王翌:数字签名遭遇“9·11”

数字签名遭遇“9·11

在8个月以前，人们还以为在全球广泛应用的MD5和SHA-1都是值得信任的安全的数字签名算法；8个月后的今天，曾经值得信赖的数字签名体系像是遭遇了“9·11”事件，令人震惊的两次“碰撞”将这两种应用最广的签名加密算法都逼上了绝路。

两次“碰撞”惊世界

    在参加过2004年国际密码学会议（Crypto’2004）的专家们看来，“一觉醒来，一切都变了”。来自中国山东大学的王小云教授在Crypto’2004上做的破译MD5、HAVAL-128、MD4和RIPEMD算法的报告，令在场的国际顶尖密码学专家都为之震惊。该次会议的总结报告中这样写道：“我们该怎么办？MD5被重创了；它即将从应用中淘汰。SHA-1仍然活着，但也见到了它的末日。现在就得开始更换SHA-1了。”
    MD5算法是1991年发布的一项数字签名加密算法，它当时解决了MD4算法的安全性缺陷，成为应用非常广泛的一种算法。作为Hash函数的一个应用实例，MD5本身也存在漏洞，但在十多年的研究及应用过程中，人们一直没有找到能够在可接受的时间及计算能力范围内迅速破解该算法的技术，因而这种理论上的瑕疵并没有影响MD5的应用。事实上，以MD5为应用代表的Hash函数的研究在国际密码学界早已不是热门，因而，王小云在“Crypto’2004”上发布的报告令整个密码学界醍醐灌顶，国际同行们开始研究王小云的理论，希望能沿着这条新路找到更多宝藏。
    在MD5被王小云踩在脚下之后，世界密码学界仍然认为SHA-1是安全的算法。2005年2月7日，美国国家标准技术研究院（NIST）对外宣称，SHA-1还没有被攻破，并且也没有足够的理由怀疑它会很快被攻破。仅在一周之后，王小云教授再度令世界密码学界大跌眼镜——SHA-1也被她“碰撞”了。
    SHA-1的应用范围或许比MD5更加广泛，其安全性较MD5要高出很多。SHA-1是美国国家标准技术研究院（NIST）与美国国家安全局（NSA）共同设计的，一些重要的场合都选择SHA-1来做数字签名。美国政府更是早在1994年就开始采用了SHA-1算法。因此，SHA-1被破的消息一经传出，在国际社会的反响甚至超出半年前MD5被破时的情景。NIST表示，为配合先进的计算机技术，美国政府5年内将不再使用SHA-1，并计划在2010年前改用先进的SHA-224、SHA-256、SHA-384及SHA-512的数字签名加密算法。
     在我国，MD5和SHA-1也是在实际应用中最广泛的两种数字签名算法，包括网上银行等金融业务在内的很多数字签名都采用SHA-1或MD5算法。在《电子签名法》实施后，数字签名算法的可靠性将提升到可影响司法取证结果的高度。
    王小云教授取得的成果之所以能引起全球密码学界的广泛关注，一方面是由于在实用密码体系中MD5和SHA-1确实是应用最为广泛的极为重要的两个算法，因而这个成果具有难以估量的实际意义；另一方面则是因为她发明了一种可以迅速而有效地验证一系列Hash函数算法健壮性的工具，从而令Hash函数的一些隐含弱点更快地暴露在人们眼前，这在学术研究上具有更大的理论价值。