Опубликовано 16 сентября 2013

Эдвард Сноуден продолжает хранить молчание. Собственно говоря, после раздачи большей части вынесенных из АНБ материалов ему и не остаётся ничего, кроме как наслаждаться российскими просторами да принимать заслуженные поздравления. На днях, к примеру, его номинировали на учреждённую Европарламентом премию «За свободу мысли» имени Андрея Сахарова — весьма престижную и значительно менее политизированную награду в сравнении с «Нобелевкой». Впрочем, присутствовать на церемонии награждения лично ему всё равно не удастся, ибо, без всяких сомнений, власти того же самого ЕС его американцам и сдадут.

Но вызванное Эдвардом кипение умов продолжается, натурально превращаясь в самоподдерживающуюся реакцию. Неделей ранее в очередной порции интересностей, извлечённой журналистами из сноуденовского архива, проскользнуло упоминание класса криптоалгоритмов, которого вроде бы стоит избегать из-за опасений, что АНБ прямо повлияло на его разработку — естественно, ради ослабления. Для популярной прессы тема оказалась слишком сложна, но на айтишных форумах многих зацепила — и за прошедшие семь дней совместными усилиями десятков энтузиастов были получены весьма интересные результаты, которыми я и хочу здесь поделиться. Как обычно, не претендуя на звание эксперта по криптографии, я прошу знающих читателей поправить, если что-то в моём рассказе окажется некорректным или покажется сомнительным.

Формальным началом дискуссии стало подозрение, павшее на популярный сервис анонимизации TOR. А точнее, на используемые в нём криптографические схемы. Дело в том, что программное обеспечение TOR, по крайней мере до версии 2.4, защищает передаваемую информацию с помощью связки классических алгоритмов RSA + DH, причём длина ключей составляет 1024 бит. Так вот, хотя прямых доказательств нет, авторитетные эксперты считают разумным предполагать, что АНБ обладает достаточной вычислительной мощью для взлома такой защиты. Таким образом, незащищёнными оказываются (грубая оценка) три из четырёх пользователей TOR. Что делать? Обновиться до версии 2.4.x, где длина ключей увеличена, а кроме того, в дополнение к «классике», применена сравнительно новая так называемая эллиптическая криптография. Оно же, эллиптическое крипто (ЭК), используется, в частности, и в Bitcoin.

Упомянутые выше «классические» криптоалгоритмы были разработаны в 70-х годах и на сегодня остаются в числе самых популярных в компьютерном мире. Главная их проблема в том, что с ростом вычислительных мощностей, доступных атакующим, требуется и увеличение длины ключа, а процедура шифрования непростая, энергозатратная. Эллиптическое крипто — детище 80-х, основанное на математике эллиптических кривых, откуда и название, — в общем обладает более высокой стойкостью при той же длине ключа, но, что самое важное, в сравнении с «классикой» устойчивость к взлому с ростом длины ключа нарастает экспоненциально быстрее: так, 1024-битный ключ RSA/DH примерно соответствует 160-битному ЭК-ключу, но уже 3072 бит ключа RSA эквивалентны всего лишь 256 битам ЭК. Иначе говоря, если сегодня преимущества эллиптического крипто ещё неочевидны, то в ближайшем будущем они проявятся ярко: компьютерный мир, который подталкивается, с одной стороны, растущей вычислительной мощью, находящейся в распоряжении спецслужб и злоумышленников, а с другой — требованиями экономно, но быстро и прозрачно шифровать данные, будет вынужден перейти на ЭК.

Правовые аспекты ЭК — тема отдельная и непростая: часть фундаментальных наработок здесь защищена действующими патентами (принадлежащими компаниям в Канаде и США), часть патентов приобретена или лицензируется АНБ и т. д. Формально авторы отдельно взятого программного продукта могут реализовать ЭК самостоятельно без нарушения чьи-либо авторских прав. Фактически, по крайней мере на Западе, принята следующая схема: частные компании реализуют в своих программах работу с кривыми, рекомендованными Национальным институтом стандартов и технологий США (NIST). Оглядка на рекомендации NIST даёт два преимущества. Во-первых, это открывает продукту дорогу в госучреждения. Во-вторых, не все эллиптические кривые одинаковы: некоторые, к примеру, легче обсчитывать, и NIST как раз отобрал полтора десятка наиболее выгодных.