最新研究表明,由于GPG签名机制中的签名可塑性,GitHub的“已验证”提交并非唯一。攻击者无需私钥即可生成语义相同但哈希值不同的有效签名提交,这种现象被称为“哈希链可塑性”。该发现打破了提交哈希唯一标识签名内容的假设,可能危及依赖哈希进行锁定和事件响应的供应链安全工具,影响ECDSA、RSA和EdDSA等签名方案。
背景
Git依赖加密哈希来唯一标识提交,许多安全工具假设已验证的提交哈希能保证签名内容的完整性和唯一性。这项研究通过展示签名格式如何允许同一逻辑提交存在多种有效的字节级表示,挑战了这一基础假设。
- 来源
- Lobsters
- 发布时间
- 2026年7月8日 05:14
- 评分
- 9.0 / 10