看了你的回应﹐感觉您对王教授的工作也不是很了解﹐不过至少对Hash函数 有起码的正确知识... ※ 引述《[email protected] (㊣秘密情报员)》之铭言： : ※ 引述《[email protected] (r298764)》之铭言： : > 北京清大教授成功破解美国国安局密码 : > http://tw.news.yahoo.com/article/url/d/a/070103/4/8y3b.html : 王博士先前在2004和2005年的成就是找出md5 collision : 这次是找SHA-1 collision，这两者都是message digest（讯息摘要）演算法 04年8月公开的MD5攻击算法（这个碰撞的攻击算法不是任意数据的碰撞﹐而是 在找出改动少量字节可以实现这种碰撞﹐这才是其真正实用的地方） 05年2月中旬在理论上证明了SHA-1的碰撞的可能（更准确的说是﹐在某个范 围内找到碰撞）。不过她们只是在理论上论证了这种可能性存在﹐以目前的计 算能力﹐找出这样一个碰撞至少要在大型机上跑几年.所以还不实用。 : 简而言之，message digest接收一段文字或整个档案 : 输出一组长度固定的hash（杂凑值，特徵值） : message digest的适用范围都很广，短可以处理一串提款卡密码，长可以处理整张DVD : 以md5而言，不管什麽输入，都是输出一个128位元的hash : 通常表现就是一个32位数的16进位数字 : 只要输入当中有任何一个bit的差别，输出就不会相同 : 所谓的collision 就是，两组不同的输入，经过处理後，得到相同的hash : 对於md5,过去声称用暴力法找出collision需要2^64次运算，大约是四百万兆次 : 2004年，王博士先是跟别人合作 : 在一台IBM p690(肌肉型的Power4 cluster)上 : 在一小时内，对一组已知md5 hash找出collision 建议您看一下大陆有关此教授的一些报道。 王走的是手算为主﹐机算为辅的破解办法。不是纯靠机器去跑的 : 继而在2005年发表论文，可以制造两组不同输入，而有相同的md5 hash : 这就可以用来假造签章，或伪装档案 04年8月王一口气公布了4种杂凑算法的碰撞程序﹐md5不过是其中一种。 谁能解决这4个杂凑算法中的一种﹐就是密码届顶级人才﹐何况人家一口 气解决4个。 国外安全专家利用她们提供的杂凑攻击结果﹐成功伪造了符合x509标准的 数字证书（MD5的） : 他们的成果经过国际上其他研究者继续改良，现在找出md5 collision已经不要一分钟了 您老听谁说的﹐该论文的细节和计算方法根本没有对外公布。 是王他们小组提供计算结果﹐让其他人验证计算 比如提供两个文件﹐让大家用自己写的通用Hash算法检验﹐看看是不是Hash值一致 : 对SHA-1直接使用暴力法找出collision需要2^80次运算 : 王博士在2005/2发表的论文，把复杂度(complexity)降低到2^69次 : 2005/8对CRYPTO 2005会议发表的论文进一步降到2^63 : 这种复杂度对现在快速发展的半导体而言，已经不算啥了 不是吧......我所知道的是现在之所以SHA-1还勉强能用﹐主要就是碰撞被理论证明 存在﹐但是搜索时间还会很长。大概在2年左右才能找到一个碰撞。实效性太差。 : md5, SHA-1和其他message digest技术广泛被用来做签章，验证资料的真实性 : 既然它们已经被证实不够强，collision的机会不够小 : 那麽就很容易假冒签章 : 听起来是密码的末日对不对？这篇文章就是要你这样想 : 好像有王在，就没有密码了 : 最好是这样啦 加密和数字签名是两回事.... : 王是很厉害没错，但是这一篇的内容都是2006年以前的旧事，没有新的东西 : 看起来还以为王找到对SHA-1直接找出collision的方法了 : 就像他们对md5後来得出的成果一样，结果并没有 : 既然没有，刊这种歌功颂德的的稿子，有什麽意思？ 经常看台湾新闻。我觉得歌功颂德王这样世界公认的顶级专家﹐总比歌功颂德 一些政客要好吧。 : 别提它还根本不是新闻 : 2007年才刚开始哩，就在那里被共匪唬得团团转 : 游锡方方土讲的好像还真的有一点对，退报救××（好啦他不是这样说） 比如这个党主席.... : 最近国内新闻不请教专业意见的情况特别明显 : 平常反正都是报些立法院火烧总统跳楼的，笨还不容易发现 : 在这种有点技术含量的稿子上面，问题就出来了 : 王2004/8的md5 collision论文是蹦出来的？ : 那是参加在一个MD5 crack计画做出来的，就叫MD5CRK 呵呵。你不是行内的。 王是山东大学搞密码攻击的（专攻杂凑攻击）。人家从十多年前就研究这个 和MD5CRK的项目根本没关系 MD5CRK是通过生日攻击（穷举暴力破解）来找MD5的碰撞。其实就是分布式 运算来实现破解﹐而王是学数论﹐找数字之间规律来研究怎样能有效﹐有规 则有范围有目的搜索有价值的碰撞。两者研究没有交集。也没有隶属关系。 王是研究攻击所有Hash算法的技术﹐而根本不是针对某一种特定算法的Hash 碰撞。而且她已经证明了她的攻击思路是正确的（解决了世界上5大常用Hash算 法）。这才是她真正NB的地方 : 谁主办的？CertainKey Cryptosystems, 一个加拿大私人公司 : Internet上这种欢迎参加的crypto challenge一大堆，都是私人公司主办的 : 跟本地在1996-97年热过的DES challenge一样 王和哪些项目没有关系。在2004年8月17日之前。国外根本不知道有这号人物﹐ 只是她做的事情太变态了﹐太轰动了﹐所以才一跃成为该领域的顶级人物。 : 目的就是defeat现有的编码技术，宣告它们为不安全 : 然後就可以说服客户买更高强度的编码产品 : 那麽这样的更高强度的编码技术存在吗？当然是早就有了 : 如果没有更好的产品好卖，这些公司干嘛要搞challenge来把自己赚钱的工具斗垮斗臭？ : 以md5而言，不能用了，还有SHA-1 : SHA-1现在也不太安全了，那有没有SHA-2？有 : SHA-1长度是160-bit, SHA-2的hash长度从224-bit起跳，一直到512-bit 大哥...现在加密解密Hash算法都是公开源代码的。哪个公司都能用。它属於 信息技术中的低层技术。这种玩意对於一个公司而言是赚不了钱的（他不过是 安全应用中最基本的﹐但通用性很广）。SHA-1是美国政府信息安全验证中用 的最多的。而MD5则是民间用的最多的。破解它﹐意味着政府/社会要花很大的 代价去找到更替的技术﹐普及更替的技术。这花的钱太大了。也是他们以前想 不到的。按照他们的计算。md5/sha-1原本是未来30-50年都不担心被破解的技 术（如果只用穷举法的话）。但是实际上Md5/sha-1只安全了十多年就提前被 终结了 : 安全度以指数暴增 : 如果王和其他研究者可以对SHA-*找出一统江湖的破解法（这并不是不可能） : 那可能就是message digest的末日了 嗯下一代取代SHA系列的Hash算法已经提到日程上了﹐2015年吧 : 但是编码技术本身变弱了，还有很多组合方法可以延续它的生命 : 例如DES 早就被宣告不行，就有3DES等变通方法来增强它的强度 : 同时，更强的message digest也在开发当中 : 这是一个开放的世界，老的编码技术被defeat，只会促进新技术的研发 : md5已经16岁了，SHA-1也有12岁 : 如果这麽久还没有人能挑战它们的强度，那编码学的末日才真的是到了！ 呵呵....实际上找攻击Hash的人一直就没停过...只是王的思路成功了。 密码学就是有破有立。就这麽简单 --

※ 发信站: 批踢踢实业坊(ptt.cc) ◆ From: 220.249.22.177