| 1 |
On Wed, July 20, 2005 13:56, Christophe Garault wrote: |
| 2 |
> Bonjour, |
| 3 |
> |
| 4 |
> Voici une question que je ne m'étais jamais posé jusqu'ici, mais qui |
| 5 |
> depuis l'installation d'une SuSE me turlupine sérieusement: comment sont |
| 6 |
> chiffrés les mots de passe utilisateurs sous Gentoo? Il se trouve |
| 7 |
> qu'avec la SuSE ont a le choix entre: DES, MD5 plus un autre que j'ai |
| 8 |
> oublié (interface GUI alors que sous Gentoo je n'utilise que la CLI). |
| 9 |
|
| 10 |
En fait pour les mots de passe de /etc/passwd il faut parler plutôt de |
| 11 |
fonction de hachage, et autre petite correction le nom correct est |
| 12 |
"chiffrement" et non pas "chiffrage" (chiffrage c'est pour un devis ;-) |
| 13 |
|
| 14 |
Je crois que pour Gentoo la seule solution retenue est l'algorithme MD5. |
| 15 |
Le principe simplifié est le suivant : le mot passe donné en entrée |
| 16 |
d'algorithme produit en sortie une empreinte. L'intérêt c'est qu'il |
| 17 |
n'existe aucune fonction qui permette à partir de l'empreinte de retrouver |
| 18 |
le mot de passe, l'algorithme est non-réversible. Et la probabilité que |
| 19 |
deux mots de passe différents produisent une même empreinte est très très |
| 20 |
faible, si c'est le cas cela s'appelle une collision. |
| 21 |
|
| 22 |
C'est pour cela qu'il faut parler de hachage, s'il s'agissait de |
| 23 |
chiffrement une clé secrète permettrait de retrouver le mot de passe, et |
| 24 |
là ce n'est pas le cas. |
| 25 |
|
| 26 |
C'est donc l'empreinte qui est stockée dans /etc/passwd (en fait le plus |
| 27 |
souvent dans /etc/shadow pour renforcer la sécurité) et pour |
| 28 |
s'authentifier il faut soumettre son mot de passe à l'algorithme, et c'est |
| 29 |
l'empreinte produite qui est comparée à l'empreinte stockée dans |
| 30 |
/etc/shadow. Si les deux empreintes sont identiques alors |
| 31 |
l'authentification est validée. |
| 32 |
|
| 33 |
Des chercheurs ont réussi à produire des collisions MD5 autrement que par |
| 34 |
force brute mais ceci dit ça ne remet pas en cause la sécurité de MD5 |
| 35 |
parce qu'il n'est toujours pas possible de forger un mot de passe à partir |
| 36 |
d'une empreinte donnée. |
| 37 |
|
| 38 |
Pour reconnaître l'algorithme utilisé : si l'empreinte commence par $1$ |
| 39 |
c'est du MD5, si elle commence par $2a$ c'est du Blowfish. |
| 40 |
|
| 41 |
-- |
| 42 |
Laurent Jourden |
| 43 |
Encrypted and Signed correspondence preferred |
| 44 |
OpenPGP Public Key ID: 0xE0D96090 |
| 45 |
Key Fingerprint : 1145 79CC 4668 897F 5D82 5BB6 A15C DE7E E0D9 6090 |
| 46 |
http://pgpkeys.mit.edu:11371/pks/lookup?op=get&search=0xE0D96090 |
| 47 |
|
| 48 |
-- |
| 49 |
gentoo-user-fr@g.o mailing list |
Archives