11月2日国际报道 今年早些时候，通过公布被广泛使用的数字签名技术存在一处缺陷，一组中国的科学家震惊了数字安全世界。现在，美国政府正在考虑如何解决这一问题。

    这一存在已经十年之久、名为“安全散列算法”（SHA-1）的算法是一种官方联邦标准，被应用在每种现代的Web浏览器和操作系统中，对它的任何修改将是代价高昂的，而且需要时间，政府选择不当意味着其后续标准的生命周期也超不过10年。美国标准技术研究院的约翰说，我们必须迅速地作出决定。

    中国山东大学的研究人员的发现更多地是理论性的，但是，随着计算机速度的提高，他们的发现将使黑客能够更简便地在计算机代码中插入无法被发现的后门儿代码，或伪造电子签名━━除非推广一种不同的、更安全的“散列”算法。

    美国标准技术研究院正在考虑二种选项：选择一种被认为是更安全的SHA-1算法变种；或者选择一种全新的算法。使这一决策过程复杂化的是，计算机科学家普遍相信，即使是一种与SHA-1相关的更新的算法也会存在相似的缺陷。

    SHA-1的变种算法已经存在，而且在日益普及。美国标准技术研究院已经公布了一系列被统称为SHA-2的算法，但它们不象SHA-1算法那样已经经过了公众的严格审查，这使一些研究人员感到不安。

    去年，互联网上另一种被广泛应用的MD5算法也被发现存在缺陷。SHA-1算法生成160位密码，长于MD5算法的128位，被认为更安全。对于计算机科学家而言，SHA、MD5都是散列函数。它们接受包括从电子邮件到操作系统内核在内的各种类型的输入，生成唯一的“指纹”，输入文件中一个字母的改变都会生成完全不同的“指纹”。

    安全软件依赖于这些“指纹”的唯一性。但是，如果黑客能够用不同的输入生成相同的“指纹”，被克隆的“指纹”将证明带有后门儿的软件会被安全地下载和执行。这将使得黑客能够在指示从用户银行帐户中提款的电子邮件上签名，或者修改使用数字签名技术的合同。

    哥伦比亚大学的计算机科学教授史蒂文表示，我们没有必要为此惊慌，他说，SHA-1算法中的缺陷仅仅是理论上的。他还指出，数以百计的协议必须支持新的加密标准，用户必须对他们所使用的软件升级。我们无法一步到位地部署一种新算法，新的应用软件需要能够支持原来的算法。微软的密码学专家费格逊说，尽管美国政府和大多数公司可能会逐步放弃SHA-1，但要在近期放弃它是不切实际的。