Twitter iPhone pliant OnePlus 11 PS5 Disney+ Orange Livebox Windows 11

recherche de librairies cryptographiques payantes

7 réponses
Avatar
Aed
Oui je sais ca semble un peu stupide, mais c'est pour des raisons
juridiques absconses...

Connaissez vous des boites qui vendent des librairies impl=E9mentant en
C basique les primitives crypto standard (AES, SHA-256, RSA, DH...).
Ces librairies ne devant =E9videmment pas s'appuyer elle m=EAme sur de
l'open source et =E9viter de tomber sous le coup de brevets. Il faut des
boites ayant quelques r=E9f=E9rences industrielles (pas la peine de cr=E9er
votre sarl pour ca ;) ).

Aed

7 réponses

Avatar
Erwan David
Aed écrivait :

Oui je sais ca semble un peu stupide, mais c'est pour des raisons
juridiques absconses...

Connaissez vous des boites qui vendent des librairies implémentant en
C basique les primitives crypto standard (AES, SHA-256, RSA, DH...).
Ces librairies ne devant évidemment pas s'appuyer elle même sur de
l'open source et éviter de tomber sous le coup de brevets. Il faut des
boites ayant quelques références industrielles (pas la peine de créer
votre sarl pour ca ;) ).


Il me semble que openssl a été validé la la DCSSI, c'est déjà un début.

--
Erwan

Avatar
Xavier Roche
Aed wrote:
C basique les primitives crypto standard (AES, SHA-256, RSA, DH...).
l'open source et éviter de tomber sous le coup de brevets.


Au passage AES n'a pas a ma connaissance de problèmes de brevets, et il
me semble que c'est le request for candidat qui l'imposait (l'idée était
de mettre en place un nouveau standard, pas de nourir des parazites en
propriété intellectuelle)

<http://csrc.nist.gov/CryptoToolkit/aes/pre-round1/aes_9709.htm&gt;
2.D.2 Statement by Patent (and Patent Application) Owner(s)
If there are any patents (or patent applications) identified by the
submitter, including those held by the submitter, the following
statement must be signed by each and every owner of the patent and
patent applications above identified.

I, ____ (print full name) ____ , of _____(print full postal
address)______ , am the owner or authorized representative of the owner
(print full name, if different than the signer) of the following
patent(s) and or patent application(s): ______ (enumerate) ______ ,
and do hereby agree to grant to any interested party if the algorithm
known as _____(print name of algorithm) _______ , is selected for
inclusion in the Advanced Encryption Standard, an irrevocable
nonexclusive royalty-free license to practice the referenced algorithm,
reference implementation or the mathematically optimized
implementations. Furthermore, I agree to grant the same rights in any
other patent granted to me or my company which may be necessary for the
practice of the referenced algorithm, reference implementation, or the
mathematically optimized implementations.

Avatar
ludovic.flament
On 16 mai, 17:20, Erwan David wrote:
Aed écrivait :

Oui je sais ca semble un peu stupide, mais c'est pour des raisons
juridiques absconses...

Connaissez vous des boites qui vendent des librairies implémentant en
C basique les primitives crypto standard (AES, SHA-256, RSA, DH...).
Ces librairies ne devant évidemment pas s'appuyer elle même sur de
l'open source et éviter de tomber sous le coup de brevets. Il faut des
boites ayant quelques références industrielles (pas la peine de cr éer
votre sarl pour ca ;) ).


Il me semble que openssl a été validé la la DCSSI, c'est déjà u n début.


Openssl est effectivement autorisé par la DCSSI, mais il n'y a pas
de validation à proprement parlé. De plus, cela veux simplement dire
que l'état Français autorise l'utilisation de la lbrairie pour des
tailles de clef de plus de 128 bits.

Par contre, il n'y a aucune caution sur le contenu, l'absence de
bugs, les problèmes de brevets, ...
--
Ludovic FLAMENT
http://ludovic.flament.free.fr/


Avatar
Xavier Roche
Openssl est effectivement autorisé par la DCSSI, mais il n'y a pas
de validation à proprement parlé.


OpenSSL est validé FIPS 140-2 [1], ce qui est déja pas mal, quand on
sait à quel point cette validation est longue et difficile pour les non
initiés.

Surtout quand les solutions concurrentes (payantes et propriétaires) se
font un malin plaisir pour propager des rumeurs et essayer de couler
cette validation [2]


[1]
<http://csrc.nist.gov/cryptval/140-1/140crt/140crt642.pdf&gt;
[2]
<http://www.linux.com/article.pl?sid/02/08/1935232&gt;

Avatar
Alain
attention a pas tomber dans le FUD, et se tirer une balle dans le pied.

il y a 3 type de brevets potentiellement gênants...

d'abord les brevets SERIEUX ( qui attaquent les bases même des
algorithmes...
quelque soit l'implémentation, le brevet est cassé...
Normallement il n'y en a pas car les standards (surtout récents)
veillent à ce qu'aucun brevet ne soit lié a un standard... mais c'est
vrai qu'il y a eu des exception (GIF, MPEG2, RSA aux USA)...

la question est alosr de savoir comment payer le brevet...
on peut acheter à une boite qui revent une implémentation libre, en
payant les royalties, ou négocier le paiment des royalties soi même...

sinon il y a les brevets SERIEUX liés à des implémentations. ils sont
évitables. la communauté du logiciel libre a certainement entendu parler
de ce problème et a veillé à éliminer cette implémentation dangereuse.

le meilleur moyen de se protéger est donc d'acheter une implémentation
libre qui a été audité pas les puristes les plus paranoiaques.

sinon il y a aussi plein de brevet US "terroristes" bidons fait pour
effrayer les petites boites et qui ne tiennent pas 5 minutes devant un
juge. le brevet sur le GOTO, le brevet sur le click...
beaucoup ont déjà été cassé, en fait, tout ceux qui sont passé devant le
juge... la mode des brevet bidon est passé et l'office des brevets
américains va prochainement encore durcir ses protection.

là, soit on fait confiance à la communauté, quitte à provisionner le
prix estimé des licences en provision pour soutenir (juste participer)
une attaque contre openssl...
soit on paye des license à une boite qui le fait...
soit on crée une boite qui fait des provisions avec les licenses, et on
les vends aussi aux autres pétochards.
soit on prie en achetant le logiciel d'une petite entreprise que
microsoft pourra faire chanter sans espoir qu'elle puisse se défendre.

mais c'est vrai que microsoft vient de sortir une batterie de SCUD de ce
style... je crois pas que ca tienne...
en fait c'est une guerre d'avocats.
une boite a tenté le même genre d'attaque (plagiat, pas brevet, mais
bidon. je crois que microsoft en est actionaire), sur le noyau linux, et
quand IBM a financé la défense de Linux, les experts ont estimé que
c'était mal barré pour l'agresseur, qui comptait avoir a faire à des
amateurs...

je crois que MS sent bien que le logiciel libre commence à lui bouffer
des ventes sur MS Office et sur les serveurs...
alors comme prévu, il attaque les pétochard des Direction générales en
balancant des attaques désespéré mais qui induisent du doute... et les
pétochard détestent le doute... même quand il n'y a rien derrière...

tant qu'on aura pas des sanctions qui se comptent en milliards pour les
attaques injustifiées en propriété intélectuelle, les gros terroriseront
les petits...

quoi que le logiciel libre actuellement est aussi devenu un gros... et
il sais se défendre et le fait bien...
Avatar
ludovic.flament
On 18 mai, 23:30, Erwan David wrote:
écrivait :

Par contre, il n'y a aucune caution sur le contenu, l'absence de
bugs, les problèmes de brevets, ...


Parceque tu crois que les logiciels commerciaux garantissent plus de
choses ?


Il ne faut pas me faire dire ce que je n'ai pas dit.

Je précisais simplement que la DCSSI ne cautionne pas le produit
lorsqu'elle l'autorise, comme pourrait le faire un CESTI lors d'une
évalutation critère commun.

Leur but est de valider que ce que le produit annonce faire en terme
de crypto et notamment algo supporté, taille de clef,... est valide
avec la réglementation

Donc tu peux avoir un mauvais produit autorisé qu'il soit commercial
ou non

--
Ludovic FLAMENT
http://ludovic.flament.free.fr/


Avatar
Aed
Je vous suis tout à fait dans vos remarques.
Mais la charge anti logiciel libre va plus loin :
un certain nombre de fabriquants de matériel interdisent, par contrat,
à leur fournisseurs/intégrateurs logiciel l'utilisation de code open
source.
les raisons ? décideurs mal informés mélangeant les différentes type
de distribution open source et ayant peur des licences GPL (devoir
rendre public du logiciel embarqué ce n'est quand même pas
terrible...) ou bien travail de sape de la part de microsoft? Mais je
ne vois pas trop ce qu'ils y gagneraient.