รายงาน SHAttered ที่สามารถสร้างไฟล์สองไฟล์ที่ค่าแฮชตรงกันได้สำเร็จทำให้โครงการต่างๆ ที่อาศัย SHA-1 เป็นแกนกลางต้องพิจารณาความปลอดภัยกันใหม่ โครงการหลักๆ สองโครงการคือ Git และ GPG ก็ออกมาชี้แจงแล้ว

ไลนัสออกมาตอบข้อสงสัยใน Git ที่ใช้ SHA-1 เป็นแกนกลาง โดยระบุ Git ระบุว่าแต่ละฟิลด์ของ Git ต้องระบุถึงชนิดข้อมูลและขนาดข้อมูลไปพร้อมกัน ทำให้การแก้ไขข้อมูลโดยที่ข้อมูลเหล่านี้ยังถูกต้องอยู่ทำได้ยาก อย่างไรก็ดีมีออปเจกต์บางส่วนที่สามารถแก้ไขมูลตรงกลางได้ ก็นับว่ามีความเสี่ยง แต่โดยรวมแล้วมุมมองคือปัญหาอาจจะไม่ได้ร้ายแรงขนาดนั้น แนวทางหลังจากนี้อาจจะมีการตรวจสอบข้อมูลเพิ่มเติมเพื่อป้องกันการสร้าง Git โดยใส่ข้อมูลประหลาดเข้าไป

อีกฝั่งคือ GPG ออกมาระบุว่าการโจมตี GPG ได้ต้องอาศัยการโจมตีแบบ preimage คือการสร้างไฟล์ที่ค่าแฮชตรงกันจากไฟล์เดิมที่ถูกต้องอยู่ก่อนแล้ว การโจมตีแบบนี้ยากกว่าการหาสองไฟล์ใดๆ ที่ค่าแฮชตรงกัน (collision attack) มาก

การหาแนวทางชั่วคราวเพื่อซื้อเวลาให้กับซอฟต์แวร์เดิมที่ใช้ SHA-1 ไปแล้วคงเป็นเรื่องของแต่ละโครงการระหว่างการเปลี่ยนผ่านไป แต่หลังจากนี้ใครทำซอฟต์แวร์ใหม่ๆ คงต้องปรับไปใช้ SHA-256 ขึ้นไปเพื่อความปลอดภัย

ที่มา - git, @gnupg

#OpenPGP requires #SHA1 only for the fingerprint. To attack this you need to have pre-image attack and not a collision attack.

— GNU Privacy Guard (@gnupg) February 24, 2017