|议史纪
编辑|议史纪
“你知道是谁先把国际主流加密算法打出漏洞的吗?”
这个人不是美国人,也不是哪家跨国公司的首席科学家,而是一个来自山东小城的中国女数学家。
在美国的密码学圈子里,她的名字被写进教材,被印在顶级会议论文里,研究者谈到特定攻击方法,干脆直接叫“Wang 攻击”。
从山东小城到密码学冷门
王小云出生在山东诸城,家庭很普通,父亲是中学数学老师,母亲在家务农,这是公开简历里写得清清楚楚的背景。
她的数学启蒙很早就有土壤,但从现有材料看,她一路走来没有“全国竞赛冠军”“少年班神童”这种标签。
考入山东大学数学系后,她走的是一条在当时看来再正常不过的学术道路:读完本科、硕士、博士,专业都在数学。她一开始做的是解析数论这种典型的基础数学方向,导师是著名数学家潘承洞。
她 1987 年本科毕业,1990 年硕士毕业,1993 年获博士学位,全程都在山大数学系,这是一个扎扎实实的本土培养过程,没有所谓“名校跳板”的戏剧性。
变化发生在博士阶段。当时国内信息安全、密码学远没有今天这么热,既不热门,也没多少人能清楚说清这行是干什么的。
她在读博后期转向密码学,开始做密码分析相关的数学研究。如果站在今天回看,这是一个非常关键的选择:她把自己的数学训练,压在了一个当时冷门但技术门槛极高的方向上。
密码学听上去很高深,其实在具体工作上极其枯燥。
王小云后来的几次公开演讲提到,她做的是对哈希函数的比特级分析,研究的是每一轮、每一位如何扩散、如何产生差分路径。
这些东西几乎没有什么直观图景,大部分时间就是公式、符号、表格,推错一步就要从头再来。
她把目光盯上的是当时全球用得最广的哈希函数家族:以 MD4、MD5、SHA-0、SHA-1 为代表的一系列算法。
按照后来清华大学等机构的官方介绍,她发展出一套比特级差分分析框架,能系统性地挖掘这些算法里的弱点。
在外界还普遍相信这些算法“牢不可破”的时候,她已经在办公室里一点点拆这堵墙的砖。
怀孕、临产、坐月子都没完全停下工作。从旁观者视角看,这是极端密集的体力和脑力消耗,但从事实层面说,这确实是她后来能提出一整套攻击方法的基础。
长时间的手工推演,让她摸清了这些函数内部结构的细节,对哪一轮、哪一位更敏感,有非常具体的把握。
美国安全部门先坐不住了
2004 年 8 月,在美国加州圣巴巴拉举行的 CRYPTO 2004 大会上,王小云和合作者在著名的“rump session”上公开展示了对多种哈希函数的碰撞攻击,其中包括 MD5 和 SHA-0。
国际公开资料已经把这一幕写进了密码学发展史:这是第一次真正意义上的实用性 MD5 碰撞,也是 SHA 系列首次遭遇如此强烈的数学攻击。
MD5 在 1990 年代被广泛用于数字签名、软件分发校验、认证协议,是事实上的行业标准之一。SHA-1 则是美国国家标准与技术研究院(NIST)发布的安全哈希系列中的主力,被写入联邦信息处理标准,在大量政府和商业系统中使用。
那之前,业界普遍估算,想在这些函数上找到一次真正的碰撞,需要接近“2 的 80 次方”级别的运算量,对当时的算力来说基本等于不可能。
王小云团队的成果,把这个“不可能”的门槛压到了一个理论和实践上都无法忽视的层级。公开论文显示,他们通过精细的差分路径设计和消息修改技巧,把攻击复杂度降到远低于原先安全强度假设的范围。
这并不意味着任何人马上就能用一台家用电脑去伪造签名,但在专业圈里,结论已经足够明确:旧的安全线被踩到了。
NIST 在 2005 年正式发布通告,承认 SHA-1 的碰撞安全性受到严重威胁,并在 2006 年要求尽快过渡到更安全的 SHA-2 家族,后来又组织了为期数年的新一代哈希标准甄选,最终选出了基于 Keccak 的 SHA-3。
这一整套动作,和对 MD5 与 SHA-1 安全性研究的累积有关,其中王小云团队在 2004 年、2005 年的工作,是绕不开的节点。国际安全工程著作和教学材料里,都把“Wang 等人在 2004 年打破 MD5”“降低 SHA-1 碰撞复杂度”写成重要时间点。
技术社区内部的反应也很直接。安全软件和浏览器厂商陆续宣布,不再接受基于 MD5 的证书签名,后来也逐步淘汰了 SHA-1。
在这之前,很多人把这些算法看作可靠“地基”,在它们之上堆建各种应用。现在地基被证明有裂缝,再怎么补强也难以让人安心,换一套新的基础,变成不得不做的事。
在这种背景下,美国科研机构和科技公司对王小云的兴趣,很容易理解。根据多家媒体和院校介绍,在 CRYPTO 2004 之后,她和团队迅速成为国际密码学会议的常客,各种合作邀请不断。
一些国外大学和研究机构提出的条件,在公开报道中已经非常直白:终身教职、独立实验室、充足甚至近乎“无限”的项目经费,以及远高于国内高校薪酬水平的待遇。对任何一位科学家来说,这都足以改变生活轨迹。
但从结果看,她并没有接受这些邀请。2005 年,她受聘为清华大学高等研究中心“杨振宁讲座教授”,转到北京工作,此前长期在山东大学任教。
从 2000 年代中后期开始,王小云的履历一路上升:入选中国科学院院士,获得包括未来科学大奖等在内的重量级奖项,在国际密码学会的年会上拿到“最具时间价值奖”这类专业圈高度认可的荣誉
与此同时,她在工程层面的贡献,也进入了一个新的阶段。官方资料显示,她主持设计了中国的 SM3 哈希函数,这一算法 2010 年由国家商用密码管理办公室发布,之后先作为行业标准、再上升为国家标准,用于电子认证等多个场景。
后来,SM3 又被国际标准化组织采纳,写进 ISO/IEC 10118-3,成为国际认可的专用哈希函数之一。
王小云并不缺荣誉,她的职称、奖项和国际同行的评价,已经说明了专业圈对她的认可程度。就事论事地说,她不需要被包装成“传奇人物”,也不需要被神化。
她做的事情,本质上是用严密的数学方法去验证和设计密码算法,这是一个长期、艰难、但又非常具体的工作。
由于平台规则,只有当您跟我有更多互动的时候,才会被认定为铁粉。如果您喜欢我的文章,可以点个“关注”,成为铁粉后能第一时间收到文章推送。
热门跟贴