Actualmente no se ha demostrado completamente ninguna ruptura real que involucre SHA-1 y el uso de una debilidad estructural de SHA-1 en condiciones académicas, y mucho menos en la naturaleza.
Lo mejor que tenemos ahora es un ataque de colisión teórico que debería permitir a un atacante calcular una colisión SHA-1 con esfuerzo "aproximadamente 2 61 ", que es enorme, pero aún sustancialmente menor que la resistencia 2 80 esperada de una función hash "perfecta" con salida de 160 bits. Si bien 2 61 está al alcance de la tecnología existente, es demasiado costoso para que incluso las universidades ricas puedan disfrutar de ese tipo de experimento. Así que todavía no se ha producido ninguna colisión real. Además, para un atacante práctico, calcular una colisión rara vez otorga una gran cantidad de poder: el atacante generalmente debe calcular una colisión con cierto grado de control sobre el contenido de los mensajes en conflicto , que puede ser más difícil ( o no).
Otro parámetro es que incluso si SHA-1 es perfecto, su tamaño de salida (160 bits) implica un límite máximo a su resistencia de colisión en aproximadamente 2 80 , que es medio millón de veces 2 < sup> 61 (es bastante más caro), pero al mismo tiempo no es al final caro. Se puede visualizar un cálculo de 2 80 con la tecnología existente y los recursos disponibles en la Tierra sin necesidad de invocar algunas cosas de ciencia ficción o romper leyes de la física.
Dado que el cambio de algoritmos en aplicaciones implementadas lleva mucho tiempo (hey, todavía intentamos que las personas dejen de usar SSL 3.0 y, en cambio, vayan a TLS 1.0, más de 15 años después de TLS 1.0 fue publicado), es mejor que lo pongamos en marcha ahora, para que el SHA-1 se elimine realmente cuando la tecnología haya mejorado hasta el punto de que el esfuerzo 2 80 se ha vuelto viable en la práctica.