On Monday 23 August 2004 12:09, Frederic Schutz wrote: > Je ne crois pas que c'etait aussi avance; il s'agissait uniquement de > trouver une collision avec 2 textes, sans aucune contrainte. Pas _trop_ > grave, mais ca jette un froid parce qu'il n'etait pas prevu que ce soir > facile.
:-) > A peu pres tous les gens qui distribuent des fichiers binaires ? Ca > peut-etre une section de donnees non-utilisee dans un binaire ? Les bits de > poids faibles dans une image (cf les differentes techniques de > steganographie), ou l'equivalent dans un fichier de musique. Oui.. sauf que si la theorie permet d'injecter/modifier un ensemble de bytes pour generer une signature identique, le domaine des modifications possible est particulierement restrain et a peu de chance de permettre ce genre d'exploitation. En effet, les bits/bytes a injecter ne sont pas aleatoires mais correspondent forcement a un "objectif". Une portion de code executable correspond a une sequence bien precise et la marge de manoeuvre est tres faible, voire inexistante. Il faudrait donc envisager : Binaire A + code strict + binaire aleatoire Engendrant une signature identique a : Binaire A + unused bytes Comme tu le dis tres bien, : > il est impossible de prouver > qu'un algorithme ou un systeme est sur, il est seulement possible l'inverse > quand une faille est decouverte -- a partir du moment ou un algorithme a > des failles, meme tres improbables, ca remet en question toute la securite > de l'edifice Une explication comprehensible par les utilisateurs lambdas serait de deternminer la quantite de bytes aleatoires dont on devrait disposer dans le texte de ton exemple des synonymes pour arriver a generer la meme signature. Cela permettrait de juger de la "gravite" d'une faille theorique, plutot que de simplement considere que toute probabilite non-nulle est au meme niveau. Je crois que beaucoup de gens ne comprennent pas les differences entre ce genre de faille potentielle et de gros trous de securite lies a un buffer overflow > d'autant plus que d'apres ce que j'ai lu, personne n'avait vu > venir celles-ci... Oui, et c'est ce qui est surprenant :-) Tres bons exemples, merci. Daniel _______________________________________________ gull mailing list [EMAIL PROTECTED] http://lists.alphanet.ch/mailman/listinfo/gull
