Abo
  • IT-Karriere:

Hashfunktion: Gits langer Weg zu SHA-256

Die Entwickler des Versionskontrollsystems Git wollen und müssen von SHA-1 auf SHA-256 wechseln. Doch auch fast zwei Jahre nach ersten Plänen gibt es nur langsame Fortschritte in dieser Richtung und den Entwicklern steht noch viel Arbeit bevor.

Artikel veröffentlicht am ,
Github unterstützt die Arbeiten an der Git-Migration zu SHA-256.
Github unterstützt die Arbeiten an der Git-Migration zu SHA-256. (Bild: Github)

Seit knapp zwei Jahren gilt die Hashfunktion SHA-1 als endgültig gebrochen und davon abhängige Software-Projekte müssten auf sichere Alternativen wechseln. Ein sehr prominentes Beispiel hierfür ist das Versionskontrollsystem Git, das bereits kurz nach Bekanntwerden der SHA-1-Kollision einen Plan für den Wechsel hin zu SHA-256 fasste. Doch diese Arbeiten sind trotz einiger Fortschritte noch längst nicht abgeschlossen, wie der Github-Angestellte Brian M. Carlson auf der Konferenz Git-Merge berichtet. Die Git-Merge findet im Zuge der größeren Fosdem-Konferenz in Brüssel statt.

Stellenmarkt
  1. Hannoversche Informationstechnologien (hannIT), Hannover
  2. Helixor Heilmittel GmbH, Rosenfeld bei Balingen

Dass die Umbauarbeiten trotz fast zwei Jahren Entwicklungszeit noch lange nicht beendet sind, hat einen relativ simplen Grund: Die Nutzung eines anderen Hash-Algorithmus als SHA-1 war bei Git nie vorgesehen. Das ist vor allem deshalb problematisch, weil die Software Git grundlegend um die Hashwerte herum aufgebaut ist.

Sämtliche Objekte, die Git speichert, wie die Dateien im Repository, die interne Baumstruktur, einzelne Beiträge und anderes, werden über die Hashwerte referenziert. Zusätzlich dazu ist die Länge der SHA-1-Hashwerte von 160 Bit an mehreren Stellen mit einem 20 Byte großem Array fest codiert gewesen.

Hashfunktion steht, Interoperabilität noch nicht

Die Idee, diese Arrays und überhaupt auch die Repräsentation der Hashwerte in einen generischen Objekttyp zu überführen, äußerte Carlson bereits im Jahr 2014. Und inzwischen sind diese Arbeiten laut Carlson auch weitgehend abgeschlossen. So ist Git nun in der Lage, SHA-256 für neue Objekte zu nutzen und so ein ganzes Repository auf Grundlage der neuen Hashfunktion aufzubauen, wozu auch das Repository-Format erweitert werden musste.

Darüber hinaus kann weiterhin SHA-1 verwendet werden, so dass die Git-Entwickler die beiden Implementierungen parallel zueinander testen können. Was jedoch noch fehlt, ist jede Art der Interoperabilität, die laut Carlson das eigentliche Ziel der Arbeiten ist. So sollen für Nutzer sämtliche mit dem Übergang verbundenen Störungen weitgehend minimiert werden. Ebenso sollen die alte und die neue Software weiter miteinander kommunizieren können, so dass jeder Nutzer den Zeitpunkt des Übergangs selbst wählen können soll.

Hierzu muss etwa ein neues Index-Format umgesetzt werden, das sowohl SHA-1 wie auch SHA-256 versteht und darüber die entsprechenden Objekte findet. Ebenso müssen vor allem die Befehle Fetch und Push so umgearbeitet werden, dass neue Clients diese auch auf SHA-1-Repositorys durchführen können. Dafür erhält der Client Möglichkeiten, die Hashwerte der referenzierten Objekte lokal zu übersetzen. Diese Technik wiederum kann dann auch dazu genutzt werden, die Repositorys selbst von SHA-1 auf SHA-256 zu migrieren.

Detaillierter Plan für den Übergang

Für Nutzer soll all dies zunächst hinter den Kulissen abgewickelt werden. Beim sogenannten Dark Launch wird weiter SHA-1 zur Ein- und Ausgabe verwendet, intern jedoch schon SHA-256 gesetzt, was dabei getestet werden kann. In einer folgenden, frühen Übergangsphase sollen sowohl SHA-1 als auch SHA-256 als Eingaben genutzt werden können, was die Kommunikation und Zusammenarbeit mit Personen ermöglichen soll, die noch nicht auf SHA-256 gewechselt haben.

Der erste echte Schritt des Übergangs ist es dann, nur noch SHA-256 als Ausgabe für die Objekte zu verwenden. Solange hier auf die Möglichkeit der Interoperabilität geachtet wird, seien damit verbundene Störungen wohl minimal, heißt es in dem offiziellen Plan. Letztlich sollen irgendwann nur noch Hashwerte zugelassen werden, die SHA-256 nutzen.

Wann und inwiefern einzelne Projekte diese Übergangsphasen umsetzen, bleibt diesen natürlich selbst überlassen. Als Voraussetzung dafür muss der Git-Code vor allem noch die beschriebene Interoperabilität gewährleisten können, was zurzeit eben noch nicht der Fall ist. Einen Zeitplan dafür hat Carlson nicht genannt. Bis zum vollständigen Abschied von SHA-1 wird es für Git also wohl noch etwas dauern.



Anzeige
Spiele-Angebote
  1. (-55%) 44,99€
  2. 32,99€
  3. 69,99€ (Release am 21. Februar 2020, mit Vorbesteller-Preisgarantie)
  4. 3,40€

__destruct() 14. Feb 2019

Und es wäre bestimmt sowieso schneller, wenn sich die Länge nicht ändern würde, sondern...

arthurdont 05. Feb 2019

Witzbold. Genauso gut könnte man behaupten, daß ein A380 weniger Softwareprobleme hätte...

Peter Brülls 04. Feb 2019

Rechtschreibkorrigierte Version. Guter Vorsatz: Ich werde nicht mehr einhändig und...

RicoBrassers 04. Feb 2019

So wie ich den Post verstanden habe, baut man Git jetzt aber so flexibel um, dass eine...

schily 03. Feb 2019

SCCS ist jedenfalls schneller als git und verbraucht erheblich weniger PLattenplatz


Folgen Sie uns
       


Philips Hue Play HDMI Sync Box angesehen

Die Philips Hue Play HDMI Sync Box ist ein HDMI-Splitter, über den Hue Sync verwendet werden kann. Im ersten Kurztest funktioniert das neue Gerät gut.

Philips Hue Play HDMI Sync Box angesehen Video aufrufen
iPad 7 im Test: Nicht nur für Einsteiger lohnenswert
iPad 7 im Test
Nicht nur für Einsteiger lohnenswert

Auch mit der siebten Version des klassischen iPads richtet sich Apple wieder an Nutzer im Einsteigersegment. Dennoch ist das Tablet sehr leistungsfähig und kommt mit Smart-Keyboard-Unterstützung. Wer ein gutes, lange unterstütztes Tablet sucht, kann sich freuen - ärgerlich sind die Preise fürs Zubehör.
Ein Test von Tobias Költzsch

  1. iPad Einschränkungen für Apples Sidecar-Funktion
  2. Apple Microsoft Office auf neuem iPad nicht mehr kostenlos nutzbar
  3. Tablet Apple bringt die 7. Generation des iPads

IT-Sicherheit: Auch kleine Netze brauchen eine Firewall
IT-Sicherheit
Auch kleine Netze brauchen eine Firewall

Unternehmen mit kleinem Geldbeutel verzichten häufig auf eine Firewall. Das sollten sie aber nicht tun, wenn ihnen die Sicherheit ihres Netzwerks wichtig ist.
Von Götz Güttich

  1. Anzeige Wo Daten wirklich sicher liegen
  2. Erasure Coding Das Ende von Raid kommt durch Mathematik
  3. Endpoint Security IT-Sicherheit ist ein Cocktail mit vielen Zutaten

Linux-Kernel: Selbst Google ist unfähig, Android zu pflegen
Linux-Kernel
Selbst Google ist unfähig, Android zu pflegen

Bisher gilt Google als positive Ausnahme von der schlechten Update-Politik im Android-Ökosystem. Doch eine aktuelle Sicherheitslücke zeigt, dass auch Google die Updates nicht im Griff hat. Das ist selbst verschuldet und könnte vermieden werden.
Ein IMHO von Sebastian Grüner

  1. Kernel Linux bekommt Unterstützung für USB 4
  2. Kernel Vorschau auf Linux 5.4 bringt viele Security-Funktionen
  3. Linux Lockdown-Patches im Kernel aufgenommen

    •  /