Книга шифров .Тайная история шифров и их расшифровки

Сингх Саймон

Саймон Сингх получил степень кандидата наук по физике в Кембриджском университете. Во время работы продюсером на Би-би-си снял удостоенный награды Британской академии кино и телевидения документальный фильм «Великая теорема Ферма» и написал бестселлер под тем же названием.

Шифры используются с тех пор, как люди научились писать. В «Книге шифров» Саймон Сингх посредством волнующих историй о шпионаже, интригах, интеллектуальном блеске и военной хитрости показывает захватывающую историю криптографии.

«Изложение Сингха сочетает в себе увлекательность и наиболее содержательный анализ из всех, которые я когда-нибудь видел. Как и всегда, он блещет способностью объяснять».

«Гардиан»

 

Книга шифров. Тайная история шифров и их расшифровки

Моей матери и моему отцу, Саваран Каур и Менга Сингх, посвящается

Введение

Тысячи лет короли, королевы и полководцы управляли своими странами и командовали своими армиями, опираясь на надежно и эффективно действующую связь. В то же время все они осознавали последствия того, что произойдет, если их сообщения попадут не в те руки, если вражескому государству будут выданы ценные секреты, а жизненно важная информация окажется у противника. И именно опасение того, что враги перехватят сообщение, послужило причиной активного развития кодов и шифров — способов скрытия содержания сообщения таким образом, чтобы прочитать его смог только тот, кому оно адресовано.

Стремление обеспечить секретность означало, что в государствах функционировали подразделения, создающие коды и шифры и отвечающие за обеспечение секретности связи путем разработки и использования самых надежных шифров. А в это же самое время дешифровальщики врага старались раскрыть эти шифры и выведать секреты. Дешифровальщики являли собой алхимиков от лингвистики — племя колдунов, пытающихся с помощью магии получить осмысленные слова из бессмысленного набора символов. История кодов и шифров — это многовековая история поединка между создателями шифров и теми, кто их взламывает, интеллектуальная гонка вооружений, которая оказала разительное влияние на ход истории.

При написании «Книги шифров» я ставил перед собой две основные задачи. Во-первых, показать эволюцию шифров. Здесь в полной мере подходит термин «эволюция», поскольку развитие шифров может рассматриваться как эволюционная борьба. Шифр всегда является объектом атаки дешифровальщиков. Как только дешифровальщики создают новое средство, которое выявляет слабое место шифра, дальнейшее его использование становится бессмысленным. Шифр либо выходит из употребления, либо на его основе разрабатывается новый, более стойкий. В свою очередь, этот новый шифр процветает до тех пор, пока дешифровальщики не найдут его слабое место, и так далее. Это аналогично ситуации, к примеру, со штаммом инфекционных бактерий. Бактерии живут и благоденствуют, пока врачи не откроют антибиотик, который воздействует на слабое место у бактерий и убивает их.

Бактерии вынуждены эволюционировать, чтобы перехитрить этот антибиотик, и если сумеют, то снова начнут размножаться и восстановят свою численность. Они должны все время эволюционировать, чтобы уцелеть после атак новых антибиотиков.

Непрекращающаяся борьба между создателями и взломщиками шифров содействовала появлению целого ряда замечательных научных открытий. Создатели шифров постоянно прилагали усилия для создания все более стойких шифров по защите систем и средств связи, в то время как дешифровальщики непрерывно изобретали все более мощные методы их атаки. В своих усилиях разрушения и сохранения секретности обе стороны привлекали самые разнообразные научные дисциплины и методы: от математики до лингвистики, от теории информации до квантовой теории. Взамен шифровальщики и дешифровальщики обогатили эти предметы, а их профессиональная деятельность ускорила научно-технический прогресс, причем наиболее заметно это проявилось в развитии современных компьютеров.

Роль шифров в истории огромна. Шифры решали результаты сражений и приводили к смерти королей и королев. Поэтому я обращался к историческим фактам политических интриг и рассказам о жизни и смерти, чтобы проиллюстрировать ключевые поворотные моменты в эволюционном развитии шифров. История шифров настолько богата, что мне пришлось опустить много увлекательных историй, что, в свою очередь, означает, что моя книга не слишком полна. Если вы захотите побольше узнать о понравившемся вам рассказе или о дешифровальщике, который произвел на вас неизгладимое впечатление, то я бы порекомендовал вам обратиться к списку литературы для дополнительного чтения, которая должна помочь тем читателям, которые желали бы изучить предмет более подробно.

Вторая цель книги, после того как будет рассмотрена эволюция шифров и их влияние на историю, состоит в том, чтобы показать, что шифры сегодня имеют гораздо большее значение, чем когда бы то ни было раньше. Поскольку информация становится все более и более ценным товаром, а революция в сфере коммуникаций изменяет общество, процесс зашифровывания сообщений, или иначе, шифрование, начинает играть все большую роль в повседневной жизни. Сегодня наши телефонные разговоры передаются по спутниковым каналам, а наши электронные письма проходят через различные компьютеры, и можно с легкостью осуществить перехват передаваемой информации по обеим этим видам связи, что ставит под угрозу нашу частную жизнь. Точно также, поскольку коммерческая деятельность во все большей степени осуществляется через Интернет, следует вводить меры безопасности, чтобы защитить компании и их клиентов.

Шифрование — единственный способ защитить нашу частную жизнь и гарантировать успешное функционирование электронного рынка. Искусство секретной связи, иначе известное как криптография, даст вам замки и ключи информационного века.

Однако растущая потребность общества в криптографии вступает в противоречие с требованиями правоприменяющих органов и национальной безопасности. Десятилетиями полиция и разведывательные службы прослушивали телефонные переговоры для сбора улик против террористов и организованных преступных синдикатов, но создание в наше время сверхстойких шифров угрожает свести на нет их ценность. Ввиду того, что мы вступили в двадцать первый век, борцы за гражданские права добиваются широкого использования криптографии для защиты права каждого на личную жизнь. Вместе с ними выступают и представители бизнеса, которым требуется стойкая криптография для обеспечения безопасности сделок, осуществляемых в быстро развивающемся мире электронной коммерции. Представители же сил правопорядка оказывают давление на правительства, чтобы ограничить пользование криптографией. Вопрос состоит в том, что для нас важнее: наше право на частную жизнь или эффективно действующая полиция? Или все же существует компромисс?

Хотя в настоящее время криптография оказывает значительное влияние на действия гражданских лиц, следует отметить, что военная криптография остается важным вопросом. Говорят, что Первая мировая война была войной химиков, потому что в ней впервые были применены иприт и хлор, а Вторая мировая война — войной физиков, поскольку в ней была взорвана атомная бомба. Подобным же образом утверждают, что третья мировая война станет войной математиков, потому что математики будут обладать контролем над очередным величайшим оружием — информацией. Математики отвечали за создание шифров, которые в настоящее время используются для защиты военной информации. Не удивительно, что они же находятся на передовой линии, взламывая эти шифры.

При описании развития шифров и того, как они влияют на историю, я позволил себе незначительное отклонение от темы. В главе 5 рассказывается о дешифровании различных древних письменностей, в том числе линейного письма В и египетских иероглифов. Криптография, формально, имеет дело со средствами связи, которые разрабатываются специально для того, чтобы секреты оказались недоступны противнику; что же касается письмен древних цивилизаций, то такого намерения, чтобы они оставались не-дешифруемыми, не было — мы просто утеряли способность понимать их. Однако навыки, требующиеся для раскрытия содержания археологических документов, тесно связаны с искусством взлома шифров.

После того как я прочел «Дешифрование линейного письма В» Джона Чедвика, где он показывает, как были разгаданы древние тексты Средиземноморья, я был ошеломлен поразительными интеллектуальными достижениями тех, кто был способен дешифровать письмена наших предков, позволив нам тем самым прочитать об их цивилизациях, религиях и повседневной жизни.

Обращаясь к пуристам, я должен принести извинения за название этой книги (оригинальное название книги — «The Code Book» — «Книга кодов»). Она не только о кодах. Слово «код» относится к очень специфическому типу секретной связи, смысл которого за столетия применения изменился. В коде слово или фраза заменяется словом, числом или символом. К примеру, у секретных агентов имеются псевдонимы — слова, которые используются вместо их подлинных имен, чтобы скрыть то, кем они являются на самом деле. Точно так же — как способ сбить противника с толку — фразу Attack at dawn (наступление на рассвете, атаковать на рассвете) можно было бы заменить кодовым словом Jupiter (Юпитер) и передать это слово командующему на поле боя. Если штаб и командующий заранее договорились о коде, то смысл слова Jupiter будет ясен тому, кому оно предназначается, но не будет нести никакого смысла для перехватившего его противника. Альтернативой коду является шифр — способ, действующий на более фундаментальном уровне, при котором заменяются буквы, а не слова целиком. К примеру, каждая буква во фразе могла бы быть заменена следующей буквой латинского алфавита, так что А заменяется на В, В — на С и так далее. В этом случае Attack at dawn превратится в Buubdl bu ebxo. Шифры играют значительную роль в криптографии, так что в действительности эта книга должна бы называться «Книгой кодов и шифров». Ради краткости я все же отказался от точности.

По мере необходимости я давал определения различным техническим терминам, используемым в криптографии. Хотя я, как правило, придерживался этих определений, но будут встречаться места, где используется термин, который, возможно, формально и неточен, но который, по моему мнению, более знаком неспециалисту. Например, описывая человека, старающегося взломать шифр, я почти все время пользовался словом взломщик кодов, а не более точным — дешифровальщик (взломщик шифров) [1]В английском языке слово codebreaker употребляется в значении взлома и кодов, и шифров, слово же ciphbreaker практически не используется; в русском языке в указанном значении слово дешифровальщик является, по-видимому, более распространенным, чем взломщик кодов, поэтому в переводе книги использовалось слово дешифровальщик. — Прим. пер.
. Этим же словом я пользовался только тогда, когда его значение ясно из контекста. В конце книги приведен алфавитный указатель терминов. Впрочем, криптожаргон по большей части вполне очевиден: например, открытый текст — это сообщение перед зашифровыванием, а шифртекст — сообщение после зашифровывания.

Перед тем как завершить это Введение, я должен упомянуть о проблеме, с которой сталкивается любой автор, взявшись за криптографию: наука о секретности — это чрезвычайно секретная наука.

Многие из героев этой книги, несмотря на свой труд, всю свою жизнь оставались безвестными, поскольку открыто признать их вклад нельзя было до тех пор, пока их открытия имели дипломатическую или военную ценность. При поиске материалов для этой книги мне удалось поговорить со специалистами в Британской штаб-квартире правительственной связи (ШКПС), которые раскрыли подробности выдающейся исследовательской работы, выполненной в 70-х годах и только что рассекреченной. Благодаря этому трое из величайших в мире криптографов могут теперь получить заслуженное ими признание. Впрочем, эти недавние откровения просто помогли напомнить мне, что о гораздо большем числе случаев не подозреваем ни я, ни любой другой научный писатель. Такие организации, как ШКПС и американское Агентство национальной безопасности продолжают вести засекреченные исследования в криптографии, что означает, что их открытия остаются секретными, а те, кто сделал их, останутся безвестными.

Но, невзирая на проблемы, связанные с секретностью деятельности правительства и проведением закрытых исследований, в заключительной главе этой книги я строил предположения о будущем кодов и шифров. И наконец, эта глава является попыткой понять, можем ли мы предсказать, кто выиграет эволюционную борьбу между составителями шифров и теми, кто их взламывает. Придумают ли когда-нибудь шифровальщики действительно нераскрываемый шифр и преуспеют ли в своем стремлении отыскать абсолютную секретность? Или же дешифровальщики создадут такое устройство, которое сможет расшифровать (точнее, дешифровать, см. раздел Словарь специальных терминов) любое сообщение? Принимая во внимание, что некоторые из величайших умов работают в секретных лабораториях и что они получают большую часть фондов, предназначенных для исследовательских работ, ясно, что отдельные утверждения в моей заключительной главе могут быть неточны. Например, я утверждаю, что квантовые компьютеры — устройства, потенциально способные взломать все сегодняшние шифры, — находятся на самом начальном этапе разработки, но не исключено, что такой компьютер уже кем-то создан. Те, кто единственно способен указать на мои ошибки, — это в то же время те, кто не волен этого сделать.

 

1 Шифр Марии Стюарт, королевы Шотландии

Субботним утром 15 октября 1586 года Мария Стюарт, королева Шотландии, вступила в переполненный зал суда в замке Фотерингей. Годы заключения и ревматизм существенно подорвали ее здоровье, однако-она оставалась полной достоинства, спокойной и бесспорно величественной. Опираясь на руку врача, прошла она мимо судей, чиновников и зрителей и приблизилась к трону, стоявшему посередине длинной, узкой комнаты. Мария посчитала было, что трон — это жест уважения к ней, но она ошибалась. Трон символизировал отсутствующую королеву Елизавету I, противницу Марии и ее обвинителя. Марию вежливо направили от трона к противоположной стороне комнаты, к месту обвиняемого — темно-красному бархатному стулу.

Мария, королева Шотландии, находилась в суде по обвинению в государственной измене. Ей вменяли в вину организацию заговора с целью убийства королевы Елизаветы I, чтобы завладеть короной Англии. Сэр Фрэнсис Уолсингем, государственный секретарь королевы Елизаветы I, уже арестовал других заговорщиков, добился от них признания и казнил. Теперь он собирался доказать, что Мария была душой заговора, а посему наравне с ними виновна и наравне с ними заслуживает смерти.

Уолсингем знал, что прежде, чем он смог бы казнить Марию, он должен будет убедить королеву Елизавету в ее вине. Хотя Елизавета и относилась к Марии с презрением, однако у нее имелось несколько причин, чтобы не желать ее смерти. Во-первых, Мария была королевой Шотландии, и многие задавались вопросом, есть ли у английского суда полномочия для того, чтобы отправить на эшафот главу иностранного государства. Во-вторых, казнь Марии могла бы создать опасный прецедент: если государству разрешено убить одну королеву, то у мятежников, пожалуй, могло бы остаться меньше запретов на убийство другой — Елизаветы. В-третьих, Елизавета и Мария была кузинами, родственницами, и потому у королевы Елизаветы было тем больше оснований быть более щепетильной для выдачи приказа о ее казни.

Рис. 1 Мария Стюарт, королева Шотландии

Короче говоря, Елизавета санкционировала бы казнь Марии только в том случае, если бы Уолсингем смог, вне всяких сомнений, доказать, что она принимала участие в заговоре с целью убийства.

Заговорщиками являлась группа молодых английских дворян-католиков, целью которых было устранение Елизаветы, протестантки, и замена ее Марией, — такой же, как и они, католичкой. Для суда было бесспорным, что Мария номинально стояла во главе заговорщиков, но то, что она на самом деле благословила заговор, не было установлено. Задача Уолсингема состояла в том, чтобы доказать наличие явной связи между Марией и заговорщиками.

Утром, во время суда, Мария, одетая в черный бархат, одиноко сидела на скамье подсудимых. В случаях государственной измены обвиняемому запрещено было иметь защитника и не разрешалось приглашать свидетелей. Марии даже не позволили, чтобы секретари помогли ей подготовиться к слушанию дела. Однако ее положение не было безнадежно, поскольку она была осторожна и вся ее переписка с заговорщиками была зашифрована. Шифр превратил ее слова в бессмысленный набор символов, и Мария полагала, что даже если Уолсингем и перехватил письма, то он не имел представления о том, что означали слова в ее письмах. Если содержание писем оставалось тайным, то письма не могли использоваться как свидетельство против неё. Однако все это было бы так только при условии, что ее шифр не был раскрыт.

К несчастью для Марии, Уолсингем был не только государственным секретарем, он был также руководителем шпионской сети в Англии. Он перехватил письма Марии к заговорщикам и точно знал, кто мог бы расшифровать их. Лучшим в стране специалистом по раскрытию шифров в то время был Томас Фелиппес; в течение нескольких лет он дешифровывал сообщения тех, кто готовил заговор против королевы Елизаветы, на основании чего были собраны свидетельства для вынесения им приговора. Если бы он смог дешифровать изобличающие письма между Марией и заговорщиками, то ее смерть была бы неизбежна. С другой стороны, если шифр Марии был достаточно надежен, чтобы скрыть ее тайны, то у нее имелся бы шанс остаться в живых. Так уже не в первый раз жизнь зависела от стойкости шифра.

Развитие тайнописи

Некоторые из наиболее ранних упоминаний о тайнописи восходят еще к Геродоту, «отцу истории», как называл его римский философ и политический деятель Цицерон.

В своей «Истории» Геродот повествовал о вооруженных столкновениях между Грецией и Персией в пятом веке до н. э., которые он рассматривал как противоборство между свободой и рабством, между независимыми греческими государствами и тиранической Персией. Согласно Геродоту, именно искусство тайнописи спасло Грецию от порабощения Ксерксом, царем царей, деспотичным правителем Персии.

Отношения между Грецией и Персией значительно обострились вскоре после того, как Ксеркс начал строительство города Персеполь, новой столицы своего царства. Дань и дары поступали со всех концов империи и из соседних государств, за исключением Афин и Спарты. Решив отомстить за такую дерзость, Ксеркс приступил к мобилизации войска, заявив: «Мы так расширим персидскую империю, чтобы ее границами служило небо, чтобы солнце не смогло бы увидеть ни клочка земли вне наших границ». Следующие пять лет он потратил на то, чтобы тайно собрать самую крупную в истории армию, и в 480 году до н. э. он был готов нанести внезапный удар.

Однако наращивание военной мощи Персии видел Демарат, грек, изгнанный с родины и живший в персидском городе Сузы. Несмотря на изгнание, он все же оставался лоялен к Греции и поэтому решил предупредить спартанцев о плане вторжения Ксеркса. Проблема заключалась в том, как передать сообщение, чтобы его не могли перехватить персидские солдаты. Геродот писал:

Поскольку опасность обнаружения послания была очень велика, то оставался только единственно возможный способ, которым Демарат мог успешно передать свое послание. Он соскоблил воск с двух сложенных дощечек для письма, написал прямо на дереве, что собирается делать Ксеркс, а затем снова покрыл воском дощечки с сообщением. По внешнему виду дощечки казались чистыми, без каких-либо записей, поэтому они не вызывали подозрения у персидских солдат. Когда гонец с посланием добрался до места назначения, никто не мог и предположить о наличии послания, пока, как я полагаю, дочь Клеомена [2] , Горго, которая была женой Леонида I [3] , не догадалась и не сказала другим, что если они счистят воск, то найдут записанное под воском на дощечках послание. Так и сделали; после того как был счищен воск, под ним обнаружилось послание, которое прочли, а затем передали в другие греческие города.

Благодаря этому предупреждению беззащитные на тот момент греки стали сами вооружаться.

Доходы от принадлежащих государству серебряных рудников, которые до этого распределялись среди граждан, были направлены на строительство двухсот военных кораблей.

Ксеркс утерял элемент внезапности, и 23 сентября 480 года до н. э., когда персидский флот достиг Саламинского пролива неподалеку от Афин, греки уже были готовы. Хотя Ксеркс полагал, что он поймал греческий флот в ловушку, но на самом деле греки сознательно заманивали персидские корабли в пролив. Греки знали, что их небольшие суда, которых к тому же было в несколько раз меньше, чем у персов, в открытом море будут уничтожены, но внутри пролива, благодаря маневренности, они смогут превзойти персов. Так как ветер изменил направление, то персидский флот оказался внутри пролива и вынужден был принять бой на греческих условиях. Корабль персидской царицы Артемисии был окружен с трех сторон, так что она смогла вырваться обратно в море, только протаранив один из своих кораблей. Возникла паника, большое число персидских судов сталкивалось друг с другом, и греки начали стремительную атаку. В течение одного дня огромные силы персов были уничтожены.

Стратегия Демарата для обеспечения секретности переписки заключалась в том, что он просто прятал сообщение. Геродот также упомянул еще об одном случае, когда сокрытия послания оказалось достаточным, чтобы беспрепятственно его передать. Он поведал историю Гистия, который хотел подтолкнуть Аристагора из Милета к восстанию против персидского царя (Дария). Чтобы послание не обнаружили враги, Гистий обрил голову своего вестника, написал на коже текст послания, а затем подождал, пока волосы не отрастут вновь. Что ж, неспешный в то время ход истории позволял пользоваться такими способами. Вестник, у которого не было ничего явно его компрометирующего, мог путешествовать не беспокоясь. По прибытии на место вестник обрил голову и «вручил» адресату послание.

Секретная переписка, осуществляемая путем сокрытия имеющегося сообщения, носит название стеганография, которое происходит из греческих слов steganos — «покрытый» и graphein — «писать». В течение двух тысячелений после Геродота во всем мире применялись различные виды стеганографии. Например, древние китайцы писали сообщения на тонкой шелковой ткани, которая затем сворачивалась в крохотный шарик и покрывалась воском, после чего посланец проглатывал этот восковой шарик. В шестнадцатом веке итальянский ученый Джованни Порта показал, как скрыть послание внутри сваренного вкрутую яйца, вначале изготовив чернила из одной унции (28 г) квасцов и пинты (0,5 л) уксуса, а затем записав послание этими чернилами на скорлупе.

Раствор проникнет сквозь поры скорлупы и оставит сообщение на поверхности плотного яичного белка, которое можно будет прочитать, только разбив яйцо и очистив скорлупу. Стеганография также включает в себя применение невидимых чернил. Еще в первом веке н. э. Плиний-старший показал, как млечный сок некоторых растений может использоваться в качестве таких чернил. После высыхания надпись, сделанная этими чернилами, не видна, но при несильном нагреве она приобретает коричневый цвет. Многие органические жидкости ведут себя похожим образом: при нагреве, из-за того, что в них содержится большое количество углерода, они темнеют. И это не составляет секрета для нынешних шпионов, которые, в случае если у них исчерпались симпатические чернила, используют для этой цели собственную мочу.

То, что стеганография смогла просуществовать столь длительное время, показывает, что она, несомненно, обеспечивает определенную секретность, но ей присущ один принципиальный недостаток. Если курьер будет обыскан и у него обнаружат сообщение, то сразу же станет известно и его содержание. Перехват сообщения мгновенно ставит под угрозу всю безопасность. Бдительная стража может тщательно обыскивать всех, кто пересекает границу, счищая с дощечек весь воск, нагревая чистые листы бумаги, очищая сваренные яйца от скорлупы, брея людям головы и т. п., так что случаи обнаружения сообщения будут неизбежны.

Поэтому, наряду с усовершенствованием стеганографии, происходило развитие криптографии, которая берет начало от греческого слова kryptos, означающего «тайный». Цель криптографии состоит не в том, чтобы скрыть наличие сообщения, а в том, чтобы скрыть его смысл, — процесс, известный как шифрование. Чтобы сделать сообщение непонятным, оно зашифровывается по определенному правилу, которое заранее оговаривается между отправителем сообщения и его получателем. Так что адресат, получив сообщение, может применить к нему правило шифрования в обратном порядке, после чего его смысл станет понятным. Преимущество криптографии состоит в том, что если противник перехватит зашифрованное сообщение, то прочитать его ему не удастся. Восстановить исходное сообщение из зашифрованного текста, не зная правила шифрования, может оказаться для противника сложной, а то и вообще невыполнимой задачей.

Хотя криптография и стеганография являются независимыми, но для обеспечения максимальной секретности, чтобы и зашифровать, и скрыть сообщение, можно пользоваться обеими. К примеру, во время Второй мировой войны стала популярной микроточка, которая является одним из видов стеганографии. Германские агенты в Латинской Америке фотографическим способом сжимали страницу текста в точку диаметром менее 1 миллиметра, а затем прикрепляли эту микроточку поверх обычной точки в конце предложения в на первый взгляд совершенно безобидном письме.

ФБР обнаружило первую микроточку в 1941 г., получив предупреждение о том, что американцам следует искать крошечный блик на поверхности письма, указывающий, что в этом месте прикреплен кусочек глянцевой фотопленки. Впоследствии американцы смогли прочитать содержимое большинства перехваченных микроточек, за исключением тех случаев, когда германские агенты предпринимали дополнительные меры предосторожности, шифруя свое сообщение перед сжатием. Когда же вместе со стеганографией применялась и криптография, американцам иногда удавалось перехватывать сообщения и пресекать передачу информации, но это не давало им никаких новых сведений о немецкой шпионской деятельности. Из этих двух направлений обеспечения секретности связи криптография более эффективна благодаря тому, что дает возможность предотвратить попадание информации в руки врага.

В свою очередь криптография сама может быть разделена на два направления, известные как перестановка и замена. При перестановке буквы сообщения просто переставляются, образуя анаграмму. Для очень короткого сообщения, состоящего, например, из одного слова, такой способ весьма ненадежен, поскольку существует крайне ограниченное число возможных способов перестановки горстки букв. Так, три буквы с, о и w могут быть расставлены всего лишь шестью различными способами: cow, cwo, ocw, owc, wco, woc. Однако по мере увеличения количества букв число возможных перестановок стремительно растет, и восстановить исходное сообщение становится невозможным, если не известен точный способ шифрования. For example, consider this short sentence (рассмотрим, например, это короткое предложение). В нем содержится всего 35 букв, но число их различных перестановок составляет более 50 000 000 000 000 000 000 000 000 000 000.

Если бы один человек смог проверять одну перестановку в секунду, и если бы все люди на Земле работали день и ночь, то, чтобы проверить все возможные перестановки, потребовалось бы времени в тысячи раз больше, чем срок существования Вселенной.

Создается впечатление, что случайная перестановка букв гарантирует очень высокую степень безопасности, поскольку для противника дешифровать даже короткое предложение окажется неосуществимым. Но здесь есть отрицательный момент. При перестановке образуется невероятно сложная анаграмма, и если буквы случайно, ни с того ни с сего, перепутаются, то ни получатель, ни перехвативший ее противник не смогут ее расшифровать. Для обеспечения эффективности способ перестановки букв должен быть заранее оговорен отправителем сообщения и его получателем, но он должен храниться в секрете от противника.

Например, школьники часто посылают друг другу сообщения, зашифрованные с помощью перестановки (данный шифр называется «штакетник»), буквы которого поочередно пишутся на верхней и нижней строчках. Далее последовательность букв с нижней строчки присоединяется к концу последовательности букв на верхней строчке, благодаря чему и образуется зашифрованное сообщение. Например:

Теперь адресат может восстановить исходное сообщение просто выполняя эти же действия в обратном порядке. Существует множество различных способов последовательных перестановок, в том числе трехстрочный шифр «штакетник», когда сообщение вначале записывается в три строчки, а не в две. Или же можно производить перестановку для каждой пары букв так, чтобы поменялись местами первая и вторая буквы, третья и четвертая буквы и так далее.

Один из способов перестановки был реализован в самом первом из известных шифровальных устройств, предназначенных для военных целей, — спартанской скитале, — упоминание о которой восходит к пятому веку до н. э. Скитала представляла собой деревянный цилиндр, вокруг которого наматывалась полоска кожи или пергамента, как показано на рисунке 2. Отправитель писал сообщение по всей длине скиталы, а затем разматывал полоску, на которой после этого оставался бессмысленный набор букв. Сообщение оказывалось зашифрованным. Вестник брал кожаную полоску и обычно прятал сообщение, используя полоску как пояс, буквами внутрь, то есть кроме зашифровывания применял также и стеганографию. Чтобы получить исходное сообщение, адресат просто наматывал полоску кожи вокруг скиталы того же диаметра, что и скитала, которой пользовался отправитель. В 404 году до н. э. к спартанскому полководцу Лисандру привели вестника, окровавленного и еле держащегося на ногах, одного из пяти оставшихся в живых после крайне опасного путешествия из Персии. Вестник передал свой пояс Лисандру, который намотал его вокруг своей скиталы и прочитал, что Фарнабаз собирается напасть на него. Благодаря скитале Лисандр успел подготовиться к нападению и отбил его.

Рис. 2 На полоске кожи, снятой со скиталы отправителя (деревянный цилиндр), остается набор случайных букв: S, Т, S, Р… Сообщение можно будет прочесть, только если намотать эту полоску вокруг другой скиталы такого же диаметра.

Альтернативой перестановке является замена. Одно из первых описаний зашифровывания с помощью замены дается в «Кама-сутре», тексте, написанном в четвертом веке н. э. священником-брамином Ватсьяяной, но основанном на манускриптах, относящихся к четвертому веку до н. э. Согласно «Кама-сутре» женщины должны овладеть 64 искусствами, такими как приготовление пищи и напитков, искусство одевания, массаж, приготовление ароматов. В этот список также входят менее очевидные искусства: колдовство, игра в шахматы, переплетное дело и плотничанье. Под номером 45 в списке стоит mlecchita-vikalpa, искусство тайнописи, предназначенное для того, чтобы помочь женщинам скрыть подробности своих любовных связей. Один из рекомендуемых способов заключается в том, чтобы расположить попарно буквы алфавита случайным образом, а затем заменять каждую букву в исходном сообщении ее парной. Если мы применим этот принцип к латинскому алфавиту, то мы можем расположить буквы попарно следующим образом:

Тогда вместо meet at midnight (встретимся в полночь) отправитель напишет CUUZ VZ CGXSGIBZ. Такой вид тайнописи называется шифром замены, поскольку каждая буква в исходном тексте заменяется другой буквой, так что этот шифр диаметрально противоположен шифру перестановки. При перестановке каждая буква остается сама собой, но меняет свое местоположение, в то время как при замене каждая буква меняется на другую, но остается на своем месте.

Первое документально подтвержденное использование шифра замены в военных целях появилось в «Галльских войнах» Юлия Цезаря. Цезарь описывает, как он послал сообщение Цицерону, находившемуся в осаде и бывшему на грани капитуляции.

В этом письме латинские буквы были заменены греческими, поэтому враг его не смог бы понять. Цезарь описал драматичность доставки письма:

Гонцу дали наставление, что если он не сможет приблизиться, то должен метнуть дротик с прикрепленным к ремешку письмом так, чтобы оно упало в лагере. Убоявшись излишнего риска, галльский всадник метнул дротик, как ему и приказали. По случайности дротик попал в башню, и в течение двух дней наши отряды его не замечали; только на третий день его увидел солдат, вытащил и доставил Цицерону. Цицерон просмотрел письмо, а затем прочитал его на собрании солдат, что вызвало у всех огромную радость.

Цезарь так часто пользовался тайнописью, что Марк Валерий Проб написал целый трактат о применяемых им шифрах, который, к сожалению, не дошел до наших дней. Однако благодаря сочинению Гая Транквилла Светония «Жизнь 12 Цезарей», написанному во втором веке н. э., у нас имеется подробное описание одного из видов шифра замены, применявшегося Юлием Цезарем. Он просто заменял каждую букву в послании буквой, стоящей в алфавите на три позиции дальше. Криптографы часто пользуются терминами алфавит открытого текста, то есть алфавит, используемый для создания исходного, незашифрованного сообщения, и шифралфавит, буквы которого подставляются вместо букв алфавита открытого текста. Если алфавит открытого текста расположить над шифралфавитом, как показано на рисунке 3, то станет ясно, что шифралфавит сдвинут на три позиции, и поэтому такой вид замены часто называется шифром сдвига Цезаря или просто шифром Цезаря.

Рис. 3 Шифр Цезаря, примененный к короткому сообщению. Шифр Цезаря основан на шифралфавите, который сдвинут на определенное число позиций (в данном случае — на три) относительно алфавита открытого текста. В криптографии принято записывать алфавит открытого текста строчными буквами, а шифралфавит — заглавными. Точно так же, исходное сообщение, то есть незашифрованный текст, записывается строчными буквами, а зашифрованное сообщение, то есть шифртекст, — заглавными.

Шифр — это обобщенное название, даваемое любой криптографической замене, при которой каждая буква заменяется другой буквой или символом.

Хотя Светоний упоминает только о шифре Цезаря со сдвигом на три позиции, ясно, что осуществляя сдвиг на 1…25 позиций, можно создать 25 различных шифров. Если же мы не будем ограничиваться сдвигом алфавита, а будем рассматривать шифралфавит как любую возможную перестановку букв алфавита открытого текста, то мы сможем создать гораздо большее количество различных шифров. Существует свыше 400 000 000 000 000 000 000 000 000 таких перестановок и, соответственно, такое же количество отличающихся шифров.

К каждому отдельному шифру применимы понятия общего метода шифрования, известные как алгоритм и ключ, которые определяют детали конкретного способа шифрования. В этом случае алгоритм заключается в замене каждой буквы в алфавите открытого текста буквой из шифралфавита, причем шифралфавит может представлять собой любую возможную перестановку алфавита открытого текста. Ключ же определяет, какой именно шифралфавит используется для конкретного способа шифрования. Связь между алгоритмом и ключом показана на рисунке 4.

У противника, анализирующего перехваченное зашифрованное сообщение, могут иметься предположения об алгоритме, но точного ключа он знать не будет.

#i_006.png

Рис. 4 Чтобы зашифровать исходный текст сообщения, отправитель применяет к нему алгоритм шифрования. Алгоритм является общей системой для шифрования и должен быть точно определен путем выбора ключа. При совместном применении ключа и алгоритма к открытому тексту получается зашифрованное сообщение, или шифртекст. Разумеется, зашифрованный текст во время передачи адресату может быть перехвачен противником, но противник не сможет дешифровать это сообщение. В то же время получатель, который знает и ключ, и алгоритм, использованные отправителем, сможет преобразовать зашифрованный текст сообщения обратно в исходный вид.

К примеру, он вполне может подозревать, что каждая буква в открытом тексте была заменена другой буквой в соответствии с шифралфавитом, но он не в состоянии узнать, какой именно шифралфавит был использован. Если шифралфавит — ключ — хранится отправителем и получателем в секрете, тогда противник не сможет дешифровать перехваченное сообщение. В отличие от алгоритма, важность ключа является основополагающим принципом криптографии. Он был сформулирован в 1883 году голландским лингвистом Огюстом Керкхоффом в книге «Военная криптография» («La Cryptographie militaire»); правило Керкхоффа гласит: «Стойкость криптосистемы не должна зависеть от стойкости криптоалгоритма. Она зависит только от стойкости ключа».

Помимо того, что ключ должен храниться в секрете, стойкая система шифрования должна также обладать широким набором возможных ключей. Например, если для зашифровывания сообщения отправитель применяет шифр сдвига Цезаря, то такое шифрование является сравнительно слабым, так как существует всего 25 возможных ключей. С точки зрения противника, если он перехватит сообщение и подозревает, что применялся алгоритм сдвига Цезаря, то ему следует просто проверить 25 возможных вариантов. Однако если отправитель использует более общий алгоритм замены, благодаря которому шифралфавит будет представлять собой любую возможную перестановку букв алфавита открытого текста, тогда ключ может выбираться из 400 000 000 000 000 000 000 000 000 возможных. Один из таких ключей показан на рисунке 5. Даже допуская, что противник перехватил сообщение и ему известен алгоритм, то все равно остается задача проверки всех возможных ключей. Если бы вражеский агент смог проверять ежесекундно один из 400 000 000 000 000 000 000 000 000 возможных ключей, то, чтобы проверить все ключи и дешифровать сообщение, ему понадобилось бы времени в миллионы раз больше возраста Вселенной.

Рис. 5 Пример общего алгоритма замены, при котором каждая буква в исходном тексте заменяется в соответствии с ключом другой буквой. Ключ задается шифралфавитом, который может представлять собой любую перестановку букв алфавита открытого текста.

Прелесть этого вида шифра состоит в том, что он прост в применении, но обеспечивает высокую степень защиты. Отправитель без труда может задать ключ, который просто определяет порядок следования 26 букв в шифралфавите, однако для противника по-прежнему практически невыполнимо проверить все возможные ключи с помощью так называемого метода прямого перебора всех возможных вариантов. Простота ключа важна еще и потому, что и отправитель, и получатель должны передавать друг другу информацию о ключе, а чем проще ключ, тем меньше вероятность возникновения недоразумений.

Более того, если отправитель готов согласиться с незначительным уменьшением количества возможных ключей, то ключ может быть еще проще. Для создания шифралфавита, вместо того чтобы случайным образом переставлять буквы алфавита открытого текста, отправитель выбирает ключевое слово или ключевую фразу. К примеру, в качестве ключевой можно взять фразу JULIUS CAESAR, убрать все пробелы и повторяющиеся буквы (JULISCAER), а затем подставить получившееся слово в начало шифралфавита. Часть шифралфавита, которая начинается с того места, где заканчивается ключевое слово или фраза, представляет собой просто обычную последовательность оставшихся букв алфавита. Поэтому шифралфавит будет выглядеть следующим образом:

Достоинство такого способа создания шифралфавита заключается в том, что ключевое слово или ключевую фразу, а следовательно и сам шифралфавит, легко запомнить. Это важно, так как если отправитель будет хранить шифралфавит записанным на листке бумаги, противник может завладеть этим листком, раскрыть ключ и прочесть любое сообщение, которое было зашифровано с его помощью. Но если держать ключ в памяти, то вероятность того, что он попадет в руки противника, гораздо меньшая. Разумеется, количество шиф-ралфавитов, образованных ключевыми фразами, меньше количества шифралфавитов, образуемых без каких-либо ограничений, но все равно число их огромно, и для противника по-прежнему невозможно дешифровать захваченное сообщение путем проверки всех возможных ключевых фраз.

Такая простота и одновременно стойкость означали, что на протяжении первого тысячелетия н. э. в искусстве тайнописи преобладал шифр замены. Шифровальщики разработали надежную систему обеспечения связи, поэтому никакой необходимости в дальнейшем развитии и не возникало.

Бремя легло только на тех дешифровальщиков, кто старался раскрыть шифр замены. Существовал ли какой-нибудь способ разгадать зашифрованное сообщение? Многие ученые того времени полагали, что из-за гигантского количества возможных ключей шифр

замены раскрыть невозможно, и в течение столетий казалось, что они были правы. Однако дешифровальщики в конце концов отыскали короткий путь взамен перебора всех возможных ключей. Вместо того чтобы тратить миллионы лет на взлом шифра, с помощью этого упрощенного метода сообщение можно было прочесть за нескольких минут. Прорыв произошел на Востоке, но для этого потребовался союз лингвистики, статистики и религиозного рвения.

Арабские криптоаналитики

В возрасте около сорока лет Мухаммад (Магомет) начал регулярно приходить в пещеру на горе Хира неподалеку от Мекки — уединенное место, самой природой предназначенное для молитв и размышлений. В момент глубоких раздумий, примерно в 610 году н. э., его посетил ангел Джебраил, провозгласивший Мухаммада пророком, посланником Аллаха. Это было первое из ряда откровений, которые продолжались до самой смерти Мухаммада двадцатью годами позже. На протяжении всей жизни пророка писцы записывали эти откровения, но только в виде отрывков; и на Абу Бакра (Абу Бекра), первого халифа ислама, была возложена задача собрать их в единый текст. Работа была продолжена Омаром, вторым халифом, и его дочерью Хафсой и завершена Османом, третьим халифом. Каждое из откровений стало одной из 114 сур Корана.

Правящий халиф был обязан продолжать дело Пророка, поддерживая его учение и распространяя его Слово. Между провозглашением Абу Бакра халифом в 632 году и до смерти четвертого халифа, Али, в 661 году, шло неудержимое распространение ислама, и в конце концов мусульманское государство охватило половину всего мира. В 750 году, после столетия укрепления господства, начало халифата (или династии) Аббасидов предвещало золотой век исламской цивилизации. В равной мере расцвели искусства и науки. От исламских мастеров дошли до нас великолепные картины, изысканные резные украшения и ткани исключительной отделки, а от исламских ученых мы унаследовали целый ряд арабских слов, которыми усеян язык современной науки: алгебра, щелочь, зенит и другие.

Процветание исламской культуры было в значительной степени обусловлено тем, что общество было богатым и мирным. В отличии от своих предшественников, халифы династии Аббасидов не так уж стремились завоевывать новые территории и покорять другие народы; вместо этого они приступили к созданию организованного и процветающего общества. Низкие налоги поощряли развитие коммерческой деятельности и вели к росту торговли и предпринимательства, а строгие законы сократили взяточничество и обеспечили защиту населения. Все это опиралось на эффективно действующую систему управления, чиновники же, в свою очередь, полагались на систему передачи сообщений, безопасность которой обеспечивалась за счет использования зашифровывания. Документально подтверждено, что, помимо информации государственной важности, чиновники зашифровывали также сведения о налогах, то есть уже в то время криптография широко применялась и ее использование было достаточно обыденным делом. Во многие руководства для чиновников, к примеру, в «Adab аl-Kuttab» («Руководство для секретарей») десятого века, вошли разделы, посвященные криптографии.

Чиновники обычно пользовались шифралфавитом, который представлял собой просто перестановку букв алфавита открытого текста, как было описано выше, но они также применяли и шифрал-фавиты, в которых содержались другие типы символов. Например, а в алфавите открытого текста может быть заменена на # в шифралфавите, b может быть заменена на + и так далее. Одноалфавитный шифр замены является обобщенным названием, которое присваивается любому шифру замены, шифралфавит которого состоит из любых букв или символов или из тех и других. Все шифры замены, которые нам уже встречались, входят в эту общую категорию.

Если бы арабы были просто знакомы с использованием одноалфавитного шифра замены, то в истории криптографии об этом упоминалось бы просто вскользь. Однако наряду с использованием шифров, арабские ученые оказались способны также и раскрывать шифры. Они фактически создали криптоанализ — науку дешифрования сообщения без знания ключа. В то время как специалисты по криптографии разрабатывают и создают новые способы тайнописи, криптоаналитики стараются выявить слабости этих способов, чтобы раскрыть секретные сообщения. Арабские криптоаналитики добились успехов в создании способа взламывания одноалфавитного шифра замены, шифра, который оставался неуязвимым в течение нескольких столетий.

Криптоанализ не смог бы появиться до тех пор, пока цивилизация не достигла бы достаточно высокого уровня в ряде дисциплин, включая математику, статистику и лингвистику. Мусульманская цивилизация являлась идеальной колыбелью для криптоанализа, поскольку ислам требовал соблюдения законов во всех областях человеческой деятельности, а для этого нужны знания, или ilт. Каждый мусульманин был обязан приобретать знания во всех его видах, и экономический расцвет халифата Аббасидов означал, что у ученых было время, деньги и материалы, необходимые для выполнения ими своих обязанностей. Они старались овладеть знаниями предшествующих цивилизаций, приобретая египетсткие, вавилонские, индийские, китайские, персидские, сирийские, армянские, еврейские и латинские тексты и переводя их на арабский язык. В 815 г. халиф Аль-Мамун основал в Багдаде Bait al-Hikmah (Дом мудрости) — библиотеку и центр переводов.

Исламская цивилизация была способна не только приобретать знания, но и распространять их, поскольку к этому времени она уже обладала искусством изготовления бумаги, проникшим сюда из Китая. Изготовление бумаги дало толчок появлению профессии war-raqin, или «тех, кто занимается бумагой», — людей, которые копировали рукописи и поставляли бумагу для расцветающего издательского дела. В пору максимального расцвета ежегодно издавались десятки тысяч книг, причем только в предместье Багдада было более сотни книжных лавок. Помимо таких классических произведений, как «Тысяча и одна ночь», в этих лавках продавались также учебники и пособия по всем мыслимым предметам, благодаря чему общество оставалось самым грамотным и образованным в мире.

Кроме лучшего понимания светских дисциплин, появление криптоанализа было обусловлено также и развитием религиозного образования. Основные медресе были основаны в Басре, Куфе и Багдаде, где теологи тщательно изучали содержащиеся в Коране откровения Мухаммада. Теологи интересовались установлением хронологии откровений; сделали же они это, подсчитав частотность появления слов, содержащихся в каждом из них. Теоретические предпосылки состояли в том, что определенные слова появились сравнительно недавно, и поэтому, чем больше новых слов содержится в откровении, тем к более позднему периоду оно относится. Теологи также изучали Хадисы, которые состояли из ежедневных изречений Пророка. Они попытались показать, что каждое изречение действительно может быть приписано Мухаммаду. Это проводилось путем изучения этимологии слов и структуры предложений, чтобы проверить, согласуются ли отдельные тексты с лингвистическим стилем Пророка.

Важно, что религиозные ученые не остановились в своем исследовании на уровне слов. Они также проанализировали отдельные буквы; в частности, они выяснили, что некоторые буквы встречаются чаще других.

В арабском языке наиболее распространенными буквами являются a и l, отчасти из-за определенного артикля аl-, в то время как буква j занимает только десятое место по частоте появления. Это на первый взгляд безобидное наблюдение привело к первому значительному прорыву в криптоанализе.

Кто первым догадался, что изменение частоты появления букв может быть использовано в целях взлома шифров, неизвестно, но наиболее раннее из известных описаний этого метода датировано IX веком и принадлежит перу одного из крупнейших ученых Абу Юсуф Якуб ибн Исхак ибн ас-Сабах ибн Умран ибн Исмаил аль-Кинди. Известный как «философ арабского мира», аль-Кинди был автором 290 книг по медицине, астрономии, математике, лингвистике и музыке. Его самый знаменитый трактат, который был обнаружен заново лишь в 1987 году в оттоманском архиве Сулайманийа в Стамбуле, озаглавлен «Рукопись по дешифрованию криптографических сообщений», первая страница которой показана на рисунке 6. Хотя в нем содержится подробный анализ статистики, фонетики и синтаксиса арабского языка, революционная система криптоанализа аль-Кинди умещается в два коротких абзаца:

Один из способов прочесть зашифрованное сообщение, если мы знаем язык, на котором оно написано, — это взять другой незашифрованный текст на том же языке, размером на страницу или около того, и затем подсчитать появление в нем каждой из букв. Назовем наиболее часто встречающуюся букву «первой», букву, которая по частоте появления стоит на втором месте, назовем «вторая», букву, которая по частоте появления стоит на третьем месте, назовем «третья» и так далее, пока не будут сочтены все различные буквы в незашифрованном тексте.

Затем посмотрим на зашифрованный текст, который мы хотим прочитать, и таким же способом проведем сортировку его символов. Найдем наиболее часто встречающийся символ и заменим его «первой» буквой незашифрованного текста, второй по частоте появления символ заменим «второй» буквой, третий по частоте появления символ заменим «третьей» буквой и так далее, пока не будут заменены все символы зашифрованного сообщения, которое мы хотим дешифровать.

Объяснение аль-Кинди гораздо проще показать на примере английского алфавита. Прежде всего необходимо взять достаточно большой кусок обычного английского текста, может быть, несколько текстов, чтобы установить частоту появления каждой буквы алфавита. Наиболее часто встречающейся буквой в английском алфавите является буква е, затем идут буквы t, а и т. д. (см. таблицу 1). Затем возьмите интересующий вас зашифрованный текст и подсчитайте частоту появления каждой буквы в нем.

Рис. 6 Первая страница «Рукописи по дешифрованию криптографических сообщений аль-Кинди», в которой содержится самое первое из дошедших до нас описаний криптоанализа с помощью частотного анализа. Если, например, в зашифрованном тексте самой часто встречающейся буквой будет J, то, по всей видимости, она заменяет букву е. Если второй по частоте появления буквой в зашифрованном тексте будет Р, то вполне вероятно, что она заменяет букву t, и так далее. Способ аль-Кинди, известный как частотный анализ , показывает, что нет никакой необходимости проверять каждый из биллионов возможных ключей. Вместо этого можно прочесть зашифрованное сообщение просто путем анализа частоты появления букв в зашифрованном тексте.

Однако не следует безоговорочно применять принцип аль-Кинди для криптоанализа, поскольку в таблице 1 указаны только усредненные частоты появления букв, а они не будут в точности совпадать с частотами появления этих же букв в любом другом тексте. К примеру, краткое сообщение, в котором обсуждается влияние состояния атмосферы на передвижение полосатых четвероногих животных в Африке, «From Zanzibar to Zambia and Zaire, ozone zones make zebras run zany zigzags» не поддалось бы непосредственному применению частотного анализа. Вообще говоря, частота появления букв в коротком тексте значительно отклоняется от стандартной, и если в сообщении меньше ста букв, то его дешифрование окажется очень затруднительным. В то же время в более длинных текстах частота появления оукв будет приближаться к стандартной, хотя это происходит и не всегда.

Таблица 1 Таблица относительной частоты появления букв на основе отрывков, взятых из газет и романов; общее количество знаков в отрывках составляло 100 362 буквы. Таблица была составлена X. Бекером и Ф. Пайпером и впервые опубликована в «Системах шифрования: защита связи»

В 1969 году французский автор Жорж Перек написал 200-страничный роман «Исчезновение» («La Disparition»), в котором не было слов с буквой е. Вдвойне примечательно то, что английскому писателю-романисту и критику Гилберту Адэру удалось перевести «La Disparition» на английский язык, где по-прежнему, как и у Перека, буква е отсутствовала. Как ни удивительно, но перевод Адэра, под названием «А Void», является удобочитаемым (см. Приложение А). Если бы весь этот роман был зашифрован с помощью одноалфавитного шифра замены, то попытка дешифровать его оказалась бы безуспешной из-за полного отсутствия наиболее часто встречающейся буквы в английском алфавите.

Дав описание первого инструмента криптоанализа, я продолжу примером того, как частотный анализ применяется для дешифрования зашифрованного текста. Я старался не усеивать книгу примерами криптоанализа, но для частотного анализа я сделаю исключение. Частично потому, что частотный анализ не столь труден, как может показаться из его названия, а частично потому, что это основной криптоаналитический инструмент. Кроме того, последующий пример дает понимание принципа работы криптоаналитика. Хотя частотный анализ требует логического мышления, вы увидите, что необходимы также интуиция, гибкость ума и везение.

Криптоанализ зашифрованного текста

Предположим, что мы перехватили это зашифрованное сообщение. Задача состоит в том, чтобы дешифровать его. Мы знаем, что текст написан на английском языке и что он зашифрован с помощью одноалфавитного шифра замены, но мы ничего не знаем о ключе. Поиск всех возможных ключей практически невыполним, поэтому нам следует применить частотный анализ. Далее мы шаг за шагом будем выполнять криптоанализ зашифрованного текста, но если вы чувствуете уверенность в своих силах, то можете попытаться провести криптоанализ самостоятельно.

При виде такого зашифрованного текста любой криптоаналитик немедленно приступит к анализу частоты появления всех букв; его результат приведен в таблице 2. Нет ничего удивительного в том, что частотность букв различна. Вопрос заключается в том, можем ли мы на основе частотности букв установить, какой букве алфавита соответствует каждая из букв зашифрованного текста. Зашифрованный текст сравнительно короткий, поэтому мы не можем непосредственно применять частотный анализ. Было бы наивным предполагать, что наиболее часто встречающаяся в зашифрованном тексте буква О является и наиболее часто встречающейся буквой в английском языке — е или что восьмая по частоте появления в зашифрованном тексте буква Y соответствует восьмой по частоте появления в английском языке букве h. Бездумное применение частотного анализа приведет к появлению тарабарщины. Например, первое слово РС<2 будет расшифровано как аоv.

Таблица 2 Частотный анализ зашифрованного сообщения.

Начнем, однако, с того, что обратим внимание только на три буквы, которые в зашифрованном тексте появляются более тридцати раз: О, X и Р. Естественно предположить, что эти наиболее часто встречающиеся в зашифрованном тексте буквы представляют собой, по всей видимости, наиболее часто встречающиеся буквы английского алфавита, но не обязательно в том же порядке. Другими словами, мы не можем быть уверены, что О = е, X = t и Р = а, но мы можем сделать гипотетическое допущение, что:

О = е, t или а, X = е, t или а, Р = е, t или а.

Чтобы быть уверенным в своих дальнейших действиях и идентифицировать три чаще всего встречающихся буквы: О, X и Р, нам потребуется применить частотный анализ более тонким образом. Вместо простого подсчета частоты появления трех букв, мы можем проанализировать, как часто они появляются рядом с другими буквами. Например, появляется ли буква О перед или после некоторых других букв, или же она стремится стоять рядом только с некоторыми определенными буквами? Ответ на этот вопрос будет убедительно свидетельствовать, является ли буква О гласной или согласной. Если О является гласной, то она должна появляться перед и после большинства других букв, если же она представляет собой согласную, то она будет стремиться избегать соседства со множеством букв. Например, буква е может появиться перед и после практически любой другой буквы, в то время как буква t перед или после букв b, d, g, j, k, m, q и v встречается редко.

В нижеприведенной таблице показано, насколько часто каждая из трех чаще всего встречающихся в зашифрованном тексте букв: О, X и Р появляется перед или после каждой буквы. О, к примеру, появляется перед А в 1 случае, но никогда сразу после нее, поэтому в первой ячейке стоит 1. Буква О соседствует с большинством букв, и существует всего 7 букв, которых она совершенно избегает, что показано семью нулями в ряду О. Буква X общительна в не меньшей степени, так как она тоже стоит рядом с большинством букв и чурается только 8 из них. Однако буква Р гораздо менее дружелюбна. Она приветлива только к нескольким буквам и сторонится 15 из них. Это свидетельствует о том, что О и X являются гласными, а Р представляет собой согласную.

Теперь зададимся вопросом, каким гласным соответствуют О и X. Скорее всего, что они представляют собой е и а — две наиболее часто встречающиеся гласные в английском языке, но будет ли О = е и X = а, или же О = а, а X = е? Интересной особенностью в зашифрованном тексте является то, что сочетание ОО появляется дважды, а XX не попадается ни разу. Так как в открытом английском тексте сочетание букв ее встречается значительно чаще, чем аа, то, по всей видимости, О = е и X = а.

На данный момент мы с уверенностью определили две буквы в зашифрованном тексте. Наш вывод, что X = а, основан на том, что в зашифрованном тексте в некоторых позициях X стоит отдельным словом, а а — это одно из всего двух слов в английском языке, состоящих из одной буквы. В зашифрованном тексте есть еще одна отдельно стоящая буква, Y, и это означает, что она представляет собой второе однобуквенное английское слово — і. Поиск однобуквенных слов является стандартным криптоаналитическим приемом, и я включил его в список советов по криптоанализу в Приложении В. Этот прием срабатывает только потому, что в данном зашифрованном тексте между словами остались пробелы. Но зачастую криптографы удаляют все пробелы, чтобы затруднить противнику дешифрование сообщения.

Хотя у нас есть пробелы между словами, однако следующий прием сработает и там, где зашифрованный текст был преобразован в непрерывную строку символов. Данный прием позволит нам определить букву h после того, как мы нашли букву е. В английском языке буква h часто стоит перед буквой е (как, например, в the, then, they и т. п.), но очень редко после е. В нижеприведенной таблице показана частота появления буквы О, которая, как мы полагаем, является буквой е, перед и после всех других букв в зашифрованном тексте. На основе этой таблицы можно предположить, что В представляет собой букву h, потому что она появляется перед О в 9 случаях, но никогда не стоит после нее. Никакая другая буква в таблице не имеет такой асимметричной связи с О.

Каждая буква в английском языке характеризуется своими собственными, присущими только ей индивидуальными особенностями, среди которых частота ее появления и ее связь с другими буквами.

Именно эти индивидуальные особенности позволяют нам установить истинное значение буквы, даже когда она была скрыта с использованием шифра одноалфавитной замены.

Теперь мы уже гарантированно определили значение четырех букв: О = е, Х = а, Y = i и В = h и можем приступить к замене отдельных букв в зашифрованном тексте их эквивалентами для открытого текста. При замене я буду придерживаться следующего правила: буквы зашифрованного текста останутся прописными, а подставляемые буквы для открытого текста будут строчными. Это поможет нам отличить те буквы, которые нам еще только предстоит определить, от тех, значение которых мы уже установили.

Этот несложный шаг даст нам возможность определить еще несколько букв, поскольку сейчас мы можем отгадать отдельные слова в зашифрованном тексте. К примеру, самыми часто встречающимися трехбуквенными словами в английском языке являются the и and, и их сравнительно легко найти в тексте: Lhe, которое появляется шесть раз, и aPV, которое появляется пять раз. Следовательно, L, по всей видимости, является буквой t, Р — n, а V — d. Теперь мы можем заменить и эти буквы в зашифрованном тексте, подставив вместо них их действительные значения:

Как только будут определены несколько букв, дальнейший процесс дешифрования пойдет очень быстро. Так, в начале второго предложения стоит слово Сn. В каждом слове есть гласная, поэтому С должна быть гласной. Нам осталось определить только две гласные: u и о; u не подходит, значит, С должна быть буквой о. У нас также есть слово Khe, в котором К может быть либо t, либо s. Но мы уже знаем, что L = t, поэтому совершенно очевидно, что К = s. Установив значения этих двух букв, подставим их в зашифрованный текст, в результате чего получим фразу thoMsand and one niDhts. Здравый смысл подсказывает, что это должно быть thousand and one nights, и, скорее всего, данный отрывок взят из «Тысячи и одной ночи». Отсюда получаем, что M = u, I = f, J = r, D = g, R = I и S = m.

Мы можем постараться определить другие буквы, подбирая другие слова, но давайте вместо этого посмотрим, что нам известно об алфавите открытого текста и о шифралфавите. Эти два алфавита образуют ключ и применяются криптографом для выполнения замены, благодаря которой сообщение становится зашифрованным. Ранее, определив истинные значения букв в зашифрованном тексте, мы успешно подобрали элементы шифралфавита. То, чего мы достигли на данный момент, представлено ниже, в алфавите открытого текста и шифралфавите.

Анализируя частично заполненную строку шифралфавита, мы можем завершить криптоанализ. Последовательность VOIDBY в шифралфавите дает возможность предположить, что в качестве ключа криптограф использовал ключевую фразу. Можно догадаться, что ключевой фразой здесь будет A VOID BY GEORGES PEREC, которая, после того как будут убраны пробелы и повторы букв, сократится до AVOIDBYGERSPC. После нее буквы следуют в алфавитном порядке, при этом те из них, которые уже встречались в ключевой фразе, пропускаются. В данном частном случае криптограф расположил ключевую фразу не в начале шифралфавита, а начиная с третьей буквы. Это допустимо, поскольку ключевая фраза начинается с буквы А, криптограф же хочет избежать зашифровывания а как А. Наконец, определив шифралфавит, мы можем полностью дешифровать весь зашифрованный текст, и криптоанализ будет закончен.

Эпоха Возрождения на Западе

Между 800 и 1200 годами н. э., когда для арабских ученых наступил период выдающихся интеллектуальных достижений, Европа прочно увязла в Темных веках. В то время как аль-Кинди описывал изобретение криптоанализа, европейцы все еще постигали основы криптографии. Единственными в Европе институтами, в которых поощрялось изучение тайнописи, были монастыри, где монахи исследовали Библию в поисках скрытого в ней значения; заманчивость этих поисков была такова, что они продолжаются и по сей день (см. Приложение C).

Средневековые монахи были заинтригованы тем фактом, что в Ветхом Завете имелись явные признаки использования криптографии. В нем, к примеру, встречаются куски текста, зашифрованного с помощью атбаша, — традиционной формы шифра замены в иврите. Принцип зашифровывания здесь следующий: берется буква, определяется, какой она является по счету от начала алфавита, после чего заменяется буквой, которая стоит на том же самом месте, но только считая от конца алфавита. Для английского языка это означает, что а, стоящая в начале алфавита, заменяется буквой Z, стоящей в конце алфавита, b заменяется на Y и так далее. Название атбаш само намекает на замену, которая используется в этом шифре: слово атбаш состоит из первой буквы алфавита иврита; алеф, за которой

следует последняя буква в алфавите тав, далее идет вторая буква, бет, а за ней — вторая буква от конца шин. Примеры атбаша даны в книге пророка Иеремии, глава 25, стих 26 и глава 51 стих 41, где слово «Вавилон» заменено словом «Сесах» («Шешах»); первая буква слова Babel (Вавилон) — бет, вторая буква алфавита иврита, заменяется на шин, вторую букву от конца; второй буквой слова Babel также является бет, и поэтому она тоже заменяется на шин; последняя буква слова Babel — ламед, двенадцатая буква алфавита иврита, и она заменяется на каф, двенадцатую букву от конца алфавита.

Атбаш и другие подобные библейские шифры предназначались, по-видимому, для придания таинственности, а не для того, чтобы скрыть смысл, но и этого оказалось достаточно, чтобы пробудить интерес к серьезному занятию криптографией. Европейские монахи начали заново открывать уже забытые шифры замены, придумали новые шифры и со временем сумели повторно приобщить цивилизацию Запада к криптографии. Первая известная европейская книга, в которой рассказывается об использовании криптографии, была написана в тринадцатом веке английским францисканским монахом и энциклопедистом Роджером Бэконом.

В «Тайных опытах и недействительности магии» приведены семь способов того, как хранить сообщения в секрете, и дается предупреждение: «Дурак тот, кто пишет о тайне каким-либо способом, но не так, чтобы скрыть ее от простонародья».

К четырнадцатому веку криптографией стали пользоваться повсеместно; алхимики и ученые использовали ее, чтобы хранить свои открытия в секрете. Джеффри Чосер, несмотря на то что он гораздо более известен своими литературными достижениями, являлся также астрономом и криптографом, и именно в его работах можно найти один из самых известных примеров первого в Европе использования зашифровывания. В своем трактате «Об астролябии» он дал несколько дополнительных замечаний, озаглавленных «Экватор планет», в которых содержалось несколько зашифрованных разделов. При зашифровывании по способу Чосера буквы незашифрованного текста заменялись символами, например, b заменялась на δ. На первый взгляд зашифрованный текст, состоящий не из букв, а из непонятных символов, казался более сложным, но, по сути, это эквивалентно обычной замене буквы на букву. Принцип зашифровывания и степень стойкости точно такие же.

К пятнадцатому веку европейская криптография превратилась в целую отрасль, развивающуюся стремительными темпами. Возрождение искусства и науки в эпоху Ренессанса «вскормило» криптографию, а бурный рост политических интриг вынуждал обеспечивать секретность переписки. Идеальной средой для криптографии была, в частности, Италия. Она, наряду с тем, что являлась душой Возрождения, состояла из независимых городов-государств, каждый из которых старался перехитрить другие и добиться над ними преимущества. Был расцвет дипломатии; от каждого государства ко дворам других направлялись послы. Каждый посол получал указания от своего правителя о том, какую внешнюю политику он должен проводить. В свою очередь послы отсылали своим правителям все сведения, которые они собирали. Ясно, что имелась веская причина для зашифровывания посланий, идущих в обоих направлениях. В связи с этим в каждом государстве были учреждены шифровальные ведомства, а при каждом после находился секретарь-шифровальщик.

В это же самое время, когда криптография становилась обычным дипломатическим инструментом, на Западе все было готово к появлению криптоанализа как науки. Дипломаты еще только овладевали искусством ведения секретной переписки, как уже появились отдельные лица, которые старались эту секретность уничтожить. Вполне возможно, что в Европе криптоанализ был изобретен независимо от других, но существует вероятность и того, что он был завезен из арабского мира.

Открытия, сделанные мусульманами в естественных науках и в математике, оказали огромное влияние на возрождение науки в Европе, так что среди завезенных знаний вполне мог оказаться и криптоанализ.

По всей видимости, первым крупным европейским криптоаналитиком был Джованни Соро, назначенный на должность венецианского секретаря-шифровалыцика в 1506 г. Репутация Соро была известна во всей Италии, и дружественные государства пересылали в Венецию перехваченные сообщения для проведения их криптоанализа. Даже из Ватикана, пожалуй, второго по активности центра криптоанализа, направляли Соро попадающие в их руки сообщения, которые, как им представлялось, дешифровать было невозможно. В 1526 году папа Климент VII послал ему два зашифрованных письма, и оба они вернулись успешно дешифрованными. И когда одно из зашифрованных личных писем папы было перехвачено флорентийцами, папа направил его копию Соро в надежде, что тот его успокоит, сказав, что дешифровать его невозможно. Соро объявил, что он не смог взломать шифр папы, дав понять, что и флорентийцы также не смогут дешифровать его. Возможно, однако, что это была уловка, чтобы успокоить криптографов Ватикана и внушить им ложное чувство безопасности — Соро просто не хотел показать слабость папского шифра, поскольку это только подтолкнуло бы Ватикан к созданию более стойкого шифра, шифра, который Соро, может, и не сумел бы раскрыть.

И другие дворы Европы также стали приглашать на службу искусных криптоаналитиков, таких как Филибер Бабу, который был криптоаналитиком короля Франции Франциска I. Бабу приобрел репутацию невероятно упорного человека, который способен работать круглые сутки неделями напролет, чтобы раскрыть перехваченное сообщение. К несчастью для Бабу, это дало возможность королю вступить в длительную любовную связь с его женой. К концу шестнадцатого века, с появлением Франсуа Виета, который получал особое удовлетворение от взлома испанских шифров, французы повысили свое мастерство по дешифрованию сообщений. Испанские криптографы, которые выглядели простодушными по сравнению со своими противниками в Европе, не могли поверить, когда узнали, что их сообщения становились известны французам. Испанский король Филипп II даже обратился с прошением в Ватикан, заявив, что единственным объяснением успешности применения криптоанализа Виета является то, что он — «сатана, вступивший в сговор с дьяволом». Филипп убеждал, что Виет должен предстать перед судом кардиналов из-за своих дьявольских дел, но папа, который знал, что его собственные криптоаналитики уже не первый год вскрывали испанские шифры, отверг прошение испанцев. Новость о прошении вскоре стала известна криптоаналитикам различных стран, и испанские криптографы оказались посмешищем всей Европы.

Ситуация с испанцами наглядно характеризовала состояние противоборства между криптографами и криптоаналитиками. Это был переходный период, когда криптографы все еще полагались на одноалфавитный шифр замены, в то время как криптоаналитики уже начали применять частотный анализ, чтобы взломать этот шифр. Криптографам еще только предстояло узнать все могущество частотного анализа, а пока что они продолжали верить в одноалфавитную замену, не представляя, в какой степени такие криптоаналитики, как Соро, Бабу и Виет, были способны прочесть их сообщения.

Между тем государства, которые получили предупреждение о слабости одноалфавитного шифра замены, стремились создать более стойкий шифр, который смог бы защитить их сообщения от раскрытия криптоаналитиками неприятеля. Одним из простейших приемов повышения стойкости одноалфавитного шифра замены является использование «пустых» знаков — символов или букв, которые не заменяли реальные буквы, а являлись просто пустыми, ничего не обозначающими символами. Например, можно заменить каждую букву открытого текста числами от 1 до 99, из которых 73 ничего не означают и могут случайным образом появляться с разной частотой в зашифрованном тексте. «Пустые» знаки не представляют никакой сложности для получателя, кому предназначено данное сообщение, кто знает, что эти символы не следует принимать во внимание. Однако наличие таких знаков будет сбивать с толку противника, перехватившего сообщение, потому что они усложняют атаку с применением частотного анализа. Ради повышения стойкости криптографы иногда сознательно перед зашифровыванием сообщения писали слова неправильно. Thys haz thi ifekkt off diztaughting thi ballans off fnkwenseas — усложняет криптоаналитику возможность применения частотного анализа. Однако получатель данного сообщения, если он знает ключ, сможет расшифровать его, после чего в его распоряжении окажется неверно написанный, но все же вполне понятный текст.

К попыткам усилить одноалфавитный шифр замены относится и введение кодовых слов. Термин код имеет очень широкое значение в обыденной речи, и он часто употребляется для описаниялюбых способов, используемых для тайной передачи информации. Однако, как было упомянуто в Введении, в действительности он имеет весьма специфическое значение и применяется только для определенного вида замены. До сих пор мы рассматривали шифр замены, посредством которого каждая буква заменяется на другую букву, число или символ.

Однако замену можно осуществлять на гораздо более высоком уровне, когда каждое слово представляется другим словом или символом — это и будет код. Например:

Исходное сообщение = убить короля сегодня вечером. Закодированное сообщение = D-Ω-28

Формально код определяется как замена, выполняемая на уровне слов или фраз, в то время как шифр определяется как замена на уровне букв. Поэтому термин зашифровать означает «сделать сообщение секретным с помощью шифра», в то время как закодировать означает «сделать сообщение секретным с помощью кода». Аналогично термин расшифровать/дешифровать применяется для рассекречивания зашифрованного сообщения, а раскодировать/декодировать — для рассекречивания закодированного сообщения. Термины зашифровать и расшифровать/дешифровать более общие и охватывают засекречивание и рассекречивание, выполняемое как с помощью кодов, так и с помощью шифров. На рисунке 7 показана краткая сводка этих определений. В целом я буду придерживаться этих определений, но когда смысл ясен, я могу воспользоваться, например, таким термином, как «криптографический анализ», чтобы описать процесс, который на самом деле является «взломом шифра» — последний термин может быть формально более точным, но первый является более употребимым.

На первый взгляд представляется, что коды обеспечивают более высокую степень стойкости, чем шифры, так как слова гораздо менее уязвимы для частотного анализа, чем буквы. Чтобы дешифровать одноалфавитный шифр, вам потребуется установить точные значения каждой из всего лишь 26 букв, а чтобы взломать код, вам потребуется определить точные значения сотен и даже тысяч кодовых слов. Однако если мы более внимательно рассмотрим коды, мы увидим, что они, по сравнению с шифрами, обладают двумя существенными с практической точки зрения недостатками. Во-первых, после того как отправитель и получатель согласуют 26 букв в шифралфавите (ключ), они смогут зашифровать любое сообщение, но чтобы добиться той же гибкости при применении кода, им придется проделать кропотливую работу по заданию кодового слова для каждого из тысяч возможных слов незашифрованного текста. Кодовая книга будет состоять из сотен страниц и напоминать словарь. Другими словами, составление кодовой книги — это изрядная задача, держать же ее при себе представляет значительное неудобство.

Рис. 7 Наука тайнописи и ее основные направления.

Во-вторых, последствия того, что противник завладеет кодовой книгой, поистине ужасающи. Все закодированные сообщения сразу же станут известны противнику. Отправители и получатели должны будут заново пройти через кропотливый процесс создания совершенно новой кодовой книги, а затем этот объемистый новый том необходимо будет передать всем в коммуникационной сети, то есть секретно доставить его всем послам во всех странах. Сравните: если противнику удастся завладеть ключом шифра, то сравнительно несложно составить новый шифралфавит из 26 букв, который можно запомнить и легко передать.

Даже в шестнадцатом веке криптографы хорошо осознавали присущие кодам слабости и вместо них больше полагались на шифры, или, иногда, на номенклаторы. Номенклатор — это система шифрования, основанная на шифралфавите, который применяется для зашифровывания большей части сообщения, плюс небольшой набор кодовых слов. К примеру, номенклаторная книга могла бы состоять из титульного листа с шифралфавитом и со списком кодовых слов на второй странице. Несмотря на добавление кодовых слов, номенклатор ненамного надежнее, чем просто один шифр, поскольку основная часть сообщения может быть дешифрована с помощью частотного анализа, а смысл оставшихся зашифрованными слов может быть определен по контексту.

Лучшие криптоаналитики не только совладали с номенклатором, они способны были также справиться и с сообщениями с неправильно написанными словами, и с сообщениями с «пустыми» знаками. Короче говоря, они могли вскрыть большинство зашифрованных сообщений. Благодаря квалификации и умению криптоаналитиков, раскрытые секреты шли непрерывным потоком; они влияли на принятие решений властителями и повелительницами, определяя тем самым ход истории в Европе в критические моменты.

Никогда влияние криптоанализа не проявилось так драматично, как в случае Марии Стюарт, королевы Шотландии. Исход судебного процесса над ней всецело зависел от поединка между ее шифровальщиками и дешифровальщиками королевы Елизаветы. Мария была одной из наиболее заметных фигур шестнадцатого столетия — королева Шотландии, королева Франции, претендент на английский трон — и все же ее судьба зависела от листочка бумаги, содержавшегося на нем сообщения и от того, будет или нет оно дешифровано.

Заговор Бабингтона

24 ноября 1542 года английские войска Генриха VIII разгромили шотландскую армию в битве при Солвей Мосс в северной Англии. Казалось, что Генрих вот-вот завоюет Шотландию и захватит корону короля Якова V. После сражения обезумевший король Шотландии страдал от полного душевного опустошения и упадка сил и удалился во дворец в Фолкленде. Даже рождение дочери Марии, всего через две недели, не могло оживить угасающего короля. Казалось, что он всего лишь ждал вестей о рождении наследника, чтобы спокойно закончить жизненный путь, зная, что он выполнил свой долг. Не прошло и недели после рождения Марии, как король Яков V, которому было всего тридцать лет, умер. Мария Стюарт стала принцессой-дитя.

Мария родилась недоношенной, и вначале казалось, что она не выживет. По ходившим в Англии слухам дитя умерло, но это было просто принятие желаемого за действительное при английском дворе, который был склонен выслушивать любые новости, которые могли бы дестабилизировать Шотландию. На самом же деле Мария вскоре окрепла и стала здоровой, и в возрасте девяти месяцев, 9 сентября 1543 года, она была коронована в церкви замка Стерлинг, в окружении трех графов, несущих от ее имени королевскую корону, скипетр и меч.

То, что королева Мария была слишком юна, дало Шотландии передышку от английских нападений. Если бы Генрих VIII попытался вторгнуться в страну, в которой совсем недавно умер король и которой правила принцесса-дитя, это посчитали бы нерыцарским и неблагородным. Вместо этого английский король выбрал политику сватовства, в надежде устроить брак между Марией и своим сыном Эдуардом, объединив тем самым обе нации под властью Тюдоров. Он начал с того, что отпустил шотландских дворян, плененных на Солвей Мосс, при условии, что они будут выступать за союз с Англией.

Однако шотландский двор, рассмотрев предложение Генриха, отверг его в интересах брака с Франциском, дофином Франции. Шотландия выбрала союз с государством, принадлежащим римско-католической церкви, решение, которое обрадовало мать Марии, Марию де Гиз, чей брак с Яковом V был направлен на укрепление связи между Шотландией и Францией. Мария и Франциск были еще детьми, но планировалось, что в будущем они поженятся и Франциск взойдет на трон Франции с Марией, которая станет королевой, объединив тем самым Шотландию и Францию. А до того времени Франция обязуется защищать Шотландию от любых нападений Англии.

Обещание защиты со стороны Франции была подтверждено еще раз, в частности после того, как Генрих VIII перешел от политики дипломатии к запугиванию, дабы убедить шотландцев, что его сын — более подобающий жених для Марии Стюарт. Его войска пиратствовал и уничтожали посевы, сжигали деревни и нападали на города и села вдоль границы. «Грубое ухаживание», как известно, продолжалось даже после смерти Генриха в 1547 году. Все завершилось в битве при Пинки-Клей, в которой англичане под руководством сына Генриха VIII, короля Эдуарда VI (претендующего на роль «поклонника»), наголову разбили шотландскую армию. После этой бойни было решено, что ради собственной безопасности Мария должна уехать во Францию, где она будет вне досягаемости со стороны Англии и где она смогла бы подготовиться к браку с Франциском. 7 августа 1548 года, в возрасте шести лет, она отплыла на галеоне в порт Росков.

Первые несколько лет при французском дворе были самым идиллическим периодом жизни Марии. Она была окружена роскошью, ограждена от зла и росла, чтобы любить своего будущего мужа, дофина. В возрасте шестнадцати лет они поженились, а на следующий год Франциск и Мария стали королем и королевой Франции. Казалось, что все способствовало ее триумфальному возвращению в Шотландию, пока ее муж, который всегда был слабого здоровья, серьезно не заболел. Воспаление уха, которым он страдал с детства, усугубилось, процесс распространился на мозг, и начал развиваться абсцесс. В 1560 году, не пробыв королем и года, Франциск умер. Мария овдовела.

С этого времени жизнь Марии неоднократно омрачалась трагическими событиями. Вернувшись в Шотландию в 1561 году, она обнаружила, что страна совершенно переменилась. Во время своего длительного отсутствия Мария утвердилась в католической вере, ее же шотландские подданные все больше и больше склонялись к протестантской церкви. Мария была терпимой к желаниям большинства и вначале правила относительно успешно, но в 1565 году она сочеталась браком со своим кузеном, Генри Стюартом, лордом Дарили, шаг, после которого звезда Марии исподволь, но все быстрее и быстрее покатилась вниз. Дарнли оказался злобным и безжалостным, алчущим власти человеком, из-за которого Мария лишилась верности шотландских дворян. На следующий год Мария сама убедилась в жестоком характере своего мужа, когда он убил прямо у нее на глазах ее же секретаря Дэвида Риччо. Всем стало ясно, что ради Шотландии необходимо было избавиться от Дарнли. Историки спорят, кто из них, Мария или шотландские дворяне, организовал заговор, но в ночь на 9 февраля 1567 года дом Дарнли загорелся, а он сам, пытаясь выбраться, задохнулся. Единственная польза, которую принес этот брак, — появление сына и престолонаследника Иакова.

Следующее замужество Марии с Джеймсом Хепберном, четвертым графом Босуэлским, едва ли было более счастливым. К лету 1567 года протестантские дворяне Шотландии лишились последних иллюзий в отношении своей католической королевы; они изгнали Босуэла и заключили в тюрьму Марию, принудив ее отречься от короны в пользу четырнадцатимесячного сына Якова VI, в то время как ее сводный брат, граф Меррейский, выступал в качестве регента. На следующий год Мария, бежав из заключения, собрала армию из шести тысяч солдат и совершила еще одну, последнюю попытку вернуть себе корону. Ее войско столкнулось с армией регента у небольшой деревушки Лэнгсайд, неподалеку от Глазго, и Мария наблюдала за сражением с вершины соседнего холма. Хотя ее отряды численностью превосходили противника, но дисциплины у них не было, и Мария видела, как ее войско просто разорвали. Когда поражение стало неизбежным, ей ничего не оставалось, как спасаться бегством. Лучше всего для нее было бы направиться на восток, к побережью, а затем во Францию, но это означало бы пересечь территорию, подвластную ее брату, и вместо этого она направилась на юг, в Англию, где, как она надеялась, ее кузина, королева Елизавета I, даст ей убежище.

Мария совершила ужасную ошибку. Елизавета не предложила Марии ничего, кроме еще одного заключения. Официальной причиной ее ареста была смерть Дарнли, однако действительная причина состояла в том, что Мария представляла собой угрозу Елизавете, поскольку английские католики считали Марию истинной королевой Англии.

Благодаря своей бабушке, Маргарет Тюдор, старшей сестре Генриха VIII, Мария действительно притязала на английский трон, но у последнего выжившего отпрыска Генриха, Елизаветы I, имелось на него, пожалуй, преимущественное право. Однако Елизавета была объявлена католиками незаконнорожденной, так как являлась дочерью Анны Болейн, второй жены Генриха, после того как он расторгнул брак с Екатериной Арагонской вопреки запрету папы. Английские католики не признавали развода Генриха VIII, они не признавали последующей его женитьбы на Анне Болейн, и они заведомо не считали их дочь Елизавету королевой. Католики рассматривали Елизавету как мерзкого узурпатора.

Марию лишили свободы; ее поочередно перевозили из одного замка в другой, из одного поместья в другое. Хотя Елизавета считала ее одной из наиболее опасных фигур в Англии, но многие англичане признавали, что были восхищены ее грациозными манерами, ее ясным умом и ее редкостной красотой. Уильям Сесил, государственный канцлер Елизаветы, отмечал «ее лукавство и чарующее воздействие на всех мужчин»; похожее наблюдение сделал и Николас Уайт, эмиссар Сесила: «У нее была к тому же обольстительная привлекательность, милый шотландский акцент и пытливый ум, оттененные сдержанностью». Но годы шли, она старела, здоровье ее ухудшалось, и она начала терять надежду. Ее тюремщик, сэр Эмиас Паулет, пуританин, оказался неуязвим для ее чар и обращался с ней все более и более сурово.

К 1586 году, после 18 лет заключения, она потеряла все свои привилегии. Ее содержали в Чартли Холле в Стаффордшире, и больше ей не дозволялось лечиться на водах в Бакстоне, которые прежде помогали облегчить ее страдания во время частых приступов ревматизма. Во время своего последнего посещения Бакстона она алмазом начертала на оконном стекле: «Бакстон, чьи теплые воды прославили тебя, наверное, я больше не приеду сюда никогда. Прощай». Похоже, что она подозревала, что ее лишат и той небольшой свободы, которая еще была у нее. Растущие страдания Марии усугублялись действиями ее девятнадцатилетнего сына, короля Шотландии Якова VI. Она всегда надеялась, что в один прекрасный день ее отпустят и она вернется в Шотландию, чтобы разделить власть со своим сыном, которого она не видела с тех пор, как ему исполнился один год. Однако Яков не чувствовал никакой привязанности к своей матери. Его вырастили и воспитали враги Марии, внушившие Якову, что его мать убила его отца, чтобы выйти замуж за своего любовника. Яков презирал ее и боялся, что если она вернется, то постарается захватить его корону.

Ненависть его к Марии наглядно проявилась в том, что он без брезгливости стремился сочетаться браком с Елизаветой I, женщиной, которая виновна в лишении свободы его матери (и которая была старше него на тридцать лет). Елизавета отклонила предложение.

Мария писала своему сыну в надежде склонить его на свою сторону, но письма ее никогда не достигали границ Шотландии. К этому моменту Мария находилась в большей изоляции, чем когда-либо раньше: все письма от нее конфисковывались, а вся входящая корреспонденция задерживалась ее тюремщиком. Мария была совершенно подавлена; казалось, что никакой надежды больше не осталось. И в этом состоянии безысходности 6 января 1586 года она получила поразившую ее пачку писем.

Письма пришли от тех, кто поддерживал Марию на континенте, и их тайно доставил в ее тюрьму Гилберт Гиффорд, католик, покинувший Англию в 1577 году и учившийся на священника в английском колледже в Риме. Вернувшись в 1585 году в Англию и страстно желая быть полезным Марии, он сразу же отправился во французское посольство в Лондоне, где скопилась кипа писем. В посольстве знали, что, если они направят письма обычным путем, Мария никогда не увидит их. Однако Гиффорд объявил, что он сможет тайно переправить письма в Чартли Холл, и он на самом деле сдержал свое слово. Эта передача была одной из многих, и Гиффорд стал курьером, не только передавая письма Марии, но и забирая ее ответы. Он придумал довольно остроумный способ беспрепятственно переправлять письма в Чартли Холл. Он отдавал письма местному пивовару, тот заворачивал их в кожаный мешок, а затем прятал в выдолбленной затычке, которой закупоривали бочонок с пивом. Пивовар доставлял бочку в Чартли Холл, после чего один из слуг Марии вскрывал затычку и передавал содержимое королеве Шотландии. Этот способ действовал равно хорошо и для передачи писем из Чартли Холла.

Тем временем в лондонских тавернах вынашивался план по освобождению Марии. В центре заговора стоял Энтони Бабингтон. Ему всего лишь двадцать четыре, но он уже хорошо известен в столице как красивый, обаятельный и остроумный бонвиван. Чего его многие восхищенные современники не сумели понять, так это того, что Бабингтон был крайне недоволен властями, из-за которых он сам, его семья и его вера подвергались гонениям.

Государственная политика, направленная на искоренение католицизма, была поистине ужасающей: священников обвиняли в государственной измене, а любого, кто давал им прибежище, вздергивали на дыбе, отрубали конечности и еще живых потрошили. Католическая месса была официально запрещена, а семьи, оставшиеся верными папе, были вынуждены платить непомерные налоги. Враждебность Бабингтона подпитывалась смертью лорда Дарси, его прадеда, который был обезглавлен из-за участия в «Благодатном паломничестве» — католическом восстании против Генриха VIII.

Датой рождения заговора можно считать один из мартовских вечеров 1586 года, когда Бабингтон и шестеро его ближайших друзей собрались в гостинице «Плуг» за лондонскими воротами перед зданием Темпля. Как отмечал историк Филипп Караман: «Он притягивал к себе силой своего обаяния и личных качеств многих молодых дворян-католиков из своего окружения, галантных, безрассудно смелых и отчаянно храбрых, готовых для защиты католической веры в то время, когда она подвергается гонениям, и жаждущих любого трудного дела, каким бы оно ни было, которое могло бы послужить во благо католической церкви». В следующие несколько месяцев родился грандиозный план: освободить Марию, убить королеву Елизавету и поднять мятеж, который будет поддержан вторжением из-за границы.

Заговорщики согласились, что заговор Бабингтона, как его стали называть, не мог продолжаться без благословения Марии, однако никаких способов связаться с ней не было. И в этот самый момент, 6 июля 1586 года, на пороге дома Бабингтона появился Гиффорд. Он привез письмо от Марии, в котором она писала, что узнала о Бабингтоне от своих сторонников в Париже и с нетерпением ожидает от него вестей. В ответ Бабингтон составил подробное письмо, в котором он обрисовал свой план, не забыв упомянуть об отлучении Елизаветы от церкви папой Пием V в 1570 году, что, как он полагал, вполне оправдывало ее убийство.

Я сам с десятью дворянами и сотней наших, сторонников предприму освобождение Вашего королевского высочества из рук ваших врагов. Чтобы убить узурпаторшу, которая отлучена от церкви и которой поэтому мы не повинуемся, есть шесть благородных дворян, все — мои верные друзья, истово и с усердием служащие католической церкви и Вашему высочеству, которые возьмут на себя выполнение этого прискорбного дела.

Как и прежде, Гиффорд прятал сообщение в затычке, которой закупоривали бочонок с пивом, чтобы незаметно пронести его мимо стражи Марии. Это можно рассматривать как стеганографию, поскольку скрывалось наличие самого письма.

В качестве дополнительной меры предосторожности Бабингтон зашифровал свое письмо, так что даже если оно и будет перехвачено тюремщиком Марии, то дешифровать его не смогут, и заговор останется нераскрытым. Он использовал шифр, который был не просто одноалфавитной заменой, а, скорее, номенклатором, что показано на рис. 8. Шифр состоял из 23 символов, которыми заменялись буквы алфавита (кроме j, v и w), и еще 35 символов, являющихся словами или предложениями. Помимо этого, имелось четыре «пустых» знака и символ σ, который указывал, что следующий символ представляет собой удвоенную букву («дублет»).

Гиффорд был еще молод, даже моложе Бабингтона, и все же он смело и уверенно перевозил письма. Под вымышленными именами — мистер Колердин, Пьетро и Корнелий — он беспрепятственно ездил по стране, не вызывая подозрений, а благодаря своим связям среди католиков у него всегда имелось несколько надежных убежищ между Лондоном и Чартли Холлом. Однако всякий раз, приезжая в

Рис. 8 Номенклатор Марии Стюарт, королевы Шотландии, состоящий из шифралфавита и кодовых слов.

Чартли Холл или покидая его, Гиффорд делал крюк. Хотя он явно действовал как агент Марии, но был на самом деле двойным агентом. Еще в 1585 году, перед возвращением в Англию, Гкффорд написал сэру Фрэнсису Уолсингему, государственному секретарю королевы Елизаветы, предлагая ему свои услуги.

Гиффорд понимал, что его католическое прошлое могло бы послужить великолепным прикрытием для проникновения в ряды заговорщиков, выступающих против королевы Елизаветы. В письме к Уолсингему он писал: «Я слышал о вашей работе и хотел бы послужить вам. У меня нет сомнений, и меня не страшит опасность. Что бы вы ни приказали мне, я это сделаю».

Уолсингем был самым беспощадным министром Елизаветы, министром полиции, отвечающим за безопасность монарха и ради этого не брезговавшим никакими средствами. Он унаследовал небольшую сеть шпионов, которую быстро расширил и внедрил в Европу, где вынашивалось и готовилось большинство заговоров против Елизаветы. После его смерти обнаружилось, что он регулярно получал донесения из двенадцати мест во Франции, девяти в Германии, четырех в Италии, четырех в Испании и трех в Нидерландах, Бельгии и Люксембурге, а также имел информаторов в Константинополе, Алжире и Триполи.

Уолсингем завербовал Гиффорда в качестве шпиона, и фактически именно Уолсингем приказал Гиффорду отправиться во французское посольство и предложить себя в качестве курьера. Всякий раз письмо для Марии, или от нее, попадало вначале Уолсингему. Тот передавал его своим подчиненным, которые вскрывали каждое письмо, снимали с него копию, вновь запечатывали его такой же печатью и отдавали обратно Гиффорду. Будто бы нетронутое письмо доставлялось Марии или ее корреспондентам, которые оставались в неведении о происходящем.

Когда Гиффорд вручал Уолсингему письмо от Бабингтона Марии, первоочередная задача заключалась в том, чтобы дешифровать его. Уолсингем впервые столкнулся с кодами и шифрами при чтении книги, написанной итальянским математиком и криптографом Джироламо Кардано (предложившим, между прочим, вид письма для слепых, основанный на тактильности, — предшественник шрифта Брайля). Книга Кардано пробудила интерес Уолсингема, но только работы по дешифровке корреспонденции фламандского криптоаналитика Филиппа ван Марникса убедили его в необходимости иметь в своем распоряжении дешифровальщика. В 1577 году Филипп Испанский использовал шифры для переписки со своим сводным братом, также католиком, доном Хуаном Австрийским, который управлял большей частью Нидерландов. В письме Филипп предлагал план вторжения в Англию, но оно было перехвачено Вильгельмом Оранским, который передал его Марниксу, своему шифровальщику. Марникс расшифровал план, и Уильям переправил информацию Даниэлю Роджерсу, английскому агенту, работающему на континенте, который, в свою очередь, предупредил Уолсингема об угрозе нападения. Англичане укрепили свою оборону, что оказалось достаточным, чтобы вынудить испанцев отказаться от попытки вторжения.

Теперь, всецело осознав ценность криптоанализа, Уолсингем основал шифровальную школу в Лондоне и взял себе на службу в качестве шифровальщика Томаса Фелиппеса, человека «невысокого роста, незначительного во всех отношениях, близорукого, с волосами цвета соломы — на голове темнее, борода светлее, — с изъеденным оспой лицом, на вид около тридцати лет». Фелиппес был лингвистом, знавшим французский, итальянский, испанский, латинский и немецкий языки, но гораздо важнее было то, что он являлся одним из лучших в Европе криптоаналитиков.

Получив письмо, для Марии или от нее, Фелиппес просто проглатывал его. Для него, знатока частотного анализа, отыскать решения было всего лишь вопросом времени. Он находил частоту появления каждой буквы и в качестве рабочей гипотезы делал предположение о значении тех из них, которые появлялись чаще всего. Если при данном предположении получалась нелепица, он возвращался назад и пробовал другую замену. Постепенно он идентифицировал «пустые» символы — криптографические «ложные следы». В конечном счете осталось только небольшое количество кодовых слов, значения которых могло быть выяснено из контекста.

Когда Фелиппес дешифровал письмо Бабингтона к Марии, в котором недвусмысленно предлагалось убийство Елизаветы, он незамедлительно направил его своему господину. Сейчас Уолсингем мог бы схватить Бабингтона, но ему хотелось большего, нежели казнь горстки заговорщиков. Он выжидал, надеясь, что Мария ответит и одобрит заговор, тем самым изобличив себя. Уолсингем уже давно жаждал смерти Марии, королевы Шотландии, но он понимал нежелание Елизаветы казнить свою двоюродную сестру. Однако если бы он смог доказать, что Мария поддерживала покушение на жизнь

Елизаветы, тогда, без сомнения, его королева дозволит предать казни свою католическую противницу. Вскоре упованиям Уолсингема суждено было оправдаться.

17 июля Мария ответила Бабингтону, подписав тем самым свой смертный приговор. Она подробно написала о «плане», особо оговорив, что должна быть освобождена одновременно, или чуть раньше, убийства Елизаветы, в противном случае новости могут дойти до ее тюремщика, который может убить ее. Как обычно письмо, перед тем как попасть к Бабингтону, оказалось у Фелиппеса. Проведя криптоанализ предыдущего письма, он с легкостью дешифровал и это, прочитал его и пометил знаком «П» — обозначением виселицы.

У Уолсингема на руках были все доказательства для ареста Марии и Бабингтона, но он все еще не был окончательно удовлетворен. Чтобы полностью искоренить заговор, ему нужны были имена всех, кто принимал в нем участие, поэтому он попросил Фелиппеса добавить к письму Марии приписку с просьбой Бабингтону назвать их имена. Один из талантов Фелиппеса заключался в умении подделывать почерк; говорили, что он «хотя бы раз увидев написанное рукой любого человека, мог воспроизвести его почерк, и это выглядело бы так, словно этот человек сам написал это». На рисунке 9 показана приписка, которую он сделал в конце письма Марии Бабингтону. Она может быть расшифрована с помощью номенклатора Марии, представленного на рисунке 8; в результате получится следующий незашифрованный текст:

Рис. 9 Приписка к письму Марии, добавленная Томасом Фелиппесом. Ее можно расшифровать с помощью номенклатора (рис. 8).

Я была бы рада узнать имена и положение всех шестерых дворян, которым поручено привести план в исполнение, так как вполне возможно, что, зная их, я смогу дать вам дальнейшие необходимые указания и, время от времени, в частности, как вам действовать; в тех же целях сообщите мне, по возможности быстрее, кто из них уже посвящен в это и насколько.

Шифр Марии Стюарт наглядно показал, что слабое шифрование может быть даже хуже, чем если бы его не было вовсе. И Мария, и Бабингтон подробно писали о своих намерениях, полагая, что суть их переписки останется в тайне, а вот если бы они вели переписку открыто, они бы обсуждали свой план более сдержанно и осмотрительно. Более того, их непоколебимая вера в свой шифр сделала их крайне беззащитными перед подделанной припиской Фелиппеса.

Зачастую и отправитель, и получатель настолько верят в стойкость используемого ими шифра, что считают, что противник не сумеет им воспользоваться и вставить сфальсифицированный текст. Надлежащее применение стойкого шифра является очевидным благом для отправителя и получателя, использование же нестойкого шифра может создать ложное чувство безопасности.

Вскоре после получения письма с припиской Бабингтону понадобилось выехать за границу, чтобы организовать вторжение, и он должен был зарегистрироваться в ведомстве Уолсингема для получения паспорта. Это был прекрасный момент, чтобы схватить изменника, но чиновник Джон Скадемор никак не ожидал, что тот, кого усиленно разыскивают по всей Англии, появится на пороге его кабинета. Скадемор, у которого в этот момент никого не оказалось под рукой, пригласил ничего не подозревающего Бабингтона в ближайшую таверну, стараясь потянуть время, пока его помощник соберет отряд солдат. Немногим позже ему в таверну принесли записку, в которой сообщалось, что для ареста все готово. Однако Бабингтон все же успел взглянуть на нее и, небрежно сказав, что заплатит за пиво и еду, поднялся, оставив на столе свою шпагу и куртку как свидетельство того, что через минуту вернется; вместо этого выскользнул из задней двери и бежал, вначале в рощу Сент-Джона, а затем в Харроу. Чтобы скрыть свою аристократическую внешность, он коротко обрезал волосы и окрасил кожу соком грецкого ореха. Целых десять дней ему удавалось ускользать от рук полиции, но к 15 августа Бабингтон и его шесть друзей были схвачены и препровождены в Лондон. По всему городу триумфально звонили церковные колокола, торжествуя победу. Их смерть была ужасной и мучительной. По словам историка Елизаветы Уильяма Камдена, «им отрезали половые органы, еще у живых вытащили внутренности, так чтобы они могли все это видеть, и четвертовали».

А тем временем, 11 августа Марии Стюарт и ее свите было разрешено совершить прогулку верхом в окрестностях Чартли Холла, что было весьма необычно, поскольку ранее это запрещалось. Едва лишь Мария пересекла вересковые пустоши, как увидела нескольких приближающихся всадников, и тотчас же ей почудилось, что это люди Бабингтона, прискакавшие, чтобы дать ей свободу. Но вскоре стало ясно, что они прибыли, чтобы арестовать ее, не освободить. Мария была вовлечена в заговор Бабингтона и была обвинена согласно «Act of Association» — закону, принятому Парламентом в 1585 году и прямо предназначенному для признания виновным любого человека, участвующего в заговоре против Елизаветы. Суд проходил в замке Фотерингей, жалком и убогом месте в центре невыразительной болотистой равнины Восточной Англии.

Он начался в среду, 15 октября, в присутствии двух главных и четырех обычных судей, лорда-канцлера, лорда-казначея, Уолсингема и многочисленных графов, рыцарей и баронов. В задней части зала суда находилось место для зрителей: местных крестьян и слуг — все страстно желали увидеть, как шотландская королева просит прощения и умоляет о сохранении своей жизни. Однако Мария на протяжении всего суда оставалась величественной и спокойной. Основная защита Марии заключалась в том, чтобы отрицать всякую связь с Бабингтоном. «Могу ли я отвечать за преступные планы нескольких безрассудных людей, — восклицала она, — которые они задумывали, не ставя меня в известность, и без моего участия?» Но бе заявление мало повлияло на судей в свете улик против нее.

Мария и Бабингтон, дабы сохранить свои планы в секрете, полагались на шифр, но они жили в то время, когда криптография была ослаблена достижениями криптоанализа. Хотя их шифр обеспечивал достаточную защиту от любопытствующих глаз любителя, но у него не было ни единого шанса противостоять специалисту в частотном анализе. На галерее для зрителей сидел Фелиппес, спокойно ожидая предъявления доказательства, которое он добыл из зашифрованных писем.

Суд состоялся на второй день; Мария продолжала отрицать, что она хоть что-то знала о заговоре Бабингтона. Когда суд окончился, она оставила судей решать ее судьбу, заранее простив им уже предрешенный приговор. Десятью днями позже в Вестминстере собралась Звездная палата и вынесла вердикт, что Мария виновна в том, что «с 1 июня измышляла сама и одобряла измышленные другими планы, ставящие себе целью извести или убить священную особу нашей владычицы, королевы Английской». Они настаивали на смертной казни, и Елизавета утвердила смертный приговор.

8 февраля 1587 года в большом зале замка Фотерингей собралось три сотни зрителей, чтобы посмотреть на казнь. Уолсингем был полон решимости не допустить, чтобы Марию считали мученицей, и распорядился сжечь колоду, одежду Марии и все связанное с казнью, дабы избежать появления каких бы то ни было святых мощей. Он также планировал провести в последующую неделю пышное траурное шествие в честь своего зятя, сэра Филиппа Сиднея. Сидней, популярная и героическая личность, погиб в Нидерландах, сражаясь с католиками, и Уолсингем рассчитывал, что величественный парад в его честь ослабит симпатию к Марии. Однако Мария в не меньшей степени стремилась к тому, чтобы ее последнее появление выглядело жестом неповиновения, возможностью вновь подтвердить приверженность католической вере и вдохновить своих последователей.

Рис. 10 Казнь Марии, королевы Шотландии.

В то время как реформатский священник из Питерборо читал свои проповеди, Мария громко возносила свои молитвы во спасение английской католической церкви, своего сына и Елизаветы. С родовым девизом «В моем конце — мое начало» в душе Мария, успокоившись, и взошла на эшафот. Палачи попросили у нее прощения, и она ответила: «Я прощаю вам от всего сердца, поскольку теперь, я надеюсь, вы положите конец моим страданиям». Ричард Уингфилд в своем повествовании о последних днях королевы Шотландии так описал ее последние минуты:

После этого она сама очень спокойно легла на колоду, вытянула руки и ноги, крикнув напоследок три или четыре раза «In manus tuas domine» [10] ; один из палачей, слегка придерживая ее одной рукой, дважды нанес удар топором, пока не отсек ей голову, но сзади остался неперерубленным небольшой хрящ; в это время она издала слабый звук, и больше ее лежащее тело не шевелилось… Ее губы открывались и закрывались еще почти четверть часа после того, как голова была отрублена. Затем один из палачей, дернув одну из ее подвязок, внезапно обнаружил маленькую собачку, которая ползала под ее одеждами, которую нельзя было отнять от хозяйки кроме как силой и которая потом не могла покинуть ее мертвое тело, а пришла и легла между ее головой и телом.

 

2 Нераскрываемый шифр

В течение столетий использование простого одноалфавитного шифра замены было достаточным, чтобы обеспечить секретность. Последующее развитие частотного анализа, вначале арабами, а затем в Европе, разрушило его стойкость. Трагическая казнь Марии Стюарт, королевы Шотландии, явилась драматической иллюстрацией слабостей одноалфавитной замены; очевидно, что в поединке между криптографами и криптоаналитиками последние одержали верх. Любой, кто отправлял зашифрованное сообщение, должен был отдавать себе отчет, что опытный дешифровальщик противника может перехватить и раскрыть самые ценные секреты.

Таким образом, криптографы должны были придумать новый, более стойкий шифр, с помощью которого смогли бы перехитрить криптоаналитиков. Хотя такой шифр появился в конце шестнадцатого века, однако его истоки восходят к пятнадцатому веку к флорентийскому энциклопедисту Леону Баттиста Альберти. Альберти родился в 1404 году и был одним из выдающихся личностей Возрождения — художник, композитор, поэт и философ, а также автор первого научного анализа законов перспективы, трактата о комнатной мухе и речи, произнесенной на похоронах своей собаки. Но, пожалуй, более всего он известен как архитектор, спроектировавший первый римский фонтан Треви и написавший первую печатную книгу «Об архитектуре», которая послужила толчком для перехода от готики к архитектуре эпохи Возрождения.

Как-то в шестидесятых годах пятнадцатого века Альберти прогуливался по саду в Ватикане и столкнулся со своим другом, Леонардо Дато, служившим секретарем у папы. Они поболтали; причем Дато завел разговор о криптографии и о сложностях в ней. Этот случайный разговор натолкнул Альберти на мысль написать исследование по этому предмету, наметив в общих чертах, каким, по его мнению, должен быть новый вид шифра. В то время все шифры замены требовали отдельного шифралфавита для зашифровывания каждого сообщения.

Альберти же предложил использовать два или более шифралфавитов, переходя от одного к другому в процессе зашифровывания и сбивая этим с толку возможных криптоаналитиков.

Здесь, например, у нас есть два возможных шифралфавита, и мы можем зашифровать сообщение, используя поочередно то один, то другой. Так, чтобы зашифровать слово hello, мы зашифруем первую букву с помощью первого шифралфавита, так что h превратится в А, вторую же букву мы зашифруем, используя второй шифралфавит, при этом е станет F. Для зашифровывания третьей буквы мы вернемся опять к первому шифралфавиту, а чтобы зашифровать четвертую букву, мы вновь обратимся ко второму шифралфавиту. Благодаря этому, первая l будет зашифрована как Р, а вторая l превратится в А. Последняя буква, о, зашифровывается первым шифралфавитом и преобразуется в D. Окончательный вид шифртекста: AFPAD. Основное преимущество системы Альберти заключается в том, что одинаковые буквы в открытом тексте не обязательно останутся одинаковыми в шифртексте, поэтому повторяющиеся l в слове hello зашифровываются различным образом. Точно так же повторяющиеся А в шифртексте являются различными буквами открытого текста, сначала h, а потом l.

Несмотря на то что Альберти совершил самый значительный за более чем тысячу лет переворот в криптографии, он не сумел довести свою идею до целостной системы. Решать эту задачу, основываясь на первоначальной идее Альберти, предстояло уже другим, вначале Иоганну Тритемию, немецкому аббату, родившемуся в 1462 году, затем Джованни Порта, итальянскому ученому, родившемуся в 1535 году, и, наконец, Блезу де Виженеру, французскому дипломату, родившемуся в 1523 году. Виженер познакомился с трудами Альберти, Тритемия и Порта, когда его в двадцать шесть лет послали на два года в Рим с дипломатической миссией. Вначале интерес Виженера к криптографии был чисто практического свойства и связан с дипломатической службой. Но затем, когда ему исполнилось тридцать девять лет, он решил, что накопил уже достаточно денег, чтобы оставить службу, отказаться от карьеры и сосредоточиться на исследованиях. И только потом он детально проверил идеи Альберти, Тритемия и Порта, создав на их основе новый шифр.

Рис. 11 Блез де Виженер

Хотя и Альберти, и Тритемий, и Порта, каждый внесли значительный вклад в создание нового шифра, но этот шифр известен как шифр Виженера, в честь человека, который придал ему окончательный вид. Стойкость шифра Виженера состоит в том, что для зашифровывания сообщения в нем используется не один, а 26 различных шифралфавитов. Шифрование начинается с построения так называемого квадрата Виженера, показанного в таблице 3: алфавит открытого текста с последующими 26 шифралфавитами, каждый из которых сдвинут на одну букву относительно предыдущего алфавита.

Таблица 3 Квадрат Виженера.