3DES et la loi ?

0 vue
Accéder directement au premier message non lu

Dominique

non lue,
29 janv. 2003, 04:44:0529/01/2003
à
Bonjour,

Je fais suite à mon poste précédent sur la loi auquel je n'est pas reçu de
réponses.

Je vais essayer d'être plus précis cela vous aideras peut-etre à me
répondre.

D'apres ce que j'ai compris :

3DES = 168 ou 192 bits
Loi authorise le cryptage avec des clés de 128 bits maximum, au-dela il faut
fournir les clés à l'administration.

Mon problème :

J'ai un programme qui encrypte des documents en 3DES et qui génère lui meme
ses clés (elles sont stockées dans une BDD).

Il est pour moi impossible de faire cette démarche à chaque fois qu'un
document est crypter et qu'une clé est donc générée.

que dois-je faire ?

Merci


Thomas Pornin

non lue,
29 janv. 2003, 05:24:5129/01/2003
à
According to Dominique <domi...@magimedia.com>:

> D'apres ce que j'ai compris :
>
> 3DES = 168 ou 192 bits

Ça oui. 3DES utilise, selon le standard qui le décrit, une clé de 192
bits ; mais en regardant de près, seuls 168 bits sont utilisés sur les
192, et on peut faire une variation de 3DES qui consiste à gérer des
clés de 168 bits, en les "étendant" à 192 bits en ajoutant des 0 aux
endroits idoines.


> Loi authorise le cryptage avec des clés de 128 bits maximum, au-dela
> il faut fournir les clés à l'administration.

Ça non. La loi n'exige jamais de fournir préalablement les clés. La
loi distingue l'utilisation d'un moyen de cryptologie par une personne
privée, l'utilisation d'un moyen de cryptologie par une personne non
privée (par exemple une entreprise), la fourniture à un tiers d'un moyen
de cryptologie, l'importation d'un moyen de cryptologie et l'exportation
d'un moyen de cryptologie.

Importation et exportations sont compliqués, ça dépend de l'autre
pays concerné (en gros c'est souple pour la communauté européenne,
moins souple pour les autres pays, et vraiment mal vu si c'est de
l'exportation vers quelques pays tels que l'Irak ou la Corée du Nord).

Pour l'utilisation et la fourniture, ça dépend des tailles de clés
utilisées :
-- jusqu'à 40 bits, c'est complètement libre ;
-- entre 40 et 128 bits, l'utilisation par une personne privée est
libre ; l'utilisation par une personne non privée, et la fourniture,
sont sujettes à déclaration ;
-- au-delà de 128 bits, il faut une autorisation.

Déclaration et autorisation sont à faire/demander auprès de la DCSSI,
service dépendant du Premier Ministre, et qui est qualifié pour fournir
ces mêmes renseignements, de façon beaucoup plus exacte et détaillée
(je ne garantis pas que je ne raconte pas n'importe quoi, mais eux le
garantissent).

Donner une copie des clés à l'administration n'a, à ma connaissance,
jamais été fait ni exigé. Il y a possiblement eu des cas où un séquestre
des clés a été demandé, mais ce séquestre n'était levé que sur demande
judiciaire dans le cadre d'une enquête. Techniquement, fournir chaque
clé de chiffrement à un tiers peut se faire de façon relativement
efficace en chiffrant la clé en question avec une clé publique de type
RSA. Le tiers en question possède alors la clé de déchiffrement. Mais
ce n'est qu'un moyen technique, pas une obligation légale.


> que dois-je faire ?

Contacter la DCSSI, qui est là pour répondre à ce genre de question.
cf : http://www.ssi.gouv.fr/fr/dcssi/index.html
et plus précisément :
http://www.ssi.gouv.fr/fr/reglementation/


--Thomas Pornin


PS : une nouvelle loi sera normalement débattue à la fin du mois de
février et va chambouller un peu tout ça. Là encore, le mieux est de
demander à la DCSSI pour savoir ce qu'il en est.

PPS : Je tiens à préciser que, dans le cadre de mon travail, j'ai
été amené à demander des renseignements à la DCSSI, et j'ai été très
bien reçu. Et ça a pris la forme d'une réunion un vendredi soir après
19h, ce qui bouscule quelques idées reçues sur les fonctionnaires de
l'administration française.

PPPS : Je parle ici de choses franco-françaises. Dans
fr.misc.cryptologie, le "fr" est là pour "francophone" et non pour
"France", et j'espère que nos amis belges, canadiens, ou tout de
nationalité quelconque mais lisant le Français ne se sont pas trop
offusqués de ce raccourci.

Dominique

non lue,
29 janv. 2003, 06:25:0229/01/2003
à
Alors là chapeau !

Merci bcp je vais de ce pas contacter la DCSSI.


"Thomas Pornin" <por...@nerim.net> a écrit dans le message de news:
b18a5i$1p15$1...@norfair.nerim.net...

Répondre à tous
Répondre à l'auteur
Transférer
0 nouveau message