Era rivelato recentemente che l'algoritmo di hash SHA-1 è stato rotto
Diverse aree interessate sono dettagliate come ad esempio git e firma di documenti. Una cosa che non è menzionata è la verifica dell'integrità dell'applicazione.
Un'applicazione che utilizza SHA-1 per questo è GnuPG . Anche se consiglia di utilizzare una versione precedente di gnupg per la verifica, l'hash SHA-1 viene utilizzato in caso di nuove installazioni.
Sto chiedendo quale sia il rischio che le installazioni di gnupg compromesse esistano in natura. Con ad esempio backdoor programmato in.
Nei post del blog viene menzionato che in pratica non si sono mai visti episodi di questo hack, ma non sarebbe possibile che organizzazioni più grandi ci abbiano lavorato prima del termine di 2 anni come i ricercatori hanno, e hanno quindi ha rivelato questo difetto di sicurezza in precedenza?