大美·中國女科學家 | 王小云：撼動密碼學的「支柱」

本文節選自圖書：《大美·中國女科學家》第二卷

大美·中國女科學家

時值新中國成立70周年、改革開放40周年、中國科協成立60周年之際，由中國科學技術協會出品，中國科協常委會女科技工作者專門委員會和中國女科技工作者協會統籌策划出版了《大美·中國女科學家》系列叢書，以「圖書+音頻+視頻（來源：人民網）」的方式呈現中國女科學家的風采。

王小云：撼動密碼學的「支柱」

王小雲 清華大學教授。主要從事密碼理論及相關數學問題研究，破解了MD5、SHA-1等5個國際通用HASH函數演算法，解決了十多年來HASH函數碰撞難的科學問題；設計了我國HASH函數標準SM3。2017年當選中國科學院院士。

失之物理，收之數學

1966年8月，王小雲出生在山東諸城的農村，天資聰穎的王小雲自幼喜歡思考數學問題，學習成績在鄉里鄉外小有名氣。1981年，王小雲考上諸城一中。「其實，我比較痴迷物理。」高中兩年，她的物理成績始終是班裡第一名。但在1983年的高考中，她的物理成績卻遠不如數學，因此在高考志願上，她將山東大學數學系作為了首選。

入讀山東大學後，王小雲對物理的眷戀一直揮之不去，還一直尋找並等待轉入物理系學習的機會。但隨著學習的深入，數學本身嚴謹的邏輯思維，以一種巨大的力量緊緊地抓住了她的心，她的實力逐漸顯現出來，成績名列前茅，她也逐漸愛上了這個當時退而求其次的專業。因此，在後來報考研究生志願時，她毅然選擇了著名數學家潘承洞院士所從事的解析數論方向。1987年，王小雲順利考上了山東大學數學系的研究生，學習了一年之後，在兩位導師潘承洞院士、於秀源教授的建議下，她將研究方向由「解析數論」改為新興的「密碼學」。

數論是公鑰密碼學最核心的數學基礎。正是由於它的重要性，在20世紀80年代中期，山東大學數學系的潘承洞、於秀源、展濤三位老師便成立了密碼研究小組，並親自選拔了兩位優秀的數論研究生王小雲和李兆宗從事密碼學的學習和研究。

1996年，王小雲博士畢業留校工作三年後，在同校老師李大興的建議下，從喜歡的公鑰密碼轉為當時國內無人從事的冷門方向HASH函數研究。從零起點開始一個新方向的研究，由於材料短缺，王小雲便從定義開始熟悉HASH函數的內涵，在沒有研讀過HASH函數分析論文的前提下，她開始了HASH函數的安全性分析，經過八年的潛心鑽研，先後取得了多個突破性成果。

2006年王小雲（右3）榮獲「求是傑出科學家獎」

王小雲說：「現在看來，當初選擇這個研究方向是冒著很大風險的，事實上這個方向里的科學家，99%的人永遠也不會取得成功。但我對這個問題很感興趣。」實際上，開始HASH函數研究不到半年時間，破解HASH函數理論分析方法的一些主要思想就醞釀在她的腦海中了，1997年春季她便已經成功給出了第一個演算法SHA-0的碰撞攻擊路線。

如今她的導師潘承洞教授已經去世整整20年了。但回憶起導師，王小雲依然充滿感激之情。「我非常感謝潘老師當時給我指明了一個非常正確的研究方向。」

「王氏攻擊」（Wang"s Attack）震驚世界

2004年之前，國際密碼學界對王小雲這個名字並不熟悉。2004年8月15日，在美國加州聖巴巴拉即將召開的美密會開幕式的前夜，來自山東大學的王小雲拿著自己在HASH函數領域的系列研究成果，充滿信心地找到大會主席 Jim Hughes 教授。聽了王小雲的陳述，Hughes教授顯得非常興奮和激動，與王小雲聊了很長時間。併當場做了一個特別的決定，在8月17日晚上，會議將安排三場關於HASH函數的特別報告。

2005年歐密會期間王小雲與Eli Biham教授討論Hash函數

當晚，在國際著名密碼學家 Eli Biham 和 Antoine Joux 相繼做了對SHA-1的分析與給出SHA-0的一個碰撞之後，王小雲教授宣布了她及她的研究小組近年來的研究成果——對MD5、HAVAL-128、MD4和RIPEMD等四個著名密碼HASH函數演算法的破解結果。當公布到第三個成果的時候，會場已經是掌聲四起，報告不得不一度中斷。報告結束後，與會專家對她們的突出工作報以長時間熱烈的掌聲。部分學者更是起立鼓掌致敬，這在密碼學會議上是少見的盛況。

王小雲的研究成果宣告了固若金湯的世界通行密碼標準MD5堡壘的轟然倒塌，這是密碼學領域的重大發現，引發了密碼學界的極大關注。後來的大會總結報告中這樣寫道：「我們該怎麼辦？ MD5被重創了；它即將從應用中淘汰。SHA-1仍然活著，但也見到了它的末日。」

2004年王小雲在美密會上宣布MD5破解

然而，讓密碼學界更為震驚的是，2005年2月15日，在美國召開的國際信息安全RSA大會上，包括三點陣圖靈獎得主AdiShamir、Ronald L. Rivest和Whitfield Diffie在內的五位密碼學家宣布了王小雲教授關於SHA-1破解的最新成果，這是繼MD5之後，王小雲和她的團隊在密碼研究領域又一次取得的突破性成果，而這個破解的工作只用了兩個多月的時間。

王小雲相繼對MD5和SHA-1的破解，證明了電子簽名是可以被有效偽造的，設計更為安全的密碼HASH函數標準迫在眉睫。美國國家標準與技術研究所（NIST）專門舉辦了兩次研討會，以應對兩大演算法破解帶來的安全威脅，並於2006年出台了新的HASH函數使用政策：「規定聯邦機構在2010年以前必須停止SHA-1在電子簽名、數字時間戳和其他一切需要抗碰撞安全特性的密碼體制的應用」。為了應對SHA-1的攻擊，2007年NIST在全球範圍內啟動了HASH函數新標準設計的五年工程。

自2004年美密會召開以來，在國際密碼學會議上、刊物里以及專家學者們的討論中，「王小雲」「王氏攻擊」後面總是與「震驚密碼學界」「密碼學的危機」等連在一起。中國眾多媒體稱王小雲是當今密碼學界的「巾幗英雄」「奇女子」！自此，中國女學者「王小雲」的名字，寫進了國際密碼學界的史冊。

王小雲說：「我要特別感謝楊振寧先生的支持，為了加強清華大學高等研究院基礎科學研究，培養有創新能力的科學人才，楊先生募集捐款專門設立基金，用於支持聘請國際著名學者和傑出青年學術人才來清華大學高等研究院潛心從事科學研究……事實上，他最為關心的事情是——我們是否為國家重大安全通信工程設計了最先進而安全的密碼系統。」

2012年清華大學高等研究院成立15周年，王小雲與楊振寧先生交流

事業生活，比翼齊飛

也許很多人會以為，一個整天與數字、公式、密碼打交道的女人，生活上難免枯燥乏味。事實上，王小雲是個極富生活情趣的人。她不僅是一位優秀的女科學家，生活中也是一位好妻子、好母親。

在破解一系列國際密碼演算法的10年中，王小雲生了一個女兒，還養了一陽台的花。她說：「我的科研就是抱孩子抱出來、做家務做出來、養花養出來的。」

王小雲於1991年結婚，女兒在四年後出生。1996年起，王小雲開始著迷於HASH函數的安全性分析，由於分析過程中需要藉助計算機的編程，並且需要不停列印她自己獨創的「比特分析法」的分析表格。但是每次列印，都需要專程到數學系機房裡的激光印表機上進行，有時甚至要排隊等上很久。

為了節省往返於學校和家之間的時間，也為了方便照看孩子，王小雲和丈夫商量後，花掉了當時家裡的所有存款買了計算機、印表機和掃描儀，在自家的辦公桌上搭建了「工作平台」。自此之後，每天忙完家務、哄睡女兒，王小雲就會坐在家裡的電腦前，開始演算HASH函數的破解方法……

2005年王小雲在家中工作

當談起女兒時，王小雲表現出了母親特有的關愛和對女兒的絲絲歉意。「女兒從小就對文學藝術有濃厚的興趣，喜歡寫詩、畫畫。小時候也曾給她報過畫畫班，但後來由於工作太忙，就停止了這方面的培養。但後來她這種藝術特長還是逐漸顯露出來，現在從事珠寶設計專業，也十分符合她自己的興趣愛好。」

十年一劍，終成大家

今天全世界的金融、證券、計算機網路等系統中身份認證與登陸系統，消息來源的合法性認證、眾多的可證明安全密碼系統以及目前備受關注的比特幣、區塊鏈等新興密碼應用技術，「HASH函數」都在其中發生關鍵作用。

20世紀90年代以來，兩個密碼演算法MD5和SHA-1在世界範圍內最為廣泛通用，並與計算機網路廣泛配備。多年來，MD5和SHA-1被國際上公認是最安全、最先進、應用範圍最廣泛的兩大HASH函數演算法。「一開始，我也覺得很難，破不了，但是後來從數學的角度來思考，慢慢地發現了很多規律，影響其安全性。這個過程是一點點積累，一步一步解決的。「雪崩特性是衡量HASH函數安全的一個基本標準，如果HASH函數是安全的，雪崩是非常強的，找不到任何規律。這就像雪山頂上有一個東西，突然雪崩了，你根本找不到它的蹤影。」

經過不斷地分析與探索，王小雲發現多數HASH函數雖然產生有很強的雪崩，但雪崩速度並不快，就產生了控制雪崩的想法。於是，她開始找數學規律，試圖找到一些有效的方程式控制制方法。在不斷的摸索和反覆的驗證中，最後她幸運地找到了大家公認的模差分方法，最終使攻擊方法變得非常有效。王小雲破解密碼的方法與眾不同，電腦對她來說只是自己破解密碼的輔助手段。更多的時候，她是用手推導，通過建立數學分析模型，手工設計破解途徑。

王小雲說，一般而言，國際重要密碼標準設計工程推出新的密碼大約需要3-5年的時間，而其安全性分析與評估卻要經歷很長時間。王小雲是從1995年開始破解MD5和SHA-1，到她2005年成功破解SHA-1經過了近10年的歷程。同行評價她：從不急功近利。王小雲正是憑藉對科研工作的執著，才最終完成了震驚世界的成就。密碼學就是在這種不斷的創立和破解中發展的。

2017年王小雲在清華大學高等研究院建院20周年上簽名

實現中國「密碼夢」

王小雲一方面繼續現有的研究，另一方面，則致力於培養出更多的「可以和世界頂尖密碼學家對話的學生」。在王小雲看來，如何創建密碼分析的新理論和新方法，在敵手發動攻擊之前成功破解已被廣泛應用的國際密碼標準，是國際密碼學家共同面臨的責任與挑戰。

2017年王小雲當選中國科學院院士

2005年起，為了應對SHA-1的攻擊，NIST就開始探討向全球密碼學者徵集新的HASH函數演算法標準的可行性，並於2007年啟動了新HASH函數SHA-3五年設計工程。如果設計的演算法被採納為國際標準，那將是密碼學家的最高殊榮。國際密碼學界都將目光投向了王小雲，然而，她卻毅然放棄了這次難得的機會，全力帶領國內專家為我國設計了第一個HASH函數演算法標準SM3。

SM3自2010年公布以來，經過國內外密碼專家的評估，其安全性得到高度認可。該演算法獲國家發明專利1項，並被納入我國30多個行業規範中。目前SM3不僅是我國密碼演算法標準，也於2018年10月與SHA-2、SHA-3等國際HASH函數演算法一起被正式宣布為國際ISO密碼演算法標準。經國家密碼管理局審批的含SM3的密碼產品達千餘款，涵蓋了我國金融、電力、社保、教育、交通、電子政務等重要經濟領域。受SM3保護的智能電網用戶6億多，含SM3的USBKey出貨量過10億張。目前SM3已在高速公路聯網ETC中廣泛使用，並且在全國教育信息系統、居民健康卡、社保卡、工業控制系統等領域廣泛推廣使用。該演算法還支持國際可信計算組織（TCG）發布的可信平台模塊庫規範（TPM2.0）。

近年來，王小雲將她多年積累的密碼分析理論的優秀成果深入應用到密碼系統的設計中，先後設計了多個密碼演算法與系統，為國家密碼重大需求解決了實際問題，為保護國家重要領域和重大信息系統安全發揮了極大作用。其中，王小雲設計的兩個加密演算法，用於國家重大航天工程，她為保障航天安全通信做出了重要貢獻。她說：「習近平總書記指出『沒有網路安全就沒有國家安全』。隨著量子技術的發展，一些經典的密碼演算法會因未來量子計算機的出現而受到攻擊。中國應在築牢密碼理論應用技術方面有自己獨到的技術與應對策略。」

王小雲帶領團隊在國內率先啟動了可以抵制量子計算機攻擊的格密碼演算法研究。「格密碼研究是一個新的研究方向，至2018年已有近20年的研究，近年來得到廣泛關注，就因為它是一類抗量子計算攻擊的公鑰密碼體制。」該類演算法的研究需要深厚的數學理論基礎和高超的演算法分析技術，但王小雲帶領團隊已取得了重要的研究進展。

「研究密碼是我喜歡的工作。」「一個人的研究時間太有限，也就幾十年。培養出更多優秀的學生，才可以不斷地延續下去，使中國密碼研究更長久地走在世界前列。」如今，王小雲仍然工作在第一線，每天到辦公室跟學生討論問題已成為她的一個習慣。以後的路還有很長，但她並不感覺孤單，對她而言，密碼研究是興趣與社會責任的完美結合，亦是她生活的重要組成部分。

今天，王小雲的故事你都了解了嗎？

聽女科學家故事，學科學家精神。關注「知識就是力量」微信公眾號，點擊底部菜單「女科學家」即可收聽！（女科學家的故事陸續更新中）

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！