| 出版日期:2004-09-13 总期号:1347 本年期号:68 |
|
 |
另眼看InfoSecurity
电子签名让人欢喜让人忧 万平国 使用签名有两个意义,防伪和防抵赖。防伪指每个人的字迹都有自己的特点,可以从中鉴别出差异性,以防伪造;防抵赖指每个人的签名方式具有连续性,可以防止签名后的抵赖行为。人们在生活和工作中有很多文件都需要签名。 现在,互联网改变了人们的工作和生活,很多事情可以在互联网上做,例如电子商务、电子政务、网上购物等。在互联网上签名即所谓的电子签名。电子签名也称“数字签名”,是用计算机程序对文件进行处理,得出一组代码,以保证文件的防伪和防抵赖特性,确保用于鉴别签名人的身份以及对文件内容完整性的认可。在目前的数字签名技术中,最常见的算法包括MD4、MD5、SHA-0、SHA-1等。 根据联合国贸发会议《2002年电子商务和发展报告》,2002年世界电子商务交易额达到6153亿美元;瑞士信贷银行发表的报告显示,2003年全球通过互联网进行的贸易总额预计达到1.24万亿美元;中国互联网数据中心统计,2003年中国电子商务交易额约为600亿美元。由此可见从法律上认可数字签名的迫切性和必要性。 今年4月6日结束的十届全国人大常委会第八次会议上,《电子签名法(草案)》被提请审议。《 望》周刊报道说:尽管社会各界对“电子签名法”出台的呼声都很高,但是,在分组讨论中,南振中和袁驷等委员们有“前瞻之忧”,即电子签名的技术安全性到底如何,担心目前被认为是难以破解的电子签名技术可能会在不久的将来被容易破译,这将动摇整个电子签名安全性的基础,进而给经济安全带来危机。 话音刚落,密码界就出现了令委员们担心的密码灾难,委员们的担忧被印证了。4月12日,法国科学家Antoine Joux宣布,破解SHA-0算法。8月17日,我国科学家王小云教授宣布,破解MD5、HAVAL-128、MD4和RIPEMD-128等算法。MD5算法是目前最主流的加密算法,这意味着,由此,目前计算机上的大部分应用都不安全。 现在,所有人的目光全盯上了最后一个签名算法SHA-1,它已获得美国国家标准与技术局(NIST)认证,而且是惟一获准用于美国政府“数字签名标准”的签名算法。SHA-1 的长度160位比MD5的128位更长,因此,被视为更安全。 MD5的设计者,暨国际著名公钥加密算法标准RSA的第一设计者Rivest表示,他并不希望看到MD5就这样倒下,但人必须尊崇真理。这意味着,Rivest确认并接受了MD5失败的现实。国际密码学会议的总主席Hughes建议“应该抛开MD5了。” 美国国家技术与标准局(NIST)于8月25日做出了反应:在最近的国际密码学会议(Crypto 2004)上,研究人员宣布,他们发现了破解数种HASH算法的方法,其中包括MD4、MD5、HAVAL-128、RIPEMD以及SHA-0。分析表明,SHA-1的减弱条件的变种算法可能被破解;但完整的SHA-1并没有被破解,也没有找到SHA-1的碰撞。研究结果说明,SHA-1的安全性暂时没有问题,但随着技术的发展,技术与标准局计划在2010年之前逐步淘汰SHA-1,换用其他更长、更安全的算法,如SHA-224、SHA-256、SHA-384和SHA-512。 8月28日,十届全国人大常委会第十一次会议表决通过了电子签名法,这部法律规定,电子签名与手写签名或者盖章具有同等的法律效力,电子签名法将于2005年4月1日起施行。现在看来,这样一个“签名”,让人欢喜让人忧。(C7) |
||||||||||||||||||||||||||
