GoogleがSHA-1に対する衝突攻撃が現実的になったことを実証した。暗号学の専門家Peter Gutmann氏が指摘する通り、これで本当に問題になるのは「長期的な文書の署名と証明書」だ。しかし、分散型バージョン管理システムである「Git」のリポジトリについてはどうだろうか。LinuxとGitの生みの親であるLinus Torvalds氏は、この件はセキュリティ上の大きな問題にはならないと説明している。
Torvalds氏やその他のLinuxカーネル開発者は、2005年にLinuxのための分散バージョン管理システムとしてGitを生み出した。Gitは、FacebookやGoogle、Twitterなどの大手企業でもコードベースの管理に使用されている。また、世界で最もよく知られるソースコード管理サービスであるGitHubでも使われており、MicrosoftもGitHubを使用している。
つまり、Gitはおそらくもっとも重要なバージョン管理システムと言える。このシステムがハッキング可能だとすると困ったことになる。
しかしTorvalds氏は、この攻撃がGitに大きな影響を与えるとは考えていないようだ。同氏はGoogle+の自身のアカウントで、次のように説明している。
(1)第1に、これは世界の終わりではない。セキュリティのためのデジタル署名のようなものに暗号ハッシュを使用するのと、gitのように、連想記憶システムの「コンテンツを識別する値」を生成するために使用するのとでは大きな違いがある。
(2)第2に、今回のSHA-1を用いた攻撃の性質が意味するところは、これを緩和することが実際には非常に容易であるということであり、すでに緩和のためのパッチが2件公開されている。
(3)また最後に、実際に十分に明快で、世界に(また古いgitリポジトリにも)大きな影響を与えない別のハッシュ関数への移行がすでに存在する。
同氏はGit開発者メーリングリストに向けたメッセージで、この問題を2つの分かりやすい質問にまとめている。「別のハッシュに移行するのが望ましいか?イエスだ。世間で騒ぎ立てられているように、これはSHA-1にとって『ゲームオーバー』なのか?おそらくノーだ」
Gitは将来SHA-1から移行するとTorvalds氏は述べている。ただしその移行は、「それほど厄介ではなく、しかもリポジトリを変換する必要もない」ものだという。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
