据说,去年王小云在公布破解MD5之前,曾和丈夫开玩笑说,恐怕以后她的名字在google会上升。果然如此,现在在google搜索“王小云”,排在前面的都是这位山东大学的奇女子。

去年MD5破解之后,中国金融认证中心(CFCA)曾发布公告说,CFCA提供安全认证不受该缺陷影响

CFCA在建立之初,已经对MD5以及其他算法进行了安全性评估。因此,在CFCA提供的应用产品和服务中,并没有采用MD5等不安全的算法,而是采用了安全的SHA-1算法,用户可以放心的使用;CFCA提供的安全应用工具包默认使用的哈希算法也是SHA-1算法,考虑到工具包对其他应用的互操作性要求,工具包也提供了MD5算法,如果用户在使用工具包进行开发时,不使用默认的算法而采用了MD5算法,请立即修改自己的程序,采用默认的SHA-1算法,以避免MD5的缺陷产生的影响。

今年,《电子签名法》实施前夕,王小云等又破解了SHA-1算法,这次,CFCA再没发什么公告。

在我看来,电子签名建立在一种第三方信任机制上,这种信任首先是对CA的信任,但是对CA的信任最终落在对CA所采用的技术的信任上,一旦这个平台轰然倒塌,或者摇摇欲坠,那么这种第三方信任也就摇摇欲坠了。

不可否认,政府试图通过制定《电子签名法》推动电子商务有点急功近利和讨巧的味道,希望使人们借助对技术的第三方信任代替交易者之间的互相信任,克服对电子交易安全性的恐惧。在《电子签名法》正式实施的前夕,王小云和她的团队却跟这个想法开了个玩笑。

实际上,不管是Ebay-易趣,还是淘宝、一拍,现在实际做的,无非还是在促进交易者自己通过努力积累信用记录。这是最土的办法,其实也是最有效的办法。电子签名,其实在这个领域基本起不了什么作用。

关于王小云,山东大学的官方网站上收集了很多报道。另外,王小云工作的地方山东大学信息安全实验室网站上也有一些技术资料,包括他们发表的论文,可以参看。


评论

该日志第一篇评论

发表评论

评论也有版权!