Linus Torvalds 回应 SHA-1 碰撞攻击:不必过于担忧

Google 与 CWI Institute 合作演示了对 SHA-1 的碰撞攻击,公布了两个 SHA-1 哈希值相同但内容不同的PDF 文件。这一消息在 Git 社区引发了 Git 对象碰撞攻击可能性。

Git 作者 Linus Torvalds 对此回应称 Git 不用担忧 SHA-1 碰撞攻击。他解释说,git 不只是哈希数据,还预留一个类型/长度字段,增加了碰撞攻击的难度,相比之下 pdf 文件使用了一个固定的头,为了实现相同的哈希值攻击者可以在里面加入任意的静默数据。所以 pdf 文件的不透明数据格式使其更容易成为攻击目标。git 也有不透明数据,但都属于次要的。他表示,git 可以很容易加入额外的完备性检查抵抗碰撞攻击,它并不面临迫在眉睫的危险。

本文来自开源中国社区 [http://www.oschina.net]

时间: 2024-09-30 14:22:54

Linus Torvalds 回应 SHA-1 碰撞攻击:不必过于担忧的相关文章

SHA1 碰撞攻击的第一位受害者:WebKit 版本控制系统

SHA1 碰撞攻击出现了第一位受害者:WebKit 项目使用的开源版本控制系统 Apache SVN(或 SVN).在某人上传 Google 公布的两个 SHA-1 值相同但内容不同的 PDF 文件后,版本控制系统出现严重问题.SVN 使用 SHA1 去跟踪和合并重复的文件.SVN 维护者已经释出了一个脚本工具拒绝 SHA1 碰撞攻击所生成的 PDF 文件. 与此同时,版本控制系统 Git 的作者 Linus Torvalds 在其 Google+ 账号上称,天没有塌下来,Git 确实需要替换

Linus Torvalds:开源Linux OS安全性不可能十全十美

Linus Torvalds不重视 Linux kernel 安全性,是因为这些安全问题注定存在的吗? 这也是最近一篇刊登在Washington Post关于安全的开源操作系统文章所提出的建议.该报将Torvalds在安全方面的举动总结如下:"任何系统的安全性都不可能十全十美的.所以系统必须权衡其他的优先因素--如处理速度.灵活性和易用性--在一系列固有微妙的关系间进行权衡". 该报同样将Torvalds盛赞为"手握因特网未来的人". 总之,这两点建议表明Torva

一种高级的DoS攻击-Hash碰撞攻击

这是迄今为止第一个让我觉得后怕的攻击方式,涉及的范围广难以防御,攻击效果立竿见影.大量的网站和Web接口都未做Hash碰撞攻击的防御,一拿一个准. 随着RESTful风格的接口普及,程序员默认都会使用json作为数据传递的方式.json格式的数据冗余少,兼容性高,从提出到现在已被广泛的使用,可以说成为了Web的一种标准.无论我们服务端使用什么语言,我们拿到json格式的数据之后都需要做jsonDecode(),将json串转换为json对象,而对象默认会存储于Hash Table,而Hash T

谁会成为OpenStack领域的Linus Torvalds?

OpenStack已经被一些拥趸誉为是云计算领域的Linux--面向公共云或私有云的一种开源操作系统.但这两个项目存在一个明显的差异:OpenStack可没有Linux界像莱纳斯•托瓦尔兹(Linus Torvalds)这样特立独行.直言不讳.从不害怕说出真实想法的领袖. 托瓦尔兹从许多方面为Linux打上了其个人的烙印.眼下OpenStack还没有这样一位精神领袖.问题是:OpenStack需要这样的精神领袖吗? 一些人认为答案是肯定的.由于托瓦尔兹在Linux项目拥有的绝对地位,Linux如

Linus Torvalds 说没有他 Linux 能继续前进

在接受彭博社记者的采访中,Linux作者Linus Torvalds首次公开谈论了他的死亡.Torvalds说,在他死后不存在具体的行动方案,10年或15年前他的死亡可能是一件大事,人们会恐慌,但现在他们只需要几个月时间一切困难都能解 决.Linus Torvalds是过去二十年经济因素中最有影响力的个人,他创造的Linux操作系统驱动了无数的设备. Torvalds 过去经常参加Linux用户组的会议,但现在他不再如此了.内核稳定分支的维护者Greg Kroah-Hartman说,有一次Tor

PHP哈希表碰撞攻击原理

最近哈希表碰撞攻击(Hashtable collisions as DOS attack)的话题不断被提起,各种语言纷纷中招.本文结合PHP内核源码,聊一聊这种攻击的原理及实现. 哈希表碰撞攻击的基本原理 哈希表是一种查找效率极高的数据结构,很多语言都在内部实现了哈希表.PHP中的哈希表是一种极为重要的数据结构,不但用于表示Array数据类型,还在Zend虚拟机内部用于存储上下文环境信息(执行上下文的变量及函数均使用哈希表结构存储). 理想情况下哈希表插入和查找操作的时间复杂度均为O(1),任何

如何让PGP短密钥ID免于碰撞攻击?

针对开发人员的碰撞攻击让我们发现Pretty Good Privacy(PGP)短ID的漏洞,该漏洞允许攻击者创建假ID密钥,这会给收件人解密或验证邮件制造问题.那么,这个漏洞的工作原理是什么,以及为什么短密钥ID会成为问题? Michael Cobb:当为电子邮件.文档或文件创建哈希值或者消息摘要时,需要通过使用密码散列函数来生成内容的短数字指纹,这种数学算法会将任意大小的数据映射到短的固定长度值作为其唯一标识.哈希值被广泛用于安全的很多方面,例如数字签名和数据完整性检查,人们通常会精心选择散

Linus Torvalds: '我仍然想要桌面'

cuthead 写道:"Linux的魔爪现已伸向各个领域,除了桌面.但在芝加哥举行的Linux大会上Linus Torvalds被问到Linux下一步该往哪走的时候,他没有犹豫地回答说:我仍然想要桌面.观众们爆发出热烈的掌声,Torvalds不认为桌面是一 个主要的核心问题,但仍然觉得是一个重要的基础问题." "他没有宣称"Linux桌面年",但他仍然期待这一天的发生." [via: eWeek/Solidot]

Linus Torvalds 将首次在中国 LC3 大会上发表演讲

世界首屈一指的开源盛会首次在中国举办,Linux 和 Git 创始人 Linus Torvalds 将做主题演讲 旧金山,2017 年 6 月 6 日--LF Asia 宣布 Linux 和 Git 创始人 Linus Torvalds 将首次在中国发表演讲.LinuxCon + ContainerCon + CloudOpen中国(LC3)将于 2017 年 6 月 19 日至 20 日在北京举行,届时 Torvalds 将做主题演讲. 在 LC3 上,与会者将可进行协作.共享信息以及学习最新