主题:【文摘】山东大学王小云教授成功破解MD5 -- 懒厨
家园 【文摘】山东大学王小云教授成功破解MD5 送交者: sm 于 September 05, 2004 09:44:03:
标 题: 密码学领域重大发现:山东大学王小云教授成功破解MD5(ZZ)
发信站: BBS 水木清华站 (Sat Sep 4 15:37:50 2004), 站内
2004-09-04 09:39 [本站讯]2004年8月17日的美国加州圣巴巴拉,正在召开的国际
密码学会议(Crypto’2004)安排了三场关于杂凑函数的特别报告。在国际著名密码学家
Eli Biham和Antoine Joux相继做了对SHA-1的分析与给出SHA-0的一个碰撞之后,来自山
东大学的王小云教授做了破译MD5、HAVAL-128、 MD4和RIPEMD算法的报告。在会场上,当
她公布了MD系列算法的破解结果之后,报告被激动的掌声打断。王小云教授的报告轰动了
全场,得到了与会专家的赞叹。报告结束时,与会者长时间热烈鼓掌,部分学者起立鼓掌
致敬,这在密码学会议上是少见的盛况。王小云教授的报告缘何引起如此大的反响?因为
她的研究成果作为密码学领域的重大发现宣告了固若金汤的世界通行密码标准MD5的堡垒
轰然倒塌,引发了密码学界的轩然大波。会议总结报告这样写道:“我们该怎么办?MD5
被重创了;它即将从应用中淘汰。SHA-1仍然活着,但也见到了它的末日。现在就得开始
更换SHA-1了。”
关键词:碰撞=漏洞=别人可以伪造和冒用数字签名。
Hash函数与数字签名(数字手印)
HASH函数,又称杂凑函数,是在信息安全领域有广泛和重要应用的密码算法,它有一种类
似于指纹的应用。在网络安全协议中,杂凑函数用来处理电子签名,将冗长的签名文件压
缩为一段独特的数字信息,像指纹鉴别身份一样保证原来数字签名文件的合法性和安全性
。在前面提到的SHA-1和MD5都是目前最常用的杂凑函数。经过这些算法的处理,原始信息
即使只更动一个字母,对应的压缩信息也会变为截然不同的“指纹”,这就保证了经过处
理信息的唯一性。为电子商务等提供了数字认证的可能性。
安全的杂凑函数在设计时必须满足两个要求:其一是寻找两个输入得到相同的输出值在计
算上是不可行的,这就是我们通常所说的抗碰撞的;其二是找一个输入,能得到给定的输
出在计算上是不可行的,即不可从结果推导出它的初始状态。现在使用的重要计算机安全
协议,如SSL,PGP都用杂凑函数来进行签名,一旦找到两个文件可以产生相同的压缩值,
就可以伪造签名,给网络安全领域带来巨大隐患。
MD5就是这样一个在国内外有着广泛的应用的杂凑函数算法,它曾一度被认为是非常安全
的。然而,王小云教授发现,可以很快的找到MD5的“碰撞”,就是两个文件可以产生相
同的“指纹”。这意味着,当你在网络上使用电子签名签署一份合同后,还可能找到另外
一份具有相同签名但内容迥异的合同,这样两份合同的真伪性便无从辨别。王小云教授的
研究成果证实了利用MD5算法的碰撞可以严重威胁信息系统安全,这一发现使目前电子签
名的法律效力和技术体系受到挑战。因此,业界专家普林斯顿计算机教授Edward Felten
等强烈呼吁信息系统的设计者尽快更换签名算法,而且他们强调这是一个需要立即解决的
问题。
国际讲坛 王氏发现艳惊四座
面对Hash函数领域取得的重大研究进展,Crypto 2004 会议总主席StorageTek高级研究员
Jim Hughes 17 日早晨表示,此消息太重要了,因此他已筹办该会成立24年来的首次网络
广播(Webcast )。Hughes在会议上宣布:“会中将提出三份探讨杂凑碰撞(hash
collisions
)重要的研究报告。”其中一份是王小云等几位中国研究人员的研究发现。17日晚,王小
云教授在会上把他们的研究成果做了宣读。这篇由王小云、冯登国、来学嘉、于红波四人
共同完成的文章,囊括了对MD5、HAVAL-128、 MD4和RIPEMD四个著名HASH算法的破译结果
。在王小云教授仅公布到他们的第三个惊人成果的时候,会场上已经是掌声四起,报告不
得不一度中断。报告结束后,所有与会专家对他们的突出工作报以长时的热烈掌声,有些
学者甚至起立鼓掌以示他们的祝贺和敬佩。当人们掌声渐息,来学嘉教授又对文章进行了
一点颇有趣味的补充说明。由于版本问题,作者在提交会议论文时使用的一组常数和先行
标准不同;在会议发现这一问题之后,王小云教授立即改变了那个常数,在很短的时间内
就完成了新的数据分析,这段有惊无险的小插曲倒更加证明了他们论文的信服力,攻击方
法的有效性,反而凸显了研究工作的成功。
会议结束时,很多专家围拢到王小云教授身边,既有简短的探讨,又有由衷的祝贺,褒誉
之词不绝。包含公钥密码的主要创始人R. L. Rivest和A. Shamir在内的世界顶级的密码
学专家也上前表示他们的欣喜和祝贺。
国际密码学专家对王小云教授等人的论文给予高度评价。
MD5的设计者,同时也是国际著名的公钥加密算法标准RSA的第一设计者R.Rivest在邮件
中写道:“这些结果无疑给人非常深刻的印象,她应当得到我最热烈的祝贺,当然,我并
不希望看到MD5就这样倒下,但人必须尊崇真理。”
Francois Grieu这样说:“王小云、冯登国、来学嘉和于红波的最新成果表明他们已经成
功破译了MD4、MD5、HAVAL-128、RIPEMD-128。并且有望以更低的复杂度完成对SHA-0的攻
击。一些初步的问题已经解决。他们赢得了非常热烈的掌声。”
另一位专家Greg Rose如此评价:“我刚刚听了Joux和王小云的报告,王所使用的技术能
在任何初始值下用2^40次hash运算找出SHA-0的碰撞。她在报告中对四种HASH函数都给出
了碰撞,她赢得了长时间的起立喝彩,(这在我印象中还是第一次)。…… 她是当今密
码学界的巾帼英雄。……(王小云教授的工作)技术虽然没有公开,但结果是无庸质疑的
,这种技术确实存在。…… 我坐在Ron Rivest前面,我听到他评论道:‘我们不得不做
很多的重新思考了。’”
石破惊天 MD5堡垒轰然倒塌
一石击起千层浪,MD5的破译引起了密码学界的激烈反响。专家称这是密码学界近年来“
最具实质性的研究进展”,各个密码学相关网站竞相报导这一惊人突破。
MD5破解专项网站关闭
MD5破解工程权威网站http://www.md5crk.com/ 是为了公开征集专门针对MD5的攻击而设
立的,网站于2004年8月17日宣布:“中国研究人员发现了完整MD5算法的碰撞;Wang,
Feng, Lai与Yu公布了MD5、MD4、HAVAL-128、RIPEMD-128几个 Hash函数的碰撞。这是近
年来密码学领域最具实质性的研究进展。使用他们的技术,在数个小时内就可以找到MD5
碰撞。……由于这个里程碑式的发现,MD5CRK项目将在随后48小时内结束”。
对此,http://www.readyresponse.org主页专门转载了该报道http://www.aspenleaf.com
/distributed/distrib-recent.html和几个其它网站也进行了报道。
权威网站相继发表评论或者报告这一重大研究成果
经过统计,在论文发布两周之内,已经有近400个网站发布、引用和评论了这一成果。国
内的许多新闻网站也以“演算法安全加密功能露出破绽 密码学界一片哗然”为题报道了
这一密码学界的重大事件。(报导见http://www.technewsworld.com/perl/board/mboard
.pl?board=lnitalkback&thread=895&id=896&display=1&tview=expanded&mview=flat,该
消息在各新闻网站上多次转载。)
东方神韵 MD5终结者来自中国
MD5破解工作的主要成员王小云教授是一个瘦弱、矜持的女子,厚厚的镜片透射出双眸中
数学的灵光。她于1990年在山东大学师从著名数学家潘承洞教授攻读数论与密码学专业博
士,在潘先生、于秀源、展涛等多位著名教授的悉心指导下,她成功将数论知识应用到密
码学中,取得了很多突出成果,先后获得863项目资助和国家自然科学基金项目资助,并
且获得部级科技进步奖一项,撰写论文二十多篇。王小云教授从上世纪90年代末开始进行
HASH函数的研究,她所带领的于红波、王美琴、孙秋梅、冯骐等组成的密码研究小组,同
中科院冯登国教授,上海交大来学嘉等知名学者密切协作,经过长期坚持不懈的努力,找
到了破解HASH函数的关键技术,成功的破解了MD5和其它几个HASH函数。
近年来她的工作得到了山东大学和数学院领导的大力支持,特别投资建设了信息安全实验
室。山东大学校长展涛教授高度重视王小云教授突出的科研成果。 2004年6月山东大学领
导听取王小云教授的工作介绍后,展涛校长亲自签发邀请函邀请国内知名信息安全专家参
加2004年7月在威海举办的“山东大学信息安全研究学术研讨会”,数学院院长刘建亚教
授组织和主持了会议,会上王小云教授公布了MD5等算法的一系列研究成果,专家们对她
的研究成果给予了充分的肯定,对其坚持不懈的科研态度大加赞扬。一位院士说,她的研
究水平绝对不比国际上的差。这位院士的结论在时隔一个月之后的国际密码会上得到了验
证,国外专家如此强烈的反响表明,我们的工作可以说不但不比国际上的差,而且是在破
解HASH函数方面已领先一步。加拿大CertainKey公司早前宣布将给予发现MD5算法第一个
碰撞人员一定的奖励,CertainKey的初衷是利用并行计算机通过生日攻击来寻找碰撞,而
王小云教授等的攻击相对生日攻击需要更少的计算时间。
数字认证 你的未来不是梦
由于MD5的破译,引发了关于MD5产品是否还能够使用的大辩论。在麻省理工大学Jeffrey
I. Schiller教授主持的个人论坛上,许多密码学家在标题为“Bad day at the hash
function
factory”的辩论中发表了具有价值的意见(http://jis.mit.edu/pipermail/saag/2004q
3/000913.html)。这次国际密码学会议的总主席Jimes Hughes发表评论说“我相信这(
破解MD5)是真的,并且如果碰撞存在,HMAC也就不再是安全的了,…… 我认为我们应该
抛开MD5了。” Hughes建议,程序设计人员最好开始舍弃MD5。他说:“既然现在这种算
法的弱点已暴露出来,在有效的攻击发动之前,现在是撤离的时机。”
同样,在普林斯顿大学教授Edwards
Felton的个人网站(http://www.freedom-to-tinker.com/archives/000664.html)上,
也有类似的评论。他说:“留给我们的是什么呢?MD5已经受了重伤;它的应用就要淘汰
。SHA-1仍然活着,但也不会很长,必须立即更换SHA-1,但是选用什么样的算法,这需要
在密码研究人员达到共识。”
密码学家Markku-Juhani称“这是HASH函数分析领域激动人心的时刻。(http://www.tcs.
hut.fi/~mjos/md5/)”
而著名计算机公司SUN的LINUIX专家Val Henson则说:“以前我们说"SHA-1可以放心用,
其他的不是不安全就是未知", 现在我们只能这么总结了:"SHA-1不安全,其他的都完了
"。
针对王小云教授等破译的以MD5为代表的Hash函数算法的报告,美国国家技术与标准局(N
IST)于2004年8月24日发表专门评论,评论的主要内容为:“在最近的国际密码学会议(
Crypto
2004)上,研究人员宣布他们发现了破解数种HASH算法的方法,其中包括MD4,MD5,HAVA
L-128,RIPEMD还有
SHA-0。分析表明,于1994年替代SHA-0成为联邦信息处理标准的SHA-1的减弱条件的变种
算法能够被破解;但完整的SHA-1并没有被破解,也没有找到SHA-1的碰撞。研究结果说明
SHA-1的安全性暂时没有问题,但随着技术的发展,技术与标准局计划在2010年之前逐步
淘汰SHA-1,换用其他更长更安全的算法(如SHA-224、SHA-256、SHA-384和SHA-512)来
替代。”
详细评论见:http://csrc.nist.gov/hash_standards_comments.pdf
2004年8月28日,十届全国人大常委会第十一次会议表决通过了电子签名法。这部法律规
定,可靠的电子签名与手写签名或者盖章具有同等的法律效力。电子签名法的通过,标志
着我国首部“真正意义上的信息化法律”已正式诞生,将于2005年4月1日起施行。专家认
为,这部法律将对我国电子商务、电子政务的发展起到极其重要的促进作用。王小云教授
的发现无异于发现了信息化天空的一个惊人黑洞。我们期待着王小云教授和她的团队能够
成就“女娲补天”的壮举,为人类的信息化之路保驾护航。
家园 可是我们教授的讲义上说 MD5的算法在1996年就已经找到所谓的碰撞了。说在pentium上用10个小时就可以找到一个碰撞。
具体的算法请参看
Hans Dobbertin. The status of MD5 after a recent attack. 1996
碰撞这个词,我个人认为翻译的不大好。叫值重合,是不是好理解些?
家园 [转贴]MD5碰撞,及相关解释 MD5碰撞,及相关解释
摘自[坐看云起-Brian的博客]
http://www.kantianxia.net/blog/briancai/index.php?subaction=showfull&id=1094839036&archive=&cnshow=news&start_from=&ucat=1&
2004年8月17日,在美国加州圣巴巴拉召开的国际密码学会议(Crypto’2004)上,来自山东大学的王小云教授做了MD5、HAVAL-128、 MD4和RIPEMD碰撞的报告。
这篇文章随即在密码学界引起了巨大的反响。甚至有个专家说,这天是:“Bad day at the hash function factory”。(当然,这句话还包括了当天的另外两个碰撞的报告)
一、王小云等人的工作是什么?
通常,我们把一段明文,通过一个MD5(HASH函数)运算,得到一个所谓的密文。那么,在实际中是怎么应用的呢?
这里举一个简单的说明,通常的网站的密码认证都是这样的。
用户通过网页注册用户名和密码。服务器在获得密码后,会把这个用户设置的密码用MD5函数做个运算,然后把这个运算结果存放到数据库中。
当下次用户登录网站的时候,用户通过网页提交了用户名和密码。服务器程序会把这个密码用MD5加以运算,然后在数据库中查找,是否存在这个用户名和这个MD5过的密码。如果存在,那就认为该用户通过了认证。
我们都知道,MD5这种加密算法是不可逆的。既没有办法从密文简单地通过某种算法得到原来的明文。
那么,王小云的这个论文讲的是什么呢?
MD5虽然没有相对应的可逆算法。但有一种情况,就是可能有两个或多个明文,通过MD5运算后,得到相同的密文。这些相同的明文就叫做碰撞。
显而易见,由于碰撞的存在,使得解密的可能性大增。(通常解密的方法是一种叫“暴力法Brute Force”,就是通过计算机,尝试每一种可能性,从而得到密码)。注意,碰撞可能并不是原始密码,而是被认证程序误认为是密码。
因此,密码界把重要的经历放在怎样寻找碰撞上而不是找到可逆算法。
王小云的工作就是找到了一种算法,能在比较短的时间内,找到某段密文的碰撞的算法。按照她论文中的说法,是在IBM P690上,大概一个小时就找到了其中的M,随后在几秒到15分钟,找到了其中的N。
这里是那篇文章,你可以下载下来仔细研究。
http://eprint.iacr.org/2004/199.pdf
二、这会给我们的安全问题带来什么?
那么,我们看看,这回带给我们什么麻烦,或对目前的基于MD5算法的安全性带来什么样的影响?注意,我这里仅探讨三种情况。其他的,都可以按照这些思路分析。
1)用户密码认证
就是前面提到的那种情况,如果刚好这个数据库中存放的密文被破坏者得到的话,那么可以得到相应的碰撞。也就是说,类似于找到了密码。
2)数字签名方面
这通常的应用是这样的。比如从某个网站下载一个文件或软件。通常,这个网站还提供了一个相应的MD5值。即这个文件或软件经过MD5运算后的结果。
这样,当我们下载到本地后,可以对这个文件或软件进行MD5运算。如果结果和网站提供的MD5值是一样的话,就认为这个文件是正确的。
通常,这种方法用来保证文章或软件的来源。
那么,如果找到了一个碰撞,使得有同样的MD5值。也就是说,找到一个可以冒充原来的文件或软件的东西。
其实,我们都知道,即使在实际中找到了这样一个东西,其现实意义恐怕并不大。因为,即使找到了这样的碰撞,而这些碰撞所代表的信息是否有实际含义,还是一个未知数。比如一个软件相对应的碰撞是否还是一个可以运行的软件,那就很难说。同样,一篇文章的碰撞是否还是一篇有实际意义的文章也很难说。
3)数字证书
所谓的数字证书可以看成是上面这种情况的一个特例。即是通过第三方机构签名的包含被认证方信息的密文。
由于受到第三方的控制,存在被攻破的机会要比上面说的要小。
尽管通过分析,可以发现,找到了碰撞可能并没有给安全带来很大的影响。但无论如何,使得MD5存在了被攻破的更大的可能性。
不管怎么说,王小云等人的这一系列工作有重大的意义。这让我们又一次体验奥运会田径项目突破带来的喜悦,不过这次是在信息安全科学上的突破。
家园 她就不应该公布出来 :) 她就不应该公布出来 :)
这是超强武器。等把美国地网站都黑了再公布也不迟。:)
家园 不管怎么样,也算是一大进步了,祝贺一下 虽然不懂密码学,但听起来很impressive,跟着吆喝一声了
家园 我的看法 这个进展对发现者来说的确是一大步,但是对于破坏现行的安全体系来说则只是一小步,也就是说,离实际上能够用它来破坏现行的安全体系还差得很远很远。
这个进展所做到的,只是比较有效地发现存在两个不同正文,它们经过MD5处理可以得到同样Hash值;而不是对于指定的一个正文及其经过MD5处理所得到的Hash值,可以轻易得到另一个正文,使得后者经过MD5处理后所得到的Hash值与前者的一致,这样正文的替换依然是基本不可行的,对数据完整性的破坏也就依然停留在理论上,而不是成为现实。
因此,这个进展所可能危害的最多不过是完全且仅仅依靠MD5处理的、直接存储而不是使用签名的数据,其它方式下的数据依然还是安全的。因为数据到Hash值的过程是单向的而不是双向的,反向则是不可能的。
结论:MD5的安全性看来是出了一定的缺口,但是它的可用性还是可以相信的,同时,目前的安全体系还是可以相信的,而不是处于崩溃的边缘。
家园 一点补充 Bruce Schneier is an internationally renowned security technologist
and author. Recently he wrote an article about this subject:
家园 不是很懂加密技术,随便说两句: 首先说一下MD5是个什么东西,比较常见的定义是:
MD5 was developed by Professor Ronald L. Rivest of MIT. The MD5 algorithm takes as input a message of arbitrary length and produces as output a 128-bit "fingerprint" or "message digest" of the input. It is conjectured that it is computationally infeasible to produce two messages having the same message digest, or to produce any message having a given prespecified target message digest. The MD5 algorithm is intended for digital signature applications, where a large file must be "compressed" in a secure manner before being encrypted with a private (secret) key under a public-key cryptosystem such as RSA.
In essence, MD5 is a way to verify data integrity, and is much more reliable than checksum and many other commonly used methods.
是不是MD5一旦有了破解,整个世界就开始动摇了呢?我感觉不是。因为MD5只是非对称加密中的一个环节,对于非对称加密的安全性有多大危害还不清楚。对于加密的另外一大分支--对称加密似乎没有什么影响。比如对于现在美国NIST推荐的AES(Advanced Encryption Standard)加密技术就没有什么威胁.
The Advanced Encryption Standard (AES) is a National Institute of Standards and Technology specification for the encryption of electronic data. It is expected to become the accepted means of encrypting digital information, including financial, telecommunications, and government data.
家园 太乐观了。 虽然实际上他们能造成多少破坏文中不清楚。这个要好好学习。
MD5/SHA1是RSA的技术,又用到所有certificate issuer如霸主Verisign(实际上是RSA的spin-off)的certificate上面。就算Verisign能改变新发的certificate(何况AES并不用于certificate standard)那已发的数以亿记的certificate(比如西西河的certificate)是无法改变了。
- 复 太乐观了。
家园 请教一下梦晓 Verisign的Certificate是作为正文段还是签名段发送给客户的?如果是前者,问题应该不存在,否则的确是个严重的问题。
据我所知,Verisign的Certificate包括了用户的public密钥和private密钥以及一些其它信息,这样它作为签名段发送给客户的可能性应该不是很大,因为数据太长了。
- 复 请教一下梦晓
家园 详情请参考PKCS11 Certificate, more precisely X509 certificate, is based on PKCS11 standard.
This standard specifies everything about the certificate, including how information in the certificate envelope is digested, MD5 and SHA-1 are the common specs. SHA-1 takes more computing power, I think, though I am not expert on this.
家园 Some related information I found Public key cryptography
Public-key cryptography allows one to digitally sign and encrypt information transacted between parties. Public Key Infrastructure (PKI) uses this technology and adds authentication and non-repudiation of the information regarding the parties concerned. Public Key Cryptography Standards (PKCS) is a suite of protocols and algorithms that are used as an industry standard when implementing public-key cryptography and infrastructure. The fundamentals are based on Key Pairs, Message Digests and Certification. These are described below.
A key pair consists of a private key and a public key. The private key is never revealed to any party. The public key is made available to the world, or at least the parties concerned with receiving or sending information. In public key algorithms like those from RSA, any data encrypted with the private key can be decrypted only with the public key, and data encrypted with the public key can be decrypted only with the private key. Stronger encryption uses longer keys. For strong encryption, it is “computationally infeasible” to derive the private key given the public key, or vice versa.
Message Digests are hash functions that take in data and generate a statistically unique digest, like a 20 byte number ?C such that even one bit change in the input data results in a totally different digest. Thus these digests serve as finger-prints of a document. Given a digest and a document, and knowing the hash algorithm, it is easy to verify whether the digest is derived from the document.
Certification is the mechanism by which authenticity is established. A party generates a key pair consisting of the private and public keys. The public key is placed into a certificate request and sent to a certifying authority (CA) like Thawte, IDCertify, VeriSign and so on. The certifying authority (CA) verifies the party’s credentials and the purpose of using the keys, through a vetting process, and then certifies the public key they received. That is, the authority issues a certificate, typically called an X.509 digital certificate that contains the details of the party, the intended use of the certificate and most importantly, the party’s public key. This information is then digitally signed by the CA using the CA’s private key. The authenticity of the certificate itself can be verified by using the CA’s public key, which is made available from the CA’s web site, or comes embedded in a browser by default.
In essence, if you trust the CA, then you can trust that the public key in the verified certificate indeed belongs to who ever the CA says it belongs, and therefore if a digital signature on a document is verified using that public key, the information therein was indeed signed by the party mentioned in the certificate. This establishes authenticity, since only the holder of the corresponding private key could have created that digital signature. And trust in the CA is at the core of this process. If a CA is granted a notary or equivalent status, then the certificate and the information signed or encrypted cannot be repudiated and is valid in many courts of law.
Digital signatures & Data encryption
A digital signature is a digital attestation of a document by a party. This is to establish authenticity. A digital signature is an encrypted digest (hash) of the data to be signed.
One essentially creates a digest or hash (using an algorithm like MD5 or SHA1) from the document data and then encrypts this hash with one’s private key. The encrypted hash thus becomes a digitally signed finger-print for that document, called a digital signature. This signature can now optionally be attached to the document, along with one’s certificate. Anyone intent on verifying the digital signature would verify the certificate for authenticity first, then take the public key from the certificate and then verify the digital signature. The latter part involves decrypting the digital signature with the public key to reveal the digest or hash value. The document is then hashed using the same algorithm to check whether the digest values match.
A digital signature is typically attached to a document. This can be difficult for certain document types. It is required to embed the signature into the document without changing the document (!), which is contradictory. Therefore a signing process only works on the information portion of a document, and uses other sections of the format to embed the signature. For example it is possible to embed signatures into a Word document treating the latter as an OLE compound document. One may also store signatures as attributes of such a document. PDF is another format that is amenable to embedding using the DIGSIG API. Another technique is to create a container document (having a different naming extension) that includes the source document and the signature, and from which either can be extracted. Multiple signatures may be created and attached to a document. The signatures may be peer level or hierarchical level. Peer level signatures imply that one or more parties have endorsed the document by applying their signatures. Hierarchical signatures imply a work-flow and counter-signing process.
Creation of a digital signature involves using one’s private key. In contrast, encryption of information meant for another party uses the other party’s public key. Anyone, knowing that party’s public key can send encrypted information. Only that party can decrypt the information, using his/her own private key.