27 август 2020
Либертариум Либертариум

От "средств защиты" - к финансовой криптографии

"Конфидент", # 6, 1999
Финансовая криптография для "чайников".

Судьбы криптологии как науки и криптографии как инженерной практики в уходящем веке в значительной мере определялись разобщенностью мира в ходе двух мировых войн и последовавшей "холодной войны" между западными демократиями и коммунистическим блоком.

С одной стороны, эти обстоятельства, создавая постоянный спрос на криптологические и криптоаналитические разработки и на военно-дипломатические криптоприложения, безусловно, способствовали интенсивным исследованиям.

С другой - ограниченный в качественном отношении характер этого спроса и атмосфера секретности, угнетавшая нормальные структуры академической коммуникации, подавляли развитие этих дисциплин и сужали их сферу до специфических задач обслуживания военной и дипломатической коммуникации. Фактически, с начала века (отмеченного замечательной работой Огюста Керкхоффа, сформулировавшего беспрецедентно полный список требований к криптосистемам) и до 40-х годов (изобретение первых компьютеров и построение коммуникативных теорий информации и секретности Клодом Шенноном, Норбертом Винером и Андреем Колмогоровым) мобилизованные "на войну" криптологи были заняты тем, что "ломали" одни скверные роторные шифры и разрабатывали другие, часто столь же скверные, поскольку обобщение опыта и трансляция знаний происходили крайне медленно.

Постепенный переход к использованию машинных шифров мало что изменил, а радикально ситуация начала меняться лишь в семидесятые годы, когда публичная разработка стандарта DES и последующий его анализ привели к современным криптоаналитическим идеям (прежде всего, методам дифференциального и линейного криптоанализа), позволившим набросать теоретико-сложностную концепцию стойкости шифров, а изобретение крипто с открытым ключом Уитфилдом Диффи, Мартином Хеллманом и Ральфом Мерклем решило (точнее, элиминировало) проблему "распределения ключей". Эти исследования проводились гражданскими специалистами.

В 80-е годы в развитых странах спрос на крипто со стороны гражданского сектора превысил спрос на военно-дипломатические приложения, международное академическое сообщество стало очевидно сильнее совокупности "шарашек" по обе стороны "железного занавеса", и с этого времени можно говорить о восстановлении (или даже о втором рождении) гражданской криптографии. Последнее десятилетие века, отмеченное коммерциализацией и быстрым ростом компьютерных сетей открытого доступа (прежде всего, Internet) принесло крипто практически на каждое рабочее место и в каждый дом, где есть современные компьютеры.

В течение короткого периода гражданская криптография вобрала в себя достижения предшествовавших периодов, но сам характер стоящих перед ней задач - воспроизведение в телекоммуникациях всего разнообразия отношений (доверия и недоверия, делегирования и сохранения полномочий, расщепления и консолидации прав собственности и пр.), свойственных коммуникации в гражданском обществе и рыночной хозяйственной практике, - не позволил ей ограничиться "конверсией" технологий.

Финансы и гражданская криптография

Криптография значительно расширила свои границы, включив наравне с традиционной задачей обеспечения конфиденциальности связи также задачи аутентификации содержания сообщений и идентификации (или, наоборот, строгой анонимизации) сторон. В этом смысле современную криптографию можно назвать не только гражданской (civil), но и, пожалуй, "гражданственной" (civic).

Произошедшая трансформация разворачивалась на наших глазах и завершена не в полной мере. Она еще не стала историей, хотя попытки написать такую историю уже есть. При этом часто упускают из виду роль, которую в этом процессе сыграла финансовая, и в частности банковская, отрасль. Финансовые структуры не только стали самым крупным "потребителем" крипто, но и сформулировали принципиально новые задачи для разработчиков криптопротоколов и алгоритмов, что влечет за собой качественное развитие криптологии.

Основной вектор этого развития можно прочертить как движение от "защиты" расчетных систем (более или менее копирующих традиционную архитектуру "бумажных" безналичных расчетов) к спецификации и реализации протоколов, в полной мере учитывающих специфику как финансовой коммуникации, так и новых телекоммуникационных сред - протоколов, в буквальном смысле воплощающих как актуальные, так и потенциальные финансовые инструменты и институты.

Раздел криптологии, занятый построением и анализом свойств таких протоколов, называют, с легкой руки бостонского аналитика (ныне возглавляющего первый Internet-консорциум по подписке на цифровые предъявительские сертификаты - IBUC Inc.) Роберта Хеттинги, финансовой криптологией, а соответствующую инженерию - финансовой криптографией.

Хотя выделение финансовой криптографии в отдельную область было первоначально воспринято профессиональным сообществом с изрядной долей скепсиса, уже первая специализированная конференция стала достаточно представительной и весьма престижной. За три года ежегодные конференции "Финансовая криптография" (проводятся ежегодно в феврале на острове Ангилья в Британской Вест-Индии) стали одним из самых авторитетных форумов в сообществе, а их материалы публикуются в весьма престижной серии Lectures in Computer Science международного издательства Springer. Но начиналось все гораздо раньше.

Славный новый мир "безнала"

На исходе средних веков менеджерами-купцами была изобретена система двойной бухгалтерской записи. Это первая известная коммерческая технология, позволяющая управлять доверием внутри фирмы и построить надежно работающее предприятие из предположительно ненадежных людей. Нужно безгранично доверять единственному управляющему, чтобы передать ему все дела, но уже из двух среднестатистических продавца и кассира можно построить достаточно надежную систему, не утруждая себя размышлениями относительно их честности.

Двойная бухгалтерская запись - важнейший механизм современного капитализма, превративший бизнес как таковой из семейного дела в социальное, вводящий возможность независимого аудита и, как следствие, привлечения публичного капитала.

Безналичные расчеты - это распространение технологии бухгалтерского учета с двойной записью на хозяйственные системы, состоящие из множества лиц. Собственно, только в сфере "безнала" и можно говорить о "расчетах" (предварительном обмене информацией) как отличных от самих "платежей", окончательно погашающих задолженности.

Основной причиной стремительного развития систем безналичных расчетов и их распространения на все новые и новые сферы (включая розничные сделки), а также распространения на неденежные финансовые инструменты стала возможность удаленного исполнения сделок. До недавнего времени безналичные расчеты были единственной технологией, позволяющей мгновенно начать исполнять сделку, находясь на расстоянии.

Модерируя отношения доверия между участниками деловых отношений, безналичные системы (и, в частности, системы эмиссии и обращения необеспеченных "декретных" национальных валют, а также "бездокументарных" систем обращения ценных бумаг) требуют поистине безграничного доверия к операторам самой системы и силовым институтам, способным принудить контрагентов к исполнению сделки. Доверия, которого, как показывает непредубежденный взгляд на историю, они совершенно не заслуживают.

Тем не менее, пока стоимость обработки данных (ручного "компьютинга") и телекоммуникаций оставалась достаточно высокой, соображения экономии придавали этим системам ярко выраженный иерархический характер, что позволяло в либеральных демократических обществах держать компактную верхушку этих иерархий в определенных рамках.

Дешевая обработка и передача данных размывает иерархии и сметает границы, иерархии "уплощаются" в сети, и одним из следствий этого становится возрастание стоимости контроля и правопринуждения в расчетных системах. Фактически эти издержки кладут предел той экономии, которая может быть достигнута за счет возможности удаленного совершения и исполнения сделок. "Безнал" оказывается не слишком приспособленным к сетевому миру экономически.

Роль крипто в оптовых безналичных расчетах

Первые системы межбанковских расчетов строились как "закрытые" и вполне подобные защищенным системам военных и правительственных коммуникаций. В условиях, когда необходимо было обеспечить быстрый обмен информацией между ограниченным количеством (десятками или сотнями) крупных банков, основными задачами криптографов оставались обеспечение конфиденциальности содержания коммуникации и предотвращение навязывания участникам системы ложной информации извне.

В связи с этим долгое время применялись в основном приемы симметричной криптографии. Несколько спрямляя углы истории, можно сказать, что разработка первого открытого стандарта симметричного криптоалгоритма DES и была начата корпорацией IBM по заказу банковских учреждений.

Подобные системы (национальный и международный электронный клиринг, поддержка корреспондентских расчетов, процессинг карточных транзакций, наконец, депозитарные сети) ныне включают в себя гораздо большее количество (тысячи или десятки тысяч) "разномасштабных" участников, которые в разной степени доверяют друг другу, не всегда доверяют своему персоналу и всего меньше склонны слепо верить некоему авторитарному "центру" системы.

Остро встают вопросы защиты от внутренних атак и разрешения спорных и конфликтных ситуаций. Задачи криптографов усложняются, и все чаще в такие системы внедряются более развитые протоколы, предусматривающие применение приемов асимметричной криптографии (шифрования с открытым ключом и цифровой подписи) и распределенной сети доверия.

Фактически речь идет о постепенной трансформации закрытых систем в "открытые". Важнейшими характеристиками открытых криптосистем является локальная генерация и хранение ключей, отделение инфраструктуры обмена ключами от архитектуры их сертификации, наличие протоколов разбора и разрешения конфликтов. Полноценную открытую систему можно построить лишь при соблюдении основного принципа гражданской криптографии - публичности алгоритмов и протоколов и открытости их реализации для независимой экспертизы.

Вследствие естественного консерватизма финансовой отрасли такая трансформация происходит достаточно медленно, и груз унаследованных устаревших решений ставит отрасль в невыгодное положение по сравнению с новыми областями криптоприложений (такими как коммуникация и торговля в Internet). Однако следует помнить, что совокупная стойкость, надежность и живучесть системы расчетов определяется слабейшей ее частью, и пока безналичные расчеты будут преобладать в Сети, совершенство специализированных банковских сетей имеет большое значение не только для банков, но и для всех участников таких расчетов.

Изнанка безналичного общества

"Изнанка" безналичных и бездокументарных расчетов (особенно на уровне розничных сделок) создает серьезную угрозу правам и свободам человека, связанную с накоплением массы персонально значимой информации, не являющейся секретной в каждом своем отдельно взятом фрагменте, но в сумме дающей полный "финансовый профиль" конкретного человека.

Опасно уже само по себе накопление персональной информации, не контролируемое теми, к кому она относится. Даже строгое соблюдение интересов клиента институтом не может полностью исключить утечку информации. Но еще опаснее то, что, используя дешевую риторику об "отмывании денег", власти во многих странах значительно ограничили возможности банкиров и финансистов в исполнении ими своего профессионального и гражданского долга.

Понятие банковской тайны составляет неотъемлемый элемент прав человека в монетаризированном обществе. В современном мире это понятие присутствует в законодательстве большинства стран, но все чаще звучит насмешкой. Искусно фильтруемая, полученная через "черный ход" информация о сделках все чаще используется как в целях экономического шпионажа в пользу связанных с правительствами корпораций, так и для шантажа и компрометации отдельных лиц. Сегодня грязная волна этих социальных технологий захлестнула и Россию.

Распространение "розничных" безналичных расчетных систем заставляет вспомнить пророческий кошмар Иоанна Богослова о мире, в котором всем "положено будет начертание на правую руку их или на чело их, И что никому нельзя будет ни покупать, ни продавать, кроме того, кто имеет это начертание, или имя Зверя или число имени его" (Откр., 13), и то, что Откровение Иоанна принято называть "апокалипсисом" и связывать с концом света.

Распространение "безнала" рано или поздно станет неприемлемым политически, по крайней мере в нашей западной парадигме, но не следует считать это дополнительной причиной для поиска альтернатив.

Это оборотная сторона уже упомянутого экономического предела безналичных расчетов: значительная и постоянно растущая составляющая специфических издержек безналичного оборота как раз и обусловлена необходимостью сохранения и обработки все большего количества конфиденциальной информации - от персональных данных до биометрик, включая сюда уже не только образцы подписи, но и параметры отпечатков пальцев, формы ладони или структуры радужной оболочки глаз.

Безналичные расчеты в Internet

Если по отношению к "реальной жизни" апокалиптический кошмар Иоанна Богослова выглядит скорее предостережением об опасной грани, к которой приблизился мир, то в Internet он чуть ли не реализован. Не имея "начертания имени" (логотипа на карточке) одного из бегемотов - карточных ассоциаций или хотя бы "числа имени его" (номера карточки), купить что-либо через Internet сегодня нелегко. Не легче и организовать торговлю, не прибегая к "зверским" услугам.

Вынося за скобки расчеты business-to-business (в которых вопрос взаимного недоверия стоит менее остро и которые в большинстве случаев регулируются предварительно заключенными "на бумаге" договорами), безналичные расчеты в Сети можно свести к удаленному управлению банковским счетом или брокерским портфелем и передаче реквизитов кредитной карты при розничных сделках.

Для защиты таких операций обычно применяются криптопротоколы, ориентированные на туннелирование "высоких" (от транспортного слоя сетевой модели и выше) протоколов обмена данными в IP-сетях.

Наибольшее распространение получил протокол Secure Socket Layer (SSL), разработка которого была инициирована американской компанией Netscape Inc. и поддержана Internet-отраслью во всем мире. SSL за счет применения гибридных методов (сочетающих приемы симметричной и асимметричной криптографии) позволяет осуществить безопасное соединение по таким распространенным протоколам, как http (передача гипертекста в WWW), ftp (передача файлов), smtp (пересылка электронной почты) и др. Поддержка SSL включена в большинство серверных и клиентских (такие как популярные программы-броузеры WWW Netscape Communicator, MS Internet Explorer и Opera) приложений.

При этом обычно используются такие возможности SSL, как шифрование информации, которой обмениваются сервер торговца и клиент покупателя, а также стойкая идентификация сайта торговца и аутентификация передаваемой им информации. Функция идентификации клиента, также предусмотренная последними версиями SSL и идущим ему на смену протоколом Transport Layer Security (TLS), используется редко при взаимодействии с брокером и практически никогда - при передаче карточной информации.

Другим вариантом (пока скорее теоретическим) применения криптографии является включение клиента в виртуальную частную сеть (VPN) торговца или брокера с использованием криптопротокола, защищающего сетевой слой коммуникации, например IPSec. Средства VPN также позволяют стойко идентифицировать обе стороны, аутентифицировать и шифровать передаваемую ими информацию.

Важно понимать, что защита безналичных розничных расчетов носит по большей части психологический характер. Например, "карточные" сделки, заключенные через Internet, юридически считаются заключенными "без предъявления карточки" (так же, как и заказы по телефону), поэтому все риски внутреннего или внешнего мошенничества падают на торговца.

Правовое признание эквивалентности цифровой подписи собственноручной может несколько изменить ситуацию, однако пока соответствующие инфраструктурные услуги (нотариальная сертификация ключей, позволяющая избежать необходимости предварительного "бумажного" взаимодействия между торговцем и покупателем) остаются дорогими и малораспространенными.

Безбиллинговые системы и "предоплаченные инструменты"

Издержки биллинга - выписки счетов и последующих безналичных расчетов для их оплаты - практически никогда не опускаются ниже единиц процентов от общих операционных издержек в обычной торговле и достигают десятков процентов в торговле "поточными" осязаемыми (такими как вода или газ) и неосязаемыми (тепло, электроэнергия) сущностями. Особенно высоки они в торговле услугами (транспорт, телекоммуникации), где достигают четверти операционных расходов и выше.

Если говорить об Internet, к этим издержкам добавляется обслуживание рисков, которые, как уже упомянуто, в большинстве случаев ложатся на торговца. И во внесетевом, и в сетевом мире финансовые инженеры в поисках альтернативных "безналу" схем пришли к технологиям "предоплаченных инструментов".

В кавычки это выражение ставит то обстоятельство, что по понятию финансового инструмента (как пучка прав собственности) он всегда является в некотором смысле предоплаченным. Ни безналичные денежные или бездокументарные ценнобумажные счета, ни интерфейсы к ним (включая карточки), не являются инструментами и не инструментализуют соответствующих отношений задолженности.

По отношению к вышеупомянутой угрозе финансовой приватности "предоплаченные инструменты" носят весьма различный характер.

Большинство из них (например, телефонные и транспортные магнитные и смарт-карты) представляют держателя "псевдонимно", то есть имеют уникальный номер, но он никак не привязан к персональной информации держателя.

Существуют системы смарт-карточных расчетов (таких как CAFE, эксплуатируемая в брюссельском офисе Еврокомиссии) и расчетов в Internet (таких как обсуждаемая ниже eCash), реализующие стойкую анонимность.

К сожалению, есть "предоплаченные инструменты", рекламируемые создателями и операторами как анонимные, но технологически таковыми не являющиеся. Таковы британские смарт-карты Mondex, такова разработанная в России система "моментальных расчетов в Internet" Webmoney. Фактически в каждом случае, когда система или инструмент объявляются "анонимными", но их спецификации не раскрыты, стоит опасаться недобросовестной рекламы.

Наконец, есть явно и агрессивно идентифицирующие держателя "инструменты", например телефонные карты GSM.

Использование "предоплаченных инструментов" дополнительно связано с (неявным) кредитованием эмитента их держателем. Эмитенты и операторы могут рассматривать это свойство как "выгодное", однако держателя оно не всегда устраивает. К тому же, в конкурентной среде рынок учитывает соответствующую стоимость кредита, а в неконкурентной (монопольной) - "принудительное кредитование" может стать лишним поводом для государственного вмешательства и принятия антитрестовских мер.

Очевидно, что близким к идеальному является решение с использованием пополняемого "предоплаченного инструмента" (карточки или ее программного аналога) с быстрым интерфейсом между ней и банковским депозитом. Возможно ли решение, сочетающее приватность собственно платежей и идентификацию доступа к счету? Эта фантастическая интрига и стала завязкой в истории финансовой криптографии.

Именно мотивы сокращения издержек и восстановления финансовой приватности, характерной для наличных расчетов, привели криптографов к идее цифровых документарных ("наличных", "сертификатных") расчетов, вначале в форме так называемой цифровой наличности.

Рождение финансовой криптографии и цифровая наличность

Ключевым для понимания технологий финансовой криптографии является преодоление заблуждения о том, что идентификация участника расчетов является необходимой для защиты организатора денежного (или иного финансово-инструментального) обращения. На самом деле персональная информация нужна не для расчетных операций, а для кредитных, причем, в общем случае, только для необеспеченного кредита. И это принципиально, так как необеспеченный кредит на деле всегда обеспечен репутацией кредитуемого и, возможно, суммой его прав, в которых он может быть поражен правопринудительным институтом в случае невыплаты долга (дефолта).

В современных финансовых системах расчетные и кредитные функции, как правило, слиты в одном институте - универсальном коммерческом банке, и из-за этого возникает путаница. То, что эмитент-организатор обращения может работать с анонимными участниками этого обращения, демонстрируется на примере обращения наличных денег. Обычный "нал", однако, имеет среди прочих тот основной недостаток, что платеж может осуществляться только "из рук в руки", а не на расстоянии.

Эту проблему решил в начале 80-х голландско-американский криптограф Дэвид Чом (Давид Шаум), занимавшийся специальными протоколами цифровой подписи. Изобретенный им прием "подписи вслепую" позволил разработать кортеж протоколов, реализующих эмиссию и обращение наличноденежных (или - шире - предъявительских) финансовых инструментов в цифровых средах. Чом разработал системы эмиссии и обращения с двусторонней (плательщик и получатель), а также односторонней (только плательщик или только получатель) анонимностью.

Технология была доведена до промышленного уровня, в 1994 г. прошел первый пилотный проект по расчетам eCash в Internet, а уже в следующем году возглавляемая Чомом голландская компания DigiCash B.V. начала лицензировать технологию eCash финансовым институтам для организации "реальных" расчетов. За три года были достигнуты, казалось бы, впечатляющие результаты в деле привлечения банков к эмиссии и обслуживанию eCash, однако ни одному из эмитентов не удалось "раскрутить" систему до нужных оборотов и добиться операционных прибылей.

В этом году объявлено о банкротстве DigiCash B.V. и о реорганизации по одиннадцатой статье Единого торгового кодекса (фактически, банкротство) ее американского субсидиария DigiCash Inc. Права на технологию приобрела вновь созданная компания eCash Technologies Inc., но пока неясно, какие изменения в бизнес-модели повлечет номинальная смена владельца.

Перспективная бизнес-модель и будущее финансовой криптографии

Анализируя причины неудач eCash, многие аналитики пришли к выводу о том, что опора на банки в качестве эмитентов и организаторов обращения была ошибочной. При такой архитектуре фактически все операционные риски оказываются возложенными на один институт. Кроме того, юридическая связь между вхождением в систему "цифроналичного" обращения и открытием счета в конкретном банке серьезно снижает мотивацию потенциальных участников.

Робертом Хеттингой предложена другая модель, в которой банк участвует в качестве попечителя (хранителя залогового обеспечения системы), а роль эмитента и организатора обращения играет другой институт, более похожий на андеррайтеров, производящих подписку на акции при выводе последних на рынок. Сейчас Хеттинга пытается реализовать свою идею для подписки на микроплатежные средства.

Стоит отметить, что Дэвид Чом, не лучшим образом проявивший себя как бизнесмен в ходе продвижения eCash, тем не менее своими патентами "перекрыл кислород" большинству потенциальных конкурентов.

Среди немногих компаний в мире, обладающих технологией эмиссии и обращения цифровых сертификатов на предъявителя, можно отметить две российские: московскую "ЛАН Крипто" и питерскую "Алкорсофт". В последней развивают технологию PayCash (изначально разработанную в банке "Таврический"), существенно отличающуюся от eCash (юристы холдинга активно работают над защитой приоритета, и к сегодняшнему дню PayCash покрыта рядом патентов и справок о приоритете в России и США).

Перспективным направлением финансовой криптографии, помимо совершенствования и развития платежных средств, является освоение более сложных финансовых инструментов и институтов, чем деньги. Деньги (платежное средство per se) являются, в сущности, финансовым "нуль-инструментом", фиксирующим лишь одно право держателя: право конвертации номинала в другую денежную форму.

Немногим сложнее облигации и привилегированные акции, которые должны допускать лишь "расщепление" на обновленный инструмент и "купон", подлежащий конвертации в цифроналичную или иную денежную форму, а кроме того, должны обладать "интерфейсом" для торгов по курсовой стоимости.

Можно с уверенностью сказать, что реализация предъявительских облигационных инструментов находится в пределах существующих технологий; прототип такой системы представлен и успешно эксплуатируется британской компанией Systemics Ltd.

Более сложный инструмент представляют из себя обыкновенные акции, фиксирующие в себе также права голоса и активизма (постановки вопроса на голосование).

Системы цифрового анонимного голосования активно разрабатываются криптографами уже в течение многих лет. Следует отметить, что помимо финансовых приложений, цифровое голосование может найти и политические - организацию дешевых референдумов и телевыборов.

При этом для политических приложений могут оказаться желательными иные свойства протоколов, нежели для финансовых.

Например, демократическая политическая парадигма предполагает неотчуждаемость голоса гражданина, в то время как в управлении корпорацией могут оказаться желательными отчуждаемость и оборот голосов акций как отдельных инструментов.

Литература

1. S. Brands. An Efficient Off-Line Electronic Cash System... Report CS-R9323, CWI, 1993.

2. D. Chaum. Security Without Identification. "Comm. ACM". v. 28. N. 10. 1985.

3. Анохин М. И. и др. Криптография в банковском деле. М, 1997.

4. Григг А. Цифровой трейдинг // Компьютерра. 1998. N 12.

5. Отставнов М. E. Электронная наличность в сетях Internet // Банковские технологии". 1996. N 2.

6. Отставнов М. E. Деньги для XXI века: Цифровая наличность в смарт-картах и сетях Internet // Финансовые риски. 1996. N 3.

7. Отставнов М. E. Финансовая инфраструктура цифрового хозяйства // Компьютерра. 1997. N 38.

8. Отставнов М. E. О контроле за наблюдающим за представителями // Мир карточек. 1998. N 7.

9. Сабо. Н. Умные контракты. Четвертая революция стоимости // Компьютерра. 1998. N 38.

10. Хеттинга. Р. А. Финансовая криптография и геодезическое хозяйство // Компьютерра. 1998. N 7.

11. Хеттинга. Р. А. Подписка на акции приватности // Компьютерра. 1999. N 33-34.

[email protected] Московский Либертариум, 1994-2020