| 世界通行密码标准MD5漏洞首次被发现电子签名并非绝对安全
山大教授王小云彻底颠覆“数字手印”
名词解释:电子签名
电子签名,又称数字手印、电子签章等。其提出的初衷就是想在网络环境中模拟日常生活中的手工签名或印章,目前主要应用于电子商务、电子银行等。
简单地说,就是电子签名者在使用电子签名前,需要向权威管理机构申请,并获得私人密码,安装相应软件。
当签名者将自己需要签名的电子文本经相应软件变换数氢(也就是加密过程),在这个过程中需要输入私人密码才能完成电子签名,并产生对应的公开密码(类似于可公开的电话号码),这个密码是随机的,在理论上也是独一无二的,且每一份电子签名对应一个密码。
而有权限浏览该电子文本的人(必须具有相应电子签名软件)就可以利用签名者提供的公开密码来逆向变换数据(解密过程),在这个过程中,电子签名软件还将自动识别该文本是否签名人本人的签名。
日前,山东大学教授王小云在国际密码学学术会议上所作的一场特别报告,引发全世界的关注——世界通行密码标准MD5被王小云教授证实存在安全隐患,曾被认为十分安全的“数字手印(电子签名)”完全可能出现假冒。由于此前人们认为MD5处理过的电子签名是绝对安全的,因此王小云教授的发现被认为“具有里程碑意义”。2004国际密码学会议的总主席Jimes Hughes甚至建议程序设计人员“最好开始舍弃MD5”。由于“密码”几乎关系着每个人的切身利益,王小云由此成为一名公众人物。
“没想到关注度这么高”
9月14日下午,山东大学科学会堂。由山东电视台和山东大学联合举办的“恰同学少年——中国杰出青年山大行”报告会在这里举行。萧瑟的秋雨没能降低人们的热情,会场的过道都站满了人。除了倾听3位学术带头人的精彩报告,其中一位“密码专家”更是人们关注的焦点,她就是刚刚在美国举行的国际密码学学术会议上破解MD5世界通行密码标准的王小云教授。
“我没想到社会关注度这么高。在公布破解MD5报告前,曾想过应该会引起学术界的关注,但没想到会引起全社会的关注,尤其是新闻界的高度关注,也许是因为随着社会的发展,尤其是电子商务的飞速发展,密码甚至电子签名将关系着很多人的切身利益。”王小云没有说什么豪言壮语,但真诚、坦率的本性仍然博得了热烈的掌声。
将近中年的王小云教授,带着浓浓的乡音,朴实而平和,厚厚的镜片后面闪动着灵光。1966年出生于山东诸城的王小云,现为博士生导师、山东大学信息安全研究所所长。
她自1983年考入山大数学系以来,就与山大结下了不解之缘,读完硕士后,又于1990年师从著名数学家潘承洞教授攻读数论与密码学专业博士,在潘承洞教授、于秀源教授和展涛教授等多位著名教授的悉心指导下,王小云成功地将数论知识应用到密码学中,取得了很多突出成果,先后获得863项目资助和国家自然科学基金项目资助,并且获得部级科技进步奖一项,撰写论文二十多篇。
公布破解MD5报告前,王小云曾跟丈夫开玩笑说,“我作完这次报告后,你猜我的名字会不会出现在Google(著名搜索引擎)里?”结果,让王小云意外的是,在她公布了破解MD5的报告后,不仅Google里出现了王小云的名字,而且国外的很多网站上也有了关于王小云破解MD5的消息。
9月14日,记者在Google上输入王小云,检索出2万多条信息,其中多数是报道王小云教授破解MD5的。
“以前一直很平庸,忽然间成了名人,感觉有一点惊喜,有一点兴奋,毕竟自己的研究成果被认可了,带来极大的成就感,但很快兴奋劲就过了,又开始投入到研究中。我们这些作研究的,不能与其他行业的名人比,在心态上也不一样,社会关注度太高,会牵扯精力,影响工和。我们更看重的是,能否继续再拿出新的研究成果。”尽管王小云为自己的出名而感到欣慰,但心态非常平和,透着学者的风度。
密码学领域的重大发现
2004年8月17日的美国加州圣巴巴拉,正在召开的国际密码学会议(Crypto’2004)安排了三场关于杂凑函数的特别报告。其中,山东大学王小云教授的破译MD5安全漏洞算法的报告,引起了最强烈的关注。
由于王小云教授在收到国际密码学学术会议的邀请函之后,已来不及办因公签证,幸好因丈夫正在美国读博士后,就办了一个探亲签证。
“赶到美国加州后,向国际密码学学术会议提交了相关学术报告。会议总主席看了我的报告后,认为意义重大,就批准我可以作一次特别报告。别人一般只给3分钟发言时间,而大会特批了我15分钟时间。”王小云对记者说。
会场上,当王小云讲述到四种破解算法的第三种时,与会的专家就开始鼓掌,报告不得不一度中断——这种情况在国际学术会议中是极少出现的。
当系列算法全公布后,激动的掌声经久不息,部分学才甚至起立鼓掌致敬。
王小云教授研究成果作为密码学领域的重大发现,宣告了固若金汤的世界通行密码标准MD5的堡垒轰然倒塌,引发了密码学界的轩然大波。
这一发现使目前电子签名的法律效力和技术体系受到挑战,一向被认为是十分安全的“数字手印”完全可能出现假冒。有专家称这是密码学界近年来“最具有实质性的研究进展”。
这次会议的总结报告中这样写道:“我们该怎么办?MD5被重创了;它即将从应用中淘汰。SHA-1仍然活着,但也见到了它的末日。现在就得开始更换SHA-1了。”
MD5破解工程权威网站也因王小云的研究结果而关闭。该网站是为了公开征集专门针对MD5的攻击而设立的,2004年8月17日该网站宣布:“中国研究人员发现了完整MD5算法的碰撞……这是近年来密码学领域最具实质性的研究进展。使用他们的技术,在数上小时内就可以找到MD5碰撞 ……由于这个里程碑式的发现,MD5CRK项目将在随后48小时内结束”。
会议前的“一场虚惊”
据王小云教授介绍,这次公布的研究成果是在中科院冯登国教授、上海交大来学嘉教授及她带的博士生于红波的配合下完成的。
在这次国际密码学会议召开之前,还曾出现“一场虚惊”。
为了让与会专家提前验证一下报告,在会议开始之前的8月15日,王小云教授将破解MD5的系列算法公布到网上。然而,第二天一早,来学嘉教授急匆匆地找到王小云。
“很多专家的验证结果与我们的研究结果不一致。”来学嘉教授对王小云说。
“不可能,咱们可以马上验证。”王小云说。
于是,王小云教授立刻与其他专家开始验证,但王小云的运算结果总是与别人的不一致。究竟哪里出了问题?难道是使用的标准不同?
王小云经过仔细分析后,认为可能是使用的初始值不一致而导致的,遂开始调整,最终与以前的运算结果一致了。
原来,由于版本问题,王小云在提交会议论文时使用的一组常数和先行标准不同。在发现这一问题之后,王小云教授立即改变了那个常数,在很短的时间内就完成了新的数据分析,这段有惊无险的小插曲倒更加证明了他们论文的信服力,攻击方法的有效性,反而凸显了研究工作的成功。“因为我提供的算法与初始值没有必然联系。”王小云很自信地对记者说。
“破坏”是为了更加安全
目前,国际上正在使用的重要计算机安全协议大多使用MD5杂凑函数进行运算来签名,一旦找到两个文件可以产生相同的密码,就可以伪造签名,给网络安全领域带来巨大隐患。
现在有很多人认为,尽管MD5的漏洞被发现,但还只是理论上的,在短期内应该不会受到冲击。“这种想法也有一定道理,而且一下子全部换掉,也不是很现实。但我认为,既然现在这种算法的漏洞已被发现,在受到攻击之前,更换算法可以更安全。”
有人曾对王小云教授的研究成果很敌视,认为王小云是“搞破坏”,因为这可能给他们带来很大的损失。对此,王小云教授说,“现在的‘破坏’,是为了更安全。假如我没有指出这种算法的安全隐患和漏洞,一旦被某些别有用心的人利用了,那样损失将更加不可估量。同时,如果不发现漏洞,就不能设计出更好的算法。”
王小云教授在国际密码学学术会议上公布的还只是部分算法,但已可以很快验证MD5的漏洞,据悉,详细技术方案也将很快正式公布。
破解MD5:用了3个多月
由于全世界没有两个完全相同的指纹,手印因此成为人们身份惟一和安全的标志。在国际网络安全协议中,计算机科学家使用杂凑函数(Hash函数)来处理电子签名,以便产生理论上独一无二的“指纹”,形成“数安手印”。
MD5就是目前最常用的一种杂凑函数。按其理论,经过MD5处理,原始信息即使只更动一个字母,被改动的信息所产生的“指纹”也会截然不同,由于这个“指纹”的独一无二,才保证了电子签名的“绝对安全”,来防止出现“仿冒”。
而王小云研究发现,MD5存在“杂凑碰撞”,就是两个文件可以产生相同的“指纹”,证明MD5存在严重的安全隐患。这一发现使目前电子签名的法律效力和技术体系受到挑战。
从理论上讲,使用王小云教授提出的算法,一个小时就可以产生一次碰撞,也就是产生一个伪造的密码。这意味着当你在网络上使用电子签名签署一份合同后,还存在另外一份具人相同签名但内容迥异的合同,两份合同的真伪性无从辨别,从而可能引发无数官司,给难以估量的企业和个人带来巨大损失。
“破解MD5用了3个多月。”王小云教授对记者说,“其实,只用了一个多月时间就在理论上破解了,又相继用了两个多月时间来反复实际检验。”
王小云教授坦言,最初没有想到会破解得这么成功。“经过多年对MD3、MD4安全性的研究,奠定了基础,才会有破解MD5的成功。”
2004年8月28日,十届全国人大常委会通过了《电子签名法》。裎法律规定,可靠的电子签名与手写签名或者盖章具有同等的法律效力。电子签名法的通过,标志着我国首部“真正意义上的信息化法律”已正式诞生,将于2005年4月1日起施行。专家认为,这部法律将对我国电子商务、电子政务的发展起到极其重要的促进作用。而王小云教授的发现无异于发现了信息化天空的一个惊人黑洞。由于此前人们认为MD5处理过的电子签名是绝对安全的,所以被电子签名法认为是可靠的电子签名,而王小云教授发现处理电子签名的MD5存在严重安全隐患,将提醒我国在实施电子签名时应特别慎重。
|
