预防Git档案冲突，GitHub新增了SHA-1加密碰撞侦测机制

一个月前，Google成功地破解了SHA-1加密杂凑函数，并实作出不同文件相同杂凑值的碰撞攻击，这不只引发对SHA-1加密可靠性的担忧，也因Git大量仰赖SHA-1来建立档案索引，全球最大开源专案代管平台GitHub今天宣布，将增加SHA-1加密碰撞的自动侦测和预防的功能，避免所有代管专案发生档案杂凑值重复的情况。GitHub表示，日后所有Github上任何SHA-1运算，都会进行检测，只要发现会产生碰撞，就会自动中止，来防止攻击者使用GitHub做为碰撞攻击的平台。

GitHub上注册的开发者人数超过9百万人，代管了2千万个函式库的原始程式，一旦遭遇SHA-1碰撞攻击，将影响全球庞大开发者。除了阻挡SHA-1碰撞发生之外，GitHub也和Git专案合作，将碰撞检测函式库加入Git，未来，Git计划从SHA-1转移到另一个更安全的加密算法，GitHub表示，一旦推出也会立即套用到GitHub专案上。

SHA-1安全杂凑算法会对档案计算，得到专属的杂凑值，以往，只要档案不同，对应的杂凑值就会不一样，就像赋予每个档案专属的数位签章。不过，前阵子Google实现了让两个不同的档案产生完全一样的杂凑值。当时Google就警告，大量仰赖SHA-1的Git版本控制软件很有可能发生杂凑值碰撞的情况。Google也开源释出了检测工具供开发者自行利用。