问题—— 在数字化、网络化快速推进的背景下,密码技术已成为保障国家安全、经济安全和社会运行秩序的重要基础。哈希算法广泛用于数字签名、证书体系、软件完整性校验等关键场景,一旦出现可被利用的缺陷,可能引发身份伪造、数据篡改、供应链攻击等风险。近期,围绕SHA-1等经典算法安全性的研究进展再次受到关注。业界普遍认为,SHA-1已难以满足高强度攻击下的安全需求,有关系统应尽快完成迁移与替换。 原因—— 密码算法并非“一劳永逸”。其安全性取决于数学难题、攻击成本与现实可行性之间的动态平衡。随着计算能力持续提升、分布式算力获取更容易,以及密码分析理论与工程方法不断进步,一些早期被认为“足够安全”的设计,可能在新的攻击模型下暴露结构性弱点。SHA-1属于哈希算法,主要风险在于“碰撞攻击”的可行性提高:攻击者可能构造两份内容不同但哈希值相同的数据,从而绕过基于哈希值的验证。另外,部分机构和企业对算法生命周期评估不足、顾虑迁移成本、存量系统耦合复杂,使得落后算法长期在系统中继续使用,累积为隐性安全债务。 影响—— 从技术层面看,对SHA-1等算法的安全性重新定性,推动全球密码应用更新换代,促使更多系统迁移至SHA-256、SHA-3等安全等级更高的方案,并带动证书体系、签名机制和安全产品的兼容性调整。从产业层面看,算法淘汰将引发软硬件升级、合规审计、供应链验证等连锁变化,短期可能增加改造成本,但长期有助于降低重大安全事件的发生概率。从国家安全层面看,密码能力既关乎防护也关乎博弈。高水平基础研究的突破,有助于提升对国际主流算法的评估与预警能力,为关键信息基础设施建设提供更可靠的安全依据,也为我国密码标准体系完善与自主可控能力提升提供支撑。 对策—— 一是加快存量系统迁移,建立“退役清单”机制。对仍使用SHA-1的场景开展摸底排查,明确时间表、路线图与责任链条,优先在政务系统、金融支付、工业控制、重要互联网平台等领域推进替换,避免“边缘系统”成为突破口。二是完善算法评估与应用治理。推动“算法安全评测—上线审查—运行监测—定期复评”的闭环管理,建立面向应用的风险分级制度,明确不同安全等级场景的算法选型要求,避免在高价值资产场景继续使用安全裕度不足的方案。三是强化密码工程能力与人才供给。密码安全不仅是数学问题,也是工程问题。要提升安全实现质量、随机数质量、密钥管理、协议配置与运维审计水平,减少因配置错误、实现缺陷造成的“算法之外风险”。同时加大基础研究投入,鼓励高校、科研机构与企业协同攻关,形成从理论到应用的持续创新链。四是推动产业生态协同升级。通过标准引导、兼容性测试与产品认证,降低迁移成本;在云服务、终端系统、开发框架中提供更安全的默认配置与自动化扫描工具,提高全社会密码使用的基础安全水平。 前景—— 随着量子计算、隐私计算、人工智能安全等技术加速发展,密码体系将面临新的挑战,也迎来重构机遇。下一阶段,密码技术竞争将更强调“可证明安全”“组合安全”“抗量子迁移”等方向,密码应用也将从单点算法替换,转向体系化安全架构升级。业内预计,围绕国产密码标准、关键软硬件适配、密码服务平台化等领域,将出现更大规模的技术迭代与市场需求。对我国而言,坚持面向国家重大需求与面向科技前沿并重,持续提升密码基础研究与工程落地能力,将为数字中国建设和高质量发展提供更坚实的安全支撑。
从破译百年密码到参与未来标准设计,中国科学家以长期积累展现了科技自立自强的内涵。王小云院士的科研报国之路启示我们:关键核心技术攻关既需要长期投入和耐心,也需要率先突破的勇气。在充满不确定性的国际科技竞争中,只有持续夯实基础研究能力,才能在关乎国家安全的战略领域牢牢掌握主动权。