SGCG

Volver arriba

Git no está roto pese a las colisiones de SHA-1

2017-02-27

La semana pasada apareció la noticia del primer ataque práctico al algoritmo SHA-1. El algoritmo SHA-1 sirve para generar un número de gran tamaño que sirve como resumen de un conjunto de datos. En principio, dos documentos diferentes tienen resúmenes SHA-1 diferentes con casi total seguridad, pero el ataque permite concebir a voluntad dos documentos diferentes con idéntico resumen SHA-1.

Entra Git

Git es un programa informático de control de versiones extremadamente popular. Identifica los objetos con los que trabaja mediante resúmenes criptográficos SHA-1, con lo que cabe pensar que un ataque al algoritmo permitiría hacer cosas muy malas con los repositorios de Git que contienen el código fuente de programas muy importantes. En concreto, cabe preguntarse si sería posible introducir código malicioso en un repositorio de forma indetectable. Afortunadamente, no es el caso.

Por qué el ataque no permite la inyección indetectable de código malicioso en un repositorio de Git

Linus Torvalds, el creador de Git, explicó rápidamente por qué no hay que preocuparse indebidamente por el ataque en lo que respecta al popular sistema de control de versiones. Lo más importante es que un intento de ataque es terriblemente fácil de detectar (y ya hay parches para Git que sirven para detectar los intentos de ataque). Además de esto, la forma de ataque más evidente (modificar un fichero inocuo con una versión maliciosa con mismo identificador SHA-1) es inviable. Linus ya lo explicó hace una década: si se intenta registrar en un repositorio un objeto nuevo con el identificador SHA-1 de un objeto ya existente, el repositorio se queda con el objeto antiguo.

Categorías: Actualidad, Informática

Artículos publicados el mismo mes

Permalink: http://sgcg.es/articulos/2017/02/27/git-no-esta-roto-pese-a-las-colisiones-de-sha-1/

Volver arriba