MD5碰撞後時代，MD5還有存在的意義嗎？

        MD5是一種HASH函數，又稱雜湊函數，由32位16進制組成，在信息安全範疇有普遍和首要運用的暗碼算法，它有相似於指紋的運用。在網絡安全協議中， 雜湊函數用來處理電子簽名，將冗長的簽名文件緊縮爲一段一塊兒的數字信息，像指紋辨別身份相同保證正本數字簽名文件的合法性和安全性。在前面提到的SHA- 1和MD5都是如今最經常使用的雜湊函數。通過這些算法的處理，初始信息即便只更動一個字母，對應的緊縮信息也會變爲截然不同的「指紋」，這就保證了通過處理 信息的惟一性。爲電子商務等提供了數字認證的可能性。

　　安全的雜湊函數在設計時有必要滿意兩個請求：其一是尋找兩個輸入獲得相同的輸出值在計算上是不可行的，這即是咱們通常所說的抗磕碰的；其二是找一個輸 入，能獲得給定的輸出在計算上是不可行的，即不可從效果推導出它的初始情況。如今運用的首要計算機安全協議，如SSL，PGP都用雜湊函數來進行簽名，一 旦找到兩個文件能夠發做相同的緊縮值，就能夠假造簽名，給網絡安全範疇帶來無量危險。

　　MD5即是這樣一個在國內外有着普遍的運用的雜湊函數算法，它曾一度被認爲是很是安全的。可是MD5也不會徹底不重複，從機率來講16的32次 方遍歷後至少出現兩個相同的MD5值，可是16的32次方有多大？3402823669209384634633746074317.7億，就算全世界最 快的超級計算機也要跑幾十億年才能跑完。但是，王小云教授發現，能夠很快的找到MD5的「磕碰」，即是兩個文件能夠產生相同的「指紋」。這意味着，當你在 網絡上運用電子簽名簽署一份合同後，還可能找到其餘一份具備相同簽名但內容懸殊的合同，這麼兩份合同的真僞性便無從辨別。王小云教授的研究效果證實了利用 MD5算法的磕碰能夠嚴重威脅信息體系安全，這一發現使如今電子簽名的法律效力和技能體系受到應戰。所以，業界專家普林斯頓計算機教授Edward Felten等強烈呼籲信息體系的設計者趕快更換籤名算法，並且他們側重這是一個須要立即處理的疑問。

        一石擊起千層浪，MD5的破譯引發了暗碼學界的劇烈反應。專家稱這是暗碼學界這些年「最具實質性的研究進展」，各個暗碼學相關網站競相報導這一驚人打破。
　　MD5破解專項網站關閉
　    MD5破解工程威望網站http://www.md5crk.com/是爲了揭露蒐集專門針對MD5的攻擊而創建的，網站於2004年8月17日宣告： 「我國研究人員發現了完整MD5算法的磕碰；Wang, Feng, Lai與Yu發佈了MD五、MD四、HAVAL-12八、RIPEMD-128幾個Hash函數的磕碰。這是這些年暗碼學範疇最具實質性的研究進展。運用 他們的技能，在數個小時內就能夠找到MD5磕碰。……由於這個里程碑式的發現，MD5CRK項目將在隨後48小時內完畢」。
　　對此， Readyresponse主頁專門轉發了該報導，幾個其它網站也進行了報導。
　　威望網站相繼宣佈談論或許報告這一重大研究效果
　　通過計算，在論文發佈兩週以內，已經有近400個網站發佈、引證和談論了這一效果。國內的不少新聞網站也以「演算法安全加密功用露出破綻 暗碼學界一片譁然」爲題報導了這一暗碼學界的重大事件,該音訊在各新聞網站上多次轉發。

        MD5破解做業的首要成員王小云教授是一個衰弱、拘謹的女子，厚厚的鏡片透射出雙眸中數學的靈光。她於1990年在山東大學師從聞名數學家潘承洞教授攻讀 數論與密碼學專業博士，在潘先生、於秀源、展濤等多位聞名教授的悉心指導下，她成功將數論知識應用到密碼學中，取得了不少突出效果，前後取得863項目資 助和國家天然科學基金項目贊助，而且取得部級科技進步獎一項，撰寫論文二十多篇。王小云教授從上世紀90年代末開端進行HASH函數的研討，她所帶領的於 紅波、王美琴、孫秋梅、馮騏等構成的密碼研討小組，同中科院馮登國教授，上海交大來學嘉等聞名學者密切協做，通過長時刻鍥而不捨的盡力，找到了破解 HASH函數的關鍵技術，成功的破解了MD5和其它幾個HASH函數。
　　這些年她的做業獲得了山東大學和數學院領導的大力支持，格外投資建設了信息安全實驗室。山東大學校長展濤教授高度重視王小云教授突出的科研效果。 2004年6月山東大學領導聽取王小云教授的做業介紹後，展濤校長親身簽發約請函約請國內聞名信息安全專家參與2004年7月在威海舉辦的「山東大學信息 安全研討學術研討會」，數學院院長劉建亞教授安排和掌管了會議，會上王小云教授發佈了MD5等算法的一系列研討效果，專家們對她的研討效果給予了充沛的肯 定，對其鍥而不捨的科研情緒大加讚賞。一位院士說，她的研討水平確定不比世界上的差。這位院士的定論在時隔一個月之後的世界密碼會上獲得了驗證，國外專家 如此強烈的反應代表，咱們的做業能夠說不光不比世界上的差，而且是在破解HASH函數方面已搶先一步。加拿大CertainKey公司早前宣告將給予發現 MD5算法第一個磕碰人員一定的獎賞，CertainKey的初衷是使用並行計算機通過生日進犯來尋覓磕碰，而王小云教授等的進犯相對生日進犯須要更少的 計算時刻。

        因爲MD5的破譯，引起了對於MD5 商品是否是還可以運用的大爭辯。在麻省理工大學Jeffrey I. Schiller教授掌管的本身論壇上，許多暗碼學家在標題爲「Bad day at the hash function factory」的爭辯中宣佈了具備價值的定見。此次世界暗碼學會議的總主席Jimes Hughes宣佈談論說「我信任這（破解MD5）是真的，並且假如碰撞存在，HMAC也就再也不是安全的了，…… 我覺得我們應當拋開MD5了。」 Hughes主張，程序設計人員最佳開始放棄MD5。他說：「已然現在這種算法的缺點已露出出來，在有用的進犯發動以前，現在是撤離的時機。」
　一樣，在普林斯頓大學教授Edwards Felton的本身網站上，也有類似的談論。他說：「留給我們的是什麼呢？MD5現已受了重傷；它的應用就要篩選。SHA-1依然活着，但也不會很長，必 須當即替換SHA-1，但是選用什麼樣的算法，這須要在暗碼研究人員到達一致。」
　　暗碼學家Markku-Juhani稱「這是HASH函數剖析範疇激動人心的時間。」
       而聞名計算機公司SUN的LINUX專家Val Henson則說：「曾經我們說"SHA-1可以定心用，別的的不是不安全便是不知道"， 現在我們只能這麼總結了："SHA-1不安全，別的的都完了"。
　對於王小云教授等破譯的以MD5爲表明的Hash函數算法的陳述，美國國家技能與規範局（NIST）於2004年8月24日宣佈專門談論，談論的首要內 容爲：「在近來的世界暗碼學會議（Crypto 2004）上，研究人員宣佈他們發現了破解數種HASH算法的辦法，其間包含MD4，MD5，HAVAL-128，RIPEMD還有 SHA-0。剖析標明，於1994年代替SHA-0成爲聯邦信息處理規範的SHA-1的削弱條件的變種算法可以被破解；但無缺的SHA-1並無被破解， 也沒有找到SHA-1的碰撞。研究結果闡明SHA-1的安全性暫時沒有問題，但隨着技能的發展，技能與規範局計劃在2010年以前逐步篩選SHA-1，換 用別的更長更安全的算法（如SHA-22四、SHA-25六、SHA-384和SHA-512）來代替。」

        這是幾位暗碼學家運用的是「結構前綴磕碰法」（chosen-prefix collisions）來進行此次攻擊（是王小云所運用的攻擊辦法的改進版本）。

他們所運用的計算機是一臺 Sony PS3，且僅用了不到兩天。

他們的定論：MD5 算法不應再被用於任何軟件完整性查看或代碼簽名的用處！

       那是否是MD5就此沒有用處了呢？非也，對於文件來講碰撞可能容易，可是對於限定長度的密碼或者密文來講，MD5做爲一種高性能高安全的數字簽名算法來講，仍是很是實用的。

文章轉載自： http://www.ttmd5.com/article.php?id=12