Af Torben B. Sørensen, 02/03/17
Problemet blev opdaget, efter at Google offentliggjorde det første eksempel på en kollision under SHA-1 (Secure Hash Algorithm 1). Kollisionen betyder, at to forskellige PDF-dokumenter danner den samme værdi, når de køres gennem SHA-1-algoritmen. Det burde ikke være muligt.
Udviklerne af WebKit lagde de to dokumenter ind i WebKits kildekodelager, der er baseret på Apache Subversion. Det medførte, at data blev ødelagt.
Google har bekræftet, at det er et generelt problem. I nogle tilfælde bliver det umuligt at lægge ny kode ind i systemet, efter at de to dokumenter er indlagt.
Udviklerne af Subversion har udsendt et script, der forhindrer forsøg på at indlægge dokumenter med SHA-1-kollisioner.
Anbefaling
Brugere af Subversion bør overveje at installere scriptet, der forhindrer, at SHA-1-kolliderende dokumenter lægges ind.
Links
- Apache Subversion System Affected by SHA-1 Collision, artikel fra SecurityWeek
- Contents of /subversion/trunk/tools/hook-scripts/reject-known-sha1-collisions.sh
- Shattered.io
- Forskere finder første SHA-1-kollision, DKCERT, 23-02-2017