On Mon, Nov 19, 2012 at 5:03 PM, Tarek Ziadé <span dir="ltr"><<a href="mailto:tarek@ziade.org" target="_blank">tarek@ziade.org</a>></span> wrote:<br><div class="gmail_extra"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">
<div class="im">On 11/19/12 11:01 PM, Daniel Holth wrote:<br>
<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">
Unfortunately the whole signed mirror system falls down because it relies on md5 hashes (<a href="http://www.kb.cert.org/vuls/id/836068" target="_blank">http://www.kb.cert.org/vuls/<u></u>id/836068</a>) although the signing key seems to be long enough. What would it take to get SHA-2 (or 3) added? <br>

</blockquote></div>
No, the mirroring protocol use SHA <a href="http://www.python.org/dev/peps/pep-0381/#mirror-authenticity" target="_blank">http://www.python.org/dev/<u></u>peps/pep-0381/#mirror-<u></u>authenticity</a><br>
<br>
The md5 hash is only a crc-check added in the tarball url<br></blockquote><div><br></div><div>The last step is just a bit outdated, that's all. To me it would seem quite harmless to change it to SHA-256 or better.</div>
<ol class="" style="list-style-position:initial;color:rgb(0,0,0);font-family:Arial,Verdana,Geneva,'Bitstream Vera Sans',Helvetica,sans-serif;font-size:15px;line-height:17.816667556762695px"><li style="margin-left:1em;padding-left:0px;line-height:1.5">
download the /simple page, and compute its SHA-1 hash</li><li style="margin-left:1em;padding-left:0px;line-height:1.5">compute the DSA signature of that hash</li><li style="margin-left:1em;padding-left:0px;line-height:1.5">
download the corresponding /serversig, and compare it (byte-for-byte) with the value computed in step 2.</li><li style="margin-left:1em;padding-left:0px;line-height:1.5">compute and verify (against the /simple page) the MD-5 hashes of all files they download from the mirror.</li>
</ol></div></div>