GitHub внедрил систему распознавания атак SHAttered

В феврале нынешнего года специалисты Google и Центра математики и информатики в Амстердаме представили первый в мире алгоритм генерации коллизий хеш-функций SHA-1 (атака SHAttered), тем самым окончательно подтвердив небезопасность популярного алгоритма криптографического хеширования SHA-1.

В то время как многие организации, в том числе Mozilla, Google и Microsoft, отказались от поддержки SHA-1, данный алгоритм по-прежнему используется на GitHub - портале, где публикуется огромное количество проектов с открытым исходным кодом. 20 марта нынешнго года администрация ресурса объявила о внедрении системы, которая будет распознавать и автоматически блокировать атаки SHAttered.

GitHub хранит данные пользователей как «объекты» с уникальным хэшем SHA-1, который используется в качестве идентификатора для их отслеживания. С появлением алгоритма генерации коллизий хеш-функций SHA-1 злоумышленники получили возможность заменить код в проектах на GitHub вредоносным, используя идентичный хэш SHA-1.

Согласно блогу компании, разработанный инженерами Google алгоритм «оставляет след в байтах», который GitHub может распознать и при попытке атаки прервать операцию. В настоящее время компания занята поиском более надежного решения проблемы.

«Команда проекта Git разрабатывает план по переходу от SHA-1 на использование более надежного алгоритма хэширования с минимальным нарушением данных существующих репозиториев. По окончании работы мы намерены реализовать его поддержку на GitHub», - отмечается в сообщении компании.