“我们脑子里装着数学问题的时候,是不太可能把数学问题放下的。”
撰文 | 邸利会(《知识分子》主笔)
第四届未来科学大奖迎来了首位女性得主,她就是密码学家王小云。
她是土生土长的山东人,1983年考进山东大学数学系后,十年本硕博,之后留校工作又十年,一呆二十年。
2004、2005年,王小云团队在密码学界的会议上先后宣布破解了几个著名的密码算法,包括MD5、SHA-1(懂计算机安全的应该更能理解其重要),引起轰动。之后,她被杨振宁、姚期智等邀请,受聘为清华大学高等研究院杨振宁讲座教授。
女性做数理的很少,作为女性科学家,她如何平衡科研和家庭?作为本土学者,她如何取得如此杰出成就?曾经八年几乎不发论文,她为何还能继续做科研?密码学对我们的生活有怎样的影响?破解密码算法为何在安全领域引起轰动?
在宣布获奖消息之后,《赛先生》与北京大学北京国际数学研究中心长聘副教授董彬独家电话连线王小云教授,为我们答疑解惑。
董彬:先请您谈一谈获奖的感想,想和谁分享这个消息?
王小云:接到电话还是有些意外,获奖对我来讲是非常惊喜的一件事情,因为我知道这是一个非常有名的奖,前三届获奖人都是非常顶级的科学家。另外,这个奖的设立对长期从事基础科学研究的科学家是一个很大的鼓励和激励。获奖后,我第一时间给我爱人打电话,分享了这个消息。他今天在办公室加班,得到这个消息的时候,放下电话很快赶到了家,我也回到了家,我们都很高兴。现在我是在办公室里接受这个采访。
《赛先生》:您一直在山东大学呆着,似乎是一个不太愿意换工作的人?
王小云:是的。我本科、硕士、博士一直在山东大学学习。我的导师是潘承洞老师,我非常喜欢做数论的研究,我研究数论的时候,潘老师和我另外的导师于秀源、展涛老师都强烈建议我学密码,于是我就转向了密码学。
博士毕业后我就留在山东大学工作,直到2004年底的时候,我第一次访问清华大学。后来,杨振宁先生、姚期智先生以及当时清华大学的领导胡和平老师都希望我能到清华大学工作,也是在那个时间我才第一次换工作。
当然,山东大学的工作我一直没有放下。前几天有一件非常高兴的事情:山东大学成立了网络空间安全学院,我担任院长,这也是清华大学领导非常支持的一件事情。新学院开学了,也迎来了第一批新生。
《赛先生》:您怎么看待在山东大学的日子?包括这次的成绩也是在山大10年间努力的结果。
王小云:我在山东大学工作了10多年,做哈希函数的分析也接近10年的时间。这10年是我科研生涯非常重要的时期。我想,在我一生的研究经历当中,哈希函数的研究是非常重要的,是不是最重要的我不知道,我还是希望能够有更好的研究,对我国密码学的科学研究有更好的贡献。但至少在山大的10年,是我最重要的一段经历。
一开始我从事公钥密码,做可证明安全方面的研究,当时因为我国几乎没有人从事哈希函数的研究,我开始了哈希函数的研究专项。
这10年的过程还是比较艰苦的,从一开始初步做分析,到一点一点把分析的理论体系建起来,需要有一个漫长的过程,因为它不是一天建立起来的,直到针对两大通用的标准MD5和SHA-1,能够给出比较好的碰撞攻击。尽管这个过程比较艰难,但依然是非常值得享受的一个过程。
《赛先生》:您平常的研究状态是什么样的?听说您在家里是特别爱干净的一个人,经常拖地板。
王小云:因为当时我只是一个普通老师,还没有独立的办公室,我就在家里工作。我比较喜欢在家工作,上完课就到书房里工作。
我家的书房阳光明媚,鲜花灿烂,基本上是这样的环境。我每天收拾完卫生以后就投入到科研中,所以过程还是比较享受的。在科研当中,每当我在思考一个数学问题,却找不到答案的时候,我就会起来打扫打扫卫生,或者是养养花儿,浇浇水,干一些其他的事情,但实际上脑子里一直没有放下科学问题,甚至在去幼儿园接送女儿的路上也是在思考这些问题。严格地讲,我一边科研,同时兼顾着我的家庭生活,科研一直没有放下,一直在我的脑子里。我们脑子里装着数学问题的时候,是不太可能把数学问题放下的。
我研究的科学问题正好是成理论体系的科学问题,所以脑子里一直在想着如何更好地解决这些科学问题。我们会遇到很多障碍,解决了一个数学问题,还有更难的数学问题在等着你。并且这些数学问题是以前我们也没见过的,不像以前学数学的时候,非常明确就是这个问题。在分析过程中,最终会碰到什么样的数学问题并不明确,但是我知道我有障碍过不去,所以在思考分析的时候要提炼出一个比较精准的数学问题,再对这个数学问题进行求解。基本上是这么一个完整的过程。
《赛先生》:当时在山东大学的评价体系是怎样的?您发论文好像也不是特别多,有没有感受到压力?
王小云:我基本上有八年的时间没怎么发论文,中间零星发一两篇论文,也不是哈希函数主流的方向,只是在之前有一些其他方面的成果。
在哈希函数研究的后期,虽然每天基本上都会有比较好的结果,我自己高兴,但是其他人不知道,我偶尔会跟相关的领导还有我的老师(比如说彭实戈院士)交流。当年跟我关系比较好的、对我比较了解的同事知道我做出一个不错的工作,但是他们确实不知道是什么工作。这是一方面。
另一方面,我这个工作也是我们国家的一个部门给我的一个研究项目,所以项目管理部门知道我的工作非常好。我做了八年左右的时候,获得了密码科技进步一等奖。获得了这个奖以后,我们数学院的老师认为这个事情很好,因为得这个奖是难度非常大的。获奖之后,我就晋升为了山东大学教授。
确实很长时间不发表论文别人也会有质疑,也会感觉很奇怪,你一个老师,怎么不发论文,是有这么一个过程。但是我自己觉得还好,我自己不难受,一点儿没感觉到不发表论文有什么不合适的。
《赛先生》:在计算机、数学领域,女性是相对少的。很多女性结婚了,有了孩子,还要做家务,您能不能给一些建议,如何兼顾研究和工作?如何促进女性更多的从事数理相关的研究?甚至有人认为,女性做这些工作比较弱,您是怎么看的?
王小云:实际上,我带的学生里面女性比较多,能占到接近一半的比例。我培养的学生里面,女性成功的也还比较多,当然男生成功的也很多。不管是男生还是女生,成功的都有,他们都非常优秀。
但是在培养女学生的时候,我是给予她们很大的鼓励的,因为我也是一个女性,所以我会从作为一个女性科研人员的角度,以我为例,给予女生们特别的鼓励。实际上,她们研究热情很高。
另外,她们做密码事业的毅力还是很强的。当然,可能也有个别的家庭方面的问题,比如说生孩子,确实影响比较大,但是有的女性生孩子对她们并没有太大的影响。我特别高兴的是,我培养的女学生,她们的爱人很支持我们的工作,特别支持我们团队的工作,这一点我是非常感动的。
为什么呢?她们跟我工作的时候经常熬夜,有时候熬到晚上两三点钟,她们的爱人有时候主动过来接她们回家,有时候偶尔也送我回家。如果女性的科研工作得不到家庭的支持,她会非常为难。实际上,本身她们的能力还是很强的,没看到明显的弱势。
比如,我有一个女学生叫王美琴,她现在已经是非常有名的教授了,是山东大学网络空间安全学院的常务副院长。我对她的认识是,她对科学研究的奉献精神绝不比我差,甚至在某些方面会超过我,她经常晚上熬夜,但是她对家庭也不放弃,只要有一点时间就回家忙家务。虽然有科研工作的时候把科研工作和其他相关的管理工作都放在第一位,但只要有时间就很顾家。基本上就是这么一种状态,家人对她是非常理解的,也特别支持。
《赛先生》:我注意到您一直在山东大学,做出成绩以后,在国际上引起轰动,清华把您也聘过去了。我很好奇,您是土生土长的本土人才,到国外短期的交流都几乎没有,您怎么看待本土人才的培养?
王小云:我的工作成果出来以后,欧洲、美国有一些密码学家不太相信我是中国培养的科学家。这一点我明显能感觉到。他们很惊讶,问我的硕士、博士是在欧洲还是美国读的?我告诉他们,我是在中国山东大学读的时候,他们确实非常惊讶,不太相信,但是我确确实实是没有出国读书的。
实际上,这可能跟我成长的环境有关系,潘承洞老师是世界上很杰出的数学家,他培养的学生基本上都有很好的出国经历,也有出国做访问学者的经历。比如说于老师、展老师都有出国的经历。但是潘老师有一个要求,两年还是三年,到了时间就得回来,他坚决要求老师和我们这些学生立足于国内发展,这一点我是受他影响的。到我们这些人的时候,基本上全都在国内工作,就没有太多想法非得要到国外工作,这一点我是受山东大学团队影响的。
另外,我也有一些好朋友出国工作,他们经常跟我说,国外工作环境很好,有空调,打印机随便打印。我也羡慕他们,但是我爱人也给了我很大的支持,用我们家积蓄买了激光打印机和电脑等科研设备,所以我自己的工作环境实际上是非常好的,基本上跟国外的条件也没有太大的区别。当然,实事求是地讲,没能跟世界一流的密码学家一起工作,这是我的一个遗憾和欠缺。
《赛先生》:密码学在计算机科学,乃至人类生活当中起到了什么样的作用?
王小云:计算机网络在设计的时候是没有考虑安全问题的,包含很多计算机科学家也是这样认为的,忽略了安全问题是比较遗憾的一件事情。要解决计算机的网络安全问题,实际上是经历了比较长的历史。
大家知道,我们在找漏洞,不停地杀病毒,我们发现病毒再打补丁,这都是让计算机网络越来越安全的一个过程。但是要想根本解决计算机网络安全的问题,实际上还是需要密码技术的。
密码技术是网络安全的核心技术和基础支撑,这是最近密码法草案里面给出的一个比较精确的定位。整个计算机网络,包括物联网、卫星通信系统、所有的手机网络通信系统等等都需要密码技术来支撑其安全通信。它的支撑作用是任何其他技术不能替代的。
密码技术所涉及的科学问题又是数学问题,这就凸显了数学在密码学领域的重要性。所以密码学涉及到了计算机科学、数学科学、信息科学,同时还涵盖了一部分物理科学,它是多学科交叉的领域。这是它的一个重要特性。
第二个是它对人们生活发挥着很重要的作用,为什么呢?现在进入了人工智能时代,新一代信息技术不断涌现出来,比如说现在关注的区块链技术,实际上它就是密码学的一个应用,特别是哈希函数的一个应用。当然,区块链技术也结合了分布式计算、电子签名算法、加密算法等,汇聚成一个比较大的密码应用。但是如果把哈希函数技术拿掉,区块链技术是不存在的。
密码技术跟产业进行了融合,对技术进行了一定的变革,我认为区块链就是密码技术引起的一个技术变革,该技术得到了我们国家相关部门的高度重视。
往大处说,国家整个数字经济的高质量发展离不开密码技术的安全支撑。
比如说老百姓用的银行卡。银行卡最早仅是磁条卡,它很简单,黑客偷到你的银行卡,很容易就可以拷贝一张,你的钱就会受到威胁。现在的银行卡是密码芯片卡,老百姓用银行卡会感觉到非常安全和便捷,包括二代身份证和现在的一部分社保卡也是用密码芯片来支撑安全的。相信在不久的未来,越来越多的密码技术会给老百姓的数字化生活带来更多的安全感和幸福感。
《赛先生》:您的一个成就是攻破了哈希函数 MD5 和 SHA-1,可否简单解释一下?
王小云:我们现在说的网络信息安全就是希望信息从产生、传输、处理、到终端客户使用都是安全的,要保证这个信息的全生命周期都是安全的。网络信息安全的安全要求有四个属性——
一是保密性,就是信息不能被别人看到,是要求加密传输的;二是合法性,就是说我知道这个信息是艾丽斯给我送过来的,而不是一个黑客,不是一个假冒的信息;三是不可否认性,就是说这个信息是艾丽斯签名以后送过来的,我知道确实是艾丽斯的信息,过后这个信息发生了问题,艾丽斯不能否定这是她传过来的信息;四是数据完整性,这个数据是原始数据,没有被篡改过。实际上区块链技术最早保证的是完整性,就是数据不可被篡改。
当时我为什么要分析哈希函数呢?因为合法性、不可否认性、完整性,都需要哈希函数来支撑。比如说数据可以被篡改的话,就意味着合法性和不可否认性就无法保证,就会发生问题。完整性是由哈希函数保证的,是一个独有的技术。四个安全属性,有三个属性离不开哈希函数的支撑,这也是当时我做哈希函数的一个非常重要的原因。另外,虽然哈希函数那么重要,但是在我当时做哈希函数研究的时候,国际上仅有6、7个核心的算法,其中包含MD5和SH-A1这两个通用的算法,所以我就做了哈希函数的研究。
《赛先生》:您是研究哈希函数,破解了之前主流的算法。一个最直接的问题是,因为哈希函数在传统的安全领域是非常重要的东西,是不是就不能用了,目前对这个是怎么处理的?
王小云:当MD5算法被破解,SHA-1还没破的时候,就已经有两种声音。一种认为,你这个破解是理论的,不可能会产生实际影响;还有一种说,既然我们大量的密码系统都是基于哈希函数的安全性,你现在证明它的安全性已经降得很低,可以说MD5的碰撞攻击是非常高效的,大家就认为它应该是不安全的,好多密码系统是不安全的。
Arjen Lenstra(按:荷兰数学家和密码学家)持第二种观点,他就认为好多密码系统是不安全的,他就给我提了一个科学问题,他说王教授你能不能给我找一种碰撞。后来我就给了他一个建议,一个做攻击工作的架构。然后他和他的学生Marc Stevens等就花了两年的时间伪造了一个数字证书,这个数字证书的伪造就是2009年十大黑客技术的第一,这是当时国际上定位的。
使用这个技术、结合我们当时MD5的攻击路线,出现了一个病毒——火焰病毒,这个病毒被认为是迄今为止最为复杂的一种病毒,是俄罗斯专家发现的,有很多Windows计算机系统被攻击。
也就是说,我们做的这种攻击一方面确实造成了一些实际的攻击,另外一方面MD5破解以后引起了全球计算机系统撤出MD5的使用。
SHA-1破解以后,2006年美国国家标准与技术研究院就发布了一个电子签名的新政策,要求2010年以后撤出对SHA-1的使用,启用其他的算法。非常有戏剧性的一件事情是2009年使用SHA-2的比特币就产生了SHA-2。
另外,这两个算法的破解引发的最重要的一件事情是全球进行了新一轮的哈希函数的设计,就是美国国家标准与技术研究院主导的新哈希函数的设计工程,也就是2012年新的标准,它花了五年的时间才设计出来,是历史上设计密码标准时间最长的工程。
为什么花的时间比较长?有两个原因:第一个原因是2005、2006年,研究新的哈希函数如何设计,花了两年的时间,因为以前的哈希函数不安全被认为是设计出了问题,要研究新的设计方法、新的原理;第二个原因是最终的哈希函数的设计花了五年的时间,这个过程比较长。
另外,因为MD5的破解,我们国家密码管理部门也找到我,问我们能不能设计一个中国的算法?我就跟一些密码专家设计了中国的哈希函数标准SM3。
目前我们国家设计的SM3跟美国国家标准与技术研究院主导全球征集的新的哈希函数标准SHA-3一起成为新一代的ISO/IEC国际标准。我觉得这个更重要一点。
《赛先生》:您能不能谈一下现在密码学领域最重要的,让您最激动的进展有哪些?未来的发展方向有哪些?比如说量子计算机出现了以后对传统的加密算法有怎样的挑战?王小云:我们国家量子密码一直也发展得非常快,有一些非常好的工作出现。量子密码以及量子计算机这些领域的发展对密码学的研究有了一定的影响,推动也比较大。比如说现在的经典密码,也就是数学密码。数学密码分为两大方向,一个是对称密码方向,另一个是公钥密码方向。量子计算对对称密码密钥的长度有了一定的要求,以前是128比特的安全,现在需要密钥是256比特才安全,密钥强度需要增加1倍,这是量子计算对对称密码的影响。第二个影响是量子分解因子的算法,也是量子计算的工作,它对公钥密码有很大的影响。假定未来的量子计算机产生,现在使用的很多公钥密码都可以比较高效地被破解。当然,目前真正高效的量子计算机并没有产生。这就推动了国际密码领域进行抗量子计算机攻击的公钥密码研究,我们认为这会成为下一代公钥密码的研究热点。
目前下一代公钥密码的研究是比较成功的,美国国家标准与技术研究院2016年启动了后量子密码算法标准的征集,现在已经有很多算法都出来了,有一些算法通过评估来看安全性是比较高的。我相信,抗量子计算机攻击的公钥密码已经存在了很多,它的标准在不远的将来,快则三年,慢则五年,可能三年左右是比较合适的,就会产生了。
董彬:我现在感觉到知识更新换代特别快,感觉老有一些新的技术出现,您能不能给刚刚从事科学研究的年轻人一些建议?
王小云:这个问题比较大,我说的不一定适合所有的年轻人。
当然,首先要对科研有浓厚的兴趣,对科研没兴趣,也不一定非得做科研,也可以去做技术的研发,或者是去企业。
另外,重要的是选择一个合适的方向,你喜欢哪个方向的研究,你就做这个方向的研究。然后,你对这个方向感兴趣以后要选好科学问题。
通过我带学生的经验,希望学生能选一个比较好的科学问题,这个科学问题的解决对整个科学领域是有帮助的、有非常重要的支撑作用,就是引领性的科学研究。别人再做这方面的研究,他想做出更好的工作也不能忽略你的研究方法,不能忽略你对这个问题的解决,他需要使用你的方法来做更新一步的研究。所以我特别希望学生做这方面的工作。在培养学生的过程中,我感觉到有些年轻人做不了引领性的研究,我就希望他们做一些将来跟核心技术有关系的研究,也是可以的。
但是关键的方向,关键的科学问题,将来对这个领域起到重要的支撑作用和重要影响的方法的研究是非常重要的,剩下的就是要读好论文,要有独立思考的能力,一定不要陷入到以前已经有的方法里面出不来,你要有独立的见解和创新的信心,创新的能力。
王小云:我比较高兴的是,我从事的密码研究这个方向个人认为它是理论研究。密码理论研究有很多基础的数学问题,我鼓励学生说你们要见招拆招。你学的是密码,不一定要把数学问题在密码里面找到应用,那不现实,也可能找不出来。
你一定要知道你做的是密码理论研究,做密码理论研究就会碰到各种各样的数学问题。碰到这些数学的时候要放飞自己去做数学问题的研究,这个数学问题解决了以后,一定可以把密码理论问题解决得非常好。
比如说,我指导学生做的高维格,最近有几个工作都出来了,论文都很长,还没发。2006年,我做哈希函数做到顶峰的时候就撤出来不做了,当时我记得山东大学的校长展涛教授就说,你撤出来要考虑撤的后果,损失有多少。
当时我坚持撤了,我撤的原因是虽然我做的是哈希函数,没做对称加密算法和流密码的分析,但是我知道我做的研究一定对其他领域是有影响的,这些方法都可以打通的,它是一个大的方向。
另外,为什么我转方向?因为当时我们国家公钥密码的分析是比较薄弱的,我就想要做公钥密码的分析。做公钥密码的分析,就只能做高维格理论,当时这个出发点很简单,没想到很快高维格理论就成了下一代抗量子计算机攻击密码的主要数学基础。
所以我就引导着学生解决高维格理论和密码理论的科学问题,这些科学问题又牵扯到数的几何等非常基础的科学问题,牵扯到抗量子计算机公钥密码设计的问题。所以它就是基础理论研究、应用研究都交叉在一起了,这个时候就不要糊涂,不要跑偏了。你做的科学问题一定是凝聚了理论、基础理论、应用三者结合,一定不要跑偏了。你解决的科学问题,一定对这三者都有推动作用。
这个方向现在非常好,虽然我还没发表论文,但是我做的工作是让我们的老师能够在设计的过程当中通过基础科学问题的研究控制住安全问题,也就是说我设计的密码算法跟随机的数学现象是非常接近的,接近到什么程度?用数学计算的方法能控制住精度、安全强度,这是最高境界。最近这几年我在指导学生,我们的学生创新能力也很强,他们在坚定地做这件事情,虽然发表论文比较少,但是一直在做这项工作,最近基本上我们算是成功了。
另外,我想说一下关于理论和应用的问题。这几年区块链引起了大家高度关注,区块链作为哈希函数的一个重要应用,在前两、三年的时候我们也在关注它的研究。为什么?因为我现在在忙另外一些研究,后来发现区块链的应用越来越广。
前年我组织团队做了区块链的研究,做区块链的研究就必须要关注它的应用,你要知道它是怎样应用的,应用中面临的哪科学问题。
我的一个学生是山大的一个老师,他研究了两个月的时间就找到了一个非常重要的问题,针对区块链具体应用中的延迟攻击,做了一个非常好的工作,2018年密码学领域顶级会议发表了两篇区块链相关论文,其中有一篇就是他的论文。
我觉得跟我们这个团队的激励,跟我们现在的水平有关系。以前我们要发表一篇论文确实非常难,现在我们发表这方面的论文不觉得那么遥远了。
另外,我们做的科学问题研究都是实际的科学问题,由理论转向了实际,从实际应用中又提炼出科学问题,又解决了科学问题,这是非常好的,非常美妙的一件事情。
总编点评
王小云教授是国际著名的密码学家。她提出了密码哈希函数的碰撞攻击理论,并以此攻破了多个以前被普遍认为是安全的密码哈希函数标准,推动并帮助了新一代密码哈希函数标准的设计,并已在金融、电网、交通等重要领域广泛使用。量子保密通信是我本人从事的主要研究方向之一,她在破解密码方面的工作也在侧面很好地推动了我们领域的发展。对她的杰出成就,我非常敬佩,也衷心祝贺王小云教授获2019年未来科学大奖数学与计算机科学奖,祝愿也相信她一定会在密码学的发展和支撑网络信息安全方面做出更多重要贡献!
——潘建伟