“崩溃!密码学的危机”王小云:十年磨一剑,破解五大国际密码
“我有点不安,觉得自己受到了太多的关注。我仍然希望大家能够更加关注密码技术的事业,更加关注密码领域的年轻人才,希望他们能够得到一些支持。”在接受记者采访时,作为第一位获得未来科学奖的女性,王小云的表情既有数学家特有的严谨,也有一些女性特有的羞涩。
王小云从事的密码学对普通人来说是晦涩难懂的,但它与我们的生活息息相关,与人工智能、区块链、物联网和大数据等“最时尚”的科学领域密切相关。密码学家的工作是评估密码算法的安全性并找到更安全的密码算法。王小云在这一领域的成就几乎是颠覆性的:她在10年内破解了五个主要的国际密码算法。美国杂志《新科学家》曾用过“崩溃!密码学的危机。现在,她已经设计了一个更加安全的中文哈希函数标准SM3,目前广泛应用于金融、国家电网、交通运输等重要的国民经济领域。
"密码是攻击和防御的过程."王小云的话简短而全面:“现在世界上密码设计的水平已经发展到非常高的水平。这是由于密码分析的不断进步。在密码分析的过程中,我们不断发现密码算法或密码系统中的漏洞,进一步推动我们的设计。这种设计的目的是为了防止迄今为止的所有密码攻击,并考虑到未来可能的攻击,尽可能设计出更好的密码系统。”
一把剑需要十年才能形成
1983年,王小云被山东大学数学系录取。他在山东大学从本科生变成了博士。他的导师是数学家潘成东院士。毕业后,他留在学校教书。随后,王小云默默工作了近10年,专攻密码学。
2004年,“十年磨砺剑”的王小云终于迎来了亮剑的时刻。在美国加州圣巴巴拉举行的国际密码会议上,她宣布她和她的研究团队已经成功破解了四个国际著名的密码算法MD5、HAVAL-128、MD4和RIPEMD。当她宣布第三个结果时,会议厅里已经响起了四轮掌声,在她演讲之后,会场里爆发出了长时间的掌声。几个月后,她破解了更难的SHA-1密码算法。
回忆10年的默默工作,王小云告诉记者:“当时我对散列函数做了10年的研究和分析。起初,我没有这样崇高的理想。众所周知,今天看来散列函数实际上是区块链的起源技术。当时,它似乎也是一项非常核心和关键的技术,许多密码系统都离不开它。如果我们去掉散列函数,许多密码系统将变得支离破碎,并且会有许多漏洞。当时,有两种主要算法支持这些加密系统:MD5和SHA-1。许多密码系统离不开这两种算法的支持。因为我出生在基础数学领域,对数学比较了解,所以我把这两种算法都看作是一种特殊的数学函数,所以在分析过程中,我发现了很多规律,在大约半年的时间里,主要的分析思想出现了。慢慢地,随着密码算法分析难度的增加,我会继续分析更难的算法,直到SHA-1算法得到最终分析。”
王小云把他的成功归因于坚持不懈。“如果有人坚持做一件事10年,基本上没有失败,他可以成功。”
随后,王小云的学术生涯迎来了新的机遇。自2005年起,他获得国家杰出青年自然科学基金的资助,先后被聘为清华大学高级研究中心杨振宁教授、清华大学长江学者特聘教授、山东大学教育部密码与信息安全重点实验室主任。2017年,王小云当选为中国科学院院士。
国家科技奖励政策很好。
“一般来说,要规范和规范密码应用而不被破解是很困难的,加强商业密码系统也是很困难的。开裂非常重要。”王小云说密码学有着悠久的历史。“例如,在第二次世界大战之前,破译和破解的关键是获取核心秘密。例如,图灵破解的英格玛密码在两三年前结束了欧洲战场,避免了许多伤亡,这是非常重要的。今天,密码破解有多种含义,包括算法破解、系统破解和不规则应用破解。因此,在完成这些裂化工作之后,我们将知道从哪些方面来防止,例如,我们已经完成的SHA-1裂化将产生新的标准SHA-3。”
谈到自己的科研经验,王小云说:“目前,我国的科技奖励政策非常好。当我开始做科学研究时,我先用自己的钱做科学研究,然后国家得到了财政支持。到目前为止,国家已经能够支持我们的重大项目和工程,而且支持力度已经大大增加,可以说是增加了几十倍。”
王小云认为,目前国家投入了大量的科技资金,这是前所未有的。“我个人非常高兴数学领域将密码学研究纳入了数学支持的范畴。国家还特别鼓励密码学与国家重要领域、重大工程和国防安全等相结合。因此,密码学遇到了前所未有的机遇。”
谈到获奖,王小云说:“从网上的信息来看,我作为第一位女性获奖者,受到了极大的关注。我非常希望未来科学奖能够成为一个长期的焦点奖,也希望未来科学奖能够支持更多的科技创新人才。我相信许多人会得到支持。”
最担心高科技导致的隐私泄露
“物联网和人工智能等许多领域的隐私保护问题非常严重。目前,密码技术在我国这些领域的推广还处于起步阶段,安全问题还没有完全解决。”在网络时代,密码直接关系到公共安全。王小云表示,她最担心的是物联网,“因为物联网的环境不同,如工业控制物联网、家用电器物联网、人工智能物联网的应用等,他们的网络通信协议还没有从密码技术推广的角度完全整理出来。”
王小云建议:“第一步是整理这些领域的通信系统,并在整理出来后,做一个密码保护技术的覆盖面。我们应该建立一个密码系统来整合物联网的通信系统,以保证其安全性。这样,无论从技术研究还是工业应用的角度来看,我们都应该共同努力解决这个问题。”
王小云还认为,在人工智能中广泛使用的人脸识别和生物识别领域,个人隐私很容易泄露,也需要密码技术来解决这些问题。“例如,我们经常说‘深度学习’有一些漏洞。假设攻击者在深入学习机器人和无人驾驶车辆的过程中改变了少量的数据,可能会导致一个差距很大的结果,这是一件非常可怕的事情。这方面的安全也需要密码技术来解决,但相关密码技术的研究才刚刚开始,需要进一步深入的研究来实现与人工智能相结合的保护。此外,对于人工智能的其他应用,应研究其工作机制,以进一步确定密码技术应如何受到保护。”
王小云表示,许多行业的数据现在都以大数据的形式存储,其中一些数据被上传到“云”上,隐私保护的情况更加严重。大数据一旦被泄露,将会暴露很多人的隐私信息,因此研究一些新的密码技术来保护大数据是非常必要的。
“网络信息需要确保其机密性、合法性、不可否认性和完整性。主要是这四个安全属性,这四个属性都有相应的密码技术来保护。例如,保密性由加密算法保证,认证和不可否认性由电子签名和散列函数保证,数据完整性由散列函数保证。”王小云说。
10月26日,第十三届全国人民代表大会常务委员会第十四次会议投票通过了《*法典》。王小云说:“法典法规定‘国家促进参与商业法典的国际标准化’。我国制定的标准可以通过推广成为国际标准,国外的好技术也可以纳入中国标准的制定,这是一个双向的过程。我认为这将在促进对外开放方面发挥重要作用。特别是,我们能够贡献中国的密码智慧和密码方案,拓宽中国密码科技创新的研究领域。”
——原标题:王小云,未来科学奖的第一位女性获奖者:十年内打破五项国际准则