Salut à tous :-) Le Samedi 16 Avril 2005 11:52, rouge a écrit :
> Or vous n'êtes pas sans savoir (ou peut être que si), mais MD5 a été > cassé l'an dernier par une équipe chinoise (l'équipe de Xiaoyun Wang). > > Cette même équipe a aussi cassé SHA-0 et SHA-1. Oui, avec des moyens techniques considérables que ne sont pas près de se payer des crackers du dimanche.... > Tout ca pour dire qu'il faut penser, dès aujourd'hui, à trouver un > successeur au champs MD5 des nbuilds. Oui, et quand on aura pensé au successeur il faudra aussi penser au successeur du successeur... car entre l'épée et le bouclier c'est toujours l'épée qui gagne... Tout ou tard tout code se casse ! Pour moi, et vous me direz si je me trompe, l'utilisation du MD5 dans nos paquets n'est pas là pour certifier que le nbuild n'a pas été traficoté par un voyou du net mais simplement pour indiquer si le téléchargement des sources c'est bien passé et que quelques bits n'ont pas été perdu ici ou là, ce qui pourrait avoir des conséquences inattendu sur le fonctionnement du logiciel... ça ne garantie pas qu'une personne malintentionnée modifie le nbuild en conséquence en trafiquant les sources et/ou le nbuild, c'est sûr. Ceci étant, je pense que l'ami Rouge a bien raison de se préoccuper de ces problèmes. On en avait un peu parlé à un moment, mais je relance le débat : Que pensez-vous que Ncooker pack signe le paquet avec la signature gpg du nbuilder ? Ncooker check lui vérifierait la signature (en ce connectant sur un serveur ou en utilisant les signatures déjà importées). Techniquement c'est rien à faire. Pratiquement c'est bien utile et on a une bonne garantie de certification du paquet. Question : Est-il possible de définir une signature gpg partagée entre la team de validation des nbuilds ? cad une seule signature pour toute l'équipe de validation ? ++ Chicha P.S : Rouge tu sais si gpg a été craqué ? > > > Rouge > cryptanaliste à ses heures > > _______________________________________________ > Nasgaia-dev mailing list > [email protected] > https://mail.gna.org/listinfo/nasgaia-dev
