Foire Aux Questions à propos de PGPi

Ce qui suit est une liste des questions les plus fréquemment posées à propos de PGPi. Les commentaires doivent être envoyés à stale@hypnotech.com .

Dernière mise à jour: 14 Juillet 2000.

Auteur: Ståle Schumacher Ytteborg
Traduction française: pgpenfrancais@bigfoot.com (d'après la page anglaise originale disponible sur http://www.pgpi.org/doc/faq/pgpi/en)


Contenu

  1. Version internationale contre version US

  2. 1.1. Qu'est-ce que PGPi?
    1.2. Pourquoi créer une version internationale de PGP?
    1.3. Maintenant que NAI peut exporter PGP librement, que va-t-il arriver au projet PGPi?
    1.4. Quelle est la dernière version de PGPi?
    1.5. En quoi PGPi diffère de PGP?
    1.6. En quoi PGP 6i est compatible avec les autres versions de PGP?
    1.7. Y aura-t-il un PGP 6 pour Unix?
    1.8. Alors, où est la ligne de séparation? Quelle version dois-je utiliser?
  3. Problèmes légaux

  4. 2.1. Que veut dire "internationale"? Qui peut l'utiliser?
    2.2. Puis-je utiliser PGPi à des fins commerciales?
    2.3. Puis-je utiliser le code de PGP dans mes propres programmes?
    2.4. Puis-je redistribuer PGPi?
  5. L'obtenir

  6. 3.1. Où puis-je obtenir une copie de PGPi?
    3.2. Quels modules externes de courrier électronique existent pour PGP 6.x?
    3.3. Y a-t-il un module externe pour Netscape Messenger?
    3.4. Y a-t-il une librairie DLL PGP?
    3.5. Où puis-je mettre à jour les modules de langue pour PGPi?
    3.6. Où puis-je obtenir PGPdisk?
  7. L'installer

  8. 4.1. Comment puis-je vérifier l'intégrité de PGPi?
    4.2. J'ai des problèmes à installer PGPi. Que faire?
    4.3. Je ne parviens pas à faire fonctionner PGP 6.0.2i avec Outlook Express (Internet Explorer) 5.0. Qu'est-ce qui ne va pas?
  9. Problèmes de sécurité

  10. 5.1. PGP peut-il être craqué?
    5.2. PGPi n'est-elle pas la version qui a été affaiblie pour l'export par la NSA?
    5.3. PGP contient-il une porte arrière?
    5.4. J'ai entendu que PGP 5 et supérieur contient des fonctions de récupération de message. Est-ce vrai?
    5.5. PGP contient-il des fonctions de récupération de clef?
  11. Divers

  12. 6.1. Comment PGP 5.5 et supérieur ont-ils pu être numérisés aussi vite?
    6.2. Y a-t-il des bogues dans PGPi?
    6.3. Qui est responsable de PGPi?
    6.4. Où puis-je obtenir de l'assistance pour PGPi?
    6.5. Où puis-je en lire davantage à propos de PGP?
Si vous avez des questions à propos de PGP en général, essayez la FAQ de comp.security.pgp



1.1. Qu'est-ce que PGPi?

 PGPi est la variante internationale de PGP (Pretty Good Privacy), un programme de cryptage à clef publique écrit à l'origine par Phil Zimmermann en 1991. Les versions suivantes de PGP ont été développées par le MIT, ViaCrypt, PGP Inc., et à présent Network Associates Inc. (NAI). PGP est le standard de-facto pour le cryptage des courriers électroniques aujourd'hui, avec des millions d'utilisateurs dans le monde. 

Les versions internationales de PGP diffèrent légèrement des versions US mais pour le reste elles sont complètement interopérables. Voyez ci-dessous pour des détails.



1.2. Pourquoi créer une version internationale de PGP?

PGP a été élaboré à l'origine à l'intérieur des USA, mais s'est propagé dans le reste du monde en dépit des réglementations US qui contrôlaient l'exportation de cryptographie forte. PGP 5.0i (réalisé en 1997) fut la première version de PGP à être légalement disponible en dehors des USA et du Canada, car le programme fut exporté sous forme de livres imprimés et ensuite numérisé et passé à la reconnaissance optique de caractères pour obtenir le code sous forme électronique. 

Les raisons de numériser la source et de réaliser une version spéciale, appelée PGPi, furent nombreuses: 

  1. Rendre le code source disponible au grand public. De cette façon n'importe qui peut examiner le code pour chercher des erreurs ou des portes arrières cachées. 
  2. Rendre possible le portage vers les autres systèmes d'exploitation: Unix, MS-DOS, OS/2, Amiga, Atari, VMS, etc. 
  3. Lever tous les doutes sur la légalité de PGP en dehors des USA et du Canada. Bien que la plupart des gens croient que PGP peut s'utiliser légalement une fois exporté, beaucoup d'entre eux continuaient à ne pas se sentir à l'aise à utiliser un logiciel qui a été à un moment ou un autre illégalement exporté. Maintenant que nous avons PGPi, la dernière ombre de doute devrait être levée. 
  4. Montrer combien sont stupides les réglementations US sur l'exportation, et qu'elles ne sont plus en rapport avec le monde réel. 
Grâce au projet PGPi, des millions d'utilisateurs dans le monde entier ont accès à une cryptographie gratuite et forte. En 1999, le gouvernement US a finalement levé les contrôles à l'exportation de logiciels cryptographiques. Vous pouvez lire davantage sur le projet PGPi ici


1.3. Maintenant que NAI peut exporter PGP librement, que va-t-il arriver au projet PGPi?

En septembre 1999 le gouvernement US a annoncé l'assouplissement des réglementations sur l'exportation de logiciels cryptographiques, et en décembre 1999 NAI a obtenu une licence d'exportation dans le monde entier pour PGP. Cela signifie qu'il ne sera probablement plus nécessaire de numériser et passer à la reconnaissance de caractères les futures versions de PGP, parce que le code-source pourra être légalement exporté électroniquement. Cependant, le projet PGPI va continuer, en se concentrant sur le développement, le portage, la traduction et la localisation, plutôt que sur la numérisation. Nous sommes toujours dévoués pour vous donner des versions de PGP d'une haute qualité, gratuites, et incluant le code-source complet. 



1.4. Quelle est la dernière version de PGPi?

La dernière version internationale de PGP pour Windows 95/98/NT, MacOS et Unix est PGP 6.5.1i. C'est aussi la dernière version pour laquelle le code-source est disponible. 

La dernière réalisation US est 6.5.3 (Windows) et 6.5.2a (MacOS), et ce sont les versions que vous devriez utiliser si vous ne vous préoccupez pas du code-source, ou si vous voulez les dernières corrections de bugs, ainsi qu'un support pour Windows 2000 et MacOS 9. 

Pour une liste complète de la dernière version de PGP pour les différentes plates-formes, voyez ici



1.5. En quoi PGPi diffère de PGP?

 PGPi est à la base la même version que PGP, mais il y a quelques différences importantes:

  1. L'utilisation des clefs RSA est supportée (pour permettre une compatibilité ascendante avec PGP 2.x).
  2. Le serveur de clefs par défaut est en Europe, et non aux USA.
  3. Le code source pour PGPi est disponible en téléchargement, de sorte que vous pouvez examiner le code pour chercher des erreurs, portes arrières, etc. 
  4. PGPi a été porté sur plusieurs nouvelles plates-formes, comprenant MS-DOS, OS/2, Amiga, Atari et diverses variantes d'Unix. 

1.6. En quoi PGP 6i est compatible avec les autres versions de PGP?

 PGP 6i peutlireet comprendre les messages, clefs et signatures créés avec PGP 2.0 et supérieur. (Notez, cependant, que les clefs ne peuvent pas être plus grandes que 4096 bits. Aucune version officielle de PGP n'utilise des clefs plus grandes, du reste.) 

PGP 6i peut générerdes messages, des clefs et des signatures qui peuvent être lus et compris par PGP 2.6.x et supérieur, aussi longtemps que vous utilisez seulement des clefs RSA. PGP 6i supporte aussi les clefs DSS/Diffie-Hellman, mais les messages cryptés en utilisant ce nouveau type de clef ne peuvent pas être lus par des versions antérieures à la 5.0. 

Notez, cependant, que les messages de PGP 6i ne peuvent pas être compris par les versions PGP 2.3a ou inférieures, quelque soit le type de clefs que vous utilisez. 



1.7. Y aura-t-il un PGP 6 pour Unix?

 Oui. PGP 6.5.1i est disponible sous forme de programme en ligne de commande, comme pour les séries PGP 2.x. Il est actuellement en beta test, et le code a encore besoin de travail avant qu'il compile proprement sur toutes les plates-formes. Si vous êtes intéressé vous pouvez le télécharger ici. Vous aurez besoin de GCC et GNU make pour le compiler.



1.8. Alors, où est la ligne de séparation? Quelle version dois-je utiliser?

Si vous voulez une version de PGP où le code-source est disponible (de telle façon que vous puissiez rechercher des erreurs et des portes dérobées), vous devriez utiliser PGP 6.5.1i. Si vous utilisez Windows ou MacOS et que vous voulez les dernières corrections de bugs, ainsi que le support pour Windows 2000 et MacOS 9, vous devriez utiliser PGP 6.5.3 (Windows) ou 6.5.2a (MacOS). 



2.1. Que veut dire "internationale"? Qui peut l'utiliser?

Le 'i' dans le numéro de version est là pour 'internationale'. Elle peut être utilisée dans n'importe quel pays où le cryptage est légal. Si vous n'êtes pas sûr que le cryptage est légal dans votre pays, vérifiez le Crypto Law Survey



2.2. Puis-je utiliser PGPi à des fins commerciales?

 Oui, vous pouvez, mais vous devez obtenir une licence pour l'utilisation commerciale auprès de Network Associates Inc. ou de ses représentants autorisés. 

Si vous êtes situé aux USA ou au Canada, allez à: http://www.nai.com/

Si vous êtes situé ailleurs, allez à: http://www.pgpinternational.com/

Si vous souhaitez utiliser un produit compatible avec PGP (i.e., un produit de cryptage qui puisse interopérer avec PGP ou basé sur le standard OpenPGP, mais qui ne contienne pas de logiciel actuellement détenu par PGP pour implémenter ses fonctions de cryptographie), vous devez demander des licences additionnelles auprès de tiers, comme Ascom Systec AG en Suisse si l'algorithme IDEA est utilisé dans ce produit ou de RSA Data Security, Inc.si l'algorithme RSA est utilisé dans ce produit et le produit distribué aux USA. 



2.3. Puis-je utiliser le code de PGP dans mes propres programmes?

 Le code source pour PGP 2.3a et antérieur est distribué sous licence GPL - pour "General Public License" - de sorte qu'il peut être librement utilisé dans vos propres programmes. 

Le code source pour PGP 2.6 et supérieur peut être utilisé en entier sous une forme non modifiée dans les produits que vous écrivez pour votre propre utilisation non commerciale selon les termes de la licence PGP non commerciale du code source de PGP 5.0i. En raison de restrictions de licence, si l'algorithme IDEA est inclus, toute modification du code  peut requérir une licence supplémentaire de Ascom Systec AG (voir question 2.2). 

Voir aussi: Ressources des développeurs de PGP



2.4. Puis-je redistribuer PGPi?

 Oui. Toutes les versions freeware de PGPi peuvent être librement redistribuées, tant que tous les fichiers dans l'archive de distribution sont inclus, et qu'ils ne sont pas modifiés de quelque façon que ce soit. Spécifiquement, vous pouvez:

* Le mettre en téléchargement sur un site web ou un serveur FTP 
* L'inclure sur un CD-ROM qui est distribué gratuitement, ou pour un prix modeste qui couvre les frais du média et les frais de port 
* L'inclure sur un CD-ROM qui est livré comme supplément gratuit avec un livre ou un magazine
Il devrait aussi être clairement indiqué qu'il s'agit d'une version freeware, avec des pointeurs vers l'endroit où vous pouvez trouver la dernière version et la version commerciale (par exemple www.pgpi.org).

Les seules choses que vous ne pouvez pas faire avec le logiciel, sont:

  1. Faire de l'argent avec lui
  2. Le modifier
  3. Donner l'impression qu'il ne peut pas être obtenu gratuitement ailleurs

3.1. Où puis-je obtenir une copie de PGPi?

 PGPi est disponible à la fois en code source et en exécutables pour beaucoup de plates-formes différentes. Vous pouvez obtenir PGP depuis une des sources suivantes: 

WWW:

http://www.pgpi.org/download/ 
FTP:
ftp://ftp.pgpi.org/pub/pgp/ 

3.2. Quels modules externes de courrier électronique existent pour PGP 6.x?
 
Plate-forme
Programme
PGP 6.0.2i
PGP 6.5.1i
Commentaire
Windows Eudora 3.x, 4.1 et 4.2
Oui
Oui
Inclus dans PGP 6.0.2i et supérieur
Outlook 97 & 98
Oui
Oui
Inclus dans PGP 6.0.2i et supérieur
Outlook 2000
Non
Oui
Inclus dans PGP 6.5.1i
Outlook Express 4
Oui
Oui
Inclus dans PGP 6.0.2i et supérieur
Outlook Express 5
Non
Oui
Inclus dans PGP 6.5.1i
Netscape Messenger 3.x et 4.x
Non
Oui
Vous pouvez l'obtenir ici
Mozilla (Netscape 5.x)
Non
Non
Pas encore - y a-t-il quelqu'un qui travaille dessus?
Lotus Notes
Oui
Oui
Inclus dans PGP 6.5.1i, le module 6.0.2i est disponible ici
Pegasus Mail 3.x
Oui
Oui
Vous pouvez l'obtenir ici
Macintosh Eudora
Oui
Oui
Inclus dans PGP 6.0.2i et supérieur
Claris Emailer
Oui
Oui
Inclus dans PGP 6.0.2i et supérieur



3.3. Y a-t-il un module externe pour Netscape Messenger?

 PGP 6.x n'inclut pas de module externe pour Netscape, mais il y a des versions tiers disponibles en freeware:

* Netscape PGP Pluginpar Jerry Davis 
* Half-plugin par Disastry (seulement pour le déchiffrement, pas pour le chiffrement)
En outre, vous pouvez toujours chiffrer/déchiffrer via le presse-papiers.



3.4. Y a-t-il une librairie DLL PGP?

 Oui. PGP 6.0i inclut une DLL que vous pouvez appeler depuis l'intérieur de vos propres programmes. Notez, cependant, que l'API a changé entre PGP 5.x et 6.x, aussi vous ne devriez pas utiliser la DLL qui est livrée avec PGP 5.0i. Pour de l'information sur comment utiliser la DLL, voyez la documentation du PGPsdk.

Il y a aussi d'autres DLLs, SDKs et librairies que vous pouvez utiliser pour le développement de vos propres programmes - voir les Ressources des développeurs de PGP



3.5. Où puis-je mettre à jour les modules de langue pour PGPi?

 Les modules de langue pour les versions de PGP en ligne de commande peuvent être obtenus ici



3.6. Où puis-je obtenir PGPdisk?

PGPdisk est un produit commercial, et n'est pas inclus dans PGPfreeware (excepté 6.0.2i, où il fut inclus par erreur). Pour plus d'information sur la façon d'obtenir PGPdisk, voyez ici.



4.1. Comment puis-je vérifier l'intégrité de PGPi?

 Toutes les archives de distribution de PGPi contiennent un ou plusieurs fichiers de signature de telle sorte que vous pouvez vérifier que les fichiers n'ont pas été altérés. Les fichiers de signature ont l'extension de fichier ".asc" ou ".sig", et sont soit à l'intérieur de l'archive de distribution (de telle sorte que vous puissiez vérifier chacun des fichiers dans l'archive), soit dans un fichier séparé dans le même répertoire que le fichier de l'archive (de telle sorte que vous puissiez vérifier l'archive entière en une fois). 

Afin de vérifier les signatures, vous avez besoin de la clef publique des signataires: 

* Ståle Schumacher Ytteborg (0xCCEF447D / 0x0A791610): code source, versions Unix et Windows 
* Michael Westlund (0x7C20A990): version Macintosh
* CN Lab (0xDE2AB910): 6.5.1int version, Windows et Macintosh
* Stefan Zakarias (0xCA214F18): version Amiga 

4.2. J'ai des problèmes à installer PGPi. Que faire?

 D'abord, assurez-vous que vous avez lu la documentation attentivement.

 Si vous avez encore des problèmes, jetez un coup d'il à la page d'assistance



4.3. Je ne parviens pas à faire fonctionner PGP 6.0.2i avec Outlook Express (Internet Explorer) 5.0. Qu'est-ce qui ne va pas?

 Le module externe Outlook Express qui est livré avec PGP 6.0.2i ne fonctionne qu'avec OE version 4. Passez à PGP 6.5.1i à la place. 



5.1. PGP peut-il être craqué?

 Oui. Toute version de PGP peut être craquée, pourvu que l'attaquant dispose d'assez de temps et de ressources (= argent) pour ce travail. Cependant, un message PGP classique en 1024 bits prendrait environ 300,000,000,000 années/MIPS à craquer, de sorte que le citoyen ordinaire est relativement à l'abri, au moins durant les quelques prochaines décennies. Voir la FAQ des attaques de PGP (http://axion.physics.ubc.ca/pgp-attack.html) pour des détails. Si quelqu'un veut vraiment lire vos messages cryptés par PGP, il ou elle ferait probablement mieux de voler une copie de votre clef secrète et essayer de deviner votre phrase de passe ou vous forcer à lui la révéler. 



5.2. PGPi n'est-elle pas la version qui a été affaiblie pour l'export par la NSA?

 Non. PGPi est aussi sûr que toute autre version de PGP. Ni Phil Zimmermann, ni le MIT, ni la NSA, ni moi-même ou personne d'autre n'a mis une porte arrière dans PGPi, lobotomisé le générateur de nombre aléatoire, limité la taille effective de clef ou fait quoi que ce soit d'autre qui compromette la sécurité du programme. Si vous ne le croyez pas, téléchargez le code source et voyez par vous-même. Le code source de PGP peut être librement et gratuitement scruté par n'importe qui, et ceci depuis plusieurs années maintenant. Pourtant, personne n'a pu trouver la moindre porte arrière. 

Si vous n'êtes toujours pas convaincu, veuillez lire ce que Phil Zimmermann écrit à propos de l'intégrité cryptographique de PGP



5.3. PGP contient-il une porte arrière?

Non, pas que je sache. Voyez la question 5.2. La fonctionnalité ARR expliquée dans la question 5.4 n'est pas une porte arrière; c'est une fonctionnalité très bien connue et ouvertement débattue (même si beaucoup de gens ne l'aiment pas). Vous n'êtes pas obligé de l'utiliser si vous ne le voulez pas. 



5.4. J'ai entendu que PGP 5 et supérieur contient des fonctions de récupération de message. Est-ce vrai?

 Oui. Toutes les versions PGP 5.x et 6.x contiennent une fonctionnalité appelée ADK ("Additional Decryption Key" ou clé de décryptage supplémentaire), ou plus correctement ARR ("Additional Recipient Request" ou demande de destinataire supplémentaire). PGP, Inc. a implémenté cette fonctionnalité dans PGP à la demande des sociétés qui voulaient être capables de retrouver des messages écrits par leurs employés (par exemple quand les employés s'en vont). Cependant, ils l'ont rendue entièrement optionnelle. Cela fonctionne comme ceci: 

Quand vous générez une nouvelle clef en utilisant l'édition "Business" de PGP, vous pouvez spécifier que les messages cryptés avec cette clef doivent aussi être cryptés avec la clef de votre société. Quand d'autres gens plus tard cryptent des messages en utilisant votre clef, PGP (toutes les versions 5.x) vont demander que les messages soient aussi cryptés en utilisant la clef de votre société. Ceci est fait en ajoutant la clef de votre société à la liste des destinataires. Cependant, l'utilisateur peut librement retirer cette clef de la liste des destinataires s'il ou elle le désire. C'est pourquoi cette fonction est en fait une Additional Recipient Request (demande de destinataire supplémentaire); ce n'est pas obligatoire. 



5.5. PGP contient-il des fonctions de récupération de clef?

 Non, il n'en contient pas. PGP 5 et supérieur, cependant,  contiennent des fonctions de récupération de message. Voir question 5.4



6.1. Comment PGP 5.5 et supérieur ont-ils pu être numérisés aussi vite?

 Le projet de numérisation de PGP 5.0 prit plusieurs mois à mener à bien, mais les versions 5.5 et supérieur furent numérisées et vérifiées en quelques semaines seulement. Teun Nijssen explique comment cela fut possible.



6.2. Y a-t-il des bogues dans PGPi?

 Aucun programme n'est exempt de bogues à 100%, et ceci s'applique aussi à PGPi. Pour voir une liste des bogues connus et comment les corriger, ou pour rapporter de nouveaux bogues, reportez-vous à la page de bogues de PGP à http://www.pgpi.org/doc/bugs/



6.3. Qui est responsable de PGPi?

 PGPi a été publié par Ståle Schumacher Ytteborg en Norvège. Cependant, ce travail n'aurait pas été possible sans l'aide de nombreuses personnes dans le monde. Pour plus d'informations sur le projet PGPi, veuillez voir ici



6.4. Où puis-je obtenir de l'assistance pour PGPi?

 Il n'y a pas d'assistance pour les versions freeware de PGP. Si vous voulez de l'assistance, vous devrez acheter une des versions commerciales. Ceci étant dit, il y a beaucoup de ressources traitant de PGP sur Internet où vous pouvez obtenir de l'aide si vous avez des problèmes à installer ou utiliser PGP. Pour plus d'informations, regardez ici



6.5. Où puis-je en lire davantage à propos de PGP?

 Voici des liens pour commencer: 

* Autres FAQs 
* Documentation sur PGP 
* Liens sur PGP 

[ PGPi Home > Documentation > FAQs > PGPi FAQ ]