24 February 2000: Link to
Presentation
and Analysis Volume 1/5, by Peggy Becker, October 1999. Volume 1
renumbers the reports below.
24 November 1999: Link to full English translation:
http://cryptome.org/stoa-r3-5.htm
21 August 1999: Link to English translation of
Section 8, Suggested Options.
20 August 1999.
Source: Hardcopy of 15 pages. Thanks to Sten Linnarsson. Text scanned, please
report errors.
This is part 3 of 4 of "Development of Surveillance Technology and Risk
of Abuse of Economic Information (an appraisal of technologies of political
control)."
Part 1: "The perception of economic risks arising from the potential
vulnerability of electronic commercial media to interception - Survey of
opinions of experts. Interim Study," by Nikos Bogonikolos:
http://cryptome.org/dst-1.htm
Part 2: "The legality of the interception of electronic communications: A
concise survey of the principal legal issues and instruments under international,
European and national law," by Prof. Chris Elliott:
http://cryptome.org/dst-2.htm
Part 4: "The state of the art in Communications Intelligence (COMINT) of
automated processing for intelligence purposes of intercepted broadband
multi-language leased or common carrier systems, and its applicability to
COMINT targeting and selection, including speech recognition," by Duncan
Campbell:
http://www.iptvreports.mcmail.com/stoa_cover.htm
|
|
EUROPEAN PARLIAMENT
SCIENTIFIC AND TECHNOLOGICAL OPTIONS ASSESSMENT
STOA
DEVELOPMENT OF SURVEILLANCE
TECHNOLOGY AND RISK OF ABUSE
OF ECONOMIC INFORMATION
(An appraisal of technologies of political control)
|
Part 3/4
Encryption and cryptosystems in electronic surveillance:
a survey of the technology assessment issues
|
Working document for the STOA Panel
Luxembourg, April 1999
PE 168.184/Part
3/4
Directorate General for Research
|
Cataloguing data:
Title:
DEVELOPMENT OF SURVEILLANCE TECHNOLOGY AND
RISK OF ABUSE OF ECONOMIC INFORMATION
(An appraisal of technologies of political control)
Part 3/4: Encryption and cryptosystems in electronic surveillance:
a survey of the technology assessment issues.
Publisher: European Parliament
Directorate
General for Research
Directorate
A
The STOA Programme
Author: Dr. Franck
Leprévost - Technische Universität Berlin
Editor: Mr Dick HOLDSWORTH, Head of STOA Unit
Date: April 1999
PE number: PE 168.184/Part 3/4
This document does not necessarily represent the views of the European
Parliament.
1. Introduction
2. Quels moyens de communication sont utilisés ? A
quels risques ?
2.1. Téléphones standards
2.2. Téléphones chiffrant la parole
2.3. Fax
2.4. Communications sans fil
2.5. ISDN
2.6. Communications par Internet
2.7. Effet TEMPEST
2.8. PSN
3. Survol des techniques cryptographiques
3.1. Fonctions de hachage
3.2. Cryptographie à clef secrète
3.3. Cryptographie à clef publique
3.4. Cryptographie quantique
3.5. Cryptanalyse
3.6. Quantification de la sécurité
4. Cryptographie à clef secrète
4.1. Description des Stream Ciphers
4.2. Description des Block Ciphers
4.3. Problèmes
4.4. DES: état de l'art
4.5. AES
5. Cryptographie à clef publique
5.1. Description de la cryptographie à clef publique
5.2. Cryptographie symétrique ou à clef publique: que choisir
?
5.3. IEEE-P1363 et autres standards
5.4. Lecture technique du document COM (97) 503 de la DG XIII de la Commission
Europénne
6. Cryptanalyse et cryptographie quantique
6.1. Cryptanalyse quantique
6.2. Cryptographie quantique
7. Lecture technique de la catégorie 5 du Wassenaar
Arrangement
7.1. Le Wassenaar Arrangement
7.2. Catégorie 5, partie 2: Sécurité de l'Information
7.3. Commentaires
7.4. Remarque
7.5. Conséquences au niveau des organisations criminelles
7.6. Conséquences au niveau communautaire
8. Options suggérées
Chiffrement, cryptosystèmes et surveillance électronique: un
survol de la technologie
Résumé
Les objectifs de ce rapport sont:
-
rappeler aux Membres du Parlement Européen les risques, concernant
la surveillance électronique, inhérents à l'utilisation
des moyens modernes de communication;
-
fournir aux Membres du Parlement Européen un document de
référence concernant les technologies de cryptage, et les statuts
actuels des démarches de standardisation de ces techniques;
-
décrire les directions futures possibles en ce qui concerne, tant
les communications sécurisées, que les méthodes de
surveillance électronique;
-
donner aux Membres du Parlement Européen une traduction, à
la fois précise et claire pour les non-experts, et montrer les
implications pratiques, de documents techniques relatifs à la
sécurité de l'information, constituant des amendements
récents à des organismes de contrôle internationaux;
-
proposer des options aux Membres du Parlement Européen permettant
de préserver les intérêts des citoyens, entreprises et
organisations européennes.
Le rapport contient six parties principales. La première est une
description succinte des moyens de communications modernes utilisés
et de leurs risques; la deuxième fournit un survol des techniques
cryptographiques actuelles: cryptographie à clef secrète,
cryptographie à clef publique, cryptographie quantique, qui sont
détaillées dans les trois parties suivantes. La troisième
partie donne une description précise de la cryptographie à
clef secrète, un état de l'art concernant la situation en termes
de sécurité informatique de protocoles très largement
utilisés, et un point actuel sur les procédures de standardisation
du futur standard fédéral américain, qui devrait s'imposer
comme standard mondial. La quatrième partie donne une description
très précise de la cryptographie à clef publique, un
état de l'art concernant les procédures de standardisation
au niveau mondial des protocoles à clef publique, une lecture technique
d'un document de la DG XIII de la Commission Européenne. La mise en
oeuvre pratique de la cryptanalyse et de la cryptographie quantique peuvent
avoir des conséquences particulièrement importantes au niveau
intemational sur le plan politique, diplomatique ou financier: la cinquième
partie décrit l'état de l'art concernant ces deux directions.
Le Wassenaar Arrangement concerne les contrôles sur les exportations
d'armes conventionnelles et les produits technologiques sensibles, et regroupe
33 pays, dont ceux de la Communauté Européenne et les signataires
de l'accord UKUSA. La sixieme partie est une lecture technique des amendements
concernant la sécurité de l'information du 3/12/1998 au Wassenaar
Arrangement. La derniere partie du document est une liste de suggestions
de nature a protéger les citoyens européens, et à
préserver les intérêts des entreprises et organisations
européennes. Elle donne également des projets de recherches
complémentaires, afin de mieux mesurer l'impact de certains accords
internationaux sur le plan de la surveillance électronique en Europe.
Le rapport inclu une bibliographie, donnant une liste des documents
référencés.
Chiffrement, cryptosystèmes et surveillance électronique: un
survol de la technologie
FRANCK LEPREVOST
La surveillance électronique est usuellement considérée
comme un instrument de lutte contre la criminalité organisée
ou le terrorisme ([32], Foreword, p. iii). Cependant, elle est susceptible
de s'accompagner d'effets pervers, principalement espionnage industriel et
atteinte à la vie privée. Les deux peuvent d'ailleurs être
combinés.
Le rapport [35] publié par le STOA en janvier 1998 a rappelé
le rôle du réseau ECHELON dans la surveillance électronique
(voir également [8] pour une liste de liens à ce sujet). Ce
réseau est planétaire et peut écouter toute communication
téléphonique, tout fax, ou tout email.
Bien qu'il soit très difficile de quantifier les pertes causées
par l'espionnage industriel (beaucoup de cas ne sont pas signalés,
soit pour des raisons de prestige à préserver, soit parce qu'ils
ne sont simplement pas remarqués), il est raisonnable d'estimer à
plusieurs milliards d'Euros par an les déperditions financières
au niveau des entreprises de la Communauté Européenne. A titre
de comparaison, d'apres une étude publiée le 22 mars 1999 par
PricewaterhouseCoopers Investigation LLC ([27]), plus de 59 % des entreprises
US ayant une représentation signifiante sur Internet ont subi des
attaques en 1998. Par ailleurs, une utilisation au niveau des marchés
boursiers internationaux d'informations acquises par de tels moyens est
parfaitement concevable. Ce faisant, ce sont des actionnaires, des entreprises
ou des économies nationales qui sont touchés.
L'objet initial du présent rapport est de décrire les principales
techniques permettant aux citoyens, entreprises ou institutions européens,
de se préserver, dans une certaine mesure, contre ce qu'on appelle
désormais l'intelligence économique. Dans la partie 2, nous
rappelons les différents moyens de communication usuellement
utilisés Nous décrivons également certaines des techniques,
plus ou moins sophistiquées, permettant d'accéder de manière
illicite aux informations, et donnons quelques premières parades.
Les mesures technologiques permettant un transfert confidentiel des données
nécessitent l'usage de cryptosystèmes, ce que nous
définissons et survolons succintement dans la partie 3. Dans les parties
4, 5 et 6, nous faisons le point concernant les protocoles cryptographiques
à clef secrète , à clef publique et quantiques . Pour
les deux premiers, nous donnons un état actuel des procédures
de standardisation.
Dans la partie 7, nous effectuons une lecture technique des aspects concemant
la sécurité de l'information du Wassenaar Arrangement,
définit comme concernant les contrôles sur les exportations
d'armes conventionnelles et les produits technologiques sensibles. Nous concluons
ce rapport par des options suggérées aux instances
européennes.
Ce document ne représenter pas nécessairement le point de vue
du Parlement Européen. Toutefois, dans ce rapport commandé
par le STOA, nous nous sommes systématiquement placés, en
particulier dans les parties 2, 7 et 8, d'un point de vue que nous estimions
le plus en faveur de la défense des intérets européens.
Nous traitons ici des méthodes mettant en oeuvre une certaine technologie.
Par conséquent ne sont pas abordés la transmission orale directe,
ou le courrier classique. Pour fixer les idées, et en conformité
avec les usages de la discipline, nous désignons dans ce rapport par
Alice et Bob deux entités souhaitant communiquer.
2.1. Téléphones standards. Les systèmes de
téléphones standard peuvent être écoutés
sans problèmes techniques: un micro peut être placé dans
l'appareil lui-même, mais une écoute peut égaiement se
situer au niveau du central téléphonique de l'immeuble où
se trouve la cible, à partir des cables, ou encore depuis le bureau
central de la compagnie téléphonique. Ces techniques sont,
pour la plupart, indécelables par la cible.
2.2. Téléphones chiffrant la parole. Des
téléphones (ou des fax) sécurisés sont disponibles
dans le commerce. Selon la législation en vigueur dans le pays de
leur provenance (voir paragraphe 7), ils peuvent présenter des niveaux
de sécurité très modestes.
2.3. Fax. Tels quels, ils doivent être considérés
comme aussi peu sûrs que les téléphones. Il existe cependant
des machines cryptant les fax. La même remarque concernant leur provenance
qu'en 2.2 s'applique ici.
2.4. Communications sans fil. Certains des anciens modèles
émettent juste au dessus des bandes radio AM, et s'écoutent
donc très facilement. Des scanners, disponibles dans le commerce,
permettent d'écouter les appareils plus récents. Certaines
techniques d'inversion des ondes sonores sont parfois proposées pour
lutter contre les écoutes. Ces solutions n'offrent qu'un niveau très
faible de confidentialité.
Au niveau des appareils téléphoniques cellulaires, la situation
est plus complexe. Les premières versions émettent comme une
radio, et donc n'offrent pas de confidentialité sérieuse, puisque
des scanners bon marché permettent d'écouter les conversations
(des appareils également peu onéreux existent, qui permettent
d'augmenter les fréquences accessibles aux scanners que l'on peut
trouver sur le marché).
Il est utile de rappeler à ce stade la tentative gouvemementale
américaine d'imposer le standard clipper dans les téléphones
portables développés outre-atlantique. Ce standard aurait permis
aux organisations gouvernementales de disposer des clefs permettant
d'écouter les conversations. De plus, les détails de l'algorithme
de cryptage Skipjack, développé par la NSA, n'ont pas
été rendus publics.
Le système GSM, standard international pour les téléphones
cellulaires digitaux, a été développé par la
GSM MoU Association (devenue la GSM Association le 30/11/1998), en liaison
avec l'European Telecommunications Standard Institute ([13]), une organisation
internationale qui regroupe des administrations, des réseaux
d'opérateurs, des fabriquants, des prestataires de services, et des
utilisateurs. GSM utilise des techniques cryptographiques à plusieurs
niveaux.
Au niveau de l'identification, GSM admet plusieurs algorithmes. En pratique,
la plupart des operateurs font usage d'un protocole appelé COMP128.
Cependant, au mois d'avril 1998, la Smartcard Developer Association ([28]),
en collaboration avec David Wagner et lan Goldberg, chercheurs à UC
Berkeley (USA), affirme avoir mis au point un système permettant de
cloner les téléphones utilisant le standard GSM. D'un autre
coté, le 27 avril 1998, Charles Brookson, Chairman du groupe de
securité de la GSM MoU Association, a affirmé que les risques
de ce type n'offraient aucune application pratique pour les fraudeurs.
Au niveau de la confidentialité, GSM fait usage d'un protocole
appelé A5. Deux versions de ce système existent: A5/1 et A5/2.
Ces deux versions correspondent certainement a des besoins différents.
Selon certains experts, la version A5/2 offre un niveau de sécurité
pius faible que la version A5/1, que nous abordons maintenant. Ce protocole
utilise en théorie 64 bits. En pratique ([33]), Wagner nous a
déclaré que, pour tous les appareils qu'il avait eu entre ses
mains, 10 bits étaient systématiquement mises à zéro,
rendant ainsi la sécurité théorique du système
à 54 bits. En particulier, cette sécurité est moindre
que les 56 bits offerts par DES qui, pourtant, sont maintenant parfaitement
cassables en pratique (voir 4.4). Des travaux antérieurs à
cette découverte ([11]) avaient déjà réduit la
sécurité effective du système à 40 bits. Il n'est
donc pas exclu que des méthodes analogues, supposant 10 bits égales
à 0, permettent de réduire encore davantage le niveau de
sécurité effectif de A5/1, et par là même la
confidentialité des conversations.
Le 24/2/1999, au cours du GSM World Congress qui s'est tenu a Cannes (France),
Charles Brookson a annoncé une actualisation de la sécurité
GSM. En particulier, COMP128 a été révisé.
2.5. ISDN. Il est techniquement possible à l'aide d'un software
d'activer à distance via le canal D la fonction d'écoute d'un
appareil téléphonique ISDN, bien-sûr sans décrocher
physiquement l'appareil. Il est ainsi possible d'écouter sans
problèmes certaines conversations dans une pièce donnée.
2.6. Communications par Internet. Très schématiquement,
I'analogue pour le courrier classique d'un courrier électronique (email)
sur Internet est une carte postale sans enveloppe. A fortiori, les messages
envoyés de la sorte peuvent être lus. S'ils sont "en clair",
ces messages lus peuvent être compris, et des mesures peuvent être
prises par le lecteur non-destinataire, au détriment des deux parties
souhaitant communiquer. Par exemple, si Alice envoie un message à
Bob, et si Charles est un attaquant pass if, Charles a connaissance d u message
envoyé par Alice à Bob , mais ne peut pas le modifier. Si Charles
est un attaquant actif, il peut modifier le message.
2.7. Effet TEMPEST. TEMPEST est l'abréviation de Temporary
Emanation and Spurious Transmission. Il s'agit de l'émission par les
composants électroniques de radiations électromagnétiques
sous formes de signaux radios. Ces émissions peuvent être
captées par des récepteurs radio AM/FM dans un rayon variant
de quelques dizaines à quelques centaines de mètres A partir
de ces données, I'information initiale peut être reconstituée
Les mesures de protection contre ces risques consistent à enfermer
les sources d'émissions (unités centrales, moniteurs, mais
aussi câbles) dans une cage de Faraday, ou à brouiller les
émissions électromagnétiques. La NSA a édité
plusieurs documents relatifs aux effets TEMPEST (voir [25]).
Le fonctionnement de tout ordinateur nécessite un microprocesseur.
Le marché des microprocesseurs pour les ordinateurs personnels (PC)
est dominé à plus de 80 % par la firme Intel, qui a annoncé
le 20/1/1999 ses nouveaux processeurs Pentium III dotés d'un PSN.
2.8. PSN. Les processeurs Pentium III ont un numéro de série
unique, appelé PSN (Processor Serial Number). Intel a proposé
cette technique pour promouvoir le commerce électronique. L'objet
de ce numéro de série est de permettre d'identifier un passeur
d'ordre sur Internet. Intel a déclaré que tout usager garderait
le contrôle sur le fait de décider de permettre ou non la lecture
de son numéro de série. Cependant (voir [26]), il existe
déjà des techniques "software" permettant d'activer cette lecture.
Il devient donc possible d'obtenir secrètement le PSN et de suivre
à la trace l'usager à son insu.
Ce PSN se distingue très fortement des adresses IP (Internet Protocol),
même si, lorsqu'un utilisateur visite une page web, I'adresse IP peut
être révélée à cette page web. En effet,
ces adresses IP ne sont pas aussi permanentes que le PSN: beaucoup d'utilisateurs
n'ont pas d'adresse IP fixe, qui puisse être utilisée pour suivre
leurs mouvements, car ils utilisent, par exemple, des masques via des serveurs
Proxy de prestataires de services Internet. Ces prestataires fournissent
en général un numéro IP différent par session
et par usager. Les usagers peuvent également aussi changer de prestataires
de services, utiliser un service leur garantissant l'anonymat, etc.
En l'état, le PSN peut donc être utilisé à des
fins de surveillance électronique.
Par ailleurs, il n'est pas du tout clair, en l'état actuel des
connaissances, que les PSN ne soient pas clonables. S'ils l'étaient,
il ne saurait être question de les utiliser à des fins
d'identification dans le cadre du commerce électronioue.
La cryptographie est l'étude des techniques permettant d'assurer la
confidentialité, I'authenticité et l'intégrité
des informations ou de leur origine. La cryptographie se sépare
schématiquement en trois catégories: la cryptographie à
clef secrète, la cryptographie à clef publique, et la cryptographie
quantique. Plusieurs de ces techniques font un usage intensif des fonctions
de hachage. Nous donnons ici un survol de ces techniques, détaillées
dans les sections 4, 5 et 6. Il est cependant à souligner qu'un haut
degré de confidentialité n'est atteint qu'en combinant ces
techniques avec des contre-mesures aux effets TEMPEST. En effet, il ne sert
à rien qu'un ordinateur crypte des données, si on peut les
lire en clair, par exemple lors de leur transfert du clavier à
l'unité centrale. Nous considérons que les informations à
traiter sont en binaire. Par conséquent, l'unité fondamentale
d'information est le bit pour toutes les sections, sauf les sections 3.4
et 6 où il s'agit de son analogue quantique, le qubit.
3.1. Fonctions de hachage. Ces fonctions sont des outils dont les
applications sont multiples: création de clef secrètes, signatures
électroniques, etc. L'idée sous-jascente est d'associer à
un fichier de taille arbitraire une valeur fixe, par exemple 160 bits, comme
dans le cas de la proposition européenne RIPEMD-160, et ce de
manière très rapide. De plus, connaissant cette valeur, il
doit être impossible en pratique de reconstruire un texte initial donnant
le résultat donné par application de la fonction de hachage.
En termes schématiques, on ne peut pas, pratiquement, "remonter en
arrière". Il est également nécessaire qu'une telle fonction
évite les collisions. En d'autres termes, il ne doit pas être
possible de construire deux fichiers distincts donnant la même valeur
hachée.
3.2. Cryptographie à clef secrète. Dans cette méthode,
une seule clef est utilisée, tant pour le cryptage que pour le
décryptage. Cette clef ne doit être connue que de Alice et Bob.
Sa longueur est variable. La cryptographie à clef secrète se
subdivise en deux catégories: Stream Ciphers et Block Ciphers. Dans
le cas des Stream Ciphers, la longueur de la clef est égale à
celle du message à transmettre. La taille "utile", c'est-à-dire
à partir de laquelle on recrée une clef de taille égale
à celle du message, peut être ramenée à une taille
fixe à l'aide de générateurs de bits pseudo-aléatoires
cryptographiquement sûrs. Ces générateurs doivent satisfaire
des tests statistiques très stricts. Dans le cas des Block Ciphers,
la taille de la clef est fixe (56 bits pour DES, 128 bits pour AES, voir
4.3, 4.4). Les principaux problèmes de cette technique résident
dans la gestion et la distribution des clefs.
3.3. Cryptographie à clef publique. Contrairement aux algorithmes
à clef secrète, les algorithmes à clef publique
nécessitent deux clefs par utilisateur. Alice (resp. Bob) choisit
une clef secrète XA (resp. XB) et publie (par exemple dans un annuaire)
une clef publique YA (resp. YB) Bob encode son message avec YA et l'envoie
à Alice. Seule Alice peut, avec sa clef secrète XA, décoder
le message. La sécurité des algorithmes à clef publique
est basée sur des problèmes mathématiques (voir 5).
Un compte-rendu (actuel au 31/12/1998) sur les procédures de
standardisation des protocoles à clef secrète AES (voir 4.5)
et à clef publique IEEE-P1363 (voir 5.3) est décrit dans [21]
et [23].
3.4. Cryptographie guantique. Cette méthode est traitée
dans 6.2.
3.5. Cryptanalyse. La cryptanalyse est la mise au point de techniques
ou d'attaques pour réduire la sécurité théorique
d'algorithmes cryptographiques. Cette approche est distincte de ceile des
"pirates" qui, en règle générale, tire parti de faiblesses,
non dans les algorithmes eux-mêmes, mais dans les architectures de
sécurité. Nous décrivons certaines attaques pour la
cryptographie à clef secrète dans 4.4, pour la cryptographie
à clef publique dans 5.1 et 6.1.
3.6. Quantification de la sécurité. Elle est en règle
générale évolutive, puisqu'elle dépend souvent
des connaissances scientifiques d'une époque donnée. Elle peut
être absolue. Par exemple, pour plusieurs Block Ciphers, on ne connait
d'autre attaque que d'essayer toutes les clefs possibles (Brute-Force Attack).
Ainsi, si un tel système utilise une clef de 56 bits, la
sécurité est égale à 256 opérations. Elle
peut également être relative: ainsi, du point de vue
théorique, un cryptosystème est considéré comme
peu sûr s'il peut être cryptanalysé en temps polynômial
en la taille des données. ll sera considéré comme offrant
un degré de sécurité satisfaisant si sa cryptanalyse
nécessite un temps au mo ins so us-exponentiel ou , mieux, exponentiel
Des mes u res plus p récises pe uve nt être fo u rnies , notamment
en termes de MlPStyear. Cette unité de mesure équivaut à
la puissance de calcul d'un ordinateur, réalisant un million
d'instructions par secondes, et utilisé sur un an (approximativement
3.1013 instructions en tout).
La cryptographie à clef secrète se sépare en deux
catégories: les Stream Ciphers et les Blocks Ciphers.
4.1. Description des Stream Ciphers. Ces technologies ne sont que
rarement publiées. Là où les Block Ciphers chiffrent
par blocs, les Stream Ciphers chiffrent bit-à-bit. Le plus connu,
et le plus sûr du point de vue cryptographique, est le One-Time Pad.
Il nécessite une clef de même longueur que le message à
transmettre. Cette clef doit de plus être créée de
manière aléatoire. Pour des raisons pratiques, on simule souvent
le One-Time Pad à l'aide de générateurs de bits
pseudo-aléatoires cryptographiquement sécurisés, souvent
abrégé en CSPRBG (Cryptographically Strong Pseudo-Random Bit
Generator). Il s'agit, à partir d'une donnée de départ
x0 (seed), d'utiliser le CSPRBG pour créer de manière
déterministe des bits qui ont toutes les apparences de l'aléatoire.
On vérifie que tel est le cas, en faisant subir au candidat CSPRBG
des tests statistiques très stricts.
4.2. Description des Block Ciphers. Un message est coupé en
blocs de longueur fixée. A l'aide d'un algorithme et d'une clef
secrète K de longeur fixée, mais éventuellement
différente de celle des blocs, on encode chaque bloc, que l'on envoie
au destinataire. Celui-ci décode chaque bloc avec la même clef
K. Il lui suffit alors de "recoller" les blocs les uns aux autres pour
récupérer le message original. Le standard de facto des algorithmes
rentrant dans la catégorie des Block Ciphers est DES (voir 4.4).
4.3. Problèmes. Ces méthodes (Stream Ciphers et Block
Ciphers) s'exposent à, au moins, deux problèmes:
(a) Comment Alice et Bob se communiquent-ils ia clef secrète K ?
(b) Dans un réseau à n utilisateurs, il faut n(n-1)/2 clefs
secrètes (par exemple 499500 clefs secrètes dans un réseau
de 1000 usagers), ce qui pose des problèmes naturels de stockage,
at de sécurité.
Les techniques de cryptographie à clef publique (voir 5, en particulier
5.2) ou de cryptographie quantique (voir 6.2) donnent des éléments
de réponse à ces problèmes.
4.4. DES: état de l'art. L'algorithme symétrique le
plus utilisé actuellement est sans aucun doute DES (Data Encryption
Standard). ll a été reconnu en 1977 comme FIPS (Federal information
Processing Standard), sous le numéro FIPS 46-2. DES utilise une clef
de longueur 56 bits. Il y a donc 256 clefs possibles. Les blocs, eux, ont
une longueur de 64 bits.
DES a très longtemps profité du soutien politique des USA.
Robert S. Litt (Principal Associate Deputy Attorney General) par exemple
assurait encore le 17 mars 1998 ([10], p. 1-3), que le FBI n'avait aucune
possibilité technologique et financière de décoder un
message codé avec un algorithme symétrique dont la clef
secrète a une longueur égale à 56 bits. Il completait
sa démonstration en déclarant que 14000 PC Pentium durant 4
mois seraient nécessaires pour réaliser cela (voir également
les déclarations de Louis J. Freeh (Directeur du FBI) et de William
P. Crowell (Deputy Director de la NSA, [10], p. 1-2)).
Cependant, la Electronic Frontier Foundation a construit un DES-Cracker et
l'a présenté durant une session informelle (Rump-Session) du
congrès Crypto'98 à Santa Barbara. On trouve la description
de cette machine (valeur 250000 dollars, design inclus) dans [10]. Mieux:
il est expliqué comment scanner les plans, afin de reproduire une
telle machine, pour un prix maximal de 200000 dollars (il est en effet inutile
de repayer pour le design). Cette machine est en mesure de trouver une clef
secrète DES en 4 jours en moyenne. En janvier 1999, une équipe
coordonnée par la Electronic Frontier Foundation a relevé un
défi de la société RSA (et empoché ainsi 10000
dollars), en cassant, à l'aide d'un réseau très important
d'ordinateurs, une clef de 56 bits en 23 heures 15 minutes. Cela a des
conséquences politiques et diplomatiques: en effet, il semble accessible
financièrement à toutes les nations de décoder les archives
codées en DES qu'elle auraient pû constituer au cours des
années. Pour le présent et le futur, il est désommais
nécessaire de considérer comme peu sûrs tous les
systèmes basés sur DES. En pratique, il est suggéré
d'utiliser aujourd'hui au moins Triple-DES (mais, là encore, avec
discernement). Conscient de ces risques concernant DES, le NIST (National
Institute for Standards and Technology) a demandé à la
communauté cryptographique de réfléchir au successeur:
AES (Advanced Encryption Standard, [24]).
4.5. AES. Les caractéristiques voulues de AES sont les suivantes:
I'algorithme est un algorithme à clef secrète de type Block
Cipher, il doit pouvoir accepter des combinaisons clefs-blocs de longueurs
128-128,192-128 et 256-128 Bits. Les algorithmes utilisés dans AES
seront libres de royalties, et cela au niveau mondial. L'algorithme doit
également être suffisament flexible, par exemple pour autoriser
d'autres combinaisons (blocs de longueur 64 Bits), efficace pour
différentes platformes et applications (processeurs à 8-Bits,
Réseaux ATM, communications satellitaires, HDTV, B-ISDN, etc.) et
doit pouvoir être utilisé comme Stream Cipher,
générateur de MAC (Message Authentication Code), Pseudo-Random
Number Generator, etc.
Le premier congrès AES s'est déroulé le 20 août
1998 (juste avant le congres Crypto'98). A cette occasion ont été
présentés les 15 (parmi 21) candidats retenus: CAST-256, CRYPTON,
DEAL, DFC, E2, FROG, HPC, LOK197, MAGENTA, MARS, RC6, RIJNDAEL, SAFER+, SERPENT
et TWOFISH.
A l'heure acctuelle, il semble que les propositions DEAL, LOK197, FROG, MAGENTA
et MARS (dans la version où les tailles de clefs sont très
longues) sont sujettes a des attaques d'importance variable.
Le second congrès AES aura lieu les 22-23 mars 1999 à Rome,
a l'issue duquel seront sélectionnés 5 algorithmes parmi les
15 candidats. La discussion concemant les 15 candidats a déjà
commencé ([3]). Un troisième congrès AES se tiendra
six à neuf mois pius tard, où sera annoncé le vainqueur.
Après une dernière période d'examen de six à
neuf mois supplémentaires, cet algorithme sera proposé comme
FIPS. Il est prévu que l'AES devienne un FIPS vers 2001.
5.1. Description de la cryptographie à clef publique. La
sécurité des algorithmes à clef publique est basée
sur des problèmes mathématiques:
-
Factorisation de grands entiers: RSA (Rivest-Shamir-Adleman) et Rabin-Williams.
-
Problème du Log Discret: DSA (Digital Signature Algorithm), échange
de clef de Diffie-Hellman, méthode de codage de El Gamal et signature
électronique de El Gamal, de Schnorr et de Nyberg-Rueppel.
-
Problème du Log Discret pour les courbes elliptiques: les analogues
des algorithmes ci-dessus pour les courbes elliptiques. On considère
une courbe elliptique E définie sur un corps fini, tels Fp
ou F2n.Il est essentiel de pouvoir calculer rapidement le nombre
de points rationnels de la courbe eiliptique sur le corps fini
considéré En général, on utilise pour cela une
méthode dûe à Schoof-Elkies-Atkin (dénommée
SEA depuis). Dans certains cas (courbes de Koblitz ou courbes à
multiplication complexe), ce nombre est très aisément calculable.
Les cryptosystèmes à clef publique sont sujets à des
attaques:
-
Factorisation de grands entiers: on utilise la méthode ECM (Elliptic
Curve Factoring Method) pour trouver les petits facteurs. A l'heure actuelle,
on utilise QFS (Quadratic Field Sieve) ou NFS (Number Field Sieve) pour trouver
les gros facteurs. Il y a des restrictions sur les nombres à
considérer.
-
Problème du Log discret: pour résoudre ce problème,
on peut utiliser la méthode du calcul d'indices ou encore la méthode
NFS. Il y a des restrictions sur les nombres à considérer.
-
Problème du Log discret pour les courbes elliptiques: une attaque
bien connue est la méthode ρ de Pollard (qui peut d'ailleurs
être parallélisée). ll y a également des restrictions
sur les courbes à considérer: éviter les courbes elliptiques
dites supersingulières ou anormales (un test pratique très
rapide permet de vérifier qu'une courbe elliptique donnée est
convenable).
Les techniques basées sur ie problème de la factorisation d'une
part, et celles basées sur celui du logarithme discret d'autre part,
sont fondamentalement différentes. Pour les premiers, il est
nécesaire de fabriquer et stocker secrètement des grands nombres
premiers. Comme il n'est guère humainement possible de se rappeler
de grands nombres premiers, il est nécessaire de les stocker sur des
supports physiques, ce qui peut éventuellement poser des problèmes
de sécurité.
L'approche du problème du logarithme discret est différente.
Par exemple, I'usager peut choisir librement un texte de son choix, facilement
mémorisable (e.g. un poême). Ce texte est alors traduit en binaire,
puis haché avec une fonction de hachage éprouvée, comme
la proposition européenne RIPEMD160, qui renvoie en sortie 160 bits
(voir 3.1). Ce sont ces 160 bits, impossibles elles à mémoriser,
qui constituent la clef secrète de l'usager. Cette approche a l'avantage
de limiter les problèmes de stockaae.
Ceci étant, les deux approches répondent à des
problèmes différents, fonction des paramètres à
traiter.
Enfin, les techniques basées sur les courbes elliptiques sont très
regardées, car, à la différence des autres propositions,
il n'existe pas, à l'heure actuelle, d'algorithme sous-exponentiel
résolvant le problème du logarithme discret pour ces groupes.
La conséquence est la suivante: les courbes elliptiques sur des corps
de taille fixée offrent le même degré de sécurité
que les autres algorithmes pour des corps ou modules de tailles plus
élevées. Par exemple, la sécurité offerte par
les courbes elliptiques pour un module de 163 bits équivaut à
celle offerte par RSA pour 1024 bits.
5.2. Cryptographie symétrique ou à clef publique: que choisir
? Les cryptosystèmes symétriques ou à clef publiques
ne sont pas exclusifs l'un de l'autre. Au contraire, pour communiquer un
document de manière sécurisée sur un canal ouvert
(Internet), ils prennent toute leur utilité lorsqu'ils sont utilisés
conjointement.
Par exemple, Alice vivant à Paris veut envoyer par mail un rapport
de 15 pages à Bob qui habite Bruxelles. ll est hors de question pour
Alice d'aller à Bruxelles remettre une clef secrète d'AES à
Bob. Si elle choisissait cette méthode coûteuse, autant qu'elle
remette directement le document ! Alice et Bob pourraient bien entendu choisir
de communiquer à l'aide des techniques de la cryptographie à
clef publique, comme décrit plus haut. Seulement le problème
est que le chiffrement est environ 1000 fois plus lent pour ces techniques
que pour les cryptosystèmes à clef secrète.
La solution la plus pratique peut prendre le schéma suivant:
-
Alice envoie un message K de 128 bits à Bob à l'aide de la
cryptographie à clef publique. L'utilisation des techniques à
clef publique se justifie, car la taille du message à transmettre
est très courte (128 bits dans notre cas). A ce stade, Alice et Bob
partagent le secret K.
-
Comme convenu de manière standard entre eux, K est la clef secrète
d'un algorithme à clef secrète, tel AES.
-
Alice et Bob oublient la technologie à clef publique. Pour la suite
de leurs communications, ils utilisent AES avec la clef K pour communiquer.
C'est ainsi qu'Alice peut maintenant envoyer son document de 15 pages à
Bob pour le prix d'une communication téléphonique.
Encore faut-il que les systèmes d'Alice et Bob soient compatibles:
le but des démarches de standardisation décrites ci-dessous
est précisément de favoriser l'harmonie des communications.
5.3. IEEE-P1363 et autres standards. Le projet P1363 a commencé
en 1993 sous l'égide du comité de standardisation de l'IEEE
(Institute of Electrical and Electronics Engineers). ll a pour but
d'améliorer les communications entre plusieurs familles de
cryptosystèmes à clef publique: RSA, El Gamal, Diffie-Hellman
et courbes elliptiques Depuis la fin de 1996,1'ensemble des techniques
considérées par P1363 est relativement stable, et regroupé
dans un document ([16]). Le projet P1363A contient des techniques
supplémentaires.
Le projet de standard (draft version 9) est désormais prêt pour
révision par un groupe d'experts de l'IEEE Standards Association.
Ce groupe a commencé son travail en février 1999, et remettra
ses premières conclusions le 2 avril 1999. Dans l'optique la plus
optimiste, le draft sera approuvé en tant que standard le 25 juin
1999.
Le standard IEEE-P1363 va avoir une très grande influence sur d'autres
standards, tels par exemple ANSI X9.42, ANSI X9.62, ANSI X9.63 de l'industrie
bancaire. ll sera également la pierre de base des protocoles X.509
([17]) et S-MIME ([18]). Ces multiples protocoles sont essentiels au commerce
électronique.
5.4. Lecture technique du document COM (97) 503 de la DG XIII de la Commission
Europénne. Le document [12] spécifie les besoins sur le
plan communautaire de communications électroniques sécurisées.
Il porte à la fois sur les signatures électroniques et sur
les méthodes de communications électroniques confidentielles.
Nous suggérons ici quelques actualisations aux annexes techniques
I (Digital Signature) et II (Symmetric and asymmetric encryption) à
ce document.
Annexe I.- Il serait souhaitable d'éviter de citer comme exemples
MD2 et MD5. En effet, des collisions dans le premier cas, et des
pseudo-collisions dans le second, ont été mises en évidence.
Il serait également souhaitable de remplacer SHA par SHA-1 (basé
sur le travail [14]), et d'écrire RIPEMD-160 (basé sur le travail
[7]) au lieu de RIPEM 160. L'une ou l'autre de ces fonctions de hachage sont
actuellement à suggérer pour remplacer, là où
cela est possible, les fonctions MD2, MD4 et MD5.
Annexe II. Symmetric encryption systems.- Il serait souhaitable
d'éviter de citer comme exemple DES et SAFER. Nous suggérons
de conserver IDEA, qui ne présente jusqu'à présent aucune
faiblesse sérieuse, et citer les candidats retenus pour le second
tour de AES.
Annexe II. Asymmetric encryption systems.- De nouveau, en ce qui concerne
les exemples, il serait souhaitable d'être plus précis, e.g.
en reprenant l'approche en cours de standardisation donnée au début
de 5.1.
Annexe II. Systems security.- Nous suggérons de supprimer
la dernière phrase du deuxième paragraphe: "In a symmetric
system like DES or IDEA, keys of 56 to 128 bits provide similar protection
as a 1,024-bit public key". Cette assertion est totalement éronnée.
Les conséquences politiques, diplomatiques et financières de
ia cryptanalyse quantique et de la cryptographie quantique peuvent être
très importantes.
6.1. Cryptanalyse quantique. La cryptanalyse quantique est l'ensemble
des techniques permettant de trouver les clefs secrètes de protocoles
cryptographiques à l'aide d'ordinateurs quantiques. C'est une direction
de recherche particulièrement active, puisque l'un de ses fondateurs,
Peter Shor de AT & T Bell Labs, a remporté en août 1998
le Prix Nevanlinna, qui lui a été remis au cours de l'lnternational
Congress of Mathematicians à Berlin. Il a développé
des méthodes basées sur la physique quantique pour factoriser
en temps polynômial de grands nombres ([29], [30]) ou pour résoudre
le problème du Log Discret, également lorsqu'il est formulé
dans le cadre général des variétés abéliennes
([31], voir [32] Pour un résumé de ces résultats).
Conséquence: une mise en pratique efficace de ces résultats
aurait pour conséquence immédiate que la sécurité
des protocoles cryptographiques à clef publiques décrits en
5 serait définitivement compromise. Au delà de 5, des
cryptosystèmes basés sur les variétés
abéliennes seraient également ainsi quantiquement
cryptanalysés. Ces conséquences sont à rapprocher des
commentaires 7.3 concernant le Wassenaar Arranqement.
Malgré cela, IEEE-P1363 reste actuel: ces algorithmes de Shor
nécessitent un ordinateur quantique puissant. Or l'existence de ces
machines est encore hypothétique. Diverses propositions
expérimentales existent (les qubits sont les analogues quantiques
des bits, et sont en fait des systèmes quantiques à deux
états):
-
utiliser comme qubits les états électroniques des ions dans
un piège électromagnétique à ions, et les manipuler
avec des lasers (voir [4]).
-
utiliser comme qubits les spins nucléaires d'atomes dans une
molécule complexe, et les manipuler à l'aide de résonance
magnétique nucléaire (voir [6] et [9]).
-
utiliser comme qubits les spins nucléaires des impuretés d'une
puce à silicone, et les manipuler à l'aide de l'électronique
de cette puce (voir [19]).
Aucune de ces propositions n'a été réalisée
expérimentalement pour plus que quelques qubits.
Cette direction de recherche est particulièrement considérée
aux USA, et soutenue financièrement par le DARPA, qui est le
département recherche du Pentagone. Un projet européen analogue
existe: neuf groupes de recherche se sont unis dans le Quantum Information
European Research Network. Ceci étant, selon l'avis de Shor lui-même
([31]), il serait déraisonnable d'espérer un coprocesseur quantique
avant plusieurs années.
Si un tel ordinateur quantique existe un jour, il rendra obsolete la
cryptographie à clef publique décrite dans la section 5.
Indépendamment de cela, il existe une théorie de la cryptographie
quantique, plus précisément du partage quantique de clefs ([1],
voir [2] pour une bibliographie sur le sujet). Elle constitue donc une
alternative à la cryptographie à clef publique.
6.2. Cryptographie quantique. La problématique est similaire
à celle exposée dans la partie 5.2: Alice et Bob veulent de
nouveau partager un secret commun qu'ils pourront alors utiliser comme clef
secrète d'un protocole symétrique (comme AES). S'ils utilisent
seulement une ligne téléphonique, ils n'ont d'autre recours
que d'utiliser la cryptographie à clef publique. Si leur communication
est écoutée par un attaquant muni d'un ordinateur quantique
puissant, ils sont exposés aux attaques évoquées plus
haut. Cependant, si en plus ils ont une fibre optique à disposition
sur laquelle ils peuvent transmettre des états quantiques, ils peuvent
utiliser la cryptographie quantique. Le design peut être fait de sorte
qu'un attaquant qui écoute la conversation ne connaisse au plus qu'un
bit de la conversation totale. En outre, toute information qu'il capture
entraîne un dérangement des états, ce dont Alice et Bob
ont immédiatement connaissance. Il suffit alors à Alice et
Bob de ne pas prendre en considération ces états-là.
Si la théorie remonte à 1982-84 ([1]), les années 1990
ont vu les premières réalisations. En 1990-92 une première
expérimentation à l'air libre sur une longueur de 30 cm a
été initiée par IBM. En 1993-95, British Telecom ont
réalisé une expérience sur fibres optiques sur une longueur
de 10 à 30 km En 1996, Swiss Telekom a réalisé de telles
expériences sur une fibre de 23 km sous le lac Léman. En 1997,
Los Alamos National Lab a mené à bien de telles expériences
sur une fibre optique de 48 km, et en 1998 à l'air libre sur une longueur
de 1 km.
7.1. Le Wassenaar Arrangement. Le 16 novembre 1993 à La Haye,
constatant la fin de la guerre froide, les représentants des 17
états membres du COCOM décident de mettre un terme au COCOM
et de replacer sa fonction dans un cadre rendant compte des nouvelles
données politiques. Cette décision de terminer le COCOM est
confirmée à Wassenaar (Pays-Bas) les 29-30 mars 1994, et effective
le 31 mars 1994.
Les bases de l'accord sur le successeur du COCOM sont jetées, de nouveau
à Wassenaar, le 19 décembre 1995, et le meeting inaugural se
tient les 2-3 avril 1996 à Vienne, où se trouve depuis lors
la représentation permanente des Accords de Wassenaar.
Il concerne les contrôles sur les exportations d'armes conventionnelles
et les produits technologiques sensibles. Les états participant sont:
Allemagne, Argentine, Australie, Autriche, Belgique, Bulgarie, Canada, Danemark,
Etats-Unis, Fédération Russe, Finlande, France, Espagne,
Grèce, Hongrie, Irelande, Italie, Japon, Luxembourg, Norvège,
Nouvelle Zélande, Pays-Bas, Pologne, Portugal, République de
Corée, République Slovaque, République Tchèque,
Roumanie, Royaume Uni, Suède, Suisse, Turquie et Ukraine.
Cette liste de 33 pays comprend en particulier les pays de la Communauté
Européenne et les signataires de l'accord UKUSA.
L'Arrangement est ouvert aux pays répondant à certains
critères (voir [34] pour une description complète), et les
décisions sont prises sur consensus. Il n'est pas prévu
d'observateurs.
Concernant la sécurité de l'information, des amendements importants
ont été apportés au cours de la dernière rencontre
des représentants des pays signataires du Wassenaar Arrangement les
2-3 décembre 1998 à Vienne ([34]). Ils concernent la
Catégorie 5, partie 2, intitulée Sécurité
de l'information, dont nous faisons une lecture technique ci-dessous.
7.2. Catégorie 5, partie 2: Sécurité de
l'information. La partie 5.A.2 stipule en particulier que sont soumis
au contrôle, les systèmes, équipements et composantes
utilisant (directement ou après modification):
1. un algorithme symétrique employant une clef de longueur
supérieure à 56 bits; ou
2. un algorithme à clef publique, où la sécurité
de l'algorithme est basée sur l'un des phénomènes suivants:
(a) Factorisation des entiers supérieurs à 512 bits (e.g. RSA);
(b) Calcul de logarithmes discrets dans le groupe multiplicatif d'un corps
fini de taille supérieure à 512 bits;
(c) Calcul de logarithmes discrets dans un groupe différent de ceux
mentionnés ci-dessus, dont la taille excede bits.
Cependant (Note 5.A.2.d) les équipements cryptographiques
spécialement destinés et limités aux usaaes bancaires
ou transactions financières ne sont pas soumis au contrôle.
7.3. Commentaires. Le point (1 ) revient à n'autoriser à
l'exportation sans contrôle que des techniques offrant un degré
de sécurité analogue à celui présenté
par DES. Comme vu en 4.3, ce type de système n'offre qu'un degré
de sécurité très restreint.
Les techniques sousjascentes au point (2) ont été
présentées en 5.1. La motivation première de (2c)
réside dans les groupes associés aux courbes elliptiques. Cependant
i'énoncé de (2c) couvre un champ beaucoup plus vaste, puisqu'il
concerne tout groupe, incluant donc, mais pas seulement, les groupes de points
rationnels de variétés abéliennes définies sur
un corps fini (en particulier les courbes elliptiques, qui sont les
variétés abéliennes de dimension 1), dont on sait (voir
61), qu'elles sont suiettes à la cryptanalyse quantique.
Comme énoncé en 5.1, les courbes elliptiques définies
sur un corps de taille fixée offrent, en l'état actuel des
connaissances, le même équivalent de sécurité
que celui offert par RSA avec des modules beaucoup plus grands, ou avec le
logarithme discret sur un corps fini de taille également beaucoup
plus grand. En d'autres termes, (2a), (2b) et (2c) fournissent le même
équivalent de sécurité, dans ia mesure où il
faut en moyenne sensiblement le même effort pour récupérer
les donnés secrètes de ces différents algorithmes. Ceci
explique la nuance sur les tailles entre (2a, 2b) et (2c). En outre, comme
vu en 5.2, ces techniques à clef publique sont en règle
générale combinées avec des cryptosystèmes à
clef secrète.
7.4. Remarque. Il est à noter, par exemple, que les techniques
de filigranes sont absentes des systèmes soumis au contrôle.
Ces techniques, connues sous le nom de watermarking, data hidding ou
stéganographie, permettent de cacher une information dans une autre,
par exemple un fax, une photo, une vidéo ou des fichiers de sons.
Les informations cachées permettent en règle générale
d'assurer la propriété intellectuelle des données (voir
[20] par exemple). Mais rien n'empêche les utilisateurs de cacher autre
chose, par exemple une clef de 128 bits d'un système symétrique
sur lequel les deux correspondants se sont mis d'accord au préalable
(éventuellement via une information stéganographiée
dans un autre document). Les techniques actuelles sont telles que les documents
stéganographiés ne se distinguent pas, sans un logiciel
spécial, des originaux, que l'information résiste à
de multiples compressions/décompressions (nécessaires pour
le transfert rapide de tels documents sur Internet), et que l'information
ne peut se retrouver qu'avec un logiciel et un mot de passe. Cette technique
est en outre très peu onéreuse. Ce type de technique ne semble
donc pas limitée à l'exportation, mais cependant permet
parfaitement en pratique l'échange de données confidentielles.
7.5. Conséquences au niveau des organisations criminelles.
Il serait naif de penser que les organisations criminelles ou terroristes
mènent leurs activités dans le respect des règles
internationales d'impor/export, ou qu'elles n'ont pas les moyens de mettre
au point des méthodes de communication à haut degré
de confidentialité. Un algorithme ne s'arrête pas à la
frontière. D'ailleurs, de nombreux algorithmes sont librement accessibles.
Par ailleurs, on voit mal comment les autorités pourraient prouver
qu'une suite binaire suspecte donnée a été créée
avec un système non autorisé si, par exemple, elle a
été effectivement créée avec un cryptosystème
à clef public utilisant un module de 4096 bits. Ce n'est pas parcequ'une
suite binaire interceptée ne fait pas sens, même sous
l'hypothèse d'un traitement cryptographique "licite" (ce qui est en
pratique vérifiable, mais pour un coût non négligeable),
que cette suite binaire a été crée de façon
"illicite" (ce qui est en pratique invérifiable, à partir d'un
certain deqré de sophistication). Enfin, même si l'exportation
des poduits cryptographiques est soumise à des contrôles stricts,
son utilisation libre est un état de fait sur de nombreux territoires,
dont les Etats-Unis. Il n'apparait cependant pas que la criminalité
ou le terrorisme ne s'excercent qu'à l'extérieur de ces pays,
ni que les autorités de ces pays sont dépourvues de moyens
d'investigation efficaces sur le territoire national.
7.6. Conséquences au niveau communautaire. Du point de vue
communautaire, les conséquences de ces amendements sont multiples:
Avant ces amendements, les entreprises des Etats Européens, étaient
libres de conquérir le marché de la sécurité
informatique, pour peu que les législations de leurs Etats d'origine
les y autorisaient. En particulier, les entreprises européennes de
ce secteur pouvaient exporter des solutions à très haut degré
de sécurité sans restrictions autres que les restrictions
nationales.
Désormais, les entreprises européennes de sécurité
des systèmes d'information ne peuvent exporter sans contrôle
que des produits de qualité bien moindre qu'auparavant.
Par ces amendements, les entreprises européennes de sécurité
des systèmes d'information ne peuvent pas, à la différence
de leurs homologues des Etats-Unis, en l'état actuel de la situation,
faire automatiquement des économies d'échelle et viser des
marchés de tailles importantes. Même si, au regard du Wassenaar
Arrangement, elles sont logées à la même enseigne que
les entreprises des Etats-Unis, cette image d'égalité est
trompeuse, et le bilan global leur est défavorable.
Ces amendements constituent également un frein à l'expansion
du commerce électronique, en particulier en Europe.
Enfin, même si l'usage de la cryptographie est de nature à
empêcher l'espionnage industriel de la part d'organismes dont la puissance
financière est limitée, les résolutions du Wassenaar
Arrangement ne mettent pas à l'abri les entreprises de tous les risques.
Compte tenu du DES-Cracker, il n'est pas déraisonnable d'estimer à
quelques secondes le temps nécessaire à une institution ayant
un budget de 300 millions de dollars pour retrouver une clef de 56 bits.
Avec le même budget, le temps nécessaire pour trouver une clef
secrète de 40 bits est de quelques dix millièmes de secondes
(voir 2.4, où ce niveau de sécurité est le maximal offert
en pratique par plusieurs téléphones GSM). Par conséquent,
les entreprises, organismes ou individus se dotant d'un système
cryptographique répondant aux critères présentés
en 7.2 doivent être pleinement conscients que le réseau Echelon
est, selon toute probabilité, toujours en mesure d'intercepter et
décoder leurs informations.
Les recommandations (section 4.5, p. 21-22) du rapport précédent
[35] nous paraissent toujours d'actualité. Nous suggérons ici
certaines options supplémentaires au Parlement Européen.
A.- Faire procéder par des experts à des actualisations,
régulières ou en fonction des événements, des
documents techniques publiés par les instances communautaires. A titre
d'exemple, il serait souhaitable, d'une part d'examiner l'intégration
des remarques (non-exhaustives) données en 5.4, d'autre part de suivre
les conférences AES, IEEE-P1363 et P1363A, relatives à la
cryptographie à clef secrète et à clef publique, et
observer les avancées expérimentales concernant les processeurs
quantiques.
B.- Compte tenu des potentiels risques juridiques encourus par les industries
télephoniques européennes (des groupes d'usagers pourraient
s'émouvoir du fait que la sécurité vendue ne correspond
pas systématiquement à la sécurité vantée),
ies instances européennes devraient encourager les opérateurs
téléphoniques européens à
- actualiser leur implémentation de l'algorithme d'autentification
COMP128,
- préciser clairement quel est le niveau de sécurité
effectif de leur implémentation de l'algorithme de cryptage A5.
C.- Compte tenu
- du lancement de la campagne publicitaire mondiale pour le Pentium III muni
d'un PSN (Processor Serial Number) du leader (plus de 80 %) sur le marché
des microprocesseurs pour les PC,
- des risques d'exploitation aux fins de surveillance électronique
du PSN,
- de la préoccupation à ce sujet très précis
manifestée par les plus hautes autorités américaines
elles-mêmes; voir la déclaration [15] du 25/1/1999 de Mr. Al
Gore, Vice-Président des Etats-Unis,
- des risques de clonages des PSN, et des risques de leur inadéquation
au commerce électronique, et donc du risque consécutif de
ralentissement de cette nouvelle industrie, en particulier en Europe,
les comités adéquats du Parlement Européen devraient
- demander information aux agences gouvernementales américaines, dont
la NSA et le FBI, quant à leur rôle dans la création
du PSN développé par Intel,
- en parallèle, commissionner un groupe d'experts techniques
indépendants pour évaluer très précisément
les risques de ce produit: surveillance électronique, falsification
de PSN, etc. Ce groupe devrait rendre son rapport dans des délais
très brefs.
S'appuyant sur les premiers résultats de ces démarches, et
le cas échéant, les comités adéquats du Parlement
Européen devraient être saisis pour évaluer les mesures
légales en vue d'éviter l'implantation de microprocesseurs
munis de PSN (ou de fonctionalités identiques) dans les ordinateurs
destinés aux citoyens, entreprises et organisations européens.
Nous tenons à très clairement souligner que les suggestions
ci-dessus n'ont pas trait à une entreprise précise, mais sont
motivées par les caractéristiques d'un produit qui,
potentiellement, et en l'absence d'action rapide au niveau communautaire,
peut s'imposer dans les prochains mois en tant que standard industriel de
facto en Europe.
D.- En ce qui concerne la Catégorie 5, partie 2 du Wassenaar Arrangement,
traitée dans la section 7 de ce rapport, nous rappelons les faits
suivants:
- Du fait que les algorithmes à clef secrète ou à clef
publique très sûrs sont accessibles librement, par exemple via
Internet, et compte tenu de la remarque 7.4, et des conséquences 7.5,
il apparait que les restrictions sur l'exportation ne constituent, en aucune
façon, un handicap sérieux pour les organisations criminelles
et terroristes. Par ailleurs, sur l'exemple des Etats-Unis, la police peut
travailler de manière efficace, même lorsque des produits
cryptographiques performants sont utilisés librement.
- En revanche, compte tenu de 7.6, elles constituent un frein très
important pour les entreprises européennes de sécurité
informatique et au développement de l'industrie du commerce
électronique international.
- Le gouvernement Français, en accord avec le Président de
la République, s'est engagé le 19/1/1999 à l'issue du
comité interministériel consacré à la
société de l'information ([5]), à libéraliser
l'usage de la cryptographie en relevant de 40 bits à 128 bits le seuil
de sécurité librement utilisable. Il semble que cette
évolution ne soit qu'une première étape en vue d'une
libéralisation totale de l'usage de la cryptographie sur le territoire
Français. Jusqu'alors, la réglementation de la France en ce
qui concerne ia cryptographie était parmi les plus strictes sur le
plan international.
- Le réseau Echelon est très vraisemblablement en mesure
d'intercepter, de décoder et de traiter les informations transmises
avec les produits mis sur le marché répondant aux critères
rappelés en 7.2.
Par conséquent, le Parlement Européen devrait rapidement
débattre en vue de libéraliser l'usage de la cryptographie
sur l'ensemble du territoire communautaire.
E.- Le Comité devrait commissioner un rapport plus détaillé
sur les implications en ce qui concerne les risques de surveillance
électronique du Wassenaar Arrangement. On constate déjà
que l'item 5.B.1.b.1 (l'un de la partie consacrée aux
télécommunications) du Wassenaar Arrangement soumet au
contrôle certains équipements employant des techniques digitales
ATM (Asynchronous Transfer Mode). Cette technologie de transfert de donnée
est beaucoup plus difficile (mais toutefois pas impossible, voir [32], part
2) à surveiller électroniquement que celles échangées
en mode TCP/IP classique. Il serait également très utile de
déterminer si les produits autorisés à l'exportation
permettent des réponses efficaces à TEMPEST (voir 2.7 et
l'introduction à 3): en effet, l'utilité des cryptosystèmes
est très limitée si, par ailleurs, on peut lire en clair les
données avant cryptage, ou après décryptage, à
l'aide des rayonnements électromaqnétiques.
Bibliographie
1 C. H. Bennett, G. Brassard: Quantum cryptography: public key distribution
and coin tossing. In Proc. IEEE International Conference on Computers, Systems
and Signal Processing, Bangalore, India (1984).
2 G. Brassard: Quantum cryptography: a bibliography. SIGACT News 24:3 (1993).
Une version plus récente est accessible online à
http://www.iro.umontreal.ca/crepeau/Biblio-QC.html
3 cAESar Project:
http://www.dice.ucl.ac.be/crypto/CAESAR/caesar.html
4 J. I. Ciriac, P. Zoller: Ouantum computations with cold trapped ions. Phys.
Rev. Lett. 74, p. 4091-4094 (1995)
5 Comité interministériel pour la société de
l'information, conférence de presse de Mr. Lionel Jospin, Premier
Ministre:
http://www.premier-ministre.gouv.fr/PM/D190199.HTM
6 D. G. Cory, A. F. Fahmy, T. F. Havel: Ensemble quantum computing by nuclear
magnetic resonance spectroscopy. Proc. Nat. Acad. Sci. 94, p. 1634-1639 (1997)
7 H. Dobbertin, A. Bosselaers, B. Preneel: RIPEMD-160: a strengthened version
of RIPEMD. D. Gollmann, editor, Fast Software Encryption, Third International
Workshop, Lecture Notes in Computer Science 1039 (1996). Une version corrigee
et acutalisee est accessible online:
http://www.esat.kuleuven.ac.be/bosselae/ripemd160.html
8 Echelon: une liste de liens:
http://www.saar.de/bong/archiv/echelon.html,
http://serendipity.nofadz.com/hermetic/crypto/echelon/echelon.htm,
http://serendipity.nofadz.com/hermetic/crypto/echelon/nzh1.htm,
http://www.telegraph.co.uk/et?ac=000602131144806&rtmo=0sksx2bq&atmo=0sksx2bq&pg=/et/97/12/16/ecspy16.html,
http://www.freecongress.org/ctp/echelon.html
http://www.disinfo.com/ci/dirty/cidirtyprojectechelon.html,
http://www.dis.org/erehwon/spookwords.html
(spookwords)
9 M A. Gershenfeld, I. L. Chuang: Bulk spin resonance quantum computation,
Science 275, p. 350-356 (1997)
10 Electronic Frontier Foundation: Cracking DES, Secrets of Encryption Research.
Wiretap Politics & Chip Design, O'Reilly (1998)
11 J. Dj. Golic: Cryptanalysis of alleged A5 stream cipher. In Advances in
Cryptology, Eurocrypt'97, Lecture Notes in Computer Science 1233, Springer-Verlag
Berlin Heideiberg New York, p. 239-256 (1997)
12 European Commission - Directorate General XIII: Communication from the
commission to the European Parliament, the council, the economic and social
committee and the committee of the regions ensuring security and trust in
electronic communication (COM 97-503). Egalement accessible online:
http://www.
ispo.cec.be/eif/policy/97503toc.html
13 European Telecommunications Standards Institute (ETSI):
http://www.etsi.fr/
14:FIPS PUP 180-1: Secure Hash Standard, Federal Information Processing Standards
Publication 186, US Department of Commerce, National Institute of Standards
and Technology, National Technical Information Service, Springfield, Virginia
(1994). Accessible online sous:
http://www.itl.nist.gov/div897/pubs/fips180-1.htm
15 A. Gore, Vice-Président des Etats-Unis: Interview au San Jose Mercury
News (25/1/1999)
16 IEEE-P1363:
http://grouper.ieee.org/groups/1363/index.html
17 IETF-PKIX Public-Key Infrastructure (X. 509):
http://www.ietf.org/html.charters/pkix-charter.html
18 IETF-S/MIME, Mail Security (smime):
http://www.ieff.org/html.charters/smime-charter.html
19 B. E. Kane: A silicon-based nuclear spin quantum computer. Nature 393,
p. 133-137 (1998)
20 M. Kutter, F. Leprévost: Symbiose von Kryptographie und digitalen
Wasserzeichen: effizienter Schutz des Urheberrechtes digitaler Medien. A
paraitre in Tagungsband des 6. Deutschen IT-Sicherheitskongresses des BSI
(1999)
21 F. Leprévost: Les standards cryptographiques du XXI-eme siecle:
AES et IEEE-P1363. A paraitre in La Gazette des Mathématiciens (1999)
22 F. Leprévost: Peter W. Shor, prix Nevanlinna 1998. A paraitre in
La Gazette des Mathématiciens (1999).
23 F. Leprévost: AES und IEEE-P1363, die kryptographischen Standards
des 21. Jahrhunderts. A paraitre in Tagungsband des 6. Deutschen
IT-Sicherheitskongresses des BSI (1999)
24 NIST AES Home Page:
http://csrc.nist.gov/encryption/aes/aes_home.htm
25 NSA Tempest Documents: NACSIM 5000, 5004, 5100A, 5201, 5203
26 Ch. Persson: Pentium III serial number is soft switchable after all. In
c't Magazin für Computer Technik (1999)
27 PricewaterhouseCoopers Investigations LLC: The Corporate Netspionnage
Crisis. Informations accessibles online:
http://www.pricewaterhousecoopers.fm/extweb/ncpressrelease.nsf/DocID/B81092772821633B8525673C006AFA91
28 Smartcard Developer Association:
http://www.scard.org/
29 P. W. Shor: Polynomial-time algorithms for prime factorization and discrete
logarithms on a quantum computer, SIAM Journal of Computing 26, p. 1484-1509
(1997)
30 P. W. Shor: Quantum Computing. Proceedings of the Internationai Congress
of Mathematicians, Berlin, Documenta Mathematica, Journal der Deutschen
Mathematiker-Vereinigung (1998)
31 P. W. Shor: Communication personnelle (1998)
32 U.S. Congress, Office of Technology Assessment: Electronic Surveillance
in a Digital Age. OTA-BP-ITC-149, Washington, DC: U.S. Govemment Printing
Office (July 1995)
33 D. Wagner: Communication personnelle (1999)
34 The Wassenaar Arrangement on Export Controls for Conventional Arms and
Dual-Use Goods and Technologies:
http://www.wassenaar.org/
35 S. Wright: An appraisal of
technologies of political control. Interim Study for the STOA (19/1/1998)
STOA PROGRAMME
European Parliament
Directorate-General for Research
Directorate A
SCH 4/61
L-2929 Luxembourg
Tel: +352 4300 22511
Fax:+352 4300 22418
rholdsworth@europarl.eu.int
LEO 6 D46
Rue Wiertz 60
B-1047 Bruxelles
Tel: +32 2 284 3962
Fax:+32 2 284 9059
msosa@europarl.eu.int
Digitization and HTML by JYA/Urban
Deadline. Thanks to DN.