王小云,1966 年生,清华大学教授。
记者 姜天海综合报道
2004年8月,美国加州圣芭芭拉,代表国际密码领域最高学术水平的国际密码学会议如约而至。
一位名不见经传的38岁中国女教授并没有论文录用,却带着自己近十年的研究成果找到大会主席、国际顶级密码学家Hughes,提出做报告的要求。通常此类发言的时间控制在两三分钟,但Hughes却破例为她安排了15分钟。
15分钟,足以震惊整个密码学界。
她宣读的科研成果,囊括了对MD5、HAVAL-128、MD4和RIPEMD四个著名国际哈希(hash)函数密码算法的破解结果。使用她的方法,普通计算机仅运算一个多小时,就破解了国际密码标准MD5。
报告一度被掌声中断,很多学者激动得站起来鼓掌。会后,现代密码学奠基人图灵奖获得者Shamir、Rivest等与会代表纷纷向她表示祝贺。她的名字,开始逐渐出现在国际密码学领域各类人物排行榜的前列。
她就是土生土长的中国学者——王小云。
十年蛰伏,破解国际密码标准
王小云的科研成果,标志着MD5——这个固若金汤的国际通用密码标准轰然崩塌。
“虽然我不愿看到MD5倒下,但人们必须尊重真理。”作为MD5算法的设计者,图灵奖得主Rivest表达了这样的心情。
著名密码学家Biham在会后与王小云交流时表示,“你知道吗?破解MD5是我一生的梦想。你成功了,你赢了,这就是游戏规则。”
此次的会议总结报告甚至写道:“我们该怎么办?MD5遭到重创,它即将从应用中淘汰。SHA-1虽然还在,但也看到了它的末日。现在就得开始更换SHA-1了。”
事实上,在MD5被破解后,国际密码学界仍然不愿意相信SHA-1已经岌岌可危。
2005年2月7日,美国国家标准技术研究院申明SHA-1没有被攻破,而且也没有足够的理由怀疑它很快会被攻破,研发人员应该在2010年前转向更安全的SHA-256和SHA-512算法。
但仅仅一周之后,王小云就宣布成功破解了国际广泛应用与部署的SHA-1。换句话说,她的研究成果标志着电子签名可以伪造,也表明更换更加安全的密码标准迫在眉睫。
两大标准算法MD5和SHA-1的破解,震惊了世界密码学界。
为此,NIST专门举办两次研讨会,以应对哈希函数的安全现状,并宣布2010年撤出SHA-1的众多应用。
图灵奖得主Shamir评论道:“我认为SHA-1的攻击将引起轩然大波……无论如何这动摇了我们对电子签名安全的信心。”
的确,正是这位默默无闻的巾帼英雄,最终实现了不可思议的密码破解,极大提升了中国在国际密码研究领域的话语权与主导力。
潜心科研,密码学为一生挚爱
王小云,毕业于山东大学数学系,师从著名数学家潘承洞院士、于秀源教授,有着传统中国女性的稳重端庄,也有着密码学研究者的坚韧和自信。
1983~1993年,从数学系学士学位到数论与密码学专业博士学位,王小云在山东大学做了十年的“土著”。毕业后,她婉拒了导师介绍的高薪企业,在一张小书桌前开始了自己在山大的任教生涯。
没有科研经费,也没有独立办公室,王小云用家里所有的存款买了一台计算机和打印机。1995年,她开始专门研究哈希函数。经过十年的艰苦研究,成功攻克了国际标准MD5和SHA-1哈希密码算法。
“大家都要学习王小云那种十年磨一剑的精神。”中国密码领域老专家经常用王小云的经历教育和勉励从事密码研究的年轻人。
默默无闻,从不急功近利,是同行对她的评价。她绝对不主张发表没有新思想、新进展的论文,也对一些耽误科研的荣誉或应酬“不上心”。在成功前的十年磨砺中,她从未发表过该领域的任何论文,只为潜心攻破世界密码难题,为众多密码系统保驾护航。
在王小云看来,如何创建密码分析的新理论和新方法,在敌手发动攻击之前成功破解已被广泛应用的国际密码标准,是国际密码学家共同面临的责任与挑战。
“密码理论与技术是网络安全的核心,网络安全离不开密码,以密码技术为基础支撑。密码学家的使命就是为保护网络与信息安全提供安全高效的密码算法。”王小云表示。
因此,“密码学家的主要职责一方面是设计出安全高效的算法;另一方面是分析正在使用的密码算法的安全性,一旦发现漏洞,立即设计新的能够抵制最新攻击的密码算法。”她说,密码学的发展正是这样编破对抗、循环往复、不断发展的。
纵观现代密码学的发展历程,不难发现密码算法标准被破解的实例鲜有发生。
MD5与SHA-1被破解的初期,很多业界人士认为这种攻击仅局限于理论破解,没有造成实际冲击;也有人认为哈希函数不作为加密使用,只是用于网络通信中的身份认证和保护文件完整性的算法,即使破解,也没有太大影响。
然而,2011年,基于王小云的建议,著名数学家Lenstra等人成功伪造了符合国际标准X.509的数字证书,并顺利通过浏览器的认证,这一攻击将众多基于MD5数字证书的密码系统陷于危险的境地。随后卡巴斯基实验室宣布发现的高度复杂的恶意病毒Flame,其核心技术也是基于MD5的攻击技术。
这一系列攻击彻底改变了密码及相关领域专家对密码算法攻击的认识,随着这种认识水平的提高,密码系统的安全防护意识也得到了大幅提升。
MD5、SHA-1等破解成果引发了哈希函数分析与设计的研究热潮,其分析理论也被应用到消息认证码、分组加密等其它重要密码领域,几乎每一届国际权威密码会的报告中都会有人提到“王的破解工作”。
目前,SHA-1还没有像MD5一样,达到对实际应用攻击的直接冲击,因此很多密码研究人员梦想把王小云提出的对SHA-1的破解进行再度提升并转为实际攻击,他们利用当前先进的高性能并行计算设备进行搜索,经历了艰难的探索过程。时至今日,却依然难以超越王小云给出的破解。
很多学者由此感慨:当时王小云在破解SHA-1时,并没有我们这么先进的计算环境,只凭借一台普通的笔记本电脑,却得到了这么好的结果,其根本在于她对密码算法的一种特殊直觉。
“发现并解决与密码算法安全性密切相关的数学问题才是破解密码体制的关键。” 王小云本人也承认。
砥砺前行,实现中国“密码梦”
2005年起,鉴于SHA-1的攻击,NIST就开始探讨向全球密码学者征集新的哈希函数算法标准的可行性,并于2007年启动了新哈希函数五年设计工程。如果设计的算法被采纳为国际标准,那将是密码学家的最高殊荣。
国际密码学界都将目光瞄准王小云的候选算法。然而,她却毅然放弃了这次难得机会,全力带领国内专家为我国设计了第一个哈希函数算法标准SM3。
SM3自2010年公布以来,经过国内外密码专家的评估,其安全性得到高度认可。该算法获国家发明专利1项,并被纳入我国20多个行业规范中,经国家密码管理局审批的含SM3的密码产品达640余款,其中200余款销售总额达57亿元,包含金融社保卡、新一代银行芯片卡与智能电表等相关产品已在全国广泛使用。
近年来,王小云将她多年积累的密码分析理论的优秀成果深入应用到密码系统的设计中,先后设计了多个密码算法与系统,为国家密码重大需求解决了实际问题,为保护国家重要领域和重大信息系统安全发挥了极大作用。
习近平总书记指出:“没有网络安全就没有国家安全”。为了深入研究密码理论应用技术,王小云意识到,随着量子技术的发展,一些传统的密码算法会因量子计算机的出现而受到攻击。
因此,近年来,她继续挑战自我,带领团队在国内率先启动了可以抵制量子计算机攻击的格密码算法研究。该类算法的研究需要深厚的经典数学理论基础和高超的算法分析技术,但王小云仍然毅然决然地带领团队转向了这个新的方向,并已取得了重要的研究进展。
如今,王小云仍然工作在第一线,每天到办公室跟学生研讨问题已成为她的一个习惯。以后的路会很长,但她并不感觉孤单,对她而言,密码研究是兴趣与社会责任的完美结合,亦是她生活的重要组成部分。■
(责编:倪伟波)
