<html>
  <head>
    <meta content="text/html; charset=ISO-8859-1"
      http-equiv="Content-Type">
  </head>
  <body bgcolor="#FFFFFF" text="#000000">
    <div class="moz-cite-prefix">On 7/3/12 4:32 PM, PJ Eby wrote:<br>
    </div>
    <blockquote
cite="mid:CALeMXf76twE0jkKeyjCKA21_ZJYmSC7FXPM5=9ikAtMV=RbSNA@mail.gmail.com"
      type="cite">
      <div class="gmail_quote">On Tue, Jul 3, 2012 at 8:48 AM, Jeroen
        Dekkers <span dir="ltr">&lt;<a moz-do-not-send="true"
            href="mailto:jeroen@dekkers.ch" target="_blank">jeroen@dekkers.ch</a>&gt;</span>
        wrote:<br>
        <blockquote class="gmail_quote" style="margin:0 0 0
          .8ex;border-left:1px #ccc solid;padding-left:1ex">
          And yes, attacks on md5 will only get better, so we should
          migrate to<br>
          better hashes in the future. </blockquote>
        <div><br>
          No, because that's not what the RECORD hashes are for.&nbsp; It's
          not an intrusion detection system, it's an installer conflict
          and "oops I edited the wrong file" checker.<br>
          <br>
          People who are upset because md5 is low security are correctly
          understanding that this system *provides no security*.&nbsp; We are
          not promising ANY security, so *not* using a secure hash is
          actually preferable.&nbsp; The goal is data integrity against
          accidental overwrite by dumb installer tools (e.g. distutils)
          and accidental edits, not security against malicious
          tampering.<br>
        </div>
      </div>
    </blockquote>
    <br>
    Yeah I don't really understand this debate over md5 hashes here. I
    suggest that we emphasis in PEP 376 the fact that the sole purpose
    is to have a checksum.<br>
    <br>
    <br>
    <br>
    <blockquote
cite="mid:CALeMXf76twE0jkKeyjCKA21_ZJYmSC7FXPM5=9ikAtMV=RbSNA@mail.gmail.com"
      type="cite">
      <div class="gmail_quote">
        <div>
          <br>
        </div>
      </div>
      <br>
      <br>
      <fieldset class="mimeAttachmentHeader"></fieldset>
      <br>
      <pre wrap="">_______________________________________________
Distutils-SIG maillist  -  <a class="moz-txt-link-abbreviated" href="mailto:Distutils-SIG@python.org">Distutils-SIG@python.org</a>
<a class="moz-txt-link-freetext" href="http://mail.python.org/mailman/listinfo/distutils-sig">http://mail.python.org/mailman/listinfo/distutils-sig</a>
</pre>
    </blockquote>
    <br>
    <br>
  </body>
</html>