CSDN博客

img naxin

CFCA: 关于MD5缺陷以及CFCA提供安全认证不受该缺陷影响的公告

发表于2004/9/27 22:12:00  1990人阅读

分类: 01. J2EE技术

http://www.cfca.com.cn/news/040915-1.htm



关于MD5缺陷以及CFCA提供安全认证不受该缺陷影响的公告
CFCA

  日前,我国山东大学王小云教授在Crypto 2004 会议上宣读了王小云、冯登国、来学嘉、于红波四人对MD5算法碰撞的研究成果。有消息称:"这意味着,当你在网络上使用电子签名签署一份合同后,还可能找到另外一份具有相同签名但内容迥异的合同,这样两份合同的真伪性便无从辨别。王小云教授的研究成果证实了利用MD5算法的碰撞可以严重威胁信息系统安全,这一发现使目前电子签名的法律效力和技术体系受到挑战",引起了CFCA部分用户对此问题的关注。CFCA特作如下说明:

  
1991年发表的MD5算法是克服了MD4算法的安全性缺陷的产物;但是实际上,早在1994年就有一个研究报告指出,可以通过制造一台专门的机器,针对MD5搜索两个不同的报文具有相同的摘要,即"碰撞"现象,平均用24天找到一个碰撞。MD5的碰撞问题实际早已暴露,王小云教授等人的卓越工作在于:在更短的时间内,实现了MD5的碰撞。此外,由于MD5算法并不是哈希算法的唯一选择,对于采用了其他安全的哈希算法产生的电子签名,MD5算法的这一缺陷并不影响电子签名的法律效力。

CFCA在建立之初,已经对MD5以及其他算法进行了安全性评估。因此,在CFCA提供的应用产品和服务中,并没有采用MD5等不安全的算法,而是采用了安全的SHA-1算法,用户可以放心的使用;CFCA提供的安全应用工具包默认使用的哈希算法也是SHA-1算法,考虑到工具包对其他应用的互操作性要求,工具包也提供了MD5算法,如果用户在使用工具包进行开发时,不使用默认的算法而采用了MD5算法,请立即修改自己的程序,采用默认的SHA-1算法,以避免MD5的缺陷产生的影响。




* 附件:

《电子签名法》与电子签名的技术实现

  实现电子签名的技术手段有很多种,但目前比较成熟的,世界先进国家普遍使用的电子签名技术还是"数字签名"技术。由于保持技术中立性是制订法律的一个基本原则,目前还没有任何理由说明公钥密码理论是制作签名的唯一技术,因此《电子签名法》规定了一个更一般化的概念以适应今后技术的发展。但是,目前电子签名法中提到的签名,一般指的就是"数字签名"。而且,目前国内外普遍使用的、技术成熟的、可实际使用的还是基于PKI的数字签名技术。作为公钥基础设施PKI可提供多种网上安全服务,如认证、数据保密性、数据完整性和不可否认性。其中都用到了数字签名技术。

  数字签名的全过程分两大部分,即签名与验证。数字签名与验证的过程和技术实现的原理如图所示。



              上图 数字签名原理

  参照上图数字签名过程分两部分:左侧为签名,右侧为验证过程。即发方将原文用哈希算法求得数字摘要,用签名私钥对数字摘要加密得数字签名,发方将原文与数字签名一起发送给接受方;收方验证签名,即用发方公钥解密数字签名,得出数字摘要;收方将原文采用同样哈希算法又得一新的数字摘要,将两个数字摘要进行比较,如果二者匹配,说明经数字签名的电子文件传输成功。
阅读全文
0 0

相关文章推荐

img
取 消
img