• [^] # Re: et les distribs?

    Posté par . En réponse à la dépêche SHA-1 aurait été cassé. Évalué à 1.

    En fait il est certain qu'il existe des collisions.

    Quand un algo de hash produit des digest de 128bits, ca veut dire qu'il n'y a que 2^128 hashs possibles(meme si 2^128 est un grand nombre ) pour un nombre infini d'intrants possibles.

    Du coup, on sait de façon certaine qu'il existe des collisions, mais les trouver est difficile avec une fonction raisonnablement efficace.

    Pour la vérification de la non corruption d'un fichier c'est relativement anodin (car il y'a peut de chance qu'on ne puisse faire grand chose de fichier faisant collision avec mon tarball du kernel par exemple).

    En revanche, si MD5 est serieusement attaquable (apparemment c'est le cas aussi), et qu'un tiers recupere mon /etc/shadow, il pourra trouver des mots de passe acceptables au login (pas forcement les originaux), reste a voir si leur taille/contenu seront acceptables comme mots de passe...