git中的哈希冲突

Question

如果我在使用 git 时发生哈希冲突，实际会发生什么？

例如我设法提交了两个具有相同 sha1 校验和的文件， git 会注意到它或损坏其中一个文件吗？

可以改进 git 以适应这种情况，还是我必须更改为新的哈希算法？

（请不要通过讨论不太可能来转移这个问题 - 谢谢）

Answer 1

可以改进 git 以适应这种情况，还是我必须更改为新的哈希算法？

任何散列算法都可能发生冲突，因此更改散列函数并不能排除问题，它只会降低发生的可能性。所以你应该选择一个非常好的哈希函数（SHA-1 已经是，但你要求不要被告知:)

Answer 2

如果两个文件在 git 中具有相同的哈希值，它会将这些文件视为相同。在绝对不可能发生这种情况的情况下，您总是可以返回一个提交，并更改文件中的某些内容，这样它们就不会再发生冲突了......

见Linus Torvalds' post in the thread “Starting to think about sha-256?” in the git mailing list。

Answer 3

如果不解释为什么这不是问题，就不可能用正确的“但是”来回答这个问题。如果没有真正掌握哈希的真正含义，就不可能做到这一点。它比您在 CS 程序中可能遇到的简单案例要复杂。

这里对信息论有一个基本的误解。如果您通过丢弃一些数量（即哈希）将大量信息减少为更少量的信息，则可能会发生与数据长度直接相关的冲突。数据越短，它就越不可能。现在，绝大多数碰撞都是乱码，使它们更有可能实际发生（你永远不会检查乱码......即使是二进制图像也有点结构化）。最后，机会很渺茫。要回答您的问题，是的，git 会将它们视为相同，更改哈希算法无济于事，需要进行某种“第二次检查”，但最终，您将需要尽可能多的“附加检查”数据因为数据的长度是 100% 确定的...请记住，您将是 99.99999....到一个非常长的数字....确定像您描述的那样进行简单检查。 SHA-x 是加密强哈希，这意味着通常不难故意创建两个彼此非常相似且具有相同哈希的源数据集。数据中的一点变化应该在散列输出中产生不止一个（最好尽可能多）位的变化，这也意味着从散列返回到完整的一组非常困难（但并非完全不可能）冲突，从而从那组冲突中提取出原始消息——除了少数之外，所有的都是乱码，如果消息长度足够长，那么在那些没有的消息中仍然有大量需要筛选。加密哈希的缺点是它们的计算速度很慢……一般来说。

那么，这对 Git 意味着什么？不多。哈希很少（相对于其他所有内容）完成，以至于它们的计算代价总体上对操作来说很低。发生一对碰撞的机会是如此之低，它不是一个现实的机会发生并且不会立即被检测到（即您的代码很可能会突然停止构建），允许用户解决问题（备份修订，并再次进行更改，由于时间更改，您几乎肯定会得到不同的哈希，这也提供了 git 中的哈希）。如果您在 git 中存储任意二进制文件，这对您来说更有可能是一个真正的问题，这并不是它的主要使用模型。如果您想这样做...您可能最好使用传统数据库。

考虑这一点并没有错——这是一个很好的问题，很多人只是假装“不太可能，不值得考虑”——但实际上比这要复杂一些。如果它确实发生了，它应该很容易被检测到，它不会是正常工作流程中的无声损坏。

Answer 4

在 10 个卫星上挑选原子

SHA-1 哈希是 40 个十六进制字符串...即每个字符 4 位乘以 40...160 位。现在我们知道 10 位大约是 1000（准确地说是 1024），这意味着有 1 000 000 000 000 000 000 000 000 000 000 000 000 000 000 000 000 个不同的 SHA-1 哈希... 10^48支持>.

这相当于什么？那么月球是由大约 10⁴⁷ 个原子组成的。因此，如果我们有 10 颗卫星……而你在其中一颗卫星上随机选择一个原子……然后继续在它们上再次选择一个随机原子……那么你可能会两次选择同一个原子, 是两个给定 git 提交具有相同 SHA-1 哈希的可能性。

对此我们可以提出问题...

在您开始担心冲突之前，您需要在存储库中提交多少次？

这与所谓的“生日攻击”有关，后者又指“生日悖论”或“生日问题”，即当你从给定的集合中随机选择时，你需要惊人的少数选择才能获得更多很可能没有选择两次。但“令人惊讶的少数”在这里是一个非常相对的术语。

维基百科有a table on the probability of Birthday Paradox collisions。没有 40 个字符的哈希条目。但是 32 和 48 个字符的条目的插值使我们处于 5*10²² git 提交的范围内，碰撞概率为 0.1%。那是 50,000 亿次不同的提交，或 50 个 Zettacommits，在你达到 0.1% 的机会之前，你发生了冲突。

仅这些提交的哈希字节总和将比地球上一年生成的所有数据更多的数据，也就是说，您需要比 YouTube 流式传输视频更快地生成代码。祝你好运。 :D

重点是，除非有人故意造成碰撞，否则随机发生碰撞的概率非常小，您可以忽略此问题

“但是当碰撞确实发生时，实际发生了什么？”

好吧，假设不可能的事情确实发生了，或者假设有人设法定制了a deliberate SHA-1 hash collision。然后会发生什么？

在这种情况下有an excellent answer where someone experimented on it。我将引用该答案：

1. 如果已存在具有相同哈希的 blob，则根本不会收到任何警告。一切似乎都正常，但是当您推送、有人克隆或您还原时，您将丢失最新版本（符合上述说明）。
2. 如果树对象已经存在并且您使用相同的哈希创建了一个 blob：一切看起来都很正常，直到您尝试推送或有人克隆您的存储库。然后你会看到这个 repo 已经损坏了。
3. 如果提交对象已经存在并且您使用相同的哈希创建了一个 blob：与 #2 相同 - 损坏
4. 如果 blob 已经存在并且您使用相同的哈希创建提交对象，则更新“ref”时它将失败。
5. 如果 blob 已经存在，并且您使用相同的哈希创建树对象。创建提交时会失败。
6. 如果树对象已经存在并且您使用相同的哈希创建提交对象，则更新“ref”时它将失败。
7. 如果一个树对象已经存在并且你创建了一个具有相同散列的树对象，那么一切看起来都没有问题。但是当您提交时，所有存储库都会引用错误的树。
8. 如果一个提交对象已经存在，并且您使用相同的哈希创建一个提交对象，那么一切看起来都正常。但是当您提交时，将永远不会创建提交，并且 HEAD 指针将移动到旧提交。
9. 如果一个提交对象已经存在并且你用相同的哈希创建一个树对象，创建提交时它会失败。

如您所见，有些情况并不好。特别是案例 #2 和 #3 会弄乱您的存储库。但是，故障似乎确实存在于该存储库中，并且攻击或奇异的可能性不会传播到其他存储库。

此外，故意碰撞的问题似乎被认为是一个真正的威胁，例如GitHub is taking measures to prevent it。

Answer 5

哈希冲突的可能性极小，简直令人震惊！全世界的科学家都在努力实现这一目标，但还没有成功。不过，对于某些算法，例如 MD5，它们是成功的。

赔率是多少？

SHA-256 有 2^256 个可能的哈希值。这大约是 10^78。或者更形象地说，碰撞的可能性大约是

1 : 100 000 000 000 000 000 000 000 000 000 000 000 000 000 000 000 000 000 000 000 000 000 000 000 000 000

中奖概率约为1:14 Mio。与 SHA-256 发生冲突的几率就像在 连续 11 天中中奖一样！

数学解释：14 000 000^11~2^256

此外，universe 有大约 10^80 个原子。这只是 SHA-256 组合的 100 倍。

MD5 碰撞成功

即使对于 MD5，机会也很小。不过，数学家设法制造了碰撞：

d131dd02c5e6eec4 693d9a0698aff95c 2fcab58712467eab 4004583eb8fb7f89
55ad340609f4b302 83e488832571415a 085125e8f7cdc99f d91dbdf280373c5b
d8823e3156348f5b ae6dacd436c919c6 dd53e2b487da03fd 02396306d248cda0
e99f33420f577ee8 ce54b67080a80d1e c69821bcb6a88393 96f9652b6ff72a70

与 MD5 相同

d131dd02c5e6eec4 693d9a0698aff95c 2fcab50712467eab 4004583eb8fb7f89
55ad340609f4b302 83e4888325f1415a 085125e8f7cdc99f d91dbd7280373c5b
d8823e3156348f5b ae6dacd436c919c6 dd53e23487da03fd 02396306d248cda0
e99f33420f577ee8 ce54b67080280d1e c69821bcb6a88393 96f965ab6ff72a70

这并不意味着 MD5 现在其算法已被破解，安全性降低。可以故意制造MD5碰撞，但是意外MD5碰撞的几率还是2^128，还是很多的。

结论

您不必担心碰撞。散列算法是检查文件相同性的第二种最安全的方法。唯一更安全的方法是二进制比较。

Answer 6

Google 现在声称在某些先决条件下可能发生 SHA-1 冲突： https://security.googleblog.com/2017/02/announcing-first-sha1-collision.html

由于 git 使用 SHA-1 来检查文件完整性，这意味着 git 中的文件完整性受到损害。

IMO，git 绝对应该使用更好的哈希算法，因为现在可以进行故意碰撞。

Answer 7

好吧，我想我们现在知道会发生什么了 - 您应该预料到您的存储库会损坏 (source)。

Answer 8

你可以在“How would Git handle a SHA-1 collision on a blob?”看到一个很好的研究。

由于现在可能发生 SHA1 冲突（正如我在 this answer 和 shattered.io 中引用的那样），知道 Git 2.13（2017 年第二季度）将通过“检测尝试创建冲突”变体改善/缓解当前情况SHA-1 implementation by Marc Stevens (CWI) and Dan Shumow (Microsoft).

参见Jeff King (peff) 的commit f5f5e7f、commit 8325e43、commit c0c2006、commit 45a574e、commit 28dc98e（2017 年 3 月 16 日）。
^{（由Junio C Hamano -- gitster -- 合并到commit 48b3693， 2017 年 3 月 24 日）}

Makefile：将DC_SHA1设为默认

我们曾经使用 OpenSSL 库中的 SHA1 实现 默认。
由于我们在最近的“破碎”公告之后试图小心防止碰撞攻击，因此切换默认值以鼓励人们改用 DC_SHA1 实现。
那些想要使用 OpenSSL 实现的人可以明确要求 运行“make”时由OPENSSL_SHA1=YesPlease 提供。

我们实际上并没有 Git 对象冲突，所以我们能做的最好的事情就是通过 test-sha1 运行其中一个破碎的 PDF。这应该会触发碰撞检查并死亡。

---

是否可以改进 Git 以适应这种情况，或者我是否必须更改为新的哈希算法？

2017 年 12 月更新 Git 2.16（2018 年第一季度）：支持替代 SHA 的努力正在进行中：请参阅“Why doesn't Git use more modern SHA?”。

您将能够使用另一种哈希算法：SHA1 不再是 Git 的唯一算法。

---

Git 2.18（2018 年第二季度）记录了该过程。

参见Ævar Arnfjörð Bjarmason (avar)commit 5988eb6、commit 45fa195（2018 年 3 月 26 日）。
^{（由 Junio C Hamano -- gitster -- 合并于 commit d877975，2018 年 4 月 11 日）}

doc hash-function-transition：澄清 SHAttered 的含义

尝试阐明 SHAttered 攻击在实践中的意义 Git.
先前版本的文本没有提到 Git 已经针对这种特定攻击提供了缓解措施，而 SHAttered 研究人员声称这将检测到密码分析冲突攻击。

我可能弄错了一些细微差别，但据我所知 新文本准确地总结了 SHA-1 的现状 混帐。 IE。 git 不再真正使用 SHA-1，它使用 Hardened-SHA-1（它们恰好产生相同的输出 99.99999999999...% 的时间）。

因此，前面的文字断言不正确：

[...]由于[SHAttered]，不能考虑SHA-1 加密更安全[...]

事实并非如此。我们有针对 SHAttered 的缓解措施，然而 我们认为谨慎的做法是朝着NewHash 的方向前进 出现 SHA-1 或 Hardened-SHA-1 中的漏洞。

所以new documentation 现在变为：

Git v2.13.0 及之后的版本移至强化的 SHA-1 默认实现，不易受到 SHAttered 的影响 攻击。

因此，Git 实际上已经迁移到不是 SHA-1 的新哈希 并且不分享它的漏洞，它的新哈希函数只是 恰好为所有已知输入产生完全相同的输出， 除了 SHAttered 研究人员发布的两份 PDF 文件和新的 实现（由那些研究人员编写）声称检测未来 密码分析碰撞攻击。

无论如何，谨慎的做法是跳过 SHA-1 的任何变体 到一个新的哈希。不能保证未来对 SHA-1 的攻击不会 将来发布，这些攻击可能不可行 缓解措施。

如果要真正破坏 SHA-1 及其变体，Git 的哈希函数 不能再被认为是加密安全的。这个会 影响哈希值的通信，因为我们无法信任 给定的哈希值代表已知的好版本内容 说话者的意图。

注意：同一份文档现在（2018 年第三季度，Git 2.19）明确将 “新哈希”引用为 SHA-256：请参阅“Why doesn't Git use more modern SHA?”。

Answer 9

我最近在 BSD 讨论组中发现了 2013-04-29 的帖子

http://openbsd-archive.7691.n7.nabble.com/Why-does-OpenBSD-use-CVS-td226952.html

发帖人声称的地方：

我曾经遇到过一次哈希冲突，使用 git rebase。

不幸的是，他没有为他的主张提供任何证据。但也许你想尝试联系他并询问他关于这个假定的事件。

但在更一般的层面上，由于生日攻击，SHA-1 哈希冲突的机会是 1 in pow(2, 80)。

这听起来很多，而且肯定比世界上所有 Git 存储库中存在的单个文件版本的总和还要多。

但是，这仅适用于实际保留在版本历史记录中的版本。

如果开发人员非常依赖 rebase，则每次为分支运行 rebase 时，该分支的所有版本（或分支的 rebase 部分）中的所有提交都会获得新的哈希值。每个使用“git filter-branch”修改的文件也是如此。因此，“rebase”和“filter-branch”可能是随时间生成的散列数量的大乘数，即使它们实际上并没有被保留：经常，在变基之后（特别是为了“清理”一个分支)，原来的分支被扔掉了。

但如果在 rebase 或 filter-branch 期间发生冲突，它仍然会产生不利影响。

另一件事是估计 git 存储库中散列实体的总数，并查看它们与 pow(2, 80) 的距离。

假设我们有大约 80 亿人，他们都将运行 git，并将他们的东西保存在每人 100 个 git 存储库中。让我们进一步假设平均存储库有 100 个提交和 10 个文件，每次提交只有一个文件更改。

对于每个修订，我们至少有一个树对象和提交对象本身的哈希。加上更改后的文件，每个修订版有 3 个哈希值，因此每个存储库有 300 个哈希值。

对于 80 亿人的 100 个存储库，这给出的 pow(2, 47) 与 pow(2, 80) 相差甚远。

但是，这不包括上面提到的假设乘法效应，因为我不确定如何将它包括在这个估计中。也许它可以大大增加发生碰撞的机会。尤其是如果许多人对具有较长提交历史的非常大的存储库（如 Linux 内核）进行了重新调整以进行小的更改，但仍会为所有受影响的提交创建不同的哈希值。