Crypto-News
2000-4
Les
dernières
news sont désormais en page d'accueil.
Un
bilan de l'année 2000
2000/12/31
-
Commentaire d' "OpenPGP en français" : 2000 aurait dû
être
en France l'année de la normalisation de la situation cryptographique;
hélas, le projet de loi de libéralisation totale de la
cryptologie
a encore été reporté, et sera -espérons-le
- examiné par le Parlement en 2001.
Pour le reste, l'année cryptographique 2000 a été
riche en polémiques, notamment autour de Network Associates / PGP
Security Inc. et de PGP®. Deux failles de sécurité ont
été trouvées dans PGP®, dont une dans les clefs
ADK, suscitant une vive polémique. Notre site a exprimé dans
une lettre ouverte sa "perte de confiance dans les versions récentes
de PGP®". Un appel à passer PGPfreeware sous licence GNU GPL
a été lancé. De son côté, l'autre logiciel
au standard OpenPGP, GnuPG, est sorti en version stable pour Windows et
des interfaces graphiques Windows et des plugins e-mail sont
arrivés.
2000 a aussi vu l'apparition des premières "écoutes
numériques" à grande échelle. Aux États-Unis,
la présence chez les fournisseurs d'accès à Internet
du système "Carnivore", un logiciel d'écoute du FBI, a
été
révélée. En Grande-Bretagne, le RIP Act a
été
voté pour obliger ces mêmes fournisseurs à enregistrer
toutes les communications Internet des abonnés, et pour limiter
voire interdire l'utilisation de cryptographie. A Strasbourg, le Conseil
de l'Europe a tenté de faire adopter en catimini un Traité
contre la Cybercriminalité qui contenait des dispositions contraires
à la Convention Européenne des Droits de l'homme. A l'inverse,
la France a semblé en pointe dans le combat pour une protection
minimale de la vie privée, avec un rapport parlementaire remarqué
dénonçant le réseau d'écoute numérique
international Echelon, et une volonté politique réaffirmée
de liberté dans l'utilisation de la cryptographie (avec des
déclarations
de MM. Laurent Fabius et Raymond Forni).
Au début de l'année, une libéralisation partielle
des exportations de cryptographie a eu lieu aux États-Unis. 2000
a aussi vu l'apparition de nombreux logiciels visant à contrer la
censure de certains pays et de certaines multinationales de l'audiovisuel,
ainsi que le risque d'écoutes numériques (Gnutella, Freenet,
Publius). 2000 a enfin, et peut-être surtout, été
l'année
de l'AES, l'Advanced Encryption Standard. Pour la première fois
une consultation mondiale et un débat public trois années
durant avaient été organisés pour choisir le meilleur
algorithme de chiffrement, une institution publique poussait à
l'adoption
d'un standard de chiffrement incassable, et le bureau de standardisation
américain a finalement choisi pour sécuriser ses données
nationales un algorithme non-américain, et plus
précisément
européen et belge : l'algorithme Rijndael.
Des
packages pour Linux Debian, Mandrake, et RedHat corrigent le bug de signature
dans GnuPG 1.0.4
2000/12/28
Un package pour GNU/Linux Debian
est disponible pour corriger partiellement le bug de sécurité
dans la vérification des signatures de GnuPG 1.0.4.
Des packages Mandrake
et RedHat
sont aussi disponibles.
Voir notre brève du 1er
décembre
PGP
Desktop Security 7.0.1 est disponible
2000/12/25
PGP Desktop Security 7.0.1 (Windows 9x/ME/NT/2000 et MacOS) est disponible
en version d'évaluation.
Plugin
GnuPG pour Kmail 1.1.99 (Linux) : une correction de bug dans la version
française
2000/12/19
Un bug dans le plugin GnuPG du logiciel de courrier Kmail 1.1.99 (KDE
2 pour Linux) a été
corrigé
par Michel Bouissou. Le déchiffrement des messages ne fonctionnait
pas correctement.
Màj : Voir aussi la version française du message sur
la liste de discussion
"open-crypto".
GnuPG
pour Windows : WinPT 0.1.0 et GnuPG 1.0.4b-winpt
2000/12/19
Deux nouvelles versions
de développement de GnuPG Win32 sont disponibles : WinPT 0.1.0
et GnuPG 1.0.4b-winpt (qui corrige le dernier bug de signature de GnuPG).
Timo Schulz, son
développeur,
recherche des beta-testeurs sur chacune des différentes versions
de Windows (95, 95 OSR2, 98, 98 s.e., ME, NT, 2000).
Parmi les nouvelles fonctionnalités de WinPT :
keyserver access (send and receive), key generation, GPGME library for
an easy interface , simple key management.
Un
"Big Brother Award" dénonce les travaux effectués par des
chercheurs de l'INRIA
2000/12/17
Les premiers "Big Brother
Awards" français ont été décernés
le 16 décembre 2000 à
l'occasion
de la zeligConf', rencontre européenne des
contre-cultures digitales.
Dans la catégorie "Produits et systèmes les plus intrusifs",
c'est un établissement public de recherche, l'INRIA (Institut National
de Recherche en Informatique et en Automatique), qui a été
sanctionné pour son logiciel VSIS (système de
vidéosurveillance
"intelligente" développé depuis 5 ans par
l'institut public de recherche en informatique (projet Orion)).
Ont également été sanctionnés
par un "Big Brother Award" : Ministère de l'Intérieur / STIC
(catégorie "Etat, Administration la plus intrusive"), SONACOTRA
/ Fichiers d'étrangers illégaux ("Entreprise la plus intrusive"),
Ville de VAULX-EN-VELIN / Vidéosurveillance ("Localités,
projet de proximité le plus intrusif"), et SAGEM MORPHO (Ex MORPHO
SYSTEMS), leader des bases de données policières et du traitement
de signes biométriques personnels ("Prix spécial pour l'ensemble
de son oeuvre").
A l'inverse, le "Prix Voltaire de la vigilance" a
récompensé
le travail de l'association "Souriez vous êtes filmés", un
collectif anticaméras de vidéosurveillance.
Une
nouvelle version modifiée GPG win32 avec IDEA est
diffusée
2000/12/16
Après "GPG for Win32", une nouvelle version de GPG Win32
modifiée
et incluant l'algorithme commercial IDEA est diffusée : "GnuPG
1.0.4-1 + IDEA for Windows".
Il semble que la licence GNU GPL sous laquelle GnuPG
est réalisé, a été violée par ces versions
contenant IDEA à l'intérieur du binaire, car un programme
GPL ne peut être lié directement à un programme commercial
(pour éviter le risque d'appropriation des programmes GPL).
Voir notre brève du 6
décembre
Une
interview de Eben Moglen : "The Encryption Wars"
2000/12/15
La revue "Cabinet Magazine", émanation de l'association new-yorkaise
"Immaterial", publie une longue interview de Eben Moglen : "The
Encryption Wars".
Eben Moglen est professeur de droit à
l'Université
de Columbia, spécialiste notamment des questions légales
autour du chiffrement, et conseiller juridique de la Free Software Foundation
qui a créé la licence GNU GPL. Il fut un des principaux membres
de l'équipe de défense légale de Philip Zimmermann
quand ce dernier fut poursuivi par les douanes américaines entre
1993 et 1996. On lui doit notamment cette phrase : "Le droit de parler
le PGP est comme le droit de parler le Navajo. Le gouvernement n'a aucun
droit de vous empêcher de parler d'une façon technique même
si ce n'est pas commode pour lui de vous comprendre."
Le
logiciel de protection de la vie privée Freedom devient en partie
gratuit
2000/12/14
Freedom 2.0 Internet Privacy Suite
est disponible pour Windows, Linux et Mac. Le code-source est fourni (le
client est sous licence Mozilla MPL, et le serveur proxy d'anonymat est
sous licence GNU GPL).
Cette nouvelle version offre une partie gratuite et une partie payante
(service "premium"). Pour la version Windows, sont inclus gratuitement
un firewall, un gestionnaire de formulaires, un gestionnaire de cookies,
un gestionnaire de bandeaux publicitaires, et un détecteur de mots
clefs privés. La partie payante comprend un outil d'anonymisation
des e-mails, du surf web et du "chat".
Freedom est édité par Zero-Knowledge
Systems Inc. (ZKS), une société commerciale canadienne
qui emploie des "crypto-activistes" connus comme Ian Goldberg ou Adam
Back.
Le
noyau Linux "international" 2.2.18 est disponible
2000/12/13
Le noyau Linux
2.2.18 avec chiffrement (noyau dit "international") est disponible.
Nouvelle
version du Traité Cybercriminalité : les ONG publient une
deuxième lettre de mise en garde - IRIS demande au gouvernement
français de clarifier sa position
2000/12/13
Une nouvelle
version (N° 24 rev 2) du projet de Traité sur la
Cybercriminalité
a été rendue publique par le Conseil de l'Europe.
Bien que celui-ci affirme avoir pris en compte les mises en garde des
ONG, la coalition GILC publie une deuxième
lettre ouverte contre le projet de Traité (texte
sur le site original).
L'association IRIS voit dans le projet de Traité "un texte toujours
indéfendable" et demande au correspondant français pour le
projet de clarifier la position du gouvernement.
Voir notre brève du
17 octobre
Extraits du communiqué d'IRIS :
"Malgré quelques modifications apportées
dans la nouvelle version, le texte du projet demeure insatisfaisant sur
l'essentiel. Les signataires réaffirment leur opposition à
ce texte dans son état actuel et demandent que des limites aux pouvoirs
accordés selon ce projet soient formulées explicitement,
comme l'exigence d'un examen de constitutionnalité, la
prémunition
contre l'auto-incrimination, la finalité de la collecte des
données,
la proportionnalité des moyens utilisés en toutes occasions,
et le respect des principes de protection des données, pour ne citer
que quelques exemples. (...)
Par ailleurs, IRIS s'interroge sur les contradictions
entre les annonces faites par le gouvernement aux citoyens français,
comme, par exemple, la libéralisation totale de la cryptographie,
et le contenu d'un projet de traité censé s'appliquer à
tous les États membres du Conseil de l'Europe. "
-
Commentaire d' "OpenPGP en français" : La persistance du Conseil
de l'Europe à ne pas tenir compte des recommandations des organisations
de défense des libertés laisse interrogatif. Il y a deux
hypothèses envisageables. La première est une sorte de peur
panique devant l'inconnu : des responsables politiques, administratifs,
ou économiques, ne parvenant pas à penser le futur qui se
dessine autour d'Internet et des nouvelles technologies, choisissent de
"ratisser large" pour donner aux forces de l'ordre la possibilité
de conserver (c'est-à-dire, le numérique aidant,
augmenter)
leurs capacités d'action contre le crime. Dans ce cas, nous devons
leur montrer par exemple que les faits perpétrés à
l'aide de la haute technologie laissent toujours, par nature, plus de traces
que ceux commis sans haute technologie. Les responsables européens
ont ici besoin d'être rassurés et informés. La seconde
hypothèse, beaucoup plus sombre, est celle de quelques technocrates
coupés de la société civile et qui pensent que cette
dernière, à l'aube du XXIe siècle, a besoin de davantage
d'ordre, ou, dans un langage moins agressif, de "régulation". La
démocratie est fragile et l'ère numérique pourrait
lui être fatale si nous ne sommes pas extrêmement vigilants.
Qui peut assurer que le monde du roman "1984" n'est pas
déjà
là et que nous ne devons pas faire marche arrière sur des
questions comme les traces GSM ou la monétique ?
Les
nominés aux "Big Brother Awards France"
2000/12/11
La liste des nominés aux "Big
Brother Awards France" 2000, qui seront remis le 16 décembre,
a été publiée.
On note la présence du Ministère de l'Intérieur
(fichier STIC), mais aussi, plus surprenant, de l'INRIA (mise au point
de techniques de vidéosurveillance). Le Parlement est nominé
pour le Prix Spécial en raison de son "incapacité
lancinante
(...) à se doter de contre-pouvoirs puissants et efficaces pour
faire face à la montée du fichage".
Pour la "Palme Voltaire" de la vigilance, sont nominés notamment
le gérant de l'hébergeur indépendant Altern et
l'association
IRIS.
Extraits :
"[Nominations dans la catégorie] ENTREPRISE
la plus intrusive :
. FRANCE TELECOM
Pour sa capacité à traiter des fichiers
nominatifs les plus variés et les plus intrusifs (des
fichiers du téléphone à la
localisation des GSM), qui représente
potentiellement
un danger lorsque cette capacité est concentrée au sein
d'une seule entreprise, semi-publique d'ailleurs dans ses
activités
les plus lucratives. Négligence manifeste
à sécuriser avec vigueur les données personnelles
traitées sur internet.
. SAGEM MORPHO (Ex MORPHO SYSTEMS)
Leader des bases de données policières
et du traitement de signes biométriques personnels
(portraits
robots, empreintes digitales): systèmes AFR (Automatic Fingerprint
recognition systems) & AFIS (Automated Fingerprint Identification
system).
Ces outils "gèrent plus de 100 millions de données
d'identification de personnes dans le monde"
(source interne) et fournissent de nombreux services
de police dans le monde, dont certains pays "pauvres" en protection
des données privées (pas ou
très peu de protection par la loi, possible
détournement
de ces systèmes pour usage politique).
. SONACOTRA / Fichiers d'étrangers
illégaux
Cet organisme privé qui
gère des logements sociaux pour les travailleurs
étrangers,
suite a une affaire en Rhone-Alpes
(février 2000, révélé par Libération),
a pris l'habitude d'intégrer des mentions
illégales dans ses fichiers, qui sont transmis
aux policiers alors que rien ne lui oblige, une pratique qu'a reconnue
l'organisme devant la justice (mars 2000)."
www.geocities.com/openpgp
est la nouvelle adresse de ce site
2000/12/09
"OpenPGP en français" continue sa mutation et change d'adresse
pour www.geocities.com/openpgp.
Nous vous prions de nous excuser pour les quelques erreurs 404 (page manquante)
que vous pourrez rencontrer dans les jours qui viennent, le temps que le
site se mette en place.
"PGP en français" est devenu "OpenPGP en
français"
fin novembre 2000 afin de s'intéresser au standard OpenPGP en
général,
c'est-à-dire à la fois à PGP et à GnuPG.
Une
version expérimentale de GPG win32 compatible PGP
2.6.3i
2000/12/06
Une version expérimentale de GnuPG pour Windows contenant
l'algorithme
IDEA est disponible : GPG
for Win32. Les sources fournies sont compilables avec l'outil Cygwin.
La
volonté du gouvernement de libéraliser totalement la cryptologie
est confirmée par le Ministre de l'Economie
2000/12/06
Selon le quotidien Libération,
M. Laurent Fabius, Ministre de l'Economie, a confirmé la volonté
du gouvernement de libéraliser totalement la cryptologie en 2001.
Voir aussi le site du Ministère
de l'Economie.
Extraits :
"La cryptologie sera libéralisée totalement
l'année prochaine à l'occasion du passage au Parlement de
la loi sur la société de l'information (LSI), a
confirmé
hier le ministre de l'Economie Laurent Fabius lors d'une visite à
l'Echangeur, un centre de veille et de formation sur le réseau.
(...)
Laurent Fabius a aussi annoncé que les
décrets
d'application de la loi sur la signature électronique donnant la
même valeur au paraphe digital qu'au seing manuel, votée en
mars, seraient publiés «avant la fin de l'année».
"
M-o-o-t
: encore un projet anti-RIP
2000/12/05
M-o-o-t est un nouveau projet
destiné à permettre aux citoyens britanniques de communiquer
et de stocker des informations sans avoir à s'inquiéter du
RIP Act.
Extraits :
"m-o-o-t uses ephemeral keys for forward secrecy against
interception, uses fixed data sizes, random padding and encrypted headers
to foil traffic analysis, boots and runs a dedicated user program suite
on it's own operating system from a verifiable CD using no local storage
to prevent any other executable code (trojans, backdoors etc) getting in
and to prevent attacks based on seizure of computers, and uses deniable
steganography to store data split between data havens."
Carnivore
: des commentaires indépendants sur le rapport officiel
IITRI
2000/12/05
Matt Blaze et plusieurs autres cryptographes mettent en ligne des commentaires
sur le rapport officiel remis par l'IITRI au sujet de Carnivore.
Windoze
Privacy Tray 0.0.3 est disponible
2000/12/04
WinPT 0.0.3
pour GnuPG (Windows 9x/NT/2000) est disponible en version "release".
Cryptography
Publishing Project : des chercheurs du MIT décident d'accelérer
l'exportation de cryptographie
2000/12/03
Lancement du Cryptography
Publishing
Project, par des chercheurs du MIT. Le "Cryptography Publishing Project"
consiste à rendre les logiciels de cryptographie "open source" librement
disponibles quand il est difficile d'obtenir ce logiciel depuis son auteur
original. Le premier logiciel a être publié est le MIT
Kerberos V5.
A noter que le site web pointe les difficultés
que rencontrent les chercheurs du MIT pour exporter librement des logiciels
de cryptographie malgré la nouvelle réglementation
supposée
libérale des Etats-Unis en la matière.
OpenBSD
2.8
2000/12/01
OpenBSD 2.8 est disponible.
Parmi les nouveautés on note le support des Apple iMac et G3,
G4 et G4 "Cube", et l'amélioration des pages de documentation, "man",
FAQ, etc.
Deuxième
bug de sécurité en deux mois pour GnuPG
2000/12/01
Un bug de sécurité touche toutes les versions de GnuPG.
Il concerne les signatures détachées.
Un patch réparant le bug est disponible
pour le code-source 1.0.4. De nouvelles versions devraient être
disponibles
bientôt, notamment un binaire pour Windows.
Voir l'analyse rapide de Michel Bouissou
sur la liste "open-crypto".
Le 13 octobre dernier, un premier problème, lié
aussi aux signatures, avait déjà été
repéré
dans GnuPG.
Extraits :
"It has been pointed out that there is another bug
in the signature verification code of GnuPG.
*
This can easily lead to false positives *
All versions of GnuPG released before today are
vulnerable!
To check a detached singature you normally do
this:
gpg --verify foo.sig foo.txt
The problem here is that someone may replace foo.sig
with a standard signature containing some arbitrary signed text and its
signature,
and then modify foo.txt - GnuPG does not detect this
- Ooops."
Création
d'Open-Crypto, une liste de discussion francophone sur la
cryptographie
2000/11/29
Création de la liste de discussion francophone open-crypto@sympa.i-quake.com,
consacrée aux "Applications libres de cryptographie et réseaux
décentralisés", notamment PGP et Freenet.
Extraits de la charte :
"Cette liste francophone est destinée à
la discussion concernant les logiciels libres de cryptographie, ainsi que
les systèmes de réseaux décentralisés faisant
usage de cryptographie et permettant la confidentialité ou l'anonymat
des échanges. Outre les logiciels "libres" stricto sensu (i.e. en
GPL), les autres logiciels largement disponibles et généralement
gratuits pour l'utilisation privée (comme PGP) entrent également
dans le cadre de cette liste."
Freenet
0.35
2000/11/28
Freenet 0.35 est disponible.
A noter également un article sur le site web O'Reilly,
qui s'est
risqué à dresser une synthèse du contenu actuel
de Freenet, malgré la difficulté à répertorier
celui-ci et le peu de fichiers y figurant pour l'instant.
Extraits de l'annonce :
"Many bug-fixes were made, including a fix to a serious
bug which was preventing node-discovery from taking place correctly. Please
upgrade your node ASAP."
Un
concours pour les icônes de WinPT (GnuPG)
2000/11/28
Un concours
est lancé pour la création de graphismes et d'icônes
représentant le chiffrement / déchiffrement dans Windoze
Privacy Tray. WinPT est actuellement le seul outil libre permettant d'utiliser
GnuPG de façon intuitive dans Windows 9x/NT/2000.
"The
Design and Verification of a Cryptographic Security Architecture",
la thèse de Peter Gutmann, est consultable en
ligne
2000/11/28
La thèse de doctorat du cryptographe Peter Gutmann, "The
Design and Verification of a Cryptographic Security
Architecture", est consultable
en ligne sur le site néo-zélandais de l'auteur.
Extraits :
"The main part of the thesis, Chapters 1-5, is available
here. These chapters look at an alternative way of building what people
have been trying to do with Orange Book B3/A1-type systems, but in a way
which is feasible and practical for an open source system where you don't
have tens of millions of dollars and 5-10 years available to produce a
product.
The chapters are The software architecture, wherein
the cryptlib software architecture is presented, The security architecture,
wherein the cryptlib security architecture is presented, The kernel
implementation,
wherein the implementation details of the cryptlib security kernel are
examined, Verification techniques, wherein existing methods for building
secure systems are examined and found wanting, and Verification of the
cryptlib kernel, wherein a new method for building a secure system is
presented."
WinPT
0.0.3pre2, un "GPGtray" libre pour Windows
2000/11/26
Une version de test WinPT
0.0.3pre2 est disponible. Windoze Privacy Tray est une sorte de "GPGtray"
qui permet d'utiliser GnuPG Windows par la barre d'outils (tray).
Attention : WinPT 0.0.3pre2 est une version de
développement
qui fonctionnera par défaut avec une installation de type c:\gnupg
et c:\winpt, et l'ajout des lignes set GPGPATH=c:\gnupg et set
WINPTPATH=c:\winpt
dans l'autoexec.bat.
Nouveautés :
"- Program and GnuPG location can be control with
an enviroment variable.
- Remove standard comment.
- Multiple recipients for encrypting should work
now.
- Config file support.
- Multiple file encryption should now work.
- Win32 Registry access for storing options.
- Encryption and signing should now work.
- New config file style
- Basic keyserver access ( receive ) "
Une
version de développement GnuPG 1.0.4b
2000/11/25
GnuPG 1.0.4b est disponible pour Linux/Unix
et Windows.
GnuPGshell
0.96, une nouvelle interface GPG pour Windows
2000/11/25
Une nouvelle interface graphique est disponible pour GnuPG sous Windows
95/98 : GnuPGshell 0.96.
A noter que la licence n'est pas GPL, mais restrictive
(freeware), et que les sources de cette version ne sont pas fournies.
Le
Président de l'Assemblée nationale se prononce contre la
"traçabilité" des internautes
2000/11/25
Le site web Bug Brother, qui
répertorie quotidiennement les informations liées aux
problèmes
de vie privée informatique, a retrouvé un discours
du Président de l'Assemblée nationale, M. Raymond Forni,
datant d'avril 2000, et dans lequel celui-ci se prononce contre la
"traçabilité"
des internautes (Ouverture du colloque « L'anonymat dans la
société
de l'inform@tion : fichage et démocratie » , 26/04/2000).
En 1999, alors simple député et membre
de la CNIL, M. Forni avait déjà fait des déclarations
remarquées sur l'informatisation de la société dans
le documentaire
"La fin des secrets", consacré notamment
à PGP et diffusé le 10/10/1999 sur la chaîne de
télévision
Arte.
Extraits :
"Enfin, je me suis interrogé sur le secours
que pourraient apporter, à la liberté des individus
vis-à-vis
de la société informatique, les récents textes sur
la cryptologie (...).
Jusqu'à une époque récente, le
cryptage était un privilège de l'Etat, en particulier dans
des situations que je vous laisse deviner. Des décrets du 24
février
1998, des arrêtés du 13 mars 1998, des décrets et des
arrêtés du 17 mars 1999 autorisent dorénavant les
particuliers
(personnes physiques ou groupements) à recourir à ce
procédé.
Est-ce là le remède aux dangers de la société
informatique ? C'est au moins une piste.
Ces dangers, vous le savez comme moi, votre colloque
en est la preuve, sont, à titre principal, l'absence d'anonymat,
le défaut de confidentialité du message (privé ou
commercial) ; enfin, et c'est peut-être le plus grave à mes
yeux, le repérage ; ce que l'on appelle d'un mot en forme de barbarisme
la « traçabilité ». Si cette dernière
est nécessaire pour les aliments, je doute qu'il doive en aller
de même pour les comportements humains, à plus forte raison
si on veut a priori les tenir pour innocents.
Or, si une conversation, une consultation de site,
un achat ne peuvent à eux seuls définir un individu, le profiler,
comme on dit, leur rassemblement le permet. "
Le
rapport sur l'examen technique de Carnivore est
disponible
2000/11/22
Le rapport des
experts de l'IT Research Institute et de l'Illinois Institute of Technology
Chicago-Kent College of Law (IITRI), chargés par le FBI d'examiner
Carnivore, son système d'écoute des communications Internet,
a été mis en ligne sur le site du Département de la
Justice américain.
A noter que l'IITRI avait accepté de pratiquer cette expertise
bien que les plus grandes universités américaines aient tour
à tour refusé de se plier aux conditions d'expertises
imposées
par le FBI.
Voir notre brève du 28
septembre
Sur Carnivore, voir aussi le site de l'EPIC.
"PGP
en français" devient "OpenPGP en
français"
2000/11/22
Ce site change de nom : "PGP en français" devient "OpenPGP
en français".
"Paranoia",
un nouveau système de partage de fichiers sécurisé,
prévoit une protection contre la loi anglaise
RIP
2000/11/18
Un nouveau système de partage de fichiers sécurisé,
Paranoia,
est disponible.
A noter que Paranoia prévoit dans sa future version une protection
contre le risque de recouvrement forcé des clefs privées
imposé au Royaume-Uni par la loi RIP.
Extraits :
"Paranoia allows groups of people to securely chat and
exchange information (file sharing). Because Paranoia is used between known,
or at least, partially trusted users, it isn't meant to be used in the
same way as (for example) Gnutella. Paranoia is more like a real-time
Yahoo/Excite/whoever
club than it is like Gnutella/scour/whatever. You can't just boot Paranoia,
get onto the net and start leeching files. However, what you can do is
share files amongst people you know.
(...)
Advanced:
Anti-RIP support for the UK (The private keys of both
ends of the connection are required to decrypt a session sniffed from the
network. So you're safe if one party is outside the UK/[insert police state
of choice here]). "
Les
premiers "Big Brother Awards France" essaieront de sensibiliser l'opinion
française aux questions de surveillance
informatique
2000/11/17
A l'initiative de l'ONG anglaise Privacy International, les premiers
"Big
Brother Awards" pour la France seront remis à Paris le 16
décembre
prochain.
Peut être nominée à un Big Brother Award toute
personne ou institution s'étant distinguée par son
mépris ou sa négligence envers le droit fondamental à
la protection de la sphère privée ou par sa promotion de
la surveillance et du contrôle de personnes ou de groupes de personnes.
Cette opération a déjà été organisée
au Royaume-Uni, aux Etats-Unis, en Autriche, en Suisse et en Allemagne.
Une
interview de Ian Clarke, le créateur de Freenet
2000/11/17
Ian Clarke, le créateur de Freenet, a répondu à
une interview sur le
site web de l'éditeur de livres informatiques O'Reilly.
Extraits :
"One of the initial applications for Freenet that
occurred to me was to replace the Domain Name System, because Freenet
can attach a piece of information to an identifier. So the identifier might
be the name of the computer and the piece of information might be the
computer's
IP address. So one of the opportunities will be for Freenet to replace
this mechanism."
Bruce
Schneier remet en cause la signature digitale comme substitut à
la signature traditionnelle
2000/11/16
Dans un article intitulé "Why Digital Signatures Are Not
Signatures" et publié dans le numéro de Novembre de son
Crypto-Gram,
le spécialiste de la sécurité informatique Bruce Schneier
remet en cause la possibilité d'utiliser la signature digitale en
lieu et place des signatures traditionnelles.
Extraits :
"The mathematics of cryptography, no matter how strong,
cannot bridge the gap between me and my computer. Because the computer
is not trusted, I cannot rely on it to show me what it is doing or do what
I tell it to."
Des
versions alpha (test) des futurs GnuPG sont en ligne pour les
développeurs
2000/11/16
Des versions alpha
des futurs GnuPG ont été mises en ligne pour test (pour
développement
seulement).
Traité
cybercrime : le Conseil de l'Europe affirme qu'il va tenir compte de
l'opposition
des ONG au projet de Traité
2000/11/14
Selon l'agence de presse Reuters, un porte-parole du Conseil de l'Europe
a déclaré que le projet de Traité sur la
cybercriminalité
allait être réécrit pour tenir compte de la vague de
protestations des organisations non-gouvernementales.
Voir l'article de Transfert.net : "Le
traité anti-criminalité serait-il hors la loi ?"
Voir le dossier de l'association
IRIS
BkGnuPG
1.0.0 pour Becky! est disponible
2000/11/10
La version 1.0.0 de BkGnuPG,
le plugin e-mail GnuPG pour Becky!, est disponible.
WinPT,
un "GnuPG tray" pour Windows
2000/11/04
Timo Schulz met en ligne "Windoze Privacy Tray" version 0.0.2 beta
(sous licence GNU GPL). WinPT
est la version GnuPG du "PGPtray" et permet de chiffrer / déchiffrer,
signer / vérifier, importer / exporter des clefs publiques depuis
et vers le presse-papiers de Windows 95/98.
Attention, ce n'est encore qu'une version beta (WinPT.exe doit être
installé dans C:\windows et GnuPG.exe doit être dans C:\gnupg).
PGP
Security annonce PGPwireless pour PalmOS, Windows CE et
EPOC-Psion
2000/11/04
PGP Security Inc. annonce la sortie d'une version PGP pour les ordinateurs
de poche et les téléphones sans fil : PGPwireless.
Une version PalmOS sortira en décembre, suivie de versions Windows
CE et EPOC (Psion) début 2001. Le prix de vente sera de $79 (80
euros, 450 FF). Aucune version freeware n'est annoncée.
A noter que le portage de PGP sur des ordinateurs de
poche et des téléphones sans fil nécessitera de la
part de PGP Security une vigilance particulière au niveau du choix
des protocoles et des fonctionnalités autorisées, afin de
ne pas compromettre la sécurité des autres ordinateurs utilisant
PGP.
Voir aussi OpenPGP
for Palm (licence libre) et PGP
for EPOC (freeware).
Extrait du communiqué de presse :
"PGPwireless for PalmOS provides 256 bit strength
encryption to secure data held and transferred via a PDA. With just a click
of a button, any piece of sensitive data can be encrypted and decrypted
in a matter of seconds. Additionally, with wireless Palms, key transfer
has never been easier, users have the ability to ?beam? their key between
devices. Because PGP software compresses files, they are smaller
than even the original file and do not take up additional memory on the
PDA. The product has been designed to work with the user?s desktop,
incorporating
?syncing? technology to transfer updated, encrypted files between
devices."
Freenet
0.3.4 contient une interface web
2000/11/02
La version 0.3.4 de Freenet
est disponible. Cette version inclut une interface web qui permet de
récupérer
et d'insérer des clefs Freenet (des fichiers) via le navigateur
web (Netscape ou Internet Explorer).
Voir capture
d'écran.
Voir forum
d'aide en français.
La
position des candidats à l'élection présidentielle
américaine sur la liberté de chiffrement
2000/11/01
Les candidats à l'élection présidentielle
américaine
ont été interrogés sur la liberté de chiffrement
("What's your view on the use of encryption technology
for protecting the privacy of citizens and companies? Do you favor legislation
substantively easing export restrictions for strong encryption technology
or use of encryption technology on the Internet?").
Position
de M. Buchanan - Position
de M. Bush - Position
de M. Gore - Position
de M. Nader
La
Commission européenne est en train d'enquêter sur la
légalité
de la loi RIP anglaise
2000/11/01
Selon le webzine The
Register, la Commission européenne est en train d'enquêter
sur la légalité de la loi RIP anglaise.
Voir notre brève
du 28 juillet 2000
E4M
version 2.02 est disponible pour Windows -
E4M
pour Linux est en préparation
2000/10/31
La version 2.02 de E4M (Encryption
for the Masses) est disponible. E4M est un logiciel de chiffrement du disque
dur pour Windows, comme Scramdisk. Un support beta pour WinME est inclus.
La licence est libre (mais pas GPL).
Une version alpha pour Linux est en préparation (le site en
propose l'envoi par e-mail pour test sur demande).
Nouveautés :
- Beta Support for Windows ME.
- A new volume test dialog has been added which allows
ciphers to be tested either individually with user specified key and plaintext
parameters, or a set of self tests can be run against all the ciphers to
compare the results to known test vectors.
- The never save history options are now all working
correctly, this allows users to prevent history (such as what volumes have
been mounted) from being saved.
- New command line parameters have been added to volmount
to enhance privacy, they are a new quiet mode which disables most message
displays, and a new password prompt option which prompts users for volume
passwords without showing the main mount screen.
- Volformat also now supports command line parameters,
the first command line parameter to be added to volformat is the never
save history parameter, later more command line parameters will be included
to support volume creation.
- A help command line parameter which shows command
line syntax help has been added to both volformat and volmount.
Une
version BkGnuPG 0.32 (avec manuel anglais)
2000/10/31
BkGnuPG,
le plugin GnuPG du logiciel e-mail Becky! pour Windows, est disponible
en version 0.32. Un manuel
anglais et une page d'astuces
ont aussi été mis en ligne.
L'utilisation
d'OpenPGP dans Windows ME en question
2000/10/30
Alors que Windows ME (Millennium Edition) publié en septembre
dernier, est préinstallé sur les PC neufs, plusieurs
questions se posent quant à la possibilité d'utiliser PGP
ou GnuPG de façon satisfaisante sur ce système d'exploitation.
D'une part, NAI a clairement indiqué que PGP
6.5.8 et 7.0 n'étaient pas compatibles avec WinME, même
si certains ont réussi à utiliser les fonctions de base.
En outre, les versions ligne de commande de PGP et toutes les versions
de GnuPG ne fonctionnent pas du tout sous Windows ME en raison de la
suppression
du mode MS-DOS qui existait dans Windows 95/98.
D'autre part, Microsoft a confirmé qu'une intrusion
informatique a affecté son réseau interne de manière
continue durant un mois, et permis l'accès au moins en lecture-seule
au code-source de ses logiciels (Windows, Office). Le quotidien Le Monde
a publié l'information comme titre de Une (voir
PDF)
dans son édition datée 29 octobre, en écrivant : "Des
pirates au coeur de Microsoft". Certains experts s'interrogent
sur le point de savoir si les pirates ont pu corrompre le code-source du
récent Windows ME ou de ses correctifs. Rappelons que l'utilisation
d'un logiciel de cryptographie exige une confiance minimale dans le
système
d'exploitation utilisé.
La
distribution française Linux-Mandrake 7.2 diffuse GnuPG 1.0.4 dans
le monde entier
2000/10/28
Pour la première fois, la distribution française
Linux-Mandrake
contient dans sa version standard GnuPG.
La diffusion mondiale de GnuPG via une distribution de
Linux conçue en France confirme la fin effective des restrictions
sur la circulation des logiciels de cryptographie, tant aux USA qu'en
France.
Distribution Mandrake
7.2 ISO (CD-ROM)
gnupg-1.0.4-1mdk.i586.rpm
dans la Mandrake 7.2
Version
package mise à jour GnuPG 1.0.4-2mdk.i586
Traité
sur la cybercriminalité : IRIS dénonce un projet
"extrêmement
dangereux pour les libertés individuelles"
2000/10/26
L'association IRIS, membre français de l'ONG internationale
GILC, lance une campagne contre le projet de convention du Conseil de l'Europe
sur la cybercriminalité. IRIS met en ligne un dossier
complet sur ce projet, et appelle les organisations basées en
France à signer à leur tour la lettre de GILC
dénonçant
le
texte du projet.
Voir aussi : www.gilc.org site
du jour du Monde le 21 octobre
Extraits de l'appel :
"Pourquoi signer cette lettre :
Seule une mobilisation importante pourrait ralentir
le processus, alors que la finalisation du projet est prévue pour
fin décembre 2000. Il est nécessaire que le texte du projet
de traité soit révisé en profondeur. (...)
Ce projet, dans son état actuel, est
extrêmement
dangereux pour les libertés individuelles et les libertés
publiques. Adopté par les 41 pays du Conseil de l'Europe, avec appel
à ratification par les pays tiers, il deviendrait un instrument
répressif international inédit, au service des pires dictatures
comme des toujours fragiles démocraties.
Nous vous engageons une fois de plus à signer
cette lettre : mailto:iris-contact@iris.sgdg.org?Subject=signature-lettre-cybercriminalite
En précisant bien le nom de l'organisation signataire et l'adresse
de son site Web ou une adresse électronique de contact en l'absence
de site.
Les signatures collectées par IRIS seront
transmises
au gouvernement français (Premier ministre, Intérieur et
Justice), avec copie aux groupes parlementaires."
Une
interview de Vincent Rijmen, un des concepteurs de Rijndael
(AES)
2000/10/26
Le site web LinuxSecurity publie une interview
deVincent Rijmen, un des deux concepteurs de l'algorithme Rijndael, choisi
pour être le standard AES américain.
Une
démonstration de Carnivore
2000/10/25
Un témoignage anonyme publié par le site Cryptome
décrit
une démonstration
publique de Carnivore effectuée par le FBI.
A noter que Carnivore ne semble fonctionner que sous
Windows NT/2000.
KDE
2.0 : KMail supporte GnuPG
2000/10/25
La nouvelle version KDE 2.0 (Linux)
intègre le client de courrier électronique KMail
1.1.99 qui supporte GnuPG.
Un
article sur Freenet dans Le Monde
2000/10/24
Le quotidien Le Monde publie dans son édition datée du
25 octobre 2000 un nouvel article favorable à Freenet sous le titre
"Freenet,
pour un nouveau Web en liberté".
En mai dernier, un premier article avait été
publié sous le titre "Un nouveau sous-réseau crypté
et décentralisé garantit la liberté d'expression"
(27/05/2000).
Extraits :
"C'est au nom de la liberté que Clarke a voulu
donner le jour à Freenet. Le protocole imaginé par le jeune
Ecossais permet en effet la diffusion, la multiplication et la
récupération
de n'importe quel fichier, par n'importe qui, n'importe où. Mieux
: nulle part, à aucun moment, une quelconque autorité ne
peut bloquer une information circulant sur ce réseau. Quant au
système
de propagation de l'information, il rend inopérante toute tentative
de traçage des internautes. « Puisque l'information est
successivement relayée par de très nombreux ordinateurs
»,
précise Jean-Sébastien Lebacq. En plus d'une mise en contact
directe des particuliers, dans un système hors de tout contrôle,
Freenet renoue donc avec l'un des mythes fondateurs de la Toile : l'anonymat.
Pour le meilleur, mais aussi, Ian Clarke le confesse, pour le pire.
Mais Freenet ne peut exister sans popularité.
L'efficacité du réseau dépendra du nombre de noeuds
qui le constituent, donc du nombre de ses utilisateurs. Il faudra que ces
derniers acceptent de partager leurs ressources."
Voir la page
française
de Freenet.
Unixmail
pour Windows avec plugin GnuPG
2000/10/24
Unixmail for Windows
est un ensemble d'outils e-mail pour Windows. Il inclut les versions Win32
de Mutt, Fetchmail et GnuPG. Perl et Cygwin sont nécessaires.
Unixmail est surtout destiné aux unixiens qui
sont forcés à utiliser le système Windows 2000 ou
NT.
GnuPG
1.0.4-1 pour Windows
2000/10/23
GnuPG 1.0.4-1 pour Windows est disponible (version française).
Cette version répare un bug
grave et il est fortement conseillé de l'installer. Autre
nouveauté
: l'algorithme Rijndael (AES) est inclus.
ftp://ftp.gnupg.org/pub/gcrypt/binary/gnupg-w32-1.0.4-1.zip
(archive)
ftp://ftp.gnupg.org/pub/gcrypt/binary/gnupg-w32-1.0.4-1.zip.sig
(signature)
Voir notre page GnuPG pour
Windows.
ZKS
publie Freedom sous licence logiciel libre
2000/10/23
La société canadienne Zero-Knowledge Systems (ZKS) publie
les sources de son logiciel d'anonymat Freedom
2.0 beta 1 (Linux) sous licence "logiciel libre" (licence Mozilla).
Freedom 2.0 permet d'accéder au réseau d'anonymat de ZKS.
A noter que si le client est libre, l'utilisation de ses
fonctionnalités
d'anonymat requiert l'achat d'un numéro de série pour
accéder au "Freedom Network" de ZKS.
Freedom 2.0 beta est disponible pour l'environnement
graphique Gnome et compatible avec Redhat 6.1/7, Mandrake 7.1, Debian 2.2,
etc.
Package
RPM Mandrake GnuPG 1.0.4
2000/10/22
Un paquetage (package) Linux RPM "gnupg-1.0.4-2mdk.i586.rpm" est disponible
dans le répertoire de mise à jour de la version Linux-Mandrake
7.1.
Voir : ftp://ftp.free.fr/mirrors/ftp.mandrake-linux.com/Mandrake/updates/7.1/RPMS
mIRC.Crypt,
un programme de chiffrement pour l'IRC
2000/10/21
mIRC.Crypt 1.0 Beta 10
est disponible (pour Windows). Le programme propose un système de
chiffrement des canaux IRC pour mIRC et PGP.
BkGnuPG
0.31 : Becky! 2 est le premier logiciel e-mail Windows à posséder
un plugin GnuPG win32
2000/10/19
La version anglaise de BkGnuPG
0.31 est disponible. BkGnuPG est un plugin e-mail écrit par
Yasuhiro ARAKAWA pour le logiciel de courrier électronique Becky!
2 beta (Windows). Le chiffrement / déchiffrement et la signature
/ vérification sont possibles et gèrent les caractères
accentués français (voir notre page
GnuPG pour le paramétrage français).
Version
18.2 du Crypto Law Survey
2000/10/19
Bert-Jaap Koops publie la Version 18.2, October 2000 de son
"Crypto
Law Survey" qui fait le point sur les législations cryptographiques
dans le monde.
Mises à jour effectuées : EUROPE : European
Union (new export regulation), Netherlands (Legal Access project), Russia
(intends change), UK ("prohibition" of key escrow); AMERICAS : US (AES
selected); ASIA / OCEANIA : Malaysia (decryption orders), Singapore (decryption
order).
Scramdisk
3.02A pour Windows 2000 est disponible
2000/10/19
Scramdisk pour Windows NT et 2000 version 3.02A est disponible contre
le paiement de la somme symbolique de $20 USD (£15). L'utilisation
commerciale du logiciel est permise (comme pour la version Windows 95/98/ME).
Pour acheter Scramdisk for NT & W2k, il faut contacter par e-mail
win2000@scramdisk.com
qui précise les modalités de paiement. A noter que les achats
anonymes sont possibles.
Voir le site de Scramdisk
Voir notre page de
présentation
de Scramdisk
"PGP
en français" signe contre le projet de Convention européenne
sur la cybercriminalité
2000/10/19
Notre site signe la lettre de la GILC
au sujet du projet de Convention européenne sur la
cybercriminalité.
Voir le texte signé
Un
plugin e-mail GnuPG pour Windows (Becky!)
2000/10/18
BkGnuPG 0.30, un plugin
GnuPG japonais pour le logiciel e-mail Becky!
2 beta pour Windows 9x/NT/2000 est disponible.
Bien que les fenêtres ne s'affichent pas correctement dans un
Windows occidental, le plugin chiffre et signe parfaitement et est utilisable
après quelques tâtonnements. Le code-source est fourni
(connaissance
du japonais préférable).
Mise
à jour de sécurité : GnuPG 1.0.4
2000/10/18
Suite au bug trouvé dans la
vérifications
des signatures, une version GnuPG 1.0.4 est disponible (Unix/Linux). Il
est fortement recommandé d'installer cette mise à jour.
ftp://ftp.gnupg.org/pub/gcrypt/gnupg/gnupg-1.0.4.tar.gz
ftp://ftp.gnupg.org/pub/gcrypt/gnupg/gnupg-1.0.4.tar.gz.sig
Nouveautés :
- Fixed a serious bug which could lead to false signature
verification results when more than one signature is fed to gpg.
This is the primary reason for releasing this version.
- New utility gpgv which is a stripped down version of
gpg to be used to verify signatures against a list of trusted keys.
- Rijndael (AES) is now supported and listed with top
preference.
Les
ONG condamnent le projet de Convention européenne sur la
cybercriminalité
2000/10/17
Une vingtaine d'organisations non-gouvernementales réunies par
la GILC (Global Internet Liberty Campaign)
publient une lettre
ouverte "aux membres du comité d'experts sur la criminalité
dans le cyberespace, du comité des ministres et de l'Assemblée
parlementaire du Conseil de l'Europe" dans laquelle elles dénoncent
avec virulence le Projet de Convention
du Conseil de l'Europe sur la cybercriminalité.
La liste des reproches formulés couvre une grande partie des
Libertés fondamentales.
A noter l'adoption la semaine dernière au Conseil
Européen de Biarritz d'un projet de Charte
Européenne des Droits fondamentaux dont les objectifs sont à
l'opposé de l'actuel projet de convention sur la
cybercriminalité.
Voir la copie du texte sur notre
site.
Extraits :
"Les articles 14 et 15 pourraient mener à
l'exigence
d'un accès gouvernemental aux clés de chiffrement et cela
pourrait contraindre les individus à s'incriminer eux-mêmes,
ce qui pourrait bien être incompatible avec l'article 6 de la Convention
européenne des droits de l'homme (...)
Nous nous opposons aussi en termes très vigoureux
à la manière dont ce projet a été
développé.
Les organisations de police et de puissants intérêts privés
agissant en dehors des règles démocratiques de contrôle
ont cherché à utiliser un processus secret pour établir
des règles qui auront pour effet de lier la législation.
Nous croyons que cette démarche viole les exigences de transparence
et ne convient pas à une prise de décision démocratique.
"
Le
rapport du député Paecht sur Echelon propose des moyens de
protection contre les écoutes des
communications
2000/10/15
Le rapport d'information de la Commission de la Défense nationale
et des forces armées de l'Assemblée Nationale sur "Les
systèmes de surveillance et d'interception électroniques
pouvant mettre en cause la sécurité nationale" estime
que le réseau d'écoute des communications Echelon existe
bel et bien, qu'il est performant, et qu'il peut "constituer un danger
pour les libertés publiques et individuelles". Le rapport,
résolument
offensif, se prononce en faveur d'un "principe de précaution"
visant à rendre inefficaces les écoutes des communications.
Tout en essayant de distinguer entre les écoutes judiciaires
françaises et les écoutes étrangères d'Echelon,
le rapporteur de la Commission, Arthur Paecht, propose des moyens de protection
contre les écoutes, comme le chiffrement fort au-delà de
128 bits. On notera aussi l'importance qu'il accorde à la protection
contre les intrusions informatiques.
Le rapport contient une présentation claire et
détaillée de la cryptologie, qui va jusqu'à indiquer
le nom du récent gagnant de l'AES, l'algorithme Rijndael.
Dans la perspective de la libéralisation totale du chiffrement
en France, l'accès des autorités judiciaires françaises
à la copie en clair du message chiffré est
préférée
à un séquestre de clefs et serait laissé à
l'appréciation de l'auteur du chiffrement, avec de possibles sanctions
pénales pour refus de coopérer.
Voir notre page d'extraits choisisdu
rapport.
Voir le rapport
intégral.
Extrait :
"Votre Rapporteur est ainsi convaincu de la
vulnérabilité
des systèmes d'information et de
communication (SIC) face aux écoutes et aux
intrusions directes qui ne pourront que croître. La question fondamentale
n'est donc plus celle de l'illégalité des écoutes
ni de leur détournement, même si les problèmes de fond
ne sont pas pour autant réglés (prédominance de certains
Etats qui utilisent un système à leur profit, atteintes graves
aux droits fondamentaux des individus, voire au fonctionnement régulier
des institutions). "
Freenet
0.3.3
2000/10/14
Freenet 0.3.3 est disponible.
Pour une aide, voir le forum
français.
Un
bug affecte toutes les versions de GnuPG inférieures à
1.0.3b
2000/10/13
Une version GnuPG 1.0.3b (Unix) est disponible. Elle corrige un bug
grave dans la vérification des signatures présent dans toutes
les versions jusqu'à 1.0.3 incluse.
ftp://ftp.gnupg.org/pub/gcrypt/devel/gnupg-1.0.3b.tar.gz
ftp://ftp.gnupg.org/pub/gcrypt/devel/gnupg-1.0.3b.tar.gz.sig
Voir l'annonce de Security
Focus.
Voir la liste
de discussion de GnuPG.
Extrait de l'annonce :
"If you have more than one cleartext signature in
a file (or pipe that to gpg), gpg does not compare each signature but flags
each document as good or bad depending on the first document in the
file.
This is a very serious bug in gpg's verification function.
(...)
Some background: To check cleartext signatures, GnuPG
uses the same dearmoring code as everywhere and this code works just like
a filter which decoded the base-64 armor and feeds it into the normal
processing.
When it comes to cleartext signatures, the armor code
fakes 2 packet: The first one is a so called one-pass
packet, which tells the further processing stuff how the plaintext should
be hashed and a literal data packet which contains the signed material.
This way it is not easy to detect the cleartext signed part which is needed
to reset the internal state of gpg. The new solution (which is something
I should have done from the beginning) is to create a new control packet,
which is taken out of the special private packet number space and use this
to transfer the meta information about the cleartext signature to the
verification
engine. To avoid problems with control packets send to gpg over the
normal input, the faked packets are now tagged with a random string during
creation and the packet parser code accepts this control packet only when
it contains this tag.
This problem has been in GnuPG since the beginning
but Jim's seems to be the first one who noiced that. We need better
auditing folks! This bug is just one more prove that "given enough eyeballs
all bugs are shallow" can not be held true when it comes to the
security
bugs; well, the bugs are probably found faster - but
most times only be coincedence."
Le
rapport parlementaire sur Echelon est disponible en
ligne
2000/10/13
Le rapport d'information de la Commission de la Défense Nationale
et des forces armées sur "Les systèmes de surveillance
et d'interception électroniques pouvant mettre en cause la
sécurité
nationale" est disponible
en ligne (au format HTML).
Voir aussi les articles de 01net
et ZDNet.fr.
Le
NIST publie les spécifications de SHA-256, SHA-384, et
SHA-512
2000/10/13
Le NIST publie les spécifications
des algorithmes de hachages SHA-256, SHA-384, et SHA-512, qui seront
utilisables
avec l'AES.
aTrans
et aCrypt sont disponibles en version Rijndael
2000/10/12
La société belge Datarescue
publie une nouvelle version (Windows) des logiciels aTrans et aCrypt,
intégrant
l'algorithme Rijndael inventé par ses compatriotes Joan Daemen et
Vincent Rijmen et choisi comme AES par l'organisme américain de
standardisation NIST (voir une photo
des deux cryptographes).
aTrans est un logiciel qui permet de multiples connexions
sûres, bidirectionnelles, sur des réseaux IP. aCrypt permet
la création d'archives chiffrées et comprimées
auto-extractibles.
La licence précise que le logiciel est "d'utilisation libre" (sans
pour autant adopter la GPL). Les codes-sources sont disponibles.
ftp://ftp.datarescue.be/pub/acrypt/acrypt.exe
ftp://ftp.datarescue.be/pub/acrypt/atrans.zip
Mise
à jour du "draft" définissant le standard
OpenPGP
2000/10/11
Le "draft" RFC2440
définissant le standard OpenPGP a été mis à
jour. Il tient compte du choix de Rijndael comme l'AES.
Elections
à l'ICANN : l'Europe a élu comme représentant un membre
du Chaos Computer Club
2000/10/11
Les élections à la tête de l'ICANN
(Internet Corporation for Assigned Names and Numbers), qui ont permis pour
la première fois aux internautes du monde entier de choisir librement
leur représentant dans l'organisme de gestion des noms de domaine
d'Internet, ont amené l'élection pour la région Europe
d'Andy Mueller-Maguhn,
le porte-parole du Chaos Computer Club allemand (CCC).
Le CCC est un des plus anciens groupes de "hackers" (au
sens noble du terme : des techniciens militants pour la liberté
de l'information).
Une
version expérimentale Rijndael (AES) for GnuPG
2000/10/06
Un module
expérimental contenant Rijndael (AES) est disponible pour GnuPG
1.0 (Unix seulement). Sont inclus Rijndael (128 bits), Rijndael192 et
Rijndael256.
Il s'agit d'une version de test qu'il est déconseillé d'utiliser
pour des applications critiques.
Le source doit être compilé comme indiqué
dans le fichier, puis copié dans le répertoire ~/.gnupg/
et chargé en indiquant dans le fichier "options" :
load-extension rijndael
Carnivore
: les premiers documents déclassifiés montrent une "suite"
logicielle complète pour l'écoute des communications
Internet
2000/10/06
Selon le site web TheRegister,
qui a étudié les premiers documents déclassifiés
que vient d'obtenir en justice l'EPIC,
Carnivore se présente comme un système logiciel complet
d'écoute
et de tri des communications Internet, interceptant non seulement les e-mails
mais aussi pouvant reconstituer les pages web visionnées.
Une
étude sur le firewall de PGP 7.0
2000/10/06
Le site web Security Portal publie une étude du firewall
de PGP 7.0 Desktop Security. Plusieurs inconvénients sont
signalés,
dont la complexité du logiciel.
A noter que l'étude fait référence
à la lettre ouverte publiée par "PGP en français"
et Michel Bouissou le 19 septembre dernier : "Qu'est
devenu PGP ?".
Extraits :
"Complexity: Originally (v2.6) PGP was small - sources
were available and possible to verify. NAI has added feature after feature
over the last few years, and sources are protected. Hence there are worries
that its security effectiveness/assurance has diminished. For example,
a serious security weakness was discovered in August regarding its handling
of ADKs (additional decryption keys). (...)
Stability: PGP7 was tested on Win2000 SP1 and NT4
SP5. The NT4 system sporadically "hung," and PGP seems to be the culprit.
Backing out to v6.5.8 returns life to normal, so either PGP7 has a bug,
or it kicks in a bug in one of my other applications. The Win2000 system
did not exhibit this behavior. (...)
The PGP7 firewall is useful... for existing
advanced PGP users, for the corporate environment with centralized rollout
and support, for protecting NT servers, ... but not for the novice user
looking for a pure personal firewall. The instability mentioned above is
also very worrying. "
Un
article du Monde sur le choix de Rijndael pour l'AES
2000/10/05
Dans son édition datée du 5 octobre, le journal Le Monde
publie sous le titre "Un
nouvel algorithme de cryptage belge s'impose aux Etats-Unis", un article
recueillant notamment les réactions MM. Jean-Jacques Quisquater
et Jacques Stern.
L'équipe
de Cryptix publie une version libre de Rijndael-AES
2000/10/03
L'équipe de développement Cryptix publie les outils Cryptix
JCE et Cryptix 3.2, qui contiennent tous deux Rijndael-AES (la licence
n'est pas BSD, mais "public domain" ce qui permet les utilisations
commerciales).
Voir le communiqué de Cryptix : "Rijndael
is GREEN".
Rijndael
est l'AES : le nouveau standard américain de chiffrement vient
d'Europe
2000/10/02
Le NIST américain (National Institute of Standards and Technology)
a
annoncé qu'au terme de trois ans de consultation et de débat
public, il a choisi l'algorithme Rijndael (se prononce "Raïn Dol")
pour devenir l'AES (Advanced Encryption Standard), le standard officiel
américain de chiffrement destiné à remplacer le DES.
Rijndael
a été conçu par les belges Joan
Daemen et Vincent Rijmen, qui avaient aussi inventé l'algorithme
Square (utilisé dans Scramdisk).
Les quatre autres algorithmes en finale étaient
MARS, RC6, Serpent et Twofish. Ce dernier, conçu par Bruce Schneier,
avait été présenté comme favori car
américain.
Serpent, conçu entre autres par le britannique Ross Anderson,
était
souvent cité aussi. MARS et RC6 avaient eux subi des attaques
cryptanalytiques
qui avaient diminué leurs chances. Lors du premier tour de
qualification,
en 1998, 15 algorithmes avaient d'abord été retenus, dont
DFC du français Serge Vaudenay.
-
Commentaire de "PGP en français" : Le 2 octobre 2000 est une
date importante dans l'histoire de la cryptographie moderne.
D'abord, pour la première fois une consultation mondiale
et un débat public trois années durant avaient été
organisés pour choisir le meilleur algorithme de chiffrement (utilisable
à la fois pour les logiciels et les matériels, avec des clefs
de 128, 192 et 256 bits ). Ajoutons que même si officiellement la
NSA n'est pas intervenue dans le choix définitif, elle avait auparavant
déclaré qu'elle n'avait pas d'objection à faire sur
la sécurité des cinq algorithmes.
Ensuite, c'était une des premières fois qu'une institution
publique poussait à l'adoption d'un standard de chiffrement incassable
(contrairement à ce qui se passa en 1976 avec le DES dont la clef
avait été raccourcie intentionnellement).
Surtout, le bureau de standardisation américain a finalement
choisi pour sécuriser ses données nationales un algorithme
non-américain, et plus précisément européen.
Il faut ici saluer le talent de Joan Daemen et Vincent Rijmen, les deux
cryptographes belges qui ont créé Rijndael (nom composé
avec les premières lettres de leur patronyme) : ils prouvent que
les meilleurs cryptographes du monde ne sont pas nécessairement
des américains, et que l'avenir s'invente aussi à Bruxelles
ou à Louvain, et pas uniquement dans la Silicon Valley.
Freenet
0.3.2
2000/10/02
Freenet 0.3.2 est disponible.
Il répare plusieurs bugs, notamment dans les scripts de la version
Windows.
Voir le forum
français.
|