GitHub의 SHA-1 충돌 공격 탐지 및 대응

Source

• Evernote/Inbox/SHA-1 collision detection on GitHub.com.md

Summary

GitHub는 SHA-1 해시 함수의 첫 번째 실제 충돌 공격 사례인 ‘SHAttered’ 발표에 대응하여, GitHub.com 및 GitHub Enterprise에서 SHA-1 충돌 공격 증거가 있는 Git 객체를 탐지하고 거부하는 기능을 도입했습니다. Git은 객체 식별에 SHA-1을 사용하므로, 충돌이 발생하면 악의적인 코드가 유효한 서명(Commit/Tag)을 우회하여 삽입될 수 있는 보안 위험이 있습니다. GitHub는 Marc Stevens 등이 개발한 오픈소스 라이브러리를 활용하여 충돌 쌍의 패턴을 탐지하고 있습니다. 현재 Git 객체 자체에 대한 충돌은 아직 발견되지 않았으나, Git 프로젝트는 향후 SHA-1에서 더 안전한 해시 알고리즘으로 전환하는 작업을 진행 중이며 GitHub도 이를 지원할 예정입니다.

Key Points

• GitHub는 SHA-1 충돌 공격(SHAttered)을 방지하기 위해 충돌 증거가 있는 Git 객체의 업로드 및 호스팅을 차단함
• Git은 객체 식별에 SHA-1을 사용하며, 충돌 시 서명된 Commit/Tag가 의도하지 않은 다른 데이터(악성 코드)를 가리킬 수 있는 보안 취약점이 존재함
• 현재의 충돌 공격 기법은 계산 비용이 매우 높으며, Git 객체 헤더를 고려한 실제 Git 충돌은 아직 발생하지 않음
• GitHub는 충돌 탐지 라이브러리를 Git 프로젝트에 업스트림으로 기여했으며, Git은 장기적으로 SHA-1에서 더 안전한 해시 알고리즘으로 마이그레이션하는 계획을 수립 중임

Related

• 실용적인 HTTP Host 헤더 공격

• GitHub의 jQuery 제거 사례

• 2011년 KTH H3 개발자 컨퍼런스 Git 발표 자료

• 나쁜 인증 시도 방어하기 (1 편)

• Git과 Mercurial 비교 분석 (Google Code DVCS 도입 검토)

• 2014 년 6 월 15 일 기술 뉴스 요약

• HTTP 프로토콜 핵심 개념: 연결, 인증 및 캐싱 (Part 2)

• Authentication at Scale

• Google Cloud Platform GitHub 조직 공개

• Popular Convention on Github 프로젝트 회고

• Hacking for change at Google

• 개발자의 데이터 레이스 탐지 도구 사용 현황 (Google 사례)

• 구루의 기술뉴스: GitHub Atom 에디터 소개 (2014)

• O 2013 실험 사례 연구

• O 2013 데이터 센싱 랩: GCP와 IoT의 만남

• CPI2: 공유 컴퓨터 클러스터용 CPU 성능 격리

• Mobile Backend Starter (MBS) 개요

• AppScale: Google App Engine 호환 오픈소스 PaaS

• Google Trust Services 및 자체 루트 CA 운영 시작

• Google Maps Engine Pro: 비즈니스 데이터 시각화 도구

• 한국데이터사이언스학회 창립기념 심포지엄 개요

• Google Compute Engine GA 발표 (2013)

• 서울시 Linked Data 베타 서비스 및 관련 행사 안내 (2013)

• 구글 GKE 네트워크 기본 보안

• Google Disease Trends: An Update

• Google X Project: 문샷(Moon Shot) 접근법

• Google Glass SDK 및 GDK 해커톤 발표 (2013)

• Google Cloud Platform(GCP)의 핵심 차별점: 네트워크와 개발자 생태계

• O 2013 Data Sensing Lab: GCP와 IoT의 만남

• Earth Reader: 오픈소스 로컬 RSS 리더

• Google 검색 알고리즘 ‘Hummingbird’ 업데이트

• O)

• 구글 비교 도구 (Google Comparison Tool)

• Google Research Archive Paper 40700

• Google uProxy: P2P 인터넷 검열 우회 도구

• 버진 그룹, 세계 최대 인터넷 위성 군단 발사 계획

• Feedly, Google Reader 종료에 대비해 주요 RSS 앱들과 API 파트너십 체결

• 구글 코더(Google Coder)를 통한 라즈베리파이 웹서버 구축

• B 테스트 플랫폼화

• Google PubSubHubbub(PuSH) 허브 개선 및 Feed API 안내

• Feedly, Google Reader 대체 서비스로 제 3 자 앱 연동 지원 발표

• 구글 검색을 타이머로 활용하기

• Windows에서 Google Cloud Printing 및 프린터 공유 활성화 방법

• 구글 빅쿼리, 피어슨 상관분석 기능 추가

• Feedspot: Google Reader 대체 서비스 및 주요 기능

• GlassBattle: Google Glass 기반 배틀십 게임

• Google SyntaxNet 오픈소스 공개 및 원리

• Project Loon: Google X 의 고층 풍선을 이용한 인터넷 접근성 프로젝트

• Google Web Designer 출시 예정 (2013)

• Google Portable Native Client (PNaCl)

• Google Keep 코드 분석: Drive 및 비디오 통합 가능성

• Glassnost: Google Glass 실시간 피드백 사진 공유 앱

• Google Reader 의 몰락과 RSS 대체 서비스

• 네이버 웹문서 검색 가이드라인 공식 발표 (2013)

• 크로스 플랫폼 SSO 기술 (Cross-Platform SSO)

• Heartbeat (블로그 업데이트)

• Warmly, Vine, Google Keyboard, and More

• Fluent 2016: 불변 데이터 구조 (Immutable Data Structure)

• Google Drive 출시 시 변화 회피 심리 최소화 사례 연구

• IFTTT Feed 채널 활용 사례

• Feedly)

• Optimizing Google’s Warehouse Scale Computers: The NUMA Experience

• MIT Auto-ID Labs, ‘Cloud of Things’ 이니셔티브 발표

• Wise.io: 기업용 머신러닝 서비스 출시