密码学专家王小云
发布日期:2013年11月18日 08:57 点击次数:
王小云,女,山东诸城人,山东大学教授,中国密码学家。1983~1993年就读于山东大学数学系,先后获得理学学士、硕士和博士学位,师从潘承洞教授。1993年毕业后,留校任山东大学数学系老师,2001年晋升为教授。1999~2001年先后两次至香港大学计算机系做访问学者。2005年被聘为清华大学“长江学者特聘教授”。现任山东大学密码技术与信息安全教育部重点实验室主任,清华大学高等研究院杨振宁讲座教授,清华大学密码理论与技术研究中心主任。在杂凑函数的安全性分析领域,有4篇论文获最佳论文,包括2005年度国际密码年会欧密会与美密会的最佳论文,MD5破解的论文获得2008年汤姆森路透卓越研究奖(中国)。
在2004年8月之前,国际密码学界对王小云这个名字并不熟悉。2004年8月,在美国加州大学圣芭芭拉分校(UCSB)召开的国际密码大会Crypto2004上,并没有被安排发言的王小云拿着自己的研究成果,充满信心地找到大会主席、国际著名密码学专家Adi Shamir教授。听了王小云的陈述,Adi Shamir非常兴奋、非常激动,与她聊了很长时间。通常的大会发言人只被给予两三分钟,而在8月17日晚上的会议上,Adi Shamir却破例给了王小云15分钟。在这个世界讲坛上,王小云首次宣布了她和冯登国、来学嘉、于红波四人共同完成的文章——对MD5、HAVAL128、MD4和RIPEMD四个著名Hash(杂凑)算法的破解结果。
人们知道,世界上没有两个完全相同的指纹,因此指纹成为人们身份的唯一标志。而在网络安全协议中,通常使用杂凑函数来处理电子签名,将冗长的签名文件压缩为一段独特的数字信息,像指纹鉴别身份一样保证原来数字签名文件的合法性和安全性。经过这些算法的处理,原始信息即使只更动一个字母,对应的压缩信息也会变为截然不同的“指纹”,这就保证了处理信息的完整性,为电子商务等提供了数字认证的可能性。安全的杂凑函数在设计时必须满足:寻找两个不同的输入信息得到相同的输出值,在计算上是不可行的,这就是我们通常所说的抗碰撞的。现在使用的重要计算机安全协议,如SSL,PGP都用杂凑函数来进行签名。一旦找到两个文件可以产生 “碰撞”,即两个文件可以产生相同的“指纹”。当你在网络上使用电子签名签署一份合同后,还可能找到另外一份具有相同签名但内容迥异的合同,这样两份合同的真伪性便无从辨别,就可以伪造签名,给网络安全领域带来巨大隐患。一直以来,Hash函数研究成为不少密码学家心目中最无望攻克的领域,电脑保安专家都认为要任意制造出碰撞需时太长,在实际情况上不可能发生。
而王小云等的研究成果却表明,能够迅速找到这些相同的“指纹”,远少于一直以为所需的漫长时间,必须及时添加限制条件,或重新选用更为安全的密码标准,否则难保电子商务的安全。固若金汤的大厦轰然倒塌!当公布到他们的第三个惊人成果的时候,会场上热烈的掌声已经将她的声音淹没,报告不得不一度中断。由于版本问题,作者在提交会议论文时使用的一组常数和先行标准不同,在发现这一问题之后,王小云立即改变了那个常数,在很短的时间内就完成了新的数据分析,这段有惊无险的小插曲更证明了他们论文的信服力,攻击方法的有效性,验证了研究工作的成功。报告结束后,所有与会专家再次对他们的突出工作报以长时间的掌声,有些学者甚至起立鼓掌以示他们的祝贺和敬佩。有一位学者一只手受伤被包扎无法鼓掌,竟用另一只手拍着大腿久久不停。会议结束时,专家们纷纷聚拢到王小云身边,很多世界顶级的密码学专家也上前表示他们的欣喜和祝贺,褒誉之词不绝。
MD5是由图灵奖获得者、国际著名密码学家Ronald Rivest教授于1992年设计的杂凑函数算法,它当时解决了MD4算法的安全性缺陷,在国内外有着广泛的应用。作为Hash函数的一个应用实例,MD5本身也存在漏洞,但在十多年的研究及应用过程中,人们一直没有找到能够在可接受的时间及计算能力范围内迅速破解该算法的技术,因而这种理论上的瑕疵并没有影响MD5的应用。事实上,以MD5为应用代表的Hash函数的研究在国际密码学界早已不是热门,因而,王小云在“Crypto’2004”上发布的报告令整个密码学界醍醐灌顶,严重威胁信息系统安全,使目前电子签名的法律效力和技术体系受到挑战。因此,业界专家普林斯顿计算机教授Edward Felten等强烈呼吁信息系统的设计者尽快更换签名算法,而且他们强调这是一个需要立即解决的问题。国际同行们开始研究王小云的理论,希望能沿着这条新路找到更多宝藏。
令世界顶尖密码学家想象不到的是,破解MD5之后不久,王小云与其同事又公布了SHA1的碰撞结果,破解了另一更难的国际密码标准。
SHA1杂凑算法,由美国专门制定密码算法标准的机构——美国国家标准技术研究院(NIST)与美国国家安全局(NSA)设计,早在1995年就被推荐给美国政府和金融系统采用,是美国政府目前应用最广泛的密码算法。事实上,在MD5被王小云为代表的中国专家破译之后,世界密码学界仍然认为SHA1是安全的。SHA1的应用范围比MD5更加广泛,其安全性较MD5要高出很多。所以密码被破的消息一出,在国际社会的反响可谓石破天惊,甚至超出半年前MD5被破时的情景。
MD5、SHA1等国际通用密码被破译,在国际密码学界引发强烈“地震”。美国国家标准与技术研究院宣布,美国政府在2010年年底必须停止SHA1在电子签名、数字时间戳和其他一切需要Hash函数抗碰撞的密码算法中的应用,取而代之的是更为先进的算法标准SHA2系列,并未雨绸缪,计划从2007年开始,经过五年的世界范围的征集筛选工作,在2012年制定新的杂凑函数标准SHA3。图灵奖获得者、国际顶级密码学家Shamir评论道:“这是近几年密码学领域最美妙的结果,我相信这将会引起轩然大波,设计新Hash函数算法极其重要。”图灵奖获得者、MD5的设计者Rivest评论道,“SHA-1的破译令人吃惊”,“数字签名的安全性在降低,这再一次提醒需要替换算法”。几大知名公司也作出积极反应。希捷科技(Seagate Technology)的一位安全问题研究总监Mark Willet表示:“现在美国国家标准技术研究院可能需要将更新密码的日程提前。” 此外,微软、SUN和Atmel等几家知名公司的专家也发表了他们的应对之策。一位美国律师协会顾问说:“中国的这几位研究人员太疯狂了。”《崩溃!密码学的危机》,美国《新科学家》杂志用这样富有惊耸的标题概括王小云里程碑式的成就。
更让世界震惊的是,绝大多数密码专家认为固若金汤的两大密码算法,最终被一位中国女子带领的女子团队无情地击倒,而且这个过程看起来似乎并不是太难,SHA1的破解只用了两个多月的时间,很多密码学界的专家认为“这听起来简直有些不可思议”。王小云破解密码的方法与众不同。虽然现在是信息时代,密码分析离不开电脑,但对王小云来说,电脑只是自己破解密码的辅助手段。更多的时候,她是用手算,手工设计破解途径。图灵奖获得者姚期智评价她说:“她具有一种直觉,能从成千上万的可能性中挑出最好的路径。”参与破译密码SHA1的研究小组是以王小云为首的一支三人女子团队,其中包括王小云的一名博士生于红波,另一位合作者是来自清华大学的一位女研究人员。王小云说:“我的八名博士生里面有六个是女性,她们在密码学领域表现出不凡的才能。很多人觉得密码学是很玄妙的学问,而我们觉得它非常有趣。因为我们习惯于用数学方式思维,而一旦养成了这种思维方式,数字在我们眼中就变成了美妙的音符,我们的研究就像音乐创作一样有趣。”
鉴于其卓越的学术成就,王小云2010年获苏步青应用数学奖,国家密码科技进步一等奖(省部级);2008年获国家自然科学二等奖;2006年获教育部高等学校科学技术奖——自然科学一等奖、陈嘉庚科学家奖、求是杰出科学家奖、中国女青年科学家奖和中国青年科学家提名奖;2002年获科技进步一等奖(省部级)。承担并完成了国家自然基金重点项目、杰出青年基金项目、国家“863”项目等,研究成果全部鉴定为优。
原标题:《MD5与SHA1系列国际通用Hash函数算法》
【供稿单位:《山大第一》 编辑:新闻中心总编室 责任编辑:筱颜 】