Crypto-News
1999-1
Les nouvelles postérieures
au 28 juillet 1999 sont ici
La
sécurité des produits cryptographiques de Microsoft est à
nouveau mise en cause
1999/07/28
Le système de fichiers sécurisé utilisé
par Windows 2000, appelé EFS (Encrypting File System), souffrirait
d'une grave faille
de sécurité.
Il y a quelques mois déjà, des experts comme Bruce Schneier
(Cryptanalysis of
Microsoft’s PPTP) ou Peter Gutmann (Where
do your encryption keys want to go today?) avaient dénoncé
la faiblesse des cryptosystèmes de Microsoft.
Mailcrypt
3.5.4
1999/07/27
Mailcrypt
3.5.4 pour Linux est disponible.
Mailcrypt permet d'utiliser PGP ou GnuPG avec Emacs, tant pour les
e-mails que pour les newgroups.
PGP
6.5.1 version française (pour Mac)
1999/07/25
PGPfreeware 6.5.1 version française pour Mac OS est disponible
grâce à une traduction de Jean-Pierre Kuypers.
Le fichier rustine peut être téléchargé
ici :
ftp://ftp.sri.ucl.ac.be/pub/PGP/
Miroirs : ftp://ftp.lri.fr/pub/sri.ucl.ac.be/,ftp://ftp.planete.net/pub/mac/vf/
Ce
site à nouveau hébergé chez Geocities
1999/07/22
Ce site retrouve son hébergement chez Geocities.
Cette page est dorénavant aussi accessible par l'adresse
http://www.bigfoot.com/~pgpenfrancais/news.htm
Début juillet, en raison d'une modification des termes d'hébergement
de Yahoo!/Geocities, "PGP en français" avait dû retirer le
contenu de ses pages du serveur américain. Yahoo!/Geocities étant
revenu sur cette
modification, le site retrouve l'adresse /SiliconValley/Bay/9648
qu'il occupe depuis août 1997 et en profite pour inaugurer une adresse
permanente chez Bigfoot.
Un remerciement spécial à Fabien A. P. Petitcolas
qui a accueilli le site web sur son serveur à Cambridge pendant
les quelques semaines où les termes du contrat liant Yahoo! aux
hébergés de Geocities ont pu inquiéter ces derniers.
La
NSA peut se donner les moyens de casser les clés symétriques
de 72 bits
1999/07/19
Une étude estime
que la NSA pourrait construire une machine coûtant 300 millions $
(300 millions , ou 1,8 milliards
FF) qui soit capable de casser en série les messages chiffrés
par une clef symétrique de 72 bits en moins de 15 heures, et ceux
chiffrés par une clef de 64 bits en moins de 7 minutes.
64 bits est actuellement la limite maximale autorisée par le
gouvernement U.S. pour l'exportation des logiciels américains. Depuis
mars 1999, la France autorise l'utilisation de logiciels à clefs
symétriques de 128 bits comme PGP.
Plug-in
Pegasus Mail pour PGP 6.5.1
1999/07/19
La version PGP 6.5.1 de
QDPGP
est disponible.
QDPGP est un plug-in PGP pour le logiciel e-mail Pegasus Mail.
Le
manuel de PGP 6.5.1 version ligne de commande est en cours de traduction
1999/07/18
Le manuel de PGP 6.5.1 "ligne de commande" est en cours de traduction
en français.
Le manuel de PGP 6.5.1 pour Windows 95/98/NT devrait être traduit
également (plusieurs chapitres ont été ajoutés
au manuel 6.02i, dont un sur PGPnet et un sur la biométrique par
listes de mots).
L'équipe de traducteurs
recherche des volontaires familiers de PGP 6.5.1 pour Windows. Contact
: pplf@geocities.com ou news:fr.misc.cryptologie.
Manuel français
de PGP 6.5.1 "Ligne de Commande" version beta, chapitre 1, 2 et 3 seulement.
La
"International PGP Home Page" diffuse PGP 6.5.1 version U.S. dans le monde
entier
1999/07/18
Les versions américaines de PGP 6.5.1 freeware, qui ont été
publiées par le MIT le 6 juillet et aussitôt exportées
des USA par des inconnus (malgré la législation américaine
qui l'interdit), sont diffusées partout dans le monde depuis hier
par la "International PGP Home Page".
Site original : ftp://ftp.no.pgpi.org/pub/pgp/6.5/6.5.1/
Miroirs disponibles dans le monde : ftp://ftp.no.pgpi.org/pub/pgp/
Mise
à jour du "Crypto Law Survey"
1999/07/16
Bert-Jaap Koops publie la
Version 15.0, July 1999 de son "Crypto
Law Survey".
Le "Crypto Law Survey" fait le point sur les législations cryptographiques
dans le monde; il constitue la référence en matière.
Rumeurs
de rachat de NAI
1999/07/15
De nouvelles
rumeurs
de rachat de Network Associates Inc. (NAI), propriétaire de
PGP, courent actuellement. Ces derniers mois, NAI a vu sa cotation en bourse
chuter de manière importante.
Un
provider français a inclus PGP dans son kit de connexion
1999/07/12
Le fournisseur d'accès à Internet gratuit World
Online Liberté offre PGP 6.02i sur le CD-ROM kit de connexion
(répertoire D:\Utils\) envoyé à chacun de ses abonnés
(200.000 abonnés prévus).
PGPfreeware
6.5.1 est distribué par le MIT
1999/07/07
Le MIT (Massachusetts
Institute of Technology) publie "en coopération avec Philip Zimmermann,
l'auteur original de PGP, Network Associates Inc. et avec RSA Inc."
PGP 6.5.1 freeware. Le logiciel a d'ores et déjà été
exporté illégalement des USA par des inconnus et est disponible
sur de nombreux sites européens.
Sont disponibles :
PGPfreeware 6.5.1 for Win 95/98/NT
PGPfreeware 6.5.1 for MacOS
PGP Command Line Freeware 6.5.1 for Linux/Solaris/NT
[et Win 95/98]
PGP Certificate Server Freeware 2.5 for Solaris/NT
PGPfreeware 6.5.1
Autres versions
À noter : PGPfreeware 6.5.1 n'inclut pas PGPdisk, mais les clefs
RSA (PGP 2.6x) sont gérées (génération et utilisation).
Les nouveautés de la version Windows :
- PGPnet, qui sécurise toutes les communications
TCP/IP entre deux machines utilisant PGPnet;
- La création d'archives auto-extractibles;
- Des lignes de commandes intégrées;
- Une programmation automatique des "wipe" de l'espace
libre grâce au "Windows Task Scheduler" de Microsoft;
- Des raccourcis claviers configurables;
- Une liste par mots pour les empreintes de clefs;
- Des plug-ins pour Outlook 2000 et Outlook Express 5.0;
- Le support des proxy HTTP (en cas de firewall devant
un serveur de clefs);
- Le re-formatage des mots (cas des paragraphes cités
dans un message).
Secure
TrayUtil, un utilitaire pour ScramDisk
1999/07/06
Sortie d 'un utilitaire pour ScramDisk 2.02 : Secure
TrayUtil 2.01, écrit par Sarah Dean, qui permet d'accéder
rapidement aux fonctions les plus utilisées de ScramDisk.
Une
revue informatique généraliste diffuse à son tour
PGP 5.5.3fr
1999/07/01
La revue informatique française PC MAX vendue en kiosque diffuse
sur le CD-ROM gratuit livré avec son n° 13 (juillet-août
1999, 35 FF) diverses versions de PGP (Windows, Mac) dont la version française
5.5.3fr.
PC MAX est un magazine traitant de l'informatique grand public en général
(et pas exclusivement consacré à Internet).
Apparition
d'un nouveau logiciel de cryptage du disque sous Windows NT
Un message posté dans le forum alt.security.scramdisk
a annoncé la sortie d'un nouveau logiciel freeware de cryptage du
disque dur pour Windows NT, appelé Encryption
for the Masses 2.00 (E4M). Le code de SFS (de Peter Gutmann) est utilisé.
Une compatibilité avec les volumes ScramDisk est assurée.
Les sources sont disponibles. Le site web distribuant E4M est situé
en Australie et son auteur s'appelle Paul Le Roux (mais sa clef publique
PGP ne possède apparemment pas de signatures). À suivre.
GnuPG
0.98 pour Linux/Unix
Nouvelle version
0.98 de GnuPG (version française et internationale).
Par ailleurs, un
module
RSA utilisant la librairie RSAREF a été écrit
par Jason Gunthorpe pour GnuPG 0.97 et supérieur. Il permet de rendre
GnuPG compatible avec PGP 2.6x.
GnuPG est la version libre et gratuite
(license GPL) de PGP 5.x pour Linux/Unix et respecte le standard OpenPGP.
Sites miroirs : ftp://ftp.gnupg.org/pub/gcrypt/
La
diffusion de PGP par les revues informatiques françaises se généralise
La revue informatique Netsurf vendue en kiosque diffuse sur le CD-ROM
gratuit livré avec son n° 40 (juillet 1999, 38 FF) diverses
versions de PGP (Windows, Mac) dont la version française 5.5.3fr.
En outre, sous le titre
"Le porte-drapeau de la crypto (PGP libéré)",
un article de trois pages fournit une courte introduction à la cryptographie
et fait le point sur le logiciel créé par Phil Zimmermann.
Un
papier de l'Internet Engineering Task Force (IETF) met le DES au musée
L'IETF (Internet Engineering Task Force), organisation s'occupant des
spécifications techniques d'Internet, publie un papier (un "draft")
établi par W. A. Simpson et S. Bradner : Internet
Security Algorithms Applicability Statement , traitant notamment de
l'algorithme DES. Cet algorithme ne présente plus selon les auteurs
qu'un intérêt historique et son utilisation professionnelle
"n'est
Pas Recommandée".
Extraits :
" Existing data depending upon DES for confidentiality
should be considered potentially compromised.
Key lengths less than 80 bits are not acceptable for
use in future standards and not recommended for use in the Internet for
protecting short-lived Internet data. Communication protocols with less
strength must not be advanced on the Internet Standards Track.
Key lengths less than 128 bits are not recommended
for protecting long-lived Internet data. Message and storage protocols
with less strength should not be advanced on the Internet Standards Track.
(...)
'The PPP DES Encryption Protocol' [RFC-2419], 'The
ESP DES-CBC Cipher Algorithm With Explicit IV' [RFC-2405], and 'The ESP
DES-CBC Transform' [RFC-1829] have been re-classified to Historic status,
and implementation is Not Recommended. "
Geheimnis,
GnomePGP, et kPGPkeys pour Unix-KDE et Unix-Gnome
Sorties de Geheimnis
0.59 de Chris Wiegand, GnomePGP
0.4 de Max Valianskiy, et kPGPkeys
1.1.1 de Christian Rossi, trois interfaces graphiques pour utiliser
GnuPG ou PGP 5.x dans les environnements KDE et Gnome (Linux/Unix). Encore
en beta-test.
Crispation
du gouvernement américain dans la bataille sur la réglementation
anti-export
Dans l'affaire Bernstein,
le gouvernement américain a demandé à la Cour ayant
jugé le 6 mai dernier que l'exportation de code-sources cryptographiques
était possible, de reconsidérer sa décision. Certains
observateurs estiment
qu'il préférerait éviter que la Cour Suprême
ait à se prononcer sur l'affaire.
On notera que le recours
du Secrétariat d'Etat au Commerce débute par cette phrase
solennelle :
"Le Président des Etats-Unis a considéré que
l'exportation incontrôlée de produits cryptographiques compromettrait
les capacités de renseignement à l'étranger de ce
pays et mettrait en péril d'importants intérêts pour
la sécurité nationale et la politique étrangère."
Fortify
pour Netscape 4.61
Le patch 128 bits "Fortify pour Netscape"
est disponible pour la version 4.61.
Windows
Linux/Unix86
Mac
Notre page de présentation de Fortify.
Création
du forum alt.security.scramdisk
Création du forum de discussion
alt.security.scramdisk
consacré au célèbre logiciel de cryptage de disque
dur.
pgpenvelope
2.6.1 pour Linux/Unix
pgpenvelope
2.6.1 pour Linux et Unix est disponible.
pgpenvelope
est un filtre pour le programme Pine qui permet de crypter/signer/décrypter/vérifier
tout message e-mail avec GPG ou PGP5.
ScramDisk
2.02H-fr version française
ScramDisk pour Windows 95/98 est disponible en version française.
ScramDisk 2.02H-fr a été traduit sous la direction de
Fabien A. P. Petitcolas, aidé de Michel Bouissou (voir l'annonce
dans les newsgroups). Cette version utilise le fichier sd.vxd anglais
original (fichier contenant le pilote chargé des opérations
de cryptage/décryptage en mémoire). Le code-source est disponible.
L'équipe de traduction peut être jointe à l'adresse
Scramdisk-fr@francemel.com
et la page de présentation du programme se
trouve ici. Un manuel
français avait déjà été réalisé
pour la version anglaise du logiciel. ScramDisk 2.02H-fr peut être
utilisé par les entreprises sous certaines conditions (voir manuel).
ScramDisk 2.02H est un
logiciel gratuit de cryptage transparent du disque dur sous Windows 95/98
créé par Aman et Sam Simpson.
Voir notre page de présentation.
Une
étude répertorie 805 produits cryptographiques non américains
Une étude réalisée par le Cyberspace Policy
Institute de l'Université George Washington (USA), portant sur
la croissance des produits cryptographiques étrangers face aux restrictions
à l'exportation américaines ("Growing
Development of Foreign Encryption Products in the Face of U. S. Export
Regulations"), répertorie 805 produits cryptographiques non
américains dans 35 pays (dont la France).
Près de la moitié des produits utilisent l'algorithme
Triple DES (viennent ensuite : IDEA, Blowfish, RC5, et CAST).
Sont mentionnés neuf compétiteurs sérieux en concurrence
avec les sociétés américaines : Baltimore Technologies
(Grande-Bretagne), Brokat (Allemagne), Check Point (Israël), Data
Fellows (Finlande), Entrust (Canada), Radguard (Israël), Seguridata
Privada (Mexique), Sophos (Grande-Bretagne), and Utimaco (Allemagne).
A noter que la sécurité cryptographique réelle
des produits (examen des code-sources) n'a pas été prise
en compte par les auteurs de l'étude.
Speak
Freely 7.0 pour Windows 95/98/NT et Linux/Unix
Sortie de la version 7.0 de Speak
Freely, un programme gratuit de téléphonie par Internet
utilisant un cryptage fort (Blowfish 128 bits, IDEA, PGP). De nombreuses
fonctions sont présentes (mode conférence, modes de compression,
interopérabilité ICQ, serveurs 'echo' pour tester le signal,
etc.). Le code-source est disponible.
Le projet, délaissé en 1996 par John Walker, a été
repris par Brian C. Wiles en 1998 dans un esprit "Open Sources".
Version
Windows
Version
Unix (en lignes de commande)
Eraser
3.0 pour Windows 95/98/NT
Sortie d'une version 3.0 d'Eraser
permettant des "wiping" programmables à intervalles réguliers.
Eraser est un "wiper" (nettoyeur de disque) écrit par Sami Tolvanen.
Le
rapport "Cryptography & Liberty 1999" donne à la France une
meilleure notation que les USA
Le rapport annuel Cryptography
and Liberty 1999 (An International Survey of Encryption Policy), publié
par l'Electronic Privacy Information Center (EPIC)
et la coalition Global Internet Liberty Campaign (GILC),
donne dorénavant à la France la notation "orange/vert", contre
"orange" seulement pour les USA, l'Espagne et la Grande-Bretagne (cette
dernière a été rétrogradée depuis 1998
de "vert/orange" à "orange"). Sont notés "rouge" : la Russie
et la Chine. Trois grands pays seulement sont notés "vert" : l'Allemagne,
l'Irlande et la Suisse.
Le rapport "Cryptography and Liberty" étudie chaque année
les législations et politiques des différents pays du monde
et leur accorde une notation selon le degré de liberté d'utilisation
de cryptographie, de "rouge" : interdiction totale, à "vert" : liberté
totale.
Extrait :
" (...) These international policy developments have
had a significant impact on domestic policies in both countries that supported
escrow and those that did not have encryption policies. The most dramatic
turnaround was in France, where Prime Minister Jospin announced in January
1999 that France would scrap its key escrow system in favor of free use
of cryptography."
Des
versions pirates de PGP 6.5 en Europe
Les versions commerciales PGP 6.5 pour Linux (x86) et pour Solaris ont
été exportées des USA par des inconnus puis miroitées
sur un FTP pirate situé en Europe.
La version PGP 6.5 Linux se présente sous la forme d'une archive
*.rpm. Elle est composée d'un seul binaire ./pgp de 1031 Ko et reprend
les commandes et configurations de PGP 2.63i. Contrairement à la
précédente version 5.0, elle semble parfaitement opérationnelle
et dénuée de bugs graves.
Une
FAQ française sur la taille des clefs en cryptographie
Thomas Pornin, de l'Ecole Normale Supérieure, a mis en ligne
une Foire Aux Questions en français expliquant ce
qu'est une clef en cryptographie et rappelant quelques points sur le
coût de la recherche exhaustive (l'essai de tous les mots de passe).
Cette FAQ est d'une grande clarté et accessible aux débutants.
Face
à la rumeur, Philip Zimmermann rappelle son engagement dans la défense
de la confidentialité
Dans un message signé, Phil Zimmermann,
le créateur de PGP, réagit avec vigueur à la rumeur
répandue récemment par certains détracteurs de PGP,
notamment en France.
Extrait :
"Après toutes les épreuves et les persécutions
légales que j'ai endurées pour fournir PGP au monde, je trouve
surprenant et offensant que quiconque puisse penser que je puisse tolérer
sans réagir la moindre compromission de l'intégrité
cryptographique de PGP."
-
COMMENTAIRE DE "PGP EN FRANÇAIS" : Durant les dernières
semaines, les rumeurs habituelles concernant la sécurité
de PGP, notamment la sincérité du code-source et des binaires
fournis par NAI et par la International
PGP Home Page, se sont amplifiées dans les forums de discussion
francophones (dont
fr.misc.cryptologie).
Des considérations sur la NSA américaine ont amené
quelques uns à la conclusion péremptoire que si le code avait
pu sortir des USA c'était uniquement parce que la NSA l'avait altéré.
Certains
intervenants ont même été jusqu'à affirmer
qu'un service spécialisé français parvient à
cracker une version récente de PGP. C'est dans ce contexte que Phil
Zimmermann a adressé à Michel Bouissou, un des traducteurs
du manuel français de PGP 6.02i, un message signé. Il y confirme
la sécurité du code américain de PGP et la confiance
totale qu'il place dans Ståle Schumacher Ytteborg pour la version
internationale du code, et il rappelle son engagement très ancien
dans la défense de la confidentialité. Paradoxalement, son
message met en lumière l'importance des liens de confiance entre
les développeurs d'un logiciel de cryptographie et les utilisateurs
de celui-ci. Les rumeurs sur la faiblesse de PGP sont irrationnelles parce
qu'elles ne s'appuient sur aucune démonstration cryptographique.
Elles se basent soit sur des cas d'attaque réussie contre un utilisateur
négligent, soit sur des bouffées de paranoïa anti-gouvernementale
aux accents inquiétants. La cryptographie relève de la science,
non de la magie, et elle s'appuie sur des critères objectifs ; le
code-source de PGP est un de ceux qui ont été le plus scrutés
dans le monde, version 5.5.3i comprise, et aucune "porte dérobée"
n'a jamais été trouvée. Ajoutons que l'histoire personnelle
de Phil Zimmermann, ainsi que son militantisme jamais démenti, plaident
pour lui et son équipe de chez Network Associates Inc. S'agissant
de Ståle Schumacher Ytteborg, il a depuis 1994 apporté la
preuve de son dévouement à la diffusion de PGP, notamment
avec le pharaonique projet de scannage intégral des code-sources
imprimés, qui a permis pour la première fois l'existence
d'une version internationale de PGP légalement exportée des
USA.
Le
gouvernement allemand définit une "kryptopolitik" favorable à
l'utilisation libre de cryptographie sûre
Le ministère de l'Intérieur et le Ministère de
l'Economie allemands ont fait une déclaration
commune (en allemand) définissant une politique cryptographique
favorable à l'utilisation libre de produis sûrs.
Le texte a été traduit en
anglais.
Extraits :
"1. Le Gouvernement Fédéral n'a pas
l'intention de restreindre la disponibilité générale
des produits cryptographiques en Allemagne. Il reconnaît l'importance
cruciale de la cryptographie sûre pour la protection des données,
le développement des échanges du commerce électronique,
et la protection des secrets des entreprises. C'est pourquoi le Gouvernement
Fédéral appuiera activement la diffusion de cryptographie
sûre en Allemagne. Cela veut dire promouvoir en particulier la prise
de conscience sur les problèmes de sécurité parmi
les entreprises, l'administration, et les personnes privées.
2. Le Gouvernement Fédéral se fixe pour
but de renforcer la confiance des utilisateurs dans la sécurité
cryptographique. Il prendra des mesures pour établir une structure
de confiance pour la cryptographie sûre, notamment en améliorant
la possibilité de vérifier la sécurité des
produits cryptographiques et en recommandant des produits labellisés."
pgp4pine
1.56 pour Linux/Unix
pgp4pine
1.56 pour Linux et Unix est disponible.
pgp4pine
est un programme interactif permettant d'utiliser PGP avec les programmes
e-mails, particulièrement Pine. Il est compatible avec PGP2.6.3i,
PGP5.0, et GnuPG 0.92.
Human
Rights Watch témoigne devant le Parlement américain et souligne
l'importance de la cryptographie dans la protection des Droits de l'homme
L'organisation non gouvernementale Human Rights Watch a
témoigné la semaine dernière devant le House
Subcommittee on International Economic Policy and Trade des Etats-Unis
sur le rôle de la cryptographie dans le combat en faveur des Droits
de l'homme.
Human Rights Watch (HRW)
fournit une liste de cas précis dans lesquels l'usage de la cryptographie,
et notamment PGP, a sauvé des vies humaines et permis la révélation
rapide et en toute sécurité d'atteintes aux Libertés
fondamentales dans différents pays. HRW plaide pour un abandon des
restrictions US à l'exportation de cryptographie.
Extraits :
"Actuellement, les défenseurs des Droits de
l'homme dans les pays les plus répressifs sont parfois hésitants
pour ce qui est de l'utilisation de cryptographie simplement parce que
cette technologie inhabituelle attirerait l'attention sur leurs activités
et entraînerait des représailles; ce problème sera
résolu quand la cryptographie forte dans les logiciels et les matériels
deviendra une fonctionnalité omniprésente des communications
électroniques. L'abandon des restrictions américaines rendra
ce jour proche."
"La communauté des Droits de l'homme ne doit
pas ignorer que la cryptographie, comme toute technologie, constitue un
authentique défi aux forces de l'ordre. Tout comme la communauté
des forces de l'ordre ne doit pas ignorer le rôle important que la
cryptographie a joué dans la protection de la vie humaine, dévoilant
tout abus du gouvernement, et préservant le développement
des institutions démocratiques."
"C'est le commencement d'une culture de masse des
Droits de l'homme qui peut au final se révéler un puissant
antidote aux menaces diffuses et originales d'un nouvel âge technologique."
Un
magazine français vendu en kiosque diffuse 50 Mo de cryptographie
forte sur son CD-ROM gratuit
La revue informatique ".net" vendue en kiosque (n° 31, juin 1999,
35 FF) diffuse sur son CD-ROM gratuit une grande quantité de logiciels
de cryptographie forte.
On notera que la pochette du CD-ROM reproduit le logo en couleur de
PGP et annonce : "Logiciel en version complète : PGP en français
code tous vos fichiers !" (l'impression au recto du CD précise :
"Exclusif : PGP version française").
Au sommaire :
- un CD-ROM de 65 Mo de documents et logiciels contenant
: PGP 6.02i, PGP 5.5.3fr, PGP 2.6.3i, toutes versions pour diverses plate-formes
Win/Unix/DOS/Mac, Scramdisk 2.02h + manuels en français, manuels
de PGP traduits, FAQs PGP et FAQs crypto traduites, Mixmaster, JBN 2.0f
et JBN 1.x. Le site Web "PGP en français" complet (à la date
de mars 1999), le site web de Scramdisk complet (même date), etc.
Toutes les distributions des logiciels sont signées.
- un article de fond de 6 pages intitulé "La cryptographie
forte", et une fiche technique de 2 pages, signés tous deux
par Michel Bouissou.
Le
SCSSI répond aux internautes que PGP est autorisé pour l'usage
privé
Le SCSSI répondrait aux
internautes qui lui posent la question par e-mail que PGP est autorisé
pour l'usage privé : « Conformement au decret n°99-200
du 17 mars 1999 que vous evoquez, l'importation et l'utilisation sont bien
dispensees de toutes formalites prealables mais uniquement dans le cas
d'usage prive et par une personne physique. » (Source : message
posté dans le forum de discussion fr.misc.cryptologie).
La
libéralisation de la cryptologie aurait été vécue
par l'Administration comme un coup de force du pouvoir politique
Dans un long article publié par l'hebdomadaire "Le Point" (n°
1392, 21 mai 1999, 18 FF) et intitulé : "Cryptologie : le coup de
force de Jospin", Jean Guisnel, journaliste spécialisé dans
les questions concernant le Renseignement, relate les dessous de la libéralisation
de la cryptologie annoncée le 19 janvier dernier.
L'article montre une opposition complète et parfois virulente
de la DGSE et la DST à l'autorisation de clefs de plus de 40 bits.
Il souligne par ailleurs le rôle déterminant joué par
le nouveau Secrétaire général de la Défense
nationale (qui a la tutelle du SCSSI), ainsi que celui des Ministres MM.
Claude Allègre et Dominique Strauss-Kahn, tous trois favorables
à la libéralisation.
Voir une traduction anglaise de l'article.
Extrait :
« La rivalité entre la DGSE et la DST
a décrédibilisé leurs arguments, confie un participant
aux réunions, nous avons eu le sentiment que ce qu'ils présentaient
comme des impératifs n'étaient en fait que des éléments
de confort professionnel. Un ministre leur a dit que ce n'est pas parce
qu'ils vivent depuis cinquante ans dans le confort des écoutes téléphoniques
que ça ne doit pas changer. Et leur métier avec.»
Des
boîtes aux lettres électroniques gratuites par le web avec
cryptage intégré
Une société basée à Anguilla (une île
des Antilles sous dépendance britannique), Hush
Communications, lance le service gratuit HushMail,
qui propose des boîtes aux lettres électroniques de type Hotmail
ou Usa.net, mais incluant un cryptage Diffie-Hellman 1024 bits (avec Blowfish
128 bits et SHA) directement intégré (actuellement uniquement
vers une adresse @hushmail.com). Un navigateur compatible Java VM
1.1.5 avec SSL 128 bits est nécessaire (comme une version de Netscape
4.08 modifiée par "Fortify"). Le but déclaré est de
populariser l'utilisation du cryptage systématique des e-mails.
Le code-source des outils utilisés est disponible
et les responsables semblent prêts à fournir des explications
en vue de rassurer sur la sécurité de leur système.
"Fortify"
pour Netscape 4.6 pour Windows, Linux/Unix et Mac
"Fortify", le patch 128 bits pour Netscape 4.6 ou inférieur (Communicator
ou Navigator), est disponible sur le site
de Fortify en Angleterre :
* Windows
95/98/NT
* Linux/Unix-x86
(et de nombreux autres
Unix)
* Mac.
Fortify est un logiciel
gratuit (même pour un usage commercial) permettant de transformer
le chiffrement 40 bits de Netscape hors-USA en chiffrement 128 bits. Les
développeurs de "Fortify for Netscape" travaillent en partenariat
avec de nombreuses grandes entreprises non américaines comme Volkswagen,
Globalsign, ou les grandes banques suisses. Fortify existe pour presque
toutes les versions de Netscape :
DEC-OSF + Dec UNIX (Alpha systems), SGI Irix 5.x and
6.x (Mips systems), Sun Solaris 2.4 and 2.5.1 (Sparc systems), Sun Solaris
2.4 and 2.5.1 (Intel x86 systems), Sun SunOS 4.1.3_U1 (Sparc systems),
BSD, FreeBSD, BSDI (Intel x86 systems), Linux-Elf and Linux-glibc2 (Intel
x86 systems), MKLinux and LinuxPPC (PowerPC systems), Microsoft Windows
95/98 and Windows NT (Intel x86 systems), IBM OS/2 (Intel x86 systems),
Apple Mac OS (PowerPC systems).
Notre page de présentation de Fortify.
La traduction française du fichier
d'aide de Fortify.
Manuel
français pour "Fortify for Netscape"
Le fichier d'aide de Fortify pour Netscape
a été traduit en français par Raphaël Quoilin
(format MS-Word
97 - miroir : MS-Word
97 -, ou avec mise en page limitée HTML
zippé, ou HTML en ligne).
Netscape
4.6 exportable possède maintenant un chiffrement de 56 bits
La nouvelle version
4.6 du navigateur Netscape possède en dehors des USA un chiffrement
DES 56 bits (contre 40 bits auparavant). Cette longueur de clef de 56 bits
reste cependant trop courte pour assurer des échanges sécurisés
avec les pages web https://, et il est conseillé d'utiliser
le patch gratuit Fortify for Netscape
128 bits.
PGP
6.5 "ligne de commande" pour Linux/Unix
Network Associates Inc., (NAI) publie aux USA une version commerciale
PGP
ligne de commande 6.5 pour Linux, Solaris et Windows NT. Elle est totalement
compatible avec PGP 2.6x et s'utilise avec les même lignes de commande.
PPDD
0.8, logiciel de chiffrement du disque dur pour Linux
Sortie d'une version
0.8 de Practical Privacy Disc Driver (PPDD) écrit par Allan
Latham.
PPDD est un pilote de périphérique pour le chiffrement
de disque dur sous Linux (PC seulement). Il permet le chiffrement de toutes
les données du disque, y compris le système de fichiers root
et le fichier de swap. L'algorithme utilisé est Blowfish. PPDD est
encore en version beta.
Plus d'infos sur la page
de PPDD.
Mise
à jour F6.0.2ib3 de la version française de PGP pour Mac
Une nouvelle rustine de francisation, F6.0.2ib3, de PGP pour Macintosh
est disponible. Elle est
l'œuvre, comme les précédentes rustines pour PGP 5.53i et
6.02, de Jean-Pierre Kuypers.
Une
décision judiciaire fragilise la réglementation anti-exportation
américaine (affaire Bernstein)
Une importante
décision judiciaire a été rendue aux USA dans
l'affaire Bernstein. Un tribunal a en effet considéré que
la réglementation interdisant l'exportation de cryptographie sûre
était inconstitutionnelle.
Pour en savoir plus sur l'affaire Daniel Bernstein, débutée
en 1996, voir le site de l'EFF.
Un
logiciel commercial de chiffrement des communications textuelles en temps
réel
Sortie de BetweenUs 2.0, version
entièrement réécrite d'un logiciel de chiffrement
des communications textuelles en temps réel (de type "Chat", IRC,
ICQ) pour Windows 95/98/NT. CAST, Blowfish et Triple-DES sont notamment
utilisés, ainsi que les clefs publiques de PGP 5.x et supérieur.
Le code-source est gardé secret mais Sam Simpson, distributeur de
ScramDisk, l'a
examiné. Le prix est d'environ 250 FF et la démo est
bridée à 30 jours d'utilisation.
Une
avancée théorique en cryptologie pourrait mettre en péril
la sécurité des clefs publiques de 512 bits
Dans une étude communiquée
lors de la conférence Eurocrypt qui se tenait à Prague, le
cryptographe israélien Adi Shamir a dressé les plans d'une
machine permettant de factoriser beaucoup plus rapidement les clefs publiques
de 512 bits.
Les clefs publiques de 768 bits et au-delà restent sûres.
La longueur de clef publique conseillée pour PGP est de 1024 ou
2048 bits.
Extrait :
"It is based on a very simple handheld optoelectronic
device which can analyse 100,000,000 large integers, and determine in less
than 10 milliseconds which ones factor completely over a prime base consisting
of the first 200,000 prime numbers. The new technique can increase the
size of factorable numbers by 100 to 200 bits, and in particular can make
512 bits RSA keys (which protect 95% of today's E-commerce on the Internet)
very vulnerable."
PGP
est disponible en kiosque partout en France
En prenant l'initiative de diffuser PGPfreeware 6.02i sur son
CD-ROM gratuit, la revue "Windows News" (n° 66, mai 1999, 38 FF, répertoire
du CD : "D:\Redac\PGP\") permet à tous les résidents français
dépourvus de connexion Internet d'accéder à la cryptographie
sûre. "Windows News" est diffusé en kiosque partout en France.
Le
SCSSI freine-t-il l'application des nouveaux décrets ?
Interrogé par le mensuel
SVM
(n° 171, mai 1999, p. 90), le SCSSI
(Service Central de la Sécurité des Systèmes d'Information),
organisme dépendant du Premier Ministre et chargé des questions
de cryptologie, refuse d'être catégorique sur la légalité
de l'utilisation de PGP pour l'envoi et la réception de messages.
Selon le SCSSI, la longueur des clefs publiques de PGP est supérieure
à 128 bits et le cas des algorithmes asymétriques n'a pas
été envisagé par les décrets du 17 mars 1999.
Extrait (intégral) :
"Mais quant à transmettre par e-mail un fichier
crypté, le SCSSI et le secrétariat général
de la Défense Nationale, dont il dépend, n'ont pas encore
tranché : "Le décret est quelque peu muet sur les systèmes
asymétriques. (...) On se pose la question. Ces sujets sont discutés,
il y a des nuances sur l'interprétation." "
-
COMMENTAIRE DE "PGP EN FRANÇAIS" : Les propos du SCSSI sont reproduits
par le magazine "SVM" au détour d'un article sur la sécurité
des e-mails, et ils ne constituent pas une interview formelle d'un représentant
officiel du SCSSI. Cependant, le refus de se prononcer catégoriquement
sur la légalité de l'utilisation de PGP en se réfugiant
derrière une possibilité d'"interprétation" est une
prise de position pour le moins surprenante.
L'utilisation
de PGP est en effet légale dans toutes ses fonctionnalités
comme le démontre le simple examen du logiciel. S'agissant du
cas spécifique de PGP 5.x et 6.x, l'option par défaut est
l'utilisation de l'algorithme symétrique CAST (clef de 128 bits),
mais on peut aussi choisir IDEA (128 bits) ou Triple-DES (168 bits) à
la place. Or, pour ce dernier, un débat entre experts a lieu dans
les forums de discussion sur la
longueur réelle de Triple-DES (168 bits théoriques mais seulement
112 bits quant à sa résistance réelle à une
attaque). Si le SCSSI voulait argumenter loyalement sur l'"interprétation"
des décrets à propos de PGP, c'est sur ce terrain qu'il devrait
se placer : la présence de Triple-DES dans les versions 5.x et 6.x
de PGP. Les décrets du 17 mars 1999 s'imposent à tous les
citoyens mais aussi à l'Administration. Nous souhaitons que le SCSSI
lève toute ambiguïté sur la légalité d'utilisation
par une personne privée des versions freeware 2.x de PGP pour l'envoi
et la réception de messages, et ce, afin de ne pas être soupçonné
de freiner l'application des décrets signés par le Premier
Ministre.
PGP
peut fonctionner sur les ordinateurs de poche PSION
Grâce à l'émulateur DOS XTM
pour Psion Series 5, la version 2.6x de PGP peut fonctionner sur les
ordinateurs de poche PSION Series 5 et Geofox-One.
La marche à suivre et des captures d'écran sont disponibles
sur ce site : http://5alive.psionking.com/Archives/Nov24.htm.
A noter que PGP est aussi disponible pour l'ordinateur de poche PalmPilot
III et supérieur.
NAI
aurait déclaré PGP auprès du SCSSI
Selon le mensuel SVM (n° 171,
mai 1999), Network Associates
Inc. (NAI) aurait déposé une déclaration de fourniture
de PGP auprès du SCSSI.
Le mensuel aurait obtenu cette information du SCSSI lui-même
qui affirme que la liste des logiciels déclarés sera disponible
le moment venu sur son site.
Svend
Olaf Mikkelsen publie un utilitaire pour ScramDisk
Svend Olaf Mikkelsen, l'auteur des routines qui cassèrent l'algorithme
DES, a écrit un petit utilitaire pour ScramDisk : Sdsvl
1.0, qui permet de créer un container ScramDisk.
L'objectif de ce programme est de faire un petit container, ou de faire
un container dans lequel il sera possible de recréer le matériel
clef à partir des mots de passe, numéro de série et
fichier d'entête spécifique (utile dans le cas où un
container a été endommagé).
Le programme utilise la librairie Bascrypt 1.0 (basée sur le
SSLay de Eric Young).
PGP
5.5.3fr en français : une version de mise à jour 210499
Une version 210499 de PGP 5.5.3fr en français pour Windows 95/98/NT
est disponible.
Elle contient d'importantes corrections de bugs :
- problèmes rencontrés par les utilisateurs de la version
de Windows 95 numéro 4.00.950 B avec support USB (Windows 95 OSR
2.x);
- problème de compatibilité avec le plugin Outlook Express
(vérification des signatures);
- problème de mauvais noms de menus créés lors
de l'installation;
- problème de vérification de fichier .SIG par menu contextuel;
- clarification d'un libellé dans la recherche sur les serveurs
de clefs.
Au
moins 10.000 visiteurs sur ce site depuis un an
Au moins 10.000 francophones ont visité la page de présentation
générale de PGP située à l'intérieur
du site "PGP en français", et ce depuis janvier 1998.
Depuis janvier 1999, au moins 2700 personnes sont passées
sur notre site
miroir anglais.
Par ailleurs, en moins d'un mois plus de 2500 personnes sont passées
par la page des sites miroirs de téléchargement
de PGP 5.5.3fr version française, et plus de 4600 personnes ont
téléchargé soit l'archive ZIP, soit la signature,
soit les sources, sur le site
original de PGP 5.53fr.
Un
manuel français pour ScramDisk 2.02h
Le manuel de ScramDisk
2.02h a été traduit en français et est disponible
au format PDF
Acrobat Reader ou DOC
Word 97.
La version PDF est aussi disponible sur notre site anglais : http://www.fortunecity.com/skyscraper/oracle/598/usermanfrenchpdf202h.zip
.
Kwik-Crypt
(version beta) archiveur auto extractible avec Blowfish
Sortie d'une beta 2 de Kwik-Crypt
(pour Windows 95/98/NT) qui permet de créer des archives auto extractibles
chiffrées avec l'algorithme Blowfish.
L'auteur de Kwik-Crypt, Andy Jeffries, collabore notamment avec Sam
Simpson qui s'occupe de ScramDisk.
kPGPkeys
1.1 offre une interface KDE à PGP 5.0i pour Linux
kPGPkeys
1.1, écrit par Christian Rossi, permet d'avoir une interface
PGP inspirée de la version Windows-Mac dans Linux KDE 1.1
PGP
6.02i pour Mac est sorti
Ståle Schumacher Ytteborg a mis en ligne PGP 6.02i pour Mac depuis
la Norvège :
ftp://ftp.no.pgpi.org/pub/pgp/6.0/6.0.2i/PGPfreeware602ib1.sea.hqx
(archive de 8,4 Mo).
PGP 6.02i est freeware, il a été exporté légalement
des USA, et il peut être utilisé pour usage non commercial
dans tous les pays du monde, France compris.
ScramDisk
2.02h pour Windows 95/98
Une version 2.02h de ScramDisk
est disponible. ScramDisk est un programme de cryptage transparent du disque
dur.
Voir nos conseils succincts pour les premiers
pas dans ScramDisk.
PGP
5.5.3fr version française pour Windows 95/98/NT est disponible
La première version française de PGP pour Windows 95/98/NT
est disponible :
Fabien A. P. Petitcolas
et Raphaël Quoilin
ont été les principaux artisans de cette version (voir l'annonce
postée dans le groupe de discussion fr.misc.cryptologie).
Les bugs doivent être signalés à l'adresse <PGP553fr@francemel.com>.
La page web décrivant cette version française peut être
consultée
ici.
PGP 5.5.3fr est bâti à partir du code-source
international 5.5.3i, code qui a été légalement exporté
des Etats-Unis sous forme de livre imprimé puis scanné et
vérifié grâce à une reconnaissance de caractères
par Ståle Schumacher Ytteborg. Le code-source de PGP 5.5.3i est disponible
sur la International PGP Homepage
et le code de PGP 5.5.3fr est lui aussi disponible
(à noter que le bug de la fonction "wipe", (destruction de fichier)
qui n'était pas sûre dans la version 5.5.3i, a été
réparé dans cette version 5.5.3fr).
PGP 5.5.3fr est la troisième version freeware
non anglaise pour Windows après les versions freeware 5.5.3it italienne
et 5.5.3j japonaise (et les versions
commerciales
5.5.3 allemande, espagnole, italienne, portugaise et japonaise).
Depuis les décrets
du 17 mars 1999, PGP freeware peut être librement utilisé
pour "l'usage privé par une personne physique" en France.
Rappel : la longueur de la
clef
de session de PGP (à ne pas confondre avec la longueur de la
clef publique) est de 128 bits au maximum (y compris pour Triple-DES qui
compte 168 bits théoriques mais 112 bits effectifs seulement).
PGP 5.5.3fr est un freeware
strictement réservé
à l'utilisation non commerciale. Pour tout usage commercial,
contacter Network Associates
International aux Pays-Bas. PGP 5.5.3fr a été réalisée
avec l'accord de Network Associates Inc., et ne peut être utilisé
que dans les conditions de la licence incluse avec le programme.
Voir des captures d'écran de PGP
5.5.3fr.
TCFS
version 2.2.2 pour Linux
La version 2.2.2 de Transparent Cryptographic
File System (TCFS) pour Linux 2.0.x est disponible.
TCFS est un logiciel de chiffrement du disque dur. Cette version 2.2.2
permet maintenant de partager des fichiers cryptés entre plusieurs
utilisateurs. TCFS utilise notamment l'algorithme Triple-DES.
Mailcrypt
3.5.3 pour Linux
Mailcrypt
3.5.3 pour Linux est disponible. Mailcrypt permet d'utiliser PGP 5.0i
et GnuPG avec Emacs, tant pour les e-mails que pour les newsgroups.
Les
décrets du 17 mars 1999 autorisent l'utilisation de PGP en France
Les décrets
n° 99-199 et 99-200 parus au Journal Officiel du 19 mars 1999 autorisent
"l'usage privé par une personne physique" des logiciels de cryptographie
possédant une longueur de clef inférieure ou égale
à 128 bits. Ces décrets font suite à la décision
du comité interministériel du 19 janvier dernier de libérer
totalement l'utilisation de cryptologie en France.
Les versions freeware de PGP entrent dans la définition des
logiciels autorisés à l'utilisation sans formalité
préalable. Toute personne physique peut importer d'un pays de l'Union
Européenne une version freeware de PGP et l'utiliser pour son usage
personnel.
Extraits :
"[Tableau annexe du décret n° 99-200]
Opérations dispensées de toutes formalités
préalables [pour l'utilisation et l'importation] :
[...]
2. Matériels ou logiciels offrant un service
de confidentialité mis en œuvre par un algorithme dont la clef est
d'une longueur supérieure à 40 bits et inférieure
ou égale à 128 bits, à condition, soit que lesdits
matériels ou logiciels aient préalablement fait l'objet d'une
déclaration par leur producteur, un fournisseur ou un importateur,
soit que lesdits matériels ou logiciels soient exclusivement destinés
à l'usage privé d'une personne physique."
-
COMMENTAIRE DE "PGP EN FRANÇAIS" : Deux mois jour pour jour après
son annonce de janvier, le Gouvernement tient parole et libéralise
au maximum la cryptographie domestique en France. Le texte des décrets
ne souffre aucune ambiguïté et il est probable que si nous
avions dû le rédiger nous-mêmes nous n'aurions pas écrit
autre chose. Sur le point de savoir pourquoi il y a limitation de la
taille des clefs à 128 bits et non 256 par exemple, certains développent
l'analyse suivante : cette limitation a été choisie afin
de ne pas créer un décret illégal. Ce décret
de libéralisation de la cryptographie sûre est en effet pris
en urgence (moins de deux mois) par le gouvernement sur la base de la loi
de 1996 qui elle visait à limiter l'usage de cette cryptographie.
En imposant une limite de la taille de clefs à 128 bits, le pouvoir
exécutif ne risque pas d'être soupçonné de priver
le législateur de ses prérogatives par un contournement de
la loi, puisqu'il y a encore de nombreux systèmes cryptographiques
courants qui ont une taille de clef supérieure et resteront théoriquement
interdits, tel l'algorithme Blowfish dont la clef peut être de 256
bits (et plus). Certains analysent ainsi les décrets comme taillés
sur mesure pour autoriser PGP, le standard mondial de fait de la cryptographie.
Nous
ne pouvons que nous féliciter de cette décision et de la
sagesse du Gouvernement sur ce dossier. Nous nous réjouissons particulièrement
du fait qu'en faisant une distinction entre l'usage privé des personnes
physiques (autorisé sans condition dès à présent)
et l'usage par les entreprises (encore soumis à déclaration
préalable), les décrets se situent sur le terrain des Libertés
Publiques plutôt que sur celui du commerce électronique. La
question concernait en effet d'abord les libertés individuelles,
et seulement ensuite la sécurité du réseau informatique
et l'essor de l'économie virtuelle. La situation qui avait vu la
France, pays des Lumières et "Patrie des droits de l'Homme" interdire
l'usage de la cryptographie, créant dans le monde entier une incompréhension
des francophiles, était une anomalie grave. Elle est terminée.
Ajoutons que le régime légal antérieur n'était
absolument pas respecté, des milliers de personnes résidant
en France estimant à juste titre que l'intimité de leur vie
privée n'avait pas à être restreinte de facto
par une interdiction de crypter, interdiction plus troublante encore après
la révélation de pratiques répétées
d'écoutes téléphoniques d'Etat. La prochaine étape
de cette libéralisation de la cryptologie, étape qui ne peut
être franchie que par la loi, sera la liberté totale, notamment
la possibilité de distribuer sans autorisation préalable
des logiciels de cryptographie, afin que l'on puisse enfin trouver
sans délai le tout dernier "PGP 6.02 for Desktop Security" en vente
au rayon informatique de son grand magasin préféré.
Cependant, d'ores et déjà le distributeur des versions commerciales
de PGP en dehors des USA, Network
Associates International, peut s'il le désire, faire une déclaration
d'importation auprès du SCSSI, déclaration qui sans réponse
négative sous un mois sera réputée acceptée.
http://come.to/pgpenfrancais
permet d'accéder à ce site
Ce site est désormais accessible par une deuxième adresse
:
http://www.come.to/pgpenfrancais
(ou http://come.to/pgpenfrancais)
Le
manuel français de PGP 6.02i est miroité sur trois autres
sites
Le manuel français de PGP 6.02i est dorénavant disponible
au format PDF sur quatre sites (taille de l'archive : 2 Mo) :
* France
* Angleterre
1
* USA
* Angleterre
2
(autres formats
+ "intro à la crypto")
Un
bug dans PGP 6.02i peut "planter" Microsoft Outlook Express 4.x version
française
Avant l'installation de PGP 6.02i, les utilisateurs de MS-Outlook Express
4.x doivent prendre certaines précautions car un bug peut effacer
un fichier essentiel au fonctionnement de ce dernier.
Avant toute installation, sauvegarder le fichier c:\Program Files\Outlook
Express\msimn.exe. Puis installer PGP 6.02i et son plug-in OE. Puis
renommer la sauvegarde
msimm.exe en pgpmsimn.exe, et copier
pgpmsimn.exe dans le dossier c:\Program Files\Outlook Express\).
(Détails : post de Michel Bouissou
dans fr.misc.cryptologie.)
A noter que PGP 6.02i n'est pas intégrable dans Outlook Express
5.0 (pas de plug-in).
Autres bugs connus de PGP 6.02i : http://www.pgpi.org/bugs/win.shtml
PGP
6.02 "international" version officielle est sorti
Dimanche 21 février à 15:58 GMT, Ståle Schumacher
Ytteborg a mis en ligne PGP 6.02i pour Windows 95/98/NT depuis la Norvège
:
ftp://ftp.no.pgpi.org/pub/pgp/6.0/6.0.2i/PGPfreeware602i.exe
(archive de 6,7 Mo).
Signature de l'archive par Ståle Schumacher Ytteborg :
ftp://ftp.no.pgpi.org/pub/pgp/6.0/6.0.2i/PGPfreeware602i.exe.sig
PGP 6.02i comprend l'outil PGPdisk. La version Windows est compatible
avec PGP 2.6x (clefs RSA).
PGP 6.02i est freeware, il a été exporté légalement
des USA, et il peut être utilisé pour usage non commercial
dans tous les pays du monde, France compris.
Apparition
d'un virus "anti-PGP"
Selon un bulletin
d'information diffusé par McAfee (filiale de NAI, à qui
appartient PGP), un virus du nom de "Caligula" cherche à recopier
le fichier de clés secrètes de PGP.
Extraits :
"Caligula recherche le trousseau de clés
sécurisé de l'utilisateur de PGP (Pretty Good Privacy) qui
contient la clé de cryptage privée de l'utilisateur, et la
rapatrie sur le FTP de l'auteur du virus. L'auteur, un membre du groupe
de programmeurs de virus The Codebreakers, a déclaré
n'avoir pas d'intentions malicieuses et n'envisage pas de disséminer
le virus."
Le
code-source de PGP 6.02i est disponible
Le code-source de PGP 6.02i (versions Windows et Mac) a été
scanné par Ståle Schumacher Ytteborg et est disponible ici
: ftp://ftp.pgpi.org/pub/pgp/6.0/6.0.2i/
(archives de 7 Mo chacune).
La version compilée utilisable avec Windows 95, 98, NT, et avec
MacOS, devrait être disponible dans les jours qui viennent.
Bien que la loi américaine interdise toute exportation de logiciels
de cryptographie forte, PGP 6.02i a pu être exporté légalement
des USA sous la forme de 28 volumes imprimés (12.000 pages) reproduisant
le code-source informatique de PGP 6.02, qui ont été scannés
puis passés à la reconnaissance de caractères pour
reconstituer le code-source.
Le
manuel de PGP 6.02i est intégralement traduit en français
Le "Manuel
de l'utilisateur" de PGP 6.02i Personal Privacy (version Windows) a
été traduit en français par plusieurs participants
du forum de discussion fr.misc.cryptologie.
Le chapitre concernant PGPdisk constitue un ajout à la documentation
française de PGP 6.0 freeware. L'"Introduction à la cryptographie"
incluse dans la documentation anglaise de PGP 6.0 a également été
traduite.
Le texte du "Manuel de l'utilisateur" et de l'"Introduction à
la cryptographie" reste la propriété de Network
Associates Inc. (NAI).
Le document de référence est la version au format PDF.
Pour imprimer nous vous conseillons de choisir l'archive ZIP au format
PDF, et pour uniquement lire à l'écran l'archive ZIP au format
HTML (moins bonne mise en page, mais archive moins grosse).
Les archives sont signées par Emilio Oriente, qui a effectué
la révision intégrale des traductions.
Le logiciel PGP 6.02i freeware peut être téléchargé
sur ftp.pgpi.org
et ses miroirs (pour une utilisation commerciale de PGP, contacter http://www.pgpinternational.com).
La version freeware d'Acrobat Reader est téléchargeable
sur le site d'Abode.
"PGP
pour les français" devient "PGP en français"
Ce site tire les conséquences de la libéralisation
de la loi française et change de nom. Le très militant et
trop hexagonal "pour les français" cède la place à
"en français" afin de devenir le point de référence
francophone de PGP.
La
loi française anti-crypto va être abrogée
Dans un discours prononcé mardi 19 janvier 1999 et disponible
sur le site du Premier
Ministre , M. Lionel Jospin a annoncé l'abrogation de la loi
anti-cryptographique française.
Extraits :
" Le troisième chantier législatif concerne
la cryptologie. Alors que se développent les moyens d'espionnage
électronique, la cryptologie apparaît comme un moyen essentiel
pour protéger la confidentialité des échanges et la
protection de la vie privée.
Nous avions, il y a un an, franchi un premier pas
vers la libéralisation des moyens de cryptologie. J'avais annoncé
alors que nous en franchirions un autre ultérieurement. Le Gouvernement
a, depuis, entendu les acteurs, interrogé les experts et consulté
ses partenaires internationaux. Nous avons aujourd'hui acquis la conviction
que la législation de 1996 n'est plus adaptée. En effet,
elle restreint fortement l'usage de la cryptologie en France, sans d'ailleurs
permettre pour autant aux pouvoirs publics de lutter efficacement contre
des agissements criminels dont le chiffrement pourrait faciliter la dissimulation.
Pour changer l'orientation de notre législation,
le Gouvernement a donc retenu les orientations suivantes dont je me suis
entretenu avec le Président de la République :
- offrir une liberté complète dans l'utilisation
de la cryptologie ;
- supprimer le caractère obligatoire du recours
au tiers de confiance pour le dépôt des clefs de chiffrement
;
- compléter le dispositif juridique actuel
par l'instauration d'obligations, assorties de sanctions pénales,
concernant la remise aux autorités judiciaires, lorsque celles-ci
la demandent, de la transcription en clair des documents chiffrés.
De même, les capacités techniques des pouvoirs publics seront
significativement renforcées.
Changer la loi prendra plusieurs mois. Le Gouvernement
a voulu que les principales entraves qui pèsent sur les citoyens
pour protéger la confidentialité de leurs échanges
et sur le développement du commerce électronique soient levées
sans attendre. Ainsi, dans l'attente des modifications législatives
annoncées, le Gouvernement a décidé de relever le
seuil de la cryptologie dont l'utilisation est libre, de 40 bits à
128 bits, niveau considéré par les experts comme assurant
durablement une très grande sécurité."
Les informations "techniques" sont ici :
http://www.internet.gouv.fr/francais/textesref/cisi190199/decis1.htm
-
COMMENTAIRE DE "PGP POUR LES FRANÇAIS" : le gouvernement a bel
et bien décidé de lever toutes les barrières à
l'utilisation de cryptologie en France. La surprise des défenseurs
de la crypto libre est complète ! Il faut saluer le réalisme
du Premier Ministre et du Président de la République sur
ce sujet. Ils ont su imposer une décision politique à des
responsables militaires et policiers inquiets à juste titre du nouveau
monde électronique dans lequel nous entrons. Entre le confort de
ces services spécialisés et le respect de l'intimité
de la vie privée, le gouvernement a eu le courage de choisir la
seconde priorité. En abandonnant une législation sécuritaire
basée sur la suspicion, la France revient enfin dans le giron des
grandes démocraties. Elle montre l'importance (récente) qu'elle
accorde à la protection d'une intimité de la vie privée
de plus en plus compromise par l'omniprésence de l'informatique
et la mise en réseaux des systèmes. On peut s'attendre maintenant
à ce que cette décision ait des répercussions aux
Etats-Unis. La position du gouvernement américain, qui cherche à
restreindre la liberté de crypter et punit sévèrement
toute exportation de cryptologie, va en effet devenir plus délicate
car il comptait s'inspirer de l'expérience française de séquestre
de clés et de prohibition totale. On peut enfin s'interroger sur
les raisons qui ont poussé le gouvernement à changer du tout
au tout sa politique sur le sujet; il n'est pas impossible que le système
d'espionnage américain "Echelon" ait pris avec Internet une ampleur
qui inquiète les responsables français.
DES-III
a été craqué en 22 heures et 15 minutes
Le Challenge DES-III de cassage de clé organisé par RSA
Inc. a été remporté par Distributed
en moins de 24 h. Le message crypté avec l'algorithme DES utilisant
une clé 56 bits a été trouvé le 19 janvier
à 07:15 am PST (14:15 UTC, 15:15 heure française).
La clé était : 92 2C 68 C4 7A EA DF F2, et le
message disait :
The unknown message is: See you in Rome (second AES conference,
March 22-23, 1999)
La vitesse de recherche de clés était de l'ordre de 200
Gkeys/secondes.
C'est la machine
Deep Crack de l'EFF,
qui collaborait au Challenge, qui a trouvé la clé. C'était
déjà elle qui avait craqué seule le Challenge DES-II
en 56 heures en juillet 1998.
Sam
Simpson publie une FAQ "PGP DH vs. RSA"
Sam Simpson, qui distribue ScramDisk, a écrit une FAQ
(Foire aux questions) "PGP DH vs. RSA" (versions 5.x et 6.x).
Cette FAQ est aussi
miroitée sur notre
site.
Mise à jour : juillet 1999
© 1997, 1998, 1999, 2000, pplf 14A0 4A67 0431 2402
684D 6EBA 537F 664D 3F80 0D58
pgpenfrancais@bigfoot.com |