质疑“不可破译的密码”

唐先武  郑建辉

刘氏神话     三年前，“刘氏密码”推出，称第一次构造出当今世界不可破译的计算机密码体制；不受数学方法进步的影响；没有固定的解析运算模式求解密钥的算法；当今世界上通常采用的统计频率破译密文的方法对于刘氏加密体制失效……     质疑焦点     三年后，几位保密专家跟踪研究后称：“刘氏密码算法”在技术设计上主要错误：一是没有使用“循环迭代”；二是随机统计特性不符合要求；三是采用的“分组长度随机”和“随机格式”，并没在本质上增加破译工作量，甚至是多余的环节。     提出商榷     专家们特别说，我们对刘尊全先生探索科学的精神是敬佩的，对其专著中存在的学术错误予以披露，正是对科学的尊崇，并没有对其个人进行攻击之意，希望能够就“刘氏密码算法”的相关问题与刘尊全先生乃至众多同行进行商榷。     职责所系，总参某通信研究所多年来一直坚持对国内外信息安全领域的最新研究成果和发展前沿进行跟踪研究，为保障国防信息安全保密作出了重要贡献。近年来该所保密专家们对“刘氏加密算法”进行了跟踪研究，今年7月他们正式宣布破译了这一“不可破译的密码”。     “刘氏加密算法让同行重新洗牌”     1998年，清华大学出版社出版了刘尊全先生的专著———《刘氏高强度公开加密算法设计原理与装置》。刘尊全是中科院旅美科学家，国内的知名学者，特别是在国内计算数学领域可谓尽人皆知。而此书一出却显得“非常”，书中书外一片叫好，简直成为中国密码学界乃至全世界密码学的“九五之尊”，掀起了一阵风波。     书中有一些表述：“刘氏加密算法”在国际上第一次实现了在系统开销很小的情况下，用户可以获得极高的加密强度，从而第一次构造出当今世界不可破译的计算机密码体制；“刘氏密码体制”不受数学方法进步的影响；没有固定的解析运算模式求解密钥的算法；由于“刘氏密码算法”“在当今世界上第一次从算法体制上构造出当明文具有统计频率时，经过加密变换后获得没有统计特性，从而正式宣告：当今世界上通常采用的统计频率破译密文的方法对于刘氏加密体制失效……”     一位专家也在该书前言中指出：刘尊全教授在专著中给了加密强度为242200的实例，这个结果可以说是世界之最，在密码强度方面居于国际领先地位……     有些媒体做了大肆宣传：一家中央新闻单位以“信息安全领域发生革命”为题，介绍“旅美科学家刘尊全教授经过多年研究，创立了一个全新的高强度公开密码系统，并成功地解决了数据加密中NP（非确定的多项式）安全问题……”一家计算机类报纸以“刘尊全为Internet加金锁”为题发表人物专访，声称“刘氏密码算法让同行重新洗牌”。一家网络报在“网络购物安全机制”一文中，推荐用“刘氏密码”作为网络信息安全机制。一家电脑技术信息媒体在“电子商务的安全策略”一文中指出：“刘氏密码”可望成为新一代数据加密标准和用于电子商务的安全交易系统……     刘尊全先生自己也表述：“美国十几年的研究被我一周的研究就超过了”；“美国现在发射航天飞机，全部待命检测时间需要2个小时，而如果用我的技术只用1分钟即可”。     总参某通信研究所保密专家跟踪研究     对于外行来讲，如此高技术很可能不会入其耳目，最多作为一条新闻信息，啧啧称赞几声也就罢了，但对于总参某通信研究所的保密专家们而言，这可不能等闲视之，是一定要跟踪学习和分析研究的。多少年来，他们就一直坚持对国内外信息安全领域的最新研究成果和发展前沿进行跟踪研究，为保障国防信息安全保密作出了重要贡献。     当看到“刘氏加密算法”成果时，他们自然又要跟踪。于是，在“2000年保密新技术跟踪研究”课题项目中，列进了“对‘刘氏高强度公开加密算法’分析”一项。     问题来了。管海明、任朝荣、叶季青等保密专家对《刘氏高强度公开加密算法设计原理与装置》的系统分析发现：该算法在工程设计实现技术上隐藏着一些不易观察到的严重缺陷，采用特殊方法是可以破译的。之后，他们编写出了能够对其进行实时破译的软件。从理论到实践都证明了“刘氏密码”无法抵抗选择明文攻击、选择密文攻击，以及在某些条件下的已知明文攻击和已知密文攻击。这些研究结果已在2001年5月上海召开的“第二届中国信息与通信安全学术会”上发表，得到了众多密码专家的肯定。     至此，“刘尊全为Internet加金锁”的说法不攻自破。一些媒体中报道的那些诸如“第一次构造出在当今世界不可破译的计算机密码体制”、“刘氏算法让同行重新洗牌”等等结论，也都是站不住脚的。     披露“刘氏加密算法”的主要错误     专家们分析指出，“刘氏密码算法”在技术设计上的主要错误体现在三个方面：     一是没有使用“循环迭代”。比如在打牌中，如果洗牌不充分，必然会暴露出原有排列中的一些“蛛丝马迹”，被有心计的牌手“有机可乘”。“刘氏密码算法”正是如此，其只用了一次非线性变换，而没有使用“迭代”或“循环”，使得信息流不能达到充分地扩散和混乱，破译者在选择明文攻击的条件下，通过受控试验，就可把复杂的解非线性方程组问题转化成一个简单的解线性方程组问题，甚至可以绕过数学解析方法而直接测试出加密阵列的各个元素。专家说，实际上，刘尊全只用“一次性非线性函数变换”而“不采用迭代或循环”作为其设计原则，本身就违背了密码设计的原理，属于常识性错误。     二是该算法的随机统计特性不符合要求。保证密文的随机统计特性是密码设计的最低要求。“刘氏密码”称“第一次从体制上构造出当明文具有统计特性时，密文没有统计特性”，其实不然。首先，这与密码发展的历史事实不符，以往几乎所有的密码（如DES、RSA）都能达到这个要求。其次，“刘氏密码”本身并没有达到其所说的那样。因为其密文序列对于特殊设计的明文序列有明显的规律性。专家们正是由此找到了破译的门槛。     三是该算法采用的“分组长度随机”和“随机格式”，并没有在本质上增加破译的工作量，甚至是多余的算法环节。     另外，刘尊全在其英文网页中称“刘氏密码”具有加密、鉴别、数字签名、完整性检验“四合一”功能。但专家们的研究结果证明：“刘氏密码”不可能具有“数字签名”功能。因为其加、解密的密钥相同，从已知的验证签名的密钥中必然能够推导出产生签名的密钥。事实上，在所有关于“刘氏密码”的中文资料中，都无一例外地回避了“数字签名”这一功能。这不可能是疏忽。业内人士都知道，在信息安全保密方面，“数字签名”可是非常重要的一项。     据称，“刘氏密码”是“新一代计算机数据加密标准的强有力的竞争者”，一旦“刘氏密码”成为标准，就有可能以“知识产权”为制高点，广泛应用于国内的信息安全产品市场。专家们说，如果不对其算法中的漏洞和宣传中的误导予以澄清，势必对我国的信息安全保密造成无穷遗患。     据介绍，早在《刘氏高强度公开加密算法设计原理与装置》出版之前，清华大学教授郭宝安先生作为审稿人之一，就签署了“该书不宜出版”的意见。中国密码学会理事、武汉大学计算机学院副院长张焕国也说：“刘尊全先生是国内计算数学领域的知名学者，以前做过许多有价值的研究，但密码学是一个特殊的领域，刘尊全先生在这个领域的工作是不成功的。”     专家们特别说，我们对刘尊全先生探索科学的精神是敬佩的，对其专著中存在的学术错误予以披露，正是对科学的尊崇，并没有对其个人进行攻击之意，希望能够就“刘氏密码算法”的相关问题与刘尊全先生乃至众多同行进行商榷。

《科技日报》 2001年8月29日

返回主页

人民日报社版权所有，未经授权禁止复制或建立镜像。
E-mail:digest@peopledaily.com.cn