2004年8月,一场代表国际密码领域最高学术水平的国际密码学会议,在美国加州召开。一位38岁的中国女教授没有携带任何论文,却被大会主席、国际顶级密码学家Hhghes特邀上台。原本“每人只能发言两至三分钟”的规定,却为她破例,给了她十五分钟。
这十五分钟的发言,足以让世界认识这位女教授,让世界认识中国。
在密码领域,美国一直在向全世界推广MD5密码,还多次声称:没人能破解我们的MD5密码,就连著名的密码学家Biham,也把破解MD5密码作为一生的梦想。
谁也没想到一个土生土长的中国学者,居然真的破解了MD5——这个在全世界密码学家心中,固若金汤的国际通用密码标准。这个土生土长的中国女教授就是王小云。
王小云在国际密码学会议上,满怀信心地宣读了包括对MD5、HAVAL—128、MD4和RIPEMD,四个在国际上有着举足轻重地位的,国际哈希(hash)函数密码算法破解方法的科研成果。
只要使用王小云说的方法,使用普通计算机也只需要一个多小时,就能破解国际密码标准MD5。
得知此消息,各位国际密码大师激动不已,当王小云现场作报告时,史无前例地响起了持久无比的热烈掌声。如此年轻的学者、而且是中国教育体系培养出来的,能取得如此显著成绩的计算机科学家,在世界历史上可谓是首例。
对于王小云提出的破解MD5密码的关键分析技术,国际多位顶尖密码学家都给予了高度评价。她所采用的那种独一无二的方法——利用模型寻找碰撞路线,以及提高碰撞概率的明文修改技术,在后面也帮了自己大忙。
会议结束后,几乎全世界的密码学家,都在试图理解王小云使用的办法,试图能再次破解MD5密码或者更高级的密码系统。
中国专家宣告破解MD5的论文发布以后,已经有近400个国内外网站发布、引用和评论了这一成果。当时,国内很多网民也能在许多新闻网站上,看到以“演算法安全加密功能露出破绽,密码学界一片哗然”为题的报道,这可是密码学界的重大事件。
那么,这个引起国际密码界极为关注的MD5密码,究竟为何物呢?MD5是在90年代初,经MD2、MD3、和MD4发展而来。要知道世界上是没有两枚完全相同的指纹。对很多人来说,手印或者说指纹就成为了人们身份唯一且安全的标志。而Hash算法(函数)就是这样的,人们用它来处理电子签名,从理论上就可以形成一份独一无二的电子文件的“指纹”——“数字手印”。
理想状态下通过Hash函数产生的“数字手印”,只要修改了原始信息上的一位数字,也会导致最终形成的“数字手印”与原图截然不同。
毫不夸张地说,即使是把当时全球的计算机都集中于一地,想要弄出两个一模一样的“数字手印”也是天方夜谭。也正因如此,人们都无比相信,利用Hash函数设计出来的MD5密码是无法攻破的,数字签名更无法伪造。
这也是为什么当王小云在会议上报告,自己和团队已经破解MD密码时,人们会显得如此震惊和激动了。
王小云破解的MD5密码,是当前国际上使用最广泛的两种密码标准之一。这可是由国际著名密码学家、公钥加密算法RSA的创始人、“图灵奖”的获得者、美国麻省理工学院的教授在1991年设计出来的。
还有最关键的,因为人们当时对Hash函数过度相信,以至于全球很多国家都是使用Hash函数来保护数字安全:
不管是登录办公室局域网、进入安全页面,还是进入个人邮箱发送邮件,都离不开Hash函数保护用户的密码;电子签名系统需要利用Hash函数来认证客户以及客户发来的消息;银行系统也需要利用Hash函数,来确保银行用户在输入信用卡密码时所登录的网站安全;大部分的法律文件、公司财务信息等都需要Hash函数来作为时间戳,确保数据不会被人恶意篡改……
当时,在会议上听王小云汇报的众多国际密码大家,还在庆幸王小云没有破解当前国际上使用最广泛的另一种密码标准——由美国国家标准技术研究院(NIST)与美国国家安全局联手设计的SHA—1(也被称为“白宫密码”)。
2004年,国际密码大会的会后总结中还很慌张:“我们该怎么办?MD5已经被重创了,不久之后它就会被淘汰,SHA—1虽然还在,但我们也看见了它的末日。”
当时美国还叫嚣:即使你有能耐破解了MD5密码,但是你肯定破解不了我们的SHA—1密码。王小云得知后微微一笑:那我便试试吧!随后便和团队又重新投入了计算之中。
2005年2月王小云、于红波和尹依群等人真的完成了SHA—1的破译工作。而就在一周前,美国国家标准技术研究院(NIST)还对外宣称:没有任何人能破解SHA—1密码,想不到打脸来得如此之快。
2月15日,五位世界顶级密码学家,在美国洛杉矶召开的万人RSA年会上向世界介绍了,以王小云为首的三位中国研究人员关于SHA—1密码的破译结果。
在场的人都惊呆了,这才几个月啊,又一套我们认为坚不可摧的密码系统,被中国人破解了?这怎么可能?为了打消大家的疑问,主办方特意请王小云来简单讲述一下,他们团队的破译方法。
王小云说:我们在进行破译工作时,采用MD5密码的破译技术,成功解决了SHA—1差分分析中的一种不可能差分问题——这可是SHA类算法分析技术的难点和瓶颈,无数想要破解SHA—1的人都“死”在了这一步;他们还成功解决了难以确定的满足碰撞路线的明文条件以及明文修改技术。
会议结束后,SHA—1被破译的消息传遍了世界,就连美国的《华尔街日报》、“科学”杂志上也为这次年会做了专门报道,刊登了大篇幅的版面。美国《新科学家》杂志还用“崩溃!密码学的危机”作标题,来说明王小云所取得的成果。
因此,NIST不得不宣布:撤出MD5密码,于2010年逐步撤出SHA—1密码标准,继续研究更长、更安全的Hash函数算法来填补空位,就连著名的微软、SUM几家知名公司也纷纷发表自己的应对之策。
可以说,王小云凭一己之力改变了美国密码系统。王小云凭借这一项研究成果,进入北美任何一所包括斯坦福大学、普林斯顿大学在内的顶尖大学的计算机科学系,当正教授都是没问题的。不过王小云怎么可能会去呢。
不就是SHA—1密码在理论上能被破译吗?为什么美国会如此惊慌失措?要知道,在密码学界,若是能用理论证明的事,就是百分之百会发生的。
比如,王小云利用某种分析方法真的算出了MD5密码的bug,这种密码系统也就有了缺陷,没有哪个国家敢用了,国民财产、国防安全这些一旦被泄露出去,后果是不堪设想的,毕竟电子签名一旦能被伪造,就会给国民乃至整个国家带来巨大的安全隐患。
最重要的是,有密码学家按照王小云提供的MD5碰撞路线,真的伪造出了符合X.509标准的数字证书,这也就表示MD5的破译不仅仅是理论结果,而是真的有可能会导致实际攻击。虽然SHA—1密码还没有找到碰撞实例,但只要拿个超级电脑运行几年,势必是能找到碰撞实例的。
也怪不得,美国如此火急火燎地非得撤回MD5密码,逐步撤回SHA—1密码。
王小云和她的团队做出了巨大的贡献,公布如此重大的科研成果,增强了中国人在信息安全领域的话语权。国际信息安全业界在重新制定取代MD5的加密标准时,需要听取大陆的意见,否则新制定的标准就很可能是不安全的。
原因很简单:大陆专家掌握破解方法,也知道MD5的缺陷在哪里。如果我们克服这些缺陷制定出更完善的标准,并在此标准上研发出更加安全的核心技术,那么我们将在市场上获得巨大的收益。
这也为中国企业提供了捷足先登取得该成果的机会,与有关研究机构开展合作,开发下一代安全产品,提高大陆的信息安全产品的研发能力和国际竞争力,这些能力对于大陆提高知识产权的能力至关重要。
相关研究成果推向市场后取得经济回报,反过来,又能从经济上带动科研的发展。当今信息时代,有少数国家妄图通过其技术优势搞信息霸权,对包括中国在内的大多数国家形成威胁。
王小云宣布对MD5的破解,向世界宣告中国密码技术研究又取得重大突破,大陆的密码学研究在向更高领域迈进,任何国家和企业都不要忽视中国科学家的研发实力,王小云的密码破解挑战了美国的信息霸权,符合信息安全积极防御的观念。
说起来,美国人应该感谢我们!要是有个不法分子找到了这bug,只怕美国所有不可告人的秘密,都会在世界网站被全世界看得一清二楚。
毕竟MD5算法,在国内外,尤其是美国,正被广泛应用于军事、金融、政府机构、电子商务等领域,现在还没有人利用MD5算法的缺陷进行不法攻击。
王小云教授适时地公布这一研究成果,留给MD5算法安全卸下其历史使命以足够的时间和空间,也就是说,避免了因为MD5算法的缺陷在全球范围内带来的损失,乃至灾难性后果,从这个角度上讲,MD5的破解有着非凡的现实意义。
这王小云究竟是何许人也?她是毕业于哪所高校,是哪位名师所教呢?然而,让大家想象不到的是,王小云没有任何出国留学和工作的经历。
一个没接受过国外教育、不了解国外密码的人,是如何想出办法破解这些密码的?很多国际顶尖密码学家,花费了几十年也没做到的事,王小云居然花了不到二十年就完成了!
王小云,1966年8月出生于山东省潍坊市诸城市的一个农村家庭。在父亲的影响下,她从小便喜欢钻研数理化难题。她的母亲没有多大文化,但是她开明、豁达的品格却影响了王小云一生。
1983年,王小云考入山东大学数学系,1987年王小云从山东大学数学系毕业。1990年王小云跟随大陆著名数学家潘承洞教授,开始在山东大学攻读数学理论与密码学专业博士。要知道,潘教授之前可从来没有收过“女弟子”,可见当时王小云的数学能力有多优秀!
1993年,王小云留在了山东的大学任教,在导师潘教授的指导下改攻“密码学”,在往后的几年内,王小云取得了多项突破性进展,不仅获得了众多项目的资助,还获得了部级科技进步奖一项。
之后,王小云当上了教授,便开始一边带研究生,一边破解算法的旅途——HAVAL-128算法、RIPEMD算法、SHA-0加密算法。
就是在破解一系列国际密码算法,包括MD5密码的10年间,王小云不仅抱大了女儿,还养了一屋子的花。为了方便照顾孩子,夫妻二人花光了所有积蓄,购买了激光打印机、计算机、扫描仪等重要工具,在家中搭建了个简易的工作室。
王小云说:“我的科研灵感就是从抱孩子、做家务、养花中激发出来的。”说来也好笑,美国人大放厥词不可能被破解的密码,却被王小云在家抱孩子时破解出来了。
2006年9月16日,中国科协和求是基金会,在中国科协年会的开幕式上颁奖。诺贝尔奖获得者杨振宁教授也是特地走上颁奖台,只为了给一个人颁奖,她就是山东大学特聘教授王小云,也就是那个在国际大会上狠狠打了美国脸的人。
早在2004年,由于王小云的出色表现,杨振宁先生和姚期智共同决定,由姚期智向王小云发出邀请,来清华大学做一期学术报告,后来,聂华桐向王小云表达了杨振宁邀请她来清华大学工作的想法。
而不久,国际著名的密码学家多贝廷也向王小云发出到德国波鸿大学工作的邀请;随后杨振宁访问山东大学时,他刚下飞机的第一时间,就向山东大学校长提出:邀请王小云到清华大学工作的建议。就这样,2005年王小云被清华大学聘请为杨振宁讲座教授。
2016年8月30日至9月1日,在美丽的银川,中国密码界一场重要的学术研讨会进行中。这次学术研讨会,是由中国密码学会密码数学理论专业委员会、清华大学和宁夏大学联合举办的,名叫“中国密码学会密码数学理论专委会2016年学术研讨会”。
王小云主持了此次银川研讨会的开幕式,王小云还和另外几人——林东岱研究员、吴文玲研究员和戚文峰教授主持了本次学术研讨,共有8位国内外专家就密码数学领域的热点问题进行了专题报告。
这次研讨会举办得非常成功!为大陆密码数学理论研究的众多人才,提供了良好的学术交流平台,大家在会议上与国外专家的思维碰撞,还为大陆密码数学理论研究提供了新思想、新思维和新思路,同时增进了与会者之间的了解和友谊。
2017年,刚过50的王小云当选中科院院士,两年后,“未来科学家”大奖揭晓,王小云成为自开奖以来唯一的女性获奖者,并获得100万美元的奖金,折合人民币711万元,有了这些奖金,王小云的科研经费更加宽裕了。
王小云说,自己毕生的梦想就是和大家一起构筑好祖国的密码防御体系,有了像王小云这样的人才,才能让世界密码跟在中国后面跑,才能让我们国家在看不见的领域更加安全,让人民的幸福生活更有保障。
笔者认为,没有任何留学和海外工作背景的王小云,能成功破译美国的顶级密码,说明大陆有这样的尖端人才,同时也说明大陆的举国教育体制,在某些方面还是有优势的。世界是开放的,科学是无国界的,我们科技界在与世界接轨的同时,要结合具体国情,打造一个属于自己特色的人才培养体系。
参考文献:
新华每日电讯:密码学家王小云:十年破解MD5和SHA-1两大国际密码
光明日报:“另类”王小云:破译百万年难解密码的她,却独爱养花做家务