署名の可変性を悪用し、攻撃者が検証済みGitHubコミットの複製を生成可能に
攻撃者はGitのコミット署名フォーマットにおける署名の可変性(signature malleability)を悪用することで、「検証済み(Verified)」とされたGitHubコミットを密かに複製できます。内容は同一でありながらバイト単位では異なるコミットを作成し、有効な署名を保持したまま、新しいハッシュ値のもとで
攻撃者はGitのコミット署名フォーマットにおける署名の可変性(signature malleability)を悪用することで、「検証済み(Verified)」とされたGitHubコミットを密かに複製できます。内容は同一でありながらバイト単位では異なるコミットを作成し、有効な署名を保持したまま、新しいハッシュ値のもとで
新たに発表された研究論文により、GitHubの「Verified」バッジはコミットハッシュが署名済みコンテンツを一意に識別することを保証しないことが明らかになりました。この事実は、ソフトウェアサプライチェーン全体でハッシュベースのセキュリティ制御を支えてきた根本的な前提を揺るがすものです。 Jacob Ginesin