Les nouvelles actualisées sont ici
 
 

Version 0.90 de GNUPG pour Linux (en français)

La version 0.90 de GNU Privacy Guard  est publiée.
GNUPG est la version GPL (code-source libre, modifiable et gratuit) pour Linux de PGP 5.x, et respecte les spécifications du futur standard OpenPGP : Blowfish, Twofish, CAST5, 3DES, ElGamal, DSA, RIPE-MD 160, TIGER, MD5, SHA-1, etc.
Livré en sources, GNUPG 0.90 supporte une dizaine de langues, et se compile de lui-même en version française.
 

NAI met provisoirement PGP 6.02 en téléchargement gratuit

Network Associates Inc. (NAI) vient de mettre PGP 6.02 (version DH "for Personal Privacy") en téléchargement gratuit pour une période limitée (accessible seulement aux citoyens américains et canadiens). La raison de cette offre exceptionnelle n'est pas expliquée par NAI, mais il faut probablement la rapprocher du récent et très controversé Accord de Wassenaar du 3 décembre 1998.
 

Miroitage des liens "Security & Encryption" de Peter Gutmann

La page "Security and Encryption-related Resources and Links" (323 Ko) du cryptographe néo-zélandais Peter Gutmann est dorénavant miroitée sur ce site. (adresse originale :  http://www.cs.auckland.ac.nz/~pgut001/links.html )
 

La GILC publie une motion pour les 50 ans de la DUDH

Pour le Cinquantenaire de la Déclaration Universelle des Droits de l'Homme, la coalition GILC publie une motion (texte en français) évoquant entre autres la crypto.
 

"INTERNATIONAL CRYPTOGRAPHY FREEDOM" sur ce site

Notre site anglais participe à la campagne INTERNATIONAL CRYPTOGRAPHY FREEDOM en miroitant 10 Mo de crypto à l'adresse : http://www.fortunecity.com/skyscraper/oracle/598/cryptofree-fr.htm
 

Phil Zimmermann défend PGP 6.02

Dans le N° 2 du Zimmermann Telegram, Phil Zimmermann s'exprime sur la faille de sécurité ayant affecté PGPdisk 1.0 (et résolue dans PGPdisk 2.0 et 6.02) et défend NAI et la nouvelle version PGP 6.02.
 

Des sites-archives de crypto libre sont mis en place dans le monde entier en réponse à l'Accord de Wassenaar

Suite à l'appel de John Gilmore, des sites-archives de crypto libre se mettent en place dans le monde entier. La liste de ces sites refuges est miroitée sur notre site et actualisée sur son site original : http://jya.com/crypto-free.htm.
 

PGP 6.02 pour MacOS est disponible en français

La dernière version de PGP pour Mac est disponible en français grâce à une traduction de Jean-Pierre Kuypers. Le fichier de configuration de langue existe aussi pour les versions 5.5.3i et 6.0 (télécharger les fichiers /pub/PGP/ "rustine*.*").
 

PGP pourrait être exclu des sites FTP dans 33 pays

Réunis à Vienne le 3 décembre, les 33 pays signataires de l'Accord de Wassenaar limitant les exportations d'armement (dont le Japon, l'Allemagne et la Grande-Bretagne) se sont mis d'accord pour imposer des contrôles sur les technologies de cryptage les plus puissantes, y compris pour la première fois les logiciels grand public. L'annonce en a été faite par l'envoyé spécial américain pour la cryptographie, David Aaron (Source : Reuters).
C'est un échec de la coalition GILC qui avait lancé il y a quelques mois une campagne internationale en faveur de l'abandon des restrictions à l'exportation de cryptographie contenues dans l'Accord de Wassenaar.
Selon le Général Desvignes, chef du SCSSI, commentant cette décision : "Les pays qui ont signé ne peuvent plus autoriser l'exportation par téléchargement de logiciels [comme PGP]. On n'a plus le droit [à partir des 33 pays qui ont signé] de mettre en ligne ce type de produits."

• COMMENTAIRE DE "PGP POUR LES FRANÇAIS" : Il est bien difficile de comprendre où les gouvernements signataires veulent en venir... PGP est un logiciel répandu sur tout le globe, traduit en 25 langues, diffusé à 4 millions d'exemplaires, utilisé par des millions de personnes avec des copies présentes sur un grand nombre d'ordinateurs français. L'activisme des défenseurs des Libertés n'a cessé de se développer dans le domaine de la cryptographie et le nombre de logiciels libres de crypto sûre augmente chaque jour. Surtout, quelques dizaines de lignes tapées sur n'importe quel ordinateur portable suffisent à créer un programme de cryptage renforcé. Les dispositions décidées par les 33 gouvernements sont inapplicables et ils en sont probablement conscients. On peut donc supposer que c'est une annonce retentissante de plus à mettre à l'actif des autorités américaines. A noter que PGP est toujours disponible actuellement sur la International PGP homepage et qu'il peut être librement téléchargé en codes-sources sur la plupart des FTP universitaires français. Un code-source est un fichier texte contenant un programme lisible à l'oeil nu. Interdire la diffusion d'un tel texte (sous forme électronique et sous forme imprimée) est bien sûr juridiquement impossible.

PGP pour le Palm Pilot

L'Université de Tromsø, en Norvège, publie une version de PGP pour l'ordinateur de poche Palm Pilot III : PGPpilot-0.1.0 . Il faut avoir auparavant installé le fichier pilotSSLeay-2.01.tar.gz.
Plus d'info : http://www.pasta.cs.uit.no/~perm/PASTA/pilot
A noter qu'aucun projet n'a encore été rendu public s'agissant des deux autres types d'ordinateurs de poche répandus : WindowsCE et Psion.
 

L'adhésion de NAI à la Key Recovery Alliance (KRA) jette le trouble chez les utilisateurs de PGP

NAI est mis en cause pour son adhésion à la KRA (Key Recovery Alliance) qui milite pour un système de recouvrement de clefs. NAI avait quitté cette association début 1998 après avoir racheté PGP Inc., mais l'a rejoint le 2 juillet 1998 à la faveur du rachat d'une entreprise adhérente de la KRA. Un des développeurs de PGP 5.0, Dave del Torto, vient de s'inquiéter publiquement des objectifs de la KRA et de leur compatibilité avec les versions actuelles de PGP.
 

Le Manuel de PGP 6.0 est disponible en français

Le "Guide de l'utilisateur de PGP 6.0" (version Windows) a été traduit en français par plusieurs participants du forum de discussion fr.misc.cryptologie. Les captures d'écran du manuel original sont reproduites en version "francisée".
Le texte de ce manuel reste la propriété de Network Associates Inc. (NAI). NAI n'a pas donné son accord pour cette traduction, qui n'est procurée par ses auteurs qu'à titre temporaire dans l'attente d'une version française officielle de NAI.
- Version Acrobat PDF
- Version HTML
Le logiciel PGP 6.0 est disponible, notamment, sur la International PGP Homepage.
La signature digitale de l'archive est disponible ici.
 

Une version pirate de PGP 6.0 "for Business Security"

PGP 6.0 "for Business Security", version commerciale complète (incluant PGPdisk), a été piraté et miroité sur un FTP situé en Europe moins de 15 jours après sa mise en vente par NAI/NAI-BV.
 

Un patch 128 bits pour Netscape 4.5 (Win, Unix, OS/2)

Le patch 128 bits pour Netscape 4.5 ou inférieur (Communicator ou Navigator) est disponible sur le site de Fortify en Angleterre : pour Win95-98-NT (ftp://fortify.net/pub/Fortify/fn210w32.exe), Linux/Unix et OS/2 (bientôt). Il permet de transformer le chiffrement 40 bits de la version hors-USA de Netscape en 128 bits lors des connexions sécurisées avec les sites web. (Les versions françaises, ou anglaises légalement distribuées en France, ne sont pas patchables).
 

Ståle Schumacher Ytteborg ouvre un fonds de souscription pour le scannage de PGP 6.0i

Ståle Schumacher Ytteborg, le responsable de la International PGP Homepage, a mis sur pied un fonds afin de recueillir la somme nécessaire à l'achat des 28 volumes (12.000 pages) de code-sources imprimés de PGP 6.0 et PGPdisk 1.0 (Windows et Mac). Il a besoin d'au moins 1200 $ (somme qui couvre également les frais d'expédition depuis les USA) + 300 $ pour la mise à jour des appareils de scannage. Les personnes qui voudraient donner de l'argent au fonds peuvent envoyer un e-mail à exportfund@pgpi.org, avec les informations suivantes : numéro de carte VISA ou MasterCard, nom du titulaire de la carte, date d'expiration, montant donné. Le e-mail doit impérativement être crypté avec la clef de Ståle Schumacher : 0xCCEF447D (RSA) ou 0x0A791610 (DSS/DH).
 

TkPGP : une interface graphique pour PGP 5.0i Linux/Unix

Dmitri E. Soloviev publie une version beta de TkPGP, une interface graphique pour X-Window qui permet d'utiliser PGP 5.0i de façon conviviale sous Linux/Unix.
 

Network Associates Inc. met en ligne la signature digitale de PGP 6.0 freeware

NAI met en ligne la signature PGP du fichier d'installation de PGP 6.0 freeware. Ce dernier ayant été exporté des USA "par des inconnus", rien ne garantissait jusqu'ici que la version disponible en Europe était bien la version originale de NAI.
La signature, effectuée le 25/08/98, a été miroitée sur ce site. La clef publique utilisée est celle de "Network Associates PGP Software Release Key" (empreinte de clef : 8F17 2486 8BD7 90AE D073  1823 13A0 85FC D77B 2094, clef signée par Phil Zimmermann) et est disponible sur n'importe quel serveur de clefs.
 

L'AFUU lance une campagne pour la libéralisation du chiffrement en France

L'Association Française des Utilisateurs d'Unix et des Systèmes Ouverts (AFUU) lance une campagne pour la libéralisation du chiffrement en France. L'AFUU a "décidé de lancer le débat auprès de ses adhérents sur l'impact de la loi sur le chiffrement sur leur entreprise au travers d'un questionnaire. Les résultats de ce questionnaire seront ensuite utilisés pour rédiger un livre blanc à destination du gouvernement."
 

Le Manuel d'utilisation de ScramDisk 2.02c est en français

Le Manuel français de ScramDisk 2.02c est disponible au format Acrobat PDF
(voir également nos conseils succincts pour les premiers pas dans ScramDisk).
 

Jetico publie BestCrypt 6 beta avec son code-source

La nouvelle version 6.0 beta de BestCrypt pour Windows 95, 98 et NT est disponible et contient le code source pour le cryptage/décryptage et la vérification du mot de passe. Cette nouvelle version, plus intuitive, rend très facile le cryptage "on the fly" des disques durs. Evaluation disponible sur le site de Jetico.
 

Le ministère de l'Economie allemand veut une libéralisation de la cryptographie

En se prononçant, jeudi 17 septembre à Berlin, en faveur de la libéralisation de la cryptographie et en critiquant les systèmes de recouvrement de clé, Guenter Rexrodt, du ministère de l'Economie allemand, obère l'avenir de la législation française. Rexrodt a déclaré notamment : "L'Allemagne a l'intention de travailler avec les autres pays pour pousser le marché à s'ouvrir à la technologie cryptographique." Il a aussi critiqué "les contrôles américains à l'exportation qui empêchent les autres pays d'obtenir la meilleure technologie de sécurité aujourd'hui disponible" et a mis en garde les Etats-Unis contre tout système de recouvrement de clé. Source : Reuters.
 

L'association IRIS estime que la situation cryptographique en France "n'est pas digne d'une nation civilisée"

Dans le communiqué de presse accompagnant le texte français de la campagne GILC-Wassenaar, l'association IRIS  appelle une nouvelle fois le gouvernement à abandonner sa politique anti-cryptographie. 
Extraits : 
"son application de l'accord de Wassenaar, plus stricte que celle de la plupart des autres pays signataires, n'est pas digne d'une nation civilisée, et encore moins justifiée lorsque l'on prétend être la patrie des droits de l'homme.
À l'heure de la célébration du cinquantenaire de la Déclaration universelle des droits de l'homme, pour laquelle une mission interministérielle a été confiée à monsieur Robert Badinter, et qui verra l'organisation de plusieurs manifestations en France, il est temps que le gouvernement cesse d'ignorer le droit fondamental des citoyens à la confidentialité des communications, inscrit à l'article 12 de cette Déclaration."
 

La coalition GILC déclare : "LA CRYPTOGRAPHIE N'EST PAS UNE ARME"

La Coalition Internationale pour les Libertés sur Internet GILC (Global Internet Liberty Campaign) publie une déclaration officielle demandant l'abrogation des dispositions anti-cryptographie de la convention "Wassenaar Arrangement" (un accord international liant tous les grands pays industrialisés et réglementant la circulation des biens technologiques dits "à double emploi", et plus particulièrement les "armes conventionnelles" et les logiciels de cryptographie).

La GILC effectue un rappel à l'ordre sémantique et technique assez sec, déclarant notamment : "La cryptographie est un outil défensif, non une arme".
Extraits :
"CONSIDÉRANT que le défaut de protection de l'utilisation et de la distribution libres de logiciels de cryptographie compromet la vie et la liberté des militants des droits de l'homme, journalistes et militants politiques partout dans le monde;
CONSIDÉRANT qu'une quelconque restriction de l'utilisation de procédés de cryptographie est inapplicable en pratique, puisque les méthodes mathématiques et algorithmiques de cryptographie forte utilisées par ces procédés sont largement publiées, et peuvent être facilement implantées sous forme de logiciel par toute personne ayant des compétences en la matière;"

On notera également la référence finale faite par la GILC aux recommandations de l'OCDE.
Extrait :
"RECONNAISSANT de plus que les lignes directrices adoptées par l'OCDE stipulent que « les droits fondamentaux des individus à la vie privée et à la confidentialité, parmi lesquels le secret de la correspondance et la protection des données personnelles, devraient être respectés par les politiques nationales sur la cryptographie et dans l'implantation et l'usage des méthodes de cryptographie »;"

Cette déclaration de la GILC (diffusée en plusieurs langues dont le français) a été signée par toutes les grandes associations de défense des libertés individuelles sur Internet dans le monde, dont IRIS qui est le coordinateur national français de la campagne.
La déclaration est aussi miroitée sur notre site.
 

Un rapport du Conseil d'Etat plaide pour une poursuite de la réglementation anti-cryptographique française

Dans un Rapport remis le 8 septembre au Premier Ministre (et disponible gratuitement en ligne) intitulé Internet et les réseaux numériques, le Conseil d'Etat s'exprime longuement sur la cryptographie. Développant des thèses classiques, le Rapport n'envisage le respect de l'intimité de la vie privée que pour appeler à un "compromis" entre les libertés fondamentales et "la sécurité publique". Le terme d"équilibre" est aussi utilisé. Le Rapport met surtout l'accent sur les "nécessités du commerce électronique".
A aucun moment, l'abrogation de la loi anti-cryptographie française n'est envisagée par les conseillers d'Etat. Le principe du contrôle a priori est validé et la théorisation des "tiers de confiance" (dépôt de clés) ne fait l'objet que de discrètes réserves (coordination européenne nécessaire).
En outre, les atteintes à l'intimité de la vie privée contraires au respect des droits de la défense des suspects sont acceptées par l'organe conseiller du législateur. Extrait (Chap.III) : "Les pouvoirs publics sont convaincus de la nécessité de libéraliser dans une large mesure la fourniture et l'utilisation de moyens de cryptologie afin de favoriser l'essor du commerce électronique. Cet objectif trouve cependant ses limites dans les préoccupations de sécurité publique. En particulier, il demeure nécessaire que la police judiciaire et les services de sécurité puissent continuer à pratiquer, dans le cadre légal, des interceptions de messages sans que la personne placée sous surveillance en soit informée."

• COMMENTAIRE DE "PGP POUR LES FRANÇAIS" : Une des dernières lignes du Rapport évoque une solution censée : "se borner à exiger que les moyens de cryptologie utilisés en France permettent le recouvrement des clés à l'initiative de l'émetteur ou du destinataire du message, qui sera alors tenu de les remettre lui-même à la justice ou aux services de sécurité sous peine de sanctions pénales sévères." Hélas, étant donné le reste du Rapport, une constitutionnalisation pure et simple du Droit au secret de la correspondance nous semble la seule voie envisageable au regard de l'Histoire politique et philosophique française. Au-delà, ajoutons que la "vie électronique" auquel chacun sera bientôt (est déjà) soumis verra nécessairement une limitation de pouvoir, soit de la part de l'Etat, soit de la part de l'individu. Un des deux perdra obligatoirement certaines de ses facultés. Si un Etat dans le monde doit accepter d'être le premier à s'autolimiter, c'est la France. Parce que si la France ne le fait pas, aucun pays ne le fera jamais. Il y a là, pour chaque personne résidant sur le territoire français, une mission de citoyen du monde.

L'AUI publie la première FAQ française sur la cryptographie

L'Association des Utilisateurs d'Internet (AUI) publie une FAQ sur la cryptographie. Ce document est destiné à "répondre aux questions fréquemment posées sur Usenet au sujet de la cryptographie" et "se veut aussi factuel que possible, sans prise de position".
 

PGP 6.0 freeware est disponible en Europe

Network Associates Inc. publie PGP 6.0 freeware (pour Win95/98 et Mac) aux USA. Malgré la loi américaine interdisant l'exportation de logiciels de cryptographie sûre, PGP 6.0 a été illégalement exporté par des inconnus moins de 24 h après sa mise en ligne aux USA et est disponible en Europe, notamment sur le FTP de Replay et sur la "International PGP Home Page":
* Windows 95, 98, NT - MacOS :
ftp://ftp.replay.com/pub/replay/pub/pgp
International PGP Homepage
* ou en cherchant "pgpfreeware6" sur FTPsearch
Quelques captures d'écran du nouveau PGP 6.0
 

ScramDisk 2.02 est disponible

ScramDisk 2.02 (Win95/98) est disponible. ScramDisk est destiné au chiffrement des disques durs et utilise un principe extrêmement sûr : le chiffrement / déchiffrement des données opère au niveau du système d'exploitation et n'inscrit sur le disque que des données chiffrées (même principe que les compresseurs de disque comme Stacker). Blowfish (avec 256 bits), IDEA, et d'autres algorithmes sont disponibles.
ScramDisk 2.02 présente plusieurs nouveautés par rapport à la version 2.0 (montage/démontage des disques virtuels, parade contre les intercepteurs de phrase de passe, etc.) Il peut être téléchargé ici et a aussi été miroité sur notre site anglais.
* Voir nos conseils succincts pour les premiers pas dans ScramDisk.
 

Le Manuel de PGP 2.63i est disponible en français

Le "Guide de l'utilisateur de PGP 2.63i Volume 1" a été traduit en français par plusieurs participants du forum de discussion news:fr.misc.cryptologie. La révision de la traduction est due à Emilio Oriente qui a signé le texte final avec sa clef RSA
- Version HTML en ligne (120 Ko)
- Versions zippées TXT, PDF, HTML (+ configuration PGP 2.63i française révisée) (version distribuée par www.pgpi.org) (170 Ko)
 

PGP 5.0i en français pour les PC (LINUX, UNIX et DOS)

Après la version 5.5.3i pour MacOS, PGP 5.0i est disponible en français pour les PC et compatibles x86 (version Linux / UNIX et DOS) grâce à une traduction effectuée par Guy Brand.
Téléchargez les fichiers de configuration.
Il ne reste plus que la version Windows 95 qui ne soit pas encore disponible en français.
 

Phil Zimmermann condamne les clefs publiques supérieures à 4096 bits

Dans un message signé daté du 31 juillet 1998, Phil Zimmermann, le créateur de PGP, condamne la longueur excessive des clefs publiques utilisées par certaines versions modifiées à partir du code-source public. Il s'agit là d'un désaveu de l'équipe de Imad R. Faiad et des "Cyber Knights Templar" qui diffuse des versions PGP dite "C-KT" à clefs DH 8192 et RSA 16384 bits.
 

TÉLÉCHARGEZ les principales versions de PGP sur notre site anglais

Les principales versions de PGP sont désormais téléchargeables sur notre site miroir anglais à l'adresse http://www.fortunecity.co.uk/skyscraper/techie/18/soft.htm
 

L'EFF signe la mort du DES et prouve que les gouvernements exagèrent la résistance des logiciels de cryptographie autorisés

En cassant en 3 jours un message chiffré avec le standard DES-56 bits, l'Electronic Frontier Foundation (EFF) prouve que les déclarations du gouvernement américain étaient fausses. Le DES est le standard US conseillé par ce dernier qui continuait jusqu'ici à affirmer que casser le DES était hors de portée des particuliers pour des raisons de coût, de connaissances techniques et de temps.
L'EFF, association américaine de défense des libertés individuelles sur Internet, a pu casser le message (issu du Challenge RSA) en 56 heures en construisant elle-même une machine "artisanale", le "DES Cracker" (voir photo ici), coûtant moins de 1,5 million de FF, soit un investissement à la portée de n'importe quelle PME de plus de 50 salariés. Les plans complets et le mode d'emploi pour la construction d'un "DES Cracker" ont été publiés le jour même aux Editions O'Reilly et mis en ligne après scannage de la version imprimée.
Il est à noter que les clefs de 56 bits sont d'une résistance sans commune mesure avec celles de 40 bits (seules à être normalement autorisées en France) puisqu'un bit supplémentaire multiplie par deux la résistance de la clef (une 41 bits résiste deux fois plus longtemps qu'une 40).
Le message secret de RSA disait : "It's time for those 128-, 192-, and 256-bit keys".
 

Le miroir français de PGP.NET sommé de fermer par une mise en demeure officieuse du SCSSI

Selon le Bulletin Lambda, l'Université de Technologie de Compiègne (UTC) a reçu une lettre du SCSSI lui enjoignant de supprimer le miroitage du FTP de PGP.NET qu'il effectuait depuis quelques mois. L'administrateur système a informé ses partenaires européens du projet PGP.NET qu'il interrompait le miroitage en France. Cependant, pour une raison inconnue, l'UTC refuse de s'exprimer sur le sujet et considère "l'incident clos". D'autre part, il semble que cette affaire se soit traitée en dehors de toute intervention de l'autorité judiciaire, et sur simple demande administrative du SCSSI, demande acceptée par l'UTC sans contestation.
N.B. : PGP reste disponible sur des dizaines d'autres FTP localisés en France, comme par exemple l'Université de Jussieu ou l'Ecole Centrale.
 

Une version PGP 5.5.3i à clefs DH de 8192 bits et RSA de 16384 bits

Publication par le groupe de programmeurs "Cyber-Knights Templar" d'une version freeware C-KT PGP 5.5.3i permettant l'usage de clefs publiques DH de 8192 bits et RSA de 16384 bits.
 

Le SCSSI reconnaît l'impossibilité d'appliquer la loi anti-crypto à l'encontre des personnes privées

Dans une interview au magazine Réseaux & Télécoms (N° 124), le Général Desvignes, patron du SCSSI, s'exprime sur l'usage répandu de PGP par les personnes privées en France. Sans jamais évoquer les protections constitutionnelles européennes et françaises de l'intimité de la vie privée, il reconnaît cependant qu'il y a impossibilité d'appliquer la loi anti-crypto à l'encontre des personnes privées.
Extrait :
"R&T - Que pensez-vous du fait que des produits forts comme PGP circulent librement en France ?
[Général Desvignes ]- Il y a des tas de produits défendus, autre que cryptologiques, qui circulent sans trop de difficultés. Tout d’abord, utiliser un logiciel cryptologique téléchargé sur Internet est assez risqué. Ce n’est pas grave pour un particulier, mais ce serait de l’inconscience pour une entreprise. D’ailleurs si PGP est très connu, il est relativement peu utilisé par les professionnels et les entreprises. Peut être que sa version commerciale, qui est séquestrable, séduira davantage les patrons ! En tous cas, on ne va pas pourchasser les gens, comme les chercheurs qui veulent voir ce qu’est PGP¨, le tester. Mais imaginez qu’ils l’utilisent pour commettre un délit : dans ce cas, les peines sont très lourdes (3 ans de prison, 500 000 francs d’amende). Le cas le plus délicat est quand se forme un consortium international pour répondre confidentiellement à un appel d’offre dans un laps de temps réduit : une solution immédiate et gratuite, c’est PGP. L’administration, moyennant quelques précautions, pourra dire oui, aux risques et périls des demandeurs."

• COMMENTAIRE DE "PGP POUR LES FRANÇAIS" : l'accent mis par le Général Desvignes sur l'usage de PGP aux fins de commission d'un délit grave nous donne l'occasion d'attirer l'attention du législateur sur une réforme qui mettrait enfin la France en conformité avec les idéaux des Droits de l'homme qu'elle défend dans tous les autres domaines : une libéralisation totale de l'usage de cryptographie doublée de peines lourdes en cas d'utilisation aux fins de commission d'un délit grave.

Network Associates International BV, filiale de NAI, vend PGP depuis les Pays-Bas

Network Associates International BV a ouvert son site web aux Pays-Bas et vend la totalité des versions personnelles et professionnelles de PGP dans le monde entier. Une version d'évaluation 30 jours est téléchargeable. NAI distribue PGP directement en Angleterre, Allemagne, Suisse, Autriche, Italie, Brésil et Japon. Pour les autres pays, la distribution est effectuée par NAI-BV depuis les Pays-Bas.
 

Le chef du SCSSI fait reposer l'efficacité de la législation française anti-crypto sur les restrictions US à l'exportation

Dans le supplément "Multimedia" (24-25 Mai 1998) du journal Le Monde, le Général Desvignes déclare : " Si les USA autorisent les exportations sans restriction, plus personne ne pourra rien contrôler."
 

PGP 5.5.3i est disponible en français (pour Mac)

La première version non-anglaise de PGP 5.5.3i est française, disponible pour Mac. On la doit à Jean-Pierre Kuypers en Belgique et on la trouve ici (fichier "rustine") : ftp://ftp.sri.ucl.ac.be/pub/PGP/
Aucune version Win95 n'est annoncée de manière sûre pour le moment.
 

PGP 5.0i pour ATARI

PGP 5.0i pour Atari est disponible en Norvège : ftp://ftp.no.pgpi.org/pub/pgp/5.0/atari/pgp50ib.zip
 

Un responsable au Secrétariat général de la Défense nationale juge que ses homologues américains sont "tout à fait désorientés" et gênés par "l'opinion publique"

Dans un rapport du sénateur René Trégouët (sur l'évolution générale d'Internet en France), un responsable du Secrétariat général de la Défense nationale (qui a la tutelle du SCSSI) prend ses distances avec la stratégie des autorités américaines.
 

PGP 5.5.3 international pour Windows 95 est arrivé

Mardi 7 avril à 12:15 GMT, Ståle Schumacher a mis en ligne PGP 5.5.3i pour Windows 95 depuis la Norvège : ftp://ftp.no.pgpi.org/pub/pgp/5.5/win95nt/pgp553i-win95nt.exe (archive de 2.2 Mo). PGP 5.5.3i est freeware, il a été exporté légalement des USA, et il peut être utilisé pour usage non-commercial dans tous les pays du monde, Union Européenne et Espace Economique Européen compris.
 

PGP 5.0i pour OS/2

William H. Geiger III publie une version PGP 5.0 for OS/2.
 

PGP 5.5.3i pour Mac est disponible

PGP 5.5.3i pour Macintosh est publié par Ståle Schumacher et Teun Nijssen en Norvège.
 

Les décrets du 23/03/98 interdisent l'utilisation de toute cryptographie sûre en France

Les décrets 98-206 et 98-207 du 23/03/98 "définissant les catégories de moyens et de prestations de cryptologie dispensées de toute formalité préalable" autorisent l'usage libre de logiciels de cryptographie de 40 bits en France. Les autres logiciels devront être homologués par un organisme administratif, le SCSSI (Service Central de la Sécurité des Services Informatiques).
Rappelons que les spécialistes s'accordent sur deux conditions indispensables à la sécurité : une clef symétrique d'au moins 128 bits, et un logiciel fourni avec son code-source afin d'être scruté par des cryptographes indépendants.
Le site de référence pour la compilation des textes législatifs et leur analyse est celui de Valérie Sédallian.
 

Network Associates annonce la distribution immédiate de PGP dans le monde entier

Le 20 mars lors du CEBIT' 98 de Hanovre, Network Associates Inc. a annoncé la distribution immédiate de PGP dans le monde entier, en vertu de l'exportation légale des USA de PGP sous forme de livre imprimé. Toutes les versions futures seront disponibles dans le monde entier, Union Européenne et Espace Economique Européen compris. La filiale européenne de NAI, basée à Amsterdam, a commencé la vente du logiciel le jour même. 
 

PGP freeware 5.5.5 disponible en Europe

PGP 5.5.5 (dernière version freeware US) est disponible en Europe après avoir été exporté illégalement des USA par des inconnus. Version Windows 95 et version Mac. 

Un patch spécial a été publié pour PGP 5.5 freeware : il permet la génération de clefs RSA compatibles PGP 2.6x 
 

PGPdisk pour Windows 95

Network Associates Inc. publie aux USA "PGP Total Network Security Suite", qui inclue PGPdisk 1.0 pour Win95 et 1.01 pour Mac. La version Mac existe depuis un an et est disponible en pirate sur le site de Replay Associates. PGPdisk permet le chiffrement / déchiffrement d'un disque dur en temps réel, sur le même principe que les compresseurs de disques tels Stacker. Ce procédé est le seul vraiment fiable pour sécuriser les informations stockées sur un ordinateur. 
 

Décrets français : IRIS dénonce une "logique sécuritaire"

Selon l'association IRIS, "La logique sécuritaire de la réglementation française demeure inchangée". Extrait : "L'économie générale du décret sur les tiers de confiance est un sentiment de suspicion à l'égard de la confidentialité." 
 

Version finale de PGP 5.0i pour MS-DOS

Georg Bauer a terminé la version finale de PGP 5.0i pour DOS basée sur la version finale pour UNIX. Mais il n'y a encore aucun shell pour Windows 3.1 qui soit compatible avec cette version 5.0i. 
 

L'Autorité de Régulation des Télécommunications appelle à un débat public sur la cryptologie en France

Dans une délibération du 8 octobre 1997 publiée seulement aujourd'hui (Journal Officiel du 27/02/98), l'Autorité de Régulation des Télécommunications rend un avis défavorable sur le projet de décrets interdisant la cryptographie sûre en France. Dans ses observations générales préliminaires, on peut lire : "-Suggère que soit engagée une large réflexion publique sur les enjeux de la cryptologie et les règles qui doivent la régir."
 

Le Challenge DES II lancé par RSA Inc. le 13 janvier a été cassé

Le 23 février 1998, à 02:26 GMT, l'équipe du Bovine RC5 Effort a réussi à casser le Challenge DES-II-1 (56 bits) de RSA Inc. après seulement 39 jours de travail. La clef était 76 9E 8C D9 F2 2F 5D EA et le message chiffré disait : "The secret message is: Many hands make light work." 

Le Challenge RC5-64 bits quant à lui continue, et on peut télécharger le logiciel de participation (par exemple version Windows 95). Voir pour plus d'infos la FAQ. 
 

Nouvelle version de FORTIFY pour Netscape : 128 bits + S/MIME

Farrell McKay publie une version 1.21 de Fortify, qui donne un module cryptographique de 128 bits au lieu de 40 à toutes les versions de NETSCAPE (Win95 ou Linux/Unix, versions anglaise ou française non téléchargées en France), ainsi qu'une clef plus longue pour le chiffrement S/MIME du courrier. Le site web situé en Grande-Bretagne propose en outre de tester le module cryptographique de sa propre version de Netscape en se connectant directement sur cette page. 
 

PGP 5.0i pour AMIGA

Stefan Zakarias publie une version Amiga beta 8a3, disponible sur son Amiga-PGP5-International Page (en Australie). L'auteur ne semble pas l'avoir miroité sur un seul FTP en Europe pour le moment. 
 

La GILC épingle la France dans son rapport "Cryptography and Liberty"

La coalition GILC (Global Internet Liberty Campaign) publie un rapport très complet intitulé "Cryptography and Liberty, an international survey of encryption policy". Dans ce rapport, elle mentionne le cas de la France au chapitre "Chiffrement et droits de l'homme". Extrait : "Les agents du contre-espionnage français ont écouté le téléphone de journalistes importants et de dirigeants des partis d'opposition. La Commission Nationale de Contrôle des Interceptions de Securité française a estimé qu'il y avait environ 100,000 interceptions illégale effectuées chaque année en France." La Grande-Bretagne et l'Allemagne sont aussi mentionnées dans ce chapitre. A noter que le SCSSI a refusé de répondre aux questions de la GILC. 
 

Des trous de sécurité dans les modules cryptographiques de Microsoft

Le néo-zélandais Peter Gutmann publie une étude intitulée "How to recover private keys for various Microsoft products - Where do your encryption keys want to go today?" qui pointe les graves faiblesses cryptographiques contenues notamment dans la version US-128 bits d'Internet Explorer 4. 
 

Bruce Schneier relève des pièges de sécurité dans la plupart des logiciels cryptographiques

Bruce Schneier publie "Security Pitfalls in Cryptography", une étude dans laquelle il relate comment lui et son équipe de CounterPane Systems ont pu attaquer victorieusement la plupart des logiciels de cryptographie vendus dans le commerce. Extrait : "Nous n'avons pas à essayer toutes les clefs possibles, ou même trouver des faiblesses dans les algorithmes. Nous exploitons des erreurs dans la conception, des erreurs dans l'implémentation, et des erreurs dans l'installation. Parfois, nous inventons une nouvelle ruse pour casser le système, mais la plupart du temps nous exploitons les mêmes vieilles erreurs que les concepteurs font à plusieurs reprises." Schneier est aujourd'hui le plus réputé des spécialistes civils en cryptologie. 
 

Cryptographie en France : IRIS juge qu'un compromis est impossible

Dans sa lettre d'information n° 1 de janvier 98, l'association IRIS considère qu'en matière de cryptographie aucun compromis n'est possible (tiers de confiance, faible longueur de clef, etc.). Extrait : "Il n'y a pas de compromis possible en l'affaire(...). Il n'y a que le choix - éminemment politique - de donner la priorité au droit à la confidentialité ou à la "raison d'État"". 
 

Le code-source de PGP 5.5i (Win95) disponible

Le code-source de PGP for Personal Privacy 5.5 pour Win95 a été scanné par Ståle Schumacher et Teun Nijssen, et est disponible en Norvège sur la International PGP Home Page, ainsi que la librairie de développement (DLL) PGP-SDK. Les versions binaires 5.5 "internationale" pour Win95 et Mac sont attendues prochainement. 
 
 
 

• Archives des Crypto-News de 1997