Check your checksums – SHA1 wurde entwertet

Heise berichtet:

In einer Kooperation zwischen der CWI Amsterdam und Google gelang es, dem bereits angeschlagenen Hash-Verfahren SHA-1 mit einer echten Kollision den praktischen Todesstoß zu versetzen.

Das SHA1-Verfahren wird u.a. von OPUS zur Berechnung von Prüfsummen für Dateien eingesetzt (wie hier zum Beispiel). Da es nun gelang, zwei unterschiedliche PDF-Dateien mit demselben SHA1-Wert zu erzeugen, ist das Verfahren faktisch wertlos. OPUS ist hier nur ein Beispiel, SHA1 wird vielerorts eingesetzt.

OPUS4 bald auf Github

Der Entwicklung Githubs zur maßgeblichen Anlaufstelle für Open-Source-Projekte kann man durchaus kritisch gegenüberstehen. Fakt ist aber, dass ein Umzug zu Github erst einmal für Strukturen sorgt, in denen man sich leicht beteiligen kann. Projekte werden dadurch transparenter und auch das Melden (und Nachverfolgen) von Fehlern und Vorschlägen lässt sich deutlich besser nachvollziehen; der Aufbau einer Community wird dann oft erst möglich.

Eben jenen Schritt in die “echte” Öffentlichkeit wagt nun das OPUS4-Team mit diversen Github-Repositories und einer dazugehörigen Dokumentationswebseite.