Les nouvelles actualisées sont ici
 
 

Un bilan de l'année 1999
1999/12/31

• Commentaire de "PGP en français" : 1999 restera d'abord comme l'année de la libéralisation de la cryptographie en France. Fin janvier, le Premier Ministre Lionel Jospin, après s'en être "entretenu avec le Président de la République", a décidé d'accorder "la liberté complète dans l'utilisation de la cryptologie". Les décrets du 17 mars 1999 remontant la longueur maximale des clefs symétriques autorisées à 128 bits puis l'autorisation de vente de PGP par le SCSSI en novembre ont engagé cette réforme. Une loi abrogeant les derniers textes anti-crypto devrait être présentée au Parlement durant le premier semestre 2000.

1999 a aussi été une année particulièrement riche pour PGP chez les francophones. Les manuels 6.0.2i ont été traduits intégralement, puis a été publié le freeware PGP 5.5.3fr pour Windows, alors que PGP 6.5.1fr beta 2 était en test privé en décembre avec une version finale publique prévue pour la mi-janvier 2000. Du côté des versions commerciales, NAI France a commencé en novembre à vendre PGP Desktop Security 5.5.5 et 6.0.2 sur le territoire français. 
1999 a encore été l'année de GnuPG, la version GNU de PGP, alors qu'on constatait une certaine désaffection des utilisateurs de la première heure pour PGPTM. Une remarquable version 1.0 de GnuPG est sortie et le projet a obtenu un soutien financier de 163.000 euros (1 million de FRF) du gouvernement allemand. PGP, pour lequel NAI fait peu de publicité, est devenu avec ses versions 6.5.x un logiciel de plus en plus complexe, parfois buggué, et surtout difficile à compiler et à examiner quant à la sécurité de son code-source. 
1999 a également vu la suite des tours de qualification pour l'AES, l'algorithme standard de chiffrement du XXIe siècle, qui a laissé cinq participants en course : MARS, RC6, Rijndael, Serpent, Twofish.
1999 a enfin été l'année où le gouvernement américain s'est ridiculisé en déclarant vouloir lever les restrictions anti-exportation sur la cryptographie, avant de faire volte-face et plafonner les matériels autorisés à des clefs symétriques de 64 bits et publiques de 512 bits, puis à nouveau temporiser et remettre son choix. Les décisions des gouvernements allemand et français en matière de cryptologie ont fini d'isoler les américains de plus en plus mis en cause par l'Union Européenne au sujet de leur réseau d'espionnage "Echelon".

Un nouveau "draft" (Draft II) de la réglementation US est disponible
1999/12/21
Le Draft II (papier préparatoire) de la réglementation américaine des exportations de cryptographie a été réalisé le 17 décembre et est publié par l'organisation non-gouvernementale CDT.

Voir notre brève du 14 décembre
 

VeriSign rachète Thawte
1999/12/20
La société VeriSign a annoncé qu'elle rachetait Thawte Consulting, second fournisseur mondial de certificats digitaux, qui supporte notamment les clefs publiques PGP. 
Le montant du rachat serait de 575 millions de dollars (575 millions d'euros ou 3,5 milliards de francs français).
 

Une version test de GnuPG 1.0.1a pour WINDOWS est disponible
1999/12/19
Une version Windows (ligne de commande) de GnuPG 1.0.1a est disponible.
Il s'agit d'une version "test" qui n'est pas destinée aux utilisations réclamant une sécurité élevée.
Le manuel d'utilisation existe en francais (un "Howto").
ftp://ftp.gnupg.de/pub/gcrypt/binary/gnupg-w32-1.0.1a.zip
ftp://ftp.gnupg.de/pub/gcrypt/binary/gnupg-w32-1.0.1a.zip.sig
 

GnuPG 1.0.1 est disponible (Unix)
1999/12/16
La version 1.0.1 de GnuPG est disponible (pour Linux et BSD).
Site original : ftp://ftp.gnupg.org/pub/gcrypt/gnupg/gnupg-1.0.1.tar.gz
Miroir en France : ftp://ftp.strasbourg.linuxfr.org/pub/gnupg/
Parmi les nouveautés de cette version :
 * Can now handle (but not display) PGP's photo IDs. I don't know the format of that packet but after stripping a few bytes from the start it looks like a JPEG (at least my test data).  Handling of this package is required because otherwise it would mix up the self signatures and you can't import those keys.
 * Passing non-ascii user IDs on the commandline should now work in all cases.
 * New keys are now generated with an additional preference to Blowfish.

Voir notre page de présentation de GnuPG.
 

La librairie RSAREF2 peut présenter un trou de sécurité
1999/12/14
Un trou de sécurité a été découvert dans la librairie de chiffrement RSAREF2 et dans le standard SSH1. Des correctifs sont disponibles.
PGP 2.6.2 n'est pas affecté (voir ce message signé de Philip Zimmermann et cette explication technique) ni aucune des versions 5.x et 6.x de PGP.
 

SfOPGP, un analyseur de messages au format OpenPGP
1999/12/14
Sortie d'une version alpha de Sniffer for OpenPGP (SfOPGP), écrit par Sven Knispel. SfOPGP est un analyseur de messages au format OpenPGP (PGP 5.x, GnuPG), qui permet d'obtenir des informations sur le format PGP d'un message (par exemple les algorithmes utilisés). Il se rapproche de la commande --list-packets disponible dans GnuPG.

La publication des nouvelles réglementations US sur l'exportation de cryptographie est repoussée au 14 janvier
1999/12/14
Selon le New York Times, la nouvelle réglementation américaine sur l'exportation des matériels et logiciels cryptographiques qui devait être rendue publique par l'administration Clinton le 15 décembre est repoussée au 14 janvier 2000.
Extrait :
"The delay could also signal continued conflicts within the administration. Officials at the Department of Commerce have generally backed industry efforts to ease export controls. The Federal Bureau of Investigation and the National Security Agency, on the other hand, have long fought for tighter rules on the exports".

Voir notre brève du 24 novembre
 

Le gouvernement américain autorise l'exportation de PGP sous licence
1999/12/13
Le gouvernement américain accorde à Network Associates Inc. une licence pour exporter PGP dans le monde entier (sauf sept pays terroristes).
Cependant, il semble que le téléchargement libre depuis un site web ou FTP américain n'est toujours pas autorisé.

Extrait du communiqué de presse :
"Network Associates, Inc. today announced that it has been granted a full license by the U.S. Government to export its market-leading PGP encryption software, ending a decades-old ban on the export of strong encryption products. The license, effective immediately, allows Network Associates, the world's largest security software company (IDC Research, 1999) to export its full strength PGP encryption software to virtually all countries worldwide without restriction."
 

PGP pour PSION Series 5
1999/12/12
Une version beta 1.0 de PGP pour EPOC (Psion Series 5, Geofox, Revo) est disponible grâce à PanSoftware (qui a repris le travail de S.G.Software). Sont gérées les clefs RSA (chiffrement et déchiffrement, jusqu'à 3072 bits), et en partie les clefs DH/DSS (seulement pour le chiffrement). PGP pour EPOC est freeware; le code-source est fourni.
Sur le Psion, on peut aussi utiliser la version originale de PGP 2.63i avec l'émulateur DOS XTM.

Le SCSSI autorise PGP en France
1999/12/08
A la date du 3 décembre 1999, la nouvelle liste des "produits cryptologiques libres d'utilisation et d'importation ou autorisés" disponible sur le site web du Service Central de la Sécurité des Systèmes d'Information (SCSSI), inclut la version commerciale de PGP, officialisant par là l'autorisation de ce logiciel en France.
Jusqu'aux décrets du 17 mars 1999 entamant la libéralisation de la cryptologie en France, cette liste du SCSSI ne contenait que des produits qui ne rencontraient pas la confiance des cryptographes indépendants.

Extrait :

" NETWORK ASSOCIATES France
50, rue de Londres, 75008 Paris, France

Produit	Catégorie
PGP desktop utilities v5.5.5 et v6.0.2	Chiffrement de fichiers

(...)
Copyright © 1999 Service Central de la Sécurité des Systèmes d'Information 
Dernière mise à jour le 03/12/99 à 11:44:43 "
 

• Commentaire de "PGP en français" : Ça y est. PGP est enfin librement disponible pour tous en France : le SCSSI en autorise l'utilisation pour les entreprises, les décrets du 17 mars dernier l'ayant préalablement de facto autorisé pour les particuliers (Notons au passage qu'entre la prise de décision - discours de M. Jospin du 19 janvier - et l'application effective de celle-ci - vente de PGP -, il se sera passé presque un an, ce qui est un peu long à l'échelle d'Internet...) 

"Pretty Good Privacy", PGP, qui coûta trois années d'enquête des douanes américaines à son auteur, Philip Zimmermann, peut être vendu et utilisé en France. Le logiciel qui symbolise la protection de l'intimité de la vie privée et du secret de la correspondance est à présent autorisé dans ce qui fut jadis le pays des écoutes téléphoniques ! Ce 3 décembre 1999 est une grande date.

Communiqué de presse du projet GnuPG (suite)
1999/12/02
Werner Koch a mis en ligne une version anglaise de son communiqué de presse.
La portée européenne du projet est confirmée.
Extrait :
"We are therefore confident that GnuPG as a free software will establish itself as a reliable tool for European citizens who want to protect their privacy while remaining part of the global information infrastructure."

Voir notre brève du 20 novembre

Un projet PGP 6.5.1fr est lancé pour la traduction de PGP 6.5.1i en français (avec plug-in Outlook Express 5.0)
1999/12/02
L'équipe ayant traduit PGP 5.5.3fr sous la direction de Fabien Petitcolas annonce qu'elle a commencé la traduction du code-source international freeware en vue de la réalisation d'une version française PGPfreeware 6.5.1fr pour Windows. Cette version comprendra un plug-in courrier pour Outlook Express 5.0 et fonctionnera sous Windows 95, 98, NT et 2000.

L'équipe recherche des volontaires pour aider à la traduction de l'aide en ligne 6.5.1i. Contact : pplf@geocities.com
 

OpenBSD 2.6 est disponible
1999/12/01
La version 2.6 d'OpenBSD est disponible.
OpenBSD est un Unix libre (à la manière de Linux) dont une des caractéristiques est l'utilisation systématique de la cryptographie.

PGP 6.0.2 et 5.5.5 sont vendus en France
1999/11/27
Selon le bulletin "SecuriNews" du 4 novembre dernier, Network Associates France vient d’obtenir du Service Central de la Sécurité des Systèmes d’Information (SCSSI) "l’autorisation de fourniture en vue d’une utilisation générale du moyen de cryptologie PGP Desktop utilities, versions 6.02 et 5.55".
Sont commercialisés : PGP Desktop/Business Security : clients 6.02 et 5.55, PGP E-Business Server (anciennement Command Line), et la réunion de ces deux produits dans la suite globale PGP Total Network Security.
A noter que le site du SCSSI ne fait pas encore figurer PGP dans la liste des produits déclarés et utilisables en France.

Contact : Network Associates, 50 rue de Londres, Paris 75008, France, Tel.: 01-44-908-737 ou 01-44-699-800 Fax.: 01-45-227-554 ou http://www.pgpinternational.com
 

La version française du Crypto-gram de novembre est sortie
1999/11/26
Le "Crypto-gram" du 15 novembre dernier est disponible en français, grâce à une traduction de Gilbert Fernandes. L'abonnement par e-mail est possible.
Bruce Schneier, cryptographe réputé, publie chaque 15 du mois une lettre d'information gratuite.
 

Le gouvernement US permettrait l'export de codes-sources cryptographiques ("draft", suite)
1999/11/25
Parmi les dispositions du "draft" de la nouvelle réglementation US anti-export, l'une autoriserait l'exportation sans condition des codes-sources.
Voir le commentaire en ce sens de l'expert Brian Gladman sur la liste de discussion UKcrypto.
Voir notre brève du 24 novembre
 

La version "internationale" officielle de PGP devient provisoirement PGP 6.5.1int (Windows)
1999/11/25
Depuis hier, la dernière version "internationale" de PGP 6.x pour Windows n'est plus PGP 6.5.1i, compilé par Imad R. Faiad, mais PGP 6.5.1int, compilé par le CN Lab (clé publique 0xDE2AB910). Par ailleurs, le code-source 6.5.1i disponible en ligne a été légèrement modifié.
Ces modifications semblent liées à des problèmes techniques rencontrés avec la version 6.5.1i. 
La version Mac reste PGP 6.5.1int (il n'y a jamais eu de 6.5.1i Mac).
La version 6.5.2 US, développée et compilée aux USA par l'équipe de Philip Zimmermann, et qui a été exportée illégalement des USA début novembre, est également disponible sur le site de la International PGP Home Page.
ftp://ftp.no.pgpi.org/pub/pgp/6.5/6.5.1int/PGPfreeware651int.exe
ftp://ftp.no.pgpi.org/pub/pgp/6.5/6.5.1int/PGPfreeware651int.exe.sig

Le "draft" de la réglementation US limiterait l'exportation de crypto à 64 bits symétriques et 1024 bits asymétriques
1999/11/24
Le papier préparatoire ("draft") de la réglementation américaine des exportations de cryptographie a pu être obtenu par le Center For Democracy & Technology.
Il ressort de ce document que l'exportation de matériel et logiciel cryptographiques vers des pays non terroristes reste conditionnée. Le texte ne pose pas le principe d'une liberté d'exportation. Les longueurs de clefs symétriques sont par exemple explicitement limitées à 56 bits ou 64 bits (et 512 bits ou 1024 bits pour les clefs asymétriques).

Extraits :
"List of Items Controlled
(...)
Note: 5A002.a.1 includes equipment designed or modified to use "cryptography" employing analogue principles when implemented with digital techniques.
               a.1.a. A "symmetric algorithm" employing a key length in excess of 56-bits; or 
               a.1.b. An "asymmetric algorithm" where the security of the algorithm is based on any of the following:
                    a.1.b.1. Factorization of integers in excess of 512 bits (e.g., RSA);
                    a.1.b.2. Computation of discrete logarithms in a multiplicative group of a finite files of size greater than 512 bits (e.g., Diffie-Hellman over Z/pZ); or
                    a.1.b.3. Discrete logarithms in a group other than mentioned in 5A002.a.1.b.2 in excess of 112 bits (e.g., Diffie-Hellman over an elliptic curve);
               a.2. Designed or modified to perform cryptoanalytic functions;
               a.3. [Reserved]
               a.4. Specially designed or modified to reduce the compromising emanations of information-bearing signals beyond what is necessary for the health, safety or electromagnetic interference standards;
               a.5. Designed or modified to use cryptographic techniques to generate the spreading code for "spread spectrum" or the hopping code for "frequency agility" systems; 
               a.6. Designed or modified to provide certified or certifiable "multilevel security" or user isolation at a level exceeding Class B2 of the Trusted Computer System Evaluation Criteria (TCSEC) or equivalent;
               a.7. Communications cable systems designed or modified using mechanical, electrical or electronic means to detect surreptitious intrusion."

Le 16 septembre dernier, l'Administration Clinton avait annoncé une prochaine décision de suppression des réglementations anti-export.
Le texte définitif de la réglementation sera publié le 15 décembre prochain.
Voir notre brève du 17 septembre
 

Plug-in Pegasus Mail pour PGP 6.5.2 / 6.5.1i
1999/11/23
QDPGP 2.61 est disponible. QDPGP est un plug-in PGP 6.5.2 / 6.5.1i pour le logiciel e-mail freeware Pegasus Mail (Windows).
Un fichier d'aide en français est aussi disponible.
 

DCypher concurrence Distributed dans le Challenge CSC
1999/11/22
DCypher.Net est un concurrent de l'équipe de Distributed.net dans la course au CS-Challenge (cassage d'un message chiffré avec l'algorithme CS 56 bits) organisé par la société française CS Communications & Systems. 
DCypher.Net propose notamment un client Linux "MMX-only" (et aussi des clients Windows 9x et NT). DCypher.Net a lancé son effort le 8 novembre dernier.
Voir notre brève du 9 novembre
 

Seahorse 0.2.4, interface graphique Gnome pour GnuPG
1999/11/22
Sortie de Seahorse, une mini interface graphique Gnome pour utiliser GnuPG sous Linux.
 

aCrypt, archiveur auto-extractibles avec Twofish
1999/11/22
Sortie de aCrypt (pour Windows 95/98/NT) programme gratuit qui permet de créer des archives auto-extractibles chiffrées avec l'algorithme Twofish (en mode CBC avec clef de 128 bits). Le code source est publié.

Soutien du gouvernement allemand à GnuPG (suite)
1999/11/20
Le site du Ministère de l'Economie et de la Technologie allemand indique comme montant de l'aide accordée à l'association GUUG (Union des Utilisateurs Unix Allemands) et au projet GnuPG une somme de 318.000 DM (soit 162.500  ou plus de 1.000.000 FF).
Traduction française (par www.voilà.fr)

En outre, un article du New York Times recueille les commentaires de Werner Koch, qui dirige le développement de GnuPG, et fait le point sur cette affaire.
Extraits :
"Koch predicts that the new grant will help cement Germany's leadership in electronic commerce. "United States is the land of software, but not in the field of cryptography any more.'' Koch said. "Other countries like Germany are much better now. We are still lucky. In Germany, we are really free to do anything now.''
(...)
Some programmers in the United States feel that it is only a matter of time before the United States embraces strong, unbreakable encryption technology. Phil Zimmerman, a developer of another encryption package known as PGP, said, "We're in the endgame now." "

Voir notre brève du 16 novembre
 

L'ACLU lance www.echelonwatch.org
1999/11/17
La puissante association américaine ACLU (American Civil Liberties Union) lance en collaboration avec l'EPIC (Electronic Privacy Information Center) le site web Echelonwatch consacré au réseau d'espionnage étatique Echelon.
 

Une étude sur la longueur des clefs
1999/11/17
Une étude très complète sur la longueur des clefs (clefs symétriques, clefs asymétriques (publiques) classiques, et clefs asymétriques à algorithme discret et courbe elliptique) est publiée par Arjen Lenstra et Eric Verheul : Selecting cryptographic key sizes.
Les auteurs font des projections sur la sécurité selon la longueur de la clef. 
A la date de l'année 2005 sont par exemple conseillés :
- longueur minimale pour une clef symétrique : 74 bits
- longueur minimale pour une clef asymétrique (publique) classique : 1149 bits
Pour une FAQ en français sur le même sujet, voir la page de Thomas Pornin.
 

Distributed : le cassage du challenge CSC est lancé
1999/11/17
Le nouveau client (version 446) de Distributed intègre le cassage du Challenge CS-Cipher.
Voir notre brève du 9 novembre

Le gouvernement allemand injecte 250.000 DM dans GnuPG
1999/11/16
Selon Heise on line, le Ministère de l'Economie et de la Technologie allemand a décidé de verser une aide de 250.000 DM (soit 127.822  ou 800.000 FF) au projet GnuPG, la version libre de PGP
Traduction française de l'article (par www.voilà.fr).
Notre page de présentation de GnuPG.

• Commentaire de "PGP en français" : Il s'agit là d'une décision sans précédent dont il faut bien mesurer la portée. Le gouvernement du premier pays d'Europe décide de subventionner la réalisation d'une version grand public du logiciel de cryptage favori des experts indépendants. C'est une décision aussi importante que le lancement de l'AES américain il y a quelques mois. L'utilisation de la cryptographie n'est plus pour l'Etat l'objet d'une tolérance, mais bien d'une incitation des pouvoirs publics, au nom de la sécurité et de la protection de la vie privée. A cela s'ajoute la reconnaissance de la notion de "logiciel libre" (sous licence GNU GPL) développée autour de Linux. 

Il faut ensuite noter la portée de politique étrangère qu'a ce geste. Il y a six mois, Janet Reno, ministre de la Justice américain, avait adressé à son homologue allemand une lettre sur le volet cryptographique de l'Accord de Wassenaar (voir notre brève). Pourquoi avoir écrit à l'Allemagne ? tous les pays européens ont-ils reçus la même lettre ? Quoi qu'il en soit, le contenu de cette lettre qui n'était pas destinée à être rendue publique filtra dans la presse : le gouvernement américain demandait à l'Allemagne d'accentuer les contrôles à l'exportation de cryptographie forte, notamment contre... les logiciels libres type GNU GPL. Le gouvernement américain pensait visiblement pouvoir influencer le gouvernement allemand. Ce dernier vient donc de lui mettre les points sur les "i" d'une façon on ne peut plus claire. 
Reste qu'à côté de l'Allemagne, deux grands pays européens posent question. L'Angleterre d'abord, engagée dans la voie, sans issue mais inquiétante pour les libertés, d'un contrôle accru du cryptage. La France ensuite, dont les effets concrets de la politique de libéralisation font pale figure comparés à la situation allemande. Tant et si bien que nous devons encore une fois poser cette question : quand la version commerciale de PGP sera-t-elle librement vendue en France ?

PGP F6.5.2a et F6.5.1Int versions françaises (Mac)
1999/11/13
PGP F6.5.2a et PGP F6.5.1Int, versions françaises freeware pour MacOS, sont disponibles grâce à une traduction de Jean-Pierre Kuypers, qui fournit une "rustine" à chacun des deux programmes anglais.
Les fichiers rustines peuvent être téléchargés ici : ftp://ftp.sri.ucl.ac.be/pub/PGP/
Miroirs : 
ftp://ftp.free.fr/mirrors/ftp.sri.ucl.ac.be/
ftp://ftp.calvacom.fr/pub/mac-fr/PGP/
+ fichier programme (indispensable) PGP 6.5.2a ou PGP 6.5.1Int
Voir notre brève du 4 novembre
 

L'IETF dit non aux protocoles de surveillance sur Internet
1999/11/13
Lors d'une réunion spéciale, l'IETF (Internet Engineering Task Force), un des organismes chargés de la mise au point des standards d'Internet, a refuséde cautionner des protocoles de surveillance sur Internet.
Voir l'article du New York Times.
Voir notre brève du 10 novembre
 

Les manuels français PGP 6.0.2i sont miroités par pgpi.org
1999/11/13
Les traductions françaises du manuel Windows de PGP 6.0.2i et de l"Introduction à la cryptographie" sont miroitées sur www.pgpi.org.
Ces manuels sont utilisables pour PGP 6.5.1i et 6.5.2a sous réserve des modules ajoutés (PGPnet) ou manquant (PGPdisk) dans ces deux dernières versions.
Manuel PGP 6.0.2i pour Windows
Une introduction à la cryptographie
La liste des sites FTP pgpi.org dans le monde
 

Ståle Schumacher Ytteborg publie PGPfone 2.1 version officielle
1999/11/11
PGPfone 2.1 pour Windows est disponible sur la "International Home Page" dans une version compilée par Ståle Schumacher Ytteborg, et pour MacOS en sources. Une présentation de Philip Zimmermann est incluse.
PGPfone21-win.zip (logiciel complet + sources)
PGPfone21-mac.zip (sources seulement)
 

PGP 6.5.2a Personal Privacy et Desktop Security
1999/11/11
Network Associates publie aux USA les versions commerciales PGP Personal Privacy 6.5.2a et PGP Desktop Security 6.5.2a. Ces versions incluent notamment PGPdisk (absent de la version freeware).

Des "gourous" d'Internet mettent en garde l'IETF contre tout protocole de surveillance
1999/11/10
Plusieurs personnes faisant autorité sur Internet publient une lettre ouverte à l'IETF (Internet Engineering Task Force) au sujet des futurs protocoles du réseau Internet. Ils demandent à l'IETF de refuser la mise en place de protocoles de surveillance sur Internet comme les gouvernements le lui ont demandé.
On remarque qu'il est fait référence au célèbre document 1984 publié par l'IETF en 1996 et dans lequel l'organisme refusait alors par avance une telle hypothèse.

Parmi les signataires de cette lettre ouverte : Austin Hill (Zero-Knowledge Systems), Matt Blaze (AT&T), Alan Davidson (CDT), Simon Davies (Privacy International), Whitfield Diffie (Sun), John Gilmore (EFF), Phil Karn (Qualcomm), Dinah PoKempner (Human Rights Watch), Ronald L. Rivest (MIT), Marc Rotenberg (EPIC), Bruce Schneier (Counterpane), Philip R. Zimmermann (NAI).

Extraits :
"- Protocols to allow surveillance will undermine network security.
- The proposed protocols will stifle development of new communications technologies. 
- There are no legal requirements for the IETF to develop surveillance protocols.
- Surveillance protocols will not prevent crime.
- Building in surveillance protocols is inconsistent with the previous activities of the IETF.
- The proposal will have severe consequences in many non-democratic countries."

Distributed s'attaque à un Challenge de cassage de clefs français
1999/11/09
Le nouveau client beta de Distributed comprend le cassage du CS-Challenge (CSC) 56 bits organisé par la société française CS Communications & Systems autour de son algorithme CS-Cipher (conçu par Jacques Stern et Serge Vaudenay). CS veut montrer que les clefs de 56 bits sont trop courtes et que son algorithme doit être utilisé avec 128 bits. 
 

La "International PGP Home Page" diffuse PGP 6.5.2a version U.S. dans le monde entier
1999/11/07
Les versions américaines de PGP 6.5.2a freeware, qui ont été publiées par le MIT le 5 novembre et aussitôt exportées des USA par des inconnus (malgré la législation américaine qui l'interdit), sont désormais diffusées partout dans le monde par la International PGP Home Page.

Version Windows : 
http://www.pgpi.org/cgi/download.cgi?filename=PGPfreeware652a.zip
Version MacOS : 
http://www.pgpi.org/cgi/download.cgi?filename=PGPfreeware652a.sit.hqx
 

Phil Zimmermann appelle les développeurs internationaux à améliorer PGPfone
1999/11/07
Dans un message signé  du 1er novembre, Phil Zimmermann décrit les hésitations de PGP Inc. puis NAI à développer PGPfone, jugé non rentable. Il explique la décision que lui et Will Price ont pris de confier la mise au point de PGPfone 2.x à la communauté des développeurs internationaux.
Voir notre brève du 27 octobre
 

PGP 6.5.2a freeware est distribué par le MIT
1999/11/05
PGP 6.5.2a (Windows, MacOS, Linux, Solaris, AIX, HP/UX) est disponible sur le site du Massachusetts Institute of Technology (réservé aux américains et canadiens). Parmi les nouvelles fonctionnalités, on note le support Windows 2000 et MacOS 9.0, et l'utilisation optionnelle du générateur aléatoire inclus dans le processeur Intel Pentium III (pour Windows seulement). 
Voir l'annonce officielle.
Site européen

PGP 6.5.1Int pour Mac
1999/11/04
La version PGP 6.5.1Int pour MacOS est disponible sur la International PGP Home Page.
La version freeware "Int" diffère de la version "i" dans la mesure où elle a été numérisée et compilée par CN Lab en Suisse et est distribuée par Network Associates International aux Pays-Bas.
http://www.pgpi.org/cgi/download.cgi?filename=PGP651IntFreeware.hqx
 

Selon la BBC, les autorités australiennes confirmeraient l'existence d'Echelon
1999/11/04
Dans un article sur le système d'espionnage anglo-saxon Echelon, la BBC affirme avoir eu la confirmation du gouvernement australien qu'un tel réseau existe.
Voir notre brève du 22 octobre
 

Le Rapport "Privacy and Human Rights 1999" est en ligne
1999/11/02
Le rapport "Privacy and Human Rights 1999, An International Survey of Privacy Laws and Developments", publié en édition papier par l'EPIC (et Privacy International) (septembre 1999), est intégralement disponible en ligne.
Il fait le point sur l'état de la vie privée dans 50 pays et s'intéresse notamment aux technologies d'invasion (Identity systems, Surveillance of Communications, Satellite Surveillance, Audio Bugging, Video Surveillance, Workplace surveillance).
Extraits :
"But this fluid structure has not protected the Internet from interception and control by authorities. Because the medium is new, it often lacks the legal protections that regulate conventional telephone systems. Law enforcement and national security agencies throughout the world have moved swiftly to establish default capabilities to intercept and analyze email and Internet traffic. Law enforcement agencies in the United Kingdom have argued that interception of email traffic should be permissible through agreements between police and Internet Service Providers (ISPs), the conduits for Internet traffic. 
(...) 
Encryption has become the most important tool for protection against surveillance. A message is scrambled so that only the intended recipient will be able to unscramble, and subsequently read, the contents. Pretty Good Privacy (PGP) is the best-known encryption program and has over 100,000 users, including human rights groups."
 

TkPGP 1.11 pour Linux
1999/11/01
Sortie de TkPGP 1.11, une interface graphique pour PGP et GnuPG sous Linux/BSD/UNIX.
Il peut être utilisé notamment avec Netscape/Messenger et supporte PGP 2.6.x, PGP 5, PGP 6 et GnuPG 1.0.0.
 

PGP 6.5.1i compatible Windows 2000
PGP 6.5.1i beta 2 pour Linux
1999/11/01
Une nouvelle version PGP 6.5.1i pour Windows 95/98/NT/2000 est disponible sur la International PGP Home Page.
Une version PGP 6.5.1i beta 2 pour Unix est aussi disponible. Sa compilation sous Linux ne pose plus de problèmes (exemples : Mandrake 6.1 ou RedHat 5.2).
Sont aussi téléchargeables les codes-sources complets de PGP 6.5.1i pour Windows, et la signature de ces codes par Ståle Schumacher Ytteborg.
 

replay.com devient zedz.net
1999/10/30
La société Replay Associates, basée à Amsterdam (Pays-Bas, UE), change de nom et devient Zedz Consultants.
Replay héberge depuis plusieurs années un ftp de cryptographie particulièrement riche disponible à l'adresse ftp://ftp.nl.zedz.net/pub/ ou ftp://ftp.nl.monster.org/pub/ (ex- ftp://ftp.replay.com), ftp qui a souvent été le premier à fournir les nouvelles versions US de PGP quelques heures seulement après leur mise en ligne aux USA.
 

GnuPG : un "Mini-Howto" en français
1999/10/28
Le "Mini-Howto" (mode d'emploi linuxien) de GnuPG est disponible en français grâce à une traduction de Jean-François Dindart.

PGPfone est à nouveau développé
1999/10/27
Depuis la sortie d'une version 1.0 beta par PGP Inc. en 1996, le développement de PGPfone avait été abandonné. 
Les livres de codes-sources de PGP 6.5.1i exportés des USA en août dernier comprennent le code d'un nouveau PGPfone 2.1b8 beta pour Windows que les développeurs de NAI n'ont pas eu le temps de finaliser mais qu'ils confient sous licence freeware aux utilisateurs internationaux. Ce code-source est en cours de compilation pour une version internationale de PGPfone 2.1.
PGPfone est conçu pour crypter une communication vocale.
A cette heure, aucun portage du code-source n'est encore prévu pour les systèmes d'exploitation PalmOS ou Symbian.

PGPfone 1.0b2 pour Windows 95 (version ancienne et dépassée)
PGPfone 2.0b4 pour Mac
 

Speak Freely 7.1 pour le cryptage de la voix sur Internet
1999/10/26
Sortie de Speak Freely 7.1, de John Walker et Brian C. Wilesun. Speak Freely est un programme gratuit de téléphonie par Internet utilisant un cryptage fort (Blowfish 128 bits, IDEA, PGP). De nombreuses fonctions sont présentes (mode conférence, compression, détection automatique de ICQ et interopérabilité, etc.). 
Le code-source est disponible en téléchargement.
Version Windows
Version Unix (en ligne de commande)
 

PGP 6.5.2 est publié aux USA
1999/10/26
Network Associates Inc. publie aux USA PGP 6.5.2 Desktop Security (PGP VPN Client) pour Windows et Mac.
Parmi les nouvelles fonctionnalités, on note le support Windows 2000 et l'utilisation optionnelle du générateur aléatoire inclus dans le processeur Intel Pentium III.
 

Mise à jour du "Crypto Law Survey"
1999/10/26
Bert-Jaap Koops publie la Version 16.1, October 1999 de son "Crypto Law Survey".
Le "Crypto Law Survey" fait le point sur les législations cryptographiques dans le monde; il constitue la référence en matière.
 

PGP 6.5.1i "internationale" est disponible pour Windows
PGP 6.5.1i Unix n'est disponible pour l'instant qu'en beta 
1999/10/22
PGP 6.5.1i pour Windows 95/98/NT (mais pas Windows 2000) est disponible en Norvège sur le site de la "International PGP Home Page" :
ftp://ftp.no.pgpi.org/pub/pgp/6.5/6.5.1i/win/PGPfreeware651i.exe
ftp://ftp.no.pgpi.org/pub/pgp/6.5/6.5.1i/win/PGPfreeware651i.exe.sig

La version 6.5.1i Unix n'est encore disponible qu'en beta (problèmes lors de la compilation sous Linux). Les bugs doivent être rapportés à unix@pgpi.org :
ftp://ftp.no.pgpi.org/pub/pgp/6.5/6.5.1i/unix/pgp-6.5.1i-beta1.tar.gz

Les version MS-DOS, Amiga et OS/2 devraient apparaître prochainement.
 

Noyau "international" pour Linux 2.2.13.1
1999/10/22
Sortie du "International Kernel Patch" 2.2.13.1 conçu en dehors des USA, et qui permet de sécuriser Linux en intégrant de la cryptographie au niveau de son noyau.

Le site web de TF1 consacre sa Une au système Echelon
1999/10/22
A l'occasion du "Jam Echelon Day", le site web de la chaîne de télévision française TF1 a consacré sa "Une" au système d'espionnage Echelon avec un dossier pédagogique et synthétique intitulé "Souriez, on vous surveille !".
 

Une démo expérimentale de ScramDisk 3 est disponible
1999/10/21
Une démo ScramDisk 3b1 est disponible pour test.
Voir notre page de présentation de ScramDisk.
 

Le gouvernement américain va réexaminer le cas de l'exportation des code-sources cryptographiques
1999/10/20
Le sous-secrétaire américain au Commerce, William Reinsch, a admis dans une interview à Reuters que le cas des codes-sources cryptographiques posait problème et que leur interdiction d'exportation allait être réexaminée. Le phénomène Linux / "logiciels libres" (open source) aurait eu un rôle dans cette prise de conscience.
Le contenu précis de la nouvelle réglementation, y compris ce qui a été annoncé en septembre dernier, sera connu le 15 décembre 1999.
Voir notre brève du 12 octobre
Extraits :
"We are now reviewing that (...) It's on the table as area where we might make a revision."
 

Des pirates organisent un "Jam Echelon Day" pour sensibiliser aux écoutes massives effectuées sur Internet
1999/10/20
Le groupe de pirates Hacktivism organise le 21 octobre 1999 une journée "Jam Echelon Day" durant laquelle ils proposent d'envoyer au moins un e-mail contenant 50 mots-clefs destinés à alerter Echelon, et ceci afin de saturer le célèbre système d'écoutes.
 

FreeS/Wan 1.1 pour Linux
1999/10/17
La version 1.1 de FreeS/WAN est disponible. Les noyaux 2.2.x sont maintenant gérés.
FreeS/WAN est l'implémentation d'IPSec pour Linux, la version cryptée du protocole IP.
 

Les codes-sources de PGP 6.5.1i sont disponibles
1999/10/16
Les livres imprimés contenant le code-source de PGP 6.5.1i freeware ont été numérisés en Norvège par Ståle Schumacher Ytteborg, et la version électronique du code est disponible (pour Windows et Unix) sur le FTP de la International PGP Home Page :
ftp://ftp.no.pgpi.org/pub/pgp/6.5/6.5.1i/win/pgp651i-win-src.zip

Rappel de la chronologie de cette version internationale :
6 juillet 1999 : mise en ligne aux USA des versions US de PGP 6.5.1 freeware;
14 août 1999 : publication aux USA des 45 volumes imprimés contenant le code-source, puis exportation légale de ces livres vers l'Europe;
16 octobre 1999 : mise en ligne du code-source de PGP 6.5.1i "international" freeware.
 

Le cryptographe Bruce Schneier met en garde contre les mots de passe faibles
1999/10/15
Dans son dernier Crypto-Gram, Bruce Schneier met en garde contre les phrases de passe qui ne possèdent pas assez d'entropie et affaiblissent la longueur effective de la clef (Key Lengh and Security, Crypto-Gram, oct.1999).
Il rappelle qu'une phrase de passe composée de mots courants n'aura vraiment 128 bits d'entropie que si elle compte 98 caractères (soit une phrase de deux lignes).
Pour un mot de passe composé de caractères hexadécimaux aléatoires, c'est 32 caractères qu'il faudra retenir de mémoire pour bénéficier d'une protection réelle de 128 bits et déjouer une attaque par dictionnaire.
Extraits :
"Over the past several decades, Moore's law has made it possible to brute-force larger and larger entropy keys. At the same time, there is a maximum to the entropy that the average computer user (or even the above-average computer user) is willing to remember. You can't expect him to memorize a 32-character random hexadecimal string, but that's what has to happen if he is to memorize a 128-bit key. These two numbers have crossed; password crackers can now break anything that you can reasonably expect a user to memorize."
 

BestCrypt 0.3b pour Linux
1999/10/12
Sortie de BestCrypt 0.3b (version beta), logiciel de cryptage du disque pour Linux (noyaux 2.2.x et 2.3.x).
Les codes-sources sont fournis (en partie).

Les USA excluent les logiciels à code-sources publics de l'assouplissement des règles anti-export
1999/10/12
Selon le New York Times, la nouvelle réglementation américaine sur l'exportation de matériel cryptographique annoncée le 16 septembre dernier, et qui a été présentée comme un assouplissement des restrictions anti-export, exclut les logiciels dont le code-source est public (selon le secrétaire au commerce chargé de l'export William Reinsch, pour le code-source "nothing has changed".)
Pourtant, toujours selon le NYT, les agences gouvernementales américaines utiliseraient pour leurs applications critiques les logiciels à code-source libre comme Linux, et parmi ceux-ci apprécieraient particulièrement l'Unix sécurisé par cryptographie OpenBSD.
 

Phil Zimmermann sur "Arte"
1999/10/09
A l'occasion de la soirée "Souriez, vous êtes surveillés" programmée sur la chaîne de télévision franco-allemande Arte, une interview courte mais dense (environ 15 minutes) de Phil Zimmermann, le créateur de PGP, est diffusée dimanche 10 octobre au soir.
("La fin des secrets", documentaire de Marie Arnaud et Delphine Morel, (France, 1999-1h15mn), Coproduction : La Sept ARTE, ADR Productions).
 

Fortify pour Netscape 4.7 (Windows, Unix et Mac)
1999/10/08
Le patch 128 bits "Fortify pour Netscape" est disponible pour la version 4.7 (Windows, Linux & Unix, et Mac) de Communicator/Navigator.
Fortify fonctionne avec toute version de Netscape téléchargée sur un FTP situé hors de France.
Voir notre page de présentation de Fortify.
 

Mailcrypt 3.5.5
1999/10//08
Mailcrypt 3.5.5 pour Linux est disponible.
Mailcrypt permet d'utiliser PGP ou GnuPG 1.0.x avec Emacs.
 

Jack B. Nymble version 2.1.0
1999/10/07
Sortie de JBN 2.1.0 (pour Windows), version 2.x stable du célèbre logiciel permettant l'utilisation conviviale des remailers anonymes sur Internet.
 

L'Allemagne se pose en meneur d'une politique européenne de liberté cryptographique
1999/10/07
Dans un discours prononcé le 4 octobre lors de la Conférence ISSE 1999 (International Security Solutions Europe) à Berlin, Werner Müller, Ministre allemand de l'Economie et de la Technologie, a dressé les grandes lignes de ce qui pourrait être une politique européenne de liberté cryptographique, politique diamétralement opposée à la politique américaine.
Extraits :
"Nous devons donner un signal fort aux utilisateurs dans le commerce, dans l'industrie, dans la science et à la maison, tout autant qu'à nos partenaires internationaux. Les produits cryptographiques peuvent être développés, fabriqués et utilisés sans restriction en Allemagne.
(...)
La démocratie doit être capable de se protéger. Cependant, nous devons être réalistes et comprendre qu'une interdiction des produits cryptographiques ne pourrait pas arrêter l'activité criminelle ou terroriste. D'un autre côté, une interdiction représenterait une intervention excessive dans les droits constitutionnels fondamentaux.
(...)
Les autres pays ont observé notre décision avec un grand intérêt. A la vue des listes de discussion sur Internet, je suis conscient du niveau de l'intérêt public et du soutien pour notre décision. La France et la Grande-Bretagne ont maintenant répondu en prenant des mesures qui vont vers une approche libérale de la cryptographie.
(...)
Les négociations sur l'Accord de Wassenaar se sont conclues en décembre 1998. Nous ne sommes pas mécontents de cette issue, et il semble que nos vues sont de plus en plus partagées.
Pour le démontrer, laissez-moi vous indiquer ce qui a été obtenu.
Premièrement : en dépit d'une énorme pression, nous avons évité - en nous battant quasiment en première ligne [virtually fighting on the front line] - l'imposition internationale de recouvrements de clef obligatoires. Nous ne les voulions, et nous ne les voulons pas. Les principes cryptographiques du gouvernement allemand sont très clairs sur ce point.
Deuxièmement : l'habitude était jusqu'ici que tout était contrôlé et seulement quelques exceptions permises. C'est fini.
Troisièmement : pour la première fois, la cryptographie matérielle n'est pas traitée moins bien que la cryptographie logicielle.
Quatrièmement : je voudrais souligner un dernier point en particulier : la technologie cryptographique n'est plus classée comme particulièrement sensible dans les Accords de Wassenaar, et est maintenant mentionnée uniquement sur la liste du contrôle de base."
 

PGP 6.5.1 freeware dans "Windows News"
1999/10/06
La revue française vendue en kiosque "Windows News" diffuse PGP sur le CD-ROM accompagnant son dernier numéro (n° 70, octobre 1999, 38 FF).
Il s'agit de la version 6.5.1 freeware US (Windows). PGP 5.5.3fr version française est aussi fourni.
 

Une analyse du logiciel français Security Box
1999/10/04
Le cabinet de consultants en sécurité informatique Hervé Schauer Consultants (HSC) a mis en ligne une analyse fonctionnelle détaillée du logiciel Security Box Classic de l'éditeur français MSI. Cette analyse met en lumière des aspects très intéressants du logiciel.
MSI a décidé en septembre dernier d'offrir aux internautes français une version freeware de Security Box. A noter que ce logiciel disposait déjà, avant les décrets de 1999 libéralisant la cryptologie, d'une homologation délivrée par le SCSSI, mais que les codes-sources de ce logiciel sont toujours restés secrets.
 

Netscape 4.7 génère des clefs publiques de 1024 bits
1999/10/01
Lors des connexions à un site web sécurisé, la nouvelle version Netscape 4.7 génère des clefs publiques RSA de 1024 bits dans sa version exportable en dehors des USA. 
Cependant, la sécurité finale des transactions repose encore sur des clefs symétriques de 56 bits. Il est donc conseillé avant toute transaction sécurisée, de fortifier son navigateur Netscape (versions anglaises ou françaises téléchargées sur un FTP non français) en 128 bits.
 

IBM va intégrer un procédé de cryptage matériel dans tous ses PC
1999/09/29
IBM va intégrer dans tous ses PC de bureau et ses serveurs un procédé auxiliaire de cryptage matériel (peut-être basé sur la puce i820 d'Intel).
 

Un challenge de cassage de clef montre que les systèmes à courbes elliptiques sont plus difficiles à casser que les systèmes RSA
1999/09/28
Un chercheur irlandais de l'INRIA, en France, assisté de 195 internautes du monde entier, a relevé avec succès le défi cryptographique "ECC2-97" proposé par la société canadienne Certicom. 
Le calcul a démontré qu'un système cryptographique à base de courbes elliptiques est plus difficile à casser qu'un système à base de factorisation d'entiers comme RSA.
PGP 2.6x utilise comme système de clef publique l'algorithme RSA. PGP 5.x ou 6.x utilise en revanche l'algorithme Diffie-Hellman / El Gamal, un système proche des courbes elliptiques (basé sur les "logarithmes discrets").
Extrait (communiqué de l'INRIA) : 
"Dirigé par Robert Harley depuis le projet Cristal de l'Institut National de Recherche en Informatique et en Automatique (INRIA - Rocquencourt), le calcul a démontré qu'un système cryptographique de 97 bits à base de courbes elliptiques est plus difficile à casser qu'un système de 512 bits à base de factorisation d'entiers comme RSA-155.
Les crypto-systèmes à base de courbes elliptiques sont connus depuis une quinzaine d'années mais n'ont été adoptés par les entreprises leaders du domaine, comme RSA Security Inc, que depuis peu de temps. 
(...) 
Le " ECC Challenge " de Certicom a pour but de stimuler la recherche dans le domaine des courbes elliptiques et de leurs applications cryptographiques et de donner au " Elliptic Curve Cryptography " des arguments de poids face au système à base de factorisation d'entiers."
 

11.300 téléchargements de PGP 5.5.3fr en six mois
1999/09/28
En six mois, 11.300 téléchargements de PGP 5.5.3fr version française pour Windows ont été effectués sur son site original anglais, et 10.500 visiteurs sont passés sur la page proposant une liste des sites miroirs de téléchargement
PGP 5.5.3fr a par ailleurs été diffusé sur le CD-ROM gratuit de nombreuses revues informatiques françaises (.net, Netsurf, PC MAX, Windows News).
 

SSF 128 bits déclaré SCSSI est disponible en France
1999/09/22
Une version 128 bits de SSF-1.2.27.6, outil de cryptage Unix dérivé de SSH (Secure SHell), est disponible en France.
SSF-128 a été écrit par Bernard Perrot pour l'IN2P3 (Institut National de Physique Nucléaire et de Physique des Particules), et a fait l'objet d'un dossier de déclaration auprès du SCSSI.
A noter que le code-source n'est pas fourni d'une manière intégrale par l'auteur de SSF, qui s'explique à ce sujet : "Le source de "packet.c" a été rendu volontairement obscur. Il ne contient aucun code caché. Ceci a été fait dans le seul but de rendre plus complexe la modification de ce code (et le rendre non-conforme à l'autorisation et la législation)".
SSF-128 est compatible avec le SSH standard, et disponible pour Unix et Windows. Il est gratuit (mais il n'est pas sous licence libre GNU GPL).
 

Version 1.5 de la FAQ PGP de Sam Simpson
1999/09/21
Sam Simpson publie la version 1.5 de sa Foire Aux Questions "PGP DH vs. RSA", disponible en HTML sur la Home Page de Scramdisk, ou en version zippée (ou miroitée sur ce site).
Parmi les nouveautés : un point sur l'utilisation des CryptoAPI Microsoft dans PGP 5.x et 6.x (support RSA des versions US).
 

E4M version 2.01, logiciel de cryptage de disque dur sous Windows NT et Windows 95/98
1999/09/21
Sortie de la version 2.01 du logiciel freeware Encryption for the Masses (E4M) écrit par Paul Le Roux, qui fournit un cryptage transparent du disque dur. 
Le support des volumes SFS reste assuré, mais comme cette version fonctionne aussi sous Windows 95/98, le support des volumes ScramDisk a été retiré (cependant l'ancienne version 2.00 reste disponible en téléchargement pour une utilisation de volumes ScramDisk sous Windows NT). Les sources sont disponibles.
 

Exportations américaines de cryptographie, suite
1999/09/18
Une série de questions-réponses a été mise en ligne par le bureau américain des exportations dans le but de d'expliciter la nouvelle réglementation.
 

Noyau "international" pour Linux 2.2.12.2
1999/09/17
Sortie du "International Kernel Patch" conçu en dehors des USA, et qui permet de sécuriser Linux (noyau 2.2.12) avec de la cryptographie forte. Ce patch contient une API crypto incluant Blowfish, CAST-128, DES, DFC, IDEA, MARS, RC6, Rijndael, Safer, Serpent, et Twofish, ainsi qu'un système de fichier crypté utilisant l'API crypto, un CIPE VPN, et des patches EnSKIP.
 

Six mois après les décrets du 17 mars 1999, les outils de cryptographie sûre ne sont toujours pas librement disponibles sur le territoire français
1999/09/17
Six mois après les décrets du 17 mars 1999 libéralisant la cryptographie, la situation sur le terrain n'a pas fondamentalement changé.
Parmi les produits déclarés au SCSSI, il n'y a aucun logiciel dont les codes-sources sont publics, ni aucun logiciel sous licence libre GNU GPL.
"PGP Desktop Security" n'est toujours pas homologué pour une utilisation commerciale et n'est pas disponible à la vente en grande surface.
Les versions de Netscape téléchargeables en France restent bridées à 40 bits (au lieu de 56 bits partout ailleurs dans le monde).
Enfin, aucun miroir français de ftp://ftp.pgpi.org/pub/pgp/ n'a encore été ouvert en domaine fr.

• Commentaire de "PGP en français" : Nous sommes obligés de constater que PGP reste interdit de facto aux entreprises françaises et nous nous interrogeons sur la volonté politique de rendre disponibles des logiciels à clefs symétriques de 128 bits dont le code-source a été publié.

• Commentaire de "PGP en français" : La situation est de plus en plus compliquée et on perd son latin à essayer de comprendre les véritables intentions du gouvernement américain. Selon qu'on est pessimiste ou optimiste, on peut voir l'annonce du 16 septembre de deux manières : soit une nouvelle "fausse libéralisation", soit la mise en place d'un système complexe mais autorisant finalement dans la pratique la libre exportation de PGP et autres logiciels de cryptographie forte. Cependant, la véritable libéralisation consisterait à pouvoir trouver des outils cryptographiques de base librement implémentés dans tous les logiciels, par exemple obtenir en standard toutes les distributions Linux américaines (RedHat, Caldera) avec un noyau sécurisé, ou pour ceux qui le souhaitent obtenir en standard une version de Windows 2000 avec système de fichier sécurisé en 128 bits. Reste également posé le problème du libre téléchargement des logiciels hébergés par les serveurs FTP et HTTP américains. L'avenir dira ce que cette nouvelle réglementation US peut apporter à la cause de la cryptographie libre.

BestCrypt freeware pour Linux
1999/09/13
Sortie de BestCrypt 0.2b, ou "bctool", logiciel de cryptage du disque pour Linux (noyaux 2.2.x).
Il s'agit d'un freeware réalisé par Jetico Inc. Les containers créés par les versions commerciales de BestCrypt pour DOS et Windows 95/98/NT sont utilisables.
Les codes-sources sont fournis (en partie) et directement compilables. Le logiciel offre les algorithmes Blowfish, Twofish, GOST et DES (!) et utilise le principe des containers cryptés.
 

Le ministre de l'Intérieur allemand déclare : "Le gouvernement n'a pas l'intention de limiter la libre disponibilité des produits de cryptographie"
1999/09/12
Le ministre de l'Intérieur allemand, Otto Schily, s'est exprimé sur la cryptographie vendredi 10 à Munich. Il a confirmé la politique libérale allemande en matière de cryptographie et a attaqué implicitement la politique de contrôle menée par les Etats-Unis.
Extraits : 
"If you look at the technical considerations [with encryption code], you have no real possibility to control it. (...) The criminal organizations will illegally produce systems without possibility of control. [Limits] may be useful for controlling your citizens, but it is not useful for fighting crime.
(...)
If we want to guarantee more security and confidence in the Internet, new encryption systems will be required. (...) The [German] government has reformulated its position toward the encryption of electronic data in the private and business sectors.... The government does not intend to limit the free availability of encryption products in Germany."
 

pgp4pine 2.2 pour Linux/Unix
1999/09/12
pgp4pine 2.2 pour Linux et Unix est disponible.
pgp4pine est un programme interactif permettant d'utiliser PGP avec les programmes e-mails, particulièrement Pine.
 

Les "CRYPTO-GRAM" de Bruce Schneier sont disponibles en français
1999/09/10
Les derniers numéros de la lettre mensuelle d'information "CRYPTO-GRAM" du cryptographe américain Bruce Schneier, ainsi que plusieurs autres de ses papiers, ont été traduits en français par Gilb et sont disponibles sur sa page web.
 

L'éditeur français MSI publie un freeware de cryptographie sans fournir le code-source
1999/09/10
L'éditeur français MSI publie Security Box freeware, un logiciel de cryptographie pour Windows et Mac, utilisant un algorithme Triple-DES de 128 bits, mais sans fournir le code-source pour examen.

• Commentaire de "PGP en français" : Un logiciel de cryptographie fourni sans son code-source, ou à la rigueur sans la garantie d'un expert indépendant reconnu par la communauté cryptographique internationale, ne pourra jamais être digne de confiance. II s'agit là d'une condition sine qua non de la cryptographie. Nous regrettons qu'aucune société française ne se soit encore décidé à faire ce que des sociétés américaines (PGP Inc., puis Network Associates Inc.) ont fait depuis des années : publier le code-source de chacun de leur logiciel, code-source qui reste toujours couvert par les lois protégeant la propriété des logiciels informatiques. 

GnuPG 1.0 : le premier programme de cryptage fort totalement libre est disponible en version stable
1999/09/08
Huit ans après PGP 1.0, et après plus de neuf mois de beta test, GNU Privacy Guard version1.0 pour Linux/Unix a été mis en ligne depuis l'Allemagne le 7 septembre 1999, à 15:09 GMT.
GnuPG est le clone au code-source 100% libre et gratuit de PGP 5.x-6.x et fonctionne avec Linux, FreeBSD, et OpenBSD, ainsi que sous certaines conditions : HPUX, IRIX, OSF1, OS/2, SCO UnixWare, SunOS et Solaris, USL Unixware.
Aucun composant de GnuPG n'est l'objet d'un brevet, et ses sources sont fournies et librement modifiables selon la licence GNU GPL.
Le logiciel se compile directement en version française .
GnuPG version RPM pour RedHat 6 / Mandrake 6.

Voyez notre page de présentation de GnuPG.

L'annonce officielle précise :
"GNU Privacy Guard a été créé par l'équipe de GnuPG : Matthew Skala, Michael Roth, Niklas Hernaeus, Rémi Guyomarch et Werner Koch.
Gael Queri, Gregory Steuck, Janusz A. Urbanowicz, Marco d'Itri, Thiago Jung Bauermann, Urko Lusa et Walter Koch firent les traductions officielles. Mike Ashley travaille aussi sur le manuel de GNU Privacy.
(...)
GnuPG a été rendu possible grâce au travail précédent de Chris Wedgwood, Jean-loup Gailly, Jon Callas, Mark Adler, Martin Hellmann, Paul Kendall, Philip R. Zimmermann, Peter Gutmann, Philip A. Nelson, Taher ElGamal, Torbjorn Granlund, Whitfield Diffie, des mathématiciens inconnus de la NSA et tous ceux qui ont travaillé dur pour créer des systèmes d'exploitations complets et libres."

Par ailleurs, Werner Koch a annoncé qu'il va commencer à travailler à un portage sous Windows. PGP 5.0, 5.5.x et 6.x étant la propriété de NAI, il n'existe actuellement aucune version Windows du standard libre OpenPGP.

Site principal :
ftp://ftp.gnupg.org/pub/gcrypt/gnupg/
Miroirs (avec un délai de quelques jours) :
Belgique ftp://openbsd.rug.ac.be/pub/gcrypt/
Allemagne ftp://ftp.openit.de/pub/gcrypt/
Royaume-Uni ftp://ftp.net.lut.ac.uk/gcrypt/
 

L'affaire de la "NSAKEY" trouvée dans Windows renforce la position des systèmes d'exploitation à code-source public
1999/09/05
Dans un communiqué intitulé "Microsoft, the NSA, and you", le site canadien Cryptonym accuse Microsoft d'avoir installé une "porte arrière" dans Windows 95, 98, NT, et 2000 par le biais des CryptoAPI. En utilisant un désassembleur, Cryptonym a en effet trouvé les mots "_NSAKEY" en face d'une seconde clef de cryptage dont le rôle exact reste inconnu. Selon l'auteur de la découverte, cette porte arrière pourrait permettre à la NSA (l'agence d'espionnage américaine) de charger des services non-autorisés sur toutes les copies de Windows.
Toutefois, des experts réputés, comme David Wagner ou Bruce Schneier ont estimé qu'il ne s'agissait pas d'une porte arrière, tandis que Microsoft clame sa bonne foi.

• Commentaire de "PGP en français" : Un cryptosystème est une chaîne composée de plusieurs maillons, notamment : l'utilisateur, le logiciel de cryptographie, l'ordinateur, mais aussi le système d'exploitation installé sur l'ordinateur. Si un seul maillon cède, tout le cryptosystème s'écroule. Cela signifie qu'il ne suffit pas que le logiciel de cryptographie soit sûr pour que son utilisation, même avec des précautions, soit sûre. Par exemple, on pourrait imaginer un système d'exploitation dont une instruction cachée ferait que dès que l'exécution du fichier binaire PGP.exe est détectée, un enregistrement des touches frappées sur le clavier est secrètement lancé... Même si des désassembleurs et des logiciels spécialisés permettent de "pister" les instructions et vérifier les processus chargés en mémoire par le système d'exploitation lors de l'exécution d'un programme, sans les codes-sources complets de ce système, personne ne peut être certain à 100% qu'une faille n'a pas été discrètement introduite quelque part. C'est pourquoi, pour toutes les utilisations cryptographiques nécessitant une haute sécurité, Windows 95, 98, NT, mais aussi MacOS, sont à proscrire tant que le code-source intégral de ces systèmes n'aura pas été publié. Linux, dont le code est librement consultable et modifiable, est à conseiller à la place, même dans ses distributions grand public comme Linux-Mandrake.

Un projet de loi sur les signatures électroniques est adopté en Conseil des ministres
1999/09/01
Un projet de loi définissant la notion de signature électronique a été adopté lors du Conseil des ministres du 1er septembre, et sera débattu dans les jours qui viennent au Parlement. Le projet introduit comme mode de preuve l'écrit électronique signé et lui reconnaît la même force qu'à l'acte sous seing privé sur support papier. 
 

"Linux Munitions", méga-archive de cryptographie
1999/08/30
Ouverture du site Munitions qui se propose de regrouper tous les outils cryptographiques pour Linux. Le site est hébergé à Braunschweig (Allemagne), et est administré depuis New Delhi (Inde) par Vipul Ved Prakash.
* Miroir hollandais.
 

Une version pirate de PGP 6.5.1 Desktop Security est disponible en Europe
1999/08/28
Malgré la législation américaine en interdisant l'exportation, une version commerciale de PGP 6.5.1 Desktop Security (pour Windows 95/98/NT) a été exportée des USA par des inconnus puis miroitée sur un FTP pirate situé en Europe.
Cette version commerciale contient PGPdisk et le support des clefs RSA.
 

Une clef publique de 512 bits a été cassée
1999/08/27
Une clef publique RSA de 512 bits a été factorisée par une équipe de chercheurs internationaux. Mais les clefs publiques de 768 bits, et a fortiori 1024 bits et plus utilisées par PGP restent sûres. 
NB : ne pas confondre longueur des clefs publiques (ou asymétriques) et longueur des clefs symétriques.
 

Le "President’s Export Council Subcommittee on Encryption" plaide pour une levée des restrictions américaines à l'exportation de cryptographie
1999/08/26
Dans un document intitulé "Liberalization 2000 : Recommendations for Revising the Encryption Export Regulations", le "President’s Export Council Subcommittee on Encryption", comité chargé d'examiner l'exportation de cryptographie pour le compte du Président des États-Unis, recommande l'abandon prochain des contrôles à l'exportation des logiciels et matériels vitaux pour assurer la confidentialité sur Internet.
Extrait :
"V. Mass-market Hardware and Software
Recommendation: Expand License Exceptions TSU and ENC to allow export of mass-market hardware and software encryption with key lengths of 128 bits or equivalent strength including triple DES."
 

Le rapport du Parlement Européen sur la surveillance électronique est en ligne
1999/08/21
Le rapport du Parlement Européen sur le "Développement de la Technologie de Surveillance" (avril 1999) a été scanné. Sa partie III : "Chiffrement, cryptosystèmes et surveillance électronique", rédigée par Franck Leprevost, est notamment diffusée gratuitement en ligne depuis les Etats-Unis. Cette partie du rapport est en français, une des langues officielles du Parlement européen.
Extraits :
"8. Options suggérées :
(...)
Le Parlement européen devrait rapidement débattre en vue de libéraliser l'usage de la cryptographie sur l'ensemble du territoire communautaire."
 

Le code-source de PGP 6.5.1 est publié en livres
1999/08/14
Le code-source de PGP 6.5.1 (Windows, Mac, Platform-Independent) a été publié aux USA sous forme de 45 volumes papier imprimés par Printers Inc. bookstore à Palo Alto, CA. Leur exportation des USA est autorisée et la International PGP Home Page devrait acquérir très bientôt les ouvrages et commencer à les scanner pour publier une version électronique du code, puis la version "internationale" compilée.
 

Une étude tente de mesurer l'impact de l'utilisation de la cryptographie par les criminels
1999/08/12
Dans une longue étude à paraître en revue en septembre prochain et intitulée Hiding Crimes in Cyberspace, Dorothy Denning et William E. Baugh, Jr. étudient l'utilisation de la cryptographie et de l'anonymat électronique aux fins de dissimulation d'une activité criminelle. Ils s'appuient sur une liste d'affaires dans lesquelles des criminels ont utilisé la cryptographie (des cas d'utilisation de logiciels connus, dont PGP, sont relatés en détail par des sources judiciaires ou policières). Les conclusions de l'étude sont mitigées.
Extraits :
"Les efforts de décryptage faits par les services de police ou les entreprise ayant besoin de récupérer des clefs perdues ont été largement couronnés de succès en raison de faiblesses dans les systèmes pris dans leur ensemble. Ce taux de succès devrait chuter, cependant, dans la mesure où les vendeurs intègrent des cryptages plus forts dans leurs produits et sont plus rigoureux en matière de sécurité. Il n'est pas possible de casser un cryptosystème bien conçu qui utilise des longueurs de clef de 128 bits ou plus.
(...)
La plupart des enquêteurs à qui nous avons parlé n'ont pas encore détecté d'utilisation substantielle de cryptographie par de grands groupes du crime organisé. Ceci peut être attribué à plusieurs facteurs, dont la difficulté et le complexité qu'il y a à utiliser de la cryptographie (particulièrement pour les personnes n'ayant pas le temps de s'y impliquer) et un sentiment général que leur environnement est déjà raisonnablement isolé et protégé de la police."
 

Sur les cinq finalistes de l'AES, deux algorithmes sont européens
1999/08/09
Le NIST américain (National Institute of Standards and Technology) vient de publier la liste des cinq finalistes pour la désignation de l'algorithme AES (Advanced Encryption Standard), futur standard cryptographique officiel américain. Parmi eux, les algorithmes Rijndael et Serpent ont été développés en dehors des USA (en Europe). La liste : MARS (IBM - USA), RC6 (RSA Inc. - USA), Rijndael (Joan Daemen, Vincent Rijmen - Belgique), Serpent (Ross Anderson, Eli Biham, Lars Knudsen - UK, Israel, Norvège), Twofish (Bruce Schneier, John Kelsey, Doug Whiting, David Wagner, Chris Hall, Niels Ferguson - USA).
 

Pour signer digitalement leur loi, des parlementaires US choisissent PGP
1999/08/03
Des parlementaires américains qui voulaient symboliquement adresser au Président des Etats-Unis une loi qu'ils venaient de voter (la "Y2K legislation") par le moyen d'un courrier électronique signé digitalement, ont choisi le logiciel Pretty Good Privacy (PGP). Mais on notera que la procédure traditionnelle n'a pas été modifiée et que le Président américain a signé de manière traditionnelle la version papier du texte de loi.
 

PGP dans "Netsurf"
1999/07/30
La revue française vendue en kiosque "Netsurf" diffuse PGP sur le CD-ROM accompagnant son dernier numéro (n°41, août 1999, 38 FF) (répertoire D:\Netsurf\Pepites\PGP\).

Le Ministre de la Justice américain aimerait interdire la libre diffusion de cryptographie en Europe 
1999/07/29
Dans une lettre adressée fin mai au Ministre de la Justice allemand, Herta Däubler-Gmelin, le Ministre de la Justice américain, Janet Reno, appelle à une relance des négociations sur l'Accord de Wassenaar afin de prendre en compte les logiciels de cryptographie relevant du domaine public (type GNU GPL) et d'en interdire la diffusion sur Internet. 
Extraits :
"Much work remains to be done. In particular, I believe we must soon address the risks posed by electronic distribution of encryption software. Although the Wassenaar Nations have now reached agreement to control the distribution of mass market encryption software of certain cryptographic strength, some Wassenaar Nations continue not to control encryption software that is distributed over the Internet, either because the software is in the "public domain" or because those Nations do not control distribution of intangible items."

• Commentaire de "PGP en français" : Au premier abord, on peut penser que le gouvernement américain n'a rien compris à la révolution Internet et qu'il croit que le contrôle de l'information y est possible. Après réflexion, on est forcé de conclure que les investissements faits par les américains dans le système d'espionnage des réseaux informatiques "Échelon" sont tels qu'ils ne veulent à aucun prix les voir réduits à néant par l'utilisation massive de cryptographie en dehors des Etats-Unis, particulièrement en Europe. Tout laisse à penser que le gouvernement américain commence à s'inquiéter des prises de position successives de l'Allemagne puis de la France sur la question du libre-usage de cryptographie. D'où la lettre, à l'humour involontaire, de Mme Reno demandant aux gouvernements qui se protègent contre la curiosité américaine de renoncer à cette protection.

La FAQ de PGPi est en français 
1999/07/29
La FAQ de PGP version internationale, écrite par Ståle Schumacher Ytteborg, a été traduite en français (date de mise à jour anglaise : 28/07/1999).
 
 
 
 

• Archives des Crypto-News de 1999 (janvier-juillet)