Czesław Kościelny

WSM Legnica

Polityczne i prawne uwarunkowania

techniki ochrony poufności informacji

w Internecie

1. Wstęp

Instytucje rządowe, organizacje finansowe, przedsiębiorstwa państwowe i prywatne, a także indywidualni użytkownicy globalnych sieci komputerowych przesyłają aktualnie każdego dnia wiele megabajtów danych w postaci wyciągów bankowych, transakcji go­tówkowych, umów handlowych, informacji naukowych, edukacyjnych, medycznych i ubezpieczeniowych oraz korespondencji służbowej i prywatnej. Dane o podobnej treści krążą też w globalnych sieciach telekomunikacyjnych powszechnego użytku i w sieciach telefonii komórkowej GSM, a wkrótce będą krążyć w sieciach systemu UMTS. Wymaga się przy tym, by przekazywane wiadomości odpowiednio zabezpieczyć przed podsłuchem i manipulacjami ze strony różnej maści szpiegów przemysłowych, hackerów i terrorystów, a nawet przed agencjami rządowymi niektórych państw o ciągotach despotycznych, i aby je jak najszybciej przesłać niezależnie od lokalizacji nadawcy i adresata, którzy mogą rezy­dować w dowolnych miejscach na kuli ziem­skiej. Jeśli chodzi o szybkość przesyłania, to obecnie ten parametr cyfrowych systemów transmisji danych zadowala ogromną więk­szość użytkowników sieci komputerowych i sys­temów telekomunikacyjnych. Znacznie gorzej przedstawia się problem ochrony informacji przed kradzieżą lub celową jej defor­macją w złych zamiarach, chociaż powszechnie wia­domo, że najskuteczniejszym środkiem takiego zabezpieczenia są mocne systemy kryptogra­ficzne. Okazało się bowiem, że realiza­cja odpornych na złamanie systemów kryptograficz­nych to nie tylko trudne do rozwiąza­nia zadanie techniczne, ale też skomplikowany problem polityczny i prawny, posiadający implikacje etyczne. Prowadzone w ścisłej tajemnicy przez agencje rządowe państw gospo­darczo rozwiniętych kosztowne badania nad bezpiecznymi algorytmami kryptograficz­nymi dla zastosowań militarnych i dyplomatycznych mają w re­zultacie doprowadzić do niezawodnego zabezpieczenia własnej korespondencji i do opraco­wania metod łamania podobnych zabezpieczeń, stosowanych przez inne państwa. Tymczasem rozwój systemów kryptograficznych na użytek osób i instytucji cywilnych można obserwo­wać jawnie na bieżąco, studiując ogólnie dostępne materiały konferencyjne i inne publikacje książkowe czy periodyczne. W ten sposób bardzo dobrze wyposażeni kryptolodzy, pracujący "za zamkniętymi drzwiami", których jest znacznie więcej niż ich uboższych kolegów "po fa­chu", działających jawnie, mają bardzo ułatwione wywiązywanie się z wielu powierzonych im obowiązków. Mogą np. wpływać na kierunki publicznych badań kryptologicznych, zleca­jąc wykonawcom zewnętrznym i finansując tylko takie, zwykle dobrze im znane zagadnie­nia, które nie utrudnią ich pracy. Podobnie mogą eliminować, poprzez własny udział w ko­mitetach naukowych specjalistycznych konferencji międzynarodowych i w redakcjach czaso­pism lub przez wpływy w tych gremiach osób z nimi zaprzyjaźnio­nych, tematykę zagrażającą ich dominacji w dziedzinie łamania szyfrów. Co więcej, ich praco­dawcy w USA i (nie tylko tam) potrafili przekonać wielu polityków do tezy Orwella, we­dług której rząd ma prawo do podglądania cudzej korespondencji i do podsłuchiwania rozmów telefonicznych, wskutek czego osoba prywatna nie jest w stanie ochronić wła­snych tajemnic przed wyspecjalizowa­nymi agendami państwowymi. Tymczasem szary obywatel każdego państwa pragnąłby mieć gwarancję ochrony swojej korespondencji, zwłaszcza tam, gdzie nie przestrzega się praw człowieka. Istnieje niewielkie prawdopodo­bieństwo, że nieliczni przeciętni obywatele mogą skorzystać z tych gwarancji do bezkar­nego uprawiania działalności sprzecznej z prawem i tym argumentem służby specjalne w najbardziej demokratycznych krajach świata starają się przekonać polityków do idei bu­dowy państwa policyjnego. Na szczęście, na razie taka moty­wacja nie trafia do przekona­nia większości rozsądnych polityków, bowiem prawne restrykcje w zakresie stosowania kryptografii przede wszystkim zmobilizują prawdziwych przestępców do rzetelnej ochrony ich tajemnic za wszelką cenę, bez oglądania się na przepisy prawne, a tylko prze­strzegający prawa ogół obywateli będzie skutecznie inwigilowany. Wielu dzienni­karzy wyraża jednak opinię, że ogromny postęp technologiczny prędzej czy później doprowa­dzi do praktycznej realizacji wizji Orwella [3]. Wyjątkowo pesymistyczny scenariusz przewi­dują autorzy wydanej niedawno w Niemczech książki [14], pisząc na zakończenie wstępu: Dzięki tej książce zamierzamy także ożywić rozgorzałą 15 lat temu dyskusję o ochronie i bez­pieczeństwie danych. Dzisiaj ochrona ta jest nam potrzebna bardziej niż kiedykolwiek. "Pań­stwo Orwella" zbliża się cichutko, na paluszkach, a dalej najprawdopodobniej będzie szło po trupach. Musimy więc stawić mu czoło. Tych i innych jeszcze ostrzeżeń [2], [11], [19], [28], [29] być może przesadnych, mimo wszystko nie należy lekceważyć. Powinno się zatem utrudniać realizację grożącej nam totalnej inwigilacji przez opracowywanie i publikowanie koncepcji rozwią­zań takich systemów kryptograficznych, które wydają się trudne do zła­mania w rozsądnym czasie. Totalna inwigilacja mogłaby być nadzwyczaj efektywna w walce z przestępczością, gdyby populacja pracowników służb specjalnych składała się jedy­nie z osobników o niepo­szlakowanym charakterze, co praktycznie, a nawet teore­tycznie jest niemożliwe, nawet przy stosowaniu jak najbardziej restrykcyjnych metod se­lekcji tej populacji. Fakt ten potwierdza wielu dziennikarzy i kryptologów [3], [10], [14], [19], [25], [26], [29]. Widać więc, że kryp­tologia nie jest nauką politycznie obojętną, zatem jest pod­dawana różnego rodzaju manipula­cjom.

W referacie, który oparto przede wszystkim na ogólnie dostępnych publikacjach inter­netowych, opisano niektóre działania o charakterze politycznym i prawnym, mające na celu niedopusz­czenie mocnych systemów kryptograficznych do powszechnego stosowania przez przecięt­nych obywateli, a także przypadki dostarczania na rynek bezwartościowych produktów kryptograficznych przez renomowane firmy. Autora referatu zaskoczyła nie­zbyt chlubna rola, jaką w cytowanych publikacjach przypisuje się Narodowej Agencji Bez­pieczeństwa USA. Chociaż instytucja ta jest tylko konstytucyjnym orga­nem rządu Stanów Zjednoczonych, ma ona jednak ogromny wpływ na rozwój kryptologii światowej. Dlatego też w dalszej części referatu podano skrótowo jej charakterystykę, przykłady projektów, inspirowanych przez tę agencję oraz reakcje specjalistów i organizacji międzynarodowych na próby wyeliminowania zastosowań moc­nych metod kryptograficznych dla ochrony poufności ko­respondencji osób prywatnych. Efektem dokonanego przeglądu cytowanej literatury są wnioski autora, zamieszczone na końcu referatu.

2. NSA

NSA - National Security Agency, czyli Agencja Bezpieczeństwa Stanów Zjednoczo­nych, zwana jest ironicznie "No Such Agency", ponieważ rząd USA do niedawna zaprze­czał o jej istnieniu, mimo że założono ją z inicjatywy prezydenta Trumana już w roku 1949. Mówi się też, że NSA to skrót zdania "Never Say Anything", gdyż przedstawiciele tej instytucji w rela­cjach z dziennikarzami na prawie każde pytanie odpowiadają "no com­ment". Warto wspo­mnieć, że kryptolog nowozelandzki Peter Gutmann, przypisuje jej motto: In God we trust. All others we monitor [10], gdyż podstawowym zadaniem tej agencji jest podsłuch światowego systemu telekomunikacyjnego i rozszyfrowywanie informacji istotnych z punktu widzenia bezpieczeństwa USA.

NSA jest instytucją, zatrudniającą najwięcej matematyków, informatyków i kryptolo­gów w skali światowej [22]. Dlatego jest prawie pewne, że prowadzone tam badania wy­przedzają o 20 - 30 lat aktualnie opublikowany stan wiedzy kryptologicznej. Poza tym NSA jest najwięk­szym na świecie posiadaczem najnowocześniejszych superkomputerów, zwłaszcza takich, których ze względów strategicznych nie sprzedaje się na razie w wolnym handlu. Dlatego też przypuszcza się, że instytucja ta potrafi złamać wszystkie obecnie za­lecane do powszech­nego stosowania systemy kryptograficzne.

NSA sama o sobie mówi niewiele [21]. Ogólnie rzecz biorąc, nie cieszy się najlepszą opi­nią wśród dziennikarzy, ale mimo to przez kryptologów oceniana jest w sposób raczej oględny i ze zrozumieniem [10], [25]. Przykładem wyjątkowo skutecznej akcji NSA może być tajne porozumienie tej instytucji ze szwajcarską firmą kryptograficzną Crypto AG [19], która cieszyła się dobrą opinią i zaufaniem klientów, manifestując swoją neutralność. Firma ta, po drugiej wojnie światowej, zaczęła dostarczać wielu państwom swoje produkty kryptogra­ficzne, uważane na szczytowe osiągnięcia techniki. Użytkownicy tych wyrobów nie mieli jednak pojęcia, że zakupione przez nich urządzenia, w trakcie procedury szyfro­wania, umieszczają tajny klucz w reprezentującym tekst jawny kryptogramie. Znając me­todę ukry­wania w kryptogramie tajnego klucza, NSA potrafiła bez trudu rozszyfrować każdą wiado­mość. W ten sposób przez ostatnie pół wieku Stany Zjednoczone przechwy­tywały i rutynowo deszyfrowały najtajniejsze dokumenty, przesyłane dowolnym kanałem transmisyjnym ze sto­lic ponad 130 krajów świata do odpowiednich ambasad, misji han­dlowych i wojskowych, a nawet do rezydentów wywiadów [7], [19].

W roku 1995 NSA zainteresowała się oprogramowaniem dla kryptograficznej ochrony poczty elektronicznej, opracowywanym przez Microsoft, Netscape i Lotus. Należy podzi­wiać siłę argumentów, jakich użyła NSA, uzyskując od tych firm zgodę na zredukowanie poziomu gwarantowanej poufności w ich produktach, przeznaczonych na eksport. Tak np. program Lotus Notes, zapewniający ochronę poczty elektronicznej na terenie Stanów Zjednoczonych przy pomocy szyfru symetrycznego z kluczem 64 bitowym, poza grani­cami tego kraju praco­wał w taki sposób, że w trakcie procedury szyfrowania 24 bity taj­nego klucza, podawanego przez użytkownika, były umieszczane w specjalnym polu kryp­togramu o przewrotnej nazwie "workfactor reduction field". Pole to szyfrowano za po­mocą specjalnego systemu z kluczem publicznym, którego klucz prywatny, znany tylko NSA, pozwalał na natychmiastowe jego odczytanie. W ten sposób skracano długość klucza do 40 bitów, dzięki czemu, w razie po­trzeby, NSA mogła w ciągu kilku sekund odszyfro­wać każdy przechwycony kryptogram. Tę ułomność programu Lotus Notes odkryto w roku 1997 w Szwecji. Wcześniej w Szwecji Lotus Notes stosowali codziennie do poufnej korespondencji członkowie parlamentu, personel urzędów podatkowych i zwykli obywa­tele, łącznie ponad pół miliona Szwedów. Podobnie jak program Lotus Notes zdegrado­wano wszystkie eksportowe wersje przeglądarek interneto­wych, opracowanych przez Microsoft i Netscape. Programy te do ochrony poczty elektro­nicznej używają systemu kryptograficznego z kluczem 128 bitowym, ale ich wersje ekspor­towe dołączają do zaszy­frowanego listu 88 bitów tajnego klucza nadawcy [7].

Instytucji, wykonujących podobne zadania, ale pracujących dla różnych zleceniodaw­ców, w samych Stanach Zjednoczonych jest kilka. W skali globalnej, każde państwo ma swoje narodowe odpowiedniki NSA, które lokalnie blokują, często dość skutecznie, dostęp przecięt­nych obywateli do mocnych systemów kryptograficznych.

3. Projekt AES

Od pewnego czasu algorytm DES nie satysfakcjonował wielu użytkowników, którzy uwa­żali, że z powodu małej długości klucza ten system nie zapewnia dostatecznej poufno­ści in­formacji. Wobec tego rozpoczęto prace badawcze nad opracowaniem następcy normy DES. Te działania zainicjował w USA (przypuszczalnie z inspiracji NSA) NIST, w porozu­mieniu z przemysłem i naukowym środowiskiem kryptograficznym, uruchamia­jąc 2 stycznia 1997 program badawczy AES (skrót nazwy Advanced Encryption Standard - zaawansowana norma szyfrowania) [1]. Celem tego programu jest opracowanie federalnej normy przetwa­rzania informacji FIPS określającej algorytmy szyfrowania poufnej informa­cji rządowej dla zastosowań w XXI wieku. Przewiduje się, że AES będzie używać rząd amerykański i sektor prywatny i że ten jawny algorytm, dostępny bezpłatnie na ca­łym świecie, stanie się standardem międzynarodowym. Przyjęto też, że AES będzie reali­zował symetryczny szyfr blokowy z taj­nym kluczem o długości 128, 192 lub 256 bitów, przy minimalnej długości bloku tekstu jawnego równej 128 bitów. NIST po­prosił środowi­sko kryptologiczne o przysyłanie pro­pozycji algorytmu do 12 września 1997 i otrzymał wiele zgłoszeń od uczonych z Europy, Ameryki Północnej, Australii i Japonii.

20 września 1998, na pierwszej konferencji naukowej AES1, poświęconej wyborze kan­dy­datów na następcę algorytmu DES, NIST ogłosił listę 15 algorytmów, które wybrał spo­śród wielu propozycji. W tej grupie znalazł się również algorytm o nazwie LOKI, przy­słany z Au­stralii, którego współtwórcą jest pracujący tam Polak, prof. Józef Pieprzyk. Na­stępnie NIST poprosił o uwagi na temat wybranych algorytmów. W marcu 1999, na dru­giej konferencji AES2 oceniano 15 algorytmów - półfinalistów. Tę publiczną dyskusję za­mknięto 15 kwietnia 1999, a na podstawie otrzymanych od uczonych analiz i komentarzy NIST zakwalifikował do dalszych rozważań 5 finalistów. Są to algorytmy o nazwach MARS, RC6, Rijndael, Serpent i Twofish. Wyselekcjonowane algorytmy były poddawane gruntownym badaniom, dotyczącym m. in. kryptoanalizy i szybkości szyfrowania przy realizacjach sprzętowych i programowych. W badaniach, do których zachęcał NIST, wy­znaczając termin nadsyłania uwag i komentarzy do 15 maja 2000, mógł uczestniczyć teore­tycznie każdy specjalista. Przed ostatecznym za­mknięciem dyskusji na temat kandydatów na AES, NIST zorganizował 13 - 14 kwietnia 2000 r. w Nowym Jorku trzecią konferencję AES3, w której uczestniczyli twórcy 5 finalistów i komentowali zarzuty, zawarte w nade­słanych analizach tych algorytmów. Wybierając 15 maja 2000 na datę zamknięcia publicz­nej dyskusji, NIST pragnął wziąć pod uwagę całą do­stępną informacją krytyczno-anali­tyczną na temat zakwalifikowanych do finału 5 algorytmów oraz zaproponować jako normę FIPS AES jeden najlepszy algorytm i ewentualnie algorytm zapasowy. Opubliko­wany projekt normy poddany zostanie publicznej ocenie, korekcie, i ostatecznemu za­twierdzeniu, przewidzianemu na lato 2001 roku.

Charakteryzując ogólnie kandydatów na AES można powiedzieć, że każdy z tych 5 algo­rytmów, podobnie jak DES i IDEA, spełnia kryterium lawiny: zmiana wartości jed­nego bitu klucza lub jednego bitu tekstu jawnego powoduje średnio zmianę wartości po­łowy bitów kryptogramu. Poza tym, niezależnie od konfiguracji bitów klucza i bitów tek­stu jawnego, wygenerowane kryptogramy składają się średnio z takiej samej liczby zer i jedynek. Wszyst­kie algorytmy generują 128-bitowy kryptogram z tekstu jawnego o tej sa­mej długości przy zmiennej długości klucza maksymalnie do 256 bitów i każdy nadaje się zarówno do realizacji programowej, jak i sprzętowej w postaci układów VLSI. Zdaniem ich twórców, wszystkie algorytmy są co najmniej tak samo bezpieczne, jak potrójny DES, i działają nie wolniej od standardowego DES.

Ostatecznie, 2 października 2000 r. NIST ogłosił, że następcą DES'a, czyli AES'em zo­stał algorytm Rijndael [1], który opracowało dwóch belgijskich kryptologów z Leuven, Joan Daemen i Vincent Rijmen (fragmenty ich nazwisk oraz pierwsza litera nazwy miasta, w którym pracują tworzą nazwę algorytmu). Jest to dość prosty algorytm, ściśle determini­styczny, w którym w procesie szyfrowania i deszyfrowania stosuje się głównie operacje obliczania odwrotności multyplikatywnych w ciele GF(256) oraz pewne operacje na wie­lomianach nad tym ciałem. Obecnie NIST pracuje nad ostatecznym wprowadzeniem w życie normy AES.

Jest oczywiste, że realizacja projektu AES, w dużym stopniu ułatwi wyko­nywanie za­dań agencji NSA. Tymczasem tylko jeden z reprezentantów międzynaro­dowego środowi­ska kryptologicznego, biorących udział w dyskusji o kandydatach na AES, miał od­wagę skrytykować pomysł forsowania jednego systemu kryptograficznego do za­stosowań glo­balnych. Był to kryptolog amerykański, Don B. Johnson [12], [13], przedsta­wiciel firmy Certicom, specjalizującej się w kryptograficznych zastosowaniach krzywych eliptycznych. Jego krytyka uwzględniała tylko stronę techniczną tego zagadnienia. Przy okazji wskazał on na pewne słabości wytypowanych do finału algorytmów.

4. System ECHELON

System Echelon, zaprojektowany i koordynowany przez NSA, jest zautomatyzowa­nym sys­temem komputerowym [7], [28], [29], do masowego przechwytywania wszelkiego rodzaju sygnałów, przesyłanych globalnym systemem sieci telekomunikacyjnych i do sor­towania za­wartych w nich wiadomości według dowolnego klucza (słowa kluczowe, liczby, zdania). Dotyczy to w szczególności poczty elektronicznej, faksów, rozmów telefonicz­nych i telegra­mów. System jest wyjątkowo szybki i efektywny: potrafi przechwycić i prze­analizować do dwóch milionów rozmów telefonicznych na godzinę. W przeciwieństwie do wielu systemów szpiegowskich, realizowanych w okresie zimnej wojny, system ECHELON jest przeznaczony przede wszystkim do monitorowania obiektów cywilnych: rządów, organizacji przemysło­wych i politycznych oraz praktycznie dowolnej osoby w każdym kraju. System realizuje swoje zadania dzięki zainstalowaniu i uruchomieniu świa­towej sieci tajnych urządzeń podsłu­chowych, które podłączono do istotnych kompo­nen­tów międzynarodowej sieci telekomunika­cyjnej. Urządzenia te monitorują wszystko: sate­lity telekomunikacyjne, systemy radiokomu­nikacyjne oraz systemy sieci telekomunika­cyjnych powszechnego użytku, nawet kable pod­morskie. Cała ta aparatura monitorująca jest połączona ze sobą i tworzy sieć ECHELON, po­zwalającą Stanom Zjed­noczonym i ich sojusznikom przechwytywać dużą część światowej komunikacji. System pracuje od co najmniej 20 lat, a szeroka opinia publiczna i wielu czoło­wych polityków państw - użyt­kowników systemu (Stany Zjednoczone, Kanada, Wielka Bryta­nia, Australia, Nowa Ze­landia) wie o tym dopiero od niedawna. Stwierdzono, że systemu Echelon uży­wano m. in. do inwigilowania takich organizacji jak Amnesty International i Green Pe­ace. Te oraz inne fakty zaniepokoiły kraje Unii Europejskiej, nie wyłączając Wiel­kiej Bry­tanii, które są przekonane, że ECHELON jest używany przez Stany Zjednoczone jako narzędzie szpie­gostwa przemysłowego na szkodę krajów UE. W tej sprawie zespół eksper­tów Parlamentu Europejskiego wyraził ostatnio swoją opinię w stosownym raporcie [7], udo­stępnionym w internecie 7 maja 1999. Jako ciekawostkę przytoczyć trzeba by w tym miejscu doniesie­nie prasowe [5], informujące, że nawet polskie służby specjalne, naru­szając obowią­zujące prawo, instalują system BEETHOVEN, służący do totalnej inwigilacji kra­jowych abo­nen­tów telefonii komórkowej, oparty na koncepcji podobnej do systemu ECHELON.

5. Systemy PGP i Cryptlib

O powstaniu pakietu oprogramowania PGP (Pretty Good Privacy, [23]) zadecydowała głównie chęć dostarczenia indywidualnemu użytkownikowi internetu niezawodnego narzę­dzia do szyfrowania i uwierzytelniania komunikatów poczty elektronicznej. Chociaż ten za­miar urzeczywistniano w USA, w trakcie jego realizacji napotykano na wiele prze­szkód, wy­nikających z drakońskiej interpretacji regulacji prawnych, dotyczących krypto­grafii, przez instytucje rządowe Stanów Zjednoczonych. Np. przepisy ITAR ustalają za­sady eksportu z USA amunicji i sprzętu wojskowego, czyli części zamiennych do samolo­tów, broni chemicz­nej i biologicznej oraz również (sic!) oprogramowania kryptograficz­nego. Za naruszenie tych przepisów w Stanach Zjednoczonych grozi kara grzywny do mi­liona dolarów i do 10 lat wię­zienia, natomiast poza granicami USA przepisów ITAR prak­tycznie się nie przestrzega. Ale nawet w USA w niektórych przypadkach na sprawy kryp­tografii spogląda się tendencyjnie. Przykładem może tu być fakt, który miał miejsce w cza­sie gdy Irak był tajnym sojusznikiem Stanów Zjednoczonych w działaniach przeciwko Ira­nowi. Do USA z Iraku przyjeżdżali wtedy studenci i młodzi pracownicy naukowi na róż­nego rodzaju staże. Opracowali oni, na podstawie dostępnej w USA literatury kryptolo­gicznej (takiej samej, z której korzystał twórca PGP Phillip Zimmermann) system krypto­graficzny z kluczem publicznym dla armii irackiej, która w tym czasie użyła przeciwko Kurdom gazów trujących (o czym rząd Stanów Zjedno­czonych nie puścił pary z ust).

W roku 1991 Senat Amerykański opracował projekt ustawy nr 266, która miała być uni­wersalną ustawą antyterrorystyczną. Ustawa ta miała stanowić, że każdy system szyfru­jący musi posiadać tzw. "tylne wejście", umożliwiające rządowi USA łatwe uzyskanie tek­stu jaw­nego z dowolnego kryptogramu (rozmowa telefoniczna, tekst, dane). Zmobilizo­wało to Phi­lipa R. Zimmermanna, który postanowił opracować pierwszą wersję systemu PGP, nie posia­dającą zalecanego "tylnego wejścia", zanim projekt nr 266 stanie się ustawą (na szczęście projekt ustawą do tej pory nie został).

Narodziny PGP mają ścisły związek z historią kryptografii ostatnich lat. Kluczowym mo­mentem był rok 1976, kiedy to kryptograf amerykański Whitfield Diffie wraz z inżynie­rem elektrykiem Martinem Hellmanem odkryli sposób szyfrowania, nazwany kryptografią z klu­czem publicznym. Rok później, Ron Rivest, Adi Shamir i Len Adleman opracowali bardziej ogólny kryptosystem z kluczem publicznym, który nazwano syste­mem RSA. Tymczasem NSA powiadomiła twórców systemu RSA, że nie powinni swojego odkrycia publikować. Ale Adi Shamir, jako obywatel Izraela, pracujący w renomowanym Instytucie Weitzmanna, nie musiał ulegać presji NSA. Otrzymane ostrzeżenie zignorowali też Rivest i Adleman, publi­kując swój system najpierw w periodyku popularno-naukowym Scientific American (luty 1977), a następnie w fachowym czasopiśmie informatycznym Communica­tions of ACM (luty 1978). W rezultacie takiej postawy prawa patentowe do systemu RSA przestały obowiązywać poza granicami Stanów Zjednoczonych. W USA system RSA zo­stał przez jego twórców, po­pędzanych przez NSA, opatentowany, gdyż prawo amerykań­skie dopuszcza możliwość pa­tentowania pomysłu w terminie do roku od jego opubliko­wania. Warto wspomnieć, że system RSA jest algorytmem, a algorytmy w żadnym kraju, z wyjątkiem USA, nie podlegają opa­tentowaniu. W ETH w Zurichu James Massey i Xueiji Lai opracowali symetryczny system szyfrowania IDEA (Internatio­nal Data Encryption Algorithm), który zyskał dobrą opinię kryptologów i w zamierzeniu autorów powinien zastąpić leciwy i coraz częściej krytykowany system DES. Algorytm ten, opa­tentowany w USA w maju 1993, oraz system RSA stanowią fundament systemu PGP.

Wersja pakietu oprogramowania do ochrony poczty elektronicznej o nazwie PGP1.0 była kombinacją systemu RSA z symetrycznym szyfrem o nazwie Bass-O-Matic, opraco­wanym przez autora PGP, oraz algorytmu MD4, stosowanego przy podpisach cyfrowych. W wersjach PGP2.0 i następnych szyfr Bass-O-Matic został uznany za słaby i zastąpiony algorytmem IDEA, a algorytm MD4 swoim poprawionym wariantem w postaci algorytmu MD5. Wpro­wadzono też sposób kodowania szyfrowanych komunikatów metodą radix-64 i zastosowano program do kompresji komunikatów ZIP. Pierwszą wersję dokumentacji systemu PGP wraz z kodem źródłowym autor ofiarował kilku swoim kolegom, aby zdą­żyć udostępnić ją jeszcze przed wprowadzeniem w życie bezwzględnego projektu ustawy senatu USA nr 266 tym oso­bom, którym zależy na poufności korespondencji. Następnie, w do końca niejasnych okolicz­nościach, pakiet PGP poprzez internet wydostał się na cały świat i zaczęto ten system po­wszechnie stosować. Tymczasem autorzy systemu RSA zaata­kowali P. R. Zimmermanna za to, że łamie ich prawa patentowe, chociaż w dokumentacji do PGP napisał on, że system RSA jest opatentowany, a dokumentacja ma jedynie charak­ter edukacyjny. Po wielu utarczkach, stoczonych przez Zimmermanna z różnymi adwersa­rzami, a zwłaszcza z rządem USA, firma amerykańska RSA Data Security Inc. wyraziła zgodę na używanie systemu RSA w pakiecie PGP, a firma szwajcarska Ascom-Tech AG pozwoliła na bezpłatne korzystanie z systemu IDEA użytkownikom niekomercyjnym. W efekcie tych działań system PGP można legalnie używać na całym świecie - bezpłatnie użytkownikom prywatnym. Aktualnie dopuszczono do eksploatacji dwie wersje systemu PGP: jedną dla obywateli USA, drugą dla reszty świata. Obie wersje systemu PGP są do­stępne w internecie za darmo na tysiącach serwerów, a Phil Zimmermann, po wielu drama­tycznych przejściach, uważany jest za męczennika i bohatera w walce o wolność internetu. Warto tu nadmienić, że w pracach nad PGP, oprócz głównego twórcy, brało też udział wielu programistów - wolontariuszy z całego świata.

W dużo bardziej komfortowych warunkach, bez konieczności brania pod uwagę re­stryk­cyjnych przepisów prawnych, powstawało w latach 1992 - 1999 oprogramowanie o nazwie Cryptlib - Security Toolkit [10]. Twórcą tego systemu jest kryptolog nowoze­landzki, Peter Gutmann, który we wstępnych etapach tworzenia systemu PGP współpra­cował z P. Zimmer­mannem. Aktualnie dostępna w internecie wersja 3.0 beta była opraco­wana w roku 1999, i jest dobrze zdokumentowaną biblioteką narzędzi programistycznych, pozwalającą nawet przeciętnie zaawansowanym programistom na stosunkowo łatwe wy­posażenie używanego przez nich oprogramowania w usługi zapewniania poufności kore­spondencji i jej uwierzytel­niania. Cryptlib można zainstalować w komputerach, pracują­cych praktycznie pod kontrolą każdego systemu operacyjnego (Windows 3.x, Wi­nd­o­ws'95/98, Windows NT, DOS, DOS32, BeOS, MVS, OS2, VM/CMS, Unix), z zastosowa­niem kodu źródłowego lub posługując się wersją prekompilowaną. Warto odnotować, że chociaż prace nad oprogramowaniem Cryptlib zakończono w grudniu 1999, a finalistów AES znano już w kwietniu tego roku, nie uwzględ­niono tych algorytmów w najnowszej wersji systemu Cryptlib. Jądro oprogramowania Cryptlib zawiera programową relizację

• 10 popularnych symetrycznych blokowych (64-bitowych) algorytmów kryptograficz­nych, stosujących odpowiednio klucze o długości od 56 do 1024 bitów (Blowfish, CAST-128, DES, potrójny DES, IDEA, RC2, RC5, Safer, Safer-SK, Ski­pjack) i jeden szyfr strumieniowy RC4, wyjątkowo używający klucza o długości 2048 bitów.

• 5 algorytmów haszujących do wytwarzania 128 i 160-bitowych skrótów wysyła­nego ko­munikatu (MD2, MD4, MD5, MDC-2, RIPEMD-160, SHA),

• 3 algorytmy HMAC do generowania kodu uwierzytelniającegoMAC - MD5, SHA, RIPEMD-160.

• 4 algorytmy szyfrowania z kluczem publicznym o długości 4096 bitów (Diffie-Hell­man, DSA, ElGamal, RSA).

Pobieżna analiza efektów pracy P. Zimmermanna i P. Gutmanna skłania do konkluzji, że są to pierwsze uczciwe próby wyposażenia użytkowników internetu w profesjonalne i efek­tywne narzędzia kryptograficzne do ochrony poufności i wiarygodności koresponden­cji. Trzeba też stwierdzić, że chociaż system Cryptlib zdecydowanie przewyż­sza system PGP pod względem uniwersalności i jakości oferowanych metod ochrony da­nych, to oby­dwa systemy mają nieporównanie większą wartość od amerykańskich ekspor­towych pro­duktów kryptogra­ficznych, które praktycznie zapewniają poufność "z kluczem 8 cento­wym" [10].

6. GILC

Ruch GILC - Global Internet Liberty Campaign, czyli światowa kampania na rzecz wol­ności internetu, powstał w czerwcu 1996 aby chronić swobody obywatelskie i prawa czło­wieka w internecie [8]. GILC posiada swoje domeny internetowe, publikuje elektro­niczny dziennik i konferuje z rządami różnych państw. W tym ruchu uczestniczy ponad 50 grup te­matycznych, działających w około 20 krajach na różnych kontynentach i zajmu­jących się m. in. prawami człowieka, prawami konsumenta, wolnością głoszenia różnych poglądów. GILC promuje całkowitą eliminację restrykcji, nakładanych na kryptografię. Członkowie tego ruchu wymieniają poglądy z takimi organizacjami jak OECD czy Unia Europejska oraz z innymi organizacjami międzynarodowymi. Prowadzą oni też szkolenie dla dziennikarzy, działaczy politycznych i obrońców praw człowieka w zakresie stosowa­nia metod kryptograficznych.

W roku 1996 GILC opublikował rezolucję, popierającą wolność stosowania kryptogra­fii. W rezolucji stwierdzono, że poufność korespondencji podlega ochronie prawnej na podsta­wie m. in. art. 12 Światowej Deklaracji Praw Człowieka oraz praw narodowych. GILC doko­nał oceny stosunku różnych państw do kryptografii, wysyłając odpowiednie ankiety do ambasad, misji handlowych i misji ONZ oraz do biur informacyjnych w około 230 pań­stwach. W wy­niku przeprowadzonych badań państwa podzielono na 3 kategorie, czer­woną, żółtą i zieloną, w zależności od stosunku tych państw do swobodnego korzystania z kryptografii. Można się domyślić, że kolorem zielonym oznaczono państwa, zezwalające na legalne stosowanie kryptografii bez żadnych ograniczeń, zgodnie ze wskazówkami OECD (w roku 1997 OECD i Komisja Europejska wyraziła mocne poparcie dla swobod­nego rozwoju produktów i usług kryptograficznych). Państwa, które wprowadzają pewne lokalne regulacje co do stosowania i importu urządzeń kryptograficznych lub chcą ściśle przestrzegać porozumienia WA ozna­czono kolorem żółtym. Kolor czerwony przydzie­lono krajom, kontrolującym stosowanie kryptografii na swoim terenie. Wiele państw nie udało się jednoznacznie zaliczyć do jednej z tych trzech kategorii, więc oznaczono je dwoma kolorami. W roku 1999 kategorię czerwoną otrzymały Białoruś, Chiny, Kazach­stan, Mongolia, Pakistan, Rosja, Singapur, Turcja, Wene­zuela i Wietnam, a żółto-czerwoną Indie, Izrael i Arabia Saudyjska. Najwięcej jest państw w kategorii zielonej, do której na­leżą m. in. Kanada, Chile, Estonia i Niemcy. Polska znalazła się w kategorii zielono-żółtej wraz z Australią, Czechami, Belgią, Francją. W kategorii koloru żółtego znalazły się Stany Zjednoczone, Wielka Brytania, Hiszpania, Słowacja, Malezja i Hong-Kong.

W czerwcu 2000 r. GILC ogłosił listę należących do ruchu 54 organizacji członkow­skich z całego świata [9], najwięcej z USA i Europy. Na liście znajduje się 16 członków - założycieli i tylko 2 zwykłych członków z Europy Środkowej: Bułgaria i Węgry.

7. Wnioski

Timeo Danaos et dona ferentes chciałoby się powiedzieć za starożytnymi, mając na my­śli bezpłatną ofertę systemów Rijndael, PGP i Cryptlib dla szerokich rzesz niekomercyj­nych użytkowników internetu. Taka reakcja może obrażać twórców tych systemów, któ­rzy rzeczy­wiście wykazali się dużą determinacją, bezinteresownością i poświęceniem. Pewne okolicz­ności nakazują jednak ostrożność i wzbudzają nieufność. Np. PGP opraco­wano dla dwóch kategorii użytkowników: dla obywateli USA i dla reszty świata. Dlatego też przy instalacji tego systemu nie należałoby korzystać z wersji prekompilowanej i trzeba by rzetelnie spraw­dzić kod źródłowy przed kompilacją. Drugi aspekt to słabość systemu RSA, który jest inte­gralną częścią PGP i Cryptlib, przy czym jest to jedyny system kryp­tografii z kluczem pu­blicznym, przy pomocy którego program PGP rozprowadza tajne klucze sesji. Biorąc pod uwagę ograniczenia, nakładane na długość klucza, można przyjąć, że NSA potrafi złamać system RSA. Przy tym założeniu system PGP staje się dla NSA bardziej przyjazny, niż zma­nipulowana wersja eksportowa programu Lotus Notes. Że nie jest to założenie całkowicie bezsensowne, świadczą następujące fakty:

• Siła RSA polega na trudności znajdywania czynników dużej liczby całkowitej, która jest iloczynem dwóch liczb pierwszych. Ostatnio poczyniono ogromny postęp w pra­cach nad rozkładem dużych liczb całkowitych na iloczyn potęg liczb pierw­szych, a najefektywniejsze algorytmy rozwiązujące ten problem nie są publiko­wane.

• Cytowane w dostępnych publikacjach kryptologicznych uwagi na temat generowa­nia bezpiecznych kluczy dla systemu RSA są idealną wskazówką dla kryptoanali­tyka.

• Przeciętny użytkownik systemu RSA nie potrafi wygenerować dużych przypadko­wych liczb pierwszych i w tym celu używa reklamowanych i zalecanych przez róż­nych doradców, dobrze znanych kryptoanalitykom algorytmów i programów, posia­dających znaczącą składową deterministyczną.

• W przyszłości prawdziwym "pogromcą" algorytmu RSA może być znany od 1994 roku algorytm Shora [4], [12], [20], przewidziany do realizacji na komputerach kwantowych, dający sobie skutecznie radę z problemem wyznaczania rozkładu ka­no­nicznego dużych liczb całkowitych. Na razie jednak koncepcja zastosowania praw mechaniki kwantowej do budowy komputerów pozostaje w sferze teorii, chociaż skąpe doniesienia na ten temat dotyczą też eksperymentów aplikacyjnych.

Ogólnie rzecz ujmując należy stwierdzić, że głównym źródłem słabości nowoczesnych sys­temów kryptograficznych, zalecanych do stosowania osobom prywatnym i instytucjom go­spodarczym, są protokóły uzgadniania klucza dla algorytmów symetrycznych, oparte na algo­rytmach kryptografii z kluczem publicznym. Najczęściej są to wielokrotnie już cyto­wany al­gorytm RSA oraz algorytmy Diffiego-Hellmana i ElGamala, których odporność na złamanie wynika z trudności znajdywania logarytmów dyskretnych w ciele skończonym. Wszystkie te algorytmy cechuje funkcjonalnie jednoznaczna zależność klucza prywatnego od klucza pu­blicznego, chociaż zadanie określenia klucza prywatnego przy znanym kluczu publicznym jest uważane za trudne. Jednak matematyka jeszcze nie powiedziała ostatniego słowa na ten temat i nie należy wykluczać wynalezienia skutecznych metod łamania wszystkich stosowa­nych obecnie systemów z kluczem publicznym. Jeśli chodzi o same algorytmy nowoczesnych systemów kryptograficznych, to buduje się je zwłaszcza przy pomocy takich narzędzi mate­matycznych, jak teoria liczb i algebra. Podczas realizacji tych algorytmów używa się działań w najbardziej regularnych strukturach algebraicznych, ta­kich jak grupy, całkowite pierścienie euklidesowe i ciała, gdzie do wykonywania operacji używa się w wysokim stopniu zoptyma­lizowanego sprzętu i oprogramowania. Ułatwia to oczywiście pracę kryptoanalitykom. Aby sytuację w tym względzie poprawić na korzyść kryptografów, w pracach [15], [16], [17], [18], [19] za­proponowano konstruowanie algo­rytmów kryptograficznych z zastosowaniem takich struktur algebraicznych, w których nie musi obowiązywać prawo łączności działań. Słuszność tego pomysłu potwierdziło nie­dawno dwóch wybitnych algebraików i kryptologów [6], którzy przy okazji ujawnili, że nie jest to koncepcja nowa, ponieważ z podobną propozycją wystąpił dwukrotnie nie­miecki ma­tematyk R. Schauffler, w latach 1948 i 1956. Mimo to można od­nieść wrażenie, że obecnie niewielu zajmujących się aplikacjami kryptografów zauważa bez­sporne zalety tego pomy­słu. Jednym z nich, i do tej pory jedynym, którego udało się zlokali­zować w internecie, jest T. Ritter [24].

Zgodnie z prawem Moora, co 18 miesięcy koszt mocy obliczeniowej procesorów maleje o połowę. Coraz tańsze komputery osobiste mogą więc skutecznie realizować wiele skom­pli­kowanych i odpornych na złamanie algorytmów kryptograficznych. Dopóki nie będzie no­wych odkryć w fizyce i matematyce, prawo Moora będzie faworyzować kryptografów, a nie kryptoanalityków, stwierdzają optymistycznie eksperci Parlamentu Europejskiego w zakoń­czeniu opracowanego przez nich pesymistycznego raportu [7].

Literatura

[1]	Advanced Encryption Standard, http://www.nist.gov/aes
[2]	P.Agee, Tracking Covert Actions into the Future, Covert Action Quartely, http://www.mediafilter.org/caq/CovOps.html
[3]	D. Banisar, Big Brother Goes High-Tech, Covert Action Quarterly, http://www.mediafilter.org/caq/CAQ56brother.html
[4]	Centre for Quantum Computation - Home Page http://www.qubit.org/
[5]	P. Ćwikliński, M. Wiśniowski, Milczeć?, NIE, nr 29, 20 lipca 2000
[6]	J. Dénes, A. D. Keedwell, Some applications of non-associative algebraic systems in cryptol­ogy, University of Surrey, Department of Mathematics \& Statistics, Technical Report 99/03
[7]	Development of Surveillance Technology and Risk of Abuse of Economic Information, raport Komisji Nauki i Technologii Parlamentu Europejskiego, 7 May 1999 (data udostęp­nienia w internecie) http://www.aci.net/kalliste/echelon/ic2000.htm
[8]	Global Internet Liberty Campaign, http://www.gilc.org
[9]	GILC, lista członków http://www.gilc.org/about/memebers.html+
[10]	Peter Gutmann, http://www.cs.auckland.ac.nz/~pgut001
[11]	Instytut CATO, http://www.cato.org
[12]	D. B. Johnson, Future Resiliency: A Possible New AES Evaluation Cryterion, Jan. 29, 1999, http://www.nist.gov/aes
[13]	D. B. Johnson, AES and Future Resiliency: More Thoughts and Questions, Mars 10, 2000, http://www.nist.gov/aes
[14]	E. R.Koch, J.Sperber, Die Datenmafia, Rowohlt Verlag GmbH, 1995 (wydanie polskie E. R. Koch, J. Sperber, INFOMAFIA - szpiegostwo komputerowe, handel informacją, tajne służby, URAEUS, Gdańsk, 1999
[15]	C. Kościelny, Spurious Galois Fields, Proc. IEEE Pacific RIM Conference on Com­munications, Computers and Signal Processing, Victoria, Canada 1989, pp. 416 - 418
[16]	C. Kościelny, Spurious Galois Fields, Applied Mathematics and Computer Science, vol. 5. no 1, 1995, Zielona Góra, pp. 169 - 188
[17]	C. Kościelny, A Method of Constructing Quasigroup-Based Stream-Ciphers, Applied Mathematics and Computer Science, vol. 6. no 1, 1996, Zielona Góra, pp. 109 - 121
[18]	C. Kościelny, NLPN Sequences over GF(q), Quasigroups and Related Systems, Institute of Mathematics, Academy of Sciences Moldova, no 4, 1997, pp. 89 - 102
[19]	C. Kościelny, G. L. Mullen, A Quasigroup-Based Public-Key Cryptosystem, Interna­tional Journal of Applied Mathematics and Computer Science, vol. 9, no 4, 1999, pp. 955 - 963, Zielona Góra
[20]	W. Madsen, Crypto AG: the NSA's Trojan Whore?, Covert Action Quartely, http://www.mediafilter.org/caq/cryptogate/
[21]	A. J. Menezes,P. C. van Oorschot, S. A. Vanstone, Handbook of Applied Cryptography, CRC Press 1997
[22]	NSA http://www.nsa.gov+, \verb+http://www.fas.org/irp/nsa/
[23]	NSA http://www.fas.org/irp/nsa/
[24]	PGP http://www.pgpi.org/
[25]	Terry Ritter, http://www.io.com/~ritter/
[26]	B. Schneier, Applied Cryptography - Protocols, Algorithms, and Source Code in C, Sec­ond Edition, John Wiley & Sons, 1996
[27]	J. Shearer, P. Gutmann, Government, Cryptography, and the Right To Privacy, Journal of Universal Computer Science, Vol. 2, No. 3, March 1996, p. 113
[28]	D. L. Tiggre, Echelon - Rights Violation in the Information Age, http://www.zolatimes.com/V3.25/echelon.html
[29]	B. Wallace, D.Rzeźnicki, Wielki Brat patrzy, PC World Komputer nr 6, 2000, str. 28 [30] N. Hager, Exposing the Global Surveillance System, Covert Action Quartely, http://caq.com/CAQ/CAQ59GlobalSnoop.html

UMTS - Universal Mobile Telecommunications System. Jest to trzecia generacja telefonii komórkowej, pozwalająca na szybki dostęp do internetu i wideofonię. Ten system będzie w Europie wprowadzony do użytkowania w 2002 roku i pozwoli na dokonywanie za pomocą telefonu wszelkich operacji z zakresu bankowości, handlu, ochrony osób i mienia.

Kryptolog - uczony, zajmujący się konstruowaniem i analizą systemów kryptograficznych.

Data Encryption Standard - amerykańska norma szyfrowania, zalecana dla sektora prywatnego, wprowadzona w roku 1977, stosowana powszechnie jako standard międzynarodowy.

National Institute of Standards and Technology.

Federal Information Processing Standard.

Kryptoanaliza - metody łamania szyfrów

International Traffic in Arms Regulations

It is the sense of Congress that providers of electronic communication service equipment shall insure that comunication system permit the Government to obtain the plain text contents of voice, data and other ommunications when appropriately authorized by law.

Inc. - spółka, posiadająca osobowość prawną.

Message Authentication Code.

Jest to przybliżony koszt złamania jednego kryptogramu.

Organization for Economic Cooperation and Development.

Prozumienie WA -Wassenaar Arrangement zostało zaakceptowane w roku 1998 przez 33 państwa rozwinięte gospodarczo. Zastąpiło ono znany z czasów zimnej wojny Komitet COCOM (Coordinating Commitee on Multilateral Export Controls), który rozwiązał się w roku 1993 po upadku Paktu Warszawskiego i ma na celu przede wszystkim zapobieganie rozprzestrzenianiu się broni masowej zagłady. Jednakże WA wprowadza istotne restrykcje co do stosowania mocnych systemów kryptograficznych, np. ogranicza klucz w symetrycznych systemach szyfrowania do 64 bitów i do 512 bitów w systemie RSA.

obawiam się Danaów (Greków), nawet gdy przynoszą dary - ostrzeżenie o możliwości podstępu ze strony nieprzyjaciół, nawet jeżeli deklarują dobrą wolę (Wergiliusz, Eneida).

Kryptoanalityk - uczony, zajmujący się zawodowo metodami łamania szyfrów

Polityczne i prawne uwarunkowania techniki ochrony poufności informacji w Internecie

2

---