GitHub gebruikt gebroken cryptografie. Maar er is een plan

GitHub gebruikt gebroken cryptografie. Maar er is een plan

SHA-1 toont eindelijk zijn ware aard.
22 maart 2017, 10:33am

In februari shockeerde Google de cryptografische gemeenschap door de bestendige SHA-1 hashing-algoritme effectief kapot te maken. Hierdoor werden de hypothetische zorgen over de veiligheid van SHA-1 voor het eerst concreet.

Hoewel de meeste mensen geen SHA-1 meer gebruiken, is er nog een plek op het internet waar het algoritme bepalend is en wat dus kwetsbaar is voor hackers: Github, het zenuwcentrum van alle opensourceprojecten; van bitcoin tot de software van verkiezingen tot de weekendprojecten van DIY-gezinde ontwikkelaars.

Gelukkig implementeerde GitHub afgelopen maandag een systeem dat automatisch SHA-1 hacks detecteert en weigert. GitHub slaat gebruikersdata op die allemaal een unieke SHA-1 hash hebben, die de site gebruikt om bezoekers de identificeren.

Dit ging goed omdat de kans dat twee mensen identieke SHA-1 hashes zouden hebben extreem klein was - als het dan een keer wel gebeurde, heet dit een "collision". Maar in februari demonstreerde Google een gespecialiseerde methode om SHA-1 botsingen te genereren, waardoor het mogelijk is dat iemand een onschuldige code kan vervangen met een kwaadaardige code, met dezelfde SHA-1 hash.

Volgens een blogpost van het bedrijf, laat Google's methode "een patroon in de bytes" achter die GitHub kan detecteren. Als de alarmbellen afgaan, dan sluit GitHub de operatie automatisch af.

Dit klinkt als een doekje voor het bloeden, en dat is het ook, maar volgens het persbericht is het bedrijf nog opzoek naar een permanente oplossing. "We zijn bezig om af te stappen van SHA-1 naar een veiliger hash-algoritme, maar willen dat doen zonder de bestaande data te verstoren."