[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [linux_var] SHA1 collision & git

To: linux_var - LUG di Varese e Provincia Mailing List <talking@ml.linuxvar.it>
Subject: Re: [linux_var] SHA1 collision & git
From: Riccardo Macoratti <r.macoratti@gmx.co.uk>
Date: Fri, 24 Feb 2017 10:57:36 +0000
Delivered-to: diegor@tiscali.it
Dkim-signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=ml.linuxvar.it; s=mail; t=1487933860; bh=oiUXgckvgQqcZdjEy94KTrC8UgH6x+1cwxmm+Y1YZRE=; h=Date:In-Reply-To:References:To:From:Subject:List-Id: List-Unsubscribe:List-Archive:List-Post:List-Help:List-Subscribe: Reply-To; z=Date:=20Fri,=2024=20Feb=202017=2010:57:36=20+0000|In-Reply-To:=20 <20170224094935.tgxmmcb4hglzpyp5@manillaroad.local.home.trueelena. org>|References:=20<CAPsbc0+RMrCNEk6FUjN=3DwpuwHv6xmS6E=3D5X-Tvo8W q4kessx+A@mail.gmail.com>=0D=0A=20<20170223230424.891feb1922f3cc30 fe10865b@gmx.co.uk>=0D=0A=20<20170224054816.kujso234wy6cwros@manil laroad.local.home.trueelena.org>=0D=0A=20<CAPsbc0K78b62QnmV4xp6FXu CWhG39GekV25xzQe68QRegqtaxg@mail.gmail.com>=0D=0A=20<2017022409493 5.tgxmmcb4hglzpyp5@manillaroad.local.home.trueelena.org>|To:=20lin ux_var=20-=20LUG=20di=20Varese=20e=20Provincia=20Mailing=20List=20 <talking@ml.linuxvar.it>|From:=20Riccardo=20Macoratti=20<r.macorat ti@gmx.co.uk>|Subject:=20Re:=20[linux_var]=20SHA1=20collision=20&= 20git|List-Id:=20linux_var=20-=20LUG=20di=20Varese=20e=20Provincia =20Mailing=20List=0D=0A=20<talking.ml.linuxvar.it>|List-Unsubscrib e:=20<http://ml.linuxvar.it/cgi-bin/mailman/options/talking>,=0D=0 A=20<mailto:talking-request@ml.linuxvar.it?subject=3Dunsubscribe>| List-Archive:=20<http://ml.linuxvar.it/pipermail/talking/>|List-Po st:=20<mailto:talking@ml.linuxvar.it>|List-Help:=20<mailto:talking -request@ml.linuxvar.it?subject=3Dhelp>|List-Subscribe:=20<http:// ml.linuxvar.it/cgi-bin/mailman/listinfo/talking>,=0D=0A=20<mailto: talking-request@ml.linuxvar.it?subject=3Dsubscribe>|Reply-To:=20li nux_var=20-=20LUG=20di=20Varese=20e=20Provincia=20Mailing=20List=0 D=0A=20<talking@ml.linuxvar.it>; b=MDjIdsuFCRSwZMXYjbyTphXBN0hPi2/DSfwVHSmpxa5pITXC5Fq88xzFLvNQLnN85 rn9raUzeIzp7K8gUMETp96bDNm8bJsLlaIu00XpZJ7gN152iCZF0rpuDgCSmgDbgYQ aPxTQvtdcnCVS0dTdcWeArZljhXeUIaeyTtCEvjE=
In-reply-to: <20170224094935.tgxmmcb4hglzpyp5@manillaroad.local.home.trueelena.org>
List-archive: <http://ml.linuxvar.it/pipermail/talking/>
List-help: <mailto:talking-request@ml.linuxvar.it?subject=help>
List-id: linux_var - LUG di Varese e Provincia Mailing List <talking.ml.linuxvar.it>
List-post: <mailto:talking@ml.linuxvar.it>
List-subscribe: <http://ml.linuxvar.it/cgi-bin/mailman/listinfo/talking>, <mailto:talking-request@ml.linuxvar.it?subject=subscribe>
List-unsubscribe: <http://ml.linuxvar.it/cgi-bin/mailman/options/talking>, <mailto:talking-request@ml.linuxvar.it?subject=unsubscribe>
References: <CAPsbc0+RMrCNEk6FUjN=wpuwHv6xmS6E=5X-Tvo8Wq4kessx+A@mail.gmail.com> <20170223230424.891feb1922f3cc30fe10865b@gmx.co.uk> <20170224054816.kujso234wy6cwros@manillaroad.local.home.trueelena.org> <CAPsbc0K78b62QnmV4xp6FXuCWhG39GekV25xzQe68QRegqtaxg@mail.gmail.com> <20170224094935.tgxmmcb4hglzpyp5@manillaroad.local.home.trueelena.org>
Reply-to: linux_var - LUG di Varese e Provincia Mailing List <talking@ml.linuxvar.it>
Sender: "Talking" <talking-bounces@ml.linuxvar.it>
User-agent: K-9 Mail for Android

Sì certo dobbiamo considerare il paradosso del compleanno, ma se parli di Git, tu in genere (anche lasciando perdere il discorso dello header e dei generatori fatti per gioco) non crei dei documenti fatti apposta per collidere, perciò puoi considerare il caso come 'documenti presi a caso'. In caso di intenzione malevola, devi avere l'accesso in scrittura al repo e se hai quello, la collisione SHA-1 è l'ultimo dei tuoi problemi.

Comunque la realtà è che pur avendo generato delle collisioni, un attacco, nel caso migliore GPU e con la potenza di calcolo adatta, ci vogliono ancora centinaia di anni per usare un attacco di forza bruta.

Ciao,
Riccardo

On February 24, 2017 10:49:35 AM GMT+01:00, Elena ``of Valhalla'' <valhalla-l@trueelena.org> wrote:
>On 2017-02-24 at 08:47:51 +0000, Lorenzo Lobba wrote:
>> > Torvalds ha parlato.
>> https://marc.info/?l=git&m=148787047422954
>
>ha parlato, ma prima di vedere l'attacco, mi pare che lasci un po' il
>tempo che trova
>
>"I haven't seen the attack yet"
>
>> Git non calcola solamente gli hash, ma aggiunge anche un header.
>Questo
>> rende molto difficile creare due oggetti (commit, file,...) diversi
>ma con
>> hash uguale. Molto più complicato di generare 2 file pdf come
>> nell'esperimento.
>
>sicuramente questo è vero, l'attacco richiede di poter inserire un po'
>di dati "fuffa" da qualche parte nell'header, e in git questo è più
>difficile che non in un pdf. Ma se ho capito bene la fuffa può essere
>anche nel file committato, e ad esempio qui c'è un modo divertente per
>inserirlo:
>
>http://joeyh.name/blog/entry/SHA1_collision_via_ASCII_art/
>
>Certo, richiede di avere accesso in scrittura al repository, e non è un
>attacco banale da mettere in pratica, per cui al momento è possibile
>che
>sia solo teorico, però io spero che git si dia un po' una mossa a
>cambiare algoritmo, che i tempi di adozione di queste cose si misurano
>in anni, e nel frattempo gli attacchi possono migliorare.
>-- 
>Elena ``of Valhalla''
>_______________________________________________
>Talking mailing list
>Talking@ml.linuxvar.it
>http://ml.linuxvar.it/cgi-bin/mailman/listinfo/talking
_______________________________________________
Talking mailing list
Talking@ml.linuxvar.it
http://ml.linuxvar.it/cgi-bin/mailman/listinfo/talking

Follow-Ups:
- Re: [linux_var] SHA1 collision & git
  - From: Elena ``of Valhalla'' <valhalla-l@trueelena.org>

References:
- [linux_var] SHA1 collision & git
  - From: Lorenzo Lobba <lorenzo.lobba@gmail.com>
- Re: [linux_var] SHA1 collision & git
  - From: Riccardo Macoratti <r.macoratti@gmx.co.uk>
- Re: [linux_var] SHA1 collision & git
  - From: Elena ``of Valhalla'' <valhalla-l@trueelena.org>
- Re: [linux_var] SHA1 collision & git
  - From: Lorenzo Lobba <lorenzo.lobba@gmail.com>
- Re: [linux_var] SHA1 collision & git
  - From: Elena ``of Valhalla'' <valhalla-l@trueelena.org>

Prev by Date: Re: [linux_var] SHA1 collision & git
Next by Date: Re: [linux_var] SHA1 collision & git
Previous by thread: Re: [linux_var] SHA1 collision & git
Next by thread: Re: [linux_var] SHA1 collision & git
Index(es):
- Date
- Thread