ศูนย์ประสานการรักษาความมั่นคงปลอดภัยไซเบอร์ ด้านความมั่นคงของรัฐฝ่ายพลเรือน

ภาพรวมแท็กนี้

1 ข่าว

งานวิจัยเผย commit ที่ GitHub ขึ้นตรา 'Verified' ถูกเขียนใหม่ให้มีแฮชต่างได้โดยลายเซ็นยังถูกต้อง

GitHub Verified commits can be rewritten into new hashes without breaking signatures
นาย Jacob Ginesin นักวิจัยจาก Carnegie Mellon และ Cure53 เผยงานวิจัยว่าแฮชของ Git commit ที่เซ็นชื่อแล้วไม่ได้ไม่ซ้ำใครอย่างที่หลายระบบเข้าใจ ผู้ที่ไม่มีคีย์เซ็นสามารถสร้าง commit ใหม่ที่มีไฟล์ ผู้เขียน และวันที่เหมือนเดิมพร้อมลายเซ็นถูกต้อง โดย GitHub ยังขึ้นตรา Verified แต่แฮชต่างออกไป ต้นตอคือ signature malleability ที่เขียนลายเซ็นใหม่ได้หลายรูปแบบโดยโค้ดไม่เปลี่ยน กระทบระบบ blocklist, provenance log และ reproducible build ที่ยึดแฮช ไม่มี CVE และการแก้ต้องทำที่ฝั่ง forge