Zpravodajský skandál století: Americká CIA skrytě prodávala prolomitelné šifry

Společnost Crypto AG dostala svou první velkou šanci, když podepsala smlouvu na výrobu kódovacích zařízení pro americké jednotky během druhé světové války. Najednou ji doslova zavalily peníze, a tak se na několik desetiletí stala dominantním producentem šifrovacích strojů a jedničkou v oboru technologií mechanických převodů, elektronických obvodů, a nakonec i křemíkových čipů a softwaru. 

Švýcarská firma si prodejem zařízení do více než 120 zemí vydělala miliony dolarů. Mezi její klienty patřily Írán, vojenské junty v Latinské Americe, Indie, Pákistán, a dokonce i Vatikán. Žádný ze zákazníků ovšem netušil, že Crypto tajně spadala do vlastnictví americké CIA, a to ve vysoce utajeném partnerství se západoněmeckými zpravodajskými službami. Zmíněné špionážní agentury upravovaly šifrovací přístroje tak, aby mohly snadno číst kódy používané jednotlivými státy k odesílání zpráv.

Tah století

The Washington Post a německá veřejnoprávní stanice ZDF nyní ve společném reportážním projektu odhalily desetiletí trvající uspořádání, jež patří k nejpřísněji střeženým tajemstvím studené války. Operace známá dřív pod názvem Thesaurus a později Rubicon se řadí mezi nejodvážnější v historii CIA.

„Šlo o zpravodajský tah století,“ uvádí tajná zpráva agentury hodnotící úspěšnost projektu, kterou se novinářům podařilo získat. „Zahraniční vlády platily USA a západnímu Německu spoustu peněz za privilegium, aby přinejmenším dvě, ale pravděpodobně pět až šest cizích zemí mohlo číst jejich nejtajnější sdělení.“

Od roku 1970 kontrolovala CIA a Národní bezpečnostní agentura NSA, zaměřená na prolamování šifrované komunikace, téměř všechny aspekty činnosti firmy Crypto. Spolu s německými partnery rozhodovaly o najímání zaměstnanců, navrhování technologií, sabotování jejich algoritmů a směřování prodejů. Mezitím mohli američtí i němečtí špioni sedět v teple a v klidu odposlouchávat. 

Velmi praktické zařízení

Rozsáhlá a sofistikovaná operace vyrostla z potřeby americké armády disponovat jednoduchým, ale kompaktním zařízením. Podnikatel a vynálezce Boris Hagelin, zakladatel Crypto AG, se narodil roku 1892 v Rusku. Po nástupu bolševiků však uprchl do Švédska a pak dál do Spojených států, když v roce 1940 nacisté okupovali Norsko. S sebou si vzal šifrovací přístroj, který vypadal jako hudební skříňka s robustní klikou a jehož kovové pouzdro ukrývalo soustavu ozubených koleček a pružin.

Zařízení M-209 nebylo ani zdaleka tak komplikované či zabezpečené jako stroje Enigma používané nacisty. Přesto se dočkalo širokého uplatnění, jelikož bylo přenosné a pohánělo se ručně, tudíž se perfektně hodilo pro jednotky v pohybu. Jeho zabezpečení bylo velmi slabé, takže se předpokládalo, že téměř každý protivník dokáže kód dešifrovat. Trvalo to ovšem hodiny, a jelikož přístroj sloužil k podávání taktických zpráv o přesunu vojsk, byl obsah sdělení v době, kdy jej nacisté rozklíčovali, již obvykle bezcenný – jednotky se totiž dávno nacházely jinde. 

Problém Hagelin

V průběhu války se ve fabrice na psací stroje Smith Corona v newyorském městě Syracuse vyrobilo na 140 tisíc M-209, a to na základě smlouvy americké armády s Crypto v hodnotě 8,6 milionu dolarů. Po skončení globálního konfliktu se Hagelin vrátil do Švédska, kde znovu otevřel svoji továrnu. A přestože si s sebou přivezl nejen vydělané peníze, nýbrž i celoživotní loajalitu k USA, američtí špioni jeho operace sledovali. Na počátku 50. let vyvinul pokročilejší verzi svého stroje, tentokrát s „nepravidelným“ mechanickým sledem, který šifranty Spojených států na chvíli zmátl.

Američtí úředníci, znepokojeni schopnostmi nového CX-52 a dalších zařízení, jež Crypto představila, začali diskutovat o „problému Hagelin“. Tamní špionážní agentury se obávaly, že pokud by si i jiné země mohly koupit Hagelinův šifrovací stroj, nedokázali by už Američané jejich komunikaci rozklíčovat. Bylo nutné přimět inženýra ke spolupráci. USA ovšem držely v rukávu eso jménem William Friedman. „Otec americké kryptologie“ znal Hagelina již od 30. let: Pojilo je pevné přátelství, jež vyrůstalo z ruských kořenů a sdílených zájmů, včetně fascinace složitým šifrováním.

Pouhý začátek

Kdyby si oba muži nepotřásli v roce 1951 rukou na vůbec první tajné schůzce mezi Hagelinem a americkými zpravodajskými důstojníky na večeři ve washingtonském klubu Cosmos, operace Rubicon by zřejmě nikdy nevznikla. Dohoda spočívala v tom, že Hagelin, který svou společnost přesunul do Švýcarska, omezil prodej vlastních modelů. Ty nejdokonalejší mohl dodávat pouze do zemí schválených ze strany USA. Státy, jež na zmíněném seznamu nefigurovaly, dostávaly starší a slabší systémy. Ušlou tržbu mělo vynálezci kompenzovat předem vyplacených 700 tisíc dolarů, tj. asi 160 milionů korun v dnešních cenách. 

V roce 1960 s ním CIA uzavřela „licenční smlouvu“, na jejímž základě obdržel 855 tisíc dolarů za obnovení svého předchozího závazku. Agentura mu dál vyplácela sedmdesát tisíc dolarů jako roční rentu a poskytovala jeho firmě finanční injekci ve výši deseti tisíc na „marketingové výdaje“. Zajistila si tak, že s většinou vlád světa uzavřela smlouvu právě společnost Crypto, a nikoliv jiní dodavatelé šifrovacích zařízení.

Ve špionážní hantýrce se jednalo o klasickou „blokovací operaci“. Systém byl navržen tak, aby zabránil protivníkům získat zbraně či technologie, které by jim poskytly výhodu. Šlo ovšem pouze o začátek spolupráce Crypto s americkými tajnými službami. Během deseti let získaly celý podnik pod kontrolu CIA a západoněmecká Spolková zpravodajská služba BND.

Užší spolupráce

Američtí úředníci si od začátku pohrávali s myšlenkou dotázat se Hagelina, zda by byl ochoten nechat kryptology z USA přímo „pečovat“ o své přístroje. Friedman to však rovnou zamítl, protože byl přesvědčen, že by se to pro jeho přítele již nacházelo za přípustnou hranicí. Nicméně v polovině 60. let, kdy se rozšířily nové elektronické obvody, spatřily CIA a Národní bezpečnostní agentura novou příležitost, jak s vynálezcem navázat užší spolupráci. Měl jen dvě možnosti – zůstat u mechanických šifrátorů a zbankrotovat, nebo inovovat s elektronikou. 

K tomu ovšem potřeboval podporu zvnějšku a kryptologové z NSA mu okamžitě podali pomocnou ruku. Agenturu dlouho znepokojovalo, jaký dopad by mohlo mít používání integrovaných obvodů, které přinášely novou éru nedobytného šifrování dostupného komukoliv. Jeden z jejích vedoucích analytiků Peter Jenks však identifikoval potenciální zranitelnost zařízení: „Pokud by systém navrhl chytrý kryptomatematik, vypadalo by to, že přístroj produkuje nekonečné proudy náhodně generovaných znaků. Ve skutečnosti by se ovšem opakovaly v dostatečně krátkých intervalech. Tento vzorec by pak odborníci NSA pomocí svých výkonných počítačů dokázali snadno rozbít.“

Vteřiny místo měsíců

V roce 1967 představila firma Crypto plně elektronický model H-460, jehož vnitřní fungování kompletně navrhla NSA. Agentura do něj nenainstalovala bezpečnostní pojistky ani ho nenaprogramovala tak, aby jednoduše vychrlil všechny šifrovací klíče. Navíc stále čelila obtížnému úkolu, jak zachytit komunikaci jiných vlád – ať už se jednalo o signály ze vzduchu, nebo o pozdější napojování na kabely optických vláken. Manipulace s algoritmy společnosti Crypto však zjednodušila prolamování kódů natolik, že už netrvalo měsíce, nýbrž pouhé vteřiny. Firma vždy vyráběla alespoň dvě verze modelu: zabezpečený pro přátelské vlády a zmanipulovaný pro zbytek světa.

Partnerství mezi USA a Hagelinem se tím značně posunulo a z původního odmítání spolupráce se stalo „aktivní opatření“. Společnost již neomezovala prodej svého nejlepšího vybavení, ale aktivně distribuovala zařízení navržená tak, aby kupce zrazovala.

Noví partneři

Na konci 60. let bylo Hagelinovi téměř osmdesát a usiloval o zajištění budoucnosti pro svou firmu, jež se rozrostla na víc než 180 zaměstnanců. CIA stejně tak znepokojovalo, co by se s operací stalo, kdyby podnikatel společnost náhle prodal či zemřel. Američtí zpravodajci diskutovali o odkoupení Crypto po celá léta, ale spory CIA a NSA o dalším postupu jim bránily jednat – až se na scéně objevily dvě nové špionážní agentury. Francouzským, západoněmeckým a dalším evropským zpravodajským službám někdo o dohodě USA s firmou buď řekl, nebo ji odhalily samy. Některé z nich pochopitelně žárlily a snažily se najít způsob, jak si podobnou smlouvu zajistit i pro sebe.

V roce 1967 Hagelina oslovili Francouzi s nabídkou na odkup jeho společnosti ve spolupráci s německými partnery. Jenže on odmítl a vše ohlásil CIA. O dva roky později se Němci vrátili s další nabídkou, tentokrát už s požehnáním USA. Během setkání na půdě velvyslanectví západního Německa ve Washingtonu nastínil šéf šifrovacích služeb Wilhelm Goeing nový návrh a zeptal se, zda mají Američané na daném poli zájem o kooperaci. Několik měsíců nato schválil ředitel CIA Richard Helms návrh koupě Crypto a vyslal podřízené do Bonnu vyjednat kontrakt s jednou hlavní podmínkou – Francouze je třeba odstavit.

Katalog problémů

Obě agentury souhlasily, že firmu od Hagelina odkoupí „napůl“ přibližně za 5,75 milionu dolarů, a CIA nechala na Němcích, aby zajistili, že se svět o transakci nikdy nedozví. Zpravodajské služby se dohodly na řadě kódových označení pro program a jeho další části. Společnost Crypto se nazývala Minerva, stejně jako záznamy CIA. Operace coby celek nesla již zmíněný kódový název Thesaurus, jenž se v roce 1980 změnil na Rubicon.  

CIA a BND si každý rok rozdělovaly veškeré zisky, jichž Crypto dosáhla. Podle německých dokumentů zpracovala účetnictví evropská strana a peníze předávala zaoceánským kolegům v podzemních garážích. Tabulka CIA ukazuje, že tržby vzrostly z 15 milionů švýcarských franků v roce 1970 na víc než 51 milionů v roce 1975 (asi 2,1 miliardy dnešních korun). Výplatní listina společnosti zahrnovala přes 250 zaměstnanců.

V 80. letech vypadal seznam předních klientů Crypto jako katalog světových „potížistů“. V roce 1981 představovala největšího zákazníka Saúdská Arábie, následovaná Íránem, Itálií, Indonésií, Irákem, Libyí, Jordánskem a Jižní Koreou. Kvůli ochraně svého postavení na trhu se Crypto a její tajní vlastníci zapojili do očerňovacích kampaní proti konkurenci a štědře upláceli cizí vládní úředníky rozhodující o nákupech vybavení. Záznamy BND například dokládají, že byl manažer firmy vyslán do saúdskoarabského Rijádu s deseti hodinkami značky Rolex v kufru. Jindy firma uspořádala pro Saúdy školení ve Švýcarsku, kde oblíbená zábava účastníků zahrnovala návštěvy nevěstinců – placené z kapsy Crypto AG. 

Příliš chytrá dáma

Po akvizici patřilo k největším problémům tajných partnerů zajistit, aby zaměstnanci firmy dál dbali pokynů a zároveň nic netušili. Zdálo se, že ti, kdo úzce pracovali se samotným šifrováním, měli k odhalení hlavního tajemství operace čím dál blíž. Inženýři a designéři odpovědní za vývoj prototypů často zpochybňovali algoritmy, jež pro ně připravovala jakási záhadná entita zvenčí. Vedení společnosti je přesvědčovalo, že jde o společnost Siemens. Jenže proč by pak byly nedostatky v šifrování tak snadno odhalitelné? A proč nemohli inženýři Crypto pracovat na jejich opravě?

Americké úředníky navíc znepokojilo, když Heinz Wagner – který řízení firmy převzal a věděl o skutečné roli CIA a BND – najal v roce 1978 nadanou elektrotechničku Mengiu Caflischovou. Několik let strávila ve Spojených státech, kde pracovala v radioastronomickém výzkumu na University of Maryland. Poté se vrátila do rodného Švýcarska, podala žádost o práci v Crypto a Wagner ji okamžitě přijal. Jenže lidé z NSA se obávali, že je příliš chytrá, než aby jí nedošlo, co se skutečně děje.

Podezřelé algoritmy

Varování se ukázalo jako předvídavé, protože Caflischová začala brzy zkoumat zranitelnost firemních produktů. Spolu s Juergem Spoerndlim z výzkumného oddělení provedli různé testy i útoky na zařízení, včetně modelu HC-570, jenž vznikl pomocí technologie společnosti Motorola. „Podívali jsme se na interní operace každého kroku,“ popsal Spoerndli, který byl přesvědčen, že dokážou prolomit kód porovnáním pouhých sta znaků zašifrovaného textu se základní nezakódovanou zprávou. „Šlo o neuvěřitelně nízkou úroveň zabezpečení,“ dodal v rozhovoru, „ty algoritmy vypadaly velmi podezřele.“ 

I v následujících letech působila Caflischová problémy. V jednu chvíli předložila algoritmus tak silný, že se NSA obávala, že nebude rozluštitelný. Její návrh prošel až do výroby padesáti strojů HC-740, a než si vedení firmy uvědomilo, co se děje, dokonce opustily továrnu. Další produkci se podařilo včas zarazit a společnost následně obnovila předchozí zmanipulovaný algoritmus, který zanesla do zbytku výrobního cyklu. Oněch padesát zabezpečených modelů pak prodala bankám, aby neskončily v rukou zahraničních vlád. 

Tma za oponou 

Podnik Crypto se začal podobat námětu filmu Čaroděj ze země Oz. Zaměstnanci postupně zkoumali, co se děje za oponou. S počátkem 70. let se zpravodajci rozhodli najít někoho, kdo by pomohl vymyslet pokročilejší a zároveň méně odhalitelné slabiny v algoritmech. Někoho, kdo by měl ve světě šifrování dostatečný kredit, aby to zvědavé inženýry uklidnilo. Agentury se obrátily na spřátelené špionážní služby, aby jim pomohly vyhledat potenciální kandidáty, načež se shodly na jednom, kterého navrhli Švédové. Ti o celé operaci, vzhledem k Hagelinovým vazbám na severskou zemi, věděli od začátku.

Oním vyvoleným se stal stockholmský profesor matematiky Kjell-Ove Widman, jenž si v evropských akademických kruzích získal jméno díky výzkumu kryptologie. Byl také vojenským záložníkem a úzce spolupracoval se švédskými zpravodajskými službami. Zapojení úředníci popsali jeho „nábor“ jako naprosto hladký. Po úvodním zpracování švédskými důstojníky dostal roku 1979 pozvánku do Mnichova, aby – jak mu bylo řečeno – šel na pohovor s vedoucími pracovníky Crypto a Siemens, kteří potřebovali radu experta.

Dokonalá fikce

Když čelil otázkám od půl tuctu mužů sedících u stolu v hotelové konferenční místnosti, fikce fungovala dokonale. Jakmile se pak skupina rozdělila na oběd, dva pánové jej požádali o soukromý hovor. „Víte, co je ZfCh?“ zeptal se referent z BND Jelto Burmeister, s odkazem na zkratku německé šifrovací služby. Když Widman přitakal, jeho protějšek pronesl: „Teď už chápete, kdo skutečně vlastní Crypto AG?“ Widman později prohlásil, že se jeho svět „v tu chvíli úplně rozpadl“. Přesto se neváhal do operace zapojit. Aniž by opustil místnost, uzavřel vše podáním ruky. Když se trojice připojila ke zbytku skupiny při obědě, jejich signál „palec nahoru“ proměnil shromáždění v oslavu. 

Dohodli se na úpravách, vypracovali nová šifrovací schémata a Widman je slíbil brzy dodat technikům v Crypto. Záznamy CIA ho nazývají „nenahraditelným člověkem“ a hovoří o „nejdůležitějším náboru v historii programu Minerva“. Síla jeho osobnosti a akademická pověst uchlácholily ve firmě všechny pochyby, a navíc pomohly odrazit dotěrné dotazy cizích vlád. 

Například v roce 1982 se Argentina dozvěděla, že její kryptografické vybavení neochránilo tajné zprávy odesílané během války na Falklandách, což pomohlo britským silám. Widman obratem odletěl do Buenos Aires a uvedl tam, že NSA zřejmě napadla zastaralé zařízení pro šifrování vysílaček, které jihoamerická země používá, ale že hlavní produkt CAG 500 koupený od Crypto zůstal „nedobytný“. Jak potvrzují dokumenty CIA, „blaf zafungoval. Argentinci to nesli těžce, ale dál si naše vybavení kupovali“. Téhož roku 90letý Hagelin při cestě do Švédska onemocněl a museli jej hospitalizovat. Zemřel jako invalida v roce 1983.

Zatkněte ho!

Crypto přežila v 80. letech několik prodělečných sezon, ale projekt fungoval dál. Americké špionážní agentury zachytily přes devatenáct tisíc íránských komunikací odeslaných prostřednictvím počítačů Crypto během desetileté války země s Irákem a těžily z nich zprávy například o vazbách Teheránu na teroristy či o represích disidentů. V roce 1992 však celá operace čelila první závažné krizi: Na základě svých dlouhodobých podezření zadržel Írán obchodníka firmy.

Společnost měla s asijským státem jednu z největších smluv a tehdy 51letý Hans Buehler, patřící k jejím nejlepším prodejcům, jezdil do tamní metropole a zpět několik roků. I tentokrát nastoupil k letu Swissair do Teheránu, ale nevrátil se podle plánu. Zástupci Crypto se proto obrátili na švýcarské úřady, načež jim bylo řečeno, že Íránci jejich člověka zatkli. Švýcarští konzulární úředníci, kteří jej mohli navštívit, uvedli, že je v „duševně špatném stavu“. O devět měsíců později byl nakonec propuštěn, když Crypto souhlasila, že Íráncům zaplatí milion dolarů. Částku podle dokumentů tajně poskytla BND, zatímco CIA se na obchodu odmítla podílet s odvoláním na americkou politiku neplacení výkupného. 

Nekalá hra

Buehler o vztahu Crypto k CIA a BND ani o zranitelnostech firemních zařízení nic netušil. Vrátil se však traumatizovaný a s podezřením, že Írán ví o společnosti, pro niž pracuje, víc než on sám. Začal proto hovořit se švýcarskými médii o svém utrpení a domněnkách. 

Trvalo několik let, než se rozvířené vody alespoň trochu uklidnily – načež se opět strhla bouře. V roce 1995 přinesl americký deník Baltimore Sun řadu investigativních příběhů o NSA, včetně jednoho s názvem Rigging the Game (volně přeloženo „nekalá hra“), který odhalil aspekty spojení CIA s Crypto. Kvůli náhlé pozornosti médií si začali někteří zaměstnanci hledat práci jinde. A nejméně půl tuctu zemí – včetně Argentiny, Itálie, Saúdské Arábie, Egypta a Indonésie – své smlouvy s firmou buď zrušilo, nebo alespoň pozastavilo. Írán mezi nimi překvapivě nebyl a podle spisu CIA „téměř okamžitě obnovil nákup zařízení CAG“.

Hlavní obětí skandálu se stalo partnerství CIA a BND. Američanům, kteří odmítali odlišovat protivníky od spojenců, úředníci německé zpravodajské služby po celá léta ustupovali. Obě strany často bojovaly o to, které země si zaslouží získat bezpečnou verzi produktů Crypto. Američtí zástupci přitom mnohdy požadovali, aby se zmanipulované vybavení posílalo téměř každému – ať už byl na jejich straně, či nikoliv.

Partnerství se rozpadá

Studená válka skončila, berlínská zeď padla a sjednocené Německo bylo nyní citlivé na různá témata a mělo jiné priority. Němci věděli, že čelí rizikům operace Crypto mnohem víc než kdokoliv jiný. Obávali se zveřejnění svého podílu na projektu, což by vyvolalo evropské pobouření a vedlo k obrovskému politickému a ekonomickému tlaku. V roce 1993 šéf BND Konrad Porzner objasnil řediteli CIA Jamesi Woolseymu, že podpora špiček německé vlády padá a že by Němci mohli chtít partnerství s Crypto ukončit. Vedoucí základny CIA v evropské zemi Milton Bearden dosáhl 9. září téhož roku dohody s představiteli BND, že americká služba koupí německé akcie za sedmnáct milionů dolarů – jak dokládají dokumenty CIA.

Spolu s odchodem z partnerství skončili Němci brzy odříznuti od špionáží, které Spojené státy dál shromažďovaly. V německých dokumentech existují citace Jelto Burmeistera, v nichž se referent BND zamýšlí, zda Německo stále patří „k malému počtu národů, jež Američané neodposlouchávají“. Materiály vynesené bývalým zaměstnancem CIA Edwardem Snowdenem však na zmíněnou otázku poskytují znepokojivou odpověď: Nejenže zpravodajské agentury USA považovaly Německo za cíl, ale „napíchly“ také mobil kancléřky Angely Merkelové.

Poslední peníze

Špionáže však fungovaly dál, částečně kvůli byrokratické setrvačnosti států používajících výrobky Crypto AG. Mnoho vlád prostě nikdy nepřešlo na novější šifrovací systémy, šířící se v 90. letech, a podle dokumentů to platilo zejména o méně rozvinutých zemích. Samotná firma ovšem pokulhávala. Přežila nástup elektronických obvodů namísto kovových skříní, přecházela z teletypových strojů využívajících klávesnice na šifrovací hlasové systémy. Jenže jakmile se trh šifer přesunul z hardwaru na software, začalo být jasné, že Crypto končí a zpravodajci jsou jednoduše spokojeni s tím, aby svou roli pomalu dohrála. 

NSA se zaměřila na hledání způsobů, jak využít globální dosah Googlu, Microsoftu, Verizonu a dalších technologických gigantů v USA. Budovu poblíž švýcarského Zugu dlouhodobě sloužící Crypto koupila v roce 2017 komerční realitní společnost. Zbývající aktiva firmy – hlavní části šifrovacího podnikání, jež započalo téměř před stoletím – se rozdělila a prodala o rok později. Likvidaci provedla stejná lichtenštejnská advokátní kancelář, která o 48 let dřív poskytla krytí prodeje Hagelinovy společnosti CIA a BND. Podmínky transakcí v roce 2018 nebyly zveřejněny, ale současní i bývalí úředníci odhadli jejich hodnotu na 50–70 milionů dolarů. Pro americkou zpravodajskou službu šlo o poslední peníze z operace Minerva.