王小云 一覽眾山小 才識逐風云

宋漢曉

2017年11月28日，新當選中國科學院院士名單正式對外公布，從事密碼研究的清華大學山東籍教授王小云名列榜中。在此之前，王小云曾分別入選過2007、2009、2011和2015年四屆中科院院士的候選人。

“這次當選院士并不感覺意外，因為今年國家鼓勵多學科交叉融合、激發活力提升學科競爭力，我從事的密碼學研究正是國家支持的范疇。”王小云如是說。

王小云，中國密碼學家，現為清華大學“楊振寧講座教授”。她中等身材，穿戴得體，齊耳短發，戴著一副金邊眼鏡，口音是標志性的山東腔。她看起來穩重而又時尚，鏡片后面的眼睛里透露出一種職業女性特有的堅定而自信的目光。

“王氏攻擊（WangsAttack）”震驚世界

2004年之前，國際密碼學界對王小云這個名字并不熟悉。2004年8月15日，在美國加州圣巴巴拉即將召開的美密會開幕式的前夜，來自山東大學的王小云拿著自己在HASH函數領域的系列研究成果，充滿信心地找到大會主席Jim Hughes教授。聽了王小云的陳述，Hughes教授顯得非常興奮和激動，與王小云聊了很長時間。并當場做了一個特別的決定，在8月17日晚上，會議將安排三場關于HASH函數的特別報告。當晚，在國際著名密碼學家Eli Biham和Antoine Joux相繼做了對SHA-1的分析與給出SHA-0的一個碰撞之后，王小云教授宣布了她及她的研究小組近年來的研究成果——對MD5、HAVAL-128、MD4和RIPEMD等四個著名密碼HASH函數算法的破解結果。當公布到第三個成果的時候，會場已經是掌聲四起，報告不得不一度中斷。報告結束后，與會專家對她們的突出工作報以長時間熱烈的掌聲。部分學者更是起立鼓掌致敬，這在密碼學會議上是少見的盛況。

王小云的研究成果宣告了固若金湯的世界通行密碼標準MD5堡壘的轟然倒塌，這是密碼學領域的重大發現，引發了密碼學界的軒然大波。國際著名PGP公司負責人Philip R. Zimmermann在會議現場當眾對她說：“我們很快出臺應對MD5的措施，……就憑這一成果，你可以在美國任何一所大學獲得職位。”Eli Biham教授激動地對王小云說“現在，他們每個人都在談論MD5！”還有一位密碼專家則對王小云表示“我們政府打來電話，問我到底發生了什么！”當王小云在桌上向與會專家描述自己的破解（break）結果時，一位來自澳大利亞的密碼專家打趣道：“你會把桌子也敲破（break）的！”在后來的大會總結報告中這樣寫道：“我們該怎么辦？MD5被重創了；它即將從應用中淘汰。SHA-1仍然活著，但也見到了它的末日。”MD5的設計者、國際著名密碼學家、圖靈獎得主Ronald L. Rivest在給王小云教授的郵件中寫道：“雖然我不愿看到MD5倒下，但人們必須推崇真理。”在半年之后，2005年歐密會上，王小云再次遇到Eli Biham，他感慨地說“你知道嗎？破解MD5是我一生的夢想。你破解了，你贏了，這就是游戲規則。”

然而，讓密碼學界更為震驚的是，2005年2月15日，在美國召開的國際信息安全RSA大會上，包括三位圖靈獎得主Adi Shamir、Ronald L. Rivest和Whitfield Diffie在內的五位密碼學家宣布了SHA-1的破解結果，這是繼MD5之后，王小云和她的團隊在密碼研究領域又一次取得的突破性成果，而這個破解的工作只用了兩個多月的時間。Shamir在宣布的視頻中指出：“SHA-1的攻擊將引起軒然大波（big wave），……無論如何這動搖了我們對電子簽名安全的信心”。2006年，美國數學會《Notices of the AMS》發表題為“給我一個哈希（Find me a hash）”的文章分析了王小云的工作對整個HASH函數領域的影響，認為她的工作是對“MD5的最后一擊（final blow）”，SHA-1的破解使得現狀“變得更糟（got worse）”，“下一步的工作陰云密布，……直到發現安全HASH函數的根基”。《SCIENCE》則發表專文評價了王小云破解SHA-1的工作，文中引用了圖靈獎得主Rivest的觀點“顯然我們不得不替掉SHA-1”。美國數學會還發表了題為“數學與網絡安全”每月專欄文章，介紹了14世紀以來包括圖靈、AdiShamir等五位圖靈獎得主在內的十九位密碼學家的工作，王小云是其中之一，文中介紹了她的SHA-1破解工作。

王小云相繼對MD5和SHA-1的破解，證明了電子簽名是可以被有效偽造的，設計更為安全的密碼HASH函數標準迫在眉睫。美國國家標準與技術研究所（NIST）專門舉辦了兩次研討會，以應對兩大算法破解帶來的安全威脅，并于2006年出臺了新的HASH函數使用政策：“規定聯邦機構在2010年以前必須停止SHA-1在電子簽名、數字時間戳和其他一切需要抗碰撞安全特性的密碼體制的應用”。為了應對SHA-1的攻擊，2007年NIST在全球范圍內啟動了HASH函數新標準設計的五年工程。

自2004年美密會召開以來，在國際密碼學會議上，刊物里，以及專家學者們的討論中，“王小云”、“王氏攻擊”后面總是與“震驚密碼學界”、“密碼學的危機”等連在一起。中國眾多媒體稱王小云是當今密碼學界的“巾幗英雄”、“奇女子”！自此，中國女學者“王小云”的名字，寫進了國際密碼學界的史冊。

破解MD5和SHA-1的3篇論文獲得2005年度兩大國際頂級密碼會議美密會和歐密會的最佳論文獎。基于王小云在HASH函數領域的突出貢獻，她于2005年獲國家自然科學基金杰出青年基金資助；2005年受聘為清華大學高等研究中心“楊振寧講座教授”；2006年6月獲“陳嘉庚科學獎”，9月獲“求是杰出科學家獎”，隨后還獲得了“中國青年女科學家獎”；2008年獲“國家自然科學二等獎”，2010年獲第三屆“蘇步青應用數學獎”等。

“我要特別感謝楊振寧先生的支持，為了加強清華大學高等研究院基礎科學研究，培養有創新能力的科學人才，楊先生募集捐款專門設立基金，用于支持聘請國際著名學者和杰出青年學術人才來清華大學高等研究院潛心從事科學研究。作為土生土長的國內專家，我和海外引進專家享受著同等待遇，這種人才支持模式為清華大學后來的人事改革也起到了一定的借鑒作用。多年來，他對于我們清華密碼團隊取得的每一個成果都極為關注。事實上，他最為關心的事情是：我們是否為國家重大安全通信工程設計了最先進而安全的密碼系統。”

失之物理 收之數學

1966年8月，王小云出生在山東諸城的農村，故鄉天藍水清，她在大自然的滋養中快樂成長。天資聰穎的王小云，自幼熱愛勞動，喜歡思考數學問題。她和兩個姐姐，兩個弟弟的學習成績在鄉里鄉外小有名氣。

“父親從小教育我要像居里夫人那樣，為科學獻身，為國家做貢獻。看到我對物理充滿了興趣，就鼓勵我考上大學從事物理專業的學習，并建議我從事核物理的研究，到中國的大西北投身到祖國的國防事業建設中去。但高考的時候因為物理意外失誤，反而數學考的很好，無奈之下改了志愿。”

王小云說：“數學好，也并非偶然。父親是諸城師范畢業的，他學的是數學與化學班。因此，他在我們小學階段就很注重培養我們對數學與化學的興趣，像雞兔同籠這些稍微復雜的數學題目，我們小時候都做過。恢復高考后，父親對我們充滿了期望，家里的經濟非常艱難，父親經常跟母親說，不管多難一定要讓我們完成學業。”

王小云成長道路上對她影響最深的人是她的母親。“父親常年在外教學，經常兩周才能回來一次。為了讓我們能安心學習，母親承擔起了全部的農活家務活，即便再苦再累母親也總能處理得井井有條。”“由于我們姐弟五人都先后考上了鎮重點初中，每次離家返校，母親都要幾次起床看星星來判斷時間給我們準備一周的食物。后來家里買了鐘表，母親再也不用出外看星星了，可以安穩地多睡一會。父親當時感慨地說我們家里最重要的東西就是那個鐘表了。”“每當我們遇到想不通的事，母親總是開導我們要想開，宰相肚里能撐船。當別人做的比我們好時，便教育我們不要妒嫉人家。對待弱勢群體要有善心和愛心。可以說，她的很多言行至今還在深深地影響著我，激勵著我。”“母親真的非常偉大，勤勞善良是她最優秀的品質。在我的記憶里，母親每天都勞動到深夜，我很小時就陪母親熬夜。也許正是這個經歷，歷練了我工作以后深夜工作的能力。”

1980年，王小云考上諸城一中。“其實，我比較癡迷物理。”高中三年，她的物理成績始終是班里第一名。每一節物理課她都上得非常投入，物理老師的每一個眼神、每一個提問她都心領神會。但在1983年的高考中，她的物理成績卻遠不如數學，因此在高考志愿上，她將山東大學數學系作為了首選。

入讀山大后，王小云對物理的眷戀一直揮之不去，以至進入山東大學數學系一段時間后，她還一直尋找并等待轉入物理系學習的機會。但隨著學習的深入，數學本身嚴謹的邏輯思維，以一種巨大的力量緊緊地抓住了她的心，她的實力逐漸顯現出來，成績名列前茅，她也逐漸愛上了這個當時退而求其次的專業。因此，在后來報考研究生志愿時，她毅然選擇了著名數學家潘承洞院士所從事的解析數論方向。

1987年，王小云順利考上了山東大學數學系的研究生，學習了一年之后，在兩位導師潘承洞院士、于秀源教授的建議下，她將研究方向由“解析數論”改為新興的“密碼學”。

數論是公鑰密碼學最核心的數學基礎。正是由于它的重要性，在80年代中期，山東大學數學系的潘承洞、于秀源、展濤三位老師便成立了密碼研究小組，并親自選拔了兩位優秀的數論研究生王小云和李兆宗從事密碼學的學習和研究。于秀源和展濤兩位老師更親自為他們講授了包括“初等數論”、“解析數論”、“密碼學入門”和“素性與密碼學”等相關專業課程，這也為他們日后開展密碼學的深入研究打下了堅實的基礎。

“剛開始，感覺學習密碼很簡單，后來隨著理論越來越深，感覺還是挺難的，但也覺得越來越有意思。”王小云對看似枯燥的密碼學研究越來越感興趣，她興奮地說：“只有對密碼算法進行深入地分析才能真正理解密碼算法設計的奧妙與安全的根基。密碼學上有些思想是別的學科沒有的，比如說可證明安全性的一些思想，利用零知識、知識證明等思想證明某些算法為什么是安全的，是密碼學獨特的理論體系，是非常有意思的。”

1996年，王小云博士畢業留校工作三年后，在同校老師李大興的建議下，從喜歡的公鑰密碼轉為當時國內無人從事的冷門方向HASH函數研究。從零起點開始一個新方向的研究，其數學基礎跟數論截然不同。由于材料短缺，王小云便從定義開始熟悉HASH函數的內涵，在沒有研讀過HASH函數分析論文的前提下，她開始了HASH函數的安全性分析，經過八年的潛心鉆研，先后取得了多個突破性成果，由此也獲得了國家密碼基金、863項目和國家自然科學基金項目的資助，并且獲得部級科技進步獎一項。因此2002年，36歲的王小云在山東大學晉升為教授職稱。

王小云說：“現在看來，當初選擇這個研究方向是冒著很大風險的，事實上這個方向里的科學家，99%的人永遠也不會取得成功。但我對這個問題很感興趣。”實際上，開始HASH函數研究不到半年時間，破解HASH函數理論分析方法的一些主要思想就醞釀在她的腦海中了，1997年春季她便已經成功給出了第一個算法SHA-0的碰撞攻擊路線。

如今她的導師潘承洞教授已經去世整整20年了。但回憶起導師，王小云依然充滿感激之情。“我非常感謝潘老師當時給我指明了一個非常正確的研究方向。”

事業生活 比翼齊飛

也許很多人會以為，一個整天與數字、公式、密碼打交道的女人，生活上難免枯燥乏味。事實上，王小云是個極富生活情趣的人。她不僅是一位優秀的女科學家，生活中也是一個好妻子、好母親。

王小云和從事醫學研究的劉瑞田于1991年結婚。女兒在四年后出生。1996年起，王小云開始著迷于HASH函數的安全性分析，由于分析過程中需要借助計算機的編程，并且需要不停打印她自己獨創的“比特分析法”的分析表格。但是每次打印，都需要專程到數學系機房里的激光打印機上進行，有時甚至要排隊等上很久。為了節省往返于學校和家之間的時間，也為了方便照看孩子，王小云和丈夫商量后，花掉了當時家里的所有存款買了計算機、打印機和掃描儀，在自家的辦公桌上搭建了“工作平臺”，這是90年代中期，每個大學老師夢寐以求，卻沒有幾個人敢于真正付出的舉動。自此之后，每天忙完家務、哄睡女兒，王小云就會坐在家里的電腦前，開始演算HASH函數的破解方法……

在破解密碼算法RIPEMD的過程中，由于算法的設計特點，出現了與其他被破解算法差別較大的規律。而這個規律是王小云在調程序的過程中發現的，事先沒有料到。王小云通過精心推導，找到問題所在，為了推出一條能夠找到碰撞的真正路線，她先后找到30多條可能的破解路線。每天哄女兒睡著后，繼續編程工作到深夜一點鐘左右，攻關時間長達三個月，而那個階段恰好是愛人在美國做博士后期間。

“那段日子，經常是在深夜里精神正足的時候，而一條路線的調試在最后的關鍵兩步被證明是不可能的，這時只好帶著遺憾去休息。第二天送女兒上學后，趕緊回家繼續尋找新的攻擊路線。”

“那段時間，我抱著孩子、做著家務的間隙，各種密碼可能的破解路徑就在我腦中盤旋，一有想法我就會立即記到電腦里。到現在我還很懷念那10年的生活。那時候，我會在一段時間里拼命工作，感覺累了，就會讓自己休息一下。在破解了SHA-1的那天，我跟朋友去外面吃了一頓飯，心里有些興奮，因為自己是第一個知道這個世界級秘密的人。”

在破解一系列國際密碼算法的10年中，王小云生了一個女兒，還養了一陽臺的花。她說“我的科研就是抱孩子抱出來、做家務做出來、養花養出來的。”

當談起女兒時，王小云表現出了母親特有的關愛，和對女兒的絲絲歉意。“女兒從小就對文學藝術有濃厚的興趣，喜歡寫詩、畫畫。小時候也曾給她報過畫畫班，但后來由于工作太忙，就停止了這方面的培養。但后來她這種藝術特長還是逐漸顯露出來，現在從事珠寶設計專業，也十分符合她自己的興趣愛好。”

2005年受聘于清華大學之后，王小云舉家搬到北京，開始了全家的“新生活”。鑒于她對MD5和SHA1等算法的破解成果，2006年的“陳嘉庚科學獎”、“求是杰出科學家獎”等都授予了這位山東籍女教授。她說那一年很多朋友都在問她，拿了那么多獎，獎金都怎么花的？她微微一笑說道： “我愛人初來清華時沒有充足的科研經費，他從事的生物醫學又恰恰是需要大量的專業設備做實驗。十年前，他義無反顧地支持我花掉了家里所有積蓄買電腦和打印機，為我今天的成功給予了最務實的支持。所以我從那些獎金里拿出了近50萬，為支持他籌建自己的實驗室出一份微薄之力。經過這些年的努力，他現在已經在生物藥物研究方面取得重要進展”。

大舍大得，不舍不得。正是擁有這樣豁達的胸懷，使得王小云獲得了雙贏。

十年一劍 終成大家

基于數學難題保障其安全性的現代密碼學是1976年才開始發展起來的新興學科。現代密碼學分為公鑰密碼與對稱密碼兩個分支。密碼學可以保障網絡信息的機密性、合法性、不可抵賴性以及完整性。除了機密性外，其它的三個屬性大都需要HASH函數保駕護航。今天全世界的金融、證券、計算機網絡等系統中身份認證與登陸系統，消息來源的合法性認證、眾多的可證明安全密碼系統以及目前備受關注的比特幣、區快鏈等新興密碼應用技術，“HASH函數”都在發生關鍵作用。上世紀90年代以來，兩個密碼算法MD5和 SHA-1就是世界范圍內最為廣泛通用，并與計算機網絡廣泛配備的兩種HASH函數。MD5是由圖靈獎得主麻省理工大學教授Ronald L. Rivest于1991年設計的；SHA-1背后更是有美國國家安全局的背景，是美國NIST推出的HASH函數標準。

任意一個數據（消息），經過特定的HASH函數算法計算后，會生成一個由0和1組成的“比特串”（如SHA-1是160位），這個比特串就是消息獨一無二的“數字指紋”，可以作為人們在虛擬世界里進行電子簽名時不可或缺的唯一標簽使用。如果兩個不同消息的數字指紋相同，其簽名一定相同，兩個消息就被稱為一個碰撞對，因此HASH函數必須要抵抗碰撞攻擊。王小云的工作就是要證明我們廣泛使用的HASH函數找到碰撞是容易的。原始數據的任何改變，都會使電子簽名隨之變化。王小云解釋說：“如果登陸口令只是簡單的幾位數字，普通計算機在很短的時間就可通過窮舉而輕易破解。而電子簽名與以密碼技術為支撐的口令的安全性，則取決于其背后復雜的簽名算法和HASH函數所基于的數學難題破解的難度。”

多年來，MD5和SHA-1被國際上公認是最安全、最先進、應用范圍最廣泛的兩大HASH函數算法。按照常規方法，即使調用當時最快的大型計算機，也需運算上百萬年才有可能被破解。這確保了電子簽名在現實中是安全可靠的。曾經有很多密碼學家嘗試去破解它，但是都沒有成功。正因為這樣，分析它們的密碼專家逐漸轉為其它的研究領域，導致HASH函數被認為是此前密碼學研究中最不活躍的領域。”然而，王小云堅定地選擇了這一不活躍的領域，以獨特的方式打破了這種沉悶的局面。正如前國際密碼學會主席Bart Preneel描述的那樣“王小云等突破性工作引發了該領域分析與設計的熱潮”。

“一開始，我也覺得很難，破不了，但是后來從數學的角度來思考，慢慢地發現了很多規律，影響其安全性。這個過程是一點點積累，一步一步解決的。”

“雪崩特性是衡量HASH函數安全的一個基本標準，如果HASH函數是安全的，雪崩是非常強的，找不到任何規律。這就像雪山頂上有一個東西，突然雪崩了，你根本找不到它的蹤影。”

經過不斷的分析與探索，王小云發現多數HASH函數雖然產生有很強的雪崩，但雪崩速度并不快，就產生了控制雪崩的想法。于是，她開始找數學規律，試圖找到一些有效的方程控制方法。在不斷的摸索和反復的驗證中，最后她幸運地找到了大家公認的模差分方法，最終使攻擊方法變得非常有效。