“密码学家王小云：十年破解MD5和SHA”

本篇文章3987字，读完约10分钟

王小云在2019未来科学大奖颁奖典礼上。 本报记者李牧鸣摄

2019年11月17日，戴着精致短发金边眼镜的王小云进入“未来科学大奖周”的报告大厅，开始用朴素的山东口音和她讲述密码的过去。

中国民间发起的“未来科学大奖”迎来了女性首位获奖者今年53岁的清华大学高等研究院杨振宁讲座教授王小云。 她因“密码学中的独创贡献，她的创新密码分解方法揭示了被广泛采用的密码散列函数的弱点，促进了下一代密码散列函数标准”，获得了“数学和计算机科学奖”。

解读两种大的国际密码算法

偶然看到的注释使吴彦冰决定跟着王小云读博士。

5年前，四川大学新闻安全专业的本科生吴彦冰在阅览被认为是世界第一黑客的凯文·米特尼克所着的《欺诈艺术》时，发现复印件里有中国人的名字。 这是“md5被王小云教授解读了”的注释。

知道这个注释背后的故事后，吴彦冰被密码学深深地吸引了。 毕业前，他决定给王小云发邮件，探索密码学这个迷人的世界。 现在他从王小云，走过密码世界。

时间回到2004年，对国际密码学界来说，这注定是罕见的一年。

今年8月，在加利福尼亚州圣巴巴拉举行的国际密码大会上，王小云宣读了自己和研究小组对md4、md5、haval-128、ripemd四种国际著名密码算法的解读结果。

这被认为是2004年密码学界最突破的结果，可以说是学术界的强烈地震。 在当年国际密码大会的总结报告中，他说:“我该怎么办？ md5受了重伤，它不久将从应用中淘汰。 sha-1还活着……

多年来，美国国家标准技术研究所( nist )发布的基于散列函数的md5和sha-1算法是国际上最先进、应用范围最广的两个重要算法，后者被认为是计算安全系统的基础，“白宫

不久，sha-1的末日就到了。 2005年2月，在美国举行的国家新闻安全研讨会上，五位著名密码学家发表了散列函数在快速发展史上的重要研究进展。 他们受到来自中国的王小云等三位女性研究者对sha-1全算法的攻击。

2005年，美国《新科学家》杂志复制了令人震惊的标题“崩溃！ 密码学危机”报道了王小云团队花了十年取得的学术成果。

2006年，nist宣布了美国联邦政府机构必须在年之前停止采用sha-1的新政策，次年从世界密码学家那里征集了新的国际标准密码算法。

改变战争方向的经典密码

王小云从事的密码学是一门古老而新的学科。 1949年以前，人类社会经历了漫长的古典加密时期。

自古以来，密码就频繁地应用于战争中，保守己方秘密，洞察对方的情报成为敌人胜利的重要条件。

中国古代兵书《六韬》记录了阴符和阴书两种加密通信方法。 国君和驻外主将之间用阴影秘密联系，8种尺寸不同的阴影，隐藏着不同的军情秘密。 用阴书传播军机大事。 把信分成三份，发给三个人，每人拿一份，三份在一起才能看信的复印件。

公元前700年左右，古希腊军队用圆棒进行秘密通信。 公元前405年，雅典和斯巴达之间的伯罗奔尼撒战争进入尾声，斯巴达军队截获、解读了雅典信使的重要密码信息，改变了作战计划，取得了战争的最后胜利。

在这个加密方式中，加密方在特定的木棒上缠绕笔记，写下原来的新闻，去掉木棒后，笔记上的文字变成了乱码。 解码方收到这个备忘录后，可以用同一个木棒恢复原来的消息。

聪明的古人用简单的置换方法设计了密码。 但是，经典的密码加密方法不为人所知，密码泄露时会被解读。

王小云进入密码学世界时，这门学科迅速发展到了公开加密方法的现代密码时代。

家里的感情塑造了密码天才

1966年，王小云出生于山东诸城教师家庭。 小时候当数学老师的父亲说“鸡兔同笼”是她的第一个数学启蒙。 1983年，17岁的王小云考入山东大学数学系，师从著名数学家潘承洞。 读本科，硕士，博士，她在山东大学教书。 听从领导的建议，把研究方向从分析数学论变为密码学。

39岁时，王小云被聘为清华大学高等研究院杨振宁讲座教授，之后获得中国密码学会“密码创新奖特等奖”及“网络安全优秀人才奖”，51岁被选为中国科学院院士。

多年后，王小云回忆读书经验时，阐述了老师对潘承洞学生的特别要求，无论是出国深造，还是访问学者，都要两年或三年，到时候回来，坚决立足于国内的迅速发展。

着眼于老一代学者这种国家的感情，解读了两种国际密码算法后，王小云可能放弃了参与美国从世界上招募的新国际标准密码算法的设计，设计了国内密码算法的标准。

随后王小云和国内其他专家设计了中国第一个散列函数算法标准sm3。 目前，sm3已经保护和护卫了中国的许多领域，被金融、国家电网、交通等国家重要的经济行业广泛采用。

“密码的解读很重要，没有解读，密码应用的标准化、规范化不太容易，商用密码系统也不太强化”王小云眼中的密码学是矛盾与矛盾的交战、攻击与防御的艺术。

什么是“天书”哈希函数

今天，计算机互联网、移动互联网、物品互联网、卫星互联网、还有大数据、云计算，都是众所周知的科学技术场景，得不到密码技术的支持。

王小云把密码比作钥匙。 “如果没有密码保障，有人可以偷房子的钥匙，随时自由进入房子，你却不知道。”

密码学有多重要？ 你必须从密码学的基本工具开始。 那是王小云多年来交叉的哈希函数。

这个时代的所有网络新闻安全都必须满足五个安全属性:机密性、认证性、不可否认性、完整性和比较有效性，才能更有效地防御黑客的攻击。 这里，所谓比较有效性是效率的问题，在前四个属性中，机密算法保障机密性，即不被盗或看到。 数字签名算法满足认证可能性和不可否认性散列函数算法保证了新闻的完整性。

但是，数字签名算法必须与散列函数一起以保证可认证性和不可否认性。 因此，5个安全属性中的3个不能离开散列函数。

密码上的散列函数可以将任意长度的消息压缩为固定长度的散列值，而散列值是每个人都有唯一的“指纹”，散列函数的重要之处是对各个消息赋予唯一的“数字指纹”，该消息

清华大学高等研究院的吴彦冰数学博士，比如改变了一本书里的某一页或一个字，但读书的人不太容易评价变更之处，通读一遍全书也不一定能发现。 “散列函数，输入稍有不同，输出结果就完全不同”。

“严师”与“慈母”

在现代密码学中，散列函数占有基础和重要的地位。 1994年代，王小云开始研究哈希函数，1994年尝试解读md5和sha-1。

解读一个加密算法通常需要10年甚至更长的时间，但成功率仍然在1%左右。 这是“坐冷饭台”的研究行业，王小云花了整整十年时间破译了md5和sha-1两大密码算法。

清华大学密码学博士生丛天硕说，导师王小云似乎对密码有特别的直觉，感觉科学研究“好像和电影世界大师一起工作”。

有一次，丛天硕和兄弟试图攻击加密算法进行解密，但不知道长时间是否可行，所以咨询了领导。 “王老师听了，说你们直接做就行，她一眼就知道发生了什么”。 据丛天硕说，王小云总是看得很远，让学生尝试尖端的研究。

在学生眼里，这位领导人在学术上要求“特别严格”。 学生的论文必须做到最好，才能发表，“只要有第二个或一点点的改善空期间就不能接受，让学生深入研究”。

除了学术，王小云又很温柔。 丛天硕打算申请海外实践时，王小云经常听说旅行住宿，担心学生的安全。 “刚读博的时候，王老师表现为学生信息，根据我们的有趣制定培养计划，展示很多研究方向，试着做一下吧。 ”。 丛天硕说。

心跳越来越多。

在短短的电影中，经常代理人和黑客破译密码的惊险镜头在短短几秒钟内就成功进入了对方的内部系统。 打开密码学之门后，吴彦冰发现很多人对密码的认识不正确。 也许是看完电影后形成的刻板印象。 把破译银行卡和邮箱地址的密码误认为是密码学家的工作，“其实那不是真正的密码，只是简单的“密码”。

王小云在节目中输入一系列文字时，没有经过任何解决就直接发送到服务器进行验证，这只是密码，而不是密码，进行了科普。 如果输入的字符通过密码运算得到了其他结果，这个结果可以验证你是否是合法的顾客。 这个密码会是密码。

“比如战争中发送了密文，但在这个密文被拦截后，如果让密码学家登场，他们会根据各自的数学方法和手段导出原文是什么，比简单解读银行卡密码复杂得多”吴彦冰说。

现实中的密码学家的工作没有电影那样惊险。 吴彦冰，这是一个很无聊的过程，不断导出公式，编程，然后用大型电脑验证，等待结果。 “想各种各样的做法，试着做一个，失败了再做”。

吴彦冰表示，破译密码有时就像进入了巨大的迷宫，密码大师在设计中再次确认后，宣布没有问题。 很多情况下，用之前传达的做法和想法无法解读，即使在迷宫中碰壁也可能多次找不到出口。

像很多科学突破一样，破解密码需要勤奋和灵感，熬夜的难关也是常态。 吴彦冰跟着王小云进行科学研究时，有过几次这样的经历。 “白天忙了一天，晚上脑子里突然有了灵感，兴奋得睡不着觉。 必须按照理论推导，尝试到底”。

吴彦冰听说过老师王小云解读md5的经验。 “当时王老师还没有学编程，所以用手写导出的方法写了400多张纸，写了几百个方程式，导出了两三个月得出了结果。 ”。

王小云沉浸在密码美好的世界里，享受着外人无法体会的喜悦。 生活中她喜欢在家里和实验室养花，想想数学题也找不到答案的时候，起床打扫卫生，浇花，做别的事情，但实际上脑子里没有留下科学问题。

在科学研究过程中，王小云也把这种喜悦传达给了学生们。 他们想发挥“神秘者”的作用，设计巧妙的密码算法，弥补前人的不足，防止攻击者突破。 然后扮演“解谜人”的角色，一举打破了别人设计精妙的体系。 “参加者会有很大的喜悦和成就感”吴彦冰说。

正如王小云在未来科学大奖获奖致辞中所说，现在的密码学只为少数人所知，未来越来越多的年轻力量将成为密码学迅速发展的力量，尽自己的全力使年轻科学家们能够开拓密码学这一神秘而有力量的学科 (记者完颜文豪，李牧鸣)