home *** CD-ROM | disk | FTP | other *** search

---

/ The Equalizer BBS / equalizer-bbs-collection_2004.zip / equalizer-bbs-collection / HPA-STUFF / NOROUTE3.ZIP / NR3-22.txt

< prev

next >

Wrap

Text File  |  1997-07-01  |  16KB  |  400 lines

---

1.  
2.  Pouvons nous encrypter nos donnees ?
3.  
4. Si tu t'ennuies, tu peux suivres ca :)
5.  
6. Voici un extrait d'une mailing list, suite a une rumeur concernant une
7. autorisation d'utiliser PGP en France. Cela a donne lieu a un tas de
8. reponses. J'ai suivi tout ca en temps reel, et c'est assez amusant les
9. reaction :)
10.  
11. Voila on attaque, ca commence pas un mail tel que :
12.  
13. Bonjour,
14.  
15. Nous recherchons un(des) logiciel(s) capable(ent)  d'empΩcher la lecture
16. indiscrete de certains fichiers/rΘpertoires sous un environnement w95?
17. Cette protection viserait les rΘpertoires et fichiers contenant les
18. donnΘes mΘdicales saisies dans les logiciels mΘdicaux.
19. ...
20.  
21.  
22. -- et une reponse --
23.  
24.         Bonjour,
25.  
26.         Si une solution avec mot de passe est envisageable, il est possible
27. d'utiliser de nombreux produits non-commerciaux. Je pense tout
28. d'abord α PGP qui est public et qui fut donc analyse en profondeur
29. par de nombreux experts.
30.  
31.  
32. -- ensuite la reponse qui a mit toutes les reactions --
33. PGP (Pretty Good Privacy), un logiciel de cryptage trΦs puissant, yet 
34. convivial, vient d'Ωtre autorisΘ α la vente en France.
35. Il rΘpond α vos besoins α priori. Par contre je ne sais pas qui le 
36. distribue.
37.  
38. -- et enfin les reactions --
39.  
40. Quels textes S.V.P ?
41.  
42. Au dernieres nouvelles, PGP etait interdit d'utilisation. Seul 
43. l'authentification etait 'toleree' par PGP.
44.  
45. -- --
46.  
47. Hein, quoi, PGP autorisΘ α la vente en France !.. ???
48. O∙ avez-vous vu celα ? Quelles sont vos sources ?
49. Allez donc demander une autorisation au SCSSI, vous verrez ce qu'ils  vous 
50. rΘpondront !
51. C'est bien la meilleure de l'annΘe celle-lα...
52.  
53. -- Reaction la plus courrante --
54.  
55. D'ou vient cette information ?
56.  
57. -- --
58.  
59. Hola !
60.         Enfin un sujet qui suscite l'interet general ..;-)
61.  
62.  Concernant l'info selon laquelle PGP avait recu un certain agrement en 
63. France, j'ai vainement cherche a la retrouver, s'agissant d'une des 
64. nombreuses publications electroniques que l'on recoit.
65.         Cependant, elle stipulait que sous certaintes conditions,
66. l'utilisation 
67. de PGP pouvait Ωtre consentie (probablement en laissant votre cle privee 
68. chez l'epicier du coin). A verifier de toute facon.
69.  
70. -- --
71.  
72. Et vous ne la trouverez certainement pas, car elle est fausse !
73. PGP reste interdit en France.
74. Pour tous renseignements, Θcrire au SCSSI....
75.  
76. Avant de balancer de fausses infos. dans ce genre, vaut mieux 
77. vΘrifier et croiser ses sources...
78.  
79. -- --
80.  
81. PGP est un freeware.
82. PGP est un des programmes de cryptage les plus s√r actuellement, et ne
83. risque
84. pas d'Ωtre authorisΘ en france.
85. Il existe d'autres logiciel Θgalement freeware et trΘs s√r qui
86. permettent de crypter un systeme de fichier (secdev, secdrv, sfs ...)
87. qui seraient plus adaptΘs mais qui ne risquent pas non plus d'Ωtre
88. authorisΘs en France.
89. Je vois 3 possibilitΘ:
90. 1 - Ne pas protΘger son informatique, ne pas faire de commerce
91. electronique, ne pas authentifier ses correspondants
92. 2 - Etre hors la loi
93. 3 - Changer de pays
94.  
95. -- --
96.  
97. faux 
98. En attendant la parution des decrets d'application de la 
99. loi de 1996 -CA-, PGP-renater est autorise en france. 
100. Le chiffrage est reglemente (~=interdit) en france. Mais toutes 
101. fonctions de hachage (signature, scellement, ..) est libre 
102. d'utilisation. PGP-renater est une version "light" du code de pgp qui
103. ne permet pas de faire de la confidentialite mais qui fait tres bien
104. de l'integrite et de l'authentification (==meme fonction et codage que
105. son frere).
106.  
107. -- --
108.  
109. Non, vrai....
110. Lorsque l'on parle de PGP, il s'agit bien s√r du soft de 
111. Philip Zimmermann, et non pas d'une mouture franco-franτaise adaptΘe 
112. et "castrΘe" pour la circonstance !
113.  
114. Ce PGP-Renater a ΘtΘ dΘveloppΘ par qui... Renater ? Le code source 
115. est-il public ? Le soft est-il disponible pour le public et o∙ ?
116.  
117. Si l'on ne peut pas faire de confidentialitΘ.....
118. Bref, il ne s'agit en rien de PGP tel que nous l'entendons gΘnΘralement.
119.  
120. -- --
121.  
122. Bonjour,
123.  
124. J'aimerais apporter ma contribution a cette discussion sur deux points :
125.  
126. - concernant PGP, il n'est toujours pas (a ma connaissance) agree par
127.   le SCSSI, mais le fameux article que recherchait Pierre Pezziardi est
128.   peut-etre un article du 01 Informatique du 13.06.97 ou il est ecrit que
129.   le gouvernement des USA vient d'accorder a la societe PGP le droit
130.   d'exporter des technologies mettant en oeuvre des cles de cryptage
131.   de 128 bits (p. 30, "Le programme PGP bientot disponible en France ?") 
132.  
133. - pour preciser ce que disait Arnaud Tarrago :
134.   en France, la fourniture, l'exportation et meme la simple utilisation
135.   de methodes de chiffrement sont reglementees par l'article 28 de la loi 
136.   du 29.12.90 sur la reglementation des telecommunications. Selon le cas,
137.   une declaration ou une demande d'autorisation prealable doit etre
138.   effectuee aupres du SCSSI :
139.  
140.     . declaration pour les procedes d'authentification / integrite,
141.  
142.     . demande d'autorisation prealable pour tout le reste, et particulierement
143.       pour les moyens permettant d'assurer la confidentialite de l'info.
144.  
145.   Cette demande d'autorisation passe par le depot d'un dossier detaille,
146.   avec une partie technique comportant une description des algorithmes ou
147.   autres procedes cryprographiques.
148.  
149. -- --
150.  
151. Exact !  Et ceux qui ont essayΘ de la demander pour PGP se sont 
152. toujours vu rΘpondre NIET !.... et pour cause...
153.  
154. -- --
155.  
156. Il est illΘgal (auxs Etats-Unis) exporter un PGP α France.  L'exception 
157. unique α ce point dans loi des Etats-Unis est pour amΘricain a possΘdΘ des 
158. compagnies fournir PGP pour l'emploi de ses filiales en France.   Allez α 
159. www.pgp.com
160.  
161. -- --
162.  
163. Au SCSSI d'agir maintenant...
164.  
165. Sachant que le SCSSI a deja habilite les produits netScape Navigator 
166. et Internet Explorer pour l'utilisation de SSL, mais avec 40bits, pas
167. 128.
168.  
169. -- --
170.  
171.  
172. J'ai ete amene, il y a quelques mois a rencontrer les gens sur SCSSI 
173. ainsi que ceux d'un certain ministere charge des licenses d'exportations 
174. pour les logiciels comportant des crypteurs.
175.  
176. Voici la conclusion des differentes rencontres que j'ai eu :
177.  
178. 1 - La liberalisation des marche fait que, plutot que d'opter pour une 
179. autorisation au cas par cas, les pays de l'OCDE ont conclu un accord 
180. visant a ce qu'une autorisation d'export donnee par un pays soit 
181. automatiquement acceptee comme droit d'utilisation et d'importation par 
182. les autres, dans la limite des contraintes.
183.  
184. 2 - Les autorisations d'export sont accordes sous les conditions suivantes :
185.  
186.      - Negciation des cles de session : Pas de limite
187.      - Crypteur : Algorithme connu (ou depose)
188.      - Cle de cryptage : Entropie max : 40 bits.
189.      - Domaine d'utilisation
190.  
191. LA TECHNIQUE DERRIERE TOUT CA :
192.  
193. - Le but ultime recherche, par tous les gouvernements, est de pouvoir 
194. decoder une transmission, non en temps reelle pour faire de l'espionnage 
195. (comme certain messages paranoiaque l'on laisser entendre sur la liste 
196. firewall recement), mais au fins d'enquetes. Est clairement vise : 
197. l'utilisation frauduleuse par des personnes prives des moyens autorises 
198. d'une entreprise pour mener des actions illegales. En gros, c'est de 
199. l'accumulation de preuves. (Note : Le domaine de l'espionnage est plus 
200. efficace avec des moyens physiques, style service de renseignement 
201. Portuguais).
202.  
203. - Ce que l'on sait faire en terme de decodage, c'est passer 3 a 5 jours
204. pour trouver une clee de cryptage de 40 bits. 41 bits double le temps, 56
205. bit donne environ 500 ans avec les memes moyens quand a 128 bits, on est
206. en plein dans le domaine des contraintes thermodynamiques avec des ordre
207. de grandeur de 10^10 fois l'age de l'univers !!. Bon, les gouvernements
208. visent a permettre de decoder une transmission en 2-3 jours. D'ou 40 bit
209. imperatifs vu que les crypteurs actuels ne sont attaquable qu'en force. 
210.  
211. Ceci nous explique les points suivants :
212.  
213.      - Negciation des cles de session : Pas de limite
214.  
215. Puisque l'attaque portera sur le crypteur, l'etablissement de la cle de 
216. session n'a aucun interet. Vous pouvez toujours vous amuser a faire 
217. tourner vos ordinateurs pendant des semaines pour trouver des nombres 
218. premiers entre eux de 2048 bits ou plus, le decryptage ne portera pas 
219. dessus. Ceci explique la 'tolerance' quand a l'utilisation de PGP pour 
220. l'authentification. (Note : Bien evidement, signer un message du style 
221. 'hello world' avec une signature de 2 Koctets attirera l'attention !!).
222.  
223.      - Crypteur : Algorithme connu (ou depose)
224.  
225. Si le crypteur n'est pas connu, son algorithme doit etre depose. De meme, 
226. une version du logiciel doit etre fourni. Les services de renseignements 
227. se communiquent entre eux les logiciels en question, ne vous en faites 
228. pas, c'est toujours ca d'economise en timbre.
229.  
230.      - Cle de cryptage : Entropie max : 40 bits.
231.  
232. Ici, le mot cle est 'entropie'. Tout cryptage utilisant une cle plus 
233. longue doit etre : soit consigne (et les procedures ne sont pas encore 
234. bien etablis ce qui fait qu'il faut pouvoir motiver aupres du SCSSI la 
235. necessiter d'employer des cles consignes. tres dur !!) soit avoir une 
236. partie des bits de la cle qui soit une fonction lineaire de la partie 
237. aleatoire, celle-ci devant etre, au maximum de 40 bits. Grosso modo, on 
238. peut dire que, par exemple, sur une cle de 56 bits, 16 bits doivent etre 
239. 'redondants' et fonction des 40 autres.
240.  
241.      - Domaine d'utilisation
242.  
243. Le developpeur du logiciel doit etre :
244.         - Une SS2I (societe informatique) editeur
245.         - Une societe integrant des logiciels (OEM)
246.         - Une societe informatique travaillant a facon.
247.         - Le service informatique d'une entreprise
248.  
249. A croiser avec :
250.         - Un logiciel d'utilisation vertical
251.         - Un logiciel general integrant un cryptage pour une fonction donnee
252.         - Un logiciel de cryptage general
253.  
254.  Cette clause indique la capacite du logiciel a etre detournee de sa
255. fonction d'origine pour transmettre des messages 'humain'. Ainsi, il est
256. facile d'obtenir une autorisation pour un logiciel cryptant une
257. transmission SNMP, par exemple, alors qu'un logiciel cryptant une liaison
258. SMTP (mail) obtiendra plus difficilement son autorisation et qu'un
259. logiciel general de cryptage (type PGP) n'a quasiment aucune chance. 
260.  
261. A noter que l'echelle de chance de se voir refuser une autorisation en 
262. fonction de l'editeur crois dans l'ordre suivant :
263.  
264.         - Le service informatique d'une entreprise
265.         - Une entreprise hors de l'informatique
266.         - Un etablissement public
267.         - Une association
268.         - un particulier
269.  
270. En gros, on peut dire qu'une SS2I fabricant un produit avec une fonction 
271. annexe de cryptage pour les liaisons EGP aura instantanement son 
272. autorisation alors qu'un particulier editant un logiciel du type 'super 
273. crypteur de la mort qui tue et qui sert a tout' n'a aucune chance.
274.  
275.  
276. APPLICATION
277.  
278. A la lumiere de tout ceci, et si le gouvernement Americain a bien donner 
279. une license d'export pour 128 bits, on peut avoir les cas suivants :
280.  
281. 1 - La transmission est HYPER specialisee (type carte bancaire, 12 
282. chiffres, 1 transmission max par minute, etc.... bref toute contrainte la 
283. rendant virtuellement indetournable).
284.         Dans ce cas, ca va renacler un peu mais on peut envisager que le 
285. reste des pays de l'OCDE disent d'accord. Clairement, sera impose 
286. l'impossibilite de faire des transactions superieures a 100$ ou quelque 
287. chose de ce style.
288.  
289. 2 - La transmission n'est pas specialisee, elle peut etre detournee avec 
290. ou sans collaboration des deux parties (client et serveur)
291.         
292.         Il y a alors deux cas possible :
293.  
294.         2a - La cle possede une entropie de 40 bits.
295.  
296.                 Dans ce cas, pas de problemes. La fonction permettant 
297. l'etablir les 128-40 = 88 bits redondant sera connue des services de 
298. renseignement des pays de l'OCDE. A noter que, dans ce cas, autant 
299. utiliser le 40 bits puisque le jours ou cette fonction viendra a etre 
300. connue, la complexite du probleme sera la meme.
301.  
302.         2b - La cle fait vraiment 128 bits
303.  
304.                 Il y a alors deux cas :
305.  
306.                 2a1 - La cle public de session est donnee auX gouvernementS
307. (OCDE)
308.  
309.                 Toujours pas de probleme pour l'autorisation mais alors 
310. la securite devient tres mauvaise : le jour ou cette clee est connue, 
311. tout transmission devient decodable en temps reel, tandis que si c'est la 
312. fonction de redondance qui devient connu, vous etes quand meme confronte 
313. a devoir casser 40 bits. 
314.  
315.                 2a2 - Seul le gouvernement Americain la connait.
316.  
317.                 Alors les autres pays de l'OCDE crierons au non respect des
318. accords sur les licenses d'exportation et interdiront explicitement
319. l'importation et l'utilisation dudit logiciel sur leur territoire. D'ou on
320. aura un logiciel autorise d'export sans possibilite de l'importer et de
321. l'utiliser.
322.  
323.  
324. Voila. Les paris sont ouverts. Les reactions Europeennes vont 
325. imanquablement nous donner des indices quand au realites techniques de 
326. cette license d'exportation, si tant est qu'il ne s'agisse pas d'un bruit 
327. de couloir.
328.  
329. Merci de votre attention, have a nice day.
330.  
331. (PS : Bien evidement n'hesitez pas a relever toutes les conneries que 
332. j'ai pu ecrire (sauf pour l'Orthographe, dont je vous prie de m'excuser, 
333. mais la, j'ai pas le temps...)). 
334.  
335. -- --
336.  
337. Je tiens au nom de tous les adhΘrents de Micro-MΘdic α remercier
338. L'ENSEMBLE des intervenants sur la question de la sΘcuritΘ des donnΘes
339. sous windows95.
340.  
341. Le dΘbat fut trΦs interressant. Qu'avons nous retenu ?
342.  
343. PGP (Pretty Good Privacy) semble selon vous le plus fiable en terme de
344. sΘcuritΘ.
345. PGP est interdit en FRANCE sauf autorisation spΘcifique
346. PGP difficile d'ergonomie puisqu'il faut donner un nom α chaque cryptage
347. de fichiers.
348.  
349. Seule une solution intermΘdiaire entre le "password" des fichiers ZIPΘs
350. et les algorythmes fiables mais trop chers (PC/DACS95) peut sΘduire les
351. mΘdecins et satisfaire la CNIL.
352.  
353. Nous allons donc tester les diffΘrents produits citΘs dans les
354. discussions.
355.  
356. Notre problΦme n'est pas tellement de trouver un cryptage infaillible
357. mais plut⌠t de trouver une interface qui permette un cryptage/dΘcryptage
358. au vol. L'utilisation de cet outil doit Ωtre des plus simple pour Ωtre
359. accessible et utilisΘ quotidiennement par l'ensemble des mΘdecins
360. informatisΘs ('les plus sensibilisΘs comme les plus rΘcalcitrants α
361. l'informatique mΘdicale)
362.  
363. Windows NT4 est certes plus protΘgΘ que Windows95 mais hΘlas les avis
364. divergent sur la rΘalitΘ de cette protection....alors que penser ? La
365. CNIL considΦre telle qu' une protection NT4 est suffisante pour des
366. donnΘes mΘdicales ? Nous en doutons
367.  
368. Nous manquerons pas de publier sur cette liste une synthΦse de nos tests
369. afin de vous soumettre nos apprΘciations et opinions.
370.  
371. N'hΘsitez pas α nous faire part d'opinions ou connaissances susceptibles
372. de nous aider α protΘger ce qui sera votre futur dossier mΘdical... ;-)
373.  
374. -- --
375.  
376. Je voudrais mettre un bemol α ce dΘbat PGP centrique.
377.   OK PGP tient la route en matiΦre de sΘcuritΘ au sens technique
378.   NOK: le modΦle de confiance PGP (chaine de cetrification de proche
379.         en proche) ne tient en gΘnΘral pas la route dans un contexte
380.         professionnel. Je ne suis pas s√r que pour une appli dans le domaine
381.         de la santΘ, le modΦle PGP qui ne permet pas d'allouer/identifier
382.         les responsabilitΘs soit adaptΘ. sans connaitre le contexte prΘcis,
383.         j'inclinerais mΩme vers : totalement innapplicable
384.  
385. Quand on parle de crypto asymetrique
386.    il y a le cotΘ technique, algo etc...
387.    il y a tout l'aspect certification: qui se porte garant de qui ou quoi?
388.         et donc qui assume quand τa "tourne mal"
389.  
390. Je ne pense pas que dans la plus part des contexte cela n'ait le moindre
391. sens de s'occuper du 1) tant que le 2) n'est pas rΘsolu.
392.  
393. Par ailleurs comme effectivement dit dans ce message, tout cela n'est
394. pas vraiment en phase avec le besoin ce crypto de fichiers sur des disques
395. tels que je le comprend dans ce contexte.
396.  
397. -- --
398.  
399. Voila.
400.