Wegen der Sicherheitsprobleme von SHA-1 (Kollisionen usw.) wird derzeit an einem Update gearbeitet, das SHA-256 unterstützt; ein Artikel, der den aktuellen Stand gut zusammenfasst.
Da alle bestehenden Repositories und Clients noch SHA-1 verwenden, ist die Kompatibilitätsfrage am wichtigsten.
Es ist nicht einfach, weil es Stellen gibt, an denen SHA-1 in Git-Implementierungen fest einkodiert ist.
Es wird daran gearbeitet, Patches bereitzustellen, mit denen sich über object-format ein separater Hash-Algorithmus festlegen lässt.
Wenn alles abgeschlossen ist, wird nicht nur SHA-256 unterstützt, sondern es soll später auch möglich sein, auf andere Hash-Algorithmen umzusteigen.
2 Kommentare
SHA-256 ist eine Variante von SHA-2. Da jedoch bereits vor etwa fünf Jahren ein Algorithmus namens Keccak als SHA-3 ausgewählt wurde, könnte der Wechsel zu einem neuen Hash-Algorithmus vielleicht doch früher wieder nötig werden, als man denkt. Soweit ich weiß, wurde SHA-3 so konzipiert, dass es sicherer als SHA-2 ist und sich zugleich besser für Hardwarebeschleunigung eignet.
Referenz – Warum wird nicht SHA-3 verwendet? (auf Koreanisch):
http://www.itworld.co.kr/news/108321
Google veröffentlicht einen Angriff mit Kollisionspaaren auf die SHA-1-Hashfunktion: https://cpuu.postype.com/post/580053