Según enlace y enlace puede tener dos objetos que generan la misma suma de comprobación SHA-1. Supongo que esto también afecta a la generación de claves.
Hay una manera en que un proyecto que está comenzando y usando git podría hacer para asegurarse de que usa SHA-256 desde el principio en lugar de confiar en SHA-1. Si es así, ¿cómo?
Comentarios, todas las observaciones son bienvenidas.
El problema con SHA-1 no es un problema a menos que esté tratando de generar dos datos que chocan con SHA-1. Esto es muy diferente a generar un SHA-1 que colisiona con un SHA-1 existente, que es lo que deberías hacer para comprometer sourceforge o github. Esta es una diferencia estadística que se describe mejor con el ataque de cumpleaños ( enlace ).
En un proyecto nuevo, es bastante fácil no usar sha-1: simplemente no uses sha-1. En la mayoría de los casos, las llamadas a la biblioteca serán bastante explícitas, pero solo asegúrese de leer la documentación cada vez que esté haciendo un trabajo criptográfico. Los lugares comunes en los que aparece es el hashing de contraseña (consulte cómo almacenar una contraseña ) y hmac.
Has mencionado que también estás preocupado por git. No hay nada que puedas hacer aquí, porque git no proporciona un algoritmo hash conectable o configurable. Solo debe seguir usando git como de costumbre y esperar la migración final en una actualización.
Lea otras preguntas en las etiquetas sha sha256 opensource debian