中国女专家密码专家破解在国际上广泛应用的两大密码算法MD5、SHA-1,电子签名可以伪造。
北京消息一直在国际上广泛应用的两大密码算法MD5、SHA-1,近期宣布被中国一名密码专家破解。这一消息在国际社会上尤其是国际密码学领域引起极大反响,也再次敲响了电子商务安全的警钟。
40岁女教授扬名天下
从密码分析上找出这两大国际通用密码漏洞的是山东大学信息安全所所长王小云。40岁的王小云,毕业于山东大学数学系,师从于著名数学家潘承洞、于秀源,是一位外表普通却充满自信的中国女性。
2004年8月,在美国加州圣芭芭拉召开的国际密码大会上,并没有被安排发言的王小云教授拿着自己的研究成果找到会议主席,要求进行大会发言。就这样,王小云在国际会议上首次宣布了她的研究成果———对MD5、HAVAL-128、MD4和RIPEMD等四个著名密码算法的破译结果。报告结束后,所有与会专家都对她报以长时间的掌声。
王小云的研究成果作为密码学领域的重大发现宣告了固若金汤的世界通行密码标准MD5大厦轰然倒塌,引发了密码学界的轩然大波。这次会议的总结报告这样写道:“我们该怎么办?MD5被重创了,它即将从应用中淘汰。SHA-1仍然活着,但也见到了它的末日。现在就得开始更换SHA-1了。”
密码被攻破美国很担心
事实上,在MD5被王小云为代表的中国专家破译之后,世界密码学界仍然认为SHA-1是安全的。今年2月7日,美国国家标准技术研究院发表声明,SHA-1没有被攻破,并且没有足够的理由怀疑它会很快被攻破,开发人员在2010年前应该转向更为安全的SHA-256和SHA-512算法。而仅仅在一周之后,王小云就宣布了破译SHA-1的消息。因为SHA-1在美国等国家有更加广泛的应用,密码被破的消息一出,在国际社会的反响可谓石破天惊。王小云的研究成果表明了从理论上讲电子签名可以伪造,必须及时添加限制条件,或者重新选用更为安全的密码标准,以保证电子商务的安全。
证明电子签名能被伪造
让世界震惊的是,绝大多数密码专家认为固若金汤的两大密码算法,最终被一位中国女子带领的团队无情地击倒,而且这个过程看起来似乎并不是太难,SHA-1的破解只用了两个多月的时间,很多密码学界的专家认为“这听起来简直有些不可思议”。
参与破译密码SHA-1的研究小组是以王小云为首的一支三人女子团队,其中包括王小云的一名博士生于红波,另一位合作者是来自清华大学的一位女研究人员。“我的8名博士生里面有6个是女性,她们在密码学领域表现出不凡的才能。很多人觉得密码学是很玄妙的学问,而我们觉得它非常有趣。因为我们习惯于用数学方式思维,而一旦养成了这种思维方式,数字在我们眼中就变成了美妙的音符,我们的研究就像音乐创作一样有趣。”王小云说。