en France depuis mars 1999
 
 

FLASH décembre 1999 : Network Associates France vient d’obtenir du Service Central de la Sécurité des Systèmes d’Information (SCSSI) "l’autorisation de fourniture en vue d’une utilisation générale du moyen de cryptologie PGP Desktop utilities, versions 6.0.2 et 5.5.5" - Voir aussi les news.

Que dit le décret n° 99-200 du 17 mars 1999 ?

"Opérations dispensées de toutes formalités préalables [pour l'utilisation et l'importation] :
[...]
2. Matériels ou logiciels offrant un service de confidentialité mis en oeuvre par un algorithme dont la clef est d'une longueur supérieure à 40 bits et inférieure ou égale à 128 bits, à condition, soit que lesdits matériels ou logiciels aient préalablement fait l'objet d'une déclaration par leur producteur, un fournisseur ou un importateur, soit que lesdits matériels ou logiciels soient exclusivement destinés à l'usage privé d'une personne physique."

Est donc autorisé "l'usage privé par une personne physique" des logiciels de cryptographie possédant une longueur de clef inférieure ou égale à 128 bits.
 

Comment fonctionne PGP freeware ?

Rappelons les caractéristiques et le fonctionnement de PGP, cryptosystème hybride qui utilise à la fois les clefs symétriques ("clef de session" de 128 bits) et les clefs asymétriques ("clef publique" de 512 à 2048 ou 4096 bits) :

• 1) le message est d'abord chiffré avec une clef de session générée aléatoirement (128 bits), puis
•  2) cette clef de session est chiffrée avec la clef publique du destinataire (1024 à 4096 bits), puis
• 3) texte chiffré par la clef de session + clef de session chiffrée par la clef publique sont réunis :

Le message est chiffré par un algorithme à clef symétrique de 128 bits. Ce système entre dans le cadre du "service de confidentialité" défini par les décrets du 17 mars 1999, avec une clef de 128 bits. Le fait qu'il "suffirait" de casser cette clef de 128 bits pour déchiffrer le message, le démontre.

Les clefs publiques (asymétriques), elles, ne servent pas à CHIFFRER le message, mais à CONTRÔLER l'accès à la clef de 128 bits. On est alors dans le cadre d'un système cryptographique de contrôle d'accès (et non plus de confidentialité). La clef que l'on déchiffre ainsi, en effet, ne comporte aucune information signifiante pour l'expéditeur ou le destinataire du message. La loi française autorise depuis longtemps l'utilisation de systèmes cryptographiques de contrôle d'accès, et ce sans formalité, et quelle que soit la longueur et le type de la clef (exemple : le code secret de votre carte bancaire).

Bien que les décrets de mars 1999 (et la loi du 29 décembre 1990) ne fassent pas de distinction entre la longueur de la clef symétrique et la longueur de la clef publique, il semble évident qu'ils visent les clefs symétriques puisque la seule autorisation de clefs publiques de 128 bits maximum n'aurait aucun sens (des clefs publiques de 512 bits ont déjà été cassées et la sécurité pour ce type de clefs commence à partir de 1024 bits). Les décrets de mars 1999 ne peuvent sur ce point être interprétés sans un examen des motifs de l'autorité les ayant pris, c'est-à-dire la délibération du conseil interministériel du 19 janvier 1999 décidant la libéralisation de l'usage de la cryptographie en France.

PGP est, répétons-le, un cryptosystème hybride. Il est composé de deux sous-ensembles : un système de confidentialité à clef symétrique de 128 bits, légal, et un système de contrôle d'accès à clef asymétrique, de longueur variable, légal lui aussi.

PGP freeware est donc légal.
 

Pour les lois et décrets, voir le site du gouvernement.
Pour des interprétations des lois et décrets, voir le site du SCSSI.