中国女技术员破解两大密码算法

随着电子商务的发展,网上银行、网上合同、电子签名等的应用越来越广泛,网络已经成为我们生活中不可或缺的一部分。电子商务在给我们的工作生活带来便捷的同时,也存在着安全隐患。一直在国际上广泛应用的两大密码算法MD5、SHA-1,近期宣布被一名中国密码专家破解。这一消息在国际社会尤其是国际密码学领域引起极大反响,同时也再次敲响了电子商务安全的警钟。

  从密码分析上找出这两大国际通用密码漏洞的是一位土生土长的中国专家——山东大学信息安全所所长王小云。

  新闻世界密码大厦轰然倒塌

  40岁的王小云,毕业于山东大学数学系,师从于著名数学家潘承洞、于秀源教授,是一位外表普通却充满自信的中国女性。

  在去年8月之前,国际密码学界对王小云这个名字并不熟悉。2004年8月,在美国加州圣芭芭拉召开的国际密码大会上,并没有被安排发言的王小云教授拿着自己的研究成果找到会议主席,要求进行大会发言。就这样,王小云在国际会议上首次宣布了她及她的研究小组近年来的研究成果——对MD5、HAVAL-128、MD4和RIPEMD等四个著名密码算法的破译结果。

  在公布到第三个成果的时候,会场上已经是掌声四起,报告不得不一度中断。报告结束后,所有与会专家对她们的突出工作报以长时间的掌声。

  王小云的研究成果作为密码学领域的重大发现宣告了固若金汤的世界通行密码标准MD5大厦轰然倒塌,引发了密码学界的轩然大波。这次会议的总结报告这样写道:“我们该怎么办?MD5被重创了,它即将从应用中淘汰。SHA-1仍然活着,但也见到了它的末日。现在就得开始更换SHA-1了。”

  事实上,在MD5被王小云为代表的中国专家破译之后,世界密码学界仍然认为SHA-1是安全的。今年2月7日,美国国家标准技术研究院发表申明,SHA-1没有被攻破,并且没有足够的理由怀疑它会很快被攻破,开发人员在2010年前应该转向更为安全的SHA-256和SHA-512算法。而仅仅在一周之后,王小云就宣布了破译SHA-1的消息。

  因为SHA-1在美国等国家有更加广泛的应用,密码被破的消息一出,在国际社会的反响可谓石破天惊。换句话说,王小云的研究成果表明了从理论上讲电子签名可以伪造,必须及时添加限制条件,或者重新选用更为安全的密码标准,以保证电子商务的安全。

  最近国际密码学家Lenstra利用王小云提供的MD5碰撞,伪造了符合X.509标准的数字证书,这就说明了MD5的破译已经不仅仅是理论破译结果,而是可以导致实际的攻击,MD5的撤出迫在眉睫。王小云说,目前SHA-1在理论上已经被破译,离实际应用也为期不远。

  评论这几位研究人员太疯狂了

  MD5、SHA-1等国际通用密码被破译,在国际密码学界引发强烈“地震”。

  国际顶级密码学家Shamir评论道:“这是近几年密码学领域最美妙的结果,我相信这将会引起轩然大波,设计新的Hash函数算法极其重要。”

   MD5的设计者Rivest评论道,“SHA-1的破译令人吃惊”,“数字签名的安全性在降低,这再一次提醒需要替换算法”。

  美国国家标准技术研究院和几大知名公司也做出积极反应。

  希捷科技(Seagate Technology)的一位安全问题研究总监Mark Willet表示,“现在美国国家标准技术研究院可能需要将更新密码的日程提前。”

  此外,微软、SUN和Atmel等几家知名公司的专家也发表了他们的应对之策。一位美国律师协会顾问说:“中国的这几位研究人员太疯狂了。”



文章来自: 本站原创
引用通告: 查看所有引用 | 我要引用此文章
Tags:
评论: 0 | 引用: 5 | 查看次数: -
发表评论
昵 称:
密 码: 游客发言不需要密码.
内 容:
验证码: 验证码
选 项:
虽然发表评论不用注册,但是为了保护您的发言权,建议您注册帐号.