Parce que la sécurité est l'affaire de tous !

  FLASH

Intellinx
EticSoftware est le nouveau partenaire en France de Intellinx
- Intellinx est une nouvelle approche de l'audit comportemental des utilisateurs habilités
 

Cryptographie

La situation de la cryptographie en France d'un point de vue légal (11/10/2000)

Voici, en deux mots, la situation de la cryptographie en France d'un point de vue légal, vue du côté de l'utilisateur final.

  1. Dès que la fourniture du produit est autorisée (c'est le cas de PGP), il n'y a aucune formalité ni aucune restriction quant à l'utilisation, 128-bits ou pas, usage privé ou pas. Référence : le décret no 98-101 du 24 février 1998, article 20, paragraphe II.

    Conséquence : PGP version 6, qui intègre le 3DES (à 168 bits, 3 clés en mode EDE), est légal depuis fin 1999, suite à l'autorisation demandée par (et accordée à) NAI.

  2. Un produit ne dépassant pas une taille de clé de 128 bits est librement utilisable pour "l'usage privé d'une personne physique", sans autorisation ni déclaration. Pour les autres types d'usages (entreprise par exemple), il suffit que le fournisseur ait déclaré le produit (pas besoin d'autorisation). Référence : le décret n° 99-200 du 17 mars 1999.

    Conséquences : début 1999, la v5 de PGP était légale (taille de clé ne dépassant pas 128 bits). Le SSL 128 bits est également légal en France pour l'utilisateur final (l'idée était de promouvoir le "e-commerce").

La crypto à clé publique n'entre pas en ligne de compte, il n'y a pas de contrôle envisagé lié aux tailles de clés. (le chiffrement à clé publique utilisé ne cache pas de vraie information, seulement la clé symétrique aléatoire qui sert, elle, à chiffrer les données).

Pourquoi une limitation à 128 bits ? Est-ce que les 128 bits seraient facilement cassables par le gouvernement, ou par une organisation bien équipée ? Non, par exemple 256 bits, ce n'est pas plus fort que 128. 128 bits, c'est déjà incassable par force brute, et sans doute pour encore pas mal de temps, voire à jamais. Dire que plus, c'est mieux, c'est un peu comme dire que pour tirer un lapin, un bazooka c'est plus fort qu'un fusil de chasse (remarque faite par Johannes Baagoe dans fr.misc.cryptologie le 8/10/2000).

Ainsi qu'il a souvent été répété, et souvent ignoré, voici l'explication la plus couramment apportée (quant aux 128 bits) : une loi précise qu'il y a une limite, fixée par décret, à la taille des clés ; le gouvernement ne peut pas abroger une loi avec un décret, aussi il a dû conserver une limite qui, au moins, laissait quelques algorithmes de côté. Avec un triple-DES à 168 bits, une limite à 128 bits pouvait être plaidée comme étant dans le cadre de la loi, ce qui évite de se faire démolir la barraque par le Conseil Constitutionnel (remarque faite par Thomas Pornin dans fr.misc.cryptologie le 8/10/2000).

En résumé, la crypto est presque libre en France

  

  En bref

  • actualité : Encore un exemple de faux sentiment de sécurité : un test de pénétration sur une agence gouvernementale aux US accède aux infos du FBI en moins de 6 heures !

  •  actualité : PCI : les sociétés en conformité avec cette norme auraient oublié de chiffrer les données sensibles sur leur réseau interne ? Le réseau interne de ces sociétés est en tout cas la cible des derniers hacks aux cartes de crédits

toutes les news