Google 與 CWI Institute 合作演示了對 SHA-1 的碰撞攻擊，公布了兩個(gè) SHA-1 哈希值相同但內(nèi)容不同的PDF 文件。這一消息在 Git 社區(qū)引發(fā)了 Git 對象碰撞攻擊可能性。Git 作者 Linus Torvalds 對此回應(yīng)稱 Git 不用擔(dān)憂 SHA-1 碰撞攻擊。

      他解釋說，git 不只是哈希數(shù)據(jù)，還預(yù)留一個(gè)類型/長度字段，增加了碰撞攻擊的難度，相比之下 pdf 文件使用了一個(gè)固定的頭，為了實(shí)現(xiàn)相同的哈希值攻擊者可以在里面加入任意的靜默數(shù)據(jù)。所以 pdf 文件的不透明數(shù)據(jù)格式使其更容易成為攻擊目標(biāo)。git 也有不透明數(shù)據(jù)能，但都屬于次要的。他表示，git 可以很容易加入額外的完備性檢查抵抗碰撞攻擊，它并不面臨迫在眉睫的危險(xiǎn)。