Courbe FRP256v1 de l'ANSSI publié au JO

Le
Jean-Marc Desperrier
Bonjour,

L'avis suivant du JO publié décrit une courbe elliptique recommandée par
l'ANSSI :
http://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000024668816

et sur le site de l'ANSSI :
http://www.ssi.gouv.fr/fr/anssi/publications/publications-scientifiques/autres-publications/publication-d-un-parametrage-de-courbe-elliptique-visant-des-applications-de.html

Quelqu'un a des précision sur la motivation cryptographique de publier
cette courbe plutôt que d'utiliser une des celles retenues par le NIST ?

Et dans quelle position on est vis-à-vis des brevets de Certicom quand
on l'utilise ?
Ma première impression étant qu'on perd la possibilité de faire valoir
l'accord avec l'IETF, cf
http://www.ietf.org/ietf-ftp/IPR/certicom-ipr-rfc-3446.pdf (yen a
plusieurs version, ce n'est peut-être pas la toute dernière) :
"This royalty free license is restricted to the use of the protocols
listed above utilizing the ECC options in the specified drafts and
restricted to NIST curves P256, P384, and P521 only. The IKE and IKEv2
protocols must be used in combination with IPSec in this
license grant." (de plus, les AC sont exclues)
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Thomas Pornin
Le #24005541
According to Jean-Marc Desperrier
Quelqu'un a des précision sur la motivation cryptographique de publier
cette courbe plutôt que d'utiliser une des celles retenues par le NIST ?



(Je n'ai pas d'"insider information" sur ce sujet spécifique, alors ce
que je dis ici n'est que le produit de réflexions personnelles.)

Les courbes du NIST utilisent des corps "spéciaux" pour permettre des
calculs plus efficaces. Par exemple, pour P-256, le corps est celui
des nombres modulo p = 2^256 - 2^224 + 2^192 + 2^96 - 1. FIPS 186-3
détaille comment cette valeur particulière accélère les réductions
modulaires.

Il semblerait que choisir un corps avec un format particulier ne rende
pas la courbe moins solide, mais c'est suffisant pour rendre certains
cryptographes nerveux. Arjen Lenstra m'a dit qu'il n'aimait pas ces
courbes pour cette raison ("big fat target"). Bien qu'il n'ait pas
d'argument scientifique en ce sens, personnellement, j'hésiterais avant
de négliger l'avis d'Arjen Lenstra, qui n'est pas le premier venu en
matière de courbes elliptiques (c'est lui qui a découvert la méthode de
factorisation par courbes elliptiques ; il est aussi le premier "L" de
l'algorithme "LLL" de réduction de réseau).

Donc j'imagine que l'ANSSI a voulu fabriquer une courbe sur un corps
un peu moins "spécial", avec un module choisi aléatoirement.


Et dans quelle position on est vis-à-vis des brevets de Certicom quand
on l'utilise ?



Ah, les brevets... je ne crois pas que qui que ce soit puisse vraiment
répondre à cette question autrement que par : "on verra quand on sera
devant le juge".

En général, la rumeur veut que les brevets de Certicom sont applicables
uniquement à certaines optimisations (en particulier les bases normales
pour les courbes sur GF(2^m), et la compression de points) mais que les
calculs "normaux" sur courbes elliptiques puissent être faits avec
seulement les algorithmes qui étaient connus avant que Certicom ne s'en
mêle. La même rumeur prétend que l'implémentation dans OpenSSL a été
conçue par Sun, avec l'avis de leurs avocats, en évitant soigneusement
tout ce qui pouvairt être couvert par un brevet.

Mais c'est une rumeur et pas un avis de professionnel des questions
juridiques.


--Thomas Pornin
Paul Gaborit
Le #24007881
À (at) 26 Nov 2011 14:51:05 GMT,
Thomas Pornin
According to Jean-Marc Desperrier
Et dans quelle position on est vis-à-vis des brevets de Certicom quand
on l'utilise ?



Ah, les brevets... je ne crois pas que qui que ce soit puisse vraiment
répondre à cette question autrement que par : "on verra quand on sera
devant le juge".



On peut tout de même préciser que les brevets logiciels n'ont aucune
valeur en Europe. Évidemment, cela ne lève en rien l'incertitude pour
les pays où ces brevets sont reconnus...

--
Paul Gaborit -
Jean-Marc Desperrier
Le #24011681
Paul Gaborit a écrit :
On peut tout de même préciser que les brevets logiciels n'ont aucune
valeur en Europe.



La, on est vraiment dans la rumeur :-)
L'idée théorique que les brevets logiciels ne soit pas valables en
Europe n'a jamais empéché Mediacrypt d'y breveter l'algo de chiffrement
IDEA :
http://fr.wikipedia.org/wiki/International_Data_Encryption_Algorithm
Et personne n'est jamais allé cherché si oui ou non leur brevet serait
jugé invalide en cas de contestation.
Jean-Marc Desperrier
Le #24011961
Thomas Pornin a écrit :
la rumeur veut que les brevets de Certicom sont applicables
uniquement à certaines optimisations [...] les
calculs "normaux" sur courbes elliptiques puissent être faits avec
seulement les algorithmes qui étaient connus avant que Certicom ne s'en
mêle. La même rumeur prétend que l'implémentation dans OpenSSL a été
conçue par Sun, avec l'avis de leurs avocats, en évitant soigneusement
tout ce qui pouvairt être couvert par un brevet.



Il y a plus que la rumeur derrière cela quand même, en particulier un
draft de RFC avec la liste des travaux courbe elliptique publiés avant
les premiers brevets Certicom, et la démonstration qu'on peut bien
implanter les courbes sur la base de cela.

Et pour OpenSSL, il certain que cela vient de SUN :
* Binary polynomial ECC support in OpenSSL originally developed by
* SUN MICROSYSTEMS, INC., and contributed to the OpenSSL project.

la question est juste de savoir ce qu'on pu garantir les avocats de SUN,
et ça c'est pas publique.

Mais pour autant ...

Mais c'est une rumeur et pas un avis de professionnel des questions
juridiques.



Le problème en fait est surtout une question d'éviter d'aller se fritter
avec Certicom même en étant convaincu d'être dans son bon droit, car de
toute façon même si on a raison, il faut des années pour que ce soit
reconnu et les vrais d'avocats ne seront pas remboursés.

L'avantage d'un truc comme l'accord IETF est que c'est écrit par
Certicom, là c'est *eux* qui se sont engagés à ne pas poursuivre dans ce
cadre, il n'est pas trop compliqué à interpréter, bref c'est assez balisé.
Jean-Marc Desperrier
Le #24011951
Jean-Marc Desperrier a écrit :
L'idée théorique que les brevets logiciels ne soit pas valables en
Europe n'a jamais empéché Mediacrypt d'y breveter l'algo de chiffrement
IDEA :



Aussi l'extension en Europe des brevets logiciels américains est
accordée quasi systématiquement. Y compris celle du "1-Click buy"
d'Amazon par exemple.
Francois Grieu
Le #24017391
Le 26/11/2011 15:51, Thomas Pornin a écrit :
(..) j'imagine que l'ANSSI a voulu fabriquer une courbe sur un corps
un peu moins "spécial", avec un module choisi aléatoirement.



C'est l'objectif affiché:
"Le paramétrage proposé correspond à une courbe générée de
manière aléatoire et sélectionnée de façon à respecter les
critères de sécurité usuels."


François Grieu
Publicité
Poster une réponse
Anonyme