(The PRZ signed message is at the bottom of this page) Newsgroups: fr.misc.cryptologie Subject: PRZ et les cles geantes From: oriente@nospam.capway.com (Emilio Oriente) Date: Thu, 06 Aug 1998 02:30:17 GMT Bonjour à tous, Dans un message dont l'authenticité a été confirmée publiquement par au moins deux officiels de chez Network Associates, Inc. (venant aux droits de PGP, Inc.), Will Price et Noah Salzman, Philip Zimmermann, le célèbre concepteur de PGP, a fait connaître son opinion sur la tendance à augmenter la taille des clés publiques. Il la juge très sévèrement. En voici une libre traduction, accompagnée d'une copie du message original. Mon anglais étant d'une inconcevable médiocrité et l'objectif étant d'informer et non d'égarer, je prie les lecteurs anglophones de faire connaître les erreurs et lacunes de cette traduction. Merci. *****début de la traduction***** Il n'y a aucun avantage à utiliser des clés [publiques] de taille supérieure à environ 3000 bits. L'effort nécessaire pour casser les clés de session de 128 bits est comparable à celui exigé pour casser des clés publiques RSA ou DH de 3000 bits. Par conséquent, des clés [publiques] de taille supérieure ne contribuent en rien à améliorer la sécurité et, à mon avis, ne font qu'alimenter les préjugés et les idées reçues au sujet de la cryptographie. De plus elles ralentissent toutes les opérations et encombrent [inutilement] les serveurs de clés et les trousseaux des utilisateurs, pour ne rien dire des problèmes d'incompatibilité avec les versions actuelles et futures de PGP. Peut-être plus grave encore, elles sapent la confiance en leurs propres clés chez ceux qui en utilisent de taille [pourtant] adéquate. Bien qu'elle ait pu partir d'une bonne intention, cette augmentation excessive des tailles de clés dessert les intérêts de la communauté des utilisateurs de PGP. De même, le recours à de plus grandes clés DSA [NDT: ils s'agit de la partie DSS des nouvelles clés DSS-DH utilisée pour la signature] est vain tant que [la taille de] l'algorithme de hachage [sous-jacent] ne s'accroît pas en même temps. Cela exige d'utiliser un algorithme de hachage bien étudié, spécifiquement conçu pour offrir une résistance comparable [à une clé DSA plus grande]. Il n'a pas été établi dans les règles de l'art que l'utilisation de deux hachages SHA1 de cette manière permettait d'atteindre convenablement ce résultat. Quiconque possède des connaissances approfondies en cryptographie ne se hasarde pas à augmenter la taille des clés d'une manière aussi simpliste. Le code [source] expérimental de PGP durant ses phases de développement ne devrait pas être utilisé. Il était protégé avec des flags de compilation conditionnels et ne devrait pas être révélé à des utilisateurs néophytes qui décident d'accomplir une [mission de] "service public" en activant le code et en le compilant. C'est une des raisons pour lesquelles nous demandons à tous de ne pas modifier le code de leur propre chef, mais de nous les [projets de modification] envoyer, de sorte que nous puissions en intégrer quelques uns (s'ils sont pertinents) dans nos futures réalisations. C'est de cette façon que les améliorations de PGP émanant de la communauté de ses utilisateurs ont toujours été gérées depuis la réalisation de son code source en 1991. -Philip Zimmermann *****fin de la traduction***** -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 There is no advantage for using the keys larger than about 3000 bits. The 128-bit session keys have the same work factor to break as a 3000 bit RSA or DH key. Therefore, the larger keys contribute nothing to security, and, in my opinion, spread superstition and ignorance about cryptography. They also slow everything down and burden the key servers and everyone's keyrings, as well as cause interoperability problems with present and future releases of PGP. Perhaps even more importantly, they also undermine other people's faith in their own keys that are of appropriate size. While it may have been well-intentioned, this massive expansion of key size is a disservice to the PGP community. Also, larger DSA keys don't contribute anything unless the hash grows bigger with it. That requires selecting a good well-designed bigger hash that has been specifically designed to have the full work factor for breaking it. Using two SHA1 hashes in that manner has not been adequately shown to achieve this result. Anyone with a sophisticated understanding of cryptography would not make the keys bigger this way. Experimental code that we put into PGP during its development should not be used. It was protected with conditional compilation flags and should never have been revealed to uninformed users who decide to perform a "public service" by enabling the code and releasing it. This is part of the reason why we ask people not to release code changes on their own, but to send them to us, so that we may incorporate some of them (if they seem like good ideas) into our next product release. That is how PGP enhancements from the user community have always been managed since PGP source code was released in 1991. -Philip Zimmermann -----BEGIN PGP SIGNATURE----- Version: PGP 6.0b16 iQA/AwUBNcIZ0GPLaR3669X8EQIblACePP3jorZ6Y+wjYDRomxMfKgLF2h4AoNmI tjDuzHfhdIqDd6s5BUNIlhBu =3BJC -----END PGP SIGNATURE-----