In base al link e link potresti avere due oggetti che generano lo stesso checksum SHA-1. Immagino che questo abbia effetti anche nella generazione delle chiavi.
C'è un modo in cui un progetto che sta iniziando e che usa git potrebbe fare per assicurarsi che usi SHA-256 dall'inizio invece di affidarsi a SHA-1. Se sì, come?
Commenti, le osservazioni sono tutte benvenute.
Il problema con SHA-1 non è un problema a meno che tu non stia provando a generare due pezzi di dati che si scontrano con SHA-1. Questo è molto diverso dal generare un SHA-1 che si scontra con uno SHA-1 esistente, che è ciò che si dovrebbe fare per compromettere sourceforge o github. Questa è una differenza statistica meglio descritta con l'attacco di compleanno ( link ).
In un nuovo progetto, è abbastanza facile non usare sha-1: basta non usare sha-1. Nella maggior parte dei casi le chiamate alle librerie saranno piuttosto esplicite, ma assicurati di leggere la documentazione ogni volta che stai facendo un lavoro di crittografia. I luoghi comuni in cui viene visualizzato sono hashing della password (vedi come memorizzare una password ) e hmac.
Hai detto che anche tu sei preoccupato per git. Non c'è nulla che tu possa fare qui, perché git non fornisce un algoritmo hash collegabile o configurabile. Dovresti solo continuare a utilizzare git normalmente e attendere l'eventuale migrazione in un aggiornamento.
Leggi altre domande sui tag sha sha256 opensource debian