Google 與 CWI Institute 合作演示了對 SHA-1 的碰撞攻擊,公布了兩個 SHA-1 哈希值相同但內容不同的PDF 文件。這一消息在 Git 社區(qū)引發(fā)了 Git 對象碰撞攻擊可能性。Git 作者 Linus Torvalds 對此回應稱 Git 不用擔憂 SHA-1 碰撞攻擊。
他解釋說,git 不只是哈希數據,還預留一個類型/長度字段,增加了碰撞攻擊的難度,相比之下 pdf 文件使用了一個固定的頭,為了實現相同的哈希值攻擊者可以在里面加入任意的靜默數據。所以 pdf 文件的不透明數據格式使其更容易成為攻擊目標。git 也有不透明數據能,但都屬于次要的。他表示,git 可以很容易加入額外的完備性檢查抵抗碰撞攻擊,它并不面臨迫在眉睫的危險。