Crypto-News
1999-2
Les nouvelles actualisées
sont
ici
Un
bilan de l'année 1999
1999/12/31
-
Commentaire de "PGP en français" : 1999 restera d'abord comme
l'année de la libéralisation de la cryptographie en France.
Fin janvier, le Premier Ministre Lionel Jospin, après s'en être
"entretenu avec le Président de la République", a décidé
d'accorder "la liberté complète dans l'utilisation de la
cryptologie". Les décrets du 17 mars 1999 remontant la longueur
maximale des clefs symétriques autorisées à 128 bits
puis l'autorisation de vente de PGP par le SCSSI en novembre ont engagé
cette réforme. Une loi abrogeant les derniers textes anti-crypto
devrait être présentée au Parlement durant le premier
semestre 2000.
1999 a aussi été une année particulièrement
riche pour PGP chez les francophones. Les manuels 6.0.2i ont été
traduits intégralement, puis a été publié le
freeware PGP 5.5.3fr pour Windows, alors que PGP 6.5.1fr beta 2 était
en test privé en décembre avec une version finale publique
prévue pour la mi-janvier 2000. Du côté des versions
commerciales, NAI France a commencé en novembre à vendre
PGP Desktop Security 5.5.5 et 6.0.2 sur le territoire français.
1999 a encore été l'année de GnuPG, la version
GNU de PGP, alors qu'on constatait une certaine désaffection des
utilisateurs de la première heure pour PGPTM.
Une remarquable version 1.0 de GnuPG est sortie et le projet a obtenu un
soutien financier de 163.000 euros (1 million de FRF) du gouvernement allemand.
PGP, pour lequel NAI fait peu de publicité, est devenu avec ses
versions 6.5.x un logiciel de plus en plus complexe, parfois buggué,
et surtout difficile à compiler et à examiner quant à
la sécurité de son code-source.
1999 a également vu la suite des tours de qualification pour
l'AES, l'algorithme standard de chiffrement du XXIe siècle, qui
a laissé cinq participants en course : MARS, RC6, Rijndael, Serpent,
Twofish.
1999 a enfin été l'année où le gouvernement
américain s'est ridiculisé en déclarant vouloir lever
les restrictions anti-exportation sur la cryptographie, avant de faire
volte-face et plafonner les matériels autorisés à
des clefs symétriques de 64 bits et publiques de 512 bits, puis
à nouveau temporiser et remettre son choix. Les décisions
des gouvernements allemand et français en matière de cryptologie
ont fini d'isoler les américains de plus en plus mis en cause par
l'Union Européenne au sujet de leur réseau d'espionnage "Echelon".
Un
nouveau
"draft" (Draft II) de la réglementation US est disponible
1999/12/21
Le Draft
II (papier préparatoire) de la réglementation américaine
des exportations de cryptographie a été réalisé
le 17 décembre et est publié par l'organisation non-gouvernementale
CDT.
Voir notre brève du 14 décembre
VeriSign
rachète Thawte
1999/12/20
La société VeriSign a
annoncé qu'elle rachetait Thawte Consulting, second fournisseur
mondial de certificats digitaux, qui supporte notamment les clefs publiques
PGP.
Le montant du rachat serait de 575
millions de dollars (575 millions d'euros ou 3,5 milliards de francs
français).
Une
version test de GnuPG 1.0.1a pour WINDOWS est disponible
1999/12/19
Une version Windows (ligne de commande) de GnuPG 1.0.1a est disponible.
Il s'agit d'une version "test" qui n'est pas destinée aux utilisations
réclamant une sécurité élevée.
Le manuel d'utilisation existe en
francais (un "Howto").
ftp://ftp.gnupg.de/pub/gcrypt/binary/gnupg-w32-1.0.1a.zip
ftp://ftp.gnupg.de/pub/gcrypt/binary/gnupg-w32-1.0.1a.zip.sig
GnuPG
1.0.1 est disponible (Unix)
1999/12/16
La version 1.0.1 de GnuPG est disponible (pour Linux et BSD).
Site original : ftp://ftp.gnupg.org/pub/gcrypt/gnupg/gnupg-1.0.1.tar.gz
Miroir en France : ftp://ftp.strasbourg.linuxfr.org/pub/gnupg/
Parmi les nouveautés de cette version :
*
Can now handle (but not display) PGP's photo IDs. I don't know the format
of that packet but after stripping a few bytes from the start it looks
like a JPEG (at least my test data). Handling of this package is
required because otherwise it would mix up the self signatures and you
can't import those keys.
* Passing non-ascii user IDs on the commandline
should now work in all cases.
* New keys are now generated with an additional
preference to Blowfish.
Voir notre page de présentation de GnuPG.
La
librairie RSAREF2 peut présenter un trou de sécurité
1999/12/14
Un trou
de sécurité a été découvert dans
la librairie de chiffrement RSAREF2 et dans le standard SSH1. Des correctifs
sont disponibles.
PGP 2.6.2 n'est pas affecté (voir ce message signé de
Philip
Zimmermann et cette explication
technique) ni aucune des versions 5.x et 6.x de PGP.
SfOPGP,
un analyseur de messages au format OpenPGP
1999/12/14
Sortie d'une version alpha de Sniffer
for OpenPGP (SfOPGP), écrit par Sven Knispel. SfOPGP est un
analyseur de messages au format OpenPGP (PGP 5.x, GnuPG), qui permet d'obtenir
des informations sur le format PGP d'un message (par exemple les algorithmes
utilisés). Il se rapproche de la commande --list-packets
disponible dans GnuPG.
La
publication des nouvelles réglementations US sur l'exportation de
cryptographie est repoussée au 14 janvier
1999/12/14
Selon le New
York Times, la nouvelle réglementation américaine sur
l'exportation des matériels et logiciels cryptographiques qui devait
être rendue publique par l'administration Clinton le 15 décembre
est repoussée au 14 janvier 2000.
Extrait :
"The delay could also signal continued conflicts within the administration.
Officials at the Department of Commerce have generally backed industry
efforts to ease export controls. The Federal Bureau of Investigation and
the National Security Agency, on the other hand, have long fought for tighter
rules on the exports".
Voir notre brève
du 24 novembre
Le
gouvernement américain autorise l'exportation de PGP sous licence
1999/12/13
Le gouvernement américain accorde à Network Associates
Inc. une licence
pour exporter PGP dans le monde entier (sauf sept pays terroristes).
Cependant, il semble que le téléchargement libre depuis
un site web ou FTP américain n'est toujours pas autorisé.
Extrait du communiqué de presse :
"Network Associates, Inc. today announced that it has been granted
a full license by the U.S. Government to export its market-leading PGP
encryption software, ending a decades-old ban on the export of strong encryption
products. The license, effective immediately, allows Network Associates,
the world's largest security software company (IDC Research, 1999) to export
its full strength PGP encryption software to virtually all countries worldwide
without restriction."
PGP
pour PSION Series 5
1999/12/12
Une version beta 1.0 de
PGP
pour EPOC (Psion Series 5, Geofox, Revo) est disponible grâce
à PanSoftware (qui a repris le travail de S.G.Software). Sont gérées
les clefs RSA (chiffrement et déchiffrement, jusqu'à 3072
bits), et en partie les clefs DH/DSS (seulement pour le chiffrement). PGP
pour EPOC est freeware; le code-source est fourni.
Sur le Psion, on peut aussi utiliser la version originale de PGP
2.63i avec l'émulateur DOS XTM.
Le
SCSSI autorise PGP en France
1999/12/08
A la date du 3 décembre 1999, la nouvelle liste
des "produits cryptologiques libres d'utilisation et d'importation ou autorisés"
disponible sur le site web du Service Central de la Sécurité
des Systèmes d'Information (SCSSI), inclut la version commerciale
de PGP, officialisant par là l'autorisation de ce logiciel en France.
Jusqu'aux décrets du 17 mars 1999 entamant la libéralisation
de la cryptologie en France, cette liste du SCSSI ne contenait que des
produits qui ne rencontraient pas la confiance des cryptographes indépendants.
Extrait :
" NETWORK ASSOCIATES France
50, rue de Londres, 75008 Paris, France
Produit
|
Catégorie
|
PGP desktop utilities v5.5.5 et v6.0.2
|
Chiffrement de fichiers
|
(...)
Copyright © 1999 Service Central de la Sécurité
des Systèmes d'Information
Dernière mise à jour le 03/12/99 à
11:44:43 "
-
Commentaire de "PGP en français" : Ça y est. PGP est enfin
librement disponible pour tous en France : le SCSSI en autorise l'utilisation
pour les entreprises, les décrets du 17 mars dernier l'ayant préalablement
de facto autorisé pour les particuliers (Notons au passage qu'entre
la prise de décision - discours de M. Jospin du 19 janvier - et
l'application effective de celle-ci - vente de PGP -, il se sera passé
presque un an, ce qui est un peu long à l'échelle d'Internet...)
"Pretty Good Privacy", PGP, qui coûta trois années
d'enquête des douanes américaines à son auteur, Philip
Zimmermann, peut être vendu et utilisé en France. Le logiciel
qui symbolise la protection de l'intimité de la vie privée
et du secret de la correspondance est à présent autorisé
dans ce qui fut jadis le pays des écoutes téléphoniques
! Ce 3 décembre 1999 est une grande date.
Communiqué
de presse du projet GnuPG (suite)
1999/12/02
Werner Koch a mis en ligne une version anglaise de son communiqué
de presse.
La portée européenne du projet est confirmée.
Extrait :
"We are therefore confident that GnuPG as a free software will establish
itself as a reliable tool for European citizens who want to protect their
privacy while remaining part of the global information infrastructure."
Voir notre brève
du 20 novembre
Un
projet PGP 6.5.1fr est lancé pour la traduction de PGP 6.5.1i en
français (avec plug-in Outlook Express 5.0)
1999/12/02
L'équipe ayant traduit PGP 5.5.3fr sous la direction de Fabien
Petitcolas annonce qu'elle a commencé la traduction du code-source
international
freeware en vue de la réalisation d'une version française
PGPfreeware 6.5.1fr pour Windows. Cette version comprendra un plug-in courrier
pour Outlook Express 5.0 et fonctionnera sous Windows 95, 98, NT et 2000.
L'équipe recherche des volontaires pour aider à la traduction
de l'aide en ligne 6.5.1i. Contact : pplf@geocities.com
OpenBSD
2.6 est disponible
1999/12/01
La version 2.6 d'OpenBSD
est disponible.
OpenBSD est un Unix libre (à la manière de Linux) dont
une des caractéristiques est l'utilisation systématique de
la cryptographie.
PGP
6.0.2 et 5.5.5 sont vendus en France
1999/11/27
Selon le bulletin "SecuriNews"
du 4 novembre dernier, Network Associates France vient d’obtenir du Service
Central de la Sécurité des Systèmes d’Information
(SCSSI) "l’autorisation de fourniture en vue d’une utilisation générale
du moyen de cryptologie PGP Desktop utilities, versions 6.02 et 5.55".
Sont commercialisés : PGP Desktop/Business Security : clients
6.02 et 5.55, PGP E-Business Server (anciennement Command Line), et la
réunion de ces deux produits dans la suite globale PGP Total Network
Security.
A noter que le site du SCSSI ne fait pas encore figurer PGP dans la
liste
des produits déclarés et utilisables en France.
Contact : Network Associates, 50 rue de Londres, Paris 75008, France,
Tel.: 01-44-908-737 ou 01-44-699-800 Fax.: 01-45-227-554 ou http://www.pgpinternational.com
La
version française du Crypto-gram de novembre est sortie
1999/11/26
Le "Crypto-gram" du 15 novembre dernier est disponible
en français, grâce à une traduction de Gilbert
Fernandes. L'abonnement par e-mail est possible.
Bruce Schneier, cryptographe réputé, publie chaque 15
du mois une lettre d'information
gratuite.
Le
gouvernement US permettrait l'export de codes-sources cryptographiques
("draft", suite)
1999/11/25
Parmi les dispositions du "draft" de la nouvelle réglementation
US anti-export, l'une autoriserait l'exportation sans condition des codes-sources.
Voir le commentaire en ce sens de l'expert Brian
Gladman sur la liste de discussion UKcrypto.
Voir notre brève du 24 novembre
La
version "internationale" officielle de PGP devient provisoirement PGP 6.5.1int
(Windows)
1999/11/25
Depuis hier, la dernière
version "internationale" de PGP 6.x pour Windows n'est plus PGP 6.5.1i,
compilé par Imad R. Faiad, mais PGP 6.5.1int, compilé par
le CN Lab (clé publique 0xDE2AB910).
Par ailleurs, le code-source 6.5.1i disponible en ligne a été
légèrement modifié.
Ces modifications semblent liées à des problèmes
techniques rencontrés avec la version 6.5.1i.
La version Mac reste PGP 6.5.1int (il n'y a jamais eu de 6.5.1i Mac).
La version 6.5.2 US, développée et compilée aux
USA par l'équipe de Philip Zimmermann, et qui a été
exportée illégalement des USA début novembre, est
également disponible sur le site de la International PGP Home Page.
ftp://ftp.no.pgpi.org/pub/pgp/6.5/6.5.1int/PGPfreeware651int.exe
ftp://ftp.no.pgpi.org/pub/pgp/6.5/6.5.1int/PGPfreeware651int.exe.sig
Le
"draft" de la réglementation US limiterait l'exportation de crypto
à 64 bits symétriques et 1024 bits asymétriques
1999/11/24
Le papier préparatoire ("draft") de la réglementation
américaine des exportations de cryptographie a pu être obtenu
par le Center For Democracy & Technology.
Il ressort de ce document que l'exportation de matériel et logiciel
cryptographiques vers des pays non terroristes reste conditionnée.
Le texte ne pose pas le principe d'une liberté d'exportation. Les
longueurs de clefs symétriques sont par exemple explicitement limitées
à 56 bits ou 64 bits (et 512 bits ou 1024 bits pour les clefs asymétriques).
Extraits :
"List of Items Controlled
(...)
Note: 5A002.a.1 includes equipment designed or modified
to use "cryptography" employing analogue principles when implemented with
digital techniques.
a.1.a. A "symmetric algorithm" employing a key length in excess of 56-bits;
or
a.1.b. An "asymmetric algorithm" where the security of the algorithm is
based on any of the following:
a.1.b.1. Factorization of integers in excess of 512 bits (e.g., RSA);
a.1.b.2. Computation of discrete logarithms in a multiplicative group of
a finite files of size greater than 512 bits (e.g., Diffie-Hellman over
Z/pZ); or
a.1.b.3. Discrete logarithms in a group other than mentioned in 5A002.a.1.b.2
in excess of 112 bits (e.g., Diffie-Hellman over an elliptic curve);
a.2. Designed or modified to perform cryptoanalytic functions;
a.3. [Reserved]
a.4. Specially designed or modified to reduce the compromising emanations
of information-bearing signals beyond what is necessary for the health,
safety or electromagnetic interference standards;
a.5. Designed or modified to use cryptographic techniques to generate the
spreading code for "spread spectrum" or the hopping code for "frequency
agility" systems;
a.6. Designed or modified to provide certified or certifiable "multilevel
security" or user isolation at a level exceeding Class B2 of the Trusted
Computer System Evaluation Criteria (TCSEC) or equivalent;
a.7. Communications cable systems designed or modified using mechanical,
electrical or electronic means to detect surreptitious intrusion."
Le 16 septembre dernier, l'Administration Clinton avait annoncé
une prochaine décision de suppression des réglementations
anti-export.
Le texte définitif de la réglementation sera publié
le 15 décembre prochain.
Voir notre brève du 17 septembre
Plug-in
Pegasus Mail pour PGP 6.5.2 / 6.5.1i
1999/11/23
QDPGP 2.61 est
disponible. QDPGP est un plug-in PGP 6.5.2 / 6.5.1i pour le logiciel e-mail
freeware Pegasus Mail (Windows).
Un fichier d'aide en français est aussi disponible.
DCypher
concurrence Distributed dans le Challenge CSC
1999/11/22
DCypher.Net est un concurrent
de l'équipe de
Distributed.net
dans la course au CS-Challenge
(cassage d'un message chiffré avec l'algorithme CS 56 bits) organisé
par la société française CS Communications & Systems.
DCypher.Net propose notamment un client Linux "MMX-only" (et aussi
des clients Windows 9x et NT). DCypher.Net a lancé son effort le
8 novembre dernier.
Voir notre brève du 9 novembre
Seahorse
0.2.4, interface graphique Gnome pour GnuPG
1999/11/22
Sortie de Seahorse,
une mini interface graphique Gnome pour utiliser GnuPG sous Linux.
aCrypt,
archiveur auto-extractibles avec Twofish
1999/11/22
Sortie de aCrypt (pour Windows
95/98/NT) programme gratuit qui permet de créer des archives auto-extractibles
chiffrées avec l'algorithme Twofish (en mode CBC avec clef de 128
bits). Le code source est publié.
Soutien
du gouvernement allemand à GnuPG (suite)
1999/11/20
Le site du Ministère
de l'Economie et de la Technologie allemand indique comme montant de
l'aide accordée à l'association GUUG (Union des Utilisateurs
Unix Allemands) et au projet GnuPG une somme de 318.000 DM (soit 162.500
ou plus de 1.000.000 FF).
Traduction
française (par www.voilà.fr)
En outre, un article du New
York Times recueille les commentaires de Werner Koch, qui dirige le
développement de GnuPG, et fait le point sur cette affaire.
Extraits :
"Koch predicts that the new grant will help cement Germany's leadership
in electronic commerce. "United States is the land of software, but not
in the field of cryptography any more.'' Koch said. "Other countries like
Germany are much better now. We are still lucky. In Germany, we are really
free to do anything now.''
(...)
Some programmers in the United States feel that it is only a matter
of time before the United States embraces strong, unbreakable encryption
technology. Phil Zimmerman, a developer of another encryption package known
as PGP, said, "We're in the endgame now." "
Voir notre brève du 16 novembre
L'ACLU
lance www.echelonwatch.org
1999/11/17
La puissante association américaine ACLU
(American Civil Liberties Union) lance en collaboration avec l'EPIC
(Electronic Privacy Information Center) le site web Echelonwatch
consacré au réseau d'espionnage étatique Echelon.
Une
étude sur la longueur des clefs
1999/11/17
Une étude très complète sur la longueur des clefs
(clefs symétriques, clefs asymétriques (publiques) classiques,
et clefs asymétriques à algorithme discret et courbe elliptique)
est publiée par Arjen Lenstra et Eric Verheul : Selecting
cryptographic key sizes.
Les auteurs font des projections sur la sécurité selon
la longueur de la clef.
A la date de l'année 2005 sont par exemple conseillés
:
- longueur minimale pour une clef symétrique : 74 bits
- longueur minimale pour une clef asymétrique (publique) classique
: 1149 bits
Pour une FAQ en français sur le même sujet,
voir la page de Thomas
Pornin.
Distributed
: le cassage du challenge CSC est lancé
1999/11/17
Le nouveau client (version 446) de Distributed
intègre le cassage du Challenge CS-Cipher.
Voir notre brève du 9 novembre
Le
gouvernement allemand injecte 250.000 DM dans GnuPG
1999/11/16
Selon Heise
on line, le Ministère de l'Economie et de la Technologie allemand
a décidé de verser une aide de 250.000 DM (soit 127.822
ou 800.000 FF) au projet GnuPG,
la version libre de PGP
Traduction
française de l'article (par www.voilà.fr).
Notre page de présentation de GnuPG.
-
Commentaire de "PGP en français" : Il s'agit là d'une
décision sans précédent dont il faut bien mesurer
la portée. Le gouvernement du premier pays d'Europe décide
de subventionner la réalisation d'une version grand public du logiciel
de cryptage favori des experts indépendants. C'est une décision
aussi importante que le lancement de l'AES américain il y a quelques
mois. L'utilisation de la cryptographie n'est plus pour l'Etat l'objet
d'une tolérance, mais bien d'une incitation des pouvoirs publics,
au nom de la sécurité et de la protection de la vie privée.
A cela s'ajoute la reconnaissance de la notion de "logiciel libre" (sous
licence GNU GPL)
développée autour de Linux.
Il faut ensuite noter la portée de politique étrangère
qu'a ce geste. Il y a six mois, Janet Reno, ministre de la Justice américain,
avait adressé à son homologue allemand une lettre sur le
volet cryptographique de l'Accord de Wassenaar (voir notre
brève). Pourquoi avoir écrit à l'Allemagne ? tous
les pays européens ont-ils reçus la même lettre ? Quoi
qu'il en soit, le contenu de cette lettre qui n'était pas destinée
à être rendue publique filtra dans la presse : le gouvernement
américain demandait à l'Allemagne d'accentuer les contrôles
à l'exportation de cryptographie forte, notamment contre... les
logiciels libres type GNU GPL. Le gouvernement américain pensait
visiblement pouvoir influencer le gouvernement allemand. Ce dernier vient
donc de lui mettre les points sur les "i" d'une façon on ne peut
plus claire.
Reste qu'à côté de l'Allemagne, deux grands
pays européens posent question. L'Angleterre d'abord, engagée
dans la voie, sans issue mais inquiétante pour les libertés,
d'un contrôle accru du cryptage. La France ensuite, dont les effets
concrets de la politique de libéralisation font pale figure comparés
à la situation allemande. Tant et si bien que nous devons encore
une fois poser cette question : quand la version commerciale de PGP sera-t-elle
librement vendue en France ?
PGP
F6.5.2a et F6.5.1Int versions françaises (Mac)
1999/11/13
PGP F6.5.2a et PGP F6.5.1Int, versions françaises freeware pour
MacOS, sont disponibles grâce à une traduction de Jean-Pierre
Kuypers, qui fournit une "rustine" à chacun des deux programmes
anglais.
Les fichiers rustines peuvent être téléchargés
ici : ftp://ftp.sri.ucl.ac.be/pub/PGP/
Miroirs :
ftp://ftp.free.fr/mirrors/ftp.sri.ucl.ac.be/
ftp://ftp.calvacom.fr/pub/mac-fr/PGP/
+ fichier programme (indispensable)
PGP
6.5.2a ou PGP
6.5.1Int
Voir notre brève du 4 novembre
L'IETF
dit non aux protocoles de surveillance sur Internet
1999/11/13
Lors d'une réunion spéciale, l'IETF (Internet Engineering
Task Force), un des organismes chargés de la mise au point des standards
d'Internet, a refuséde
cautionner des protocoles de surveillance sur Internet.
Voir l'article du New
York Times.
Voir notre brève du 10 novembre
Les
manuels français PGP 6.0.2i sont miroités par pgpi.org
1999/11/13
Les traductions françaises du manuel Windows de PGP 6.0.2i
et de l"Introduction à la cryptographie" sont miroitées
sur www.pgpi.org.
Ces manuels sont utilisables pour PGP 6.5.1i et 6.5.2a sous réserve
des modules ajoutés (PGPnet) ou manquant (PGPdisk) dans ces deux
dernières versions.
Manuel
PGP 6.0.2i pour Windows
Une
introduction à la cryptographie
La
liste des sites FTP pgpi.org dans le monde
Ståle
Schumacher Ytteborg publie PGPfone 2.1 version officielle
1999/11/11
PGPfone 2.1 pour Windows est disponible sur la "International Home
Page" dans une version compilée par Ståle Schumacher Ytteborg,
et pour MacOS en sources. Une présentation
de Philip Zimmermann est incluse.
PGPfone21-win.zip
(logiciel complet + sources)
PGPfone21-mac.zip
(sources seulement)
PGP
6.5.2a Personal Privacy et Desktop Security
1999/11/11
Network Associates publie aux USA
les versions commerciales PGP Personal Privacy 6.5.2a et PGP Desktop Security
6.5.2a. Ces versions incluent notamment PGPdisk (absent de la version freeware).
Des
"gourous" d'Internet mettent en garde l'IETF contre tout protocole de surveillance
1999/11/10
Plusieurs personnes faisant autorité sur Internet publient une
lettre
ouverte à l'IETF (Internet Engineering Task Force) au sujet
des futurs protocoles du réseau Internet. Ils demandent à
l'IETF de refuser la mise en place de protocoles de surveillance sur Internet
comme les gouvernements le lui ont demandé.
On remarque qu'il est fait référence au célèbre
document
1984 publié par l'IETF en 1996 et dans lequel l'organisme refusait
alors par avance une telle hypothèse.
Parmi les signataires de cette lettre ouverte : Austin Hill (Zero-Knowledge
Systems), Matt Blaze (AT&T), Alan Davidson (CDT), Simon Davies (Privacy
International), Whitfield Diffie (Sun), John Gilmore (EFF), Phil Karn (Qualcomm),
Dinah PoKempner (Human Rights Watch), Ronald L. Rivest (MIT), Marc Rotenberg
(EPIC), Bruce Schneier (Counterpane), Philip R. Zimmermann (NAI).
Extraits :
"- Protocols to allow surveillance will undermine network security.
- The proposed protocols will stifle development of new communications
technologies.
- There are no legal requirements for the IETF to develop surveillance
protocols.
- Surveillance protocols will not prevent crime.
- Building in surveillance protocols is inconsistent with the previous
activities of the IETF.
- The proposal will have severe consequences in many non-democratic
countries."
Distributed
s'attaque à un Challenge de cassage de clefs français
1999/11/09
Le nouveau client beta de
Distributed
comprend le cassage du CS-Challenge
(CSC) 56 bits organisé par la société française
CS
Communications & Systems autour de son algorithme CS-Cipher (conçu
par Jacques Stern et Serge Vaudenay). CS veut montrer que les clefs de
56 bits sont trop courtes et que son algorithme doit être utilisé
avec 128 bits.
La
"International PGP Home Page" diffuse PGP 6.5.2a version U.S. dans le monde
entier
1999/11/07
Les versions américaines de PGP 6.5.2a freeware, qui ont été
publiées par le MIT le 5 novembre et aussitôt exportées
des USA par des inconnus (malgré la législation américaine
qui l'interdit), sont désormais diffusées partout dans le
monde par la International PGP Home Page.
Version Windows :
http://www.pgpi.org/cgi/download.cgi?filename=PGPfreeware652a.zip
Version MacOS :
http://www.pgpi.org/cgi/download.cgi?filename=PGPfreeware652a.sit.hqx
Phil
Zimmermann appelle les développeurs internationaux à améliorer
PGPfone
1999/11/07
Dans un message signé du 1er
novembre, Phil Zimmermann décrit les hésitations de PGP Inc.
puis NAI à développer PGPfone, jugé non rentable.
Il explique la décision que lui et Will Price ont pris de confier
la mise au point de PGPfone 2.x à la communauté des développeurs
internationaux.
Voir notre brève du 27 octobre
PGP
6.5.2a freeware est distribué par le MIT
1999/11/05
PGP 6.5.2a (Windows, MacOS, Linux, Solaris, AIX, HP/UX) est disponible
sur le site du Massachusetts
Institute of Technology (réservé aux américains
et canadiens). Parmi les nouvelles fonctionnalités, on note le support
Windows 2000 et MacOS 9.0, et l'utilisation optionnelle du générateur
aléatoire inclus dans le processeur Intel Pentium III (pour Windows
seulement).
Voir l'annonce officielle.
Site européen
PGP
6.5.1Int pour Mac
1999/11/04
La version PGP 6.5.1Int pour MacOS est disponible sur la International
PGP Home Page.
La version freeware "Int" diffère de la version "i" dans la
mesure où elle a été numérisée et compilée
par CN Lab en Suisse et est distribuée
par Network Associates International
aux Pays-Bas.
http://www.pgpi.org/cgi/download.cgi?filename=PGP651IntFreeware.hqx
Selon
la BBC, les autorités australiennes confirmeraient l'existence d'Echelon
1999/11/04
Dans un
article sur le système d'espionnage anglo-saxon Echelon, la
BBC affirme avoir eu la confirmation du gouvernement australien qu'un tel
réseau existe.
Voir notre brève du 22 octobre
Le
Rapport "Privacy and Human Rights 1999" est en ligne
1999/11/02
Le rapport "Privacy and Human Rights 1999, An International Survey
of Privacy Laws and Developments", publié en édition papier
par l'EPIC (et Privacy International) (septembre 1999), est intégralement
disponible
en ligne.
Il fait le point sur l'état de la vie privée dans 50
pays et s'intéresse notamment aux
technologies
d'invasion (Identity systems, Surveillance of Communications, Satellite
Surveillance, Audio Bugging, Video Surveillance, Workplace surveillance).
Extraits :
"But this fluid structure has not protected the Internet from interception
and control by authorities. Because the medium is new, it often lacks the
legal protections that regulate conventional telephone systems. Law enforcement
and national security agencies throughout the world have moved swiftly
to establish default capabilities to intercept and analyze email and Internet
traffic. Law enforcement agencies in the United Kingdom have argued that
interception of email traffic should be permissible through agreements
between police and Internet Service Providers (ISPs), the conduits for
Internet traffic.
(...)
Encryption has become the most important tool for protection against
surveillance. A message is scrambled so that only the intended recipient
will be able to unscramble, and subsequently read, the contents. Pretty
Good Privacy (PGP) is the best-known encryption program and has over 100,000
users, including human rights groups."
TkPGP
1.11 pour Linux
1999/11/01
Sortie de TkPGP
1.11, une interface graphique pour PGP et GnuPG sous Linux/BSD/UNIX.
Il peut être utilisé notamment avec Netscape/Messenger
et supporte PGP 2.6.x, PGP 5, PGP 6 et GnuPG 1.0.0.
PGP
6.5.1i compatible Windows 2000
PGP
6.5.1i beta 2 pour Linux
1999/11/01
Une nouvelle version PGP 6.5.1i pour Windows 95/98/NT/2000 est disponible
sur la International PGP Home Page.
Une version PGP
6.5.1i beta 2 pour Unix est aussi disponible. Sa compilation sous Linux
ne pose plus de problèmes (exemples : Mandrake 6.1 ou RedHat 5.2).
Sont aussi téléchargeables les codes-sources
complets de PGP 6.5.1i pour Windows, et la signature de ces codes par Ståle
Schumacher Ytteborg.
replay.com
devient zedz.net
1999/10/30
La société
Replay Associates,
basée à Amsterdam (Pays-Bas, UE), change de nom et devient
Zedz
Consultants.
Replay héberge depuis plusieurs années un ftp de cryptographie
particulièrement riche disponible à l'adresse ftp://ftp.nl.zedz.net/pub/
ou
ftp://ftp.nl.monster.org/pub/
(ex- ftp://ftp.replay.com), ftp qui
a souvent été le premier à fournir les nouvelles versions
US de PGP quelques heures seulement après leur mise en ligne aux
USA.
GnuPG
: un "Mini-Howto" en français
1999/10/28
Le "Mini-Howto" (mode d'emploi linuxien) de GnuPG est disponible en
français grâce à une traduction de Jean-François
Dindart.
PGPfone
est à nouveau développé
1999/10/27
Depuis la sortie d'une version 1.0 beta par PGP Inc. en 1996, le développement
de PGPfone avait été abandonné.
Les livres de codes-sources
de PGP 6.5.1i exportés des USA en août dernier comprennent
le code d'un nouveau PGPfone 2.1b8 beta pour Windows que les développeurs
de NAI n'ont pas eu le temps de finaliser
mais qu'ils confient sous licence freeware aux utilisateurs internationaux.
Ce code-source est en cours de compilation pour une version internationale
de PGPfone 2.1.
PGPfone est conçu pour crypter une communication vocale.
A cette heure, aucun portage du code-source n'est encore prévu
pour les systèmes d'exploitation PalmOS ou Symbian.
PGPfone
1.0b2 pour Windows 95 (version ancienne et dépassée)
PGPfone
2.0b4 pour Mac
Speak
Freely 7.1 pour le cryptage de la voix sur Internet
1999/10/26
Sortie de Speak Freely 7.1,
de John Walker et Brian C. Wilesun. Speak Freely est un programme gratuit
de téléphonie par Internet utilisant un cryptage fort (Blowfish
128 bits, IDEA, PGP). De nombreuses fonctions sont présentes (mode
conférence, compression, détection automatique de ICQ et
interopérabilité, etc.).
Le code-source est disponible en téléchargement.
Version
Windows
Version
Unix (en ligne de commande)
PGP
6.5.2 est publié aux USA
1999/10/26
Network Associates Inc. publie aux
USA PGP 6.5.2 Desktop Security (PGP VPN Client) pour Windows et Mac.
Parmi les nouvelles fonctionnalités, on note le support Windows
2000 et l'utilisation optionnelle du générateur aléatoire
inclus dans le processeur Intel Pentium III.
Mise
à jour du "Crypto Law Survey"
1999/10/26
Bert-Jaap Koops publie la
Version 16.1, October 1999 de son
"Crypto
Law Survey".
Le "Crypto Law Survey" fait le point sur les législations cryptographiques
dans le monde; il constitue la référence en matière.
PGP
6.5.1i "internationale" est disponible pour Windows
PGP
6.5.1i Unix n'est disponible pour l'instant qu'en beta
1999/10/22
PGP 6.5.1i pour Windows 95/98/NT (mais pas Windows 2000) est disponible
en Norvège sur le site de la "International PGP Home Page" :
ftp://ftp.no.pgpi.org/pub/pgp/6.5/6.5.1i/win/PGPfreeware651i.exe
ftp://ftp.no.pgpi.org/pub/pgp/6.5/6.5.1i/win/PGPfreeware651i.exe.sig
La version 6.5.1i Unix n'est encore disponible qu'en beta (problèmes
lors de la compilation sous Linux). Les bugs doivent être rapportés
à unix@pgpi.org :
ftp://ftp.no.pgpi.org/pub/pgp/6.5/6.5.1i/unix/pgp-6.5.1i-beta1.tar.gz
Les version MS-DOS, Amiga et OS/2 devraient apparaître prochainement.
Noyau
"international" pour Linux 2.2.13.1
1999/10/22
Sortie du "International Kernel Patch"
2.2.13.1 conçu en dehors des USA, et qui permet de sécuriser
Linux en intégrant de la cryptographie au niveau de son noyau.
Le
site web de TF1 consacre sa Une au système Echelon
1999/10/22
A l'occasion du "Jam Echelon Day", le site web de la chaîne de
télévision française TF1 a consacré sa "Une"
au système d'espionnage Echelon avec un dossier pédagogique
et synthétique intitulé
"Souriez,
on vous surveille !".
Une
démo expérimentale de ScramDisk 3 est disponible
1999/10/21
Une démo ScramDisk
3b1 est disponible pour test.
Voir notre page de présentation de ScramDisk.
Le
gouvernement américain va réexaminer le cas de l'exportation
des code-sources cryptographiques
1999/10/20
Le sous-secrétaire américain au Commerce, William Reinsch,
a
admis dans une interview à Reuters que le cas des codes-sources
cryptographiques posait problème et que leur interdiction d'exportation
allait être réexaminée. Le phénomène
Linux / "logiciels libres" (open source) aurait eu un rôle
dans cette prise de conscience.
Le contenu précis de la nouvelle réglementation, y compris
ce qui a été annoncé en septembre dernier, sera connu
le 15 décembre 1999.
Voir notre brève du 12 octobre
Extraits :
"We are now reviewing that (...) It's on the table as area where
we might make a revision."
Des
pirates organisent un "Jam Echelon Day" pour sensibiliser aux écoutes
massives effectuées sur Internet
1999/10/20
Le groupe de pirates Hacktivism organise le 21 octobre 1999 une journée
"Jam
Echelon Day" durant laquelle ils proposent d'envoyer au moins un e-mail
contenant 50 mots-clefs destinés à alerter Echelon,
et ceci afin de saturer le célèbre système d'écoutes.
FreeS/Wan
1.1 pour Linux
1999/10/17
La version 1.1 de FreeS/WAN
est disponible. Les noyaux 2.2.x sont maintenant gérés.
FreeS/WAN est l'implémentation d'IPSec pour Linux, la version
cryptée du protocole IP.
Les
codes-sources de PGP 6.5.1i sont disponibles
1999/10/16
Les livres imprimés contenant le code-source de PGP 6.5.1i freeware
ont été numérisés en Norvège par Ståle
Schumacher Ytteborg, et la version électronique du code est disponible
(pour Windows et Unix) sur le FTP de la International
PGP Home Page :
ftp://ftp.no.pgpi.org/pub/pgp/6.5/6.5.1i/win/pgp651i-win-src.zip
Rappel de la chronologie de cette version internationale :
6 juillet 1999 : mise en ligne aux USA des versions US de PGP 6.5.1
freeware;
14 août 1999 : publication aux USA des 45 volumes imprimés
contenant le code-source, puis exportation légale de ces livres
vers l'Europe;
16 octobre 1999 : mise en ligne du code-source de PGP 6.5.1i "international"
freeware.
Le
cryptographe Bruce Schneier met en garde contre les mots de passe faibles
1999/10/15
Dans son dernier Crypto-Gram,
Bruce Schneier met en garde contre les phrases de passe qui ne possèdent
pas assez d'entropie et affaiblissent la longueur effective de la clef
(Key Lengh and Security, Crypto-Gram, oct.1999).
Il rappelle qu'une phrase de passe composée de mots courants
n'aura vraiment 128 bits d'entropie
que si elle compte 98 caractères (soit une phrase de deux lignes).
Pour un mot de passe composé de caractères hexadécimaux
aléatoires, c'est 32 caractères qu'il faudra retenir de mémoire
pour bénéficier d'une protection réelle de 128 bits
et déjouer une attaque par dictionnaire.
Extraits :
"Over the past several decades, Moore's law has made it possible
to brute-force larger and larger entropy keys. At the same time, there
is a maximum to the entropy that the average computer user (or even the
above-average computer user) is willing to remember. You can't expect him
to memorize a 32-character random hexadecimal string, but that's what has
to happen if he is to memorize a 128-bit key. These two numbers have crossed;
password crackers can now break anything that you can reasonably expect
a user to memorize."
BestCrypt
0.3b pour Linux
1999/10/12
Sortie de BestCrypt 0.3b
(version beta), logiciel de cryptage du disque pour Linux (noyaux 2.2.x
et 2.3.x).
Les codes-sources sont fournis (en partie).
Les
USA excluent les logiciels à code-sources publics de l'assouplissement
des règles anti-export
1999/10/12
Selon le New
York Times, la nouvelle réglementation américaine sur
l'exportation de matériel cryptographique annoncée le 16
septembre dernier, et qui a été présentée comme
un assouplissement des restrictions anti-export, exclut les logiciels dont
le code-source est public (selon le secrétaire au commerce chargé
de l'export William Reinsch, pour le code-source
"nothing has changed".)
Pourtant, toujours selon le NYT, les agences gouvernementales américaines
utiliseraient pour leurs applications critiques les logiciels à
code-source libre comme Linux, et parmi ceux-ci apprécieraient particulièrement
l'Unix sécurisé par cryptographie OpenBSD.
Phil
Zimmermann sur "Arte"
1999/10/09
A l'occasion de la soirée "Souriez, vous êtes surveillés"
programmée sur la chaîne de télévision franco-allemande
Arte,
une interview courte mais dense (environ 15 minutes) de Phil Zimmermann,
le créateur de PGP, est diffusée dimanche 10 octobre au soir.
("La fin des secrets", documentaire de Marie Arnaud et Delphine
Morel, (France, 1999-1h15mn), Coproduction : La Sept ARTE, ADR Productions).
Fortify
pour Netscape 4.7 (Windows, Unix et Mac)
1999/10/08
Le patch 128 bits "Fortify pour Netscape"
est disponible pour la version 4.7 (Windows, Linux & Unix, et Mac)
de Communicator/Navigator.
Fortify fonctionne avec toute version de Netscape téléchargée
sur un FTP situé hors de France.
Voir notre page de présentation
de Fortify.
Mailcrypt
3.5.5
1999/10//08
Mailcrypt
3.5.5 pour Linux est disponible.
Mailcrypt permet d'utiliser PGP ou GnuPG 1.0.x avec Emacs.
Jack
B. Nymble version 2.1.0
1999/10/07
Sortie de JBN 2.1.0
(pour Windows), version 2.x stable du célèbre logiciel permettant
l'utilisation conviviale des remailers anonymes sur Internet.
L'Allemagne
se pose en meneur d'une politique européenne de liberté cryptographique
1999/10/07
Dans un discours prononcé
le 4 octobre lors de la Conférence ISSE 1999 (International
Security Solutions Europe) à Berlin, Werner Müller, Ministre
allemand de l'Economie et de la Technologie, a dressé les grandes
lignes de ce qui pourrait être une politique européenne de
liberté cryptographique, politique diamétralement opposée
à la politique américaine.
Extraits :
"Nous devons donner un signal fort aux utilisateurs
dans le commerce, dans l'industrie, dans la science et à la maison,
tout autant qu'à nos partenaires internationaux. Les produits cryptographiques
peuvent être développés, fabriqués et utilisés
sans restriction en Allemagne.
(...)
La démocratie doit être capable de se
protéger. Cependant, nous devons être réalistes et
comprendre qu'une interdiction des produits cryptographiques ne pourrait
pas arrêter l'activité criminelle ou terroriste. D'un autre
côté, une interdiction représenterait une intervention
excessive dans les droits constitutionnels fondamentaux.
(...)
Les autres pays ont observé notre décision
avec un grand intérêt. A la vue des listes de discussion sur
Internet, je suis conscient du niveau de l'intérêt public
et du soutien pour notre décision. La France et la Grande-Bretagne
ont maintenant répondu en prenant des mesures qui vont vers une
approche libérale de la cryptographie.
(...)
Les négociations sur l'Accord de Wassenaar
se sont conclues en décembre 1998. Nous ne sommes pas mécontents
de cette issue, et il semble que nos vues sont de plus en plus partagées.
Pour le démontrer, laissez-moi vous indiquer
ce qui a été obtenu.
Premièrement : en dépit d'une énorme
pression, nous avons évité - en nous battant quasiment en
première ligne [virtually fighting on the front line] - l'imposition
internationale de recouvrements de clef obligatoires. Nous ne les voulions,
et nous ne les voulons pas. Les principes cryptographiques du gouvernement
allemand sont très clairs sur ce point.
Deuxièmement : l'habitude était jusqu'ici
que tout était contrôlé et seulement quelques exceptions
permises. C'est fini.
Troisièmement : pour la première fois,
la cryptographie matérielle n'est pas traitée moins bien
que la cryptographie logicielle.
Quatrièmement : je voudrais souligner un dernier
point en particulier : la technologie cryptographique n'est plus classée
comme particulièrement sensible dans les Accords de Wassenaar, et
est maintenant mentionnée uniquement sur la liste du contrôle
de base."
PGP
6.5.1 freeware dans "Windows News"
1999/10/06
La revue française vendue en kiosque "Windows News" diffuse
PGP sur le CD-ROM accompagnant son dernier numéro (n° 70, octobre
1999, 38 FF).
Il s'agit de la version 6.5.1 freeware US (Windows).
PGP 5.5.3fr version française est aussi fourni.
Une
analyse du logiciel français Security Box
1999/10/04
Le cabinet de consultants en sécurité informatique Hervé
Schauer Consultants (HSC) a mis en ligne une analyse
fonctionnelle détaillée du logiciel Security Box Classic
de l'éditeur français MSI.
Cette analyse met en lumière des aspects très intéressants
du logiciel.
MSI a décidé en septembre dernier d'offrir aux internautes
français une version freeware de Security Box. A noter que ce logiciel
disposait déjà, avant les décrets de 1999 libéralisant
la cryptologie, d'une homologation délivrée par le SCSSI,
mais que les codes-sources de ce logiciel sont toujours restés secrets.
Netscape
4.7 génère des clefs publiques de 1024 bits
1999/10/01
Lors des connexions à un site web sécurisé, la
nouvelle version Netscape 4.7 génère des clefs publiques
RSA de 1024
bits dans sa version exportable en dehors des USA.
Cependant, la sécurité finale des transactions repose
encore sur des clefs symétriques de 56 bits. Il est donc conseillé
avant toute transaction sécurisée, de fortifier
son navigateur Netscape (versions anglaises ou françaises téléchargées
sur un FTP non français) en 128 bits.
IBM
va intégrer un procédé de cryptage matériel
dans tous ses PC
1999/09/29
IBM va intégrer dans tous ses PC de bureau et ses serveurs un
procédé auxiliaire de cryptage
matériel (peut-être basé sur la puce i820 d'Intel).
Un
challenge de cassage de clef montre que les systèmes à courbes
elliptiques sont plus difficiles à casser que les systèmes
RSA
1999/09/28
Un chercheur irlandais de l'INRIA,
en France, assisté de 195 internautes du monde entier, a relevé
avec succès le défi cryptographique "ECC2-97"
proposé par la société canadienne Certicom.
Le calcul a démontré qu'un système cryptographique
à base de courbes elliptiques est plus difficile à casser
qu'un système à base de factorisation d'entiers comme RSA.
PGP 2.6x utilise comme système de clef publique l'algorithme
RSA. PGP 5.x ou 6.x utilise en revanche l'algorithme Diffie-Hellman / El
Gamal, un système proche des courbes elliptiques (basé sur
les "logarithmes discrets").
Extrait (communiqué de l'INRIA) :
"Dirigé par Robert Harley depuis le projet
Cristal de l'Institut National de Recherche en Informatique et en Automatique
(INRIA - Rocquencourt), le calcul a démontré qu'un système
cryptographique de 97 bits à base de courbes elliptiques est plus
difficile à casser qu'un système de 512 bits à base
de factorisation d'entiers comme RSA-155.
Les crypto-systèmes à base de courbes
elliptiques sont connus depuis une quinzaine d'années mais n'ont
été adoptés par les entreprises leaders du domaine,
comme RSA Security Inc, que depuis peu de temps.
(...)
Le " ECC Challenge " de Certicom a pour but de stimuler
la recherche dans le domaine des courbes elliptiques et de leurs applications
cryptographiques et de donner au " Elliptic Curve Cryptography " des arguments
de poids face au système à base de factorisation d'entiers."
11.300
téléchargements de PGP 5.5.3fr en six mois
1999/09/28
En six mois, 11.300 téléchargements de PGP 5.5.3fr
version française pour Windows ont été effectués
sur son site original anglais,
et 10.500 visiteurs sont passés sur la page proposant une liste
des sites
miroirs de téléchargement
PGP 5.5.3fr a par ailleurs été diffusé sur
le CD-ROM gratuit de nombreuses revues informatiques françaises
(.net, Netsurf, PC MAX, Windows News).
SSF
128
bits déclaré SCSSI est disponible en France
1999/09/22
Une version 128 bits de
SSF-1.2.27.6,
outil de cryptage Unix dérivé de SSH (Secure SHell), est
disponible en France.
SSF-128 a été écrit par Bernard Perrot pour l'IN2P3
(Institut National de Physique Nucléaire et de Physique des Particules),
et a fait l'objet d'un dossier de déclaration auprès du SCSSI.
A noter que le code-source n'est pas fourni d'une manière intégrale
par l'auteur de SSF, qui s'explique à ce sujet : "Le source de
"packet.c" a été rendu volontairement obscur. Il ne contient
aucun code caché. Ceci a été fait dans le seul but
de rendre plus complexe la modification de ce code (et le rendre non-conforme
à l'autorisation et la législation)".
SSF-128 est compatible avec le SSH standard, et disponible pour Unix
et Windows. Il est gratuit (mais il n'est pas sous licence libre GNU GPL).
Version
1.5 de la FAQ PGP de Sam Simpson
1999/09/21
Sam Simpson publie la version 1.5 de sa Foire Aux Questions "PGP DH
vs. RSA", disponible en HTML sur la Home
Page de Scramdisk, ou en version zippée
(ou miroitée sur ce site).
Parmi les nouveautés : un point sur l'utilisation des CryptoAPI
Microsoft dans PGP 5.x et 6.x (support RSA des versions US).
E4M
version 2.01, logiciel de cryptage de disque dur sous Windows NT et Windows
95/98
1999/09/21
Sortie de la version 2.01 du logiciel freeware Encryption
for the Masses (E4M) écrit par Paul Le Roux, qui fournit un
cryptage transparent du disque dur.
Le support des volumes SFS reste assuré, mais comme cette version
fonctionne aussi sous Windows 95/98, le support des volumes ScramDisk a
été retiré (cependant l'ancienne version 2.00 reste
disponible en téléchargement pour une utilisation de volumes
ScramDisk sous Windows NT). Les sources sont disponibles.
Exportations
américaines de cryptographie, suite
1999/09/18
Une série de questions-réponses a été mise
en ligne par le bureau américain des exportations dans le but
de d'expliciter la nouvelle réglementation.
Noyau
"international" pour Linux 2.2.12.2
1999/09/17
Sortie du "International Kernel Patch"
conçu en dehors des USA, et qui permet de sécuriser Linux
(noyau 2.2.12) avec de la cryptographie forte. Ce patch contient une API
crypto incluant Blowfish, CAST-128, DES, DFC, IDEA, MARS, RC6, Rijndael,
Safer, Serpent, et Twofish, ainsi qu'un système de fichier crypté
utilisant l'API crypto, un CIPE VPN, et des patches EnSKIP.
Six
mois après les décrets du 17 mars 1999, les outils de cryptographie
sûre ne sont toujours pas librement disponibles sur le territoire
français
1999/09/17
Six mois après les décrets du 17 mars 1999 libéralisant
la cryptographie, la situation sur le terrain n'a pas fondamentalement
changé.
Parmi les produits
déclarés au SCSSI, il n'y a aucun logiciel dont les codes-sources
sont publics, ni aucun logiciel sous licence libre GNU
GPL.
"PGP Desktop Security" n'est toujours pas homologué pour une
utilisation commerciale et n'est pas disponible à la vente en grande
surface.
Les versions de Netscape téléchargeables en France restent
bridées à 40 bits (au lieu de 56 bits partout ailleurs dans
le monde).
Enfin, aucun miroir français de ftp://ftp.pgpi.org/pub/pgp/
n'a encore été ouvert en domaine fr.
-
Commentaire de "PGP en français" : Nous sommes obligés
de constater que PGP reste interdit
de facto aux entreprises françaises
et nous nous interrogeons sur la volonté politique de rendre disponibles
des logiciels à clefs symétriques de 128 bits dont le code-source
a été publié.
Le
gouvernement US renonce à supprimer totalement les restrictions
à l'exportation de cryptographie
1999/09/17
Alors que les recommandations du
"President’s
Export Council Subcommittee on Encryption" ainsi que des rumeurs
ces derniers jours laissaient espérer un revirement de la réglementation,
les restrictions à l'exportation de cryptographie n'ont été
que légèrement assouplies par le gouvernement américain.
Des licences d'exportation seront nécessaires pour tous les
logiciels de plus de 56 bits, soumettant par exemple PGP à une autorisation
d'exportation ad hoc du gouvernement et continuant d'interdire son
téléchargement libre sur les sites américains.
Voir le site du BXA
(bureau des exportations).
Voir la réaction de l'Electronic
Privacy Information Center : "effect on average users remains unclear".
Le communiqué
intégral de la Maison-Blanche.
Extraits :
"The updated export policy will allow U.S. companies
new opportunities to sell encryption products to almost 70 percent of the
world's economy, including the European Union, the Caribbean and some Asian
and South American countries.
(...)
Very strong encryption with any key length (with or
without key recovery) will now be permitted for export under license exception,
to several industry sectors. For example, U.S. companies will be able to
export very strong encryption for use between their headquarters and their
foreign subsidiaries worldwide except the seven terrorist countries (Iran,
Iraq, Libya, Syria, Sudan, North Korea and Cuba) to protect their sensitive
company proprietary information.
On-line merchants in 45 countries will be able to
use robust U.S. encryption products to protect their on-line electronic
commerce transactions with their customers over the Internet.
(...)
The new guidelines also allow encryption hardware
and software products with encryption strength up to 56-bit DES or equivalent
to be exported without a license, after a one time technical review, to
all users outside the seven terrorist countries."
-
Commentaire de "PGP en français" : La situation est de plus en
plus compliquée et on perd son latin à essayer de comprendre
les véritables intentions du gouvernement américain. Selon
qu'on est pessimiste ou optimiste, on peut voir l'annonce du 16 septembre
de deux manières : soit une nouvelle "fausse libéralisation",
soit la mise en place d'un système complexe mais autorisant finalement
dans la pratique la libre exportation de PGP et autres logiciels de cryptographie
forte. Cependant, la véritable libéralisation consisterait
à pouvoir trouver des outils cryptographiques de base librement
implémentés dans tous les logiciels, par exemple obtenir
en standard toutes les distributions Linux américaines (RedHat,
Caldera) avec un noyau sécurisé, ou pour ceux qui le souhaitent
obtenir en standard une version de Windows 2000 avec système de
fichier sécurisé en 128 bits. Reste également posé
le problème du libre téléchargement des logiciels
hébergés par les serveurs FTP et HTTP américains.
L'avenir dira ce que cette nouvelle réglementation US peut apporter
à la cause de la cryptographie libre.
BestCrypt
freeware pour Linux
1999/09/13
Sortie de BestCrypt
0.2b, ou "bctool", logiciel de cryptage du disque pour Linux (noyaux
2.2.x).
Il s'agit d'un freeware réalisé par Jetico
Inc. Les containers créés par les versions commerciales
de BestCrypt pour DOS et Windows 95/98/NT sont utilisables.
Les codes-sources sont fournis (en partie) et directement compilables.
Le logiciel offre les algorithmes Blowfish, Twofish, GOST et DES (!) et
utilise le principe des containers cryptés.
Le
ministre de l'Intérieur allemand déclare : "Le gouvernement
n'a pas l'intention de limiter la libre disponibilité des produits
de cryptographie"
1999/09/12
Le ministre de l'Intérieur allemand, Otto
Schily, s'est exprimé sur la cryptographie vendredi 10 à
Munich. Il a confirmé la politique libérale allemande en
matière de cryptographie et a attaqué implicitement la politique
de contrôle menée par les Etats-Unis.
Extraits :
"If you look at the technical considerations [with encryption code],
you have no real possibility to control it. (...) The criminal organizations
will illegally produce systems without possibility of control. [Limits]
may be useful for controlling your citizens, but it is not useful for fighting
crime.
(...)
If we want to guarantee more security and confidence in the Internet,
new encryption systems will be required. (...) The [German] government
has reformulated its position toward the encryption of electronic data
in the private and business sectors.... The government does not intend
to limit the free availability of encryption products in Germany."
pgp4pine
2.2 pour Linux/Unix
1999/09/12
pgp4pine
2.2 pour Linux et Unix est disponible.
pgp4pine est un programme interactif permettant d'utiliser PGP avec
les programmes e-mails, particulièrement Pine.
Les
"CRYPTO-GRAM" de Bruce Schneier sont disponibles en français
1999/09/10
Les derniers numéros de la lettre mensuelle d'information "CRYPTO-GRAM"
du cryptographe américain Bruce Schneier, ainsi que plusieurs autres
de ses papiers, ont été traduits en français par Gilb
et sont disponibles sur sa page
web.
L'éditeur
français MSI publie un freeware de cryptographie sans fournir le
code-source
1999/09/10
L'éditeur français MSI publie Security
Box freeware, un logiciel de cryptographie pour Windows et Mac, utilisant
un algorithme Triple-DES de 128 bits, mais sans fournir le code-source
pour examen.
-
Commentaire de "PGP en français" : Un logiciel de cryptographie
fourni sans son code-source, ou à la rigueur sans la garantie d'un
expert indépendant reconnu par la communauté cryptographique
internationale, ne pourra jamais être digne de confiance. II s'agit
là d'une condition sine qua non de la cryptographie. Nous
regrettons qu'aucune société française ne se soit
encore décidé à faire ce que des sociétés
américaines (PGP Inc., puis Network Associates Inc.) ont fait depuis
des années : publier le code-source de chacun de leur logiciel,
code-source qui reste toujours couvert par les lois protégeant la
propriété des logiciels informatiques.
GnuPG
1.0 : le premier programme de cryptage fort totalement libre est disponible
en version stable
1999/09/08
Huit ans après PGP 1.0, et après plus de neuf mois de
beta test, GNU Privacy Guard version1.0
pour Linux/Unix a été mis en ligne depuis l'Allemagne le
7 septembre 1999, à 15:09 GMT.
GnuPG est le clone
au code-source 100% libre et gratuit de PGP 5.x-6.x et fonctionne avec
Linux, FreeBSD, et OpenBSD, ainsi que sous certaines conditions : HPUX,
IRIX, OSF1, OS/2, SCO UnixWare, SunOS et Solaris, USL Unixware.
Aucun composant de GnuPG n'est l'objet d'un brevet, et ses sources
sont fournies et librement modifiables selon la licence
GNU
GPL.
Le logiciel se compile directement en version française .
GnuPG version
RPM pour RedHat 6 / Mandrake 6.
Voyez notre page de présentation de GnuPG.
L'annonce officielle précise :
"GNU Privacy Guard a été créé
par l'équipe de GnuPG : Matthew Skala, Michael Roth, Niklas Hernaeus,
Rémi Guyomarch et Werner Koch.
Gael Queri, Gregory Steuck, Janusz A. Urbanowicz,
Marco d'Itri, Thiago Jung Bauermann, Urko Lusa et Walter Koch firent les
traductions officielles. Mike Ashley travaille aussi sur le manuel de GNU
Privacy.
(...)
GnuPG a été rendu possible grâce
au travail précédent de Chris Wedgwood, Jean-loup Gailly,
Jon Callas, Mark Adler, Martin Hellmann, Paul Kendall, Philip R. Zimmermann,
Peter Gutmann, Philip A. Nelson, Taher ElGamal, Torbjorn Granlund, Whitfield
Diffie, des mathématiciens inconnus de la NSA et tous ceux qui ont
travaillé dur pour créer des systèmes d'exploitations
complets et libres."
Par ailleurs, Werner Koch a annoncé qu'il va commencer à
travailler à un portage sous Windows. PGP 5.0, 5.5.x et 6.x étant
la propriété de NAI, il
n'existe actuellement aucune version Windows du standard libre OpenPGP.
Site principal :
ftp://ftp.gnupg.org/pub/gcrypt/gnupg/
Miroirs (avec un délai de quelques jours) :
Belgique ftp://openbsd.rug.ac.be/pub/gcrypt/
Allemagne ftp://ftp.openit.de/pub/gcrypt/
Royaume-Uni ftp://ftp.net.lut.ac.uk/gcrypt/
L'affaire
de la "NSAKEY" trouvée dans Windows renforce la position des systèmes
d'exploitation à code-source public
1999/09/05
Dans un communiqué intitulé "Microsoft, the NSA, and
you", le site canadien Cryptonym
accuse Microsoft d'avoir installé une "porte arrière" dans
Windows 95, 98, NT, et 2000 par le biais des CryptoAPI. En utilisant un
désassembleur, Cryptonym a en effet trouvé les mots "_NSAKEY"
en face d'une seconde clef de cryptage dont le rôle exact reste inconnu.
Selon l'auteur de la découverte, cette porte arrière pourrait
permettre à la NSA
(l'agence d'espionnage américaine) de charger des services non-autorisés
sur toutes les copies de Windows.
Toutefois, des experts réputés, comme David Wagner ou
Bruce
Schneier ont estimé qu'il ne s'agissait pas d'une porte arrière,
tandis que Microsoft clame
sa bonne foi.
-
Commentaire de "PGP en français" : Un cryptosystème est
une chaîne composée de plusieurs maillons, notamment : l'utilisateur,
le logiciel de cryptographie, l'ordinateur, mais aussi le système
d'exploitation installé sur l'ordinateur. Si un seul maillon cède,
tout le cryptosystème s'écroule. Cela signifie qu'il ne suffit
pas que le logiciel de cryptographie soit sûr pour que son utilisation,
même avec des précautions, soit sûre. Par exemple, on
pourrait imaginer un système d'exploitation dont une instruction
cachée ferait que dès que l'exécution du fichier binaire
PGP.exe est détectée, un enregistrement des touches frappées
sur le clavier est secrètement lancé... Même si des
désassembleurs et des logiciels spécialisés permettent
de "pister" les instructions et vérifier les processus chargés
en mémoire par le système d'exploitation lors de l'exécution
d'un programme, sans les codes-sources complets de ce système, personne
ne peut être certain à 100% qu'une faille n'a pas été
discrètement introduite quelque part. C'est pourquoi, pour toutes
les utilisations cryptographiques nécessitant une haute sécurité,
Windows 95, 98, NT, mais aussi MacOS, sont à proscrire tant que
le code-source intégral de ces systèmes n'aura pas été
publié. Linux, dont le code est librement consultable et modifiable,
est à conseiller à la place, même dans ses distributions
grand public comme Linux-Mandrake.
Un
projet de loi sur les signatures électroniques est adopté
en Conseil des ministres
1999/09/01
Un projet de loi définissant la notion de signature
électronique a été adopté lors du Conseil
des ministres du 1er septembre, et sera débattu dans les jours qui
viennent au Parlement. Le projet introduit comme mode de preuve l'écrit
électronique signé et lui reconnaît la même force
qu'à l'acte sous seing privé sur support papier.
"Linux
Munitions", méga-archive de cryptographie
1999/08/30
Ouverture du site Munitions
qui se propose de regrouper tous les outils cryptographiques pour Linux.
Le site est hébergé à Braunschweig (Allemagne), et
est administré depuis New Delhi (Inde) par Vipul Ved Prakash.
* Miroir hollandais.
Une
version pirate de PGP 6.5.1 Desktop Security est disponible en Europe
1999/08/28
Malgré la législation américaine en interdisant
l'exportation, une version commerciale de PGP 6.5.1 Desktop Security (pour
Windows 95/98/NT) a été exportée des USA par des inconnus
puis miroitée sur un FTP pirate situé en Europe.
Cette version commerciale contient PGPdisk et le support des clefs
RSA.
Une
clef publique de 512 bits a été cassée
1999/08/27
Une clef publique RSA de 512 bits a été factorisée
par une équipe de chercheurs internationaux. Mais les clefs publiques
de 768 bits, et a fortiori 1024 bits et plus utilisées par PGP restent
sûres.
NB : ne pas confondre longueur des
clefs publiques (ou asymétriques) et longueur des clefs symétriques.
Le
"President’s Export Council Subcommittee on Encryption" plaide pour une
levée des restrictions américaines à l'exportation
de cryptographie
1999/08/26
Dans un document intitulé "Liberalization 2000 : Recommendations
for Revising the Encryption Export Regulations", le "President’s Export
Council Subcommittee on Encryption", comité chargé d'examiner
l'exportation de cryptographie pour le compte du Président des États-Unis,
recommande l'abandon prochain des
contrôles à l'exportation des logiciels et matériels
vitaux pour assurer la confidentialité sur Internet.
Extrait :
"V. Mass-market Hardware and Software
Recommendation: Expand License Exceptions TSU and
ENC to allow export of mass-market hardware and software encryption with
key lengths of 128 bits or equivalent strength including triple DES."
Le
rapport du Parlement Européen sur la surveillance électronique
est en ligne
1999/08/21
Le rapport du Parlement Européen sur le "Développement
de la Technologie de Surveillance" (avril 1999) a été scanné.
Sa partie III : "Chiffrement, cryptosystèmes et surveillance électronique",
rédigée par Franck Leprevost, est notamment diffusée
gratuitement en ligne depuis
les Etats-Unis. Cette partie du rapport est en français, une des
langues officielles du Parlement européen.
Extraits :
"8. Options suggérées :
(...)
Le Parlement européen devrait rapidement débattre
en vue de libéraliser l'usage de la cryptographie sur l'ensemble
du territoire communautaire."
Le
code-source de PGP 6.5.1 est publié en livres
1999/08/14
Le code-source de PGP 6.5.1 (Windows, Mac, Platform-Independent) a
été publié aux USA sous forme de 45 volumes papier
imprimés par Printers Inc. bookstore
à Palo Alto, CA. Leur exportation des USA est autorisée et
la International PGP Home Page devrait
acquérir très bientôt les ouvrages et commencer à
les scanner pour publier une version électronique du code, puis
la version "internationale" compilée.
Une
étude tente de mesurer l'impact de l'utilisation de la cryptographie
par les criminels
1999/08/12
Dans une longue étude à paraître en revue en septembre
prochain et intitulée
Hiding
Crimes in Cyberspace, Dorothy Denning et William E. Baugh, Jr. étudient
l'utilisation de la cryptographie et de l'anonymat électronique
aux fins de dissimulation d'une activité criminelle. Ils s'appuient
sur une liste d'affaires dans lesquelles des criminels ont utilisé
la cryptographie (des cas d'utilisation de logiciels connus, dont PGP,
sont relatés en détail par des sources judiciaires ou policières).
Les conclusions de l'étude sont mitigées.
Extraits :
"Les efforts de décryptage faits par les services
de police ou les entreprise ayant besoin de récupérer des
clefs perdues ont été largement couronnés de succès
en raison de faiblesses dans les systèmes pris dans leur ensemble.
Ce taux de succès devrait chuter, cependant, dans la mesure où
les vendeurs intègrent des cryptages plus forts dans leurs produits
et sont plus rigoureux en matière de sécurité. Il
n'est pas possible de casser un cryptosystème bien conçu
qui utilise des longueurs de clef de 128 bits ou plus.
(...)
La plupart des enquêteurs à qui nous
avons parlé n'ont pas encore détecté d'utilisation
substantielle de cryptographie par de grands groupes du crime organisé.
Ceci peut être attribué à plusieurs facteurs, dont
la difficulté et le complexité qu'il y a à utiliser
de la cryptographie (particulièrement pour les personnes n'ayant
pas le temps de s'y impliquer) et un sentiment général que
leur environnement est déjà raisonnablement isolé
et protégé de la police."
Sur
les cinq finalistes de l'AES, deux algorithmes sont européens
1999/08/09
Le NIST américain (National Institute of Standards and Technology)
vient de publier la liste des cinq
finalistes pour la désignation de l'algorithme AES (Advanced
Encryption Standard), futur standard cryptographique officiel américain.
Parmi eux, les algorithmes Rijndael et Serpent ont été développés
en dehors des USA (en Europe). La liste : MARS (IBM - USA), RC6 (RSA Inc.
- USA), Rijndael (Joan Daemen, Vincent Rijmen - Belgique), Serpent (Ross
Anderson, Eli Biham, Lars Knudsen - UK, Israel, Norvège), Twofish
(Bruce Schneier, John Kelsey, Doug Whiting, David Wagner, Chris Hall, Niels
Ferguson - USA).
Pour
signer digitalement leur loi, des parlementaires US choisissent PGP
1999/08/03
Des parlementaires américains qui voulaient symboliquement adresser
au Président des Etats-Unis une loi qu'ils venaient de voter (la
"Y2K legislation") par le moyen d'un courrier électronique signé
digitalement, ont choisi le logiciel
Pretty
Good Privacy (PGP). Mais on notera que la procédure traditionnelle
n'a pas été modifiée et que le Président américain
a signé de manière traditionnelle la version papier du texte
de loi.
PGP
dans "Netsurf"
1999/07/30
La revue française vendue en kiosque "Netsurf" diffuse PGP sur
le CD-ROM accompagnant son dernier numéro (n°41, août
1999, 38 FF) (répertoire D:\Netsurf\Pepites\PGP\).
Le
Ministre de la Justice américain aimerait interdire la libre diffusion
de cryptographie en Europe
1999/07/29
Dans une
lettre adressée fin mai au Ministre de la Justice allemand,
Herta Däubler-Gmelin, le Ministre de la Justice américain,
Janet Reno, appelle à une relance des négociations sur l'Accord
de Wassenaar afin de prendre en compte les logiciels de cryptographie relevant
du domaine public (type GNU GPL) et d'en interdire la diffusion sur Internet.
Extraits :
"Much work remains to be done. In particular, I believe
we must soon address the risks posed by electronic distribution of encryption
software. Although the Wassenaar Nations have now reached agreement to
control the distribution of mass market encryption software of certain
cryptographic strength, some Wassenaar Nations continue not to control
encryption software that is distributed over the Internet, either because
the software is in the "public domain" or because those Nations do not
control distribution of intangible items."
-
Commentaire de "PGP en français" : Au premier abord, on peut
penser que le gouvernement américain n'a rien compris à la
révolution Internet et qu'il croit que le contrôle de l'information
y est possible. Après réflexion, on est forcé de conclure
que les investissements faits par les américains dans le système
d'espionnage des réseaux informatiques "Échelon"
sont tels qu'ils ne veulent à aucun prix les voir réduits
à néant par l'utilisation massive de cryptographie en dehors
des Etats-Unis, particulièrement en Europe. Tout laisse à
penser que le gouvernement américain commence à s'inquiéter
des prises de position successives de l'Allemagne puis de la France sur
la question du libre-usage de cryptographie. D'où la lettre, à
l'humour involontaire, de Mme Reno demandant aux gouvernements qui se protègent
contre la curiosité américaine de renoncer à cette
protection.
La
FAQ de PGPi est en français
1999/07/29
La FAQ de PGP version internationale, écrite par Ståle
Schumacher Ytteborg, a été
traduite
en français (date de mise à jour anglaise : 28/07/1999).
Mise à jour : décembre 1999
© 1997, 1998, 1999, 2000, pplf 14A0 4A67 0431 2402
684D 6EBA 537F 664D 3F80 0D58
pgpenfrancais@bigfoot.com
|