Маркант

Михаил Евгеньевич Масленников (2024)

В книге рассказывается о создании системы криптографической защиты банковских авизо для Центрального Банка России в 1992 году. Внедрение этой системы сразу же позволило снизить курс доллара и стабилизировать ситуацию с банковскими платежами начиная с 1 декабря 1992 года.

Ангстрем — 3

После изучения в НИР «Проба» математического аппарата для шифров на новой элементной базе естественно встал вопрос о построении простейшего примера такого шифра.

Здесь мне хотелось бы сказать несколько слов о том, кто тогда, на рубеже 80-х годов прошлого века, занимался в СССР криптографией и шифрами.

Специалистов-криптографов готовили только на 4 факультете ВКШ. Их отбирали и направляли на учебу 3 ведомства: КГБ, Министерство обороны и НИИ Автоматики. После окончания 4 факультета выпускники направлялись на службу в то ведомство, которое их набирало на учебу. Выпускники от КГБ и МО становились действующими офицерами, хотя военную форму в КГБ не носили, а выпускники от НИИ Автоматики — офицерами запаса, не получающими льгот и выплат, положенных действующим офицерам, хотя во время учебы на 4 факультете были военнослужащими и ходили в военной форме. В прошлом НИИ Автоматики — спецтюрьма № 16 МВД СССР, в 1948 году преобразована в спецтюрьму № 1 МГБ СССР, эта спецтюрьма известна по роману А.И.Соженицына «В круге первом».

Разработкой новых советских шифров должно было заниматься НИИ Автоматики, а Спецуправление 8 ГУ КГБ СССР — проводить их экспертизу. В реальной жизни разработка и экспертиза тесно переплетались и превращались в совместную работу криптографов, закончивших 4 факультет.

После окончания 4 факультета в 1979 году я попал на работу в 5 (Теоретический) отдел Спецуправления 8 ГУ КГБ СССР. Там тогда тоже интересовались шифрами на новой элементной базе, поддерживали тесные связи с НИИ Автоматики. В группе Валерия Владимировича Ященко, в которую я попал, вели следующий, если так можно выразиться, «анализ идеи» построения шифра на новой элементной базе с помощью неавтономного регулярного регистра сдвига над Z/256, которую принесли в 5 отдел Владимир Владимирович Седов и Борис Владимирович Березин из НИИ Автоматики.

Рис. 2. Шифратор «Ангстрем — 3»

В этой идее самое привлекательное — простота ее реализации. В НИИ Автоматики, по-видимому, поддерживали связи с заводом «Ангстрем» в Зеленограде, который в то время являлся ведущим предприятием по выпуску советской электроники. В.В.Седов и Б.В.Березин заканчивали 4 факультет, знали о НИР «Проба» и пытались перейти от чисто абстрактных математических результатов к конкретным шифраторам. Изображенный выше неавтономный регулярный регистр сдвига над Z/256 получил название шифратор «Ангстрем — 3». Слово «Ангстрем», по-видимому, предполагало, что он будет реализован на элементной базе завода Ангстрем, а цифра 3 — что это была не первая такая попытка.

Я подробно описывал в КиС, как мне удалось взломать «Ангстрем — 3» при T = 16 и как к этому отнеслись мои новые начальники. «Ангстрем — 3» взламывался на спор, я этот спор выиграл и получил за это прибавку к жалованию. Дальше, естественно, встал вопрос: а как можно модифицировать «Ангстрем — 3» так, чтобы сделать его стойким и сохранить простоту реализации?

Первая и самая необходимая модернизация — переставить подстановку.

Рис. 3. Шифратор «Ангстрем — 3 М»

Почему использование подстановки π до, а не после операции сложения с функцией обратной связи более целесообразно? Давайте немного окунемся в математику и в проведенный в 5 отделе СУ 8 ГУ КГБ СССР «анализ идеи» шифратора «Ангстрем — 3». Я неспроста употребил здесь такой странный термин, как «анализ идеи». Сам шифратор может строиться по-разному, это может быть блочный шифр (простая замена большой степени), а может быть шифр гаммирования. Но анализ в любом случае проводится в следующих предположениях.

Ключом является входное слово (последовательность байт) x₁,x₂,…,x_T, записанное в правом регистре;

Цикл работы состоит из T тактов, за каждый такт состояние левого регистра сдвигается на одну ячейку влево и в крайнюю правую ячейку добавляется функция обратной связи, зависящая от состояния и очередного байта ключа;

Подстановка π — известна;

Известны несколько начальных и соответствующих им конечных состояний левого регистра.

При таких предположениях ставится задача: определить неизвестный ключ, т.е. входное слово x₁,x₂,…,x_T.

Обозначим состояния левого регистра.

— y₁,y₂,…,y₈ начальное состояние;

— y₉,y₁₀,…,y_T промежуточное состояние;

— y_T+1,y_T+2,…,y_T+8 конечное состояние.

При T ≤ 8 промежуточное состояние отсутствует.

Для шифратора «Ангстрем — 3» при любом i ϵ {1,2,…,T} будет справедливо следующее соотношение:

y_8+i = π(y_i + y_1+i + y_7+i + x_i) =>

π^-1(y_8+i) = y_i + y_1+i + y_7+i + x_i =>

π^-1(y_8+i) = ππ^-1(y_i) + ππ^-1(y_1+i) + ππ^-1(y_7+i)+ x_i.

Заменив в этих соотношениях π^-1(y_i) на z_i при всех i от 1 до T+8, получаем систему уравнений, в которую ключевые параметры x_i входят линейно. Для криптографа это — катастрофа, как конкретно взламывается «Ангстрем — 3» при T = 16 можно прочитать в КиС.

Если подстановку π переставить и использовать до, а не после операции сложения с функцией обратной связи, то такого линейного вхождения знаков ключа уже не будет.

Изучению шифраторов типа «Ангстрем — 3» в начале 80-х годов в 5 отделе СУ 8 ГУ КГБ СССР была посвящена НИР «Мотив». Закончилась она созданием заявки на изобретение.

Рис.4. Авторское свидетельство на шифратор «Ангстрем — 3».