Das bedarf einer Präzisierung: Was die Chinesen 2005 schafften, war ein sogenannter Geburtstagsangriff (birthday collision attack). Der ist nur dann von Bedeutung, wenn man Dateien signiert, die man nicht selbst erstellt hat. Um dem zu entgehen, genügt es, ein einziges Bit der zu signierenden Datei zu verändern, bevor man sie signiert. Da Debian die Paketdateien selbst erstellt, war das nicht relevant. Aber mittlerweile ist es anders, SHA1 ist nun wirklich unsicher.
Das bedarf einer Präzisierung:
Was die Chinesen 2005 schafften, war ein sogenannter Geburtstagsangriff (birthday collision attack). Der ist nur dann von Bedeutung, wenn man Dateien signiert, die man nicht selbst erstellt hat. Um dem zu entgehen, genügt es, ein einziges Bit der zu signierenden Datei zu verändern, bevor man sie signiert. Da Debian die Paketdateien selbst erstellt, war das nicht relevant. Aber mittlerweile ist es anders, SHA1 ist nun wirklich unsicher.