2004年8月17日的美國加州圣巴巴拉,正在召開的國際密碼學會議(Crypto’2004)安排了三場關于雜湊函數的特別報告。在國際著名密碼學家Eli Biham和Antoine Joux相繼做了對SHA-1的分析與給出SHA-0的一個碰撞之后,來自山東大學的王小云教授做了破譯MD5、HAVAL-128、 MD4和RIPEMD算法的報告。在會場上,當她公布了MD系列算法的破解結果之后,報告被激動的掌聲打斷。王小云教授的報告轟動了全場,得到了與會專家的贊嘆。報告結束時,與會者長時間熱烈鼓掌,部分學者起立鼓掌致敬,這在密碼學會議上是少見的盛況。王小云教授的報告緣何引起如此大的反響?因為她的研究成果作為密碼學領域的重大發現宣告了固若金湯的世界通行密碼標準MD5的堡壘轟然倒塌,引發了密碼學界的軒然大波。會議總結報告這樣寫道:“我們該怎么辦?MD5被重創了;它即將從應用中淘汰。SHA-1仍然活著,但也見到了它的末日。現在就得開始更換SHA-1了。”
關鍵詞:碰撞=漏洞=別人可以偽造和冒用數字簽名。
Hash函數與數字簽名(數字手印)
HASH函數,又稱雜湊函數,是在信息安全領域有廣泛和重要應用的密碼算法,它有一種類似于指紋的應用。在網絡安全協議中,雜湊函數用來處理電子簽名,將冗長的簽名文件壓縮為一段獨特的數字信息,像指紋鑒別身份一樣保證原來數字簽名文件的合法性和安全性。在前面提到的SHA-1和MD5都是目前最常用的雜湊函數。經過這些算法的處理,原始信息即使只更動一個字母,對應的壓縮信息也會變為截然不同的“指紋”,這就保證了經過處理信息的唯一性。為電子商務等提供了數字認證的可能性。
安全的雜湊函數在設計時必須滿足兩個要求:其一是尋找兩個輸入得到相同的輸出值在計算上是不可行的,這就是我們通常所說的抗碰撞的;其二是找一個輸入,能得到給定的輸出在計算上是不可行的,即不可從結果推導出它的初始狀態。現在使用的重要計算機安全協議,如SSL,PGP都用雜湊函數來進行簽名,一旦找到兩個文件可以產生相同的壓縮值,就可以偽造簽名,給網絡安全領域帶來巨大隱患。
MD5就是這樣一個在國內外有著廣泛的應用的雜湊函數算法,它曾一度被認為是非常安全的。然而,王小云教授發現,可以很快的找到MD5的“碰撞”,就是兩個文件可以產生相同的“指紋”。這意味著,當你在網絡上使用電子簽名簽署一份合同后,還可能找到另外一份具有相同簽名但內容迥異的合同,這樣兩份合同的真偽性便無從辨別。王小云教授的研究成果證實了利用MD5算法的碰撞可以嚴重威脅信息系統安全,這一發現使目前電子簽名的法律效力和技術體系受到挑戰。因此,業界專家普林斯頓計算機教授Edward Felten等強烈呼吁信息系統的設計者盡快更換簽名算法,而且他們強調這是一個需要立即解決的問題。
國際講壇 王氏發現艷驚四座
面對Hash函數領域取得的重大研究進展,Crypto 2004 會議總主席StorageTek高級研究員Jim Hughes 17 日早晨表示,此消息太重要了,因此他已籌辦該會成立24年來的首次網絡廣播(Webcast )。Hughes在會議上宣布:“會中將提出三份探討雜湊碰撞(hash collisions )重要的研究報告。”其中一份是王小云等幾位中國研究人員的研究發現。17日晚,王小云教授在會上把他們的研究成果做了宣讀。這篇由王小云、馮登國、來學嘉、于紅波四人共同完成的文章,囊括了對MD5、HAVAL-128、 MD4和RIPEMD四個著名HASH算法的破譯結果。在王小云教授僅公布到他們的第三個驚人成果的時候,會場上已經是掌聲四起,報告不得不一度中斷。報告結束后,所有與會專家對他們的突出工作報以長時的熱烈掌聲,有些學者甚至起立鼓掌以示他們的祝賀和敬佩。當人們掌聲漸息,來學嘉教授又對文章進行了一點頗有趣味的補充說明。由于版本問題,作者在提交會議論文時使用的一組常數和先行標準不同;在會議發現這一問題之后,王小云教授立即改變了那個常數,在很短的時間內就完成了新的數據分析,這段有驚無險的小插曲倒更加證明了他們論文的信服力,攻擊方法的有效性,反而凸顯了研究工作的成功。
會議結束時,很多專家圍攏到王小云教授身邊,既有簡短的探討,又有由衷的祝賀,褒譽之詞不絕。包含公鑰密碼的主要創始人R. L. Rivest和A. Shamir在內的世界頂級的密碼學專家也上前表示他們的欣喜和祝賀。
國際密碼學專家對王小云教授等人的論文給予高度評價。
MD5的設計者,同時也是國際著名的公鑰加密算法標準RSA的第一設計者R.Rivest在郵件中寫道:“這些結果無疑給人非常深刻的印象,她應當得到我最熱烈的祝賀,當然,我并不希望看到MD5就這樣倒下,但人必須尊崇真理。”
Francois Grieu這樣說:“王小云、馮登國、來學嘉和于紅波的最新成果表明他們已經成功破譯了MD4、MD5、HAVAL-128、RIPEMD-128。并且有望以更低的復雜度完成對SHA-0的攻擊。一些初步的問題已經解決。他們贏得了非常熱烈的掌聲。”
另一位專家Greg Rose如此評價:“我剛剛聽了Joux和王小云的報告,王所使用的技術能在任何初始值下用2^40次hash運算找出SHA-0的碰撞。她在報告中對四種HASH函數都給出了碰撞,她贏得了長時間的起立喝彩,(這在我印象中還是第一次)。…… 她是當今密碼學界的巾幗英雄。……(王小云教授的工作)技術雖然沒有公開,但結果是無庸質疑的,這種技術確實存在。…… 我坐在Ron Rivest前面,我聽到他評論道:‘我們不得不做很多的重新思考了。’”
石破驚天 MD5堡壘轟然倒塌
一石擊起千層浪,MD5的破譯引起了密碼學界的激烈反響。專家稱這是密碼學界近年來“最具實質性的研究進展”,各個密碼學相關網站競相報導這一驚人突破。
MD5破解專項網站關閉
MD5破解工程權威網站http://www.md5crk.com/ 是為了公開征集專門針對MD5的攻擊而設立的,網站于2004年8月17日宣布:“中國研究人員發現了完整MD5算法的碰撞;Wang, Feng, Lai與Yu公布了MD5、MD4、HAVAL-128、RIPEMD-128幾個 Hash函數的碰撞。這是近年來密碼學領域最具實質性的研究進展。使用他們的技術,在數個小時內就可以找到MD5碰撞。……由于這個里程碑式的發現,MD5CRK項目將在隨后48小時內結束”。
對此,http://www.readyresponse.org 主頁專門轉載了該報道http://www.aspenleaf.com/distributed/distrib-recent.html 和幾個其它網站也進行了報道。
權威網站相繼發表評論或者報告這一重大研究成果
經過統計,在論文發布兩周之內,已經有近400個網站發布、引用和評論了這一成果。國內的許多新聞網站也以“演算法安全加密功能露出破綻 密碼學界一片嘩然”為題報道了這一密碼學界的重大事件。(報導見http://www.technewsworld.com/perl/board/mboard.pl?board=lnitalkback&thread=895&id=896&display=1&tview=expanded&mview=flat ,該消息在各新聞網站上多次轉載。)
東方神韻 MD5終結者來自中國
MD5破解工作的主要成員王小云教授是一個瘦弱、矜持的女子,厚厚的鏡片透射出雙眸中數學的靈光。她于1990年在山東大學師從著名數學家潘承洞教授攻讀數論與密碼學專業博士,在潘先生、于秀源、展濤等多位著名教授的悉心指導下,她成功將數論知識應用到密碼學中,取得了很多突出成果,先后獲得863項目資助和國家自然科學基金項目資助,并且獲得部級科技進步獎一項,撰寫論文二十多篇。王小云教授從上世紀90年代末開始進行HASH函數的研究,她所帶領的于紅波、王美琴、孫秋梅、馮騏等組成的密碼研究小組,同中科院馮登國教授,上海交大來學嘉等知名學者密切協作,經過長期堅持不懈的努力,找到了破解HASH函數的關鍵技術,成功的破解了MD5和其它幾個HASH函數。
近年來她的工作得到了山東大學和數學院領導的大力支持,特別投資建設了信息安全實驗室。山東大學校長展濤教授高度重視王小云教授突出的科研成果。 2004年6月山東大學領導聽取王小云教授的工作介紹后,展濤校長親自簽發邀請函邀請國內知名信息安全專家參加2004年7月在威海舉辦的“山東大學信息安全研究學術研討會”,數學院院長劉建亞教授組織和主持了會議,會上王小云教授公布了MD5等算法的一系列研究成果,專家們對她的研究成果給予了充分的肯定,對其堅持不懈的科研態度大加贊揚。一位院士說,她的研究水平絕對不比國際上的差。這位院士的結論在時隔一個月之后的國際密碼會上得到了驗證,國外專家如此強烈的反響表明,我們的工作可以說不但不比國際上的差,而且是在破解HASH函數方面已領先一步。加拿大CertainKey公司早前宣布將給予發現MD5算法第一個碰撞人員一定的獎勵,CertainKey的初衷是利用并行計算機通過生日攻擊來尋找碰撞,而王小云教授等的攻擊相對生日攻擊需要更少的計算時間。
數字認證 你的未來不是夢
由于MD5的破譯,引發了關于MD5產品是否還能夠使用的大辯論。在麻省理工大學Jeffrey I. Schiller教授主持的個人論壇上,許多密碼學家在標題為“Bad day at the hash function factory”的辯論中發表了具有價值的意見(http://jis.mit.edu/pipermail/saag/2004q3/000913.html )。這次國際密碼學會議的總主席Jimes Hughes發表評論說“我相信這(破解MD5)是真的,并且如果碰撞存在,HMAC也就不再是安全的了,…… 我認為我們應該拋開MD5了。” Hughes建議,程序設計人員最好開始舍棄MD5。他說:“既然現在這種算法的弱點已暴露出來,在有效的攻擊發動之前,現在是撤離的時機。”
同樣,在普林斯頓大學教授Edwards Felton的個人網站(http://www.freedom-to-tinker.com/archives/000664.html )上,也有類似的評論。他說:“留給我們的是什么呢?MD5已經受了重傷;它的應用就要淘汰。SHA-1仍然活著,但也不會很長,必須立即更換SHA-1,但是選用什么樣的算法,這需要在密碼研究人員達到共識。”
密碼學家Markku-Juhani稱“這是HASH函數分析領域激動人心的時刻。(http://www.tcs.hut.fi/~mjos/md5/ )”
而著名計算機公司SUN的LINUIX專家Val Henson則說:“以前我們說"SHA-1可以放心用,其他的不是不安全就是未知", 現在我們只能這么總結了:"SHA-1不安全,其他的都完了"。
針對王小云教授等破譯的以MD5為代表的Hash函數算法的報告,美國國家技術與標準局(NIST)于2004年8月24日發表專門評論,評論的主要內容為:“在最近的國際密碼學會議(Crypto 2004)上,研究人員宣布他們發現了破解數種HASH算法的方法,其中包括MD4,MD5,HAVAL-128,RIPEMD還有 SHA-0。分析表明,于1994年替代SHA-0成為聯邦信息處理標準的SHA-1的減弱條件的變種算法能夠被破解;但完整的SHA-1并沒有被破解,也沒有找到SHA-1的碰撞。研究結果說明SHA-1的安全性暫時沒有問題,但隨著技術的發展,技術與標準局計劃在2010年之前逐步淘汰SHA-1,換用其他更長更安全的算法(如SHA-224、SHA-256、SHA-384和SHA-512)來替代。”
詳細評論見:http://csrc.nist.gov/hash_standards_comments.pdf
2004年8月28日,十屆全國人大常委會第十一次會議表決通過了電子簽名法。這部法律規定,可靠的電子簽名與手寫簽名或者蓋章具有同等的法律效力。電子簽名法的通過,標志著我國首部“真正意義上的信息化法律”已正式誕生,將于2005年4月1日起施行。專家認為,這部法律將對我國電子商務、電子政務的發展起到極其重要的促進作用。王小云教授的發現無異于發現了信息化天空的一個驚人黑洞。我們期待著王小云教授和她的團隊能夠成就“女媧補天”的壯舉,為人類的信息化之路保駕護航。
| 首頁 | 業界資訊 | 操作系統 | 殺毒防毒 | 辦公軟件 | 下載 | 開發編程 | 硬件 | 培訓 | 貼圖 網址 | 互聯思考 | 常用軟件 | 沖浪寶典 | 聊天軟件 | 資料 | 硬件頻道 | 設計 | 精英教育網 |
