[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [linux_var] SHA1 collision & git

To: talking@ml.linuxvar.it
Subject: Re: [linux_var] SHA1 collision & git
From: Elena ``of Valhalla'' <valhalla-l@trueelena.org>
Date: Fri, 24 Feb 2017 06:48:16 +0100
Delivered-to: diegor@tiscali.it
Dkim-signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=ml.linuxvar.it; s=mail; t=1487915299; bh=lWczuc/GYV8DWmiCcL5pG0i6mzO8ywoTsdXmgZQf6XI=; h=Date:From:To:References:In-Reply-To:Subject:List-Id: List-Unsubscribe:List-Archive:List-Post:List-Help:List-Subscribe: Reply-To; z=Date:=20Fri,=2024=20Feb=202017=2006:48:16=20+0100|From:=20Elena=2 0``of=20Valhalla''=20<valhalla-l@trueelena.org>|To:=20talking@ml.l inuxvar.it|References:=20<CAPsbc0+RMrCNEk6FUjN=3DwpuwHv6xmS6E=3D5X -Tvo8Wq4kessx+A@mail.gmail.com>=0D=0A=20<20170223230424.891feb1922 f3cc30fe10865b@gmx.co.uk>|In-Reply-To:=20<20170223230424.891feb192 2f3cc30fe10865b@gmx.co.uk>|Subject:=20Re:=20[linux_var]=20SHA1=20c ollision=20&=20git|List-Id:=20linux_var=20-=20LUG=20di=20Varese=20 e=20Provincia=20Mailing=20List=0D=0A=20<talking.ml.linuxvar.it>|Li st-Unsubscribe:=20<http://ml.linuxvar.it/cgi-bin/mailman/options/t alking>,=0D=0A=20<mailto:talking-request@ml.linuxvar.it?subject=3D unsubscribe>|List-Archive:=20<http://ml.linuxvar.it/pipermail/talk ing/>|List-Post:=20<mailto:talking@ml.linuxvar.it>|List-Help:=20<m ailto:talking-request@ml.linuxvar.it?subject=3Dhelp>|List-Subscrib e:=20<http://ml.linuxvar.it/cgi-bin/mailman/listinfo/talking>,=0D= 0A=20<mailto:talking-request@ml.linuxvar.it?subject=3Dsubscribe>|R eply-To:=20linux_var=20-=20LUG=20di=20Varese=20e=20Provincia=20Mai ling=20List=0D=0A=20<talking@ml.linuxvar.it>; b=PStGP+Na+6svMOJIxU9Cy3oqdB0R2gRfEtw0yZ7GDjx/hQtJrJ2XSnuaiuHAtrG7R DgG9lBFDF77PuLyGp1XrygQlasDESSTdT7wefWl6+Nhm0f5l8X7TRiPl36JTLNUYkd y1KrWunD8MjOLtiZhyVigSzaMq23sHLxzrI/hFKI=
In-reply-to: <20170223230424.891feb1922f3cc30fe10865b@gmx.co.uk>
List-archive: <http://ml.linuxvar.it/pipermail/talking/>
List-help: <mailto:talking-request@ml.linuxvar.it?subject=help>
List-id: linux_var - LUG di Varese e Provincia Mailing List <talking.ml.linuxvar.it>
List-post: <mailto:talking@ml.linuxvar.it>
List-subscribe: <http://ml.linuxvar.it/cgi-bin/mailman/listinfo/talking>, <mailto:talking-request@ml.linuxvar.it?subject=subscribe>
List-unsubscribe: <http://ml.linuxvar.it/cgi-bin/mailman/options/talking>, <mailto:talking-request@ml.linuxvar.it?subject=unsubscribe>
Mail-followup-to: talking@ml.linuxvar.it
References: <CAPsbc0+RMrCNEk6FUjN=wpuwHv6xmS6E=5X-Tvo8Wq4kessx+A@mail.gmail.com> <20170223230424.891feb1922f3cc30fe10865b@gmx.co.uk>
Reply-to: linux_var - LUG di Varese e Provincia Mailing List <talking@ml.linuxvar.it>
Sender: "Talking" <talking-bounces@ml.linuxvar.it>
User-agent: NeoMutt/20170113 (1.7.2)

On 2017-02-23 at 23:04:24 +0100, Riccardo Macoratti wrote:
> dai, hanno trovato una collisione, mica chissà che.
> 
> Comunque non molto, perchè la probabilità che si generino due file con lo stesso hash è 2^(-160) dove 160 sono i bit dello SHA-1. Piuttosto bassa.

questa è la probabilità che si generi una collisione *a caso*, non col
metodo dell'articolo (che però ammetto di non avere ancora avuto tempo
di leggere)

> Lorenzo Lobba <lorenzo.lobba@gmail.com> wrote:
> > Git usa per versionare (non per fare sicurezza o criptografia) sha1.
> > Avrà impatti l'annuncio della collisione su GIT?

già da tempo si diceva che sarebbe stato il caso di smettere di usare
sha1 e passare a sha2 o altro: che io sappia c'era stato qualche
tentativo di iniziare a farlo, ma senza troppa convinzione.

La speranza è che l'annuncio della collisione renda più attivi questi
sforzi e che il passaggio avvenga, prima che anziché una collisione si
riesca a generare una retroimmagine e sia troppo tardi.

Notare che sì, git usa sha1 per versionare, ma anche tag e commit
firmati firmano lo sha1, e quindi la garanzia che un tag corrisponda a
quanto rilasciato dall'autore dipende dalla sicurezza di sha1.

Per ora non è ancora crollato tutto, ma man mano che gli attacchi verso
sha1 procedono, potrebbe succedere.

-- 
Elena ``of Valhalla''
_______________________________________________
Talking mailing list
Talking@ml.linuxvar.it
http://ml.linuxvar.it/cgi-bin/mailman/listinfo/talking

Follow-Ups:
- Re: [linux_var] SHA1 collision & git
  - From: Lorenzo Lobba <lorenzo.lobba@gmail.com>

References:
- [linux_var] SHA1 collision & git
  - From: Lorenzo Lobba <lorenzo.lobba@gmail.com>
- Re: [linux_var] SHA1 collision & git
  - From: Riccardo Macoratti <r.macoratti@gmx.co.uk>

Prev by Date: Re: [linux_var] SHA1 collision & git
Next by Date: Re: [linux_var] SHA1 collision & git
Previous by thread: Re: [linux_var] SHA1 collision & git
Next by thread: Re: [linux_var] SHA1 collision & git
Index(es):
- Date
- Thread