От отвергнутого Виженера к человеку в железной маске

 

Традиционные виды шифров замены, которые существовали до появления шифра Виженера, назывались одноалфавитными шифрами замены, поскольку для зашифровывания сообщения в них использовался только один шифралфавит. В отличие от них шифр Виженера относится к классу шифров, известных как многоалфавитные, поскольку здесь для зашифровывания сообщения применяется несколько шифралфавитов. Многоалфавитность шифра Виженера как раз и обеспечивает ему стойкость, но из-за этого же пользоваться им значительно сложнее — вот эта-то необходимость применения дополнительных усилий многим отбивала охоту от его использования.

Одноалфавитный шифр замены прекрасно подходил для многих целей семнадцатого века. Если вы хотели, чтобы ваш слуга не смог прочесть вашу частную переписку или если вы хотели защитить свой дневник от любопытствующих глаз своей жены или мужа, тогда вполне годился этот тип шифра. Одноалфавитная замена выполнялась быстро, она отличалась простотой и обеспечивала защиту от людей, не сведущих в криптоанализе. Фактически простой одноалфавитный шифр замены в той или иной форме служил в течение многих столетий (см. Приложение D). Для более серьезных целей, как, например, военная или правительственная связь, где обеспечение секретности является важнейшей задачей, использование одноалфавитного шифра было явно недостаточно. Профессиональным криптографам в противоборстве с профессиональными криптоаналитиками необходимо было что-то получше, однако они все еще не были расположены применять многоалфавитный шифр из-за его сложности. В частности, для военной связи требовались скорость и простота, а в дипломатических учреждениях ежедневно отправляли и получали сотни сообщений, поэтому время имело существенное значение. Вследствие этого криптографы искали некий промежуточный шифр, взломать который было бы сложнее, чем простой одноалфавитный шифр, но пользоваться которым было бы проще, чем многоалфавитным шифром.

Среди различных кандидатов на такой шифр был поразительно эффективный омофонический шифр замены. Здесь каждая буква заменяется различными подставляемыми символами, причем количество возможных подставляемых символов для какой-либо буквы пропорционально частотности этой буквы. К примеру, частота появления буквы a в английских текстах составляет около 8 процентов, поэтому мы поставим в соответствие этой букве восемь символов. Всякий раз, как в открытом тексте появится буква a, она будет заменена в шифртексте одним из восьми выбираемых случайным образом символов, так что к концу зашифровывания частотность каждого символа в зашифрованном тексте будет составлять примерно 1 процент.

Для сравнения, частотность буквы b составляет всего 2 процента, поэтому этой букве будут соответствовать только два символа. Каждый раз, как в открытом тексте появляется буква b, для ее замены будет выбираться один из двух символов, и к концу зашифровывания частотность каждого символа в зашифрованном тексте также будет составлять около 1 процента. Данный способ назначения каждой букве различного количества символов, заменяющих эти буквы, проводится для всего алфавита, пока мы не доберемся до буквы z, которая появляется настолько редко, что для ее замены потребуется всего один символ. В примере, приведенном в таблице 5, подставляемыми символами в шифралфавите служат двузначные числа, и для каждой буквы в алфавите открытого текста имеется от одного до двенадцати подставляемых символов в зависимости от распространенности каждой из букв.

Мы можем считать, что все двузначные числа, которые соответствуют букве а открытого текста, фактически представляют собой один и тот же звук в шифртексте, то есть звук, соответствующий букве a. Поэтому в названии этого шифра — омофонический — homos по-гречески означает «тот же самый», a phonos — «звук». Смысл использования нескольких вариантов замены для часто встречающихся букв заключается в том, чтобы уравнять частотность появления символов в шифртексте.

Если мы зашифровали сообщение с помощью шифралфавита из таблицы 5, то частота появления каждого из чисел в тексте будет составлять примерно 1 процент. Если ни один из символов не появляется чаще остальных, то любая возможная атака с использованием частотного анализа окажется безуспешной. Абсолютная стойкость? Не совсем.

Для искусного криптоаналитика в шифртексте по-прежнему содержится множество тончайших нитей, ведущих к разгадке. Как мы видели в главе 1, каждая буква в английском языке имеет свои индивидуальные особенности, определяемые ее связью со всеми другими буквами, и эти черты можно разглядеть, даже если шифрование осуществляется путем омофонической замены. В английском языке самым наглядным примером буквы с ярко выраженной особенностью является буква q, после которой всегда стоит только одна буква u.

 

Таблица 5 Пример омофонического шифра замены. В верхней строке приведен алфавит открытого текста, строки ниже представляют собой шифралфавит с различными вариантами замены для часто встречающихся букв.

 

Если бы мы попытались дешифровать шифртекст, то мы могли бы начать с того, что подметили бы, что q является редко встречающейся буквой, и поэтому она, по всей видимости, представлена только одним символом; мы также знаем, что u, которая появляется примерно в 3 процентах, представляется тремя символами. Поэтому если мы найдем символ в шифртексте, за которым всегда следуют три определенных символа, то целесообразно предположить, что первым символом является q, а три остальных представляют собой u. Другие буквы распознать сложнее, но и их также можно определить по тому, как они связаны одна с другой. Хотя омофонический шифр можно взломать, но он гораздо более надежен, чем простой одноалфавитный шифр.

Омофонический шифр, возможно, и выглядит как многоалфавитный, поскольку каждая буква открытого текста может быть зашифрована множеством способов, но тут есть одно принципиальное отличие, и в действительности омофонический шифр является одним из видов одноалфавитного шифра. В таблице омофонов, приведенной выше, буква a может быть представлена восемью числами. Существенно то, что эти восемь чисел являются обозначением только буквы a. Другими словами, буква открытого текста может быть представлена несколькими символами, но каждый символ может представлять только одну букву. В многоалфавитном же шифре буква открытого текста также будет представлена различными символами, но больше всего в замешательство приводит тот факт, что в процессе шифрования эти символы будут представлять собой различные буквы.

Пожалуй, основная причина, почему омофонический шифр считается одноалфавитным, заключается в том, что после того, как шифралфавит был определен, он не меняется на протяжении всего процесса шифрования. То, что в шифралфавите заложено несколько возможных вариантов зашифровывания каждой буквы, несущественно. В то же время криптограф, применяющий многоалфавитный шифр, в процессе шифрования должен постоянно переходить от одного шифралфавита к другому.

Улучшив базовый одноалфавитный шифр различными способами, например, добавляя омофоны, становится возможным надежно зашифровать сообщения, не прибегая к сложностям многоалфавитного шифра. Одним из наиболее ярких примеров усовершенствованного одноалфавитного шифра был «великий шифр»[11]Людовика XIV.

«Великий шифр» применялся для зашифровывания наиболее секретных сообщений короля, скрывая детали его планов, замыслов и политических интриг. В одном из этих сообщений упоминалась одна из наиболее загадочных личностей во французской истории, человек в железной маске, но стойкость «Великого шифра» означала, что сообщение останется нерасшифрованным и непрочитанным в течение двух столетий.

«Великий шифр» был придуман Россиньолями, отцом и сыном, Антуаном и Бонавентуром. Антуан впервые приобрел известность в 1626 году. Ему передали зашифрованное письмо, захваченное у курьера, пробирающегося из осажденного города Реальмон, и к концу дня он дешифровал его; из письма стало ясно, что армия гугенотов, которая удерживала город, находится на грани гибели. Французы, которые до этого не подозревали об отчаянном положении гугенотов, вернули письмо вместе с его расшифровкой. Теперь гугеноты знали, что их противник не отступит, и немедленно сдались. Так победа французов явилась результатом дешифрования.

Могущество криптографии стало очевидным, и Россиньоли получили Высокие должности при дворе. После службы у Людовика XIII они продолжали трудиться криптоаналитиками и при Людовике XIV, на которого их работа произвела такое впечатление, что он предоставил им кабинеты рядом со своими апартаментами с тем, чтобы Россиньоли, и отец и сын, могли активно участвовать в формировании французской дипломатической политики. Данью всеобщего восхищения их умению взламывать шифры явилось то, что слово россиньолъ стало французским жаргонным названием отмычки.

Выдающееся мастерство и накопленный опыт по взламыванию шифров позволило Россиньолям понять, как создать более стойкий шифр, и они придумали так называемый «великий шифр». «Великий шифр» оказался настолько надежен, что сумел противостоять усилиям всех криптоаналитиков той эпохи, пытающихся выведать французские секреты, и даже последующих поколений дешифровальщиков. К сожалению, после смерти отца и сына «великий шифр» перестал применяться, а его подробности были быстро утеряны, что означало, что зашифрованные бумаги во французских архивах больше нельзя было прочесть.

Историки понимали, что бумаги, зашифрованные «великим шифром», могли бы дать уникальную возможность разгадать интриги Франции семнадцатого века, но даже к концу девятнадцатого столетия они по-прежнему не могли дешифровать их. В 1890 году Виктор Гендрон, военный историк, изучавший кампании Людовика XIV, разыскал новую серию писем, зашифрованных «великим шифром». Не сумев разобраться в них, он передал их Этьену Базери, выдающемуся эксперту в шифровальном отделе французской армии. Базери расценил эти письма как вызов и потратил следующие три года в попытках дешифровать их.

Зашифрованные страницы содержали тысячи чисел, но только 587 из них были разными. Стало ясно, что «великий шифр» более сложен, чем обычный шифр замены, поскольку для него требовалось всего лишь 26 различных чисел, по одному на каждую букву. Первоначально Базери полагал, что остальные числа являются омофонами и что некоторые числа представляют собой одну и ту же букву. Проверка этого направления заняла месяцы кропотливого труда, но все оказалось напрасным. «Великий шифр» не был омофоническим шифром.

Затем его осенила идея, что каждое число может представлять пару букв, или диграф. Имеется только 26 отдельных букв, но из них можно образовать 676 возможных пар букв, и это примерно равно количеству различных чисел в зашифрованных письмах. Базери попытался провести дешифрование, ища наиболее часто встречающиеся числа в зашифрованных письмах (22, 42, 124, 125 и 341) и предположив, что они, возможно, обозначают самые распространенные французские диграфы (es, en, ou, de, nt). Фактически он применил частотный анализ на уровне пар букв. Но, к сожалению, после нескольких месяцев труда и это предположение не дало никаких осмысленных результатов дешифрования.

Базери, похоже, уже был готов отказаться от этой идеи, когда ему пришло в голову использовать новый подход. Возможно, что мысль с диграфами была не так уж и далека от истины. Он начал обдумывать возможность того, что каждое число представляет не пару букв, а скорее целый слог. Он попытался сопоставить каждое число со слогом: может быть, чаще всего встречающиеся числа обозначают самые распространенные французские слоги.

Базери пробовал разные перестановки, но все они приводили к появлению тарабарщины — до тех пор, пока он не достиг успеха, отыскав одно отдельное слово. На каждой странице несколько раз появлялась группа чисел (124-22-125-46-345), и Базери предположил, что они обозначают les-en-ne-mi-s, то есть «les ennemis». Это оказалось ключевым моментом.

Теперь уже Базери мог проверить остальные отрывки зашифрованных писем, где эти числа появлялись в других словах. Он вставлял в них полученные из «les enemis» слоги, и открывались части уже других слов. Те, кто увлекается решением кроссвордов, знают, что, когда слово частично разгадано, нередко можно просто догадаться об остальной его части. По мере того как Базери определял новые слова, он находил новые слоги, которые, в свою очередь, давали возможность определить очередные слова, и так далее. Нередко он становился в тупик, отчасти из-за того, что силлабические значения никогда не были очевидны, отчасти потому, что некоторые числа представляли простые буквы, а не слоги, а иногда из-за того, что Россиньоли расставили в шифре ловушки. Так, например, одно из чисел не было ни слогом, ни буквой, а использовалось для того, чтобы удалить предыдущее число.

Когда дешифрование завершилось, Базери оказался первым за два столетия человеком, посвященным в тайны Людовика XIV. Вновь открывшиеся сведения привели в восторг историков, которые, в частности, уделяли большое внимание одному из писем, доставлявшее им танталовы муки. Похоже, что будет решена одна из величайших загадок семнадцатого века: кем же в действительности был «Человек в железной маске».

«Человек в железной маске» стал источником массы предположений с того самого момента, как был вначале заключен во французской крепости Пиньероль в Савойе. Когда в 1698 году его переводили в Бастилию, крестьяне старались хоть мельком увидеть этого человека, и каждый по-разному описывал его: низкий и высокий, светловолосый и темный, молодой и старый. Иные даже утверждали, что это был не мужчина, а женщина. Обладая столь ничтожным количеством противоречивых фактов, все, от Вольтера до Бенджамина Франклина, придумывали каждый свою теорию для объяснения истории «Человека в железной маске». Согласно наиболее популярной теории предполагалось, что «Маска» (как его иногда называли) был братом-близнецом Людовика XIV, приговоренным к заключению, дабы избежать любых разногласий в споре, кто является истинным претендентом на трон. В одном из вариантов этой теории приводятся доказательства, что у «Маски» были потомки и он был связан скрытым родством по королевской линии. В памфлете, выпущенном в 1801 году, утверждалось, что сам Наполеон был потомком «Маски», — слух, который император и не отрицал, так как он только укреплял его положение.

История «Маски» даже вдохновила поэтов, прозаиков и драматургов. В 1848 году Виктор Гюго начал создание пьесы «Близнецы», но когда выяснил, что Александр Дюма уже разработал этот же сюжет, то, несмотря на то что два акта уже были написаны, отказался от продолжения работы. С тех пор история «Человека в железной маске» для нас связана с именем Дюма. Успех его романа подкрепил идею, что «Маска» была связана с королевской фамилией, и эта теория сохранилась, несмотря на свидетельства, приведенные в одной из дешифровок Базери.

Базери дешифровал письмо, написанное Франсуа де Лувуа, военным министром при Людовике XIV, в котором тот подробно излагал преступления Вивьена де Булона, командира, ответственного за нападение на город Кунео на французско-итальянской границе. Булон, хотя ему было приказано удерживать свои позиции, испугался наступления австрийских войск и сбежал, бросив снаряжение и оставив на произвол судьбы многих своих раненых солдат. Военный министр заявлял, что такие действия поставили под угрозу всю пьемонтскую кампанию, и из письма ясно, что король расценивал поступок Булона как исключительную трусость:

 

Его Величество знает лучше, чем кто бы то ни было, последствия такого поступка, и он также осознает, насколько серьезно наша неудача нанесет вред нашему благому делу, неудача, которая должна быть исправлена за зиму. Его Величество желает, чтобы вы немедленно арестовали генерала Булона и препроводили его в крепость Пиньероль, где он должен будет находиться ночью запертым на замок в тюремной камере и под стражей, а днем ему разрешается прогулка по крепостной стене в маске.

 

Это было явным указанием на узника в маске, заключенного в крепости Пиньероль, на достаточно серьезное преступление, с датами, которые, похоже, соответствуют «Человеку в железной маске». Но раскрывает ли это тайну? Не удивительно, что те, кто отдает предпочтение разгадкам, связанным с заговорами, нашли изъяны в этой версии, по которой «Человеком в железной маске» является Булон. Например, приводится аргумент, что если бы Людовик XIV действительно попытался заключить в тюрьму без огласки своего непризнанного брата-близнеца, то он должен был бы оставить ряд ложных следов. Может быть, зашифрованное письмо как раз и предназначалось для того, чтобы его дешифровали? Может быть, дешифровальщик девятнадцатого века Базери попался в ловушку семнадцатого столетия?

 

«Черные кабинеты»

 

Усиление одноалфавитного шифра посредством применения его к слогам или добавления омофонов оказалось бы вполне достаточным в семнадцатом веке, но к восемнадцатому веку криптоанализ начал приобретать «промышленные» черты, с командами криптоаналитиков, состоящих на службе у правительства и совместно работающих над взломом многих наиболее сложных одноалфавитных шифров. В ведении каждой европейской державы был свой, так называемый «черный кабинет», — мозговой центр, занимающийся дешифрованием сообщений и сбором информации. Самым известным, славящимся строгой дисциплиной и эффективно действующим «черным кабинетом» был Geheime Kabinets-Kanzlei в Вене.

Он работал по жесткому графику, поскольку было жизненно важно, чтобы его гнусная деятельность не влияла на четкий ход работы почтовой службы. Письма, которые следовало доставить в посольства в Вене, вначале поступали в 7 утра в «черный кабинет». Секретари растапливали печати, а несколько стенографистов, работая параллельно, составляли копии писем. Если возникала необходимость, то для копирования документа на редком языке привлекался знающий этот язык специалист. В течение трех часов письма снова раскладывались по конвертам, запечатывались и возвращались в центральное почтовое ведомство, чтобы теперь уже их можно было доставить по назначению. Письма, просто пересылаемые транзитом через Австрию, поступали в «черный кабинет» в 10 утра, а письма, отправляемые из венских посольств за границу, передавались в «черный кабинет» в 4 часа пополудни. Со всех этих писем, перед тем как отправлять их дальше, также снимались копии. Ежедневно через венский «черный кабинет» проходили сотни сообщений.

Затем копии передавались криптоаналитикам, сидевшим в небольших будках в готовности препарировать сообщения, чтобы выискать в них смысл. Венский «черный кабинет» поставлял бесценную информацию императорам Австрии, но, помимо этого, он также продавал собранные им сведения и в другие государства Европы. В 1774 году в обмен на 1000 дукатов аббат Жоржель, секретарь французского посольства, получил возможность дважды в неделю просматривать полученные сведения, а затем отослал письма, в которых, предположительно, содержались секретные планы монархов различных стран, непосредственно Людовику XV в Париж.

«Черные кабинеты» действовали настолько эффективно, что все виды одноалфавитных шифров перестали быть надежными. Столкнувшись с таким профессиональным криптоаналитическим противодействием, криптографы, наконец, оказались вынуждены использовать более сложный, однако и более стойкий шифр Виженера. Постепенно шифровальщики начали переходить на применение многоалфавитных шифров. Наряду с тем, что криптоанализ стал более эффективным, существовала еще одна причина, повлиявшая на переход к более надежным видам шифрования — развитие телеграфа и необходимость защищать телеграммы от перехвата и дешифрования.

Хотя телеграф появился в девятнадцатом столетии, но его история началась еще в 1753 году, когда в шотландский журнал поступило письмо без подписи, в котором описывался способ, с помощью которого, связав отправителя и получателя 26 кабелями, — по одному на каждую букву алфавита, — можно было бы передавать сообщения на значительные расстояния. В этом случае отправитель смог бы передавать сообщение побуквенно, посылая по каждому проводу электрические импульсы. Так, чтобы передать слово hello, отправитель должен вначале послать сигнал по проводу h, затем по проводу e и так далее. Получатель должен будет каким-то образом определить наличие электрического тока в каждом из проводов и прочитать сообщение. Однако этот «быстрый способ передачи сведений», как его назвал изобретатель, так никогда и не был реализован, поскольку для этого необходимо было преодолеть определенные сложности технического характера.

К примеру, инженерам нужна была достаточно чувствительная система для обнаружения электрических сигналов. В Англии сэр Чарльз Уитстон и Уильям Фозерджил Кук создали детекторы из магнитных стрелок, которые отклонялись, когда по кабелю протекал ток. В 1839 году система Уитстона-Кука была опробована для передачи сообщений на расстояние 29 км между железнодорожными станциями в Уэст Дрейтоне и Паддингтоне. Вскоре весть о телеграфе и о том, с какой поразительной скоростью осуществляется связь с его помощью, распространилась по всей Англии, рождение же 6 августа 1844 года в Виндзоре у королевы Виктории второго сына, принца Альфреда, привело к тому, что телеграф приобрел огромную популярность. Новость о рождении сына была передана по телеграфу в Лондон, а уже через час на улицах появилась газета «Таймс» с объявлением об этом событии. На следующий год телеграф получил еще большую известность, когда с его помощью был задержан Джон Тейвел, убивший в городке Слау свою госпожу и попытавшийся скрыться, вскочив на направляющийся в Лондон поезд. Местная полиция передала по телеграфу в Лондон описание Тейвела, и, как только он прибыл в Паддингтон, был сразу же арестован.

Тем, временем в Америке Сэмюэль Морзе как раз организовал свою первую телеграфную линию, протянувшуюся на 60 км между Балтимором и Вашингтоном. Для усиления сигнала Морзе использовал электромагнит; в результате приходящий получателю сигнал был достаточно сильным, чтобы на бумаге можно было напечатать ряд коротких и длинных знаков — точек и тире. Он также придумал код, носящий в настоящее время название «код Морзе», в котором каждая буква алфавита представлена в виде серии точек и тире и который приведен в таблице 6, и создал аппарат «клопфер», с помощью которого получатель мог принимать на слух каждую букву как последовательность точек и тире.

В Европе телеграф, созданный с использованием принципа Морзе, постепенно вытеснил систему Уитстона-Кука, а в 1851 году на континенте была принята европейская форма кода Морзе, куда вошли буквы со знаком ударения. С каждым годом код Морзе и телеграф во все большей степени оказывали влияние на мир, помогая полиции задерживать преступников, а газетам доносить до читателей самые свежие новости, предоставляя ценную информацию для делового мира и давая возможность далеко расположенным друг от друга компаниям мгновенно заключать сделки.

Однако главной заботой было обеспечить защиту этой связи. Код Морзе по своей сути не является видом криптографии, потому что здесь не происходит сокрытия сообщения. Точки и тире являются просто удобным способом представления букв для передачи по телеграфу, и этот код является ни чем иным, как алфавитом другого вида. Проблема обеспечения безопасности возникла главным образом из-за того, что тот, кто хотел послать сообщение, должен был передать это сообщение телеграфисту, который, перед тем как его передавать, должен был вначале его прочесть. Телеграфисты имели доступ ко всем сообщениям, и поэтому существовала опасность, что какая-нибудь компания могла бы подкупить телеграфиста для получения доступа к переписке конкурента. Эта проблема была изложена в статье, посвященной телеграфу и опубликованной в 1853 году в английском журнале «Ежеквартальное обозрение»:

 

Следует также принять меры, чтобы устранить один крупный недостаток, ныне ощущаемый при отправке частных сообщений по телеграфу, — полное нарушение секретности, поскольку в любом случае полдюжины людей должны знать каждое слово, адресованное одним человеком другому. Служащие английской телеграфной компании принесли клятву о сохранении секретности, но мы часто пишем такие вещи, что видеть посторонних людей, читающих их перед нашими глазами, невыносимо. Это серьезный недостаток телеграфа, и его необходимо устранить тем или иным способом.

 

Таблица 6 Символы международного кода Морзе.

 

Решение заключалось в шифровании сообщения перед тем, как передать его телеграфисту. После этого телеграфист переводил зашифрованный текст в код Морзе и передавал его. Шифрование, помимо того что не давало возможности телеграфистам знакомиться с содержанием текста, также сводило на нет усилия любого шпиона, который мог подключиться к телеграфному проводу. Многоалфавитный шифр Виженера явно был наилучшим способом обеспечения секретности для важной деловой переписки. Этот шифр считался невзламываемым и получил название нераскрываемый шифр. Хотя бы на время, но криптографы добились явного превосходства над криптоаналитиками.