Несекретное засекречивание

Как известно, Алиса и Боб обмениваются сообщениями по открытым каналам связи, которые могут прослушиваться противником Виктором. Боб посылает Алисе зашифрованное сообщение. Возможно ли организовать шифрование таким образом, чтобы Алисе и Бобу не пришлось предварительно договариваться об общем секретном ключе? На первый взгляд кажется, что это невозможно. Действительно, если Алиса и Боб не обладают общим секретным ключом, то Виктор знает те же секреты Боба, что и Алиса. Следовательно, если Алиса может читать шифртексты Боба, то это вполне способен сделать и Виктор.

Мы сказали секреты Боба и поняли, что Боб не может переслать свой секрет Алисе в тайне от Виктора. А Алиса? Алисе нет необходимости отсылать свой секрет кому-либо. Алиса может попытаться устроить дело так, что все могут зашифровывать и только она сама расшифровывать.

В 1944 году в компании Bell в рамках закрытого проекта C43 был предложен следующий сценарий секретных телефонных переговоров. Алиса генерирует в открытом канале секретную помеху, на которую накладывается сообщение Боба. Виктор не может отделить сигнал от шума, это может сделать только Алиса.

В конце 60-х годов прошлого века отчет компании Bell заинтересовал сотрудника Британской секретной службы (CESG) Д. Эллиса. Эллис опубликовал в закрытой печати схему, которая является прототипом современных криптосистем с открытым ключом. В схеме Эллиса используется заданные таблично отображения M₁: K → K и M₂, M₃: X × K → X, которые обладают следующим свойством: если k₂ = M₁(k₁) и y = M₂(x, k₂), то M₃(y, k₁) = x. Здесь K – множество ключей, X – множество сообщений, k₁ – личный ключ Алисы, k₂ – открытый ключ, x – произвольный открытый текст, y – соответствующий шифртекст. Таблицы M₁, M₂, M₃ являются общедоступными. Если таблицы достаточно велики и достаточно случайны, то Виктору без знания k₁ трудно определить x по известному y или по известным x, y, k₂ определить k₁.

Эллис назвал свою схему несекретным засекречиванием (non-secret encryption) и поставил вопрос о возможности ее практической реализации, т. е. о нахождении подходящих отображений M₁, M₂, M₃. Примеры отображений были найдены К. Коксом (1973) и М. Уильямсоном (1976). Фактически, были найдены прототипы криптосистемы RSA (за 4 года до выхода знаменитой работы Ривеста, Шамира и Адлемана) и протокола формирования общего ключа Диффи – Хеллмана (через 2 месяца после опубликования статьи Д. и Х.).

Мы не знаем, возникла ли концепция криптографии с открытым ключом в США или в СССР еще раньше, чем в Великобритании. Все-таки кажется, что эта коцепция  ближе западному менталитету с его акцентом на личность, на неприкосновенность частной жизни. Западные Алиса и Боб психологически не готовы доверять  даже надежному и уважаемому Тренту, который помогает им наладить защиту сообщений, снабжая секретными ключами, но одновременно может читать всю их переписку. Не случайно термин private key (личный ключ) созвучен термину privacy (приватность). 

Закончим цитатой из воспоминаний Эллиса: "Криптография это весьма необычная наука. Большинство профессиональных ученых стараются сразу же публиковать свои результаты, поскольку значимость работы предполагает ее распространение. Наоборот, наиболее значимые криптографические достижения предполагают минимизацию информации, доступной потенциальному противнику. Поэтому профессиональные криптографы обычно работают в закрытых структурах, поддерживая активные внутренние контакты и защищая свои секреты от посторонних. Разглашение таких секретов возможно только для установления исторической точности и только после того как становится ясно, что дальнейшее сохранение секретов лишено смысла".