MD5碰撞后时代，MD5还有存在的意义吗？

        MD5是一种HASH函数，又称杂凑函数，由32位16进制组成，在信息安全范畴有普遍和首要运用的暗码算法，它有相似于指纹的运用。在网络安全协议中， 杂凑函数用来处理电子签名，将冗长的签名文件紧缩为一段一块儿的数字信息，像指纹辨别身份相同保证正本数字签名文件的合法性和安全性。在前面提到的SHA- 1和MD5都是如今最经常使用的杂凑函数。通过这些算法的处理，初始信息即便只更动一个字母，对应的紧缩信息也会变为截然不同的“指纹”，这就保证了通过处理 信息的惟一性。为电子商务等提供了数字认证的可能性。

　　安全的杂凑函数在设计时有必要满意两个请求：其一是寻找两个输入获得相同的输出值在计算上是不可行的，这即是咱们通常所说的抗磕碰的；其二是找一个输 入，能获得给定的输出在计算上是不可行的，即不可从效果推导出它的初始情况。如今运用的首要计算机安全协议，如SSL，PGP都用杂凑函数来进行签名，一 旦找到两个文件能够发做相同的紧缩值，就能够假造签名，给网络安全范畴带来无量危险。

　　MD5即是这样一个在国内外有着普遍的运用的杂凑函数算法，它曾一度被认为是很是安全的。可是MD5也不会彻底不重复，从几率来讲16的32次 方遍历后至少出现两个相同的MD5值，可是16的32次方有多大？3402823669209384634633746074317.7亿，就算全世界最 快的超级计算机也要跑几十亿年才能跑完。但是，王小云教授发现，能够很快的找到MD5的“磕碰”，即是两个文件能够产生相同的“指纹”。这意味着，当你在 网络上运用电子签名签署一份合同后，还可能找到其余一份具备相同签名但内容悬殊的合同，这么两份合同的真伪性便无从辨别。王小云教授的研究效果证实了利用 MD5算法的磕碰能够严重威胁信息体系安全，这一发现使如今电子签名的法律效力和技能体系受到应战。所以，业界专家普林斯顿计算机教授Edward Felten等强烈呼吁信息体系的设计者赶快更换签名算法，并且他们侧重这是一个须要立即处理的疑问。

        一石击起千层浪，MD5的破译引发了暗码学界的剧烈反应。专家称这是暗码学界这些年“最具实质性的研究进展”，各个暗码学相关网站竞相报导这一惊人打破。
　　MD5破解专项网站关闭
　    MD5破解工程威望网站http://www.md5crk.com/是为了揭露搜集专门针对MD5的攻击而创建的，网站于2004年8月17日宣告： “我国研究人员发现了完整MD5算法的磕碰；Wang, Feng, Lai与Yu发布了MD五、MD四、HAVAL-12八、RIPEMD-128几个Hash函数的磕碰。这是这些年暗码学范畴最具实质性的研究进展。运用 他们的技能，在数个小时内就能够找到MD5磕碰。……由于这个里程碑式的发现，MD5CRK项目将在随后48小时内完毕”。
　　对此， Readyresponse主页专门转发了该报导，几个其它网站也进行了报导。
　　威望网站相继宣布谈论或许报告这一重大研究效果
　　通过计算，在论文发布两周以内，已经有近400个网站发布、引证和谈论了这一效果。国内的不少新闻网站也以“演算法安全加密功用露出破绽 暗码学界一片哗然”为题报导了这一暗码学界的重大事件,该音讯在各新闻网站上多次转发。

        MD5破解做业的首要成员王小云教授是一个衰弱、拘谨的女子，厚厚的镜片透射出双眸中数学的灵光。她于1990年在山东大学师从闻名数学家潘承洞教授攻读 数论与密码学专业博士，在潘先生、于秀源、展涛等多位闻名教授的悉心指导下，她成功将数论知识应用到密码学中，取得了不少突出效果，前后取得863项目资 助和国家天然科学基金项目赞助，而且取得部级科技进步奖一项，撰写论文二十多篇。王小云教授从上世纪90年代末开端进行HASH函数的研讨，她所带领的于 红波、王美琴、孙秋梅、冯骐等构成的密码研讨小组，同中科院冯登国教授，上海交大来学嘉等闻名学者密切协做，通过长时刻锲而不舍的尽力，找到了破解 HASH函数的关键技术，成功的破解了MD5和其它几个HASH函数。
　　这些年她的做业获得了山东大学和数学院领导的大力支持，格外投资建设了信息安全实验室。山东大学校长展涛教授高度重视王小云教授突出的科研效果。 2004年6月山东大学领导听取王小云教授的做业介绍后，展涛校长亲身签发约请函约请国内闻名信息安全专家参与2004年7月在威海举办的“山东大学信息 安全研讨学术研讨会”，数学院院长刘建亚教授安排和掌管了会议，会上王小云教授发布了MD5等算法的一系列研讨效果，专家们对她的研讨效果给予了充沛的肯 定，对其锲而不舍的科研情绪大加赞赏。一位院士说，她的研讨水平确定不比世界上的差。这位院士的定论在时隔一个月之后的世界密码会上获得了验证，国外专家 如此强烈的反应代表，咱们的做业能够说不光不比世界上的差，而且是在破解HASH函数方面已抢先一步。加拿大CertainKey公司早前宣告将给予发现 MD5算法第一个磕碰人员一定的奖赏，CertainKey的初衷是使用并行计算机通过生日进犯来寻觅磕碰，而王小云教授等的进犯相对生日进犯须要更少的 计算时刻。

        因为MD5的破译，引起了对于MD5 商品是否是还可以运用的大争辩。在麻省理工大学Jeffrey I. Schiller教授掌管的本身论坛上，许多暗码学家在标题为“Bad day at the hash function factory”的争辩中宣布了具备价值的定见。此次世界暗码学会议的总主席Jimes Hughes宣布谈论说“我信任这（破解MD5）是真的，并且假如碰撞存在，HMAC也就再也不是安全的了，…… 我觉得我们应当抛开MD5了。” Hughes主张，程序设计人员最佳开始放弃MD5。他说：“已然现在这种算法的缺点已露出出来，在有用的进犯发动以前，现在是撤离的时机。”
　一样，在普林斯顿大学教授Edwards Felton的本身网站上，也有类似的谈论。他说：“留给我们的是什么呢？MD5现已受了重伤；它的应用就要筛选。SHA-1依然活着，但也不会很长，必 须当即替换SHA-1，但是选用什么样的算法，这须要在暗码研究人员到达一致。”
　　暗码学家Markku-Juhani称“这是HASH函数剖析范畴激动人心的时间。”
       而闻名计算机公司SUN的LINUX专家Val Henson则说：“曾经我们说"SHA-1可以定心用，别的的不是不安全便是不知道"， 现在我们只能这么总结了："SHA-1不安全，别的的都完了"。
　对于王小云教授等破译的以MD5为表明的Hash函数算法的陈述，美国国家技能与规范局（NIST）于2004年8月24日宣布专门谈论，谈论的首要内 容为：“在近来的世界暗码学会议（Crypto 2004）上，研究人员宣布他们发现了破解数种HASH算法的办法，其间包含MD4，MD5，HAVAL-128，RIPEMD还有 SHA-0。剖析标明，于1994年代替SHA-0成为联邦信息处理规范的SHA-1的削弱条件的变种算法可以被破解；但无缺的SHA-1并无被破解， 也没有找到SHA-1的碰撞。研究结果阐明SHA-1的安全性暂时没有问题，但随着技能的发展，技能与规范局计划在2010年以前逐步筛选SHA-1，换 用别的更长更安全的算法（如SHA-22四、SHA-25六、SHA-384和SHA-512）来代替。”

        这是几位暗码学家运用的是“结构前缀磕碰法”（chosen-prefix collisions）来进行此次攻击（是王小云所运用的攻击办法的改进版本）。

他们所运用的计算机是一台 Sony PS3，且仅用了不到两天。

他们的定论：MD5 算法不应再被用于任何软件完整性查看或代码签名的用处！

       那是否是MD5就此没有用处了呢？非也，对于文件来讲碰撞可能容易，可是对于限定长度的密码或者密文来讲，MD5做为一种高性能高安全的数字签名算法来讲，仍是很是实用的。

文章转载自： http://www.ttmd5.com/article.php?id=12