<div><span style="color: rgb(160, 160, 168); ">On Tuesday, July 3, 2012 at 3:45 AM, Tarek Ziadé wrote:</span></div><blockquote type="cite" style="border-left-style:solid;border-width:1px;margin-left:0px;padding-left:10px;">
                    <span><div><div><div><br></div><div>Hash in the RECORD file have nothing to do with making sure the package </div><div>is originated from developer X.</div><div>Its only purpose is to know if a file on the system was changed</div><div><br></div></div></div></span></blockquote><div>Using sha256 would enable preventing someone from maliciously changing the</div><div>file. Similar to how IDS systems capture hashes of binaries to compare against.</div><div>Of course someone using the system like this would need to protect the filesystem</div><div>storing the RECORD files accordingly.</div><div><br></div><div>I also think that switching to sha256 is pretty low cost with minimal (no?) downsides</div><div>with some possible upsides. Is there a reason to stay with md5?</div><div><br>
                </div>