git sha1のコミットハッシュを公開することに危険はありますか？

説明したように there 、SHA-1ハッシュは、コミットを含む保存されたオブジェクトの識別子です。これらはオブジェクトの内容から決定論的に計算されます。そこには秘密はありません。 SHA-1は名目上は一方向ですが、理論的には理論的にはオブジェクトの内容を推測したい攻撃者が検証彼の推測が正しいかどうか。これには、タイムスタンプやその他の同様のものを含め、最後のビットまで正確にを推測する必要があります。

オブジェクトにブルートフォース可能な秘密データが含まれている場合（例：パスワード、 辞書攻撃 の対象）、攻撃者はSHAを使用する可能性がありますテストとして-1ハッシュ。他のすべてを適切に推測することを条件とするため、これは難しいように見えますが、可能性はあります。したがって、ifコミットにそのような秘密データが含まれている場合、ハッシュ値を変更するのは正しいことですが、その場合は変更しないでくださいわずかに。これは、攻撃者にとって、準一致はハッシュ値の完全一致と同じくらい優れているためです。ハッシュ値を完全に変更します。それぞれを40個のランダムな16進文字のシーケンスで置き換えます。

ハッシュ値を知っていても、攻撃者に他の追加の権限を与えることはありません。特に、彼らは彼にリポジトリへのアクセス権を与えていません。