王小云：撼动密码学的“支柱” 学术资讯

失之物理，收之数学

1966年8月，王小云出生在山东诸城的农村，天资聪颖的王小云自幼喜欢思考数学问题，学习成绩在乡里乡外小有名气。1981年，王小云考上诸城一中。“其实，我比较痴迷物理。”高中两年，她的物理成绩始终是班里第一名。但在1983年的高考中，她的物理成绩却远不如数学，因此在高考志愿上，她将山东大学数学系作为了首选。

入读山东大学后，王小云对物理的眷恋一直挥之不去，还一直寻找并等待转入物理系学习的机会。但随着学习的深入，数学本身严谨的逻辑思维，以一种巨大的力量紧紧地抓住了她的心，她的实力逐渐显现出来，成绩名列前茅，她也逐渐爱上了这个当时退而求其次的专业。因此，在后来报考研究生志愿时，她毅然选择了著名数学家潘承洞院士所从事的解析数论方向。1987年，王小云顺利考上了山东大学数学系的研究生，学习了一年之后，在两位导师潘承洞院士、于秀源教授的建议下，她将研究方向由“解析数论”改为新兴的“密码学”。

数论是公钥密码学最核心的数学基础。正是由于它的重要性，在20世纪80年代中期，山东大学数学系的潘承洞、于秀源、展涛三位老师便成立了密码研究小组，并亲自选拔了两位优秀的数论研究生王小云和李兆宗从事密码学的学习和研究。

1996年，王小云博士毕业留校工作三年后，在同校老师李大兴的建议下，从喜欢的公钥密码转为当时国内无人从事的冷门方向HASH函数研究。从零起点开始一个新方向的研究，由于材料短缺，王小云便从定义开始熟悉HASH函数的内涵，在没有研读过HASH函数分析论文的前提下，她开始了HASH函数的安全性分析，经过八年的潜心钻研，先后取得了多个突破性成果。

2006年王小云（右3）荣获“求是杰出科学家奖”

王小云说：“现在看来，当初选择这个研究方向是冒着很大风险的，事实上这个方向里的科学家，99%的人永远也不会取得成功。但我对这个问题很感兴趣。”实际上，开始HASH函数研究不到半年时间，破解HASH函数理论分析方法的一些主要思想就酝酿在她的脑海中了，1997年春季她便已经成功给出了第一个算法SHA-0的碰撞攻击路线。

如今她的导师潘承洞教授已经去世整整20年了。但回忆起导师，王小云依然充满感激之情。“我非常感谢潘老师当时给我指明了一个非常正确的研究方向。”

“王氏攻击”（Wang's Attack）震惊世界

2004年之前，国际密码学界对王小云这个名字并不熟悉。2004年8月15日，在美国加州圣巴巴拉即将召开的美密会开幕式的前夜，来自山东大学的王小云拿着自己在HASH函数领域的系列研究成果，充满信心地找到大会主席 Jim Hughes 教授。听了王小云的陈述，Hughes教授显得非常兴奋和激动，与王小云聊了很长时间。并当场做了一个特别的决定，在8月17日晚上，会议将安排三场关于HASH函数的特别报告。

2005年欧密会期间王小云与Eli Biham教授讨论Hash函数

当晚，在国际著名密码学家 Eli Biham 和 Antoine Joux 相继做了对SHA-1的分析与给出SHA-0的一个碰撞之后，王小云教授宣布了她及她的研究小组近年来的研究成果——对MD5、HAVAL-128、MD4和RIPEMD等四个著名密码HASH函数算法的破解结果。当公布到第三个成果的时候，会场已经是掌声四起，报告不得不一度中断。报告结束后，与会专家对她们的突出工作报以长时间热烈的掌声。部分学者更是起立鼓掌致敬，这在密码学会议上是少见的盛况。

王小云的研究成果宣告了固若金汤的世界通行密码标准MD5堡垒的轰然倒塌，这是密码学领域的重大发现，引发了密码学界的极大关注。后来的大会总结报告中这样写道：“我们该怎么办？ MD5被重创了；它即将从应用中淘汰。SHA-1仍然活着，但也见到了它的末日。”

2004年王小云在美密会上宣布MD5破解

然而，让密码学界更为震惊的是，2005年2月15日，在美国召开的国际信息安全RSA大会上，包括三位图灵奖得主AdiShamir、Ronald L. Rivest和Whitfield Diffie在内的五位密码学家宣布了王小云教授关于SHA-1破解的最新成果，这是继MD5之后，王小云和她的团队在密码研究领域又一次取得的突破性成果，而这个破解的工作只用了两个多月的时间。

王小云相继对MD5和SHA-1的破解，证明了电子签名是可以被有效伪造的，设计更为安全的密码HASH函数标准迫在眉睫。美国国家标准与技术研究所（NIST）专门举办了两次研讨会，以应对两大算法破解带来的安全威胁，并于2006年出台了新的HASH函数使用政策：“规定联邦机构在2010年以前必须停止SHA-1在电子签名、数字时间戳和其他一切需要抗碰撞安全特性的密码体制的应用”。为了应对SHA-1的攻击，2007年NIST在全球范围内启动了HASH函数新标准设计的五年工程。

自2004年美密会召开以来，在国际密码学会议上、刊物里以及专家学者们的讨论中，“王小云”“王氏攻击”后面总是与“震惊密码学界”“密码学的危机”等连在一起。中国众多媒体称王小云是当今密码学界的“巾帼英雄”“奇女子”！自此，中国女学者“王小云”的名字，写进了国际密码学界的史册。

王小云说：“我要特别感谢杨振宁先生的支持，为了加强清华大学高等研究院基础科学研究，培养有创新能力的科学人才，杨先生募集捐款专门设立基金，用于支持聘请国际著名学者和杰出青年学术人才来清华大学高等研究院潜心从事科学研究……事实上，他最为关心的事情是——我们是否为国家重大安全通信工程设计了最先进而安全的密码系统。”

2012年清华大学高等研究院成立15周年，王小云与杨振宁先生交流

事业生活，比翼齐飞

也许很多人会以为，一个整天与数字、公式、密码打交道的女人，生活上难免枯燥乏味。事实上，王小云是个极富生活情趣的人。她不仅是一位优秀的女科学家，生活中也是一位好妻子、好母亲。

在破解一系列国际密码算法的10年中，王小云生了一个女儿，还养了一阳台的花。她说：“我的科研就是抱孩子抱出来、做家务做出来、养花养出来的。”

王小云于1991年结婚，女儿在四年后出生。1996年起，王小云开始着迷于HASH函数的安全性分析，由于分析过程中需要借助计算机的编程，并且需要不停打印她自己独创的“比特分析法”的分析表格。但是每次打印，都需要专程到数学系机房里的激光打印机上进行，有时甚至要排队等上很久。

为了节省往返于学校和家之间的时间，也为了方便照看孩子，王小云和丈夫商量后，花掉了当时家里的所有存款买了计算机、打印机和扫描仪，在自家的办公桌上搭建了“工作平台”。自此之后，每天忙完家务、哄睡女儿，王小云就会坐在家里的电脑前，开始演算HASH函数的破解方法……

2005年王小云在家中工作

当谈起女儿时，王小云表现出了母亲特有的关爱和对女儿的丝丝歉意。“女儿从小就对文学艺术有浓厚的兴趣，喜欢写诗、画画。小时候也曾给她报过画画班，但后来由于工作太忙，就停止了这方面的培养。但后来她这种艺术特长还是逐渐显露出来，现在从事珠宝设计专业，也十分符合她自己的兴趣爱好。”

十年一剑，终成大家

今天全世界的金融、证券、计算机网络等系统中身份认证与登陆系统，消息来源的合法性认证、众多的可证明安全密码系统以及目前备受关注的比特币、区块链等新兴密码应用技术，“HASH函数”都在其中发生关键作用。

20世纪90年代以来，两个密码算法MD5和SHA-1在世界范围内最为广泛通用，并与计算机网络广泛配备。多年来，MD5和SHA-1被国际上公认是最安全、最先进、应用范围最广泛的两大HASH函数算法。“一开始，我也觉得很难，破不了，但是后来从数学的角度来思考，慢慢地发现了很多规律，影响其安全性。这个过程是一点点积累，一步一步解决的。“雪崩特性是衡量HASH函数安全的一个基本标准，如果HASH函数是安全的，雪崩是非常强的，找不到任何规律。这就像雪山顶上有一个东西，突然雪崩了，你根本找不到它的踪影。”

经过不断地分析与探索，王小云发现多数HASH函数虽然产生有很强的雪崩，但雪崩速度并不快，就产生了控制雪崩的想法。于是，她开始找数学规律，试图找到一些有效的方程控制方法。在不断的摸索和反复的验证中，最后她幸运地找到了大家公认的模差分方法，最终使攻击方法变得非常有效。王小云破解密码的方法与众不同，电脑对她来说只是自己破解密码的辅助手段。更多的时候，她是用手推导，通过建立数学分析模型，手工设计破解途径。

王小云说，一般而言，国际重要密码标准设计工程推出新的密码大约需要3-5年的时间，而其安全性分析与评估却要经历很长时间。王小云是从1995年开始破解MD5和SHA-1，到她2005年成功破解SHA-1经过了近10年的历程。同行评价她：从不急功近利。王小云正是凭借对科研工作的执著，才最终完成了震惊世界的成就。密码学就是在这种不断的创立和破解中发展的。

2017年王小云在清华大学高等研究院建院20周年上签名

实现中国“密码梦”

王小云一方面继续现有的研究，另一方面，则致力于培养出更多的“可以和世界顶尖密码学家对话的学生”。在王小云看来，如何创建密码分析的新理论和新方法，在敌手发动攻击之前成功破解已被广泛应用的国际密码标准，是国际密码学家共同面临的责任与挑战。

2017年王小云当选中国科学院院士

2005年起，为了应对SHA-1的攻击，NIST就开始探讨向全球密码学者征集新的HASH函数算法标准的可行性，并于2007年启动了新HASH函数SHA-3五年设计工程。如果设计的算法被采纳为国际标准，那将是密码学家的最高殊荣。国际密码学界都将目光投向了王小云，然而，她却毅然放弃了这次难得的机会，全力带领国内专家为我国设计了第一个HASH函数算法标准SM3。

SM3自2010年公布以来，经过国内外密码专家的评估，其安全性得到高度认可。该算法获国家发明专利1项，并被纳入我国30多个行业规范中。目前SM3不仅是我国密码算法标准，也于2018年10月与SHA-2、SHA-3等国际HASH函数算法一起被正式宣布为国际ISO密码算法标准。经国家密码管理局审批的含SM3的密码产品达千余款，涵盖了我国金融、电力、社保、教育、交通、电子政务等重要经济领域。受SM3保护的智能电网用户6亿多，含SM3的USBKey出货量过10亿张。目前SM3已在高速公路联网ETC中广泛使用，并且在全国教育信息系统、居民健康卡、社保卡、工业控制系统等领域广泛推广使用。该算法还支持国际可信计算组织（TCG）发布的可信平台模块库规范（TPM2.0）。

近年来，王小云将她多年积累的密码分析理论的优秀成果深入应用到密码系统的设计中，先后设计了多个密码算法与系统，为国家密码重大需求解决了实际问题，为保护国家重要领域和重大信息系统安全发挥了极大作用。其中，王小云设计的两个加密算法，用于国家重大航天工程，她为保障航天安全通信做出了重要贡献。她说：“习近平总书记指出‘没有网络安全就没有国家安全’。随着量子技术的发展，一些经典的密码算法会因未来量子计算机的出现而受到攻击。中国应在筑牢密码理论应用技术方面有自己独到的技术与应对策略。”

王小云带领团队在国内率先启动了可以抵制量子计算机攻击的格密码算法研究。“格密码研究是一个新的研究方向，至2018年已有近20年的研究，近年来得到广泛关注，就因为它是一类抗量子计算攻击的公钥密码体制。”该类算法的研究需要深厚的数学理论基础和高超的算法分析技术，但王小云带领团队已取得了重要的研究进展。

王小云（左3）在指导研究生学习

“研究密码是我喜欢的工作。”“一个人的研究时间太有限，也就几十年。培养出更多优秀的学生，才可以不断地延续下去，使中国密码研究更长久地走在世界前列。”如今，王小云仍然工作在第一线，每天到办公室跟学生讨论问题已成为她的一个习惯。以后的路还有很长，但她并不感觉孤单，对她而言，密码研究是兴趣与社会责任的完美结合，亦是她生活的重要组成部分。

人物简介：

王小云，清华大学教授。主要从事密码理论及相关数学问题研究，破解了MD5、SHA-1等5个国际通用HASH函数算法，解决了十多年来HASH函数碰撞难的科学问题；设计了我国HASH函数标准SM3。2017年当选中国科学院院士。

来源：知识就是力量