SHA-1の衝突問題、Gitへの影響についてトーバルズ氏の見方は

Steven J. Vaughan-Nichols (Special to ZDNet.com) 翻訳校正: 編集部

2017-02-28 13:17

 GoogleがSHA-1に対する衝突攻撃が現実的になったことを実証した。暗号学の専門家Peter Gutmann氏が指摘する通り、これで本当に問題になるのは「長期的な文書の署名と証明書」だ。しかし、分散型バージョン管理システムである「Git」のリポジトリについてはどうだろうか。LinuxとGitの生みの親であるLinus Torvalds氏は、この件はセキュリティ上の大きな問題にはならないと説明している。

Git

 Torvalds氏やその他のLinuxカーネル開発者は、2005年にLinuxのための分散バージョン管理システムとしてGitを生み出した。Gitは、FacebookやGoogle、Twitterなどの大手企業でもコードベースの管理に使用されている。また、世界で最もよく知られるソースコード管理サービスであるGitHubでも使われており、MicrosoftもGitHubを使用している。

 つまり、Gitはおそらくもっとも重要なバージョン管理システムと言える。このシステムがハッキング可能だとすると困ったことになる。

 しかしTorvalds氏は、この攻撃がGitに大きな影響を与えるとは考えていないようだ。同氏はGoogle+の自身のアカウントで、次のように説明している

(1)第1に、これは世界の終わりではない。セキュリティのためのデジタル署名のようなものに暗号ハッシュを使用するのと、gitのように、連想記憶システムの「コンテンツを識別する値」を生成するために使用するのとでは大きな違いがある。

(2)第2に、今回のSHA-1を用いた攻撃の性質が意味するところは、これを緩和することが実際には非常に容易であるということであり、すでに緩和のためのパッチが2件公開されている。

(3)また最後に、実際に十分に明快で、世界に(また古いgitリポジトリにも)大きな影響を与えない別のハッシュ関数への移行がすでに存在する。

 同氏はGit開発者メーリングリストに向けたメッセージで、この問題を2つの分かりやすい質問にまとめている。「別のハッシュに移行するのが望ましいか?イエスだ。世間で騒ぎ立てられているように、これはSHA-1にとって『ゲームオーバー』なのか?おそらくノーだ」

 Gitは将来SHA-1から移行するとTorvalds氏は述べている。ただしその移行は、「それほど厄介ではなく、しかもリポジトリを変換する必要もない」ものだという。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. ビジネスアプリケーション

    【マンガ解説】まだ間に合う、失敗しない「電子帳簿保存法」「インボイス制度」への対応方法

  2. セキュリティ

    企業のDX推進を支えるセキュリティ・ゼロトラスト移行への現実解「ゼロトラスト・エッジ」戦略とは

  3. 経営

    2023年データとテクノロジーはどう変わるか 分析プラットフォームベンダーが明かす予測と企業戦略

  4. セキュリティ

    リモートワークで浮き彫りとなった「従来型VPN」、課題解決とゼロトラスト移行を実現する最適解

  5. セキュリティ

    第2世代EDRはココが違う 「自動化」でエンドポイントセキュリティの運用負荷・コストを削減

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]