<div class="gmail_quote">On Tue, Jul 3, 2012 at 8:48 AM, Jeroen Dekkers <span dir="ltr">&lt;<a href="mailto:jeroen@dekkers.ch" target="_blank">jeroen@dekkers.ch</a>&gt;</span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

And yes, attacks on md5 will only get better, so we should migrate to<br>
better hashes in the future. </blockquote><div><br>No, because that&#39;s not what the RECORD hashes are for.  It&#39;s not an intrusion detection system, it&#39;s an installer conflict and &quot;oops I edited the wrong file&quot; checker.<br>
<br>People who are upset because md5 is low security are correctly understanding that this system *provides no security*.  We are not promising ANY security, so *not* using a secure hash is actually preferable.  The goal is data integrity against accidental overwrite by dumb installer tools (e.g. distutils) and accidental edits, not security against malicious tampering.<br>
<br></div></div><br>