Crypto-News
1998
Les nouvelles actualisées
sont
ici
Version
0.90 de GNUPG pour Linux (en français)
La version 0.90 de GNU
Privacy Guard est publiée.
GNUPG est la version GPL (code-source libre, modifiable et gratuit)
pour Linux de PGP 5.x, et respecte les spécifications du futur standard
OpenPGP : Blowfish, Twofish, CAST5, 3DES, ElGamal, DSA, RIPE-MD 160, TIGER,
MD5, SHA-1, etc.
Livré en sources, GNUPG 0.90 supporte une dizaine de langues,
et se compile de lui-même en version française.
NAI
met provisoirement PGP 6.02 en téléchargement gratuit
Network Associates Inc. (NAI) vient de mettre PGP 6.02 (version DH « for
Personal Privacy ») en téléchargement
gratuit pour une période limitée (accessible seulement
aux citoyens américains et canadiens). La raison de cette offre
exceptionnelle n’est pas expliquée par NAI, mais il faut probablement
la rapprocher du récent et très controversé Accord
de Wassenaar du 3 décembre 1998.
Miroitage
des liens « Security & Encryption » de Peter Gutmann
La page « Security and Encryption-related Resources and Links » (323
Ko) du cryptographe néo-zélandais Peter Gutmann est dorénavant
miroitée
sur ce site. (adresse originale : http://www.cs.auckland.ac.nz/~pgut001/links.html
)
La
GILC publie une motion pour les 50 ans de la DUDH
Pour le Cinquantenaire de la Déclaration Universelle des Droits
de l’Homme, la coalition GILC publie une motion
(texte en français) évoquant entre autres la crypto.
« INTERNATIONAL
CRYPTOGRAPHY FREEDOM » sur ce site
Notre site anglais participe à la campagne INTERNATIONAL CRYPTOGRAPHY
FREEDOM en miroitant 10 Mo de crypto à l’adresse : http://www.fortunecity.com/skyscraper/oracle/598/cryptofree-fr.htm
Phil
Zimmermann défend PGP 6.02
Dans le N° 2 du Zimmermann Telegram,
Phil
Zimmermann s’exprime sur la faille de sécurité ayant
affecté PGPdisk 1.0 (et résolue dans PGPdisk 2.0 et 6.02)
et défend NAI et la nouvelle version PGP 6.02.
Des
sites-archives de crypto libre sont mis en place dans le monde entier en
réponse à l’Accord de Wassenaar
Suite à l’appel de
John Gilmore,
des sites-archives de crypto libre se mettent en place dans le monde entier.
La liste de ces sites refuges est miroitée
sur notre site et actualisée sur son site original : http://jya.com/crypto-free.htm.
PGP
6.02 pour MacOS est disponible en français
La dernière version de PGP pour Mac est disponible en français
grâce à une traduction de Jean-Pierre Kuypers. Le fichier
de configuration de langue existe aussi pour les versions 5.5.3i et
6.0 (télécharger les fichiers /pub/PGP/ « rustine*.* »).
PGP
pourrait être exclu des sites FTP dans 33 pays
Réunis à Vienne le 3 décembre, les 33 pays signataires
de l’Accord de Wassenaar limitant les exportations d’armement (dont le
Japon, l’Allemagne et la Grande-Bretagne) se sont mis d’accord pour imposer
des contrôles sur les technologies de cryptage les plus puissantes,
y compris pour la première fois les logiciels grand public. L’annonce
en a été faite par l’envoyé spécial américain
pour la cryptographie, David Aaron (Source : Reuters).
C’est un échec de la coalition
GILC
qui avait lancé il y a quelques mois une campagne
internationale en faveur de l’abandon des restrictions à l’exportation
de cryptographie contenues dans l’Accord de Wassenaar.
Selon le Général Desvignes, chef du SCSSI, commentant
cette décision : « Les pays qui ont signé ne peuvent
plus autoriser l’exportation par téléchargement de logiciels
[comme PGP]. On n’a plus le droit [à partir des 33 pays qui ont
signé] de mettre en ligne ce type de produits. »
-
COMMENTAIRE DE « PGP POUR LES FRANÇAIS » : Il est bien difficile
de comprendre où les gouvernements signataires veulent en venir…
PGP est un logiciel répandu sur tout le globe, traduit en 25 langues,
diffusé à 4 millions d’exemplaires, utilisé par des
millions de personnes avec des copies présentes sur un grand nombre
d’ordinateurs français. L’activisme des défenseurs des Libertés
n’a cessé de se développer dans le domaine de la cryptographie
et le nombre de logiciels libres de crypto sûre augmente chaque jour.
Surtout, quelques dizaines de lignes tapées sur n’importe quel ordinateur
portable suffisent à créer un programme de cryptage renforcé.
Les dispositions décidées par les 33 gouvernements sont inapplicables
et ils en sont probablement conscients. On peut donc supposer que c’est
une annonce retentissante de plus à mettre à l’actif des
autorités américaines. A noter que PGP est toujours disponible
actuellement sur la International
PGP homepage et qu’il peut être librement téléchargé
en codes-sources sur la plupart des FTP universitaires français.
Un code-source est un fichier texte contenant un programme lisible à
l’oeil nu. Interdire la diffusion d’un tel texte (sous forme électronique
et sous forme imprimée) est bien sûr juridiquement impossible.
PGP
pour le Palm Pilot
L’Université de Tromsø, en Norvège, publie une
version de PGP pour l’ordinateur de poche Palm Pilot III : PGPpilot-0.1.0
. Il faut avoir auparavant installé le fichier pilotSSLeay-2.01.tar.gz.
Plus d’info : http://www.pasta.cs.uit.no/~perm/PASTA/pilot
A noter qu’aucun projet n’a encore été
rendu public s’agissant des deux autres types d’ordinateurs de poche répandus
: WindowsCE et Psion.
L’adhésion
de NAI à la Key Recovery Alliance (KRA) jette le trouble chez les
utilisateurs de PGP
NAI est mis en cause pour son adhésion
à la KRA (Key Recovery Alliance)
qui milite pour un système de recouvrement de clefs. NAI avait quitté
cette association début 1998 après avoir racheté PGP
Inc., mais l’a rejoint le 2 juillet 1998 à la faveur du rachat d’une
entreprise adhérente de la KRA. Un des développeurs de PGP
5.0, Dave del Torto, vient de s’inquiéter
publiquement des objectifs de la KRA et de leur compatibilité
avec les versions actuelles de PGP.
Le
Manuel de PGP 6.0 est disponible en français
Le « Guide de l’utilisateur de PGP 6.0 » (version
Windows) a été traduit en français par plusieurs participants
du forum de discussion fr.misc.cryptologie. Les captures d’écran
du manuel original sont reproduites en version « francisée ».
Le texte de ce manuel reste la propriété de Network
Associates Inc. (NAI). NAI n’a pas donné son accord pour cette traduction,
qui n’est procurée par ses auteurs qu’à titre temporaire
dans l’attente d’une version française officielle de NAI.
– Version Acrobat PDF
– Version HTML
Le logiciel PGP 6.0 est disponible, notamment, sur la
International
PGP Homepage.
La signature digitale de l’archive est
disponible
ici.
Une
version pirate de PGP 6.0 « for Business Security »
PGP 6.0 « for Business Security », version commerciale complète
(incluant PGPdisk), a été piraté et miroité
sur un FTP situé en Europe moins de 15 jours après sa mise
en vente par NAI/NAI-BV.
Un
patch 128 bits pour Netscape 4.5 (Win, Unix, OS/2)
Le patch 128 bits pour Netscape 4.5 ou inférieur (Communicator
ou Navigator) est disponible sur le site de Fortify
en Angleterre : pour Win95-98-NT (ftp://fortify.net/pub/Fortify/fn210w32.exe),
Linux/Unix et OS/2 (bientôt). Il permet de transformer le chiffrement
40 bits de la version hors-USA de Netscape en 128 bits lors des connexions
sécurisées avec les sites web. (Les versions françaises,
ou anglaises légalement distribuées en France, ne sont pas
patchables).
Ståle
Schumacher Ytteborg ouvre un fonds de souscription pour le scannage de
PGP 6.0i
Ståle Schumacher Ytteborg, le responsable de la International
PGP Homepage, a mis sur pied un fonds afin de recueillir la somme nécessaire
à l’achat des 28 volumes (12.000 pages) de code-sources imprimés
de PGP 6.0 et PGPdisk 1.0 (Windows et Mac). Il a besoin d’au moins 1200
$ (somme qui couvre également les frais d’expédition depuis
les USA) + 300 $ pour la mise à jour des appareils de scannage.
Les personnes qui voudraient donner de l’argent au fonds peuvent envoyer
un e-mail à [email protected],
avec les informations suivantes : numéro de carte VISA ou MasterCard,
nom du titulaire de la carte, date d’expiration, montant donné.
Le e-mail doit impérativement être crypté avec la clef
de Ståle Schumacher : 0xCCEF447D (RSA) ou 0x0A791610 (DSS/DH).
TkPGP
: une interface graphique pour PGP 5.0i Linux/Unix
Dmitri E. Soloviev publie une version beta de TkPGP,
une interface graphique pour X-Window qui permet d’utiliser PGP 5.0i de
façon conviviale sous Linux/Unix.
Network
Associates Inc. met en ligne la signature digitale de PGP 6.0 freeware
NAI met en ligne la signature
PGP du fichier d’installation de PGP 6.0 freeware. Ce dernier ayant
été exporté des USA « par des inconnus », rien ne garantissait
jusqu’ici que la version disponible en Europe était bien la version
originale de NAI.
La signature, effectuée le 25/08/98, a été miroitée
sur ce site. La clef publique utilisée est celle de « Network
Associates PGP Software Release Key » (empreinte de clef : 8F17 2486 8BD7
90AE D073 1823 13A0 85FC D77B 2094, clef signée par Phil Zimmermann)
et est disponible sur n’importe quel serveur
de clefs.
L’AFUU
lance une campagne pour la libéralisation du chiffrement en France
L’Association Française des Utilisateurs d’Unix et des Systèmes
Ouverts (AFUU) lance une
campagne
pour la libéralisation du chiffrement en France. L’AFUU a « décidé
de lancer le débat auprès de ses adhérents sur l’impact
de la loi sur le chiffrement sur leur entreprise au travers d’un questionnaire.
Les résultats de ce questionnaire seront ensuite utilisés
pour rédiger un livre blanc à destination du gouvernement. »
Le
Manuel d’utilisation de ScramDisk 2.02c est en français
Le Manuel français de ScramDisk 2.02c est disponible au format
Acrobat
PDF
(voir également nos
conseils succincts
pour les premiers pas dans ScramDisk).
Jetico
publie BestCrypt 6 beta avec son code-source
La nouvelle version 6.0 beta de BestCrypt pour Windows 95, 98 et NT
est disponible et contient le code source pour le cryptage/décryptage
et la vérification du mot de passe. Cette nouvelle version, plus
intuitive, rend très facile le cryptage « on the fly » des disques
durs. Evaluation disponible
sur le site de Jetico.
Le
ministère de l’Economie allemand veut une libéralisation
de la cryptographie
En se prononçant, jeudi 17 septembre à Berlin, en faveur
de la libéralisation de la cryptographie et en critiquant les systèmes
de recouvrement de clé, Guenter Rexrodt, du ministère de
l’Economie allemand, obère l’avenir de la législation française.
Rexrodt a déclaré notamment : « L’Allemagne a l’intention
de travailler avec les autres pays pour pousser le marché à
s’ouvrir à la technologie cryptographique. » Il a aussi critiqué
« les contrôles américains à l’exportation qui empêchent
les autres pays d’obtenir la meilleure technologie de sécurité
aujourd’hui disponible » et a mis en garde les Etats-Unis contre tout système
de recouvrement de clé. Source : Reuters.
L’association
IRIS estime que la situation cryptographique en France « n’est pas digne
d’une nation civilisée »
Dans le communiqué de presse accompagnant le texte français
de la campagne GILC-Wassenaar, l’association
IRIS
appelle une nouvelle fois le gouvernement à abandonner sa politique
anti-cryptographie.
Extraits :
« son application de l’accord de Wassenaar, plus stricte
que celle de la plupart des autres pays signataires, n’est pas digne d’une
nation civilisée, et encore moins justifiée lorsque l’on
prétend être la patrie des droits de l’homme.
À l’heure de la célébration du
cinquantenaire de la Déclaration universelle des droits de l’homme,
pour laquelle une mission interministérielle a été
confiée à monsieur Robert Badinter, et qui verra l’organisation
de plusieurs manifestations en France, il est temps que le gouvernement
cesse d’ignorer le droit fondamental des citoyens à la confidentialité
des communications, inscrit à l’article 12 de cette Déclaration. »
La
coalition GILC déclare :
« LA CRYPTOGRAPHIE N’EST PAS UNE ARME »
La Coalition Internationale pour les Libertés sur Internet GILC
(Global Internet Liberty Campaign) publie une déclaration officielle
demandant l’abrogation des dispositions anti-cryptographie de la convention
« Wassenaar Arrangement » (un accord international liant tous les grands
pays industrialisés et réglementant la circulation des biens
technologiques dits « à double emploi », et plus particulièrement
les « armes conventionnelles » et les logiciels de cryptographie).
La GILC effectue un rappel à l’ordre sémantique et technique
assez sec, déclarant notamment :
« La cryptographie est un outil
défensif, non une arme ».
Extraits :
« CONSIDÉRANT que le défaut de protection
de l’utilisation et de la distribution libres de logiciels de cryptographie
compromet la vie et la liberté des militants des droits de l’homme,
journalistes et militants politiques partout dans le monde;
CONSIDÉRANT qu’une quelconque restriction de
l’utilisation de procédés de cryptographie est inapplicable
en pratique, puisque les méthodes mathématiques et algorithmiques
de cryptographie forte utilisées par ces procédés
sont largement publiées, et peuvent être facilement implantées
sous forme de logiciel par toute personne ayant des compétences
en la matière; »
On notera également la référence finale faite par
la GILC aux recommandations de l’OCDE.
Extrait :
« RECONNAISSANT de plus que les lignes directrices
adoptées par l’OCDE stipulent que « les droits fondamentaux
des individus à la vie privée et à la confidentialité,
parmi lesquels le secret de la correspondance et la protection des données
personnelles, devraient être respectés par les politiques
nationales sur la cryptographie et dans l’implantation et l’usage des méthodes
de cryptographie »; »
Cette déclaration
de la GILC (diffusée en plusieurs langues dont le français)
a été signée par toutes les grandes associations de
défense des libertés individuelles sur Internet dans le monde,
dont IRIS qui est le coordinateur
national français de la campagne.
La déclaration est aussi miroitée
sur
notre site.
Un
rapport du Conseil d’Etat plaide pour une poursuite de la réglementation
anti-cryptographique française
Dans un Rapport remis le 8 septembre au Premier Ministre (et disponible
gratuitement en ligne) intitulé
Internet
et les réseaux numériques, le Conseil d’Etat s’exprime
longuement sur la cryptographie. Développant des thèses classiques,
le Rapport n’envisage le respect de l’intimité de la vie privée
que pour appeler à un « compromis » entre les libertés fondamentales
et « la sécurité publique ». Le terme d »équilibre » est
aussi utilisé. Le Rapport met surtout l’accent sur les « nécessités
du commerce électronique ».
A aucun moment, l’abrogation de la loi anti-cryptographie
française n’est envisagée par les conseillers d’Etat. Le
principe du contrôle a priori est validé et la théorisation
des « tiers de confiance » (dépôt de clés) ne fait l’objet
que de discrètes réserves (coordination européenne
nécessaire).
En outre, les atteintes à l’intimité de
la vie privée contraires au respect des droits de la défense
des suspects sont acceptées par l’organe conseiller du législateur.
Extrait (Chap.III) : « Les pouvoirs publics sont convaincus de la nécessité
de libéraliser dans une large mesure la fourniture et l’utilisation
de moyens de cryptologie afin de favoriser l’essor du commerce électronique.
Cet objectif trouve cependant ses limites dans les préoccupations
de sécurité publique. En particulier, il demeure nécessaire
que la police judiciaire et les services de sécurité puissent
continuer à pratiquer, dans le cadre légal, des interceptions
de messages sans que la personne placée sous surveillance en soit
informée. »
-
COMMENTAIRE DE « PGP POUR LES FRANÇAIS » : Une des dernières
lignes du Rapport évoque une solution censée : « se borner
à exiger que les moyens de cryptologie utilisés en France
permettent le recouvrement des clés à l’initiative de l’émetteur
ou du destinataire du message, qui sera alors tenu de les remettre lui-même
à la justice ou aux services de sécurité sous peine
de sanctions pénales sévères. » Hélas, étant
donné le reste du Rapport, une constitutionnalisation pure et simple
du Droit au secret de la correspondance nous semble la seule voie envisageable
au regard de l’Histoire politique et philosophique française. Au-delà,
ajoutons que la « vie électronique » auquel chacun sera bientôt
(est déjà) soumis verra nécessairement une limitation
de pouvoir, soit de la part de l’Etat, soit de la part de l’individu. Un
des deux perdra obligatoirement certaines de ses facultés. Si un
Etat dans le monde doit accepter d’être le premier à s’autolimiter,
c’est la France. Parce que si la France ne le fait pas, aucun pays ne le
fera jamais. Il y a là, pour chaque personne résidant sur
le territoire français, une mission de citoyen du monde.
L’AUI
publie la première FAQ française sur la cryptographie
L’Association des Utilisateurs d’Internet
(AUI) publie une FAQ
sur la cryptographie. Ce document est destiné à « répondre
aux questions fréquemment posées sur Usenet au sujet de la
cryptographie » et « se veut aussi factuel que possible, sans prise
de position ».
PGP
6.0 freeware est disponible en Europe
Network Associates Inc. publie PGP
6.0 freeware (pour Win95/98 et Mac) aux USA. Malgré la loi américaine
interdisant l’exportation de logiciels de cryptographie sûre, PGP
6.0 a été illégalement exporté par des inconnus
moins de 24 h après sa mise en ligne aux USA et est disponible en
Europe, notamment sur le FTP de Replay et sur la « International PGP Home
Page »:
* Windows 95, 98, NT – MacOS :
ftp://ftp.replay.com/pub/replay/pub/pgp
International
PGP Homepage
* ou en cherchant « pgpfreeware6 » sur FTPsearch
Quelques captures d’écran du nouveau
PGP 6.0
ScramDisk
2.02 est disponible
ScramDisk 2.02 (Win95/98)
est disponible. ScramDisk est destiné au chiffrement des disques
durs et utilise un principe extrêmement sûr : le chiffrement
/ déchiffrement des données opère au niveau du système
d’exploitation et n’inscrit sur le disque que des données chiffrées
(même principe que les compresseurs de disque comme Stacker). Blowfish
(avec 256 bits), IDEA, et d’autres algorithmes sont disponibles.
ScramDisk 2.02 présente plusieurs nouveautés par rapport
à la version 2.0 (montage/démontage des disques virtuels,
parade contre les intercepteurs de phrase de passe, etc.) Il peut être
téléchargé
ici et a aussi été miroité
sur notre site anglais.
* Voir nos conseils succincts
pour les premiers pas dans ScramDisk.
Le
Manuel de PGP 2.63i est disponible en français
Le « Guide de l’utilisateur de PGP 2.63i Volume 1 » a été
traduit en français par plusieurs participants du forum de discussion
news:fr.misc.cryptologie.
La révision de la traduction est due à Emilio Oriente qui
a signé le texte final avec sa clef RSA
– Version HTML en ligne (120 Ko)
– Versions zippées
TXT, PDF, HTML
(+ configuration PGP 2.63i française révisée) (version
distribuée par www.pgpi.org) (170 Ko)
PGP
5.0i en français pour les PC (LINUX, UNIX et DOS)
Après la version 5.5.3i pour MacOS, PGP 5.0i est disponible en
français pour les PC et compatibles x86 (version Linux / UNIX et
DOS) grâce à une traduction effectuée par Guy Brand.
Téléchargez les
fichiers de configuration.
Il ne reste plus que la version Windows 95 qui ne soit pas encore disponible
en français.
Phil
Zimmermann condamne les clefs publiques supérieures à 4096
bits
Dans un message signé daté
du 31 juillet 1998, Phil Zimmermann, le créateur de PGP, condamne
la longueur excessive des clefs publiques utilisées par certaines
versions modifiées à partir du code-source public. Il s’agit
là d’un désaveu de l’équipe de Imad R. Faiad et des
« Cyber Knights Templar » qui diffuse des versions PGP dite « C-KT » à
clefs DH 8192 et RSA 16384 bits.
TÉLÉCHARGEZ
les principales versions de PGP sur notre site anglais
Les principales versions de PGP sont désormais téléchargeables
sur notre site miroir anglais à l’adresse http://www.fortunecity.co.uk/skyscraper/techie/18/soft.htm
L’EFF
signe la mort du DES et prouve que les gouvernements exagèrent la
résistance des logiciels de cryptographie autorisés
En cassant en 3 jours un message chiffré avec le standard DES-56
bits, l’Electronic Frontier Foundation
(EFF) prouve que les déclarations du gouvernement américain
étaient fausses. Le DES est le standard US conseillé par
ce dernier qui continuait jusqu’ici à affirmer que casser le DES
était hors de portée des particuliers pour des raisons de
coût, de connaissances techniques et de temps.
L’EFF, association américaine de défense
des libertés individuelles sur Internet, a pu casser le message
(issu du Challenge RSA) en 56 heures en construisant elle-même une
machine
« artisanale », le « DES Cracker » (voir photo ici),
coûtant moins de 1,5 million de FF, soit un investissement à
la portée de n’importe quelle PME de plus de 50 salariés.
Les plans complets et le mode d’emploi pour la construction d’un « DES Cracker »
ont été publiés le jour même aux Editions
O’Reilly et mis en ligne après scannage
de la version imprimée.
Il est à noter que les clefs de 56 bits sont d’une résistance
sans commune mesure avec celles de 40 bits (seules à être
normalement autorisées en France) puisqu’un bit supplémentaire
multiplie par deux la résistance de la clef (une 41 bits résiste
deux fois plus longtemps qu’une 40).
Le message secret de RSA disait : « It’s time for those 128-, 192-,
and 256-bit keys ».
Le
miroir français de PGP.NET sommé de fermer par une mise en
demeure officieuse du SCSSI
Selon le Bulletin Lambda,
l’Université
de Technologie de Compiègne (UTC) a reçu une lettre du
SCSSI lui enjoignant de supprimer le miroitage du FTP de PGP.NET qu’il
effectuait depuis quelques mois. L’administrateur système a informé
ses partenaires européens du projet PGP.NET qu’il interrompait le
miroitage en France. Cependant, pour une raison inconnue, l’UTC refuse
de s’exprimer sur le sujet et considère
« l’incident clos ».
D’autre part, il semble que cette affaire se soit traitée en dehors
de toute intervention de l’autorité judiciaire, et sur simple demande
administrative du SCSSI, demande acceptée par l’UTC sans contestation.
N.B. : PGP reste disponible sur des dizaines d’autres
FTP localisés en France, comme par exemple l’Université de
Jussieu ou l’Ecole Centrale.
Une
version PGP 5.5.3i à clefs DH de 8192 bits et RSA de 16384 bits
Publication par le groupe de programmeurs
« Cyber-Knights
Templar » d’une version freeware C-KT
PGP 5.5.3i permettant l’usage de clefs publiques DH de 8192 bits et
RSA de 16384 bits.
Le
SCSSI reconnaît l’impossibilité d’appliquer la loi anti-crypto
à l’encontre des personnes privées
Dans une interview au magazine
Réseaux
& Télécoms (N° 124), le Général
Desvignes, patron du SCSSI, s’exprime sur l’usage répandu de PGP
par les personnes privées en France. Sans jamais évoquer
les protections constitutionnelles européennes et françaises
de l’intimité de la vie privée, il reconnaît cependant
qu’il y a impossibilité d’appliquer la loi anti-crypto à
l’encontre des personnes privées.
Extrait :
« R&T – Que pensez-vous du fait que des
produits forts comme PGP circulent librement en France ?
[Général Desvignes ]– Il y a
des tas de produits défendus, autre que cryptologiques, qui circulent
sans trop de difficultés. Tout d’abord, utiliser un logiciel cryptologique
téléchargé sur Internet est assez risqué. Ce
n’est pas grave pour un particulier, mais ce serait de l’inconscience pour
une entreprise. D’ailleurs si PGP est très connu, il est relativement
peu utilisé par les professionnels et les entreprises. Peut être
que sa version commerciale, qui est séquestrable, séduira
davantage les patrons ! En tous cas, on ne va pas pourchasser les gens,
comme les chercheurs qui veulent voir ce qu’est PGP¨, le tester. Mais
imaginez qu’ils l’utilisent pour commettre un délit : dans ce cas,
les peines sont très lourdes (3 ans de prison, 500 000 francs d’amende).
Le cas le plus délicat est quand se forme un consortium international
pour répondre confidentiellement à un appel d’offre dans
un laps de temps réduit : une solution immédiate et gratuite,
c’est PGP. L’administration, moyennant quelques précautions, pourra
dire oui, aux risques et périls des demandeurs. »
-
COMMENTAIRE DE « PGP POUR LES FRANÇAIS » : l’accent mis par le
Général Desvignes sur l’usage de PGP aux fins de commission
d’un délit grave nous donne l’occasion d’attirer l’attention du
législateur sur une réforme qui mettrait enfin la France
en conformité avec les idéaux des Droits de l’homme qu’elle
défend dans tous les autres domaines : une libéralisation
totale de l’usage de cryptographie doublée de peines lourdes en
cas d’utilisation aux fins de commission d’un délit grave.
Network
Associates International BV, filiale de NAI, vend PGP depuis les Pays-Bas
Network Associates International
BV a ouvert son site web aux Pays-Bas et vend la totalité des
versions personnelles et professionnelles de PGP dans le monde entier.
Une version d’évaluation 30 jours est téléchargeable.
NAI distribue PGP directement en Angleterre, Allemagne, Suisse, Autriche,
Italie, Brésil et Japon. Pour les autres pays, la distribution est
effectuée par NAI-BV depuis les Pays-Bas.
Le
chef du SCSSI fait reposer l’efficacité de la législation
française anti-crypto sur les restrictions US à l’exportation
Dans le supplément « Multimedia » (24-25 Mai 1998) du journal Le
Monde, le Général Desvignes déclare : » Si
les USA autorisent les exportations sans restriction, plus personne ne
pourra rien contrôler. »
PGP
5.5.3i est disponible en français (pour Mac)
La première version non-anglaise de PGP 5.5.3i est française,
disponible pour Mac. On la doit à Jean-Pierre Kuypers en Belgique
et on la trouve ici (fichier « rustine ») : ftp://ftp.sri.ucl.ac.be/pub/PGP/
Aucune version Win95 n’est annoncée de manière sûre
pour le moment.
PGP
5.0i pour ATARI
PGP 5.0i pour Atari est disponible en Norvège : ftp://ftp.no.pgpi.org/pub/pgp/5.0/atari/pgp50ib.zip
Un
responsable au Secrétariat général de la Défense
nationale juge que ses homologues américains sont « tout à
fait désorientés » et gênés par « l’opinion publique »
Dans un rapport
du sénateur René Trégouët (sur l’évolution
générale d’Internet en France), un responsable du Secrétariat
général de la Défense nationale (qui a la tutelle
du SCSSI) prend ses distances avec la stratégie des autorités
américaines.
PGP
5.5.3 international pour Windows 95 est arrivé
Mardi 7 avril à 12:15 GMT, Ståle Schumacher a mis en ligne
PGP 5.5.3i pour Windows 95 depuis la Norvège : ftp://ftp.no.pgpi.org/pub/pgp/5.5/win95nt/pgp553i-win95nt.exe
(archive de 2.2 Mo). PGP 5.5.3i est freeware, il a été exporté
légalement des USA, et il peut être utilisé pour usage
non-commercial dans tous les pays du monde, Union Européenne et
Espace Economique Européen compris.
PGP
5.0i pour OS/2
William H. Geiger III publie une version
PGP
5.0 for OS/2.
PGP
5.5.3i pour Mac est disponible
PGP 5.5.3i pour Macintosh est publié par Ståle Schumacher
et Teun Nijssen en Norvège.
Les
décrets du 23/03/98 interdisent l’utilisation de toute cryptographie
sûre en France
Les décrets 98-206 et 98-207 du 23/03/98 « définissant
les catégories de moyens et de prestations de cryptologie dispensées
de toute formalité préalable » autorisent l’usage libre de
logiciels de cryptographie de 40 bits en France. Les autres logiciels devront
être homologués par un organisme administratif, le SCSSI (Service
Central de la Sécurité des Services Informatiques).
Rappelons que les spécialistes s’accordent sur
deux conditions indispensables à la sécurité : une
clef symétrique d’au moins 128 bits, et un logiciel fourni avec
son code-source afin d’être scruté par des cryptographes indépendants.
Le site de référence pour la compilation des textes législatifs
et leur analyse est celui de Valérie
Sédallian.
Network
Associates annonce la distribution immédiate de PGP dans le monde
entier
Le 20 mars lors du CEBIT’ 98 de Hanovre, Network Associates Inc. a
annoncé la distribution immédiate de PGP dans le monde
entier, en vertu de l’exportation légale des USA de PGP sous forme
de livre imprimé. Toutes les versions futures seront disponibles
dans le monde entier, Union Européenne et Espace Economique Européen
compris. La filiale européenne de NAI, basée à Amsterdam,
a commencé la vente du logiciel le jour même.
PGP
freeware 5.5.5 disponible en Europe
PGP 5.5.5 (dernière version freeware US) est disponible en Europe
après avoir été exporté illégalement
des USA par des inconnus. Version Windows
95 et version Mac.
Un patch
spécial a été publié pour PGP 5.5 freeware
: il permet la génération de clefs RSA compatibles PGP 2.6x
PGPdisk
pour Windows 95
Network Associates Inc. publie aux
USA « PGP Total Network Security Suite », qui inclue PGPdisk 1.0 pour Win95
et 1.01 pour Mac. La version Mac existe depuis un an et est disponible
en pirate sur le site de Replay
Associates. PGPdisk permet le chiffrement / déchiffrement d’un
disque dur en temps réel, sur le même principe que les compresseurs
de disques tels Stacker. Ce procédé est le seul vraiment
fiable pour sécuriser les informations stockées sur un ordinateur.
Décrets
français : IRIS dénonce une « logique sécuritaire »
Selon l’association IRIS,
« La logique sécuritaire de la réglementation française
demeure inchangée ». Extrait : « L’économie générale
du décret sur les tiers de confiance est un sentiment de suspicion
à l’égard de la confidentialité. »
Version
finale de PGP 5.0i pour MS-DOS
Georg Bauer a terminé la version finale de PGP
5.0i pour DOS basée sur la version finale pour UNIX. Mais il
n’y a encore aucun shell pour Windows 3.1 qui soit compatible avec cette
version 5.0i.
L’Autorité
de Régulation des Télécommunications appelle à
un débat public sur la cryptologie en France
Dans une délibération du 8 octobre 1997 publiée
seulement aujourd’hui (Journal Officiel du 27/02/98), l’Autorité
de Régulation des Télécommunications rend un avis
défavorable sur le projet de décrets interdisant la cryptographie
sûre en France. Dans ses observations générales préliminaires,
on peut lire : « -Suggère que soit engagée une large réflexion
publique sur les enjeux de la cryptologie et les règles qui doivent
la régir. »
Le
Challenge DES II lancé par RSA Inc. le 13 janvier a été
cassé
Le 23 février 1998, à 02:26 GMT, l’équipe du Bovine
RC5 Effort a réussi à casser le Challenge DES-II-1 (56
bits) de RSA Inc. après seulement
39 jours de travail. La clef était 76 9E 8C D9 F2 2F 5D EA et le
message chiffré disait : « The secret message is: Many hands make
light work. »
Le Challenge RC5-64 bits quant à lui continue, et on peut télécharger
le logiciel de
participation (par exemple version Windows
95). Voir pour plus d’infos la
FAQ.
Nouvelle
version de FORTIFY pour Netscape : 128 bits + S/MIME
Farrell McKay publie une version 1.21 de Fortify,
qui donne un module cryptographique de 128 bits au lieu de 40 à
toutes les versions de NETSCAPE (Win95 ou Linux/Unix, versions anglaise
ou française non téléchargées en France), ainsi
qu’une clef plus longue pour le chiffrement S/MIME du courrier. Le site
web situé en Grande-Bretagne
propose en outre de tester le module cryptographique de sa propre version
de Netscape en se connectant directement sur cette
page.
PGP
5.0i pour AMIGA
Stefan Zakarias publie une version
Amiga beta 8a3, disponible sur son Amiga-PGP5-International
Page (en Australie). L’auteur ne semble pas l’avoir miroité
sur un seul FTP en Europe pour le moment.
La
GILC épingle la France dans son rapport « Cryptography and Liberty »
La coalition GILC (Global Internet Liberty Campaign) publie un rapport
très complet intitulé « Cryptography
and Liberty, an international survey of encryption policy ». Dans ce
rapport, elle mentionne le cas de la France au chapitre « Chiffrement et
droits de l’homme ». Extrait : « Les agents du contre-espionnage français
ont écouté le téléphone de journalistes importants
et de dirigeants des partis d’opposition. La Commission Nationale de Contrôle
des Interceptions de Securité française a estimé qu’il
y avait environ 100,000 interceptions illégale effectuées
chaque année en France. » La Grande-Bretagne et l’Allemagne sont
aussi mentionnées dans ce chapitre. A noter que le SCSSI a refusé
de répondre aux questions de la GILC.
Des
trous de sécurité dans les modules cryptographiques de Microsoft
Le néo-zélandais Peter Gutmann publie une
étude intitulée « How to recover private keys for various
Microsoft products – Where do your encryption keys want to go today? »
qui pointe les graves faiblesses cryptographiques contenues notamment dans
la version US-128 bits d’Internet Explorer 4.
Bruce
Schneier relève des pièges de sécurité dans
la plupart des logiciels cryptographiques
Bruce Schneier publie « Security
Pitfalls in Cryptography », une étude dans laquelle il relate
comment lui et son équipe de CounterPane
Systems ont pu attaquer victorieusement la plupart des logiciels de
cryptographie vendus dans le commerce. Extrait : « Nous n’avons pas à
essayer toutes les clefs possibles, ou même trouver des faiblesses
dans les algorithmes. Nous exploitons des erreurs dans la conception, des
erreurs dans l’implémentation, et des erreurs dans l’installation.
Parfois, nous inventons une nouvelle ruse pour casser le système,
mais la plupart du temps nous exploitons les mêmes vieilles erreurs
que les concepteurs font à plusieurs reprises. » Schneier est
aujourd’hui le plus réputé des spécialistes civils
en cryptologie.
Cryptographie
en France : IRIS juge qu’un compromis est impossible
Dans sa lettre d’information n° 1 de janvier 98, l’association IRIS
considère qu’en matière de cryptographie aucun compromis
n’est possible (tiers de confiance, faible longueur de clef, etc.). Extrait
: « Il n’y a pas de compromis possible en l’affaire(…). Il n’y a que
le choix – éminemment politique – de donner la priorité au
droit à la confidentialité ou à la « raison d’État »« .
Le
code-source de PGP 5.5i (Win95) disponible
Le code-source de PGP for Personal Privacy 5.5 pour Win95 a été
scanné par Ståle Schumacher et Teun Nijssen, et est disponible
en Norvège sur la International PGP
Home Page, ainsi que la librairie de développement (DLL) PGP-SDK.
Les versions binaires 5.5 « internationale » pour Win95 et Mac sont attendues
prochainement.
Mise à jour : décembre 1998
© 1997, 1998, 1999, 2000, pplf 14A0 4A67 0431 2402
684D 6EBA 537F 664D 3F80 0D58
[email protected] |