• [^] # Re: et les distribs?

    Posté par . En réponse à la dépêche SHA-1 aurait été cassé. Évalué à 1.

    Gentoo utilise encore le MD5, probablement car il pense qu'il offre un sécurité suffisante.

    Pour les mots de passe du systeme, il est probablement plus rapide de tester toutes les possibilité (les mots de passe sont pas très long,seulement des lettres, sauf si on est attentif à la sécurité). De plus il faut avoir acces au fichier /etc/shadow, sinon il faut donnée les mots de passe à un programme du genre login, or login attend un certain temps avant de dire que le mot de passe n'est pas valable. Donc pour les mot de passe des utilisateurs, c'est pas le MD5 qui posse de problème de sécurité.

    Sinon pour signer des données (les fichiers sources), il est assez difficile de falsifier les fichiers (mais pas impossible):
    - il faut crée un fichiers valable avec le même hash (on sais faire en qq heures un fichier avec le même hash MD5, mais il n'aura pas de sens [1])
    - il faut le remplacer sur le mirroir utilisé (donc le piraté)
    - faire tout ca assez vite (il faut pas qu'il y ai déjà une nouvelle version)


    [1] http://fr.wikipedia.org/wiki/MD5