Nessuna interruzione effettiva che coinvolge SHA-1 e l'utilizzo di una debolezza strutturale di SHA-1 è stata attualmente pienamente dimostrata in condizioni accademiche, figuriamoci in natura.
Il meglio che abbiamo adesso è un attacco di collisione teorico che dovrebbe consentire a un utente malintenzionato di calcolare una collisione SHA-1 con lo sforzo "circa 2 61 ", che è enorme ma ancora sostanzialmente inferiore alla resistenza 2 80 prevista da una funzione di hash "perfetta" con uscita a 160 bit. Mentre 2 61 è alla portata della tecnologia esistente, è troppo costoso per le università ricche per indulgere casualmente in quel tipo di esperimento. Quindi nessuna collisione effettiva è stata ancora prodotta. Inoltre, per un attaccante pratico, il calcolo di una collisione raramente garantisce molta potenza - l'attaccante deve solitamente calcolare collisioni con un certo grado di controllo sui contenuti dei messaggi collidenti , che può essere più difficile ( oppure no).
Un altro parametro è che anche se SHA-1 è perfetto, la sua dimensione di uscita (160 bit) implica un limite massimo alla sua resistenza di collisione a circa 2 80 , che è mezzo milione di volte 2 < sup> 61 (quindi molto più costoso), ma allo stesso tempo non alla fine costoso. Un calcolo 2 80 può essere immaginato con la tecnologia e le risorse esistenti disponibili sulla Terra, senza bisogno di invocare alcune sci-fi o infrangere le leggi della fisica.
Poiché gli algoritmi di commutazione nelle applicazioni implementate richiedono molto tempo (ehi, siamo ancora cercando di indurre le persone a smettere di usare SSL 3.0 e invece di passare a TLS 1.0, oltre 15 anni dopo TLS 1.0 è stato pubblicato), faremmo meglio a farlo ora, in modo che lo SHA-1 sia davvero eliminato quando la tecnologia è migliorata al punto che lo sforzo 2 80 è diventato praticabile nella pratica.