Open Source im professionellen Einsatz

Github erkennt SHA-1-Kollisionen

21.03.2017

In einem Blogbeitrag schildern die Github-Macher, wie sie künftig mit SHA-1-Kollisionen umgehen wollen. Git nutzt SHA-1 für seine Objekte.

164

Die Hauptsorge der Entwickler ist offenbar, dass Angreifer SHA-1-Kollisionsangriffe gegen die Github-User fahren. Daher entdeckt und blockiert Github nun laut einem Blogeintrag Inhalte, die darauf hindeuten, Teil einer Kollisionsattacke zu sein.

Eine solche lässt sich laut Github nicht gegen existierende Objekte fahren, vielmehr müssen Angreifer miteinander kollidierende Objekte erzeugen und den unverdächtigen Teil einem Projekt unterjubeln. Akzeptiert dieses den Commit, tauschen die Angreifer den akzeptierten Code gegen den bösartigen aus, ohne dass sich die Hashsumme verändert. Github erkennt solche Versuche nun automatisiert und verwendet dazu den Code von Marc Stevens und Dan Shumow, die die SHA-1-Kollisionen erstmals demonstrierten.

Mit der nächsten Release bringt Github den Fix auch in der eigenen Enterprise-Variante unter. Zudem sie die Detection nur ein erster Schritt. In Zusammenarbeit mit dem Git-Projekt will man sie auch in der Upstream-Bibliothek unterbringen. So soll Git selbst künftig solche Angriffsversuche erkennen. Ohnehin will Git künftig von SHA-1 auf einen anderen Hash-Algorithmus wechseln (Linux-Magazin berichtete).

Ähnliche Artikel

  • Git 2.11 verbessert Performance und den Umgang mit SHA-1-Hashes

    Unterstützt von rund 70 Entwicklern ist Git 2.11 erschienen. Das kürzt nun SHA-1-Hashes intelligenter ab und optimiert den Zugriff auf so genannte Delta Chains.

  • Systemd wechselt auf Github

    Das Systemd-Projekt wechselt auf Github. Das Projekt verspricht sich davon eine reibungslosere und effektivere Zusammenarbeit. Auf der Mailingliste legen die Entwickler die Gründe für den Schritt dar und erläutern das künftige Vorgehen.

  • Github ermittelt Lizenzen

    Die MIT-Lizenz dominiert auf Github, die GPL liegt deutlich dahinter, zeigt eine neue Statistik des Anbieters. Ohnehin bieten nur wenige Projekte überhaupt eine Lizenz an. Ein API soll den Umgang mit Lizenzen vereinfachen.

  • AR-Core: Google veröffentlicht Augmented-Reality-SDK

    Dinge sehen, die nicht da sind: Google veröffentlicht mit AR-Core die frühe Version eines SDK zum Entwickeln von Augmented-Reality-Anwendungen, die auf Android-Geräten laufen.

  • Github versammelt Behördensoftware

    Immer mehr Regierungen, Behörden und Gemeinden setzen Open-Source-Software ein. Mitunter landet der selbstentwickelte Quellcode dann auf Github. Die Code-Plattform hat nun eine eigene Webseite angelegt, die solche Projekte versammeln soll.

comments powered by Disqus

Stellenmarkt

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.