Маркант
Предисловие
Нынешнему молодому поколению трудно в это поверить, но в середине 70-х годов прошлого века в СССР не было никаких компьютеров. Практически никаких, из тех, про которые можно было бы сказать, что они сделаны по-человечески. В своей книге КиС (Криптография и Свобода – см. https://mikhailmasl.livejournal.com/4852.html) я приводил пример компьютера (ни в коей мере не персонального!) Рута 110, стоявшего на первом этаже здания по адресу Большой Кисельный переулок, дом 11, в котором в то время размещался 4 (Технический) факультет Высшей Краснознаменной школы КГБ СССР имени Ф.Э.Дзержинского. Заметьте: не в комнате, а именно в здании, ибо Рута 110 занимала несколько комнат. Нас, молодых слушателей 4 факультета середины 70-х годов особенно умилял предбанничек к этому комплексу комнат, в котором требовалось перед входом в эту сокровищницу советской электроники одеть на сапоги музейные тряпочные тапочки. От пыли и грязи Рута 110 часто ломалась, да и от множества других явных и неявных причин тоже.
Уровень интеллекта и образованности большинства преподавателей 4 факультета был намного выше, чем возможности, которыми обладала Рута 110. Они прекрасно понимали, что будущее – за интегральными микросхемами, многоразрядными процессорами, за миниатюризацией и автоматизацией производства элементной базы будущих вычислительных устройств и не только вычислительных. На 4 факультете готовили специалистов-криптографов, которые в дальнейшем будут иметь дело с шифровальной техникой. Тогда, в середине 70-х, шифровальная техника в чем-то была похожа на Руту 110: громоздкая, неудобная, часто ломающаяся. А на западе уже стали появляться первые признаки научно-технической революции в виде надежной и миниатюрной микроэлектроники.
Анекдот советского времени. Военный парад на Красной площади. Перед мавзолеем проходят бронетранспортеры, пушки, танки, ракеты. И вдруг на огромном тягаче везут что-то непонятное.
Брежнев спрашивает у министра обороны
– Что это?
– Это наша большая интегральная схема, самая большая в мире!
НИР «Проба»
Первому начальнику 4 факультета Ивану Яковлевичу Верченко удалось собрать на факультете целую плеяду замечательных преподавателей, которые были нашими учителями и наставниками в середине 70-х. Иван Яковлевич надеялся, что факультет со временем должен был стать центром научной мысли в определенных областях специальных исследований.
В 1977 году под руководством замечательного преподавателя, начальника специальной кафедры СК-13 (кафедры высшей математики) доктора физико-математических наук, профессора Михаила Михайловича Глухова открыли НИР «Проба», в которой пытались применить западный прогресс в микроэлектронике для построения шифров, кардинально отличающихся от большинства советских шифров того времени. Они получили название «Шифры на новой элементной базе». В чем же заключалось это отличие? Давайте проведем небольшой экскурс в историю криптографии.
Начнем с дисковых шифраторов. Первый дисковый шифратор «Энигма» запатентовал в 1918 году немец Артур Шербиус. По своим функциональным возможностям и, если так можно сказать современным языком, интерфейсу он был похож на телеграфный аппарат. Разница в том, что при нажатии на клавишу с какой-то буквой открытого текста на входе на выходе появлялась другая буква шифрованного текста. Но это фактически был телеграфный аппарат, большие объемы информации передать по нему сложно, ввод – ручной.
С появлением первых, пусть даже самых примитивных ЭВМ становится понятно, что принципы шифрования информации надо изменить. Перед шифрованием надо провести оцифровку информации, т.е. перевести всю шифруемую информацию в бинарный вид, включающий в себя только два символа: 0 и 1, а затем уже шифровать полученную бинарную информацию. Такие шифраторы в середине 70-х годов называли электронными, теории электронных шифраторов на 4 факультете была посвящена специальная дисциплина СД – 7 В. Говоря специфическим криптографическим языком, в электронных шифраторах осуществлялось преобразование символов бинарного алфавита, состоящего только из двух символов: 0 и 1. А если еще более научно – над полем Галуа GF(2) из двух элементов.
Существующая в те времена в СССР элементная база, на основе которой строились шифраторы, была ориентирована на советскую электронику того времени, на диоды, транзисторы, конденсаторы и прочую подобную продукцию, которая занимала, как и в случае с Рутой 110, много места, была ненадежной и прихотливой. А на западе сначала осторожно, а потом все смелее и шире, стали появляться интегральные микросхемы. Нам, слушателям 4 факультета, в середине 70-х рассказывали о том, что сначала стоимость чипа интегральной микросхемы была сопоставима со стоимостью аналогичного по размеру куска золота. Но такие чипы оказались настолько востребованными, что среди их производителей появилась сильная конкуренция за рынки, за потребителей, все, что и должно было произойти в условиях развитого капитализма. Как следствие такой конкуренции – стремительное удешевление чипов и расширение их функциональных возможностей.
Обрабатывать информацию побитно – неэффективно. Гораздо более эффективно обрабатывать информацию сразу целыми векторами из N бит. Вектор из 8 бит называется байтом и принципиальным отличием микропроцессоров сразу после их появления стала обработка информации не битами, а байтами. Такие микропроцессоры получили название 8 разрядных. Довольно быстро после 8 разрядных стали появляться 16 разрядные, затем 32 разрядные. В настоящее время наиболее распространенными в компьютерах являются 64 разрядные микропроцессоры.
В НИР «Проба» была поставлена задача создания и анализа узлов для криптосхем, работающих не с битами, а с байтами. Формально каждый байт является 8 битовым вектором и с ним можно работать так же, как и раньше работали с электронными шифраторами. Но будет ли такая работа наиболее эффективной? Можно ли найти для шифраторов, работающих с байтами, специфические методы построения более высокоскоростных и более стойких шифраторов, чем традиционные электронные?
Как я писал в КиС, большинство советских шифраторов того времени состояли из «балалаек». Так криптографы прозвали типовой узел тех шифраторов, состоящий из регистра сдвига над GF(2) и его функции обратной связи. А что будет, если ячейками регистра сдвига будут не биты, а байты? Или, опять переходя к математическому языку, регистр сдвига будет над Z/256 – кольцом вычетов по модулю 256. Появляются два интересных момента.
Сложение байт можно проводить как покоординатное сложение по модулю 2 без переноса, а можно как сложение в кольце Z/256 – с переносом;
К содержимому ячейки можно применять подстановку из симметрической группы S256.
В НИР «Проба» сфокусировали внимание именно на этих двух особенностях перехода от бит к байтам. Как и во всякой серьезной НИР, начали с изучения простейших свойств, не пытаясь сразу объять необъятное. Первый отчет по НИР «Проба» вышел в 1977 году, с тех пор прошло уже свыше 40 лет.
Сейчас результаты НИР «Проба» позволяют понять, чем же интересовались в середине 70-х годов прошлого века советские криптографы, каковы были тогда основные направления развития криптографии, как специфического раздела математики. Я, естественно, не могу в точности помнить все эти результаты, полученные свыше 40 лет назад, но постараюсь здесь вкратце описать их общими словами.
Ключевым словом в НИР «Проба» было слово подстановка. В математике так принято называть взаимно-однозначное отображение некоторого множества в себя. Множество всевозможных подстановок принято называть симметрической группой. Так, любая подстановка из симметрической группы S256 – это взаимно-однозначное отображение кольца вычетов Z/256 в себя.
Имея всего 256 байт памяти легко реализовать на них любую подстановку π из S256. Для этого для любого x ϵ Z/256 в ячейку памяти по адресу x надо записать значение π(x).
В алгебре под произведением подстановок понимают их последовательное применение слева направо.
Операцию сложения с переносом двух байт x и y тоже можно рассматривать как подстановку gx ϵ S256: gx(y) = (x + y)mod 256. Если через g обозначить полноцикловую подстановку g = g1 = (0,1,2,…,255), то, полагая, что g0 – это единичная подстановка, когда все элементы отображаются сами в себя, получаем, что при любом x ϵ Z/256 gx = gx .
Множество всевозможных преобразований {g0, g1,…,g255} образуют циклическую группу, которую в НИР «Проба» было принято обозначать G = <g>, а множество {g0π, g1π,…,g255π} – через Gπ.
Предположим, что у нас есть цепочка байт x1, x2,…xk и произвольная подстановка π из S256. Что можно сказать о подстановках gx1π gx2π… gxkπ?
Одним из первых и очень важным результатом НИР «Проба» было доказательство, что при случайном и равновероятном выборе π из S256 группа, порожденная множеством Gπ, с большой вероятностью совпадает со всей симметрической группой S256. Что это означало на практике?
Возьмем простейший типовой узел, реализованный с помощью побайтных преобразований.
Рис. 1. Типовой узел (Gπ)k
На вход узла подается входное слово – цепочка из k байт, каждый байт складывается по модулю 256 с результатом обработки предыдущих байт и заменяется по подстановке π. Таким образом, этот узел работает циклами, в каждом цикле по k тактов. Если предположить, что цепочка X = x1,x2,..,xk из k байт является ключом, то с помощью этого узла можно реализовать подстановку π1 = gx1π gx2π… gxkπ, зависящую от ключа X. Результаты НИР «Проба» показывают, что таким путем можно реализовать практически любую подстановку из S256.
Здесь хотелось бы обратить внимание на то, что группа <Gπ> будет совпадать с S256 не при любой π. Например, если π ϵ G, то это заведомо не так. Но вероятность получить «плохую» подстановку π при ее случайном и равновероятном выборе из S256 крайне мала.
А теперь давайте вернемся ко второй мировой войне и немецкому дисковому шифратору «Энигма». В нем было два типа ключей: долговременные и одноразовые. Долговременные ключи – это коммутации вращающихся роторов, а одноразовые – их начальное положение. Если коммутации вращающихся роторов неизвестны, то в этом случае криптографы бессильны. Коммутации роторов – это фактически подстановки на множестве букв немецкого алфавита. Число всевозможных подстановок в симметрической группе SN равно N! – N факториал, произведение всех чисел от 1 до N. При N = 26 имеем N! = 403 291 461 126 605 635 584 000 000 ≈ 4 * 1026. Если предположить, что в «Энигме» коммутации роторов выбирались случайно и равновероятно, то для перебора всевозможных значений коммутации только одного ротора потребовалась бы трудоемкость, непосильная даже для современных ЭВМ. Поэтому англичане могли читать «Энигму» только при условии, что какими-то путями им удалось захватить хотя бы один ее экземпляр и определить коммутации всех роторов.
Роторы в «Энигме» нельзя было сделать одноразовыми ключами по объективным причинам – это слишком сложно. А в НИР «Проба» показали, что в шифрах на новой элементной базе это сделать несложно.
Итак, неограниченно увеличивая k – длину входного слова, с помощью цепочек gx1π gx2π… gxkπ можно получить любую подстановку из S256. Но это – абстрактный результат, а хотелось бы знать, что за подстановки будут при каком-нибудь фиксированном k. Какими свойствами будет обладать при фиксированном k множество таких подстановок при всевозможных x1, x2,…,xk? Такое множество принято обозначать (Gπ)k.
Во многих криптографических задачах важную роль играет свойство 2-транзитивности некоторого множества подстановок. Множество подстановок (Gπ)k является 2-транзитивным, если для любых двух пар (x1,y1) и (x2,y2), таких что x1 ≠ y1 и x2 ≠ y2, найдется подстановка, переводящая пару (x1,y1) в (x2,y2).
В НИР «Проба» получили следующие результаты.
Минимальное значение k, при котором (Gπ)k является 2-транзитивным, равно 3.
При случайном и равновероятном выборе π из S256 с вероятностью, близкой к 1, множество (Gπ)3 будет 2-транзитивным.
Для любой подстановки π из S256 можно определить ее так называемую матрицу частот P(π) размера 255 х 255, у которой на пересечении строки с номером i со столбцом с номером j, i,j ϵ {1,2,…,255}, находится число решений системы
x – y = i (mod 256)
π(x) – π(y) = j (mod 256)
относительно неизвестных x, y ϵ Z/256.
В НИР «Проба» показали, что множество (Gπ)3 является 2-транзитивным тогда и только тогда, когда возведенная в квадрат матрица P(π) не содержит нулевых элементов. Чуть позже было доказано, что при случайном и равновероятном выборе π в матрице P(π) примерно 2/3 элементов – ненулевые, 1/3 – нули.
Темой моей дипломной работы в 1979 году было построение и анализ матриц P(π) для всех π из симметрической группы S8. Это 8! = 40320 подстановок. Такое построение позволяло подтвердить приведенные выше теоретические результаты.
Для Руты – 110, если она к тому времени была еще жива (сейчас точно не помню), это явно непосильная задача, матрицы строились вручную. Все теоретические результаты были подтверждены.
Ангстрем – 3
После изучения в НИР «Проба» математического аппарата для шифров на новой элементной базе естественно встал вопрос о построении простейшего примера такого шифра.
Здесь мне хотелось бы сказать несколько слов о том, кто тогда, на рубеже 80-х годов прошлого века, занимался в СССР криптографией и шифрами.
Специалистов-криптографов готовили только на 4 факультете ВКШ. Их отбирали и направляли на учебу 3 ведомства: КГБ, Министерство обороны и НИИ Автоматики. После окончания 4 факультета выпускники направлялись на службу в то ведомство, которое их набирало на учебу. Выпускники от КГБ и МО становились действующими офицерами, хотя военную форму в КГБ не носили, а выпускники от НИИ Автоматики – офицерами запаса, не получающими льгот и выплат, положенных действующим офицерам, хотя во время учебы на 4 факультете были военнослужащими и ходили в военной форме. В прошлом НИИ Автоматики – спецтюрьма № 16 МВД СССР, в 1948 году преобразована в спецтюрьму № 1 МГБ СССР, эта спецтюрьма известна по роману А.И.Соженицына «В круге первом».
Разработкой новых советских шифров должно было заниматься НИИ Автоматики, а Спецуправление 8 ГУ КГБ СССР – проводить их экспертизу. В реальной жизни разработка и экспертиза тесно переплетались и превращались в совместную работу криптографов, закончивших 4 факультет.
После окончания 4 факультета в 1979 году я попал на работу в 5 (Теоретический) отдел Спецуправления 8 ГУ КГБ СССР. Там тогда тоже интересовались шифрами на новой элементной базе, поддерживали тесные связи с НИИ Автоматики. В группе Валерия Владимировича Ященко, в которую я попал, вели следующий, если так можно выразиться, «анализ идеи» построения шифра на новой элементной базе с помощью неавтономного регулярного регистра сдвига над Z/256, которую принесли в 5 отдел Владимир Владимирович Седов и Борис Владимирович Березин из НИИ Автоматики.
Рис. 2. Шифратор «Ангстрем – 3»
В этой идее самое привлекательное – простота ее реализации. В НИИ Автоматики, по-видимому, поддерживали связи с заводом «Ангстрем» в Зеленограде, который в то время являлся ведущим предприятием по выпуску советской электроники. В.В.Седов и Б.В.Березин заканчивали 4 факультет, знали о НИР «Проба» и пытались перейти от чисто абстрактных математических результатов к конкретным шифраторам. Изображенный выше неавтономный регулярный регистр сдвига над Z/256 получил название шифратор «Ангстрем – 3». Слово «Ангстрем», по-видимому, предполагало, что он будет реализован на элементной базе завода Ангстрем, а цифра 3 – что это была не первая такая попытка.
Я подробно описывал в КиС, как мне удалось взломать «Ангстрем – 3» при T = 16 и как к этому отнеслись мои новые начальники. «Ангстрем – 3» взламывался на спор, я этот спор выиграл и получил за это прибавку к жалованию. Дальше, естественно, встал вопрос: а как можно модифицировать «Ангстрем – 3» так, чтобы сделать его стойким и сохранить простоту реализации?
Первая и самая необходимая модернизация – переставить подстановку.
Рис. 3. Шифратор «Ангстрем – 3 М»
Почему использование подстановки π до, а не после операции сложения с функцией обратной связи более целесообразно? Давайте немного окунемся в математику и в проведенный в 5 отделе СУ 8 ГУ КГБ СССР «анализ идеи» шифратора «Ангстрем – 3». Я неспроста употребил здесь такой странный термин, как «анализ идеи». Сам шифратор может строиться по-разному, это может быть блочный шифр (простая замена большой степени), а может быть шифр гаммирования. Но анализ в любом случае проводится в следующих предположениях.
Ключом является входное слово (последовательность байт) x1,x2,…,xT, записанное в правом регистре;
Цикл работы состоит из T тактов, за каждый такт состояние левого регистра сдвигается на одну ячейку влево и в крайнюю правую ячейку добавляется функция обратной связи, зависящая от состояния и очередного байта ключа;
Подстановка π – известна;
Известны несколько начальных и соответствующих им конечных состояний левого регистра.
При таких предположениях ставится задача: определить неизвестный ключ, т.е. входное слово x1,x2,…,xT.
Обозначим состояния левого регистра.
– y1,y2,…,y8 начальное состояние;
– y9,y10,…,yT промежуточное состояние;
– yT+1,yT+2,…,yT+8 конечное состояние.
При T ≤ 8 промежуточное состояние отсутствует.
Для шифратора «Ангстрем – 3» при любом i ϵ {1,2,…,T} будет справедливо следующее соотношение:
y8+i = π(yi + y1+i + y7+i + xi) =>
π-1(y8+i) = yi + y1+i + y7+i + xi =>
π-1(y8+i) = ππ-1(yi) + ππ-1(y1+i) + ππ-1(y7+i)+ xi.
Заменив в этих соотношениях π-1(yi) на zi при всех i от 1 до T+8, получаем систему уравнений, в которую ключевые параметры xi входят линейно. Для криптографа это – катастрофа, как конкретно взламывается «Ангстрем -3» при T = 16 можно прочитать в КиС.
Если подстановку π переставить и использовать до, а не после операции сложения с функцией обратной связи, то такого линейного вхождения знаков ключа уже не будет.
Изучению шифраторов типа «Ангстрем – 3» в начале 80-х годов в 5 отделе СУ 8 ГУ КГБ СССР была посвящена НИР «Мотив». Закончилась она созданием заявки на изобретение.
Рис.4. Авторское свидетельство на шифратор «Ангстрем – 3».
17 мгновений весны
Сцена из культового советского сериала «17 мгновений весны».
«Мюллер только что получил сообщение из центра дешифровки о событиях на конспиративной явке гестапо в Берне. Сравнивая эти два шифра, он сейчас сделал неожиданное, но чрезвычайно существенное открытие. От предчувствия удачи у него даже заболела голова. Шифр русской радистки совпадал с шифром связника из Берна.»
Смех душит меня от этой умилительной сцены. Генерал Мюллер не спит, а занимается тем, что должен был для него сделать молоденький лейтенант – первичным криптоанализом шифртекста.
А теперь взглянем на «шифр русской радистки» и сравним его с «шифром связника из Берна».
Точнее – посмотрим на все то, что в сериале выдается за шифры.
Рис. 5. Шифровка 1. Подлинник шифровки русской радистки.
Рис. 6. Шифровка 2.
Рис. 7. Шифровка 3.
Я не знаю, смотрел ли до меня кто-нибудь внимательно на эти «шифровки».
Не две, а три, все разные.
Все почему-то содержат ровно 15 групп из 5 цифр.
Все начинаются с одной и той же группы 51123, что заметил Мюллер.
В шифровках 2 и 3 первые группы второй строки очень похожи: 62345 и 63452. Этого Мюллер не заметил, а если бы первичный криптоанализ проводил не генерал, а молодой лейтенант, то уж он-то это сходство подметил бы.
И так далее.
Вывод можно сделать только один. В тех шифрсообщениях, которые в сериале «17 мгновений весны» преподносятся зрителю как шифровки, составленные русским агентом Штирлицем, нарушено самое фундаментальное правило криптографии: шифрсообщения не должны отличаться от набора случайных и равновероятных значений.
Если это правило нарушено, то шифровки такого агента могут выделяться при проведении первичного криптоанализа, что грозит агенту провалом.
Неужели Штирлиц, проработавший в разведке много лет, не понимал, что если все его шифровки начинаются с 51123, то это для него смертельно опасно? Просил ли он Центр сменить такой никудышный шифр?
Можно придумать множество способов шифрования, точнее даже не шифрования, а кодирования секретных сообщений. При кодировании, наряду с сокрытием содержимого сообщения, можно сокращать его длину, ставя в соответствие каким-то длинным и часто используемым фразам короткие кодовые значения. Но после кодирования необходимо перешифровать закодированный текст с помощью случайной и равновероятной гаммы наложения.
Забегая вперед и чтобы заинтриговать читателя могу сказать, что именно необходимость перешифровки закодированного текста спасла в 1992 году Россию от потока фальшивых чеченских авизо.
Просил ли Штирлиц Центр сменить свой квази-шифр на что-то более стойкое, я не знаю. Но современные Штирлицы просили и просили очень настойчиво. Люди, работавшие на Первое Главное управление КГБ СССР в капиталистических странах, в середине 80-х годов уже стали привыкать к западному научно-техническому прогрессу, к первым персональным компьютерам и даже к портативным персональным компьютерам, помещавшимся в портфель. И они никак не могли понять: почему в условиях такого стремительного прогресса они должны использовать такие допотопные шифры 30-летней давности? Неужели в СССР не могут сделать шифр для портативного компьютера?
1987 год. Я закончил аспирантуру 4 факультета, защитил кандидатскую диссертацию и в конечном счете попал в 4 отдел Спецуправления 8 ГУ КГБ СССР. 5 отдел, где я работал до аспирантуры, был теоретический, а 4 – практический. Можно даже сказать, что специфический, в чем именно заключалась его специфичность – оставляю эту тему для размышления читателю.
Диссертация, которую я защитил, была целиком посвящена шифрам на новой элементной базе. Идей для их построения – масса, как бы теперь реализовать что-нибудь на практике. На советской элементной базе того времени? Рута 110, за что ей спасибо, надолго отбила всякую охоту к подобным изысканиям. А на чем?
В 4 отделе я получил должность небольшого начальничка. За время учебы на 4 факультете, глядя на нашего начальника курса (см. КиС), у меня сложилось отвращение к административной работе, ко всем большим и малым начальничкам, считавшим эту работу важнее научной. А тут – сам стал начальничком. Но бонусом к должности начальничка были две неоценимые вещи: почти отдельный кабинет и чудо техники в то время – портативный персональный компьютер.
Образовалась гремучая смесь: молодому и полному идей кандидату наук дали истинно персональный, да еще и портативный компьютер и создали условия для работы, чтобы современные Штирлицы не пользовались больше всякими пещерными шифрами 30-летней давности.
Больше на эту тему говорить не буду. Перейдем к побочной продукции 4 отдела Спецуправления 8 ГУ КГБ СССР.
Побочная продукция
Побочной продукцией 4 отдела СУ 8 ГУ КГБ СССР были ручные шифры для Советской Армии. Такие огромные переговорные таблицы, тоже пещерная продукция, которой пользовались люди попроще, чем Штирлицы – солдаты Советской Армии.
В 1979 году началась война в Афганистане. Сотрудник 4 отдела СУ 8 ГУ КГБ СССР Вячеслав Шеремета побывал на ней в командировке и увидел своими глазами проблему: в боевых условиях солдаты часто игнорировали эти громоздкие переговорные таблицы и передавали по рации команды открытым текстом, что приводило к их перехвату противником и неоправданным потерям. Что-то надо было делать с этими таблицами…
Вот тут уже не обойтись без советской электроники. Точнее – западной, но освоенной заводом Ангстрем в Зеленограде.
Для точности приведу цитату из Википедии.
«В 1984 году Министерство электронной промышленности дало задание на проектирование аналога карманного персонального компьютера Casio FX-700P. Разработчики предложили использовать 16-битный процессор Н1806ВМ2, основанный на технологии КМОП аналог К1801ВМ2, процессора с системой команд популярной в СССР архитектуры PDP-11, и базовый матричный кристалл Н1515ХМ1. Несмотря на иную схемотехнику, в министерстве настояли на полном внешнем сходстве с прототипом Casio, хотя это вызвало затруднения, в частности, со схемой выключения. Переработанный для калькулятора процессор получил обозначение Т243-2, а на базовом матричном кристалле были созданы контроллер ОЗУ, ПЗУ и клавиатуры T241-2-015 и контроллер дисплея T241-2-014. Прототип на базе этих элементов серийно не выпускался, однако несколько экземпляров попали к потребителям. Для серийного образца на базе К1801ВМ2 была разработана оригинальная микросхема процессора, включившая в себя часть контролеров периферийных устройств и получившая обозначение Т36ВМ1-2, и переработанные варианты трассировки базового матричного кристалла периферийных микросхем.»
Признаюсь честно: для меня, как математика, многие термины из вышеприведенной цитаты остаются до сих пор непонятными. Взяли японский Casio FX-700P, что-то подкрутили, подвертели, подхимичили и получили советский программируемый калькулятор «Электроника МК-85».
«Электроника МК-85 – советский программируемый калькулятор (микрокомпьютер) на базе 16-битного процессора со встроенным интерпретатором языка Бейсик. Разрабатывался в НИИТТ, главный конструктор – Л. Минкин, заместитель ГК – Ю. Отрохов, разработчики – С. Ермаков, О. Семичастнов, Б. Кротков, А. Подоров, В. Гладков и др. Выпускался заводом «Ангстрем», г. Зеленоград с 1986 года по 2000 год, было произведено более 150 тыс. калькуляторов различных модификаций… МК-85 продавался в сети магазинов «Электроника» по цене 145 рублей, что на тот момент было значительно дешевле любой другой ЭВМ, оснащённой интерпретатором Бейсика…Предположительно, единственный в мире на момент появления микрокалькулятор, оснащённый 16-разрядным микропроцессором с системой команд PDP-11»
Слава Шеремета, вернувшись из Афганистана, стал в 4 отделе СУ 8 ГУ КГБ СССР руководителем группы, занимавшейся автоматизацией защищенных переговоров в низовых звеньях Советской Армии. Возникла идея использовать для этого «Электронику МК-85», а точнее даже не сам калькулятор, не понимавший ничего, кроме своего BASIC, а на элементной базе этого калькулятора создать портативный шифратор, значительно более удобный для солдат, чем талмуды переговорных таблиц. А как? Самым оптимальным был традиционный советский способ: подкрутить, подвертеть, подхимичить и вместо BASIC получить шифратор.
Первым делом Слава направился в 5 отдел, где недавно закончилась НИР «Мотив», посвященная шифрам на новой элементной базе. Ему рассказали про «Ангстрем – 3М» и его криптографические свойства. В переговорных таблицах СА традиционно используются пятизначные группы десятичных цифр. Но и в «Ангстрем – 3М» можно рассматривать регистры сдвига не над кольцом вычетов по модулю 256, а по модулю 100. Методы анализа, результаты будут практически такими же. Криптосхема, похожая на «Ангстрем – 3М», адаптированная под модуль 100, была принята за алгоритм шифрования будущего шифратора на базе «Электроники МК-85».
А теперь – подкрутить, подвертеть, подхимичить. Математика здесь кончается, нужен инженер, причем не просто инженер, а человек, знающий архитектуру «Электроники МК-85» и умеющий его перепрограммировать на аппаратном уровне. Нужен инженер с завода Ангстрем в Зеленограде. Таким инженером был в первую очередь Анатолий Николаевич Подоров. Но даже если Толе Подорову удастся перепрограммировать опытный экземпляр «Электроники МК-85» на макете, то потом требуется перенос с макета на реальную микросхему, некоторые изменения интерфейса калькулятора, например клавиш и их назначения, и главная жуткая проблема советского времени – налаживание серийного выпуска калькулятора, переделанного под шифратор. На все это накладывался общий развал советской экономики во второй половине 80-х годов.
Электроника МК-85 С
Эта глава, когда я ее перечитываю, даже у меня вызывает неоднозначные впечатления. По образованию математик, я привык к точным математическим результатам: теорема – доказательство, вопрос – однозначный ответ. Но сейчас я сформулирую такой вопрос, на который трудно дать однозначный ответ.
Что было в конце 80-х годов более сложным: разработка архитектуры будущего шифратора на базе «Электроники МК-85» или ее воплощение в реальном калькуляторе «Электроника МК-85 С» и налаживание серийного выпуска?
В 4 отделе СУ 8 ГУ КГБ СССР работали в основном математики, люди далекие от советских заводов с их советскими проблемами. Но других заводов в то время просто не было, а завод иногда был очень нужен, как в случае с «Электроникой МК-85 С». Появлялась потребность в человеке, обеспечивающем связь с заводом, которого было принято в то время называть заводским толкачом. Заводской толкач – это чисто советское, социалистическое явление. В любой цивилизованной западной стране ученые – разработчики архитектуры шифратора стояли бы перед проблемой выбора завода из множества конкурирующих друг с другом предложений. А в СССР в середине 80-х везде и всюду царила монополия: в производстве, в торговле, в сфере услуг и прочая, прочая, прочая. На этой почве произрастали заводские толкачи, частенько занимавшиеся сомнительными делишками.
Заводской толкач был и в группе Шеремета в 4 отделе СУ 8 ГУ КГБ СССР. Он сумел договориться с начальником 8 ГУ КГБ СССР генерал-лейтенантом Н.Н.Андреевым о снятии грифа секретности с алгоритма шифрования будущего портативного шифратора, а с заводом Ангстрем – о перепрограммировании бытового калькулятора «Электроника МК-85» в портативный шифратор «Электроника МК-85 С» и его серийном выпуске. Криптографом этот толкач не был, 4 факультет ВКШ КГБ не кончал, офицером не был, к работе 4 отдела по основным направлениям его не допускали.
Налаживание серийного выпуска «Электроники МК-85 С» в конце 80-х годов – это, безусловно, заслуга толкача. Всех деталей его деятельности в этом направлении я не знаю, но создание НПМГП «Анкорт» – одна из таких деталей.
Никто не предполагал тогда, когда разрабатывалась криптографическая архитектура шифратора «Электроника МК-85 С» (примерно 88 или 89 год), чем в конечном итоге так прославится этот шифратор. С одной стороны, гриф секретности с его алгоритма был снят, а с другой – широкого опубликования этого алгоритма, как, например, в последующем были опубликованы криптографические ГОСТЫ, не было. С одной стороны, неизвестный алгоритм – это дополнительный рубеж защиты, а с другой – при неизвестном алгоритме у законного пользователя всегда может возникнуть подозрение, что в нем есть какой-то потайной ход, с помощью которого разработчик может получать доступ к обрабатываемой конфиденциальной информации.
Во всем мире сейчас преобладает мнение, что все исходные коды криптографических алгоритмов, используемых в коммерческих целях, должны быть открытыми. Любой желающий может убедиться в отсутствии в них ошибок, закладок и «троянских коней», а также попытаться самостоятельно, не доверяя разработчикам, провести их криптографический анализ. Так завоевывается доверие потребителя к такой специфической и в прошлом засекреченной продукции, как криптографические алгоритмы. Инициаторами такого подхода были американцы. Они в конце 90-х сняли секретность со своих криптографических алгоритмов и их исходные коды стали общедоступными, например, во всемирно известном пакете OpenSSL. Миллионы программистов и простых пользователей, как мошкара в сибирской тайге, набросились на OpenSSL, выловили, помимо всего прочего, практически все ошибки, глюки, баги этого пакета, повысив тем самым доверие к нему.
С алгоритмом шифратора «Электроника МК-85 С» все не так однозначно, такого широкого распространения, как OpenSSL, этот шифратор не получил. И хотя родственником был японский Casio FX-700P, чисто аппаратная надежность шифратора была явно не японская. Большие объемы информации шифровать на нем было невозможно, весь ввод ручной, клавиатура и дисплей, отображающий ввод, – миниатюрные.
Рис. 8. Электроника МК-85 С
Сейчас «Электроника МК-85 С» представляет интерес разве что для различных музеев по истории криптографии. Вряд ли в эпоху умных устройств этот калькулятор пригодится кому-нибудь по своему основному назначению – как шифратор. Но для музеев по истории криптографии остается неясным ответ на один и тот же вопрос: каким образом этот шифратор сыграл такую важную роль в истории современной России, как защита Центрального Банка РФ от фальшивых чеченских авизо? И желательно с максимумом подробностей.
Я постараюсь дать ответ на этот вопрос со многими, но не всеми, известными мне подробностями. Сначала – некоторые детали криптографической архитектуры этого шифратора.
В основе криптографического алгоритма «Электроники МК-85 С» лежал алгоритм типа «Ангстрем -3М» (см. рис 3), в котором оба регистра сдвига были над Z/100, длина левого – 10, длина правого – 50. В левом регистре в качестве точек съема использовались все ячейки регистра. Подстановка π – фиксирована. Домашнее задание № 1 для взломщиков – определить подстановку π, имея на руках образец этого шифратора. Мне было бы интересно знать, насколько эта процедура трудоемка.
Ключом шифратора являлись 50 элементов из Z/100 или, проще говоря, 100 десятичных цифр. Ключ вводился в шифратор в виде 110 цифр, последние 10 – проверочные. Домашнее задание № 2 для взломщиков: насколько трудоемка процедура извлечения ключа из шифратора и процедура определения алгоритма вычисления проверочной части ключа.
Шифратор работал циклами по 50 тактов в каждом цикле. В конце каждого цикла заполнение левого регистра – 10 элементов из Z/100, по-простому – 20 цифр, использовались в качестве гаммы наложения на открытый текст.
В шифраторе «Электроника МК-85 С» был реализован шифр гаммирования по модулю 10. Для избежания перекрытий гаммы наложения использовался биологический случайный маркант длиной 10 цифр. Перед зашифрованием пользователь должен был 10 раз нажать кнопку «МРК», по результатам нажатия вырабатывались 10 случайных цифр. Домашнее задание № 3 для взломщиков – определить алгоритм выработки марканта.
Маркант записывался в шифровку в качестве первых 10 цифр. На основе марканта и ключа строились начальные заполнения обеих регистров сдвига. Домашнее задание № 4 для взломщиков: определить алгоритм построения начальных заполнений регистров.
Ну и наконец последнее, но чрезвычайно важное замечание об этом шифраторе. В нем было два режима ввода открытого текста: буквенно-цифровой и чисто цифровой. Буквенно-цифровой был основным. Предполагалось, что солдат, не заморачивая себе голову, вводит сообщение, которое нужно зашифровать. Нажимает «EXE» и сразу же получает на экране шифртекст в виде групп десятичных цифр. Зачем был нужен чисто цифровой режим – можно только гадать. По-видимому, с помощью переговорных таблиц солдат сначала кодирует сообщение, сокращая его длину, а затем перешифровывает его с помощью шифратора. В шифратор в этом случае вводился закодированный цифровой текст.
Отчего криптографы схватились за головы
1978 год. Большой Кисельный переулок, дом 11, 4 факультет ВКШ КГБ СССР. Лекция по СД-7 Е – теории шифрующих автоматов. Лекцию читает Борис Александрович Погорелов.
– И вот тогда криптографы схватились за головы…
Читатель заинтригован? То ли еще будет, когда он узнает, как эта фраза оказалась причастна к спасению России от фальшивых чеченских авизо. Так отчего же криптографы схватились за головы? И когда это было?
Борис Александрович тогда рассказывал нам, слушателям 4 курса, про такое понятие в криптографии, как имитостойкость. Про электронную подпись в те времена еще лекции на 4 факультете не читали, а про имитостойкость – уже учили уму-разуму будущих криптографов. Почему?
Практика – критерий истины. Помню еще чего-то из философии, ведь сдавал по ней кандидатский минимум. Так вот: электронная подпись в 1978 году в СССР до практики еще не доросла, а имитостойкость уже достигла половозрелого возраста. Во Вьетнаме, в конце 60-х.
Во второй половине 60-х годов прошлого века США воевали с Вьетнамом. Вьетнам был тогда разделен на северный и южный, северный Вьетнам был другом СССР, а южный – США, которые воевали с северным. Друг северного Вьетнама – СССР – поставлял туда вооружение, в частности ракеты «земля – воздух» для защиты от американских самолетов. Этими ракетами можно было управлять с земли, посылая им шифрованные команды. А шифровались эти команды с помощью шифров гаммирования.
Что такое шифр гаммирования в то время? Это простое сложение знаков открытого текста с гаммой наложения. Сложение позначное, безо всяких переносов. Пусть, например, мы пытаемся передать ракете команду под кодовым обозначением 123, гамма наложения 297, гаммирование – сложение по модулю 10. Тогда к ракете пойдет зашифрованное сообщение 310. Противник (американцы) уже изучил систему команд, поступающих на ракету и хочет, чтобы ракета вместо истинного сообщения 123 приняла ложное, например 124.
Ракетой управляют по радиоканалу, к которому американцы имеют доступ. Они могут не просто читать все, что там передается, но и изменять в нем какие-то знаки по своему усмотрению с помощью более мощного сигнала. Они взяли и изменили 310 на 311. В этом случае ракета расшифрует его как 124 и полетит не в ту цель.
Рассуждения – очевиднейшие. Но, видимо, в 60-х годах прошлого века об этом никто не задумывался, ни разработчики, ни заказчики. Советские ракеты стали летать не туда, куда их посылали, а «криптографы схватились за головы». Появилось понятие имитостойкости, как стойкости к навязыванию ложной информации, и очевидная криптографическая аксиома: шифр гаммирования не является имитостойким.
Все оказалось предельно простым и понятным для тех, кто учился тогда на 4 факультете ВКШ КГБ СССР им. Ф.Э.Дзержинского. Но если простому, не посвященному в криптографию человеку сказать фразу: «Шифр гаммирования не является имитостойким», то реакция будет примерно такой же, какой она была у криминального авторитета Бори из фильма «День выборов» на предложение «объединить бренды». Портвейн с красителем от тархуна объединить с кандидатом Цаплиным – понятно, а объединить бренды – это уже что-то неизвестное и слишком наукообразное. Так же и здесь. Советские ракеты во Вьетнаме стали летать не туда – понятно, а шифр гаммирования не является имитостойким – это не для всех, не всякий заводской толкач сможет понять. Но я опять забегаю вперед.
От развитого социализма к капитализму
«На смену капитализму неизбежно придет социализм, а затем коммунизм» – так учили всех студентов в 70-х годах на нудных лекциях по марксистско-ленинской философии. Это в теории, а в реальной жизни – анекдот того времени.
– Почему мир капитализма так долго стоит над пропастью и никак не может в нее упасть?
– А он смотрит, что мы там делаем.
В конце 80-х началось падение, но не капитализма в пропасть, а развитого социализма на самое дно этой пропасти. В магазинах все пропало, продукты распределялись по предприятиям через скудные заказы, людей постоянно посылали на овощебазы и в колхозы-совхозы на бесплатный, тяжелый и почти не механизированный труд и прочая, прочая, прочая. Я многое из этого описывал в КиС. Сейчас же мне хотелось бы отметить, как все эти социалистические прелести влияли на основную работу людей, в частности, сотрудников Спецуправления 8 ГУ КГБ СССР.
Основная работа частенько откладывалась в сторонку, а люди думали лишь о том, как и где достать дефицит, как откосить от колхоза или овощебазы, как распределить доставшийся на отдел заказ с дефицитными продуктами. В КиС я описывал сцену распределения пачки чая «со слоном» весом в 250 грамм на 25 человек: притащили откуда-то аптекарские весы и отмеряли каждому по 10 грамм чая.
К прелестям тотального дефицита добавлялась всеобщая уравниловка. Твоя заработная плата практически не зависела от результатов твоего труда, значительная часть сотрудников Спецуправления постоянно сидела в курилке, травила анекдоты, обсуждала все на свете по принципу «бабы на базаре обсуждают проблемы ООН».
Анекдот советского времени. Француз, американец и русский спорят, у кого лучше секретность.
Француз: у нас в соседних комнатах сидят Поль и Жак, Поль не знает, что делает Жак, а Жак не знает, чем занимается Поль.
Американец: у нас в одной комнате сидят Билл и Джон, Билл не знает, что делает Джон, а Джон ничего не знает о работе Билла.
Русский: а у нас Иванов сидит целыми днями у себя за столом и так и не знает, что он делает.
В середине 80-х годов в СССР началась перестройка, побочным результатом которой стала потеря уверенности в завтрашнем дне. Может ли до бесконечности продолжаться такая полусонная жизнь, какая сформировалась во времена правления Брежнева? Что делать дальше, как подготовиться к возможным переменам? Можно ли сохранить свое образование, навыки и опыт при возможных переменах, не опускаясь до уровня барыг и торговцев?
Мне в определенном смысле повезло. Должность начальничка дала мне возможность основательно освоить истинно персональный компьютер, которым я мог распоряжаться по своему усмотрению. Персональные компьютеры, стоявшие в комнатах рядовых сотрудников, персональными только назывались. Ими пользовалась вся комната, т.е. 5 – 7 человек, и в основном для игр. Я, не скрою этого, тоже иногда играл, но безо всяких очередей и конкурентов и только в качестве разрядки после очередного продвижения в деле изучения программирования на языках ASSEMBLY, C++ или особенностей операционной системы MS DOS. Операционная система Windows тогда была еще в зачаточном состоянии, ею практически никто не пользовался. Общение с компьютером мне нравилось и я стал думать о том, чтобы связать свои дальнейшие планы и надежды с IT – информационными технологиями.
«Связать свои дальнейшие планы и надежды с IT» – это что-то абстрактное, непонятное. А НПМГП «Анкорт» – вот оно, рядом и директором там – мой формально подчиненный, заводской толкач. Истина – конкретна. Надо попробовать.
Сначала я сделал для «Анкорт» программную реализацию «Электроники МК – 85 С», а затем и систему выработки ключей для этого шифратора. Основное направление к тому времени было уже более-менее обеспечено программной продукцией, теперь можно попробовать запрограммировать наиболее интересные криптографические задачи для неопределенного круга потребителей. Так постепенно, году примерно в 90 – 91, стал появляться программный комплекс «Криптоцентр».
Никакого технического задания, никакого включения в планы работы при создании «Криптоцентра» не было. Это скорее был способ уйти с головой в работу и тем самым отвлечься от всего реализма, связанного с переходом от развитого социализма к капитализму.
Развитие капитализма в России
Не я первый использую такое название. Цитата из Википедии.
«Развитие капитализма в России. Процесс образования внутреннего рынка для крупной промышленности» – монография В. И. Ленина, посвящённая анализу экономического развития России. В книге с помощью марксистской теории проведено исследование экономики и социальной структуры России последней трети XIX века.»
Из марксистской теории известно, что началом развития капитализма является накопление первоначального капитала. В Википедии читаем.
«Накопление капитала (англ. Capital accumulation) – это динамика, которая мотивирует стремление к прибыли, включая инвестирование денег или любого финансового актива для увеличения первоначальной денежной стоимости указанного актива в качестве финансового дохода, будь то в форме прибыли, ренты или процентов. Накопление капитала направлено на создание новых основных и оборотных капиталов, расширение и модернизацию существующих, рост материальной базы социально-культурной деятельности, а также создание необходимого ресурса для резерва и страхования. Процесс накопления капитала составляет основу капитализма и является одной из определяющих характеристик капиталистической экономической системы.»
Более пожилые читатели наверное припомнили социалистическую Библию – «Капитал» Карла Маркса. Может быть, кто-то его и читал. Давайте вместе посмотрим, как происходило накопление капитала в России, вставшей в августе 1991 года на путь рынка и капитализма.
1992 год. Недавно провалился путч ГКЧП, к власти пришел Ельцин Б.Н., и с начала 1992 года объявил в России капитализм. Подозреваю, что многие читатели всего, что творилось тогда в России, уже не помнят или были в те времена несмышлеными малолетками. Но для понимания того, как Центральный Банк России дошел до «Электроники МК-85 С», нужно напомнить 1992 год.
При социализме доллар считался вражеским. Широким массам трудящихся было на него скорее всего наплевать. Многие этих самых долларов никогда в жизни не видели и ими не пользовались. Познания о долларе складывались с помощью вот таких басен.
Американский доллар важный,
Который нынче лезет всем в заем,
Однажды
С советским встретился рублем.
И ну куражиться и ну вовсю хвалиться:
"Передо мной трепещет род людской,
Открыты для меня все двери, все столицы,
Министры и купцы, и прочих званий лица
Спешат ко мне с протянутой рукой.
Я все могу купить, чего ни пожелаю,
Одних я жалую, других – казнить велю,
Я видел Грецию, я побывал в Китае, -
Сравниться ли со мной какому-то рублю?.."
"А я с тобой не думаю равняться", -
Советский рубль сказал ему в ответ.
"Я знаю, кто ты есть, и если уж признаться:
Что из того, что ты увидел свет?!
Тебе в любой стране лишь стоит появиться,
Как по твоим следам нужда и смерть идут.
За черные дела тебя берут убийцы,
Торговцы родиной тебя в карман кладут…
А я советский рубль, и я в руках народа,
Который строит мир и к миру мир зовет,
И всем врагам назло я крепну год от года.
А ну, посторонись – Советский рубль идет!
С. Михалков, 1940-1950 гг.
При капитализме все-таки решили сравнить доллар и рубль.
01.07.92 1$ = 125 руб.
01.08.92 1$ = 161 руб. (рост за месяц почти на 29%)
01.09.92 1$ = 205 руб. (+ 27%)
01.10.92 1$ = 254 руб. (+24%)
01.11.92 1$ = 398 руб. (+57%)
29.11.92 1$ = 447 руб. (+12%)
Те советские рубли, которые еще оставались «в руках народа, который строит мир и к миру мир зовет», почему-то в 1992 году не спешили «крепнуть, всем врагам назло». Все-таки верно сказал Михалков: «А я с тобой не думаю равняться».
Первым признаком приближения капитализма стал всеобщий интерес к курсу доллара. Народ, который строил капитализм, сразу подметил, что вслед за долларом растут и без того немыслимые цены в магазинах. Курс доллара стал универсальным индикатором процесса развития капитализма в России.
В чем причина такого роста курса доллара в 1992 году?
Ленину при подготовке его работы помогал П. Б. Струве. Не было тогда Интернета. А мне сейчас не требуется никакой Струве, достаточно при поиске ответа на этот вопрос заглянуть в Википедию или погуглить фразу «фальшивые авизо».
«Фальшивые авизо – поддельные платёжные документы.
В России в начале 1990-х годов было распространено мошенничество с их использованием, ущерб от которого для экономики оценивается в триллионы рублей.
Возможность проведения афер с участием фальшивых авизо появилась при реструктуризации банковской системы, в частности, когда начали создаваться расчётно-кассовые центры (РКЦ) ЦБ РФ. Деньги, похищенные таким образом, проводились через цепочки фирм-«однодневок». Расследование по этим делам велось в 1990-х годах, но тогда практически не дало результатов.
Особым промыслом изготовление фальшивых авизо было в Чечне. По этим авизо было получено более 4 трлн рублей.
Как отметил председатель Счётной палаты России Сергей Степашин, «ущерб от махинаций с фальшивыми авизо эквивалентен сумме тогдашних невыплат шахтерам, предприятиям ВПК, военным, учителям», «деньги от фальшивых авизо, помимо финансирования „респектабельной“ деятельности по созданию криминализированных банков, шли на содержание „киллерских“ команд, подкуп чиновников, нечистоплотные сделки по приобретению производственных мощностей». По его мнению, махинации с фальшивыми авизо послужили причиной криминализации банковской системы.
По оценке бывшего главы МВД Рашида Нургалиева, ущерб от операций с фальшивыми авизо составил триллионы рублей. Как заявил член комитета по безопасности Госдумы Николай Леонов, использование фальшивых авизо способствовало захвату отраслей промышленности России. В качестве примера Леонов назвал установление контроля к середине 1990-х над чёрной и цветной металлургией братьями Михаилом и Львом Черными. В материалах Следственного комитета МВД отмечалось, что братья Черные расплачивались за металл деньгами, обналиченными по фальшивым авизо, в уголовных делах называлась сумма в размере более 10 млрд рублей (около 500 млн долларов).»
Вот что написано в Интернете на сайте Ramler.ru
«Махинации с авизо охватили всю страну, однако наибольший размах этот вид мошенничества получил в Чечне, которая провозгласила свою независимость.
После прихода к власти Джохара Дудаева филиалы российских банков в Республике Ичкерии лишь формально оставались государственными, что благоприятствовало проведению через них фальшивых платежек. Таким способом из разных регионов России в мятежную Чечню стекались колоссальные суммы.
Как позднее установили правоохранительные органы, по криминальной системе за несколько лет прошли несколько тысяч фальшивых авизо. Полученные по ним деньги во многом послужили финансовой базой для деятельности террористических группировок.
Дудаев в одном из интервью даже похвалился, как он безнаказанно пользовался уязвимостью российской банковской структуры: отправляя в Россию липовые бумажки, он получал обратно груженные деньгами самолеты.
Как писал в 2000 году журнал «Огонек», за первый после распада СССР год в Чечню из России были вывезены около 400 миллиардов рублей наличными: деньги транспортировали в грузовиках, поездами «Москва – Грозный», а также пассажирскими рейсами «Аэрофлота».
В общем, получается так, что в России в 1992 году понятия накопления капитала и фальшивые авизо оказались тесно связаны. Что-то тут пошло не в соответствии с марксистской теорией, но что было, то было.
Ну а доллар-то почему так бурно рос? Да все потому, что это общепризнанная стабильная валюта. Получив рубли по фальшивому авизо, злоумышленники стремились их побыстрее обменять на доллары. Как там у Михалкова: «За черные дела тебя берут убийцы, торговцы родиной тебя в карман кладут…». Прямо предвидел 1992 год!
Шутки шутками, а положение в России в 1992 году было нелегкое. Стремительный рост курса доллара грозил обвалить всю финансовую систему страны. Сделать нищими большинство населения, еще не пришедшего в себя после «шоковой терапии» начала 1992 года, когда цены сделали свободными и они резко скакнули вверх.
За обеспечение финансовой стабильности в России отвечал Центральный Банк России. Примерно с середины 1992 года в ЦБ стали срочно искать способы защиты банковских авизо от подделки.
Тут надо сказать несколько очень важных слов. Успех того или иного дела во многом определяется людьми, взявшимися за это дело. 1992 год – особенный. При социализме во многих организациях, похожих на СУ 8 ГУ КГБ СССР, люди были офицерами. Это был способ привлечения наиболее квалифицированных и ответственных кадров, ибо офицер получал фактически два оклада: по должности и по званию. Но с развитием капитализма оклад сотрудника, работавшего в банковской сфере, стал превосходить суммарный оклад офицера, что привело к перетеканию офицеров в банковскую сферу. Бывшие офицеры были дисциплинированными людьми, им можно было доверять финансовые дела.