Les Logiciels Libres et la DCSSI

Posté par  . Modéré par Fabien Penso.
Étiquettes : aucune
2
7
août
2002
Communauté
Comme vous avez pu le constater dans la précédente news, certains logiciels libres de crypto ont été autorisés par les autorités françaises.

Ce résultat a pu être atteint à l'occasion d'un stage que j'ai effectué au sein de la DCSSI et en collaboration avec la FSFE France sur l'étude de l'applicabilité des procédures classiques de la DCSSI aux Logiciels Libres. Pour rappel la DCSSI est l'autorité française chargée d'autoriser/déclarer les différents logiciels de cryptologie.
Le travail effectué au cours de ce stage a servi de fondement à l'établissement des dossiers de déclaration de GnuPG et de OpenSSL, et il aura introduit certaines personnes de la DCSSI aux notions véhiculées par le Logiciel Libre. Il est en outre à l'origine du compte-rendu de la FSF Europe.
Vous trouverez ci-dessous deux rapports. Le premier est le rapport remis aux responsables du DESS et traite de l'intégralité des points abordés au cours du stage. Le second est le rapport officiel remis à la DCSSI, et fait fonction d'annexe au premier rapport.

C'est l'occasion d'en profiter pour monter les dossiers relatifs aux autres logiciels de crypto ...

Aller plus loin

  • # Du bon travail !

    Posté par  (site web personnel) . Évalué à 10.

    Je ne tarirai pas d'éloges sur le travail de Magali. C'est efficace, net et précis.
    J'ai eu le plaisir de m'entretenir avec elle à Libre Software Meeting en juillet. Je ne lui connaissais alors que ses talents d'auteur sur http://www.copinedegeek.com(...)
    Esprit vif, humour, efficacité... que de qualités pour une aussi jolie personne ! Nul doute que nous entendrons encore parler de Magali.

  • # A qui le tour ?

    Posté par  . Évalué à 10.

    Des rapports très intéressants. Bravo pour ce fantastique boulot.
    Comme quoi, quand prépare le terrain à l'intérieur d'abord, ca passe tout de suite mieux après.

    quelqu'un pour faire un stage chez MS et leur montrer que les LL, c'est bien ?

    • [^] # Re: A qui le tour ?

      Posté par  . Évalué à 7.

      Pourquoi pas PasBill ? Il bosse deja pour l'Empire et il est lui-même convaincu par les LL ;-)

  • # Répercussion de l'info

    Posté par  . Évalué à 6.

    Bon ce commentaire a surement plus sa place dans la news précédente, mais dans la masse, et comme finalement ça parle plus ou moins de la même chose.

    Je suis allé voir sur http://www.lsijolie.net(...) et sur http://www.lafil.org/(...) et je n'ai trouvé aucune trace de l'info sur l'autorisation d'utilisation de GnuPG et OpenSSL. Je me suis fendu d'un petit mail.

    En dehors de ça, je suis relativement amusé de voir comment la DCSSI va presque en contradiction avec les "dérives" sécuritaires du gouvernement.

    • [^] # Re: Répercussion de l'info

      Posté par  . Évalué à 10.

      La DCSSI est le successeur du SCCSI (ou un acronyme du genre), donc cette institution a déjà un historique et vécu des réformes. Ses clients sont les professionnels de la crypto, or les pros de la crypto (Matra, CS, Bull ing, Alcatel, plus le monde de la carte à puce) ne sont pas des rigolos, c'est plutôt calqué sur le monde du secret militaire. Donc ça c'est le coté "professionnel"

      De l'autre coté, c'est le "gouvernement" qui "dérive", donc c'est politique, et la politique en la matière c'est plus passionnel et deraisonné que "professionnel".

  • # limitation de taille de clé ?

    Posté par  . Évalué à -2.

    Je n'ai pas quoique ce soit parlant de la taille maximale de la clé d'encryptage.

    La dernière fois que je me suis intéressé à la légalité de l'encryptage, cette taille était limitée
    à 1024 bits, je crois, ce qui est une rigolade pour certains "clusters"...

    • [^] # Pas de limitation de taille de clé !

      Posté par  . Évalué à 5.

      Le plus beau c'est qu'il n'y a pas de limite... enfin si, celle de GPG bien sur. Le pb c'est les algos "alternatifs" où on n'a pas vraiment de correspondance en terme de robustesse/taille vu qu'ils n'ont été que trop rarement crypto-analysés à fond.

      J'espère que je ne dis pas une connerie...

    • [^] # Re: limitation de taille de clé ?

      Posté par  . Évalué à 7.

      Non , normalement en France cette limite est fixée à 128 bits, seuil au dessus duquel il est nécessaire de demander une autorisation à la DCSSI. Mais comme OpenSSL fourni par la FSF a été autorisé , on peut utiliser toutes les tailles de clefs qu'il permet.

      • [^] # Re: limitation de taille de clé ?

        Posté par  (site web personnel) . Évalué à 2.

        C'est bien ce que j'ai compris aussi. C'est pour cela que le travail de Magali Julin est tout simplement énorme !

      • [^] # Re: limitation de taille de clé ?

        Posté par  . Évalué à 0.

        Non, c'est totalement faux.

        Les 128 bits s'appliquent à l'algorithme qui chiffre réellement les données échangées, c'est-à-dire l'algorithme symétrique dans le cas de GPG/OpenPGP. Comme l'algorithme à clé publique (RSA, etc.) ne chiffre qu'une clé de session, il n'est pas concerné par la loi et les décrets.

        Donc, la limitation à 1024 bits, c'est une pure connerie ;) Une deuxième est de dire que c'est à la "portée de clusters", ce qui est également faux. Les meilleures factorisations actuellement sont aux alentours des 600 bits....

      • [^] # Re: limitation de taille de clé ?

        Posté par  . Évalué à 3.

        Les clefs sont limitées à 128 bits pour le chiffrement, par contre il n'y a _aucune limitation_ pour les clefs d'authentification ou de contrôle d'intégrité (voir le décret sur http://www.internet.gouv.fr(...) définissant les logiciels de cryptologie non soumis à déclaration - le lien est sur la page ssi d'fsf europe).

        Reste à savoir si le chifrement des clefs pour leur transmission peut être assimilé à une opération d'authentification ou de contrôle d'intégrité, seule une clef (dé)chiffrée correctement étant utilisable.



        TH.

  • # A propos de l'EUCD

    Posté par  . Évalué à 4.

    Dans ce rapport fort complet, il y a une partie consacrée à l'EUCD. J'ai un peu étudié cette directive et j'ai trouvé que l'article 3 pouvait s'avérer particulièrement dangereux dans la mesure où il y une confusion entre production, diffusion, reproduction et exploitation.

    Cette confusion risque de confirmer des monopoles économiques qui ne se justifiait qu'au nom de l'investissement lié à la reproduction matérielle et les auteurs, par le biais de contrats de travail, risquent de se voir déposséder d'une partie du contôle de leur oeuvre.

    Comme la culture et le droit du travail sont des domaines réservés des Etats Membres, des distortions risquent de voir le jour à l'intérieur de l'espace communautaire qui seront éventuellement exploités par des grands groupes de com.

    Le danger pour le libre accès à la radio et à la télé me semble particulièrement grand. Et j'ai l'impression que l'on dote des entreprises d'un semblant de droit moral ce que je trouve relativement choquant.

    Qqun pour infirmer, confirmer ou troller ? :-)

    EUCD : http://europa.eu.int/smartapi/cgi/sga_doc?smartapi!celexapi!prod!CE(...)

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.