密碼學領域重大發現:山東大學王小雲教授成功破解MD5
[本站訊]2004年8月17日的美國加州聖巴巴拉,正在召開的國際密碼學會議(Crypto’2004)安排了三場關於雜湊函數的特別報告。在國際著名密碼學家Eli Biham和Antoine Joux相繼做了對SHA-1的分析與給出SHA-0的一個碰撞之後,來自山東大學的王小雲教授做了破譯MD5、HAVAL-128、 MD4和RIPEMD演算法的報告。在會場上,當她公佈了MD系列演算法的破解結果之後,報告被激動的掌聲打斷。王小雲教授的報告轟動了全場,得到了與會專家的讚歎。報告結束時,與會者長時間熱烈鼓掌,部分學者起立鼓掌致敬,這在密碼學會議上是少見的盛況。王小雲教授的報告緣何引起如此大的反響?因為她的研究成果作為密碼學領域的重大發現宣告了固若金湯的世界通行密碼標準MD5的堡壘轟然倒塌,引發了密碼學界的軒然大波。會議總結報告這樣寫道:“我們該怎麼辦?MD5被重創了;它即將從應用中淘汰。SHA-1仍然活著,但也見到了它的末日。現在就得開始更換SHA-1了。”
關鍵字:碰撞=漏洞=別人可以偽造和冒用數位簽名。
Hash函數與數位簽名(數位手印)
HASH函數,又稱雜湊函數,是在資訊安全領域有廣泛和重要應用的密碼演算法,它有一種類似于指紋的應用。在網路安全協定中,雜湊函數用來處理電子簽名,將冗長的簽名檔壓縮為一段獨特的數位資訊,像指紋鑒別身份一樣保證原來數位簽名檔的合法性和安全性。在前面提到的SHA-1和MD5都是目前最常用的雜湊函數。經過這些演算法的處理,原始資訊即使只更動一個字母,對應的壓縮資訊也會變為截然不同的“指紋”,這就保證了經過處理資訊的唯一性。為電子商務等提供了數位認證的可能性。
安全的雜湊函數在設計時必須滿足兩個要求:其一是尋找兩個輸入得到相同的輸出值在計算上是不可行的,這就是我們通常所說的抗碰撞的;其二是找一個輸入,能得到給定的輸出在計算上是不可行的,即不可從結果推導出它的初始狀態。現在使用的重要電腦安全協定,如SSL,PGP都用雜湊函數來進行簽名,一旦找到兩個檔可以產生相同的壓縮值,就可以偽造簽名,給網路安全領域帶來巨大隱患。
MD5就是這樣一個在國內外有著廣泛的應用的雜湊函數演算法,它曾一度被認為是非常安全的。然而,王小雲教授發現,可以很快的找到MD5的“碰撞”,就是兩個檔可以產生相同的“指紋”。這意味著,當你在網路上使用電子簽名簽署一份合同後,還可能找到另外一份具有相同簽名但內容迥異的合同,這樣兩份合同的真偽性便無從辨別。王小雲教授的研究成果證實了利用MD5演算法的碰撞可以嚴重威脅資訊系統安全,這一發現使目前電子簽名的法律效力和技術體系受到挑戰。因此,業界專家普林斯頓電腦教授Edward Felten等強烈呼籲資訊系統的設計者儘快更換簽名演算法,而且他們強調這是一個需要立即解決的問題。
國際講壇 王氏發現豔驚四座
面對Hash函數領域取得的重大研究進展,Crypto 2004 會議總主席StorageTek高級研究員Jim Hughes 17 日早晨表示,此消息太重要了,因此他已籌辦該會成立24年來的首次網路廣播(Webcast )。Hughes在會議上宣佈:“會中將提出三份探討雜湊碰撞(hash collisions )重要的研究報告。”其中一份是王小雲等幾位中國研究人員的研究發現。17日晚,王小雲教授在會上把他們的研究成果做了宣讀。這篇由王小雲、馮登國、來學嘉、於紅波四人共同完成的文章,囊括了對MD5、HAVAL-128、 MD4和RIPEMD四個著名HASH演算法的破譯結果。在王小雲教授僅公佈到他們的第三個驚人成果的時候,會場上已經是掌聲四起,報告不得不一度中斷。報告結束後,所有與會專家對他們的突出工作報以長時的熱烈掌聲,有些學者甚至起立鼓掌以示他們的祝賀和敬佩。當人們掌聲漸息,來學嘉教授又對文章進行了一點頗有趣味的補充說明。由於版本問題,作者在提交會議論文時使用的一組常數和先行標準不同;在會議發現這一問題之後,王小雲教授立即改變了那個常數,在很短的時間內就完成了新的資料分析,這段有驚無險的小插曲倒更加證明了他們論文的信服力,攻擊方法的有效性,反而凸顯了研究工作的成功。
會議結束時,很多專家圍攏到王小雲教授身邊,既有簡短的探討,又有由衷的祝賀,褒譽之詞不絕。包含公鑰密碼的主要創始人R. L. Rivest和A. Shamir在內的世界頂級的密碼學專家也上前表示他們的欣喜和祝賀。
國際密碼學專家對王小雲教授等人的論文給予高度評價。
MD5的設計者,同時也是國際著名的公鑰加密演算法標準RSA的第一設計者R.Rivest在郵件中寫道:“這些結果無疑給人非常深刻的印象,她應當得到我最熱烈的祝賀,當然,我並不希望看到MD5就這樣倒下,但人必須尊崇真理。”
Francois Grieu這樣說:“王小雲、馮登國、來學嘉和於紅波的最新成果表明他們已經成功破譯了MD4、MD5、HAVAL-128、RIPEMD-128。並且有望以更低的複雜度完成對SHA-0的攻擊。一些初步的問題已經解決。他們贏得了非常熱烈的掌聲。”
另一位專家Greg Rose如此評價:“我剛剛聽了Joux和王小雲的報告,王所使用的技術能在任何初始值下用2^40次hash運算找出SHA-0的碰撞。她在報告中對四種HASH函數都給出了碰撞,她贏得了長時間的起立喝彩,(這在我印象中還是第一次)。…… 她是當今密碼學界的巾幗英雄。……(王小雲教授的工作)技術雖然沒有公開,但結果是無庸質疑的,這種技術確實存在。…… 我坐在Ron Rivest前面,我聽到他評論道:‘我們不得不做很多的重新思考了。’”
石破驚天 MD5堡壘轟然倒塌
一石擊起千層浪,MD5的破譯引起了密碼學界的激烈反響。專家稱這是密碼學界近年來“最具實質性的研究進展”,各個密碼學相關網站競相報導這一驚人突破。
MD5破解專項網站關閉
MD5破解工程權威網站http://www.md5crk.com/ 是為了公開徵集專門針對MD5的攻擊而設立的,網站於2004年8月17日宣佈:“中國研究人員發現了完整MD5演算法的碰撞;Wang, Feng, Lai與Yu公佈了MD5、MD4、HAVAL-128、RIPEMD-128幾個 Hash函數的碰撞。這是近年來密碼學領域最具實質性的研究進展。使用他們的技術,在數個小時內就可以找到MD5碰撞。……由於這個里程碑式的發現,MD5CRK項目將在隨後48小時內結束”。
對此,http://www.readyresponse.org主頁專門轉載了該報導http://www.aspenleaf.com/distributed/distrib-recent.html和幾個其他網站也進行了報導。
權威網站相繼發表評論或者報告這一重大研究成果
經過統計,在論文發佈兩周之內,已經有近400個網站發佈、引用和評論了這一成果。國內的許多新聞網站也以“演算法安全加密功能露出破綻密碼學界一片譁然”為題報導了這一密碼學界的重大事件。(報導見http://www.technewsworld.com/perl/board/mboard.pl?board=lnitalkback&thread=895&id=896&display=1&tview=expanded&mview=flat,該消息在各新聞網站上多次轉載。)
東方神韻 MD5終結者來自中國
MD5破解工作的主要成員王小雲教授是一個瘦弱、矜持的女子,厚厚的鏡片透射出雙眸中數學的靈光。她于1990年在山東大學師從著名數學家潘承洞教授攻讀數論與密碼學專業博士,在潘先生、于秀源、展濤等多位著名教授的悉心指導下,她成功將數論知識應用到密碼學中,取得了很多突出成果,先後獲得863專案資助和國家自然科學基金項目資助,並且獲得部級科技進步獎一項,撰寫論文二十多篇。王小雲教授從上世紀90年代末開始進行HASH函數的研究,她所帶領的於紅波、王美琴、孫秋梅、馮騏等組成的密碼研究小組,同中科院馮登國教授,上海交大來學嘉等知名學者密切協作,經過長期堅持不懈的努力,找到了破解HASH函數的關鍵技術,成功的破解了MD5和其他幾個HASH函數。
近年來她的工作得到了山東大學和數學院領導的大力支持,特別投資建設了資訊安全實驗室。山東大學校長展濤教授高度重視王小雲教授突出的科研成果。 2004年6月山東大學領導聽取王小雲教授的工作介紹後,展濤校長親自簽發邀請函邀請國內知名資訊安全專家參加2004年7月在威海舉辦的“山東大學資訊安全研究學術研討會”,數學院院長劉建亞教授組織和主持了會議,會上王小雲教授公佈了MD5等演算法的一系列研究成果,專家們對她的研究成果給予了充分的肯定,對其堅持不懈的科研態度大加讚揚。一位院士說,她的研究水準絕對不比國際上的差。這位院士的結論在時隔一個月之後的國際密碼會上得到了驗證,國外專家如此強烈的反響表明,我們的工作可以說不但不比國際上的差,而且是在破解HASH函數方面已領先一步。加拿大CertainKey公司早前宣佈將給予發現MD5演算法第一個碰撞人員一定的獎勵,CertainKey的初衷是利用平行電腦通過生日攻擊來尋找碰撞,而王小雲教授等的攻擊相對生日攻擊需要更少的計算時間。
數字認證 你的未來不是夢
由於MD5的破譯,引發了關於MD5產品是否還能夠使用的大辯論。在麻省理工大學Jeffrey I. Schiller教授主持的個人論壇上,許多密碼學家在標題為“Bad day at the hash function factory”的辯論中發表了具有價值的意見(http://jis.mit.edu/pipermail/saag/2004q3/000913.html)。這次國際密碼學會議的總主席Jimes Hughes發表評論說“我相信這(破解MD5)是真的,並且如果碰撞存在,HMAC也就不再是安全的了,…… 我認為我們應該拋開MD5了。” Hughes建議,程式設計人員最好開始捨棄MD5。他說:“既然現在這種演算法的弱點已暴露出來,在有效的攻擊發動之前,現在是撤離的時機。”
同樣,在普林斯頓大學教授Edwards Felton的個人網站(http://www.freedom-to-tinker.com/archives/000664.html)上,也有類似的評論。他說:“留給我們的是什麼呢?MD5已經受了重傷;它的應用就要淘汰。SHA-1仍然活著,但也不會很長,必須立即更換SHA-1,但是選用什麼樣的演算法,這需要在密碼研究人員達到共識。”
密碼學家Markku-Juhani稱“這是HASH函數分析領域激動人心的時刻。(http://www.tcs.hut.fi/~mjos/md5/)”
而著名電腦公司SUN的LINUIX專家Val Henson則說:“以前我們說"SHA-1可以放心用,其他的不是不安全就是未知",現在我們只能這麼總結了:"SHA-1不安全,其他的都完了"。
針對王小雲教授等破譯的以MD5為代表的Hash函數演算法的報告,美國國家技術與標準局(NIST)於2004年8月24日發表專門評論,評論的主要內容為:“在最近的國際密碼學會議(Crypto 2004)上,研究人員宣佈他們發現了破解數種HASH演算法的方法,其中包括MD4,MD5,HAVAL-128,RIPEMD還有 SHA-0。分析表明,於1994年替代SHA-0成為聯邦資訊處理標準的SHA-1的減弱條件的變種演算法能夠被破解;但完整的SHA-1並沒有被破解,也沒有找到SHA-1的碰撞。研究結果說明SHA-1的安全性暫時沒有問題,但隨著技術的發展,技術與標準局計畫在2010年之前逐步淘汰SHA-1,換用其他更長更安全的演算法(如SHA-224、SHA-256、SHA-384和SHA-512)來替代。”
詳細評論見:http://csrc.nist.gov/hash_standards_comments.pdf
2004年8月28日,十屆全國人大常委會第十一次會議表決通過了電子簽名法。這部法律規定,可靠的電子簽名與手寫簽名或者蓋章具有同等的法律效力。電子簽名法的通過,標誌著我國首部“真正意義上的資訊化法律”已正式誕生,將於2005年4月1日起施行。專家認為,這部法律將對我國電子商務、電子政務的發展起到極其重要的促進作用。王小雲教授的發現無異於發現了資訊化天空的一個驚人黑洞。我們期待著王小雲教授和她的團隊能夠成就“女媧補天”的壯舉,為人類的資訊化之路保駕護航。
0 意見:
張貼留言