GitHub引入SHA-1碰撞檢測

幾周前，研究人員宣布了首例 SHA-1 碰撞。所謂碰撞是指兩個內容不同的對象產生了相同的 SHA-1 哈希值。

在 Git 版本控制系統中，每個對象都以內容的 SHA-1 哈希值命名，如果試圖向 Git 庫里推送與現有對象 SHA-1 哈希相同的碰撞對象，接收者可以很容易通過對比源代碼區分真假，所以對 Git 進行 SHA-1 碰撞攻擊的方法被認為是首先創造出一對 SHA-1 哈希值相同的對象，然后讓其中一個看似合法的對象獲得合法簽名，然后對外散播包含另一個惡意對象的版本，這個惡意版本的簽名仍然與原始版本相同。

為了阻止此類的碰撞攻擊，源代碼托管平臺 GitHub 宣布引入了 SHA-1 碰撞檢測，檢測 SHA-1 碰撞的攻擊 sha1collisiondetection 已經開源。

來自: Solidot