Криптоанализ любительских шифров

Некоторое время назад у меня брали интервью для статьи на slate.com по поводу запроса помощи со стороны ФБР в дешифровке сообщений, найденных на теле жертвы убийства. В ходе моей дискуссии с репортёром, он спросил меня, почему шифры так трудны для взлома; в ответ я указал на пример выдающихся успехов союзников во взломе, среди прочих, шифра Энигмы. Вероятно, это было ошибкой, потому что после этого он спросил, почему же тогда любительские шифры, (такие как Beale cipher, шифр убийцы по кличке Zodiac и другие, интересующие ФБР) оказались такими стойкими и почему любители очевидно также хороши в разработке шифров, как и настоящие криптографы. С этой точки зрения звучит так, будто он предлагает нам использовать любительские шифры для шифровки наших коммуникаций в интернете...

В попытке исправить это ложное впечатление я пришёл к списку причин, по которым мы не должны удивляться взлому Энигмы (как одного примера), как более лёгкому по сравнению с множеством "нерешённых" любительских шифров, почему так легко создать "безопасный" любительский шифр, но так сложно создать безопасную систему шифрования, скажем, для военного применения:

• Главным образом большинство любительских шифров не являются реальными системами шифрования в смысле предназначения сокрытия информации и обычно не предназначены для информационных коммуникаций между двумя сторонами. В частности, любительские шифры могут даже не иметь алгоритма дешифрования (неважно эффективного или нет). Это вдвойне верно для шифров, задуманных чисто как "головоломки" (в частности шифр Зодиака-убийцы).

• Современные шифры должны оставаться безопасными даже в случае знания алгоритма; должно быть достаточно знания ключа. В противоположность этому, любительские шифры имеют преимущество использования полностью неизвестного алгоритма (Есть ли здесь выгода в использовании аргумента "безопасность через неясность"?)

• Современные шифры должны быть безопасны даже если один и тот же ключ шифрует огромные количества данных относительно предсказуемого вида (например, приказы немецких военных) и даже если криптоаналитик имеет множество пар открытый/шифртекст.

• Для любого любительского шифртекста может не оказаться "решения". Например, нет причины, по которой кто-то, кто действительно хочет скрыть малое количество текста не использовал бы некоторую версию одноразового блокнота, записав ключ на листке бумаге, положив его в одном месте, а шифртекст на другом листе бумаге и положив его где-либо ещё. Создание "невзламываемого" шифра легко, если эффективность не является проблемой. Удивление вызывают множество шифров, задуманных явно лишь как "головоломки" — кто сказал, что решение возможно? Или возможно человек, который создал шифртекст, сделал в нём некоторое количество ошибок в процессе записи, так что по существу даже корректное решение будет неубедительным?

• Наконец, ясно, что следует ожидать меньше усилий в криптоанализе большинства любительских шифров, чем во взломе Энигмы. (Это не аргумент в пользу того, почему легче взломать Энигму, а лишь подчёркивает, почему Энигма взломана, а шифр Beale — нет).

Random Bits by Jonathan Katz