• [^] # Re: et les distribs?

    Posté par . En réponse à la dépêche SHA-1 aurait été cassé. Évalué à 2.

    Non, on ne sait pas générer un fichier ayant le même MD5 qu'un fichier donné. Ce que l'on sait faire c'est générer 2 fichiers ayant le même MD5. Ce que tu dis ne marche donc pas.

    Par contre certains ont évoquer des scénarios où cette faiblesse pourrait être exploitée. Par exemple à une époque, je ne sais pas si c'est toujours vrai, Verisign permettait de générer des certificats MD5 choisi par l'utilisateur. Un Escroc pourrait donc générer une collision, se créer un certificat avec un des éléments. Et utiliser ensuite l'autre élément pour utiliser le certificat de manière malhonnête et se dédouaner en montrant que le "malfaiteur" n'a pas utilisé la même "clef" que lui.