【eNews消息】美国东部时间2月16日(北京时间2月17日)消息，2月16日，据报道称，现在广泛使用的数码签名程序中的加密标准存在着漏洞，该漏洞可使用户进行伪造。由CNET新闻网站出具的一份研究报告显示，3名中国科学家-王晓云、于红博以及Yiqun Lisa Yin，普林斯顿大学的访问学者共同发布的的研究称，他们找到一种减少攻破运算法则的有效方法，即为Secure Hashing Algorithm或是SHA-1，广泛应用于数码签名数据文件中。

　　其它的破译人员也称，此研究报告事实是正确的。Counterpane Internet Security机构的破译专家布鲁斯-施内尔(Bruce Schneier)称，“在这一点上，我无法分辨攻击是否是真的，但是研究报告显示的情况是真的，因为这是一个令人尊敬的研究小组。”攻击者可利用这一漏洞创建两份文件或是具有相同的数码签名的程序，一种文件是合法版本的数据，而另一种文件可能是伪造的。比如，和SHA-1签名一起发布的在线代码签名可以确保其真实性，这可能会被潜在的攻击变得毫无意义。

　　引起这一问题的原因是，文件签名需要两个步骤：第一，数码签名或是文件的浓缩型；第二，公钥加密。如果两种不同的文件创造出相同的信号，则处理过程就会遭受破坏，因为无人证明哪个文件是得到签名的。Cryptography Research机构的破译专家波尔-科克(Paul Kocher)称，如果得到证实，SHA-1可能会被政府公开推出，这种破坏的后果可能不太可怕。“如果你有数千台电脑同时运行，这是可行的。”同时，这种攻击行为也是一个严肃的问题，如果不明来源的数据得到签名。那么这名攻击者就会有数据的两个版本：一个是公开的版本，将得到签名，而另一个是伪造的，或是恶意版本，可能会被秘密地保留下来。