圖片來源: 

攝影_王宏仁

一個月前,Google成功地破解了SHA-1加密雜湊函數,並實作出不同文件相同雜湊值的碰撞攻擊,這不只引發對SHA-1加密可靠性的擔憂,也因Git大量仰賴SHA-1來建立檔案索引,全球最大開源專案代管平臺GitHub今天宣布,將增加SHA-1加密碰撞的自動偵測和預防的功能,避免所有代管專案發生檔案雜湊值重複的情況。GitHub表示,日後所有Github上任何SHA-1運算,都會進行檢測,只要發現會產生碰撞,就會自動中止,來防止攻擊者使用GitHub做為碰撞攻擊的平臺。

GitHub上註冊的開發者人數超過9百萬人,代管了2千萬個函式庫的原始程式,一旦遭遇SHA-1碰撞攻擊,將影響全球龐大開發者。除了阻擋SHA-1碰撞發生之外,GitHub也和Git專案合作,將碰撞檢測函式庫加入Git,未來,Git計畫從SHA-1轉移到另一個更安全的加密演算法,GitHub表示,一旦推出也會立即套用到GitHub專案上。

SHA-1安全雜湊演算法會對檔案計算,得到專屬的雜湊值,以往,只要檔案不同,對應的雜湊值就會不一樣,就像賦予每個檔案專屬的數位簽章。不過,前陣子Google實現了讓兩個不同的檔案產生完全一樣的雜湊值。當時Google就警告,大量仰賴SHA-1的Git版本控制軟體很有可能發生雜湊值碰撞的情況。Google也開源釋出了檢測工具供開發者自行利用。

 


Advertisement

更多 iThome相關內容