預防Git檔案衝突，GitHub新增了SHA-1加密碰撞偵測機制

一個月前，Google成功地破解了SHA-1加密雜湊函數，並實作出不同文件相同雜湊值的碰撞攻擊，這不只引發對SHA-1加密可靠性的擔憂，也因Git大量仰賴SHA-1來建立檔案索引，全球最大開源專案代管平臺GitHub今天宣布，將增加SHA-1加密碰撞的自動偵測和預防的功能，避免所有代管專案發生檔案雜湊值重複的情況。GitHub表示，日後所有Github上任何SHA-1運算，都會進行檢測，只要發現會產生碰撞，就會自動中止，來防止攻擊者使用GitHub做為碰撞攻擊的平臺。

GitHub上註冊的開發者人數超過9百萬人，代管了2千萬個函式庫的原始程式，一旦遭遇SHA-1碰撞攻擊，將影響全球龐大開發者。除了阻擋SHA-1碰撞發生之外，GitHub也和Git專案合作，將碰撞檢測函式庫加入Git，未來，Git計畫從SHA-1轉移到另一個更安全的加密演算法，GitHub表示，一旦推出也會立即套用到GitHub專案上。

SHA-1安全雜湊演算法會對檔案計算，得到專屬的雜湊值，以往，只要檔案不同，對應的雜湊值就會不一樣，就像賦予每個檔案專屬的數位簽章。不過，前陣子Google實現了讓兩個不同的檔案產生完全一樣的雜湊值。當時Google就警告，大量仰賴SHA-1的Git版本控制軟體很有可能發生雜湊值碰撞的情況。Google也開源釋出了檢測工具供開發者自行利用。