Следующий вывод состоит в том, что для прочтения криптограммы, открытый текст которой обладает низкой избыточностью, требуется, чтобы она была более длинной, чем в случае криптограммы с высокой избыточностью. Шеннону удалось определить количество шифртекста, необходимого для получения единственного правильного решения задачи вскрытия шифра при условии, что соответствующий открытый текст имеет известную степень избыточности. Необходимое для этого количество букв он назвал «расстоянием единственности» и описал, как вычислить его с помощью довольно сложной формулы. Эта формула, естественно, видоизменяется для различных шифров, но непременным ее членом всегда остается избыточность.
В одной из своих ранних работ, в которой Шеннон исходил из 50-процентной избыточности английского языка, он установил, что расстояние единственности для шифра однобуквенной замены составляет 27 букв, для многоалфавитных шифров с известными алфавитами – двойную длину периода, а с неизвестными алфавитами – 53 длины периода. Наиболее интересное применение шенноновской формулы расчета расстояния единственности связано с определением правильности решения задачи аналитического вскрытия шифра. Шеннон писал:
«Вообще можно утверждать, что если ключ и предложенный метод позволяют прочитать криптограмму при наличии шифртекста, длина которого значительно превосходит расстояние единственности, то решение надежно. Если же длина шифртекста имеет тот же порядок, что и расстояние единственности, или короче его, значит, решение весьма сомнительно».
Вскоре появилась возможность проверить это утверждение Шеннона на практике. Иб Мельхиор, сын известной оперной звезды Лорис Мельхиор, решил, что дешифрование эпитафии, найденной им на надгробии Шекспира, может помочь найти первое издание «Гамлета». Мельхиор преобразовал эпитафию в цифровой шифртекст, прочитал его и отредактировал полученный в результате открытый текст, убрав служебные символы и модернизировав написание слов, принятое в эпоху английской королевы Елизаветы. В конечном итоге Мельхиор стал обладателем загадочной фразы: «Elsinore laid wedge first Hamlet edition». Эти слова, по мнению Мельхиора, означали, что первое издание «Гамлета» было замуровано в клинообразной нише в толще стен замка Эльсинор. О своей находке Мельхиор сообщил в интервью журналу «Лайф».
Один из читателей журнала в своем письме в редакцию обратил внимание Мельхиора на то, что даже при заведомо заниженной 50-процентной оценке избыточности английского языка основная часть этой зашифрованной надписи совершенно не укладывается в найденную Шенноном формулу расстояния единственности. Несмотря на это математическое предсказание неудачи, Мельхиор все-таки отправился в Эльсинор в составе поисковой экспедиции, снаряженной «Лайфом». Вскоре ее участники возвратились из Эльсинора с отличным фоторепортажем для журнала, но без первого издания «Гамлета».
Таким образом, шенноновская концепция избыточности вновь и вновь демонстрирует свою силу, объясняя многие явления криптоанализа, каждое из которых прежде приходилось толковать в отдельности. Почему занимательные криптограммы из газет и журналов труднее поддаются дешифрованию, чем обычные шифртелеграммы? Раньше криптоаналитики могли лишь сказать, что это происходит потому, что для «газетно-журнальных» криптограмм подбираются более редкие и необычные слова. Теперь они могут опереться на принцип избыточности Шеннона и указать, что такие криптограммы обладают более низкой избыточностью.
Почему криптоаналитиков так часто выручают стандартные выражения вроде: «В ответ на вашу телеграмму от…»? Да потому, что они повышают избыточность до весьма значительных величин. Чтобы ее понизить, можно разделить текст пополам и переместить его первую половину в конец, а вторую – в начало. При этом стандартное начало телеграммы оказывается упрятанным в середину, что значительно затрудняет криптоанализ.
Шеннон также рассмотрел криптоанализ с двух других точек зрения, которые существенно расширили горизонты возможного в этой области. Первая из них является следствием преломления криптоанализа через призму теории связи.
Шеннон писал:
«С криптографической точки зрения секретная система почти тождественна системе связи при наличии шума».
В теории связи термин «шум» имеет особое значение. Под шумом подразумевается любая помеха, создающая ошибки при передаче по каналу связи. В качестве примеров шума можно указать плохое соединение по телефону и иностранный акцент собеседника. Шеннон исходит из того, что шум схож с шифрованием. Он утверждает:
«Основное различие между ними заключается, во-первых, в том, что преобразование при помощи шифра имеет обычно более сложный характер, чем возникающее за счет шума в канале; во-вторых, в том, что ключ в секретной системе выбирается из конечного множества, тогда как шум обычно вносится в канал постоянно и выбирается из бесконечного множества».
Когда автора статистической теории детектирования сигнала Карла Хелстрома спросили, имеет ли техника отделения полезных сигналов от помех какое-либо сходство с криптоанализом, он ответил:
«Я полагаю, что аналогия между правилом шифрования по ключу и беспорядочной помехой вряд ли полезна. Со значительно большим основанием можно рассматривать зашифрование как „фильтрацию“ открытого текста для получения его в преобразованном виде. Здесь „фильтр“ представляет собой определенное правило преобразования, но оно неизвестно криптоаналитику. Поэтому его задача состоит в отыскании характера „фильтра“, когда известны статистические данные текста, вводимого в „фильтр“, и текста уже „профильтрованного“. Это вроде нахождения структуры электрического фильтра путем пропускания через него произвольной помехи и замера статистических распределений на входе и напряжений на выходе».
Другая точка зрения, с которой Шеннон рассмотрел криптоанализ, касается соревнования между криптографом и криптоаналитиком. Он первым предложил отождествить это соревнование с конфликтом – понятием из математической теории игр. Шеннон отмечает:
«Действия составителя шифра и криптоаналитика можно представить как игру с очень простой структурой ходов… Ход криптографа состоит в выборе им шифра. Криптоаналитик, осведомленный об этом выборе, разрабатывает метод вскрытия. „Ценой“ в игре является средний объем работы, требуемый для прочтения криптограммы, засекреченной выбранным шифром, при помощи разработанного метода».
Как и в любой игре, взаимодействие криптографа и криптоаналитика всегда связано со временем, ибо любые практические дела человека в конце концов неотделимы от этого неотвратимого, необратимого и невозместимого фактора.
У криптографа отношение к фактору времени сложное. Один из самых общих принципов его работы основан на соблюдении баланса между скоростью и секретностью. Когда необходимость в ускоренной связи возрастает, соответственно уменьшается потребность в секретности. На ранних стадиях разработки крупной военной операции нужна повышенная секретность связи, так как, если противник сможет прочитать шифрпереписку, он успеет выработать эффективные контрмеры. В разгар же самого сражения командиры могут обмениваться и открытыми сообщениями, поскольку, даже если противник их перехватит, времени для осуществления полноценных ответных действий у него все равно не будет.
В отличие от криптографа, криптоаналитик постоянно испытывает гнет времени и стремится как можно быстрее довести до конца свои разработки. Вероятно, справедлива истина, что содержание любой шифртелеграммы будет представлять какую-то ценность всегда (хотя бы для историков). Но это слабое утешение для командующего, который мог бы заранее узнать из нее о сроках наступления противника, но так и не узнал, поскольку криптоаналитики не прочли ее вовремя. В числе факторов, определяющих время, необходимое для дешифрования, помимо таких внешних факторов, как скорость доставки криптографу перехваченных шифрсообщений, следует назвать стойкость шифра, разумность правил его использования, точность их соблюдения шифровальщиками, объем перехвата, а также количество и качество вспомогательной информации.
Если говорить о профессиональном уровне криптоаналитика, то встает вопрос: является криптоанализ наукой или искусством? С одной стороны, как было продемонстрировано выше, криптоанализ – это стройная наука. А с другой – успехи во вскрытии шифров явно зависят от личных способностей. Одни криптоаналитики работают лучше других. В этом смысле криптоанализ – искусство. Как сказал Ярдли, выдающиеся криптоаналитики наделены «шифрмозгом», то есть особыми способностями, однако при рассмотрении вопроса о том, кто и почему обладает «шифрмозгом», приходится сталкиваться с загадками.