演算法安全加密功能露破绽 密码学界一片哗然

上周四(12日)法国电脑科学家Antoine Joux宣布，已在常用的一种演算法中，找到一个弱点；这种演算法称为“MD5”(讯息摘要5)，常搭配数字签名(digital signature)使用。紧接着，四位中国研究员发布报告指出，有办法破解另一种称为“SHA-0”(安全杂凑演算法0)的演算法。

虽然这些只是初步的研究结果，但新的发现到头来可能让有心人士更轻易在电脑程序中植入不容易察觉的后门，或伪造电子签名——除非改用不同的、更安全的演算法。

第三个可能更具爆炸力的宣布，订于周二(17日)晚间在加州圣塔芭芭拉举行的Crypto 2004会议上发布。

以色列科技研究所研究员EliBiham和Rafi Chen原本计划在会中发布报告，指出几种破解“SHA-0”演算法安全功能的方法。现在，他们打算在会议中进一步谈论有关“SHA-1”演算法的“劲爆消息”。这场会议订于太平洋夏令时间17日晚间7时开始。

“SHA-0”不完美，是己知的事实；但若“SHA-1”发现重大弱点，视细节而定，可能震撼电脑安全界。

目前被奉为同级演算法中的圭臬，“SHA-1”嵌入诸如加密软件(PGP)和安全插座层协定(SSL)等使用广泛的程序中。“SHA-1”已获美国标准与技术研究院(NIST)的认证，而且是唯一获准用于美国政府“数字签名标准”的签名演算法。“SHA-1”产生160位的数字与字串，长度比MD5产生的128位更长，因此被视为更安全。

Crypto 2004会议总主席Storage Tek高级研究员Jim Hughes 17日早晨表示，此讯息太重要了，因此他已筹办该会成立24年来的首次网络广播(Webcast)。在传至加密学相关邮件清单的投书中，Hughes透露：“会中将提出三份探讨杂凑冲撞(hash collisions)重要的研究报告。”其中一份是Joux的研究发现。

接受电话访问时，Hughes说：“若你发现，有两份合同经杂凑处理的数字签名相同，你大可用甲合同替代乙合同。闹上法庭时，哪一份才是有效的合同，至少有个灰色地带。那种可能性极高。”

不论是“MD5”、“SHA-0”或“SHA-1”演算法，都使用电脑科学家所谓的杂凑函数(hashfunctions)。运用这些演算法，可把电子邮件讯息乃至操作系统核心等各式各样的信息内容混杂起来，产生理论上应是独一无二的指纹档(fingerprint)。原始信息内容稍有改变，即使只更动一个字母，再使用一次演算法后产生的指纹档也会截然不同。

安全应用程序的防护机制是建筑在指纹档的独一无二性之上。万一某个不怀好意的黑客有办法以不同的信息内容产生相同的指纹档，则那个复制指纹档——即“杂凑冲撞”(hash collision)——就会把被植入后门的软件确认为安全无虞，可供使用者下载和执行。这么一来，有心人士便可趁机假冒电子邮件签名，指示把某人的银行帐户搬空。

研究员长久来就知道，没有一种可实际使用的加密演算法是绝对安全的；他们所能做的，是设法设计出一种需要旷日废时方能复制指纹档的演算法。“SHA-1”被视为安全可靠，系因研究员相信，运用目前已知的技巧，不可能刻意制造出杂凑冲撞。

但若是“SHA-0”潜在的弱点也出现在“SHA-1”之中，那意味复制出指纹档的速度可加快大约5亿倍——若把一堆高速个人电脑连结成网，有能力达此目标。

“MD5”演算法的弱点是更迫在眉睫的威胁。开放源代码的Apache网络服务器产品使用“MD5”杂凑，以确保数十个映像网站上的源代码不被窜改，可安全执行。Sun Solaris Fingerprint Database也采用相同的杂凑演算法技术。

近日来被揪出的“MD5”弱点，意味黑客可能在数小时之内用标准个人电脑产生出杂凑冲撞。但要编写特定的后门程序，再覆以相同的杂凑冲撞，则可能更费时。

话虽如此，Hughes建议，程序设计人员最好开始舍弃“MD5”。他说：“既然现在这种演算法的弱点已暴露出来，在有效的攻击发动之前，现在是撤离的时机。”

源自：ZDNET