SHA-1 está siendo eliminado por muchas de las principales empresas debido a las vulnerabilidades. Por ejemplo, Chrome ya no lo considera seguro para la PKI web pública.
¿Es inseguro utilizar SHA-1 para las firmas de correo electrónico de PGP?
SHA-1 está siendo eliminado por muchas de las principales empresas debido a las vulnerabilidades. Por ejemplo, Chrome ya no lo considera seguro para la PKI web pública.
¿Es inseguro utilizar SHA-1 para las firmas de correo electrónico de PGP?
Todavía no hay ataques prácticos en SHA-1. Los expertos estiman que los ataques SHA-1 comenzarán a aparecer alrededor de 2018.
Como ha señalado correctamente, empresas como Google y Microsoft ya han tomado medidas y están reemplazando SHA-1 con estándares más nuevos y más seguros:
Microsoft recomienda que los clientes y CA dejen de usar SHA-1 para aplicaciones criptográficas, incluido el uso en SSL / TLS y la firma de código. Microsoft Security Advisory 2880823 se lanzó junto con el anuncio de la política de que Microsoft dejará de reconocer la validez de los certificados basados en SHA-1 después de 2016.
La recomendación es pasar a SHA-2. Así que tendrá que reconfigurar su software PGP para usar otra función hash, pero el principio de funcionamiento básico de PGP seguirá siendo el mismo.