АНБ, численность сотрудников которого составляет около 40 000 человек, напряженно работает над тем, чтобы средства защиты информации, используемые правительством США, совершенно не поддавались взлому. С другой стороны, оно всячески стремится к тому, чтобы ослабить экспортные версии криптографических программ американских компаний. Например, агентство тратит массу времени и усилий на то, чтобы заставить производителей программного обеспечения, а также коммутаторов и маршрутизаторов внести в выпускаемую продукцию требуемые изменения. Цель предельно проста – гарантировать правительству США свободный доступ к чужим шифрованным данным.

Как известно, АНБ проводит операции по сбору разведывательной информации в интересах американского правительства. Оно осуществляет перехват данных и из трафика Интернета. Для того чтобы все проходило без проблем, тр#$&ется “небольшая” подготовительная работа. Например, программисты могут при написании исходного кода приложений включить туда модули, реализующие некие недокументированные возможности. Причем такие вставки очень трудно обнаружить. Некоторые софтверные компании, в том числе Microsoft, ранее уже обвинялись прессой в сотрудничестве с АНБ, так как пошли на включение в свои программы специальных “черных кодов”. Аналогичный случай, возможно, имел место с программой PGP, когда в ней был обнаружен очень серьезный дефект. Эта программа обычно применяется для шифрования электронной почты. Чтобы понять, как же люди из АНБ “портят” чужие программы, обратимся к предыстории этого события.

Известный криптограф Брюс Шнайер еще в прошлом году поведал читателям ежемесячного электронного бюллетеня о некоем таинственном сотруднике АНБ Лью Джайлзе, занимавшемся исключительно тем, что заставлял производителей осла#$&ть защиту, которую должны были обеспечить выпускаемые ими программные средства. В конце концов, говорил он, всегда можно все “дыры” в защите объяснить случайно допущенными ошибками. Именно в это время в PGP и была введена функция “восстановления ключа”, имевшая скрытый дефект, который стал недавно широко известен. Впоследствии в различных версиях этой программы были обнаружены и другие серьезные недостатки. Например, оказалось, что в версии PGP для Linux и OpenBSD вырабатываются слабые ключи. Эти программы, по сообщениям Bugtraq, были созданы как раз в 1997 году.

Конечно, большинство обнаруженных дефектов в программах появляется всего лишь по недосмотру разработчиков. Но очень вероятно и то, что некоторые из них являются специально внедренными “черными ходами”. В различных средствах массовой информации время от времени публикуется информация, полученная от сотрудников компаний по производству компьютерной техники и ПО, о том, как их “обрабатывало” АНБ. Крупнейшие агентства новостей CNN и Network World рассказали о том, как АНБ заставляло фирмы, производящие сетевое оборудование, вносить в выпускаемую продукцию изменения в своих интересах. К компаниям, сотрудничающим с АНБ, хотя и не всегда с охотой, относятся, например, Netscape, Sun, Microsoft. Один из сотрудников фирмы Sun Крис Толлес говорит, что все в Силиконовой долине, в том числе и сотрудники этой фирмы, были вынуждены сотрудничать с АНБ. Но если все компании работали с АНБ, то осталась ли вообще какая-либо “неиспорченная” продукция?

Еще в 1995 году это ведомство заинтересовалось системами шифрования сообщений электронной почты, используемыми в продукции фирм Microsoft, Netscape и Lotus. Под давлением со стороны АНБ эти компании согласились ослабить защиту своих программных приложений, предназначенных на экспорт. Английский журналист Данкен Кэмпбелл сообщает, что АНБ добилось успеха в компрометировании броузеров Microsoft, Netscape и пакета Lotus Notes. Это ведомство настояло на сокращении длины ключей шифрования до той величины, при которой оно легко могло взломать код.

Тахер Элгамал, реализовывавший “план по восстановлению данных” в Netscape, как того требовало АНБ, сообщил, что у этой компании просто не было никаких шансов избежать подобной участи. Дело в том, что примерно половину доходов Netscape получает от экспорта. Для того чтобы получить экспортную лицензию, тр#$&ется разрешение АНБ, а это возможно только в случае ослабления продаваемой продукции. И вот выясняется, что хотя в экспортных версиях популярных броузеров Microsoft и Netscape используются ключи длиной 128 бит, 88 бит каждого ключа передаются вместе с зашифрованным сообщением. Поэтому только 40 бит остаются секретными. Поскольку почти на каждом компьютере в Европе установлены эти броузеры, АНБ может легко взломать код и читать секретную переписку пользователей Интернета.

АНБ имело также доступ к шифрованной электронной почте пользователей ПО Lotus Notes, поскольку этот программный пакет был специально “подпорчен”. Это было обнаружено шведским правительством в 1997 году и вызвало у него сильный шок. Ранее система Lotus Notes широко использовалась для конфиденциальной переписки членами парламента Швеции, многочисленными ведомствами и отдельными гражданами этой страны. Как такое стало возможным? Дело в том, что в систему защиты электронной почты Lotes Notes, предназначенной для экспорта, был включен модуль, дающий АНБ доступ к шифрованным данным. Это превращало задачу по вскрытию секретных сообщений в дело нескольких секунд. Даже сама компания Lotus призналась в этом. Вот что она сообщила газете Svenska Dagbladet: “Разница между американской версией Notes и экспортной заключается только в степени защиты. Всем пользователям мы предоставляем 64-битные ключи, но 24 бита ключа экспортной версии программы предоставляются американскому правительству”.

АНБ добралось и до систем защиты банковских сетей. Когда компания MasterCard International вырабатывала стандарт шифрования SET, используемый сейчас в электронных транзакциях, АНБ быстро охладило ее энтузиазм. “Они сообщили нам, что можно и что нельзя делать”, - сказал Джон Ванкмюллер, отвечающий в компании за электронную коммерцию. АНБ настояло на том, чтобы большая часть информации при каждой транзакции вообще не шифровалась. В США хотят знать, кто и куда переводит деньги.