Fue recientemente revelado que el algoritmo hash SHA-1 se ha roto
Se detallan varias áreas afectadas, como por ejemplo git y firma de documentos. Una cosa que no se menciona es la verificación de la integridad de la aplicación.
Una aplicación que usa SHA-1 para esto es GnuPG . A pesar de que recomiendan usar una versión anterior de gnupg para verificar, el hash SHA-1 se usa en caso de nuevas instalaciones.
Estoy preguntando cuál es el riesgo de que existan instalaciones de gnupg comprometidas en la naturaleza. Con, por ejemplo, puertas traseras programadas en.
En las publicaciones del blog se menciona que en la práctica no se han visto casos de este pirateo, pero ¿no sería posible que organizaciones más grandes hayan estado trabajando en esto antes del plazo de 2 años como lo han hecho los investigadores, y Por lo tanto, reveló esta falla de seguridad antes?