质疑"驳斥所谓"无线WPA加密无法破解"论"!!
转帖一篇,原文地址:http://industry.ccidnet.com/art/289/20050426/243725_1.html 专家观点:破解MD5和SHA-1不意味密码破解 有关山东大学王小云教授破解MD5和SHA-1的报道,让人对电子信息的安全性颇为关注,真相究竟如何?要问当今众生,在日常生活中什么对你最重要,什么让你最头痛?相信很多人的回答是密码。“请您输入密码,请再输一遍”,无论是在银行柜台还是在网上冲浪,这样的提示对我们已是司空见惯。银行密码、登录密码、邮箱密码、各种游戏的密码、各个用户名的密码……密码已是世人生活中不可或缺的一部分。最近有关山东大学王小云教授破解MD5和SHA-1报道频频见诸报端,使人们对电子信息的安全性颇为关注,密码真的不可靠了吗?
何谓破解
信息安全国家重点实验室教授、密码学专家翟起滨在办公室平静地告诉记者:“MD5和SHA-1属于散列算法,从设计原理来讲,就有产生碰撞的可能,王小云教授的方法缩短了找到碰撞的时间,是一项重要的成果。但她找到的是强无碰撞,要能找到弱无碰撞,才算真正破解,才有实际意义。”
根据密码学的定义,如果内容不同的明文,通过散列算法得出的结果(密码学称为信息摘要)相同,就称为发生了“碰撞”。散列算法的用途不是对明文加密,让别人看不懂,而是通过对信息摘要的比对,防止对原文的篡改。
作为中国出席“Crypto′2004”和“RSA 2005”年会的唯一正式代表,翟起滨教授特别强调:“碰撞分为‘强无碰撞’和‘弱无碰撞’。强无碰撞是无法产生有实际意义的原文的,也就无法篡改和伪造出有意义的明文。”通过强无碰撞伪造一个谁也看不懂的东西,没有实际意义。翟教授还让记者浏览了“RSA 2005”年会的会议摘要,国际密码学专家沙米尔(Shamir)在“RSA 2005”年会上就王小云教授找到一对强无碰撞发表观点:“这是个重要的事情,但不意味着密码被破解。”
现实无忧
“找到一对强无碰撞和找到有实际意义的碰撞,是有本质区别的。”翟教授认为破解的说法不确切。他介绍说:“在‘RSA 2005’年会上,专家们认为SHA-1目前绝对安全,再使用5~10年没问题,计划在2010年以后考虑更换。”
我们知道理论上破解密码的方法,如果要在现实中实现,需要通过超级计算机海量的计算,所需时间一般是成千上万年。在实际应用中,破解时间太长意味着破解将失去现实意义。
中国金融认证中心(CFCA)的技术顾问、原中国建设银行科技部总工程师,曾参加《电子签名法》制定的关振胜介绍:“目前网上银行的认证采用多次散列算法的加密手段。如B to B的交易,首先对网上银行的表单进行SHA-1的摘要计算;然后对客户填写的信息再计算;最后银行收到信息后还要进行签名。如果要篡改其中的信息,必须破解3次(前提是能破解,现在还做不到),既使是你若干天或若干月后破解了,交易早已完成。同时,信息摘要的传输还要在PKI体系(公钥基础设施)下进行,PKI体系现在大多应用RSA算法,该算法的安全性大可放心。所以,对于银行这样的实时系统,篡改信息影响交易过程是绝对不可能的。”
如果集中所有的军用超级计算机来破解怎么办?哪我们想想,穷全美国之力,破解你一笔商业交易干什么。像散列算法这么弱的算法,政府部门是根本不会采用的。
另外,关总还介绍说:“伪造数字证书也是不可能的。数字证书包含了很多特定内容,只有具备了包括序列号等一系列特定信息,这个证书才有意义。根据特定的原文内容,伪造出相应的摘要信息是根本做不到的。”
我们看到,如果找不到弱无碰撞,或即使找到弱无碰撞但找不到超大型计算机,想干点篡改和伪造的勾当是不可能的。况且,当管理部门一旦发现算法的安全性可能出现风险,换一个新的算法不存在难度。
从事计算机安全的厂商,对所谓密码破解均不以为然。他们认为,任何产品都有生命周期,产品技术的改进工作时刻都在进行。虽然有人说密码算法不安全,但现在没有任何实质的危害发生。信息安全有多种防范措施保证,散列算法只是其中较弱的一种,不必过分担心。
魔高一尺,道高一丈。随着技术的发展,任何手段都不可能永远不变。当今世界是安全的,大可不必为了密码寝食难安。
产生了碰撞,就带来了问题。王小云等人发现了当前所用的散列算法存在的问题,必将帮助未来的新的散列算法设计者考虑到这方面的问题,使得新的散列算法具有更好的安全性。比如DES开始不安全以后,更多更强的加密手段也一一涌现。不管破解的结果如何,王小云教授的成果足以让我们振奋,对商用密码的研究起了促进作用。基础知识: 链接一
什么是强无碰撞和弱无碰撞
散列函数h称为是弱无碰撞的,是指对给定消息x∈ X ,在计算上几乎找不到异与x的x'∈ X,使h?x?=h?x'?。散列函数h被称为是强无碰撞的?是指在计算上几乎不可能找到相异的x、 x',使得h?x?=h?x'?。弱无碰撞是对给定的消息x,就是对你想伪造的明文,进行运算得出相同的摘要信息。也就是说你可以控制明文的内容。强无碰撞是指能找到相同的摘要信息,但伪造的明文是什么并不知道。数字签名最多的是文本内容? 也就是人类可读内容,如果你产生一个人类不可读的碰撞? 并不会对于原文产生重大影响。王小云教授找到的是强无碰撞。
链接二
数字签名与验证过程
网上通信的双方,在互相认证身份之后,即可发送签名的数据电文。数字签名的全过程分两大部分,即签名与验证。
数字签名操作过程
数字签名操作具体过程如下:首先是生成被签名的电子文件(《电子签名法》中称数据电文),然后对电子文件用散列算法做数字摘要,再对数字摘要用签名私钥做非对称加密,即作数字签名;之后是将以上的签名和电子文件原文以及签名证书的公钥加在一起进行封装,形成签名结果发送给收方,待收方验证。
数字签名验证过程
接收方收到数字签名的结果,其中包括数字签名、电子原文和发方公钥,接收方进行签名验证。验证过程是:接收方首先用发方公钥解密数字签名,导出数字摘要,并对电子文件原文做同样散列算法得出一个新的数字摘要;将两个摘要进行结果比较,结果相同则签名得到验证,否则签名无效。这就做到了《电子签名法》中所要求的对签名不能改动,对签署的内容和形式也不能改动的要求。
数字签名的作用
如果接收方对发送方数字签名验证成功,就可以说明以下三个实质性的问题:
(1)
该电子文件确实是由签名者的发送方发出的,电子文件来源于该发送者。因为,签署时,电子签名数据由电子签名人所控制。
(2)
被签名的电子文件确实是经发送方签名后发送的,说明发送方是用了自己的私钥做的签名,并得到验证,达到不可否认的目的。
(3)
接收方收到的电子文件在传输中没有被篡改,保持了数据的完整性。因为,签署后对电子签名的任何改动都能够被发现。
链接三
什么是数字证书
数字证书,简称为证书,它是PKI(公钥基础设施)的核心元素,由认证机构服务者所签发,它是数字签名的技术基础保障。它符合X.509标准,是网上实体身份的证明,证明某一实体的身份以及其公钥的合法性,证明该实体与公钥二者之间的匹配关系。证书是公钥的载体,证书上的公钥唯一与实体身份相绑定。证书在公钥体制中是密钥管理的媒介,不同的实体可以通过证书来互相传递公钥。证书由权威、可信任和公正的第三方机构所签发。
记者手记
别让名利撞了腰
人们的衣食住行需要经济实力支持,进行科学研究也离不开设备和经费。社会越来越现实。在信息化社会里,名很容易就能带来利。发布点利好消息,股票就能上涨;整几个新概念,企业就能吸引来投资;各种学历、职称都能增加你的收入。
记者采访的几位专家,对王小云教授的科研成果给予了积极的肯定。国际密码学专家对王小云教授的研究成果也是称赞有加,说她发明的“模差分”方法有着重要的理论意义和实用价值。在现今物欲横流的社会,需要大量像王小云教授这样实实在在进行科学探索的学者。翟起滨教授一再强调,对王小云教授的研究工作应给予支持。
但记者最近还是嗅到了某些名利的味道。从网站、论坛到纸媒体,从“根基动摇”到“大厦将倾”,怎么看都觉得有忽悠的成分。
报道者不一定是这方面的专家,报道与事实有点出入在所难免。遗憾的是,在山东大学信息安全实验室的网站里,发现类似的文章竟然链接在醒目的位置。这就让人有点想法了。踏踏实实做学问应该大力提倡,不过要注意方式方法。还是让名利离科学远点。
另:我们有必要为了长自己的志气就夸大其词,并且一再的以讹传讹么?如果真的如那些文章所言,MD5与SHA-1早在2004-2005年就已被破解,我们的银行等涉密单位居然到现在还在使用这些算法岂不是把百姓的财产当儿戏?必须指出,像百度百科这样的知识类网站,理应有一个体系来保证名词解释的相对正确性,可是它没有这么做,相当一部分大陆网站在这一点上非常的不负责任。当然,如果为了名利去到处胡吹,那就更恶劣了。
另附一篇网友博客文章:http://keilt.blogbus.com/logs/27179841.html , 此文内有王小云的论文(pdf版)下载。 互联网没有绝对的安全,这样多简洁,长篇大论的有必要吗 现阶段来讲,WPA的破解在理论上还没有新的突破,数学基础依然很稳固。有一部分人对现在的字典方法很不屑,但目前来说只有这么一条路,别无选择,能够做的也就是怎么提高运算效率,做一点优化。 本帖最后由 longas 于 2009-8-16 23:42 编辑
哈,很高兴看到suzuran的转帖,能有这样的讨论很好,以后也请这样,加分支持先。下面说说我个人的观点,纯属探讨,勿上纲上线。
首先,要声明一点,你的这篇还有其它几篇对MD5破解与否进行分析的文章,我都是看过的但却并没有引用在论坛里,因为我有所期待。这些专家说的都很有道理,关振胜写的关于证书方面的那本很厚的书我也细细读过,现在就在身边的书架上。
不过我不知道看到我原来转载的那篇文章及现在这篇的朋友,有多少人是研究过证书,或者说对证书方面的安全有过系统的了解,我想绝大多数人的了解都还只是停留在银行的那个网银证书U盘上吧?其实绕过证书认证的方法有很多种,从最早的直接伪造证书如Cain到间接欺骗客户端如今年黑客大会上公开的SSLStrip伪造连接,至于它们对现在的网银威胁有多大,我想你可能并没有机会看到几个月前证监会对内部发布的严重威胁通告,明确指出SSL及HTTPS!!现在专业搞安全技术和销售的都知道在国内能解决这一问题的设备或者软件并不多。
OK,我们不扯这个了,回到我们所说的王小云教授和MD5上,还是那句话,在MD5刚出来的时候,宣称一百年也破解不了,可是事实呢?也不过20年而已,已经有了极大的突破,可能有的朋友又要说了,这个要破解的话目前至少需要5年的,没错,但是要知道以前可是需要50年以上的,而且我们看到了,随着计算能力的迅猛发展,这些速度终将提升到前所未有的高度,我记得有统计称每年最高浮点运算值都不是简单地翻几百倍,而是多少次方!!除此之外,对于算法本身的碰撞研究将有助于破解效率的提升,相对于大多数王小云和她的团队,至少做出了努力并且获得了成果。这个成果的意义巨大,看看国外那些玩破解的黑客们的相关工具及介绍,你会看到对王小云教授的尊敬和由衷地钦佩。
最令人哭笑不得的是其实国内的GOV及MIL(不要告诉我不知道mil是什么)的相关部门一开始根本就没有意识到王小云的价值,直到前几年无意中得知这个md5碰撞发现的深远意义和这个团队的真实实力,才派专人去其大学实验室探访(尤其是Mil方面),并设定了相关的重点保护措施。你觉得这样能够享受政府特殊津贴的教授,后面没有一些特别部门、高性能运算机构、mil相关机构的支持么?就像很多人都相信CDMA是加密的一定安全一样,有机会问问部队特别通信监听及作战分队的人吧,那被军方淘汰的东西就是一透明的.........
最后,你凭什么认为王小云教授就一定会把自己所有的研究所得公开呢?甚至有的能公开么?我对一些部门谨慎的态度完全理解,呵呵,所以,我保留看法,因为还有所期待。 本帖最后由 suzuran 于 2009-8-17 12:50 编辑
本人确实不是安全专业科班出身的,只不过最近在弄一个关于SSL VPN与指纹验证产品接口的东西需要找点资料,回家上网发现自己的网速很慢,于是想要破解一下别人的AP蹭一下网,结果鬼使神差的到了anywlan。Moxie Marlinspike 中间人攻击的视频,我在youtube上看过,似乎确实有效(因为仅仅是视频,所以说似乎) ,不过毕竟那不是直接针对算法的破解,只是针对终端用户的疏忽而设的陷阱,所以也没太当回事儿。上面转帖绝不是否定王小云教授在加密算法碰撞研究方面的成绩,只是质疑一种态度,即我们是不是该因为看似正当的理由,而夸大、编造和隐瞒、然后又在不深究的情况下以讹传讹。个人认为,任何严肃的科学报道都应基于多方面多角度的观点合结论进行,而不应偏颇跟有目的的筛选,所以提出同各位TX探讨一下而已。最都多谢longas兄的批评与指正,这方面我只是刚入门,以后还请多多指教。 不明白与wpa有何关系。 这文章蛮老的吧 我那时候在玩moto p2k手机的时候天天都在刷机。这没个刷机包中都有提到 rsa破解或签名破解。这个文章就是那时候出来的应该有4年了吧。 但破解 rsa和 wpa算法有什么关系? rsa早在2001年前就给俄国了破解了。wpa现在所谓的破解也都是用字典穷举法! 在不然就是在东京交流会上的 tkiptun工具最好得到的也只有mic密文 所以wpa还是安全的 只有不是傻瓜有规律的密码 wpa更本无法破解 本帖最后由 longas 于 2009-8-26 11:12 编辑
同意楼上的观点,东京大会那个所谓破解就是一瞎扯。所以我还是继续做我的Hash。 本人确实不是安全专业科班出身的,只不过最近在弄一个关于SSL VPN与指纹验证产品接口的东西需要找点资料,回家上网发现自己的网速很慢,于是想要破解一下别人的AP蹭一下网,结果鬼使神差的到了anywlan。Moxie Marlin ...
suzuran 发表于 2009-8-17 12:38 http://www.anywlan.com/images/common/back.gif
以后也请多支持。另外,我同意你的观点“任何严肃的科学报道都应基于多方面多角度的观点合结论进行,而不应偏颇跟有目的的筛选”。这个我以后在引帖的时候会多留意。
若对指纹方面感兴趣,也许我们也能聊聊。 我也没看明白和WPA有什么关系 关键要有防范意识。 WPA能像WEP那样轻松破解的话,ceng网就更爽了 大家的讨论都很实在啊
页:
[1]
2