Gentoo utilise encore le MD5, probablement car il pense qu'il offre un sécurité suffisante.
Pour les mots de passe du systeme, il est probablement plus rapide de tester toutes les possibilité (les mots de passe sont pas très long,seulement des lettres, sauf si on est attentif à la sécurité). De plus il faut avoir acces au fichier /etc/shadow, sinon il faut donnée les mots de passe à un programme du genre login, or login attend un certain temps avant de dire que le mot de passe n'est pas valable. Donc pour les mot de passe des utilisateurs, c'est pas le MD5 qui posse de problème de sécurité.
Sinon pour signer des données (les fichiers sources), il est assez difficile de falsifier les fichiers (mais pas impossible):
- il faut crée un fichiers valable avec le même hash (on sais faire en qq heures un fichier avec le même hash MD5, mais il n'aura pas de sens [1])
- il faut le remplacer sur le mirroir utilisé (donc le piraté)
- faire tout ca assez vite (il faut pas qu'il y ai déjà une nouvelle version)
Je trouve que de dire qu'il faut parler _parfaitement_ anglais pour utiliser les documentations c'est exagéré.
Je ne parle pas parfaitement anglais (même très mal, et j'écris pas beaucoup mieux), pourtant j'arrive à comprendre les documentations qui sont en anglais.
[^] # Re: et les distribs?
Posté par PierreF . En réponse à la dépêche SHA-1 aurait été cassé. Évalué à 1.
Pour les mots de passe du systeme, il est probablement plus rapide de tester toutes les possibilité (les mots de passe sont pas très long,seulement des lettres, sauf si on est attentif à la sécurité). De plus il faut avoir acces au fichier /etc/shadow, sinon il faut donnée les mots de passe à un programme du genre login, or login attend un certain temps avant de dire que le mot de passe n'est pas valable. Donc pour les mot de passe des utilisateurs, c'est pas le MD5 qui posse de problème de sécurité.
Sinon pour signer des données (les fichiers sources), il est assez difficile de falsifier les fichiers (mais pas impossible):
- il faut crée un fichiers valable avec le même hash (on sais faire en qq heures un fichier avec le même hash MD5, mais il n'aura pas de sens [1])
- il faut le remplacer sur le mirroir utilisé (donc le piraté)
- faire tout ca assez vite (il faut pas qu'il y ai déjà une nouvelle version)
[1] http://fr.wikipedia.org/wiki/MD5
# Parler _parfaitement_ anglais
Posté par PierreF . En réponse à la dépêche L'entreprise.com : article sur l'informatique libre - comment vont le prendre les dirigeants d'entreprise ?. Évalué à 3.
Je ne parle pas parfaitement anglais (même très mal, et j'écris pas beaucoup mieux), pourtant j'arrive à comprendre les documentations qui sont en anglais.