Xem bản thử nghiệm

Cha đẻ của Linux tuyên bố: "SHA-1 và Git chưa chết được đâu"

Nguyễn Hải , Theo Trí Thức Trẻ

Dù Google tuyên bố họ đã bẻ khóa được hàm băm SHA-1, nhưng với Linus Torvalds, điều đó chưa phải dấu chấm hết cho hàm băm này cũng như kho lưu trữ Git.

Tuần trước, Google thông báo một tin tức có thể làm rất nhiều người phải lo lắng, mã hóa SHA-1, lớp bảo vệ cho hầu hết thế giới Internet hiện tại, đã bị họ bẻ khóa thành công bằng một tài liệu dài đã được đăng ký và cấp chứng nhận.

Nếu bạn là một lập trình viên, tin tức này có thể làm bạn lo lắng hơn khi Hệ thống Quản lý Phiên bản phân tán Git, đang dựa vào lớp mã hóa HAS-1 để bảo vệ kho lưu trữ các dòng code mã nguồn mở lớn nhất thế giới này. Tuy nhiên, theo Linus Torvalds, cha đẻ của Linux và Git, chưa có bất kỳ mối nguy hiểm nào có thể tác động đến bạn.

Linus và các nhà phát triển nhân Linux khác đã tạo ra Git vào năm 2005 như một hệ thống quản lý các phiên bản phân phối của Linux. Nó cũng được sử dụng bởi hàng loạt các công ty lớn, bao gồm cả Facebook, Google và Twitter, để quản lý các code base của họ. Ngay cả Microsoft cũng sử dụng GitHub. Thậm chí, Microsoft còn còn nhiều nhà phát triển mã nguồn mở trên GitHub hơn bất cứ công ty nào khác.

Như vậy nói một cách ngắn gọn, việc xem Git như một hệ thống quản lý các phiên bản code quan trọng nhất là điều không phải bàn cãi. Do vậy, về cơ bản sẽ thật là một tin tồi tệ nếu hệ thống này có thể bị tổn thương do hack.

Tuy nhiên, Torvalds lại không nghĩ rằng Git dễ bị ảnh hưởng bởi những cuộc tấn công như vậy. Dưới đây là lý do tại sao ông tin tưởng nhận định của mình đến vậy.

- Đầu tiên: Có một sự khác biệt lớn giữa việc sử dụng hàm băm mật mã cho những thứ như chữ ký bảo mật, với sử dụng hàm băm để sản sinh ra một “bộ nhận diện nội dung” cho hệ thống lập địa chỉ nội dung như Git. Với cách quản lý dữ liệu phân tán như Git, cuộc tấn công dù diễn ra cũng khó có thể thay đổi toàn bộ cơ sở dữ liệu đã được lưu trữ.

- Thứ hai: bản chất đặc biệt của cuộc tấn công SHA-1 này cũng nghĩa là rất dễ thực hiện các biện pháp giảm nhẹ để chống lại nó, và hiện đã có đến hai bộ bản vá được đăng lên với mục đích giảm nhẹ cuộc tấn công này.

- Cuối cùng, thế giới Internet đang thực sự chuyển dịch một cách hợp lý sang các hàm băm khác, mà không làm phá hủy thế giới – hay phá vỡ kho lưu trữ Git. Nên việc Google phá vỡ hàm băm mã hóa này không tác động nhiều đến quá trình chuyển dịch đó.


Cuộc tấn công va chạm SHAttered bẻ khóa hàm băm mã hóa SHA-1.

Cuộc tấn công va chạm SHAttered bẻ khóa hàm băm mã hóa SHA-1.

Bạn vẫn còn lo lắng ư? Hãy yên tâm.

Torvalds nói tiếp: “Bạn sử dụng Git để quản lý các nguồn tài nguyên, ví dụ trong nhân kernel, thứ bạn thực sự quan tâm là mã nguồn của nó, vốn là một phương tiện rất sáng sủa. Nếu ai đó chèn ngẫu nhiên một đoạn code kỳ lạ vào giữa mã nguồn của bạn, bạn chắc chắn sẽ được thông báo về nó. … Vì vậy, về cơ bản, nếu dữ liệu bạn thực sự quan tâm là loại mã nguồn sáng sủa, khả năng nó bị tấn công sẽ được hạn chế rất nhiều ngay từ đầu. Bạn sẽ thấy được cuộc tấn công. Và nó sẽ không thể âm thầm chuyển đổi dữ liệu ngay dưới mắt bạn.”

Trong ghi chú gửi tới các nhà phát triển Git, Torvalds đã tóm tắt một số vấn đề của SHA-1 và Git với hai câu hỏi đơn giản: “Chúng ta có muốn di chuyển sang một hàm băm khác không? Có. Liệu có phải “trò chơi đã kết thúc” đối với SHA-1 như mọi người đang nói hay không? Có thể không.”

Cuối cùng Torvalds cho biết, Git sẽ không dùng SHA-1 nữa. Nhưng, “nó không giống như điều gì đó khó chịu, thậm chí bạn còn không phải chuyển đổi kho lưu trữ của mình. Có rất nhiều chi tiết cho điều này, và nó sẽ mất nhiều thời gian, nhưng bởi vì các vấn đề trên, nó sẽ không nghiêm trọng giống như câu nói “điều này sẽ phải diễn ra bây giờ vì lý do an ninh.”

Theo ZDnet

Bình luận

NỔI BẬT TRANG CHỦ