1 |
On Wed, July 20, 2005 13:56, Christophe Garault wrote: |
2 |
> Bonjour, |
3 |
> |
4 |
> Voici une question que je ne m'étais jamais posé jusqu'ici, mais qui |
5 |
> depuis l'installation d'une SuSE me turlupine sérieusement: comment sont |
6 |
> chiffrés les mots de passe utilisateurs sous Gentoo? Il se trouve |
7 |
> qu'avec la SuSE ont a le choix entre: DES, MD5 plus un autre que j'ai |
8 |
> oublié (interface GUI alors que sous Gentoo je n'utilise que la CLI). |
9 |
|
10 |
En fait pour les mots de passe de /etc/passwd il faut parler plutôt de |
11 |
fonction de hachage, et autre petite correction le nom correct est |
12 |
"chiffrement" et non pas "chiffrage" (chiffrage c'est pour un devis ;-) |
13 |
|
14 |
Je crois que pour Gentoo la seule solution retenue est l'algorithme MD5. |
15 |
Le principe simplifié est le suivant : le mot passe donné en entrée |
16 |
d'algorithme produit en sortie une empreinte. L'intérêt c'est qu'il |
17 |
n'existe aucune fonction qui permette à partir de l'empreinte de retrouver |
18 |
le mot de passe, l'algorithme est non-réversible. Et la probabilité que |
19 |
deux mots de passe différents produisent une même empreinte est très très |
20 |
faible, si c'est le cas cela s'appelle une collision. |
21 |
|
22 |
C'est pour cela qu'il faut parler de hachage, s'il s'agissait de |
23 |
chiffrement une clé secrète permettrait de retrouver le mot de passe, et |
24 |
là ce n'est pas le cas. |
25 |
|
26 |
C'est donc l'empreinte qui est stockée dans /etc/passwd (en fait le plus |
27 |
souvent dans /etc/shadow pour renforcer la sécurité) et pour |
28 |
s'authentifier il faut soumettre son mot de passe à l'algorithme, et c'est |
29 |
l'empreinte produite qui est comparée à l'empreinte stockée dans |
30 |
/etc/shadow. Si les deux empreintes sont identiques alors |
31 |
l'authentification est validée. |
32 |
|
33 |
Des chercheurs ont réussi à produire des collisions MD5 autrement que par |
34 |
force brute mais ceci dit ça ne remet pas en cause la sécurité de MD5 |
35 |
parce qu'il n'est toujours pas possible de forger un mot de passe à partir |
36 |
d'une empreinte donnée. |
37 |
|
38 |
Pour reconnaître l'algorithme utilisé : si l'empreinte commence par $1$ |
39 |
c'est du MD5, si elle commence par $2a$ c'est du Blowfish. |
40 |
|
41 |
-- |
42 |
Laurent Jourden |
43 |
Encrypted and Signed correspondence preferred |
44 |
OpenPGP Public Key ID: 0xE0D96090 |
45 |
Key Fingerprint : 1145 79CC 4668 897F 5D82 5BB6 A15C DE7E E0D9 6090 |
46 |
http://pgpkeys.mit.edu:11371/pks/lookup?op=get&search=0xE0D96090 |
47 |
|
48 |
-- |
49 |
gentoo-user-fr@g.o mailing list |