In base al link e link potresti avere due oggetti che generano lo stesso checksum SHA-1. Immagino che questo abbia effetti anche nella generazione delle chiavi.
C'è un modo in cui un progetto che sta iniziando e che usa git potrebbe fare per assicurarsi che usi SHA-256 dall'inizio invece di affidarsi a SHA-1. Se sì, come?
Commenti, le osservazioni sono tutte benvenute.