Faq Pgpi Fr

par
Foire Aux Questions à propos de PGPi

Ce qui suit
est une liste des questions les plus fréquemment posées à
propos de PGPi. Les commentaires doivent être envoyés à
[email protected]
.

Dernière
mise à jour: 14 Juillet 2000.

Auteur: Ståle
Schumacher Ytteborg

Traduction française:
[email protected]
(d’après la page anglaise originale disponible sur http://www.pgpi.org/doc/faq/pgpi/en)

Contenu

  1. Version
    internationale contre version US



    2. 1.1. Qu’est-ce que PGPi?

    1.2. Pourquoi créer une version internationale de PGP?


    1.3. Maintenant que NAI peut exporter PGP librement, que va-t-il
    arriver au projet PGPi?

    1.4. Quelle est la dernière version de PGPi?


    1.5. En quoi PGPi diffère de PGP?

    1.6. En quoi PGP 6i est compatible avec les autres versions
    de PGP?

    1.7. Y aura-t-il un PGP 6 pour Unix?

    1.8. Alors, où est la ligne de séparation? Quelle
    version dois-je utiliser?

  2. Problèmes légaux



    3. 2.1. Que veut dire « internationale »? Qui peut l’utiliser?


    2.2. Puis-je utiliser PGPi à des fins commerciales?


    2.3. Puis-je utiliser le code de PGP dans mes propres programmes?


    2.4. Puis-je redistribuer PGPi?

  3. L’obtenir



    4. 3.1. Où puis-je obtenir une copie de PGPi?


    3.2. Quels modules externes de courrier électronique existent
    pour PGP 6.x?

    3.3. Y a-t-il un module externe pour Netscape Messenger?


    3.4. Y a-t-il une librairie DLL PGP?

    3.5. Où puis-je mettre à jour les modules de langue
    pour PGPi?

    3.6. Où puis-je obtenir PGPdisk?

  4. L’installer



    5. 4.1. Comment puis-je vérifier l’intégrité
    de PGPi?

    4.2. J’ai des problèmes à installer PGPi.
    Que faire?

    4.3. Je ne parviens pas à faire fonctionner PGP 6.0.2i avec
    Outlook Express (Internet Explorer) 5.0. Qu’est-ce qui ne va pas?

  5. Problèmes
    de sécurité



    6. 5.1. PGP peut-il être craqué?

    5.2. PGPi n’est-elle pas la version qui a été affaiblie
    pour l’export par la NSA?

    5.3. PGP contient-il une porte arrière?


    5.4. J’ai entendu que PGP 5 et supérieur contient des fonctions
    de récupération de message. Est-ce vrai?

    5.5. PGP contient-il des fonctions de récupération
    de clef?

  6. Divers



    7. 6.1. Comment PGP 5.5 et supérieur ont-ils pu être numérisés
    aussi vite?

    6.2. Y a-t-il des bogues dans PGPi?

    6.3. Qui est responsable de PGPi?

    6.4. Où puis-je obtenir de l’assistance pour PGPi?


    6.5. Où puis-je en lire davantage à propos de PGP?

Si vous avez des
questions à propos de PGP en général, essayez la FAQ de comp.security.pgp. 


1.1. Qu’est-ce
que PGPi?

 PGPi
est la variante internationale de PGP (Pretty Good Privacy), un programme
de cryptage à clef publique écrit à l’origine par Phil
Zimmermann en 1991. Les versions suivantes de PGP ont été développées
par le MIT, ViaCrypt, PGP Inc., et à présent Network Associates
Inc. (NAI). PGP est le standard de-facto pour le cryptage des courriers
électroniques aujourd’hui, avec des millions d’utilisateurs dans le
monde. 

Les versions
internationales de PGP diffèrent légèrement des versions
US mais pour le reste elles sont complètement interopérables.
Voyez ci-dessous pour des détails.


1.2. Pourquoi
créer une version internationale de PGP?

PGP a été
élaboré à l’origine à l’intérieur des USA,
mais s’est propagé dans le reste du monde en dépit des réglementations
US qui contrôlaient l’exportation de cryptographie forte. PGP 5.0i
(réalisé en 1997) fut la première version de PGP à
être légalement disponible en dehors des USA et du Canada, car
le programme fut exporté sous forme de livres imprimés et ensuite
numérisé et passé à la reconnaissance optique
de caractères pour obtenir le code sous forme électronique. 

Les raisons
de numériser la source et de réaliser une version spéciale,
appelée PGPi, furent nombreuses: 

  1. Rendre le
    code source disponible au grand public. De cette façon n’importe qui
    peut examiner le code pour chercher des erreurs ou des portes arrières
    cachées. 
  2. Rendre possible
    le portage vers les autres systèmes d’exploitation: Unix, MS-DOS,
    OS/2, Amiga, Atari, VMS, etc. 
  3. Lever tous
    les doutes sur la légalité de PGP en dehors des USA et du Canada.
    Bien que la plupart des gens croient que PGP peut s’utiliser légalement
    une fois exporté, beaucoup d’entre eux continuaient à ne pas
    se sentir à l’aise à utiliser un logiciel qui a été
    à un moment ou un autre illégalement exporté. Maintenant
    que nous avons PGPi, la dernière ombre de doute devrait être
    levée. 
  4. Montrer
    combien sont stupides les réglementations US sur l’exportation, et
    qu’elles ne sont plus en rapport avec le monde réel. 

Grâce au
projet PGPi, des millions d’utilisateurs dans le monde entier ont accès
à une cryptographie gratuite et forte. En 1999, le gouvernement US
a finalement levé les contrôles à l’exportation de logiciels
cryptographiques. Vous pouvez lire davantage sur le projet PGPi ici. 

1.3. Maintenant
que NAI peut exporter PGP librement, que va-t-il arriver au projet PGPi?

En septembre
1999 le gouvernement US a annoncé l’assouplissement des réglementations
sur l’exportation de logiciels cryptographiques, et en décembre 1999
NAI a obtenu une licence d’exportation dans le monde entier pour PGP. Cela
signifie qu’il ne sera probablement plus nécessaire de numériser
et passer à la reconnaissance de caractères les futures versions
de PGP, parce que le code-source pourra être légalement exporté
électroniquement. Cependant, le projet PGPI va continuer, en
se concentrant sur le développement, le portage, la traduction et
la localisation, plutôt que sur la numérisation. Nous sommes
toujours dévoués pour vous donner des versions de PGP d’une
haute qualité, gratuites, et incluant le code-source complet. 


1.4. Quelle
est la dernière version de PGPi?

La dernière
version internationale de PGP pour Windows 95/98/NT, MacOS et Unix est PGP
6.5.1i. C’est aussi la dernière version pour laquelle le code-source
est disponible. 

La dernière
réalisation US est 6.5.3 (Windows) et 6.5.2a (MacOS), et ce sont les
versions que vous devriez utiliser si vous ne vous préoccupez pas
du code-source, ou si vous voulez les dernières corrections de bugs,
ainsi qu’un support pour Windows 2000 et MacOS 9. 

Pour une liste
complète de la dernière version de PGP pour les différentes
plates-formes, voyez ici. 


1.5. En
quoi PGPi diffère de PGP?

 PGPi
est à la base la même version que PGP, mais il y a quelques
différences importantes:

  1. L’utilisation
    des clefs RSA est supportée (pour permettre une compatibilité
    ascendante avec PGP 2.x).
  2. Le serveur
    de clefs par défaut est en Europe, et non aux USA.
  3. Le code
    source pour PGPi est disponible en téléchargement,
    de sorte que vous pouvez examiner le code pour chercher des erreurs, portes
    arrières, etc. 
  4. PGPi a été
    porté sur plusieurs nouvelles plates-formes, comprenant MS-DOS, OS/2,
    Amiga, Atari et diverses variantes d’Unix. 

1.6. En
quoi PGP 6i est compatible avec les autres versions de PGP?

 PGP 6i
peutlireet comprendre les messages, clefs et signatures créés
avec PGP 2.0 et supérieur. (Notez, cependant, que les clefs ne peuvent
pas être plus grandes que 4096 bits. Aucune version officielle de PGP
n’utilise des clefs plus grandes, du reste.) 

PGP 6i peut
générerdes messages, des clefs et des signatures
qui peuvent être lus et compris par PGP 2.6.x et supérieur,
aussi longtemps que vous utilisez seulement des clefs RSA. PGP 6i supporte
aussi les clefs DSS/Diffie-Hellman, mais les messages cryptés en utilisant
ce nouveau type de clef ne peuvent pas être lus par des versions antérieures
à la 5.0. 

Notez, cependant,
que les messages de PGP 6i ne peuvent pas être compris par les versions
PGP 2.3a ou inférieures, quelque soit le type de clefs que vous utilisez. 


1.7. Y
aura-t-il un PGP 6 pour Unix?

 Oui.
PGP 6.5.1i est disponible sous forme de programme en ligne de commande, comme
pour les séries PGP 2.x. Il est actuellement en beta test, et le code
a encore besoin de travail avant qu’il compile proprement sur toutes les plates-formes.
Si vous êtes intéressé vous pouvez le télécharger
ici.
Vous aurez besoin de GCC et GNU make pour le compiler.


1.8. Alors,
où est la ligne de séparation? Quelle version dois-je utiliser?

Si vous voulez
une version de PGP où le code-source est disponible (de telle façon
que vous puissiez rechercher des erreurs et des portes dérobées),
vous devriez utiliser PGP 6.5.1i. Si vous utilisez Windows ou MacOS et que
vous voulez les dernières corrections de bugs, ainsi que le support
pour Windows 2000 et MacOS 9, vous devriez utiliser PGP 6.5.3 (Windows) ou
6.5.2a (MacOS). 


2.1. Que
veut dire « internationale »? Qui peut l’utiliser?

Le ‘i’ dans
le numéro de version est là pour ‘internationale’. Elle peut
être utilisée dans n’importe quel pays où le cryptage
est légal. Si vous n’êtes pas sûr que le cryptage est
légal dans votre pays, vérifiez le Crypto Law Survey. 


2.2. Puis-je
utiliser PGPi à des fins commerciales?

 Oui,
vous pouvez, mais vous devez obtenir une licence pour l’utilisation commerciale
auprès de Network Associates Inc. ou de ses représentants autorisés. 

Si vous êtes
situé aux USA ou au Canada, allez à: http://www.nai.com/. 

Si vous êtes
situé ailleurs, allez à: http://www.pgpinternational.com/. 

Si vous souhaitez
utiliser un produit compatible avec PGP (i.e., un produit de cryptage qui
puisse interopérer avec PGP ou basé sur le standard OpenPGP,
mais qui ne contienne pas de logiciel actuellement détenu par PGP pour
implémenter ses fonctions de cryptographie), vous devez demander des
licences additionnelles auprès de tiers, comme Ascom Systec AG en
Suisse si l’algorithme IDEA est utilisé dans ce produit ou de RSA
Data Security, Inc.si l’algorithme RSA est utilisé dans ce produit
et le produit distribué aux USA. 


2.3. Puis-je
utiliser le code de PGP dans mes propres programmes?

 Le code
source pour PGP 2.3a et antérieur est distribué sous licence
GPL – pour « General Public License » – de sorte qu’il peut être librement
utilisé dans vos propres programmes. 

Le code source
pour PGP 2.6 et supérieur peut être utilisé en entier
sous une forme non modifiée dans les produits que vous écrivez
pour votre propre utilisation non commerciale selon les termes de la licence
PGP non commerciale du code source de PGP 5.0i. En raison de restrictions
de licence, si l’algorithme IDEA est inclus, toute modification du code 
peut requérir une licence supplémentaire de Ascom Systec AG
(voir question 2.2). 

Voir aussi:
Ressources des développeurs
de PGP. 


2.4. Puis-je
redistribuer PGPi?

 Oui.
Toutes les versions freeware de PGPi peuvent être librement redistribuées,
tant que tous les fichiers dans l’archive de distribution sont inclus, et
qu’ils ne sont pas modifiés de quelque façon que ce soit. Spécifiquement,
vous pouvez:

* Le mettre en téléchargement
sur un site web ou un serveur FTP 
* L’inclure sur un CD-ROM qui
est distribué gratuitement, ou pour un prix modeste qui couvre les
frais du média et les frais de port 
* L’inclure sur un CD-ROM qui
est livré comme supplément gratuit avec un livre ou un magazine

Il devrait aussi
être clairement indiqué qu’il s’agit d’une version freeware,
avec des pointeurs vers l’endroit où vous pouvez trouver la dernière
version et la version commerciale (par exemple www.pgpi.org).

Les seules
choses que vous ne pouvez pas faire avec le logiciel, sont:

  1. Faire de
    l’argent avec lui
  2. Le modifier
  3. Donner l’impression
    qu’il ne peut pas être obtenu gratuitement ailleurs

3.1. Où
puis-je obtenir une copie de PGPi?

 PGPi
est disponible à la fois en code source et en exécutables pour
beaucoup de plates-formes
différentes. Vous pouvez obtenir PGP depuis une des sources suivantes: 

WWW:

http://www.pgpi.org/download/ 

FTP:

ftp://ftp.pgpi.org/pub/pgp/ 

3.2. Quels
modules externes de courrier électronique existent pour PGP 6.x?


 

Plate-forme
Programme
PGP 6.0.2i
PGP 6.5.1i
Commentaire
Windows Eudora 3.x, 4.1
et 4.2
Oui
Oui
 Inclus dans PGP
6.0.2i et supérieur
Outlook 97 &
98
Oui
Oui
 Inclus dans PGP
6.0.2i et supérieur
Outlook 2000
Non
Oui
 Inclus dans PGP
6.5.1i
Outlook Express
4
Oui
Oui
 Inclus dans PGP
6.0.2i et supérieur
Outlook Express
5
Non
Oui
 Inclus dans PGP
6.5.1i
Netscape Messenger
3.x et 4.x
Non
Oui
 Vous pouvez l’obtenir
ici
Mozilla (Netscape
5.x)
Non
Non
 Pas encore – y
a-t-il quelqu’un qui travaille dessus?
Lotus Notes
Oui
Oui
 Inclus dans PGP
6.5.1i, le module 6.0.2i est disponible ici
Pegasus Mail 3.x
Oui
Oui
 Vous pouvez l’obtenir
ici
Macintosh Eudora
Oui
Oui
 Inclus dans PGP
6.0.2i et supérieur
Claris Emailer
Oui
Oui
 Inclus dans PGP
6.0.2i et supérieur


3.3. Y
a-t-il un module externe pour Netscape Messenger?

 PGP 6.x
n’inclut pas de module externe pour Netscape, mais il y a des versions tiers
disponibles en freeware:

* Netscape PGP Pluginpar
Jerry Davis 
* Half-plugin par Disastry (seulement
pour le déchiffrement, pas pour le chiffrement)

En outre, vous
pouvez toujours chiffrer/déchiffrer via le presse-papiers.


3.4. Y
a-t-il une librairie DLL PGP?

 Oui.
PGP 6.0i inclut une DLL que vous pouvez appeler depuis l’intérieur
de vos propres programmes. Notez, cependant, que l’API a changé entre
PGP 5.x et 6.x, aussi vous ne devriez pas utiliser la DLL qui est livrée
avec PGP 5.0i. Pour de l’information sur comment utiliser la DLL, voyez la
documentation du PGPsdk.

Il y a aussi
d’autres DLLs, SDKs et librairies que vous pouvez utiliser pour le développement
de vos propres programmes – voir les Ressources
des développeurs de PGP. 


3.5. Où
puis-je mettre à jour les modules de langue pour PGPi?

 Les modules
de langue pour les versions de PGP en ligne de commande peuvent être
obtenus ici. 


3.6. Où
puis-je obtenir PGPdisk?

PGPdisk est
un produit commercial, et n’est pas inclus dans PGPfreeware (excepté
6.0.2i, où il fut inclus par erreur). Pour plus d’information sur
la façon d’obtenir PGPdisk, voyez ici.


4.1. Comment
puis-je vérifier l’intégrité de PGPi?

 Toutes
les archives de distribution de PGPi contiennent un ou plusieurs fichiers
de signature de telle sorte que vous pouvez vérifier que les fichiers
n’ont pas été altérés. Les fichiers de signature
ont l’extension de fichier « .asc » ou « .sig », et sont soit à l’intérieur
de l’archive de distribution (de telle sorte que vous puissiez vérifier
chacun des fichiers dans l’archive), soit dans un fichier séparé
dans le même répertoire
que le fichier de l’archive (de telle sorte que vous puissiez vérifier
l’archive entière en une fois). 

Afin de vérifier
les signatures, vous avez besoin de la clef publique des signataires: 

* Ståle Schumacher Ytteborg
(0xCCEF447D / 0x0A791610):
code source, versions Unix et Windows 
* Michael Westlund (0x7C20A990): version
Macintosh
* CN Lab (0xDE2AB910): 6.5.1int
version, Windows et Macintosh
* Stefan Zakarias (0xCA214F18):
version Amiga 

4.2. J’ai
des problèmes à installer PGPi. Que faire?

 D’abord,
assurez-vous que vous avez lu la documentation
attentivement.

 Si vous
avez encore des problèmes, jetez un coup d’il à la page d’assistance. 


4.3. Je
ne parviens pas à faire fonctionner PGP 6.0.2i avec Outlook Express
(Internet Explorer) 5.0. Qu’est-ce qui ne va pas?

 Le module
externe Outlook Express qui est livré avec PGP 6.0.2i ne fonctionne
qu’avec OE version 4. Passez à PGP
6.5.1i à la place. 


5.1. PGP
peut-il être craqué?

 Oui.
Toute version de PGP peut être craquée, pourvu que l’attaquant
dispose d’assez de temps et de ressources (= argent) pour ce travail. Cependant,
un message PGP classique en 1024 bits prendrait environ 300,000,000,000 années/MIPS
à craquer, de sorte que le citoyen ordinaire est relativement à
l’abri, au moins durant les quelques prochaines décennies. Voir la
FAQ des attaques de PGP (http://axion.physics.ubc.ca/pgp-attack.html)
pour des détails. Si quelqu’un veut vraiment lire vos messages cryptés
par PGP, il ou elle ferait probablement mieux de voler une copie de votre
clef secrète et essayer de deviner votre phrase de passe
ou vous forcer à lui la révéler. 


5.2. PGPi
n’est-elle pas la version qui a été affaiblie pour l’export
par la NSA?

 Non.
PGPi est aussi sûr que toute autre version de PGP. Ni Phil Zimmermann,
ni le MIT, ni la NSA, ni moi-même ou personne d’autre n’a mis une porte
arrière dans PGPi, lobotomisé le générateur de
nombre aléatoire, limité la taille effective de clef ou fait
quoi que ce soit d’autre qui compromette la sécurité du programme.
Si vous ne le croyez pas, téléchargez le code source et voyez
par vous-même. Le code source de PGP peut être librement et gratuitement
scruté par n’importe qui, et ceci depuis plusieurs années maintenant.
Pourtant, personne n’a pu trouver la moindre porte arrière. 

Si vous n’êtes
toujours pas convaincu, veuillez lire ce que Phil Zimmermann écrit
à propos de l’intégrité
cryptographique de PGP. 


5.3. PGP
contient-il une porte arrière?

Non, pas que
je sache. Voyez la question 5.2. La fonctionnalité
ARR expliquée dans la question 5.4 n’est pas une
porte arrière; c’est une fonctionnalité très bien connue
et ouvertement débattue (même si beaucoup de gens ne l’aiment
pas). Vous n’êtes pas obligé de l’utiliser si vous ne le voulez
pas. 


5.4. J’ai
entendu que PGP 5 et supérieur contient des fonctions de récupération
de message. Est-ce vrai?

 Oui.
Toutes les versions PGP 5.x et 6.x contiennent une fonctionnalité
appelée ADK (« Additional Decryption Key » ou clé de décryptage
supplémentaire), ou plus correctement ARR (« Additional Recipient Request »
ou demande de destinataire supplémentaire). PGP, Inc. a implémenté
cette fonctionnalité dans PGP à la demande des sociétés
qui voulaient être capables de retrouver des messages écrits
par leurs employés (par exemple quand les employés s’en vont).
Cependant, ils l’ont rendue entièrement optionnelle. Cela fonctionne
comme ceci: 

Quand vous
générez une nouvelle clef en utilisant l’édition « Business »
de PGP, vous pouvez spécifier que les messages cryptés avec
cette clef doivent aussi être cryptés avec la clef de votre
société. Quand d’autres gens plus tard cryptent des messages
en utilisant votre clef, PGP (toutes les versions 5.x) vont demander que
les messages soient aussi cryptés en utilisant la clef de votre société.
Ceci est fait en ajoutant la clef de votre société à
la liste des destinataires. Cependant, l’utilisateur peut librement retirer
cette clef de la liste des destinataires s’il ou elle le désire. C’est
pourquoi cette fonction est en fait une Additional Recipient Request
(demande de destinataire supplémentaire); ce n’est pas obligatoire. 


5.5. PGP contient-il des
fonctions de récupération de clef?

 Non,
il n’en contient pas. PGP 5 et supérieur, cependant,  contiennent
des fonctions de récupération de message. Voir question
5.4


6.1. Comment PGP 5.5 et
supérieur ont-ils pu être numérisés aussi vite?

 Le projet
de numérisation de PGP 5.0 prit plusieurs mois à mener à
bien, mais les versions 5.5 et supérieur furent numérisées
et vérifiées en quelques semaines seulement. Teun Nijssen explique comment
cela fut possible.


6.2. Y a-t-il des bogues
dans PGPi?

 Aucun
programme n’est exempt de bogues à 100%, et ceci s’applique aussi
à PGPi. Pour voir une liste des bogues connus et comment les corriger,
ou pour rapporter de nouveaux bogues, reportez-vous à la page de bogues
de PGP à http://www.pgpi.org/doc/bugs/. 


6.3. Qui est responsable
de PGPi?

 PGPi
a été publié par Ståle Schumacher Ytteborg en
Norvège. Cependant, ce travail n’aurait pas été possible
sans l’aide de nombreuses personnes dans le monde. Pour plus d’informations
sur le projet PGPi, veuillez voir ici. 


6.4. Où puis-je
obtenir de l’assistance pour PGPi?

 Il n’y
a pas d’assistance pour les versions freeware de PGP. Si vous voulez de l’assistance,
vous devrez acheter une des versions commerciales. Ceci étant dit,
il y a beaucoup de ressources traitant de PGP sur Internet où vous
pouvez obtenir de l’aide si vous avez des problèmes à installer
ou utiliser PGP. Pour plus d’informations, regardez ici. 


6.5. Où puis-je
en lire davantage à propos de PGP?

 Voici
des liens pour commencer: 

* Autres FAQs 
* Documentation sur PGP 
* Liens sur PGP 

[ PGPi Home > Documentation > FAQs >
PGPi FAQ ]