sha1 & Les CSIRTs français

Dans l'article <1187113699.006526.77940@w3g2000hsg.googlegroups.com>,
ptilou <ptilou@gmail.com> demande

si il existe une recommendation, ou une baffouille pour:
US Secure Hash Algorithm 1, sur les organismes ci-dessus, ou si
ces derniers recommandent un autre algo ? (pour le hash bien sur !)

Pour moi CSIRT c'est "Computer Security Incident Response Team";
en France cette fonction est en gros sous la responsabilité de la DCSSI.
http://www.ssi.gouv.fr/fr/dcssi

La denière fois que j'ai exploré le sujet des algorithmes de hash
officiellement admis par la DCSSI, et en particulier
http://www.ssi.gouv.fr/site_documents/certification/SIG-P-01_Certif_de_conformite_des_DCS_elec.pdf
les deux fonctions de hashage admises étaient celles recommandées par
http://webapp.etsi.org/workprogram/Report_WorkItem.asp?WKI_ID277
qui cite deux algorithmes de hash: SHA-1 et RIPEMD-160
http://www.itl.nist.gov/fipspubs/fip180-1.htm
http://homes.esat.kuleuven.be/~cosicart/pdf/AB-9601

Je conjecture que les algorithmes de la famille SHA-2
http://csrc.nist.gov/publications/fips/fips180-2/fips180-2withchangenotice.pdf
seraient aussi admissibles en le demandant poliment, mais je n'ai
pas d'exemple de produit certifié les utilisant.


François Grieu

Bonjour,

On 15 août, 12:25, Francois Grieu <fgr...@gmail.com> wrote:

Dans l'article <1187113699.006526.77...@w3g2000hsg.googlegroups.com>,
ptilou <pti...@gmail.com> demande

si il existe une recommendation, ou une baffouille pour:
US Secure Hash Algorithm 1, sur les organismes ci-dessus, ou si
ces derniers recommandent un autre algo ? (pour le hash bien sur !)

Pour moi CSIRT c'est "Computer Security Incident Response Team";
en France cette fonction est en gros sous la responsabilité de la DCSSI .http://www.ssi.gouv.fr/fr/dcssi

J'ai trouvé cette acronyme à cette adresse :http://
www.certa.ssi.gouv.fr/certa/liens.html

La denière fois que j'ai exploré le sujet des algorithmes de hash
officiellement admis par la DCSSI, et en particulierhttp://www.ssi.gouv.f r/site_documents/certification/SIG-P-01_Certif_d...
les deux fonctions de hashage admises étaient celles recommandées par http://webapp.etsi.org/workprogram/Report_WorkItem.asp?WKI_ID=18277
qui cite deux algorithmes de hash: SHA-1 et RIPEMD-160http://www.itl.nist .gov/fipspubs/fip180-1.htmhttp://homes.esat.kuleuven.be/~cosicart/pdf/AB-96 01

Euh, les explication en français, sa existe ?
( pas celui que j'écris, mais le vraie )

Je conjecture que les algorithmes de la famille SHA-2http://csrc.nist.gov /publications/fips/fips180-2/fips180-2withchangen...
seraient aussi admissibles en le demandant poliment, mais je n'ai
pas d'exemple de produit certifié les utilisant.

Pourquoi n'exite t'il pas des produits de la grandes familles des
logiciels libre certifiés ?
( Faut payer pour être certifié ? )

merçi pour ces liens précieux ...

Ptilou

François Grieu

Dans l'article <1187175992.438303.30750@r29g2000hsg.googlegroups.com>,
ptilou <ptilou@gmail.com> demande

Euh, les explications en français, ça existe ?
Sur SHA-1

http://fr.wikipedia.org/wiki/SHA-1

Pourquoi n'exite t'il pas des produits de la grande famille
des logiciels libre certifiés ?

Il en existe peu, car c'est long et/donc cher, et à refaire
(partiellement) à chaque changement.

La librairie crypto++ (dont le source est public et
l'essentiel du code dans le domaine public) est certifiée
FIPS 140-2 niveau 1, y compris pour SHA-1, SHA-224..512
http://www.cryptopp.com/#fips

Je ne trouve pas d'exemple de librairie/produit de crypto
"libre" et certifié par la DCSSI ou autre organisme reconnu en
France (il me semble que cela existe; je suis preneur..)

( Faut payer pour être certifié ? )
Oui.

François Grieu

Re,

On 15 août, 14:03, Francois Grieu <fgr...@gmail.com> wrote:

Dans l'article <1187175992.438303.30...@r29g2000hsg.googlegroups.com>,
ptilou <pti...@gmail.com> demande

Euh, les explications en français, ça existe ?

Sur SHA-1http://fr.wikipedia.org/wiki/SHA-1

Pourquoi n'exite t'il pas des produits de la grande famille
des logiciels libre certifiés ?

Il en existe peu, car c'est long et/donc cher, et à refaire
(partiellement) à chaque changement.

La librairie crypto++ (dont le source est public et
l'essentiel du code dans le domaine public) est certifiée
FIPS 140-2 niveau 1, y compris pour SHA-1, SHA-224..512http://www.cryptop p.com/#fips

Je ne trouve pas d'exemple de librairie/produit de crypto
"libre" et certifié par la DCSSI ou autre organisme reconnu en
France (il me semble que cela existe; je suis preneur..)

Avec réserve : Juridiquement je crois que si c'est reconnu en Europe,
c'est de facto en France ?!
FIPS 140-2 vient des USA, n'y a t'il pas une convention international,
qui lui donne force ?
Pour la NSA, je n'ai entendu que du bien sur les traveaux effectué !
( l'organisme qui gére FIPS est "chien comme cochon" avec la NSA ! )

En se qui concerne le hash de sha1, le wiki parle de collision, mon
avis tant à dire quelles sont plus fréquentes ( plaussibles ) sur des
fichiers de petites tailles ? ( j'en dis une de plus ? )


Ptilou

Dans l'article <1187183396.024167.181650@50g2000hsm.googlegroups.com>,
ptilou <ptilou@gmail.com> écrit:

En ce qui concerne le hash SHA-1, le wiki
http://fr.wikipedia.org/wiki/SHA-1

parle de collision, mon avis tant à dire qu'elles sont plus
fréquentes (plaussibles) sur des fichiers de petite taille ?

Je ne vois pas pourquoi la probabilité que deux fichiers
de contenu alétoire, MAIS DISTINCT, aient le même hash,
serait sensiblement affectée par le fait que les deux fichiers
soient de petite taille. Autant que je sache cette probabilité
est de l'ordre de 2^-160.

Bien sur, la probabilité que deux très petit fichiers de
contenu alétoire soient identiques dépend de leur taille,
et jusqu'à 20 octets environ cela affecte notablement
la probabilité que les deux fichiers aient le même hash.

( j'en dis une de plus ? )

Euh, sauf à fournir aussi une piste de justification...


François Grieu

Francois Grieu wrote on 15/08/2007 14:03:

Je ne trouve pas d'exemple de librairie/produit de crypto
"libre" et certifié par la DCSSI ou autre organisme reconnu en
France (il me semble que cela existe; je suis preneur..)

IdealX, pardon OpenTrust, a certifié (il me semble) un de leur package
distribué en open source - leur changement de nom et le rebranding de
leur gamme m'empèche de retrouver le produit en question ...

Sylvain.

Pour la NSA, je n'ai entendu que du bien sur les traveaux effectué !
( l'organisme qui gére FIPS est "chien comme cochon" avec la NSA ! )

*COPAIN* comme cochon, et non pas /chien/ comme cochon !!! Ptilou, il
faut réviser vos classiques ! Je vous conseille vivement un nouveau
visionnage des "bronzés font du ski" ...


--
YannicK
yann801 *arobase* yahoo *point* fr
yann801 *at* yahoo *dot* fr

Dans l'article <46c34eca$0$25918$ba4acef3@news.orange.fr>,
Sylvain <noSpam@mail.net> a écrit:

Francois Grieu wrote on 15/08/2007 14:03:

Je ne trouve pas d'exemple de librairie/produit de crypto
"libre" et certifié par la DCSSI ou autre organisme reconnu en
France (il me semble que cela existe; je suis preneur..)

IdealX, pardon OpenTrust, a certifié (il me semble) un de leur package
distribué en open source - leur changement de nom et le rebranding de
leur gamme m'empèche de retrouver le produit en question ...

Merci de ces pointeurs. Selon
http://www.opentrust.com/content/view/141/247
OpenTrust/IdealX a 3 produits open-sources:
https://sourceforge.net/projects/alfresco-crypt
https://sourceforge.net/projects/cryptonit
https://sourceforge.net/projects/opentrust-pam

Mais je ne vois aucune mention d'une certification ni d'une
qualification par la DCSSI d'un de ces produits, ni même d'un
quelconque produit de ces sociétés; je trouve seulement la trace
d'une cible de sécurité du produit IDX-PKI
http://www.ssi.gouv.fr/fr/politique_produit/catalogue/inventaire/pdf/ST_IDX_PKI.pdf
mais elle est piteusement "supprimée dans l'attente du
lancement de l'évaluation" selon
http://www.ssi.gouv.fr/fr/politique_produit/catalogue


Francois Grieu

Francois Grieu wrote on 16/08/2007 10:43:

Selon
http://www.opentrust.com/content/view/141/247
OpenTrust/IdealX a 3 produits open-sources:
https://sourceforge.net/projects/alfresco-crypt
https://sourceforge.net/projects/cryptonit
https://sourceforge.net/projects/opentrust-pam

c'est à Cryptonit que je pensais - solution retenue en Belgique pour la
carte nationale d'identité (électronique) (la Belgique a émis ses
passeports électroniques en même temps que sa CNI et une CVQ).

toutefois c'est sur une déclinaison commerciale de ce package
("IDX-PKI") que portait la certification initiée en Aout 2004 mais
suspendu en Janvier 2006 dans l'attente du lancement effectif de cette
certif. [1]

ceci confirme ta première remarque et l'absence (apparemment) de certifs
sur des produits open source.

Sylvain.

[1] <http://www.ssi.gouv.fr/fr/politique_produit/catalogue/index.html>

ptilou wrote:

Avec réserve : Juridiquement je crois que si c'est reconnu en Europe,
c'est de facto en France ?!
FIPS 140-2 vient des USA, n'y a t'il pas une convention international,
qui lui donne force ?

La seule validation qui a /force/ en France est celle des critères
communs, un produit évalué suivant les critères communs est reconnu dans
les autres pays signataires de cet accord quel que soit sont origine, y
compris en dehors de l'europe.

Malheureusement je ne connais aucun produit libre évalué suivant les
critères communs, et je me demande pourquoi les US continuent
généralement à évaluer suivant FIPS alors qu'ils reconnaissent aussi les
critères communs.