[解析定义的关键是&百思不得其解&、&做别的事&，想到解决办法，据此，只有项符合。、两项主体做的是同一件事，项不是主体想出来的办法。
正灵樊政名师团队破解困局:中国应建立国家级数据库应对优秀论文外流
14:33原文出处：
　　“中国最重要的学术成果中有95%以上不在国内发表，我们借助国外同行把它发表出来，同时，国家每年还要花很多外汇把这个成果买回来用于支撑我们的科研教育。”上海书展还未开幕，一场围绕中国学术出版
“走出去”展开的高端论坛于8月13日下午开讲。国家新闻出版广电总局副局长邬书林在论坛上点出的中国学术出版这一尴尬现状引起与会者的反响。
　　中国学界每年产出的量巨大是不争的事实。但一个不容忽视的现状是：一些颇有现实成果的科技领域极度缺乏相关学术出版物。邬书林举例说：“中国已经大规模运行105万的组，但这方面的学术著作几乎看不到。我们的桥梁设计达到了世界水准，但我们没有看到这方面形成重要的学术出版物。”
　　中国学术出版的尴尬现状
　　中国在国外一些顶级期刊量出现井喷之势，相反国内期刊接受的高水平论文却凤毛麟角，这无疑说明了中国学术出版面临墙内开花墙外结果的尴尬现状。在2013年前6个月，中国科研机构在Nature、Cell和Science三大系列期刊的总发文量为181篇，同比增长了31.2%。而据最新更新的“自然出版指数”排名(截至到日)，在过去1年中发文《Nature》系列期刊的数量为185
篇，超过日本(131篇)位列第一位。而在亚太地区发文《Nature》系列期刊的前20名中，中国研究机构除中国之外还有4家入榜，它们是(44篇)、(41篇)、大学(36篇)、和深圳(29篇)。
　　邬书林认为，中国出版人该到警醒的时候了，“如果我们只是低端地追求虚假繁荣，这个行业就要被淘汰。我们要向的出版人学习，尽管中国的学术出版和发达国家相比有很大差距，但差距也意味着发展的空间。”
　　在与会专家学者们看来，学术出版推动着、文化繁荣，也推动着社会经济的进步。如今，占世界出版份额32%的学术出版已成为一个庞大的产业，也是整个出版业中市场最稳定、利润率最高、回报最可靠的产业部门。无论是学术内容的世界，还是作为产业的经济效益，中国学术出版的重要性也正被越来越多的人意识到。
　　论坛上透露，在推动中国学术出版的方面，国家财政、国家金融等方面出台了一系列支持学术出版和学术出版走出去的相关政策;学术出版有关的三大基金也在不断增加：其中，170亿元的国家自然基金、14亿元的国家社会科学资金中都有相当一部分用以支助学术出版，国家出版基金每年用于资助学术出版的也有三个多亿。今年，国家新闻出版广电总局也新增3500万元支持学术出版走出去。
　　如何用好这笔钱，让“不差钱”的学术出版“更值钱”，成为摆在中国出版人面前的一个时代命题。在高端论坛上，上海交通张杰表示，将把学术出版“走出去
“纳入学校建设的总体布局。上海交大社长韩建民表示，学术出版是大学出版社的核心，大学出版社应当坚守学术出版使命，打造学术出版精品。
　　邬书林强调，学术出版“走出去”需要大批原创学术出版精品作为工作基础，需要国内外学术出版商联合谋划，并按照国际出版规律和学术出版规范来组织实施，稳步推进。在他看来，作为的中国，要在学术出版领域全面赶超发达国家并不切合实际，“选好新兴学科，选好优势学科，选好重点领域，在这个基础上有所为，有所不为，制定出实实在在的赶超计划。”
　　领域的科研数据要当成战略资源
　　上海生物主任李亦学透露，国内一批院士和重量级专家正在起草一份报告，建议国家借鉴美国、欧洲、日本等的做法，建立生命科学，从而打破共享瓶颈。作为该调研报告的参与人，李亦学表示，在技术上，共享“不存在任何障碍”，国家应尽早落实布局。
　　李亦学称，美国国立信息中心(NCBI)存储了学、、领域的海量数据，一大批专家和家维护着这个庞大的数据库和自动。这个平台对支撑起美国在生命科学领域的地位至关重要。目前NCBI免费向全球提供数据，在所有访问量中来自中国的占了相当大的份额。
　　令人忧虑的是，如果有一天NCBI不再与中国科学家共享数据，中国的该怎么办?一旦NCBI向中国关上大门，一些院士的判断是：“中国生命可能倒退20年。”
　　在大数据时代，数据就如石油一般，是国家的战略资源。李亦学认为，正因为如此，必须由国家出面，建立科研的机制和环境。而目前，哪怕政府对所资助的课题提出数据共享的强制性要求，科学家也不知道该去哪儿共享。
　　在生命科学领域，国际有一个不成文的规定：要想在顶级刊物发表论文，科学家必须共享其，而且大都必须将数据递交到NCBI的数据库体系。李亦学说，因此，在NCBI的数据库，由中国科学家提供的数据占了不小比例。这种“国内数据、国外整合”的做法不合理，但也表明在国内推动数据共享存在可操作性。
　　根据调研，在我国建立国家级的生命平台也许需要数亿元的年度预算，以建立一个海量科学数据存储和计算服务的软硬件架构，以及维持一支高水平的研发和服务团队。但一旦建立起来，这个平台的回报以及潜在的社会经济效益，“无论怎样估计都不会过分”。
其他网友还关注过：
日前，由两院院士评选出的2014年度中国/世界十大科技进展新闻中，有8项研究内容与空间科技相关，占获评项目的40%。这一现象引发了科学家对空间科技重要性和发展现状的反思。“空间科技是覆盖自然科学宏观和......
【导语】年度北京市自然科学基金试行增设了青年科学基金项目。目前，青年科学基金项目已完成两年试行，在试行期内达到了预期目标。近日，北京市科学技术委员会下发了“关于设立北京市自然科学基金......
北京时间2月4日消息，据科学日报报道，近日科学家们鉴别了一种可以提供有关人类寿命的至关重要的线索的生物钟。研究人员调查了在人的一生中DNA发生的化学变化，这将帮助他们预测个体的年龄。通过对比个体的实际......
主讲人：饶毅（北京大学生命科学学院教授、前院长）胡瑞法（北京理工大学管理与经济学院教授）姜韬（中科院遗传与发育研究所生物学研究中心高级工程师）赵南元（清华大学教授）主题：激辩转基因——生物安全、主粮与......
原题目：2015年，让我们花260亿小时搞科研、发92万篇文章、喝10亿杯咖啡、吃23.4万块小饼干2015年全球科研投入总金额：19000亿美元（约合11.8万亿人民币）此图的结论建立在美国国家科学......
2015年度国家自然科学基金委员会与以色列科学基金会合作研究项目初审结果通知经过公开征集，今年国家自然科学基金委员会（NSFC）共收到2015年度中以NSFC-ISF合作研究项目申请58份。经初步审查......
NaturereviewsDrugDiscovery2015年1月的文章，讲Eli1新药研发模式在新药研发中的经验。Chorus:是EliLily下的机构，属于10年前各大药企希望提高研发成功率的创新......
日，美国细胞出版社“2014中国年度论文/机构”首度揭晓。群体基因组进化生物学等5个热门领域的代表性论文及中国科学院上海生命科学研究院等5家机构入选。此次评选由中国科学报社作为第三方......
近期一项研究因轻视癌症预防工作如涂抹防晒剂等，受到批评人士指责。图片来源：DAVIDPARRY今年元旦，美国《科学》杂志出现了一些引人注目的报道：一篇被记者称为“癌症厄运”的报道与这篇报道所依据的研究......
历史经验表明，任何一个技术创新活跃、经济繁荣的时代，都有适宜的思维方式和价值观念作为人文社会环境的支撑。一个国家产品的创新依赖于技术创新，而技术创新依赖于科学创新，科学创新又与人的思想解放状况和文明发......
相关产品仪器相关实验室实验室 下载
 收藏
该文档贡献者很忙，什么也没留下。
 下载此文档
正在努力加载中...
漫谈学术研究与论文写作
下载积分：400
内容提示：漫谈学术研究与论文写作——所有资料文档均为本人悉心收集，全..
文档格式：PDF|
浏览次数：116|
上传日期： 15:15:04|
文档星级：
该用户还上传了这些文档
下载文档:漫谈学术研究与论文写作.PDF
官方公共微信中国的顶级解码高手&(发表于： 22:03:03)
&【楼主】&
50?fdh:50)">]
她十年内破译 五部顶级密码
　　■她，比《暗算》里的&黄依依&还要聪明
　　■她说，破译密码的那10年是她生活最轻松的10年
　　■她很爱美，曾走进伦敦最贵的百货公司买鞋
　　■她热爱生活，拿手菜烧排骨是学生们公认的美食
　　美国政府使用的密码
　　MD5密码算法，运算量达到2的80次方。即使采用现在最快的巨型计算机，也要运算100万年以上才能破解。但王小云和她的研究小组用普通的个人电脑，几分钟内就可以找到有效结果。
　　SHA-1密码算法，由美国专门制定密码算法的标准机构&&&美国国家标准技术研究院与美国国家安全局设计，早在1994年就被推荐给美国政府和金融系统采用，是美国政府目前应用最广泛的密码算法。2005年初，王小云和她的研究小组宣布，成功破解SHA-1。
　　《崩溃！密码学的危机》，美国《新科学家》杂志用这样富有惊耸的标题概括王小云里程碑式的成就。因为王小云的出现，美国国家标准与技术研究院宣布，美国政府5年内将不再使用SHA-1，取而代之的是更为先进的新算法，微软、Sun和Atmel等知名公司也纷纷发表各自的应对之策。
　　&她具有一种破译密码的直觉&
　　王小云个子不高、短发、戴着厚镜片的金边眼镜。一说话，口音里带着淳朴的山东腔。有10年的时间，她走在山东大学的校园里，能认出她的人很少。在记者采访前，她已经有半年没有接受过采访，
　　就是她，两年前，在美国加州圣芭芭拉召开的国际密码大会上主动要求发言，宣布她及她的研究小组已经成功破解了MD5、HAVAL-128、MD4和RIPEMD四大国际著名密码算法。当她公布到第三个成果的时候，会场上已经是掌声四起。她的发言结束后，会场里爆发的掌声经久不息。而为了这一天，王小云已经默默工作了10年。几个月后，她又破译了更难的SHA-1。
　　王小云从事的是Hash函数的研究。目前在世界上应用最广泛的两大密码算法MD5和SHA-1就是Hash函数中最重要的两种。MD5是由国际著名密码学家、麻省理工大学的RonaldRivest教授于1991年设计的；SHA-1背后更是有美国国家安全局的背景。两大算法是目前国际电子签名及许多其他密码应用领域的关键技术，广泛应用于金融、证券等电子商务领域。其中SHA-1更是被认为是现代网络安全不可动摇的基石。
　　在王小云开始Hash函数研究之初，虽然也有一些密码学家尝试去破译它，但是都没有突破性的成果。因此，15年来Hash函数研究成为不少密码学家心目中最无望攻克的领域。但王小云不相信，她想知道，Hash函数真像看上去的那么牢不可破吗？
　　王小云破解密码的方法与众不同。虽然现在是信息时代，密码分析离不开电脑，但对王小云来说，电脑只是自己破解密码的辅助手段。更多的时候，她是用手算。手工设计破解途径。
　　图灵奖获得者姚期智评价她说：&她具有一种直觉，能从成千上万的可能性中挑出最好的路径。&
博学之 审问之 慎思之 明辨之 笃行之
回复标题&(发表于： 22:03:51)
&破译密码后我去外面吃了一顿饭&
　　当王小云带领她的团队终结MD5后，《华盛顿时报》随后发表报道称，中国解码专家开发的新解码技术，可以&攻击白宫&。王小云说，在公众的理解上，密码分析者很像黑客，但我们的工作与黑客是有明显区别的。她说：&黑客破解密码是恶意的，希望盗取密码算法保护的信息获得利益。而密码分析科学家的工作则是评估一种密码算法的安全性，寻找更安全的密码算法。&
　　与电视剧里《暗算》里的高手不同，王小云的工作更准确地说是&明算&。王小云说：&与黑客的隐蔽攻击不同，全世界的密码分析学家是在一个公开的平台上工作。密码算法设计的函数方法和密码分析的理论都是公开的。&
　　她说：&在破解了SHA-1的那天，我去外面吃了一顿饭。心里有些兴奋，因为自己是第一个知道一个世界级秘密的人。&
博学之 审问之 慎思之 明辨之 笃行之
回复标题&(发表于： 22:04:42)
&破解一种先进的密码需要10年&
　　看过电影《U-571》的人一定记得，美军为了获得德国潜艇使用的密码，不惜用一艘潜艇伪装成德国潜艇去盗取一艘受伤德国潜艇上的解码机和密码本。王小云说，真实的情况绝不是电影里描述的那样。她说：&盟军当年为了破解德军使用的英格曼密码，动用了大批数学家，其中包括图灵，现在数学界中的崇高荣誉&图灵奖&就是以这个数学家的名字命名的。&&这一批数学家前后经历了10年的时间最后才破解了英格曼密码。&
　　王小云说，一般而言，一种先进的密码被设计出来后，要破解需要10年左右的时间，而设计一种新的密码大约需要8年的时间。密码学就是在这种不断的创立和破解中发展的。王小云是从1994年开始破解MD5和SHA-1的，到她2004年成功破解恰恰经过了10年。她说，从现在开始世界密码学界已经开始了新密码的设计工作，预计到2012年新一代安全密码将产生。
　　&99％的人在这个领域里永远也不会成功&
　　破解密码，在电视剧里，这个职业充满了紧张与刺激。王小云说，现实中的密码破解工作远没有那么戏剧性。她说：&事实上这个领域里的科学家，99％的人永远也不会取得成功。&在破解密码算法RIPEMD的过程中，为了找到最后的破解方法，王小云曾经先后尝试了30多条破解路线。王小云回忆说，经常是破解进行到深夜，一条破解路线在最后的关键两步被证明是不可能的，只好第二天从零开始再找下一种破解方法。如此坚持了3个月，才成功破解。
　　王小云说：&现在看来，当初选择这个研究领域是有很大风险的，可能永远不会取得实质性的成果。但我对这个问题有兴趣。&
博学之 审问之 慎思之 明辨之 笃行之
回复标题&(发表于： 22:05:29)
博学之 审问之 慎思之 明辨之 笃行之
回复标题&(发表于： 22:06:05)
这是邓楠为王小云（右）颁发奖项！
博学之 审问之 慎思之 明辨之 笃行之
回复标题&(发表于： 22:13:10)
美国国家标准与技术研究院的密码学家 William Burr 在谈到中国密码学家王小云教授的时候说： &去年，我还庆幸地说还好她没有把 SHA-1 也破解了，但是现在，她真的这样做了&。现就任于清华大学的王小云教授在2004年破解了被广泛用于计算机安全系统的 MD5 函数，震惊了整个国际密码学界。2005年，她再次作出惊人之举，然而这一次，她又进了一步。
&&& SHA-1 函数可以说是计算安全系统的基石，它由美国国家安全协会发明并认可，是计算机安全系统应用非常普遍的函数。但很快，这种情况将会被改变。Burr 称：&这就好比水管有了个裂缝开始渗水，结果很可能不是继续渗漏，而是导致整体的崩溃。&
&&& SHA 是&安全散列算法&的首字母缩写。散列算法（Hash 算法）是一个有神奇作用的数学过程，它能把任意长度的数字信息变成某个固定长度的二进制字符串，不管原来的信息是一个字符还是几十页的文章。这个算法把原文件中的数位和其他随机选择的数位混合起来，从中提取特定长度的字符串即散列值。虽然散列值本身是无意义的，但它为验证原文件（也可能是签名，密钥）的完整性提供了捷径。
&&& Hash 算法，或称 Hash 函数，被普遍应用于数字安全的几乎所有方面。登录办公室局域网、进入个人邮箱和安全页面都要用它来保护用户的密码；电子签名系统利用它来认证客户及其发来的信息；法律文书、财务信息和有版权的重要文件用它作为时间戳来确保数据不被篡改；银行系统使用它在用户输入×××密码之前确保网页的安全&&总的说来，密码学家可以在他们设计的协议中灵活地使用它来增加安全性。美国著名密码学家 Bruce Schneier 这样说：&在我设计密码协议的时候，我处处都用到 Hash 函数，他们就象万灵药一样。&
&&& Hash 函数的种类很多，而王教授破解的正是使用最广泛的两种。由麻省理工大学的&&& Ronald Rivest 教授于1991年设计的 Hash 函数 MD5，至今仍被应用于较早期的安全系统中。而由美国国家安全协会于1995年发明的 SHA-1 则正在为最新与最安全的系统服务。
&&& 是什么使得这两种函数得以普及呢？首先，它们非常复杂。用密码学家的话说就是&计算不可能&的----从计算量上来讲，无法由 Hash 值逆推得到原始的数据，这是一个相当理想的特点。此外，更为巧妙的是，以现有的计算能力不可能找到产生相同的 Hash 值的任何两组数据。
&&& Hash 值都比较简短，例如 MD5 只输出128位的 Hash 值。因此足够大量的数据总能产生相同的 Hash 值。这些数据就产生&碰撞&。但 Hash 算法的设计使得以现在的计算能力几乎无法找到碰撞，更不要说由此来篡改数据或者签名了。就拿 MD5 来说，平均要264次猜测才能找到一组碰撞。
&&& SHA-1 的位数要长一些，共有160位。它平均需要280次计算才能找到具有相同 Hash 值的两个数据。即使使用目前世界上最强大的计算机也需要数百万年的时间才能做到。至少人们都是这样认为的。但现在，王小云改写了这个数字。
&&& 她通过分析算法中各个阶段的数据变化来找出碰撞。当一个文件（或称为&信息&）在进入演算过程的时候，数据就会在每一步中改变。如果用两个原来只差几个数位的信息进行运算，然后观察它们在每一步的变化，就有可能找到某种数学上的规律，从而发现可能产生碰撞的数列。但这可不简单，这需要有出众的思维能力。不过王教授正是这样的人。
&&& &王教授拥有令人惊讶的能力，她能够看到演算的下几步，而且她具有一种直觉，能从成千上万的可能性中挑选出最好的路径。&清华大学的姚期智教授这样说。IBM Watson 研究院的密码学家 Charanjit Jutla 认为王小云超凡的能力是对密码学界的一种警示，他说：&破解 Hash 函数非常艰难，但有的人就是会迎难而上的。就好比一个太复杂的谜，大多数人弄累了就放弃了，但是她没有。&
&&& 事实上，王小云发现对某些算法，只要找出碰撞路经就足以破解这种算法了。1997年，她通过成功地找出碰撞路径只用258次计算就破解了本需要280次的 SHA-0（SHA-1 的前身）。
&&& 至于 MD5，王小云发现它混合数据的步骤并不象 SHA-0 那样规律，要找出碰撞的途径比较困难。不过在中科院冯登国教授、上海交大来学家教授和她的博士生于红波的共同协助下，她还是成功地破解了 MD5。更重要的是，他们发现了一种能够自动修改那些不符合碰撞路径的消息的算法。通过这种方法，他们能够用改良了的信息得到碰撞。王小云教授在圣巴巴拉举行的2004年世界密码学大会上宣布了这一突破：她不仅能在237次计算后找到碰撞，而且已经在她的实验室里用计算机找到了碰撞。当时，全场的科学家们都震惊了。大会主席、普林斯顿 Hewlett-Packard 实验室教授 Stuart Haber 形容道：&这真是一个极具冲击力和令人鼓舞的结果，全场掌声雷动。&
&&& 好戏还在后头。现居美国 Greenwich 的华人研究员尹依群，在得知王教授破解 MD5 的方法后，也加入了王教授的研究团队，对 SHA-1 发起了攻击。
&&& 当然这次尝试更加艰难。SHA-1 的第一步就是&消息扩展&，原本512位的信息块膨胀成2560位的信息。MD5 虽然也有&信息膨胀&的阶段，但那只是一些数位的重复。而 SHA-1 中原来的512位信息在进行一系列运算（加、减、各种轮换）的过程后衍生出新的复杂的数列组合。
&&& 但这些困难是无法击退王教授和她的合作者的。他们发现了这个函数的一个数学弱点，这使他们得以用计算机程序找到这样的信息对：经过信息扩展后的2560位信息中，不同的地方仅有44个位置。相异信息的大量减少使他们找到可能产生&碰撞&的信息更加容易。他们还应用了破解 MD5 时所用到的&明文修改&技术来增加找到&碰撞&的可能性。在2005年2月美国旧金山举行的 RSA 年会上，他们宣布他们发明了一种攻击方法，产生两个具有相同 SHA-1 输出值的消息仅用269次尝试，而不是人们预计的280次。
&&& 这一次，密码学家们完全慑服了。&这是密码研究学界的危机。&RSA 实验室主任 Burt Kaliski 在会议现场接受《新科学家》访问时表示。然而，王小云表现得更加谨慎，她说：&我认为这是一个好的消息，人们能够了解到现在的 Hash 函数的安全性，并设计出更安全的 Hash 函数。&
&&& 虽然这还不是一个直接的威胁--还没有人真正计算出 SHA-1 的碰撞。王小云所发现的只是一种快于强力攻击的方法。但是，不同于 MD5 的破解，还没有人真正破解 SHA-1。Burt Kaliski 说：&当一个密码学家说一种密码被破解，并不意味着所有人都能破开它，而是破解这种密码比原来应该需要的工作量要少。&来自 ICSA 实验室的密码学家& Mark Zimmerman 说：&这不是世界末日，但确实是漂亮的一击。&
&&& 然而，自从二月份宣布这个消息以来，在王小云与姚期智教授和香港城市大学的储风教授的共同研究下，他们再次降低了找到碰撞所需的计算量。目前的次数为263次，这是一个重要的数字。因为如果用多台计算机来进行并行计算的话，只需一个月左右的时间就能找到产生碰撞的&信息对&了。哥伦比亚大学教授 Stephen Bellovin 说&虽然工作量很大，但这是完全可能实现的。&
&&& 在2005年十月底，Burr 在 Gaithersburg 召集了众多密码学家来讨论王教授的发现并研究对应的办法。许多与会的专家都想竭力证明王教授的发现是否真的有效。虽然这种攻击需要分布式计算，而且大量的网络计算机已经准备好实施这个任务了，但 Burr 并不鼓励这么做。他持有疑虑是因为一旦这个计划付诸实施并公布出结果，那么随便谁都能利用王的攻击了。
&&& Burr 指出，电脑黑客不大可能依靠自己的力量找出碰撞，因为这需要借助数目庞大的个人电脑才有可能实现。尽管利用黑客程序控制大量的连网电脑有可能做到，但这种情况出现的可能性不大。如果研究者们完善了王小云的密码协议并发表了结果，它很可能会被黑客所利用。Burr 称：&如果你生成了碰撞，你等于替黑客们抬走了他们抬不动的大石头。&
&&& 针对王教授对 MD5 的攻击，人们已经开始利用她的碰撞了。例如一些密码学研究者已经向我们展示了在 PS，PDF 和 TIFF 文件中如何假造数字签名。这意味着经过 Hash 算法的数字签名附在一个合同上声明&约翰欠保罗100美元&可以被加在一个假冒的合同上，写着&约翰欠保罗50000美元&。不论使用什么样的方法来隐藏它的弱点，相同的攻击同样可以用在 SHA-1 上。
&&& 但是假冒的数字签名还不是最坏情况下的假设，有了原根的碰撞，很可能会有从 Hash 值逆推出明文消息的方法。Bellovin 说&是该意识到危机的时候了。&
&&& 如果 Hash 函数是可逆的，许多的&安全&应用，比如说安全的网络站点（一个以 https 而不是 http 开头的网络地址）将会突然的变得非常的不安全：你浏览器上的那个小小的封闭的挂锁可能什么用处都没有了。与此相似的是，密码和其他几乎每一个数字安全方面（的做法）都变成易受攻击的。&单向是非常关键的。&Schneier 说道。
&&& 到目前为止，还没有人能够找到一种方法可以利用王的破解。这也许是因为密码学家们才刚刚开始做她的后续工作。美国国家标准技术所的 John Kelsey 认为不能等待别人来找到彻底破解的方法。他说：&我担心等到别人公布出原根的攻击方法可能就已经太晚了。&
&&& 这种攻击将把数字安全推向何方？一种选择是把 SHA-1 函数变化一下，使之更加安全。Jutla 已经研发了一种技术，它使得 SHA-1 函数的消息扩展部分复杂了许多，从而让王的攻击失效。他说如果硬件和软件不作任何变化的话，这种技术仅仅使 SHA-1 函数慢了百分之五而已。而 RSA 的 Yin 和 Michael Szydlo 找到一种消息预处理技术，通过在进行 Hash 运算之前引入一个新的步骤使王的攻击失效。但那些试图延长 SHA-1 函数生命的做法是愚蠢的，也是危险的。&SHA-1 函数已被攻破，就像一条受伤的鱼会引来那些猎食的鲨鱼。& 微软的一位研究者 Niels Ferguson 这样形容道。
&&& Ferguson 并不是唯一有这样想法的人；Gaitherburg 会议上的绝大多数人一致认为SHA-1 函数应该被尽快的逐渐淘汰。但这又提出了一个非常困难的问题：谁将取而代之？
&&& 一个很自然的选择是 SHA-256。SHA-256 是由 NSA 专门为在2020年取代 SHA-1 而设计的算法。因为预计那时已经有足够的计算能力来强力攻击 SHA-1 函数了。但有些人认为即使这样也不安全。&所有的设计都是相似的，&Schneier 说道，&从某方面来讲它是好的，因为我们对它的了解很多。但是，这也可能很糟糕，我们可能会被蒙蔽。&有些密码学家认为近期在 Hash 函数上取得的迅速的成功（近18个月来有5个算法被攻破）意味着它们整体都存在弱点。
&&& 不管最终的解决办法是什么，它一定很复杂。使用新的 Hash 函数算法将需要改变密码学、数字签名、电子商务和虚拟专用网络方面的大多数协议。在加州和 Eric Rescorla 一起工作的安全顾问 Bellovin 预计这将花费8年时间。其他分析员认为这个估计过于的乐观了，花费20年可能更加的现实一些。
&&& 尽管这样，没有什么是一定能得到保证的。也许另一个像王教授的这样的意外又会在什么地方发生。Schneier 认为这几乎是不可避免的。&攻击总是变得越来越好，&他这样说道，&它们决不可能变得越来越差。&
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& 摘自第2530期新科学家杂志第44页
博学之 审问之 慎思之 明辨之 笃行之
回复标题&(发表于： 22:15:58)
下午听朋友说到这个消息，晚上就在网上查了一下，看到了整个研究成果的细节，确实令人振奋。 这样的成果令整个密码学界震惊，对我们目前正在使用的IT设施就有很大的影响，很多数据库都提供有MD5加密方法（我自己做过的一些项目就使用的是MD5），一些电子邮件系统也用的是MD5，网站的用户认证.......密码，密码，使用计算机的用户大概还没有说与密码无缘的。还好SSL所使用的是SHA-1，不过也是岌岌可危。 下面是来自普林斯顿大学教授Edwards Felton的评论（http://www.freedom-/archives/000664.html）： Where does this leave us? MD5 its use will be phased out. SHA-1 is still alive but the vultures are circling. A gradual transition away from SHA-1 will now start. The first stage will be a debate about alternatives, leading (I hope) to a consensus among practicing cryptographers about what the substitute will be. 参考：山东大学的新闻稿 http://www.view./news/news/sdyw//.html
博学之 审问之 慎思之 明辨之 笃行之
回复标题&(发表于： 22:16:50)
&&关于王小云破解MD5之我见&&
说中国数学家王小云等在Crypto 2004上提出一种能成功攻破MD5的算法，和都在BLOG里引用了相关的报道。
MD5是一种摘要算法，所以理论上是不可能从签名取得原文（见下面说明）。认为要从MD5的结果中取得原文才算破解，本身就是对摘要算法的误解。它通常应用于数字签名中，用于标识原文的原始性--即在签名后未作任何的修改。如果可以用不同的原文可以产生相同的签名，这也就意味着签名可能失效，就已经可以证明这种摘要算法的不安全。
RL提供的我看了一下，因为我不是做这方面的，所以对MD5算法本身的实现，以及文中所引用的之前别人的理论都并不了解，所以不是很明白。在这份报告中，介绍MD5破解的部分只有一页半，并未细说具体的算法，但在末尾附了两对1024位原文的碰撞例子，较之96年别人提出的512位碰撞有了很大的进步，并且计算量据说在一个小时左右。
这些都是进步，如果把这说成是吹嘘就未免有点妄自菲薄了。
王小云的发现证明了有方法可以产生碰撞，但正如GIGIX那边一位匿名兄所说，这只是非特定碰撞，而要伪造签名则必须能产生特定碰撞。所以说MD5并未被完全攻破，但也已经是一个重大的突破了。
因为我手头没有像《应用密码学》这样的介绍具体密码算法的书，只有一本卢开澄的《计算机密码学》，主要是从数学的角度介绍了几类密码算法的原理及其适用领域。不过因为密码学是基于较为高深的数学理论，比如数论、群论、有限域等，但俺的数学不行，所以具体理论也说不出个一二三四来，只能泛泛地说个五六七八。^O^
首先要说的是为什么需要使用密码？因为我们通常的通信环境是不安全的。
那什么是不安全的通信环境呢？不安全至少表现在两个方面：一是通信的内容可能被窃取；二是通信的内容可能被篡改。
通常的密码使用就是为这解决这两方面的问题。
而如果有方法使某种密码的作用失效，就可以说这种密码被破解了。
当然不安全还有一些其它的方面，那些问题通常除了需要密码以外，还需要用一些特别的协议，很少碰到，这里就不提了。
常用的密码有很多种类，其中最常用的是这三种：
1、对称密码
2、非对称密码
对称密码的特点是：加密与解密用相同的密钥，甚至可能用相同的算法。比如从最简单的异或，到常用的DES、BLOWFISH、IDEA等。它们通常的用途是这样的：
发送方将源文（M）用密钥（K）加密：E=ENC（M，K）
然后将E通过不安全网络传给接收方，接收方用相同的密钥（K）解密：M=DEC（E，K）
只要算法足够好，并且保管好密钥（K），就可以保证这种通信是安全的，因为别人即使知道了密文（E）和算法ENC/DEC，也无法知道明文（M）。
对于这种密码来说，如果有方法可以从密文（E）和算法ENC/DEC中导到密钥（K）或明文（M），则意味这种密码被破解。比如简单异或算法就可以用统计分析法简单地破解掉。但即使是现在被认为不够安全的DES算法（已经有近三十年历史了），也需要有大量的明文/密文对（2的数十次方对），并需要大量的计算时间才能求得其密钥（K）。
非对称密码是因为这样的原因：因为在对称密码中，通信双方需要约定一个共同的密钥（K），如果这个约定过程也不安全，就可能出现密钥的泄露，而对于对称算法来说，密钥一旦泄露，之后的通信过程也就不攻自破了。
通常的非对称密码就是所谓的公钥密码算法，比如现在最常用的RSA（由R. L. Rivest和A. Shamir等人基于大数的因数分解极为困难的原理而创建），或是最近更为时髦的&椭圆曲线&，因为我的数学水平太差，具体算法也说不清楚，只知道大致是这样的：
顾名思义，它所用的算法特点在于加密与解密用的密钥是不一样的。做法大致如下：
发送方自己生成一对密钥：私钥（KA）和公钥（KPA）
接收方也生成一对密钥：（KB）和（KPB）
其中（KPA）和（KPB）是公开的
发送方用算法：E=ENC（ENC（M，KA），KPB）
进行两次加密，接收方用算法：M=DEC（DEC（E，KB），KPA）
进行两次解密，即可得到原文。
而其中双方都不需要知道对方的私钥，这就避免了约定密钥导致的不安全。
非对称密码的算法本身又决定了用私钥加密的内容必须用公钥才能解，反之亦然，并且算法还保证仅知道公钥和密文无法导出私钥，由此决定了通信的安全。
当然，如果有方法可以从公钥导出私钥来，则这种算法即告被破解。但至少目前RSA还是安全的，因为从现在的数学理论上可以证明RSA的算法是一类NPC（NP完备）类问题，只要密钥足够长（RSA要求至少是10的100次方以上，实际使用时更要大得多），以现在最先进的计算机来算，其时间成本也是不可能达到的。
摘要算法则与上面两种完全不同，前面两种密码是用于防止信息被窃取，而摘要算法的目标是用于证明原文的完整性，也就是说用于防止信息被篡改。通常也被称为：HASH算法、杂凑算法、签名算法。它的特点是：从不定长的原文中产生一个固定长度（如MD5是128位）的结果，称为&签名&（S），这个签名必须对原文非常敏感，即原文即使是有少量的变化，也会导致这个签名面目全非。比如传统的CRC或是现在要说的MD5、SHA等都是这类算法。
摘要算法的用途通常是这样的：
比如用户密码验证：如Linux或一些论坛用的方法，用户设置密码时，服务端只记录这个密码的MD5，而不记录密码本身，以后验证用户身份时，只需要将用户输入的密码再次做一下MD5后，与记录的MD5作一个比较即可验证其密码的合法性。
比如发布文件的完整性验证：比如发布一个程序，为了防止别人在你的程序里插入病毒或木马，你可以在发布这个程序的同时，公开这个程序文件的MD5码，这样别人只需要在任何地方下载这个程序后做一次MD5，然后跟公开的这个MD5作一个比较就知道这个程序是否被第三方修改过。
一个安全的摘要算法在设计时必须满足两个要求：其一是寻找两个输入得到相同的输出值在计算上是不可行的，这就是我们通常所说的抗碰撞的；其二是找一个输入，能得到给定的输出在计算上是不可行的，即不可从结果推导出它的初始状态。
反之，如果某种摘要算法不能同时满足上面两个条件，则它就是不安全的。其实主要还是前一个条件，因为从理论上很容易证明后面一个条件基本上都是可以满足的：
摘要算法对任意长的原文产生定长的签名，按照香农的信息论，当原文的长度超过一定的程度的时候，签名中就无法记录原文中的所有信息，这意味着存在着信息的丢失，所以我说理论上不可能从签名中恢复原文。
为什么说理论上呢？就是说当这种摘要算法被完全攻破时，也就是说可以从签名恢复出任意原文，注意：是任意原文，因为所有的摘要算法的特点就是存在着一个无穷大的碰撞原文的集合。而真正的原文只是其中一份。对应这个无穷大的集合来说，这就是一个无穷小，便是我曾经说过的：
可能性为零，不表示不可能。
解释得具体一点是这样：假设原文含有信息量（I），而签名的长度有限（如MD5的128位），则它的信息量只有(i)，因为通常 i & I （除非原文非常短），所以可以这么说：I=i+i‘。因为I没有限制，而i有限制，则 i‘ 也是一个没有限制的量。当进行摘要算法后，i‘ 信息就丢失了。
反过来，如果现在这种摘要算法被攻破了，可以从 i 反推回去，但因为&i‘ 信息已经丢失，意味着 i + I‘ （其中 I‘ 为任意信息）都可能是 I （碰撞）。但 I‘ 是一个无穷集合，并且 i‘ 属于 I‘。这说明：理论上可以从 I‘ 中找到 i‘ 从而恢复出原文 I ，但是可能性为零（1/&=0）。
但要做到前面一点就不容易了。因为绝对无碰撞的算法不可能是一个摘要算法，而只能是一个无损压缩算法。它必须包含原文的所有信息，也就意味着它一但被攻破，可以唯一地恢复出原文。并且它的结果肯定是不定长的，因为它需要包含原文的所有信息，当然会根据原文的长度而变。仅这两点就决定了，它不可能是一个好的签名算法。
最主要的一点是：摘要算法的用途决定了，它只要能找到碰撞就足以让它失效，并不需要找到原文。
以前面的两个例子来说：
比如Linux的用户安全机制，只要得到用户密码文件（其中记录了密码的MD5），然后随便生成一个碰撞的原文（不一定要跟原密码相同），就可以用这个密码登录了。
但后面的程序发布的例子就要难得多，因为它必须能生成特定的碰撞，即在程序中插入病毒或木马后再填充一些数据使之生成与原来相同的MD5。
不过我昨天仔细想了一下，以MD5为例，要产生特定的碰撞应该还是不太可能的，因为MD5的128位信息量已经有点大了，如果要产生特定碰撞，需要填充的数据可能非常之大，导致伪造的原文比真实的原文大得多，可能达到若干个数量级的差别，这样的伪造就已经失去意义了。
王小云的成果已经完全使Linux用的那种基于MD5的身份验证技术失效了。但要说&动摇了差不多整个数字签名界的根基&（令狐语），还为时尚早。
BTW：毕竟不是专业干这个的，可能有些地方不对，还请大家斧正一下。^O^
博学之 审问之 慎思之 明辨之 笃行之
回复标题&(发表于： 22:41:06)
信息工程大学好像有研究这个的专业。
回复标题&(发表于： 22:54:06)
【第10楼】
原帖由 下里巴人1950 于
22:41:06 写道:
信息工程大学好像有研究这个的专业。
对电院这么熟稔？
博学之 审问之 慎思之 明辨之 笃行之
回复标题&(发表于： 07:47:59)
【第11楼】
破译 美国顶级密码 为什么还要告诉美国？？
& 我们可以知道美国人的秘密
大家好！！！
回复标题&(发表于： 11:06:58)
【第12楼】
哦，这么厉害啊
那能不能把俺电脑里下载的有码的片片
给变成无码的片片啊
回复标题&(发表于： 12:08:49)
【第13楼】
暗算中的原型
就是王小云
这显然不确
因为年龄对不上
若真有原型的话
也只能是这一位
戴宗铎 (DAI zongduo,1941~)
　　女，1941年出生，毕业于中国科学技术大学应用数学系，现任实验室教授，博士生导师。
　　主要从事代数、编码与密码学研究。在国内外重要学术刊物和学术会议上发表了一系列学术论文。作为主要参加人之一分别获得1986年中国科学院科学技术进步一等奖，1988年中国科学院科学技术进步一等奖，1989年中国科学院自然科学二等奖，1992年国家科学技术进步一等奖。
　　近期研究的课题为国家自然科学基金项目&序列、密码与密码协议的设计与安全性分析&和国家基础研究重点规划项目&基于数学的密码基础理论研究&。
博学之 审问之 慎思之 明辨之 笃行之
回复标题&(发表于： 12:12:57)
【第14楼】
网上有一部小说在过去的一年里风靡一时，并且被拍成了电视剧，那就是麦家的《暗算》。
既然是小说，自然有些演绎，然而，这部作品情节曲折，悬念诡异，吸引了很多读者和观众。其中，也不乏科学院数学所的老中青们，他们看这部作品，除了啧啧以外，还多一点儿额外的兴趣，那就是推测一下谁是作品中人物的原型，因为假如真的有一个类似701的机构，那数学所肯定和他脱不了干系，这儿，荟萃着章照旨先生等一干专家，算得上是中国密码研究的一个&老巢&，而且，《暗算》里面确实提到了从科学院数学所调人的经过 一后来的软件所与信息安全国家实验室都是出源于数学所么。
按照年龄比较大的人的看法，麦家的作品只是用了数学所做一个虚幻的背景而已，当不得真。然而，无论事实如何，还是不免有年轻好事的乱猜，对号入座。其中，对那位从数学所被抓了丁的&黄依依&，更是众说纷纭，其中有一种说法，认为黄依依的原型，很可能就是信息安全国家实验室的戴宗铎研究员。
相信戴先生听到这样的说法，必会摇头苦笑。
博学之 审问之 慎思之 明辨之 笃行之
回复标题&(发表于： 12:13:37)
【第15楼】
戴宗铎先生，江苏人，长期在科学院从事密码研究，成就斐然，放到麦家所说的年代，她正是&黄依依&那样风华正茂的年龄，难怪有此说。实际上这纯粹是捕风捉影，以我的了解，戴先生和黄依依的相同之处，也就是气质比较洋派（因为经常出国工作交流），并且有一双明亮的大眼睛罢了，除此之外，她们绝无相似之处。而且，如果麦家笔下的黄依依真的基于戴先生，那以他的文笔，是绝对不会放过戴先生的那一半 & 杨君辉研究员的。杨先生和戴先生在密码界是著名的&夫妻店&，如同《神雕侠侣》中君子剑与淑女剑的传奇人物，假如只写其中之一，那麦家简直是暴轸天物。把杨先生真正的故事写出来，比小说更精彩。
不过，在少年时代萨的眼睛里，根本想不到杨先生和戴先生是什么&学术权威&，戴宗铎先生在数学所，绝没有&黄依依&那样的特立独行，早年，戴先生最让人羡慕的，是她有一个特别温暖的小家。戴先生的丈夫杨君辉研究员，长期和萨爹在一个研究室工作，家里外头一把手，记得当时随萨娘到杨先生家，看到他家收拾得整齐精致，回来后萨娘大叹不如，也想照样做起，可惜仅仅三五天就不觉作罢。由此可见，萨做事没常性，是怪不得我而应该怪遗传的。不过，事后萨娘把这事当笑话讲给戴先生听，戴先生却面现微红 & 哦，是么？那都是老杨搞的，我也。。。
那个时代老九们干活上了瘾常常把事情带到家里来，萨爹这儿就是这样一个&窝点&，大家都不富裕，到了吃饭的时候萨娘或者哪位手痒痒的研究员炒上一盘鸡蛋，弄几张大饼卷了，就能宾主尽欢（更多的时候是到吃饭的时间就纷纷散伙，大家都是文化人，不好意思落下蹭饭吃的名声）。而话题也就不时从工作转到孩子升学，物价波动等等上面去。这时候，各位研究员的表现就各不相同。何育赞先生是说话先搔头，张寿云先生老看表（可能是怕太太上门来抓），杨耀武先生喜欢花生，瓜子，核桃，一切带皮的小食品，几对夫妻则表情各异，充分显示家中的风格不同 & 萨爹是大炮，萨娘是机关枪，一个有质，一个有量；项可峰先生是&大弦嘈嘈如急雨&，杨立芝先生是&小弦切切如私语&，夫唱妇随；戴宗铎先生听得多，说得少，杨君辉先生则嗓音洪亮，和后来当了唐老板的唐有三先生大唱对台戏，这两个人一个福建一个广东，虽然说的彼此能明白，但外人看来简直是鸡同鸭讲。。。
加上一个听话的小姑娘，杨先生戴先生的家，是非常让人羡慕的。
哪儿知道这表面文质彬彬的两口子，在密码研究的领域里，却堪比&黑风双煞&，是国际上相当让人望而生畏的一对传奇搭档。
原因是杨先生也是研究密码的，而且名气比戴先生还要大，在数学所提到密码大家总是想到西安事变，原因就是章照直，杨君辉两位大拿的名字连着念起来让人想起救国领袖&张杨两将军&。
不过，有的时候一加一不见的等于二，夫妻在同一个领域未必学术上一定就是双倍的效应，其中一个依靠另一个的情况在所难免。
然而，杨先生戴先生却恰好是一个一加一大于二的例子。
原因是这二位的研究领域既相关又有所不同。戴先生专注的是密码的算法，而杨先生呢？恰好研究的是怎样把算法用计算机来实现！
在近代建筑学史上，有一对模范夫妻，那就是梁思成和林徽音。林徽音是人民英雄纪念碑的主要设计者，她的灵气无与伦比，然而，据熟悉她的朋友讲，林徽音作设计是和梁思成搭档的，林徽音从来只画草图，至于怎样变成建筑蓝图，则是梁思成的事情。
如果说林梁合作，属于珠联璧合的典范，那么，杨戴组合，就该称作&前店后厂&了。在这个领域想挑战他们两位，你都要掂量掂量，如果不是在算法和计算机两方面都有极其出色的能耐，还是放手得好 & 那弄两个专家合作来挑战不行吗？答案还是不行，人家两口子睡到半夜来了灵感都能起来讨论解决问题，或者杨先生觉得挠头的时候戴先生肯定可以用不给他中午饭吃来要挟，随便弄两个专家，能做到么？
于是我们都很钦佩而且羡慕他们，他们的小姑娘年龄比我们小一些，便被大家视为小妹，而一不留神，小妹发来的照片上，居然也出现了小家伙，你不能不叹息时光过的真快阿。
有一天和家里电话联系，忽然就听到一个噩耗 & 杨叔叔去世了。
一时难以相信，杨先生紫棠色，健康的面色在眼前一闪，一年多以前，还来日本。。。虽然在科学院这个圈子里&英年早逝&是经常听到的词句，但以他的身体和性格，真是不该。
然而，这确是真的。杨君辉先生因为身体不适，发现有黄疸到医院做了个检查，结论 & 肝癌，晚期。
现代的医学，对这个恶魔还没有办法。
龙瑞麟，钟家庆，张冬冰。。。又有哪个不是看来健康而且乐观的？
也许他们的命运在那些年的透支中就已经注定。
可以埋怨杨先生为什么不每年去参加体检呢？他总是说太忙，算了。他对自己的身体太自信。
那一段时间，萨娘很担心戴先生，怕她受的打击太大，他们夫妻的感情太好。
有相当的一段时间，戴先生没有出现在大家面前。
大家的担心就越发沉重。
有一天，听到一个消息，戴先生到彼得堡去参加国际密码学年会了。
后来才知道，那一年，戴先生的论文在年会上受到了极高的学术评价，在那届年会的论文集中，占据着相当显著的位置。
发表完这篇受到极高评价的论文，戴先生放下手稿，却说了一段和课题不相干的事情，她告诉与会的同行，这篇论文中，包含了她和她爱人杨君辉研究员两个人的研究成果，可惜，他再也不能站在这个讲台上了。
博学之 审问之 慎思之 明辨之 笃行之
回复标题&(发表于： 12:14:26)
【第16楼】
一九九六年，俄罗斯的一位花样滑冰女选手为世界作了一幕令人永生难忘的表演 & 一个人表演的双人滑。这位女选手就是曾经和她的丈夫谢尔盖一起夺得两届奥运会双人滑冠军的俄罗斯冰蝴蝶 & 格尔杰耶娃。在前一年备战冬奥会的时刻，谢尔盖因遗传性心脏病突发离开了人世。然而，一九九六年，格尔杰耶娃依然和谢尔盖一起，表演了这场双人滑的绝唱。
人们这样形容她的这一场表演：
?&当马勒的第五交响曲的旋律回响在运动场时，她开始了一套柔情舒缓的动作，她的手在寻找另一双手，她身上披着透明的灰白色纱裙，弓着身体表现着另一半那看不见的身躯。。。。在音乐的结尾，她的手指指向天空。
感动得泪流满面的观众再次起立，格尔杰耶娃自己也掩面而泣。但她最后深吸了一口气，滑向场边，抱起了她和谢尔盖的女儿塔莎。小姑娘举起手搂住了妈妈的脖子，然后轻轻地拍了拍妈妈的背。&
俄罗斯人当然能够理解来自东方数学界的这另一朵冰蝴蝶。
回答戴先生的，是全场的肃然，而后持续而深沉的掌声。
给戴先生，也给杨先生。
去年九月，我回到北京，在家门前遇到经过的戴先生，她问起我的生活情况，也说起小妹。抬起头，看到她的目光平静如水。
戴先生，正在去给她的研究生上课的路上。
博学之 审问之 慎思之 明辨之 笃行之
回复标题&(发表于： 12:24:46)
【第17楼】
国宝级人才
鉴定完毕！
表妹，你还是那么消魂....
回复标题&(发表于： 17:42:50)
【第18楼】
哎，早知道MD5被干掉了，SHA-1也死了真是让人没想到。
揭谛揭谛-波罗揭谛-波罗僧揭谛-菩提萨婆诃
回复标题&(发表于： 18:12:12)
【第19楼】
楼主发的东西好老。
回复标题&(发表于： 20:16:51)
【第20楼】
原帖由 youma001 于
18:12:12 写道:
楼主发的东西好老。
老的东西未必就没有看头
俺正在翻看《阿基米德的报复》
博学之 审问之 慎思之 明辨之 笃行之
回复标题&(发表于： 08:11:01)
【第21楼】
希望中国能出一个图灵式的人物。