Cryptographie en France

par **antolien** » 13 Juin 2003 11:28

Donc ma question est de connaître les risques vis-à-vis de la loi en france en ce qui concerne la limitation à 128bits de cryptage. Déjà, nous sommes limités à 128bits pour que l'état puisse casser nos clefs. Donc, si l'état peut le faire, les hackers aussi <IMG SRC="images/smiles/icon_confused.gif"> Donc, le cryptage VPN ou les clefs PGP ne sont qu'une illusion de sécurité ? (un placebo comme dit dans l'<A HREF="http://www.transfert.net/a8955" TARGET="_blank">article</A>) Alors, par exemple, si j'ai un VPN ipsec et que en plus je cré un autre tunnel pptp à l'interieur, suis-je hors la loi ? ou alors, imaginons que j'utilise un cryptage ssh de 256bits. qu'est-ce que je risque ? (ce ne sont que des exemples, je ne le fait pas...)

par **vanvan** » 13 Juin 2003 12:04

je pense qu'ils arriveront toujours à casser c clés même si ça prends carrément plus de temps. Mais au final, à par le risque de prendre une bonne fessée, je pense pas qu'ils puissent capter un réseau avec un cryptage sur 256 bits, à moins que t pas de bol. Mais on c jamais !

par **antolien** » 13 Juin 2003 12:13

mais la question est de savoir ce que l'on risque. et aussi pourquoi seulement 128 bits ce que j'ai trouvé c'est : peine jusqu’à 3 mois de prison et 500 000 Fr. d’amende (C.P. art. 131-27) mais bon, ce n'est pas très clair, j'arrive pas à trouver l'article de loi ni le décrets de mars 1999 par contre il apparaît aucune restriction au niveau de la taille des clefs pgp depuis fin 99 et je crois qu'en interne, il n'y a pas de limite (par exemple ssh en local 1024 bits serait toléré...) mais j'en suis pas sûr. voilà , si qqun à plus d'infos...

par **Vinzstyle** » 13 Juin 2003 12:15

Moi perso, je crypte à plus de 128bits (bien plus). Et si l'Etat n'est pas content, bah il n'avais pas à venir fouiller chez moi. J'vais pas fouiller chez eux moi. Si un jour (et faut vraiment pas avoir de bol) la gendarmerie venait frappé chez moi à cause de ça, bin, je me montrerai coopératif, car j'ai rien à cacher. Sinon, j'adore cette phrase : "A quoi bon s'encombrer d'une clef de 128 bits, si seulement 8 bits sont effectivement utilisés, si votre clef se promène quelque part sur votre ordinateur ou si elle est transmise à votre insu avec vos messages ? A quoi bon s'embêter à chiffrer ses fichiers avant de les envoyer, si ceux-ci sont accessibles lorsqu'ils sont encore disponibles, non cryptés, en utilisant, via Internet, l'une des multiples failles du système d'exploitation devenu le standard mondial dont on ne veut pas nous donner les sources." Surtout la fin <IMG SRC="images/smiles/icon_biggrin.gif">

par **Vinzstyle** » 13 Juin 2003 12:20

Je suis en train de chercher sur <A HREF="http://www.legifrance.gouv.fr/" TARGET="_blank">http://www.legifrance.gouv.fr/</A> mais je ne trouve pas.

par **antolien** » 13 Juin 2003 12:22

lol oui mais vinstyle perso, je préfère ne pas tenter le diable, et je n'ai rien à cacher non plus. personne n'est censé ignorer la loi. donc je me renseigne avant de faire qqch qui pourrait déranger et/ou causer des ennuis. j'ai trouvé le décret de 99 <a href="http://www.extense.com/cgi-bin/x2cgi_view.cgi?userID=65135412&view=on&query=cryptage+128+bits&url=http%3A%2F%2Fwww.internet.gouv.fr%2Ffrancais%2Ftextesref%2Fcryptodecret99199.htm#marker" target="_blank">http://www.extense.com/cgi-bin/x2cgi_view.cgi?userID=65135412&view=on&query=cryptage+128+bits&url=http%3A%2F%2Fwww.internet.gouv.fr%2Ffrancais%2Ftextesref%2Fcryptodecret99199.htm#marker</a>

par **tomtom** » 13 Juin 2003 12:22

Voila la loi en france, résumée dans un beau tableau : <a href="http://www.ssi.gouv.fr/fr/reglementation/regl_crypto.html" target="_blank">http://www.ssi.gouv.fr/fr/reglementation/regl_crypto.html</a> En gros, si tu veux faire plus de 128 bits, il te faut faire une demande d'autorisation d'autorisation personnelle. Je ne sais pas comment sont accordées ces autorisations.... A mon avis, le fait d'encapsuler un cryptage dans un autre n'es pas illégal, puisque seule la longueur de la clé utilisée lors du cryptage compte. Il n'est pas indiqué il me semble dans les textes de lois que l'on ne peut pas crypter deux fois la même information.... T.

par **vanvan** » 13 Juin 2003 12:27

je viens de lire dans une doc que j'ai sous les yeux qu'en dehors du fait de ne pas avoir le droit de dépasser un cryptage de plus de 128 bis. On peut rajouter, selon la doc, qu'il est obligatoire de fournir une copie de toutes les clés de cryptage au Ministère de l'intérieur. Dans le cas, où l'on veut une puissance de cryptage supérieure, on doit alors obtenir une autorisation par ce même ministère. De mon avis, je trouve vraiment abusé de dire qu'il faille envoyer ses clés au ministère. En plus, il s'agit là de théorie et dans la pratique qui le fait ? surement les grosses sociétés ( et encore ) mais le reste. Y a vraiment de l'abus dans l'air. En tout cas, l'article sur le salon de Rennes reprend bien dans quel état la France est et risque d'aller si on part sur des solutions propriétaires ( Micro.... et sese amis ).

par **antolien** » 13 Juin 2003 12:33

vanvan, je trouve tout à fait normal qu'il y ait un contrôle "possible" par l'etat. en effet, imagine que des gens s'échangent des manuels pour faire des bombes, ou pour planifier des mauvaises actions. tout cela crypté à 2048 bits lol. bon et bien il est normal qu'ils aient donnés leur clef au ministère de l'interieur lol j'exagère mais il faut garder un certain contrôle, sans pour autant nuire à la vie privée, d'où le dilème car il y a tjrs des abus.

par **lucyfire** » 13 Juin 2003 12:34

mon avis perso c'est que si c'est pour une entreprise tu cryptes comme tu veux le seul truc c'est que si les services publics (c'est marrant en ce moments ces mots ne me paraissent pas compatibles...) veulent avoir acces aux infos entreprises tu donneras la clef (car une entreprise n'a rien a cacher au Serv public ! ) par contre au niveau privé c'est plus délicat car tu peux tres bien etre le cerveau d'une organisation terroriste donc l'utilisation d'un cryptage fort peut attirer l'attention sur toi, de plus la celebre NSA pouvait faire des stats sur les messages en 3DES et rsa et dire avec X% de chances que ce message soit plus terroriste que politique etc....sans decrypter le message in real time en plus avec l'aes et autre j'en sait rien donc si c'est juste pour tes conversations perso 128bits c'est suffisant. <IMG SRC="images/smiles/icon_lol.gif"> lcf

par **Vinzstyle** » 13 Juin 2003 12:35

TITRE Ier : RÉGIME DE DISPENSE DE TOUTE FORMALITÉ PRÉALABLE. Article 1 Est libre l'utilisation des moyens ou des prestations de cryptologie : a) Qui ne permettent pas d'assurer des fonctions de confidentialité, notamment : - les moyens ou prestations conçus pour protéger des mots de passe, des codes d'identification personnels ou des données d'authentification similaires, utilisés pour contrôler l'accès à des données, à des ressources, à des services ou à des locaux, sous la seule réserve qu'ils ne permettent de chiffrer que les fichiers de mots de passe ou de codes d'identification et les informations nécessaires au contrôle d'accès ; - les moyens ou prestations conçus pour élaborer ou protéger une procédure de signature, une valeur de contrôle cryptographique, un code d'authentification de message ou une information similaire, pour vérifier la source des données, prouver la remise des données au destinataire, ou bien détecter les altérations ou modifications subreptices portant atteinte à l'intégrité des données, sous la seule réserve qu'ils ne permettent de chiffrer que les informations nécessaires à l'authentification ou au contrôle d'intégrité des données concernées ; b) Ou qui assurent des fonctions de confidentialité et n'utilisent que des conventions secrètes gérées selon les procédures et par un organisme agréés dans les conditions définies au II de l'article 28 de la loi du 29 décembre 1990 susvisée.

par **vanvan** » 13 Juin 2003 14:27

je suis d'accord avec toi ( antolien ) qui faille un minimum de contrôle sinon bonjour l'abus, mais il est vrai que c quand même un pur bordel, pour fixer une limite entre le "c normal !" et le "oula pas bien !". Maintenant, quand je dis que c abusé, je faisais principalement référence aux échanges inter-entreprises. Il est clair que pour crypter ma recette de cuisine que personne ne veut et bien du 128 bits suffit largement. Au dessus, on peut devenir suspicieux. <IMG SRC="images/smiles/icon_wink.gif"> hace mucho calor !!!!! quien tiene un ventilator conmigo ? <IMG SRC="images/smiles/icon_bise.gif">

par **antolien** » 13 Juin 2003 14:39

<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> Le 2003-06-13 14:27, vanvan a écrit: hace mucho calor !!!!! quien tiene un ventilator conmigo ? </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> voilà msieur [image ventilateur]

par **nemesis** » 13 Juin 2003 14:39

ah bon on peu devenir supicieux? et pourkoi dc? moi par exemple j'ai tendance a avoir la flemme du coup j'utilise souvent la valeur par defaut (gpg pgp et autre génrateur de clef tiens qud j'y pense ma clef d'autentification ssh doit etre en 1000 kk chose...) cela veut il dire ke je suis un terroriste? tsssssss

par **vanvan** » 13 Juin 2003 14:46

bon je te l'accorde nemesis, tu n'est pas suspecté!!! allez circulez y a rien a voir ! bon je relative et rajoute en plus d'être suspicieux, se demander aussi si les personnes qui utilisent des clés >128 bits n'ont pas eu une grosse flemme de paramétrage <IMG SRC="images/smiles/icon_wink.gif"> muchas gracias antolien por el ventilator ! me sentio bien a esta hora !!! estoy <IMG SRC="images/smiles/icon_bawling.gif"> de alegria !!

Cryptographie en France

Qui est en ligne ?