Читаем Криптография и Свобода - 3 (СИ) полностью

получателя для зашифрования и свой секретный для расшифрования полученного

зашифрованного сообщения. Да и цифровая подпись попроще, не нужен специальный алгоритм

Эль-Гамаля, реализация цифровой подписи осуществляется с помощью тех же операций, что и

шифрование. Есть и еще один нюанс, показывающий преимущество реализации RSA по

сравнению с реализацией ЕС.

Когда я в первый раз прочитал требования американского национального института

стандартов и технологий (NIST) к реализации алгоритмов хеширования (о них – позже), то обратил

внимание на жестко заданное требование к последовательности действий, которые должна

совершать программа, реализующая алгоритм. Это инициализация (Init), обновление (Update) и

завершение (Final). Все! Никакой предварительной подготовки (Precomputing). И вот тут-то опять

появляются достоинства RSA: там никакой Precomputing и не требуется. А в ЕС для увеличения

скорости не обойтись без Precomputing. Дело в том, что операции с точками эллиптической

кривой требуют трудоемких операций с векторами и Precomputing заключается в составлении

таблицы умножения этих векторов. Это проделывается один раз перед началом сеанса работы, но

затем вместо сравнительно медленного умножения векторов в программной реализации

используются быстрые процедуры обращения к таблице умножения. Конечно же, Precomputing можно включить в Init, сделать индикатор заполнения таблицы умножения и проводить

Precomputing только тогда, когда этот индикатор еще не установлен. Но, во-первых, это лишняя

оперативная память, которая потребуется для реализации таблицы умножения, а во-вторых –

усложнение самой реализации. Если, например, речь идет о реализации алгоритма на

скромненьком чипе смарт-карты, то лишняя память, требуемая под Precomputing, может

оказаться решающим аргументом в споре RSA и ЕС.

Это простые и понятные аргументы, по которым становится ясно, почему RSA стал

общепризнанным мировым стандартом. Но не в России. В России асимметричным стандартом

стал EC. Почему? Ведь как RSA, так и EC – американские идеи.

В 80-х годах, когда я работал в Теоретическом отделе Спецуправления 8 ГУ КГБ СССР, там

анализировались обе схемы: как RSA, так и Диффи-Хеллмана. И вроде как нашли, что Диффи-

Хеллман более безопасный алгоритм. Его и анализировали побольше. Но речь тогда, почти 40 лет

назад, шла об абстрактном криптоанализе, да и применять асимметричную криптографию

планировали в основном в военных целях. А тут американцы начали снимать секретность со своей

криптографии,стали появляться общедоступные криптографические стандарты и

криптографические чиновники в России решили не отставать от Америки. Введем свои

криптографические стандарты!

Первым в 1989 году появился стандарт для симметричного шифрования. С ним вроде все

понятно: переделанная американская схема DES, анализировался долго, создан в ответ на

появление американского стандарта симметричного шифрования. А как быть с асимметричным

стандартом? Чем руководствоваться при его выборе?

И получилось так, что при выборе асимметричного стандарта в России в начале 90-х

руководствовались чем угодно, но только не простотой реализации. ЕС, как видоизмененный

Диффи-Хеллман, был выбран потому, что его больше анализировали и признали более

безопасным, чем RSA, с точки зрения возможности взлома. Возможно также, что свою роль

сыграли результаты взлома RSA с относительно небольшой длиной ключа (426 бит) с помощью

метода квадратичного решета. Так или иначе, но общепризнанные скорость и простота

реализации RSA при выборе российского асимметричного стандарта были проигнорированы.

Чиновники, на всякий случай, решили перестраховаться.

Отлили в гранит. Сделали ЕС национальным криптографическим стандартом России. А

национальный стандарт должен быть один и только один! Почему? А вы что, хотите чтобы

чиновники с несколькими стандартами возились? Дали один стандарт – и будьте довольны, вон

при Сталине не то, что криптографический стандарт, даже само слово «криптография»

произносить нельзя было. Попробуй возрази криптографическим чиновникам!

Но во всем мире пошли по другому пути. Множество специалистов пристально изучили

RSA со всех сторон. Были найдены оптимальные соотношения между скоростью и безопасностью

при использовании RSA. Защита от обычного взлома RSA обеспечивается при длине ключа 1024

бит и, следовательно, в большинстве практических случаев этой длины достаточно для

использования в «бытовых» криптографических целях. При длине 2048 бит безопасность

значительно возрастает, а скорость, соответственно, уменьшается. Этой длины достаточно для

важных использований RSA в коммерческой и гражданской криптографии. При длине ключа 4096

бит RSA становится настолько безопасным, что его можно использовать даже в Удостоверяющих

Центрах, сертификаты которых действуют десятки лет.

Алгоритм RSA органически встроен в большинство современных операционных систем, без него никак нельзя использовать те возможности, которыми они обладают.

Но в России чиновники встали с колен. Нам Америка не указ! Раз во всех ваших