SHA-1 è stato eliminato gradualmente da molte grandi aziende a causa delle vulnerabilità. Ad esempio Chrome non lo considera più sicuro per PKI Web pubblico.
Non è sicuro utilizzare SHA-1 per le firme e-mail PGP?
SHA-1 è stato eliminato gradualmente da molte grandi aziende a causa delle vulnerabilità. Ad esempio Chrome non lo considera più sicuro per PKI Web pubblico.
Non è sicuro utilizzare SHA-1 per le firme e-mail PGP?
Non ci sono ancora attacchi pratici a SHA-1. Gli esperti stimano che gli attacchi SHA-1 inizieranno ad apparire intorno al 2018.
Come hai giustamente sottolineato, aziende come Google e Microsoft hanno già preso provvedimenti e stanno sostituendo SHA-1 con standard nuovi e più sicuri:
Microsoft is recommending that customers and CA’s stop using SHA-1 for cryptographic applications, including use in SSL/TLS and code signing. Microsoft Security Advisory 2880823 has been released along with the policy announcement that Microsoft will stop recognizing the validity of SHA-1 based certificates after 2016.
Il consiglio è di passare a SHA-2. Dovrai quindi riconfigurare il tuo software PGP per utilizzare un'altra funzione di hash, ma il principio di funzionamento di base di PGP rimarrà lo stesso.