<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On 27 February 2017 at 10:29, Jan Moritz Lindemann <span dir="ltr"><<a href="mailto:panda@panda.cat" target="_blank">panda@panda.cat</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Some countries (and not the smallest ones) still used RSA-SHA1 signatures for their document signing certificates as late as 2010.<br><br><div>As passports and those certificates are usually valid 10 years this means that if they are not revoked it is possible until 2020 to create forged passports capable of passing automated security gates.<br></div></div></blockquote><div> </div><div>There are far easier (and much cheaper!) attacks on the passport system than finding RSA-SHA1 collisions. Can we stop with the FUD, please?</div><div><br></div><div>-- </div><div>Harald</div><div><br></div></div></div></div>