看了你的回應﹐感覺您對王教授的工作也不是很了解﹐不過至少對Hash函數 有起碼的正確知識... ※ 引述《[email protected] (㊣祕密情報員)》之銘言： : ※ 引述《[email protected] (r298764)》之銘言： : > 北京清大教授成功破解美國國安局密碼 : > http://tw.news.yahoo.com/article/url/d/a/070103/4/8y3b.html : 王博士先前在2004和2005年的成就是找出md5 collision : 這次是找SHA-1 collision，這兩者都是message digest（訊息摘要）演算法 04年8月公開的MD5攻擊算法（這個碰撞的攻擊算法不是任意數據的碰撞﹐而是 在找出改動少量字節可以實現這種碰撞﹐這才是其真正實用的地方） 05年2月中旬在理論上証明了SHA-1的碰撞的可能（更準確的說是﹐在某個范 圍內找到碰撞）。不過她們隻是在理論上論証了這種可能性存在﹐以目前的計 算能力﹐找出這樣一個碰撞至少要在大型機上跑幾年.所以還不實用。 : 簡而言之，message digest接收一段文字或整個檔案 : 輸出一組長度固定的hash（雜湊值，特徵值） : message digest的適用範圍都很廣，短可以處理一串提款卡密碼，長可以處理整張DVD : 以md5而言，不管什麼輸入，都是輸出一個128位元的hash : 通常表現就是一個32位數的16進位數字 : 只要輸入當中有任何一個bit的差別，輸出就不會相同 : 所謂的collision 就是，兩組不同的輸入，經過處理後，得到相同的hash : 對於md5,過去聲稱用暴力法找出collision需要2^64次運算，大約是四百萬兆次 : 2004年，王博士先是跟別人合作 : 在一台IBM p690(肌肉型的Power4 cluster)上 : 在一小時內，對一組已知md5 hash找出collision 建議您看一下大陸有關此教授的一些報道。 王走的是手算為主﹐機算為輔的破解辦法。不是純靠機器去跑的 : 繼而在2005年發表論文，可以製造兩組不同輸入，而有相同的md5 hash : 這就可以用來假造簽章，或偽裝檔案 04年8月王一口氣公布了4種雜湊算法的碰撞程序﹐md5不過是其中一種。 誰能解決這4個雜湊算法中的一種﹐就是密碼屆頂級人才﹐何況人家一口 氣解決4個。 國外安全專家利用她們提供的雜湊攻擊結果﹐成功偽造了符合x509標準的 數字証書（MD5的） : 他們的成果經過國際上其他研究者繼續改良，現在找出md5 collision已經不要一分鐘了 您老聽誰說的﹐該論文的細節和計算方法根本沒有對外公布。 是王他們小組提供計算結果﹐讓其他人驗証計算 比如提供兩個文件﹐讓大家用自己寫的通用Hash算法檢驗﹐看看是不是Hash值一致 : 對SHA-1直接使用暴力法找出collision需要2^80次運算 : 王博士在2005/2發表的論文，把複雜度(complexity)降低到2^69次 : 2005/8對CRYPTO 2005會議發表的論文進一步降到2^63 : 這種複雜度對現在快速發展的半導體而言，已經不算啥了 不是吧......我所知道的是現在之所以SHA-1還勉強能用﹐主要就是碰撞被理論証明 存在﹐但是搜索時間還會很長。大概在2年左右才能找到一個碰撞。實效性太差。 : md5, SHA-1和其他message digest技術廣泛被用來做簽章，驗證資料的真實性 : 既然它們已經被證實不夠強，collision的機會不夠小 : 那麼就很容易假冒簽章 : 聽起來是密碼的末日對不對？這篇文章就是要你這樣想 : 好像有王在，就沒有密碼了 : 最好是這樣啦 加密和數字簽名是兩回事.... : 王是很厲害沒錯，但是這一篇的內容都是2006年以前的舊事，沒有新的東西 : 看起來還以為王找到對SHA-1直接找出collision的方法了 : 就像他們對md5後來得出的成果一樣，結果並沒有 : 既然沒有，刊這種歌功頌德的的稿子，有什麼意思？ 經常看台灣新聞。我覺得歌功頌德王這樣世界公認的頂級專家﹐總比歌功頌德 一些政客要好吧。 : 別提它還根本不是新聞 : 2007年才剛開始哩，就在那裡被共匪唬得團團轉 : 游錫方方土講的好像還真的有一點對，退報救××（好啦他不是這樣說） 比如這個黨主席.... : 最近國內新聞不請教專業意見的情況特別明顯 : 平常反正都是報些立法院火燒總統跳樓的，笨還不容易發現 : 在這種有點技術含量的稿子上面，問題就出來了 : 王2004/8的md5 collision論文是蹦出來的？ : 那是參加在一個MD5 crack計畫做出來的，就叫MD5CRK 呵呵。你不是行內的。 王是山東大學搞密碼攻擊的（專攻雜湊攻擊）。人家從十多年前就研究這個 和MD5CRK的項目根本沒關系 MD5CRK是通過生日攻擊（窮舉暴力破解）來找MD5的碰撞。其實就是分布式 運算來實現破解﹐而王是學數論﹐找數字之間規律來研究怎樣能有效﹐有規 則有范圍有目的搜索有價值的碰撞。兩者研究沒有交集。也沒有隸屬關系。 王是研究攻擊所有Hash算法的技術﹐而根本不是針對某一種特定算法的Hash 碰撞。而且她已經証明了她的攻擊思路是正確的（解決了世界上5大常用Hash算 法）。這才是她真正NB的地方 : 誰主辦的？CertainKey Cryptosystems, 一個加拿大私人公司 : Internet上這種歡迎參加的crypto challenge一大堆，都是私人公司主辦的 : 跟本地在1996-97年熱過的DES challenge一樣 王和哪些項目沒有關系。在2004年8月17日之前。國外根本不知道有這號人物﹐ 隻是她做的事情太變態了﹐太轟動了﹐所以才一躍成為該領域的頂級人物。 : 目的就是defeat現有的編碼技術，宣告它們為不安全 : 然後就可以說服客戶買更高強度的編碼產品 : 那麼這樣的更高強度的編碼技術存在嗎？當然是早就有了 : 如果沒有更好的產品好賣，這些公司幹嘛要搞challenge來把自己賺錢的工具鬥垮鬥臭？ : 以md5而言，不能用了，還有SHA-1 : SHA-1現在也不太安全了，那有沒有SHA-2？有 : SHA-1長度是160-bit, SHA-2的hash長度從224-bit起跳，一直到512-bit 大哥...現在加密解密Hash算法都是公開源代碼的。哪個公司都能用。它屬於 信息技術中的低層技術。這種玩意對於一個公司而言是賺不了錢的（他不過是 安全應用中最基本的﹐但通用性很廣）。SHA-1是美國政府信息安全驗証中用 的最多的。而MD5則是民間用的最多的。破解它﹐意味著政府/社會要花很大的 代價去找到更替的技術﹐普及更替的技術。這花的錢太大了。也是他們以前想 不到的。按照他們的計算。md5/sha-1原本是未來30-50年都不擔心被破解的技 術（如果隻用窮舉法的話）。但是實際上Md5/sha-1隻安全了十多年就提前被 終結了 : 安全度以指數暴增 : 如果王和其他研究者可以對SHA-*找出一統江湖的破解法（這並不是不可能） : 那可能就是message digest的末日了 嗯下一代取代SHA系列的Hash算法已經提到日程上了﹐2015年吧 : 但是編碼技術本身變弱了，還有很多組合方法可以延續它的生命 : 例如DES 早就被宣告不行，就有3DES等變通方法來增強它的強度 : 同時，更強的message digest也在開發當中 : 這是一個開放的世界，老的編碼技術被defeat，只會促進新技術的研發 : md5已經16歲了，SHA-1也有12歲 : 如果這麼久還沒有人能挑戰它們的強度，那編碼學的末日才真的是到了！ 呵呵....實際上找攻擊Hash的人一直就沒停過...隻是王的思路成功了。 密碼學就是有破有立。就這麼簡單 --

※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 220.249.22.177