SHA-1の衝突問題、Gitへの影響についてトーバルズ氏の見方は

Steven J. Vaughan-Nichols (Special to ZDNET.com) 翻訳校正: 編集部

2017-02-28 13:17

 GoogleがSHA-1に対する衝突攻撃が現実的になったことを実証した。暗号学の専門家Peter Gutmann氏が指摘する通り、これで本当に問題になるのは「長期的な文書の署名と証明書」だ。しかし、分散型バージョン管理システムである「Git」のリポジトリについてはどうだろうか。LinuxとGitの生みの親であるLinus Torvalds氏は、この件はセキュリティ上の大きな問題にはならないと説明している。

Git

 Torvalds氏やその他のLinuxカーネル開発者は、2005年にLinuxのための分散バージョン管理システムとしてGitを生み出した。Gitは、FacebookやGoogle、Twitterなどの大手企業でもコードベースの管理に使用されている。また、世界で最もよく知られるソースコード管理サービスであるGitHubでも使われており、MicrosoftもGitHubを使用している。

 つまり、Gitはおそらくもっとも重要なバージョン管理システムと言える。このシステムがハッキング可能だとすると困ったことになる。

 しかしTorvalds氏は、この攻撃がGitに大きな影響を与えるとは考えていないようだ。同氏はGoogle+の自身のアカウントで、次のように説明している

(1)第1に、これは世界の終わりではない。セキュリティのためのデジタル署名のようなものに暗号ハッシュを使用するのと、gitのように、連想記憶システムの「コンテンツを識別する値」を生成するために使用するのとでは大きな違いがある。

(2)第2に、今回のSHA-1を用いた攻撃の性質が意味するところは、これを緩和することが実際には非常に容易であるということであり、すでに緩和のためのパッチが2件公開されている。

(3)また最後に、実際に十分に明快で、世界に(また古いgitリポジトリにも)大きな影響を与えない別のハッシュ関数への移行がすでに存在する。

 同氏はGit開発者メーリングリストに向けたメッセージで、この問題を2つの分かりやすい質問にまとめている。「別のハッシュに移行するのが望ましいか?イエスだ。世間で騒ぎ立てられているように、これはSHA-1にとって『ゲームオーバー』なのか?おそらくノーだ」

 Gitは将来SHA-1から移行するとTorvalds氏は述べている。ただしその移行は、「それほど厄介ではなく、しかもリポジトリを変換する必要もない」ものだという。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    迫るISMS新規格への移行期限--ISO/IEC27001改訂の意味と求められる対応策とは

  2. セキュリティ

    警察把握分だけで年間4000件発生、IPA10大脅威の常連「標的型攻撃」を正しく知る用語集

  3. セキュリティ

    まずは“交渉術”を磨くこと!情報セキュリティ担当者の使命を果たすための必須事項とは

  4. セキュリティ

    マンガで分かる「クラウド型WAF」の特徴と仕組み、有効活用するポイントも解説

  5. ビジネスアプリケーション

    生成 AI 「Gemini」活用メリット、職種別・役職別のプロンプトも一挙に紹介

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]