Los torrents dependen en gran medida de la función hash SHA-1: los torrents se dividen en partes del mismo tamaño y el hash SHA-1 de cada pieza se guarda en la sección de información del torrent, que a su vez está identificado y, por lo tanto, protegido por su SHA-1 hash.
SHA-1 muestra signos de debilitamiento. Por ejemplo, a principios de este año, se publicó un ataque que permite a una gran organización, como un actor estatal o una corporación, o una persona adinerada, producir dos bloques de datos diferentes con el mismo hash SHA-1. Sin embargo, esto no es lo mismo que encontrar una colisión para un bloque de datos existente, y principalmente por esta razón, el ataque solo podría usarse prácticamente contra los hashes de las piezas por ahora e incluso entonces no sería posible tomar sobre un torrent de terceros, tendría que producir el suyo propio. Por ahora. Podría ser que un ataque de colisión completo no esté lejos. Cada año aumenta la posibilidad de que alguien tenga en secreto un ataque completo de SHA-1.
Para aprovechar el ataque actual, se podría producir un torrent que ofrezca contenido benévolo a la mayoría de las personas, y que se marque como 'confiable' en sitios de indexación de torrents, pero un individuo objetivo puede ser engañado para que descargue un dato malicioso, como un virus.
Sin embargo, los autores del ataque también publicaron una forma de fortalecer SHA-1. La idea es detectar posibles colisiones SHA-1 y modificarlas de tal forma que los diferentes bloques de datos vuelvan a tener un hash diferente. Técnicamente, este SHA-1 reforzado es diferente de SHA-1, pero dado que, hasta donde sabemos, todavía no existe un ataque completo de SHA-1, por ahora, los archivos no maliciosos con toda probabilidad tendrán el mismo hash SHA-1 reforzado y regular. por lo que el software que se basa en SHA-1 seguirá funcionando y solo los archivos maliciosos tendrán diferentes hashes. Pero esta solución solo ayudará si el software la usa y, hasta ahora, la biblioteca de software más popular para descargar torrents no ha solucionado su implementación.
Actualmente, se está trabajando en una segunda versión de la especificación BitTorrent, que utilizará la función hash SHA-256 más segura. Sin embargo, esta versión se encuentra actualmente en su etapa de redacción y lo ha estado durante una década. Hasta que esté hecho y la versión 1 quede obsoleta, esto no ayuda a nadie.
Es difícil enfatizar demasiado lo débil que se está volviendo SHA-1. Y los ataques publicados contra SHA-1 no cuentan toda la historia. A pesar de años de estudio intensivo del predecesor de SHA-1, un ataque contra él completamente desconocido para el público apareció en la naturaleza. Entonces, la respuesta probablemente sea SÍ .