Hasty Briefsbeta

双语

Git Hash Chain Malleability

4 days ago
  • #Hash Malleability
  • #Cryptographic Vulnerabilities
  • #Git Security
  • Git提交签名并不保证唯一且不可变的标识,因为攻击者可以在不破坏SHA2算法或获取签名密钥的前提下,生成具有相同树结构、元数据、有效签名和‘已验证’标识的不同提交。
  • 研究展示了三种可塑性攻击路径:针对ECDSA签名的代数逆运算、为RSA和EdDSA插入未哈希的OpenPGP子数据包,以及在S/MIME的CMS信封内对非规范DER长度进行重新编码。
  • 这些方法会影响基于哈希的提交屏蔽机制、Nixpkgs和Go模块等系统中的依赖项固定,以及依赖提交哈希作为内容寻址密钥的可复现构建系统,相关概念验证工具已提供。