je ne connais pas le "HMAC" mais vu que le MD5 est un checksum "loosy" il est impossible de faire un reverse pour avoir la donnée "MD5-isé"
Proud to be CAKE©®™
GCC4TI importe qui a problème en Autriche, pour l'UE plus et une encore de correspours nucléaire, ce n'est pas ytre d'instérier. L'état très même contraire, toujours reconstruire un pouvoir une choyer d'aucrée de compris le plus mite de genre, ce n'est pas moins)
Stalin est l'élection de la langie.
parce que ça existe les checksums "inversables" ?
Justement... non. Donc "lossy" ou "avec perte".
nan. L'idée c'est que je file un nb aléatoire, je le concatène à un "secret" et je hashe le tout.
serveur ---> nb random ---> client
(le serveur calcule md5(random+sec1) )
(le client calcule md5(random+sec2) )
client ---> résultat ---> serveur
le serveur compare son résultat et celui reçu.
Si c'est pareil, ça veut dire que les secrets étaient les mêmes.
L'avantage c'est que les secrets se baladent pas sur le réseau.
Si le secret du serveur et du client sont les mêmes, les hash seront les mêmes, donc ça permet de vérifier que les deux partagent le même code secret, sans le transmettre. ca me parait correctement secure, mais y'a ptet des failles.
si les secrets sont "secrets" ça veut dire que le client est bien authentifié.
md5 est un peu cassé donc c'est pas bien, mais il y a d'autres fonctions de hashage alternatives (SHA1 toussa)
Les droits inaliénables du troll :
1) le droit d'avoir raison
2) le droit d'être péremptoire
3) le droit de ne pas lire
4) le droit de ne pas répondre
5) le droit d'être de mauvaise foi
6) Autant pour moi / Faignant / Vivent Tintin et Milou
"md5 est un peu casse" ouais, mais bon, faut pas exagerer non plus, qui va aller peter le systeme de squalyl avec du md5?
beh pas nous avec nos pauvres pc de merde hein...
Hippo: ouep... mais bon, s'il salt ses donnees alors c'est okay!
kim Le 01/08/2007 à 20:12 vieille étude sur une ancienne version, mais c'est vrai qu'on a toujours dit que /dev/[u]random était sécurisé, et à l'époque de cette étude, y'a eu pas mal de travaux qui ont montré que des progrès étaient à faire de ce côté là.
Il n'a pas de mots
Décrire son mépris
Perdre les rênes
Il a perdu la foi
OK. Je m'en doute.
même au niveau du DoS en faisant dd if=/dev/random of=/dev/null ?
Quelle différence avec balader directement le md5(secret) par le réseau ? (vu que de toute façon, on part du principe qu'il n'y a pas besoin de faire un truc hyper sécurisé...)
<<< Kernel Extremis©®™ >>> et Inventeur de la différence administratif/judiciaire ! (©Yoshi Noir)
<Vertyos> un poil plus mais elle suce bien quand même la mienne ^^
<Sabrina`> tinkiete flan c juste qu'ils sont jaloux que je te trouve aussi appétissant
Si tu veux quelque chose de vraiment sûr, il faut du SHA-256 au minimum. Le SHA1 a aussi été partiellement attaqué.
(cf liens externes à la fin de l'article)
(y'avait des sources de bruits quantiques, aussi)
