山东大学女教授破译md5安全漏洞
山东广域龙安的密码专家李成东教授告诉记者:"打一个直观的比方,王小云可以用很短的时间,将世界上任何一个人的存款,转移到她指定的账户中。"(此话略显可笑--Victor)
2005年4月1日起,我国的《电子签名法》将正式施行。从此,电子签名将和传统的手写签名、盖章具有同样的法律效力,如同交易者的身份证一样不容抵赖,这将大大增强网上交易者的信心,尤其是大额交易的客户。但是,当有人告诉你电子签名可以伪造的时候,你还敢放心使用吗?
这个揭开电子签名所隐藏的巨大漏洞的人就是王小云,一位山东大学自己培养的女博士、女教授,土生土长的山东巾帼。在不到半年的时间内,她先后破译了MD5和SHA-1这两种广泛应用于金融、证券等电子商务领域的电子签名密码算法,被业界称为"电子签名密码终结者",不但震动了美国华尔街,甚至被认为能"进入美国政府重要的部门,如五角大楼及情报机关","会对美国政府机构的网络保安带来极大威胁。"(据美国《华盛顿时报》报道)
几乎在一夜间,王小云就由一位默默无闻的大学教授变身为震惊国际密码学界、金融界乃至整个网络世界的名人。
让我们先把目光对准2004年8月16日—19日的美国加州圣巴巴拉,正在那里召开的国际密码学会议上,一个来自中国山东大学的女教授所作的关于破译MD5安全漏洞算法的特别报告,引起了与会专家的特别关注,并随即震惊了世界。
"8月16日正好是我的生日,8月19日是我的结婚纪念日。我对这两个日子记得特别清楚,赶到美国加州后,我们向国际密码学学术会议提交了相关学术报告。会议总主席Hughes先生看了我的报告后,就特批我作一次特别报告。别人一般只给3分钟发言时间,大会给了我15分钟时间。"王教授还清晰地记着当时的场景:当她开始讲述四种破解算法中的第三种时,会场上响起了一片笑声,当她讲完第三种算法时,整个会场想起了一片掌声,报告不得不暂时中断。
正是在这次会议上,王小云教授首次宣布了她及她的研究小组近年来的研究成果——系列Hash函数算法MD4、MD5、HAVAL-128、RIPEMD 的碰撞。破译结果的公开,引起国际密码界、美国国家标准技术研究院(NIST)、国际知名信息安全公司的极大反响。著名密码学家兼图灵奖获得者
Shamir回忆:"王教授毫无疑问是当晚最耀眼的明星,在她发言过后,全场响起了史无前例的长久而热烈的掌声。"著名计算机科学家,图灵奖获得者姚期智评价说:"在我看来,一个年轻的中国教育出来的计算机科学家能够取得种这种显著的成绩,这在历史上还是首次,单凭这一项研究成果,她都够资格被聘为北美任何一所顶尖大学(如斯坦福大学或普林斯顿大学)的计算机科学系的正教授。"(据说此女已受聘清华大学高等研究中心--Victor)
王小云教授研究成果宣告了"固若金汤"的世界通行密码标准MD5 的堡垒轰然倒塌,使目前电子签名的法律效力和技术体系受到挑战,一向被认为是十分安全的"数字手印"完全可能出现假冒,引发了密码学界的轩然大波。MD5 的破译网站称这是"近年来密码学领域最具实质性的研究进展"。由于这个里程碑式的发现,MD5破译工程(MD5CRK)宣布在未来48小时内关闭。美国国家标准技术研究院于2004年8月24日发表专门评论,评论大致思想是"在最近的国际密码学会议(Crypto2004)上,研究人员宣布他们发现了破解数种HASH算法的方法,其中包括MD4,MD5,HAVAL-128,
RIPEMD还有SHA-0。分析表明,于1994年替代SHA-0成为联邦信息处理标准的SHA-1的减弱条件的变种算法能够被破解;但完整的SHA-1并没有被破解,也没有找到SHA-1的碰撞。"
但这并不是王小云教授震撼国际密码学界的结束,而仅仅是一个开始。
在2005年2月15日,每年都有万人参加的重要国际信息安全会议上,五位权威国际密码学专家宣布了王小云教授研究小组关于理论破译SHA-1最新结果的论文。会上,著名密码学家Rivest说:"攻破SHA-1令人震惊,由于这个结果的破解者还是去年破解MD5算法的中国人,虽然论文还没有完全审阅完毕,但我有足够的理由相信他们的结果是正确的。"Shamir说:"我相信这将会引起轩然大波,设计新的Hash函数算法显得尤其重要,现在不需要特别担心或改变现有系统和程序的设计,然而,SHA-1被攻破减少了我们对数字签名体系的安全感。"有趣的是,在王小云教授结果公布的七天前,美国国家标准技术研究院的安全技术组负责人WilliamBurr发表申明:"SHA-1没有被攻破,并且没有足够的理由怀疑它会很快被攻破"。
MD5、SHA-1离我们并不远
"如果你用过电子签名,那么你有超过50%的概率是通过MD5这个算法进行的。"王小云教授告诉大家,MD5、SHA-1这些密码标准说起来虽然抽象,但是离我们的生活并不遥远。一般来说,我们在网上进行电子商务、电子政务、安全通信,主要就是使用密码算法来保证安全,密码算法只要是用于签名、身份验证这一块的,都要有一个HASH函数,一般就是MD5、SHA-1,这也是被大家公认的、比较放心的两个国际标准算法。
HASH函数,又称杂凑函数,是在信息安全领域有广泛和重要应用的密码算法。MD5、SHA-1是目前最常用的杂凑函数,也是当前国际通行的两大密码标准。MD5由国际著名密码学家图灵奖获得者兼公钥加密算法RSA的创始人Rivest设计,SHA-1是由美国专门制定密码算法的标准机构——美国国家标准技术研究院(NIST) 与美国国家安全局(NSA)设计。两大算法是目前国际电子签名及许多其他密码应用领域的关键技术,广泛应用于金融、证券等电子商务领域。其中,SHA-1 早在1994年便为美国政府采纳,目前是美国政府广泛应用的计算机密码系统。
据王小云教授介绍,世界上没有两个完全相同的指纹,因此手印成为人们身份惟一和安全的标志。在网络安全协议中,使用Hash函数来处理电子签名,将冗长的签名文件压缩为一段独特的数字信息,像指纹鉴别身份一样保证原来数字签名文件的合法性和安全性,从而产生理论上独一无二的"指纹",形成"数字手印"。按照理想安全要求,经过Hash函数处理,原始信息即使只改变一位,其产生的"指纹"也会截然不同。这就保证了经过处理信息的唯一性,为电子商务等提供了数字认证的可能性。
如果能找到Hash函数的碰撞,就意味着两个不同的文件可以产生相同的"指纹",这样就可以伪造签名。这意味着当你在网络上使用电子签名签署一份合同后,还存在另外一份具有相同签名但内容迥异不同,两份合同的真伪性无法辨别,从而可能引发官司,给企业或个人带来巨大损失。
王小云教授的研究成果证实了利用MD5、SHA-1算法的碰撞可以严重威胁信息系统安全,这一发现使目前电子签名的法律效力和技术体系受到挑战。
王小云1990年在山东大学师从著名数学家潘承洞教授,攻读数论与密码学专业博士,在潘承洞、于秀源、展涛等多位名师的指导下,她成功地将数论知识应用到密码学中,并从上世纪90年代末开始进行Hash函数的研究。
整日埋头密码研究的王小云并不是记者想象中的"陈景润"式的学者,她穿戴得体,看起来稳重而又时尚,镜片后面的眼睛透露出坚定而又自信的目光。
公布破解MD5报告前,王小云曾跟丈夫开玩笑说:"我作完这次报告后,你猜我的名字会不会出现在Google(著名搜索引擎)里?"果然,在她公布了破解MD5的报告后,国外的很多网站上有了关于王小云破解MD5的消息,
Google里关于王小云的检索条也多达数千条。
默默无闻的王小云一鸣惊人,山东大学信息安全实验室一夜之间成为让世界注目的科研机构。
曾经有人开玩笑地问王小云教授,她是不是一个破坏欲极强的人。也有人担心,她会受到一些基于MD5、SHA-1密码标准的网络产品开发商、经销商的"仇视"。对这类说法,王小云都是一笑而过。
"在今年的RSA安全大会上,比尔·盖茨也说过,传统的密码口令即将淘汰。"王小云说,她破解的这些算法都是国际上一些标准算法,也是实际中用到的一些算法,与许多客户和商家都是密切相关的,所以大家才特别关心。"如果要说是破坏,那也要从两个方面看,现在的破坏是为了更好地设计出更安全的算法,来保证电子商务、信息安全的健康发展。"
王小云非常赞同这次会议总主席Hughes先生的评论:在有效的攻击发动之前,现在是撤离的最好时机。她也持同样的观点:"既然已经不安全了,我们为什么不赶快撤出来,使用更安全、让大家更放心的算法呢"。
随着王小云及其研究小组将破译MD5和SHA-1的核心技术在国内外的公开,也引起了不少人对于密码安全的心理恐慌:电脑"黑客"会不会利用这些技术伪造电子签名呢。
对此,王小云表示,目前,最新攻破的SHA-1算法还处在理论破译阶段,离实际攻击还有很大距离,伪造有意义的签名要更加困难的技术,人们没必要过度恐慌。而且这种技术还处在科学研究阶段,一般"黑客"还达不到掌握这种尖端技术的水平。同时,SHA-1算法主要针对电子签名的密码技术,与真正进入对方网络系统有一定区别。而且,这种算法被破译的消息已在世界范围内公开,使用这种技术的部门肯定会增加一些其他限定条件来提高安全性。(蒋波)