无障碍链接

中国时间: 05:28 2016年12月06日星期二

华人学者谈山大新发现和密码安全

  • 何平

以山东大学王小云教授为首的中国计算机密码学研究组在旧金山举行的国际密码学年会上宣布,他们的研究找出了世界通行密码标准“第一代单项安全杂凑函数”的漏洞。中国科研人员在密码学界所做的这一突破,为国际信息安全领域提出挑战。

*找到隐患*

曾经在去年找出世界通行密码标准MD-5杂凑函数漏洞的山东大学王小云教授研究组在国际密码学年会上指出,第一代单项安全杂凑函数存在严重的安全隐患。中国研究组的报告引起国际密码学界的反响。

*缩短破译时间*

美国北卡罗来纳州立大学计算机软件信息系统系的郑玉良教授解释说,第一代单项安全杂凑函数、也就是SHA-1是信息安全系统中有广泛和重要应用的密码算法之一。它的作用不是加密信息,而是增加电子商务等行业认证文件的安全程度。

他说,中国研究组的理论性突破缩小了破译“第一代安全压缩法”的时间差,为中国网络安全领域的密码学建立了信誉。

*理论上可破译*

郑玉良教授说:“他们所做的是理论性的分析,从理论上证明了破译第一代安全压缩法的可能。专家们原来认为,要从理论上攻破这个算法需要用2的84次方的时间。而他们现在发现可以把这个时间减少大约两千倍,减少到2的69次方。这是个理论上的重大突破。”

他说,国际信息机安全领域的研究人员不断推出新的破译成果。从小到大、渐进突破。这项重大突破建立在行内多年的成果之上,同时也对研究和设计者们提出了新的挑战。”

*尚未影响现实生活*

美国克莱姆森大学数学系高绪红教授解释说,信息安全领域中的密码学有很多工具可以把网上签署的文件通过压缩程序变成数字信息。这些压缩后的密码一旦被破译出来,必将从应用中淘汰,市场上行销的各种电子签字产品也都要更新换代。

高绪红教授认为,这项理论性的突破缩短了“第一代安全压缩法”的保密期。他说:“现在我想还没有直接影响到现实生活。只是各界有些恐慌。它真正对现实的影响有多大、有些人不太了解。所以一听到这个消息先恐慌。实际上要真正破译还要相当的一段时间。”

*信息安全系统不会受冲击*

加州大学伯克利分校商业管理系教授吴嘉辉同意与会一些专家的看法。这就是尽管第一代安全压缩法的漏洞已被发现,但是信息安全系统在一段时期之内应该不会受到冲击。

吴嘉辉教授说:“第一代单项安全杂凑函数是数据签名中所用的第一个步骤。它不仅是认证过程中多种步骤之一,而且到目前为止,还没有破译出这个密码,只是找出了密码的漏洞。如果看看信息技术工业对此消息的反应就可以了解,在目前情况下这不是个大问题。”

*不应恐慌*

美国密码研究公司技术部副总裁本杰明·张表示,中国学者的研究结果提醒我们在实施电子签名时应万分慎重。但它不应该造成信息工业界的恐慌。

本杰明·张说:“几位中国研究人员发表的研究结果显示,第一代单项安全杂凑函数并不像我们预先想象得那样牢不可破。但目前看来,这项突破还不至于对信息安全系统造成重大问题。目前还不需要改变信息安全系统的运作,但是我们会非常关注下一步的研究结果。”

*攻守兼备*

计算机软件信息系统系的郑玉良教授说,国际信息安全领域有两大课题。一个是设计更完善的密码系统,另一个则是攻破现有的密码系统。为了防止不法分子钻空子,各国政府机构以及科研单位不断发表新的科研结果,以完善信息安全系统。

郑玉良教授说,就像造房子一样。一方面要设计房屋,另一方面要检验房屋的强度。如发现有设计不当的地方,可以立即加固。

郑玉良教授说:“我觉得大家现在没必要惊慌。因为现在的破译计算时间仍然是2的69次方。这是个相当大的计算量。如果有一百万台快速计算机,要花几十年的时间才能实际破译这一算法。我们有足够的时间设计下一阶段的安保系统。”

*安全意识为关键*

加州大学伯克利分校商业管理系教授吴嘉辉认为,任何一把好锁都会有人发明出相应的钥匙把它打开。目前的问题在于很多人根本不做任何防范。

吴嘉辉教授说:“事实上、从商业的角度来看,我认为,更重要的问题不在于怎样用数学和技术的方法找出杂凑函数的漏洞,而是很多拥有电脑的人根本不对电脑病毒采取任何防范措施。这就好像把家里的信箱锁得很严,却不锁大门一样。信息安全领域的关键问题在于培养人们的安全意识。”

XS
SM
MD
LG