Однако за кулисами этого, в остальном открытого, процесса АНБ курировало разработку генератора случайных чисел – ключевого компонента любого алгоритма шифрования. Как отражено в секретных документах, АНБ заявляло, что всего лишь хотело слегка «усовершенствовать» некоторые детали алгоритма, но на самом деле агентство стало его «эксклюзивным редактором» и засекретило весь процесс создания. Скомпрометировав генератор случайных чисел, причем таким способом, о котором знает только АНБ, агентство подорвало доверие к надежности всего стандарта шифрования. АНБ получило лазейку, которую оно могло использовать для расшифровки информации или получения доступа к компьютерным системам.
Участие АНБ в создании алгоритма не было секретом. Действительно, участие агентства придавало процессу некоторый престиж. Но менее чем через год после официального утверждения стандарта исследователи в области безопасности обнаружили очевидные слабые места в алгоритме и публично предположили, что эти недостатки были введены в алгоритм шпионским агентством. Известный эксперт в области компьютерной безопасности Брюс Шнайер обратил пристальное внимание на один из четырех методов генерации случайных чисел, одобренных NIST. И этот метод, писал он в 2007 г., «не похож на остальные».
Во-первых, Шнайер отметил, что этот алгоритм работал в три раза медленнее остальных. Кроме того, его «отстаивало АНБ, которые впервые предложило этот метод годом ранее в рамках связанного проекта по стандартизации в Американском национальном институте стандартов».
Шнейер был встревожен тем, что NIST будет продвигать посредственный алгоритм, который был принят с энтузиазмом тем агентством, чья основная задача заключается во взломе шифров. Однако никаких доказательств злого умысла АНБ не было. Несовершенство генератора случайных чисел не делало его бесполезным. Шнейер отметил, что существовал способ обхода недостатка алгоритма, хотя вряд ли кто-нибудь озаботился бы его реализацией. Тем не менее этот изъян держал криптографов в напряжении. АНБ, несомненно, знало об их беспокойстве, а также о возрастающем количестве признаков, указывающих на тайное вмешательство агентства. В агентстве рассчитывали на решение международной организации по стандартизации, которая представляет 163 страны, об официальном одобрении нового алгоритма. АНБ хотело распространить алгоритм по всему миру, чтобы отказаться от его использования компаниям было бы уже затруднительно.
Шнейер был озадачен, зачем АНБ нужно было использовать в качестве бэкдора такую очевидную, а теперь еще и всем известную уязвимость (годом ранее на слабость алгоритма впервые указали сотрудники компании Microsoft). Частично это могло быть связано со сделкой, которую, как сообщают, АНБ заключило с RSA, одной из ведущих мировых компаний в области компьютерной безопасности, пионером индустрии. Согласно опубликованному в 2013 г. отчету агентства Reuters, компания приняла на вооружение созданный АНБ алгоритм «даже до его одобрения в NIST. Позже АНБ ссылалось на раннее внедрение алгоритма в правительственных организациях, аргументируя положительное одобрение его в NIST». Алгоритм стал «использоваться по умолчанию для генерации случайных чисел» в программном продукте bSafe компании RSA, предназначенном для обеспечения безопасности, говорилось в докладе Reuters. «Бывшие сотрудники говорили, что это никого не встревожило, поскольку о сделке договаривались управленцы, а не технари». Согласно докладу Reuters, за согласие и готовность компании RSA внедрить слабый алгоритм в свой продукт ей заплатили $10 млн.
И не важно, что АНБ создало для себя очевидную лазейку. Алгоритм был внедрен в продукты, которые продавались одной из ведущих мировых компаний в области безопасности. Кроме того, он был одобрен не только NIST, но и международной организацией по стандартизации. Кампания АНБ по ослаблению глобальной безопасности ради собственных целей была проведена превосходно.
Когда в 2013 г. появились новости о «достижениях» АНБ благодаря документам, опубликованным Эдвардом Сноуденом, и RSA, и NIST хоть и дистанцировались от шпионского агентства, но не опровергли внедрение бэкдора.
В заявлении, сделанном после публикации доклада Reuters, компания RSA отрицала, что она пошла на тайную сделку с АНБ, и утверждала, что «мы никогда не вступали ни в какие договорные отношения и совместные проекты с намерением ослабления защиты продуктов RSA или внедрения потенциальных бэкдоров в наши продукты для их последующего использования кем бы то ни было». Но она не отрицала, что бэкдор существовал или мог существовать. Действительно, RSA утверждала, что несколькими годами ранее, когда было принято решение об использовании этого уязвимого генератора случайных чисел, «АНБ пользовалось доверием общества и прилагало усилия по повышению безопасности шифрования, а не его ослаблению». Но теперь это уже было не так. Когда опубликованные Сноуденом документы подтвердили подозрения о результатах работы АНБ, компания RSA призвала отказаться от использования этого генератора случайных чисел, так же поступил и NIST.
После сделанных Сноуденом разоблачений Комитет по стандартизации обнародовал собственное заявление. Представителям комитета пришлось очень тщательно подбирать слова. «NIST не будет преднамеренно ослаблять криптографические стандарты, – говорилось в публичном заявлении организации, которое совершенно явно оставляло допустимой вероятность того, что АНБ тайно внедрило уязвимость или сделало это против воли NIST. – NIST имеет богатую историю всестороннего сотрудничества с экспертами по криптографии мирового уровня ради поддержки надежных стандартов шифрования. [АНБ] участвовало в криптографических разработках института, поскольку в агентстве работают признанные эксперты в этой области. Кроме того, устав института требует проведения консультаций с АНБ».
Фактически Комитет по стандартизации говорил миру, что у него не было никаких возможностей воспрепятствовать АНБ. Даже если бы в комитете хотели отстранить АНБ от разработки стандартов, этого нельзя было сделать по закону. Высокопоставленный представитель АНБ, по всей видимости, поддержал этот аргумент. В декабре 2013 г. Анна Ньюбергер, которая отвечала в АНБ за взаимодействие с технологическими компаниями, дала интервью национальному блогу по вопросам безопасности Lawfare. Анну спросили о сообщениях, согласно которым агентство тайно ухудшило алгоритм в процессе его разработки. Она не подтвердила, но и не опровергла эти обвинения. Ньюбергер назвала NIST «крайне уважаемым и близким партером по многим вопросам». Однако она отметила, что «институт не входит в число членов разведывательного сообщества».
«Вся их деятельность абсолютно чиста, – продолжала Ньюбергер, подразумевая, что в работе института не было никакого злого умысла, а ее целью была исключительно защита шифрования и содействие обеспечению безопасности. – Они отвечают только за стандартизацию и усовершенствование и укрепление стандартов настолько, насколько это возможно».
Похоже, что Ньюбергер собиралась «выдать NIST индульгенцию», избавляющую институт от всякой ответственности за внедрение уязвимости.
Случай, связанный с проведенной в 2006 г. работой по снижению безопасности генератора случайных чисел, не был единичным. Это было частью масштабной, длительной кампании по ослаблению безопасности основных стандартов защиты информации, которыми частные лица и организации пользуются во всем мире. Судя по документам, АНБ и NIST сотрудничали еще в начале 1990-х гг. Задачей АНБ было ослабление стандартов шифрования еще до их официального утверждения и внедрения. АНБ контролировало процесс разработки стандарта DSS (цифровой подписи) – метода установления подлинности отправителя электронного сообщения и проверки достоверности содержащейся в сообщении информации. «NIST открыто предложил [стандарт] в августе 1991 г. и сначала не упоминал о каком-либо участии АНБ в его разработке. Этот стандарт предназначался для использования в несекретных гражданских системах», – рассказывают в Информационном центре защиты электронных персональных данных, который получил документы о разработке стандарта DSS с помощью Закона о свободе информации. После того как группа экспертов в области компьютерной безопасности подала судебный иск, NIST признал, что АНБ разработало стандарт, который «был подвергнут широкой критике представителями компьютерной индустрии за его низкую надежность и неполноценность по сравнению с существующими технологиями проверки подлинности». «Многие наблюдатели допускали, что [существующая] методика не получила одобрения АНБ, поскольку фактически она была более безопасной, чем алгоритм, предложенный агентством».