[Frugalware-users-fr] Debian migre vers SHA-2

[hermier at frugalware.org]

> hermier at frugalware.org a écrit :
>> Pour ce qui est archives compressée, je pense que debian pousse un peut
>> trop la paranoia.
>> Pour se qui nous concerne, nos archive de paquets sont de simple tar.bz2
>> renomées. Ce qui est peut sensible aux attaques.
>> Pour inserer un exploit, il faudrait corrompre le contenu du tar, et
>> prédire le comportement de bzip2 pour obtenir une archive valide.
>> Et obtenir une archive avec une somme identique est autement improbable,
>> a
>> moins que bzip2 contiennent une faille qui pourrait permetre d'insérer
>> des
>> données alléatoire ce qui est autement improbable dans une compression
>> de
>> fichier.
>> Par contre pour l'autentification des develloppeurs il faudrait voir ca
>> avec vmiklos. Mais avec l'utilisation de git, on ne perdrait pas grand
>> chose de vital. Se serait juste gonflant de devoir reconstruire les
>> sites,
>> mais fondementalement si un dev est corrompu on peut tracé se qu'il à
>> fait. Vu qu'on est pas nombreux une intrusion devrait se voir assez
>> vite.
>>
>> Enfin si on devait y passer, il y aura une annonce publique au personnes
>> intéressées.
>>
>>
>> _______________________________________________
>> Frugalware-users-fr mailing list
>> Frugalware-users-fr at frugalware.org
>> http://frugalware.org/mailman/listinfo/frugalware-users-fr
>>
>
> Merci pour ta réponse.
> L'intérêt des paranoïas Debian, c'est qu'elle pousse souvent les autres
> à se poser des questions qu'ils n'oseraient pas se poser (voir aussi
> l'abandon de glibc au profit de elibc pour "incompatibilité d'humeur").
> C'est ma foi pas inutile et je trouve que ça fait avancer le libre dans
> un sens plutôt positif, d'un point de vue philosophique (souvent des
> remises en question sur la sécurité ou la perenité des applis).
> Ceci dit, j'avais envisagé la corruption du tar, notamment pour les
> archives source, sans penser à la nécéssité de prédire aussi la somme du
> bzip2 ou gzip, merci pour tes lumières.
> Tiens, dans la même veine, Slackware abandone tgz pour ses paquets au
> profit d'une extension txz (tar.xz) qui est en fait du LZMA (25% de gain
> en terme de place).
>
> Amicalement,
> Exceed.
> _______________________________________________
> Frugalware-users-fr mailing list
> Frugalware-users-fr at frugalware.org
> http://frugalware.org/mailman/listinfo/frugalware-users-fr
>
Pour ce qui est de la corruption du tar, en soit c'est pas le plus
important, le tout étant de corrompre la version zippé pour qu'elle sorte
la valeur que l'on veut. Techniquement se serait beaucoup plus facile à
faire, si seulement ses fichiers sont mal conçus. Seulement pour des
questions de taille/performance en général les parties de contrôle du flux
sont très compacte, donc il est très difficile de mettre ce que l'ont veut
dedans pour obtenir la somme désirée. La seule attaque possible que je
vois serait l'ajout en fin de fichier (en dehors de la partie compressée)
d'un bloc qui corrigerait la somme. Mais la les compresseurs modernes
devraient nous avertir qu'ils ont trouvés une archive corrompue, qui
contiens des données inattendues. Je sais que tar envoie un warning/erreur
dans se cas la.

Vu le temps qu'il a fallu pour que tar reconnaisse officiellement bzip2 en
tant qu'extension officielle, je pense que les .txz seront reconnus dans
10 ans :p mais vu qu'on utilise pas tar, mais la libarchive, on devrait
avoir ça plus rapidement dans frugal.