V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
gamexg
V2EX  ›  程序员

SHA1 碰撞攻击的第一位受害者: WebKit 版本控制系统

  •  
  •   gamexg · 2017-02-26 15:40:33 +08:00 · 4366 次点击
    这是一个创建于 2831 天前的主题,其中的信息可能已经有所发展或是发生改变。

    http://www.solidot.org/story?sid=51489

    不知道有人发过了吗?

    第 1 条附言  ·  2017-02-28 15:39:47 +08:00
    去知乎干了一圈,发现 sha1 真的死了。

    https://alf.nu/SHA1

    上传 2 张图片,可以立刻生成 2 个相同 sha1 的 pdf 文件,这根本不是几百年,而是秒级生成。
    10 条回复    2017-02-27 17:52:45 +08:00
    wql
        1
    wql  
       2017-02-26 16:26:49 +08:00 via Android
    SVN 已经出这种事了,感觉 Git 可能也会出事……
    mooncakejs
        2
    mooncakejs  
       2017-02-26 16:33:04 +08:00 via iPhone   ❤️ 1
    @wql linus 已经说过不会了
    Cbdy
        3
    Cbdy  
       2017-02-26 16:44:03 +08:00   ❤️ 1
    wql
        4
    wql  
       2017-02-26 16:50:16 +08:00
    @mooncakejs 但有一部分人是那些拿 SVN 协议操作 Git 库的人,可能会发现自己文件出错了……
    自己刚刚试了下的确是这样子。
    https://github.com/WangQiliang/shattered/blob/master/shattered-1-svn.pdf
    https://github.com/WangQiliang/shattered/blob/master/shattered-2-svn.pdf
    forcecharlie
        5
    forcecharlie  
       2017-02-26 20:58:46 +08:00 via iPhone   ❤️ 1
    @wql 文件不能共存在 git 仓库中 其他问题到没有
    uxstone
        6
    uxstone  
       2017-02-27 09:14:03 +08:00
    所以加速淘汰 SVN?
    keinx
        7
    keinx  
       2017-02-27 10:53:40 +08:00
    SHA1 攻破我觉得影响有限,我每次下载文件的时候对比的是 sha1 和 md5 两个,我觉得不同文件 md5 和 sha1 同时相同的可能性太小了。
    enenaaa
        8
    enenaaa  
       2017-02-27 11:49:22 +08:00
    svn 是封闭的, 将搞事者干掉即可。
    forcecharlie
        9
    forcecharlie  
       2017-02-27 17:31:58 +08:00
    git 的 sha1 实际上是 文件类型( blob commit tree )+空格 +文件长度 +NUL+文件内容 然后 hash ,按照谷歌的 sha1 攻击方案不太好弄,其他的就不知道了。
    gamexg
        10
    gamexg  
    OP
       2017-02-27 17:52:45 +08:00
    @keinx https 证书高风险。 chrome 好像是 4 月就会直接对 sha1 签名的证书报不安全。

    大体看了几个网站,都是 sha256 的。
    根证书好像都是 sha1 ,不过这个应该没问题,都是浏览器内置的。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1116 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 22ms · UTC 19:10 · PVG 03:10 · LAX 11:10 · JFK 14:10
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.