SHA1 碰撞攻击的第一位受害者: WebKit 版本控制系统

2017-02-26 15:40:33 +08:00
 gamexg

http://www.solidot.org/story?sid=51489

不知道有人发过了吗?

4364 次点击
所在节点    程序员
10 条回复
wql
2017-02-26 16:26:49 +08:00
SVN 已经出这种事了,感觉 Git 可能也会出事……
mooncakejs
2017-02-26 16:33:04 +08:00
@wql linus 已经说过不会了
Cbdy
2017-02-26 16:44:03 +08:00
wql
2017-02-26 16:50:16 +08:00
@mooncakejs 但有一部分人是那些拿 SVN 协议操作 Git 库的人,可能会发现自己文件出错了……
自己刚刚试了下的确是这样子。
https://github.com/WangQiliang/shattered/blob/master/shattered-1-svn.pdf
https://github.com/WangQiliang/shattered/blob/master/shattered-2-svn.pdf
forcecharlie
2017-02-26 20:58:46 +08:00
@wql 文件不能共存在 git 仓库中 其他问题到没有
uxstone
2017-02-27 09:14:03 +08:00
所以加速淘汰 SVN?
keinx
2017-02-27 10:53:40 +08:00
SHA1 攻破我觉得影响有限,我每次下载文件的时候对比的是 sha1 和 md5 两个,我觉得不同文件 md5 和 sha1 同时相同的可能性太小了。
enenaaa
2017-02-27 11:49:22 +08:00
svn 是封闭的, 将搞事者干掉即可。
forcecharlie
2017-02-27 17:31:58 +08:00
git 的 sha1 实际上是 文件类型( blob commit tree )+空格 +文件长度 +NUL+文件内容 然后 hash ,按照谷歌的 sha1 攻击方案不太好弄,其他的就不知道了。
gamexg
2017-02-27 17:52:45 +08:00
@keinx https 证书高风险。 chrome 好像是 4 月就会直接对 sha1 签名的证书报不安全。

大体看了几个网站,都是 sha256 的。
根证书好像都是 sha1 ,不过这个应该没问题,都是浏览器内置的。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/343279

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX