Почему Apache PDFBox использует SHA-1? Это все еще безопасно? ⇐ JAVA

[Anonymous]

Я заметил, что Apache PDFBox использует SHA-1 в некоторых частях своей реализации (например, через MessageDigest.getInstance("SHA1")).
Поскольку SHA-1 считается устаревшим и небезопасным для криптографических целей, мне интересно:
Почему PDFBox все еще использует SHA-1?
Он используется для цифровых подписей или только для внутренних целей хеширование?
Безопасно ли это в производственной среде?
Должен ли я переопределить его, чтобы вместо этого использовать SHA-256?
Для контекста: я использую PDFBox для цифровой подписи. Сканер безопасности пометил SHA-1 как слабый алгоритм, поэтому я хочу понять, является ли это реальной угрозой безопасности или просто ложным срабатыванием.

Подробнее здесь: https://stackoverflow.com/questions/799 ... ill-secure