• [^] # Re: Confirmation, lapin compris...

    Posté par . En réponse à la dépêche Salix Live 13.0 disponible. Évalué à 7.

    ... Ben voilà une réponse d'un autre newbie (enfin, pas tant que ça, mais loin d'être pro quand même) :
    Certes, l'empreinte numérique en md5 ne permet plus de vérifier l'authenticité d'un paquet. Dans le cas d'un dépôt d'une distribution, ça peut être gênant.
    Mais il me semble qu'en général, si on propose une somme md5 pour les iso, c'est moins pour la sécurité (un faux livecd infesté et balancé sur le site officiel ?) que pour l'intégrité du fichier (en plus, en tant que pirate, si j'arrive à balancer ma propre iso sur un site, je crois pas que j'aurais du mal à remplacer la somme md5 par celle de mon iso au passage).
    C'est à dire que si l'iso a été mal téléchargé, il risque de ne pas booter, ou de mal s'installer. La somme md5 nous permet de nous assurer, avant de graver un cd inutilement, qu'il n'y a pas eu de problème lors du téléchargement.
    Et si on peut générer des collisions "facilement" avec le md5, la probabilité qu'une collision survienne "naturellement", au hasard d'un mauvais téléchargement, est tout de même très basse.
    Ceci dit, une somme SHA pourrait aussi permettre de vérifier l'intégrité d'un fichier. Je laisse à des gens plus cultivés que moi le soin d'expliquer pourquoi une solution est préférée à l'autre.