Salut Tay,
Alors en fait les hash, qu'ils soient md5, CRC32, ou SHA1, d'un fichier, son une suite hexadecimale ou decimale, de caractères, qui qualifient de manière unique un fichier.
Ils sont utilisés lors de la distribution en masse par exemple d'un projet qui peut avoir de grosses responsabilités sur un système, je pense notamment à un OS.
Le principe est que les hash sont fournis sur une page officielle, par l'éditeur.
Grâce à un logiciel qui crée lui aussi des hash de fichiers, quand tu as téléchargé les fichiers, tu crées leur hashs, et tu les compares à ceux donnés par l'éditeur.
S'ils sont identiques, alors tu as bien téléchargé le bon fichier, et non un détourné, avec un code malicieux intégré.
C'est à ça que ça sert.
Donc dans le cas d'un mail, il serait dur d'utiliser les hashs, étant donné que les plateformes SMTP, POP, IMAP, et le procotol de mail en lui-même, n'accueille pas de paramètre de "hash", à ma connaissance.
Cependant étant donné que tu peux définir des attributs dans les headers de tes mails, en utilisant un programme fait main, je pense que tu pourrais créer un "client sécurisé". Qui consisterait à envoyer d'abord le hash du message, via un certain protocol, au destinataire, et ensuite lui envoyer le mail.
C'est un peu comme les P2P cryptés, au final.
La seul chose que tu risque alors c'est la fameuse "attaque de l'homme du milieu" (look sur Google si tu veux en savoir plus sur cette attaque).
Mais plus simplement tu peux très bien enregistrer le .eml et sortir son hash. Tu donne le hash au destinataire par un autre biais que le mail, ou en personne, et lui, il enregistre en .eml aussi et vérifies le hash, par exemple.
Mais bon ce n'est pas très certain je pense, car les logiciels clients de messageries enregistrent sûrement les choses à leur façon.
Donc pour ta dernière question, bah vi les hash on un intérêt pour n'importe qui, et particulièrement si tu veux transférer des fichiers de manière sécurisée au travers d'un protocol non sécurisé, il te faut alors envoyer par un autre protocol, plus sûr si possible, le hash, avant d'envoyer le fichier. Car si tu envoie le fichier d'abord et le hash apres, quelqu'un qui intercepte le fichier va le modifier, et après va intercepter ton hash, et le remplacer par celui du fichier modifié.
Alors que si tu envoies le hash d'abord, la personne ne peut pas le remplacer, car elle n'a pas encore intercepté ton fichier, et donc elle ne l'a pas modifiée et n'a pas eu le nouveau hash.
Cependant il ne faut pas envoyer les deux en même temps non plus, car la personne malveillante pourrait alors stopper les deux.
Il faut donc procéder comme suit :
Envoi du hash du fichier.
Quand tu as eu confirmation de la réception du hash du fichier, tu envoies ton fichier.
Evidemment, la personne peut toujours intercepter le message contenant le hash et te renvoyer une fausse confirmation, mais dans ce cas, il suffit de se mettre d'accord avant, pour un mot de pass, une phrase spécial, un anagrame, à placer pour faire vérifier l'authenticité de la confirmation de réception du hash....
Ou alors, tu peux également héberger la chaine de caractères (le hash) de vérification, sur un endroit qui ne sera pas modifiable, comme une page web par exemple.
Ainsi le pirate ne pouvant pas modifier le hash inscrit sur la page web, il est impuissant. Mais à condition de toujours donner l'url de la page web contenant le hash de vérif' avant, car sinon il peut la remplacer par une url fausse, contenant son faux hash.
Voilà, j'espère t'avoir éclairé ?
PS : Sh4D0w, "déhasher" ce n'est pas "interdit" c'est "impossible". Par exemle le md5 ou le sha1, sont des processus sans retour, la seul façon de les deviner c'est d'avoir une bibliothèque contenant les hashs de certains mots (qui est déjà en train de se constituer depuis longtemps pour le md5) et ensuite de comparer.
Un poste sans accent ? La faute au clavier qwerty :/
|| Merci de mettre des titres explicites !!! || La bouille à Troll ? ||
Vous voulez remercier l'équipe du forum ? Participez ! Exprimez-vous ! Revenez et parlez de ce que vous voulez !
|