Online project hosting using Git - GitHub

Githubは3月21日(米国時間)、「SHA-1 collision detection on GitHub.com · GitHub」において、GitHub.comについてSHA-1衝突の検出機能を強化したと伝えた。今後、GitHub.comに対してSHA-1衝突攻撃が仕掛けられたとしても、それを検出して対応できるとしている。GitHub Enterpriseについては、次のバージョンで同様の機能が取り込まれるとのこと。

数週間前、Googleの研究者らはSHA-1衝突を効率よく発生させる方法を発表した。SHA-1はすでに安全とは言えないとされており、使用停止が呼びかけられている。Googleの研究者らから実用的なレベルで衝突を生成できる方法が発表されたことは、こうしたSHA-1の利用停止を進める後押しになるものと見られていた。

GitHubはGitHub.comのデータの扱いにおいて、SHA-1をオブジェクトデータに対して生成して利用している。SHA-1攻撃がGitHub.comに仕掛けられた場合、GitHub.comとしてはサービスに対する脅威となる。GitHub.comにはもともと衝突を検出する機能が用意されているが、こうした発表を受けてさらに機能が強化された。GitHubは今後、SHA-1以外のハッシュ関数へ移行する方法も模索していると説明している。