Login
Newsletter
Werbung

Thema: Torvalds zur Zukunft von SHA-1 in Git

14 Kommentar(e) || Alle anzeigen ||  RSS
Kommentare von Lesern spiegeln nicht unbedingt die Meinung der Redaktion wider.
0
Von deeL6iew am Mo, 27. Februar 2017 um 14:47 #

Problematischer ist die Verwendung von SHA-1 zur Signatur ganzer Code-Zweige. [...] Zum einen gibt es Möglichkeiten, die SHA-1-Manipulation automatisch zu erkennen

Wie wird das in einem Szenario funktionieren, wie:

1. Angreifer erzeugt zwei Commits

- "fixed some bug"
- "added better .png icon"

2. Angreifer stellt Merge Request

3. Review findet alles ok

4. Angreifer erzeugt zwei Commits

- "added backdoor"
- "added better .png icon"

wobei der zweite eine Hashcollision ausloest und insgesamt dann die selbe Commit-ID wie bei 1. entsteht

5. Maintainer merged das Patchset mit der Backdoor

[
| Versenden | Drucken ]
0
Von slalomsk8er am Mo, 27. Februar 2017 um 14:54 #

Ein entscheidendes Detail warum Git im Gegensatz zu SVN kein Problem mit dieser Kollision hat, ist weil Git neben dem SHA-1 auch noch die Grösse der Datei Notiert um sie zu identifizieren.

Diese Kollision erzeugt unterschiedlich grosse Dateien.

Weiter verstehe ich die Kollision so, dass man an beiden Dateien herum Manipulieren muss, bis der Hash gleich ist.
Also keine direkte Gefahr für existierende Dateien und deren Hash.

[
| Versenden | Drucken ]
  • 0
    Von fsb am Mo, 27. Februar 2017 um 15:32 #

    Statt dessen wird ein Bug eingepflegt. Den man auf den ersten Blick nicht erkennt.

    [
    | Versenden | Drucken ]
    0
    Von Le C am Mo, 27. Februar 2017 um 20:03 #

    Du meinst wahrscheinlich das im checkout index die Groesse gespeichtert ist? Im reinen git data model wird die file groesse nur einmal gespeichert und kann mit der Attacke veraendert werden. Der Vergleich zum index koennte dann denn Fehler finden...

    [
    | Versenden | Drucken ]
    0
    Von guckstu am Mo, 27. Februar 2017 um 21:19 #

    > Diese Kollision erzeugt unterschiedlich grosse Dateien.

    entschuldigung, die beiden pdf dateien auf https://shattered.it/ sind gleichgroß und haben denselben hash

    aber lieber erstmal was schreiben bevor man die details kennt!?

    [
    | Versenden | Drucken ]
    • 0
      Von hEAdr00m am Di, 28. Februar 2017 um 08:52 #

      Ja, die sind gleich gross weil der Hersteller der beiden Dateien beide Dateien unter seiner Kontrolle hat?

      [
      | Versenden | Drucken ]
0
Von Shalok Shalom am Mo, 27. Februar 2017 um 18:04 #

"Torvalds ist heute nicht mehr aktiv an der Weiterentwicklung von Git beteiligt, ist aber wohl weiterhin der größte Kenner des Systems."

Wie kommst du auf das?

https://github.com/git/git/graphs/contributors

[
| Versenden | Drucken ]
Pro-Linux
Pro-Linux @Facebook
Neue Nachrichten
Werbung