L'avis suivant du JO publié décrit une courbe elliptique recommandée par
l'ANSSI :
http://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000024668816
et sur le site de l'ANSSI :
http://www.ssi.gouv.fr/fr/anssi/publications/publications-scientifiques/autres-publications/publication-d-un-parametrage-de-courbe-elliptique-visant-des-applications-de.html
Quelqu'un a des précision sur la motivation cryptographique de publier
cette courbe plutôt que d'utiliser une des celles retenues par le NIST ?
Et dans quelle position on est vis-à-vis des brevets de Certicom quand
on l'utilise ?
Ma première impression étant qu'on perd la possibilité de faire valoir
l'accord avec l'IETF, cf
http://www.ietf.org/ietf-ftp/IPR/certicom-ipr-rfc-3446.pdf (yen a
plusieurs version, ce n'est peut-être pas la toute dernière) :
"This royalty free license is restricted to the use of the protocols
listed above utilizing the ECC options in the specified drafts and
restricted to NIST curves P256, P384, and P521 only. The IKE and IKEv2
protocols must be used in combination with IPSec in this
license grant." (de plus, les AC sont exclues)
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Thomas Pornin
According to Jean-Marc Desperrier :
Quelqu'un a des précision sur la motivation cryptographique de publier cette courbe plutôt que d'utiliser une des celles retenues par le NIST ?
(Je n'ai pas d'"insider information" sur ce sujet spécifique, alors ce que je dis ici n'est que le produit de réflexions personnelles.)
Les courbes du NIST utilisent des corps "spéciaux" pour permettre des calculs plus efficaces. Par exemple, pour P-256, le corps est celui des nombres modulo p = 2^256 - 2^224 + 2^192 + 2^96 - 1. FIPS 186-3 détaille comment cette valeur particulière accélère les réductions modulaires.
Il semblerait que choisir un corps avec un format particulier ne rende pas la courbe moins solide, mais c'est suffisant pour rendre certains cryptographes nerveux. Arjen Lenstra m'a dit qu'il n'aimait pas ces courbes pour cette raison ("big fat target"). Bien qu'il n'ait pas d'argument scientifique en ce sens, personnellement, j'hésiterais avant de négliger l'avis d'Arjen Lenstra, qui n'est pas le premier venu en matière de courbes elliptiques (c'est lui qui a découvert la méthode de factorisation par courbes elliptiques ; il est aussi le premier "L" de l'algorithme "LLL" de réduction de réseau).
Donc j'imagine que l'ANSSI a voulu fabriquer une courbe sur un corps un peu moins "spécial", avec un module choisi aléatoirement.
Et dans quelle position on est vis-à-vis des brevets de Certicom quand on l'utilise ?
Ah, les brevets... je ne crois pas que qui que ce soit puisse vraiment répondre à cette question autrement que par : "on verra quand on sera devant le juge".
En général, la rumeur veut que les brevets de Certicom sont applicables uniquement à certaines optimisations (en particulier les bases normales pour les courbes sur GF(2^m), et la compression de points) mais que les calculs "normaux" sur courbes elliptiques puissent être faits avec seulement les algorithmes qui étaient connus avant que Certicom ne s'en mêle. La même rumeur prétend que l'implémentation dans OpenSSL a été conçue par Sun, avec l'avis de leurs avocats, en évitant soigneusement tout ce qui pouvairt être couvert par un brevet.
Mais c'est une rumeur et pas un avis de professionnel des questions juridiques.
--Thomas Pornin
According to Jean-Marc Desperrier <jmdesp@gmail.com>:
Quelqu'un a des précision sur la motivation cryptographique de publier
cette courbe plutôt que d'utiliser une des celles retenues par le NIST ?
(Je n'ai pas d'"insider information" sur ce sujet spécifique, alors ce
que je dis ici n'est que le produit de réflexions personnelles.)
Les courbes du NIST utilisent des corps "spéciaux" pour permettre des
calculs plus efficaces. Par exemple, pour P-256, le corps est celui
des nombres modulo p = 2^256 - 2^224 + 2^192 + 2^96 - 1. FIPS 186-3
détaille comment cette valeur particulière accélère les réductions
modulaires.
Il semblerait que choisir un corps avec un format particulier ne rende
pas la courbe moins solide, mais c'est suffisant pour rendre certains
cryptographes nerveux. Arjen Lenstra m'a dit qu'il n'aimait pas ces
courbes pour cette raison ("big fat target"). Bien qu'il n'ait pas
d'argument scientifique en ce sens, personnellement, j'hésiterais avant
de négliger l'avis d'Arjen Lenstra, qui n'est pas le premier venu en
matière de courbes elliptiques (c'est lui qui a découvert la méthode de
factorisation par courbes elliptiques ; il est aussi le premier "L" de
l'algorithme "LLL" de réduction de réseau).
Donc j'imagine que l'ANSSI a voulu fabriquer une courbe sur un corps
un peu moins "spécial", avec un module choisi aléatoirement.
Et dans quelle position on est vis-à-vis des brevets de Certicom quand
on l'utilise ?
Ah, les brevets... je ne crois pas que qui que ce soit puisse vraiment
répondre à cette question autrement que par : "on verra quand on sera
devant le juge".
En général, la rumeur veut que les brevets de Certicom sont applicables
uniquement à certaines optimisations (en particulier les bases normales
pour les courbes sur GF(2^m), et la compression de points) mais que les
calculs "normaux" sur courbes elliptiques puissent être faits avec
seulement les algorithmes qui étaient connus avant que Certicom ne s'en
mêle. La même rumeur prétend que l'implémentation dans OpenSSL a été
conçue par Sun, avec l'avis de leurs avocats, en évitant soigneusement
tout ce qui pouvairt être couvert par un brevet.
Mais c'est une rumeur et pas un avis de professionnel des questions
juridiques.
Quelqu'un a des précision sur la motivation cryptographique de publier cette courbe plutôt que d'utiliser une des celles retenues par le NIST ?
(Je n'ai pas d'"insider information" sur ce sujet spécifique, alors ce que je dis ici n'est que le produit de réflexions personnelles.)
Les courbes du NIST utilisent des corps "spéciaux" pour permettre des calculs plus efficaces. Par exemple, pour P-256, le corps est celui des nombres modulo p = 2^256 - 2^224 + 2^192 + 2^96 - 1. FIPS 186-3 détaille comment cette valeur particulière accélère les réductions modulaires.
Il semblerait que choisir un corps avec un format particulier ne rende pas la courbe moins solide, mais c'est suffisant pour rendre certains cryptographes nerveux. Arjen Lenstra m'a dit qu'il n'aimait pas ces courbes pour cette raison ("big fat target"). Bien qu'il n'ait pas d'argument scientifique en ce sens, personnellement, j'hésiterais avant de négliger l'avis d'Arjen Lenstra, qui n'est pas le premier venu en matière de courbes elliptiques (c'est lui qui a découvert la méthode de factorisation par courbes elliptiques ; il est aussi le premier "L" de l'algorithme "LLL" de réduction de réseau).
Donc j'imagine que l'ANSSI a voulu fabriquer une courbe sur un corps un peu moins "spécial", avec un module choisi aléatoirement.
Et dans quelle position on est vis-à-vis des brevets de Certicom quand on l'utilise ?
Ah, les brevets... je ne crois pas que qui que ce soit puisse vraiment répondre à cette question autrement que par : "on verra quand on sera devant le juge".
En général, la rumeur veut que les brevets de Certicom sont applicables uniquement à certaines optimisations (en particulier les bases normales pour les courbes sur GF(2^m), et la compression de points) mais que les calculs "normaux" sur courbes elliptiques puissent être faits avec seulement les algorithmes qui étaient connus avant que Certicom ne s'en mêle. La même rumeur prétend que l'implémentation dans OpenSSL a été conçue par Sun, avec l'avis de leurs avocats, en évitant soigneusement tout ce qui pouvairt être couvert par un brevet.
Mais c'est une rumeur et pas un avis de professionnel des questions juridiques.
--Thomas Pornin
Paul Gaborit
À (at) 26 Nov 2011 14:51:05 GMT, Thomas Pornin écrivait (wrote):
According to Jean-Marc Desperrier :
Et dans quelle position on est vis-à-vis des brevets de Certicom quand on l'utilise ?
Ah, les brevets... je ne crois pas que qui que ce soit puisse vraiment répondre à cette question autrement que par : "on verra quand on sera devant le juge".
On peut tout de même préciser que les brevets logiciels n'ont aucune valeur en Europe. Évidemment, cela ne lève en rien l'incertitude pour les pays où ces brevets sont reconnus...
-- Paul Gaborit - <http://perso.mines-albi.fr/~gaborit/>
À (at) 26 Nov 2011 14:51:05 GMT,
Thomas Pornin <pornin@bolet.org> écrivait (wrote):
According to Jean-Marc Desperrier <jmdesp@gmail.com>:
Et dans quelle position on est vis-à-vis des brevets de Certicom quand
on l'utilise ?
Ah, les brevets... je ne crois pas que qui que ce soit puisse vraiment
répondre à cette question autrement que par : "on verra quand on sera
devant le juge".
On peut tout de même préciser que les brevets logiciels n'ont aucune
valeur en Europe. Évidemment, cela ne lève en rien l'incertitude pour
les pays où ces brevets sont reconnus...
--
Paul Gaborit - <http://perso.mines-albi.fr/~gaborit/>
À (at) 26 Nov 2011 14:51:05 GMT, Thomas Pornin écrivait (wrote):
According to Jean-Marc Desperrier :
Et dans quelle position on est vis-à-vis des brevets de Certicom quand on l'utilise ?
Ah, les brevets... je ne crois pas que qui que ce soit puisse vraiment répondre à cette question autrement que par : "on verra quand on sera devant le juge".
On peut tout de même préciser que les brevets logiciels n'ont aucune valeur en Europe. Évidemment, cela ne lève en rien l'incertitude pour les pays où ces brevets sont reconnus...
-- Paul Gaborit - <http://perso.mines-albi.fr/~gaborit/>
Jean-Marc Desperrier
Paul Gaborit a écrit :
On peut tout de même préciser que les brevets logiciels n'ont aucune valeur en Europe.
La, on est vraiment dans la rumeur :-) L'idée théorique que les brevets logiciels ne soit pas valables en Europe n'a jamais empéché Mediacrypt d'y breveter l'algo de chiffrement IDEA : http://fr.wikipedia.org/wiki/International_Data_Encryption_Algorithm Et personne n'est jamais allé cherché si oui ou non leur brevet serait jugé invalide en cas de contestation.
Paul Gaborit a écrit :
On peut tout de même préciser que les brevets logiciels n'ont aucune
valeur en Europe.
La, on est vraiment dans la rumeur :-)
L'idée théorique que les brevets logiciels ne soit pas valables en
Europe n'a jamais empéché Mediacrypt d'y breveter l'algo de chiffrement
IDEA :
http://fr.wikipedia.org/wiki/International_Data_Encryption_Algorithm
Et personne n'est jamais allé cherché si oui ou non leur brevet serait
jugé invalide en cas de contestation.
On peut tout de même préciser que les brevets logiciels n'ont aucune valeur en Europe.
La, on est vraiment dans la rumeur :-) L'idée théorique que les brevets logiciels ne soit pas valables en Europe n'a jamais empéché Mediacrypt d'y breveter l'algo de chiffrement IDEA : http://fr.wikipedia.org/wiki/International_Data_Encryption_Algorithm Et personne n'est jamais allé cherché si oui ou non leur brevet serait jugé invalide en cas de contestation.
Jean-Marc Desperrier
Thomas Pornin a écrit :
la rumeur veut que les brevets de Certicom sont applicables uniquement à certaines optimisations [...] les calculs "normaux" sur courbes elliptiques puissent être faits avec seulement les algorithmes qui étaient connus avant que Certicom ne s'en mêle. La même rumeur prétend que l'implémentation dans OpenSSL a été conçue par Sun, avec l'avis de leurs avocats, en évitant soigneusement tout ce qui pouvairt être couvert par un brevet.
Il y a plus que la rumeur derrière cela quand même, en particulier un draft de RFC avec la liste des travaux courbe elliptique publiés avant les premiers brevets Certicom, et la démonstration qu'on peut bien implanter les courbes sur la base de cela.
Et pour OpenSSL, il certain que cela vient de SUN : * Binary polynomial ECC support in OpenSSL originally developed by * SUN MICROSYSTEMS, INC., and contributed to the OpenSSL project.
la question est juste de savoir ce qu'on pu garantir les avocats de SUN, et ça c'est pas publique.
Mais pour autant ...
Mais c'est une rumeur et pas un avis de professionnel des questions juridiques.
Le problème en fait est surtout une question d'éviter d'aller se fritter avec Certicom même en étant convaincu d'être dans son bon droit, car de toute façon même si on a raison, il faut des années pour que ce soit reconnu et les vrais d'avocats ne seront pas remboursés.
L'avantage d'un truc comme l'accord IETF est que c'est écrit par Certicom, là c'est *eux* qui se sont engagés à ne pas poursuivre dans ce cadre, il n'est pas trop compliqué à interpréter, bref c'est assez balisé.
Thomas Pornin a écrit :
la rumeur veut que les brevets de Certicom sont applicables
uniquement à certaines optimisations [...] les
calculs "normaux" sur courbes elliptiques puissent être faits avec
seulement les algorithmes qui étaient connus avant que Certicom ne s'en
mêle. La même rumeur prétend que l'implémentation dans OpenSSL a été
conçue par Sun, avec l'avis de leurs avocats, en évitant soigneusement
tout ce qui pouvairt être couvert par un brevet.
Il y a plus que la rumeur derrière cela quand même, en particulier un
draft de RFC avec la liste des travaux courbe elliptique publiés avant
les premiers brevets Certicom, et la démonstration qu'on peut bien
implanter les courbes sur la base de cela.
Et pour OpenSSL, il certain que cela vient de SUN :
* Binary polynomial ECC support in OpenSSL originally developed by
* SUN MICROSYSTEMS, INC., and contributed to the OpenSSL project.
la question est juste de savoir ce qu'on pu garantir les avocats de SUN,
et ça c'est pas publique.
Mais pour autant ...
Mais c'est une rumeur et pas un avis de professionnel des questions
juridiques.
Le problème en fait est surtout une question d'éviter d'aller se fritter
avec Certicom même en étant convaincu d'être dans son bon droit, car de
toute façon même si on a raison, il faut des années pour que ce soit
reconnu et les vrais d'avocats ne seront pas remboursés.
L'avantage d'un truc comme l'accord IETF est que c'est écrit par
Certicom, là c'est *eux* qui se sont engagés à ne pas poursuivre dans ce
cadre, il n'est pas trop compliqué à interpréter, bref c'est assez balisé.
la rumeur veut que les brevets de Certicom sont applicables uniquement à certaines optimisations [...] les calculs "normaux" sur courbes elliptiques puissent être faits avec seulement les algorithmes qui étaient connus avant que Certicom ne s'en mêle. La même rumeur prétend que l'implémentation dans OpenSSL a été conçue par Sun, avec l'avis de leurs avocats, en évitant soigneusement tout ce qui pouvairt être couvert par un brevet.
Il y a plus que la rumeur derrière cela quand même, en particulier un draft de RFC avec la liste des travaux courbe elliptique publiés avant les premiers brevets Certicom, et la démonstration qu'on peut bien implanter les courbes sur la base de cela.
Et pour OpenSSL, il certain que cela vient de SUN : * Binary polynomial ECC support in OpenSSL originally developed by * SUN MICROSYSTEMS, INC., and contributed to the OpenSSL project.
la question est juste de savoir ce qu'on pu garantir les avocats de SUN, et ça c'est pas publique.
Mais pour autant ...
Mais c'est une rumeur et pas un avis de professionnel des questions juridiques.
Le problème en fait est surtout une question d'éviter d'aller se fritter avec Certicom même en étant convaincu d'être dans son bon droit, car de toute façon même si on a raison, il faut des années pour que ce soit reconnu et les vrais d'avocats ne seront pas remboursés.
L'avantage d'un truc comme l'accord IETF est que c'est écrit par Certicom, là c'est *eux* qui se sont engagés à ne pas poursuivre dans ce cadre, il n'est pas trop compliqué à interpréter, bref c'est assez balisé.
Jean-Marc Desperrier
Jean-Marc Desperrier a écrit :
L'idée théorique que les brevets logiciels ne soit pas valables en Europe n'a jamais empéché Mediacrypt d'y breveter l'algo de chiffrement IDEA :
Aussi l'extension en Europe des brevets logiciels américains est accordée quasi systématiquement. Y compris celle du "1-Click buy" d'Amazon par exemple.
Jean-Marc Desperrier a écrit :
L'idée théorique que les brevets logiciels ne soit pas valables en
Europe n'a jamais empéché Mediacrypt d'y breveter l'algo de chiffrement
IDEA :
Aussi l'extension en Europe des brevets logiciels américains est
accordée quasi systématiquement. Y compris celle du "1-Click buy"
d'Amazon par exemple.
L'idée théorique que les brevets logiciels ne soit pas valables en Europe n'a jamais empéché Mediacrypt d'y breveter l'algo de chiffrement IDEA :
Aussi l'extension en Europe des brevets logiciels américains est accordée quasi systématiquement. Y compris celle du "1-Click buy" d'Amazon par exemple.
Francois Grieu
Le 26/11/2011 15:51, Thomas Pornin a écrit :
(..) j'imagine que l'ANSSI a voulu fabriquer une courbe sur un corps un peu moins "spécial", avec un module choisi aléatoirement.
C'est l'objectif affiché: "Le paramétrage proposé correspond à une courbe générée de manière aléatoire et sélectionnée de façon à respecter les critères de sécurité usuels."
(..) j'imagine que l'ANSSI a voulu fabriquer une courbe sur un corps
un peu moins "spécial", avec un module choisi aléatoirement.
C'est l'objectif affiché:
"Le paramétrage proposé correspond à une courbe générée de
manière aléatoire et sélectionnée de façon à respecter les
critères de sécurité usuels."
(..) j'imagine que l'ANSSI a voulu fabriquer une courbe sur un corps un peu moins "spécial", avec un module choisi aléatoirement.
C'est l'objectif affiché: "Le paramétrage proposé correspond à une courbe générée de manière aléatoire et sélectionnée de façon à respecter les critères de sécurité usuels."
