君易应对山东大学王小云教授“破解”SHA-1算法：

　　最近一段时间，伴随着山东大学教授王小云等人在密码学研究上取得重大成果，国内外不少媒体对目前电子商务、电子政务的加密体系发出质疑，“电子商务‘黑洞’乍现”、“加密大厦轰然倒塌”等惊人标题频频出现在报章杂志上，人们不禁对电子商务的交易安全性产生了怀疑，现有的电子商务安全体系目前到底是不是“危房”？

　　现在，随着有关方面出面澄清，王小云教授本人也表示“不参加学术领域以外的讨论”，最初的躁动、炒作似乎已归于平静。喧嚣过后，人们认识到，王小云教授等人的研究只是在一类具体的加密算法上，目前还主要是从理论上再次证明了“每座大厦最终都会倒塌”这一颠扑不破的真理，而现有的电子商务安全体系目前还不是“危房”。有关专家指出，MD5和SHA-1属于散列算法，从设计原理来讲，就有产生碰撞的可能，王小云教授等人的方法缩短了找到碰撞的时间，是一项重要的成果；但她们找到的是强无碰撞，要能找到弱无碰撞，才算真正破解，才有实际意义。在“RSA2005”年会上，专家们认为SHA-1目前是安全可靠的，再使用5年到10年没有问题。而且理论上破解密码的方法，如果要在现实中实现，往往需要通过超级计算机进行海量计算，所需时间一般是成千上万年。在实际应用中，破解时间太长意味着破解将失去意义。以网上BtoB交易为例，首先要对网上银行的表单进行SHA-1的摘要计算，然后对客户填写的信息再计算，最后银行收到信息后还要进行签名。如果要篡改其中的信息，必须破解3次（前提是能破解，现在还做不到），既便是破解了，交易早已完成。同时，信息摘要的传输还要在PKI体系（公钥基础设施）下进行，PKI体系现在大多应用RSA算法，该算法的安全性大可放心。所以，对于银行这样的实时系统，篡改信息影响交易过程是不可能的。另外，伪造数字证书也是不可能的。数字证书包含了很多特定内容，只有具备了包括序列号等一系列特定信息，这个证书才有意义。根据特定的原文内容，伪造出相应的摘要信息是不可能做到的。况且，当有关部门一旦发现算法的安全性可能出现风险，换一个新的算法并不存在多少难度。从安全的角度看，任何产品都有生命周期，产品技术的改进工作时刻都在进行。虽然密码算法不是绝对安全，但现在没有任何实质的危害发生。信息安全有多种防范措施保证，散列算法只是其中较弱的一种，电子商务的使用者大可不必为了密码学上的研究进展而寝食不安。

　　没有绝对的安全，“每座大厦最终都会倒塌”，但我们仍可以放心地住在一定时间内不会倒塌的房子里，当然我们需要在必要时进行修缮，甚至翻建。在王小云教授等人对MD5算法分析的成果公布之后，并密切跟踪有关技术和研究的进展。应该看到，我国金融业目前的安全防护水平及其“与时俱进”的速度，尤其是相对于其所受到的恶意攻击的技术水平而言，实践证明还是可以让人充分放心的，我国的电子商务安全体系不是“危房”，而是值得信赖的“安居工程”。