(The PRZ signed message is at the end of this page) From michel_bouissou@wanadoo.fr Fri Jun 04 11:32:58 1999 Newsgroups: fr.misc.cryptologie,fr.comp.securite Subject: Re: *** Message de Phil Zimmermann *** From: Michel Bouissou Date: Fri, 04 Jun 1999 11:32:58 +0200 -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Hello, Je poste à nouveau le message de Phil Zimmermann, avec sa signature numérique que vous pouvez contrôler. Si la vérification de la signature de ce message vous pose un problème, veuillez lire ma note en fin de texte. Pour nos amis ayant des difficultés avec l'anglais, voici la traduction française de ce message. Le texte original anglais signé de Phil suit. <<<<< Le message suivant peut être largement distribué. Je souhaite traiter des rumeurs concernant l'intégrité cryptographique de PGP, incluant les versions récentes produites par Network Associates, ainsi que les récentes versions freeware compilées et fournies par Stale Schumacher sur son site web en Norvège à http://www.pgpi.org. Ces rumeurs prétendent que ces versions de PGP contiennent des portes dérobées permettant au gouvernement U.S. d'accéder au texte clair des messages ou aux clés. Je ne sais pas comment de telles théories sensationnelles de conspiration ont démarré, mais elles semblent provenir de personnes qui croient que la série "X-Files" est un documentaire. Je souhaite assurer à tout le monde que toutes les versions de PGP qui sont distribuées par Network Associates ont la même intégrité cryptographique que toutes les versions précédentes de PGP qui furent produites depuis le bon vieux temps, avant que je ne crée ma société , PGP Inc. De fait, aucune version de PGP dans laquelle j'ai été personnellement impliqué n'a jamais contenu aucune porte dérobée, ni aucun autre mécanisme destiné à affaiblir intentionnellement PGP. Ceci inclut les versions distribuées par le M.I.T., PGP Inc, Network Associates ainsi que Stale Schumacher. Après toutes les épreuves et les persécutions légales que j'ai endurées pour fournir PGP au monde, je trouve surprenant et offensant que quiconque puisse penser que je puisse tolérer sans réagir la moindre compromission de l'intégrité cryptographique de PGP. Quand Network Associates a acquis ma société en Décembre 1997, ils ont aussi acquis la même équipe de développeurs que nous avions rassemblée à PGP Inc, une équipe engagée envers les mêmes principes de confidentialité personnelle qui m'ont conduit à créer PGP. Cette équipe travaille toujours sur PGP aujourd'hui, et continuera de m'aider à protéger l'intégrité de PGP. Network Associates n'a pas montré le plus petit intérêt à compromettre l'intégrité de PGP. Ils reconnaissent que ce ne serait pas dans leur intérêt commercial de le faire. Nous avons toujours publié le code source pour chaque version de PGP afin qu'il puisse être librement contrôlé, et Network Associates a poursuivi cette tradition. Tout le monde peut télécharger le code source de PGP depuis www.pgpi.org et l'examiner à la recherche d'une porte dérobée. Stale Schumacher, un défenseur indépendant de PGP, qui n'est pas employé de Network Associates, a assuré toutes les compilations depuis PGP 5.0i pour les versions freeware de PGP en Europe. Je connais Stale depuis plusieurs années et je sais qu'il est dévoué aux mêmes principes politiques de protection de la vie privée que moi-même. Je suis confiant dans le fait que Stale ne compromettrait jamais l'intégrité de PGP en ce qui concerne les versions qu'il compile et distribue depuis son site. Quoi qu'il en soit, toute personne inquiète de savoir si les exécutables binaires de PGP sont dignes de confiance peut compiler le code elle-même et reconstruire les binaires pour son usage personnel, dans la mesure où elle ne redistribue pas de tels binaires recompilés pour l'usage d'autrui. - -- Philip Zimmermann http://www.pgp.com/phil 3 juin 1999 >>>>> -----BEGIN PGP SIGNATURE----- Version: PGP 6.0.2i iQA/AwUBN1eOy3hwUkaA272PEQKIZgCfe3XOvAmcP6nvl65QeaRWmxlIblIAniyz bQBwGVCOVr5vpzMh0BNR48YG =z91E -----END PGP SIGNATURE----- The following message may be widely distributed. -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 I'd like to address the rumors concerning the cryptographic integrity of PGP, including recent versions made by Network Associates, as well as recent freeware versions built and released by Stale Schumacher on his website in Norway at http://www.pgpi.org. These rumors allege that these versions of PGP contain back doors for the US Government to access the plaintext messages or keys. I do not know how such sensationalist conspiracy theories get started, but they seem to come from people who believe that The X-Files is a documentary. Let me assure everyone that all versions of PGP that are released from Network Associates have the same cryptographic integrity as all previous versions of PGP that were released since the old days before I started my company, PGP Inc. In fact, no version of PGP in which I have been personally involved has ever had any back doors or any other mechanism to intentionally weaken PGP. That includes versions released by MIT, PGP Inc, Network Associates, or Stale Schumacher. After all the hardship and legal persecution that I endured to bring PGP to the world, I find it surprising and offensive that anyone would think that I would quietly stand by and tolerate any compromise in the cryptographic interity of PGP. When Network Associates acquired my company in December 1997, they also acquired the same engineering team that we had put together at PGP Inc, a team dedicated to the same principles of personal privacy that led me to create PGP. This team is still working on PGP today, and will continue to help me protect the integrity of PGP. Network Associates has not shown the slightest interest in compromising the integrity of PGP. They recognise that it would not be in their business interests to do so. We have always published the source code for every version of PGP for peer review purposes, and Network Associates has carried on that tradition. Anyone may download the source code for PGP from www.pgpi.org and examine it for any back doors. Stale Schumacher, an independent PGP activist who is not an employee of Network Associates, has done all the builds since PGP 5.0i for the freeware versions of PGP in Europe. I have known Stale for several years and I know that he is committed to the same political principles of privacy as I am. I feel confident that Stale would never compromise the integrity of PGP in the versions that he builds for distribution on his site. Nonetheless, anyone who worries if the binary executables for PGP are trustworthy may compile the code themselves and rebuild the binaries for their own personal use, as long as they do not redistribute such rebuilt binaries for others to use. -- Philip Zimmermann http://www.pgp.com/phil 3 June 1999 -----BEGIN PGP SIGNATURE----- Version: PGP 6.5.1b40 iQA/AwUBN1bDM2PLaR3669X8EQLXSACg4Z5+//BgNg4OjeKDugnQ0wmWbXEAoPsl v4z0is5aXeLPf0cOJSqnyX9Q =QOqg -----END PGP SIGNATURE----- (passage de Michel Bouissou sur la vérification de signature coupé).