1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Hashfunktion: Der schwierige Abschied…

Wieso relevant für git?

  1. Thema

Neues Thema Ansicht wechseln


  1. Wieso relevant für git?

    Autor: __destruct() 30.03.17 - 18:46

    Es wurde eine Kollision gefunden. Mir fällt kein Szenario ein, in dem man unter Ausnutzung davon, wie sich git verhält, anderen schaden kann, indem man eine Kollision erzeugt. Dafür muss schon ein Second Preimage her.

  2. Klarstellung

    Autor: __destruct() 30.03.17 - 18:53

    Mir ist aufgefallen, dass man meinen Kommentar missverstehen kann.

    Ich bin nicht dafür, dass git für immer sha1 nutzt. Man sollte sich selbstverständlich Gedanken über einen Umstieg machen, aber dieser sollte langsam ablaufen.

    Etwa so: git 3 versteht das neue Protokoll, in dem die neue Hash-Funktion verwendet wird, und kann mit Repos umgehen, die es verwenden. Es erstellt aber nur Commits, die auch von git 2 verstanden werden. Erst mehrere Jahre nach dem Release von git 3, wenn keiner mehr git 2 verwendet, erstellt git 3 Commits, die erst ab git 3 unterstützt werden.

  3. Re: Wieso relevant für git?

    Autor: wonoscho 30.03.17 - 18:55

    Weil das in der News genannte Beispel zeigt, dass es anscheinend möglich wäre, ein Image zu fälschen und das geänderte Image mit dem alten Key als scheinbares Original zu verteilen.



    2 mal bearbeitet, zuletzt am 30.03.17 18:57 durch wonoscho.

  4. Re: Wieso relevant für git?

    Autor: __destruct() 30.03.17 - 18:57

    Weißt du, was der Unterschied zwischen einer Kollision und einem Second Preimage ist?

  5. Re: Wieso relevant für git?

    Autor: chithanh 30.03.17 - 22:50

    Das steht doch im Artikel. Der Einsatz der von Google gefundenen Kollision gegen git wird einzig durch den git-Header verhindert und nicht etwa dadurch, dass es sich um keinen second-preimage Angriff handelt.

  6. Re: Wieso relevant für git?

    Autor: __destruct() 30.03.17 - 23:05

    Ohne eine Möglichkeit, ein Second Preimage zu erstellen, kannst du nur deine eigenen Projekte infiltrieren, was komplett nutzlos ist. Sobald das, was du manipulieren willst, von einem anderen (oder einfach nur bereits) erstellt wurde, brauchst du ein Second Preimage.

  7. Re: Wieso relevant für git?

    Autor: cebewee 31.03.17 - 07:01

    Der Punkt ist, dass ich eine Kollision erzeugen kann, dann den nützlichen Teil submitte und später die böse Kollision stattdessen ausliefere.

    Auf der Git-ML gibt es da einige Überlegungen von Joey Hess z.B.

  8. Re: Wieso relevant für git?

    Autor: __destruct() 31.03.17 - 09:26

    Ok, das macht Sinn. Danke.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Anstalt für Kommunale Datenverarbeitung in Bayern (AKDB), München
  2. beauty alliance Deutschland GmbH & Co. KG, Bielefeld
  3. OEDIV KG, Bielefeld
  4. Stadtwerke Heidelberg GmbH, Heidelberg

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. (-80%) 2,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de