Upstream University
[ Français ]

PARTIE ADMINISTRATIVE

Cocher la ou les cases correspondantes :
[ ] Déclaration

[ ] simplifiée

[ ] de fourniture

 

 
[ ] en vue de l'utilisation générale
 
[ ] en vue de l'exportation

[ ] d'importation en provenance de : ....................

[ ] d'utilisation personnelle

 

[X] demande d'autorisation

[X] de fourniture pour une durée de : cinq ans ........... (cinq ans maximum) d'un moyen ou d'une prestation qui n'utilise que des conventions secrétes gérées par un organisme agréé

[X] de fourniture pour une durée de : cinq ans ........... (cinq ans maximum)

 

 
[X] en vue de l'utilisation générale
 
[ ] en vue de l'utilisation collective

[X] d'exportation pour une durée de : cinq ans ........... (cinq ans maximum)

[X] d'importation en provenance de : Allemagne ..........

[ ] d'utilisation personnelle pour une durée de : .................... (dix ans maximum)


(*) Réservé à l'administration.

 

A. - Déclarant ou demandeur d'autorisation
A.1. Société

Nom : FSF Europe Chapter France .........
Raison sociale : Association loi 1901
Nationalité : Française ..........
Enregistré à la préfecture de Paris: 05/3044 E ....
Adresse : 8 rue de Valois ....
75001 Paris ........
Numéro de téléphone : 01 40 15 03 18 .....
Numéro de télécopie : 01 40 15 06 18 .....
Adresse du courrier électronique : bonjour@fsffrance.org

Personne chargée du dossier administratif

Nom et prénoms : Dachary Loïc .......
Adresse : 12 bd Magenta ......
75010 Paris ........
Numéro de téléphone : 01 42 45 07 97 .....
Numéro de télécopie : 01 40 15 06 18 .....
Adresse du courrier électronique : loic@gnu.org .......

 

A.2. Particulier

Nom et prénoms : ....................
Nationalité : ....................
Adresse : ....................
....................
Numéro de téléphone : ....................
Adresse du courrier électronique : ....................

 

B. - A renseigner selon les cas suivants

B.1. Demande d'autorisation de fourniture d'un moyen ou d'une prestation qui utilise des conventions secrétes gérées par un organisme agréé

Référence de(s) organisme(s) agréé(s) : ....................
....................
....................

 

B.2. Demande d'autorisation de fourniture en vue de l'utilisation collective

Catégories éventuelles d'utilisateurs auxquels le moyen ou la prestation est destiné :

[ ] Administrations (à préciser) : ....................

[ ] Grandes entreprises (préciser secteur d'activités) : ....................

[ ] Etablissements de crédit : ....................

[ ] PME (préciser secteur d'activités) : ....................

[ ] Autres (à préciser avec secteur d'activités) : ....................

 

B.3. Demande d'autorisation d'utilisation personnelle

Besoins justifiant la demande : ..........................
....................
....................
Lieux d'utilisation du moyen de cryptologie : ....................
....................
....................
....................
Le cas échéant, réseaux de télécommunications employés : ....................
....................
....................
....................

 

C. - Moyen ou prestation auquel s'applique la déclaration ou la demande d'autorisation

C.1. Moyen ou prestation de cryptologie

Référence commerciale : GnuPG ........
Référence constructeur : GnuPG ........
Version : 1.0.7 ..............
Description succincte :

GnuPG utilise la cryptographie à clé publique de façon à ce que les utilisateurs puissent communiquer de manière sûre. Dans un système à clé publique, chaque utilisateur possède une paire de clés constituée d'une clé privée et d'une clé publique. La clé privée de l'utilisateur est gardée secrète, elle ne doit pas être révélée. La clé publique peut être distribuée à toute personne avec qui l'utilisateur souhaite communiquer. GnuPG utilise un système un peu plus sophistiqué dans lequel un utilisateur possède une paire de clés primaire et zéro ou plusieurs paires de clés additionnelles. La clé primaire et les clés additionnelles sont empaquetées pour faciliter la gestion des clés. Un paquet de clés peut être dans la plupart des cas considéré comme une simple paire de clés.


....................
Référence de l'agrément du moyen s'il a été soumis au ministére chargé des télécommunications : ....................

 

C.2. Fabricant du moyen ou fournisseur de la prestation

Nom : Free Software Foundation
Raison sociale : Assocation à but non lucratif...
Adresse : 59 Temple Place - Suite 330
Boston, MA 02111-1307, USA
Numéro de téléphone : +1-617-542-5942
Numéro de télécopie : +1-617-542-2652
Adresse du courrier électronique : Werner Koch (wk@gnupg.org), Bradley M. Kuhn (bkuhn@gnu.org)

 

C.3. Personne chargée du dossier technique

Nom et prénoms : Dachary Loïc .......
Adresse : 12 bd Magenta ......
75010 Paris ........
Numéro de téléphone : 01 42 45 07 97 .....
Numéro de télécopie : 01 40 15 06 98 .....
Adresse du courrier électronique : loic@gnu.org .......

 

C.4. Divers

Si le moyen ou la prestation utilise des moyens ou prestations préalablement déclarés ou autorisés, préciser, pour chacun d'eux, leur identification, référence et date de notification de déclaration ou d'autorisation : ....................
....................

 

Le moyen (GnuPG-1.0.7) n'utilise pas des moyens préalablement déclarés ou autorisés. Nous tenons cependant à signaler que de nombreux Logiciels Libres font appel à GnuPG. Il s'agit en particulier des programmes de lecture et d'envoi de courrier électronique (Emacs-VM, Emacs-GNUS, elm, af, elm, mutt, evolution ...).

C.5. Services de cryptologie fournis

[ ] Authentification (*) : ....................

[ ] Contrôle d'accés (*) :

[X] Signature (*) : DSA, ElGamal, RSA

[X] Intégrité (*) : Encryption avec checksum SHA-1

[X] Confidentialité (*) : ElGamal, RSA, Triple-DES, CAST5-128, Blowfish, AES-128, AES-192, AES-256, Twofish.

 

 
[X] téléphone
 
[X] télécopie
 
[X] messagerie
 
[X] transmissions de données (préciser le(s) type(s) de données chiffrées, par exemple données à caractére financier, médical, de gestion,...) : tous ...............
 
[X] autre(s) (à préciser) : tous ...............

[ ] Autre(s) (à préciser) (*) : ....................

 

C.6. Installation des algorithmes

[X] Logiciel.

[ ] Matériel (à préciser) : ....................

(*) Préciser le(s) nom(s) de(s) algorithme(s) utilisé(s).

 

D. - Attestation

Je soussigné (nom, prénoms) Dachary Loïc ......
agissant en qualité de membre de la FSF Europe Chapter France
représentant le fournisseur - exportateur - importateur - utilisateur (*) certifie que les renseignements figurant sur cette demande d'autorisation (*) sont exacts et ont été établis de bonne foi, toute fausse déclaration ou tout manquement aux engagements souscrits m'exposant aux sanctions prévues par l'article 28 de la loi no 90-1170 du 29 décembre 1990 modifiée et par le décret no 98-101 du 24 février 1998.
Date : 24 Mai 2002

 

Signature :
(*) Rayer les mentions inutiles.

PARTIE TECHNIQUE

A joindre au dossier de déclaration ou de demande d'autorisation concernant les moyens et prestations de cryptologie (1)

La partie technique comporte les informations suivantes :

La référence commerciale du produit :

- nom : GnuPG ;
- numéro de la version : 1.0.7 ;
- distribution source intégrale : ftp://ftp.gnupg.org/gcrypt/gnupg/gnupg-1.0.7.tar.gz MD5: d8b36d4dfd213a1a1027b1877acbc897 ;
- licence Logiciel Libre (voir http://www.gnu.org/licenses/licence-list.html) : GNU General Public License ;

La description générale du produit, le manuel utilisateur ;

GnuPG utilise la cryptographie à clé publique de façon à ce que les utilisateurs puissent communiquer de manière sûre. Dans un système à clé publique, chaque utilisateur possède une paire de clés constituée d'une clé privée et d'une clé publique. La clé privée de l'utilisateur est gardée secrète, elle ne doit pas être révélée. La clé publique peut être distribuée à toute personne avec qui l'utilisateur souhaite communiquer. GnuPG utilise un système un peu plus sophistiqué dans lequel un utilisateur possède une paire de clés primaire et zéro ou plusieurs paires de clés additionnelles. La clé primaire et les clés additionnelles sont empaquetées pour faciliter la gestion des clés. Un paquet de clés peut être dans la plupart des cas considéré comme une simple paire de clés.

http://www.gnupg.org/gpgman.html, http://www.gnupg.org/gph/en/manual.html

La description des services offerts par le produit : http://www.gnupg.org/gpgman.html, http://www.gnupg.org/gph/en/manual.html ;

La description des fonctions de cryptologie offertes par le produit: chiffrement, signature de données, gestion de clés publiques, certification de clés, protection par mot de passe de la clé privée, création de paires de clés et génération de nombres alléatoires.

Soit la description compléte des procédés de cryptologie employés, sous la forme d'une description mathématique et d'une simulation dans un langage de haut niveau, type C ou pascal, soit la référence à un dossier préalablement déposé pour un produit usant du même procédé de cryptologie, soit la référence à un standard reconnu, non équivoque, et dont les détails techniques sont accessibles aisément et sans condition ; ftp://ftp.gnupg.org/gcrypt/gnupg/gnupg-1.0.7.tar.gz MD5: d8b36d4dfd213a1a1027b1877acbc897

La description de la gestion des clés mises en œuvre par le moyen, incluant au moins :

- le mode de distribution: exportation dans un fichier ou envoi par TCP/IP vers des serveurs de clés répondant au protocol LDAP, HKP ou par courriel (gnupg-1.0.7/g10/export.c, gnupg-1.0.7/keyserver/*.c);
- le procédé de génération des clés 

gnupg-1.0.7/g10/keygen.c
gnupg-1.0.7/cipher/rsa.c
gnupg-1.0.7/cipher/dsa.c
gnupg-1.0.7/cipher/elgamal.c
gnupg-1.0.7/cipher/primegen.c
;
- le format de conservation des clés s'il y a lieu: un fichier contenant une concaténation de blocs de clés (keyblocks) utilisant le format de transmission décrit dans le RFC2440 (http://www.ietf.org/rfc/rfc2440.txt);
- le format de transmission des clés s'il y a lieu: tel que décrit dans le RFC2440;

La description des mesures techniques mises en œuvre pour empêcher l'altération du procédé de chiffrement ou de la gestion de clés associée (2): le procédé de chiffrement consiste en une clé publique encodée avec la clé de session (bloc type 2 PKCS-1 tel que décrit dans le RFC2313 http://www.ietf.org/rfc/rfc2313.txt). Les clés privées sont protégées selon les méthodes décrites dans le RFC2440 avec l'amélioration permettant de remplacer optionnellement le checksum 16 bit par un checksum SHA-1 ;

La description des prétraitements subis par les données claires avant leur chiffrement (compression, formatage, ajout d'un en-tête, etc.) : encapsulation dans un paquet de données literal (literal data packet) tel que décrite par le RFC2440, utilisant un en-tête contenant un nom de fichier et un indicateur (flag) distinguant les données binaires des données textuelles. Les données peuvent aussi, optionnellement, être signées et/ou compressées ;

La description des post-traitements des données chiffrées, aprés leur chiffrement (ajout d'un en-tête, formatage, mise en paquet, etc.) : Soit l'ajout au début des données chiffrées d'une clé de session chiffrée avec la clé publique encapsulée dans le paquet RFC2440 idoine, soit le chiffrement de la clé de session par un autre algorithme symétrique afin de permettre le déchiffrement par un secret partagé (shared secret). Les deux méthodes peuvent être combinées afin de permetre le déchiffrement avec la "passphrase" ou la clé privée. Il est possible de chiffrer la clé de session pour plusieures clés privées ou "passphrases".

(1) Conformément au troisième alinéa de l'article 1er de l'arrêté ci-dessus, la partie technique doit être accompagnée de deux exemplaires du matériel concerné ou bien d'un exemplaire du logiciel concerné.
(2) A fournir dans le cas d'une demande d'autorisation seulement.

LETTRE D'ACCOMPAGNEMENT

Nous demandons à ce que GnuPG-1.0.7 soit reconnu comme un logiciel grand public car il en remplit les conditions.
Sont couramment à la disposition du public en étant vendus directement sur stock, sans restriction, à des points de vente au détail, que cette vente soit effectuée : en magasin ; par correspondance ; par transaction électronique ; par téléphone ;
GnuPG-1.0.7 est disponible sans condition sur internet, notamment à l'URL ftp://ftp.gnupg.org/gcrypt/gnupg/gnupg-1.0.7.tar.gz (transaction électronique).

La fonctionnalité cryptographique ne peut pas être modifiée facilement par l'utilisateur.
La conception de GnuPG-1.0.7 ne permet pas à l'utilisateur de modifier facilement la fonctionalité cryptographique. La disponibilité du code source ne permet pas non plus de modifier facilement la fonctionalité cryptographique ainsi que nous le montrons ci-dessous.

Dans le cas d'un logiciel propriétaire, les éléments de l'équation sont une personne physique ou morale, un objet binaire (le produit). Dans le cas d'un Logiciel Libre, le code source vient s'ajouter. On peut donc légitimement s'interroger sur les conséquences pour la facilité avec laquelle l'utilisateur peut modifier la fonctionnalité cryptographique.

Qu'on dispose des sources ou du binaire, il est toujours possible de modifier au hasard, grâce à un éditeur de texte, le binaire ou les sources. C'est un processus facile pour tout utilisateur mais on s'accorde à dire que le seul résultat serait de rendre le logiciel non fonctionel. Même s'il est possible de qualifier une telle modification de facile et concernant les fonctionalités cryptographiques, elle s'appliquerait alors à tout logiciel. C'est un cas absurde et nous sommes en fait intéressés par le cas d'un logiciel qui permettrait une modification facile de ses fonctionalités cryptographiques tout en restant fonctionel.

Pour envisager de modifier les fonctionalités cryptographiques, l'utilisateur doit tout d'abord disposer de notions mathématiques et une connaissance approfondie du domaine de la cryptographie. Sans ce bagage théorique, il a toutes les chances de tenter des modifications qui rendront le logiciel inopérant. Hors disponibilité des sources ou du binaire seul, ce bagage théorique est une précondition qui constitue à lui seul un obstacle qui rend la tâche difficile.

En l'absence de bagage théorique, l'utilisateur peut tenter une modification en suivant à la lettre et aveuglément des instructions fournies par un tiers. Dans le cas d'un logiciel de cryptologie sous forme binaire les instructions peuvent prendre la forme d'un petit programme automatisant ces modifications. Il existe de nombreux programmes de ce genre, en général disponible sur le web. Dans le cas d'un logiciel de cryptologie disponible sous forme source, il s'agirait d'un patch s'appliquant sur les sources. Il s'agit essentiellement du même principe. Dans le cas du patch cependant, l'utilisateur doit en plus avoir la capacité technique de reconstruire une version binaire du logiciel de cryptologie, c'est donc un peu moins aisé. Comme dans le cas des modifications aléatoires rendant le logiciel inopérant, la possibilité de suivre aveuglément des instructions existant pour tous les logiciels de cryptologie (Logiciel Libre ou non), elle ne peut constituer un critère qualifiant la modification des fonctionalités cryptographiques de facile.

Supposons qu'une personne dispose du bagage théorique nécessaire et qu'elle entreprenne de modifier les fonctionalités cryptographiques sans appliquer des instructions aveuglément. En présence d'un binaire seul, la personne doit disposer d'une solide formation en assembleur, d'outils de décompilation et d'une expérience de reverse engineering. En présence d'un code source, la personne doit disposer d'une solide formation dans le langage de programmation visé, d'outils de compilation. En bref, elle doit avoir suivit une formation en informatique pour tenter effectivement une modification. Acquerir le bagage informatique nécessaire est dans tout les cas un processus difficile.

Enfin, le produit peut, par choix de conception, permettre une modification facile des fonctionalités de cryptographie. Le produit peut, par exemple, contenir une interface homme machine dont l'objet est de permettre à l'utilisateur de modifier les fonctionnalités cryptographiques. Il peut s'agir d'une interface graphique ou d'une interface ligne de commande, et cela implique que le logiciel a été expréssément conçu pour offrir cette possibilité. Il est alors facile pour l'utilisateur de modifier les fonctionalités cryptographiques. Mais c'est un choix de conception qui n'a pas de lien avec la disponibilité du code source du logiciel de cryptologie.

En conclusion, l'accès au code source n'implique pas en soit qu'il est facile pour l'utilisateur de modifier les fonctionalités cryptographiques. Il s'agit avant tout d'un choix de conception délibéré qui doit être jugé au cas par cas, Logiciel Libre ou non. La disponibilité du code source fait qu'il devient possible pour une personne ayant la volonté de franchir les difficiles étapes menant aux connaissances requises mais certainement pas facile pour l'utilisateur de modifier les fonctions cryptographiques. C'est la, uniquement, que réside la différence.

Sont conçus pour être installés par l'utilisateur sans assistance ultèrieure importante de la part du fournisseur.
La FSF France ne propose aucun service d'assistance sur GnuPG-1.0.7. De façon générale GnuPG-1.0.7 ne requiert aucune assistance à l'installation ou à l'utilisation.

SIGNATURE

Version électronique signée: http://savannah.gnu.org/cgi-bin/viewcvs/*checkout*/fsfe/fr/dcssi/gnupg.fr.xhtml?rev=1.23&cvsroot=www.gnu.org

Signataire: Loïc Dachary (http://www.dachary.org/loic/gpg.txt) 

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.7 (GNU/Linux)

iD8DBQA87jDM8dLMyEl6F20RAi1uAJ91R5Ca6JBguqv+02851N6pIYj+tACgvYt5
ANtRHJueYuGmb1zqa7sHJr4=
=yarZ
-----END PGP SIGNATURE-----
Updated: $Date: 2003-02-28 16:16:22 +0100 (Fri, 28 Feb 2003) $ $Author: loic $
 
Sections
Accueil
Actualités
Soutenir
Intervenants
À propos
Guides techniques
Contact
Projets
Gna!
Ferme GCC
Contrats
Liens
April
FSF
   bonjour@fsffrance.org
Copyright (C) 2003-2011, FSF France, 12 boulevard Magenta, 75010 Paris, France
La reproduction exacte et la distribution intégrale de cet article sont permises sur n'importe quel support d'archivage, pourvu que cette notice soit préservée.
Le présent site a fait l'objet d'une déclaration a la CNIL sous le numéro 1134545. Conformément à la législation française en vigueur et plus particulièrement à la loi du 6 janvier 1978 Informatique et liberté, vous disposez d'un droit d'accès, de rectification, d'opposition et de suppression sur ces données que vous pouvez exercer en écrivant à l'adresse de courriel suivante bonjour@fsffrance.org ou au siège social de l'association.