Как показывает опыт обратной инженерной разработки программ, варианты умышленного ослабления криптосистемы могут быть самыми разными. К примеру, "лобовыми", когда в изначально длинном криптоключе значащими оставляются лишь 20-50 битов, относительно легких для перебора, а все прочие бесхитростно забиваются нулями (варианты такого подхода реализованы в мобильных телефонах GSM). Или, к примеру, через интерфейс, связывающий пользователя и криптоалгоритм - как, скажем, в "защищённых" USB-флэшках, где расшифрование хранимой информации может запускать не правильный ввод ключа доступа, а выдача программой-интерфейсом определенного управляющего байта (что позволяет умельцам легко извлекать информацию, вообще не интересуясь ключом).
Или, наконец, более тонкий вариант ослабления - на уровне генерации "случайных" криптоключей. Подобные ключи внешне могут выглядеть как вполне приличные псевдослучайные последовательности без характерных признаков слабости и предсказуемости, однако в действительности порождаются такой программой-генератором, весь выход которой легко предсказывается как вперед, так и назад. Что для криптогенератора абсолютно недопустимо, однако именно таким образом было реализовано в нескольких поколениях ОС Windows (подробности см. в статье "Хитрости крипторемесла").
Короче говоря, имеются весьма серьёзные основания полагать, что практически во всех коммерческих продуктах рынка, содержащих криптографию, непременно можно отыскать ту или иную слабость, существенно облегчающую взлом или обход шифра. Поиск подобных слабостей через обратную инженерную разработку кода - это дело весьма хлопотное и небыстрое. Поэтому вполне можно понять китайцев, которые просто одним из условий для получения госконтракта объявили предоставление полной информации о реализации технологий шифрования (включая исходные коды программ).
Более того, так поступает вовсе не только Китай. В ходе дебатов по поводу ввода новых правил, китайская сторона вполне резонно указала, что и США выставляют подобные требования о полном раскрытии информации как условие госзакупки многих передовых технологий. Оппоненты на этот счёт возражают, конечно же, что да, так действительно делается, но только лишь для некоторых технологий, предназначенных к использованию в областях военного применения и национальной безопасности. А для всех остальных товаров процедуры американской сертификации намного менее требовательны и проводятся в лабораториях, независимых от государства.
