งานวิจัยเผย commit ที่ GitHub ขึ้นตรา 'Verified' ถูกเขียนใหม่ให้มีแฮชต่างได้โดยลายเซ็นยังถูกต้อง

นาย Jacob Ginesin นักวิจัยจาก Carnegie Mellon และ Cure53 เผยงานวิจัยว่าแฮชของ Git commit ที่เซ็นชื่อแล้วไม่ได้ไม่ซ้ำใครอย่างที่หลายระบบเข้าใจ ผู้ที่ไม่มีคีย์เซ็นสามารถสร้าง commit ใหม่ที่มีไฟล์ ผู้เขียน และวันที่เหมือนเดิมพร้อมลายเซ็นถูกต้อง โดย GitHub ยังขึ้นตรา Verified แต่แฮชต่างออกไป ต้นตอคือ signature malleability ที่เขียนลายเซ็นใหม่ได้หลายรูปแบบโดยโค้ดไม่เปลี่ยน กระทบระบบ blocklist, provenance log และ reproducible build ที่ยึดแฮช ไม่มี CVE และการแก้ต้องทำที่ฝั่ง forge
