны обеспечить, чтобы системы связи позволяли правительству получать содержание открытого текста при осуществлении связи по телефонной и радиотелефонной линиям, при передаче данных и при использовании других средств коммуникации, когда, соответственно, это разрешено законодательно».

Сенат был обеспокоен тем, что развитие цифровой техники, к примеру, появление сотовых телефонов, может лишить возможности сотрудникам правоприменяющих органов вести прослушивание телефонных разговоров. Однако этот законопроект, помимо того, что вынуждал компании обеспечивать возможность прослушивания, похоже, представлял угрозу для всех видов криптостойкого шифрования.

Объединенными усилиями RSA Дата Секьюрити Инк., индустрии услуг связи и групп, выступающих за гражданские свободы, данный пункт пришлось снять, но по единодушному мнению, это явилось только временной отсрочкой. Циммерман опасался, что рано или поздно, но правительство снова попытается внести данный проект на рассмотрение, который фактически поставил бы шифрование и, в частности, PGP вне закона. Он всегда предполагал заняться продажей PGP, но теперь он изменил свое решение. Чем ждать и рисковать, что PGP будет запрещено правительством, он решил, что важнее, пока не станет слишком поздно, сделать ее доступной для всех. В июне 1991 года он предпринял решительный шаг и попросил своего друга разместить PGP на электронной доске объявлений Usenet. PGP — это всего-навсего программный продукт, так что его мог свободно и бесплатно переписать с доски объявлений любой желающий. Так PGP попал в Интернет.

Вначале PGP произвела ажиотаж только среди страстных поклонников криптографии. Следом ее переписали себе более широкие слои энтузиастов Интернета. Потом компьютерные журналы дали сначала краткую информацию, а затем статьи на целые страницы, посвященные феномену PGP. Постепенно PGP стала проникать во все более и более удаленные уголки интернет-сообщества. К примеру, во всем мире группы по защите прав человека стали использовать PGP для зашифровывания своих документов, чтобы не допустить попадания информации в руки режимов, которые обвинялись в нарушениях этих прав. Циммерман стал получать электронные письма, восхваляющие его за то, что он создал. «В Бирме есть группы сопротивления, — говорит Циммерман, — которые пользуются ею в учебных лагерях, расположенных в джунглях. Они сообщали, что она им очень помогла укрепить боевой дух, потому что до того, как стала применяться PGP, захваченные документы приводили к арестам, пыткам и казням целых семей». В 1991 году, в день, когда Борис Ельцин обстреливал здание московского Парламента, Циммерман получил это электронное письмо от кого-то через Латвию: «Фил, я хочу, чтобы вы знали, — надеюсь, этого никогда не случится, но, если диктатура захватит власть в России, ваша PGP широко разошлась от Балтики до Дальнего Востока и, если нужно, поможет демократам. Благодарю».

В то время как по всему миру росло число поклонников Циммермана, у себя дома, в Америке, он стал предметом критики. Компания RSA Дата Секыорити Инк. пришла в ярость, что права на ее патент были нарушены, и решила не предоставлять Циммерман свободную лицензию. Несмотря на то что Циммерман выпустил PGP как freeware, но в ней содержалась система шифрования с открытым ключом RSA, и из-за этого RSA Дата Секыорити Инк. назвала PGP — banditware[30]. Циммерман отдал нечто такое, что принадлежало другому. Спор по поводу патента продолжался несколько лет, а за это время Циммерман столкнулся с еще большей проблемой.

В феврале 1993 года Циммерману нанесли визит два государственных следователя. После первых вопросов о нарушении патентного права они стали задавать вопросы в связи с гораздо более серьезным обвинением в незаконном вывозе оружия. Так как правительство США определило программные продукты для шифрования как вооружение — наряду с ракетами, минометами и пулеметами, PGP не могла экспортироваться без разрешения государственного департамента. Другими словами, Циммерман обвинялся в том, что является торговцем оружием, поскольку экспортировал PGP через Интернет. На следующие три года Циммерман стал объектом расследования Большого Жюри и преследования со стороны ФБР.

Шифрование для масс … Или нет?

Расследование в отношении Фила Циммермана и PGP вызвало споры о положительных и отрицательных сторонах шифрования в информационный век. Распространение PGP заставило криптографов, политиков, борцов за гражданские права и сотрудников правоприменяющих органов серьезно задуматься о последствиях широкого применения шифрования. Были такие, кто, как и Циммерман, верили, что широкое применение криптостойкого шифрования окажется благом для общества, гарантируя всем конфиденциальность при использовании цифровых средств связи. Против них выступали те, кто считал, что шифрование представляет угрозу обществу, потому что преступники и террористы смогут осуществлять связь тайно, недоступно для прослушивания полицией.

Споры длились на протяжении всех 90-х годов, и по сей день эта проблема столь же неоднозначна, как и раньше. Основной вопрос заключается в том, должны ли правительства запрещать криптографию законодательным порядком, или нет. Криптографическая свобода позволит всем, в том числе и преступникам, быть уверенными, что их электронные письма защищены от прочтения. С другой стороны, ограничение в использовании криптографии даст возможность полиции следить за преступниками, но оно же позволит ей и всем остальным заинтересованным службам следить и за рядовыми гражданами. В конечном счете это нам предстоит решать — через правительства, которые мы избираем, — будущую роль криптографии. В этом разделе в общих чертах излагаются позиции обеих сторон в данном споре. Большая часть обсуждения отводится политическим принципам и тем, кто определяет и формирует политику в Америке, отчасти потому, что PGP, вокруг которой ведется столько дебатов, появилась именно здесь, а отчасти поскольку какую бы политику ни приняли в Америке, она в конечном итоге будет оказывать влияние на политику на всем земном шаре.

Доводы против широкого использования шифрования, которыми аргументируют сотрудники правоприменяющих органов, заключаются в желании сохранить статус-кво. Десятилетиями полиция во всем мире проводила узаконенное прослушивание телефонных переговоров, чтобы схватить преступников. Так, в Америке в 1918 году прослушивание телефонных переговоров применялось в качестве меры противодействия военным шпионам, а в 20-е годы оно оказалось исключительно эффективным для вынесения приговоров бутлегерам. Точка зрения, что прослушивание телефонных переговоров являлось необходимым инструментом обеспечения правопорядка, утвердилась в конце 60-х, когда ФБР осознала, что организованная преступность превратилась в растущую угрозу нации. Полицейские испытывали огромные сложности при вынесении приговоров подозреваемым, так как гангстеры угрожали всем, кто мог бы дать против них показания, а кроме того, существовал еще и кодекс молчания, или омерта. Полиция полагала, что единственная надежда для нее — это получить доказательства путем прослушивания телефонных переговоров, и Верховный Суд благожелательно отнесся к этому аргументу. В 1967 году он постановил, что полиция может заниматься прослушиванием телефонных переговоров до тех пор, пока у нее есть предварительно полученное решение суда.

И через двадцать лет ФБР по-прежнему уверяет, что «прослушивание телефонных переговоров по распоряжению суда является единственным, наиболее эффективным средством расследования, применяемым органами правопорядка для борьбы с запрещенными наркотиками, терроризмом, тяжкими преступлениями, шпионажем и организованной преступностью». Однако прослушивание телефонных переговоров полицией окажется бесполезным, если преступники получат доступ к шифрованию. Телефонный звонок через линию цифровой связи будет ничем иным, как потоком чисел, и может быть зашифрован тем же способом, которым зашифровываются электронные письма. К примеру, PGP является одним из нескольких продуктов, способных шифровать телефонные разговоры по Интернету.

Сотрудники правоприменяющих органов доказывают, что эффективное прослушивание телефонных переговоров необходимо для поддержания закона и порядка и что шифрование должно быть ограничено, чтобы они могли и дальше продолжать перехватывать сообщения.

В руки полиции уже попадались преступники, использующие, для того, чтобы обезопасить себя, стойкое шифрование. Немецкий эксперт по правовым вопросам говорил, что «вопросы в таких видах криминального бизнеса, как торговля оружием и наркотиками, больше не решаются по телефону, но улаживаются в зашифрованном виде по всемирной сети передачи данных». Один из сотрудников администрации Белого дома указывал на подобную, вызывающую беспокойство тенденцию и в Америке, заявив, что «членами организованных преступных группировок являются некоторые из наиболее опытных пользователей компьютерных систем и криптостойкого шифрования». Так, наркокартель, базирующийся в г. Кали (Колумбия) организовывал свои сделки с наркотиками посредством зашифрованной связи. Сотрудники полиции опасаются, что Интернет в сочетании с криптографией поможет преступникам осуществлять связь и координировать свои усилия; особенно их беспокоят так называемые «Четыре всадника Инфокалипсиса»: торговцы наркотиками, организованная преступность, террористы и педофилы, то есть те группы, которые получат от шифрования наибольшую пользу.

Наряду с шифрованием связи преступники и террористы зашифровывают также свои планы и учетные документы, препятствуя получению доказательств. Оказалось, что секта Аум Синрикё, ответственная за газовую атаку в токийском метро в 1995 году, некоторые из своих документов зашифровывала с использованием RSA. Рамзи Юсеф, один из террористов, организовавший взрыв бомбы во Всемирном торговом центре, хранил планы будущих террористических актов зашифрованными на своем портативном компьютере. Помимо международных террористических организаций, от шифрования получат также пользу многочисленные заурядные преступники. Так, один из синдикатов в Америке, занимающийся незаконными азартными играми, зашифровал свои отчеты за четыре года. Исследование, проведенное Дороти Деннинг и Уильямом Боу, порученное им в 1997 году рабочей группой по организованной преступности Национального центра стратегической информации США, показало, что в мире было совершено пятьсот преступлений, связанных с шифрованием, и был дан прогноз, что ориентировочно их количество будет ежегодно удваиваться.

Но помимо внутренней политики существуют также вопросы национальной безопасности. Американское Агентство национальной безопасности отвечает за сбор разведывательных данных по врагам государства путем дешифрования их сообщений. АН Б использует глобальную систему станций перехвата совместно с Великобританией, Австралией, Канадой и Новой Зеландией, которые также осуществляют сбор и обмениваются информацией. В систему входят такие центры, как база радиоэлектронной разведки в Менвис Хилле в Йоркшире, крупнейшая в мире шпионская станция. Часть работы в Менвис Хилле заключается в использовании системы «Эшелон», которая способна осуществлять сканирование электронных писем, факсов, телексов и телефонных звонков в поиске определенных слов.

«Эшелон» работает в соответствии со словарем подозрительных слов, таких как «Хезболлах», «террорист» и «Клинтон», и эта система достаточно быстрая, чтобы распознать эти слова в реальном времени. «Эшелон» может помечать вызывающие сомнения сообщения для дальнейшей проверки, позволяя следить за сообщениями конкретных политических группировок или террористических организаций. Однако «Эшелон» окажется бесполезным, если все сообщения станут зашифрованными. Все участвующие в «Эшелоне» государства потеряют важную разведывательную информацию о политических интригах и террористических атаках.

По другую сторону спора находятся борцы за гражданские права, в том числе такие группы, как Центр демократии и технологии, а также Фонд электронных границ[31]. Аргументация в поддержку шифрования основывается на убежденности, что частная жизнь является основным правом человека, как указано в статье 12 Всеобщей декларации прав человека: «Никто не может подвергаться произвольному вмешательству в его личную и семейную жизнь, произвольным посягательствам на неприкосновенность его жилища, тайну его корреспонденции или на его честь и репутацию. Каждый человек имеет право на защиту закона от такого вмешательства или таких посягательств».

Борцы за гражданские права доказывают, что широкое применение шифрования является важнейшим фактором, гарантирующим право на личную жизнь. Они опасаются, что в противном случае появление цифровой техники, значительно упрощающей ведение слежки, возвестит наступление новой эры прослушивания телефонов и неминуемо связанных с этим злоупотреблений. Правительства в прошлом неоднократно пользовались своей властью, чтобы осуществлять прослушивание телефонных разговоров законопослушных граждан. Президенты Линдон Джонсон и Ричард Никсон были виновны в необоснованном прослушивании телефонных разговоров, а президент Джон Ф. Кеннеди санкционировал их прослушивание в первый же месяц своего президентства. При подготовке законопроекта, касающегося импорта сахара из Доминиканской республики, Кеннеди потребовал подключить подслушивающие устройства к телефонам нескольких конгрессменов. Его оправдывало, по-видимому, обоснованное беспокойство о национальной безопасности и вера, что те берут взятки. Однако никаких доказательств взяточничества получено не было, а прослушивание телефонных разговоров просто-напросто дало Кеннеди ценную политическую информацию, которая помогла администрации провести данный законопроект.

Одним из самых известных случаев связан с Мартином Лютером Кингом-младшим, чьи телефонные разговоры неправомерно прослушивались в течение нескольких лет. Так, в 1963 году ФБР получило информацию на Кинга путем прослушивания телефонных переговоров и предоставило ее сенатору Джеймсу Истланду, чтобы помочь ему в дебатах по законопроекту о гражданских правах. По большей части ФБР собирало подробности о личной жизни Кинга, которые использовались для его дискредитации. Записи о Кинге, рассказывающем скабрезные истории, были посланы его жене и воспроизведены перед президентом Джонсоном. А после того, как Кингу была присуждена Нобелевская премия мира, обескураживающие подробности о жизни Кинга были переданы во все организации, которые, как считалось, поддержали его награждение.

Другие правительства не меньше виновны в злоупотреблениях при прослушивании телефонных разговоров. По оценке Commission Nationale de Controle des Interceptions de Securite ежегодно во Франции осуществляется примерно 100 000 незаконных прослушиваний телефонов. Видимо, самым значительным посягательством на частную жизнь всех людей является межународная программа «Эшелон». «Эшелон» не обязана обосновывать свои перехваты, и целью ее не являются определенные лица. Напротив, она собирает информацию, невзирая на лица и не делая никаких исключений, используя для этого приемники, которые определяют осуществление передачи данных по спутниковым каналам. Если Алиса посылает безобидное трансатлантическое сообщение Бобу, то оно, без сомнения, будет перехвачено «Эшелоном», если же вдруг в сообщении окажется несколько слов, входящих в словарь «Эшелона», оно будет помечено, как требующее дальнейшей проверки, наряду с сообщениями от экстремистских политических группировок и террористических организаций. Несмотря на то что сотрудники правоприменяющих органов доказывают, что шифрование должно быть запрещено, ибо оно сделает «Эшелон» неэффективным, борцы за гражданские права заявляют, что шифрование точно необходимо и именно потому, что оно сделает «Эшелон» неэффективным.

Когда сотрудники правоприменяющих органов доказывают, что криптостойкое шифрование уменьшит количество осужденных преступников, борцы за гражданские права отвечают, что вопрос частной жизни гораздо важнее. В любом случае, как утверждают борцы за гражданские права, шифрование не станет непреодолимым препятствием для органов правопорядка, поскольку в большинстве случаев прослушивание телефонных разговоров не является решающим. К примеру, в Америке в 1994 году осуществлялось порядка тысячи санкционированных судом прослушиваний телефонов, — сравните это с четвертью миллионов федеральных дел.

Не удивительно, что среди сторонников криптографической свободы есть несколько изобретателей шифрования с открытым ключом. Уитфилд Диффи заявляет, что чуть ли не впервые в истории граждане получили возможность полностью сохранять в тайне свою частную жизнь:

В 90-х годах восемнадцатого века, когда был ратифицирован билль о правах, любые два человека могли вести секретную беседу — с определенностью можно сказать, что ни у кого в мире сегодня нет такой возможности, — пройдя несколько метров по дороге и осмотревшись, чтобы убедиться, что никто не прячется в кустах. Не было никаких записывающих устройств, параболических микрофонов или лазерных интерферометров, отражающихся стеклами их очков. Обратите внимание, что цивилизация выжила. Многие из нас расценивают тот период, как золотой век в американской политической культуре.

Рон Ривест, один из тех, кто придумал RSA, полагает, что ограничение криптографии окажется безрассудством:

Плохо без разбора запрещать технологию только потому, что некоторые преступники могут использовать ее в своих целях. Так, любой гражданин США может свободно купить пару перчаток, даже при том, что ими мог бы воспользоваться грабитель, чтобы очистить дом, не оставив отпечатков пальцев. Криптография — это средство для защиты данных, точно так же, как перчатки — средство для защиты рук. Криптография защищает данные от хакеров, корпоративных шпионов и мошенников, в то время как перчатки предохраняют руки от порезов, царапин, жары, холода, инфекции. Первая может воспрепятствовать ФБР прослушивать телефонные разговоры, а вторые — помешают ФБР найти отпечатки пальцев. И криптография, и перчатки — они дешевле пареной репы и есть везде. В действительности вы можете переписать хорошую криптографическую программу из Интернета за цену меньшую, чем стоимость пары хороших перчаток.

Возможно, что самыми большими сторонниками дела борцов за гражданские права являются крупные корпорации. Электронная коммерция еще только зарождается, но продажи растут как на дрожжах; здесь ведущую роль играют продавцы книг, музыкальных компакт-дисков и программного обеспечения для компьютеров, а вслед за ними движутся супермаркеты, туристические фирмы и компании с другими видами деятельности. В 1998 году миллион англичан через Интернет купили продукции на 400 миллионов фунтов стерлингов, а в 1999 — в четыре раза больше. Всего лишь через несколько лет электронная коммерция может стать доминирующей на рынке, но только если предприятия и компании смогут решить вопросы безопасности и доверия. Бизнес должен быть способен гарантировать конфиденциальность и безопасность финансовых сделок, и единственным способом этого является использование криптостойкого шифрования.

В настоящий момент безопасность покупки через Интернет может гарантировать криптография с открытым ключом. Алиса заходит на страницу компании в Интернете и выбирает, что ей нужно. Затем она заполняет бланк заказа, в котором требуется сообщить ее имя, адрес и данные кредитной карточки. Чтобы зашифровать бланк заказа, Алиса использует открытый ключ компании. Зашифрованный бланк заказа пересылается в компанию, которая единственная может расшифровать ее, так как только у них есть секретный ключ, требующийся для расшифровки. Все это выполняется автоматически Алисиным веб-браузером (например, Netscape или Explorer) во взаимодействии с компьютером данной компании.

Как обычно, надежность шифрования зависит от размера ключа. В Америке нет ограничений на его размер, но компаниям США, занимающимся разработкой программного обеспечения, до сих пор не позволяют экспортировать продукцию, позволяющую осуществлять стойкое шифрование.

Так что браузеры, поставляемые в остальной мир, могут работать только с ключами небольшого размера, обеспечивая тем самым только среднюю безопасность. То есть, если Алиса находится в Лондоне и покупает книгу у компании в Чикаго, ее сделка через Интернет в миллион миллион миллионов раз менее надежна по сравнению с Бобом, который, находясь к Нью-Йорке, покупает книгу у той же компании. Сделка Боба абсолютно надежна, поскольку его браузер поддерживает шифрование с большим размером ключа, в то время как сделка Алисы может быть расшифрована полным решимости сделать это злоумышленником. К счастью, стоимость оборудования, необходимого для того, чтобы определить данные кредитной карточки Алисы, намного превышает обычную сумму денег на кредитной карточке, так что такая атака экономически нецелесообразна. Однако по мере возрастания денежных сумм, проходящих через Интернет, злоумышленникам со временем станет выгодным дешифровать данные кредитных карточек. Короче говоря, чтобы электронная коммерция процветала, потребители во всем мире должны обладать надлежащей безопасностью, а бизнес не должен допускать использования ущербного шифрования.

Бизнесу требуется криптостойкое шифрование еще по одной причине. Корпорации хранят огромное количество информации, в том числе описание продукции, данные о клиентах и бухгалтерские счета, в базах данных на компьютере. Естественно, что корпорации хотят защитить эту информацию от хакеров, которые могут проникнуть в компьютер и выкрасть эту информацию. Такая защита может быть обеспечена зашифровыванием хранимой информации с тем, чтобы она была доступной только работникам, имеющим ключ для дешифровывания.

Подведем итог. Очевидно, что спор ведется между двумя лагерями: борцы за гражданские права и компании выступают за криптостойкое шифрование, в то время как сотрудники правоприменяющих органов высказываются в пользу строгих ограничений. В целом, общественное мнение, на которое повлияли благожелательные средства массовой информации и пара голливудских фильмов, поддерживает альянс, выступающий за шифрование. В начале 1998 года в фильме «Меркурий в опасности» была рассказана история о новом шифре АНБ, который, как полагали, взломать было невозможно, но который был непреднамеренно раскрыт девятилетним, умственно неполноценным, хотя и гениальным в отдельных областях мальчиком. Агент АНБ, чью роль сыграл Алек Болдуин, намеревается убить ребенка, воспринимаемого им в качестве угрозы национальной безопасности. По счастью у мальчика есть защитник, Брюс Уиллис, который спасает его. В том же 1998 году Голливуд выпустил фильм «Враг государства», где речь шла о заговоре АНБ с целью убийства политика, ратующего за стойкое шифрование. Политик убит, но в конечном итоге адвокат, которого сыграл Уилл Смит, и бунтарь из АНБ, сыгранный Джином Хэкманом, отдали убийц из АНБ в руки правосудия.

В обоих фильмах АНБ изображается более зловещей, чем ЦРУ, и во многом АНБ унаследовала роль этого ведомства, несущего угрозу. В то время как лобби, выступающее за шифрование, приводит доводы в пользу криптографической свободы, а выступающее против шифрования отстаивает криптографические ограничения, есть и третий вариант, который может обеспечить компромисс. За последнее десятилетие криптографы и лица, определяющие политику, изучили все за и против схемы, известной как депонирование ключей.  Термин «депонирование» обычно относится к договоренности, когда один человек передает некую сумму денег третьему лицу, а тот может при определенных условиях передать деньги второму человеку. Например, арендатор может вручить залог адвокату, который передаст его домовладельцу в случае повреждения его собственности. С точки зрения криптографии, «депонирование» означает, что Алиса передаст копию своего секретного ключа эскроу-агенту, независимому и надежному посреднику, которому дано право передать секретный ключ в полицию при наличии весомых доказательств, что Алиса вовлечена в преступную деятельность.

Самым известным примером криптографического депонирования ключей был американский стандарт шифрования с депонированием ключей, принятый в 1994 году. Целью было внедрение двух систем шифрования, названных «Клиппер» и «Кэпстоун», и предназначенных для применения соответственно в телефонной и компьютерной связи. Чтобы воспользоваться шифрованием с помощью «Клиппера», Алиса покупает телефон с заранее установленной в нем микросхемой, в которой содержится информация о ее секретном ключе. В момент покупки телефона с микросхемой «Клиппер» копия секретного ключа в микросхеме разделяется на две половинки, каждая из которых будет послана в два независимых федеральных ведомства на хранение. Правительство США утверждает, что у Алисы будет иметься доступ к криптостойкому шифрованию, а ее приватность будет нарушена, только если сотрудники правоприменяющих органов смогут убедить оба федеральных ведомства в необходимости получения ее депонированного секретного ключа.

Правительство США использовало «Клиппер» и «Кэпстоун» для своих собственных средств коммуникации и вменило в обязанность для компаний, принимающих участие в работах по государственному заказу, внедрить американский стандарт шифрования с депонированием ключей. Другие компании и частные лица были вольны пользоваться любыми видами шифрования, но правительство надеялось, что со временем наиболее предпочитаемыми в государственном масштабе станут «Клиппер» и «Кэпстоун». Однако надежды не оправдались. Идея депонирования ключей заполучила всего несколько сторонников вне правительства. Борцам за гражданские права не нравилась идея федеральных ведомств, владеющих ключами каждого; проводя аналогию с настоящими ключами, они спрашивали, как бы чувствовали себя люди, если бы у правительства имелись ключи ото всех наших домов.

Эксперты в криптографии указывали, что всего лишь один недобросовестный или нечестный сотрудник может нанести вред всей системе, продавая депонированные ключи покупателю, который предложит за них самую высокую цену. Конфиденциальностью были озабочены и компании. К примеру, европейские компании в Америке опасались, что их сообщения перехватывались американскими должностными лицами в попытке выведать секреты, которые могли бы дать американским соперникам преимущество в конкурентной борьбе.

Несмотря на провал «Клиппера» и «Кэпстоуна», многие правительства по-прежнему убеждены, что депонированием ключей можно пользоваться, пока ключи достаточно хорошо защищены от злоумышленников и пока есть гарантии, что эта система закрыта для злоупотреблений со стороны правительства. В 1996 году Луис Дж. Фри, директор ФБР, заявил: «Органы правопорядка полностью поддерживают сбалансированную политику шифрования… Депонирование ключей — это едва ли не единственное решение; это, к тому же, исключительно хорошее решение, поскольку оно фактически обеспечивает решение основных социальных вопросов, в том числе конфиденциальности, информационной безопасности, электронной коммерции, общественной и национальной безопасности.» Хотя правительство США отказалось от своих предложений депонирования, многие подозревают, что какое-то время спустя оно вновь попытается ввести альтернативную форму депонирования ключей. Оказавшись свидетелем неудачи добровольного депонирования ключей, правительства могут даже подумывать об обязательном их депонировании. А тем временем сторонники шифрования продолжают выступать против депонирования ключей. Технический журналист Кеннет Нейл Кьюкер писал, что, «все те, кто принимает участие в дебатах по вопросам криптологии, умны, честны и выступают в защиту депонирования, но никто из них не обладает одновременно более чем двумя этими качествами».

Имеются и другие возможности, которыми могут воспользоваться правительства, чтобы постараться учесть интересы борцов за гражданские права, бизнеса и органов правопорядка. Пока не ясно, какая окажется наиболее предпочтительной, поскольку в настоящее время политика в отношении криптографии все время меняется. На ход дискуссии о шифровании оказывали влияние постоянно происходящие в мире события. В ноябре 1998 года королева в своей речи[32] объявила о готовящемся законопроекте Великобритании, касающемся электронного рынка. В декабре 1998 года 33 государства подписали Вассенаарское соглашение, ограничивающее экспорт вооружений, в которое также вошли криптостойкие технологии шифрования. В январе 1999 года Франция отменила свои анти-криптографические законы, которые прежде были самыми жесткими в Западной Европе, возможно, как результат давления со стороны деловых кругов. В марте 1999 года Британское правительство выпустило консультативный документ по предложенному законопроекту об электронной коммерции.

К тому времени, как вы будете читать эту книгу, в дебатах о криптографической политике произойдет еще несколько неожиданных поворотов и зигзагов. Однако один аспект будущей политики шифрования представляется бесспорным: необходимость в органах по сертификации. Если Алиса захочет послать зашифрованное электронное письмо своему новому другу Заку, ей понадобится его открытый ключ. Она может попросить Зака выслать ей свой открытый ключ по почте. К сожалению, в этом случае существует опасность, что Ева перехватит письмо Зака Алисе и уничтожит его, а взамен подготовит новое, в котором вместо ключа Зака будет на самом деле содержаться ее собственный открытый ключ. После этого Алиса сможет послать Заку нежное письмо по электронной почте, но ей и невдомек, что она зашифровала его открытым ключом Евы. Если Ева сумеет перехватить это электронное письмо, для нее не составит труда расшифровать и прочитать его. Другими словами, одна из проблем, связанных с шифрованием с открытым ключом, — это необходимость быть уверенным в том, что у вас имеется подлинный открытый ключ именно того человека, с которым вы хотите переписываться. Органы по сертификации как раз и являются организациями, которые должны будут удостоверять, что данный открытый ключ действительно принадлежит данному конкретному человеку. Орган по сертификации может потребовать личной встречи с Заком, чтобы убедиться, что они правильно внесли в каталог его открытый ключ. Если Алиса доверяет органу по сертификации, она может получить там открытый ключ Зака и быть уверенной, что этот ключ действительно Зака.

Я уже объяснял, как Алиса могла бы, ничего не опасаясь, покупать товары через Интернет с помощью открытого ключа компании, применяемого для того, чтобы зашифровать бланк заказа. Фактически она бы сделала это, только если подлинность открытого ключа подтверждена органом по сертификации. В 1998 году ведущей в области сертификации была компания Верисигн, оборот которой всего лишь за четыре года вырос до 30 миллионов долларов. Помимо обеспечения надежного шифрования путем сертифицирования открытых ключей, органы по сертификации могут также гарантировать подтверждение подлинности цифровых подписей. В 1998 году ирландская компания Балтимор Текнолоджис осуществила аутентификацию цифровых подписей президента Билла Клинтона и премьер-министра Берти Ахерна. Это дало возможность обоим лидерам скрепить в Дублине цифровой подписью коммюнике.

Органы по сертификации никоим образом не угрожают безопасности. Они просто попросят Зака предъявить свой открытый ключ с тем, чтобы подтвердить его подлинность для тех людей, кто захотел бы послать ему зашифрованные сообщения. Существуют, однако, и другие компании, называемые доверенными третьими сторонами (ДТС), предоставляющие более спорную услугу, известную как восстановление ключа. Представьте себе легально действующую компанию, которая защищает все свои жизненно важные документы путем зашифровывания их своим открытым ключом, так что только она одна и может расшифровать их своим секретным ключом. Такая система является эффективным способом защиты от хакеров и любых других лиц, кто мог бы попытаться выкрасть информацию. Но что произойдет, если ответственный за хранение секретного ключа сотрудник забудет его, скроется вместе с ним или же его собьет автобус? Правительства содействуют появлению ДТС в целях хранения копий всех ключей. Компания, которая потеряет свой секретный ключ, сможет восстановить его, обратившись в ДТС.

Доверенные третьи стороны являются спорными, так как они будут иметь доступ к секретным ключам людей, и тем самым у них будет возможность читать сообщения своих клиентов. Эти ДТС должны быть заслуживающими доверия и благонадежными, иначе неминуемы злоупотребления. Некоторые утверждают, что ДТС являются фактически реинкарнацией депонирования ключей и что у сотрудников правоприменяющих органов возникнет соблазн заставить ДТС выдать им ключи своих клиентов во время проведения полицейского расследования. Другие считают, что ДТС являются необходимым элементом инфраструктуры с открытым ключом.

Никто не может предугадать, какую роль ДТС будут играть в будущем, и никто не может с уверенностью предсказать политику в отношении криптографии через десять лет. Впрочем, я полагаю, что в ближайшем будущем первоначально победят в споре сторонники шифрования, главным образом потому, что ни одна страна не захочет иметь законы, направленные против шифрования, которые препятствовали бы электронной коммерции. Однако, окажись такая политика ошибочной, — всегда возможно поменять законы. Если бы случилась серия террористических злодеяний и сотрудники правоохранительных органов смогли бы доказать, что прослушивание телефонных переговоров предотвратило бы их, то в правительствах быстро бы снискала симпатию политика депонирования ключей. Всех, кто пользуется стойким шифрованием, заставили бы депонировать свои ключи у эскроу-агента, и, соответственно, любой, кто отправит зашифрованное сообщение с недепонированным ключом, окажется нарушителем закона. Если наказание за шифрование с недепонированным ключом будет достаточно суровым, сотрудники правоприменяющих органов смогут вновь обрести контроль. Позднее, если правительства злоупотребят доверием, касающимся системы депонирования ключей, общество потребует возврата к криптографической свободе, и маятник качнется назад. Короче говоря, нет причин, по которым мы не сможем изменить свою политику и приспособить ее к требованиям политического, экономического и общественного климата. И кого общество будет при этом бояться больше — преступников или правительства, — окажется в этом случае решающим фактором.

Реабилитация Циммермана

В 1993 году Фил Циммерман оказался объектом расследования Большого Жюри. По утверждению ФБР, он экспортировал военное снаряжение, поскольку поставлял враждебным государствам и террористам программные средства, в которых те нуждались, чтобы обойти полномочные органы правительства США. По мере того как тянулось расследование, все больше и больше криптографов и борцов за гражданские права стремилось поддержать Циммермана, учредив международный фонд для финансирования его юридической защиты. В то же время пришедшая к нему в результате расследования я ФБР известность способствовала росту популярности PGP, и детище Циммермана стало распространяться через Интернет еще быстрее; как-никак, эта программа шифрования оказалась настолько криптостойкой, что напугала даже федералов.

Первоначально Pretty Good Privacy выпускалась второпях, и потому программа была не настолько отшлифованной, как могла бы. Но вскоре стали раздаваться настойчивые требования доработать PGP, хотя было ясно, что продолжать работать над программой Циммерман не в состоянии. Вместо него за модернизацию PGP взялись специалисты по разработке программного обеспечения в Европе. Вообще говоря, отношение европейцев к шифрованию было — да и остается по сей день — более либеральным, и не возникало никаких ограничений по распространению европейской версии PGP по всему миру. К тому же спор о патенте RSA в Европе не возникал, поскольку патенты RSA за пределами Америки не заявлялись.

И три года спустя после начала расследования Большим Жюри Циммерман все еще не был привлечен к суду. Случай оказался запутанным из-за характера самой PGP и способа, которым она распространялась. Если бы Циммерман установил PGP в каком-нибудь компьютере, а затем отправил бы его в страну с враждебным режимом, то доказательства против него были бы просты, так как ясно, что он был бы виновен в экспортировании работоспособной системы шифрования. Если бы он отправил диск, содержащий программу PGP, то этот физический объект мог бы рассматриваться как криптографическое устройство, и опять-таки доказательства против Циммермана были бы вполне весомыми. С другой стороны, если бы он распечатал компьютерную программу и экспортировал ее в виде книги, никаких аргументов против него уже нельзя было бы выдвинуть, поскольку в этом случае считалось бы, что он экспортирует знания, а не криптографическое устройство. Однако напечатанная документация может быть легко отсканирована, а информация введена прямо в компьютер, что означает, что книга столь же опасна, как и диск. В действительности же Циммерман передал копию PGP «другу», который всего лишь установил ее на американском компьютере, а тот, так уж случилось, оказался подключенным к Интернету. После чего враждебный режим вполне мог переписать ее. Так был ли Циммерман действительно виновен в экспортировании PGP? Даже сегодня продолжаются споры по правовым вопросам, относящимся к Интернету. А уж в начале 90-х годов ситуация была вообще неясна.

В 1996 году, после трехлетнего расследования, Генеральная прокуратура США сняла свои обвинения против Циммермана. ФБР поняла, что стало уже слишком поздно: PGP попала в Интернет, и преследованием Циммермана в судебном порядке ничего не добиться. Существовала и еще одна проблема, заключающаяся в том, что Циммермана поддерживало большинство институтов, таких как например, издательство Массачусетского технологического института, которое опубликовало 600-страничную книгу, посвященную PGP. Эта книга разошлась по всему миру, а посему обвинение Циммермана означало бы обвинение и издательства МТИ. ФБР отказалось от судебного преследования еще и потому, что существовала немалая возможность того, что Циммерман будет признан невиновным. Судебным разбирательством ФБР не смогло бы добиться ничего, кроме как конституционных дебатов о праве на неприкосновенность частной жизни, вызывая тем самым еще большую симпатию общества в пользу широкого распространения шифрования.

Исчезла также и другая основная проблема Циммермана. Он, в конце концов, достиг соглашения с RSA и получил лицензию, которая разрешила вопрос с патентом. Наконец-то PGP стала легальным продуктом, а Циммерман — свободным человеком. Расследование превратило его в крестоносца от криптографии, и все менеджеры по маркетингу в мире, должно быть, завидовали известности и бесплатной рекламе, выпавшим по воле случая PGP. В конце 1997 года Циммерман продал PGP компании Нетворк Ассошиэйтс и стал в ней одним из старших сотрудников. Хотя PGP не продавалась предприятиям и компаниям, она по-прежнему доступна для всех, кто не намерен использовать ее для каких бы то ни было коммерческих целей. Другими словами, те, кто стремится просто воспользоваться своим правом на неприкосновенность частной жизни, сможет, как и раньше, бесплатно переписать PGP из Интернета.

Если вы хотите получить копию PGP, в Интернете имеется множество сайтов с этой программой, и вы без труда найдете их. Самый, пожалуй, надежный источник находится по адресу http://www.pgpi.com/ — это начальная страница International PGP, откуда вы сможете переписать американскую и международную версии PGP. Здесь я хотел бы снять с себя всякую ответственность. Если решите установить у себя PGP, вам самому необходимо проверить, может ли она работать на вашем компьютере, не заражено ли программное обеспечение вирусом и так далее. Вам также следует удостовериться, что вы находитесь в стране, где разрешено использование криптостойкого шифрования. Наконец, вам необходимо убедиться, что вы переписываете соответствующую версию PGP; лицам, живущим за пределами Америки, не следует переписывать американскую версию PGP, потому что этим будут нарушены американские экспортные законы. Международная же версия PGP от экспортных ограничений свободна.

Я все еще помню тот воскресный полдень, когда я впервые переписал копию PGP из Интернета. С того самого момента я застрахован от того, что мои электронные письма будут перехвачены и прочитаны, потому что теперь я могу зашифровать важную информацию для Алисы, Боба и для всех, у кого есть программа PGP. Мой портативный компьютер и программа PGP дают мне такую криптостойкость, которая не по зубам совместным усилиям всех дешифровальных ведомств мира.

8 Квантовый прыжок в будущее

На протяжении двух тысячелетий создатели шифров прикладывали все усилия, чтобы сохранить секреты, дешифровальщики же старались сделать все возможное, чтобы их раскрыть. Между ними всегда шло острое соперничество: дешифровальщики отступали, когда шифровальщики чувствовали себя хозяевами положения, а создатели шифров, в свою очередь, придумывали новые, более стойкие виды шифрования, когда предыдущие оказывались скомпрометированными. Открытие криптографии с открытым ключом и политические споры, ведущиеся вокруг использования стойкой криптографии, приводят нас к сегодняшнему дню, и не вызывает сомнений, что в информационной войне побеждают криптографы. По словам Фила Циммермана, мы живем в «золотом веке» криптографии: «Сейчас в современной криптографии можно создать такие шифры, которые будут совершенно недоступны всем известным видам криптоанализа. И я полагаю, что так будет и впредь». Точку зрения Циммермана разделяет Уильям Кроуэлл, заместитель директора Агентства национальной безопасности: «Если все персональные компьютеры мира, а их примерно 260 миллионов, заставить работать над единственным сообщением, зашифрованным PGP, то для его дешифрования потребовалось бы в среднем время в 12 миллионов раз превышающее возраст Вселенной».

Впрочем, из прежнего опыта нам известно, что рано или поздно, но любой так называемый «нераскрываемый» шифр не смог устоять перед криптоанализом. Шифр Виженера назывался «нераскрываемым шифром», но Бэббидж взломал его; «Энигма» считалась неуязвимой до тех пор, пока поляки не выявили ее слабости. Так что же, криптоаналитики стоят на пороге нового открытия, или же прав Циммерман? Предсказывать будущее развитие любой технологии всегда рискованно, но когда дело касается шифров, это рискованно особенно. Мало того что мы должны предугадать, какие открытия состоятся в будущем, мы также должны постараться отгадать, какие открытия заключены в настоящем. Повествование о Джеймсе Эллисе и ШКПС дает нам понять, что уже и сейчас могут существовать поразительные достижения, скрытые за завесой правительственной секретности.

Эта заключительная глава посвящена рассмотрению нескольких футуристических идей, которые могут повысить или погубить конфиденциальность в двадцать первом столетии. В следующем разделе обсуждается будущее криптоанализа и, в частности, одна из идей, которая смогла бы дать возможность криптоаналитикам раскрыть все сегодняшние шифры. В последнем разделе данной книги, напротив, рассказывается о самой волнующей надежде криптографии — о системе, которая может гарантировать абсолютную секретность.

Криптоанализ завтрашнего дня

Несмотря на исключительную стойкость RSA и других современных шифров, роль криптоаналитиков в сборе разведывательной информации все так же важна. Доказательством успешности их деятельности служит тот факт, что сейчас спрос на криптоаналитиков выше, чем когда бы то ни было раньше, и АНБ по-прежнему является крупнейшим в мире работодателем для математиков.

Лишь незначительное количество передаваемой по всему миру информации надежно зашифровано; остальная же ее часть либо зашифрована плохо, либо не зашифрована вовсе. Причина этого заключается в быстро растущем числе пользователей Интернета, и пока что лишь немногие из них предпринимают адекватные меры предосторожности в том, что касается обеспечения секретности. А это, в свою очередь, означает, что организации, отвечающие за национальную безопасность, сотрудники правоприменяющих органов и вообще любой любопытствующий могут заполучить в свои руки больше информации, чем допустимо.

Даже если пользователи надлежащим образом применяют шифр RSA, у дешифровальщиков по-прежнему есть масса возможностей добыть информацию из перехваченного сообщения. Дешифровальщики продолжают пользоваться старыми, добрыми методами, как, например, анализ трафика; если им и не удастся понять содержание сообщения, то они сумеют как минимум определить, кто является его отправителем и кому оно направлено, что само по себе может сказать о многом. Более современной разработкой является так называемая темпест-атака, цель которой — обнаружение электромагнитных сигналов, излучаемых электронными схемами в дисплее компьютера. Если Ева припаркует фургон на улице неподалеку от дома Алисы, она сможет воспользоваться чувствительной темпест-аппаратурой и распознать любые нажатия на клавиши, которые выполняет Алиса на своем компьютере. Это позволит Еве перехватить сообщение в тот момент, когда оно вводится в компьютер, еще до того, как оно будет зашифровано. Чтобы защититься от темпест-атак, компании производят и поставляют экранирующие материалы, которые могут использоваться для облицовки стен комнаты в целях предотвращения прохождения электромагнитных сигналов. В Америке, прежде чем купить такой экранирующий материал, следует получить разрешение у правительства, что наводит на мысль, что такие организации, как ФБР, регулярно проводят слежку и наблюдение с применением темпест-аппаратуры.

Другие виды атак заключаются в использовании вирусов и «троянских коней»[33]. Ева могла бы создать вирус, который заразит программу PGP и тайно сядет в компьютере Алисы. В тот момент, когда Алиса воспользуется своим секретным ключом для дешифррвания сообщения, вирус «проснется» и запишет этот ключ. Когда Алиса в следующий раз подключится к Интернету, вирус тайно отправит этот секретный ключ Еве, позволив ей тем самым дешифровать все сообщения, посылаемые после этого Алисе. «Троянский конь» — еще одна составленная Евой каверзная компьютерная программа, которая, на первый взгляд, действует как настоящая программа шифрования, но на самом деле обманывает пользователя. Например, Алиса считает, что переписывает подлинную копию PGP, в то время как в действительности она загружает одну из версий «троянского коня». Эта модифицированная версия выглядит точно так же, как и настоящая программа PGP, но содержит инструкции пересылать Еве копии всей расшифрованной корреспонденции Алисы. Как высказался Фил Циммерман: «Любой может модифицировать исходный код и создать имитацию программы PGP, представляющую собой лоботомированного зомби, которая хоть и выглядит как настоящая, но выполняет приказы своего дьявольского хозяина. Впоследствии эта версия PGP с «троянским конем» может получить широкое хождение, поскольку утверждается, что она якобы исходит от меня. Какое коварство! Вам следует приложить все усилия, чтобы получить свою копию PGP из надежного источника, чего бы вам этого ни стоило».

Одним из вариантов «троянского коня» является принципиально новый фрагмент программного обеспечения для шифрования, который выглядит вполне надежно, но в действительности содержит «черный ход», который иногда позволяет его разработчикам дешифровывать сообщения всех и каждого. В 1998 году в отчете Уэйна Мэдсена было обнародовано, что швейцарская криптографическая компания Крипто АГ установила «черные ходы» в некоторых из своих программных продуктов и предоставила правительству США подробные сведения о том, как пользоваться этими «черными ходами». В результате Америка оказалась способна прочесть сообщения некоторых стран. В 1991 году убийц Шахпура Бахтияра, бывшего премьер-министра Ирана, жившего в изгнании, задержали благодаря тому, что были перехвачены и дешифрованы с помощью «черного хода» иранские сообщения, зашифрованные с помощью оборудования Крипто АГ.

Несмотря на то что и анализ трафика, и темпест-атаки, и вирусы, и «троянские кони» до сих пор представляют собой полезные способы сбора разведывательной информации, криптоаналитики понимают, что их подлинной целью является поиск способа взлома шифра RSA — краеугольного камня современного шифрования. Шифр RSA используется для защиты самых важных военных, дипломатических, коммерческих и криминальных сообщений — то есть как раз тех сообщений, дешифрование которых и представляет интерес для организаций, занятых сбором разведывательной информации. Криптоаналитикам, чтобы бросить вызов стойкому шифрованию RSA, потребуется совершить крупное теоретическое открытие или значительный технологический прорыв.

Теоретическое открытие станет принципиально новым способом поиска секретного ключа Алисы. Секретный ключ Алисы состоит из чисел р и q, и они находятся путем разложения на множители открытого ключа N. Стандартный подход — поочередно проверять все простые числа, чтобы посмотреть, делится ли N на них, или нет, правда, как мы знаем, на это потребуется неоправданно много времени. Криптоаналитики пробовали отыскать способ быстрого разложения на множители — способ, который бы значительно сократил число шагов, необходимых для нахождения р и q, но до сих пор все их попытки выработать рецепт быстрого разложения на множители заканчивались неудачей. Веками математики изучали разложение на множители, но и сегодня способы разложения на множители ненамного лучше, чем античные методы. Более того, вполне может оказаться так, что существование существенного упрощения операции разложения на множители запрещается самими законами математики.

В отсутствии надежды на теоретическое открытие, криптоаналитики были вынуждены искать какое-нибудь техническое новшество. Если явного способа сократить количество действий, требующихся для разложения на множители, нет, то тогда криптоаналитикам необходим способ, с помощью которого эти действия будут выполняться гораздо быстрее. С годами кремниевые чипы будут работать все быстрее и быстрее, удваивая свою скорость примерно каждые восемнадцать месяцев, но для того, чтобы хоть как-то повлиять на скорость разложения на множители, этого недостаточно; криптоаналитикам требуются устройства, которые были бы в миллионы раз быстрее современных компьютеров. Так что криптоаналитики рассчитывают на принципиально новый вид компьютера — квантовый компьютер. Если бы ученые смогли создать квантовый компьютер, это позволило бы выполнять вычисления с такой скоростью, что современный суперкомпьютер выглядел бы по сравнению с ним сломанными счетами.

Далее в этом разделе будет обсуждаться концепция квантового компьютера, и поэтому здесь вводятся некоторые принципы квантовой физики, называемой иногда квантовой механикой. Прежде чем двигаться дальше, обратите, пожалуйста, внимание на предупреждение, которое поначалу дал Нильс Бор, один из «отцов» квантовой механики: «Тот, кто способен размышлять о квантовой механике, не испытывая при этом головокружения, не понял ее». Другими словами, приготовьтесь к встрече с несколькими довольно причудливыми идеями.

Чтобы объяснить принципы квантовых вычислений, полезно вернуться в конец восемнадцатого века к работе Томаса Юнга, английского энциклопедиста, сделавшего первый шаг в дешифровании египетской иероглифики. Юнг, член совета колледжа Эммануэль в Кембридже, частенько проводил послеобеденное время, отдыхая около пруда для уток рядом с колледжем. Как-то раз, как гласит предание, он обратил внимание на двух безмятежно плывущих бок о бок уток. Он заметил, что каждая из уток оставляла за собой на воде след в виде двух расходящихся веером волн, которые взаимодействовали друг с другом и создавали своеобразную картину, состоящую из участков, покрытых рябью, и участков со спокойной гладью воды. Когда гребень волны, идущей от одной из уток, встречался со впадиной между волнами, идущими от другой утки, в результате образовывался небольшой участок спокойной глади воды — гребень волны и впадина между волнами взаимно уничтожали друг друга. И наоборот, если в каком-то месте одновременно встречались две волны, то в результате образовывалась еще более высокая волна, если же в каком-то месте одновременно встречались две впадины, то образовывалась еще более глубокая впадина. Его это крайне заинтересовало, потому что утки напомнили ему об эксперименте, связанном с изучением природы света, который он провел в 1799 году.

В том эксперименте, как показано на рисунке 71 (а), Юнг освещал светом перегородку, в которой были две узкие вертикальные щели. На экране, расположенном на некотором расстоянии позади щелей, Юнг ожидал увидеть две светлые полоски — проекции щелей. Вместо этого он заметил, что свет от обеих щелей расходился веером, создавая на экране рисунок из нескольких светлых и темных полос. Такой рисунок в виде полос на экране озадачил его, но теперь он был уверен, что вполне смог бы дать ему объяснение, исходя из того, что он увидел на пруду для уток.

Юнг начал с предположения, что свет представляет собой волну. Но если свет, выходящий из двух щелей, ведет себя как волна, тогда эти волны ведут себя почти так же, как и волновые следы позади обеих уток. Более того, причиной появления светлых и темных полос на экране было то же самое взаимодействие, которое приводило к образованию высоких волн, глубоких впадин между волнами и участков со спокойной гладью воды. Юнг представил себе точки на экране, где встретились пик волны и впадина между волнами, что привело к их взаимному уничтожению и образованию темной полосы, и точки на экране, где встретились две волны (или две впадины), что вызвало их усиление и образование светлой полосы, как показано на рисунке 71 (b). Утки позволили Юнгу лучше понять природу света, в результате чего он опубликовал «Волновую теорию света» — нестареющий классический труд по физике.

Рис. 71 Эксперимент Юнга со щелями (вид сверху). На рисунке (а) видны световые волны, расходящиеся веером из двух щелей в перегородке, которые взаимодействуют между собой и образуют на экране рисунок в виде полос. На рисунке (b) показывается, как взаимодействуют между собой отдельные волны. Если на экране встречаются впадина между волнами и волна, то в результате образуется темная полоса. Если на экране встречаются две впадины между волнами (или две волны), то в результате образуется светлая полоса.

Сейчас нам известно, что свет действительно ведет себя как волна, но мы также знаем, что он ведет себя и как частица. То, как мы воспринимаем свет — в качестве волны или же частицы, — зависит от конкретной ситуации, и такая двойственность в поведении света называется корпускулярно-волновым дуализмом. Мы не будем далее обсуждать этот дуализм, просто укажем, что в современной физике световой пучок считается состоящим из бесчисленного множества отдельных частиц, называемых фотонами, которые и проявляют волновые свойства. При таком подходе мы можем трактовать эксперимент Юнга, как вылетающие из щели, а затем взаимодействующие с обратной стороны перегородки фотоны.

Вроде бы ничего особенно странного в эксперименте Юнга нет. Однако современная технология позволяет физикам повторить эксперимент Юнга, используя для этого нить накаливания, которая настолько тусклая, что испускает одиночные световые фотоны с частотой, скажем, раз в минуту, и каждый фотон в одиночку движется к перегородке. Время от времени фотон пролетает через одну из двух щелей и попадает на экран. Хотя наши глаза недостаточно чувствительны, чтобы видеть отдельные фотоны, за ними можно наблюдать с помощью специального датчика, и по прошествии нескольких часов мы сможем получить полную картину попадания фотонов на экран. Если в любой момент времени через щели пролетает только один фотон, то рассчитывать, что мы увидим полосы, которые наблюдал Юнг, мы не можем, потому что они образуются, похоже, только в том случае, когда два фотона одновременно пролетят через разные щели и затем провзаимодействуют друг с другом. Вместо них мы могли бы ожидать появления только двух светлых полосок — проекций щелей в перегородке. Однако по какой-то непонятной причине даже при одиночных фотонах на экране по-прежнему образуется точно такой же рисунок из светлых и темных полос, как если бы фотоны взаимодействовали друг с другом.

Этот поразительный результат противоречит здравому смыслу. С точки зрения законов классической физики, то есть таких законов, которые были созданы для описания того, как ведут себя обычные предметы, объяснить это явление невозможно. Классическая физика может объяснить орбиты планет или траекторию пушечного ядра, но совершенно не способна дать описание микромира, например, траектории фотона. Для объяснения таких фотонных процессов физики прибегают к квантовой теории, объясняющей поведение объектов на микроскопическом уровне. Однако даже теоретики квантовой физики не могут прийти к согласию относительно объяснения результата этого эксперимента. Они раскололись на два лагеря, каждый из которых интерпретирует результат по-своему.

Первым лагерем постулируется концепция, известная как суперпозиция . Сторонники суперпозиции начинают с того, что заявляют, что доподлинно нам известны о фотоне только две вещи: он вылетает из нити накаливания и он попадает на экран. Все остальное — полнейшая загадка, в том числе, полетит ли фотон через левую или через правую щель. Так как точный путь фотона неизвестен, сторонники суперпозиции считают, что фотон каким-то образом пролетает одновременно через обе щели, что позволяет ему затем проинтерферировать самому с собой и создать рисунок в виде полос, который и наблюдается на экране. Но разве способен одиночный фотон пролететь через обе щели?

Аргументация сторонников суперпозиции на этот счет следующая. Если мы не знаем, как ведет себя частица, то значит, могут одновременно реализовываться все вероятности. В случае фотона нам не известно, пролетит ли он через левую или же через правую щель, поэтому мы предполагаем, что он пролетает через обе щели одновременно. Каждая вероятность называется состоянием , а поскольку в данном случае с фотоном реализуются обе вероятности, то говорят, что он находится в суперпозиции состояний. Мы знаем, что один фотон испускается нитью накаливания, и мы знаем, что один фотон попадает на экран за перегородкой, но между этими событиями он каким-то образом разделяется на два «фотона-призрака», которые пролетают через обе щели. Суперпозиция может звучать и глупо, но она хотя бы дает объяснение появлению рисунка в виде полос, получающегося в эксперименте Юнга с отдельными фотонами. Сравните, классическое представление, состоящее в том, что фотон должен пролететь через одну из двух щелей — мы просто не знаем, через какую именно, — кажется более здравым, чем квантовое, но, к сожалению, оно не способно объяснить получающийся результат.

Эрвин Шредингер, получивший Нобелевскую премию по физике в 1933 году, придумал мысленный эксперимент, известный под названием «кошка Шредингера», который часто используется для объяснения концепции суперпозиции. Представьте себе кошку, находящуюся в ящике. Для этой кошки существуют два возможных состояния: мертвая или живая. Вначале мы достоверно знаем, что кошка находится в одном определенном состоянии, поскольку можем видеть, что она живая. В этот момент кошка не находится в суперпозиции состояний. Затем положим в ящик рядом с кошкой ампулу с цианидом и закроем крышку. Теперь для нас наступил период неведения, потому что не можем видеть кошку или определить ее состояние. Жива ли она, или же наступила на ампулу с цианидом и умерла? В обычной жизни мы бы сказали, что кошка либо мертва, либо жива, — мы только не знаем, что именно. Квантовая теория, однако, говорит, что кошка находится в суперпозиции из двух состояний: она и мертва, и жива, то есть она находится во всех возможных состояниях. Суперпозиция возникает только тогда, когда объект пропадает у нас из виду и является способом описания объекта в период неопределенности. Когда, в конечном итоге, мы откроем ящик, мы сможем увидеть, жива ли кошка или мертва. Это действие — мы смотрим на кошку — вынуждает ее перейти в одно из определенных состояний, и тут же суперпозиция исчезает.

Для тех читателей, кому не нравится суперпозиция, есть второй квантовый лагерь, выступающий за иную интерпретацию эксперимента Юнга. К сожалению, эта альтернативная точка зрения столь же причудлива. В многомировой интерпретации объявляется, что после того, как фотон вылетел из нити накаливания, у него есть две возможности: он пролетит либо через левую, либо через правую щель — в этот момент мир разделяется на два мира, и в одном мире фотон пролетает через левую щель, а в другом мире фотон пролетает через правую щель. Оба эти мира как-то взаимодействуют друг с другом, чем и объясняется появление рисунка в виде полос. Сторонники многомировой интерпретации считают, что всякий раз, как у объекта появляется возможность перейти в одно из нескольких вероятных состояний, мир разделяется на множество миров с тем, чтобы каждая вероятность реализовывалась в отличающемся мире. Такое множественное число миров именуется мультимиром.

Неважно, выбираем ли мы суперпозицию или многомировую интерпретацию, квантовая теория является сложной философской доктриной. Но несмотря на свою сложность, она показала себя самой успешной и практичной научной теорией, которая когда-либо появлялась. Квантовая теория помимо того, что способна объяснить результат, полученный в эксперименте Юнга, успешно объясняет и множество других явлений. Только квантовая теория дает возможность физикам рассчитать последствия ядерных реакций в атомных электростанциях; только квантовая теория может дать объяснение чудесам ДНК; только квантовая теория объясняет, почему светит Солнце; только квантовая теория может применяться при разработке лазера для считывания компакт-дисков в вашей стереосистеме. Так что нравится нам это или нет, но мы живем в квантовом мире.

Из всех следствий квантовой теории самым технически важным является, по-видимому, квантовый компьютер, который помимо того, что разрушит стойкость всех современных шифров, возвестит приход новой эры вычислительных возможностей. Одним из пионеров квантовых вычислений был Дэвид Дойч, британский физик, начавший трудиться над этим принципом в 1984 году после участия в конференции по теории вычислений. Слушая на конференции одно из выступлений, Дойч обнаружил нечто такое, на что ранее не обращали внимания. Неявно предполагалось, что все компьютеры действовали по законам классической физики, но Дойч был убежден, что на самом деле компьютеры должны подчиняться законам квантовой физики, так как квантовые законы являются более фундаментальными.

Обычные компьютеры действуют на относительно макроскопическом уровне, а на этом уровне в законах квантовой и классической физики почти нет отличий. Поэтому не имело значения, что ученые, как правило, рассматривали обычные компьютеры с точки зрения классической физики. Однако на микроскопическом уровне возникают различия в этих двух совокупностях законов, и на этом уровне применимы только законы квантовой физики. На микроскопическом уровне квантовые законы демонстрируют свою истинную фантастичность, и компьютер, созданный на основе этих законов, станет вести себя совершенно по-иному. После конференции Дойч вернулся домой и принялся за переработку теории компьютеров в свете квантовой физики. В статье, опубликованной в 1985 году, он дал свое видение квантового компьютера, действующего по законам квантовой физики. В частности, он объяснил, чем его квантовый компьютер отличается от обычного компьютера.

Рис. 72 Дэвид Дойч

Представьте, что у вас есть два варианта вопроса. Чтобы ответить на оба с помощью обычного компьютера, вам нужно будет ввести первый вариант и дождаться ответа, а затем ввести второй вариант и снова ждать ответ. Другими словами, обычный компьютер может в каждый момент времени работать только с одним вопросом, а если есть несколько вопросов, то работать с ними придется последовательно. Однако при использовании квантового компьютера оба варианта могут быть объединены в виде суперпозиции двух состояний и заданы одновременно, а машина сама после этого введет суперпозицию обоих состояний, по одному на каждый вариант. Или, в соответствии с многомировой интерпретацией, машина введет два различных мира и даст ответ по каждому варианту вопроса в различных мирах. Но безотносительно к интерпретации, квантовый компьютер может в одно и то же время обрабатывать два варианта, используя законы квантовой физики.

Чтобы получить представление о возможностях квантового компьютера, мы можем сравнить его эффективность с эффективностью работы обычного компьютера, посмотрев, что происходит, когда каждый из них используется для решения конкретной задачи. К примеру, компьютеры обоих типов могут решать задачу нахождения такого числа, в квадрате и кубе которого будут присутствовать, но ни разу не повторяться, все цифры от 0 до 9. Если мы проверим число 19, то получим, что 192 = 361, а 193 = 6859. Это число не удовлетворяет нашему требованию, поскольку в его квадрате и кубе используются только цифры 1, 3, 5, 6, 6, 8 и 9, то есть цифр 0, 2, 4 и 7 нет, а цифра 6 повторяется дважды.

Для решения этой задачи с помощью обычного компьютера оператор должен применить следующий подход. Оператор вводит число 1 и дает возможность компьютеру проверить его. После того как компьютер выполнит необходимые вычисления, он сообщает, удовлетворяет ли данное число критерию или нет. Число 1 критерию не удовлетворяет, поэтому оператор вводит число 2 и дает возможность компьютеру выполнить очередную проверку и так далее, пока не будет в конце концов найдено соответствующее число. Оказывается, что это будет число 69, поскольку 692 = 4761, а 693 = 328509, и в эти числах действительно по одному разу используется каждая из десяти цифр. На самом же деле 69 является единственным числом, удовлетворяющим нашему требованию. Ясно, что такой процесс занимает много времени, так как обычный компьютер может в каждый момент времени проверять только одно число. Если на проверку каждого числа компьютер затрачивает одну секунду, то, чтобы найти ответ, ему понадобится 69 секунд. Квантовому же компьютеру для нахождения ответа потребуется всего лишь 1 секунда.

Оператор начинает с того, что представляет числа особым образом с тем, чтобы воспользоваться мощью квантового компьютера. Один из способов заключается в представлении чисел посредством вращающихся частиц: многие элементарные частицы обладают собственным спином, и они могут вращаться либо с запада на восток, либо с востока на запад[34], подобно баскетбольному мячу, крутящемуся на кончике пальца. Когда частица вращается с запада на восток, она обозначает 1, а когда вращается с востока на запад, то 0. Поэтому последовательность вращающихся частиц представляет собой последовательность единиц и нулей, или двоичное число. К примеру, семь частиц, вращающихся соответственно на восток, восток, запад, восток, запад, запад, запад, сообща образуют двоичное число 1101000 , которое соответствует десятичному числу 104. Комбинация из семи частиц, с учетом спинов, может представлять собой любое число между 0 и 127.

При использовании обычного компьютера оператор вводит одну конкретную последовательность спинов, например, на запад, запад, запад, запад, запад, запад, восток, которая соответствует числу 0000001 , или просто десятичному числу 1. Далее оператор ждет, пока компьютер проверит это число, чтобы выяснить, удовлетворяет ли оно указанному выше критерию. После этого оператор вводит 0000010 , что соответствует последовательности вращающихся частиц, обозначающих 2, и так далее. Как и раньше, числа должны будут вводиться каждый раз по одному, что, как мы знаем, потребует много времени. Однако если мы имеем дело с квантовым компьютером, у оператора имеется альтернативный, гораздо более быстрый способ ввода чисел. Поскольку каждая частица является элементарной, она подчиняется законам квантовой физики. Поэтому когда частица не наблюдаема, она может задать суперпозицию состояний, которая означает, что она вращается одновременно в обоих направлениях и тем самым представляет одновременно и 0, и 1. Или же мы можем представить себе частицу, которая попадает в два разных мира; в одном мире она вращается с запада на восток и представляет собой 1, в то время как в другом она вращается с востока на запад и представляет собой 0.

Суперпозиция достигается следующим образом. Представьте, что мы можем наблюдать за одной из частиц — она вращается с востока на запад. Чтобы изменить ее спин, мы выстрелим мощным импульсом энергии, достаточным, чтобы частица стала вращаться с запада на восток. Если бы мы выстрелили более слабым импульсом, то иногда нам бы посчастливилось и частица изменила бы спин, а иногда нас бы постигла неудача и частица сохранила бы свое вращение с востока на запад. Вплоть до этого момента частица была все время на виду и мы могли проследить за ее движением. Однако если мы поместим вращающуюся с востока на запад частицу в ящик, где не сможем наблюдать за ней, и выстрелим в нее слабым импульсом энергии, то мы не будем иметь понятия, изменился ли ее спин. Частица перейдет в суперпозицию спинов с вращением с запада на восток и с востока на запад, аналогично тому, как кошка попадает в суперпозицию мертвая-живая. Если взять семь вращающихся с востока на запад частиц, поместить их в ящик и выстрелить в них семью слабыми импульсами, то все семь частиц перейдут в суперпозицию.

Когда все семь частиц находятся в суперпозиции, они фактически представляют все возможные сочетания спинов с вращением с запада на восток и с востока на запад. Эти семь частиц одновременно представляют собой 128 различных состояний, или 128 различных чисел. Оператор вводит семь частиц, когда они находятся в суперпозиции состояний, в квантовый компьютер, который после этого выполняет вычисления таким образом, как если бы он проверял все 128 чисел одновременно. Через 1 секунду компьютер выдаст число, 69, которое отвечает требуемому критерию. Оператор получает 128 вычислений «по цене одного».

Концепция квантового компьютера противоречит здравому смыслу. Если на минутку отвлечься от деталей, то квантовый компьютер можно представить себе двумя различными способами, в зависимости от того, какую квантовую трактовку вы предпочитаете. Некоторые физики считают квантовый компьютер единичным объектом, который выполняет вычисления одновременно со 128 числами. Другие рассматривают его как 128 объектов, каждый в своем отдельном мире, выполняющих только одно вычисление. Квантовые вычисления являются технологией в области неопределенности.

Когда обычные компьютеры оперируют с 1 и 0 , эти 1 и 0 называются двоичными цифрами, или, для краткости, битами. Поскольку квантовый компьютер имеет дело с 1 и 0 , представляющими собой квантовую суперпозицию, они называются квантовыми битами, или кубитами. Достоинства кубитов станут еще более заметными, если мы будем рассматривать большее количество частиц. С помощью 250 вращающихся частиц, или 250 кубитов, можно образовать примерно 1075 комбинаций, что больше всего количества атомов во Вселенной. Если бы можно было достичь соответствующей суперпозиции с 250 частицами, то квантовый компьютер смог бы одновременно выполнять 1075 вычислений и все их закончить в течение всего лишь одной секунды.

Использование квантовых эффектов смогло бы дать квантовым компьютерам невообразимую мощь. К сожалению, когда Дойч создавал свою концепцию квантового компьютера в середине 80-х, никто не мог в полной мере представить себе, каким образом создать на практике работоспособную машину. К примеру, ученые не могли ничего построить, что могло бы выполнять вычисления со спиновыми частицами, находящимися в суперпозиционном состоянии. Одна из самых значительных трудностей заключалась в сохранении суперпозиции состояний во время вычислений. Суперпозиция существует, только когда она ненаблюдаема, но в самом общем смысле наблюдение состоит в любом взаимодействии с чем-то, что находится вне суперпозиции. Какой-нибудь одиночный случайный атом, провзаимодействовав с одной из вращающихся частиц, вызовет нарушение суперпозиции, которая выродится в базисное состояние, и в результате квантовые вычисления выполнить не удастся.

Еще одна проблема была вызвана тем, что ученые не знали, как запрограммировать квантовый компьютер, и поэтому не были уверены, какого рода вычисления он способен производить. Однако в 1994 году Питеру Шору из AT&T Bell Laboratories штата Нью-Джерси удалось составить пригодный для квантового компьютера алгоритм. Замечательной новостью для криптоаналитиков было то, что алгоритм Шора описывал ряд шагов, которые могли бы быть использованы квантовым компьютером для разложения на множители гигантского числа, то есть как раз то, что требовалось для взлома шифра RSA. Когда Мартин Гарднер опубликовал задачу по RSA в «Сайентифик Америкен», потребовалась работа шести сотен компьютеров в течение нескольких месяцев, чтобы разложить на множители число, состоящее из 129 цифр. Для сравнения, с помощью алгоритма Шора можно было разложить на множители число, в миллион раз большее, за время, в миллион раз меньшее. К сожалению, он не мог продемонстрировать свой алгоритм для разложения на множители, поскольку по-прежнему не было такого инструмента, как квантовый компьютер.

В 1996 году Лов Гровер, также из Bell Laboratories, разработал еще один мощный алгоритм. Алгоритм Гровера — это способ осуществления поиска в списке[35] с невероятно высокой скоростью, что может казаться не особенно интересным, пока вы не поймете, что это именно то, что требуется для взлома шифра DES. Чтобы взломать шифр DES, необходимо выполнить поиск списка всех возможных ключей, чтобы найти правильный. Если обычный компьютер может проверять миллион ключей в секунду, то для раскрытия шифра DES ему потребуется свыше тысячи лет, в то время как квантовый компьютер с помощью алгоритма Гровера смог бы найти ключ менее, чем за четыре минуты.

Чисто случайно оба этих первых разработанных алгоритма для квантовых компьютеров оказались именно теми, которые криптоаналитики ставили на первое место в своих списках пожеланий. Хотя алгоритмы Шора и Гровера породили колоссальный оптимизм среди дешифровальщиков, но возникло также и чувство огромного разочарования, так как все еще не существовало такой вещи, как действующий квантовый компьютер, на. котором можно было бы реализовать эти алгоритмы. Не удивительно, что возможности самого грозного оружия в дешифровании разожгли аппетит таких организаций, как американское Управление перспективных оборонных исследований (DARPA) и Лос-Аламосская национальная лаборатория, которые отчаянно пытались создать устройства, которые смогли бы обращаться с кубитами точно так же, как кремниевые чипы оперируют с битами.

Справедливости ради следует отметить, что, хотя ряд новейших достижений укрепил дух исследователей, технология остается в высшей степени примитивной. В 1998 году Серж Харош из университета «Paris VI»[36] показал подоплеку шумихи вокруг этих достижений, развеяв заверения, что до реально существующего квантового компьютера всего лишь несколько лет. Он заявил, что это напоминает бахвальство после кропотливой сборки первого слоя карточного домика, что следующие 15 000 слоев будут простой формальностью.

Только время покажет, будет ли и если будет, то когда, разрешена проблема создания квантового компьютера. А тем временем мы можем только строить предположения относительно того, какое влияние он окажет на мир криптографии. После 70-х годов благодаря таким шифрам, как DES и RSA, шифровальщики явно лидируют в состязании с дешифровальщиками. Эти виды шифров — ресурс огромной ценности, поскольку мы полагаемся на них, чтобы зашифровать свои электронные письма и защитить свое право на частную жизнь. Аналогичным образом, поскольку мы вступили в двадцать первое столетие, коммерческая деятельность будет все больше и больше проводиться через Интернет, а электронный рынок будет рассчитывать на стойкие шифры для защиты и контроля финансовых сделок. А поскольку информация становится самым ценным товаром в мире, участь государств в сфере экономики, политики и вооруженных сил будет зависеть от стойкости шифров.

Поэтому создание полностью работоспособного квантового компьютера создаст угрозу неприкосновенности нашей личной жизни, разрушит электронную коммерцию и уничтожит понятие национальной безопасности. Квантовый компьютер поставит под удар стабильность мира. Какая бы страна ни стала первой, она получит возможность отслеживать средства связи своих граждан, читать о намерениях своих конкурентов в коммерции, прослушивать планы своих противников. И несмотря на то, что квантовые вычисления находятся еще в. процессе зарождения, они представляют потенциальную опасность для личности, международного бизнеса и глобальной безопасности.

Квантовая криптография

В то время как криптоаналитики ожидают появления квантовых компьютеров, криптографы вовсю трудятся над своим собственным технологическим чудом — системой шифрования, которая вновь позволит обрести конфиденциальность, даже в противостоянии с мощью квантового компьютера.

Этот новый вид шифрования в корне отличен от тех, с которыми мы прежде сталкивались, то есть дает надежду на совершенную стойкость. Другими словами, у этой системы не будет изъянов и слабых мест, и она сможет навечно гарантировать абсолютную секретность. Более того, она основывается на квантовой теории — той самой теории, которая положена в основу квантовых компьютеров. Так что квантовая теория, с одной стороны, используется в компьютере, который сможет раскрыть все нынешние шифры, с другой же — это основа нового нераскрываемого шифра, названного квантовая криптография.

История квантовой криптографии начинается с любопытной идеи, высказанной в конце 60-х Стивеном Виснером, в то время еще аспирантом Колумбийского университета. Достойно сожаления, что идея Виснера значительно опередила свое время и никто ее не воспринял всерьез. Он до сих пор вспоминает реакцию своих наставников: «Я не получил никакой поддержки от своего научного руководителя — он вообще не проявил к ней интереса. Я показал ее еще нескольким людям — у них делались странные лица, и они возвращались к своим занятиям». Виснер предлагал поразительную концепцию квантовых денег, огромное преимущество которых заключалось в том, что подделать их было невозможно.

Квантовые деньги Виснера основывались главным образом на физике фотонов. Как показано на рисунке 73 (а), фотон во время своего движения производит колебания. Все четыре фотона летят в одном направлении, но в каждом случае угол колебаний различен. Угол колебаний называется поляризацией фотона, и лампочкой накаливания создаются фотоны всех поляризаций, что означает, что у части фотонов колебания будут происходить вверх-вниз, у части фотонов — влево-вправо, а у остальных колебания будут происходить при любых углах между этими направлениями. Для простоты предположим, что фотоны обладают только четырьмя возможными поляризациями, которые мы обозначим

.

Если на пути фотонов установить фильтр, называющийся поляризационным, то выходящий пучок света будет состоять из фотонов, которые колеблются в одном определенном направлении; другими словами, все фотоны будут иметь одну и ту же поляризацию. Мы можем рассматривать поляризационный фильтр как в некотором роде сито, а фотоны — как спички, беспорядочно рассыпанные по ситу. Спички проскользнут сквозь сито только в том случае, если они располагаются под нужным углом. Любой фотон, поляризованный в том же направлении, что и поляризация поляризационного фильтра, заведомо пройдет через него без изменений, а фотоны, поляризованные в направлении, перпендикулярном фильтру, будут задержаны.

К сожалению, аналогия со спичками не срабатывает, когда мы рассматриваем диагонально поляризованные фотоны, попадающие на поляризационный фильтр с вертикальной поляризацией. Хотя диагонально расположенные спички будут задержаны вертикальным ситом, совсем не обязательно, что это же самое произойдет с диагонально поляризованными фотонами, попадающими на поляризационный фильтр с вертикальной поляризацией. На самом деле, когда диагонально поляризованные фотоны встретятся с поляризационным фильтром с вертикальной поляризацией, то половина из них будет задержана, а половина пройдет через фильтр, причем те, которые пройдут, приобретут вертикальную поляризацию. На рисунке 73 (b) показаны восемь фотонов, попадающих на поляризационный фильтр с вертикальной поляризацией, а на рисунке 73 (с) показано, что через фильтр благополучно прошли только четыре из восьми фотонов. Прошли все вертикально поляризованные фотоны и половина диагонально поляризованных фотонов, а все горизонтально поляризованные фотоны задержаны.

Рис. 73 (а) Хотя колебания фотонов происходят во всех направлениях, мы, для простоты рассмотрения, предполагаем, что имеется только четыре различных направления, как показано на данном рисунке. (b) Лампочка испустила восемь фотонов, которые колеблются в различных направлениях. Говорят, что каждый фотон имеет поляризацию. Фотоны летят к поляризационному фильтру с вертикальной поляризацией, (с) По другую сторону фильтра уцелела только половина фотонов. Вертикально поляризованные фотоны прошли, а горизонтально поляризованные фотоны нет. Прошла половина диагонально поляризованных фотонов, после чего они стали вертикально поляризованными.

Именно такая способность задерживать определенные фотоны и объясняет, каким образом действуют поляроидные солнцезащитные очки. По сути, вы можете рассмотреть влияние поляризационных фильтров, экспериментируя с линзами от поляроидных солнцезащитных очков. Сначала вытащите одну линзу и зажмурьте или прикройте чем-нибудь один глаз, а вторым глазом смотрите через оставшуюся линзу. Не удивительно, что мир выглядит таким темным, ведь линза задерживает множество фотонов, которые иначе попали бы в ваш глаз. В этот момент все фотоны, попавшие в ваш глаз, имеют одну и ту же поляризацию. Затем держите вторую линзу перед линзой, через которую вы смотрите, и медленно вращайте ее. В определенный момент при вращении снятая линза не будет оказывать никакого влияния на количество света, который попадает в ваш глаз, потому что ее ориентация такая же, что и у закрепленной линзы — все фотоны, которые прошли через снятую линзу, пройдут также и через закрепленную линзу. Если теперь вы повернете снятую линзу на 90°, все станет совершенно черным. При таком расположении поляризация снятой линзы перпендикулярна поляризации закрепленной линзы, так что все фотоны, прошедшие через снятую линзу, задерживаются закрепленной линзой. Теперь, если вы повернете снятую линзу на 45°, то окажетесь в промежуточном положении, когда половина фотонов, прошедших через снятую линзу, сумеют пройти и через закрепленную линзу.

Виснер планировал воспользоваться поляризацией фотонов в качестве способа создания долларовых банкнот, которые никогда нельзя будет подделать. Его идея заключалась в том, чтобы в каждой долларовой банкноте было 20 ловушек для фотонов — крошечных устройств, способных захватить и удержать фотон. Он предположил, что банки могли бы использовать четыре поляризационных фильтра, ориентированных четырьмя различными способами (

), чтобы заполнить 20 ловушек 20 поляризованными фотонами; причем для каждой банкноты использовалась бы отличная от других последовательность поляризованных фотонов. К примеру, на рисунке 74 показана банкнота со следующей поляризационной последовательностью (

). Хотя на рисунке 74 эти поляризации показаны в явном виде, но в действительности они будут скрыты от взора. На каждой банкноте отпечатан также обычный номер серии — В2801695Е для долларовой банкноты, показанной на рисунке. Банк-эмитент может идентифицировать каждую долларовую банкноту в соответствии с ее поляризационной последовательностью и отпечатанным номером серии и составить список номеров серий и соответствующих поляризационных последовательностей.

Теперь фальшивомонетчик сталкивается с проблемой: он не может просто подделать долларовую банкноту с произвольным номером серии и случайной поляризационной последовательностью в ловушках для фотонов, поскольку такой пары в банковском списке нет, и банк обнаружит, что эта долларовая банкнота является фальшивой. Чтобы подделка была качественной, фальшивомонетчик должен в качестве образца использовать подлинную банкноту, каким-то образом измерить его 20 поляризаций, а затем сделать копию долларовой банкноты, взяв за образец номер серии и соответствующим образом заполнив ловушки для фотонов. Однако измерение поляризации фотонов является исключительно сложной задачей, и если фальшивомонетчик не сможет точно измерить их в подлинной банкноте-образце, то он не смеет надеяться сделать копию.

Чтобы понять всю сложность измерения поляризации фотонов, нам необходимо выяснить, как мы собираемся его выполнять. Единственный способ выяснить что-либо о поляризации фотона — это воспользоваться поляризационным фильтром. Чтобы измерить поляризацию фотона в определенной ловушке для фотонов, фальшивомонетчик выбирает поляризационный фильтр и ориентирует его в определенном направлении, скажем, вертикально,

. Если фотон, вылетающий из ловушки для фотонов, окажется вертикально поляризованным, он пройдет через поляризационный фильтр с вертикальной поляризацией, и фальшивомонетчик вполне справедливо предположит, что это вертикально поляризованный фотон.

Если же вылетающий фотон является горизонтально поляризованным, то через поляризационный фильтр с вертикальной поляризацией он не пройдет, и фальшивомонетчик вполне справедливо предположит, что это горизонтально поляризованный фотон. Однако может случиться так, что вылетающий фотон окажется диагонально поляризованным (

или

), и тогда он может как пройти через фильтр, так и не пройти через него; в любом случае фальшивомонетчик не сумеет определить его истинную природу. Фотон с поляризацией

может пройти через поляризационный фильтр с вертикальной поляризацией, и в этом случае фальшивомонетчик ошибочно предположит, что это вертикально поляризованный фотон. Но этот же самый фотон может не пройти через фильтр, и в этом случае фальшивомонетчик ошибочно предположит, что это горизонтально поляризованный фотон. С другой стороны, если фальшивомонетчик собирается измерить фотон в другой ловушке для фотонов, ориентируя фильтр диагонально, допустим,

, то этим он правильно определит природу диагонально поляризованного фотона, но безошибочно идентифицировать вертикально или горизонтально поляризованный фотон не сумеет.

Проблема для фальшивомонетчика состоит в том, что для определения поляризации фотона он должен правильно сориентировать поляризационный фильтр, но он не знает, какую ориентацию использовать, так как не знает поляризацию фотона. Такая парадоксальная ситуация свойственна физике фотонов. Представим себе, что фальшивомонетчик выбирает

фильтр для измерения фотона, вылетающего из второй ловушки для фотонов, а фотон не проходит через фильтр. Фальшивомонетчик может быть уверен, что этот фотон не был

поляризован, поскольку такой фотон прошел бы через фильтр. Однако фальшивомонетчик не может сказать, был ли этот фотон таким, который заведомо не прошел бы через фильтр, то есть

поляризован, или же его поляризация была такова, что в половине случаев он будет задержан, то есть он был

или

поляризован.

Рис. 74 Квантовые деньги Стивена Виснера. Каждая банкнота является уникальной благодаря своему номеру серии, который можно легко видеть, и 20 ловушкам для фотонов, чье содержимое является загадкой. В ловушках для фотонов находятся фотоны с различными поляризациями. Банк знает поляризационные последовательности, соответствующие каждому номеру серии, фальшивомонетчик же — нет.

Сложность при измерении фотонов является одним из положений принципа неопределенности, открытым в 20-е годы немецким физиком Вернером Гейзенбергом. Он сформулировал свое в высшей степени специальное положение в виде простого утверждения: «Мы в принципе не можем знать настоящее во всех его подробностях». Это не означает, что мы не знаем всего, потому что у нас нет достаточно средств измерения или потому что наше оборудование плохо сконструировано. Напротив, Гейзенберг утверждал, что логически невозможно измерить все характеристики определенного объекта с абсолютной точностью. В нашем конкретном случае мы не можем с абсолютной точностью измерить все характеристики находящихся в ловушках фотонов. Принцип неопределенности — это еще одно причудливое следствие квантовой теории.

Квантовые деньги Виснера учитывают тот факт, что подделка денег является двухступенчатым процессом: во-первых, фальшивомонетчику необходимо провести измерение оригинальной банкноты с высокой точностью, а затем он должен сделать ее копию. За счет использования фотонов, долларовую банкноту теперь измерить точно стало невозможно, и поэтому на пути подделки денег возник барьер.

Наивный фальшивомонетчик полагает, что если он не может измерить поляризации фотонов в ловушках, то этого не сможет сделать и банк. Он может попробовать изготовить долларовые банкноты, заполняя ловушки для фотонов произвольной поляризационной последовательностью. Банк, однако, способен проверить подлинность банкнот. Он сверяет номер серии со своим тайным списком, чтобы выяснить, какие фотоны должны находиться в ловушках для фотонов. Поскольку банк знает, какие поляризации следует ожидать в каждой из ловушек, он может правильным образом сориентировать поляризационный фильтр для каждой ловушки и выполнить точное измерение. Если банкнота фальшивая, то есть когда фальшивомонетчик заполнил ловушки произвольной поляризационной последовательностью, это приведет к неправильным результатам измерений и банкнота будет признана подделкой. Например, если банк применяет

фильтр для измерения фотона, который должен иметь

поляризацию, но оказывается, что фотон задерживается фильтром, это означает, что фальшивомонетчик заполнил ловушку неправильным фотоном. Если же банкнота окажется подлинной, то банк повторно заполнит ловушки для фотонов соответствующими фотонами и вновь запустит ее в обращение.

Короче говоря, фальшивомонетчик не может измерить поляризации в подлинной банкноте, поскольку он не имеет представления, какого вида фотоны находятся в каждой из ловушек для фотонов, и не может поэтому знать, как сориентировать поляризационный фильтр, чтобы точно его измерить. С другой стороны, банк способен проверить поляризации в подлинной банкноте, потому что он сам изначально задал поляризацию, и поэтому знает, как сориентировать поляризационный фильтр для каждой из ловушек.

Квантовые деньги — это блестящая идея. И к тому же совершенно неосуществимая. Начать с того, что инженеры пока что не разработали способ улавливать в ловушки фотоны с заданными поляризованными состояниями на достаточно долгое время. Даже если такой способ и существует, реализовать его окажется слишком дорого. Защита каждой долларовой банкноты может стоить где-то около 1 млн долларов. Но несмотря на всю их нереализуемость, квантовая теория в квантовых деньгах применяется весьма любопытным способом, так что невзирая на отсутствие интереса и поддержки со стороны своего научного руководителя Виснер направил статью в научный журнал. Ее отвергли. Он направил статью в три других журнала; ее отвергли еще три раза. Виснер заявил, что они просто не разбираются в физике.

Казалось, что только один человек разделял заинтересованность Виснера концепцией квантовых денег. Это был его старый друг по имени Чарльз Беннет, который несколькими годами ранее окончил вместе с ним университет Брандейса. Беннета отличало любопытство, проявляемое им в различных областях науки. Он говорил, что уже в три года знал, что хочет быть ученым, и даже мать не смогла притушить его детское увлечение ею. Однажды она вернулась домой и обнаружила на плите кипящую кастрюлю с каким-то странным тушеным мясом. По счастью, она не соблазнилась попробовать его; как потом выяснилось, это были останки черепахи, которую юный Беннет кипятил в щелочи, чтобы отделить мясо от костей и получить великолепный образец ее скелета. В юношеском возрасте интересы Беннета простирались от биологии до биохимии, а к тому времени, как поступить в Брандейс, он решил посвятить себя химии. В аспирантуре Беннет вплотную занялся физической химией, а затем переключился на исследования в физике, математике, логике и, вдобавок, программировании.

Зная широту интересов Беннета, Виснер надеялся, что тот в полной мере оценит концепцию квантовых денег, и передал ему копию своей отвергнутой статьи. Беннет сразу же увлекся этой идеей, посчитав ее одной из самых прекрасных, с которыми он когда-либо сталкивался. В следующие десять лет он время от времени перечитывал статью, задаваясь вопросом, существует ли способ реализовать каким-либо образом эту гениальную идею. Даже став в начале 80-х научным сотрудником исследовательской лаборатории Томаса Дж. Уотсона компании IВМ, Беннет не перестал размышлять об идее Виснера. Журналы, может, и не хотели публиковать ее, но Беннета она увлекла.

Рис. 75 Чарльз Беннет.

Как-то раз Беннет рас казал об идее квантовых денег Жилю Брассарду, программисту из Монреальского университета. Беннет и Брассард, сотрудничавшие в различных исследовательских проектах, снова и снова обращались к статье Виснера, обсуждая ее сложности. Мало-помалу они начали осознавать, что идея Виснера смогла бы найти применение в криптографии. Для того чтобы Ева сумела дешифровать зашифрованное сообщение между Алисой и Бобом, она вначале должна перехватить его, что означает, что она должна каким-то образом точно определить содержимое передаваемого сообщения. Квантовые деньги Виснера были надежными, поскольку точно определить поляризацию фотонов, находящихся в ловушках в долларовой банкноте, было невозможно. Беннет и Брассард задались вопросом, что произойдет, если зашифрованное сообщение будет представлено, а затем передано с помощью поляризованных фотонов. Вроде бы, теоретически, Ева не сможет безошибочно прочесть зашифрованное сообщение, а раз не сможет прочесть зашифрованное сообщение, то не сможет и дешифровать его.

Беннет и Брассард стали придумывать систему, которая работала бы по следующему принципу. Представьте себе, что Алиса хочет отправить Бобу зашифрованное сообщение, которое состоит из последовательности 1 и 0 . Вместо этих 1 и 0 она посылает фотоны с определенными поляризациями. У Алисы есть две возможных схемы, с помощью которых она может связать поляризации фотонов с 1 или 0 . В первой схеме, называемой ортогональной[37] или +-схемой, для представления 1 она посылает

, а для представления 0 —

. Во второй схеме, называемой диагональной или Х-схемой, для представления 1 она посылает

, а для представления 0 —

.

При отправке сообщения, представленного в двоичном виде, она постоянно переключается с одной схемы на другую совершенно непредсказуемым образом. Так что двоичное сообщение 1101101001 может быть передано следующим образом:

Алиса передает первую 1 с использованием +-схемы, а вторую 1 — с использованием Х-схемы. Так что в обоих случаях передается 1 , но всякий раз она представляется различным образом поляризованными фотонами.

Если Ева захочет перехватить это сообщение, ей потребуется определить поляризацию каждого фотона, точно так же как и фальшивомонетчику необходимо определить поляризацию каждого фотона в ловушках для фотонов долларовой банкноты. Чтобы измерить поляризацию каждого фотона, Ева должна решить, каким образом сориентировать свой поляризационный фильтр по мере прихода каждого фотона. Она не может знать наверняка, какой схемой воспользовалась Алиса для каждого из фотонов, поэтому наугад выбирает ориентацию поляризационного фильтра, которая окажется неверной в половине случаев. А следовательно, она не сможет точно определить содержимое передаваемого сообщения.

Чтобы было проще представить себе затруднительность положения Евы, предположим, что в ее распоряжении имеются два типа детекторов для определения поляризации. +-детектор способен с абсолютной точностью измерять горизонтально и вертикально поляризованные фотоны, на не может достоверно измерить диагонально поляризованные фотоны и просто ошибочно считает их вертикально или горизонтально поляризованными фотонами. С другой стороны, Х-детектор может с абсолютной точностью измерять диагонально поляризованные фотоны но не способен надежно измерить горизонтально и вертикально поляризованные фотоны, ошибочно считая их диагонально поляризованными фотонами. Так, если для измерения первого фотона, имеющего

поляризацию, Ева использует Х-детектор, то она ошибочно посчитает его фотоном с поляризациями

или

. Если Ева ошибочно посчитала его

фотоном, то проблемы у нее не возникнет, потому что он также представляет собой 1 , но вот если она ошибочно посчитала его

фотоном, то это станет для нее бедой, ибо этот фотон представляет собой 0 . Что еще хуже, так это то, что у Евы есть только один шанс точно измерить фотон. Фотон неделим, и поэтому она не может разделить его на два фотона и измерить их с помощью обеих схем.

Похоже, что у данной системы есть ряд славных свойств. Ева не может быть уверенной в точном перехвате зашифрованного сообщения, так что у нее нет никакой надежды и дешифровать его. Правда, данной системе присуща серьезная и, видимо, неразрешимая проблема: Боб находится в том же положении, что и Ева, так как у него также нет возможности узнать, какой поляризационной схемой воспользовалась Алиса для каждого из фотонов, и поэтому он тоже будет ошибаться при приеме сообщения. Очевидное решение проблемы — это согласование Алисой и Бобом, какую поляризационную схему они будут применять для каждого фотона. Для вышеприведенного примера Алиса и Боб должны иметь список, или ключ, с помощью которого будет прочитано + х + х х х + + х х. Однако мы теперь вновь вернулись к той же старой проблеме распределения ключей: каким образом Алиса должна безопасно передать список поляризационных схем Бобу?

Разумеется, Алиса могла бы зашифровать список поляризационных схем с помощью шифра с общим ключом, например, RSA, а затем отправить его Бобу. Представьте, однако, что мы живем в то время, когда RSA взломан, возможно, в результате создания мощных квантовых компьютеров. Система Беннета и Брассарда должна быть независимой и не опираться на RSA. В течение долгих месяцев Беннет и Брассард пытались придумать способ обойти проблему распределения ключей. В 1984 году оба они стояли на платформе станции Кротон-Хармон неподалеку от исследовательской лаборатории Томаса Дж. Уотсона компании IBM. Они ожидали поезд, который доставил бы Брассарда обратно в Монреаль, и проводили время в непринужденной беседе о злоключениях и бедствиях Алисы, Боба и Евы. Приди поезд на несколько минут раньше, они бы помахали друг другу рукой на прощание, а проблема распределения ключей так и осталась бы нерешенной. Но вместо этого — эврика! —  они создали квантовую криптографию — самый стойкий вид криптографии, который был когда-либо придуман.

По их способу для квантовой, криптографии требуется три подготовительных этапа. Хотя эти этапы не включают в себя отправку зашифрованного сообщения, с их помощью осуществляется безопасный обмен ключом, с помощью которого позднее можно будет зашифровать сообщение.

Этап 1. Алиса начинает передавать случайную последовательность из 1 и 0 (биты), используя для этого случайным образом выбираемые ортогональные (горизонтальная и вертикальная поляризации) и диагональные поляризационные схемы. На рисунке 76 показана такая последовательность фотонов, движущихся к Бобу.

Этап 2. Боб должен измерить поляризацию этих фотонов. Поскольку он не имеет представления, какой поляризационной схемой Алиса пользовалась для каждого из фотонов, то в произвольном порядке выбирает +-детектор и Х — детектор. Иногда Боб выбирает правильный детектор, иногда — нет. Если Боб воспользуется не тем детектором, то он вполне может неправильно распознать фотон Алисы. В таблице 27 указаны все возможные случаи. К примеру, в верхней строке для посылки 1 Алиса использует ортогональную схему и поэтому передает

; далее Боб использует правильный детектор, определяет

и выписывает 1 в качестве первого бита последовательности. В следующей строке действия Алисы те же самые, но Боб теперь использует неверный детектор, и поэтому он может определить

или

, что означает, что либо он верно выпишет 1 , либо неверно — 0 .

Этап 3.  К этому моменту Алиса уже отправила последовательность 1 и 0 , а Боб уже определил их; какие-то правильно, какие-то — нет. После этого Алиса звонит Бобу по обычной незащищенной линии и сообщает ему, какую поляризационную схему она использовала для каждого фотона, но не как она поляризовала каждый из фотонов. Так, она может сказать, что первый фотон был послан с использованием ортогональной схемы, но не скажет, какой это был фотон:

или

. Боб сообщает Алисе, в каких случаях он угадал с правильной поляризационной схемой. В этих случаях он, несомненно, измерил правильную поляризацию и верно выписал 1 или 0 . В конечном итоге Алиса и Боб игнорируют все те фотоны, для которых Боб пользовался неверной схемой, и используют только те из них, для которых он угадал с правильной схемой. В действительности они создали новую, более короткую последовательность битов, состоящих только из правильных измерений Боба. Весь этот этап изображен в виде таблицы в нижней части рисунка 76.

Благодаря этим трем этапам, Алисе и Бобу удалось образовать общую согласованную последовательность цифр, 11001001 , которая показана на рисунке 76. Ключевым для этой последовательности является то, что она случайна, поскольку получена из исходной последовательности Алисы, которая сама была случайной. Более того, события, когда Боб использует правильный детектор, сами являются случайными. Поэтому данная согласованная последовательность может использоваться в качестве случайного ключа. И вот теперь-то можно начать процесс зашифровывания.

Рис. 76 Алиса передает последовательность из 1 и 0 Бобу. Каждая 1 и каждый О представлены поляризованным фотоном в соответствии либо с ортогональной (горизонтальная и вертикальная поляризации), либо с диагональной поляризационной схемой. Боб измеряет каждый фотон с помощью либо своего ортогонального, либо диагонального детектора. Он выбирает правильный детектор для самого первого фотона и верно определяет его как 1. Однако для следующего фотона его выбор детектора неверен. По случайности он правильно определил его как 0, но позднее этот бит будет тем не менее отброшен, поскольку Боб не может быть уверен, что он измерил его правильно.

Эта согласованная случайная последовательность может использоваться в качестве ключа для шифра одноразового шифрблокнота. В главе 3 описывается, каким образом случайный набор букв или цифр — одноразовый шифрблокнот — может создать нераскрываемый шифр — не практически, а абсолютно нераскрываемый. Ранее говорилось, что единственная проблема с одноразовым шифрблокнотом — это сложность его безопасной доставки, но способ Беннета и Брассарда решает эту проблему. Алиса и Боб достигли договоренности об одноразовом шифрблокноте, а законы квантовой физики фактически не позволяют Еве успешно его перехватить. Теперь самое время стать на место Евы, после чего мы увидим, почему она не сумеет перехватить ключ.

Во время передачи Алисой поляризованных фотонов Ева пытается измерить их, но она не знает, использовать ли +-детектор или, может быть, Х — детектор. В половине случаев выбор детектора будет неверным. Это та же самая ситуация, в которой находится и Боб, поскольку он тоже в половине случаев выбирает неправильный детектор. Однако после этой передачи Алиса сообщает Бобу, какой схемой он должен был воспользоваться для каждого из фотонов, и они договариваются использовать только те фотоны, которые были измерены при использовании Бобом правильного детектора. Это, впрочем, ничем не поможет Еве, поскольку половину из этих фотонов она измерит не тем детектором, который был нужен, и поэтому неверно определит некоторые фотоны, которые составляют окончательный ключ.

Можно также рассматривать квантовую криптографию на примере колоды карт, а не поляризованных фотонов. У каждой игральной карты есть достоинство и масть, например, валет червей или шестерка треф, и, как правило, мы, взглянув на карту, сразу же видим ее достоинство и масть. Представьте, однако, что можно измерить либо только достоинство, либо только масть, но никак не обе вместе. Алиса берет карту из колоды и должна решить, что измерить: достоинство или масть. Предположим, что она решила измерить масть, которая является «пиками». Этой взятой картой оказалась четверка пик, но Алиса знает только, что это пики. После этого она передает карту по телефону Бобу. В этот момент Ева старается провести измерение карты, но, к сожалению, она решила измерить ее достоинство, которое является «четверкой». Когда карта приходит к Бобу, он решает измерить ее масть, которая по-прежнему «пики», и он записывает ее. После этого Алиса звонит Бобу и спрашивает его, масть ли он измерил, — а как раз это он и сделал, так что Алиса и Боб теперь знают, что у них есть некоторая общая информация: они оба на своих блокнотах сделали запись «пики». Ева же в своем блокноте сделала запись «четверка», что вообще не имеет никакой пользы.

После этого Алиса берет из колоды другую карту, скажем, короля бубей, но она, опять-таки, может измерить только один параметр. На этот раз она решает измерить ее достоинство, которое будет «король», и передает карту по телефону Бобу. Ева старается провести измерение карты и также делает выбор в пользу измерения ее достоинства — «король». Когда карта приходит к Бобу, он решает измерить ее масть, являющуюся «бубнами». После этого Алиса звонит Бобу и спрашивает его, достоинство ли карты он измерил, — и тот должен признать, что на этот раз он ошибся и измерил ее масть. Алиса и Боб не беспокоятся об этом, поскольку могут проигнорировать эту конкретную карту и повторить попытку с другой картой, наобум вытащенной из колоды. В этом последнем случае догадка Евы оказалась правильной, и она измерила то же, что и Алиса — «король», — но карта была отброшена, потому что Боб неправильно измерил ее. Таким образом Боб не беспокоится о сроих ошибках, так как они с Алисой могут условиться пропускать их, Ева же со своими ошибками осталась у разбитого корыта. После того как будут посланы несколько карт, Алиса и Боб имеют возможность договориться о последовательности мастей и достоинств, которые могут затем быть использованы в качестве основы для некоторого ключа.

Квантовая криптография позволяет Алисе и Бобу договориться о ключе, Ева же не может перехватить этот ключ, не сделав ошибок. Более того, у квантовой криптографии есть еще одно достоинство: она позволяет Алисе и Бобу определить, перехватывает ли Ева сообщения. Присутствие Евы в телефонной линии становится явным, потому что всякий раз, как она измеряет фотон, она рискует изменить его, и эти изменения видны Алисе и Бобу.

Допустим, что Алиса посылает

, а Ева измеряет его неправильно выбранным детектором — +-детектор. +-детектор преобразует поступающий

фотон, и тот на выходе детектора становится либо

, либо

фотоном, поскольку для фотона это единственная возможность пройти через детектор Евы. Если Боб измеряет этот видоизмененный фотон своим Х — детектором, то тогда он может либо зарегистрировать

, что на самом деле послала Алиса, или же он может получить

, то есть измерение окажется неверным. Для Алисы и Боба это окажется непонятной ситуацией, ведь Алиса послала диагонально поляризованный фотон, и Боб воспользовался нужным детектором, и все же он смог измерить его неверно. Короче говоря, когда Ева выбирает неправильный детектор, она «исказит» некоторые фотоны, и это заставит Боба сообщить по телефону об ошибках, даже если он воспользовался правильно выбранным детектором. Эти ошибки могут быть обнаружены, если Алиса и Боб выполняют обычную проверку на наличие ошибок.

Проверка на наличие ошибок проводится после трех предварительных этапов; к этому времени Алиса и Боб уже получили одинаковые последовательности из 1 и 0 . Допустим, что они создали последовательность, состоящую из 1075 двоичных цифр. У Алисы и Боба есть только один способ проверить, что их соответствующие последовательности совпадают: Алиса звонит Бобу и зачитывает ему свою последовательность целиком. К сожалению, если Ева осуществляет перехват сообщений, она сможет перехватить и полный ключ. Ясно, что проверять всю последовательность неразумно, да в этом и нет необходимости. Вместо этого Алиса просто должна выбрать какие-нибудь произвольные 75 цифр и проверить только их. Если эти 75 цифр совпадают с теми, которые получил Боб, то весьма маловероятно, чтобы Ева смогла осуществить перехват в процессе первоначальной передачи фотонов. В действительности, вероятность того, что Ева подключилась к телефонной линии и не повлияла на измерения Боба этих 75 цифр, составляет менее одной триллионной. Ввиду того, что эти 75 цифр открыто обсуждались Алисой и Бобом, они просто отбрасывают их, и их одноразовый шифрблокнот таким образом сокращается с 1075 до 1000 двоичных цифр. С другой стороны, если Алиса и Боб обнаружат несоответствие среди этих 75 цифр, тогда им станет известно, что Ева осуществила перехват; в этом случае им придется отказаться полностью от этого одноразового шифрблокнота, перейти на другой телефон и начать все заново.

Подведем итог. Квантовая криптография является системой, которая обеспечивает секретность связи, не позволяя Еве безошибочно прочесть сообщение между Алисой и Бобом. Более того, если Ева попробует осуществить перехват, то Алиса и Боб смогут обнаружить ее присутствие. Тем самым квантовая криптография дает Алисе и Бобу возможность обменяться информацией и согласовать одноразовый шифрблокнот совершенно конфиденциальным образом, после чего они смогут использовать его в качестве ключа для зашифровываю«! сообщения. Этот способ состоит из пяти основных этапов:

(1) Алиса посылает Бобу последовательность фотонов, а Боб измеряет их.

(2) Алиса сообщает Бобу, в каких случаях он измерил их правильно. (Хотя Алиса и говорит Бобу, когда он выполнил правильное измерение, она не сообщает ему, каков должен быть правильный результат, так что, даже если подслушивать их разговор, это не представляет ровным счетом никакой опасности.)

(3) Чтобы создать пару идентичных одноразовых шифрблокнотов, Алиса и Боб отбрасывают те измерения, которые Боб выполнил неверно, и используют те из них, которые он выполнил правильно.

(4) Алиса и Боб проверяют неприкосновенность своих одноразовых шифрблокнотов путем сличения нескольких цифр.

(5) Если процедура проверки показала удовлетворительные результаты, они могут использовать одноразовый шифрблокнот для зашифровывания сообщения; если же проверка выявила ошибки, то им становится известно, что Ева осуществила перехват фотонов, и им следует начать все заново.

Статья Виснера о квантовых деньгах, спустя четырнадцать лет после того, как была отклонена научными журналами, послужила причиной появления абсолютно стойкой системы связи. Теперь, живя в Израиле, Виснер испытывает удовлетворение от того, что наконец-то его работа получила признание: «Вглядываясь назад, я думаю, смог ли бы сделать больше этого. Люди осудили меня за то, что я бросил это дело, за то, что я не приложил никаких дополнительных усилий для опубликования своей идеи; я полагаю, что они в какой-то мере правы, но я, был молодым аспирантом, и ко мне не было особого доверия. Во всяком случае, квантовые деньги, похоже, никого не интересовали».

Криптографы с энтузиазмом восприняли квантовую криптографию Беннета и Брассарда. Однако многие экспериментаторы считают, что эта система хорошо работает в теории, но окажется непригодной на практике. Они полагают, что из-за сложности обращения с отдельными фотонами эту систему реализовать будет невозможно. Но несмотря на эти критические замечания Беннет и Брассард убеждены, что квантовую криптографию можно заставить работать. На самом деле они настолько верят в нее, что создание аппаратуры их совершенно не беспокоит. Как однажды заявил Беннет: «Нет никакого смысла отправляться на Северный полюс, если вы знаете, что он находится там».

Однако растущий скептицизм в конечном счете вынудил Беннета представить доказательства, что система действительно может работать. В 1988 году он начал собирать компоненты, необходимые для создания квантовой криптографической системы и пригласил аспиранта Джона Смолина помочь ему собрать установку. Год спустя они уже готовы были попытаться послать первое сообщение, зашифрованное с помощью квантовой криптографии. Как-то поздним вечером они уединились в своей лаборатории, куда не мог извне проникнуть свет, а внутри все было черным, как смоль, что предохраняло от случайных фотонов, которые могли бы помешать эксперименту. Плотно пообедав, они были вполне готовы к работе на установке в течение всей длинной ночи. Они начали с того, что попытались послать поляризованные фотоны через комнату, а затем измерить их с помощью +-детектора и Х-детектора. Компьютер, в итоге названный «Алисой», контролировал передачу фотонов, а компьютер, названный «Бобом», принимал решение, какой из детекторов следовало использовать для измерения каждого фотон.

Примерно в 3 часа утра Беннет зарегистрировал первый квантовокриптографический обмен. «Алиса» и «Боб» сумели отправить и принять фотоны, они «обсудили» поляризационные схемы, которые использовала «Алиса», они отбросили те фотоны, которые были измерены «Бобом» с помощью неправильного детектора, и они согласовали одноразовый шифрблокнот, состоящий из оставшихся фотонов. «Не было никакого сомнения, что это будет работать, — заявил Беннет, — единственно, только наши пальцы могут оказаться слишком неуклюжими, чтобы построить ее». Эксперимент Беннета показал, что два компьютера — «Алиса» и «Боб» — смогли осуществить абсолютно секретную связь. Это был исторический эксперимент, несмотря на тот факт, что эти два компьютера находились на расстоянии всего лишь 30 см.

С момента эксперимента Беннета основной задачей стало создание квантовой криптографической системы, которая смогла бы работать на значительных расстояниях. Это не простая задача, поскольку фотоны «ведут себя нехорошо». Если Алиса передает фотон с определенной поляризацией по воздуху, то молекулы воздуха будут взаимодействовать с ним, приводя к изменению его поляризации, что недопустимо. Более подходящей средой для передачи фотонов является оптоволокно, и в настоящее время исследователи преуспели в применении его для создания квантовых криптографических систем, которые действуют на больших расстояниях. В 1995 году исследователям из Женевского университета удалось реализовать квантовую криптографию по оптоволоконному кабелю протяженностью 23 км от Женевы до города Нион.

Совсем недавно группа ученых из Лос-Аламосской национальной лаборатории в Нью-Мексико снова приступила к экспериментам с квантовой криптографией в воздухе. Их конечной целью является создание квантовой криптографической системы, которая сможет работать через спутники. Если они сумеют этого добиться, то это позволит создать абсолютно стойкую глобальную связь. Пока что Лос-Аламосской группе удалось передать квантовый ключ через воздух на расстояние 1 км.

Нынче эксперты по безопасности задаются вопросом, сколько пройдет времени, пока квантовая криптография не станет реальностью. Сегодня квантовая криптография не дает никаких преимуществ, так как шифр RSA уже обеспечивает нам доступ к практически неразрываемому шифрованию. Однако как только квантовые компьютеры станут реальностью, то RSA и все другие современные шифры окажутся бесполезными и квантовая криптография превратится в необходимость. Так что гонка продолжается. Действительно важным является вопрос: вовремя ли появится квантовая криптография, чтобы спасти нас от квантовых компьютеров, или же между созданием квантовых компьютеров и появлением квантовой криптографии возникнет брешь. До сих пор квантовая криптография была более передовой технологией. Эксперимент в Швейцарии с оптоволоконными кабелями продемонстрировал, что вполне реально создать систему, которая позволит обеспечить секретную связь между финансовыми учреждениями в пределах одного города. Более того, в настоящее время можно уже создать канал линии передачи с использованием квантовой криптографии между Белым домом и Пентагоном. Не исключено, что такой канал уже существует.

Квантовая криптография означала бы конец противостоянию между шифровальщиками и дешифровальщиками, и шифровальщики оказались бы победителями. Квантовая криптография является нераскрываемой системой шифрования. Возможно, что это покажется преувеличением, особенно в свете предыдущих подобных заявлений. За последние две тысячи лет криптографы в разное время были уверены, что одноалфавитный шифр, многоалфавитный шифр и машинные шифры, как, например, шифр «Энигмы», были нераскрываемыми. В каждом из этих случаев криптографы в конце концов убеждались в своей неправоте, поскольку их заявления основывались исключительно на том факте, что в какой-то момент истории сложность шифров опережала мастерство и методы криптоаналитиков. Оглядываясь в прошлое, мы можем видеть, что криптоаналитики рано или поздно, но находили способ взлома всех этих шифров или создавали метод, который помогал их взломать.

Однако заявление, что квантовая криптография является стойкой, качественно отличается от всех прежних заявлений. Квантовая криптография является не просто практически нераскрываемой, она нераскрываема совершенно. Квантовая теория — самая удачная теория в истории физики — подразумевает, что Ева никогда не сможет безошибочно перехватить криптографический ключ одноразового использования, который был создан Алисой и Бобом. Ева не сможет даже попытаться перехватить криптографический ключ одноразового использования без того, чтобы Алиса и Боб не были предупреждены о ее действиях. На самом деле, если бы сообщение, защищенное с использованием квантовой криптографии, оказалось бы когда-нибудь расшифровано, это означало бы, что квантовая теория ошибочна, что имело бы ужасающие последствия для физиков — им пришлось бы заново пересмотреть свое понимание действия самых фундаментальных законов Вселенной.

Если смогут быть созданы квантовые криптографические системы, способные действовать на значительных расстояниях, развитие шифров остановится. Поиск обеспечения секретности закончится. Данная технология для обеспечения безопасной связи будет доступна правительству, вооруженным силам, предприятиям, компаниям и обществу. Останется только один вопрос: позволят ли нам правительства воспользоваться данной технологией? И каким образом правительства станут осуществлять управление квантовой криптографией, чтобы обогатить информационный век, но при этом не защитить преступников?

Познавательные статьи:



Алгоритмические операторы Matlab

Конструирование и порядок расчёта дорожной одежды

Исследования учёных: почему помогают молитвы?

Почему терпят неудачу многие предприниматели?