Github erkennt SHA-1-Kollisionen

In einem Blogbeitrag schildern die Github-Macher, wie sie künftig mit SHA-1-Kollisionen umgehen wollen. Git nutzt SHA-1 für seine Objekte.

Die Hauptsorge der Entwickler ist offenbar, dass Angreifer SHA-1-Kollisionsangriffe gegen die Github-User fahren. Daher entdeckt und blockiert Github nun laut einem Blogeintrag Inhalte, die darauf hindeuten, Teil einer Kollisionsattacke zu sein.

Eine solche lässt sich laut Github nicht gegen existierende Objekte fahren, vielmehr müssen Angreifer miteinander kollidierende Objekte erzeugen und den unverdächtigen Teil einem Projekt unterjubeln. Akzeptiert dieses den Commit, tauschen die Angreifer den akzeptierten Code gegen den bösartigen aus, ohne dass sich die Hashsumme verändert. Github erkennt solche Versuche nun automatisiert und verwendet dazu den Code von Marc Stevens und Dan Shumow, die die SHA-1-Kollisionen erstmals demonstrierten.

Mit der nächsten Release bringt Github den Fix auch in der eigenen Enterprise-Variante unter. Zudem sie die Detection nur ein erster Schritt. In Zusammenarbeit mit dem Git-Projekt will man sie auch in der Upstream-Bibliothek unterbringen. So soll Git selbst künftig solche Angriffsversuche erkennen. Ohnehin will Git künftig von SHA-1 auf einen anderen Hash-Algorithmus wechseln (Linux-Magazin berichtete).

E-Mail Benachrichtigung
Benachrichtige mich zu:
0 Kommentare
Älteste
Neuste Beste Bewertung
Nach oben