|議史紀

編輯|議史紀

“你知道是誰先把國際主流加密算法打出漏洞的嗎？”

這個人不是美國人，也不是哪家跨國公司的首席科學家，而是一個來自山東小城的中國女數學家。

在美國的密碼學圈子里，她的名字被寫進教材，被印在頂級會議論文里，研究者談到特定攻擊方法，干脆直接叫“Wang 攻擊”。

從山東小城到密碼學冷門

王小云出生在山東諸城，家庭很普通，父親是中學數學老師，母親在家務農，這是公開簡歷里寫得清清楚楚的背景。

她的數學啟蒙很早就有土壤，但從現有材料看，她一路走來沒有“全國競賽冠軍”“少年班神童”這種標簽。

考入山東大學數學系后，她走的是一條在當時看來再正常不過的學術道路：讀完本科、碩士、博士，專業(yè)都在數學。她一開始做的是解析數論這種典型的基礎數學方向，導師是著名數學家潘承洞。

她 1987 年本科畢業(yè)，1990 年碩士畢業(yè)，1993 年獲博士學位，全程都在山大數學系，這是一個扎扎實實的本土培養(yǎng)過程，沒有所謂“名校跳板”的戲劇性。

變化發(fā)生在博士階段。當時國內信息安全、密碼學遠沒有今天這么熱，既不熱門，也沒多少人能清楚說清這行是干什么的。

她在讀博后期轉向密碼學，開始做密碼分析相關的數學研究。如果站在今天回看，這是一個非常關鍵的選擇：她把自己的數學訓練，壓在了一個當時冷門但技術門檻極高的方向上。

密碼學聽上去很高深，其實在具體工作上極其枯燥。

王小云后來的幾次公開演講提到，她做的是對哈希函數的比特級分析，研究的是每一輪、每一位如何擴散、如何產生差分路徑。

這些東西幾乎沒有什么直觀圖景，大部分時間就是公式、符號、表格，推錯一步就要從頭再來。

她把目光盯上的是當時全球用得最廣的哈希函數家族：以 MD4、MD5、SHA-0、SHA-1 為代表的一系列算法。

按照后來清華大學等機構的官方介紹，她發(fā)展出一套比特級差分分析框架，能系統(tǒng)性地挖掘這些算法里的弱點。

在外界還普遍相信這些算法“牢不可破”的時候，她已經在辦公室里一點點拆這堵墻的磚。

懷孕、臨產、坐月子都沒完全停下工作。從旁觀者視角看，這是極端密集的體力和腦力消耗，但從事實層面說，這確實是她后來能提出一整套攻擊方法的基礎。

長時間的手工推演，讓她摸清了這些函數內部結構的細節(jié)，對哪一輪、哪一位更敏感，有非常具體的把握。

美國安全部門先坐不住了

2004 年 8 月，在美國加州圣巴巴拉舉行的 CRYPTO 2004 大會上，王小云和合作者在著名的“rump session”上公開展示了對多種哈希函數的碰撞攻擊，其中包括 MD5 和 SHA-0。

國際公開資料已經把這一幕寫進了密碼學發(fā)展史：這是第一次真正意義上的實用性 MD5 碰撞，也是 SHA 系列首次遭遇如此強烈的數學攻擊。

MD5 在 1990 年代被廣泛用于數字簽名、軟件分發(fā)校驗、認證協議，是事實上的行業(yè)標準之一。SHA-1 則是美國國家標準與技術研究院（NIST）發(fā)布的安全哈希系列中的主力，被寫入聯邦信息處理標準，在大量政府和商業(yè)系統(tǒng)中使用。

那之前，業(yè)界普遍估算，想在這些函數上找到一次真正的碰撞，需要接近“2 的 80 次方”級別的運算量，對當時的算力來說基本等于不可能。

王小云團隊的成果，把這個“不可能”的門檻壓到了一個理論和實踐上都無法忽視的層級。公開論文顯示，他們通過精細的差分路徑設計和消息修改技巧，把攻擊復雜度降到遠低于原先安全強度假設的范圍。

這并不意味著任何人馬上就能用一臺家用電腦去偽造簽名，但在專業(yè)圈里，結論已經足夠明確：舊的安全線被踩到了。

NIST 在 2005 年正式發(fā)布通告，承認 SHA-1 的碰撞安全性受到嚴重威脅，并在 2006 年要求盡快過渡到更安全的 SHA-2 家族，后來又組織了為期數年的新一代哈希標準甄選，最終選出了基于 Keccak 的 SHA-3。

這一整套動作，和對 MD5 與 SHA-1 安全性研究的累積有關，其中王小云團隊在 2004 年、2005 年的工作，是繞不開的節(jié)點。國際安全工程著作和教學材料里，都把“Wang 等人在 2004 年打破 MD5”“降低 SHA-1 碰撞復雜度”寫成重要時間點。

技術社區(qū)內部的反應也很直接。安全軟件和瀏覽器廠商陸續(xù)宣布，不再接受基于 MD5 的證書簽名，后來也逐步淘汰了 SHA-1。

在這之前，很多人把這些算法看作可靠“地基”，在它們之上堆建各種應用。現在地基被證明有裂縫，再怎么補強也難以讓人安心，換一套新的基礎，變成不得不做的事。

在這種背景下，美國科研機構和科技公司對王小云的興趣，很容易理解。根據多家媒體和院校介紹，在 CRYPTO 2004 之后，她和團隊迅速成為國際密碼學會議的常客，各種合作邀請不斷。

一些國外大學和研究機構提出的條件，在公開報道中已經非常直白：終身教職、獨立實驗室、充足甚至近乎“無限”的項目經費，以及遠高于國內高校薪酬水平的待遇。對任何一位科學家來說，這都足以改變生活軌跡。

但從結果看，她并沒有接受這些邀請。2005 年，她受聘為清華大學高等研究中心“楊振寧講座教授”，轉到北京工作，此前長期在山東大學任教。

從 2000 年代中后期開始，王小云的履歷一路上升：入選中國科學院院士，獲得包括未來科學大獎等在內的重量級獎項，在國際密碼學會的年會上拿到“最具時間價值獎”這類專業(yè)圈高度認可的榮譽

與此同時，她在工程層面的貢獻，也進入了一個新的階段。官方資料顯示，她主持設計了中國的 SM3 哈希函數，這一算法 2010 年由國家商用密碼管理辦公室發(fā)布，之后先作為行業(yè)標準、再上升為國家標準，用于電子認證等多個場景。

后來，SM3 又被國際標準化組織采納，寫進 ISO/IEC 10118-3，成為國際認可的專用哈希函數之一。

王小云并不缺榮譽，她的職稱、獎項和國際同行的評價，已經說明了專業(yè)圈對她的認可程度。就事論事地說，她不需要被包裝成“傳奇人物”，也不需要被神化。

她做的事情，本質上是用嚴密的數學方法去驗證和設計密碼算法，這是一個長期、艱難、但又非常具體的工作。

由于平臺規(guī)則，只有當您跟我有更多互動的時候，才會被認定為鐵粉。如果您喜歡我的文章，可以點個“關注”，成為鐵粉后能第一時間收到文章推送。