HASH GAME - Online Skill Game GET 300深圳在全国率先实现了网上全流程注册公司，笔者两年前重新创业在线注册公司时就已经体验了其方便和高效，晚上在线提交申请，全流程用网银Key证书数字签名公司注册申请书，第二天拿到了营业执照，这个高效全数字化流程必须点赞，这也密码的威力，用密码来保障电子政务系统提供更快更好的政务服务。但是，当年当时只是感受到了真方便，并没有去研究其数字签名机制存在的安全问题，今天将讲一讲这个问题，以期进一步提升全数字化注册流程的密码应用安全，更安全地为用户提供优质电子政务服务！

　　国家密码管理部门也已发过类似通知要求，但是网银系统和CA机构居然在国际标准要求停止签发1024位证书的十三年后的今天还在签发和使用！如下图5所示，用于工商注册用的签名证书明明是9月18日签发的，为何今天仍然提示“该证书已过期，或者尚未生效”？笔者刚开始还以为这是Windows提示有Bug，但实际上国家RSA根证书签发给SZCA的中级根证书已于2011年8月30日过期，这是一致1024SHA1证书，现在国密根官网都不再显示RSA算法根证书。13年前要求禁止签发SHA1算法证书，13年后的今天居然还在已经过期的中级根证书下面签发并用于数字签名公司注册和变更这么重要的法律文件！这的确是一个资深密码人不能接受的事情。

　　谷歌早在2017年2月23日就公开发布了PDF文档的SHA1哈希签名的碰撞成功破解，可以实现两个内容不一样的PDF文件有同样SHA1哈希值，也就是说一个采用SHA1签名的PDF文档可以被非法篡改内容但是数字签名仍然有效，因为哈希值不变，一样可以通过签名有效验证而不会发现已签名文件被篡改！如下图11所示，左边绿色部分展示两个不同的PDF文件用SHA1算法计算哈希值都应该是不同的，而右边红色部分展示的被篡改了内容的PDF文件的SHA1哈希值同原文件的SHA1哈希值一样。

　　这是一个国密合规的问题，目前电子发票有用国密证书签名的案例，而公司注册文件没有发现。当然，这也是一个生态建设问题，因为Adobe阅读器不支持国密算法，如果电子发票和公司注册文件都采用国密证书签名的话，则需要有阅读器支持正常阅读国密签名的PDF文档和正常验证国密签名，需要有签名供给软件支持用国密算法实现文档签名，需要业务系统支持采用国密算法实现文档签名，和支持国密算法验证已签名文档。这个改造虽难，但是也是必须迈出的一步，早点行动早点安全合规。

　　以上讲解了目前我国在文档签名密码应用上的六大安全合规问题，这些问题当然不是无解的，只需业界能认识到问题所在，并积极找到解决方案去解决这些安全问题。对于问题二，大家也不用惊慌，谷歌实现的SHA1碰撞成功是一个特定设计的PDF文件，并非所有SHA1签名的PDF都可以非常容易被破解。谷歌在其安全博客中列出了一些数据：一部智能手机只需30秒就能破解MD5哈希数据，所以MD5哈希算法是绝对不能用的，太容易被破解了。而谷歌的特别格式PDF文件SHA1碰撞实验需要110个GPU费时一年才能破解成功，这也不是一般的公司所能提供的算力，并且还要看待破解的数据是否值得用这个代价去破解。而对于完全的SHA1哈希暴力破解，则需要1200万个GPU费时一年才能完成，这个算力可以理解为不可能，除非待破解的数据的价值超过1200万个GPU购买成本、系统运行成本再加上相关人力成本。

　　这一点也非常重要，所有应用数字签名的系统都应该尽快升级改造，只能采用SHA2或SHA3算法生成文档哈希值，并只采用SHA2算法签发的文档签名证书实现文档数字签名。零信浏览器这次发布PDF阅读器升级版本，本计划预置信任更多的电子发票签名证书签发CA根证书，但我们发现电子发票中一家被广泛使用的签名证书从根证书、中级根证书到用户证书全部都是采用SHA1算法，电子发票PDF文件签名也是SHA1算法，这么不安全密码应用是零信浏览器不能容忍的，所以只好放弃预置信任。

　　我国《电子签名法》和《密码法》都要求所有数字签名必须商用密码来实现各种数字签名和安全认证，但是，这个要求在最重要的政务系统和网银系统都还没有落实，这值得相关单位高度重视。为什么必须用商用密码算法来计算哈希和实现数字签名，当然是因为RSA/ECC算法的不可控，我们根本无从知晓采用的SHA1算法是否真的还是比较安全的，而如果真的不安全，那后果是非常严重的。唯一的解决方案是尽快采用国产密码算法来计算哈希实现各种数据的数字签名。