山东大学王小云教授带领的密码研究小组在国家自然科学基金“网络与信息安全”重大研究计划面上项目的支持下,经过一年多的研究,先后破译了包含MD5与SHA-1在内的系列Hash函数算法,引起了国际社会、尤其是国际密码学领域的极大反响。
 MD5由国际著名密码学家、图灵奖获得者Rivest设计,SHA-1是由美国标准技术研究所(NIST)与美国国家安全局(NSA)设计,这两大Hash函数算法是目前国际电子签名及其他密码应用领域的关键技术。
一、MD5系列Hash函数的破译
2004年8月在美国加州圣芭芭拉召开的国际密码学大会上,王小云教授首次宣布了她们近年来的研究成果——系列Hash函数算法MD4、MD5、HAVAL-128、RIPEMD的碰撞,引起了与会学者的强烈反响。著名密码学家、图灵奖获得者Shamir回忆道:“王教授毫无疑问是当晚最耀眼的明星,在她发言过后,全场响起了史无前例的长久而热烈的掌声”。顶级密码学家Lenstra称当时的情景为“十几年来国际密码学会的首次盛况”。著名计算机科学家、图灵奖获得者Andrew
C. Yao评价道:“在我看来,一个年轻的由中国教育出来的计算机科学家能够取得这般显著的成绩,这在历史上还是首次”。
对于王小云教授所提出的关键分析技术——利用模差分寻找碰撞路线以及提高碰撞概率的明文修改技术,国际顶尖密码学家给予了高度评价。
Shamir称“王小云教授发现了运用一般差分密码分析技术来破解Hash函数的新方法”、“她创造了一种十分有效的方法寻找这种数组(有时候通过笔算、有时候通过优化的计算机搜索),以发现函数碰撞”。著名密码学家Arjen
K. Lenstra称“全世界的密码学家现在正在努力试图跟上王教授,理解她的结果和方法,这对于正确地估价其影响是至关重要的”、“这种研究方法的成功和它的深刻影响主要归因于王教授在求解这些著名的并已被深入研究过的问题时采用了完全独立的、创新的思想方式”。分组密码算法的重要分析技术——差分分析的创始人Biham评论道:“没有她的工作,我们接下来的工作将很难取得进展”。
破译结果公开一周后,NIST宣布,鉴于密码技术的进步,另一Hash函数标准SHA-1将于2010年逐渐撤出,由更长、更安全的Hash函数算法来代替。最近,随着密码学家Lenstra、Weger利用王小云等人提供的MD5碰撞而伪造了符合X.509标准的数字证书,进一步验证MD5的破译不仅仅是理论结果,而且可以导致可能的实际攻击,MD5的撤出已经迫在眉睫。
二、美国Hash函数标准SHA-1的破译
2005年2月14日,王小云、于红波和尹依群等人完成了SHA-1的破译。在SHA-1的破译工作中,王小云等人采用MD5的破译技术,成功解决了SHA-1差分分析中的一种不可能差分问题,这是SHA类算法(SHA-1,
SHA-0)分析技术的难点与瓶颈,并解决了难以确定的满足碰撞路线的明文条件以及明文修改技术。这些关键技术的解决最终导致了SHA-1全算法的破译。
2005年2月15日,在美国洛杉矶召开的万人参加的RSA年会上,Rivest、Shamir和Diffie
等5位世界顶级密码学家首次宣布了3位中国研究人员关于SHA-1的破译结果。Shamir评论道:“我相信这将会引起轩然大波,设计新的Hash函数算法极其重要”、“这是近几年密码学领域最美妙的(most
wonderful)结果”。Rivest
评论道:“SHA-1的破译令人吃惊”、“数字签名的安全性在降低,这再一次提醒我们需要替换算法”。目前,关于SHA-1被破译的消息又一次引起国际社会的广泛关注,报道日渐增加,NIST再次发表评论,美国《华尔街日报》、《科学》杂志上也刊登了专门报道。相信随着分析技术的明朗化,国际密码学家以及信息安全专家将会进一步意识到SHA-1被破译而带来的潜在危机。 |
