主题:【文摘】山东大学王小云教授成功破解MD5 -- 懒厨
送交者: sm 于 September 05, 2004 09:44:03:
标 题: 密码学领域重大发现:山东大学王小云教授成功破解MD5(ZZ)
发信站: BBS 水木清华站 (Sat Sep 4 15:37:50 2004), 站内
2004-09-04 09:39 [本站讯]2004年8月17日的美国加州圣巴巴拉,正在召开的国际
密码学会议(Crypto’2004)安排了三场关于杂凑函数的特别报告。在国际著名密码学家
Eli Biham和Antoine Joux相继做了对SHA-1的分析与给出SHA-0的一个碰撞之后,来自山
东大学的王小云教授做了破译MD5、HAVAL-128、 MD4和RIPEMD算法的报告。在会场上,当
她公布了MD系列算法的破解结果之后,报告被激动的掌声打断。王小云教授的报告轰动了
全场,得到了与会专家的赞叹。报告结束时,与会者长时间热烈鼓掌,部分学者起立鼓掌
致敬,这在密码学会议上是少见的盛况。王小云教授的报告缘何引起如此大的反响?因为
她的研究成果作为密码学领域的重大发现宣告了固若金汤的世界通行密码标准MD5的堡垒
轰然倒塌,引发了密码学界的轩然大波。会议总结报告这样写道:“我们该怎么办?MD5
被重创了;它即将从应用中淘汰。SHA-1仍然活着,但也见到了它的末日。现在就得开始
更换SHA-1了。”
关键词:碰撞=漏洞=别人可以伪造和冒用数字签名。
Hash函数与数字签名(数字手印)
HASH函数,又称杂凑函数,是在信息安全领域有广泛和重要应用的密码算法,它有一种类
似于指纹的应用。在网络安全协议中,杂凑函数用来处理电子签名,将冗长的签名文件压
缩为一段独特的数字信息,像指纹鉴别身份一样保证原来数字签名文件的合法性和安全性
。在前面提到的SHA-1和MD5都是目前最常用的杂凑函数。经过这些算法的处理,原始信息
即使只更动一个字母,对应的压缩信息也会变为截然不同的“指纹”,这就保证了经过处
理信息的唯一性。为电子商务等提供了数字认证的可能性。
安全的杂凑函数在设计时必须满足两个要求:其一是寻找两个输入得到相同的输出值在计
算上是不可行的,这就是我们通常所说的抗碰撞的;其二是找一个输入,能得到给定的输
出在计算上是不可行的,即不可从结果推导出它的初始状态。现在使用的重要计算机安全
协议,如SSL,PGP都用杂凑函数来进行签名,一旦找到两个文件可以产生相同的压缩值,
就可以伪造签名,给网络安全领域带来巨大隐患。
MD5就是这样一个在国内外有着广泛的应用的杂凑函数算法,它曾一度被认为是非常安全
的。然而,王小云教授发现,可以很快的找到MD5的“碰撞”,就是两个文件可以产生相
同的“指纹”。这意味着,当你在网络上使用电子签名签署一份合同后,还可能找到另外
一份具有相同签名但内容迥异的合同,这样两份合同的真伪性便无从辨别。王小云教授的
研究成果证实了利用MD5算法的碰撞可以严重威胁信息系统安全,这一发现使目前电子签
名的法律效力和技术体系受到挑战。因此,业界专家普林斯顿计算机教授Edward Felten
等强烈呼吁信息系统的设计者尽快更换签名算法,而且他们强调这是一个需要立即解决的
问题。
国际讲坛 王氏发现艳惊四座
面对Hash函数领域取得的重大研究进展,Crypto 2004 会议总主席StorageTek高级研究员
Jim Hughes 17 日早晨表示,此消息太重要了,因此他已筹办该会成立24年来的首次网络
广播(Webcast )。Hughes在会议上宣布:“会中将提出三份探讨杂凑碰撞(hash
collisions
)重要的研究报告。”其中一份是王小云等几位中国研究人员的研究发现。17日晚,王小
云教授在会上把他们的研究成果做了宣读。这篇由王小云、冯登国、来学嘉、于红波四人
共同完成的文章,囊括了对MD5、HAVAL-128、 MD4和RIPEMD四个著名HASH算法的破译结果
。在王小云教授仅公布到他们的第三个惊人成果的时候,会场上已经是掌声四起,报告不
得不一度中断。报告结束后,所有与会专家对他们的突出工作报以长时的热烈掌声,有些
学者甚至起立鼓掌以示他们的祝贺和敬佩。当人们掌声渐息,来学嘉教授又对文章进行了
一点颇有趣味的补充说明。由于版本问题,作者在提交会议论文时使用的一组常数和先行
标准不同;在会议发现这一问题之后,王小云教授立即改变了那个常数,在很短的时间内
就完成了新的数据分析,这段有惊无险的小插曲倒更加证明了他们论文的信服力,攻击方
法的有效性,反而凸显了研究工作的成功。
会议结束时,很多专家围拢到王小云教授身边,既有简短的探讨,又有由衷的祝贺,褒誉
之词不绝。包含公钥密码的主要创始人R. L. Rivest和A. Shamir在内的世界顶级的密码
学专家也上前表示他们的欣喜和祝贺。
国际密码学专家对王小云教授等人的论文给予高度评价。
MD5的设计者,同时也是国际著名的公钥加密算法标准RSA的第一设计者R.Rivest在邮件
中写道:“这些结果无疑给人非常深刻的印象,她应当得到我最热烈的祝贺,当然,我并
不希望看到MD5就这样倒下,但人必须尊崇真理。”
Francois Grieu这样说:“王小云、冯登国、来学嘉和于红波的最新成果表明他们已经成
功破译了MD4、MD5、HAVAL-128、RIPEMD-128。并且有望以更低的复杂度完成对SHA-0的攻
击。一些初步的问题已经解决。他们赢得了非常热烈的掌声。”
另一位专家Greg Rose如此评价:“我刚刚听了Joux和王小云的报告,王所使用的技术能
在任何初始值下用2^40次hash运算找出SHA-0的碰撞。她在报告中对四种HASH函数都给出
了碰撞,她赢得了长时间的起立喝彩,(这在我印象中还是第一次)。…… 她是当今密
码学界的巾帼英雄。……(王小云教授的工作)技术虽然没有公开,但结果是无庸质疑的
,这种技术确实存在。…… 我坐在Ron Rivest前面,我听到他评论道:‘我们不得不做
很多的重新思考了。’”
石破惊天 MD5堡垒轰然倒塌
一石击起千层浪,MD5的破译引起了密码学界的激烈反响。专家称这是密码学界近年来“
最具实质性的研究进展”,各个密码学相关网站竞相报导这一惊人突破。
MD5破解专项网站关闭
MD5破解工程权威网站http://www.md5crk.com/ 是为了公开征集专门针对MD5的攻击而设
立的,网站于2004年8月17日宣布:“中国研究人员发现了完整MD5算法的碰撞;Wang,
Feng, Lai与Yu公布了MD5、MD4、HAVAL-128、RIPEMD-128几个 Hash函数的碰撞。这是近
年来密码学领域最具实质性的研究进展。使用他们的技术,在数个小时内就可以找到MD5
碰撞。……由于这个里程碑式的发现,MD5CRK项目将在随后48小时内结束”。
对此,http://www.readyresponse.org主页专门转载了该报道http://www.aspenleaf.com
/distributed/distrib-recent.html和几个其它网站也进行了报道。
权威网站相继发表评论或者报告这一重大研究成果
经过统计,在论文发布两周之内,已经有近400个网站发布、引用和评论了这一成果。国
内的许多新闻网站也以“演算法安全加密功能露出破绽 密码学界一片哗然”为题报道了
这一密码学界的重大事件。(报导见http://www.technewsworld.com/perl/board/mboard
.pl?board=lnitalkback&thread=895&id=896&display=1&tview=expanded&mview=flat,该
消息在各新闻网站上多次转载。)
东方神韵 MD5终结者来自中国
MD5破解工作的主要成员王小云教授是一个瘦弱、矜持的女子,厚厚的镜片透射出双眸中
数学的灵光。她于1990年在山东大学师从著名数学家潘承洞教授攻读数论与密码学专业博
士,在潘先生、于秀源、展涛等多位著名教授的悉心指导下,她成功将数论知识应用到密
码学中,取得了很多突出成果,先后获得863项目资助和国家自然科学基金项目资助,并
且获得部级科技进步奖一项,撰写论文二十多篇。王小云教授从上世纪90年代末开始进行
HASH函数的研究,她所带领的于红波、王美琴、孙秋梅、冯骐等组成的密码研究小组,同
中科院冯登国教授,上海交大来学嘉等知名学者密切协作,经过长期坚持不懈的努力,找
到了破解HASH函数的关键技术,成功的破解了MD5和其它几个HASH函数。
近年来她的工作得到了山东大学和数学院领导的大力支持,特别投资建设了信息安全实验
室。山东大学校长展涛教授高度重视王小云教授突出的科研成果。 2004年6月山东大学领
导听取王小云教授的工作介绍后,展涛校长亲自签发邀请函邀请国内知名信息安全专家参
加2004年7月在威海举办的“山东大学信息安全研究学术研讨会”,数学院院长刘建亚教
授组织和主持了会议,会上王小云教授公布了MD5等算法的一系列研究成果,专家们对她
的研究成果给予了充分的肯定,对其坚持不懈的科研态度大加赞扬。一位院士说,她的研
究水平绝对不比国际上的差。这位院士的结论在时隔一个月之后的国际密码会上得到了验
证,国外专家如此强烈的反响表明,我们的工作可以说不但不比国际上的差,而且是在破
解HASH函数方面已领先一步。加拿大CertainKey公司早前宣布将给予发现MD5算法第一个
碰撞人员一定的奖励,CertainKey的初衷是利用并行计算机通过生日攻击来寻找碰撞,而
王小云教授等的攻击相对生日攻击需要更少的计算时间。
数字认证 你的未来不是梦
由于MD5的破译,引发了关于MD5产品是否还能够使用的大辩论。在麻省理工大学Jeffrey
I. Schiller教授主持的个人论坛上,许多密码学家在标题为“Bad day at the hash
function
factory”的辩论中发表了具有价值的意见(http://jis.mit.edu/pipermail/saag/2004q
3/000913.html)。这次国际密码学会议的总主席Jimes Hughes发表评论说“我相信这(
破解MD5)是真的,并且如果碰撞存在,HMAC也就不再是安全的了,…… 我认为我们应该
抛开MD5了。” Hughes建议,程序设计人员最好开始舍弃MD5。他说:“既然现在这种算
法的弱点已暴露出来,在有效的攻击发动之前,现在是撤离的时机。”
同样,在普林斯顿大学教授Edwards
Felton的个人网站(http://www.freedom-to-tinker.com/archives/000664.html)上,
也有类似的评论。他说:“留给我们的是什么呢?MD5已经受了重伤;它的应用就要淘汰
。SHA-1仍然活着,但也不会很长,必须立即更换SHA-1,但是选用什么样的算法,这需要
在密码研究人员达到共识。”
密码学家Markku-Juhani称“这是HASH函数分析领域激动人心的时刻。(http://www.tcs.
hut.fi/~mjos/md5/)”
而著名计算机公司SUN的LINUIX专家Val Henson则说:“以前我们说"SHA-1可以放心用,
其他的不是不安全就是未知", 现在我们只能这么总结了:"SHA-1不安全,其他的都完了
"。
针对王小云教授等破译的以MD5为代表的Hash函数算法的报告,美国国家技术与标准局(N
IST)于2004年8月24日发表专门评论,评论的主要内容为:“在最近的国际密码学会议(
Crypto
2004)上,研究人员宣布他们发现了破解数种HASH算法的方法,其中包括MD4,MD5,HAVA
L-128,RIPEMD还有
SHA-0。分析表明,于1994年替代SHA-0成为联邦信息处理标准的SHA-1的减弱条件的变种
算法能够被破解;但完整的SHA-1并没有被破解,也没有找到SHA-1的碰撞。研究结果说明
SHA-1的安全性暂时没有问题,但随着技术的发展,技术与标准局计划在2010年之前逐步
淘汰SHA-1,换用其他更长更安全的算法(如SHA-224、SHA-256、SHA-384和SHA-512)来
替代。”
详细评论见:http://csrc.nist.gov/hash_standards_comments.pdf
2004年8月28日,十届全国人大常委会第十一次会议表决通过了电子签名法。这部法律规
定,可靠的电子签名与手写签名或者盖章具有同等的法律效力。电子签名法的通过,标志
着我国首部“真正意义上的信息化法律”已正式诞生,将于2005年4月1日起施行。专家认
为,这部法律将对我国电子商务、电子政务的发展起到极其重要的促进作用。王小云教授
的发现无异于发现了信息化天空的一个惊人黑洞。我们期待着王小云教授和她的团队能够
成就“女娲补天”的壮举,为人类的信息化之路保驾护航。
这下够大家忙一阵的. 不过也没什么可做的.
能够取代MD5它们的还没, 大家就裸奔吧.算
法还是要保密啊. 王下一步研究加密技术吧,
加密可以公开挣钱, 破密只能偷偷挣钱.
even this is not true. wang cannot do this: given A, find a B so that
H(B) = H(A).
she can do: find A and B such that H(A) = H(B).
this collision business is more related to data integrity than encryption
cracking .
: Wang can do this: Hi, my password is A, my hashing result is C, can you login
: using another password other than A? Yes, Wang gets B, which results in the
: same hashing result
: But if Wang only knows the hashing result is C, she can not produce either A
: or B .
HASH只是用来做MAC check的,就好像一封证明信的结尾盖章,“以上内容属实”
王教授攻破简单MD5 HASH的确是一件大事,但离攻破SSL还有很长路要走。第一阶段key
exchange也不是MD5来做。第一阶段key exchange可以是RSA encryption,
或者diffie-hellman exchange. MD5
都没有起决定性作用。你必须攻破RSA或者Diffie-Hellman才能攻破第一阶段key
exchange,当然,第二阶段就掌中之物了。
还有,现在如IPsec之类都用HMAC-MD5,又比simple MD5难很多
【 在 szf (穗 之 风) 的大作中提到: 】
: 具体不知道,也不可能知道.就象发现Windows漏洞的人只会大致描述.
: 我对这个问题也只是一知半解.在HTTPS里面有两个阶段,不对称加密用于密匙交换,对称
加
: 密用于信息交换,e.g. web page.MD5是第一阶段可选方法之一.
: 如楼下所说,hash本身就不是用来加密明文的.但是王小云教授的成果让人似乎看到了攻
破
: 第一阶段的可能,如果第一阶段攻破,第二阶段形同虚设,因为钥匙到手了.
: 王小云教授的论文有两点很有意义:
: 1)方法不是基于生日攻击,可以从任意初始值出发.
: 2)h(m1)=h(m2)在IBM 690要搞几个小时,但是从此出发h(m1,n1)=h(m2,n2)只要几秒.
: 所以王小云教授的方法不是象以前一般的做法:通过大规模分布,分而治之.而是有规律
可
: 循.
: 以王小云教授的背景,可能是发现了数论里面的一些东西.具体的东西她不说,说了我这
个
: 门外汉也不懂.我只是在想,难道我们站在了解决N-P完全问题的门口上?如果是这样,计
算
: 机科学可能会有一个本质的突破.
MD5与SHA-1不但是SSL等protocol的重要key exchange部分,更重要的是digital signature的standard。
试想有多少文件已经用了这些方法加密?整个Internet的integrity和security - certificate、PKI都有可能被动摇,这是很恐怖的事情。
多谢懒厨转此文,版主有眼光。
首先说一下MD5是个什么东西,比较常见的定义是:
MD5 was developed by Professor Ronald L. Rivest of MIT. The MD5 algorithm takes as input a message of arbitrary length and produces as output a 128-bit "fingerprint" or "message digest" of the input. It is conjectured that it is computationally infeasible to produce two messages having the same message digest, or to produce any message having a given prespecified target message digest. The MD5 algorithm is intended for digital signature applications, where a large file must be "compressed" in a secure manner before being encrypted with a private (secret) key under a public-key cryptosystem such as RSA.
In essence, MD5 is a way to verify data integrity, and is much more reliable than checksum and many other commonly used methods.
是不是MD5一旦有了破解,整个世界就开始动摇了呢?我感觉不是。因为MD5只是非对称加密中的一个环节,对于非对称加密的安全性有多大危害还不清楚。对于加密的另外一大分支--对称加密似乎没有什么影响。比如对于现在美国NIST推荐的AES(Advanced Encryption Standard)加密技术就没有什么威胁.
The Advanced Encryption Standard (AES) is a National Institute of Standards and Technology specification for the encryption of electronic data. It is expected to become the accepted means of encrypting digital information, including financial, telecommunications, and government data.
虽然实际上他们能造成多少破坏文中不清楚。这个要好好学习。
MD5/SHA1是RSA的技术,又用到所有certificate issuer如霸主Verisign(实际上是RSA的spin-off)的certificate上面。就算Verisign能改变新发的certificate(何况AES并不用于certificate standard)那已发的数以亿记的certificate(比如西西河的certificate)是无法改变了。
看了一下她的文章(呵呵,给我们女性长脸啊),没有细节,只有结果
这个我觉得说的有道理;
What the paper says is that they have attacked the "strong collision free"
property of hash function.
It is really a breakthrough, because "strong collision free" is one of the two
important properties of hash functions.
However, the "weak collision free" property hasn't been attacked yet.
This means they can't forge the digital signature of a given message,
they could only find two messages which produce the same hash values.
And these two messages would be mostly meaningless.
It is not a nightmare for the industries,
as it is not a direct threat to digital signatures,
at least by now.
But who knows
主导技术和主要的一些问题。提纲挈领,简明扼要就行!
rt
Bruce Schneier is an internationally renowned security technologist
and author. Recently he wrote an article about this subject:
关键不是现在是否值得紧张,而是这打开了MD5、SHA1的大门。
在安全系统来说这已经足够使MD5、SHA1面临被替换的命运了。RSA 40bit在90年代也以1百万美金的挑战屹立了一个decade,而普通的加密早已用128以上了。