Pourquoi
PGP
est légal en
France depuis mars 1999
décembre
1999 : Network Associates France vient d’obtenir du Service Central de
la Sécurité des Systèmes d’Information (SCSSI) "l’autorisation
de fourniture en vue d’une utilisation générale du moyen
de cryptologie PGP Desktop utilities, versions 6.0.2 et 5.5.5" - Voir aussi
les news.
Que dit le décret n° 99-200 du 17 mars 1999 ? "Opérations dispensées de toutes formalités
préalables [pour l'utilisation et l'importation] :
Est donc autorisé "l'usage privé par une personne physique"
des logiciels de cryptographie possédant une longueur de clef inférieure
ou égale à 128 bits.
Comment fonctionne PGP freeware ? Rappelons les caractéristiques et le fonctionnement de PGP, cryptosystème hybride qui utilise à la fois les clefs symétriques ("clef de session" de 128 bits) et les clefs asymétriques ("clef publique" de 512 à 2048 ou 4096 bits) :
Le message est chiffré par un algorithme à clef symétrique de 128 bits. Ce système entre dans le cadre du "service de confidentialité" défini par les décrets du 17 mars 1999, avec une clef de 128 bits. Le fait qu'il "suffirait" de casser cette clef de 128 bits pour déchiffrer le message, le démontre. Les clefs publiques (asymétriques), elles, ne servent pas à CHIFFRER le message, mais à CONTRÔLER l'accès à la clef de 128 bits. On est alors dans le cadre d'un système cryptographique de contrôle d'accès (et non plus de confidentialité). La clef que l'on déchiffre ainsi, en effet, ne comporte aucune information signifiante pour l'expéditeur ou le destinataire du message. La loi française autorise depuis longtemps l'utilisation de systèmes cryptographiques de contrôle d'accès, et ce sans formalité, et quelle que soit la longueur et le type de la clef (exemple : le code secret de votre carte bancaire). Bien que les décrets de mars 1999 (et la loi du 29 décembre 1990) ne fassent pas de distinction entre la longueur de la clef symétrique et la longueur de la clef publique, il semble évident qu'ils visent les clefs symétriques puisque la seule autorisation de clefs publiques de 128 bits maximum n'aurait aucun sens (des clefs publiques de 512 bits ont déjà été cassées et la sécurité pour ce type de clefs commence à partir de 1024 bits). Les décrets de mars 1999 ne peuvent sur ce point être interprétés sans un examen des motifs de l'autorité les ayant pris, c'est-à-dire la délibération du conseil interministériel du 19 janvier 1999 décidant la libéralisation de l'usage de la cryptographie en France. PGP est, répétons-le, un cryptosystème hybride. Il est composé de deux sous-ensembles : un système de confidentialité à clef symétrique de 128 bits, légal, et un système de contrôle d'accès à clef asymétrique, de longueur variable, légal lui aussi. PGP freeware est donc légal.
Pour les lois et décrets, voir le site
du gouvernement.
Mise à jour : novembre 1999 © 1997, 1998, 1999, 2000, pplf 14A0 4A67 0431 2402 684D 6EBA 537F 664D 3F80 0D58 pgpenfrancais@bigfoot.com |