| 作者 |
 密码学领域重大发现:山东大学王小云教授成功破解MD5(ZT) |
Hoobastank
[博客]
[个人文集]
游客
|
|
|
密码学领域重大发现:山东大学王小云教授成功破解MD5(ZT)
|
作者:游客 在 海归商务 发贴, 来自【海归网】 http://www.haiguinet.com
密码学领域重大发现:山东大学王小云教授成功破解MD5
2004-09-04 09:39
[本站讯]2004年8月17日的美国加州圣巴巴拉,正在召开的国际密码学会议(Crypto’2004)安排了三场关于杂凑函数的特别报告。在国际著名密码学家Eli Biham和Antoine Joux相继做了对SHA-1的分析与给出SHA-0的一个碰撞之后,来自山东大学的王小云教授做了破译MD5、HAVAL-128、 MD4和RIPEMD算法的报告。在会场上,当她公布了MD系列算法的破解结果之后,报告被激动的掌声打断。王小云教授的报告轰动了全场,得到了与会专家的赞叹。报告结束时,与会者长时间热烈鼓掌,部分学者起立鼓掌致敬,这在密码学会议上是少见的盛况。王小云教授的报告缘何引起如此大的反响?因为她的研究成果作为密码学领域的重大发现宣告了固若金汤的世界通行密码标准MD5的堡垒轰然倒塌,引发了密码学界的轩然大波。会议总结报告这样写道:“我们该怎么办?MD5被重创了;它即将从应用中淘汰。SHA-1仍然活着,但也见到了它的末日。现在就得开始更换SHA-1了。”
关键词:碰撞=漏洞=别人可以伪造和冒用数字签名。
Hash函数与数字签名(数字手印)
HASH函数,又称杂凑函数,是在信息安全领域有广泛和重要应用的密码算法,它有一种类似于指纹的应用。在网络安全协议中,杂凑函数用来处理电子签名,将冗长的签名文件压缩为一段独特的数字信息,像指纹鉴别身份一样保证原来数字签名文件的合法性和安全性。在前面提到的SHA-1和MD5都是目前最常用的杂凑函数。经过这些算法的处理,原始信息即使只更动一个字母,对应的压缩信息也会变为截然不同的“指纹”,这就保证了经过处理信息的唯一性。为电子商务等提供了数字认证的可能性。
安全的杂凑函数在设计时必须满足两个要求:其一是寻找两个输入得到相同的输出值在计算上是不可行的,这就是我们通常所说的抗碰撞的;其二是找一个输入,能得到给定的输出在计算上是不可行的,即不可从结果推导出它的初始状态。现在使用的重要计算机安全协议,如SSL,PGP都用杂凑函数来进行签名,一旦找到两个文件可以产生相同的压缩值,就可以伪造签名,给网络安全领域带来巨大隐患。
MD5就是这样一个在国内外有着广泛的应用的杂凑函数算法,它曾一度被认为是非常安全的。然而,王小云教授发现,可以很快的找到MD5的“碰撞”,就是两个文件可以产生相同的“指纹”。这意味着,当你在网络上使用电子签名签署一份合同后,还可能找到另外一份具有相同签名但内容迥异的合同,这样两份合同的真伪性便无从辨别。王小云教授的研究成果证实了利用MD5算法的碰撞可以严重威胁信息系统安全,这一发现使目前电子签名的法律效力和技术体系受到挑战。因此,业界专家普林斯顿计算机教授Edward Felten等强烈呼吁信息系统的设计者尽快更换签名算法,而且他们强调这是一个需要立即解决的问题。
国际讲坛王氏发现艳惊四座
面对Hash函数领域取得的重大研究进展,Crypto 2004 会议总主席StorageTek高级研究员Jim Hughes 17 日早晨表示,此消息太重要了,因此他已筹办该会成立24年来的首次网络广播(Webcast )。Hughes在会议上宣布:“会中将提出三份探讨杂凑碰撞(hash collisions )重要的研究报告。”其中一份是王小云等几位中国研究人员的研究发现。17日晚,王小云教授在会上把他们的研究成果做了宣读。这篇由王小云、冯登国、来学嘉、于红波四人共同完成的文章,囊括了对MD5、HAVAL-128、 MD4和RIPEMD四个著名HASH算法的破译结果。在王小云教授仅公布到他们的第三个惊人成果的时候,会场上已经是掌声四起,报告不得不一度中断。报告结束后,所有与会专家对他们的突出工作报以长时的热烈掌声,有些学者甚至起立鼓掌以示他们的祝贺和敬佩。当人们掌声渐息,来学嘉教授又对文章进行了一点颇有趣味的补充说明。由于版本问题,作者在提交会议论文时使用的一组常数和先行标准不同;在会议发现这一问题之后,王小云教授立即改变了那个常数,在很短的时间内就完成了新的数据分析,这段有惊无险的小插曲倒更加证明了他们论文的信服力,攻击方法的有效性,反而凸显了研究工作的成功。
会议结束时,很多专家围拢到王小云教授身边,既有简短的探讨,又有由衷的祝贺,褒誉之词不绝。包含公钥密码的主要创始人R. L. Rivest和A. Shamir在内的世界顶级的密码学专家也上前表示他们的欣喜和祝贺。
国际密码学专家对王小云教授等人的论文给予高度评价。
MD5的设计者,同时也是国际著名的公钥加密算法标准RSA的第一设计者R.Rivest在邮件中写道:“这些结果无疑给人非常深刻的印象,她应当得到我最热烈的祝贺,当然,我并不希望看到MD5就这样倒下,但人必须尊崇真理。”
Francois Grieu这样说:“王小云、冯登国、来学嘉和于红波的最新成果表明他们已经成功破译了MD4、MD5、HAVAL-128、RIPEMD-128。并且有望以更低的复杂度完成对SHA-0的攻击。一些初步的问题已经解决。他们赢得了非常热烈的掌声。”
另一位专家Greg Rose如此评价:“我刚刚听了Joux和王小云的报告,王所使用的技术能在任何初始值下用2^40次hash运算找出SHA-0的碰撞。她在报告中对四种HASH函数都给出了碰撞,她赢得了长时间的起立喝彩,(这在我印象中还是第一次)。…… 她是当今密码学界的巾帼英雄。……(王小云教授的工作)技术虽然没有公开,但结果是无庸质疑的,这种技术确实存在。…… 我坐在Ron Rivest前面,我听到他评论道:‘我们不得不做很多的重新思考了。’”
石破惊天MD5堡垒轰然倒塌
一石击起千层浪,MD5的破译引起了密码学界的激烈反响。专家称这是密码学界近年来“最具实质性的研究进展”,各个密码学相关网站竞相报导这一惊人突破。
MD5破解专项网站关闭
MD5破解工程权威网站https://www.md5crk.com/ 是为了公开征集专门针对MD5的攻击而设立的,网站于2004年8月17日宣布:“中国研究人员发现了完整MD5算法的碰撞;Wang, Feng, Lai与Yu公布了MD5、MD4、HAVAL-128、RIPEMD-128几个 Hash函数的碰撞。这是近年来密码学领域最具实质性的研究进展。使用他们的技术,在数个小时内就可以找到MD5碰撞。……由于这个里程碑式的发现,MD5CRK项目将在随后48小时内结束”。
对此,https://www.readyresponse.org主页专门转载了该报道。https://www.aspenleaf.com/distribute...rib-recent.html和几个其它网站也进行了报道。
权威网站相继发表评论或者报告这一重大研究成果
经过统计,在论文发布两周之内,已经有近400个网站发布、引用和评论了这一成果。国内的许多新闻网站也以“演算法安全加密功能露出破绽 密码学界一片哗然”为题报道了这一密码学界的重大事件。(报导见https://www.technewsworld.com/perl/b...nded&mview=flat,该消息在各新闻网站上多次转载。)
东方神韵 MD5终结者来自中国
MD5破解工作的主要成员王小云教授是一个瘦弱、矜持的女子,厚厚的镜片透射出双眸中数学的灵光。她于1990年在山东大学师从著名数学家潘承洞教授攻读数论与密码学专业博士,在潘先生、于秀源、展涛等多位著名教授的悉心指导下,她成功将数论知识应用到密码学中,取得了很多突出成果,先后获得863项目资助和国家自然科学基金项目资助,并且获得部级科技进步奖一项,撰写论文二十多篇。王小云教授从上世纪90年代末开始进行HASH函数的研究,她所带领的于红波、王美琴、孙秋梅、冯骐等组成的密码研究小组,同中科院冯登国教授,上海交大来学嘉等知名学者密切协作,经过长期坚持不懈的努力,找到了破解HASH函数的关键技术,成功的破解了MD5和其它几个HASH函数。
近年来她的工作得到了山东大学和数学院领导的大力支持,特别投资建设了信息安全实验室。山东大学校长展涛教授高度重视王小云教授突出的科研成果。 2004年6月山东大学领导听取王小云教授的工作介绍后,展涛校长亲自签发邀请函邀请国内知名信息安全专家参加2004年7月在威海举办的“山东大学信息安全研究学术研讨会”,数学院院长刘建亚教授组织和主持了会议,会上王小云教授公布了MD5等算法的一系列研究成果,专家们对她的研究成果给予了充分的肯定,对其坚持不懈的科研态度大加赞扬。一位院士说,她的研究水平绝对不比国际上的差。这位院士的结论在时隔一个月之后的国际密码会上得到了验证,国外专家如此强烈的反响表明,我们的工作可以说不但不比国际上的差,而且是在破解HASH函数方面已领先一步。加拿大CertainKey公司早前宣布将给予发现MD5算法第一个碰撞人员一定的奖励,CertainKey的初衷是利用并行计算机通过生日攻击来寻找碰撞,而王小云教授等的攻击相对生日攻击需要更少的计算时间。
数字认证你的未来不是梦
由于MD5的破译,引发了关于MD5产品是否还能够使用的大辩论。在麻省理工大学Jeffrey I. Schiller教授主持的个人论坛上,许多密码学家在标题为“Bad day at the hash function factory”的辩论中发表了具有价值的意见(https://jis.mit.edu/pipermail/saag/2004q3/000913.html)。这次国际密码学会议的总主席Jimes Hughes发表评论说“我相信这(破解MD5)是真的,并且如果碰撞存在,HMAC也就不再是安全的了,…… 我认为我们应该抛开MD5了。” Hughes建议,程序设计人员最好开始舍弃MD5。他说:“既然现在这种算法的弱点已暴露出来,在有效的攻击发动之前,现在是撤离的时机。”
同样,在普林斯顿大学教授Edwards Felton的个人网站(https://www.freedom-to-tinker.com/archives/000664.html)上,也有类似的评论。他说:“留给我们的是什么呢?MD5已经受了重伤;它的应用就要淘汰。SHA-1仍然活着,但也不会很长,必须立即更换SHA-1,但是选用什么样的算法,这需要在密码研究人员达到共识。”
密码学家Markku-Juhani称“这是HASH函数分析领域激动人心的时刻。(https://www.tcs.hut.fi/~mjos/md5/)”
而著名计算机公司SUN的LINUIX专家Val Henson则说:“以前我们说"SHA-1可以放心用,其他的不是不安全就是未知", 现在我们只能这么总结了:"SHA-1不安全,其他的都完了"。
针对王小云教授等破译的以MD5为代表的Hash函数算法的报告,美国国家技术与标准局(NIST)于2004年8月24日发表专门评论,评论的主要内容为:“在最近的国际密码学会议(Crypto 2004)上,研究人员宣布他们发现了破解数种HASH算法的方法,其中包括MD4,MD5,HAVAL-128,RIPEMD还有 SHA-0。分析表明,于1994年替代SHA-0成为联邦信息处理标准的SHA-1的减弱条件的变种算法能够被破解;但完整的SHA-1并没有被破解,也没有找到SHA-1的碰撞。研究结果说明SHA-1的安全性暂时没有问题,但随着技术的发展,技术与标准局计划在2010年之前逐步淘汰SHA-1,换用其他更长更安全的算法(如SHA-224、SHA-256、SHA-384和SHA-512)来替代。”
详细评论见:https://csrc.nist.gov/hash_standards_comments.pdf
2004年8月28日,十届全国人大常委会第十一次会议表决通过了电子签名法。这部法律规定,可靠的电子签名与手写签名或者盖章具有同等的法律效力。电子签名法的通过,标志着我国首部“真正意义上的信息化法律”已正式诞生,将于2005年4月1日起施行。专家认为,这部法律将对我国电子商务、电子政务的发展起到极其重要的促进作用。王小云教授的发现无异于发现了信息化天空的一个惊人黑洞。我们期待着王小云教授和她的团队能够成就“女娲补天”的壮举,为人类的信息化之路保驾护航。
作者:游客 在 海归商务 发贴, 来自【海归网】 http://www.haiguinet.com
|
|
|
| 返回顶端 |
|
 |
PHM
头衔: 海归中校 
声望: 学员
加入时间: 2004/04/04
文章: 326
海归分: 53001
|
|
|
This is very impressive. As a consequence of their work, the well known website M5crk.com shutdown.
|
作者:PHM 在 海归商务 发贴, 来自【海归网】 http://www.haiguinet.com
For the following reason:
"17 Aug 2004
A Collision in the full MD5 hash function was found by researchers in China.
Wang, Feng, Lai, and Yu published full collisions for:
MD4,
MD5,
HAVAL-128, and
RIPEMD-128 This represents on the the most substantial developments in cryptography in recent years.
Using their technique, an MD5 collision can be found in a matter or hours!!!
Here are the files you can use to verify their discovery: md5col.zip
Because of this monumental discovery, the MD5CRK project will be ending in the next 48 hours. Thank you to everyone for your help.
The entire MD5CRK database will be made available in the next 1-2 weeks. An email to the MD5CRK-Announce mailing list will be made when it is ready.
At the time of the annoucment the project was processing an average of:
3,824 Million MD5 transforms per second (MegaMD5/sec)
833,575,339,613 Floating point operations per second (FLOPS)
1,285,717,941,822 Instructions per second (IPS) The project ran for a little over 170 days. "
作者:PHM 在 海归商务 发贴, 来自【海归网】 http://www.haiguinet.com
|
|
|
| 返回顶端 |
|
|
▄︻┻┳═一
[博客]
[个人文集]
游客
|
|
|
前两天听到这个消息,是5级震撼,听说是个女的,10级震撼
|
作者:游客 在 海归商务 发贴, 来自【海归网】 http://www.haiguinet.com
不过觉得还是有点夸张了--
我兜售一下自己浅薄的知识:
MD5是一种不可逆加密,这是无疑的。你拿到一个MD5值是算不出来原始明文的,甚至连原始明文是多大容量你都不知道。
王教授的算法应该是能利用Hash Collision伪造一份原文,得到相同的MD5码。
在实际的应用中,MD5是不会用作什么数字签名。它最主要用来解决密码存储问题,比如Unix的系统登录,如果系统要本地保存用户名对应的密码,那麻烦就来了,这个密码用什么方式加密?密钥又如何管理?
MD5就是解决这个问题,在系统中可以不保存密码,只保存它的MD5值,下一次用户登录的时候,系统还是计算输入密码的MD5值,如果符合就认为密码正确。换句话说,王教授如果有办法搞到一个unix系统中存储的某用户的密码MD5,他可以伪造一个密码(几乎不可能是原来的密码)骗过系统的密码认证。
在文件加密中是不会仅用MD5加密的,一般的做法是利用公钥算法,比如DES/AES加密,然后用MD5加密密钥,随文件存储MD5值。这个时候即使能找到一个通过MD5验证的密码,也打不开文件。
而在数字签名中,用的是两次双钥加密算法,即使用到MD5验证密钥或者公钥,也是不能反向得到原始钥匙打开文件的。
SO,记者说的实在是太夸大其词了。
而且,GOOGLE得到一个结果是:
在1996年一个德国人Hans Dobbertin陆续发表了一系列的文章说明了MD5的弱点,也有网站说他当时攻克了MD5。我相信王教授的工作肯定也有他的原创性,但是记者的说法有些离谱了吧。
作者:游客 在 海归商务 发贴, 来自【海归网】 http://www.haiguinet.com
|
|
|
| 返回顶端 |
|
|
Hoobastank
[博客]
[个人文集]
游客
|
|
|
SHA-0 has been broken, SHA-1 break rumored(ZT)
|
作者:游客 在 海归商务 发贴, 来自【海归网】 http://www.haiguinet.com
Joux found a collision for SHA-0
This has appeared on a french mailing-list related to crypto. The results of
Joux improve on those of Chen and Biham which will be presented next week at
CRYPTO'04.
Enjoy !
Thursday 12th, August 2004
We are glad to announce that we found a collision for SHA-0.
First message (2048 bits represented in hex):
a766a602 b65cffe7 73bcf258 26b322b3 d01b1a97 2684ef53 3e3b4b7f 53fe3762
24c08e47 e959b2bc 3b519880 b9286568 247d110f 70f5c5e2 b4590ca3 f55f52fe
effd4c8f e68de835 329e603c c51e7f02 545410d1 671d108d f5a4000d cf20a439
4949d72c d14fbb03 45cf3a29 5dcda89f 998f8755 2c9a58b1 bdc38483 5e477185
f96e68be bb0025d2 d2b69edf 21724198 f688b41d eb9b4913 fbe696b5 457ab399
21e1d759 1f89de84 57e8613c 6c9e3b24 2879d4d8 783b2d9c a9935ea5 26a729c0
6edfc501 37e69330 be976012 cc5dfe1c 14c4c68b d1db3ecb 24438a59 a09b5db4
35563e0d 8bdf572f 77b53065 cef31f32 dc9dbaa0 4146261e 9994bd5c d0758e3d
Second message:
a766a602 b65cffe7 73bcf258 26b322b1 d01b1ad7 2684ef51 be3b4b7f d3fe3762
a4c08e45 e959b2fc 3b519880 39286528 a47d110d 70f5c5e0 34590ce3 755f52fc
6ffd4c8d 668de875 329e603e 451e7f02 d45410d1 e71d108d f5a4000d cf20a439
4949d72c d14fbb01 45cf3a69 5dcda89d 198f8755 ac9a58b1 3dc38481 5e4771c5
796e68fe bb0025d0 52b69edd a17241d8 7688b41f 6b9b4911 7be696f5 c57ab399
a1e1d719 9f89de86 57e8613c ec9e3b26 a879d498 783b2d9e 29935ea7 a6a72980
6edfc503 37e69330 3e976010 4c5dfe5c 14c4c689 51db3ecb a4438a59 209b5db4
35563e0d 8bdf572f 77b53065 cef31f30 dc9dbae0 4146261c 1994bd5c 50758e3d
Common hash value (can be found using for example "openssl sha file.bin"
after creating a binary file containing any of the messages)
c9f160777d4086fe8095fba58b7e20c228a4006b
This was done by using a generalization of the attack presented at Crypto'98
by Chabaud and Joux. This generalization takes advantage of the iterative
structure of SHA-0. We also used the "neutral bit" technique of Biham and
Chen (To be presented at Crypto'2004).
The computation was performed on TERA NOVA (a 256 Intel-Itanium2 system
developped by BULL SA, installed in the CEA DAM open laboratory
TERA TECH). It required approximatively 80 000 CPU hours.
The complexity of the attack was about 2^51.
We would like to thank CEA DAM, CAPS Entreprise and BULL SA for
their strong support to break this challenge.
Antoine Joux(*) (DCSSI Crypto Lab)
Patrick Carribault (Bull SA)
Christophe Lemuet, William Jalby
(Universit'e de Versailles/Saint-Quentin en Yvelines)
(*) The theoretical cryptanalysis was developped by this author.
The three others authors ported and optimized the attack on the TERA NOVA
supercomputer, using CAPS Entreprise tools.
$hexdump fic1.bin
0000000 66a7 02a6 5cb6 e7ff bc73 58f2 b326 b322
0000010 1bd0 971a 8426 53ef 3b3e 7f4b fe53 6237
0000020 c024 478e 59e9 bcb2 513b 8098 28b9 6865
0000030 7d24 0f11 f570 e2c5 59b4 a30c 5ff5 fe52
0000040 fdef 8f4c 8de6 35e8 9e32 3c60 1ec5 027f
0000050 5454 d110 1d67 8d10 a4f5 0d00 20cf 39a4
0000060 4949 2cd7 4fd1 03bb cf45 293a cd5d 9fa8
0000070 8f99 5587 9a2c b158 c3bd 8384 475e 8571
0000080 6ef9 be68 00bb d225 b6d2 df9e 7221 9841
0000090 88f6 1db4 9beb 1349 e6fb b596 7a45 99b3
00000a0 e121 59d7 891f 84de e857 3c61 9e6c 243b
00000b0 7928 d8d4 3b78 9c2d 93a9 a55e a726 c029
00000c0 df6e 01c5 e637 3093 97be 1260 5dcc 1cfe
00000d0 c414 8bc6 dbd1 cb3e 4324 598a 9ba0 b45d
00000e0 5635 0d3e df8b 2f57 b577 6530 f3ce 321f
00000f0 9ddc a0ba 4641 1e26 9499 5cbd 75d0 3d8e
$ hexdump fic2.bin
0000000 66a7 02a6 5cb6 e7ff bc73 58f2 b326 b122
0000010 1bd0 d71a 8426 51ef 3bbe 7f4b fed3 6237
0000020 c0a4 458e 59e9 fcb2 513b 8098 2839 2865
0000030 7da4 0d11 f570 e0c5 5934 e30c 5f75 fc52
0000040 fd6f 8d4c 8d66 75e8 9e32 3e60 1e45 027f
0000050 54d4 d110 1de7 8d10 a4f5 0d00 20cf 39a4
0000060 4949 2cd7 4fd1 01bb cf45 693a cd5d 9da8
0000070 8f19 5587 9aac b158 c33d 8184 475e c571
0000080 6e79 fe68 00bb d025 b652 dd9e 72a1 d841
0000090 8876 1fb4 9b6b 1149 e67b f596 7ac5 99b3
00000a0 e1a1 19d7 899f 86de e857 3c61 9eec 263b
00000b0 79a8 98d4 3b78 9e2d 9329 a75e a7a6 8029
00000c0 df6e 03c5 e637 3093 973e 1060 5d4c 5cfe
00000d0 c414 89c6 db51 cb3e 43a4 598a 9b20 b45d
00000e0 5635 0d3e df8b 2f57 b577 6530 f3ce 301f
00000f0 9ddc e0ba 4641 1c26 9419 5cbd 7550 3d8e
$ diff fic1.bin fic2.bin
Binary files fic1.bin and fic2.bin differ
$ openssl sha fic1.bin
SHA(fic1.bin)= c9f160777d4086fe8095fba58b7e20c228a4006b
$ openssl sha fic2.bin
SHA(fic2.bin)= c9f160777d4086fe8095fba58b7e20c228a4006b
SHA-1 Break Rumored
There's a rumor circulating at the Crypto conference, which is being held this week in Santa Barbara, that somebody is about to announce a partial break of the SHA-1 cryptographic hashfunction. If true, this will have a big impact, as I'll describe below. And if it's not true, it will have helped me trick you into learning a little bit about cryptography. So read on....
SHA-1 is the most popular cryptographic hashfunction (CHF). A CHF is a mathematical operation which, roughly speaking, takes a pile of data and computes a fixed size "digest" of that data. To be cryptographically sound, a CHF should have two main properties. (1) Given a digest, it must be essentially impossible to figure out what data generated that digest. (2) It must be essentially impossible to find find a "collision", that is, to find two different data values that have the same digest.
CHFs are used all over the place. They're used in most popular cryptographic protocols, including the ones used to secure email and secure web connections. They appear in digital signature protocols that are used in e-commerce applications. Since SHA-1 is the most popular CHF, and the other popular ones are weaker cousins of SHA-1, a break of SHA-1 would be pretty troublesome. For example, it would cast doubt on digital signatures, since it might allow an adversary to cut somebody's signature off one document and paste it (undetectably) onto another document.
At the Crypto conference, Biham and Chen have a paper showing how to find near-collisions in SHA-0, a slightly less secure variant of SHA-1. On Thursday, Antoine Joux announced an actual collision for SHA-0. And now the rumor is that somebody has extended Joux's method to find a collision in SHA-1. If true, this would mean that the SHA-1 function, which is widely used, does not have the cryptographic properties that it is supposed to have.
The finding of a single collision in SHA-1 would not, by itself, cause much trouble, since one arbitrary collision won't do an attacker much good in practice. But history tells us that such discoveries are usually followed by a series of bigger discoveries that widen the breach, to the point that the broken primitive becomes unusable. A collision in SHA-1 would cast doubt over the future viability of any system that relies on SHA-1; and as I've explained, that's a lot of systems. If SHA-1 is completely broken, the result would be significant confusion, reengineering of many systems, and incompatibility between new (patched) systems and old.
We'll probably know within a few days whether the rumor of the finding a collision in SHA-1 is correct.
作者:游客 在 海归商务 发贴, 来自【海归网】 http://www.haiguinet.com
|
|
|
| 返回顶端 |
|
|
安普若
[博客]
[个人文集]
头衔: 海归元勋 
声望: 大师
性别: 
加入时间: 2004/02/21
文章: 26038
来自: 中国美国的飞机上
海归分: 4196257
|
|
|
我曾经考查过一个中国留学日本的博士的项目,他就是研究加密的,他研究出一个算法,号称加密如何如何牢靠。。。
|
还给我做了演示,确实不错。
但缺点是他太理论了,既没产品,又没有商业运行的经验。
最后我和他说:“我们是投资商,不是政府科研基金,如果你能在你的科研基础上拿出一个产品的PROTOTYPE和商业计划,我就投资!”
两年过去了,他都不知道跑哪里去了。
|
|
|
| 返回顶端 |
|
|
valley
头衔: 海归上校 
声望: 学员
加入时间: 2004/02/20
文章: 662
海归分: 89859
|
|
|
不是这个专业的,不清楚这个发现的具体内容,好像她可以找到与原信息有相同MD5 hash 值的另一个信息文件,但是
|
作者:valley 在 海归商务 发贴, 来自【海归网】 http://www.haiguinet.com
| ▄︻┻┳═一 写道: | | 前两天听到这个消息,是5级震撼,听说是个女的,10级震撼 |
不知道那个假信息的有多大的随意性,如果没有什么随意性(也就是不能随意地从要作假的内容上得出特定的MD5 hash 值)那么其影响就有限。比如,假设有一份原来的遗嘱在经过MD5后得到一个特定的hash 值9999,现在她可以设法找出另一份文件,其MD5 hash 值恰好也是9999,但是如果那文件只是一串毫无意义的数字,而不是另一份经过篡改的遗嘱,那么这个作假也就一文不值了。
好像电子签名用带RSA的MD5或带RSA的SHA-1
作者:valley 在 海归商务 发贴, 来自【海归网】 http://www.haiguinet.com
|
|
|
| 返回顶端 |
|
|
安普若
[博客]
[个人文集]
头衔: 海归元勋
声望: 大师
性别:
加入时间: 2004/02/21
文章: 26038
来自: 中国美国的飞机上
海归分: 4196257
|
|
|
好问题!!!
|
| valley 写道: | | 不是这个专业的,不清楚这个发现的具体内容,好像她可以找到与原信息有相同MD5 hash 值的另一个信息文件,但是 |
|
|
|
| 返回顶端 |
|
|
找 北
[博客]
[个人文集]
头衔: 海归少将 
声望: 学员
加入时间: 2004/02/22
文章: 2062
来自: 在移动
海归分: 322806
|
|
|
你说的那个博士
|
作者:找 北 在 海归商务 发贴, 来自【海归网】 http://www.haiguinet.com
| 安普若 写道: | | 我曾经考查过一个中国留学日本的博士的项目,他就是研究加密的,他研究出一个算法,号称加密如何如何牢靠。。。 |
姓GAO,对吗?
如果是的真实太巧了。
他的公司波难万丈,不过现在很有起色。
作者:找 北 在 海归商务 发贴, 来自【海归网】 http://www.haiguinet.com
|
|
|
| 返回顶端 |
|
|
安普若
[博客]
[个人文集]
头衔: 海归元勋
声望: 大师
性别:
加入时间: 2004/02/21
文章: 26038
来自: 中国美国的飞机上
海归分: 4196257
|
|
| 返回顶端 |
|
|
▄︻┻┳═一
[博客]
[个人文集]
游客
|
|
|
MD5主要还是作为不可逆加密使用的,解决了本地保存密钥的难题
|
作者:游客 在 海归商务 发贴, 来自【海归网】 http://www.haiguinet.com
| valley 写道: | | 不是这个专业的,不清楚这个发现的具体内容,好像她可以找到与原信息有相同MD5 hash 值的另一个信息文件,但是 |
MD5做签名是很弱的保护了。王教授的成果应该主要是证明了MD5不唯一性,只代表加密手段完整性有了缺陷,反向模拟出一个原文并不可能。
BTW,你说的case中,MD5并不一定与文件内容相关,而是会由特定签名产生。
作者:游客 在 海归商务 发贴, 来自【海归网】 http://www.haiguinet.com
|
|
|
| 返回顶端 |
|
|
Hoobastank
[博客]
[个人文集]
游客
|
|
|
her work is not so exciting than people thought, but it still holds a value.
|
作者:游客 在 海归商务 发贴, 来自【海归网】 http://www.haiguinet.com
| valley 写道: | | 不是这个专业的,不清楚这个发现的具体内容,好像她可以找到与原信息有相同MD5 hash 值的另一个信息文件,但是 |
what she has done:
given A, hash value H(A)=C, she could find B, which H(A)=H(B). however, she couldn’t get A or B if she only knew hash value C. what the meant is that collision exists which is not a surprise to me. if you try data set large enough, it would find collision. sure, she found a better way to find collision than others.
normally MD5 is to verify data integrity, such as password. attacker could forge B value to pass verification with same hash value as A, therefor, it would take over the box. I mentioned that SHA-0 is broken, it would really catch my eyes if SHA-1 is cracked.
作者:游客 在 海归商务 发贴, 来自【海归网】 http://www.haiguinet.com
|
|
|
| 返回顶端 |
|
|
Hoobastank
[博客]
[个人文集]
游客
|
|
|
加密是个serious的business, look at Verisign...
|
| 安普若 写道: | | 我曾经考查过一个中国留学日本的博士的项目,他就是研究加密的,他研究出一个算法,号称加密如何如何牢靠。。。 |
|
|
|
| 返回顶端 |
|
|
▄︻┻┳═一
[博客]
[个人文集]
游客
|
|
| 返回顶端 |
|
|
valley
头衔: 海归上校
声望: 学员
加入时间: 2004/02/20
文章: 662
海归分: 89859
|
|
|
从密码学(或信息学?)上讲,MD5的HASH值是不是从来就没有过唯一性?
|
作者:valley 在 海归商务 发贴, 来自【海归网】 http://www.haiguinet.com
| Hoobastank 写道: | | her work is not so exciting than people thought, but it still holds a value. |
如果“given A, hash value H(A)=C, always can find B, which has H(A)=H(B) ” ,
那可能就需要证明:1,B 很“难”发现,几乎不可能被找到。 或 2,B与A有“足够大”的差别,以致实际上没有相互混淆的可能。
不知道有没有可能得到定量的证明 
作者:valley 在 海归商务 发贴, 来自【海归网】 http://www.haiguinet.com
|
|
|
| 返回顶端 |
|
|
孤枕难眠
[博客]
[个人文集]
头衔: 海归中将 
声望: 学员
性别: 
加入时间: 2004/02/24
文章: 3573
来自: 美国
海归分: 411670
|
|
|
Digital Signature Concerns Emerge (ZT)
|
作者:孤枕难眠 在 海归商务 发贴, 来自【海归网】 http://www.haiguinet.com
By Elizabeth Millard
from https://www.technewsworld.com/story/35926.html
At this week's Crypto 2004 conference in California, several papers were presented that demonstrated vulnerabilities in algorithms that are often used to create digital signatures. Although the results are preliminary, many in the security community are concerned about what such weaknesses might mean for digital signature use in the future.
The algorithms in question are MD5, with is often used with digital signatures, as well as SHA-0 and SHA-1, both popular in security development.
Even though there is buzz about the reports, there is not much shock, said Steve Mathews, CEO of security firm ArticSoft and one of the authors of BS ISO/IEC 17799 Code of Practice for Information Security Management.
In an interview with LinuxInsider, Mathews stated, "I am not surprised by the news on MD5. There have been concerns in the technical communities for some time that there could be a weakness, and SHA-1 has been preferred."
He added that the implications for SHA-0 and SHA-1 are definitely a concern.
Unveiling the Weaknesses
The round of vulnerability announcements started on Thursday, when a French computer scientist, Antoine Joux, discussed a flaw he had found in MD5. Invented in 1991, MD5 has not had a reported vulnerability before.
The announcement immediately sparked concern because of the algorithm's popularity and use with the Apache Web server . Sun Microsystems (Nasdaq: SUNW) also uses MD5 in its Fingerprint Database product.
Mathews noted that his company's products only use SHA-1, but has to accept signatures using MD5 as well. He said, "We will likely have to include a 'health warning' for MD5 going forward."
Two more announcements, from Chinese and Israeli researchers, identified ways to circumvent security in SHA-0, and early results with vulnerabilities in SHA-1.
Certified by the National Institute of Standards and Technology in 1992, SHA-1 is used in programs like PGP and SSL, as well as in the U.S. government's Digital Signature Standard.
The conference's reports have prompted organizers to develop a Webcast on the topic of hash collisions, which will present additional findings.
Sign of the Times
The results of the announcements for the future of digital signatures is not yet known, but Stanford University security researcher Neil Daswani told LinuxInsider that "digital signature schemes will have to be modified to use other hash functions, if good candidates are available."
Researchers and developers might have some time to investigate such avenues, noted Mathews.
"As far as digital signatures are concerned, there are no indications that the SHA-based ones will become unreliable and we have to abandon current technologies, although it would be sensible to start looking for a new technique," he said.
Although MD5 and SHA-1 are popular, Daswani said many other hash algorithms have been proposed. It is likely that given the recent announcements, researchers will begin investigating these algorithms to discover new sources of security.
Ongoing Conversation
In general, programming is unlikely to be affected by vulnerabilities found in a few hash functions, according to Daswani. "However," he said, "the topic of developing secure hash functions may become more active in the security research community."
Mathews added that programmers will have to face the realization that a new, previously unknown attack against an algorithm scheme has been found, and progress from there. That could affect programming more broadly.
"That means designing systems where we can quickly add in new and dump out old," said Mathews. "There also needs to be a management system in place that allows this to happen."
He noted that such a system currently goes against most of the regulations governing the export of cryptography, which do not allow the customer to change algorithms that have been implemented. Changing the situation would allow for moving everyone affected by scheme breakdowns to move over to a new scheme quickly, cleanly and safely, said Mathews.
Such issues will likely be addressed in coming months as security researchers explore the implications of the conference's announcements more fully. "It's a bit like having Y2K again, with a bigger threat and less time to fix it," Mathews noted.
=========================================================
MD5 cracked by Xiaoyun Wang, et. al, not Antoine Joux
Posted by: valhenson 2004-08-18 13:41:15 In reply to: Elizabeth Millard
There is an error in attribution. Antoine Joux broke SHA-0, Xiaoyun Wang et al. broke MD5 (as well as RIPEMD, HAVAL-128, and for kicks, they simplified MD4 collisions to the point where they can be calculated by hand).
作者:孤枕难眠 在 海归商务 发贴, 来自【海归网】 http://www.haiguinet.com
|
|
|
| 返回顶端 |
|
|
Hoobastank
[博客]
[个人文集]
游客
|
|
|
可以这末理解,
|
作者:游客 在 海归商务 发贴, 来自【海归网】 http://www.haiguinet.com
| valley 写道: | | 从密码学(或信息学?)上讲,MD5的HASH值是不是从来就没有过唯一性? |
MD5的collision是100%存在的,MD5 has 128 bits output, in that case if more than 2^128 combinations are tried, there would be a collision.
应用密码学中为追求效率,所使用的原语不是密码学理论基础中定义的one-way
function,因为虽然对one-way function的attack可以归约到不同程度的computational
intractibility上,security有理论保障,但效率远不如应用密码学使用的hash
function的位操作来得高。这是一种退而求其次的办法,结论也缺乏理论依据,而往往是
个别大牛的经验性的启发式的论断。例如Ron Rivest的这个md5,人们普遍“相信”它是
安全的。
对于hash function的安全性,也至少有如下由弱至强三重含义:
1。one-way property:Given h(x), it is hard to find m such that h(m)=h(x)
这个“hard to find”是指不存在多项式时间的算法,可以在某多项式分之一的概率下找
到m,这个概率是对x而言的,而不是对h(x)而言的。这和one-way function定义一样。
2。weak collision-free property:Given m, it is hard to find m', such
thatm!=m' and h(m)=h(m').
3。strong collision-free property:It is hard to find such pair m and m' that
m!=m' and h(m)=h(m').
可以证明3=>2=>1
原先人们普遍相信md5是strong collision-free的,因此也就可以用来做数字签名。但王
小云这次证明了md5实际上不是strong collision-free,驳倒了先前的观点。
其实在安全应用方面,真正可能造成的震动并不大,没有宣传的那么神奇。md5最广泛的
应用是authentication和信息交验,这只要保证了1、2就行,数字签名的最实用的协议Fi
at-Shamir protocol,其中hash function实现的部分也没有要求到strong
collision-free这么强。王小云的成果,对应用密码学研究的震动更大一些,因为在此之
前,人们一直相信存在hash function这样对security的高效实现,这也是应用密码学的
前提假设之一,但目前看来,现实还是很让人们沮丧的,对md5的attack,动摇了应用密
码学研究的前提,也动摇了人们对这种启发式假设的信心,让人们意识到研究理论上的lo
wer bound的重要性,这才是王小云的成果的意义。
作者:游客 在 海归商务 发贴, 来自【海归网】 http://www.haiguinet.com
|
|
|
| 返回顶端 |
|
|
valley
头衔: 海归上校
声望: 学员
加入时间: 2004/02/20
文章: 662
海归分: 89859
|
|
|
MD5 有多种用途,其中之一就是和RSA加/解密、公钥凭证等一起用
|
作者:valley 在 海归商务 发贴, 来自【海归网】 http://www.haiguinet.com
| ▄︻┻┳═一 写道: | | MD5主要还是作为不可逆加密使用的,解决了本地保存密钥的难题 |
来保证所传送的文件的真实性和完整性。
这也就是所谓的数字签字:
使用數學演算法(例如用雜湊函數,one-way hash function,MD5就是其一)將電子文件轉化為固定長度之數字資料(訊息摘要,既message digest - hash 值),並用簽署者的私鑰對其加密后形成簽字體。这样可以使任何人可借助原始資料訊息、簽字體和與私鑰相關連的公钥凭证中的公鑰来驗證該簽體是否使用與簽章公鑰相對應的私鑰製作,以及在簽字體製作后原始資料訊息是否遭受竄改。
作者:valley 在 海归商务 发贴, 来自【海归网】 http://www.haiguinet.com
|
|
|
| 返回顶端 |
|
|
Jimmy
[博客]
[个人文集]
游客
|
|
|
真不错,费了半天劲证明了自己是个贼偷。我要是英国人我也使劲鼓掌。
|
|
|
|
| 返回顶端 |
|
|
云淡天高
[博客]
[个人文集]
游客
|
|
|
记者水平太高,文章写得非常技巧
|
作者:游客 在 海归商务 发贴, 来自【海归网】 http://www.haiguinet.com
文章出自山大网页,网上到处转载的都是这篇。
掌声是有的,主要是鼓励王的,她英语山东口音太重,
但结果相当漂亮,对西方人来说十分惊奇。基本上是“红高粱”的效果。起立鼓掌是扯淡,王是最后一个talk,之后session chair宣布session 结束,有人起立 :-)
王的演讲录相在 https://www.cs.ucsb.edu/~almeroth/crypto/crypto-2004-rump.WMV
or https://www.cs.ucsb.edu/%7Ealmeroth/crypto/crypto-2004-rump.WMV
大家可做出自己的判断
文章里谈到MD5对数字签名的影响纯属无稽之谈。没有一个标准规定MD5是用于数字签名的。MD5主要用于MAC,for authentication and integrity. 事实上MD5的推荐寿命到2000年截止,见
https://www.md5crk.com/?sec=whystillmd5
正如下面一些讨论中提到,即便MD5真的用于签名也造成不了任何危害。被发现有collision的message与任何现实中可能用到的message相符合的概率微乎其微,小于猜中密钥的概率。
王的结果对现实毫无意义,但从学术的角度上看非常漂亮,是花了些功夫的。她97年开始就做这个题目,埋头苦干若干年。人很朴实无华,不会讲普通话,一口山东口音,匝一看山东农村大嫂的形象。我认为她埋头苦干的精神值得当今中国密码学界学习。国内学术界太浮躁,现在三十几岁的人就开始做管理,拉基金,跑项目。安心做学问的人越来越少。今年5月在无锡召开的中国密码学界会议上她介绍了这个结果,并称MD5的结果是99年就有的。当时文章作者里并没有Feng Dengguo与Lai Xuejia. 不知为何后两人出现在文章作者中。
不管怎么讲,王小云是值得称赞的。要知道她在此之前即便在国内密码学界也是属于默默无闻的,她做的东西属于苦差事,现在完成了从丑小鸭到白天鹅的飞跃。国内很多网友提议给她10块奥运金牌的待遇,甚至提出民族英雄之说,可见当代中国多么需要民族英雄。
不过有一点需要指出的是,他们隐藏了算法,只公布了结果。也就是说他们不告诉怎么找的,只公布找到的结果。这种做法在学术界不是很公正。
作者:游客 在 海归商务 发贴, 来自【海归网】 http://www.haiguinet.com
|
|
|
| 返回顶端 |
|
|
云淡天高
[博客]
[个人文集]
游客
|
|
|
姓高的因该是兄弟俩
|
原来中科院出去的,做了一个混沌密码体制,到处蒙事。看来你还是有眼光的,那玩意纯属垃圾。混沌密码很多人做过,99%不安全,剩下的1%比生孩子还慢。你就把他当永动机吧。
|
|
|
| 返回顶端 |
|
|
|
|
|
|
您不能在本论坛发表新主题, 不能回复主题, 不能编辑自己的文章, 不能删除自己的文章, 不能发表投票, 您 不可以 发表活动帖子在本论坛, 不能添加附件不能下载文件, |
|
|
