In der letzten Episode des Risikozone-Podcasts habe ich ganz kurz das Thema der verkürzten Hashwerte und auftretenden Kollisionen angesprochen. Jetzt gibt es ein Proof of Concept zu der Thematik.

Worum es geht

Ein kurzer Refresher, worum es in der Thematik überhaupt geht: Als Git entwickelt wurde, musste ein Weg gefunden werden, wie man die Referenzen auf Commits, die Dateien und die Dateibäume realisiert. In vielen Systemen wie z. B. Issue-Trackern werden aufsteigende Indizes verwendet. In einem verteilten System wie Git ist das aus verschiedenen Gründen der Synchronisation nicht so einfach möglich, da sonst Kollisionen, also gleiche IDs für unterschiedliche Objekte entstehen könnten. Eine Alternative wäre UUIDs, da die IDs einen randomisierten Anteil haben und die Wahrscheinlichkeit für Kollisionen gesenkt wird.

Noch besser als UUIDs ist allerdings Content-adressable Storage, bei dem Inhalte einzig durch ihren Inhalt adressiert werden. Das ist so, als würde man den gesamten Inhalt der Datei nochmal in den Dateinamen schreiben. Der Clou dabei ist jedoch, dass der gesamten Dateiinhalt gar nicht in den Dateinamen geschrieben werden muss, um die Datei durch ihren Inhalt identifizierbar zu machen.

Mit kryptographischen Hashfunktionen wie SHA-1 oder SHA-256 existiert ein Mittel, um einen beliebig langen Dateiinhalt zu einem immer gleich langen Wert, dem Hash, umzuwandeln. Dabei sind kryptographische Hashfunktionen so konstruiert, dass die Wahrscheinlichkeit für Kollisionen durch verschiedene Mechanismen stark minimiert wird. Ein SHA-1-Hash für den Dateiinhalt "Hallo Welt" wäre z. B. 28cbbc72d6a52617a7abbfff6756d04bbad0106a. Ein netter Nebeneffekt ist, dass Dateien mit gleichem Inhalt im Content-adressable Storage auch nur einmal abgespeichert werden, wodurch sogar Deduplikation ermöglicht wird.

Git nutzt dieses Verfahren, um die eingechekten Dateien abzuspeichern. Diese Dateien werden dann in Trees zusammengebunden und in Commits mit den jeweiligen Vorgänger-Commits (parents) in einem sog. Merkle-Tree verheiratet.

Commits werden somit auch durch einen SHA-1-Hash identifiziert, der im hexadezimalen Format 40 Zeichen lang ist.

Das Problem

Das Problem bei dem Verfahren liegt jetzt darin, dass dieser Hash üblicherweise noch weiter abgekürzt wird, um ihn benutzerfreundlicher in Oberflächen oder E-Mails darzustellen. Damit wird natürlich die Wahrscheinlichkeit für Kollisionen erhöht.

Habe ich einen Hash 28cbbc72d6a52617a7abbfff6756d04bbad0106a und nutze nur 28cbbc zur Referenz, reicht das in den meisten kleinen Repositories aus, um einen Commit eindeutig zu referenzieren. In großen Repositories mit vielen Dateien und Commits kann es auf einmal passieren, dass ein weiterer Commit 28cbbcc00aa8ef4e80596c16ecfdb4bc92656cd3 auftaucht, sodass 28cbbc nicht mehr eindeutig einen Commit beschreibt.

Um das Risiko zu verringern, sollte die Mindestanzahl der Zeichen für einen abgekürzten Commit erhöht werden.

Das Kernel-Repository

Genau darum geht es in der aktuellen Diskussion. Aktuell nutzen die Linux-Entwickler zur Referenz von Commits in ihren E-Mails 12 Zeichen lange Hashes. Die Diskussion dreht sich um die Frage, ob die Zahl weiter erhöht werden sollte. Linus Torvalds ist bisher dagegen, weil er das Risiko für Kollisionen gering sieht und er die Position vertritt, dass ein Commit immer mit dem Commit Message Title angegeben werden sollte, was ungewollte Kollisionen ausreichend verhindere.

Gestern veröffentlichte Kees Cook einen Blogpost, indem er eine Commit-Kollision mit dem Werkzeug lucky-commit bewusst herbeiführte, um darauf aufmerksam zu machen, dass die Git- und Kernel-Entwicklungstools mit solchen Situationen klarkommen sollten. Es ist unwahrscheinlich, dass solche Kollisionen bei 12 Zeichen versehentlich entstehen, aber ein Angreifer könnte dies ausnutzen.

Dies sollte ein Apell an alle Entwickler sein, deren Tooling auf abgekürzte Commit-Hashes setzt. Schauen wir mal, wie sich das weiterentwickelt.

Ein Kommentar zu SHA-1

Abschließend ein Kommentar noch zu SHA-1. Wie viele von euch wissen, ist SHA-1 selbst nicht mehr vertretbar kollisionssicher. Das bedeutet, es kann passieren, dass auf einmal zwei Dateiinhalte sich doch den gleichen Hash teilen könnten, wenn ein Angreifer es drauf anlegt.

Da dies natürlich Git massiv stören könnte, gibt es schon Bestrebungen, das Verfahren auf SHA-2 zu aktualisieren, wodurch sich die Hashlänge auch vergrößert. Das ist aber gar nicht so einfach, da SHA-1 an vielen Stellen in die Struktur eines Git-Repos hartkodiert wurde.

Hier geht es aber nicht um das unsichere SHA-1. Durch die Abkürzung des Hashes von 40 auf 12 Zeichen wird die Kollisionssicherheit bewusst und massiv zugunsten der Benutzerfreundlichkeit geschwächt. Und das erfordert immer eine regelmäßige Evaluation, welches Niveau noch vertretbar ist.

Die Linux-Distribution siduction ist in der Version 2024.1.0 erschienen. Sie basiert auf Debian Sid (Unstable) und bringt aktuelle Technologien und Desktop-Umgebungen. Die Veröffentlichung trägt den Namen „Shine on…“ und nutzt den Linux-Kernel 6.12 LTS. Mit dabei sind KDE Plasma 6.2, das kürzlich veröffentlichte Xfce 4.20 sowie LXQt 2.1. Die Entwickler haben jedoch die experimentelle Wayland-Sitzung […]

Der Beitrag Rolling Debian Fork: siduction 2024.1.0 veröffentlicht erschien zuerst auf fosstopia.

Der Schweizer Messenger Threema hat eine neue Desktop-App vorgestellt. Die Software bietet erstmals echte Multi-Device-Funktionalität ohne gekoppeltes Smartphone. Zudem wurde die Benutzeroberfläche komplett überarbeitet. Die Beta-Version ist bereits für Nutzer verfügbar und erlaubt Verbindungen zu bis zu zwei Computern. Die neue Desktop-App basiert auf einer völlig neuen Architektur. Wie die bisherigen Apps von Threema ist […]

Der Beitrag Threema: Neue Desktop-App mit Multi-Device-Unterstützung erschien zuerst auf fosstopia.

Ein neues Malware-Rootkit namens Pumakit wurde kürzlich entdeckt und stellt eine Bedrohung für Linux-Systeme dar. Es nutzt fortschrittliche Verschleierungsmethoden, um sich unbemerkt auf betroffenen Systemen zu verstecken. Aktuell betrifft die Schadsoftware ausschließlich Linux Kernel Versionen älter als 5.7. Das Sicherheitsunternehmen Elastic identifizierte Pumakit im September, nachdem ein verdächtiges Binary von „cron“ auf VirusTotal hochgeladen wurde. […]

Der Beitrag Neuer Linux-Rootkit „Pumakit“ entdeckt: Das musst Du wissen erschien zuerst auf fosstopia.

Mit diesem Artikel möchte ich meine Nextcloud-Serie schließen. Um die installierte Cloud nun noch mit einer Videokonferenz-Funktion zu erweitern, möchte ich heute zeigen, wie man einen TURN-Server auf das bestehende System aufsetzt. Dies hatte ich im Mai diesen Jahres im Artikel „Coturn TURN-Server für Nextcloud Talk“ zwar schon erklärt, aber es gehört aus meiner Sicht einfach in diese Artikelserie hinein.

Installation

Ein TURN-Server wird von Nextcloud Talk benötigt, um Videokonferenzen zu ermöglichen. Der TURN-Server bringt die Teilnehmer, welche sich in verschiedenen Netzwerken befinden, zusammen. Nur so ist eine reibungslose Verbindung unter den Gesprächspartnern in Nextcloud Talk möglich.

Wer bisher meinen Anleitungen zur Installation von Nextcloud auf dem Raspberry Pi gefolgt ist, kann nun die eigene Cloud für Videokonferenzen fit machen. Zu bedenken gilt aber, dass ein eigener TURN-Server nur bis maximal 6 Teilnehmer Sinn macht. Wer Konferenzen mit mehr Teilnehmern plant, muss zusätzlich einen Signaling-Server integrieren.

Nun zur Installation des TURN-Servers. Zuerst installiert man den Server mit

sudo apt install coturn

und kommentiert folgende Zeile, wie nachfolgend zu sehen in /etc/default/coturn aus.

sudo nano /etc/default/coturn

Dabei wird der Server im System aktiviert.

#
# Uncomment it if you want to have the turnserver running as
# an automatic system service daemon
#
TURNSERVER_ENABLED=1

Nun legt man die Konfigurationsdatei zum TURN-Server mit folgendem Inhalt an.

sudo nano /etc/turnserver.conf

listening-port=5349
fingerprint
lt-cred-mech
use-auth-secret
static-auth-secret=geheimespasswort
realm=cloud.domain.tld
total-quota=100
bps-capacity=0
stale-nonce
no-loopback-peers
no-multicast-peers

Hier werden u.a. der Port und das Passwort des Servers sowie die Domain der Cloud eingetragen. Natürlich muss hier noch der Port im Router freigegeben werden. Ein starkes Passwort wird nach belieben vergeben.

Hierbei kann das Terminal hilfreich sein. Der folgende Befehl generiert z.B. ein Passwort mit 24 Zeichen.

gpg --gen-random --armor 1 24

Jetzt wird der Server in den Verwaltungseinstellungen als STUN- und TURN-Server inkl. Listening-Port sowie Passwort eingetragen.

Damit der TURN-Server nach einem Reboot auch zuverlässig startet, müssen ein paar Einstellungen am Service vorgenommen werden. Mit

sudo systemctl edit coturn.service

wird der Service des Servers editiert. Folgender Eintrag wird zwischen die Kommentare gesetzt:

### Editing /etc/systemd/system/coturn.service.d/override.conf
### Anything between here and the comment below will become the new contents of the file

[Service]
ExecStartPre=/bin/sleep 30

### Lines below this comment will be discarded

### /lib/systemd/system/coturn.service

Dies ermöglicht den TURN-Server (auch nach einem Upgrade) mit einer Verzögerung von 30 Sekunden zu starten.

Zum Schluss wird der Service neu gestartet.

sudo service coturn restart

Ein Check zeigt, ob der TURN-Server funktioniert. Hierzu klickt man auf das Symbol neben dem Papierkorb in der Rubrik TURN-Server der Nextcloud. Wenn alles perfekt läuft ist, wird im Screenshot, ein grünes Häkchen sichtbar.

Damit endet die Artikelserie Nextcloud auf dem RasPi. Viel Spaß beim Nachbauen!

2024 war ein Jahr voller spannender Entwicklungen und Jubiläen in der LinuxWelt. Von neuen Distributionen bis zu beeindruckenden Meilensteinen bei Softwareprojekten gab es viel zu entdecken. Hier sind einige Highlights. Meilensteine und Neuerscheinungen Folgende Meilensteine und Neuerungen möchte ich kurz und knackig hervorheben: Marktanteile und Entwicklungen Im März erreichte Linux mit einem Marktanteil von 4 […]

Der Beitrag Jahresrückblick: Das war das Linux Jahr 2024 erschien zuerst auf fosstopia.

Die Document Foundation hat die allgemeine Verfügbarkeit von LibreOffice 24.8.4 angekündigt. Es ist die vierte Wartungsversion der LibreOffice-24.8-Serie und behebt über 50 gemeldete Fehler. Fünf Wochen nach Version 24.8.3 zielt dieses Update auf die Verbesserung der Stabilität und Zuverlässigkeit ab. Die behobenen Fehler umfassen Abstürze und weitere Probleme, die von Nutzern gemeldet wurden. Insgesamt behebt […]

Der Beitrag LibreOffice 24.8.4 erschienen erschien zuerst auf fosstopia.

Das Fedora Projekt und das Asahi-Linux Projekt haben zusammen die Verfügbarkeit von Fedora Asahi Remix 41 angekündigt. Die neue Version wurde speziell für Apple-Silicon-Macs entwickelt. Die Distribution basiert auf Fedora Linux 41 und nutzt standardmäßig KDE Plasma 6.2. Neu ist die Integration von x86/x86-64-Emulation, inklusive Unterstützung für AAA-Spiele dank des neuen Vulkan-1.4-Treibers. Fedora Asahi Remix […]

Der Beitrag Fedora Asahi Remix 41 für Apple Silicon Macs veröffentlicht erschien zuerst auf fosstopia.

Die an Sicherheitsexperten und Pentester gerichtete Distribution offeriert kurz vor Weihnachten zahlreiche Neuerungen.

Die an Sicherheitsexperten und Pentester gerichtete Distribution offeriert kurz vor Weihnachten zahlreiche Neuerungen.

Kali Linux ist eine der etablierten Distributionen für Pentesting, digitale Forensik und ethisches Hacking. Ab der jetzt veröffentlichten v2024.4 werden keine Abbilder mit 32-Bit mehr erstellt.

Quelle

Die nun veröffentlichte neue Xfce 4.20 Version bringt zahlreiche Verbesserungen und Funktionen für den Linux-Desktop. Zu den Highlights zählen experimentelle Wayland-Unterstützung, bessere HiDPI-Anpassung und eine neue Bibliothek zur vereinheitlichten Fensterverwaltung. Wayland-Sitzungen können mit dem Befehl `startxfce4 –wayland` gestartet werden. Allerdings laufen einige Xfce-Komponenten wie Xfwm4 und Xfce4-Screensaver noch nicht unter Wayland. Die Entwickler planen, Wayland […]

Der Beitrag Xfce 4.20 ist fertig: Bald verfügbar erschien zuerst auf fosstopia.

Die neue CentOS-Stream-Version frischt im Wesentlichen die Software auf, steigt aber auch auf Wayland und Flatpak um.

Die neue CentOS-Stream-Version frischt im Wesentlichen die Software auf, steigt aber auch auf Wayland und Flatpak um.

Der COSMIC-Desktop von System76, entwickelt in der Programmiersprache Rust, sorgt aktuell für Aufsehen in der Open-Source-Welt. Obwohl es sich noch in der Alpha-Phase (Version 4) befindet, ist die allgemein Begeisterung groß. Logisch, nicht alle Tage entsteht ein neuer Linux Desktop. COSMIC überzeugt durch innovative Funktionen und einen modernen Ansatz. Fedora, bekannt für seine führende Rolle […]

Der Beitrag COSMIC Desktop als offizieller Fedora Spin vorgeschlagen erschien zuerst auf fosstopia.

Linux Mint 22.1 -Codename “Xia”- soll Ende Dezember 2024 erscheinen. Die Beta-Version bietet einen ersten Einblick in neue Funktionen und Verbesserungen der Distribution. Ein Highlight ist die Desktop-Umgebung Cinnamon 6.4 mit zahlreichen Neuerungen. Dazu gehören ein Nachtmodus, ein überarbeitetes Standard-Design und native Dialoge. Wayland-Kompatibilität, optimierte Benachrichtigungen und vereinfachte Einstellungen für Tonüberverstärkung wurden ebenfalls integriert. Weitere […]

Der Beitrag Beta-Version von Linux Mint 22.1 “Xia” veröffentlicht erschien zuerst auf fosstopia.

Das GNOME-Projekt hat mit GNOME 46.7 das siebte Wartungsupdate der GNOME 46 „Kathmandu“ – Desktop-Umgebung veröffentlicht. Das Update bringt verschiedene Fehlerbehebungen, aktualisierte Übersetzungen und weitere Änderungen mit sich. GNOME 46.7 erscheint eineinhalb Monate nach GNOME 46.6. Es verbessert u.a. die Bedienung der Tastaturbeleuchtung in den Schnelleinstellungen. Außerdem wird standardmäßig die GPU mit eingebauten Panels als […]

Der Beitrag GNOME Shell 46.7 veröffentlicht erschien zuerst auf fosstopia.

Das GNOME-Projekt hat die Veröffentlichung von GNOME 47.2 angekündigt. Dieses Update ist die zweite Wartungsversion der GNOME 47 “Denver” Reihe und bringt zahlreiche Fehlerkorrekturen sowie Verbesserungen mit sich. Die Aktualisierung verbessert unter anderem die Barrierefreiheit für die Schnellschaltfläche zur Tastaturbeleuchtung und behebt einige Probleme in Verbindung mit NVIDIA GPUs, Cursor-Oberflächen senden korrekt Frame-Ereignisse, und KMS-Threads […]

Der Beitrag GNOME Shell 47.2 veröffentlicht erschien zuerst auf fosstopia.

Der Linux-Kernel-Entwickler Greg Kroah-Hartman hat bekannt gegeben, dass der Linux Kernel 6.12 offiziell als LTS (Long Term Support) markiert wurde. Dies bedeutet, dass die Version mindestens zwei Jahre lang mit Wartungsupdates, Sicherheitsfixes und Bugbehebungen versorgt wird. Ein wichtiger Punkt für Nutzer ist die Aufnahme von Linux 6.12 in die Liste der LTS-Kernel. Dieser Kernel wird […]

Der Beitrag Linux Kernel 6.12 wird LTS-Kernel erschien zuerst auf fosstopia.

Am 7. Dezember 2024 feierte Thunderbird sein 20-jähriges Jubiläum. Seit zwei Jahrzehnten steht der Open-Source-E-Mail-Client für Datenschutz und Vertrauen kostenlos zur Verfügung. Millionen Nutzer weltweit vertrauen auf diese Software für eine sichere digitale Kommunikation. Der Weg begann offiziell am 7. Dezember 2004 mit Thunderbird 1.0. Bereits 2003 startete das Projekt noch als Teil von Mozilla. […]

Der Beitrag Thunderbird feiert 20 Jahre erschien zuerst auf fosstopia.

System76 bringt mit der vierten Alpha-Version des COSMIC-Desktops frühen Festtagsjubel in die Linux-Welt. Es scheint, als ob Weihnachten dieses Jahr etwas früher kommt! Die neue Version des auf Rust basierenden Desktop-Environments enthält aufregende Updates, frische Features und zahlreiche Fehlerbehebungen. Damit kommt System76 dem Ziel näher, eine revolutionäre Desktop-Umgebung für Linux-Benutzer bereitzustellen. Wer Lust hat, kann […]

Der Beitrag COSMIC Desktop Alpha 4 ist hier: Das ist der Stand erschien zuerst auf fosstopia.

Die Wahl eines passenden Code-Editors ist ein essenzieller und weichenstellender Schritt für Entwickler. Zwei beliebte Optionen sind VS Code und dessen quelloffene Alternative VS Codium. Beide basieren auf der gleichen Codebasis. Jedoch haben sie unterschiedliche Ansätze, insbesondere in den Bereichen Datenschutz, Erweiterungen und Lizenzierung. Doch welche Variante passt besser zu Dir und Deinen Anforderungen? Hier […]

Der Beitrag VS Code vs. VS Codium: Welcher Code-Editor ist die bessere Wahl? erschien zuerst auf fosstopia.

Kernel-Maintainer Greg Kroah-Hartman hat den Linux-Kernel 6.12 zur neuen LTS-Version gekürt. Der LTS-Kernel erhält damit mindestens bis Dezember 2026 Bugfixes und Sicherheitsupdates.

Die neue Version der schlanken und vor allem im Container-Umfeld beliebten Distribution betreibt im Wesentlichen Softwarepflege. Zudem steht erstmals eine Fassung für Loongarch64-Systeme bereit.

Das Debian-Projekt hat das Standard-Design für die kommende Version Debian GNU/Linux 13 „Trixie“ vorgestellt. Das Design wurde von Elise Couper entworfen und trägt den Titel „Ceratopsian“. Es wird mit Debian 13 planmäßig ab Sommer 2025 verfügbar sein. Der Design-Wettbewerb für Debian 13 fand von September bis November 2024 statt. Das Design von „Ceratopsian“ wurde von […]

Der Beitrag Debian stellt Standard-Design für Debian GNU/Linux 13 „Trixie“ vor erschien zuerst auf fosstopia.