В конце девятнадцатого века криптография пребывала в замешательстве. С тех пор, как усилиями Бэббиджа и Касиски шифр Виженера перестал быть надежным, криптографы искали новый шифр, шифр, который смог бы заново обеспечить секретность связи, давая тем самым возможность бизнесменам и военным пользоваться оперативностью телеграфа, не опасаясь, что их сообщения будут перехвачены и дешифрованы. Кроме того, на рубеже двух столетий итальянский физик Гульельмо Маркони изобрел гораздо более эффективный способ передачи сообщений на дальние расстояния, для которого необходимость В надежном шифровании стала еще более актуальной.
В 1894 году Маркони начал эксперименты с любопытным свойством электрических цепей. При бпределенных условиях, если по одному проводу протекал электрический ток, то он вызывал возникновение тока и в другом проводе, находящемся на некотором расстоянии и изолированном от первого. Усовершенствовав конструкцию двух цепей, повысив мощность и добавив антенны, Маркони вскоре сумел передавать и получать сигналы на расстояние до 2,5 км. Телеграф существовал уже полвека, но для него требовались провода, чтобы передать сообщение от отправителя адресату. У системы же Маркони перед ним было огромное преимущество, поскольку для нее не требовалось никаких проводов — сигнал распространялся, словно по волшебству, через воздух.
В 1896 году в поисках финансовой поддержки своей идеи Маркони переехал в Британию, где подал первую патентную заявку. Продолжая свои эксперименты, он увеличил дальность радиосвязи, вначале передав сообщение на 15 км через Бристольский залив, а затем и на 53 км через пролив Ла-Манш во Францию. В это же время он начал искать коммерческое применение своему изобретению, указывая потенциальным спонсорам на два основных преимущества радио: для него не требуется строительства дорогостоящих телеграфных линий и с его помощью можно посылать сообщения между отдаленными пунктами.
Он провернул великолепный рекламный трюк в 1899 году, оснастив два корабля радио, так что журналисты, освещающие гонку «Кубок Америки» — важнейшую гонку парусных яхт в мире, — могли посылать репортажи о ходе гонки в Нью-Йорк для завтрашних выпусков газет.
Интерес возрос еще больше, когда Маркони развеял миф, что радиосвязь ограничивается горизонтом. Критики аргументировали это тем, что поскольку радиоволны не могут изгибаться и идти вдоль поверхности Земли из-за ее кривизны, радиосвязь будет ограничена сотней километров или около того. Маркони попытался доказать их неправоту, посылая сигналы из Полду в Корнуолле в Сент-Джон в Ньюфаундленде на расстояние 3500 км. В декабре 1901 года, в течение трех часов ежедневно, передатчик из Полду снова и снова посылал букву в (точка-точка-точка), а в это время Маркони стоял на продуваемых всеми ветрами скалах Ньюфаундленда, стараясь поймать радиосигналы. День за днем он запускал ввысь гигантского воздушного змея, который, в свою очередь, поднимал высоко в воздух антенну. 12 декабря вскоре после полудня Маркони наконец услышал три очень слабых точки, — это было первое трансатлантическое радиосообщение. Успех Маркони оставался необъяснимым до 1924 года, когда физики обнаружили наличие ионосферы — слоя атмосферы, нижняя граница которого находится на высоте примерно 60 км над поверхностью Земли. Ионосфера действует как зеркало, отражая радиоволны. Радиоволны также отражаются и от поверхности Земли, поэтому радиосигналы, несколько раз отразившись от ионосферы и Земли, могут достичь любой точки планеты.
Изобретение Маркони раздразнило военных, которые смотрели на него со смесью вожделения и смятения. Тактические преимущества радио бесспорны: оно позволяет установить прямую связь между любыми двумя точками, не требуя для этого проводов. Прокладка такого провода зачастую нецелесообразна, иногда попросту невозможна. Прежде, например, у командующего флотом, находящегося в порту, не было возможностей поддерживать связь со своими кораблями, которые могли пропадать месяцами напролет, радио же позволит ему координировать действия кораблей, где бы они ни находились. Точно также радио даст возможность генералам управлять войсками во время кампаний, обеспечивая непрерывную связь с ними независимо от их передвижений. Все это становится возможным благодаря природе радиоволн, которые распространяются во всех направлениях и доходят до получателей, где бы те ни находились.
Однако такая способность радиоволн распространяться во всех направлениях является огромным недостатком с военной точки зрения, поскольку сообщения будут попадать и к тому, кому они предназначены, и, неизбежно, к противнику. Поэтому неотвратимо встала задача обеспечения стойкого шифрования. Если противник сможет перехватывать все передаваемые по радио сообщения, тогда криптографы должны будут отыскать способ воспрепятствовать им дешифровать эти сообщения.
Благо и проклятие радио — простота осуществления связи и легкость перехвата — особенно отчетливо проявились, когда разразилась Первая мировая война. Все ее участники стремились воспользоваться его возможностями, но не представляли, как обеспечить секретность. Таким образом, оба этих фактора, появление радио и Первая мировая война, резко обострили потребность в стойком шифровании. Имелась надежда, что будет придуман какой-нибудь новый шифр, который сможет обеспечить секретность в интересах военного командования. Однако в период между 1914 и 1918 годами ничего существенного сделано не было, был лишь только составлен каталог криптографических ошибок и неудач. Шифровальщики изобрели несколько новых шифров, но, один за другим, все они были раскрыты.
Одним из самых известных военных шифров был немецкий шифр ADFGVX, который стал применяться 5 марта 1918 года, как раз перед крупным немецким наступлением, начавшимся 21 марта. Успех немецкого наступления, как и любого другого, основывался на факторе внезапности, и рабочая группа криптографов выбрала шифр ADFGVX из ряда предложенных, считая, что он обеспечивает наилучшую стойкость. Фактически же они были уверены, что этот шифр является невзламываемым. Стойкость этого шифра заключается в его запутанной структуре, в которой сочетались и замена, и перестановка (см. Приложение Р).
К началу июня 1918 года немецкая артиллерия находилась всего в 100 км от Парижа и готовилась к завершающему удару. У союзников оставалась единственная надежда — взломать шифр ADFGVX, чтобы установить, где именно немцы планируют прорвать их оборону. К счастью, у них имелось секретное оружие — криптоаналитик по имени Жорж Пэйнвин. Этот смуглый, стройный француз с острым умом открыл в себе призвание к разгадыванию криптографических головоломок только после случайной встречи с сотрудником французского Бюро шифров вскоре после того, как разразилась война.
Впоследствии его бесценное умение было посвящено выявлению слабых мест немецких шифров. Круглыми сутками он старался взломать шифр ADFGVX и за это время похудел на 15 кг.
В конце концов, ночью 2 июня он сумел дешифровать сообщение, зашифрованное шифром ADFGVX. Удача Пэйнвина привела к возникновению лавины других дешифровок, среди которых было сообщение, содержащее приказ: «Боеприпасы для стремительного наступления. Даже днем, если не видно».
Из вводной части к приказу стало ясно, что он был направлен из места, находящегося где-то между Мондидье и Компьеном, примерно в 80 км к северу от Парижа. Срочная нужда в боеприпасах означала — именно здесь следует ожидать наступления немецких войск. Воздушная разведка подтвердила, что это действительно так. Чтобы укрепить линию фронта, туда были отправлены солдаты коалиции, а неделей позже начался штурм немцев. В жестоком сражении, которое длилось пять дней, атака немецкой армии, утерявшая элемент внезапности, была отбита.
Взлом шифра ADFGVX олицетворял собой криптографию времен Первой мировой войны. Хотя появилось множество новых шифров, но все они были вариациями или комбинациями шифров девятнадцатого столетия, которые уже были взломаны. Несмотря на то, что некоторые из них первоначально обеспечивали секретность, это длилось недолго, — только до тех пор, пока криптоаналитики не брали верх над ними. У криптоаналитиков была только одна основная задача — суметь справиться с объемом поступающей информации. До появления радио сообщения перехватывались редко, а потому все они были крайне ценными, и криптоаналитики холили и лелеяли каждое. Однако в Первой мировой войне количество передаваемых и принимаемых радиограмм было огромным, и можно было перехватить каждую, что порождало неиссякаемый поток шифртекстов, занимающих умы криптоаналитиков. По приблизительным оценкам во время Первой мировой войны французы перехватили сотню миллионов слов, передававшихся по немецким линиям связи.
Из всех военных криптоаналитиков французские были самыми лучшими. Когда французы вступили в войну, у них уже существовала сильнейшая команда дешифровальщиков Европы, что являлось следствием унизительного разгрома во франко-прусской войне. Популярность Наполеона III стремительно падала, и, чтобы удержать ее, он в 1870 году вторгся в Пруссию, но не предполагал, что Пруссия заключит союз с южными немецкими государствами. Во главе с Отто фон Бисмарком прусские войска сокрушили французскую армию, аннексировав области Эльзас и Лотарингию и положив конец доминированию Франции в Европе. Из-за постоянной угрозы вновь объединившейся Германии французские криптоаналитики оказались вынуждены овладеть навыками, необходимыми, чтобы у Франции всегда имелась подробная информация о планах противника.
Такова была обстановка в мире, когда Огюст Керкхофф написал свой трактат «Военная криптография». Хотя Керкхофф был родом из Нидерландов, но большую часть своей жизни он провел во Франции, и благодаря его трудам французы получили исключительное руководство по принципам криптоанализа. Спустя три десятилетия, к моменту начала Первой мировой войны, в вооруженных силах Франции идеи Керкхоффа были реализованы практически полностью. В то время как гении-одиночки, такие как Пэйнвин, стремились взламывать новые шифры, команды специалистов, каждый из которых был знатоком конкретного шифра, концентрировали свои усилия на будничных, ежедневных дешифровках. Время имело существенное значение, и с помощью криптоанализа, выполняемого конвейерным способом, информация могла предоставляться быстро и эффективно.
Рис. 26 Лейтенант Жорж Пэйнвин
Сунь Цзы, автор «Искусства войны», руководства по военной стратегии, датированное четвертым веком до н. э., говорил, что: «… нет дел более близких, чем со шпионами; нет наград более щедрых, чем даваемые шпионам; нет дел более секретных, чем касающиеся шпионов». Французы были пылкими приверженцами слов Сунь Цзы, и, оттачивая свое криптоаналитическое мастерство, они разработали также несколько вспомогательных методов по перехвату радиопередач противника, методов, для которых не требовалось выполнения дешифрования. Так, например, французские посты подслушивания и перехвата информации научились распознавать радистов по почерку. После того как сообщение зашифровано, оно передается кодом Морзе, в виде серии точек и тире, и каждый радист может быть опознан по скорости передачи, паузам и пот относительной длительности точек и тире. Почерк радиста равносилен манере написания рукописного текста. Помимо постов подслушивания и перехвата радиограмм французы установили шесть радиопеленгаторных станций, с помощью которых можно было определить, откуда поступала каждая радиограмма. Для этого вращают антенну станции до тех пор, пока мощность входящего сигнала будет максимальной; направление антенны и будет указывать, откуда идет сигнал. По данным о направлении от двух или большего количества станций можно точно определить место, из которого ведет передачу противник. Имея сведения о почерке радиста и данные радиопеленгации, можно было установить место дислокации, допустим, Определенного батальона. После этого французская разведка могла проследить его маршрут движения за несколько последних дней и дать предварительное заключение о пункте назначения и о задачах, поставленных перед данным батальоном. Такой вид сбора разведывательных данных был особенно ценен после введения в действие нового шифра. Каждый новый шифр на какое-то время делал криптоаналитиков беспомощными, но даже если сообщение нельзя было дешифровать, оно все же могло дать определенную информацию посредством проведения анализа перемещения вражеских подразделений.
Бдительность французов резко контрастировала с отношением к криптографии немцев, которые вступили в войну не имея у себя военного криптографического бюро. Лишь в 1916 году они создали Abhorchdienst организацию, которая занималась перехватом сообщений союзников. Отчасти причина, почему Abhorchdienst была учреждена с таким опозданием, заключалась в том, что немецкая армия вторглась на территорию Франции на раннем этапе войны.
Французы, отступая, уничтожали наземные линии связи, вынуждая наступающие немецкие войска пользоваться радиосвязью. Это дало французам возможность постоянно получать перехваты немецких сообщений, в то время как немцы перехватывать французские сообщения не могли. Поскольку французы отступали по своей территории, они могли пользоваться своими наземными линиями связи и в использовании радио не было необходимости. А в отсутствии радиосообщений возможности осуществлять большое количество перехватов у немцев не было, и поэтому еще два года военных действий вопрос создания своего криптографического подразделения их не волновал.
Важный вклад в развитие криптоанализа союзников внесли также англичане и американцы. Превосходство дешифровальщиков союзников и их влияние на ход Первой мировой войны лучше всего иллюстрируется дешифровкой немецкой телеграммы, перехваченной англичанами 17 января 1917 года. История этой дешифровки показывает, как криптоанализ может повлиять на ход войны на самом высочайшем уровне, и демонстрирует возможные ужасающие последствия использования недостаточной криптографической защиты. Дешифрованная телеграмма вынудила Америку за несколько недель пересмотреть свою политику нейтралитета, изменив, тем самым, баланс сил в войне.
Невзирая на обращения политиков Англии и Америки, президент Вудро Вильсон первые два года войны был непреклонен, отказываясь отправить американские войска в поддержку союзников. Помимо того, что он не желал приносить в жертву молодежь своей страны на кровавых полях сражений Европы, президент был убежден, что война может быть закончена только путем переговоров, и считал, что сможет лучше послужить миру, если не будет участвовать в войне, а будет действовать в качестве посредника. В ноябре 1916 года у Вильсона появилась надежда на проведение мирных переговоров, когда на должность министра иностранных дел Германии был назначен Артур Циммерман, веселый, общительный гигант, который представлялся провозвестником новой эпохи просвещенной германской дипломатии. Американские газеты выходили под заголовками «НАШ ДРУГ ЦИММЕРМАН» и «ЛИБЕРАЛИЗАЦИЯ ГЕРМАНИИ», а в одной из статей он был провозглашен как «один из самых благоприятных предвестников будущих немецко-американских отношений». Однако, о чем не было известно американцам, у Циммермана не было намерения стремиться к миру. Напротив, он замышлял расширение военной агрессии Германии.
Еще в 1915 году немецкая подводная лодка из подводного положения потопила океанский лайнер «Лузитания»; при этом утонули 1198 пассажиров, в том числе 128 граждан США. Потеря «Лузитании» заставила бы Америку вступить в войну, если бы не заверения Германии, что впредь перед атакой подводные лодки будут всплывать на поверхность, — ограничительная мера, предназначенная для того, чтобы случайно не атаковать гражданские суда. Однако 9 января 1917 года на крайне важном совещании в немецком замке Плес, где присутствовал Циммерман, члены Верховного командования старались убедить кайзера, что настало время отказаться от своего обещания и вступить на путь неограниченной подводной войны. Немецкие командующие знали, что их подводные лодки практически неуязвимы, если торпеды выпускались из-под воды, и полагали, что это окажет решающее значение на исход войны. Германия создала флот из двухсот подводных лодок, и члены Верховного командования приводили доводы в пользу того, что боевые действия подводных лодок, ведущиеся безо всяких ограничений, позволят перерезать морские пути снабжения Англии и взять ее измором не позднее, чем через шесть месяцев.
Нужна была быстрая победа. Неограниченная подводная война и то, что при этом неизбежно будут топиться американские пассажирские суда, почти неизбежно заставит Америку объявить войну Германии. Понимая это, Германия должна была заставить союзников капитулировать прежде, чем Америка сможет мобилизовать свои войска и вмешаться в ход событий в Европе. К концу совещания в Плесе кайзера убедили в том, что быстрая победа достижима, и он подписал приказ о возобновлении неограниченной подводной войны, который вступал в силу 1 февраля.
За три оставшиеся недели Циммерман придумал способ подстраховаться. Если вследствие ведения неограниченной подводной войны возрастет вероятность того, что Америка вступит в войну, то у Циммермана был наготове план, который бы отсрочил и ослабил участие Америки в европейских событиях и который смог бы даже полностью помешать этому. По замыслу Циммермана, следовало заключить союз с Мексикой и убедить президента Мексики вторгнуться в Америку и потребовать обратно свои бывшие территории Техас, Нью-Мексико и Аризону. А Германия поддержит Мексику в борьбе против общего противника, предоставив ей финансовую и военную помощь.
Более того, Циммерман хотел, чтобы президент Мексики выступил в качестве посредника, склонив Японию к нападению на Америку. Тем самым Германия смогла бы угрожать восточному побережью Америки, Япония бы напала с запада, а Мексика бы вторглась с юга. Основной замысел Циммермана заключался в том, чтобы создать для Америки такие проблемы, чтобы она не смогла послать войска в Европу.
Рис. 27 Артур Циммерман
Таким образом Германия смогла бы выиграть сражение на море, выиграть войну в Европе, а затем выйти из американской кампании. 16 января Циммерман изложил свои предложения в телеграмме немецкому послу в Вашингтоне, который должен был отправить ее немецкому послу в Мехико, а тот — вручить президенту Мексики. На рисунке 28 показана телеграмма в зашифрованном виде; содержание телеграммы следующее:
Начало неограниченной войны подводных лодок намечено на первое февраля. Несмотря на это приложим все усилия, чтобы Соединенные Штаты остались нейтральными. Если этого сделать не удастся, мы предложим Мексике союз на следующих условиях: совместное ведение войны, совместное заключение мира, щедрую финансовую помощь и согласие с нашей стороньц чтобы Мексика вновь заняла ранее потерянные ею территории в Техасе, Нью-Мексике и Аризоне. Урегулирование деталей — на Ваше усмотрение.
Как только начало войны с Соединенными Штатами станет неизбежным, Вам надлежит возможно более секретно довести вышеизложенное до сведения президента [Мексики] и предложить ему, чтобы он от своего имени призвал Японию £ безотлагательному участию и одновременно выступил посредником между Японией и нами.
Пожалуйста, разъясните президенту, что неограниченные действия наших подводных лодок дают возможность в течение несколько месяцев вынудить Англию заключить мир. Подтвердите получение.
Циммерман
Циммерман должен был зашифровать свою телеграмму, поскольку Германия знала, что союзники перехватывают все ее трансатлантические сообщения, — таков был результат первого наступательного действия Британии в этой войне. В первый же день Первой мировой войны английский корабль «Телкония» под покровом темноты — еще не наступил рассвет — подошел к немецкому побережью, стал на якорь и вытянул на поверхность связку подводных кабелей. Это были трансатлантические кабели Германии, связывающие ее с остальным миром. К тому моменту, как взошло солнце, все они были перерезаны. Этот диверсионный акт был направлен на то, чтобы уничтожить самые безопасные средства связи, вынуждая немцев использовать для передачи сообщений ненадежную радиосвязь или кабели, принадлежащие другим странам. Циммерману пришлось отослать свою зашифрованную телеграмму через Швецию и продублировать ее по более прямому, но принадлежащему Америке кабелю. И в первом, и во втором случае телеграмма шла через Англию, а это означало, что текст телеграммы Циммермана, как только о ней станет известно, попадет в руки англичан.
Рис. 28 Телеграмма Циммермана в том виде, в котором она была отправлена фон Бернсторфом, германским послом в Вашингтоне, Экхардту, германскому послу в Мехико.
Перехваченная телеграмма была немедленно передана в «комнату 40» — бюро шифров Адмиралтейства, названное так по номеру кабинета, в котором оно первоначально располагалось. «Комната 40» представляла собой удивительное сочетание лингвистов, специалистов по классической филологии и заядлых любителей загадок и головоломок, способных разрешить самые затейливые и замысловатые проблемы криптоанализа. К примеру, преподобный отец Монтгомери, талантливый переводчик немецких теологических работ, сумел расшифровать послание, скрытое в почтовой открытке, адресованной сэру Генри Джонсу и отправленной по адресу: 184, Кингз Роуд, Тьенабрюэйх, Шотландия.
Открытка была отправлена из Турции, поэтому сэр Генри полагал, что она была от его сына, попавшего в плен к туркам. Он, однако, был немало озадачен тем, что на открытке ничего не было написано, да и адрес был весьма необычный — деревушка Тьенабрюэйх была настолько крошечной, что на домах не было номеров и в ней не было улицы Кингз Роуд. В конце концов, преподобный отец Монтгомери разгадал скрытый смысл сообщения открытки. Адрес открытки указывал на «Третью книгу царств Ветхого Завета», глава 18, стих 4: «…и когда Иезавель истребляла пророков Господних, Авдий взял сто пророков, и скрывал их, по пятидесяти человек, в пещерах, и питал их хлебом и водою». Сын сэра Генри просто заверял свою семью, что те, у кого он находится в плену, хорошо о нем заботятся.
Когда зашифрованная телеграмма Циммермана поступила в «комнату 40», ее дешифрование было поручено Монтгомери и Найджелу де Грею, издателю, временно откомандированному из издательства Уильям Хайнеманн. Они сразу же поняли, что столкнулись с шифром, применяемым для исключительно важной дипломатической переписки, и безотлагательно принялись за телеграмму. Дешифрование было далеко не простым делом, но они воспользовались ранее проведенным анализом других телеграмм, зашифрованных схожим образом. Через несколько часов оба дешифровальщика сумели восстановить несколько фрагментов текста, достаточных, чтобы понять, что у них в руках сообщение чрезвычайной важности. Монтгомери и Де Грей продолжали упорно трудиться над задачей и к концу дня уже сумели понять основную идею Циммермана. Они осознавали ужасающие последствия неограниченной подводной войны, но в то же время могли видеть, что немецкий министр иностранных дел поддерживал нападение на Америку, что, по его мнению, заставит президента Вильсона отказаться от политики нейтралитета. В телеграмме содержались смертельные угрозы, но не исключалась также и возможность присоединения Америки к союзникам.
Монтгомери и де Грей вручили частично дешифрованную телеграмму адмиралу сэру Уильяму Холлу, начальнику разведывательного управления ВМС, в полной уверенности, что тот передаст информацию американцам и тем самым втянет их в войну. Но адмирал Холл просто положил полученный от них документ в сейф, поручив криптоаналитикам продолжать работу, заполняя оставшиеся пропуски. Он не хотел передавать американцам не до конца дешифрованный текст, поскольку тот мог содержать еще какую-либо жизненно важную информацию. Его также беспокоила еще одна мысль, таящаяся в глубине сознания.
Если бы англичане передали американцам дешифрованную телеграмму Циммермана и американцы отреагировали бы, публично осудив германскую агрессию, тогда противник смог бы догадаться, что его метод шифрования раскрыт, и это заставило бы его заняться разработкой новой, более стойкой системы шифрования, перекрыв тем самым жизненно важный канал поступления информации. В любом случае Холл понимал, что подводная война без правил начнется не позднее, чем через две недели, что само по себе может оказаться достаточным, чтобы вынудить президента Вильсона объявить войну Германии. Не было никакого смысла рисковать ценным источником информации, если так или иначе, но будет получен желаемый результат.
Первого февраля, согласно приказу кайзера, Германия перешла к боевым действиям на море без соблюдения каких-либо международных норм — к неограниченной подводной войне. Второго февраля Вудро Вильсон собрал кабинет, чтобы принять решение о том, каким будет ответ Америки. Третьего февраля он выступил перед Конгрессом и объявил, что Америка останется нейтральной, действуя в качестве миротворца, а не воюющей стороны. Этого не ожидали ни союзники, ни немцы. Нежелание Америки присоединиться к союзникам не оставило адмиралу Холлу выбора; теперь он должен был использовать телеграмму Циммермана.
Через две недели после того, как Монтгомери и де Грей впервые связались с Холлом, они завершили дешифрование. К тому времени Холл понял, каким образом сделать так, чтобы у немцев не возникло подозрений о том, что их шифр отныне не обеспечивает безопасности. Он выяснил, что фон Бернсторф, немецкий посол в Вашингтоне, отправил сообщение фон Экхардту, немецкому послу в Мексике, вначале внеся в сообщение отдельные незначительные изменения. Так, фон Бернсторф убрал инструкции, предназначенные только для него, и изменил адрес. После чего фон Экхардт вручил уже этот измененный вариант телеграммы, не расшифровывая ее, президенту Мексики. Если бы Холл смог каким-нибудь образом заполучить этот мексиканский вариант телеграммы Циммермана, то этот вариант можно было бы напечатать в газетах, и немцы посчитали бы, что телеграмма была выкрадена у мексиканского правительства, а не перехвачена и дешифрована англичанами, когда шла в Америку. Холл связался с английским агентом в Мексике, известным только как «мистер X», который, в свою очередь, был внедрен в мексиканскую телеграфную компанию. Мистер X сумел получить именно то, что было необходимо: мексиканский вариант телеграммы Циммермана.
Это был именно тот вариант телеграммы, который Холл передал Артуру Бальфуру, министру иностранных дел Британии. 23 февраля Бальфур вызвал американского посла Уолтера Пейджа и ознакомил его с телеграммой Циммермана, позднее назвав это «самым драматическим моментом в моей жизни». Четырьмя днями позже президент Вильсон получил «убедительное свидетельство», как он назвал это, того, что Германия поощряет прямую агрессию против Америки.
Рис. 29 «Взрыв в его руках», карикатура Роллина Кирби, опубликованная 3 марта 1917 года в «Таймс».
Телеграмма была роздана журналистам для опубликования, и американский народ наконец-то осознал реальность замыслов Германии. Хотя у простых людей Америки почти не было сомнений, что они должны применить ответные меры, но в администрации США имелись определенные опасения, что телеграмма может оказаться фальшивкой, изготовленной англичанами, чтобы гарантировать вступление Америки в войну. Однако вскоре вопрос о подлинности, после того, как Циммерман публично признал свое авторство, был снят. На пресс-конференции в Берлине, без какого-либо давления извне, он просто заявил: «Я не могу отрицать этого. Это правда».
В Германии министерство иностранных дел начало расследование, как американцы получили телеграмму Циммермана. Они попались на уловку адмирала Холла и пришли к заключению, что «разнообразные признаки указывают, что предательство было совершено в Мексике». Тем временем Холл продолжал отвлекать внимание от работы британских криптоаналитиков. Он умышленно подбросил британской прессе материал, в котором критиковалась его собственная организация за то, что она не смогла перехватить телеграмму Циммермана, что, в свою очередь, привело к появлению лавины статей с нападками на британскую секретную службу и восхвалением американцев.
В начале года Вильсон сказал, что вести его народ к войне было бы «преступлением против цивилизации», но ко второму апреля 1917 года он изменил свое мнение: «Я сообщаю, что Конгресс объявил, что нынешний курс Имперского правительства является фактически ничем иным, как войной против правительства и народа Соединенных Штатов, и что он официально утвердил статус «в состоянии войны», который был нам навязан». Там, где три года интенсивной дипломатии потерпели неудачу, одно-единственное достижение криптоаналитиков «комнаты 40» принесло успех. Барбара Такман, американский историк и автор «The Zimmermann Telegram», дала следующий анализ:
Если бы телеграмма никогда не была перехвачена или никогда не напечатана, немцы все равно сделали бы что-нибудь еще, что в конце концов втянуло бы нас в войну. Но было уже поздно, и если бы мы задержались еще немного, союзники могли бы оказаться вынуждены пойти на переговоры. Вот до какой степени телеграмма Циммермана изменила ход истории… Сама по себе телеграмма Циммермана — всего лишь камешек на длинном пути истории. Но камнем можно убить Голиафа, и этот камень разрушил американскую иллюзию, что мы можем успешно заниматься своим делом независимо от других государств и народов. В мировом масштабе это была незначительная интрига министра Германии. В жизни американского народа это был конец невинности.
Святой Грааль криптографии
Первая мировая война продемонстрировала ряд побед криптоаналитиков; венцом стало дешифрование телеграммы Циммермана. С момента взлома шифра Виженера в девятнадцатом веке криптоаналитики постоянно одерживали верх над криптографами.
Но к концу войны, когда криптографы пребывали в полном отчаянии, ученые в Америке сделали поразительное открытие. Они обнаружили, что шифр Виженера может быть использован в качестве основы для нового, гораздо более труднопреодолимого вида шифрования. На самом деле этот новый шифр мог обеспечить абсолютную стойкость.
Основная слабость шифра Виженера заключается в том, что ему присуща периодичность. Если длина ключевого слова составляла пять букв, то каждая пятая буква открытого текста шифровалась с использованием одного и того же шифралфавита. Если криптоаналитик мог определить длину ключевого слова, то с зашифрованным текстом можно было поступать как с набором пяти одноалфавитных шифров, и каждый из них мог быть дешифрован с помощью частотного анализа. Посмотрим, однако, что произойдет по мере увеличения длины ключевого слова.
Допустим, что у нас есть открытый текст, состоящий из 1 000 букв и зашифрованный с помощью шифра Виженера; проведем криптоанализ имеющегося шифртекста. Если длина ключевого слова, используемого для шифрования открытого текста составляет всего 5 букв, то на завершающем этапе криптоанализа потребуется провести частотный анализ 5 наборов из 200 букв, что не представляеттруда. Но если ключевое слово состоит из 20 букв, то на завершающем этапе необходимо будет провести частотный анализ 20 наборов из 50 букв, что уже значительно сложнее. Если же ключевое слово состоит из 1000 букв, то вы столкнетесь с тем, что придется провести частотный анализ 1000 наборов, каждый из которых состоит из 1 буквы, что совершенно невыполнимо. Другими словами, если длина ключевого слова (или ключевой фразы) совпадает с длиной сообщения, то криптоаналитический метод, разработанный Бэббиджем и Касиски не работает.
Так что когда применяется ключ той же длины, что и сообщение, то все хорошо и прекрасно, правда, это требует от криптографа создания длинного ключа. Так что если сообщение состоит из сотен букв, то и длина ключа также должна составлять сотни букв. Однако чем придумывать длинный ключ, невольно напрашивается мысль использовать в качестве него, ну, скажем, лирическое стихотворение. Или же криптограф может приобрести книгу по ловле птиц и создать ключ на основе нескольких случайно выбранных названий птиц. Но такие упрощенные ключи по своей сути порочны.
В следующем примере я зашифровал отрывок текста с помощью шифра Виженера, используя ключевую фразу такой же длины, что и сообщение. Применение любых методов криптоанализа, о которых я писал раньше, окажется безуспешным. Но сообщение все же можно дешифровать.
Этот новый способ криптоанализа начинается с предположения, что в шифртексте содержатся общеупотребительные слова, к примеру, the. Далее, как показано ниже, мы произвольным образом подставляем the в различные места в открытом тексте и определяем, какими должны быть буквы ключа, чтобы преобразовать the в соответствующий шифртекст. Итак, мы решили, что the будет являться первым словом открытого текста. Первая буква ключа будет зашифровывать t в V. Чтобы определить первую букву ключа, возьмем квадрат Виженера и будем двигаться сверху вниз по столбцу, начинающемуся с буквы t, пока не дойдем до V; буква, с которой начинается эта строка — С. Повторим этот процесс для h и е, которые были зашифрованы как Н и R соответственно; в конечном счете мы получим возможные значения первых трех букв ключа — CAN. Все это получено в предположении, что слово the является первым словом открытого текста. Подставим the в несколько других мест и вновь поищем соответствующие буквы ключа. (Вы можете проверить соответствие между каждой буквой открытого текста и буквой шифртекста, обратившись к квадрату Виженера в таблице 9.)
Мы проверили три слова the в трех произвольно выбранных местах шифртекста и выдвинули три предположения относительно элементов определенных частей ключа. Можем ли мы сказать, что какое-нибудь из слов the стоит в нужном месте? Мы предполагаем, что ключ состоит из осмысленных слов; попробуем использовать это в наших целях. Если the стоит не на своем месте, то это приведет, скорее всего, к тому, что ключ будет состоять из хаотичного набора букв. Если же оно стоит в нужном месте, то буквы ключа должны иметь какой-то смысл. Например, первое the дает буквы ключа CAN, что обнадеживает, поскольку это вполне нормальный английский слог. Так что возможно, что это слово the стоит на своем месте. Второе the дает BSJ, — весьма странное сочетание согласных, что позволяет предположить, что второе the, скорее всего, неверно. Для третьего the получается YPT, — редко встречающийся слог, но ею все же стоит проверить. Если YPT действительно является частью ключа, то оно должно находиться внутри более длинного слова; такими словами могут быть только APOCALYPTIC, CRYPT и EGYPT и производные от этих слов. Как мы сможем определить, является ли одно из этих слов частью ключа?
Мы может проверить каждое предположение, подставляя все эти три слова в ключ над соответствующим куском шифртекста и находя соответствующий открытый текст:
Если слово не является частью ключа, то, скорее всего, это опять-таки приведет к тому, что фрагмент открытого текста будет состоять из хаотичного набора букв; если же оно является частью ключа, то получающийся открытый текст должен иметь определенный смысл. При использовании в качестве части ключа слова APOCALYPTIC, получающийся открытый текст состоит из абсолютно бессмысленного набора букв. При использовании в качестве части ключа слова CRYPT, в открытом тексте получается cithe, что, в общем-то, не является невозможным куском открытого текста. Однако если в качестве части ключа использовать EGYPT, то при этом получается atthe — более обещающая комбинация букв, которая, видимо, представляет собой слова at the.
Предположим пока, что скорее всего в качестве части ключа используется EGYPT. Возможно, что в качестве ключа используется перечень стран. А это означает, что CAN, часть ключа, которая соответствует первому the, является началом слова CANADA. Мы можем проверить эту гипотезу, предполагая, что CANADA, как и EGYPT, являются частями ключа, если откроем бóльший фрагмент открытого текста:
Похоже, что наше предположение имеет смысл. CANADA означает, что открытый текст начинается с themee, что, по-видимому, является началом the meeting. Теперь, когда мы определили новые буквы открытого текста, ting, мы можем найти соответствующую им часть ключа; это будет BRAZ, которое, несомненно, является началом слова BRAZIL. Используя в качестве ключа комбинацию CANADABRAZILEGYPT, мы получим следующее: the meeting is at the????.
Чтобы найти завершающее слово открытого текста — место встречи, — лучше всего завершить составление ключа путем проверки перебором названий всех возможных стран, оценивая получающийся при этом открытый текст. Осмысленный открытый текст получается только в случае, когда конечным элементом ключа будет слово CUBA:
Таблица 9 Квадрат Виженера.
Поэтому для обеспечения стойкости недостаточно, чтобы ключ имел такую же длину, что и само сообщение. В приведенном выше примере уязвимость возникла из-за того, что ключ был создан из смысловых слов. Мы начали с того, что стали случайным образом подставлять слово the в открытый текст и определять соответствующие буквы ключа. Мы могли с уверенностью сказать, когда the попадает на надлежащее место, потому что буквы ключа в этом случае приобретали вид части смысловых слов. После чего мы использовали эти фрагменты в ключе, чтобы определить слова целиком. А это, в свою очередь, давало нам больше кусков в тексте, из которых мы могли составить целые слова, и так далее. Весь этот процесс переходов вперед-назад между сообщением и ключом оказался возможен только потому, что у ключа была определенная внутренняя структура и он состоял из слов, которые можно было распознать. Однако в 1918 году криптографы начали экспериментировать с ключами, которые были лишены структуры. В результате получился невзламываемый шифр.
Когда Первая мировая война уже приближалась к концу, майор Джозеф Моборн, руководитель криптографического исследовательского подразделения армии США, ввел понятие случайного ключа, т. е. такого ключа, который состоит не из распознаваемого набора слов, а из случайной комбинации букв. Он высказывался за применение таких случайный ключей, используемых как часть шифра Виженера, для обеспечения беспрецедентной степени стойкости. Первым этапом в системе Моборна была подготовка толстого блокнота, состоящего из сотен бумажных листов; на каждом листе находится уникальный ключ в виде случайной последовательности строчек букв. Подготавливаются два экземпляра блокнота, один для отправителя, а второй — для получателя. Чтобы зашифровать сообщение, отправитель применял шифр Виженера, пользуясь первым листом блокнота в качестве ключа. На рисунке 30 показаны три листа из такого блокнота (на самом деле, на каждом листе содержатся сотни букв) и сообщение, зашифрованное с использованием случайного ключа, находящегося на первом листе. Получатель сможет легко расшифровать шифртекст, пользуясь идентичным ключом и шифром Виженера. После того как сообщение было успешно отправлено, получено и расшифровано, оба — и отправитель, и получатель — уничтожают лист, использованный в качестве ключа, чтобы никогда уже больше им не пользоваться. При шифровании очередного сообщения применяется следующий случайный ключ из блокнота, который в дальнейшем также уничтожался, и так далее. Поскольку каждый лист используется только один раз, эта система известна как одноразовый шифрблокнот, или шифрблокнот одноразового назначения [15]Применяется также термин одноразовый криптографический ключ или криптографический ключ одноразового использования. — Прим. пер.
.
Рис. 30 Три листа из одноразового шифрблокнота, каждый из которых является возможным ключом для шифра. Сообщение зашифровано с помощью листа 1.
Шифр из одноразового шифрблокнота свободен от всех вышеозначенных слабостей. Представим, что сообщение attack the valley at dawn было зашифровано, как показано на рисунке 30, передано по радио и перехвачено противником.
Криптоаналитик противника получает шифртекст и пытается дешифровать его. Первый камень преткновения: по определению в случайном ключе повторений нет, поэтому методом Бэббиджа и Касиски взломать криптографический ключ одноразового использования не удастся. Как вариант, криптоаналитик противника может попытаться подставлять слово the в различные места текста и определять соответствующий фрагмент ключа, как это делали мы, когда старались дешифровать предыдущее сообщение. Если криптоаналитик попробует поставить the в начале сообщения, что неверно, тогда соответствующий сегмент ключа будет иметь вид WXB, иначе говоря, он получит хаотичный набор букв. Если же криптоаналитик подставит the таким образом, что начало слова будет совпадать с седьмой буквой сообщения, то есть в нужное место, тогда соответствующий сегмент ключа будет иметь вид QKJ, что также является беспорядочным набором букв. Другими словами, криптоаналитик не сумеет определить, на своем месте стоит пробное слово или нет.
В отчаянии криптоаналитик мог бы даже подумывать о поиске методом полного перебора всех возможных ключей. Шифртекст состоит из 21 буквы, так что криптоаналитик знает, что и ключ также состоит из 21 буквы. Это означает, что следует проверить примерно 500 000 000 000 000 000 000 000 000 000 возможных ключей, что абсолютно неосуществимо ни для человека, ни для механического устройства. Однако даже если криптоаналитик смог бы проверить все эти ключи, то в этом случае возникнет еще более значительная сложность. Проверяя каждый возможный ключ, криптоаналитик, несомненно, обнаружит истинное сообщение, но будут также представлены и все ложные сообщения. Так, например, если применить к предыдущему шифртексту следующий ключ, то получится совершенно иное сообщение:
Если бы мог быть проверен каждый возможный ключ, то при этом будут появляться все мыслимые и немыслимые сообщения длиной в 21 букву, и криптоаналитик не сумел бы отличить истинное сообщение от всех остальных. Этой проблемы не возникло бы, если бы ключ представлял собой набор слов или фразу, поскольку неправильные сообщения почти наверняка будут связаны с не имеющими смысла ключами, а истинное сообщение будет получено при осмысленном ключе.
Стойкость шифра одноразового шифрблокнота целиком и полностью обусловлена случайным характером ключа. Ключ вносит разупорядоченность в шифртекст, и если шифртекст является неупорядоченным, то нет никаких закономерностей, никакой структуры, — ничего, за что мог бы зацепиться криптоаналитик. В действительности можно математически доказать, что криптоаналитик не сможет вскрыть сообщение, зашифрованное с помощью шифра из одноразового шифрблокнота. Другими словами, шифр одноразового шифрблокнота не просто считается невзламываемым, как считался невзламываемым шифр Виженера в девятнадцатом веке, он на самом деле абсолютно надежен. Одноразовый шифрблокнот гарантирует стойкость — воистину Святой Грааль криптографии.
Наконец-то криптографы нашли невзламываемую систему шифрования. Однако безупречность шифра одноразового шифрблокнота не означает, что поиск обеспечения стойкости на этом закончился: дело в том, что им пользовались крайне редко. Хотя он теоретически и совершенен, но в действительности ему присущи две принципиальные сложности. Во-первых, на практике затруднительно создавать большое количество случайных ключей. В самый обычный день в армии могут передавать и получать сотни сообщений, каждое из тысяч знаков, поэтому радистам потребуется дневной запас ключей, эквивалентный миллионам расположенных в случайном порядке букв. А это исключительно сложная задача — создание такого колоссального количества случайных последовательностей букв.
Ранее некоторые криптографы полагали, что они могут создать огромное количество случайных ключей, наобум печатая на печатной машинке. Однако при этом машинистка (или оператор печатающего устройства) всякий раз стремилась печатать буквы следующим образом: одну букву левой рукой, следующую — правой и так далее, поочередно ударяя по клавишам то на одной, то на другой стороне. Таким способом и в самом деле можно было быстро создать ключ, но получающаяся при этом последовательность обладала структурой и вследствие этого более не являлась случайной — если машинистка ударяла по клавише с буквой D, находящейся на левой части клавиатуры, то следующей буквой, скорее всего, будет буква, находящаяся на правой части клавиатуры. Если же криптографический ключ одноразового использования действительно случаен, то примерно в половине всех случаев за буквой с левой части клавиатуры должна следовать другая буква с левой же части клавиатуры.
Криптографы осознали, что для создания случайного ключа потребуется много времени, сил и средств. Лучшие случайные ключи создаются на основе естественных физических процессов, например, радиоактивности, которая, как известно, действительно имеет случайный характер. Криптограф может взять крупный кусок радиоактивной руды и измерять излучение с помощью счетчика Гейгера. Иногда ионизирующие частицы излучения испускаются одна за одной очень быстро, иногда между отдельными актами испускания проходит довольно длительное время, поэтому время между этими актами есть величина непредсказуемая и случайная. В таком случае криптограф может подсоединить к счетчику Гейгера дисплей, на экране которого в циклическом режиме быстро, но с постоянной скоростью пробегает алфавит, моментально останавливающийся при срабатывании счетчика. Какой бы ни была буква на экране, она может использоваться в качестве очередной буквы случайного ключа. После этого на экране дисплея опять начинается пролистывание алфавита в циклическом режиме до следующего срабатывания счетчика, которое происходит в результате попадания в него ионизирующей частицы; замершая на экране буква добавляется к ключу, и процесс идет далее. Такое устройство гарантированно создавало бы действительно случайный ключ, но оно непригодно для повседневной криптографии.
Даже если бы вы смогли создать достаточно случайные ключи, то возникла бы еще одна проблема: сложность их распределения. Представьте себе район боевых действий, где сотни радистов составляют единую коммуникационную сеть. Для начала все они должны иметь идентичные экземпляры одноразового шифрблокнота. Затем, когда подготовлены новые шифрблокноты, их необходимо одновременно передать всем. Наконец, все должны быть уверены, что нужный лист одноразового шифрблокнота используется в нужное время. При широком применении одноразовых шифрблокнотов на поле боя будет просто столпотворение курьеров и писарей. Более того, если противник захватит хотя бы один комплект ключей, то надежность всей коммуникационной системы будет нарушена.
Представляется соблазнительным сократить усилия на подготовку и распределение ключей путем повторного использования одноразовых шифрблокнотов, но это смертный грех криптографии.
Повторное использование одноразового шифрблокнота позволит криптоаналитику противника легко дешифровать сообщения. Принцип, с помощью которого вскрываются два фрагмента шифртекста, зашифрованного одним и тем же криптографическим ключом одноразового использования, объясняется в Приложении G, но пока следует запомнить, что в использовании одноразового шифрблокнота нельзя делать никаких упрощений. Для каждого сообщения отправитель и получатель должны использовать новый ключ.
Одноразовый шифрблокнот полезен только тем, кому нужна сверхнадежная связь и кто может позволить себе заплатить огромную цену за создание и надежное распределение ключей. Например, безопасность телефонной «горячей линии» между президентами России и Америки обеспечивается посредством использования одноразового шифрблокнота.
Практические недостатки теоретически совершенного одноразового шифрблокнота означали, что идею Моборна никогда не удастся применить в разгаре сражения. По окончании Первой мировой войны и всех криптографических неудач продолжался поиск практичной системы, которую можно было бы применить в следующем конфликте. К радости криптографов это продолжалось недолго; вскоре они совершили прорыв, благодаря которому была восстановлена надежность связи на поле сражения. Чтобы упрочить свои шифры, криптографы, для обеспечения криптостойкости при зашифровывали сообщений, были вынуждены отказаться от использования бумаги и карандаша и применять самые последние достижения.
Усовершенствование шифровальных машин — от шифровальных дисков до «Энигмы»
Самым первым криптографическим устройством был шифровальный диск, придуманный в пятнадцатом веке итальянским архитектором Леоном Альберти, одним из отцов многоалфавитного шифра. Он взял два медных диска, один чуть шире другого, и нанес алфавит по краям обоих дисков. Поместив меньший диск сверху диска большего размера и скрепив их иглой, действующей как ось, он получил шифровальный диск, который показан на рисунке 31. Оба эти диска могут вращаться независимо друг от друга, так что оба алфавита могут занимать различное положение друг относительно друга и тем самым использоваться для зашифровывания сообщения с помощью простого шифра Цезаря. Например, чтобы зашифровать сообщение шифром Цезаря со сдвигом на одну позицию, установите А на наружном диске напротив В на внутреннем; наружный диск будет алфавитом открытого текста, а внутренний диск будет представлять шифралфавит. На наружном диске ищется буква из открытого текста сообщения, а соответствующая буква с внутреннего диска записывается как часть шифртекста. Чтобы зашифровать сообщение шифром Цезаря со сдвигом на пять позиций, просто поверните диски так, чтобы А на наружном диске стояла напротив Р на внутреннем, а затем пользуйтесь шифровальным диском в этом новом положении.
Рис. 31 Шифровальный диск, применявшийся конфедератами во время Гражданской войны в США.
Даже при том, что шифровальный диск был исключительно простым приспособлением, он существенно облегчил процесс шифрования и широко использовался целых пять столетий. На рисунке 31 приведен вариант конструкции шифровального диска, который применялся в Гражданской войне в США. На рисунке 32 показан кодограф — шифровальный диск капитана Миднайта, одноименного героя одной из первых американских радиопостановок. Слушатели программы могли получить собственный кодограф, написав организаторам программы — компании Ovaltine — и приложив этикетку от одной из упаковок. Время от времени программы заканчивались секретным сообщением от капитана Миднайта, которое могло быть расшифровано радиослушателями с помощью кодографа.
Рис. 32 Кодограф Капитана Миднайта, который зашифровывал каждую букву открытого текста (наружный диск) в виде числа (внутренний диск), а не буквы.
Шифровальный диск может рассматриваться как «скремблер», который берет каждую букву открытого текста и преобразует ее в некую другую букву. При том способе применения шифровального диска, который мы рассматривали до сих пор, взломать получающийся шифр довольно просто, однако существует возможность использования шифровального диска и более сложным образом. Его изобретатель, Альберти, предложил менять установку диска во время подготовки сообщения, что фактически означает применение многоалфавитного шифра вместо одноалфавитного. Так, чтобы зашифровать слово goodbye с помощью ключевого слова LEON, Альберти мог бы поступить следующим образом. Он бы начал с того, что установил диск по первой букве ключевого слова, совместив букву А на наружном диске с буквой L на внутреннем. Далее он бы зашифровал первую букву сообщения, g, отыскав ее на наружном диске и отметив соответствующую ей букву на внутреннем диске, R. Затем, чтобы зашифровать вторую букву сообщения, он бы установил диск по второй букве ключевого слова, совместив букву А на наружном диске с буквой Е на внутреннем. После чего зашифровал бы букву о, найдя ее на наружном диске и отметив соответствующую ей букву на внутреннем диске, S. Процесс шифрования продолжается: шифровальный диск последовательно устанавливается по буквам ключа — О, затем N, вслед за этим снова на L и так далее. Фактически Альберти зашифровал бы сообщение с помощью шифра Виженера, где в качестве ключевого слова использовалось его первое имя. Но если сравнивать с квадратом Виженера, то шифровальный диск ускоряет процесс зашифровывания и уменьшает количество ошибок.
При таком применении шифровального диска существенным является то, что способ шифрования меняется в процессе зашифровывания. Хотя из-за этого дополнительного усложнения взломать шифр труднее, но оно все же не делает его невзламываемым, поскольку здесь мы имеем дело просто с механизированным вариантом шифра Виженера; шифр же Виженера был взломан Бэббиджем и Касиски. Однако спустя пять столетий реинкарнация шифровального диска, придуманного Альберти, в более усложненном виде привела к появлению нового поколения шифров, взломать которые было на порядок сложнее, чем любой из ранее используемых.
В 1918 году немецкий изобретатель Артур Шербиус и его близкий друг Ричард Рйттер основали компанию Шербиус-энд-Риттер, конструкторскую фирму, которая занималась всем — от турбин до подушек с подогревом. Шербиус отвечал за проведение исследований и конструкторских работ и постоянно изыскивал новые возможности. Один из лелеемых им замыслов заключался в замене несовершенных систем криптографии, применявшихся в Первой мировой войне, когда обменивались шифрами, подготовленными вручную карандашом на бумаге, способом шифрования, в котором применялась бы технология двадцатого века. Изучив электротехнику в Ганновере и Мюнхене, он разработал криптографическое устройство, которое являлось по сути электрическим вариантом шифровального диска Альберти. Под названием «Энигма» изобретение Шербиуса станет самой грозной системой шифрования в истории.
«Энигма» Шербиуса состояла из ряда остроумно выполненных деталей, которые он соединил в огромную и сложную шифровальную машину. Однако если мы разберем машину на комплектующие и поэтапно станем воссоздавать ее заново, то станут понятны ее основные принципы. Основой изобретения Шербиуса являются три соединенных проводами узла: клавиатура для ввода каждой буквы открытого текста, шифратор, который зашифровывает каждую букву открытого текста в соответствующую букву шифртекста, и индикаторное табло, состоящее из различных ламп для высвечивания букв шифртекста. На рисунке 33 показана стилизованная конструкция машины, ограниченная, для простоты, алфавитом, содержащим шесть букв. Чтобы зашифровать букву открытого текста, оператор нажимает на клавиатуре клавишу с нужной буквой открытого текста, которая посылает электрический импульс через центральный шифратор на противоположную сторону, где на панели с лампочками высвечивается соответствующая буква шифртекста.
Рис. 33 Упрощенный вариант «Энигмы» с алфавитом, состоящим всего из шести букв. Самым важным элементом машины является шифратор. При наборе на клавиатуре буквы b ток поступает в шифратор, проходит по проводам внутри него, а затем зажигает лампочку А. Короче говоря, b зашифровывается как А. Справа в прямоугольнике показано, как зашифровывается каждая из шести букв.
Шифратор, толстое колесо из резины, пронизанное проводами, является важнейшей частью машины. Провода с клавиатуры входят в шифратор в шести точках, затем несколько раз изгибаются и выходят в шести точках на другой стороне. То, как провода идут внутри шифратора, и определяет, как будут зашифровываться буквы открытого текста. Например, при таком расположении проводов, которое показано на рисунке 33:
при наборе а будет высвечиваться буква В, которая означает, что а зашифрована как В,
при наборе b будет высвечиваться буква А, которая означает, что b зашифрована как А,
при наборе с будет высвечиваться буква D, которая означает, что с зашифрована как D,
при наборе d будет высвечиваться буква F, которая означает, что d зашифрована как F,
при наборе е будет высвечиваться буква Е, которая означает, что е зашифрована как Е,
при наборе f будет высвечиваться буква С, которая означает, что f зашифрована как С.
Сообщение cafe будет зашифровано как DBCE. По сути, при данной базовой схеме шифратор определяет шифралфавит, и в машине применяется простой одноалфавитный шифр замены.
Однако идея Шербиуса заключалась в том, чтобы после того, как очередная буква будет зашифрована, шифрующий диск автоматически поворачивался на 1/6 (или на 1/26, в случае, если используется алфавит из 26 букв). На рисунке 34 (а) показано то же самое устройство, что и на рисунке 33; и точно так же при наборе буквы b будет высвечиваться буква А. Однако на сей раз, сразу же после того, как будет набрана буква и загорится лампочка на панели, шифратор сделает 1/6 оборота и перейдет в положение, показанное на рисунке 34 (b). Здесь, если еще раз ввести букву b, загорится уже другая буква — С. Тотчас же шифратор повернется снова и окажется в положении, показанном на рисунке 34 (с). Теперь уже, если снова набрать букву b, высветится буква Е. Вводя букву b шесть раз подряд, мы получим шифртекст ACEBDC. Другими словами, шифралфавит меняется после каждого зашифровывания, и способ зашифровывания буквы b постоянно меняется. Вращающееся шифрующее устройство фактически задает шесть шифралфавитов, и в машине реализуется использование многоалфавитного шифра.
Рис. 34 Каждый раз после того, как на клавиатуре будет набрана и зашифрована буква, шифратор поворачивается на одну позицию, изменяя, тем самым способ, которым может быть зашифрована каждая буква. В (а) шифратор зашифровывает b как А, в (b) шифратор в новом положении зашифровывает b как С. В (с), после поворота на следующую позицию, шифратор зашифровывает b как Е. После того как будут зашифрованы еще четыре буквы и шифратор повернется еще на четыре позиции, он окажется в своем исходном положении.
Вращение шифратора является самым важным в конструкции Шербиуса. Однако у машины в данной ситуации есть заведомо слабое место. Если набрать b шесть раз, то шифратор окажется в исходном положении; при дальнейшем вводе букв b комбинации символов будут повторяться. Вообще говоря, криптографы всеми силами стремятся избегать повторений, поскольку они приводят к появлению упорядоченности и структуры в шифртексте, что является признаком слабости шифра. Эта проблема может быть частично разрешена за счет использования второго шифрующего диска.
На рисунке 35 дано схематическое изображение шифровальной машины с двумя шифраторами. Поскольку показать трехмерный вид шифратора с трехмерной внутренней разводкой сложно, на рисунке 35 дано только двумерное представление. Всякий раз после зашифровывания буквы первый шифратор поворачивается на одну позицию, то есть на двумерной диаграмме каждая распайка перемещается вниз на одну позицию. В отличии от первого, второй шифрующий диск почти все время остается неподвижным. Он приходит в движение только после того, как первый шифратор совершит полный оборот. У первого шифратора имеется зубец и только когда этот зубец доходит до определенной точки, он поворачивает второй шифратор на одну позицию.
На рисунке 35 (а) первый шифратор находится в положении, когда он готов повернуть второй шифратор. При наборе и зашифровывании очередной буквы первый шифратор поворачивается на одну позицию, заставляя при этом повернуться на одну позицию и второй шифратор (рис. 35 (b). После набора и зашифровывания следующей буквы первый шифратор снова поворачивается на одну позицию (рис. 35 (с), но на сей раз второй шифратор остается неподвижным. Второй шифратор не будет двигаться, пока первый шифратор не совершит полный оборот, что произойдет после набора и зашифровывания еще пяти букв. Такая конструкция напоминает одометр автомобиля — быстрее всего вращается барабанчик, который показывает километры, и когда этот барабанчик сделает полный оборот, достигнув цифры «9», он переведет на одно деление барабанчик, показывающий десятки километров.
Рис. 35 При добавлении второго шифратора комбинации зашифрованных символов не будут повторяться до тех пор, пока не будут зашифрованы все 36 букв, то есть пока оба шифратора не вернутся в исходное положение. Для простоты шифраторы представлены на диаграмме в двухмерном виде: здесь, вместо поворота на один шаг шифратора, на одну позицию вниз смещается распайка. Хотя создается впечатление, что провод (или провода) сверху или снизу шифратора обрывается, но на самом деле его продолжением служит соответствующий провод снизу или сверху этого шифратора. В (а) b зашифровывается как D. После зашифровывания первый шифратор поворачивается на одну позицию, заставляя при этом повернуться на одну позицию и второй шифратор; это происходит только раз за один полный оборот первого ротора. Это новое положение показано на (b), где b зашифровывается как F. После зашифровывания первый шифратор поворачивается на один шаг, но второй шифратор при этом остается неподвижным. Это новое положение показано на (с), где b зашифровывается как В.
Преимущество добавления второго шифратора заключается в том, что комбинации символов не будут повторяться до тех пор, пока второй шифратор не вернется в начальное положение, что потребует шести полных оборотов первого шифратора, то есть зашифровывания 6x6, или 36 букв. Другими словами, существует 36 различных положений шифратора, которые эквивалентны переходам между 36 шифралфавитами. Если же взять полный алфавит, состоящий из 26 букв, то шифровальная машина будет переключаться между 26 х 26, или 676 шифралфавитами. Поэтому объединяя несколько шифраторов (которые иногда называются роторами), можно создать шифровальную машину, которая будет постоянно выполнять переход между различными шифралфавитами.
Оператор набирает определенную букву и, в зависимости от положения шифратора, она может быть зашифрована с помощью любого из сотен шифралфавитов. После этого положение шифратора меняется, так что когда в машину вводится следующая буква, она зашифровывается уже с помощью другого шифралфавита. К тому же все это производится исключительно эффективно и точно благодаря автоматическому перемещению шифраторов и высокой скорости электричества.
Прежде чем приступить к подробному объяснению, как Шербиус предполагал применять свою шифровальную машину, необходимо рассказать еще о двух элементах «Энигмы», которые показаны на рисунке 36. Во-первых, в стандартной шифровальной машине Шербиуса в целях увеличения стойкости использовался третий шифратор; для полного алфавита из 26 букв эти три шифратора дают 26 х 26 х 26, или 17 576 различных положений шифраторов. Во вторых, Шербиус добавил отражатель. Отражатель, как и шифратор, также представляет собой резиновый диск с проводами внутри, но его отличие от шифратора состоит в том, что он не вращается, а провода входят с одной стороны и затем выходят с той же стороны. Когда отражатель установлен, оператор вводит букву, посылая электрический сигнал через три шифратора. Поступающий в отражатель сигнал отражается и идет обратно через те же три шифратора, но уже по другому пути. Например, для приведенной на рисунке 36 схемы, при вводе с клавиатуры буквы b сигнал пройдет через три шифратора, попадет в отражатель, отразится и вернется назад к букве D. На самом деле сигнал попадает не в клавиатуру, как это могло бы показаться из рисунка 36, а поступает на панель с лампочками.
Рис. 36 Конструкция «Энигмы» Шербиуса с третьим шифратором и отражателем, который направляет ток обратно через шифраторы. Для данного расположения ввод с клавиатуры буквы b приведет к загоранию D на панели с лампочками, которая показана рядом с клавиатурой.
На первый взгляд кажется бессмысленным добавлять к машине неподвижный отражатель, который не приводит к увеличению количества шифралфавитов. Однако польза от него станет ясна, когда мы будем рассматривать, как же в действительности используется эта машина для шифрования и расшифрования сообщения.
Допустим, оператор хочет отправить криптограмму. Прежде чем приступить к шифрованию, оператор должен вначале повернуть шифраторы, установив их в определенное начальное положение. Существует 17 576 возможных расположений и, соответственно, 17 576 возможных начальных установок. Начальные положения шифраторов будут определять, каким образом зашифровывается сообщение. Мы можем рассматривать «Энигму» как обобщенную шифрсистему, в которой способ зашифровывания определяется начальными установками. Другими словами, начальные установки обуславливают ключ. Начальные установки обычно задаются в шифровальной книге, в которой указаны ключи на каждый день и которая имеется у всех в коммуникационной сети. Для распространения шифровальных книг требуется время и усилия, но поскольку в день нужен только один ключ, то можно, например, предусмотреть рассылку шифровальных книг, содержащих 28 ключей, только один раз в четыре недели. Для сравнения, если бы в войсках пришлось бы применять одноразовые шифрблокноты, то для каждого сообщения требовался бы новый ключ, и задача распределения ключей оказалась бы несоизмеримо сложнее. Как только шифраторы будут установлены в положения, задаваемые ключом текущего дня из шифровальной книги, отправитель может начинать зашифровывание. Он вводит с клавиатуры первую букву сообщения, смотрит, какая буква высвечивается на панели с лампочками, и записывает ее как первую букву шифртекста. Затем, как только первый шифратор автоматически повернется на одну позицию, отправитель вводит вторую букву сообщения и так далее. После того как шифртекст будет полностью подготовлен, он вручается радисту, который передает его получателю сообщения.
Чтобы расшифровать сообщение, получателю необходимо иметь другую «Энигму» и копию шифровальной книги, в которой указаны начальные положения шифраторов на текущий день. Получатель устанавливает машину в соответствии с книгой, набирает букву за буквой шифртекст, и на панели с лампочками считывает открытый текст. Другими словами, отправитель набирал открытый текст, чтобы получить шифртекст, а здесь получатель набирает шифртекст, чтобы получить открытый текст, то есть зашифровывание и расшифровывание являются зеркальными процессами. Простота расшифровывания обеспечивается благодаря отражателю. Из рисунка 36 можно видеть, что вводя с клавиатуры Ь и двигаясь далее по электрической цепи, мы окажемся у В. Но точно так же, вводя с клавиатуры d двигаясь далее по электрической цепи, мы вернемся к В.
Машина зашифровывает букву открытого текста в букву шифртекста, и до тех пор, пока машина находится в этом же положении, она будет преобразовывать в процессе расшифровывания эту букву шифртекста в первоначальную букву открытого текста.
Ясно, что ни ключ, ни шифровальная книга, в которой он содержится, ни при каких обстоятельствах не должны попасть в руки противника. Вполне может случиться, что противник сумеет заполучить «Энигму», но не зная начальных установок, используемых для зашифровывания, он не сможет дешифровать перехваченное сообщение. Без шифровальной книги криптоаналитик противника должен проверять все возможные ключи, что означает перебор всех 17 576 возможных начальных установок шифраторов. Доведенный до отчаяния криптоаналитик должен будет установить шифраторы на захваченной «Энигме» в некотором положении, ввести короткий фрагмент шифртекста, и посмотреть, будет ли на выходе какой-нибудь осмысленный текст. Если нет, то он должен изменить положение шифраторов и повторить попытку еще раз. Если криптоаналитик смог бы проверять одно положение шифраторов в минуту и работать круглосуточно, то ему потребовалось бы почти две недели, чтобы проверить все установки. Это — средний уровень стойкости. Но если бы противник усадил за проверку дюжину людей, то все положения шифраторов можно было бы проверить за день. Поэтому Шербиус решил повысить стойкость своего изобретения, увеличив число начальных установок и, тем самым, количество возможных ключей.
Он мог бы повысить стойкость, добавив еще шифраторов (каждый новый шифратор увеличивает число ключей в 26 раз), но это привело бы к увеличению размеров «Энигмы». Вместо этого он поступил следующим образом. Прежде всего он просто сделал шифраторы съемными и взаимозаменяемыми. Так, к примеру, первый шифрующий диск мог бы быть установлен на место третьего диска, а третий шифрующий диск — на место первого. Расположение шифраторов влияет на процесс шифрования, поэтому точное расположение важно для зашифровывания и расшифровывания. Имеется шесть различных способов, которыми можно разместить три шифратора, так что число ключей, или количество возможных начальных установок, возрастает в шесть раз.
Кроме того между клавиатурой и первым шифратором он установил штепсельную коммутационную панель. Штепсельная коммутационная панель дает возможность отправителю вставлять кабели, благодаря которым отдельные буквы, перед тем как попасть в шифратор, меняются местами. Например, кабелем можно было соединить гнезда а и b штепсельной коммутационной панели, так что когда криптограф хочет зашифровать букву b, то электрический сигнал в действительности проходит через шифраторы по пути, по которому прежде шел сигнал от буквы а, и наоборот.
У оператора «Энигмы» имелось шесть кабелей, то есть можно было осуществлять перестановку букв в шести парах букв. Переставляемые с помощью штепсельной коммутационной панели буквы являются частью задаваемой начальной установки машины и поэтому должны быть оговорены в шифровальной книге. На рисунке 37 схематично показана компоновка машины с установленной штепсельной коммутационной панелью. Поскольку здесь используется шестибуквенный алфавит, перестановка проводится только для одной пары букв, а и b.
Рис. 37 Штепсельная коммутационная панель устанавливается между клавиатурой и первым шифратором. Вставляя кабели, можно переставлять местами пары букв; в нашем случае b меняется местами с а. Теперь зашифровывание b производится по пути, по которому прежде происходило зашифровывание а. При работе на реальной «Энигме», использующей алфавит с 26 буквами, у пользователя имелось шесть кабелей, позволяющих осуществлять перестановку в шести парах букв.
В конструкции машины Шербиуса применяется также кольцо, о котором пока не упоминалось. Хотя кольцо оказывает определенное влияние на процесс шифрования, но это наименее значимая часть «Энигмы», и я решил его здесь не рассматривать. (Читателям, кто хочет узнать о роли кольца, следует обратиться к книгам, приведенным в списке для дальнейшего чтения, например, «Захват Энигмы» Дэвида Кана. Там же указаны и адреса двух веб-сайтов с прекрасными эмуляторами «Энигмы», которые дадут вам возможность поработать с виртуальной «Энигмой»).
Теперь, когда мы познакомились со всеми основными элементами машины «Энигма» Шербиуса, и, зная количество кабелей штепсельной коммутационной панели и количество возможных расположений и ориентации шифраторов, мы сможем определить число ключей.
Ниже перечислены все параметры машины и соответствующее число возможных состояний для каждого:
Ориентация шифраторов. Каждый из 3 шифраторов может быть установлен в одном из 26 положений. Таким образом всего имеется 26 х 26 х 26 начальных установок: 17 576
Расположения шифраторов. Три шифратора (1, 2 и 3) могут располагаться в любом порядке
из указанных ниже шести возможных: 123, 132, 213, 231, 312, 321. 6
Штепсельная коммутационная панель. Количество возможных способов соединений, с помощью которых осуществляются перестановки букв
в шести парах из 26 букв, огромно: 100 391 791 500
Полное число ключей. Полное число ключей получается перемножением этих трех чисел:
17 576 х 6 х 100 391 791 500 ~ 10 000 000 000 000 000
Если и отправитель, и получатель заранее оговорили установку кабельных соединениий на штепсельной коммутационной панели, порядок расположения шифраторов и их ориентацию — все эти параметры определяют ключ, — то они смогут без труда зашифровывать и расшифровывать сообщения. Однако противник, который не знает ключа, должен перебрать все ключи из 10 000 000 000 000 000 возможных, чтобы дешифровать перехваченный шифртекст. Но для выполнения такой работы упорному криптоаналитику, который сумел бы проверять один ключ за минуту, потребовалось бы времени больше, чем возраст Вселенной. (В действительности же, так как я не учитывал в этих подсчетах наличие колец, количество возможных ключей возрастет, а значит, для взлома «Энигмы» потребуется еще больше времени.)Поскольку, без сомнения, самый весомый вклад в увеличение числа ключей вносит штепсельная коммутационная панель, вас может удивить, отчего же Шербиус так беспокоился о шифраторах? Сама по себе эта панель не делает ничего, кроме как реализует одноалфавитный шифр замены, переставляя местами в парах всего лишь 12 букв. Проблема здесь заключается в том, что в процессе зашифровывания перестановка букв в парах остается неизменной, поэтому при использовании одной только этой панели получается шифртекст, который можно дешифровать с помощью частотного анализа. Шифраторы же обеспечивают создание меньшего числа ключей, но их расположение все время изменяется, что означает, что для получающегося шифртекста частотный аналйз использовать не удастся.
Объединив шифраторы со штепсельной коммутационной панелью, Шербиус защитил свою машину от возможности применения частотного анализа и в то же время обеспечил создание огромного количества возможных ключей.
Рис 37. Артур Шербиус
Шербиус получил свой первый патент в 1918 году. Его шифровальная машина помещалась в компактном корпусе размером всего 34 х 28 х 15 см, но весила целых 12 кг. На рисунке 39 показана готовая к работе «Энигма» с открытой крышкой. Видна клавиатура, с которой вводятся буквы открытого текста, а над ней панель с лампочками, где высвечиваются получающиеся буквы шифртекста. Под клавиатурой находится штепсельная коммутационная панель; с помощью этой панели можно осуществлять перестановку букв в более чем шести парах букв, поскольку на этом рисунке изображена «Энигма» более поздней модификации по сравнению с той моделью, о которой рассказывалось в тексте. На рисунке 40 представлена «Энигма» со снятой внутренней крышкой; здесь можно рассмотреть внутреннее устройство машины, в частности видны три шифратора.
Рис. 39 Готовая к работе армейская «Энигма».
#i_069.jpg
Рис. 40 «Энигма» со снятой внутренней крышкой; видны три шифратора.
Шербиус верил, что «Энигма» неприступна и что ее криптографическая стойкость породит высокий спрос на нее. Он пытался заинтересовать ею и вооруженные силы, и деловые круги, предлагая для каждого круга потенциальных пользователей различные модификации шифровальной машины. Предприятиям и компаниям он предлагал базовую модификацию «Энигмы», а министерству иностранных дел — роскошную модель с принтером вместо панели с лампочками. По нынешним ценам стоимость одной машины составляла 20 тысяч фунтов стерлингов.
К сожалению, высокая стоимость машины отпугивала возможных покупателей. Предприятия и компании заявляли, что они не в состоянии позволить себе приобрести «Энигму», однако Шербиус полагал, что они не смогут обойтись без нее. Он аргументировал это тем, что важное коммерческое сообщение, перехваченное конкурентами, может стоить компании состояния, но лишь несколько бизнесменов обратили на это внимание. Немецкие вооруженные силы также не проявили энтузиазма, забыв, какой ущерб был понесен в мировой войне из-за нестойких шифров. Так, они продолжали считать, что телеграмма Циммермана была выкрадена американскими шпионами в Мехико, и потому винили в этой неудаче службу безопасности Мексики. Они все еще не осознавали, что на самом деле телеграмма была перехвачена и дешифрована англичанами и что фиаско Циммермана являлось провалом немецкой криптографии.
Разочарование Шербиуса росло с каждым днем, и в этом он был не одинок. Три других изобретателя в трех других странах независимо и почти одновременно натолкнулись на идею шифровальной машины на основе вращающихся роторов. В 1919 году в Нидерландах Александр Кох получил патент № 10700, но он не сумел превратить свою роторную машину в финансовый успех и в конце концов продал этот патент в 1927 году. В Швеции подобный патент был выдан Арвиду Дамму, однако и он не смог найти покупателей вплоть до 1927 года, когда умер. В Америке изобретатель Эдвард Хеберн был — абсолютно уверен в своем изобретении, названном им «сфинксом радиосвязи», но и его постигла неудача, которая оказалась самой значительной изо всех.
В середине 20-х годов Хеберн начал строить завод по производству этих машин, вложив в это дело 380 000 долларов, но, к сожалению, это был период, когда настроение в Америке менялось от паранойи до открытости. В предыдущее десятилетие, после Первой мировой войны, правительство США создало американский «черный кабинет» — эффективно действующее бюро шифров, штат которого составляли двадцать криптоаналитиков под руководством яркой и выдающейся личности — Герберта Ярдли. Позднее Ярдли писал, что «черный кабинет, запрятанный за надежными засовами, невидимый, скрытый, все видит и все слышит. Хоть ставни здесь закрыты, а окна плотно занавешены, его зоркие глаза видят, что творится на секретных совещаниях в Вашингтоне, Токио, Лондоне, Париже, Женеве и Риме. Его чуткие уши улавливают самый слабый шепот в столицах иностранных государств всего мира».
За десять лет американский «черный кабинет» прочел 45 000 криптограмм, но к тому времени, как Хеберн построил свой завод, президентом был избран Герберт Гувер, стремящийся в международных делах проводить новую эру доверия. Он расформировал «черный кабинет», а его государственный секретарь Генри Стимсон заявил, что «джентльмены не должны читать чужую переписку». Если государство считает неправильным читать чужие сообщения, то оно также полагает, что и другие также не будут читать его собственные сообщения, и в этом случае не видно необходимости в придумывании шифровальных машин. Хеберн продал всего лишь двенадцать машин общей стоимостью примерно 1200 долларов, а в 1926 году он был привлечен к суду недовольными акционерами и признан виновным согласно Акту о ценных бумагах корпорации штата Калифорния.
Однако, к счастью для Шербиуса, благодаря двум британским документам немецкие вооруженные силы в конце концов были вынуждены признать ценность его «Энигмы». Первым документом явился «Мировой кризис» Уинстона Черчилля, опубликованный в 1923 году, в котором содержалось сенсационное сообщение о том, как Британия получила доступ к ценнейшим немецким криптографическим материалам:
В начале сентября 1914 года в Балтийском море был потоплен немецкий легкий крейсер «Магдебург». Несколькими часами позже русские моряки подобрали тело утонувшего немецкого унтер-офицера, к груди он крепко прижимал судорожно сжатыми после смерти руками шифровальные и сигнальные книги немецких военно-морских сил и точные карты Северного моря и Гельголандской бухты. 6 сентября русский военно-морской атташе пришел повидаться со мной. Он получил сообщение из Петрограда о том, что произошло и что русское Адмиралтейство с помощью этих шифровальных и сигнальных книг смогло дешифровать часть депеш немецкого флота. Русские посчитали, что и британскому Адмиралтейству следует иметь эти книги и карты. Если мы пошлем судно в Александров, то русские офицеры доставят их в Англию.
Эти материалы помогли криптоаналитикам из «Комнаты 40» регулярно вскрывать немецкие зашифрованные сообщения. В конце концов, спустя почти десятилетие, немцы осознали, что их средства связи не обеспечивают безопасность. Наряду а этим в 1923 году Британские королевские военно-морские силы обнародовали свою официальную историю Первой мировой войны, в которой еще раз был упомянут тот факт, что перехват и криптоанализ сообщений немцев дал союзникам явное преимущество.
Эти похвальные достижения британской разведывательной службы явились результатом некомпетентности тех, кто нес ответственность за обеспечение безопасности и кто потом вынужден был признать в своем докладе что «немецкое военно-морское командование, чьи радиосообщения были перехвачены и дешифрованы англичанами, играло, если можно так выразиться, открытыми картами против британского командования».
Немецкие вооруженные силы задались вопросом, как в дальнейшем избежать повторения криптографического фиаско Первой мировой войны, и пришли к выводу, что наилучшим решением станет использование «Энигмы». К 1925 году Шербиус наладил массовое производство шифровальных машин «Энигма», которые начали поступать в армию уже в следующем году, а впоследствии использовались правительством и государственными организациями и предприятиями, к примеру, железнодорожными службами. Эти машины отличались от тех машин, которые Шербиус ранее продавал для коммерческого применения, — в них у шифраторов внутренняя проводка была иной. Поэтому владельцы коммерческого варианта «Энигмы» доподлинно не знали о правительственной и армейской модификациях.
За последующие два десятилетия немецкие вооруженные силы приобрели свыше 30 000 шифровальных машин «Энигма». Благодаря изобретению Шербиуса немецкие вооруженные силы получили самую надежную систему криптографии в мире, и накануне Второй мировой войны их связь была защищена не имеющим себе равных уровнем шифрования. Подчас казалось, что в победе нацистов «Энигма» будет играть главенствующую роль, но вместо этого она в конечном итоге привела к падению Гитлера. Шербиус прожил достаточно долго, чтобы самому увидеть успехи и провалы своей шифровальной системы. В 1929 году, катаясь на лошадях, он потерял управление повозкой и врезался в стену; умер он 13 мая от повреждений внутренних органов.