王小云：令世界密码学界震撼

　　文/《瞭望》新闻周刊记者 孙英兰

　　“2004年8月，在美国加州召开的国际密码学大会上，我是拿着自己的研究成果找到会议主席要求进行大会发言的。在2005年的会议上，我被安排在第一个时间作重要报告。这个会议的目的，就是针对我们破解的MD5和SHA-1密码算法，评估Hash函数的安全现状以及未来Hash函数的设计。用现在业界一句流行的话说，MD5和SHA-1的破解，动摇了目前数字签名的理论根基。”

　　操着一口浓重山东口音的王小云教授面对《瞭望》新闻周刊记者说这番话时，脸上洋溢着自豪的笑容。

　　9月末的一天下午，《瞭望》新闻周刊记者如约来到王小云教授位于清华大学数学楼的办公室。刚从山东大学返京的王小云正和自己面前的学生讨论课题进展。

　　国际密码大会上的“地震”

　　说起自己和自己的团队破解的MD5和SHA-1密码算法，王小云开心地笑了。

　　在2004年8月以前，国际密码学界并不熟悉“王小云”这个名字。2004年8月，在美国加州圣芭芭拉召开的国际密码大会上，并没有被安排发言的王小云找到会议主席，要求进行大会发言。

　　就是在这次会议上，王小云首次宣布了她及她的研究小组近年来的研究成果——对MD5、HAVAL-128、MD4和RIPEMD等著名密码算法的破译结果。

　　在公布到第三个成果的时候，会场上已经是掌声四起。报告结束后，所有与会专家对王小云及其团队的突出工作报以长时间的热烈掌声。大会主席、普林斯顿Hewlett-Packard实验室教授StuartHaber形容道：“这真是一个极具冲击力和令人鼓舞的结果。”

　　作为密码学领域的重大发现，王小云的研究成果引起了国际密码学界的高度关注和重视。2004年国际密码大会的总结报告中就写道：“我们该怎么办？MD5被重创了，它即将从应用中淘汰。SHA-1仍然活着，但也见到了它的末日。现在就得开始更换SHA-1了。”

　　虽说在MD5被王小云领衔的中国专家破译之后，世界密码学界仍然认为SHA-1是安全的，没有被攻破，并且没有足够的理由怀疑它会很快被攻破。但仅仅几个月之后，王小云就宣布了破译SHA-1的消息，再一次震撼了国际密码学界。

　　国际顶级密码学家Shamir评论道：“这是近几年密码学领域最美妙的结果，我相信这将会引起轩然大波，设计新的Hash函数算法极其重要。”

　　美国国家标准与技术研究院的密码学家WilliamBurr说：“去年（2004），我还庆幸地说，还好她没有把SHA-1也破解了，但是现在，她真的这样做了。”

　　MD5的设计者Rivest评论道，“SHA-1的破译令人吃惊”，“数字签名的安全性在降低，这再一次提醒需要替换算法。”

　　为了电子商务的安全

　　据了解，Hash算法，或称Hash函数，被普遍应用于数字安全的几乎所有方面。登录办公室局域网、进入个人邮箱和安全页面都要用它来保护用户的密码；电子签名系统利用它来认证客户及其发来的信息；法律文书、财务信息和有版权的重要文件用它作为时间戳来确保数据不被篡改；银行系统使用它在用户输入信用卡密码之前确保网页的安全……

　　可以说，密码学家在他们设计密码协议的时候，可以灵活地使用Hash函数来增加安全性。“它们就像万灵药一样。”

　　Hash函数的种类很多，而王小云破解的正是当前国际上使用最广泛的两种——MD5和SHA-1。

　　MD5是由国际著名密码学家、“图灵奖”获得者兼公钥加密算法RSA的创始人、麻省理工大学的RonaldRivest教授于1991年设计的；SHA-1是由美国专门制定密码算法的标准机构——美国国家标准技术研究院（NIST）与美国国家安全局（NSA）设计。两大算法是目前国际电子签名及许多其它密码应用领域的关键技术，广泛应用于金融、证券等电子商务领域。其中，SHA-1早在1994年便为美国政府采纳，是目前美国政府广泛应用的计算机密码系统。

　　王小云介绍说，世界上由于没有两个完全相同的指纹，因此手印（指纹）成为人们身份惟一和安全的标志。在网络安全协议中，使用Hash函数来处理电子签名，能够产生理论上独一无二的电子文件的“指纹”，形成“数字手印”。按照理想安全要求，经过Hash函数产生的指纹，原始信息即使只改变一位，其产生的“指纹”也会截然不同。即使调用全球的计算机，也难以找到两个相同的“数字手印”，因此能够保证数字签名无法被伪造。如果能找到Hash函数的碰撞，就意味着两个不同的文件可以产生相同的“指纹”，这样就可以伪造签名。

　　而王小云和她的研究小组通过对函数MD5和SHA-1的研究发现，不同的数据能够产生相同的Hash值！这意味着，可以找到两份具有相同数字手印的不同电子文件。也就是说，从理论上讲，电子签名可以伪造。必须及时添加限制条件，或者重新选用更为安全的密码标准，才能保证电子商务的安全。

　　王小云告诉记者，MD5的破译已经不仅仅是理论破译结果，而且存在导致实际的攻击的可能，因为MD5可以找出碰撞实例。王小云说，目前SHA-1在理论上已经被破译，但尚未找出碰撞实例。理论上讲，一个计算机需要运行上百万年才能找到一个碰撞实例，但现在只需要几年就可以找到。届时SHA-1就真的不能再广泛应用了。

　　师从名师钻研密码学

　　今年40岁的王小云1988年考上山东大学数学系后开始接触、学习密码学，1990年师从著名数学家潘承洞教授攻读数论与密码学专业博士，在潘承洞、于秀源、展涛等多位名师的指导下，她成功地将数论知识应用到密码学中，并从上世纪90年代末开始进行Hash函数的研究。

　　据介绍，70年代中期现代密码学开始兴起，公钥密码学是基于单向函数设计的，而单向函数通常基于数论、代数方面的数学难题来设计，这使其具有非常大的应用潜力。“在导师的建议下，我比较早的接触了密码学，其新颖的思维方式和研究方向引起了我的兴趣。与数学研究相比，密码学有更多吸引人的地方，非常有趣，也更具有挑战性。”

　　身兼山东大学数学与系统科学学院密码技术与信息安全实验室主任、清华大学“长江学者奖励计划”特聘教授，王小云的时间可以说是以分钟计算的。“忙”成了她的常态，许多爱好都取消了，就连喜爱的花都委托给爱人照看。她经常往返于山东和北京两地，除了身边的人，很少有人能说得清她到底在哪儿。