История тотальной слежки АНБ

Конфликт между Роскомнадзором и Telegram в прошлом году — далеко не первая попытка правительства получить доступ к шифрованным цифровым коммуникациям. О самом жарком и показательном примере противостояния властей и поборников приватности у нас мало кто знает, поскольку дело было в США и относительно давно — в начале девяностых. В этой статье я расскажу об истории конфликта и попытаюсь выявить уроки, которые руководители спецслужб тогда усвоили, но успели позабыть.

Еще по теме: Шпионские устройства АНБ

Криптовойна: двадцать лет спустя

В 2014 году компания Apple объявила о том, что на всех смартфонах с новой версией iOS по умолчанию активирована функция сквозного шифрования. Через несколько дней подобная новость поступила и от Google.

Два технологических гиганта предприняли этот шаг не от хорошей жизни. Их на это подвигло падение доверия потребителей, вызванное широко нашумевшими откровениями Сноудена в 2013 году (см. отчет New America). Вот американские компании с Google и Apple во главе и начали двигаться в сторону серьезной защиты приватности, в частности повсеместного HTTPS и сквозного шифрования переписки (например, его добавили в WhatsApp).

Потребители встретили такую криптографическую инициативу бурными овациями, чего не скажешь о правительственных спецслужбах. Смотри, например, нападки на шифрование в iOS 8 и Android L директора ФБР Джеймса Коми или заметку вторящего ему прокурора округа Манхэттен Сайруса Вэнса.

Коми заявил: «Новые функции повышения уровня конфиденциальности, реализованные в гаджетах Apple и Google, позволяют гражданам выйти за рамки закона. Мы должны принять меры, чтобы эти компании согласились размещать в своих устройствах правительственные бэкдоры, чтобы наши спецслужбы могли при необходимости беспрепятственно расшифровывать любые коммуникации». Бывший генпрокурор Эрик Холдер тоже призвал технологические компании обеспечить бэкдоры для правоохранительных органов. Их аргументы получили поддержку АНБ.

Все эти обстоятельства положили начало горячей дискуссии. Осуществимо ли технически внедрение шпионских бэкдоров без ущерба для общей безопасности? Какими будут последствия их внедрения для экономических и гражданских свобод? Свои ответы на эти вопросы дали, например, изобретатель криптографии с открытым ключом Уитфилд Диффи, знаменитый ИБ-эксперт Брюс Шнайер, калифорнийский сенатор Тед Лиу (имеющий, в отличие от своих коллег, диплом программиста) и многие другие знатоки. Надо ли говорить, что они выступили не на стороне ФБР и АНБ?

Ровно такую же политическую баталию — с теми же аргументами и контраргументами — мир уже видел двадцать лет назад (и даже многие участники с обеих сторон фигурировали те же). Тогда ее окрестили «криптовойной». Стало быть, сегодня мы имеем честь наблюдать «криптовойну 2.0».

Как начиналась криптовойна девяностых

Хотя армия и контрразведка применяют криптографию испокон веков, дебаты о праве общественности на использование шифров начались с момента изобретения «криптографии с открытым ключом» в 1976 году. Дебаты эти открылись знаменитой статьей Диффи и Хеллмана «Новые направления в криптографии» (PDF), в которой рассказывалось, как обычные люди и предприятия могут безопасно передавать данные по общедоступным сетевым каналам. Эта статья бросила вызов давней монополии правительственных спецслужб на использование шифров.

Вскоре после публикации «Новых направлений криптографии» трое математиков из Массачусетского технологического (Рональд Ривест, Ади Шамир, Леонард Адлеман) разработали алгоритм RSA (комбинация их инициалов), который воплотил эту новую теорию шифрования на практике (см. их работу: PDF). RSA позволил обычным людям вести конфиденциальную переписку по электронной почте. Именно благодаря ему стали возможны «цифровые подписи».

Криптографию с открытым ключом радушно приняли предприятия и частные лица. Однако правительственные службы не разделяли их воодушевления. К началу девяностых широкое распространение ПК, сотовых телефонов и интернета заставило спецслужбы задуматься о влиянии криптостойкого шифрования на их возможности прослушки.

В январе 1991 года сенатор Джо Байден добавил новый пункт в проект закона о борьбе с терроризмом: «Поставщики услуг электронных коммуникаций и производители телекоммуникационного оборудования должны обеспечить правительственным службам возможность получать незашифрованные версии голоса, текста и других видов контента». Хотя этот пункт не был утвержден, намек технологическим компаниям был крайне прозрачным: правительство вряд ли позволит существовать средствам связи, обеспечивающим надежное шифрование. С 1992 года в АНБ начались серьезные дискуссии, как решить «проблему» широкого распространения надежного шифрования раз и навсегда.

Криптовойна приближалась!

Два взгляда на Clipper — чип с бэкдором для АНБ

Идея найти приемлемый способ доступа к ключам, используемым в шифрованных средствах коммуникации, не покидала умы спецслужб на протяжении всех девяностых. В АНБ для этого разработали новый алгоритм шифрования, известный как Skipjack. Он стал кульминацией усилий АНБ, направленных на продвижение «компромиссной» криптографии: и безопасной, и легкодоступной для спецслужб.

В АНБ свое детище позиционировали как «более сложный и надежный алгоритм, чем какой-либо другой из доступных на сегодняшний день. Даже лучше DES». Но сотрудники АНБ предоставляли Skipjack (в виде так называемого чипа Clipper) технологическим компаниям с двумя оговорками.

Во-первых, алгоритм был засекречен. Поэтому его можно было встраивать только в те устройства, которые изготавливались в тесном сотрудничестве с представителем АНБ. Никому за пределами ведомства не разрешалось видеть, как именно работает алгоритм Skipjack. Во-вторых, в АНБ позволяли использовать Skipjack только тем технологическим компаниям, которые соглашались встроить в свое оборудование правительственный бэкдор, — чтобы спецслужбы могли получать доступ к ключам от всех коммуникаций, защищенных шифром Skipjack.

Еще по теме: Приватные операционные системы для защиты от слежки

Для повышения доверия общественности к Skipjack в АНБ созвали группу академических и отраслевых экспертов — проанализировать эффективность шифра и донести до широких масс идею, что «Skipjack представляет собой средство, позволяющее сбалансировать индивидуальные интересы частной жизни с общим социальным благом» и что «стоимость взлома Skipjack прямым перебором очень высока. Она сравняется со стоимостью такого же взлома DES — раньше чем через 36 лет».

Спустя несколько лет лидер этой группы АНБ, криптограф из Джорджтаунского университета Дороти Деннинг обмолвилась, что решение АНБ о сохранении секретности Skipjack было попыткой скрыть критические уязвимости алгоритма.

В июле 1993 года, примерно в то же время, как был опубликован отчет АНБ, Национальный институт стандартов и технологий США (NIST) инициировал общественное обсуждение Clipper. И его результаты резко контрастировали с заключениями группы госпожи Деннинг. Только двое из 320 экспертов высказались в поддержку «Клиппера».

Эксперты, объединившиеся под флагом NIST, указали на три принципиальные проблемы Clipper.

1. По словам Уитфилда Диффи, попытка правительства США взять на себя роль «хранителя ключей» нивелирует основное достоинство этого вида криптографии: вновь вводит зависимость от третьей стороны. Что еще хуже, этой третьей стороной будет правительство, которое уже показало свое неуважение к праву на приватную жизнь.
2. Сами чипы Clipper были дорогостоящими, а приобрести их можно было только у единственного поставщика, что исключало конкуренцию в производстве и ценообразовании. Также существовал риск, что продукт с «Клиппером» может оказаться несовместимым с устройствами без него.
3. Наконец, эксперты опасались, что правительственная инициатива по продвижению Clipper — это первый шаг на пути к запрещению альтернативных форм шифрования (см. публикацию NIST).

Мобилизация общественности против Clipper

Публичная инициатива NIST была не единственным выражением озабоченности общественности по поводу Clipper, однако именно она спровоцировала волну скоординированной активности со стороны разных групп. В оппозицию входили борцы за приватность, технические эксперты, академики, хакеры и лидеры отрасли. Спустя несколько недель после официального анонса Clipper Ассоциация производителей компьютеров и оргтехники, включавшая в себя 26 крупнейших компьютерных компаний США, вслед за NIST раскритиковала экономическую жизнеспособность Clipper.

Самой же интересной группой оппозиционеров стало движение шифропанков (Cypherpunks). Это сообщество переписывалось (и, по сути, существовало) в одноименной почтовой рассылке. Она была запущена в 1992 году и через два года имела около 700 подписчиков. Здесь обсуждалась математика, криптография, программирование, а также политика и философские вопросы.

Идеология шифропанков, которую они окрестили криптоанархизмом, гласила, что надежное шифрование — это ключ к личной свободе, а развитие связанных с ним технологий рано или поздно сделает государства ненужными. Неудивительно, что Clipper и АНБ для этой группы были врагами номер один.

Среди известных шифропанков: Джулиан Ассанж, разработчик Tor Джейкоб Эпплбаум, автор протокола BitTorrent Брэм Коэн, создатель Signal Мокси Марлинспайк, создатель Bit Gold (предшественника Bitcoin) Ник Сабо и многие другие знаменитости, включая, конечно, уже упомянутых Уитфилда Диффи и Брюса Шнайера. Более полный их список ты найдешь в «Википедии».

В числе прочего шифропанки призывали бойкотировать AT&T, которая согласилась вставить Clipper в свой новый телефон с шифрованием. Постепенно к публичной кампании шифропанков против Clipper присоединился широкий круг частных и юридических лиц.

Видя явную угрозу праву на неприкосновенность частной жизни, зарождающиеся группы «Фонд электронных рубежей» (EFF) и «Центр электронной частной информации» (EPIC) тоже подключились к борьбе против Clipper (см., к примеру, бюллетень EFF за апрель 1993 года). Они организовывали панельные дискуссии с экспертами, общались с конгрессом и распространяли электронные петиции. Одна из их петиций собрала больше 50 тысяч подписей. Беспрецедентно в ранние дни интернета!

Координацию всей этой деятельности взяло на себя еще одно сообщество оппозиционеров — Ассоциация компьютерных профессионалов за социальную ответственность (CPSR). Например, в январе 1994 года члены CPSR подготовили письмо администрации Клинтона с призывом отказаться от Clipper.

Этот текст подписали более тридцати ведущих криптографов, экспертов по безопасности и борцов за приватность. Среди подписавшихся были многие из отцов-основателей публичной криптографии: Уитфилд Диффи, Мартин Хеллман, Рональд Ривест, Фил Циммерман, Ральф Меркл и другие авторитеты.

Наконец, к оппозиции присоединился ряд видных политиков — как демократов, так и республиканцев. Сенатор Патрик Лихи, один из самых ярых критиков «Клиппера», призывал АНБ задаться вопросом об эффективности чипа, учитывая существование таких альтернатив, как PGP. «Сомневаюсь, что преступники будут пользоваться теми шифрами, от которых у правительства есть ключи, когда в продаже имеется множество альтернативных методов шифрования», — сказал он на слушаниях в 1994 году.

Первые шаги на пути к отказу от «Клиппера»

Несмотря на растущую оппозицию, спецслужбы не спешили отказаться от своей задумки. В феврале 1994 года правительство США официально приняло технологию Clipper в качестве федерального стандарта обработки информации: «Стандарт шифрования с депонированием ключей» (EES). Естественно, скептически настроенная публика не была довольна. В марте 1994 года, согласно опросу CNN и TIME, 80% американцев выступили против «Клиппера». Очевидно, пиар-активность оппозиции не прошла даром.

Правительству пришлось разворачивать встречную пиар-кампанию. Главный советник АНБ Стюарт Бейкер опубликовал статью в журнале Wired: «Не переживай и будь счастлив: почему Clipper полезен для тебя». Дороти Деннинг тоже пошла в наступление: писала журнальные статьи и обзоры, осуждая самых видных критиков Clipper. По факту она стала самым ярым защитником позиции АНБ.

Однако в итоге АНБ проиграло. Оппозиция таки смогла отстоять свое право на надежное шифрование без «Клиппера». Последний гвоздь в крышку гроба Clipper и Skipjack был забит в мае 1994 года Мэттом Блейзом из AT&T Bell Laboratories. Он представил на конференции ACM CCS ‘94 отчет о нескольких потенциальных уязвимостях Clipper (PDF).

Найденная проблема сводится к следующему. Чип передает устройству 128-битное поле Law Enforcement Access Field (LEAF), которое содержит информацию, необходимую для восстановления ключа шифрования. Программа, которая отправляет сообщение, защищена от работы с поддельным LEAF при помощи 16-битного хеша: сообщения с неверным хешем не будут расшифрованы. Однако длина хеша недостаточно велика, чтобы служить серьезной преградой в будущем. При помощи брутфорса в теории можно получить новое значение LEAF, которое будет давать тот же хеш. Это позволило бы использовать Clipper для шифрования без посредничества третьей стороны (то есть правительственных органов).

Но даже проиграв, АНБ не думало сдаваться. После фиаско 1994 года спецслужбы так и не отказались от своих попыток держать криптографию под контролем. Правда, несколько видоизменили тактику: взяли курс на условное депонирование ключей.

В чем разница с обычным депонированием, которое АНБ пыталось внедрить до этого? Суть условного депонирования в том, что «ключ» к каждому устройству будут хранить не правительственные спецслужбы, а сертифицированная спецслужбами третья сторона.

Но и новая схема в конце концов тоже провалилась. Проблемы конфиденциальности, безопасности и экономические издержки продолжали превышать любые потенциальные выгоды. К 1997 году было сформулировано огромное количество аргументов, подтверждающих, что развитие «условного депонирования ключей» совершенно бесперспективно (ты можешь найти их в книге Джампьеро Джакомелло National Governments and Control of the Internet: A Digital Challenge).

В 1996 году Национальный исследовательский совет США (NRC) опубликовал 700-страничный отчет, в котором разобраны проблемы попытки ограничить распространение надежного шифрования. В конце 1997 года ту же идею поддержала в своем техническом отчете Еврокомиссия.

Окончательно добил идею условного депонирования ключей технический отчет за подписью десятка технических экспертов. Имена все уже знакомые: Мэтт Блейз, Уитфилд Диффи, Брюс Шнайер и другие.

На пороге криптовойны 2.0

Прогнозы активистов о том, что надежное шифрование принесет пользу экономике, укрепит безопасность интернета и защитит гражданские свободы, сбылись в полной мере. Появление основополагающих технологий, таких как SSL и SSH, позволило реализовать электронные банковские системы, системы обработки электронных медицинских карт, онлайновые инструменты оплаты счетов, системы домашней автоматизации, системы электронной передачи налоговой отчетности, VPN и многие другие полезные вещи.

Со времен «Клиппера» надежное шифрование стало гораздо доступнее, но спецслужбы продолжают попытки препятствовать его распространению. Перипетии первой криптовойны потихоньку забываются, а достигнутые свободы снова под угрозой.

Чтобы обосновать свою точку зрения, сотрудники спецслужб возродили многие из тех аргументов, которые выдвигались в девяностых годах (они подробно перечислены, например, в докладе активиста Кевина Бэнкстона, PDF).

В 2013 году благодаря WikiLeaks была раскрыта информация о широко распространенных программах наблюдения АНБ. И вот приватность, защита личных данных и связанные с этим проблемы снова в центре внимания общественности.

«Мы рекомендуем оказывать всестороннюю поддержку созданию и распространению стандартов шифрования и уж тем более не подрывать данные инициативы», — говорится в отчете (PDF) аналитической группы при президенте США. Она создана после откровений Сноудена в 2013 году и призвана оценить деятельность АНБ, затрагивающую приватность граждан. Но к какой стороне прислушаются власти, пока неясно.

Еще по теме: Слежка спецслужб путем перехвата Skype и другого VoIP