単純に、Ciscoの実装がそうなっているからというだけの話ではあるのですが、それだけじゃ面白くないのでRFC 5905とか読んでみると良いかと思います。NTPv4の仕様について定義されているものですが、この中ではキー識別子とメッセージダイジェスト（MD5）が認証に使用されていると書かれてはいますが、SHA-1については言及がありません。（さらにいうと、MD5にセキュリティ的な問題があるのはわかっている、との記載もありますね）

ちなみに、RFC 5906をサポートしていればより強固なNTPセキュリティが担保されるようですが、CiscoではRFC 5906は現時点では実装していないようです。

大変、参考になりました。
ありがとうございます。