Spór o powszechny dostęp do silnej kryptografii i konsekwencje jej uwolnienia
Według słynnej taksonomii B. Schneiera, istnieją tylko dwa rodzaje kryptografii: kryptografia, która uniemożliwi młodszej siostrze odczytanie naszego pliku i kryptografia, która uniemożliwi zapoznanie się z jego treścią agencjom wywiadowczym [1]. Przez wiele lat druga była wyłączną domeną dyplomatów, wojskowych i szpiegów [2]. W konfrontacji z takimi agencjami, jak amerykańska National Security Agency, brytyjska Communications Electronics Security Group, czy francuska Direction Générale de la Sécuritaté Extérievre, osoby prywatne pozbawione odpowiedniej wiedzy, doświadczenia i środków finansowych jeszcze do niedawna nie miały jakichkolwiek szans na zachowanie poufności swych danych [3]. Dzięki wartym setki milionów dolarów superkomputerom i umiejętnościom wybitnych kryptoanalityków, prywatne dane zwykłych obywateli pozostawały tajnymi przez maksymalnie kilka godzin od ich przechwycenia. Ponieważ olbrzymia większość poważnych badań kryptograficznych była prowadzona przez instytucje rządowe, których głównym celem było nasłuchiwanie i rozszyfrowywanie komunikacji, do użytku publicznego trafiały wyłącznie słabe kryptosystystemy bardzo łatwo poddające się kryptoanalizie [4]. Sytuacja uległa radykalnej przemianie w połowie lat 1970., kiedy to dwaj amerykańscy naukowcy, nie związani ze światem wielkiej polityki opracowali rewolucyjny system kryptograficzny, którego złamanie zajęłoby tysiące lat nawet agencjom rządowym dysponującym nieograniczonymi środkami [5].
O rewolucji, jaka dokonała się w kryptografii za sprawą odkrycia dokonanego przez W. Diffiego i M. Hellmana zwykło się myśleć w kategoriach przewrotu naukowego, radykalnego zerwania z wielowiekowym paradygmatem nauki o szyfrach [6]. Jednakże zdaniem wielu autorów wydarzenia następnych lata zdają się dowodzić, iż twórcy kryptografii asymetrycznej nieświadomie zainicjowali przemiany, których konsekwencje społeczne da się porównać jedynie z tymi, jakie dokonały się za sprawą Rewolucji Industrialnej [7]. Publikując wyniki swych badań Diffie i Hellman zapewne nie podejrzewali, iż rząd USA uzna ich rozważania nad praktycznymi zastosowaniami funkcji jednokierunkowych za zagrożenie dla bezpieczeństwa narodowego. Nie spodziewali się, iż z próbą powstrzymania cywilnych badań nad kryptografią asymetryczną wystąpi najpotężniejsza na świecie agencja wywiadowcza. Tymczasem za sprawą krótkiego artykułu opublikowanego w technicznym przeglądzie o nakładzie nie sięgającym nawet jednej setnej nakładów popularnych czasopism, wyższa matematyka stała się nie tylko przedmiotem ożywionej debaty publicznej [8], ale wręcz została uznana za jedną z najgroźniejszych broni znanych ludzkości. Powstrzymanie jej rozpowszechniania miało zapobiec nadchodzącej Infokalipsie [9].
Diffie & Hellman, New Directions in Cryptography
Whitfield Diffie zainteresował się kryptografią w bardzo młodym wieku [10]. Jeszcze przed ukończeniem szkoły podstawowej przeczytał wszystkie książki na temat szyfrowania, jakie znalazł w miejskiej bibliotece. Nie ograniczał się przy tym wyłącznie do popularnonaukowych opracowań, ale sięgał także po poważne prace akademickie, których lektura sprawiała trudności nawet dużo starszym czytelnikom. Początkowo jego zainteresowania ograniczały się do kwestii teoretycznych, dopiero w czasie studiów na Wydziale Matematyki Massachusetts Institute of Technology Diffie znalazł praktyczne zastosowanie dla swej niecodziennej pasji. Na początku lat 1970. MIT jako jedna z pierwszych uczelni na świecie wprowadziła do użytku eksperymentalny system komputerowy znany jako Compatibile Time Sharing System. Dzięki zastosowanej w nim pionierskiej technologii wielowątkowości z CTSS jednocześnie mogło korzystać nawet kilkanaście osób. Posługiwanie się komputerem w warunkach podziału czasu wymagało zastosowania protokołów chroniących prywatność jego użytkowników. W systemie komputerowym MIT efekt ten osiągano za pomocą scentralizowanej metody, w której administrator przyznawał każdej z korzystających z niego osób niepowtarzalne hasło dostępowe. Diffie, który od wielu lat zajmował się problematyką ochrony prywatności bardzo szybko spostrzegł jak dalece niedoskonałe jest to rozwiązanie. Jak wspomina w wywiadzie udzielonym S. Levy’emu, „administrator systemu w istocie kontrolował prywatność wszystkich użytkowników. Jeśli nawet ze skrupulatną uczciwością chronił on hasła, sam fakt ich istnienia w scentralizowanym systemie był zagrożeniem. Władze miały bowiem bardzo łatwy dostęp do tych informacji: wystarczyło, by wręczyły superużytkownikowi sądowy nakaz ich ujawnienia. Ten człowiek Cię sprzeda ponieważ nie jest zainteresowany odmową wykonania polecenia i trafieniem do więzienia za ochronę Twoich danych” [11]. Chcąc wykluczyć tego rodzaju możliwość, Diffie rozpoczął intensywne prace nad „koncepcją zdecentralizowanych uprawnień”, w której całkowitą kontrolę nad danymi sprawowali nie administratorzy lecz użytkownicy.
Gdy jednak ponownie przewertował gromadzone przez lata podręczniki dostrzegł w nich pewną prawidłowość, która wcześniej umknęła jego uwadze. Jak wspomina po latach, „literatura poświęcona kryptografii ma osobliwą historię. Tajność odgrywała oczywiście zawszę pierwszoplanową rolę, lecz do czasu I Wojny Światowej postęp w tej dziedzinie znajdował swoje odzwierciedlenie w literaturze w podobnej mierze, jak to się działo w innych dziedzinach wiedzy. [Później] rzeczy zaczęły wyglądać już inaczej. (…) W latach 1946-1967 literatura kryptograficzna była całkowicie bezwartościowa. Pojawił się natomiast inny typ literatury: typ historyczny z pracą Davida Kahna [Łamacze kodów] na czele. (…) Kiedy poważnie zainteresowałem się kryptografią, chciałem napisać pracę, chciałem studiować związane z nią zagadnienia, lecz nie znalazłem żadnej publikacji [oddającej rzeczywisty stań badań]. Gdybym mógł pójść do księgarni i otrzymać tekst na temat współczesnej kryptografii, to prawdopodobnie posiadłbym swoją wiedzę całe lata wcześniej. Jednak u schyłku 1972 r. jedynymi dostępnymi materiałami były prace historyczne i kilka bezwartościowych raportów technicznych” [12].
Nie mogąc znaleźć żadnych wiadomości na temat nowoczesnych metod szyfrowania w książkach, Diffie zwrócił się z prośbą o pomoc do ich autorów. W ciągu następnych dwóch lat zjeździł niemal całe Stany Zjednoczone odwiedzając wszystkich tych, którzy opublikowali prace na temat kryptografii. Ponownie jednak przeżył rozczarowanie. Większość osób, z którymi się kontaktował, milkła usłyszawszy pierwsze pytanie o nowoczesne metody utajniania informacji. Część odmawiała jakichkolwiek wyjaśnień, inni tłumaczyli swoje milczenie obowiązkiem zachowania tajemnicy nałożonym na nich przez National Security Agency, agencje rządową, o której Diffie nigdy wcześniej nie słyszał. Nawet jego szkolny kolega, D. Edwards, który po ukończeniu studiów na MIT zajął się zawodowo tworzeniem szyfrów odmówił mu pomocy. Jedyną osobą, która zgodziła się na otwartą rozmowę na temat współczesnej kryptografii był autor Łamaczy kodów, D. Kahn. Dzięki jego rozległym kontaktom w środowisku kryptograficznym Diffie został przedstawiony młodemu profesorowi elektrotechniki Stanford University, Martinowi Hellmanowi.
Obaj naukowcy bardzo szybko nawiązali współpracę. Ich pierwsze spotkanie zamiast planowanych 30 minut trwało prawie trzy godziny. Łączyła ich nie tylko wspólna pasja, ale i wspólny problem, jak zapewnić bezpieczeństwo i poufność danych w sieciach teleinformatycznych. Od czasu, gdy Diffie po raz pierwszy zasiadł przed terminalem CTSS, w informatyce dokonał się kolejny przełom. Za sprawą informatyków z University of California w Berkeley komputery zaczęły się ze sobą komunikować. Opracowanie protokołów sieciowych umożliwiających wymianę danych pomiędzy oddalonymi nawet o tysiące kilometrów stacjami roboczymi zwiastowało nadejście nowej ery. Diffie i Hellman zgodzili się nie tylko, co do tego, że problem zapewniania poufności informacji przekazywanych drogą elektroniczną jest poważny, ale także, co do tego, iż łatwiej będzie im go rozwiązać jeśli będą pracowali nad nim wspólnie. Jak stwierdza S. Levy, „powstała w ten sposób para, która w świecie kryptografii znalazła oddźwięk podobny jak słynne pary w innych dziedzinach: Woodward – Bernstein, Lennon – McCartney, Watson – Crick” [13].
W czasie, gdy Diffie i Hellman rozpoczynali pracę nad własną metodą utajniania danych National Bureau of Standards (obecnie National Institute of Standards and Technology) agencja rządowa określająca obowiązujące w USA standardy technologiczne, rozstrzygnęła konkurs na opracowanie algorytmu kryptograficznego, który spełniwszy stawiane przez nią kryteria, miał się stać ogólnonarodową normą szyfrowania danych. Miał on nosić nazwę Data Encryption Standard. Zwycięzcą został 56-bitowy szyfr blokowy DSD-1.
Historia standardu DES jest równie osobliwa jak cała historia kryptografii [14]. Już sam fakt ogłoszenia konkursu na oficjalną normę szyfrowania danych był dla wielu specjalistów zaskoczeniem. Do tej pory amerykański rząd pieczołowicie chronił wszelkie informacje na temat kryptologii, zgadzając się jedynie na publikacje historycznych opracowań o niewielkim znaczeniu praktycznym. Jeśli nawet ukazywały się współczesne opracowania (np. praca C. Shannona, The Communication Theory of Secrecy Systems), natychmiast wycofywano je z obiegu, zaś osoby, które dopuściły do ich ujawnienia ponosiły surowe konsekwencje [15]. Sytuacja ta sprawiała wrażenie, iż amerykański rząd zlecił sektorowi prywatnemu opracowanie technologii, którą sam od dawna dysponował i którą przez wiele lat przed nim ukrywał.
W świetle ówczesnego stanu wiedzy cywilnych kryptologów, nie było szczególnie zaskakującym, iż National Bureau of Standards przez dłuższy czas nie otrzymała żadnej propozycji, która choćby częściowo spełniała stawiane przez nią kryteria. Projekty, które do niej napływały były amatorskim rozwiązaniami nie wartymi bliższej uwagi. Wyjątkiem okazał się być Lucipher, 128-bitowy szyfr blokowy, nad którym pracowano w laboratoriach firmy IBM [16]. Na tle innych przysyłanych do NFS propozycji kryptosystem opracowany w Weston Laboratory wyróżniał się nie tylko znacznym stopniem złożoności, ale także zdecydowanie większym bezpieczeństwem. Jednak nawet on musiał zostać poddany pewnym modyfikacjom. Na prośbę recenzentów z National Security Agency, autorski system blokowy H. Feistela zastąpiono opracowanymi przez rządowych ekspertów tzw. s-blokami [17]. zaś długość klucza kryptograficznego skrócono ze 128 do 56-bitów. Obie zmiany tłumaczono koniecznością zwiększenia wydajności układów szyfrujących [18]. 23 listopada 1976 r., tak zmodyfikowany Lucipher znany od tej pory pod oznaczeniem kodowym DSD-1, został przyjęty jako oficjalny standard federalny.
Początkowo Diffie i Hellman zareagowali na wiadomość o opracowaniu oficjalnej normy szyfrowania z entuzjazmem. Ich zdaniem konkurs dowodził, iż rząd amerykański poważnie traktował problem ochrony prywatności użytkowników sieci teleinformatycznych. Jednak gdy poddali standard bliższej analizie okazało się, iż system ten nie spełnia podstawowych wymogów bezpieczeństwa. Pierwszy problem, który wzbudził ich niepokój, to długość klucza szyfrującego. Jak napisali w opinii przedłożonej NFS, jego rozmiar jest w najlepszym wypadku „zaledwie wystarczający. Nawet obecnie [1976 r.], sprzęt zdolny do pokonania tego systemu metodą ataku wyczerpującego [tj. sprawdzenia wszystkich możliwych kombinacji klucza] osłabiłby, prawdopodobnie jednak nie przekroczył możliwości budżetowych dużej organizacji wywiadu. (…) Chociaż kryptoanaliza prowadzona metodą wyczerpującego wyszukiwania klucza z pewnością nie jest tania, jej realizacja jest możliwa”[19]. Zdaniem Diffiego, każda agencja rządowa, która w połowie lat 1970. dysponowała 20 milionami USD byłaby w stanie zbudować komputer, który mógłby odtworzyć klucz wykorzystywany w Data Encryption Standard w ciągu jednego dnia. W kilka miesięcy później Hellman przedstawił metodę umożliwiającą złamanie szyfru stworzonego z wykorzystaniem tej metody za cenę nie przekraczającą 5 milionów USD [20].
Równie niepokojącą wydała im się koncepcja s-bloków. Kiedy niezależni eksperci zaczęli się domagać od NFS uzasadnienia dla wdrożenia tego rozwiązania w oficjalnej normie szyfrowania, rząd odmówił udzielenia jakichkolwiek informacji na ten temat, zasłaniając się koniecznością zachowania bezpieczeństwa kryptosystemu. Zważywszy na fakt, iż całkowita jawność algorytmów szyfrujących uznawana jest w kryptografii za podstawową zasadę bezpieczeństwa co najmniej od 1883 r., tj. od czasu opublikowania pracy A. Kerckhoffsa, La cryptographie militarie, naturalnym jest, iż wyjaśnienie to nie mogło spotkać się z aprobatą środowiska akademickiego. Wielu kryptografów zaczęło podejrzewać, iż rząd wbudował w DES zapadnię (back door), umożliwiającą pracownikom agencji wywiadowczych i śledczych łatwe odtajnianie treści wszystkich szyfrowanych nim wiadomości.
Rozczarowani rządowym standardem szyfrowania, Diffie i Hellman spotęgowali własne wysiłki zmierzające do opracowania bezpiecznego systemu kryptograficznego. Przełom w ich poszukiwaniach nastąpił gdy odkryli potencjał, jaki kryje się w funkcjach jednokierunkowych. Pomysł podzielenia kluczy kryptograficznych opracował Diffie. Początkowo nawet Hellmanowi wydał się on „nieco szalonym” [21]. Kryptografia asymetryczna zdawała się łamać wszelkie zasady tworzenia bezpiecznych szyfrów, w zamian jednak oferowała rozwiązanie dla problemu, z którym kryptolodzy zmagali się bezskutecznie od niemal dwóch tysiącleci, tj. problemu bezpiecznej wymiany klucza. Diffie i Hellman postanowili zainteresować swym odkryciem innych specjalistów od bezpieczeństwa komunikacji sieciowej.
W 1976 r. na łamach prestiżowego przeglądu Institute of Electrical and Electronic Engineers ukazała się pierwsza publiczna prezentacja koncepcji kryptografii asymetrycznej [22]. Jak przyznawali autorzy, nie dysponowali oni jeszcze „ani dowodem na to, że system oparty na kluczu publicznym może istnieć, ani tym bardziej systemem demonstracyjnym”[23], jednak idea wydawała się im zbyt atrakcyjna, by można ją było odrzucić bez poważnego rozważenia. Parę miesięcy później Diffie i Hellman opracowali metodę dystrybucji kluczy kryptograficznych, mogącą uchodzić za rozwiązanie pośrednie między klasyczną kryptografią, a postulowaną przez nich kryptografią asymetryczną. Mniej więcej w tym samym czasie młody student informatyki uniwersytetu kalifornijskiego w Berkeley, R. Merkle, znalazł funkcję jednokierunkową, umożliwiającą zrealizowanie pomysłu swych starszych kolegów[24]. Rok później trzej matematycy z MIT, R. Rivest, A. Shamir i L. Adleman zaprezentowali pierwszy możliwy do praktycznego wdrożenia algorytm klucza publicznego – RSA [25]. Wraz z ukazaniem się ich artykułu przełamany został monopol państwa na silną kryptografię.
National Security Agency
Powołana w 1952 r., ściśle tajnym memorandum prezydenta H. Trumana [26]. National Security Agency to jedna z najbardziej tajemniczych instytucji publicznych w dziejach Stanów Zjednoczonych [27]. Przez wiele dekad o jej istnieniu nie wiedzieli nawet kongresmani uchwalający jej budżet. Choć od samego początku była zasilana sumami znacznie przekraczającymi środki oddane do dyspozycji pozostałych amerykańskich agencji wywiadowczych, przez pierwsze pięć lat istnienia NSA nie została wymieniona w żadnym oficjalnym rządowym dokumencie [28]. Jeszcze na początku lat 1980. wielu przedstawicieli waszyngtońskiej administracji nie było w stanie rozszyfrować tego skrótu [29]. Jej pracownicy żartowali między sobą, iż oznacza on w rzeczywistości No Such Agency (Nie Ma Takiej Agencji). Pomimo starań wielu historyków, dziennikarzy i organizacji na rzecz swobód obywatelskich także obecnie nie znamy wszystkich szczegółów jej działalności. Jedyne co można o niej stwierdzić z całą pewnością, to fakt, iż jest to największa i najbogatsza instytucja wywiadowcza na świecie [30].
Za potrójnym ogrodzeniem Fortu Meade, głównej siedziby NSA w stanie Maryland, znalazło zatrudnienie ponad 38 tysięcy matematyków, informatyków, lingwistów, analityków, agentów ochrony i pracowników pionu administracyjno-technicznego. Miasto Szyfrów dysponuje własną elektrownią, policją, pogotowiem, uczelnią wyższą, szkołą językową [31], strażą pożarną i pocztą dostarczającą 70 tysięcy listów dziennie. Wśród pięćdziesięciu budynków znajdujących się na terenie Fortu jest m.in. fabryka mikroprocesorów, biuro badawczo-rozwojowe, w którym właśnie trwają prace nad superkomputerem wykonującym septylion (jedynka i 24 zera) operacji na sekundę, przetwórnia makulatury, kluby towarzyskie (w tym przeznaczony dla gejów i lesbijek GLOBE) oraz kino wyświetlające filmy z całego świata w oryginalnych wersjach językowych. Centralne miejsce zajmuje Tordella Supercomputer Center, w którym zgromadzono najbardziej zaawansowane pod względem technologicznym i najmocniejsze obliczeniowo komputery na świecie. Wszystko to w celu zapewniania bezpieczeństwa tajnym informacjom rządowym oraz gromadzeniu i analizowaniu danych wywiadu zagranicznego.
NSA dzieli się na dwa główne wydziały, COMSEC (skrót od Communications Security) zajmujący się badaniami nad systemami kryptograficznymi i ochroną danych, oraz COMINT (Communications Intelligence) powołany do działań z zakresu wywiadu elektronicznego i kryptoanalizy. Swoje zadania realizuje m. in. dzięki systemowi Echelon, globalnej sieci stacji nasłuchowych monitorujących wszystkie nośniki informacji, od łączności mikrofalowej, po linie lądowe i fale radiowe. Jak podkreślają agenci NSA dzięki tego rodzaju działaniom powstrzymano liczne akty terrorystyczne, udaremniono wiele akcji przemytniczych (w tym próbę jednorazowego przemycenia do Stanów Zjednoczonych przeszło 12 000 ton kokainy), ujawniono informacje o prowadzonych w Korei Północnej badaniach nuklearnych oraz zidentyfikowano sprawców zamachu na samolot linii Pan Am strącony nad Lockerbie w grudniu 1988 roku [32].
Odkrycie dokonane przez Diffiego i Hellmana, a następnie rozwinięte przez informatyków z MIT postawiło NSA w bardzo trudnej sytuacji. Poza murami potrójnego ogrodzenia Fortu Meade powstał system kryptograficzny nie tylko znacznie doskonalszy od tych używanych na co dzień przez agencję, ale co bardziej istotne, taki którego nie była ona w stanie złamać. Jego rozpowszechnienie oznaczałoby, iż każdy, kto wszedł w jego posiadanie mógłby stosować metody szyfrowania odporne na jakąkolwiek kryptoanalizę. Wraz z opublikowaniem algorytmu RSA pracownicy największej na świecie agencji wywiadowczej, do tej pory biernie przyglądający się rozwojowi cywilnej kryptografii, zaczęli czynnie w nią ingerować. Bezpośrednim impulsem do podjęcia przez nich zdecydowanych działań było ogłoszenie w sierpniu 1977 r. na łamach poczytnego pisma Scientific American konkursu na złamanie szyfrogramu zakodowanego przy użyciu „nowej, rewolucyjnej metody, która sprawi, że wszystkie dotychczasowe szyfry, łącznie z technikami służącymi do ich łamania mogą popaść wkrótce w zapomnienie” (tj. 129-bitowego klucza RSA) [33]. Czytelnicy, chcący wykazać się swymi umiejętnościami kryptoanalitycznymi, zostali zaproszeni do podjęcia wyzwania i ew. do skontaktowania się z kryptografami z MIT w celu otrzymania kopii ich artykułu zamieszczonego w Communications of the ACM. Choć dział matematycznych łamigłówek Scientific American od lat cieszył się bardzo dużą popularnością żaden z jego redaktorów nie spodziewał się, iż artykuł, poświęcony wyższej matematyce spotka się z tak olbrzymim zainteresowaniem. Tymczasem w ciągu kilku miesięcy od ogłoszenia konkursu do sekretariatu pisma wpłynęło przeszło 7000 listów z prośbą o bliższe informacje na temat kryptografii asymetrycznej. Niektóre z nich pochodziły z zagranicy.
Nie tylko agentom NSA trudno było uwierzyć, iż wszystkie te listy wysłali pasjonaci oddający się w zaciszu domowym arytmetyce modularnej i zgłębiający tajniki sita ciała liczbowego. Wraz z wydostaniem się silnej kryptografii poza kręgi akademickie dramatycznie wzrosło prawdopodobieństwo materializacji najgorszych obaw pracowników wywiadu elektronicznego, tj. upowszechnienia się systemu, w którym dosłownie wszyscy mogliby używać praktycznie niemożliwych do złamania szyfrów.
Pierwsze próby powstrzymania powszechnego dostępu do silnej kryptografii
Gdy w końcu lat 1970. pojawiło się szersze zainteresowanie silną kryptografią, NSA podjęła próby jego zdławienia [34]. Jej pierwsze starania były skierowane w stronę National Science Foundation, agencji rządowej finansującej badania naukowe z różnych dziedzin wiedzy. Pracownicy fundacji zostali poinformowani przez agentów NSA, iż Agencja jest jedyną instytucją uprawnioną do finansowania badań kryptologicznych, w związku z czym, powinni oni wstrzymać wypłatę grantów dla matematyków i informatyków prowadzących prace z tego zakresu [35].
Kilkanaście miesięcy później do nowojorskiego biura Institute of Electrical and Electronic Engineers, w którym planowano właśnie międzynarodowe sympozjum na temat teorii informacji, nadszedł list sygnowany przez pracownika Fortu Meade. Agent J. A. Mayer przypominał w nim organizatorom konferencji, iż ujawnienie jakichkolwiek informacji i danych technicznych dotyczących artykułów i usług o charakterze obronnym bez upoważnienia odpowiednich organów jest zagrożone karą grzywny, aresztu lub pozbawieniem wolności [36]. Do listu załączony był tekst rozporządzenia International Traffic in Arms Regulation, z którego wynikało, iż rząd USA traktuje silną kryptografię, jako uzbrojenie, a jej obrotem rządzą te same zasady, które dotyczą samolotów F-16, rakiet Stinger i lotniskowców [37].
W 1980 r. NSA zleciła American Council of Education sprawdzenie możliwości przyznania jej przez Kongres prawa prewencyjnego cenzurowania wszystkich publikacji poświęconych kryptografii. Jakkolwiek zdaniem większości prawników opiniujących wniosek, żądanie to pozostawało w oczywistej sprzeczności z Pierwszą Poprawką do Konstytucji USA [38], zostało ono w znacznej mierze zaspokojone. Kryptolodzy zostali zobowiązani do przedkładania maszynopisów recenzentom z Fortu Meade, w celu uzyskania zgody na ich publikację [39]. Ich opinia miała rozstrzygać, czy przedstawione im materiały nie zawierają informacji mogących zagrażać bezpieczeństwu narodowemu. Nie był to martwy przepis [40].
28 kwietnia 1978 r., G. Davida, profesor elektroniki z University of Wisconsin otrzymał długo oczekiwany list. Pół roku wcześniej złożył w sądzie federalnym wniosek o patent na urządzenie realizujące sprzętową implementację szyfrów strumieniowych. Choć zdawał sobie sprawę z faktu, iż wniosek ten będzie musiał zyskać akceptację recenzenta z NSA, nie spodziewał się z tej strony żadnych problemów. Pracując nad swym wynalazkiem, ani nie wykorzystał, ani tym bardziej nie ujawniał żadnej tajemnicy, bez kłopotu uzyskał też grant National Science Foundation, nie miał więc powodów by podejrzewać, iż jego wniosek spotka się z jakimikolwiek trudnościami. Tymczasem, ku jego olbrzymiemu zaskoczeniu, wniosek o nadanie patentu, nie tylko nie został uwzględniony, ale i NSA nakazała mu – pod karą grzywny w wysokości 10 tysięcy USD i dwóch lat pozbawienia wolności – utajnić wyniki wszystkich prowadzonych przez niego badań. Kwestię tego jak miałby to zrobić (Davida zgodnie z wielowiekową tradycją akademicką nigdy nie ukrywał swych badań przed współpracownikami), pozostawiono w jego gestii. Jak się wkrótce okazało, nie był on jedyną osobą postawiona w podobnej sytuacji, taki sam los spotkał C. Nicolaia, inżyniera który wystąpił z wnioskiem o opatentowanie urządzenia do szyfrowania rozmów telefonicznych. Także jemu NSA zakazało ujawniania i używania własnego wynalazku [41].
13 czerwca 1978 r. pod naciskiem środowiska akademickiego oskarżającego agencję o „akademicki makkartyzm” [42], NSA ugięła się i odwołała polecenie utajnienia wyników badań prof. Davida. W parę miesięcy później podobną decyzję wydano w sprawie wynalazku C. Nicolaia. Ówczesny szef agencji generał B. R. Inman, tłumaczył później, iż decyzje te były zwykłą korektą pomyłki nowoprzyjętego pracownika. Osoby zaangażowane w spór o powszechny dostęp do silnej kryptografii, skłonne są jednak twierdzić, iż ustępstwa NSA były raczej wyrazem zmiany strategii, „przesunięcia ciężaru działań z prób kontrolowania badań kryptograficznych, do kontrolowania wytwarzania i sprzedaży wyrobów kryptograficznych, wynikającego ze skądinąd słusznego spostrzeżenia, że wszystkie ważne publikacje kryptograficzne nie ochronią ani jednego bita danych. Stojąc na półce, [podręcznik kryptologii] nie będzie miał większej mocy niż poprzedzające go książki i artykuły, ale algorytmy w nim opisane, funkcjonując w stacji roboczej mogą [tę] sytuację całkowicie zmienić” [43].
Pretty Good Privacy
Jedną z wielu tysięcy osób, które po ogłoszeniu przez Scientific American konkursu na łamanie szyfru RSA zgłosiły się do trójki matematyków z MIT w celu uzyskania dalszych informacji na temat kryptografii w systemie klucza publicznego, był student ostatniego roku Wydziału Fizyki Florida Atlantic University i działacz społeczny Phil Zimmermann. Podczas gdy inni korespondenci poszukiwali w pracy Rivesta, Shamira i Adlemana, wskazówek, które miałyby im ułatwić zdobycie nagrody za złamanie konkursowego szyfrogramu, Zimmermanna bardziej intrygowało to, czy system ten jest możliwy do wdrożenia w praktyce. Początek lat 1980. to wszak narodziny ery komputerów osobistych. Do wielu amerykańskich domów trafiły wówczas pierwsze mikrokomputery oparte o procesory Motorola Z-80 (Apple) czy Intel (IBM PC). Sieć komputerowa łącząca do tej pory jedynie ośrodki akademickie i wojskowe zaczęła powoli obejmować cały kraj. ARPAnet przekształca się w Internet, a na rynku programów użytkowych zaczynają pojawiać się pierwsze aplikacje sieciowe. Gdy za pośrednictwem łączy teleinformatycznych zaczęto wymieniać nie tylko wyniki badań naukowych, ale także poufne informacje wielkich firm i instytucji finansowych oczywistym stało się, że na ochronie danych komputerowych będzie można wkrótce zarobić olbrzymie pieniądze. Zimmermann chciał choć część z nich zatrzymać dla siebie. Postawił sobie za cel stworzenie prostego w obsłudze programu kryptograficznego, dzięki któremu każdy użytkownik sieci komputerowych, mógł bezpiecznie przesyłać swoje dane bez obawy, iż zostaną one przechwycone i odczytane przez osoby trzecie. Swój projekt nazwał Pretty Good Privacy czyli Całkiem Niezła Prywatność. Początkowo praca nad nim postępowała bardzo powolnie. Dysponując jedynie hobbistyczną wiedzą z kryptografii i amatorskimi umiejętnościami programistycznymi przez wiele lat zmagał się z software’ową implementacją algorytmu RSA. W tym czasie rynek oprogramowania zaczęły podbijać inne produkty kryptograficzne, w tym opracowany przez RSA Data Security program MailSafe i Lotus Notes firmy Iris Associates. Plany biznesowe Zimmermanna pokrzyżowała jednak nie konkurencja ze strony firm informatycznych, lecz wielka polityka.
24 stycznia 1991 r. senator J. Biden wniósł pod obrady Senatu, projekt ustawy antyterrorystycznej, szerzej znanej jako Senate Bill 266. Początkowo ten obszerny akt nie wzbudził większego zainteresowania środowiska kryptograficznego. Dopiero w kwietniu 1991 r. na jednej z internetowej list dyskusyjnych poświęconych kryptografii pojawił się alarmistyczny list, którego autor (notabene konsultant NSA) zwrócił uwagę na przepis, nakładający na dostawców usług łączności elektronicznej i wytwórców sprzętu teleinformatycznego obowiązek umożliwienia agencjom rządowym uzyskania jawnej treści komunikacji głosowej oraz transmisji danych w wypadkach przewidzianych przez odrębne przepisy. Zdaniem autora listu, W. H. Murray’a, przepis ten dowodził, iż amerykański rząd zamierza zabronić prywatnym podmiotom korzystania z systemów kryptograficznych, które nie zostały wyposażone przez ich twórców w sankcjonowane przez NSA zapadnie umożliwiające łatwy dostęp do jawnej treści szyfrogramu. W jego przekonaniu rodziło to poważne niebezpieczeństwo nadużywania uprawnień.
„Czy istnieje choć jeden czytelnik tego listu, który wierzy, iż dostawcy elektronicznych usług komunikacyjnych będą mogli zachować dla siebie możliwość odczytywania wszelkich wiadomości i utrzymywać w ten sposób tajność komunikacji w jakimkolwiek istotnym stopniu? (…) Jakiekolwiek twierdzenie, że posługiwanie się takimi zapadniami będzie następowało jedynie <>, jest całkowitym absurdem. Każdy taki mechanizm ze swej natury będzie narzędziem nadużyć (…)” [44]. Większość uczestników listy podzielała ten pogląd. Wielu z nich doskonale pamiętało skandal, jaki wybuchł w 1975 r., gdy specjalna komisja senacka pod przewodnictwem F. Churcha ujawniła Operację Shamrock, nielegalną akcję w ramach której agenci NSA przez trzy dekady zapoznawali się z treścią wszystkich telegramów wysyłanych i otrzymywanych przez Amerykanów. Gdy zatem Murray zakończył swój list apelem o gromadzenie bezpiecznych urządzeń kryptograficznych, „póki jest to jeszcze legalne”, wielu jego korespondentów potraktowało to wezwanie poważnie. Zimmermann, który przez wiele lat oddawał się działalności społecznej z równą pasją, co programowaniu [45], postanowił im to ułatwić. Miesiąc później, każdy zainteresowany mógł ściągnąć PGP 1.0 z jednego z kilkudziesięciu serwerów. Za darmo i bez żadnych ograniczeń.
Obawy NSA nabrały realnego kształtu. Jak stwierdza S. Levy „gdy program Zimmermanna znalazł się w Internecie, mógł je pobrać stamtąd każdy: pakistańscy hakerzy, iraccy terroryści, bułgarscy nacjonaliści, szwajcarscy fałszerze pieniędzy, japońscy studenci, francuscy biznesmeni, holenderscy pedofile, norwescy zwolennicy nieograniczonej prywatności, kolumbijscy handlarze narkotyków…” Każdy[46].
Bernstein v. United States Department of Justice
W kilka miesięcy po tym, jak zwolennicy nieograniczonego dostępu do silnej kryptografii rozpowszechnili program PGP wśród użytkowników Internetu, prokuratura wszczęła przeciwko Zimmermannowi postępowanie o naruszenie przepisów Arms Export Control Act (22 US.C. 2571-2794). Sprawa trafiła przed wielką ławę przysięgłych, ostatecznie jednak nie został on postawiony w stan oskarżenia [47]. Powody, dla których Department of Justice zdecydował się na odstąpienie od oskarżenia nie zostały ujawnione, jednak większość komentatorów uznaje, iż dla takiego obrotu sprawy decydujące znaczenie miało opublikowanie przez wydawnictwo Massachusetts Institute of Technology 600-stronicowej książki zawierającej kod źródłowy programu PGP (w wersji 2.6.) [48]. Publikacja ta została następnie rozesłana po całym świecie zwykłymi kanałami dystrybucyjnymi MIT Press. Zdaniem W. Diffiego i S. Landau, gdyby Departament Sprawiedliwości oskarżył Zimmermanna o naruszenie przepisów eksportowych musiałby tak samo postąpić wobec MIT, zaś uczelnia ta jest „trzykrotnie starsza od NSA, ma porównywalny do niej budżet i jeszcze większe wpływy w kompleksie militarno-przemysłowym” [49].
Decyzja o odstąpieniu od oskarżenia Zimmermanna nie zakończyła jednak sądowego sporu o zniesienie ograniczeń w międzynarodowym obrocie produktami kryptograficznymi. W 1994 r. P. Karn specjalista ds. bezpieczeństwa komunikacji amerykańskiej sieci telefonii komórkowej Qualcomm wystąpił do Departamentu Stanu z wnioskiem o zgodę na eksport książki B. Schneiera Kryptografia dla praktyków zawierającej m.in. kompletne kody źródłowe najpopularniejszych algorytmów kryptograficznych (w tym algorytmu RSA, który Zimmermann zaimplementował w programie PGP). W kilka tygodni po uzyskaniu pozwolenia Karn zwrócił się do tej samej instytucji o zgodę na eksport dyskietki zawierającej wyłącznie rzeczone kody źródłowe. Tym razem jego wniosek został odrzucony. Za namową Electronic Frontier Foundation i Electronic Privacy Information Center Karn zdecydował się wystąpić na drogę sądową, zarzucając Departamentowi Stanu naruszenie Pierwszej Poprawki do Konstytucji USA [50]. Sąd federalny dystryktu Columbia uznał jednak, iż decyzja Departamentu Stanu nie narusza Konstytucji.
„[Dyskietka z zapisem programów źródłowych opublikowanych w książce B. Schneiera, Kryptografia dla praktyków], podlega przepisom International Traffic in Arms Regulation. (…) Regulacje te nie odnoszą się do ekspresywnej treści zawartości dyskietki. [Departament Stanu odmówił zgody na jej eksport], nie ze względu na wyrażone w niej opinie, lecz z uwagi na to, iż [zdaniem organu] rozpowszechnienie kodu źródłowego programów kryptograficznych na nośniku komputerowym ułatwiłoby szyfrowanie komunikacji zagranicznym podmiotom pozostającym w kręgu zainteresowania amerykańskich agencji wywiadowczych. (…). [Tego rodzaju] neutralne pod względem treści przepisy (content-neutral regulations) są usprawiedliwione, jeśli mieszczą się w ramach konstytucyjnych prerogatyw rządu, są niezbędne dla zabezpieczenia istotnych interesów państwa, oraz gdy ewentualne ograniczenie swobód gwarantowanych przez Pierwszą Poprawkę jest nie większe, niż konieczne dla realizacji tego interesu (the incidental restriction on First Amendment freedoms is no greater than is essential to furtherance of that interest). (…) Prezydent USA decydując się na umieszczenie silnej kryptografii na liście produktów podlegających kontroli eksportowej uznał, iż jej rozprzestrzenianie zagrażałoby interesom narodowym Stanów Zjednoczonych. [Karnowi] nie udało się wykazać, iż regulacje te wyraźnie wykraczają poza [ten cel]. Nie przedstawił on też żadnych argumentów potwierdzających istnienie prawnych przeszkód w rozpowszechnianiu wiedzy kryptograficznej, innych niż te dotyczące jej publikowania na nośnikach komputerowych. W związku z powyższym Sąd uznaje, iż zakaz odnoszący się do eksportu [przedmiotowej] dyskietki spełnia [przedstawione w orzeczeniu] wymogi i jest uzasadniony” [51].
W kilka miesięcy po ogłoszeniu tego orzeczenia zwolennicy powszechnego dostępu do silnej kryptografii podjęli kolejną próbę wykazania sprzeczności przepisów zabraniających eksportu programów szyfrujących z Konstytucją USA. W 1996 r. na drogę sądową wystąpił D. Bernstein, profesor matematyki University of Illinois w Chicago, któremu rząd USA odmówił zgody na eksport algorytmu Snuffle. Tym razem sąd podzielił argumentację civil libertarians i uznał, iż przepisy International Traffic in Arms Regulations w zakresie, jakim dotyczą swobody publikowania poglądów i idei naruszają Pierwszą Poprawkę do Konstytucji USA [52].
„<> (…), to tekst programu napisanego w jednym z wyższych języków programowania, takich jak ‘PASCAL’, lub ‘C’. Jego cechą charakterystyczną jest to, iż został on napisany z myślą o innych programistach i służy do wyrażania pewnych idei i rozwiązań. Należy podkreślić, iż komputer nie jest w stanie skorzystać z kodu źródłowego, dopóki nie zostanie on przetłumaczony (<>) na język maszynowy (…). Dla rozstrzyganej kwestii istotne znaczenie ma także ustalenie do czego wykorzystywany jest kod źródłowy w kryptografii. Bernstein przedstawił wiele ekspertyz przygotowanych przez kryptografów i programistów, z których wynika, iż kod źródłowy jest podstawowym sposobem wyrażania algorytmów. Jakkolwiek ich przedstawienie w postaci standardowego języka lub działań matematycznych, jest możliwe i pożądane, dla kryptografów diabeł często tkwi w detalach algorytmicznych (the devil, at least for cryptographers, often in the algorithmic details). Wymóg precyzji i rygoryzmu metodologicznego nakazuje, by prezentować je w postaci kodu źródłowego. (…) Jest on zatem dla kryptografów, tym czym dla matematyków i ekonomistów są równania, tj. sposobem przekazywania wiedzy naukowej. W związku z powyższym, Sąd uznaje iż programy kryptograficzne przedstawione w postaci kodu źródłowego (…) muszą być postrzegane jako wypowiedź i jako takie korzystają z ochrony przewidzianej przez Pierwszą Poprawkę do Konstytucji USA” [53].
Zdaniem sędziego Fletchera działania rządu USA zmierzającego od ograniczenia swobody rozpowszechniania wiedzy kryptograficznej nie tylko naruszają prawa wąskiej grupy naukowców, ale co nie mniej istotne, stanowią także zagrożenie dla konstytucyjnych swobód wszystkich obywateli Stanów Zjednoczonych. „W tych coraz bardziej skomputeryzowanych czasach, każdy z nas jest w coraz większym stopniu uzależniony od środków komunikacji elektronicznej. [N]asza zależność od nowoczesnych technik telekomunikacji doprowadziła do dramatycznego ograniczenia prywatności konwersacji. Telefony komórkowe mogą być łatwo podsłuchane, poczta elektroniczna jest bardzo podatna na inwigilację, zaś bezpieczeństwo transakcji internetowych pozostawia bardzo wiele do życzenia. Codziennie wykonywane czynności, takie jak przesyłanie numeru karty kredytowej, numeru konta bankowego czy podawanie numeru ubezpieczenia społecznego narażają nas na ryzyko [utraty prywatności]. Co więcej, za każdym razem gdy korzystamy z elektronicznych środków komunikacji pozostawiamy za sobą ‘cyfrowe odciski palców’, ślady które pozwalają nas namierzyć i zidentyfikować. Nigdy wcześniej nie byliśmy tak bardzo narażeni na inwigilację ze strony rządów, przestępców czy sąsiadów. Dostęp do silnej kryptografii umożliwia nam odzyskanie choć części utraconej prywatności. Dążenia rządu do kontroli jej rozpowszechniania stanowią zatem ograniczenie nie tylko dla kryptografów kierujących naukę na nowe tory, ale także konstytucyjnych praw zwykłych obywateli. Oceniane z tej perspektywy, działania rządu Stanów Zjednoczonych mogą naruszać Czwartą Poprawkę do Konstytucji USA, prawo do anonimowości wskazane przez Sąd Najwyższy w orzeczeniu McIntyre v. Ohio Elections Comm’n, 514 U.S. 334 (1995); prawo przeciwko wymuszaniu wypowiedzi – Wooley v. Maynard, 430 U.S. 705 (1977) oraz [konstytucyjne] prawo do prywatności informacyjnej, Whalen v. Roe, 429 U.S. 589 (1977)” [54].
Projekt Clipper
Orzeczenie w sprawie Bernstein v. United States Department of Justice spowodowało konieczność zmiany taktyki dalszych działań NSA. Już w kilka miesięcy po tym jak do sieci trafiła pierwsza wersja programu PGP, za murami Miasta Szyfrów opracowano nową strategię mającą przywrócić mocno naruszone status quo. Podczas nadzwyczajnego posiedzenia kierownictwa NSA, C. Brooks asystent wicedyrektora agencji przedstawił projekt, zgodnie z którym producenci wszystkich urządzeń i programów kryptograficznych mieliby ustawowy obowiązek zaimplementowania w swych produktach nowatorskiego mechanizmu odzyskiwania kluczy sesyjnych. Każdy układ szyfrowania zanim trafi do końcowego odbiorcy miał być wyposażany w specjalny obszar pamięci (tzw. VROM), wykorzystywany do zapisu informacji identyfikacyjnych oraz dwóch specjalnych kluczy kryptograficznych: niepowtarzalnego klucza jednostkowego oraz tzw. klucza rodziny, wspólnego dla całej grupy układów. Oba te klucze byłyby deponowane w dwóch odrębnych bazach danych, nad którymi nadzór miał sprawować Prokurator Generalny USA. Dostęp do zgromadzonych w nich kluczy miałaby wyłącznie ograniczona grupa podmiotów dysponujących odpowiednim nakazem sądowym. Podczas generowania lub wymiany klucza sesyjnego każdy układ wykonywałby następujące działania: 1) szyfrował 80-bitowym kluczem jednostkowym klucz sesyjny, tworząc tym samym 80-bitowy klucz pośredni; 2) łączył klucz pośredni z 25-bitowym numerem seryjnym układu i 23-bitowym wzorcem uwierzytelniania, a następnie; 3) szyfrował całość kluczem rodziny otrzymując 128-bitowy ciąg o nazwie LEAF (skrót od Law Enforcement Access Field) wymieniany z układem odbierającym [55]. Dzięki temu skomplikowanemu systemowi nawiązywania połączenia agenci federalni mający dostęp do klucza jednorazowego oraz numeru seryjnego układu mogliby, w uzasadnionych okolicznościach i za zgoda sądu, odszyfrowywać wiadomości bez potrzeby przeprowadzania kosztownego ataku wyczerpującego. System ten zdawał się zatem godzić dwa sprzeczne wymagania: z jednej strony, dzięki długiemu 128-bitowemu kluczowi kryptograficznemu, chronił obywateli USA i amerykańskie firmy przed naruszeniem prywatności ich korespondencji przez przestępców komputerowych, konkurencję i zagraniczne rządy, z drugiej zaś, umożliwiał agencjom odpowiedzialnym za egzekwowanie prawa prowadzenie usankcjonowanego prawnie podsłuchu [56].
To kompromisowe rozwiązanie bardzo szybko zyskało akceptację waszyngtońskiej administracji. Nowoobranego prezydenta W. Clintona nie trzeba było długo przekonywać do konieczności wprowadzenia regulacji prawnych umożliwiających efektywną kontrolę nad kryptografią. Choć jeszcze parę tygodni wcześniej starał się pozyskać głosy przedstawicieli nowej gospodarki obiecując im m.in. zniesienie barier eksportowych nałożonych na produkty kryptograficzne, dramatyczne apele agentów NSA, ostrzegających po (pierwszym) zamachu na World Trade Center, iż w wyniku dalszej bezczynności rządu zaczną ginąć ludzie, nie pozostawiły go obojętnym. Projekt Clipper otrzymał poparcie waszyngtońskiej administracji. Wystarczyło tylko przekonać do niego opinię publiczną.
Pierwszym urządzeniem wyposażonym w system odzyskiwania kluczy C. Brooksa była TSD 3600, przystawka firmy AT&T umożliwiająca szyfrowanie rozmów telefonicznych [57]. Spółka ta od wielu lat współpracowała z NSA produkując na jej zlecenie bezpieczne telefony dla administracji rządowej. Na początku lat 1990. zmierzając do poszerzenia kręgu swych klientów firma rozpoczęła pracę nad tanim systemem kryptografii głosowej przeznaczonym dla domowych użytkowników. Początkowo projektanci AT&T zamierzali wykorzystać w nim algorytm DES, gdy jednak przedstawiciele federalnej administracji zaproponowali im zaimplementowanie nowego, znacznie doskonalszego systemu, który wkrótce miał się stać krajowym standardem, zmienili zdanie [58].
W 1993 r. AT&T przygotowała zakrojoną na szeroką skalę kampanię reklamową, która miała przekonać Amerykanów do zakupu nowej, rewelacyjnej metody szyfrowania danych. Jak głosiła reklama TSD 3600 „jeśli niepokoi was możliwość podsłuchiwania cennych informacji obejmujących własność intelektualną, sprawy handlowe i strategię gospodarczą potrzebujecie takiego urządzenia. Nie musicie być inżynierami ani technikami, aby się nim posługiwać. Z łatwością połączycie je z telefonem stacjonarnym bądź komórkowym. Jest łatwe w użyciu i możliwe do swobodnego przenoszenia. Aby chronić treść rozmowy, wystarczy nacisnąć tylko jeden przycisk. Rozmowa jest wówczas automatycznie szyfrowana i bezpieczna” [59]. Mając do dyspozycji takie urządzenie, kto chciałby korzystać z „prymitywnego” tekstowego interfejsu PGP? A jednak Clipper poniósł spektakularna porażkę.
Rozwiązanie, które miało przywrócić agencjom wywiadowczym i organom ścigania możliwość wywiązywania się z ich ustawowych zadań spotkało się z miażdżącą krytyką specjalistów i zdecydowanym oporem klientów. W całym kraju za sprawą środowiska cypherpunks [60] na budkach telefonicznych należących do AT&T pojawiały się naklejki z rysunkiem stylizowanym na logo słynnego producenta mikroprocesorów, w którym zamiast napisu Intel Inside, widniał złowieszczy tekst Big Brother Inside. Prasa ostrzegała przed podcinaniem skrzydeł wolności obywatelskiej, a popularnym sloganem stało się zawołanie „Sink the Clipper Chip!” („Zatopmy Clippera”, w j. angielskim „clipper” oznacza m.in. szybki żaglowiec). Jak głosił jeden z komentarzy prasowych, „Clipper nie chroni tajemnic; on zmusza jednostki do bezwarunkowego uwierzenia, że rząd będzie respektował ich prawo do tajemnic. Zakłada, że rząd to dobry chłopiec, a reszta obywateli to źli chłopcy. Ci sami strażnicy prawa, którzy nielegalnie założyli podsłuch telefoniczny synowi Martina Lutera Kinga będą mogli nadal podsłuchiwać rozmowy chronione układem Clipper. W ciągu ostatnich pięciu lat za nielegalny podsłuch skazano wielu przedstawicieli organów ścigania (m.in. ze stanów Maryland, Connecticut, Vermont, Georgia, Missouri i Nevada). Marna to idea, jeśli może któregoś dnia ułatwić powstanie państwa policyjnego” [61].
Nie była to reakcja jakiej spodziewali się przedstawiciele władz federalnych. Gdy rząd przygotowywał inicjatywę odzyskiwania kluczy, jej pomysłodawcy byli przekonani, że niewiele osób będzie kwestionowało motywy ich działalności. Spodziewano się zażartej dyskusji na tematy techniczne, przygotowywano analizy dotyczące bezpieczeństwa deponowanych kluczy, antycypowano obawy dotyczące siły algorytmu [62], jednak władze nie brały pod uwagę tego, że zostaną zaatakowane podstawy systemu deponowania kluczy kryptograficznych. Stąd też, gdy podczas telewizyjnej debaty z reprezentującą ekspertów administracji rządowej profesor D. E. Denning, aktywista Electronic Frontier Foundation J. Berman posłużył się prostą analogią, „a gdyby tak każdy Amerykanin musiał zostawiać na posterunku policji duplikaty kluczy do swego mieszkania?”, jego interlokutorka nie była w stanie udzielić żadnej odpowiedzi [63]. Rządowa kampania o poparcie społeczne dla Clippera poniosła klęskę zanim się jeszcze na dobre rozpoczęłal [64].
O definitywnym wycofaniu się rządu z realizacji pomysłu C. Brooksa zadecydowała jednak nie nieprzychylna opinia publiczna, lecz wyniki eksperymentu przeprowadzonego przez pracownika AT&T. M. Blaze był jednym z wielu niezależnych ekspertów, do których NSA zwróciła się z prośbą o przetestowanie zaprojektowanego przez nią systemu odzyskiwania kluczy. Podczas gdy inni specjaliści skupiali się w swych analizach nad bezpieczeństwem algorytmu zastosowanego w Clipperze, Blaze postanowił sprawdzić, czy istnieje jakaś metoda ominięcia konieczności deponowania kluczy. Przełom w prowadzonych przez niego testach nastąpił, gdy analizując dokumentację algorytmu zauważył, że suma kontrolna pola LEAF, umożliwiająca potwierdzenie zdeponowania klucza szyfrującego miała długość zaledwie 16 bitów, co dawało raptem 655536 możliwych kombinacji. Od tego momentu wszystko potoczyło się bardzo szybko. W ciągu kilku godzin Blaze przygotował specjalny program komputerowy, umożliwiający przetestowanie wszystkich możliwych wartości sumy kontrolnej i podłączył go do testowanego systemu. Jak sam przyznaje, nie spodziewał się by jego rozwiązanie się sprawdziło. Było zbyt oczywiste, by mogli je przeoczyć tak wybitni fachowcy jak kryptolodzy z NSA. A jednak, skonstruowany przez niego „zmiatacz LEAF” działał doskonale. Po niespełna trzech kwadransach prób Blaze był w stanie wysłać sumę kontrolną, która wprowadzała w błąd system deponowania, informując go błędnie, że przesłane dane umożliwią w razie potrzeby dostęp do zdeponowanego klucza, podczas gdy w rzeczywistości trafiały one w próżnię. Zamiast tego podsłuchujący miał do czynienia z rozmową zaszyfrowaną za pomocą 128 bitowego algorytmu, którego złamanie mogło zabrać wiele lat nawet specjalistom z NSA [65]. Prześmiewcze pytanie postawione podczas jednej z publicznych debat na temat systemu deponowania kluczy przez J. P. Barlowa, „ile superkomputerów Cray zatańczy na główce od Clippera” [66], nabrało zupełnie nowego znaczenia. Drobna poprawka wprowadzona do projektu C. Brooksa sprawiła, iż NSA osiągnęła efekt dokładnie odwrotny do zamierzonego. Dalsze lobbowanie za Clipperem było bezcelowe.
Uwolnienie dostępu do silnej kryptografii
Porzucenie projektu Clipper nie było jednak równoznaczne z wycofaniem idei wprowadzenia obowiązkowego mechanizmu odzyskiwania kluczy. W parę tygodni po opublikowaniu przez New York Times odkrycia M. Blaze’a („Wykryto błąd w federalnym planie podsłuchu” [67]) wiceprezydent A. Gore oświadczył, iż administracja rozumie obawy dotyczące mikroukładu Clipper, jednak nie zamierza zrezygnować z pomysłu ograniczenia dostępu do silnej kryptografii. W lipcu 1997 r., Prokurator Generalny USA, J. Reno wraz z siedmioma innymi kierownikami agencji federalnych odpowiedzialnych za egzekwowanie prawa, zwróciła się do amerykańskich kongresmanów z prośbą o poparcie ustawy modyfikującej krajową infrastrukturę zarządzania kluczami w celu umożliwienia uprawnionym organom odtwarzania kluczy kryptograficznych [68]. Kilka dni później z podobnym apelem do Kongresu zwrócili się przewodniczący międzynarodowego stowarzyszenia policjantów i krajowego stowarzyszenia prokuratorów. „Wszyscy jesteśmy zgodni co do tego, że Kongres powinien przyjąć ustawę o szyfrowaniu, która dopuszczałaby opracowywanie, produkowanie, rozprowadzanie i sprzedaż wyłącznie produktów z odtwarzaniem klucza. Jesteśmy zdecydowanie przeciwni jakimkolwiek innym regulacjom ustawowym.” [69]. Apele te nie pozostały bez echa. W 1998 r. do Kongresu trafił projekt ustawy senatorów J. Ashcrofta i P. Leathy’ego (E-Privacy Act S.2067) przewidujący m. in. powołanie krajowego ośrodka technologii elektronicznej, którego celem byłoby wspomaganie organów ścigania w deszyfrowaniu wiadomości, oraz pomoc w sytuacji gdy podejrzani stosowali steganografię, kompresję lub inne podobne techniki. Ponadto projekt przewidywał kryminalizację celowego wykorzystania kryptografii do ukrywania obciążających informacji oraz zakaz rozprowadzania jakichkolwiek układów szyfrujących uniemożliwiających szybki dostęp do tekstu jawnego zgodnie z nakazem sądowym.
Głównym argumentem zwolenników wprowadzenia ustawy była konieczność umożliwienia organom ścigania wykonywania stawianych przed nimi zadań. Jak napisała w swej ekspertyzie D. E. Denning, odzyskiwanie kluczy jest nie tyle planem powszechnej inwigilacji, co planem zachowania wypróbowanych metod pozyskiwania dowodów. “Nie daje on rządowi żadnych nowych uprawnień, ani zwiększonych możliwości przechwytywania komunikacji lub zatrzymywania dokumentów elektronicznych. Nie zawiera też propozycji wzmocnienia nadzoru państwa.” [70]. Naczelny dyrektor FBI L. Freeh wypowiadał się bardziej zdecydowanie “[naszym] celem jest dostęp do rozmów, niezależnie od tego czy są prowadzone za pomocą zer i jedynek, czy też jakiegokolwiek innego środka. Czymkolwiek one są, potrzebujemy ich” [71]. Powód? „Powstrzymanie kryptograficznej Bośni!” [72].
Zdaniem przedstawicieli agencji federalnych odpowiedzialnych za egzekwowanie prawa, zezwolenie na publiczny dostęp do silnej kryptografii, byłoby działaniem porównywalnym do dozbrajania Serbów w czasie wojny byłej Jugosławii. Nie bez powodu rząd traktował kryptografię jako broń, w nieodpowiednich rękach stanowiła ona równie niebezpieczne narzędzie jak bomby czy sarin. Sekta Aum Shinrikyo odpowiedzialna za ataki gazowe w tokijskim metrze, wykorzystywała algorytm RSA do ukrywania informacji na temat własnych działań. W podobny sposób plany zamachów chronił R. Yousef, jeden z terrorystów odpowiedzialnych za zamach bombowy na World Trade Center. Kartel z Cali uzgadniał szczegóły transakcji narkotykowych korzystając ze specjalnie zmodyfikowanych telefonów komórkowych umożliwiających prowadzenie szyfrowanych rozmów. Na komputerach należących do członków międzynarodowej siatki pedofilii znaleziono szereg zaszyfrowanych plików z pornografią dziecięcą [73]. Nie były to wcale odosobnione przypadki, jak wynikało ze studium przeprowadzonego na zlecenie amerykańskiego Narodowego Ośrodka Strategii Informacyjnej do 1997 r. policja na całym świecie spotkała się z ponad 500 próbami stosowania metod kryptograficznych przez przestępców i wedle dostępnych analiz liczba tego rodzaju zdarzeń miała rosnąć [74].
Terroryści, handlarze narkotykami, mafia, pedofile – „czterej jeźdźcy infokalipsy” [75]. Przez wiele lat zwalczano ich przede wszystkim dzięki dowodom z podsłuchów, gdyby uzyskali dostęp do najbardziej zaawansowanych systemów komputerowych i silnej kryptografii, możliwości dochodzeniowo-śledcze służb wywiadowczych i policyjnych zostałyby znacznie osłabione. Miliardy dolarów wydane przez NSA na globalny system inwigilacji elektronicznej nie przyniosą oczekiwanych efektów, jeśli sygnały przechwytywane przez stacje nasłuchowe systemu Echelon okażą się chaotycznym ciągiem znaków, na podstawie których niemożliwe jest odtworzenie jawnej treści komunikacji.
Jakkolwiek wielu obrońców praw obywatelskich podzielało obawy przedstawicieli władz federalnych, ich zdaniem było już za późno na podjęcie działań zmierzających do ograniczenia dostępu do silnej kryptografii. Z momentem opublikowania artykułu Rivesta, Shamira i Adlemana kryptografia asymetryczna stała się przedmiotem wiedzy powszechnej i nie było żadnego sposobu by ją utajnić. Każdy, kto chciał zabezpieczyć swoje dane przed nieuprawnionym dostępem osób trzecich (niezależnie od tego czy były nimi wścibskie siostry, przestępcy komputerowi, czy agenci NSA), mógł to uczynić bez najmniejszych problemów. Na całym świecie istniały dziesiątki serwerów, z których można było pobrać za darmo program PGP i podobne aplikacje. Kryptograficzny software trafił też na płyty CD dodawane do pism komputerowych sprzedawanych w setkach tysięcy egzemplarzy. Tajemnicy nie stanowiły też zaimplementowane w nich algorytmy. By wykorzystać je dla ochrony danych komputerowych nie trzeba kończyć kosztownych studiów informatycznych, wystarczy przy pomocy kilku prostych poleceń skompilować powszechnie dostępne kody źródłowe. Stąd też jak pisał jeden z twórców algorytmu RSA R. Rivest, „wprowadzenie ogólnych zakazów stosowania pewnych osiągnięć techniki tylko dlatego, że mogą z nich skorzystać przestępcy jest kiepską polityką. Na przykład każdy obywatel Stanów Zjednoczonych może swobodnie kupić rękawiczki, choć włamywacze również mogą skorzystać z rękawiczek by przetrząsnąć cudzy dom nie pozostawiając przy tym odcisków palców. Kryptografia to technika ochrony danych, podobnie jak rękawiczki to technika ochrony dłoni. Kryptografia chroni dane przed włamywaczami komputerowymi, szpiegami gospodarczymi i oszustami, natomiast rękawiczki chronią dłonie przed zranieniem, zadrapaniem, zimnem i zarazkami. Kryptografia może uniemożliwić FBI podsłuchiwanie, a rękawiczki zbieranie odcisków palców. Kryptografia i rękawiczki są tanie i powszechnie dostępne. W rzeczywistości ściągnięcie z Internetu dobrego programu kryptograficznego kosztuje nawet mniej niż para dobrych rękawiczek” [76].
O ostatecznym rozstrzygnięciu sporu o powszechny dostęp do silnej kryptografii przesądziły jednak nie tyle argumenty zwolenników nieograniczonych swobód obywatelskich, co lobbing ich niespodziewanych sojuszników, międzynarodowych korporacji. Handel elektroniczny to jeden z najszybciej rozwijających się działów gospodarki. W połowie lat 1990. analitycy Gartner Group szacowali, że w 2000 r. obroty sklepów internetowych przekroczą 67 miliardów USD, z czego ponad 57 miliardów miało przypaść firmom amerykańskim. Inne prognozy, wykazywały, iż suma ta może sięgnąć nawet 80 miliardów USD [77]. By jednak te analizy się sprawdziły klienci korzystający z usług firm internetowych, musieli mieć pewność, iż ich pieniądze są prawidłowo chronione. Użytkownicy sieci nie zdecydują się na dokonanie transakcji internetowej, jeśli nie zyskają gwarancji, iż ich oszczędności nie trafią na konto przestępcy komputerowego, który korzystając z oprogramowania szpiegowskiego monitoruje ruch sieciowy w poszukiwaniu numerów kart płatniczych. Podobnie, firmy nie zdecydują się na przesyłanie poufnych danych za pośrednictwem łącz teleinformatycznych, jeśli czynność ta będzie wiązała się z ryzykiem ujawnienie ich tajemnic przemysłowych, czy przechwycenie przez konkurencję ich własności intelektualnej [78]. Gwarancję poufności tych danych mogła dać tylko silna kryptografia [79].
W 1998 r. głos w debacie nad powszechnym dostępem do silnej kryptografii zabrało stowarzyszenie Americans for Computer Privacy. Była to nieformalna koalicja ponad 40 amerykańskich korporacji, w tym IBM, Microsoft, Novell, Sun i RSA Data Security [80]. Zdaniem przedsiębiorców wprowadzanie ograniczeń co do długości kluczy kryptograficznych, ustanawianie obowiązkowych mechanizmów deponowania kluczy, restrykcje eksportowe, czy jakiekolwiek inne ingerencje w swobodę korzystania z silnej kryptografii, nie tylko naruszały przysługujące każdemu obywatelowi USA prawo do prywatności, ale i naruszały ekonomiczne interesy setek amerykański firm i tysięcy ich udziałowców [81]. Brak możliwości wykorzystywania przez podmioty prywatne bezpiecznych algorytmów kryptograficznych oznaczał, iż korporacje musiały zrezygnować z najbardziej efektywnego środka komunikacji. Ograniczenia eksportowe znacznie utrudniały amerykańskim firmom konkurowanie na rynkach międzynarodowych. System odzyskiwania kluczy rodził z kolei niebezpieczeństwo, iż osoby mające do nich dostęp mogły je wykorzystać nie w celu identyfikowania sprawców przestępstw, lecz przechwycenia setek milionów USD przesyłanych każdego dnia za pośrednictwem łącz internetowych [82]. Zapewnienia waszyngtońskiej administracji, iż do chroniących je kluczy będą mieli dostęp wyłącznie uprawnieni przedstawiciele organów ścigania nie przekonywały członków ACP. Jak stwierdził jeden z krytyków postulatów L. Freeha, jeśli żądania FBI zostaną spełnione, „kilku policjantów stanie się złodziejami, a paru złodziei wstąpi do policji” [83]. Decydującym okazał się być jednak argument utraty miejsc pracy. Z rozpowszechnionej wśród kongresmanów analizy Computer Systems Policy Project wynikało, iż wdrożenie projektów agencji wywiadowczych mogło spowodować utratę przez amerykańskie firmy nawet 60 miliardów USD i grozić bezrobociem dla 200 000 wysoko wykwalifikowanych pracowników [84].
Argumenty Americans for Computer Privacy okazały się być na tyle przekonywujące, by w 1999 r. przeszło 250 członków Izby Reprezentantów podpisało się pod inicjatywą ustawodawczą znoszącą najważniejsze ograniczania w obrocie i rozpowszechnianiu silnej kryptografii. Zgłoszony jeszcze w 1997 r. przez senatora W. Goodlatte projekt The Security and Freedom Through Encryption Act (SAFE HR 695), przewidywał m. in. swobodę korzystania z dowolnych programów kryptograficznych, łagodził zasady obrotu aplikacjami kryptograficznymi znosząc wiele ograniczeń nakładanych przez ITAR na producentów i dystrybutorów oraz co nie mniej istotne, zabraniał agencjom rządowym tworzenia zapadni, umożliwiających dostęp do zaszyfrowanych danych. Choć ostatecznie nie został on przyjęty, otworzył drogę dla innych aktów, które w mniej drażliwy dla NSA sposób realizowały postulaty zwolenników powszechnego dostępu do silnej kryptografii [85].
W styczniu 2000 r. Biały Dom wprowadził do Export Administation Regulations zmiany znoszące większość restrykcji kryptograficznych obowiązujących w Stanach Zjednoczonych. Parę dni później, podczas dziesiątej, jubileuszowej konferencji kryptograficznej RSA Conference 2000, J. Bidzos, prezes firm RSA Data Security zatrudniającej m.in. współtwórców systemu kryptografii asymetrycznej, wznosząc szampanem toast powiedział, “walka jest skończona, nasi chłopcy wygrali” [86].
Włodzimierz Gogłoza
2007, Copyright is a nine letter word
—
1. B. Schneier, Kryptografia dla praktyków. Protokoły, algorytmy i programy źródłowe w języku C, wyd. II zmienione i rozszerzone, Warszawa 2002, s. 21.
2. D. Kahn, Łamacze kodów. Historia kryptologii, Warszawa 2004, passim.
3. Zob. D. E. Denning, Wojna informacyjna i bezpieczeństwo informacji, Warszawa 2002, s. 187-202 oraz P. R. Keefe, Chatter. Dispatches Form the Secret World of Global Eavesdropping, New York: Random House 2005, passim.
4. Co wykazał zespół informatyków Electronic Frontier Foundation, który w czerwcu 1998 r. nakładem 250 tysięcy USD, stanowiącym ułamek promila budżetów wyżej wymienionych agencji wywiadowczych, zbudował superkomputer, który w ciągu 56 godzin złamał 56 bitowy szyfr DES (Data Encryption Standard) promowany przez rząd USA jako oficjalny standard kryptograficzny. Sześć miesięcy później ten sam zespół zdołał złamać kolejny szyfr DES po upływie 22 godzin. Obecnie zadanie to uznaje się za trywialne. Zob. http://www.eff.org/Privacy/Crypto/Crypto_misc/DESCracker/
5. W. Diffie, M. E. Hellman, New Directions in Cryptography, “IEEE Transactions on Information Theory” 22 (1976), s. 644-655, R. C. Merkle, Secure Communication over Insecure Channels, “Communications of ACM” 21 (1978), s. 294-299; R. Rivest, A. Shamir, L. Adleman, A Method for Obtaining Digital Signatures and Public Key Cryptosystems, “Communications of the ACM” 21 (1978), s. 120-126; W. Diffie, The First Ten Years of Public-Key Cryptography, “Proceedings of IEEE” 76 (1988), s. 560-577.
6. S. Levy, Rewolucja w kryptografii, Warszawa 2002, s. 75-97.
7. J. D. Davidson, L. W. Rees-Mogg, The Sovereign Individual. Mastering the Transition to the Information Age, New York: Touchstone 1999, passim.
8. D. Banisar, B. Schneier, The Electronic Privacy Papers: Documents on the Battle for Privacy in the Age of Surveillance, Indianapolis: John Wiley & Sons 1997, passim, L. J. Hoffman, Building in Big Brother. The Cryptographic Policy Debate, Springer-Verlag, 1995, passim.
9. T. C. May, The Cyphernomicon: Cypherpunks FAQ and More, Version 0.666, 1994, dokument elektroniczny dostępny pod adresem http://miniurl.pl/cypher, punkt 16.3., brak paginacji.
10. S. Levy, op. cit., s. 15-46.
11. Ibid., s. 28.
12. W. Diffie we wstępie do B. Schneier, op. cit., s. 17-18.
13. S. Levy, op. cit., s. 41.
14. Ibid., s. 47- 74. Zob. też B. Schneier, op. cit., s. 341-345.
15. Zob. W. Diffie, S. Landau, Privacy on the Line: The Politics of Wiretapping and Encryption, Cambridge: Massachusetts Institute of Technology Press 1999, s. 49-76.
16. B. Schneier, op. cit., s. 383-384.
17. Ibid., s. 358-359.
18. J. Bamford, The Puzzle Palace: Inside America’s Most Secret Intelligence Organization, New York: Penguin Books 1983, s. 435-436.
19. Cytat za S. Levy, op. cit., s. 48.
20. J. Bamford, op. cit., s. 438.
21. S. Levy, op. cit., s. 83.
22. W. Diffie, M. E. Hellman, op. cit., passim.
23. Ibid., s. 645.
24. R. Merkle, op. cit., passim.
25. R. Rivest, A. Shamir, L. Adleman, op. cit., passim.
26. H. Truman, Memorandum for: The Secretary of State, The Secretary of Defense, A20707 5/4/54/OSO, NSA TS CONTL. NO 73-00405, 24-11-1952.
27. Zob. J. Bamford, op. cit., passim; Id., Body of Secrets: Anatomy of the Ultra-Secret National Security Agency, New York: Random House 2002, passim, oraz D. Kahn, op. cit., s. 787-864.
28. Fakt istnienia NSA oficjalnie potwierdzono dopiero w 1958 r. (Office of the Federal Register, United States Government Organization Manual 1957-1958, Washington, D.C.: GPO 1958), jednak do opinii publicznej informacje o jej działalności dotarły dopiero na początku lat 1970., kiedy to The New York Times opublikował ściśle tajne dokumenty dotyczące wojny w Wietnamie, znane szerzej jako Pentagon Papers (N. Sheehan, Vietnam: Pentagon Study Traces 3 Decades of Growing U.S. Involvment, „The New York Times”, 13-06-1971). Zob. J. Bamford, Puzzle…, s. 356-365. Pierwszą polską pracą poświeconą działalności NSA (w kontekście naruszeń prawa do prywatności) jest praca W. Sokolewicza, Prawo do „prywatności”, [w:] L. Pastusiak (red.), Prawa człowieka w Stanach Zjednoczonych, Warszawa 1985, s. 277-277.
28. Zob. np. J. Bamford, Big Brother is Watching, transkrypcja wykładu wygłoszonego 06-06-2002 w ramach Independent Institute Policy Forum, dostępna na stronie http://www.independent.org.
29. J. Bamford, Puzzle…, passim; Id., Body of…, passim.
30. Wśród 95 języków (nie wliczając dialektów) wykładanych w tej szkole jest też język polski. Id., Body of Secrets…, s. 654-655.
31. D. E. Denning, op. cit., s. 195.
32. M. Gardner, A New Kind of Cipher That Would Take Million of Years to Break, “Scientific American” 237 (1977), s. 120-124.
33. J. Bamford, Puzzle…, s. 426-457.
34. W. Diffie, S. Landau, op. cit., s. 62-63. Co warte podkreślenia, ani prawnicy NSA, ani też Prokurator Generalny USA, do którego zwrócił się w tej sprawie przewodniczący National Science Foundation, nie byli w stanie wskazać jakiejkolwiek podstawy prawnej dla tego stanowiska. Zob. U.S. House of Representatives, Committee on Government Operations, Government Information, and Individual Rights Subcommittee, The Government’s Classification of Private Ideas, 96th Congerss, 2nd Session, House Report 96-1540 (1980), s. 77-80.
35. D. Shapley, G. B. Kolata, Cryptology: Scientists Puzzle Over Threat to Open Research, “Science”, September 1977, s. 1345-1349, przytaczam za J. Bamford, Puzzle…, s. 444.
36. 22 CRF 120-130, Office of Munitions Control, November 1989. Obszerne fragmenty tego rozporządzenia w polskim tłumaczeniu są dostępne w B. Schneier, op. cit., s. 735-740. Jak zaznacza W. Diffie we wstępie do cytowanej pracy, efekt jaki wywołał list Mayera był dokładnie odwrotny od zamierzonego, „nieuzasadnione niczym stanowisko NSA (…) przysporzyło zarówno jawnej kryptografii, jak i Sympozium Teorii Informacji niespodziewanej popularności”. Ibid., s. 19.
37. Zob. L. Gilbert, Patent Secrecy Order: The Unconstutionality of Interference in Civilian Cryptography, “Santa Clara Law Review” 22 (1981), s. 325 i n.; K. Pierce, Public Cryptography, Arms Export Controls, and the First Amendment, “Cornell International Law Journal” 17 (1984), s. 197, oraz L. Kruh, The Control of Public Cryptography and Freedom of Speech – A Review, „Cryptologia” Vol. 10, No. 1, 1986, s. 2 i n.
38. Report of the Public Cryptography Study Group, American Council of Education, 07-02-1981.
39. Zob. J. Bamford, Puzzle…, s. 446-449, oraz S. Levy, op. cit., s. 122 i n.
40. Wzburzony decyzją NSA Nicolai powiedział później w wywiadzie udzielonym pismu Science, iż jego zdaniem „nakaz utajnienia [prowadzonych przez niego badań] wydaje się być częścią szerszego planu [NSA] zmierzającego do ograniczenia prawa do prywatności amerykańskich obywateli. Przez całe lata podsłuchiwali rozmowy telefoniczne i gdy znalazł się ktoś, kto uczynił ich działania nieco trudniejszymi, próbują go powstrzymać pod płaszczykiem narodowego bezpieczeństwa.” D. Shapley, NSA Slaps Secrecy Order on Inventor’s Communications Patent, “Science” September 1978, s. 891.
41. J. Bamford, Puzzle…, s. 449.
42. W. Diffie we wstępie do B. Schneier, op. cit. , s. 20.
43. Cytat za S. Levy, op. cit., s. 201.
44. Był m.in. dwukrotnie aresztowany za udział w nielegalnych protestach przeciwko powiększaniu przez USA arsenału nuklearnego. Zob. S. Levy, op. cit., s. 195.
45. Ibid., s. 202.
46. Zob. materiały zgromadzone w internetowym archiwum Electronic Frontier Foundation, EFF Legal Cases- PGP & Phil Zimmermann Archive, http://www.eff.org/pub/Legal/Cases/PGP_Zimmermann/.
47. P. Zimmermann, PGP: Source Code and Internals, Cambridge: Massachusetts Institute of Technology Press 1995. Warto nadmienić, iż książka ta została wydrukowana z użyciem specjalnej czcionki, umożliwiającej łatwe zeskanowanie i skompilowanie kodu źródłowego programu.
48. W. Diffie, S. Landau, op. cit., s. 205-206.
49. Zob. Ibid., s. 106-107 oraz materiały zgromadzone na stronie http://people.qualcomm.com/karn/export/ i w internetowym archiwum Electronic Frontier Foundation, EFF Legal Cases – Karn v. US Department of State Archive – http://www.eff.org/Privacy/Crypto_export/Karn_Schneier_export_case/.
50. Karn v. United States Department of State, 925 F. Supp. 1 (D.D.C. 1996).
51. Bernstein v. United States Department of Justice, 176 F.3d 1132 (9th Cir. 1999).
52. Ibid. Zob. też orzeczenie w sprawie Junger v. Daley, 209 F.3d 481, (6th Cir. 2000), w którym sąd stwierdził, iż „dla osób biegłych w językach programowania kod źródłowy jest najbardziej efektywnym i precyzyjnym sposobem rozpowszechniania wiedzy na temat kryptografii”. Szerzej na temat obu tych spraw w D. J. Solove, M. Rotenberg, Information Privacy Law, New York: Aspen Publishers 2003, s. 344-351.
53. Bernstein v. United States Department of Justice, 176 F.3d 1132 (9th Cir. 1999).
54. B. Schneier, op. cit., s. 716-717.
55. D. E. Denning, The Case for Clipper, “MIT Technology Review” July 1995, s. 48-55.
56. B. Schneier, op. cit., s. 720.
57. Niebagatelny wpływ na ich decyzje miał również fakt, że ich pracodawca negocjował właśniekolejny rządowy kontrakt opiewający na sumę 10 miliardów USD.
58. Cytat za S. Levy, op. cit., s. 239. Co warte podkreślenia w instrukcji obsługi załączanej do urządzenia opis jego funkcjonalności i bezpieczeństwa nie był już tak imponujący – „AT&T nie gwarantuje, że aparat ochrania zaszyfrowaną transmisję przed atakami kryptograficznymi agencji rządowych, ich agentami ani innych stron trzecich. Ponadto AT&T nie gwarantuje, że TSD chroni przed atakiem na wymianę informacji metodami, które pomijają szyfrowanie”. AT&T, Telephone Security Device TSD 3600 – User’s Manual, 1992.
59. Nieformalna grupa skupiona wokół internetowej listy dyskusyjnej cypherpunks@toad.com. W latach 1991-2001 zapisało się na nią przeszło 1500 osób z całego świata (w tym także z Polski), jednakże ton prowadzonym na niej dyskusjom nadawali przede wszystkim pracownicy naukowi University of California w Berkeley, Massachusetts Institute of Technology oraz informatycy i specjaliści od bezpieczeństwa systemów teleinformatycznych zatrudnieni w największych firmach IT kalifornijskiej Doliny Krzemowej. Do najbardziej znanych przedstawicieli tego środowiska należą T. C. May – główny fizyk firmy Intel (największego na świecie producenta mikroprocesorów), zdobywca prestiżowej nagrody W. R. G Bakera, zwanej potocznie „Noblem informatyków”, autor The Crypto Anarchist Manifesto (1988), twórca techniki steganograficznej opartej na podmianie najmniej znaczących bitów, a według Computer Emergency Response Team (http://www.cert.org) jeden z „dziesięciu najbardziej niebezpiecznych hackerów” w USA; J. Gilmore – informatyk, założyciel firmy Sun Microsystems, fundator i członek zarządu Electronic Frontier Foundation (http://www.eff.org); W. Diffie – jeden z najwybitniejszych kryptologów XX w., współtwórca kryptografii asymetrycznej; D. Chaum – profesor informatyki University of California w Berkeley, przewodniczący International Association of Cryptographic Research (http://www.icar.org), twórca wielu oryginalnych algorytmów kryptograficznych, w tym anonimowej cyfrowej gotówki; M. Blaze – profesor informatyki University of Pennsylvania, który zasłynął za sprawą złamania systemu obligatoryjnego deponowania kluczy kryptograficznych opracowanego przez amerykańską National Security Agency; E. Hughes – doktorant Wydziału Matematyki University of California w Berkeley, asystent D. Chauma, autor A Cypherpunk’s Manifesto (1992).
60. B. Schneier, Kryptografia dla praktyków. Protokoły algorytmy i programy źródłowe w języku C, wydanie I, Warszawa 1995, s. XX.
61. E. F. Brickell, D. E. Denning, S. T. Kent, D. P. Maker, W. Tuchman, The SKIPJACK Review, Interim Report, 12-06-1993.
62. 700 Club report on the Clipper Chip, 20-10-1993, transkrypcja dostępna w internetowym archiwum Electronic Frontier Foundation, http://www.eff.org/Privacy/Key_escrow/Clipper/
63. Z badań opinii społecznej przeprowadzonych na zlecenie CNN i The New York Times wynikało, iż 80% Amerykanów opowiadała się zdecydowanie przeciwko projektowi Clipper. Zob. P. Elmer-Dewitt, Who Should Keep the Keys?, “The New York Times” 14-04-1994. Znamienny jest również fakt, iż na przeszło 320 listów z opiniami nt. projektu Clipper, jakie nadeszły do National Institute of Standards and Technology, tylko dwa były pozytywne, autorką pierwszego z nich była D. E. Denning, ekspert rządu USA do spraw bezpieczeństwa systemów teleinformatycznych, drugiego zaś firma Motorola, która starała się o rządowy kontrakt na dostawę bezpiecznych telefonów. Zob. W. Diffie, S. Landau, op. cit., s. 212.
64. M. Blaze, Protocol Failure in the Escrowed Encryption Standard, “Proceedings of Second ACM Conference on Computer and Communications Security” November 1994.
65. J. P. Barlow, The Plain Text on Crypto Policy, “Communications of ACM”, October 1993, przytaczam za wersją elektroniczną dostępną na stronie internetowej autora http://homes.eff.org/~barlow/library.html, brak paginacji. Superkomputery Cray były wówczas uznawane za najmocniejsze obliczeniowo maszyny na świecie.
66. J. Markoff, Flaw Discovered in Federal Plan for Wiretapping, “The New York Times” 02-06-1994.
67. D. Denning, op. cit., s. 481.
68. Ibid., loc. cit.
69. Ibid., s. 482.
70. Wypowiedź wygłoszona 26-09-1994, podczas Conference on Global Cryptography, przytaczam za S. Levy, op. cit., s. 305.
71. K. W. Dam, H. S. Lin, The Cryptography Wars, “The Washington Post” 23-07-1996. W czasie gdy w USA toczyła się debata nad powszechnym dostępem do silnej kryptografii, w Bośni i Hercegowinie przybierała na sile wojna domowa. Inne często przywoływane w tej debacie określenie to „cyfrowe Pearl Harbor”. Zob. np. D. Denning, op. cit., s. 463. O tym, iż dla przedstawicieli amerykańskich agencji wywiadowczych ta wojenna retoryka nie miała charakteru metaforycznego może świadczyć fakt, iż w 1994 r. podczas przesłuchania J. Bidozsa, prezesa RSA Data Security Inc. będącej wówczas największym na świecie producentem programów kryptograficznych, pracownik NSA groził mu śmiercią jeśli jego firma nie zaprzestanie działalności godzącej w bezpieczeństwo narodowe USA. W kilka dni po tym incydencie Agencja wystosowała oficjalne przeprosiny. D. Bank, The Keys to the Kingdom, „San Jose Mercury News” 27-06-1994, przytaczam za J. Shearer, P. Gutmann, Government,Cryptography and the Right to Privacy, “Journal of Universal Computer Science” Vol. 2, No. 3 (1996), s. 123.
72. Informacje na temat wykorzystywania silnej kryptografii przez przestępców pochodzą z pracy D. Denning, W. E Baugh Jr., Hiding Crimes in Cyberspace, [w:] P. Ludlow (red.) Crypto Anarchy, Cyberstates, and Pirate Utopias, Cambridge: Massachusetts Institute of Technology Press 2001, s. 115-142.
73. Ibid.
74. Autorem tego terminu jest T. C. May, op. cit., punkt 8.3.4., brak paginacji.
75. Za S. Singh, Księga szyfrów. Od starożytnego Egiptu do kryptografii kwantowej, Warszawa 2001, s. 329.
76. S. Levy, op. cit., s. 312.
77. Z danych zebranych przez FBI wynikało, iż w połowie lat 1990. co najmniej dwadzieścia zagranicznych agencji wywiadowczych było zaangażowanych w szpiegostwo przemysłowe przeciwko amerykańskim firmom. A. M. Froomkin, The Metaphor Is the Key: Cryptography, the Clipper Chip, and the Constitution, „University of Pennsylvania Law Review” (143) 1995, s. 723.
78. Na temat wykorzystywania silnej kryptografii przez przedsiębiorców zob. np. W. Diffie, S. Landau, op. cit., s. 42-48.
79. Zob. archiwalną stronę internetową http://www.computerprivacy.org.
80. Testimony of D. J. Bidzos vice chair of RSA Data Security, Inc. on behalf of Americans for Computer Privacy, Immediate Need For Relaxation of Export Controls For Software and Hardware With Encryption Capabilities, Commerce Science and Transportation Committee of the U.S. Senate, Washington, D.C., 10-06-1999, http://www.senate.gov/~commerce/hearings/0610bod.pdf.
81. H. Abelson, R. Anderso, S. M. Bellovin, J. Benaloh, M. Blazze, W. Diffie, J. Gilmore, P. G. Neumann, R. L. Rivest, J. Schiller, B. Schneier, The Risk of Key Recovery, Key Escrow, and Trusted Third Party Encryption, “World Wide Web Journal” vol.2, no. 3, Summer 1997, s. 241-257.
82. Wypowiedź D. D. Friedmana wygłowszona podczas debaty telewizyjnej z byłym Prokuratorem Generalnym USA Edwinem Messe III, w programie Uncommon Knowledge z dnia 21-11-1997, transkrypcja dostępna pod adresem http://www.hoover.org/publications.uk/3420596.html. Warto w tym miejscu przytoczyć raport General Accounting Office z 1993 r., z którego wynika, iż dane zgromadzone przez FBI w National Criminal Information Center, są „rutynowo” wykorzystywane przez funkcjonariuszy, tak federalnych, jak i stanowych organów śledczych, do nieautoryzowanych celów. Dla przykładu policjanci z San Jose masowo sprzedawali raporty na temat osób znajdujących się w NCIC za 25$ od osoby. W. Madsen, NCIC Criticized for Open Security and Privacy Doors, „Computer Fraud and Security Bulletin”, September 1993, s. 12, przytaczam za J. Shearer, P. Gutmann, op. cit., s. 115.
83. Computer Systems Policy Project, Perspectives on Security In The Information Age, 1996. Warto zaznaczyć, iż były to dość konserwatywne wyliczenia, z analiz przeprowadzonych przez waszyngtoński Economic Strategy Institute wynikało, iż restrykcyjna polityka kryptograficzna mogła narazić gospodarkę amerykańską na stratę nawet 96 miliardów USD. A. Pressman, U.S. Encryption Limits Costs Economy $96 Billion, ”Reuters”, 01-04-1998.
84. Zob. D. Denning, op. cit., s. 470-484.
85. Cytat za S. Levy, op. cit., s. 108. O tym jak wielkie zainteresowanie budziła w USA ta kwestia najlepiej świadczy fakt, iż w konferencji tej wzięło udział ponad 10 tysięcy osób.
***
Tekst pojawił się wcześniej na stronie domowej Włodzimierza Gogłozy.
Dwie uwagi:
1. Złamanie dowolnego algorytmu szyfrowania można złamać brutalną siłą. A więć agencje 'posiadające nieograniczone środki’ mogłyby złamać. Tylko ostatnie przyspieszenie o 100x przy użyciu kart graficznych jest uważane za drobne – po prostu dla odpowiednio długich kluczy taka operacja trwa b. długo (choć może się to zmienić przy komputerach kwantowych. I tzw. kryptografia kwantowa nie jest odpowiedzią gdyż większość znanych mi algorytmów w kk polega na przesyłaniu z punktu do punktu – więc ani nie nadaje się do zastosowań 'domowych’ – typu kupowanie przez internet – ani do przechowywania danych).
2. System nie był chyba wielowątkowy (multithreading) tylko wieloużytkownikowy (multiusers) i wielozadaniowy (multitasking). Program wielowątkowy oznacza że jeden program odbywa się w kilku potokach wykonania (zwanych wątkami). System wieloużytkownikowy oznacza że wiele użytkowników jest w stanie go używać a wielozadaniowy że wiele programów może być na nim uruchomionych.
3. Nie znalazłem tego w tekście ale czy szyfrowanie w PGP nie polega na wylosowaniu klucza symetrycznego zaszyfrowaniu wiadomości tym kluczem i zaszyfrowaniu klucza kluczem prywatnym? Jest to optymalizacja gdyż szyfrowanie symetryczne jest wolniejsze – a w ten sposób nie traci się bezpieczeństwa.
AD1. Zgoda, ten fragment jest nieprecyzyjny, powinienem podkreslic iz chodzi o zlamanie szyfru w rozsadnym terminie.
AD2. Tez prawda, moj blad – powinien byc wielozadaniowy, nota bene wlasnie zauwazylem, ze i w samej nazwie systemu zrobilem literowke, wlasciwa to Compatible Time-Sharing a nie Compatibile Time Sharing jak napisalem.
AD3. W tym tekscie o tym nie pisalem, ale mozna o tym przeczytac tu – http://tinyurl.com/krypto (przyp. 23).
Dziekuje za uwagi (naniose wkrotce odpowiednie poprawki na wlasna strone) i pozdrawiam, WG.