От отвергнутого Виженера к человеку в железной маске
Традиционные виды шифров замены, которые существовали до появления шифра Виженера, назывались одноалфавитными шифрами замены, поскольку для зашифровывания сообщения в них использовался только один шифралфавит. В отличие от них шифр Виженера относится к классу шифров, известных как многоалфавитные, поскольку здесь для зашифровывания сообщения применяется несколько шифралфавитов. Многоалфавитность шифра Виженера как раз и обеспечивает ему стойкость, но из-за этого же пользоваться им значительно сложнее — вот эта-то необходимость применения дополнительных усилий многим отбивала охоту от его использования.
Одноалфавитный шифр замены прекрасно подходил для многих целей семнадцатого века. Если вы хотели, чтобы ваш слуга не смог прочесть вашу частную переписку или если вы хотели защитить свой дневник от любопытствующих глаз своей жены или мужа, тогда вполне годился этот тип шифра. Одноалфавитная замена выполнялась быстро, она отличалась простотой и обеспечивала защиту от людей, не сведущих в криптоанализе. Фактически простой одноалфавитный шифр замены в той или иной форме служил в течение многих столетий (см. Приложение D). Для более серьезных целей, как, например, военная или правительственная связь, где обеспечение секретности является важнейшей задачей, использование одноалфавитного шифра было явно недостаточно. Профессиональным криптографам в противоборстве с профессиональными криптоаналитиками необходимо было что-то получше, однако они все еще не были расположены применять многоалфавитный шифр из-за его сложности. В частности, для военной связи требовались скорость и простота, а в дипломатических учреждениях ежедневно отправляли и получали сотни сообщений, поэтому время имело существенное значение. Вследствие этого криптографы искали некий промежуточный шифр, взломать который было бы сложнее, чем простой одноалфавитный шифр, но пользоваться которым было бы проще, чем многоалфавитным шифром.
Среди различных кандидатов на такой шифр был поразительно эффективный омофонический шифр замены. Здесь каждая буква заменяется различными подставляемыми символами, причем количество возможных подставляемых символов для какой-либо буквы пропорционально частотности этой буквы. К примеру, частота появления буквы a в английских текстах составляет около 8 процентов, поэтому мы поставим в соответствие этой букве восемь символов. Всякий раз, как в открытом тексте появится буква a, она будет заменена в шифртексте одним из восьми выбираемых случайным образом символов, так что к концу зашифровывания частотность каждого символа в зашифрованном тексте будет составлять примерно 1 процент.
Для сравнения, частотность буквы b составляет всего 2 процента, поэтому этой букве будут соответствовать только два символа. Каждый раз, как в открытом тексте появляется буква b, для ее замены будет выбираться один из двух символов, и к концу зашифровывания частотность каждого символа в зашифрованном тексте также будет составлять около 1 процента. Данный способ назначения каждой букве различного количества символов, заменяющих эти буквы, проводится для всего алфавита, пока мы не доберемся до буквы z, которая появляется настолько редко, что для ее замены потребуется всего один символ. В примере, приведенном в таблице 5, подставляемыми символами в шифралфавите служат двузначные числа, и для каждой буквы в алфавите открытого текста имеется от одного до двенадцати подставляемых символов в зависимости от распространенности каждой из букв.
Мы можем считать, что все двузначные числа, которые соответствуют букве а открытого текста, фактически представляют собой один и тот же звук в шифртексте, то есть звук, соответствующий букве a. Поэтому в названии этого шифра — омофонический — homos по-гречески означает «тот же самый», a phonos — «звук». Смысл использования нескольких вариантов замены для часто встречающихся букв заключается в том, чтобы уравнять частотность появления символов в шифртексте.
Если мы зашифровали сообщение с помощью шифралфавита из таблицы 5, то частота появления каждого из чисел в тексте будет составлять примерно 1 процент. Если ни один из символов не появляется чаще остальных, то любая возможная атака с использованием частотного анализа окажется безуспешной. Абсолютная стойкость? Не совсем.
Для искусного криптоаналитика в шифртексте по-прежнему содержится множество тончайших нитей, ведущих к разгадке. Как мы видели в главе 1, каждая буква в английском языке имеет свои индивидуальные особенности, определяемые ее связью со всеми другими буквами, и эти черты можно разглядеть, даже если шифрование осуществляется путем омофонической замены. В английском языке самым наглядным примером буквы с ярко выраженной особенностью является буква q, после которой всегда стоит только одна буква u.
Таблица 5 Пример омофонического шифра замены. В верхней строке приведен алфавит открытого текста, строки ниже представляют собой шифралфавит с различными вариантами замены для часто встречающихся букв.
Если бы мы попытались дешифровать шифртекст, то мы могли бы начать с того, что подметили бы, что q является редко встречающейся буквой, и поэтому она, по всей видимости, представлена только одним символом; мы также знаем, что u, которая появляется примерно в 3 процентах, представляется тремя символами. Поэтому если мы найдем символ в шифртексте, за которым всегда следуют три определенных символа, то целесообразно предположить, что первым символом является q, а три остальных представляют собой u. Другие буквы распознать сложнее, но и их также можно определить по тому, как они связаны одна с другой. Хотя омофонический шифр можно взломать, но он гораздо более надежен, чем простой одноалфавитный шифр.
Омофонический шифр, возможно, и выглядит как многоалфавитный, поскольку каждая буква открытого текста может быть зашифрована множеством способов, но тут есть одно принципиальное отличие, и в действительности омофонический шифр является одним из видов одноалфавитного шифра. В таблице омофонов, приведенной выше, буква a может быть представлена восемью числами. Существенно то, что эти восемь чисел являются обозначением только буквы a. Другими словами, буква открытого текста может быть представлена несколькими символами, но каждый символ может представлять только одну букву. В многоалфавитном же шифре буква открытого текста также будет представлена различными символами, но больше всего в замешательство приводит тот факт, что в процессе шифрования эти символы будут представлять собой различные буквы.
Пожалуй, основная причина, почему омофонический шифр считается одноалфавитным, заключается в том, что после того, как шифралфавит был определен, он не меняется на протяжении всего процесса шифрования. То, что в шифралфавите заложено несколько возможных вариантов зашифровывания каждой буквы, несущественно. В то же время криптограф, применяющий многоалфавитный шифр, в процессе шифрования должен постоянно переходить от одного шифралфавита к другому.
Улучшив базовый одноалфавитный шифр различными способами, например, добавляя омофоны, становится возможным надежно зашифровать сообщения, не прибегая к сложностям многоалфавитного шифра. Одним из наиболее ярких примеров усовершенствованного одноалфавитного шифра был «великий шифр»[11] Людовика XIV.
«Великий шифр» применялся для зашифровывания наиболее секретных сообщений короля, скрывая детали его планов, замыслов и политических интриг. В одном из этих сообщений упоминалась одна из наиболее загадочных личностей во французской истории, человек в железной маске, но стойкость «Великого шифра» означала, что сообщение останется нерасшифрованным и непрочитанным в течение двух столетий.
«Великий шифр» был придуман Россиньолями, отцом и сыном, Антуаном и Бонавентуром. Антуан впервые приобрел известность в 1626 году. Ему передали зашифрованное письмо, захваченное у курьера, пробирающегося из осажденного города Реальмон, и к концу дня он дешифровал его; из письма стало ясно, что армия гугенотов, которая удерживала город, находится на грани гибели. Французы, которые до этого не подозревали об отчаянном положении гугенотов, вернули письмо вместе с его расшифровкой. Теперь гугеноты знали, что их противник не отступит, и немедленно сдались. Так победа французов явилась результатом дешифрования.
Могущество криптографии стало очевидным, и Россиньоли получили Высокие должности при дворе. После службы у Людовика XIII они продолжали трудиться криптоаналитиками и при Людовике XIV, на которого их работа произвела такое впечатление, что он предоставил им кабинеты рядом со своими апартаментами с тем, чтобы Россиньоли, и отец и сын, могли активно участвовать в формировании французской дипломатической политики. Данью всеобщего восхищения их умению взламывать шифры явилось то, что слово россиньолъ стало французским жаргонным названием отмычки.
Выдающееся мастерство и накопленный опыт по взламыванию шифров позволило Россиньолям понять, как создать более стойкий шифр, и они придумали так называемый «великий шифр». «Великий шифр» оказался настолько надежен, что сумел противостоять усилиям всех криптоаналитиков той эпохи, пытающихся выведать французские секреты, и даже последующих поколений дешифровальщиков. К сожалению, после смерти отца и сына «великий шифр» перестал применяться, а его подробности были быстро утеряны, что означало, что зашифрованные бумаги во французских архивах больше нельзя было прочесть.
Историки понимали, что бумаги, зашифрованные «великим шифром», могли бы дать уникальную возможность разгадать интриги Франции семнадцатого века, но даже к концу девятнадцатого столетия они по-прежнему не могли дешифровать их. В 1890 году Виктор Гендрон, военный историк, изучавший кампании Людовика XIV, разыскал новую серию писем, зашифрованных «великим шифром». Не сумев разобраться в них, он передал их Этьену Базери, выдающемуся эксперту в шифровальном отделе французской армии. Базери расценил эти письма как вызов и потратил следующие три года в попытках дешифровать их.
Зашифрованные страницы содержали тысячи чисел, но только 587 из них были разными. Стало ясно, что «великий шифр» более сложен, чем обычный шифр замены, поскольку для него требовалось всего лишь 26 различных чисел, по одному на каждую букву. Первоначально Базери полагал, что остальные числа являются омофонами и что некоторые числа представляют собой одну и ту же букву. Проверка этого направления заняла месяцы кропотливого труда, но все оказалось напрасным. «Великий шифр» не был омофоническим шифром.
Затем его осенила идея, что каждое число может представлять пару букв, или диграф. Имеется только 26 отдельных букв, но из них можно образовать 676 возможных пар букв, и это примерно равно количеству различных чисел в зашифрованных письмах. Базери попытался провести дешифрование, ища наиболее часто встречающиеся числа в зашифрованных письмах (22, 42, 124, 125 и 341) и предположив, что они, возможно, обозначают самые распространенные французские диграфы (es, en, ou, de, nt). Фактически он применил частотный анализ на уровне пар букв. Но, к сожалению, после нескольких месяцев труда и это предположение не дало никаких осмысленных результатов дешифрования.
Базери, похоже, уже был готов отказаться от этой идеи, когда ему пришло в голову использовать новый подход. Возможно, что мысль с диграфами была не так уж и далека от истины. Он начал обдумывать возможность того, что каждое число представляет не пару букв, а скорее целый слог. Он попытался сопоставить каждое число со слогом: может быть, чаще всего встречающиеся числа обозначают самые распространенные французские слоги.
Базери пробовал разные перестановки, но все они приводили к появлению тарабарщины — до тех пор, пока он не достиг успеха, отыскав одно отдельное слово. На каждой странице несколько раз появлялась группа чисел (124-22-125-46-345), и Базери предположил, что они обозначают les-en-ne-mi-s, то есть «les ennemis». Это оказалось ключевым моментом.
Теперь уже Базери мог проверить остальные отрывки зашифрованных писем, где эти числа появлялись в других словах. Он вставлял в них полученные из «les enemis» слоги, и открывались части уже других слов. Те, кто увлекается решением кроссвордов, знают, что, когда слово частично разгадано, нередко можно просто догадаться об остальной его части. По мере того как Базери определял новые слова, он находил новые слоги, которые, в свою очередь, давали возможность определить очередные слова, и так далее. Нередко он становился в тупик, отчасти из-за того, что силлабические значения никогда не были очевидны, отчасти потому, что некоторые числа представляли простые буквы, а не слоги, а иногда из-за того, что Россиньоли расставили в шифре ловушки. Так, например, одно из чисел не было ни слогом, ни буквой, а использовалось для того, чтобы удалить предыдущее число.
Когда дешифрование завершилось, Базери оказался первым за два столетия человеком, посвященным в тайны Людовика XIV. Вновь открывшиеся сведения привели в восторг историков, которые, в частности, уделяли большое внимание одному из писем, доставлявшее им танталовы муки. Похоже, что будет решена одна из величайших загадок семнадцатого века: кем же в действительности был «Человек в железной маске».
«Человек в железной маске» стал источником массы предположений с того самого момента, как был вначале заключен во французской крепости Пиньероль в Савойе. Когда в 1698 году его переводили в Бастилию, крестьяне старались хоть мельком увидеть этого человека, и каждый по-разному описывал его: низкий и высокий, светловолосый и темный, молодой и старый. Иные даже утверждали, что это был не мужчина, а женщина. Обладая столь ничтожным количеством противоречивых фактов, все, от Вольтера до Бенджамина Франклина, придумывали каждый свою теорию для объяснения истории «Человека в железной маске». Согласно наиболее популярной теории предполагалось, что «Маска» (как его иногда называли) был братом-близнецом Людовика XIV, приговоренным к заключению, дабы избежать любых разногласий в споре, кто является истинным претендентом на трон. В одном из вариантов этой теории приводятся доказательства, что у «Маски» были потомки и он был связан скрытым родством по королевской линии. В памфлете, выпущенном в 1801 году, утверждалось, что сам Наполеон был потомком «Маски», — слух, который император и не отрицал, так как он только укреплял его положение.
История «Маски» даже вдохновила поэтов, прозаиков и драматургов. В 1848 году Виктор Гюго начал создание пьесы «Близнецы», но когда выяснил, что Александр Дюма уже разработал этот же сюжет, то, несмотря на то что два акта уже были написаны, отказался от продолжения работы. С тех пор история «Человека в железной маске» для нас связана с именем Дюма. Успех его романа подкрепил идею, что «Маска» была связана с королевской фамилией, и эта теория сохранилась, несмотря на свидетельства, приведенные в одной из дешифровок Базери.
Базери дешифровал письмо, написанное Франсуа де Лувуа, военным министром при Людовике XIV, в котором тот подробно излагал преступления Вивьена де Булона, командира, ответственного за нападение на город Кунео на французско-итальянской границе. Булон, хотя ему было приказано удерживать свои позиции, испугался наступления австрийских войск и сбежал, бросив снаряжение и оставив на произвол судьбы многих своих раненых солдат. Военный министр заявлял, что такие действия поставили под угрозу всю пьемонтскую кампанию, и из письма ясно, что король расценивал поступок Булона как исключительную трусость:
Его Величество знает лучше, чем кто бы то ни было, последствия такого поступка, и он также осознает, насколько серьезно наша неудача нанесет вред нашему благому делу, неудача, которая должна быть исправлена за зиму. Его Величество желает, чтобы вы немедленно арестовали генерала Булона и препроводили его в крепость Пиньероль, где он должен будет находиться ночью запертым на замок в тюремной камере и под стражей, а днем ему разрешается прогулка по крепостной стене в маске.
Это было явным указанием на узника в маске, заключенного в крепости Пиньероль, на достаточно серьезное преступление, с датами, которые, похоже, соответствуют «Человеку в железной маске». Но раскрывает ли это тайну? Не удивительно, что те, кто отдает предпочтение разгадкам, связанным с заговорами, нашли изъяны в этой версии, по которой «Человеком в железной маске» является Булон. Например, приводится аргумент, что если бы Людовик XIV действительно попытался заключить в тюрьму без огласки своего непризнанного брата-близнеца, то он должен был бы оставить ряд ложных следов. Может быть, зашифрованное письмо как раз и предназначалось для того, чтобы его дешифровали? Может быть, дешифровальщик девятнадцатого века Базери попался в ловушку семнадцатого столетия?