SHA1 碰撞攻击的第一位受害者： WebKit 版本控制系统

2017-02-26 15:40:33 +08:00

gamexg

不知道有人发过了吗？

4287 次点击

所在节点

10 条回复

wql

2017-02-26 16:26:49 +08:00

SVN 已经出这种事了，感觉 Git 可能也会出事……

mooncakejs

2017-02-26 16:33:04 +08:00

@wql linus 已经说过不会了

Cbdy

2017-02-26 16:44:03 +08:00

wql

2017-02-26 16:50:16 +08:00

forcecharlie

2017-02-26 20:58:46 +08:00

@wql 文件不能共存在 git 仓库中其他问题到没有

uxstone

2017-02-27 09:14:03 +08:00

所以加速淘汰 SVN?

keinx

2017-02-27 10:53:40 +08:00

SHA1 攻破我觉得影响有限，我每次下载文件的时候对比的是 sha1 和 md5 两个，我觉得不同文件 md5 和 sha1 同时相同的可能性太小了。

enenaaa

2017-02-27 11:49:22 +08:00

svn 是封闭的，将搞事者干掉即可。

forcecharlie

2017-02-27 17:31:58 +08:00

git 的 sha1 实际上是文件类型（ blob commit tree ）+空格 +文件长度 +NUL+文件内容然后 hash ，按照谷歌的 sha1 攻击方案不太好弄，其他的就不知道了。

gamexg

2017-02-27 17:52:45 +08:00

@keinx https 证书高风险。 chrome 好像是 4 月就会直接对 sha1 签名的证书报不安全。

大体看了几个网站，都是 sha256 的。
根证书好像都是 sha1 ，不过这个应该没问题，都是浏览器内置的。

第 1 页／共 1 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.