Pourquoi
PGP
est
légal
en
France depuis mars 1999
décembre
1999 : Network Associates France vient d’obtenir du Service Central de
la Sécurité des Systèmes d’Information (SCSSI) « l’autorisation
de fourniture en vue d’une utilisation générale du moyen
de cryptologie PGP Desktop utilities, versions 6.0.2 et 5.5.5 » – Voir aussi
les news.
Que
dit le décret
n° 99-200 du 17 mars 1999 ?
« Opérations dispensées de toutes formalités
préalables [pour l’utilisation et l’importation] :
[…]
2. Matériels ou logiciels offrant un service de
confidentialité mis en oeuvre par un algorithme dont la clef est
d’une longueur supérieure à 40 bits et inférieure
ou égale à 128 bits, à condition, soit que lesdits
matériels ou logiciels aient préalablement fait l’objet d’une
déclaration par leur producteur, un fournisseur ou un importateur,
soit que lesdits matériels ou logiciels soient exclusivement destinés
à l’usage privé d’une personne physique. »
Est donc autorisé « l’usage privé par une personne physique »
des logiciels de cryptographie possédant une longueur de clef inférieure
ou égale à 128 bits.
Comment
fonctionne PGP freeware ?
Rappelons les caractéristiques et le fonctionnement de PGP, cryptosystème
hybride qui utilise à la fois les clefs symétriques (« clef
de session » de 128 bits) et les clefs asymétriques (« clef publique »
de 512 à 2048 ou 4096 bits) :
-
1) le message est d’abord chiffré avec une clef de session générée
aléatoirement (128 bits), puis
-
2) cette clef de session est chiffrée avec la clef publique
du destinataire (1024 à 4096 bits), puis
-
3) texte chiffré par la clef de session + clef de session chiffrée
par la clef publique sont réunis :
(Illustration : Network Associates Inc., « Une
introduction à la cryptographie »)
Le message est chiffré par un algorithme à clef symétrique
de 128 bits. Ce système entre dans le cadre du « service de confidentialité »
défini par les décrets du 17 mars 1999, avec une clef de
128 bits. Le fait qu’il « suffirait » de casser cette clef de 128 bits pour
déchiffrer le message, le démontre.
Les clefs publiques (asymétriques), elles, ne servent pas à
CHIFFRER le message, mais à CONTRÔLER l’accès à
la clef de 128 bits. On est alors dans le cadre d’un système cryptographique
de contrôle d’accès (et non plus de confidentialité).
La clef que l’on déchiffre ainsi, en effet, ne comporte aucune information
signifiante pour l’expéditeur ou le destinataire du message. La
loi française autorise depuis longtemps l’utilisation de systèmes
cryptographiques de contrôle d’accès, et ce sans formalité,
et quelle que soit la longueur et le type de la clef (exemple : le code
secret de votre carte bancaire).
Bien que les décrets de mars 1999 (et la loi du
29 décembre 1990) ne fassent pas de distinction entre la longueur
de la clef symétrique et la longueur de la clef publique, il semble
évident qu’ils visent les clefs symétriques puisque la seule
autorisation de clefs publiques de 128 bits maximum n’aurait aucun sens
(des clefs publiques de 512 bits ont déjà été
cassées et la sécurité pour ce type de clefs commence
à partir de 1024 bits). Les décrets de mars 1999 ne peuvent
sur ce point être interprétés sans un examen des motifs
de l’autorité les ayant pris, c’est-à-dire la délibération
du conseil
interministériel du 19 janvier 1999 décidant la libéralisation
de l’usage de la cryptographie en France.
PGP est, répétons-le, un cryptosystème hybride.
Il est composé de deux sous-ensembles : un système de confidentialité
à clef symétrique de 128 bits, légal, et un système
de contrôle d’accès à clef asymétrique, de longueur
variable, légal lui aussi.
PGP freeware est donc légal.
Pour les lois et décrets, voir le site
du gouvernement.
Pour des interprétations des lois et décrets, voir le
site du SCSSI.
Mise à jour : novembre 1999
© 1997, 1998, 1999, 2000, pplf 14A0 4A67 0431 2402
684D 6EBA 537F 664D 3F80 0D58
[email protected] |