Chiffrement et loi

Pause Café
#1

Salut à tous.
Pour un de mes projets, j’ai besoin/l’envie, d’ajouter un chiffrement aux contenus client et serveur.

Mais j’ai un peu des doutes sur les lois de chiffrement, j’ai lu quelques articles parlant d’une règle qui interdit le chiffrement fort, certains disent que c’est que pour les sociétés, certains disent qu’on doit communiqué le chiffrement (ou la clée ou les deux) si on (l’état) nous le demande, certains disent qu’on peut chiffré comme on veut etc.

J’aimerais faire un truc intelligent, mais suivant plusieurs points sa va changer gravement (sa sera pas juste basé haut niveau (application) mais aussi bas niveau (système)).

Quelqu’un s’y connait ?

#2

[quote]L’usage de PGP (Pretty Good Privacy), un des premiers logiciels de chiffrement disponibles sur l’Internet, a longtemps été interdit en France, car considéré jusqu’en 1996 comme une arme de guerre de deuxième catégorie. La législation française s’est ensuite assouplie, et le chiffrement symétrique avec des clés aussi grandes que 128 bits a été autorisé. Certains logiciels, comme GNU Privacy Guard, peuvent être utilisés avec n’importe quelle taille de clé symétrique. Enfin, la Loi pour la confiance dans l’économie numérique du 21 juin 2004 a totalement libéré l’utilisation des moyens de cryptologie, en revanche leur importation ou exportation est soumise à déclaration ou autorisation.
[/quote]
fr.wikipedia.org/wiki/Chiffrement#En_France

Il n’y a aucune raison que l’état te demande ta clé de chiffrement. La police peut te demander des extraits de logs, les coordonnées d’un client dont tu disposes. Je me demande même s’ils peuvent légalement te demander le contenu des fichiers ?

#3

La première idée que j’ai eu, quand j’ai lu que l’on pouvait pas crypter à partir d’un certain niveau: ils ont surement les moyens de le décrypter.

Je doutes qu’ils permettent de tous laisser crypter sans surveiller les contenus.

S’ils ont libéré la limite de cryptage, ils ont surement une autre loi qui permet d’obtenir la méthode ou les contenus, à vérifier.

#4

Vu l’orthographe de certains, j’ai l’impression que les messages sont déjà chiffrés !!

LeDub qui préfère les chiffres aux lettres !!!

#5

Franchement, tu préfèrerais pas la version binaire de mes messages et encore moins sa version crypté :slightly_smiling:

#6

[quote=“clochette”]

Sinon blague à part le chiffrement fort est toléré en France mais à quoi ça peu bien servir ?

Mise à part si tu compte projeter des attentats ou dissimuler des photos de petits enfants :whistle:[/quote]

C’est un peu pour ça que je balancé ces énormité.

A moins de faire de l’activisme et de vouloir protéger tes contacts le chiffrement n’est pas vraiment une chose très utile pour nombre d’entre nous.

Lorsque l’on pratique l’activisme l’avantage d’avoir du chiffrement en place et une sécurité renforcer c’est avant tout pour empêcher la pêche en information de façon trop facile aux organismes de renseignements qui ne s’en privent pas.
Mais le retour de bâton c’est qu’il faut pouvoir fournir les informations comme l’a cité ‘kna’ dans le cadre de demande juridique ciblé.

#7

La loi est claire, tu fais ce que tu veux chez toi. La seule limitation est la vente d’une nouvelle technologie de chiffrage qui est soumise à controle et autorisation.

#8

Si tu en arrive là, je pense qu’il vaut mieux que tu aille voir un avocat.
Personne ici n’est juriste et si tu as si peur du complot étatique seul un professionnel peut te dire si vraiment il n’existe plus rien qui va dans ce sens (bien sûr il faut avoir confiance en cette personne).

Cette loi te donne le droit d’utiliser les algorithmes que tu veux avec la taille de clef qui te fait plaisir, si vraiment tu as peur pour tes données, intéresse toi à l’état de l’art de la cryptanalyse et à comment on casse des algo type RSA (les records sont connu avec la taille de la clef et le temps mis). La complexité de ce genre de cryptanalyse est exponentielle en fonction de la taille de la clef donc tu multiplie par 2, 4 ou 8 pour gérer des puissances de calculs plus importantes (et tu prie fort que Charlie n’ai pas en sa possession une machine quantique un chouïa puissante).

#9

Salut et merci.
Je n’ai rien à cacher (surtout pour des trucs comme les exemples de Clochette), mais j’ai rien à afficher aussi, j’aimes communiqué sur internet que ce soit publique ou privée, mais le fait que tous prend la forme lisible sa j’aime pas.

S’ils veulent voir les contenus, qu’ils le peuvent en local client/serveur.
Le fait que la loi permet le cryptage (fort (et j’espère sans demandé la méthode)) est déjà suffisant, j’ai pas trop les moyens pour un avocat donc une recherche approfondi sur internet me suffira normalement.

Pour les conseils cryptanalyse c’est sûr que je vais voir (j’adores d’ailleurs :slightly_smiling:)

#10

En réfléchissant bien, nous avons tous des choses à cacher. Je ne parle pas de choses illégales ou honteuses, mais au minimum de protection de la vie privée. Je trouve que les raisonnements du style “si vous n’avez rien à vous reprocher alors vous n’avez rien à cacher et vous n’avez pas besoin de chiffrement” sont particulièrement dangereux. Si seuls ceux qui en ont vraiment besoin utilisent du chiffrement, alors le fait de l’utiliser risque d’attirer l’attention sur eux, ce qui ne me semble pas souhaitable.

#11

En réfléchissant bien, nous avons tous des choses à cacher. Je ne parle pas de choses illégales ou honteuses, mais au minimum de protection de la vie privée. Je trouve que les raisonnements du style “si vous n’avez rien à vous reprocher alors vous n’avez rien à cacher et vous n’avez pas besoin de chiffrement” sont particulièrement dangereux. Si seuls ceux qui en ont vraiment besoin utilisent du chiffrement, alors le fait de l’utiliser risque d’attirer l’attention sur eux, ce qui ne me semble pas souhaitable.[/quote]

Je suis bien d’accord mais entre chiffrer son disque dur et chiffrer ses communications (mails, tchat, transfert ftp, etc …) il y a une différence non ?

#12

C’est sûr qu’on a tous un minimum à cacher, mais très généralement c’est pas des choses illégales (moyen-grave) mais plus des choses privé, donc on peu considérer comme rien à caché si on compte pas le minimum de privé.

Comme j’avais dit:
“j’aimes communiqué sur internet que ce soit publique ou privée, mais le fait que tous prend la forme lisible sa j’aime pas.”

@Clochette
Oui, c’est différent de chiffrer son disque dur et les communications réseau.

Les applications envoie les données de manière directement lisible sur le réseau.
Une application minimum sérieuse chiffrera les données selon l’utilisation.

Les disque dur chiffrer, sont vu chiffrer de l’externe.
Mais en utilisation, il est déchiffré via sa clée par l’utilisateur, et les données envoyer sur réseaux sont toujours pas chiffrer et donc lisible (à moins que l’application qui envoie les données au réseau les chiffres).

Les site web http: les données sont directement lisible, https: les données sont chiffré.

(J’ai pu mélangé crypté et chiffré.)

Un chiffrement global par le(s) fai serait une bonne idée mais pas très suffisante et pas très possible.

#13

[quote=“kripteks”]@Clochette
Oui, c’est différent de chiffrer son disque dur et les communications réseau.

Les applications envoie les données de manière directement lisible sur le réseau.
Une application minimum sérieuse chiffrera les données selon l’utilisation.[/quote]

Chiffrer ces communications oui à la limite c’est normale (enfin pour ma part en régle générale c’est le cas).

[quote=“kripteks”]Les disque dur chiffrer, sont vu chiffrer de l’externe.
Mais en utilisation, il est déchiffré via sa clée par l’utilisateur, et les données envoyer sur réseaux sont toujours pas chiffrer et donc lisible (à moins que l’application qui envoie les données au réseau les chiffres).[/quote]
Tu comprends donc qu’une partition chiffrer monté est accessible si il y a intrusion.
Le chiffrement de partition ou de disque dur ne protège son contenu que si le matériel/partition n’est pas monté, par exemple en cas de vol de l’ordinateur (et dans ce cas les voleur ne se fatigueront pas à déchiffrer ils réinstalle ou revendent vierge le PC).
Maintenant il faut aussi chiffrer la SWAP, la clé y est stocker à coup sûr pendant un bout de temps.
Je vais pas développer plus mais je maintient que le chiffrement de disque dur ou de partition doit-être motivé par des raisons valables et non une lubie de pseudo sécurité.

oui à la limite un bon certificat autosigné ça inspire confiance :think: si on pousse la paranoïa on débranche le PC …

[quote=“kripteks”](J’ai pu mélangé crypté et chiffré.)

Un chiffrement global par le(s) fai serait une bonne idée mais pas très suffisante et pas très possible.[/quote]

Un chiffrement global :119 et en plus par ces pourris de FAI non merci :005

Au passage chiffrer ou crypter c’est la même.

#14

oui à la limite un bon certificat autosigné ça inspire confiance :think: si on pousse la paranoïa on débranche le PC …[/quote]
Tu mélange deux choses très différentes :

  • la garantie que tu discute avec un serveur donné
  • la garantie que personne d’autres que ce serveur n’a accès à cette communication

Ce dont parle kripteks, c’est la seconde ligne alors que tu parle du premier.

Personnellement j’ai généralement bien plus confiance envers les sites que je regarde qu’envers les autorités de certification (je te laisse chercher sur internet les conneries monstrueuses que font ces « autorités »). La base de la chaine de confiance étant cassée pour moi les PKIs globales sur internet sont cassées et ne fonctionnent plus (du moins pour le premier point).

#15

oui à la limite un bon certificat autosigné ça inspire confiance :think: si on pousse la paranoïa on débranche le PC …[/quote]
Tu mélange deux choses très différentes :

  • la garantie que tu discute avec un serveur donné
  • la garantie que personne d’autres que ce serveur n’a accès à cette communication

Ce dont parle kripteks, c’est la seconde ligne alors que tu parle du premier.

Personnellement j’ai généralement bien plus confiance envers les sites que je regarde qu’envers les autorités de certification (je te laisse chercher sur internet les conneries monstrueuses que font ces « autorités »). La base de la chaine de confiance étant cassée pour moi les PKIs globales sur internet sont cassées et ne fonctionnent plus (du moins pour le premier point).[/quote]

Où as-tu vu que je mélangé les deux choses ? et je précise justement qu’un bon certificat autosigné (pour éviter justement la mafia certifiante) suffit.

J’ai précisé plus haut que le chiffrement de tes communications peu être aussi un gros plus :033

Maintenant je retourne sur le seul point noir que je m’évertue à cibler c’est le chiffrement de ces données personnels, à quel fin et pour quels avantages.

Comme le précise kripteks ci-dessous :

[quote=“kripteks”]Salut à tous.
Pour un de mes projets, j’ai besoin/l’envie, d’ajouter un chiffrement aux contenus client et serveur.

[/quote]

A noter que je n’ai jamais prétendu que le chiffrement de ces connexions était inutiles, juste qu’il ne faut pas abuser non plus en chiffrant absolument tous.

#16

[quote=“MisterFreez”]Tu mélange deux choses très différentes :

  • la garantie que tu discute avec un serveur donné
  • la garantie que personne d’autres que ce serveur n’a accès à cette communication[/quote]
    C’est un tout. Si le premier point n’est pas vérifié, alors le second ne peut pas l’être. Cf. les attaques de type man-in-the middle.
#17

J’ai crus déceler du sarcasme.

[quote=“PascalHambourg”][quote=“MisterFreez”]Tu mélange deux choses très différentes :

  • la garantie que tu discute avec un serveur donné
  • la garantie que personne d’autres que ce serveur n’a accès à cette communication[/quote]
    C’est un tout. Si le premier point n’est pas vérifié, alors le second ne peut pas l’être. Cf. les attaques de type man-in-the middle.[/quote]
    Ouai mais vu ce que font certaines autorités (délivrer des certificats pour localhost par exemple), je vois pas qu’elle sécurité tu as en plus.
    Ce qu’il faut, amha, c’est valider une première fois le certificat et avoir une alerte quand il change, et c’est ce que fait firefox quand tu accepte un certificat invalide.
#18

J’ai crus déceler du sarcasme.[/quote]

Autant pour moi si j’ai laissé penser ça.

#19

[quote=“Clochette”]…

Comme le précise kripteks ci-dessous :

[quote=“kripteks”]Salut à tous.
Pour un de mes projets, j’ai besoin/l’envie, d’ajouter un chiffrement aux contenus client et serveur.

[/quote]

…[/quote]
Bien que chiffrement-loi soit toujours présent dans les deux cas (local/réseau), moi c’est plus orienté communication réseau.

#20

Non ! fr.wiktionary.org/wiki/crypter
Pour moi :
Crypter c’est un chiffrement sans donner la méthode/clé/possibilité/… de déchiffrement.
Chiffrer à une connotation de réversibilité.

Donc tu peux tout à fait décrypter un message que j’ai chiffré.