［本站讯］3月15日，美国《华尔街日报》在头版刊登了该报报记者查尔斯.方莱尔（Charles Forelle）采写的专题报道，介绍了我校王小云教授的有关科研成果。转载如下：
    
    网络安全问题已经令人们十分担心，最近，在广泛应用于网络加密技术的SHA-1上发现的漏洞，又为政府机构和计算机密码专家们亮起了一盏红灯。
    多年来，网站运营者一直用“hash 函数”这项技术把在线传送的数据打乱，如信用卡信息、社会保险号和其他的一些敏感数据。对于每天在Internet上进行的上百万的交易，hash函数都在发生着作用。这个系统，即一个算法，或者说是数学公式，曾被认为是不可攻破的。
    但是上个月，来自中国华东地区山东大学的一个研究小组发布了一篇文章的草稿。文章显示，一个用于最先进加密技术的hash函数密钥并不像想象的那样能够抵御攻击。
    Hash函数给文档或数据产生数字指纹。有了这些指纹，hash的唯一性使hash函数成为信息身份认证的强有力的工具。
    但是中国研究小组人员在研究函数SHA-1时，发现不同的数据能够产生相同的hash值，并且用他们的方法找到相同hash值的效率非常之高，大大超过了专家的设想。SHA-1是由美国标准技术局（NIST）颁布的国家标准，被政府部门和私营业主用来处理敏感的信息。人们认为这是一种应用最为广泛的hash函数算法，也是目前最先进的加密技术。
    密码学家认为,目前利用新发现的漏洞进行恶意的破坏还不太实际，即便是应用大量的计算能力也是如此。Hash函数算法通常与其他的密码技术混合使用，还没有显示出任何漏洞。如果有人要研究新发现的漏洞的应用，最直接的威胁来自设计“认证”那部分的应用。在理论上，黑客可以构建一个同真实的网站具有相同的安全证书的虚假网站——然后，他就可以窃取那些毫无疑心的用户的信息了。
    尽管距离滥用的机会还比较遥远，但这项发现给计算机安全工业敲响了警钟，因为它推翻了关于流行算法的根深蒂固的信念。“我们有些焦头烂额了，”Jon Callas是加利福尼亚州PGP公司的技术部主管，他说：“所有的一切都颠倒了”。PGP公司已经着手在公司的系统中替换SHA-1。
    另外一个安全系统供应商—位于麻省柏德福德的RSA安全公司—正将他们涉及SHA-1的产品列一个清单，打算在将来将其淘汰。（RSA公司生产安全ID卡，许多公司用来使自己的员工远程登录计算机网络）。国家标准技术局（NIST）建议，在新的应用中不要再使用SHA-1，并指示联邦部门做出计划，将SHA-1从现有的系统中剔除出去。
    中国的研究小组还没有发表关于SHA-1的论文，但是漏洞是“确实存在的”，Bruce Schneier（密码学家，Counterpane网络安全公司的技术主管）曾经看过论文的草稿，他说：“从学术的角度，他们的工作确实令人震惊！”
    中国的科学家“还没有引起骚动”，来自Johns Hopkins大学的计算机安全专家Avi Rubin说：“但那确实敲响了警钟！”
    这项发现紧跟在日前发现其他hash函数漏洞的研究之后，这时，一些不涉及hash函数的问题使得人们大大地提高了对信息安全的关注程度。
    最近对ChoicePoint公司和Reed Elsevier PLC’s LexisNexis数据中心的破坏，使得十万多美国人的个人数据暴露在黑客面前；本月初，一个设计的非常糟糕的在线系统使得一所商业学校的大量应聘者提前就看到了最后的意见书。
    Hash函数将一块数据（一个电子邮件或一个巨大的数据库文件）生成一个短的0，1串（对于SHA-1，共有160位），这可以起到指纹的作用，而且是唯一的指纹。无论如何都不能产生相同的hash值，并且只拥有hash值并不能推导出邮件或数据库的内容。这些属性使得hash函数非常适合作“认证”，确保那个你给它打入钱的网站确实属于你的开户银行或信用卡公司，而不是某个从事诈骗的造假者。以hash函数为基础的认证也是数字签名的核心，用于确认电子邮件发信人或文档作者的身份。
    两个不同的数据块产生相同的hash值，被称为一个“碰撞”，山东大学的科研小组找到了SHA-1的一个碰撞，其速度之快大大超过人们的设想。他们的工作目前还没有发现更加严重的漏洞，使得攻击者能为他们选择的数据复制相同的hash值。
    RSA公司分管科研的副主席Burt Kaliski说，“碰撞对于hash函数应用的影响并不大；但是，有这种可能，一个向你提供了hash签名的人，有可能暗中构造了另外一份与第一份碰撞的文件。因此，当你用电子签名签署第一份文件时，也同时签了第二份文件。
    令密码学家担心的是一系列hash函数存在的漏洞。在去年8月份的一个会议上，报告了针对MD5（用于保证计算机数据的完整性）和一些应用较少的hash函数的问题。同时，一位法国的研究人员对于应用两个hash函数比一个更安全这一普遍认同的观点大泼冷水。近期的研究发现，MD4（人们早就知道它存在的问题）的防御性能非常差；不需要高性能的计算机，用手算几遍就可以发现它的碰撞。一位捷克密码学家采用中国小组的方法，在普通的笔记本电脑上仅用了8个小时就找到了MD5的碰撞。
    Hash函数大概是人们目前了解最少的密码学函数。它们对一块数据进行数学运算，改变一些位的顺序，砍掉部分结果以保证固定的长度。“你把这些数据搅乱，希望一直不要停下来，”Schneier先生如是说。NIST建议增加SHA-1的变量以产生一个更长的hash值，这样寻找碰撞就更加困难。国家安全部官员说。SHA-1在目前还是安全的，但是应该在2010年被取代。
    Schneier先生和其他几位顶级密码学家相信，联邦机构和学者需要研究全新的不易被破解的hash函数。“整个hash家族都亮起了红灯”，Lucent技术公司贝尔实验室的Arjen K.Lenstra说：“我们不再相信它们了。”
    SHA-1基于MD5，而MD5 又基于MD4。SHA-1论文的第一作者王小云说，她的小组的方法“并不能直接应用于” 破解更长SHA系列的算法。而且，她在一封信中建议，找出“不同类型的运算。”这个小组的工作曾在一个著名的密码学会议上演示过，关于hash函数研究的论文虽然还没有公开发表，但是众多的专家已经审阅了草稿。
    专家声称，研究工作对于潜在的安全的网站技术尤其重要。例如，有个在线的银行网站，为一个网站浏览者提供认证的“证书”，然后浏览者能利用hashes将证书提交给第三方的证书库，以确信那个网站确实属于银行。
    Lenstra先生和他的同事曾用中国小组的方法产生了两个内容完全不同，但是具有相同hash值的证书——这真是不应该发生的事情，当然，这些证书不会用于真实的网站。]