Réglementation actuelle sur les outils cryptographiques en France

Le
Wedjat
Comme l'indique le sujet, quelle est la réglementation en la matière
aujourd'hui ? Un éminent professeur à Jussieu en 2006 m'avait laissé
entendre, à l'époque, que la fourniture de moyens de cryptographie qui
utilisaient des clés de taille supérieure à 128 bits était interdite.

Certains d'entre vous ont-t'ils d'ailleurs eu des expériences à ce sujet
avec le ministère de la Défense ?

--
« J'étais toujours en faveur de l'immortalité. De quelle autre manière
pourrons-nous voir ce que sera le monde dans deux cents ans ? » (Richard
Stallman)
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses Page 1 / 3
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Xavier Roche
Le #23221351
On 03/20/2011 10:47 PM, Wedjat wrote:
Comme l'indique le sujet, quelle est la réglementation en la matière
aujourd'hui ? Un éminent professeur à Jussieu en 2006 m'avait laissé
entendre, à l'époque, que la fourniture de moyens de cryptographie qui
utilisaient des clés de taille supérieure à 128 bits était interdite.



Ce n'est pas la taille des clés qui compte, mais la "force" du
chiffrement. De mémoire "128 bits" signifie quelque chose comme
"chiffrement cassable par itération de 2^N boucles". Donc en gros la
taille équivalente d'une clé symétrique (type AES).

Pour des clés non symétriques comme DH ou RSA, la taille pourrait donc
aller jusqu'à 3072 bits (équivalent clé symétrique 128-bits si je ne
m'abuse).
Bruno Tréguier
Le #23221401
Xavier Roche wrote:
On 03/20/2011 10:47 PM, Wedjat wrote:
Comme l'indique le sujet, quelle est la réglementation en la matière
aujourd'hui ? Un éminent professeur à Jussieu en 2006 m'avait laissé
entendre, à l'époque, que la fourniture de moyens de cryptographie qui
utilisaient des clés de taille supérieure à 128 bits était interdite.



Ce n'est pas la taille des clés qui compte, mais la "force" du
chiffrement. De mémoire "128 bits" signifie quelque chose comme
"chiffrement cassable par itération de 2^N boucles". Donc en gros la
taille équivalente d'une clé symétrique (type AES).

Pour des clés non symétriques comme DH ou RSA, la taille pourrait donc
aller jusqu'à 3072 bits (équivalent clé symétrique 128-bits si je ne
m'abuse).



Bonjour,

Sauf erreur, pour la simple *utilisation* d'un moyen de chiffrement, la
taille des clefs n'est plus limitée depuis la LCEN (loi n°2004-575 du 21
juin 2004). En revanche, cette "libéralisation" est assortie d'une
obligation de fournir les clefs ayant servi au chiffrement, sur demande
des autorités judiciaires (commission rogatoire).

Vous avez un résumé de la situation en matière de réglementation dans un
tableau disponible sur le site de l'ANSSI:

http://www.ssi.gouv.fr/archive/fr/reglementation/regl_crypto.html

Cordialement,

--
Bruno Tréguier
Jean-Marc Desperrier
Le #23225201
Bruno Tréguier wrote:
En revanche, cette "libéralisation" est assortie d'une obligation de
fournir les clefs ayant servi au chiffrement, sur demande des autorités
judiciaires (commission rogatoire).



Oui, et pour être précis, cette obligation est créée par l'article
434-15-2 du code pénal (entraves à l’exercice de la justice) :
http://www.legifrance.gouv.fr/affichCodeArticle.do;jsessionidë7080B44CCB663F7207C394F9EFC807.tpdjo15v_1?idArticle=LEGIARTI000006418646&cidTexte=LEGITEXT000006070719
Baton Rouge
Le #23225281
On Tue, 22 Mar 2011 18:28:53 +0100, Jean-Marc Desperrier

Bruno Tréguier wrote:
En revanche, cette "libéralisation" est assortie d'une obligation de
fournir les clefs ayant servi au chiffrement, sur demande des autorités
judiciaires (commission rogatoire).



Oui, et pour être précis, cette obligation est créée par l'article
434-15-2 du code pénal (entraves à l’exercice de la justice) :
http://www.legifrance.gouv.fr/affichCodeArticle.do;jsessionidë7080B44CCB663F7207C394F9EFC807.tpdjo15v_1?idArticle=LEGIARTI000006418646&cidTexte=LEGITEXT000006070719



Si on me la demande, j'l'ai perdu suite a un formatage...

--
Travailler plus pour gagner plus pour quoi faire ?
Pour finir par divorcer parce qu'on est pas souvent à la maison ou faire un malaise vagal et creuser le trou de la sécu ?
Jean-Marc Desperrier
Le #23227161
Baton Rouge wrote:
Oui, et pour être précis, cette obligation est créée par l'article
>434-15-2 du code pénal (entraves à l’exercice de la justice) :
>http://www.legifrance.gouv.fr/affichCodeArticle.do;jsessionidë7080B44CCB663F7207C394F9EFC807.tpdjo15v_1?idArticle=LEGIARTI000006418646&cidTexte=LEGITEXT000006070719


Si on me la demande, j'l'ai perdu suite a un formatage...



Ce serait alors à toi de prouver que tu n'en avais aucune copie, ce qui
est par définition impossible (prouver l'absence), donc tu rentre
directement dans les cas sanctionnables, soit 3 ans de prison et 45 000
€ d'amende, à partir du moment où tu es accusé d'un délit.

Pour rappel, dupliquer illégalement une œuvre sous droit d'auteur
constitue légalement une contrefaçon, et la contrefaçon est un délit.

De plus en France on est toujours condamné beaucoup plus légèrement
quand on reconnaît et admet les faits que quand on tente de le nier,
d'affirmer ne pas être coupable.
Dans cette logique, l'entrave à la justice est très sévèrement
condamnée, surtout quand elle a marché et que les preuves ont disparues.

Le truc à ne pas faire devant un jury américain, c'est mentir (cf
Clinton dans l'affaire Lewinsky), mais devant un jury français c'est
nier ("vous me soupçonnez mais en fait vous n'avez pas vraiment de
preuve" se termine très mal dans 90% des cas. Cf par exemple l'affaire
Leprince).
Baton Rouge
Le #23227661
On Wed, 23 Mar 2011 14:07:27 +0100, Jean-Marc Desperrier

"vous me soupçonnez mais en fait vous n'avez pas vraiment de
preuve" se termine très mal dans 90% des cas. Cf par exemple l'affaire
Leprince).



ça m'etonne pas qu'il y ai autant d'erreurs judiciaires si un inocent
nie être coupable.

--
Travailler plus pour gagner plus pour quoi faire ?
Pour finir par divorcer parce qu'on est pas souvent à la maison ou faire un malaise vagal et creuser le trou de la sécu ?
Bruno Tréguier
Le #23228391
Le 23/03/2011 à 17:31, Baton Rouge a écrit :

ça m'etonne pas qu'il y ai autant d'erreurs judiciaires si un inocent
nie être coupable.



%-)
Bruno Tréguier
Le #23228421
Le 23/03/2011 à 14:07, Jean-Marc Desperrier a écrit :
Ce serait alors à toi de prouver que tu n'en avais aucune copie, ce qui
est par définition impossible (prouver l'absence), donc tu rentre
directement dans les cas sanctionnables, soit 3 ans de prison et 45 000
€ d'amende, à partir du moment où tu es accusé d'un délit.



C'est dans ce genre de cas que les dispositifs de "déni plausible" comme
celui existant dans le logiciel "truecrypt" deviennent "intéressants"... ;-)

Cordialement,

--
Bruno Tréguier
Kevin Denis
Le #23229321
Le 23-03-2011, Bruno Tréguier a écrit :
C'est dans ce genre de cas que les dispositifs de "déni plausible" comme
celui existant dans le logiciel "truecrypt" deviennent "intéressants"... ;-)



Qui se retourne contre l'utilisateur dans le meilleur des cas.

Si on peut forcer l'utilisateur à donner le 1er mot de passe, alors
on peut vraisemblablement le forcer à fournir le second.
Et si le second n'existe pas, alors l'utilisateur est dans une
situation très désagréable.

Enfin, il y a tellement de "requirements" demandés que sa mise en oeuvre
est très réduite, et dépendante de tellement de contraintes que son
utilisation va en devenir évidente: si vous suivez toutes ces
contraintes, alors cela signifie que vous utilisez de la plausible
deniability. Si vous n'utilisez pas toutes ces contraintes, alors
on peut détecter la plausible deniability. Et comme la seule raison
d'utiliser ces contraintes sert à protéger la plausible deniablity,
nous sommes en zugzwang, comme aux échecs: tous les mouvements
sont mauvais. Conclusion: la plausible deniability est un faux
sentiment de sécurité.
http://www.truecrypt.org/docs/?s=plausible-deniability

--
Kevin
A. Caspis
Le #23229521
Kevin Denis wrote:
Conclusion: la plausible deniability est un faux
sentiment de sécurité.



Sauf quand tout le monde utilisera des outils qui l'implémentent
(du genre: Microsoft rachète TrueCrypt).

Ceci étant dit, je soupçonne que la loi vise surtout les sites
web (et webmails) en HTTPS. La loi oblige l'administrateur à
archiver la clé privée du serveur. En tant que professionnel
il peut difficilement prétendre qu'il l'a "perdue suite à un
formatage" alors que le reste de ses données est soigneusement
sauvegardé hors site etc.

AC
Publicité
Poster une réponse
Anonyme