[Cryptographie] - Legislation francaise vs Canadienne & Suisse
4 réponses
LaDDL
Faisant suite à la demande d'Eric Razny dans l'un de ses posts
[<2lfrhfFc5tq3U1@uni-berlin.de>] dans le thread intitulé SSH, je lui ai
proposé [<40f413ea$0$30168$79c14f64@nan-newsreader-05.noos.net>]
d'ouvrir un autre thread pour traiter du cadre législatif de la
cryptographie en France en comparaison avec la Suisse & la Canada.
Voilà pour le préambule.
Au regard du cadre législatif français de la cryptographie, je trouve
que notre pays oppose un peu trop les intérêts de l'Etat, des
entreprises et des individus/particuliers.
IHMO cela nuit à la fourniture, le transfert, l'importation et
l'exportation de moyens et de prestations de cryptologie car les
architectures réseaux et systèmes qui supportent la cryptologie ne
garantissent pas un niveau de sécurité.
Je pense IHMO qu'il faut comme le font le Canada ou la Suisse
libéraliser la taille des clés (aujourd'hui en France limitées à des
clés inférieures ou égales à 128 bits) parce que le chiffrement présente
de nombreux intérêts :
- la protection de l'information contre l'espionnage
économique/industriel, diplomatique/militaire, des groupes terroristes
et personnes sous enquêtes.
- la protection de la sphère privée soit des communications et documents
privés
- la prévention de la criminalité économique & informatique, pour
sécuriser le commerce électronique et les réseaux & systèmes
informatique
- le développement de produits et services basés sur le chiffrement
- le développement de la recherche en cryptologie
En France, la liberté d'utiliser des moyens de cryptologie modérée (clef
< 40 bits) est totale. Pour les clefs jusqu'à 128 bits, l'usage privé
est libre. Sinon, l'utilisation est soumise à déclaration par le
producteur, importateur ou fournisseur du logiciel ou matériel. Mais
attention, il y a des nuances. Consulter le site de la DCSSI ou
contactez-la.
La législation Suisse en cryptologie :
On ne trouve pas de législation à proprement parler sur la cryptologie.
La législation Canadienne en cryptologie :
La liberté est totale pour les techniques employées avec un code de
"bonne conduite".
PS Au fait, Eric je ne comprends pas pourquoi tu es complétement contre
un tiers de confiance étant donné que dans de nombreux
contextes/environnements/situations on ne peut pas faire autrement.
Exemple : le commerce électronique.
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Eric Razny
"LaDDL" a écrit:
PS Au fait, Eric je ne comprends pas pourquoi tu es complétement contre un tiers de confiance étant donné que dans de nombreux contextes/environnements/situations on ne peut pas faire autrement. Exemple : le commerce électronique.
Grrr, est-ce sciement que quand tu me cite il manque des morceau significatifs? : "Je suis complètement contre l'obligation des tiers de (non!)confiance."
Il y a des domaines où ils n'ont pas une nécessité impérative.
Néanmoins j'ai effectivement mal exprimé ma pensée que je précise si après :
Quand le tiers à un rôle, par exemple, de gestion de PKI ça ma va. Sous certaines réserves néanmoins, par exemple actuellement le risque financier pris par ces structures est souvent ridicule quand elles commettent des erreurs graves dans la gestion des certifs par exemple (il suffit d'aller voir sur les sites de verisign les montants assurés suivant le type de certif choisi).
En supposant que ce tiers fait sont boulot et soit soumis à des contrôles ça me va.
Par contre je serais violemment opposé au sequestre généralisé des clef par un tiers de "confiance", fut-il étatique[1], sous prétexte par exemple que la justice puisse accéder à n'importe quel document[2] (il existe des cas précis où le sequestre est important mais ceux ne sont pas des généralités)
Un problème, souvent largement sous-estimé est la nécessité de pouvoir horodater convenablement un document. Dans ce domaine je suis effectivement surpris de ne pas voir apparaître de services *très peu coûteux*, sous contrôle étatique, permettant d'horodater de manière efficace un document. Je suis clairement pour un tiers de confiance d'horodatage.
Le "très peu coûteux" et étatique sont important ahma pour deux raisons :
- Le contrôle d'état est important[3] pour éviter qu'une société privée ne fausse un horodatage (on ne me fera pas croire qu'un pôt de vin très important ne risque pas de provoquer une pression difficile à contrer ; déjà que ce ne serait pas la première fois que des services de l'état font des choses illégales, ça me semble encore plus risqué de laisser ça entre les mains du tout-privé).
- Le *très* faible coût pour permettre une large utilisation de ces services. Ca permettrait de donner une très forte impulsion au commerce (et pas que ça) via les réseaux en générant facilement des documents (commandes, actes divers etc) authentifiés et irrévocables (plus de document antidaté possible -enfin presque!- à la compromission d'une clef).[4]
L'horodatage devrait d'ailleurs se faire par l'utilisation simultanée de plusieurs entités (afin d'éviter le gag de la compromission des clefs du tiers horodateurs!)
Eric
[1] Aucune référence directe avec des lois existantes, tu me demandais un avis. [2] Il suffit d'avoir une loi qui réprimer très durement la non communication des clefs de session par exemple, sur demande expresse de l'autorité judiciaire uniquement (ie pas de possibilité pour l'exécutif de réclamer directement les clefs) Une fois de plus, de toute façon une personne malhonnête communiquera avec une autre de façon chiffrée sans communiquer les clefs aux forces de l'ordre auparavant! :) [3] Tu vois bien que je ne suis pas un anti-autorité primaire :) [4] En utilisant conjointement bien sur les techniques de signature et chiffrage du document à horodater (l'horodatage étant généralement d'ailleurs un hash signé du time-stamp et du document). -- L'invulnérable : Je ne pense pas etre piratable, infectable par un trojen oui! Vu sur fcs un jour de mars 2004.
"LaDDL" a écrit:
PS Au fait, Eric je ne comprends pas pourquoi tu es complétement contre
un tiers de confiance étant donné que dans de nombreux
contextes/environnements/situations on ne peut pas faire autrement.
Exemple : le commerce électronique.
Grrr, est-ce sciement que quand tu me cite il manque des morceau
significatifs? :
"Je suis complètement contre l'obligation des tiers de (non!)confiance."
Il y a des domaines où ils n'ont pas une nécessité impérative.
Néanmoins j'ai effectivement mal exprimé ma pensée que je précise si après :
Quand le tiers à un rôle, par exemple, de gestion de PKI ça ma va. Sous
certaines réserves néanmoins, par exemple actuellement le risque financier
pris par ces structures est souvent ridicule quand elles commettent des
erreurs graves dans la gestion des certifs par exemple (il suffit d'aller
voir sur les sites de verisign les montants assurés suivant le type de
certif choisi).
En supposant que ce tiers fait sont boulot et soit soumis à des contrôles ça
me va.
Par contre je serais violemment opposé au sequestre généralisé des clef par
un tiers de "confiance", fut-il étatique[1], sous prétexte par exemple que
la justice puisse accéder à n'importe quel document[2] (il existe des cas
précis où le sequestre est important mais ceux ne sont pas des généralités)
Un problème, souvent largement sous-estimé est la nécessité de pouvoir
horodater convenablement un document. Dans ce domaine je suis effectivement
surpris de ne pas voir apparaître de services *très peu coûteux*, sous
contrôle étatique, permettant d'horodater de manière efficace un document.
Je suis clairement pour un tiers de confiance d'horodatage.
Le "très peu coûteux" et étatique sont important ahma pour deux raisons :
- Le contrôle d'état est important[3] pour éviter qu'une société privée ne
fausse un horodatage (on ne me fera pas croire qu'un pôt de vin très
important ne risque pas de provoquer une pression difficile à contrer ; déjà
que ce ne serait pas la première fois que des services de l'état font des
choses illégales, ça me semble encore plus risqué de laisser ça entre les
mains du tout-privé).
- Le *très* faible coût pour permettre une large utilisation de ces
services. Ca permettrait de donner une très forte impulsion au commerce (et
pas que ça) via les réseaux en générant facilement des documents
(commandes, actes divers etc) authentifiés et irrévocables (plus de document
antidaté possible -enfin presque!- à la compromission d'une clef).[4]
L'horodatage devrait d'ailleurs se faire par l'utilisation simultanée de
plusieurs entités (afin d'éviter le gag de la compromission des clefs du
tiers horodateurs!)
Eric
[1] Aucune référence directe avec des lois existantes, tu me demandais un
avis.
[2] Il suffit d'avoir une loi qui réprimer très durement la non
communication des clefs de session par exemple, sur demande expresse de
l'autorité judiciaire uniquement (ie pas de possibilité pour l'exécutif de
réclamer directement les clefs) Une fois de plus, de toute façon une
personne malhonnête communiquera avec une autre de façon chiffrée sans
communiquer les clefs aux forces de l'ordre auparavant! :)
[3] Tu vois bien que je ne suis pas un anti-autorité primaire :)
[4] En utilisant conjointement bien sur les techniques de signature et
chiffrage du document à horodater (l'horodatage étant généralement
d'ailleurs un hash signé du time-stamp et du document).
--
L'invulnérable :
Je ne pense pas etre piratable, infectable par un trojen oui!
Vu sur fcs un jour de mars 2004.
PS Au fait, Eric je ne comprends pas pourquoi tu es complétement contre un tiers de confiance étant donné que dans de nombreux contextes/environnements/situations on ne peut pas faire autrement. Exemple : le commerce électronique.
Grrr, est-ce sciement que quand tu me cite il manque des morceau significatifs? : "Je suis complètement contre l'obligation des tiers de (non!)confiance."
Il y a des domaines où ils n'ont pas une nécessité impérative.
Néanmoins j'ai effectivement mal exprimé ma pensée que je précise si après :
Quand le tiers à un rôle, par exemple, de gestion de PKI ça ma va. Sous certaines réserves néanmoins, par exemple actuellement le risque financier pris par ces structures est souvent ridicule quand elles commettent des erreurs graves dans la gestion des certifs par exemple (il suffit d'aller voir sur les sites de verisign les montants assurés suivant le type de certif choisi).
En supposant que ce tiers fait sont boulot et soit soumis à des contrôles ça me va.
Par contre je serais violemment opposé au sequestre généralisé des clef par un tiers de "confiance", fut-il étatique[1], sous prétexte par exemple que la justice puisse accéder à n'importe quel document[2] (il existe des cas précis où le sequestre est important mais ceux ne sont pas des généralités)
Un problème, souvent largement sous-estimé est la nécessité de pouvoir horodater convenablement un document. Dans ce domaine je suis effectivement surpris de ne pas voir apparaître de services *très peu coûteux*, sous contrôle étatique, permettant d'horodater de manière efficace un document. Je suis clairement pour un tiers de confiance d'horodatage.
Le "très peu coûteux" et étatique sont important ahma pour deux raisons :
- Le contrôle d'état est important[3] pour éviter qu'une société privée ne fausse un horodatage (on ne me fera pas croire qu'un pôt de vin très important ne risque pas de provoquer une pression difficile à contrer ; déjà que ce ne serait pas la première fois que des services de l'état font des choses illégales, ça me semble encore plus risqué de laisser ça entre les mains du tout-privé).
- Le *très* faible coût pour permettre une large utilisation de ces services. Ca permettrait de donner une très forte impulsion au commerce (et pas que ça) via les réseaux en générant facilement des documents (commandes, actes divers etc) authentifiés et irrévocables (plus de document antidaté possible -enfin presque!- à la compromission d'une clef).[4]
L'horodatage devrait d'ailleurs se faire par l'utilisation simultanée de plusieurs entités (afin d'éviter le gag de la compromission des clefs du tiers horodateurs!)
Eric
[1] Aucune référence directe avec des lois existantes, tu me demandais un avis. [2] Il suffit d'avoir une loi qui réprimer très durement la non communication des clefs de session par exemple, sur demande expresse de l'autorité judiciaire uniquement (ie pas de possibilité pour l'exécutif de réclamer directement les clefs) Une fois de plus, de toute façon une personne malhonnête communiquera avec une autre de façon chiffrée sans communiquer les clefs aux forces de l'ordre auparavant! :) [3] Tu vois bien que je ne suis pas un anti-autorité primaire :) [4] En utilisant conjointement bien sur les techniques de signature et chiffrage du document à horodater (l'horodatage étant généralement d'ailleurs un hash signé du time-stamp et du document). -- L'invulnérable : Je ne pense pas etre piratable, infectable par un trojen oui! Vu sur fcs un jour de mars 2004.
Eric Razny
"Eric Razny" a écrit ...
... des trucs sur l'horodatage, sans donner de lien.
-- L'invulnérable : Je ne pense pas etre piratable, infectable par un trojen oui! Vu sur fcs un jour de mars 2004.
LaDDL
Eric Razny wrote:
"LaDDL" a écrit:
PS Au fait, Eric je ne comprends pas pourquoi tu es complétement contre un tiers de confiance étant donné que dans de nombreux contextes/environnements/situations on ne peut pas faire autrement. Exemple : le commerce électronique.
Grrr, est-ce sciement que quand tu me cite il manque des morceau significatifs? : Nono.
"Je suis complètement contre l'obligation des tiers de (non!)confiance."
Il y a des domaines où ils n'ont pas une nécessité impérative. C'est évident on a pas besoin de prouver la validité des échanges en
permanence.
Néanmoins j'ai effectivement mal exprimé ma pensée que je précise si après :
Quand le tiers à un rôle, par exemple, de gestion de PKI ça ma va. Sous certaines réserves néanmoins, par exemple actuellement le risque financier pris par ces structures est souvent ridicule quand elles commettent des erreurs graves dans la gestion des certifs par exemple (il suffit d'aller voir sur les sites de verisign les montants assurés suivant le type de certif choisi).
En supposant que ce tiers fait sont boulot et soit soumis à des contrôles ça me va.
Par contre je serais violemment opposé au sequestre généralisé des clef par un tiers de "confiance", fut-il étatique[1], sous prétexte par exemple que la justice puisse accéder à n'importe quel document[2] (il existe des cas précis où le sequestre est important mais ceux ne sont pas des généralités) Je vais vérifier cela mais il me semble que la remise des clés n'est pas
obligatoire sauf pour des actes qualifiés (trafic d'armes, de stupéfiant, terrorisme).
Un problème, souvent largement sous-estimé est la nécessité de pouvoir horodater convenablement un document. C'est juste mais parce qu'il y avait jusqu'à il y a peu de nombreux
obstacles juridiques, organisationnels et techniques.
Dans ce domaine je suis effectivement surpris de ne pas voir apparaître de services *très peu coûteux*, sous contrôle étatique, permettant d'horodater de manière efficace un document. Il faut laisser le marché de la confiance se consolider, s'organiser.
Les coûts se réduiront au fil du temps. N'oublies pas qu'on sort à peine des projets d'expérimentations et que qq services viennent tout juste d'être lancés. Ex : http://www.laposte.fr/postecs/
Je suis clairement pour un tiers de confiance d'horodatage. C'est LA solution.
Le "très peu coûteux" et étatique sont important ahma pour deux raisons :
- Le contrôle d'état est important[3] pour éviter qu'une société privée ne fausse un horodatage (on ne me fera pas croire qu'un pôt de vin très important ne risque pas de provoquer une pression difficile à contrer ; déjà que ce ne serait pas la première fois que des services de l'état font des choses illégales, ça me semble encore plus risqué de laisser ça entre les mains du tout-privé). Nous sommes dans une société de droit donc les "risques sont encadrés".
- Le *très* faible coût pour permettre une large utilisation de ces services. Ca permettrait de donner une très forte impulsion au commerce (et pas que ça) via les réseaux en générant facilement des documents (commandes, actes divers etc) authentifiés et irrévocables (plus de document antidaté possible -enfin presque!- à la compromission d'une clef).[4] Comme je le soulignais plus haut, les offres et les premiers services
d'horodatage viennent d'apparaître. Les coûts iront à la baisse rapidement.
L'horodatage devrait d'ailleurs se faire par l'utilisation simultanée de plusieurs entités (afin d'éviter le gag de la compromission des clefs du tiers horodateurs!) Il y a plusieurs entités à différents niveaux qui entrent en ligne de
compte.
Eric Razny wrote:
"LaDDL" a écrit:
PS Au fait, Eric je ne comprends pas pourquoi tu es complétement contre
un tiers de confiance étant donné que dans de nombreux
contextes/environnements/situations on ne peut pas faire autrement.
Exemple : le commerce électronique.
Grrr, est-ce sciement que quand tu me cite il manque des morceau
significatifs? :
Nono.
"Je suis complètement contre l'obligation des tiers de (non!)confiance."
Il y a des domaines où ils n'ont pas une nécessité impérative.
C'est évident on a pas besoin de prouver la validité des échanges en
permanence.
Néanmoins j'ai effectivement mal exprimé ma pensée que je précise si après :
Quand le tiers à un rôle, par exemple, de gestion de PKI ça ma va. Sous
certaines réserves néanmoins, par exemple actuellement le risque financier
pris par ces structures est souvent ridicule quand elles commettent des
erreurs graves dans la gestion des certifs par exemple (il suffit d'aller
voir sur les sites de verisign les montants assurés suivant le type de
certif choisi).
En supposant que ce tiers fait sont boulot et soit soumis à des contrôles ça
me va.
Par contre je serais violemment opposé au sequestre généralisé des clef par
un tiers de "confiance", fut-il étatique[1], sous prétexte par exemple que
la justice puisse accéder à n'importe quel document[2] (il existe des cas
précis où le sequestre est important mais ceux ne sont pas des généralités)
Je vais vérifier cela mais il me semble que la remise des clés n'est pas
obligatoire sauf pour des actes qualifiés (trafic d'armes, de
stupéfiant, terrorisme).
Un problème, souvent largement sous-estimé est la nécessité de pouvoir
horodater convenablement un document.
C'est juste mais parce qu'il y avait jusqu'à il y a peu de nombreux
obstacles juridiques, organisationnels et techniques.
Dans ce domaine je suis effectivement
surpris de ne pas voir apparaître de services *très peu coûteux*, sous
contrôle étatique, permettant d'horodater de manière efficace un document.
Il faut laisser le marché de la confiance se consolider, s'organiser.
Les coûts se réduiront au fil du temps.
N'oublies pas qu'on sort à peine des projets d'expérimentations et que
qq services viennent tout juste d'être lancés.
Ex : http://www.laposte.fr/postecs/
Je suis clairement pour un tiers de confiance d'horodatage.
C'est LA solution.
Le "très peu coûteux" et étatique sont important ahma pour deux raisons :
- Le contrôle d'état est important[3] pour éviter qu'une société privée ne
fausse un horodatage (on ne me fera pas croire qu'un pôt de vin très
important ne risque pas de provoquer une pression difficile à contrer ; déjà
que ce ne serait pas la première fois que des services de l'état font des
choses illégales, ça me semble encore plus risqué de laisser ça entre les
mains du tout-privé).
Nous sommes dans une société de droit donc les "risques sont encadrés".
- Le *très* faible coût pour permettre une large utilisation de ces
services. Ca permettrait de donner une très forte impulsion au commerce (et
pas que ça) via les réseaux en générant facilement des documents
(commandes, actes divers etc) authentifiés et irrévocables (plus de document
antidaté possible -enfin presque!- à la compromission d'une clef).[4]
Comme je le soulignais plus haut, les offres et les premiers services
d'horodatage viennent d'apparaître. Les coûts iront à la baisse
rapidement.
L'horodatage devrait d'ailleurs se faire par l'utilisation simultanée de
plusieurs entités (afin d'éviter le gag de la compromission des clefs du
tiers horodateurs!)
Il y a plusieurs entités à différents niveaux qui entrent en ligne de
PS Au fait, Eric je ne comprends pas pourquoi tu es complétement contre un tiers de confiance étant donné que dans de nombreux contextes/environnements/situations on ne peut pas faire autrement. Exemple : le commerce électronique.
Grrr, est-ce sciement que quand tu me cite il manque des morceau significatifs? : Nono.
"Je suis complètement contre l'obligation des tiers de (non!)confiance."
Il y a des domaines où ils n'ont pas une nécessité impérative. C'est évident on a pas besoin de prouver la validité des échanges en
permanence.
Néanmoins j'ai effectivement mal exprimé ma pensée que je précise si après :
Quand le tiers à un rôle, par exemple, de gestion de PKI ça ma va. Sous certaines réserves néanmoins, par exemple actuellement le risque financier pris par ces structures est souvent ridicule quand elles commettent des erreurs graves dans la gestion des certifs par exemple (il suffit d'aller voir sur les sites de verisign les montants assurés suivant le type de certif choisi).
En supposant que ce tiers fait sont boulot et soit soumis à des contrôles ça me va.
Par contre je serais violemment opposé au sequestre généralisé des clef par un tiers de "confiance", fut-il étatique[1], sous prétexte par exemple que la justice puisse accéder à n'importe quel document[2] (il existe des cas précis où le sequestre est important mais ceux ne sont pas des généralités) Je vais vérifier cela mais il me semble que la remise des clés n'est pas
obligatoire sauf pour des actes qualifiés (trafic d'armes, de stupéfiant, terrorisme).
Un problème, souvent largement sous-estimé est la nécessité de pouvoir horodater convenablement un document. C'est juste mais parce qu'il y avait jusqu'à il y a peu de nombreux
obstacles juridiques, organisationnels et techniques.
Dans ce domaine je suis effectivement surpris de ne pas voir apparaître de services *très peu coûteux*, sous contrôle étatique, permettant d'horodater de manière efficace un document. Il faut laisser le marché de la confiance se consolider, s'organiser.
Les coûts se réduiront au fil du temps. N'oublies pas qu'on sort à peine des projets d'expérimentations et que qq services viennent tout juste d'être lancés. Ex : http://www.laposte.fr/postecs/
Je suis clairement pour un tiers de confiance d'horodatage. C'est LA solution.
Le "très peu coûteux" et étatique sont important ahma pour deux raisons :
- Le contrôle d'état est important[3] pour éviter qu'une société privée ne fausse un horodatage (on ne me fera pas croire qu'un pôt de vin très important ne risque pas de provoquer une pression difficile à contrer ; déjà que ce ne serait pas la première fois que des services de l'état font des choses illégales, ça me semble encore plus risqué de laisser ça entre les mains du tout-privé). Nous sommes dans une société de droit donc les "risques sont encadrés".
- Le *très* faible coût pour permettre une large utilisation de ces services. Ca permettrait de donner une très forte impulsion au commerce (et pas que ça) via les réseaux en générant facilement des documents (commandes, actes divers etc) authentifiés et irrévocables (plus de document antidaté possible -enfin presque!- à la compromission d'une clef).[4] Comme je le soulignais plus haut, les offres et les premiers services
d'horodatage viennent d'apparaître. Les coûts iront à la baisse rapidement.
L'horodatage devrait d'ailleurs se faire par l'utilisation simultanée de plusieurs entités (afin d'éviter le gag de la compromission des clefs du tiers horodateurs!) Il y a plusieurs entités à différents niveaux qui entrent en ligne de
compte.
Erwann ABALEA
Bonjour,
On Wed, 14 Jul 2004, LaDDL wrote:
Au regard du cadre législatif français de la cryptographie, je trouve que notre pays oppose un peu trop les intérêts de l'Etat, des entreprises et des individus/particuliers. IHMO cela nuit à la fourniture, le transfert, l'importation et l'exportation de moyens et de prestations de cryptologie car les architectures réseaux et systèmes qui supportent la cryptologie ne garantissent pas un niveau de sécurité. Je pense IHMO qu'il faut comme le font le Canada ou la Suisse libéraliser la taille des clés (aujourd'hui en France limitées à des clés inférieures ou égales à 128 bits) parce que le chiffrement présente de nombreux intérêts :
Une clé de 128 bits avec un algo décent est largement suffisante pour les besoins suivants:
- la protection de l'information contre l'espionnage économique/industriel, diplomatique/militaire, des groupes terroristes et personnes sous enquêtes. - la protection de la sphère privée soit des communications et documents privés - la prévention de la criminalité économique & informatique, pour sécuriser le commerce électronique et les réseaux & systèmes informatique - le développement de produits et services basés sur le chiffrement - le développement de la recherche en cryptologie
Et d'autres. Espérer faire une recherche exhaustive pour trouver une clé de 128 bits est de la pure science-fiction (ou une énorme paranoïa associée à un délire du Grand Complot).
Si je tue un lapin avec un bazooka plutôt qu'avec un fusil, est-ce qu'il est plus(+) mort? Non. C'est pareil avec une clé de plus de 128 bits par rapport à une clé de 128 bits(*).
(*) pour un algo symétrique bien conçu et bien étudié, comme par example l'AES.
-- Erwann ABALEA - RSA PGP Key ID: 0x2D0EABD5 ----- JE SUIS TOTALEMENT DE TON AVIS !! Ton argumentation reflète EXACTEMENT ce que je pense. Il fallait que je le dise même si ça ne fait pas avancé le scmilblick -+- Tigrou yodèle in GNU - AOL hi hi, la la la itou -+-
Bonjour,
On Wed, 14 Jul 2004, LaDDL wrote:
Au regard du cadre législatif français de la cryptographie, je trouve
que notre pays oppose un peu trop les intérêts de l'Etat, des
entreprises et des individus/particuliers.
IHMO cela nuit à la fourniture, le transfert, l'importation et
l'exportation de moyens et de prestations de cryptologie car les
architectures réseaux et systèmes qui supportent la cryptologie ne
garantissent pas un niveau de sécurité.
Je pense IHMO qu'il faut comme le font le Canada ou la Suisse
libéraliser la taille des clés (aujourd'hui en France limitées à des
clés inférieures ou égales à 128 bits) parce que le chiffrement présente
de nombreux intérêts :
Une clé de 128 bits avec un algo décent est largement suffisante pour les
besoins suivants:
- la protection de l'information contre l'espionnage
économique/industriel, diplomatique/militaire, des groupes terroristes
et personnes sous enquêtes.
- la protection de la sphère privée soit des communications et documents
privés
- la prévention de la criminalité économique & informatique, pour
sécuriser le commerce électronique et les réseaux & systèmes
informatique
- le développement de produits et services basés sur le chiffrement
- le développement de la recherche en cryptologie
Et d'autres. Espérer faire une recherche exhaustive pour trouver une clé
de 128 bits est de la pure science-fiction (ou une énorme paranoïa
associée à un délire du Grand Complot).
Si je tue un lapin avec un bazooka plutôt qu'avec un fusil, est-ce qu'il
est plus(+) mort? Non. C'est pareil avec une clé de plus de 128 bits par
rapport à une clé de 128 bits(*).
(*) pour un algo symétrique bien conçu et bien étudié, comme par example
l'AES.
--
Erwann ABALEA <erwann@abalea.com> - RSA PGP Key ID: 0x2D0EABD5
-----
JE SUIS TOTALEMENT DE TON AVIS !!
Ton argumentation reflète EXACTEMENT ce que je pense.
Il fallait que je le dise même si ça ne fait pas avancé le scmilblick
-+- Tigrou yodèle in GNU - AOL hi hi, la la la itou -+-
Au regard du cadre législatif français de la cryptographie, je trouve que notre pays oppose un peu trop les intérêts de l'Etat, des entreprises et des individus/particuliers. IHMO cela nuit à la fourniture, le transfert, l'importation et l'exportation de moyens et de prestations de cryptologie car les architectures réseaux et systèmes qui supportent la cryptologie ne garantissent pas un niveau de sécurité. Je pense IHMO qu'il faut comme le font le Canada ou la Suisse libéraliser la taille des clés (aujourd'hui en France limitées à des clés inférieures ou égales à 128 bits) parce que le chiffrement présente de nombreux intérêts :
Une clé de 128 bits avec un algo décent est largement suffisante pour les besoins suivants:
- la protection de l'information contre l'espionnage économique/industriel, diplomatique/militaire, des groupes terroristes et personnes sous enquêtes. - la protection de la sphère privée soit des communications et documents privés - la prévention de la criminalité économique & informatique, pour sécuriser le commerce électronique et les réseaux & systèmes informatique - le développement de produits et services basés sur le chiffrement - le développement de la recherche en cryptologie
Et d'autres. Espérer faire une recherche exhaustive pour trouver une clé de 128 bits est de la pure science-fiction (ou une énorme paranoïa associée à un délire du Grand Complot).
Si je tue un lapin avec un bazooka plutôt qu'avec un fusil, est-ce qu'il est plus(+) mort? Non. C'est pareil avec une clé de plus de 128 bits par rapport à une clé de 128 bits(*).
(*) pour un algo symétrique bien conçu et bien étudié, comme par example l'AES.
-- Erwann ABALEA - RSA PGP Key ID: 0x2D0EABD5 ----- JE SUIS TOTALEMENT DE TON AVIS !! Ton argumentation reflète EXACTEMENT ce que je pense. Il fallait que je le dise même si ça ne fait pas avancé le scmilblick -+- Tigrou yodèle in GNU - AOL hi hi, la la la itou -+-
