Crypto-News
1998
Les nouvelles actualisées
sont
ici
Version 0.90 de GNUPG pour Linux (en français) La version 0.90 de GNU
Privacy Guard est publiée.
NAI met provisoirement PGP 6.02 en téléchargement gratuit Network Associates Inc. (NAI) vient de mettre PGP 6.02 (version DH "for
Personal Privacy") en téléchargement
gratuit pour une période limitée (accessible seulement
aux citoyens américains et canadiens). La raison de cette offre
exceptionnelle n'est pas expliquée par NAI, mais il faut probablement
la rapprocher du récent et très controversé Accord
de Wassenaar du 3 décembre 1998.
Miroitage des liens "Security & Encryption" de Peter Gutmann La page "Security and Encryption-related Resources and Links" (323
Ko) du cryptographe néo-zélandais Peter Gutmann est dorénavant
miroitée
sur ce site. (adresse originale : http://www.cs.auckland.ac.nz/~pgut001/links.html
)
La GILC publie une motion pour les 50 ans de la DUDH Pour le Cinquantenaire de la Déclaration Universelle des Droits
de l'Homme, la coalition GILC publie une motion
(texte en français) évoquant entre autres la crypto.
"INTERNATIONAL CRYPTOGRAPHY FREEDOM" sur ce site Notre site anglais participe à la campagne INTERNATIONAL CRYPTOGRAPHY
FREEDOM en miroitant 10 Mo de crypto à l'adresse : http://www.fortunecity.com/skyscraper/oracle/598/cryptofree-fr.htm
Phil Zimmermann défend PGP 6.02 Dans le N° 2 du Zimmermann Telegram,
Phil
Zimmermann s'exprime sur la faille de sécurité ayant
affecté PGPdisk 1.0 (et résolue dans PGPdisk 2.0 et 6.02)
et défend NAI et la nouvelle version PGP 6.02.
Des sites-archives de crypto libre sont mis en place dans le monde entier en réponse à l'Accord de Wassenaar Suite à l'appel de
John Gilmore,
des sites-archives de crypto libre se mettent en place dans le monde entier.
La liste de ces sites refuges est miroitée
sur notre site et actualisée sur son site original : http://jya.com/crypto-free.htm.
PGP 6.02 pour MacOS est disponible en français La dernière version de PGP pour Mac est disponible en français
grâce à une traduction de Jean-Pierre Kuypers. Le fichier
de configuration de langue existe aussi pour les versions 5.5.3i et
6.0 (télécharger les fichiers /pub/PGP/ "rustine*.*").
PGP pourrait être exclu des sites FTP dans 33 pays Réunis à Vienne le 3 décembre, les 33 pays signataires
de l'Accord de Wassenaar limitant les exportations d'armement (dont le
Japon, l'Allemagne et la Grande-Bretagne) se sont mis d'accord pour imposer
des contrôles sur les technologies de cryptage les plus puissantes,
y compris pour la première fois les logiciels grand public. L'annonce
en a été faite par l'envoyé spécial américain
pour la cryptographie, David Aaron (Source : Reuters).
L'Université de Tromsø, en Norvège, publie une
version de PGP pour l'ordinateur de poche Palm Pilot III : PGPpilot-0.1.0
. Il faut avoir auparavant installé le fichier pilotSSLeay-2.01.tar.gz.
L'adhésion de NAI à la Key Recovery Alliance (KRA) jette le trouble chez les utilisateurs de PGP NAI est mis en cause pour son adhésion
à la KRA (Key Recovery Alliance)
qui milite pour un système de recouvrement de clefs. NAI avait quitté
cette association début 1998 après avoir racheté PGP
Inc., mais l'a rejoint le 2 juillet 1998 à la faveur du rachat d'une
entreprise adhérente de la KRA. Un des développeurs de PGP
5.0, Dave del Torto, vient de s'inquiéter
publiquement des objectifs de la KRA et de leur compatibilité
avec les versions actuelles de PGP.
Le Manuel de PGP 6.0 est disponible en français Le "Guide de l'utilisateur de PGP 6.0" (version
Windows) a été traduit en français par plusieurs participants
du forum de discussion fr.misc.cryptologie. Les captures d'écran
du manuel original sont reproduites en version "francisée".
Une version pirate de PGP 6.0 "for Business Security" PGP 6.0 "for Business Security", version commerciale complète
(incluant PGPdisk), a été piraté et miroité
sur un FTP situé en Europe moins de 15 jours après sa mise
en vente par NAI/NAI-BV.
Un patch 128 bits pour Netscape 4.5 (Win, Unix, OS/2) Le patch 128 bits pour Netscape 4.5 ou inférieur (Communicator
ou Navigator) est disponible sur le site de Fortify
en Angleterre : pour Win95-98-NT (ftp://fortify.net/pub/Fortify/fn210w32.exe),
Linux/Unix et OS/2 (bientôt). Il permet de transformer le chiffrement
40 bits de la version hors-USA de Netscape en 128 bits lors des connexions
sécurisées avec les sites web. (Les versions françaises,
ou anglaises légalement distribuées en France, ne sont pas
patchables).
Ståle Schumacher Ytteborg ouvre un fonds de souscription pour le scannage de PGP 6.0i Ståle Schumacher Ytteborg, le responsable de la International
PGP Homepage, a mis sur pied un fonds afin de recueillir la somme nécessaire
à l'achat des 28 volumes (12.000 pages) de code-sources imprimés
de PGP 6.0 et PGPdisk 1.0 (Windows et Mac). Il a besoin d'au moins 1200
$ (somme qui couvre également les frais d'expédition depuis
les USA) + 300 $ pour la mise à jour des appareils de scannage.
Les personnes qui voudraient donner de l'argent au fonds peuvent envoyer
un e-mail à exportfund@pgpi.org,
avec les informations suivantes : numéro de carte VISA ou MasterCard,
nom du titulaire de la carte, date d'expiration, montant donné.
Le e-mail doit impérativement être crypté avec la clef
de Ståle Schumacher : 0xCCEF447D (RSA) ou 0x0A791610 (DSS/DH).
TkPGP : une interface graphique pour PGP 5.0i Linux/Unix Dmitri E. Soloviev publie une version beta de TkPGP,
une interface graphique pour X-Window qui permet d'utiliser PGP 5.0i de
façon conviviale sous Linux/Unix.
Network Associates Inc. met en ligne la signature digitale de PGP 6.0 freeware NAI met en ligne la signature
PGP du fichier d'installation de PGP 6.0 freeware. Ce dernier ayant
été exporté des USA "par des inconnus", rien ne garantissait
jusqu'ici que la version disponible en Europe était bien la version
originale de NAI.
L'AFUU lance une campagne pour la libéralisation du chiffrement en France L'Association Française des Utilisateurs d'Unix et des Systèmes
Ouverts (AFUU) lance une
campagne
pour la libéralisation du chiffrement en France. L'AFUU a "décidé
de lancer le débat auprès de ses adhérents sur l'impact
de la loi sur le chiffrement sur leur entreprise au travers d'un questionnaire.
Les résultats de ce questionnaire seront ensuite utilisés
pour rédiger un livre blanc à destination du gouvernement."
Le Manuel d'utilisation de ScramDisk 2.02c est en français Le Manuel français de ScramDisk 2.02c est disponible au format
Acrobat
PDF
Jetico publie BestCrypt 6 beta avec son code-source La nouvelle version 6.0 beta de BestCrypt pour Windows 95, 98 et NT
est disponible et contient le code source pour le cryptage/décryptage
et la vérification du mot de passe. Cette nouvelle version, plus
intuitive, rend très facile le cryptage "on the fly" des disques
durs. Evaluation disponible
sur le site de Jetico.
Le ministère de l'Economie allemand veut une libéralisation de la cryptographie En se prononçant, jeudi 17 septembre à Berlin, en faveur
de la libéralisation de la cryptographie et en critiquant les systèmes
de recouvrement de clé, Guenter Rexrodt, du ministère de
l'Economie allemand, obère l'avenir de la législation française.
Rexrodt a déclaré notamment : "L'Allemagne a l'intention
de travailler avec les autres pays pour pousser le marché à
s'ouvrir à la technologie cryptographique." Il a aussi critiqué
"les contrôles américains à l'exportation qui empêchent
les autres pays d'obtenir la meilleure technologie de sécurité
aujourd'hui disponible" et a mis en garde les Etats-Unis contre tout système
de recouvrement de clé. Source : Reuters.
L'association IRIS estime que la situation cryptographique en France "n'est pas digne d'une nation civilisée" Dans le communiqué de presse accompagnant le texte français
de la campagne GILC-Wassenaar, l'association
IRIS
appelle une nouvelle fois le gouvernement à abandonner sa politique
anti-cryptographie.
La coalition GILC déclare : "LA CRYPTOGRAPHIE N'EST PAS UNE ARME" La Coalition Internationale pour les Libertés sur Internet GILC (Global Internet Liberty Campaign) publie une déclaration officielle demandant l'abrogation des dispositions anti-cryptographie de la convention "Wassenaar Arrangement" (un accord international liant tous les grands pays industrialisés et réglementant la circulation des biens technologiques dits "à double emploi", et plus particulièrement les "armes conventionnelles" et les logiciels de cryptographie). La GILC effectue un rappel à l'ordre sémantique et technique
assez sec, déclarant notamment :
"La cryptographie est un outil
défensif, non une arme".
On notera également la référence finale faite par
la GILC aux recommandations de l'OCDE.
Cette déclaration
de la GILC (diffusée en plusieurs langues dont le français)
a été signée par toutes les grandes associations de
défense des libertés individuelles sur Internet dans le monde,
dont IRIS qui est le coordinateur
national français de la campagne.
Un rapport du Conseil d'Etat plaide pour une poursuite de la réglementation anti-cryptographique française Dans un Rapport remis le 8 septembre au Premier Ministre (et disponible
gratuitement en ligne) intitulé
Internet
et les réseaux numériques, le Conseil d'Etat s'exprime
longuement sur la cryptographie. Développant des thèses classiques,
le Rapport n'envisage le respect de l'intimité de la vie privée
que pour appeler à un "compromis" entre les libertés fondamentales
et "la sécurité publique". Le terme d"équilibre" est
aussi utilisé. Le Rapport met surtout l'accent sur les "nécessités
du commerce électronique".
L'Association des Utilisateurs d'Internet
(AUI) publie une FAQ
sur la cryptographie. Ce document est destiné à "répondre
aux questions fréquemment posées sur Usenet au sujet de la
cryptographie" et "se veut aussi factuel que possible, sans prise
de position".
PGP 6.0 freeware est disponible en Europe Network Associates Inc. publie PGP
6.0 freeware (pour Win95/98 et Mac) aux USA. Malgré la loi américaine
interdisant l'exportation de logiciels de cryptographie sûre, PGP
6.0 a été illégalement exporté par des inconnus
moins de 24 h après sa mise en ligne aux USA et est disponible en
Europe, notamment sur le FTP de Replay et sur la "International PGP Home
Page":
ScramDisk 2.02 est disponible ScramDisk 2.02 (Win95/98)
est disponible. ScramDisk est destiné au chiffrement des disques
durs et utilise un principe extrêmement sûr : le chiffrement
/ déchiffrement des données opère au niveau du système
d'exploitation et n'inscrit sur le disque que des données chiffrées
(même principe que les compresseurs de disque comme Stacker). Blowfish
(avec 256 bits), IDEA, et d'autres algorithmes sont disponibles.
Le Manuel de PGP 2.63i est disponible en français Le "Guide de l'utilisateur de PGP 2.63i Volume 1" a été
traduit en français par plusieurs participants du forum de discussion
news:fr.misc.cryptologie.
La révision de la traduction est due à Emilio Oriente qui
a signé le texte final avec sa clef RSA
PGP 5.0i en français pour les PC (LINUX, UNIX et DOS) Après la version 5.5.3i pour MacOS, PGP 5.0i est disponible en
français pour les PC et compatibles x86 (version Linux / UNIX et
DOS) grâce à une traduction effectuée par Guy Brand.
Phil Zimmermann condamne les clefs publiques supérieures à 4096 bits Dans un message signé daté
du 31 juillet 1998, Phil Zimmermann, le créateur de PGP, condamne
la longueur excessive des clefs publiques utilisées par certaines
versions modifiées à partir du code-source public. Il s'agit
là d'un désaveu de l'équipe de Imad R. Faiad et des
"Cyber Knights Templar" qui diffuse des versions PGP dite "C-KT" à
clefs DH 8192 et RSA 16384 bits.
TÉLÉCHARGEZ les principales versions de PGP sur notre site anglais Les principales versions de PGP sont désormais téléchargeables
sur notre site miroir anglais à l'adresse http://www.fortunecity.co.uk/skyscraper/techie/18/soft.htm
L'EFF signe la mort du DES et prouve que les gouvernements exagèrent la résistance des logiciels de cryptographie autorisés En cassant en 3 jours un message chiffré avec le standard DES-56
bits, l'Electronic Frontier Foundation
(EFF) prouve que les déclarations du gouvernement américain
étaient fausses. Le DES est le standard US conseillé par
ce dernier qui continuait jusqu'ici à affirmer que casser le DES
était hors de portée des particuliers pour des raisons de
coût, de connaissances techniques et de temps.
Le miroir français de PGP.NET sommé de fermer par une mise en demeure officieuse du SCSSI Selon le Bulletin Lambda,
l'Université
de Technologie de Compiègne (UTC) a reçu une lettre du
SCSSI lui enjoignant de supprimer le miroitage du FTP de PGP.NET qu'il
effectuait depuis quelques mois. L'administrateur système a informé
ses partenaires européens du projet PGP.NET qu'il interrompait le
miroitage en France. Cependant, pour une raison inconnue, l'UTC refuse
de s'exprimer sur le sujet et considère
"l'incident clos".
D'autre part, il semble que cette affaire se soit traitée en dehors
de toute intervention de l'autorité judiciaire, et sur simple demande
administrative du SCSSI, demande acceptée par l'UTC sans contestation.
Une version PGP 5.5.3i à clefs DH de 8192 bits et RSA de 16384 bits Publication par le groupe de programmeurs
"Cyber-Knights
Templar" d'une version freeware C-KT
PGP 5.5.3i permettant l'usage de clefs publiques DH de 8192 bits et
RSA de 16384 bits.
Le SCSSI reconnaît l'impossibilité d'appliquer la loi anti-crypto à l'encontre des personnes privées Dans une interview au magazine
Réseaux
& Télécoms (N° 124), le Général
Desvignes, patron du SCSSI, s'exprime sur l'usage répandu de PGP
par les personnes privées en France. Sans jamais évoquer
les protections constitutionnelles européennes et françaises
de l'intimité de la vie privée, il reconnaît cependant
qu'il y a impossibilité d'appliquer la loi anti-crypto à
l'encontre des personnes privées.
Network Associates International
BV a ouvert son site web aux Pays-Bas et vend la totalité des
versions personnelles et professionnelles de PGP dans le monde entier.
Une version d'évaluation 30 jours est téléchargeable.
NAI distribue PGP directement en Angleterre, Allemagne, Suisse, Autriche,
Italie, Brésil et Japon. Pour les autres pays, la distribution est
effectuée par NAI-BV depuis les Pays-Bas.
Le chef du SCSSI fait reposer l'efficacité de la législation française anti-crypto sur les restrictions US à l'exportation Dans le supplément "Multimedia" (24-25 Mai 1998) du journal Le
Monde, le Général Desvignes déclare : " Si
les USA autorisent les exportations sans restriction, plus personne ne
pourra rien contrôler."
PGP 5.5.3i est disponible en français (pour Mac) La première version non-anglaise de PGP 5.5.3i est française,
disponible pour Mac. On la doit à Jean-Pierre Kuypers en Belgique
et on la trouve ici (fichier "rustine") : ftp://ftp.sri.ucl.ac.be/pub/PGP/
PGP 5.0i pour ATARI PGP 5.0i pour Atari est disponible en Norvège : ftp://ftp.no.pgpi.org/pub/pgp/5.0/atari/pgp50ib.zip
Un responsable au Secrétariat général de la Défense nationale juge que ses homologues américains sont "tout à fait désorientés" et gênés par "l'opinion publique" Dans un rapport
du sénateur René Trégouët (sur l'évolution
générale d'Internet en France), un responsable du Secrétariat
général de la Défense nationale (qui a la tutelle
du SCSSI) prend ses distances avec la stratégie des autorités
américaines.
PGP 5.5.3 international pour Windows 95 est arrivé Mardi 7 avril à 12:15 GMT, Ståle Schumacher a mis en ligne
PGP 5.5.3i pour Windows 95 depuis la Norvège : ftp://ftp.no.pgpi.org/pub/pgp/5.5/win95nt/pgp553i-win95nt.exe
(archive de 2.2 Mo). PGP 5.5.3i est freeware, il a été exporté
légalement des USA, et il peut être utilisé pour usage
non-commercial dans tous les pays du monde, Union Européenne et
Espace Economique Européen compris.
PGP 5.0i pour OS/2 William H. Geiger III publie une version
PGP
5.0 for OS/2.
PGP 5.5.3i pour Mac est disponible PGP 5.5.3i pour Macintosh est publié par Ståle Schumacher
et Teun Nijssen en Norvège.
Les décrets du 23/03/98 interdisent l'utilisation de toute cryptographie sûre en France Les décrets 98-206 et 98-207 du 23/03/98 "définissant
les catégories de moyens et de prestations de cryptologie dispensées
de toute formalité préalable" autorisent l'usage libre de
logiciels de cryptographie de 40 bits en France. Les autres logiciels devront
être homologués par un organisme administratif, le SCSSI (Service
Central de la Sécurité des Services Informatiques).
Network Associates annonce la distribution immédiate de PGP dans le monde entier Le 20 mars lors du CEBIT' 98 de Hanovre, Network Associates Inc. a
annoncé la distribution immédiate de PGP dans le monde
entier, en vertu de l'exportation légale des USA de PGP sous forme
de livre imprimé. Toutes les versions futures seront disponibles
dans le monde entier, Union Européenne et Espace Economique Européen
compris. La filiale européenne de NAI, basée à Amsterdam,
a commencé la vente du logiciel le jour même.
PGP freeware 5.5.5 disponible en Europe PGP 5.5.5 (dernière version freeware US) est disponible en Europe après avoir été exporté illégalement des USA par des inconnus. Version Windows 95 et version Mac. Un patch
spécial a été publié pour PGP 5.5 freeware
: il permet la génération de clefs RSA compatibles PGP 2.6x
PGPdisk pour Windows 95 Network Associates Inc. publie aux
USA "PGP Total Network Security Suite", qui inclue PGPdisk 1.0 pour Win95
et 1.01 pour Mac. La version Mac existe depuis un an et est disponible
en pirate sur le site de Replay
Associates. PGPdisk permet le chiffrement / déchiffrement d'un
disque dur en temps réel, sur le même principe que les compresseurs
de disques tels Stacker. Ce procédé est le seul vraiment
fiable pour sécuriser les informations stockées sur un ordinateur.
Décrets français : IRIS dénonce une "logique sécuritaire" Selon l'association IRIS,
"La logique sécuritaire de la réglementation française
demeure inchangée". Extrait : "L'économie générale
du décret sur les tiers de confiance est un sentiment de suspicion
à l'égard de la confidentialité."
Version finale de PGP 5.0i pour MS-DOS Georg Bauer a terminé la version finale de PGP
5.0i pour DOS basée sur la version finale pour UNIX. Mais il
n'y a encore aucun shell pour Windows 3.1 qui soit compatible avec cette
version 5.0i.
L'Autorité de Régulation des Télécommunications appelle à un débat public sur la cryptologie en France Dans une délibération du 8 octobre 1997 publiée
seulement aujourd'hui (Journal Officiel du 27/02/98), l'Autorité
de Régulation des Télécommunications rend un avis
défavorable sur le projet de décrets interdisant la cryptographie
sûre en France. Dans ses observations générales préliminaires,
on peut lire : "-Suggère que soit engagée une large réflexion
publique sur les enjeux de la cryptologie et les règles qui doivent
la régir."
Le Challenge DES II lancé par RSA Inc. le 13 janvier a été cassé Le 23 février 1998, à 02:26 GMT, l'équipe du Bovine RC5 Effort a réussi à casser le Challenge DES-II-1 (56 bits) de RSA Inc. après seulement 39 jours de travail. La clef était 76 9E 8C D9 F2 2F 5D EA et le message chiffré disait : "The secret message is: Many hands make light work." Le Challenge RC5-64 bits quant à lui continue, et on peut télécharger
le logiciel de
participation (par exemple version Windows
95). Voir pour plus d'infos la
FAQ.
Nouvelle version de FORTIFY pour Netscape : 128 bits + S/MIME Farrell McKay publie une version 1.21 de Fortify,
qui donne un module cryptographique de 128 bits au lieu de 40 à
toutes les versions de NETSCAPE (Win95 ou Linux/Unix, versions anglaise
ou française non téléchargées en France), ainsi
qu'une clef plus longue pour le chiffrement S/MIME du courrier. Le site
web situé en Grande-Bretagne
propose en outre de tester le module cryptographique de sa propre version
de Netscape en se connectant directement sur cette
page.
PGP 5.0i pour AMIGA Stefan Zakarias publie une version
Amiga beta 8a3, disponible sur son Amiga-PGP5-International
Page (en Australie). L'auteur ne semble pas l'avoir miroité
sur un seul FTP en Europe pour le moment.
La GILC épingle la France dans son rapport "Cryptography and Liberty" La coalition GILC (Global Internet Liberty Campaign) publie un rapport
très complet intitulé "Cryptography
and Liberty, an international survey of encryption policy". Dans ce
rapport, elle mentionne le cas de la France au chapitre "Chiffrement et
droits de l'homme". Extrait : "Les agents du contre-espionnage français
ont écouté le téléphone de journalistes importants
et de dirigeants des partis d'opposition. La Commission Nationale de Contrôle
des Interceptions de Securité française a estimé qu'il
y avait environ 100,000 interceptions illégale effectuées
chaque année en France." La Grande-Bretagne et l'Allemagne sont
aussi mentionnées dans ce chapitre. A noter que le SCSSI a refusé
de répondre aux questions de la GILC.
Des trous de sécurité dans les modules cryptographiques de Microsoft Le néo-zélandais Peter Gutmann publie une
étude intitulée "How to recover private keys for various
Microsoft products - Where do your encryption keys want to go today?"
qui pointe les graves faiblesses cryptographiques contenues notamment dans
la version US-128 bits d'Internet Explorer 4.
Bruce Schneier relève des pièges de sécurité dans la plupart des logiciels cryptographiques Bruce Schneier publie "Security
Pitfalls in Cryptography", une étude dans laquelle il relate
comment lui et son équipe de CounterPane
Systems ont pu attaquer victorieusement la plupart des logiciels de
cryptographie vendus dans le commerce. Extrait : "Nous n'avons pas à
essayer toutes les clefs possibles, ou même trouver des faiblesses
dans les algorithmes. Nous exploitons des erreurs dans la conception, des
erreurs dans l'implémentation, et des erreurs dans l'installation.
Parfois, nous inventons une nouvelle ruse pour casser le système,
mais la plupart du temps nous exploitons les mêmes vieilles erreurs
que les concepteurs font à plusieurs reprises." Schneier est
aujourd'hui le plus réputé des spécialistes civils
en cryptologie.
Cryptographie en France : IRIS juge qu'un compromis est impossible Dans sa lettre d'information n° 1 de janvier 98, l'association IRIS
considère qu'en matière de cryptographie aucun compromis
n'est possible (tiers de confiance, faible longueur de clef, etc.). Extrait
: "Il n'y a pas de compromis possible en l'affaire(...). Il n'y a que
le choix - éminemment politique - de donner la priorité au
droit à la confidentialité ou à la "raison d'État"".
Le code-source de PGP 5.5i (Win95) disponible Le code-source de PGP for Personal Privacy 5.5 pour Win95 a été
scanné par Ståle Schumacher et Teun Nijssen, et est disponible
en Norvège sur la International PGP
Home Page, ainsi que la librairie de développement (DLL) PGP-SDK.
Les versions binaires 5.5 "internationale" pour Win95 et Mac sont attendues
prochainement.
Mise à jour : décembre 1998 © 1997, 1998, 1999, 2000, pplf 14A0 4A67 0431 2402 684D 6EBA 537F 664D 3F80 0D58 pgpenfrancais@bigfoot.com |