[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [linux_var] SHA1 collision & git

To: talking@ml.linuxvar.it
Subject: Re: [linux_var] SHA1 collision & git
From: Elena ``of Valhalla'' <valhalla-l@trueelena.org>
Date: Fri, 24 Feb 2017 10:49:35 +0100
Delivered-to: diegor@tiscali.it
Dkim-signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=ml.linuxvar.it; s=mail; t=1487929778; bh=epLZHsZQuqi2BRaB40qANgYbcWSKi0ODrSPQSy2eKFU=; h=Date:From:To:References:In-Reply-To:Subject:List-Id: List-Unsubscribe:List-Archive:List-Post:List-Help:List-Subscribe: Reply-To; z=Date:=20Fri,=2024=20Feb=202017=2010:49:35=20+0100|From:=20Elena=2 0``of=20Valhalla''=20<valhalla-l@trueelena.org>|To:=20talking@ml.l inuxvar.it|References:=20<CAPsbc0+RMrCNEk6FUjN=3DwpuwHv6xmS6E=3D5X -Tvo8Wq4kessx+A@mail.gmail.com>=0D=0A=20<20170223230424.891feb1922 f3cc30fe10865b@gmx.co.uk>=0D=0A=20<20170224054816.kujso234wy6cwros @manillaroad.local.home.trueelena.org>=0D=0A=20<CAPsbc0K78b62QnmV4 xp6FXuCWhG39GekV25xzQe68QRegqtaxg@mail.gmail.com>|In-Reply-To:=20< CAPsbc0K78b62QnmV4xp6FXuCWhG39GekV25xzQe68QRegqtaxg@mail.gmail.com >|Subject:=20Re:=20[linux_var]=20SHA1=20collision=20&=20git|List-I d:=20linux_var=20-=20LUG=20di=20Varese=20e=20Provincia=20Mailing=2 0List=0D=0A=20<talking.ml.linuxvar.it>|List-Unsubscribe:=20<http:/ /ml.linuxvar.it/cgi-bin/mailman/options/talking>,=0D=0A=20<mailto: talking-request@ml.linuxvar.it?subject=3Dunsubscribe>|List-Archive :=20<http://ml.linuxvar.it/pipermail/talking/>|List-Post:=20<mailt o:talking@ml.linuxvar.it>|List-Help:=20<mailto:talking-request@ml. linuxvar.it?subject=3Dhelp>|List-Subscribe:=20<http://ml.linuxvar. it/cgi-bin/mailman/listinfo/talking>,=0D=0A=20<mailto:talking-requ est@ml.linuxvar.it?subject=3Dsubscribe>|Reply-To:=20linux_var=20-= 20LUG=20di=20Varese=20e=20Provincia=20Mailing=20List=0D=0A=20<talk ing@ml.linuxvar.it>; b=Q7t8HL2AdiP6VCE6EUfflznYayO40K9co8aTm4Ljgw3kY8PRxNJrzxaiH6QmDHwtn gvlvJewt2v+VkdvmmPQqs/xMbXk2VOAox1pdq/nlmLNShsBKslHjuckc8zQ7iy+gqC URQLFY6Uxf5LG/m0m2a/iyyamcqDjCD2RUYEMoPE=
In-reply-to: <CAPsbc0K78b62QnmV4xp6FXuCWhG39GekV25xzQe68QRegqtaxg@mail.gmail.com>
List-archive: <http://ml.linuxvar.it/pipermail/talking/>
List-help: <mailto:talking-request@ml.linuxvar.it?subject=help>
List-id: linux_var - LUG di Varese e Provincia Mailing List <talking.ml.linuxvar.it>
List-post: <mailto:talking@ml.linuxvar.it>
List-subscribe: <http://ml.linuxvar.it/cgi-bin/mailman/listinfo/talking>, <mailto:talking-request@ml.linuxvar.it?subject=subscribe>
List-unsubscribe: <http://ml.linuxvar.it/cgi-bin/mailman/options/talking>, <mailto:talking-request@ml.linuxvar.it?subject=unsubscribe>
Mail-followup-to: talking@ml.linuxvar.it
References: <CAPsbc0+RMrCNEk6FUjN=wpuwHv6xmS6E=5X-Tvo8Wq4kessx+A@mail.gmail.com> <20170223230424.891feb1922f3cc30fe10865b@gmx.co.uk> <20170224054816.kujso234wy6cwros@manillaroad.local.home.trueelena.org> <CAPsbc0K78b62QnmV4xp6FXuCWhG39GekV25xzQe68QRegqtaxg@mail.gmail.com>
Reply-to: linux_var - LUG di Varese e Provincia Mailing List <talking@ml.linuxvar.it>
Sender: "Talking" <talking-bounces@ml.linuxvar.it>
User-agent: NeoMutt/20170113 (1.7.2)

On 2017-02-24 at 08:47:51 +0000, Lorenzo Lobba wrote:
> > Torvalds ha parlato.
> https://marc.info/?l=git&m=148787047422954

ha parlato, ma prima di vedere l'attacco, mi pare che lasci un po' il
tempo che trova

"I haven't seen the attack yet"

> Git non calcola solamente gli hash, ma aggiunge anche un header. Questo
> rende molto difficile creare due oggetti (commit, file,...) diversi ma con
> hash uguale. Molto più complicato di generare 2 file pdf come
> nell'esperimento.

sicuramente questo è vero, l'attacco richiede di poter inserire un po'
di dati "fuffa" da qualche parte nell'header, e in git questo è più
difficile che non in un pdf. Ma se ho capito bene la fuffa può essere
anche nel file committato, e ad esempio qui c'è un modo divertente per
inserirlo:

http://joeyh.name/blog/entry/SHA1_collision_via_ASCII_art/

Certo, richiede di avere accesso in scrittura al repository, e non è un
attacco banale da mettere in pratica, per cui al momento è possibile che
sia solo teorico, però io spero che git si dia un po' una mossa a
cambiare algoritmo, che i tempi di adozione di queste cose si misurano
in anni, e nel frattempo gli attacchi possono migliorare.
-- 
Elena ``of Valhalla''
_______________________________________________
Talking mailing list
Talking@ml.linuxvar.it
http://ml.linuxvar.it/cgi-bin/mailman/listinfo/talking

Follow-Ups:
- Re: [linux_var] SHA1 collision & git
  - From: Riccardo Macoratti <r.macoratti@gmx.co.uk>

References:
- [linux_var] SHA1 collision & git
  - From: Lorenzo Lobba <lorenzo.lobba@gmail.com>
- Re: [linux_var] SHA1 collision & git
  - From: Riccardo Macoratti <r.macoratti@gmx.co.uk>
- Re: [linux_var] SHA1 collision & git
  - From: Elena ``of Valhalla'' <valhalla-l@trueelena.org>
- Re: [linux_var] SHA1 collision & git
  - From: Lorenzo Lobba <lorenzo.lobba@gmail.com>

Prev by Date: Re: [linux_var] SHA1 collision & git
Next by Date: Re: [linux_var] SHA1 collision & git
Previous by thread: Re: [linux_var] SHA1 collision & git
Next by thread: Re: [linux_var] SHA1 collision & git
Index(es):
- Date
- Thread