Re: [linux_var] SHA1 collision & git

To: linux_var - LUG di Varese e Provincia Mailing List <talking@ml.linuxvar.it>

Subject: Re: [linux_var] SHA1 collision & git

From: Lorenzo Lobba <lorenzo.lobba@gmail.com>

Date: Fri, 24 Feb 2017 08:47:51 +0000

Authentication-results: linuxvar.it; dkim=pass reason="2048-bit key; unprotected key" header.d=gmail.com header.i=@gmail.com header.b=ssWKE1pp; dkim-adsp=pass; dkim-atps=neutral

Delivered-to: diegor@tiscali.it

Dkim-signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=ml.linuxvar.it; s=mail; t=1487926085; bh=4yRmdHf1yzC6YCvJJKg6NAuNlOfPFmyGolFNCg4pNhE=; h=References:In-Reply-To:From:Date:To:Subject:List-Id: List-Unsubscribe:List-Archive:List-Post:List-Help:List-Subscribe: Reply-To; z=References:=20<CAPsbc0+RMrCNEk6FUjN=3DwpuwHv6xmS6E=3D5X-Tvo8Wq4ke ssx+A@mail.gmail.com>=0D=0A=20<20170223230424.891feb1922f3cc30fe10 865b@gmx.co.uk>=0D=0A=20<20170224054816.kujso234wy6cwros@manillaro ad.local.home.trueelena.org>|In-Reply-To:=20<20170224054816.kujso2 34wy6cwros@manillaroad.local.home.trueelena.org>|From:=20Lorenzo=2 0Lobba=20<lorenzo.lobba@gmail.com>|Date:=20Fri,=2024=20Feb=202017= 2008:47:51=20+0000|To:=20linux_var=20-=20LUG=20di=20Varese=20e=20P rovincia=20Mailing=20List=20<talking@ml.linuxvar.it>|Subject:=20Re :=20[linux_var]=20SHA1=20collision=20&=20git|List-Id:=20linux_var= 20-=20LUG=20di=20Varese=20e=20Provincia=20Mailing=20List=0D=0A=20< talking.ml.linuxvar.it>|List-Unsubscribe:=20<http://ml.linuxvar.it /cgi-bin/mailman/options/talking>,=0D=0A=20<mailto:talking-request @ml.linuxvar.it?subject=3Dunsubscribe>|List-Archive:=20<http://ml. linuxvar.it/pipermail/talking/>|List-Post:=20<mailto:talking@ml.li nuxvar.it>|List-Help:=20<mailto:talking-request@ml.linuxvar.it?sub ject=3Dhelp>|List-Subscribe:=20<http://ml.linuxvar.it/cgi-bin/mail man/listinfo/talking>,=0D=0A=20<mailto:talking-request@ml.linuxvar .it?subject=3Dsubscribe>|Reply-To:=20linux_var=20-=20LUG=20di=20Va rese=20e=20Provincia=20Mailing=20List=0D=0A=20<talking@ml.linuxvar .it>; b=pR84gwkZzMXvzelJU0jNG51DH4At+9Ne1tPx0Wc9e3CtM+MtbUI3uYKINhJQFVMAY DvA3CugVrUS/+8PUvueP51seKuEmLhmUYtT3kji+3XgFRWW//uCncL4OV+HQNfWFXt avx6qAwsdliEycHEcNu6nWJi/10vjXMhCNxxN4ls=

Dkim-signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=gmail.com; s=20161025; h=mime-version:references:in-reply-to:from:date:message-id:subject:to; bh=se2Yr3GPp4Qtv34+j352l84uRkIr8mOE8guoa9d18FA=; b=ssWKE1pptAs0I7KF+czoTIXPHqVIfmBJEYAHSWsz1ZDPoFhHDhIl4c5FDXAGIZdd68 ua7mH9xkmlNR/6ihbb3GbfLfKV1f4mJVU8t3HWAMQihY2bYU1l7VLhHaTEUsbcllRbg2 gqUrs9y97OgBjVGSanfUUIT0ze0QQpO4urG0rngARcwLjd+F9of5O/iBrqDVtL6Ao94l ERUoW0oT31ITNo8kmqLpKRORGooveJ14aAXeprqtlzcQX7Nypf07hJt3xLGvR211mdm+ ikzbthPFlC6UwfWwAb+xUbGSoDl0ono0e1vx5dolBQjQIFkMSyZlr1OEpxCJZG5U4udg lzgQ==

In-reply-to: <20170224054816.kujso234wy6cwros@manillaroad.local.home.trueelena.org>

List-archive: <http://ml.linuxvar.it/pipermail/talking/>

List-help: <mailto:talking-request@ml.linuxvar.it?subject=help>

List-id: linux_var - LUG di Varese e Provincia Mailing List <talking.ml.linuxvar.it>

List-post: <mailto:talking@ml.linuxvar.it>

List-subscribe: <http://ml.linuxvar.it/cgi-bin/mailman/listinfo/talking>, <mailto:talking-request@ml.linuxvar.it?subject=subscribe>

List-unsubscribe: <http://ml.linuxvar.it/cgi-bin/mailman/options/talking>, <mailto:talking-request@ml.linuxvar.it?subject=unsubscribe>

References: <CAPsbc0+RMrCNEk6FUjN=wpuwHv6xmS6E=5X-Tvo8Wq4kessx+A@mail.gmail.com> <20170223230424.891feb1922f3cc30fe10865b@gmx.co.uk> <20170224054816.kujso234wy6cwros@manillaroad.local.home.trueelena.org>

Reply-to: linux_var - LUG di Varese e Provincia Mailing List <talking@ml.linuxvar.it>

Sender: "Talking" <talking-bounces@ml.linuxvar.it>

Il giorno ven 24 feb 2017 alle ore 06:48 Elena ``of Valhalla'' <valhalla-l@trueelena.org> ha scritto:

Notare che sì, git usa sha1 per versionare, ma anche tag e commit
firmati firmano lo sha1, e quindi la garanzia che un tag corrisponda a
quanto rilasciato dall'autore dipende dalla sicurezza di sha1.

Torvalds ha parlato.

https://marc.info/?l=git&m=148787047422954

Git non calcola solamente gli hash, ma aggiunge anche un header. Questo rende molto difficile creare due oggetti (commit, file,...) diversi ma con hash uguale. Molto più complicato di generare 2 file pdf come nell'esperimento.
Probabilmente in futuro git userà un altro tipo di algoritmo. Nel futuro più immediato si aggiungerenno ulteriori controlli di sicurezza per rendere quasi impossibile l'inserimento di un repository di commit farlocchi.

Ciao,

Lorenzo

_______________________________________________ Talking mailing list Talking@ml.linuxvar.it http://ml.linuxvar.it/cgi-bin/mailman/listinfo/talking

Follow-Ups:

Re: [linux_var] SHA1 collision & git
- From: Elena ``of Valhalla'' <valhalla-l@trueelena.org>

References:

[linux_var] SHA1 collision & git
- From: Lorenzo Lobba <lorenzo.lobba@gmail.com>
Re: [linux_var] SHA1 collision & git
- From: Riccardo Macoratti <r.macoratti@gmx.co.uk>
Re: [linux_var] SHA1 collision & git
- From: Elena ``of Valhalla'' <valhalla-l@trueelena.org>