1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Hashfunktion: Der schwierige Abschied…

Git ungleich Securityprodukt

  1. Thema

Neues Thema Ansicht wechseln


  1. Git ungleich Securityprodukt

    Autor: schap23 30.03.17 - 16:25

    Die Verwendung von Hashes in Git dient doch zuerst einmal dazu, Dateien unabhängig von dem Speicherort eindeutig zu kennzeichnen. Eine Kollision würde sicher ein Git-Archiv durcheinanderbringen. Der Einschlag eines Astroiden aber auch, nur ist dieser wahrscheinlicher.

  2. Re: Git ungleich Securityprodukt

    Autor: Das Osterschnabeltier 30.03.17 - 16:59

    schap23 schrieb:
    --------------------------------------------------------------------------------
    > Die Verwendung von Hashes in Git dient doch zuerst einmal dazu, Dateien
    > unabhängig von dem Speicherort eindeutig zu kennzeichnen. Eine Kollision
    > würde sicher ein Git-Archiv durcheinanderbringen. Der Einschlag eines
    > Astroiden aber auch, nur ist dieser wahrscheinlicher.

    +1

  3. Re: Git ungleich Securityprodukt

    Autor: Arsenal 30.03.17 - 18:07

    Es sei denn du kannst Triebwerke an den Asteroiden bauen, dann kannst du den auf einmal zum Absturz bringen.

    Genau den Fall hast du jetzt bei SHA1.

    Ja man mag es sich vielleicht schwer vorstellen können, aber irgendwo gibt es Menschen, die diese Eigenschaft nutzen werden um sich selbst einen Vorteil zu verschaffen.

  4. Re: Git ungleich Securityprodukt

    Autor: elgooG 30.03.17 - 18:44

    Beachte, dass es hier nicht nur wie bei TLS um eine Schlüsselkollision geht. Das Object muss auch von Git verarbeitet werden können und nicht zuletzt auch von dem eigentlichen Programm, dass die Datei anschließend verarbeitet, wie zB ein manipulierter Quellcode der wiederum gültig sein muss.

    Kann Spuren von persönlichen Meinungen, Sarkasmus und Erdnüssen enthalten. Ausdrucke nicht für den Verzehr geeignet. Ungelesen mindestens haltbar bis: siehe Rückseite

  5. Re: Git ungleich Securityprodukt

    Autor: __destruct() 30.03.17 - 18:56

    Den Quellcode entsprechend zu manipulieren, ist einfach: Einfach die Nonce, die man zum Finden der Kollision verwendet, in einen Kommentar packen.

    Allerdings scheint kaum einer, der darüber redet, zu verstehen, was eine Kollision ist, und denkt, es sei ein Second Preimage. Selbst wenn man eine sha1-Kollision auf einem Desktop-Rechner binnen einer Minute erzeugen könnte, hieße das nicht, dass irgendein Rechner dazu in der Lage ist, ein Second Preimage zu erzeugen.

  6. Re: Git ungleich Securityprodukt

    Autor: twothe 30.03.17 - 22:10

    Ich frag mich auch gerade was man mit einer Hash-Kollision im Git anstellen könnte was schlimmer wäre als den Quellcode der da gespeichert ist direkt zu manipulieren.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Weisenburger Bau GmbH, Karlsruhe
  2. Dürr IT Service GmbH, Bietigheim-Bissingen
  3. DAW SE, Ober-Ramstadt
  4. ED. ZÜBLIN AG, Stuttgart

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)
  2. täglich neue Deals bei Alternate.de


Haben wir etwas übersehen?

E-Mail an news@golem.de