王翌:数字签名遭遇“9·11”

链接一：

国际顶尖密码学专家对王小云研究成果的评价：

Ronald L.Rivest（2002年图灵奖获得者，RSA密码发明人之一，MD5的创造者，世界最权威的密码学专家之一）：
    我的研究方向之一是“Hash函数”，这种函数是目前许多密码系统应用的核心。我曾经设计过一些Hash函数，其中的MD5由于拥有优越的高效及安全性能，得到了普遍的认可和广泛的应用。尽管有人曾发现MD5函数的某些方面存在着安全隐患，但一直以来，MD5都无法被破解。此外，还有许多其他的密码Hash函数（如SHA-1，RIPEMD等）情况也类似。
然而令人惊异的是，在王小云教授的带领下，MD5函数和其他一些Hash函数在近期都被破解了。MD5函数十几年来经受住了众多密码学专家的攻击，而王小云教授却成果地破解了它，这实在是一种令人印象极深的卓越成就，是高水平的世界级研究成果。这些结果无疑给人非常深刻的印象，她应当得到我最热烈的祝贺。当然，我并不希望看到MD5就这样倒下，但人必须尊重真理。

    Adi Shamir（2002年图灵奖获得者，RSA密码发明人之一，SSSS的创造者）：
关于王小云教授所做的工作，我想强调的是她所研究的Hash函数是近15年来密码研究学中最不活跃的领域。所有主要的Hash函数早在1980年代末或1990年代初就已经被发展和定型，并且后来几乎也没有再出现有关其安全性的研究成果。而王教授的研究以独特的方式打破了这种沉闷的局面，并对该领域的理论研究和实际应用产生了极大的影响。特别是一些被广泛应用的Hash函数，如MD5，将不会再被使用。而未来的Hash函数将会以新的设计原则来发展。

链接二：

MD5和SHA-1算法

林居

    MD5和SHA-1都属于散列（Hash）算法，其作用是可以将不定长的信息（原文）经过处理后得到一个定长的摘要信息串，对同样的原文用同样的散列算法进行处理，每次得到的信息摘要串相同。Hash算法是单向的，一旦数据被转换，就无法再以确定的方法获得其原始值。事实上，在绝大多数情况下，原文的长度都超过摘要信息串的长度，因此，在散列计算过程中，原文的信息被部分丢失，这使得原文无法从摘要信息重构。散列算法的这种不可逆特征使其很适合被用来确认原文（例如公文）的完整性，因而被广泛用于数字签名的场合。
如果除了原文之外，对于另外一段不同的信息进行相同散列算法，得到的摘要信息与原文的摘要信息相同，则称之为碰撞，散列算法通常可以保证碰撞也很难根据摘要被求出。
MD5（RFC1321）诞生于1991年，全称是“Message-Digest Algorithm（信息摘要算法）5”，由MIT的计算机安全实验室和RSA安全公司共同提出，之前已经有MD2、MD3和MD4几种算法。MD5克服了MD4的缺陷，生成128bit的摘要信息串，出现之后迅速成为主流算法，并在1992年被收录到RFC中。
    SHA诞生于1993年，全称是安全散列算法（Secure Hash Algorithm），由美国国家安全局（NSA）设计，之后被美国标准与技术研究院（NIST）收录到美国的联邦信息处理标准（FIPS）中，成为美国国家标准，SHA（后来被称作SHA-0）于1995被SHA-1（RFC3174）替代。SHA-1生成长度为160bit的摘要信息串，虽然之后又出现了SHA-224、SHA-256、SHA-384和SHA-512等被统称为“SHA-2”的系列算法，但仍以SHA-1为主流。
MD5和SHA-1是当前应用最为广泛的两种散列算法。常见的Unix系统口令以及多数论坛/社区系统的口令都是经MD5处理后保存其摘要信息串，在互联网上，很多文件在开放下载的同时都提供一个MD5的信息摘要，使下载方（通过MD5摘要计算）能够确认所下载的文件与原文件一致，以此来防止文件被篡改。
    MD5和SHA-1还常被用来与公钥技术结合来创建数字签名。当前几乎所有主要的信息安全协议中都使用了SHA-1或MD5，包括SSL（HTTPS就是SSL的一种应用）、TLS、PGP、SSH、S/MIME和IPSec，因此可以说SHA-1和MD5是当前信息安全的重要基础之一。
不过，从技术上讲，MD5和SHA-1的碰撞可在短时间内被求解出并不意味着两种算法完全失效。例如，对于公文的数字签名来说，寻找到碰撞与寻找到有特定含义的碰撞之间仍有很大的差距，而后者才会使伪造数字公文成为现实。但无论如何，王小云教授所掌握的方法已经为短时间内寻找到MD5或SHA-1的碰撞成为可能，这足以使经过MD5或SHA-1处理的数字签名再也难以成为法律认可的依据。