• IT-Karriere:
  • Services:

Hashfunktion: Gits langer Weg zu SHA-256

Die Entwickler des Versionskontrollsystems Git wollen und müssen von SHA-1 auf SHA-256 wechseln. Doch auch fast zwei Jahre nach ersten Plänen gibt es nur langsame Fortschritte in dieser Richtung und den Entwicklern steht noch viel Arbeit bevor.

Artikel veröffentlicht am ,
Github unterstützt die Arbeiten an der Git-Migration zu SHA-256.
Github unterstützt die Arbeiten an der Git-Migration zu SHA-256. (Bild: Github)

Seit knapp zwei Jahren gilt die Hashfunktion SHA-1 als endgültig gebrochen und davon abhängige Software-Projekte müssten auf sichere Alternativen wechseln. Ein sehr prominentes Beispiel hierfür ist das Versionskontrollsystem Git, das bereits kurz nach Bekanntwerden der SHA-1-Kollision einen Plan für den Wechsel hin zu SHA-256 fasste. Doch diese Arbeiten sind trotz einiger Fortschritte noch längst nicht abgeschlossen, wie der Github-Angestellte Brian M. Carlson auf der Konferenz Git-Merge berichtet. Die Git-Merge findet im Zuge der größeren Fosdem-Konferenz in Brüssel statt.

Stellenmarkt
  1. Omikron Data Quality GmbH, Berlin, Pforzheim
  2. Allianz Deutschland AG, Stuttgart

Dass die Umbauarbeiten trotz fast zwei Jahren Entwicklungszeit noch lange nicht beendet sind, hat einen relativ simplen Grund: Die Nutzung eines anderen Hash-Algorithmus als SHA-1 war bei Git nie vorgesehen. Das ist vor allem deshalb problematisch, weil die Software Git grundlegend um die Hashwerte herum aufgebaut ist.

Sämtliche Objekte, die Git speichert, wie die Dateien im Repository, die interne Baumstruktur, einzelne Beiträge und anderes, werden über die Hashwerte referenziert. Zusätzlich dazu ist die Länge der SHA-1-Hashwerte von 160 Bit an mehreren Stellen mit einem 20 Byte großem Array fest codiert gewesen.

Hashfunktion steht, Interoperabilität noch nicht

Die Idee, diese Arrays und überhaupt auch die Repräsentation der Hashwerte in einen generischen Objekttyp zu überführen, äußerte Carlson bereits im Jahr 2014. Und inzwischen sind diese Arbeiten laut Carlson auch weitgehend abgeschlossen. So ist Git nun in der Lage, SHA-256 für neue Objekte zu nutzen und so ein ganzes Repository auf Grundlage der neuen Hashfunktion aufzubauen, wozu auch das Repository-Format erweitert werden musste.

Golem Akademie
  1. IT-Sicherheit für Webentwickler
    31. Mai - 1. Juni 2021, online
  2. Einführung in die Programmierung mit Rust
    21.-24. September 2021, online
Weitere IT-Trainings

Darüber hinaus kann weiterhin SHA-1 verwendet werden, so dass die Git-Entwickler die beiden Implementierungen parallel zueinander testen können. Was jedoch noch fehlt, ist jede Art der Interoperabilität, die laut Carlson das eigentliche Ziel der Arbeiten ist. So sollen für Nutzer sämtliche mit dem Übergang verbundenen Störungen weitgehend minimiert werden. Ebenso sollen die alte und die neue Software weiter miteinander kommunizieren können, so dass jeder Nutzer den Zeitpunkt des Übergangs selbst wählen können soll.

Hierzu muss etwa ein neues Index-Format umgesetzt werden, das sowohl SHA-1 wie auch SHA-256 versteht und darüber die entsprechenden Objekte findet. Ebenso müssen vor allem die Befehle Fetch und Push so umgearbeitet werden, dass neue Clients diese auch auf SHA-1-Repositorys durchführen können. Dafür erhält der Client Möglichkeiten, die Hashwerte der referenzierten Objekte lokal zu übersetzen. Diese Technik wiederum kann dann auch dazu genutzt werden, die Repositorys selbst von SHA-1 auf SHA-256 zu migrieren.

Detaillierter Plan für den Übergang

Für Nutzer soll all dies zunächst hinter den Kulissen abgewickelt werden. Beim sogenannten Dark Launch wird weiter SHA-1 zur Ein- und Ausgabe verwendet, intern jedoch schon SHA-256 gesetzt, was dabei getestet werden kann. In einer folgenden, frühen Übergangsphase sollen sowohl SHA-1 als auch SHA-256 als Eingaben genutzt werden können, was die Kommunikation und Zusammenarbeit mit Personen ermöglichen soll, die noch nicht auf SHA-256 gewechselt haben.

Der erste echte Schritt des Übergangs ist es dann, nur noch SHA-256 als Ausgabe für die Objekte zu verwenden. Solange hier auf die Möglichkeit der Interoperabilität geachtet wird, seien damit verbundene Störungen wohl minimal, heißt es in dem offiziellen Plan. Letztlich sollen irgendwann nur noch Hashwerte zugelassen werden, die SHA-256 nutzen.

Wann und inwiefern einzelne Projekte diese Übergangsphasen umsetzen, bleibt diesen natürlich selbst überlassen. Als Voraussetzung dafür muss der Git-Code vor allem noch die beschriebene Interoperabilität gewährleisten können, was zurzeit eben noch nicht der Fall ist. Einen Zeitplan dafür hat Carlson nicht genannt. Bis zum vollständigen Abschied von SHA-1 wird es für Git also wohl noch etwas dauern.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. 9,99€ (Vergleichspreis 17,21€)
  2. 16,99€
  3. (u. a. Edna & Harvey: The Breakout - Anniversary Edition für 6,99€, The Daedalic Armageddon...

__destruct() 14. Feb 2019

Und es wäre bestimmt sowieso schneller, wenn sich die Länge nicht ändern würde, sondern...

arthurdont 05. Feb 2019

Witzbold. Genauso gut könnte man behaupten, daß ein A380 weniger Softwareprobleme hätte...

Peter Brülls 04. Feb 2019

Rechtschreibkorrigierte Version. Guter Vorsatz: Ich werde nicht mehr einhändig und...

RicoBrassers 04. Feb 2019

So wie ich den Post verstanden habe, baut man Git jetzt aber so flexibel um, dass eine...

schily 03. Feb 2019

SCCS ist jedenfalls schneller als git und verbraucht erheblich weniger PLattenplatz


Folgen Sie uns
       


Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme

      •  /