Donate $25 for two DVDs of the Cryptome collection of files from June 1996 to the present

Natsios Young Architects


24 February 2000: Link to Presentation and Analysis Volume 1/5, by Peggy Becker, October 1999. Volume 1 renumbers the reports below.

24 November 1999: Link to full English translation: http://cryptome.org/stoa-r3-5.htm

21 August 1999: Link to English translation of Section 8, Suggested Options.

20 August 1999.
Source: Hardcopy of 15 pages. Thanks to Sten Linnarsson. Text scanned, please report errors.

This is part 3 of 4 of "Development of Surveillance Technology and Risk of Abuse of Economic Information (an appraisal of technologies of political control)."

Part 1: "The perception of economic risks arising from the potential vulnerability of electronic commercial media to interception - Survey of opinions of experts. Interim Study," by Nikos Bogonikolos: http://cryptome.org/dst-1.htm

Part 2: "The legality of the interception of electronic communications: A concise survey of the principal legal issues and instruments under international, European and national law," by Prof. Chris Elliott: http://cryptome.org/dst-2.htm

Part 4: "The state of the art in Communications Intelligence (COMINT) of automated processing for intelligence purposes of intercepted broadband multi-language leased or common carrier systems, and its applicability to COMINT targeting and selection, including speech recognition," by Duncan Campbell: http://www.iptvreports.mcmail.com/stoa_cover.htm


EUROPEAN PARLIAMENT

SCIENTIFIC AND TECHNOLOGICAL OPTIONS ASSESSMENT

STOA

DEVELOPMENT OF SURVEILLANCE
      TECHNOLOGY AND RISK OF ABUSE
OF ECONOMIC INFORMATION

(An appraisal of technologies of political control)

Part 3/4

Encryption and cryptosystems in electronic surveillance: a survey of the technology assessment issues

Working document for the STOA Panel

Luxembourg, April 1999                                   PE 168.184/Part 3/4

Directorate General for Research


Cataloguing data:

Title:

DEVELOPMENT OF SURVEILLANCE TECHNOLOGY AND
RISK OF ABUSE OF ECONOMIC INFORMATION

(An appraisal of technologies of political control)
Part 3/4: Encryption and cryptosystems in electronic surveillance: a survey of the technology assessment issues.

Publisher: European Parliament
                 Directorate General for Research
                 Directorate A
                 The STOA Programme

Author: Dr. Franck Leprévost - Technische Universität Berlin

Editor: Mr Dick HOLDSWORTH, Head of STOA Unit

Date: April 1999

PE number: PE 168.184/Part 3/4


This document does not necessarily represent the views of the European Parliament.


1. Introduction

2. Quels moyens de communication sont utilisés ? A quels risques ?

2.1. Téléphones standards
2.2. Téléphones chiffrant la parole
2.3. Fax
2.4. Communications sans fil
2.5. ISDN
2.6. Communications par Internet
2.7. Effet TEMPEST
2.8. PSN

3. Survol des techniques cryptographiques

3.1. Fonctions de hachage
3.2. Cryptographie à clef secrète
3.3. Cryptographie à clef publique
3.4. Cryptographie quantique
3.5. Cryptanalyse
3.6. Quantification de la sécurité

4. Cryptographie à clef secrète

4.1. Description des Stream Ciphers
4.2. Description des Block Ciphers
4.3. Problèmes
4.4. DES: état de l'art
4.5. AES

5. Cryptographie à clef publique

5.1. Description de la cryptographie à clef publique
5.2. Cryptographie symétrique ou à clef publique: que choisir ?
5.3. IEEE-P1363 et autres standards
5.4. Lecture technique du document COM (97) 503 de la DG XIII de la Commission Europénne

6. Cryptanalyse et cryptographie quantique

6.1. Cryptanalyse quantique
6.2. Cryptographie quantique

7. Lecture technique de la catégorie 5 du Wassenaar Arrangement

7.1. Le Wassenaar Arrangement
7.2. Catégorie 5, partie 2: Sécurité de l'Information
7.3. Commentaires
7.4. Remarque
7.5. Conséquences au niveau des organisations criminelles
7.6. Conséquences au niveau communautaire

8. Options suggérées


Chiffrement, cryptosystèmes et surveillance électronique: un survol de la technologie

Résumé

Les objectifs de ce rapport sont:

Le rapport contient six parties principales. La première est une description succinte des moyens de communications modernes utilisés et de leurs risques; la deuxième fournit un survol des techniques cryptographiques actuelles: cryptographie à clef secrète, cryptographie à clef publique, cryptographie quantique, qui sont détaillées dans les trois parties suivantes. La troisième partie donne une description précise de la cryptographie à clef secrète, un état de l'art concernant la situation en termes de sécurité informatique de protocoles très largement utilisés, et un point actuel sur les procédures de standardisation du futur standard fédéral américain, qui devrait s'imposer comme standard mondial. La quatrième partie donne une description très précise de la cryptographie à clef publique, un état de l'art concernant les procédures de standardisation au niveau mondial des protocoles à clef publique, une lecture technique d'un document de la DG XIII de la Commission Européenne. La mise en oeuvre pratique de la cryptanalyse et de la cryptographie quantique peuvent avoir des conséquences particulièrement importantes au niveau intemational sur le plan politique, diplomatique ou financier: la cinquième partie décrit l'état de l'art concernant ces deux directions. Le Wassenaar Arrangement concerne les contrôles sur les exportations d'armes conventionnelles et les produits technologiques sensibles, et regroupe 33 pays, dont ceux de la Communauté Européenne et les signataires de l'accord UKUSA. La sixieme partie est une lecture technique des amendements concernant la sécurité de l'information du 3/12/1998 au Wassenaar Arrangement. La derniere partie du document est une liste de suggestions de nature a protéger les citoyens européens, et à préserver les intérêts des entreprises et organisations européennes. Elle donne également des projets de recherches complémentaires, afin de mieux mesurer l'impact de certains accords internationaux sur le plan de la surveillance électronique en Europe. Le rapport inclu une bibliographie, donnant une liste des documents référencés.


Chiffrement, cryptosystèmes et surveillance électronique: un survol de la technologie

FRANCK LEPREVOST

1. Introduction

La surveillance électronique est usuellement considérée comme un instrument de lutte contre la criminalité organisée ou le terrorisme ([32], Foreword, p. iii). Cependant, elle est susceptible de s'accompagner d'effets pervers, principalement espionnage industriel et atteinte à la vie privée. Les deux peuvent d'ailleurs être combinés.

Le rapport [35] publié par le STOA en janvier 1998 a rappelé le rôle du réseau ECHELON dans la surveillance électronique (voir également [8] pour une liste de liens à ce sujet). Ce réseau est planétaire et peut écouter toute communication téléphonique, tout fax, ou tout email.

Bien qu'il soit très difficile de quantifier les pertes causées par l'espionnage industriel (beaucoup de cas ne sont pas signalés, soit pour des raisons de prestige à préserver, soit parce qu'ils ne sont simplement pas remarqués), il est raisonnable d'estimer à plusieurs milliards d'Euros par an les déperditions financières au niveau des entreprises de la Communauté Européenne. A titre de comparaison, d'apres une étude publiée le 22 mars 1999 par PricewaterhouseCoopers Investigation LLC ([27]), plus de 59 % des entreprises US ayant une représentation signifiante sur Internet ont subi des attaques en 1998. Par ailleurs, une utilisation au niveau des marchés boursiers internationaux d'informations acquises par de tels moyens est parfaitement concevable. Ce faisant, ce sont des actionnaires, des entreprises ou des économies nationales qui sont touchés.

L'objet initial du présent rapport est de décrire les principales techniques permettant aux citoyens, entreprises ou institutions européens, de se préserver, dans une certaine mesure, contre ce qu'on appelle désormais l'intelligence économique. Dans la partie 2, nous rappelons les différents moyens de communication usuellement utilisés Nous décrivons également certaines des techniques, plus ou moins sophistiquées, permettant d'accéder de manière illicite aux informations, et donnons quelques premières parades. Les mesures technologiques permettant un transfert confidentiel des données nécessitent l'usage de cryptosystèmes, ce que nous définissons et survolons succintement dans la partie 3. Dans les parties 4, 5 et 6, nous faisons le point concernant les protocoles cryptographiques à clef secrète , à clef publique et quantiques . Pour les deux premiers, nous donnons un état actuel des procédures de standardisation.

Dans la partie 7, nous effectuons une lecture technique des aspects concemant la sécurité de l'information du Wassenaar Arrangement, définit comme concernant les contrôles sur les exportations d'armes conventionnelles et les produits technologiques sensibles. Nous concluons ce rapport par des options suggérées aux instances européennes.

Ce document ne représenter pas nécessairement le point de vue du Parlement Européen. Toutefois, dans ce rapport commandé par le STOA, nous nous sommes systématiquement placés, en particulier dans les parties 2, 7 et 8, d'un point de vue que nous estimions le plus en faveur de la défense des intérets européens.


2. Quels moyens de communication sont utilisés ? A quels risques ?

Nous traitons ici des méthodes mettant en oeuvre une certaine technologie. Par conséquent ne sont pas abordés la transmission orale directe, ou le courrier classique. Pour fixer les idées, et en conformité avec les usages de la discipline, nous désignons dans ce rapport par Alice et Bob deux entités souhaitant communiquer.

2.1. Téléphones standards. Les systèmes de téléphones standard peuvent être écoutés sans problèmes techniques: un micro peut être placé dans l'appareil lui-même, mais une écoute peut égaiement se situer au niveau du central téléphonique de l'immeuble où se trouve la cible, à partir des cables, ou encore depuis le bureau central de la compagnie téléphonique. Ces techniques sont, pour la plupart, indécelables par la cible.

2.2. Téléphones chiffrant la parole. Des téléphones (ou des fax) sécurisés sont disponibles dans le commerce. Selon la législation en vigueur dans le pays de leur provenance (voir paragraphe 7), ils peuvent présenter des niveaux de sécurité très modestes.

2.3. Fax. Tels quels, ils doivent être considérés comme aussi peu sûrs que les téléphones. Il existe cependant des machines cryptant les fax. La même remarque concernant leur provenance qu'en 2.2 s'applique ici.

2.4. Communications sans fil. Certains des anciens modèles émettent juste au dessus des bandes radio AM, et s'écoutent donc très facilement. Des scanners, disponibles dans le commerce, permettent d'écouter les appareils plus récents. Certaines techniques d'inversion des ondes sonores sont parfois proposées pour lutter contre les écoutes. Ces solutions n'offrent qu'un niveau très faible de confidentialité.

Au niveau des appareils téléphoniques cellulaires, la situation est plus complexe. Les premières versions émettent comme une radio, et donc n'offrent pas de confidentialité sérieuse, puisque des scanners bon marché permettent d'écouter les conversations (des appareils également peu onéreux existent, qui permettent d'augmenter les fréquences accessibles aux scanners que l'on peut trouver sur le marché).

Il est utile de rappeler à ce stade la tentative gouvemementale américaine d'imposer le standard clipper dans les téléphones portables développés outre-atlantique. Ce standard aurait permis aux organisations gouvernementales de disposer des clefs permettant d'écouter les conversations. De plus, les détails de l'algorithme de cryptage Skipjack, développé par la NSA, n'ont pas été rendus publics.

Le système GSM, standard international pour les téléphones cellulaires digitaux, a été développé par la GSM MoU Association (devenue la GSM Association le 30/11/1998), en liaison avec l'European Telecommunications Standard Institute ([13]), une organisation internationale qui regroupe des administrations, des réseaux d'opérateurs, des fabriquants, des prestataires de services, et des utilisateurs. GSM utilise des techniques cryptographiques à plusieurs niveaux.

Au niveau de l'identification, GSM admet plusieurs algorithmes. En pratique, la plupart des operateurs font usage d'un protocole appelé COMP128. Cependant, au mois d'avril 1998, la Smartcard Developer Association ([28]), en collaboration avec David Wagner et lan Goldberg, chercheurs à UC Berkeley (USA), affirme avoir mis au point un système permettant de cloner les téléphones utilisant le standard GSM. D'un autre coté, le 27 avril 1998, Charles Brookson, Chairman du groupe de securité de la GSM MoU Association, a affirmé que les risques de ce type n'offraient aucune application pratique pour les fraudeurs.

Au niveau de la confidentialité, GSM fait usage d'un protocole appelé A5. Deux versions de ce système existent: A5/1 et A5/2. Ces deux versions correspondent certainement a des besoins différents. Selon certains experts, la version A5/2 offre un niveau de sécurité pius faible que la version A5/1, que nous abordons maintenant. Ce protocole utilise en théorie 64 bits. En pratique ([33]), Wagner nous a déclaré que, pour tous les appareils qu'il avait eu entre ses mains, 10 bits étaient systématiquement mises à zéro, rendant ainsi la sécurité théorique du système à 54 bits. En particulier, cette sécurité est moindre que les 56 bits offerts par DES qui, pourtant, sont maintenant parfaitement cassables en pratique (voir 4.4). Des travaux antérieurs à cette découverte ([11]) avaient déjà réduit la sécurité effective du système à 40 bits. Il n'est donc pas exclu que des méthodes analogues, supposant 10 bits égales à 0, permettent de réduire encore davantage le niveau de sécurité effectif de A5/1, et par là même la confidentialité des conversations.

Le 24/2/1999, au cours du GSM World Congress qui s'est tenu a Cannes (France), Charles Brookson a annoncé une actualisation de la sécurité GSM. En particulier, COMP128 a été révisé.

2.5. ISDN. Il est techniquement possible à l'aide d'un software d'activer à distance via le canal D la fonction d'écoute d'un appareil téléphonique ISDN, bien-sûr sans décrocher physiquement l'appareil. Il est ainsi possible d'écouter sans problèmes certaines conversations dans une pièce donnée.

2.6. Communications par Internet. Très schématiquement, I'analogue pour le courrier classique d'un courrier électronique (email) sur Internet est une carte postale sans enveloppe. A fortiori, les messages envoyés de la sorte peuvent être lus. S'ils sont "en clair", ces messages lus peuvent être compris, et des mesures peuvent être prises par le lecteur non-destinataire, au détriment des deux parties souhaitant communiquer. Par exemple, si Alice envoie un message à Bob, et si Charles est un attaquant pass if, Charles a connaissance d u message envoyé par Alice à Bob , mais ne peut pas le modifier. Si Charles est un attaquant actif, il peut modifier le message.

2.7. Effet TEMPEST. TEMPEST est l'abréviation de Temporary Emanation and Spurious Transmission. Il s'agit de l'émission par les composants électroniques de radiations électromagnétiques sous formes de signaux radios. Ces émissions peuvent être captées par des récepteurs radio AM/FM dans un rayon variant de quelques dizaines à quelques centaines de mètres A partir de ces données, I'information initiale peut être reconstituée Les mesures de protection contre ces risques consistent à enfermer les sources d'émissions (unités centrales, moniteurs, mais aussi câbles) dans une cage de Faraday, ou à brouiller les émissions électromagnétiques. La NSA a édité plusieurs documents relatifs aux effets TEMPEST (voir [25]).

Le fonctionnement de tout ordinateur nécessite un microprocesseur. Le marché des microprocesseurs pour les ordinateurs personnels (PC) est dominé à plus de 80 % par la firme Intel, qui a annoncé le 20/1/1999 ses nouveaux processeurs Pentium III dotés d'un PSN.

2.8. PSN. Les processeurs Pentium III ont un numéro de série unique, appelé PSN (Processor Serial Number). Intel a proposé cette technique pour promouvoir le commerce électronique. L'objet de ce numéro de série est de permettre d'identifier un passeur d'ordre sur Internet. Intel a déclaré que tout usager garderait le contrôle sur le fait de décider de permettre ou non la lecture de son numéro de série. Cependant (voir [26]), il existe déjà des techniques "software" permettant d'activer cette lecture. Il devient donc possible d'obtenir secrètement le PSN et de suivre à la trace l'usager à son insu.

Ce PSN se distingue très fortement des adresses IP (Internet Protocol), même si, lorsqu'un utilisateur visite une page web, I'adresse IP peut être révélée à cette page web. En effet, ces adresses IP ne sont pas aussi permanentes que le PSN: beaucoup d'utilisateurs n'ont pas d'adresse IP fixe, qui puisse être utilisée pour suivre leurs mouvements, car ils utilisent, par exemple, des masques via des serveurs Proxy de prestataires de services Internet. Ces prestataires fournissent en général un numéro IP différent par session et par usager. Les usagers peuvent également aussi changer de prestataires de services, utiliser un service leur garantissant l'anonymat, etc.

En l'état, le PSN peut donc être utilisé à des fins de surveillance électronique.

Par ailleurs, il n'est pas du tout clair, en l'état actuel des connaissances, que les PSN ne soient pas clonables. S'ils l'étaient, il ne saurait être question de les utiliser à des fins d'identification dans le cadre du commerce électronioue.


3. Survol des techniques cryptographiques

La cryptographie est l'étude des techniques permettant d'assurer la confidentialité, I'authenticité et l'intégrité des informations ou de leur origine. La cryptographie se sépare schématiquement en trois catégories: la cryptographie à clef secrète, la cryptographie à clef publique, et la cryptographie quantique. Plusieurs de ces techniques font un usage intensif des fonctions de hachage. Nous donnons ici un survol de ces techniques, détaillées dans les sections 4, 5 et 6. Il est cependant à souligner qu'un haut degré de confidentialité n'est atteint qu'en combinant ces techniques avec des contre-mesures aux effets TEMPEST. En effet, il ne sert à rien qu'un ordinateur crypte des données, si on peut les lire en clair, par exemple lors de leur transfert du clavier à l'unité centrale. Nous considérons que les informations à traiter sont en binaire. Par conséquent, l'unité fondamentale d'information est le bit pour toutes les sections, sauf les sections 3.4 et 6 où il s'agit de son analogue quantique, le qubit.

3.1. Fonctions de hachage. Ces fonctions sont des outils dont les applications sont multiples: création de clef secrètes, signatures électroniques, etc. L'idée sous-jascente est d'associer à un fichier de taille arbitraire une valeur fixe, par exemple 160 bits, comme dans le cas de la proposition européenne RIPEMD-160, et ce de manière très rapide. De plus, connaissant cette valeur, il doit être impossible en pratique de reconstruire un texte initial donnant le résultat donné par application de la fonction de hachage. En termes schématiques, on ne peut pas, pratiquement, "remonter en arrière". Il est également nécessaire qu'une telle fonction évite les collisions. En d'autres termes, il ne doit pas être possible de construire deux fichiers distincts donnant la même valeur hachée.

3.2. Cryptographie à clef secrète. Dans cette méthode, une seule clef est utilisée, tant pour le cryptage que pour le décryptage. Cette clef ne doit être connue que de Alice et Bob. Sa longueur est variable. La cryptographie à clef secrète se subdivise en deux catégories: Stream Ciphers et Block Ciphers. Dans le cas des Stream Ciphers, la longueur de la clef est égale à celle du message à transmettre. La taille "utile", c'est-à-dire à partir de laquelle on recrée une clef de taille égale à celle du message, peut être ramenée à une taille fixe à l'aide de générateurs de bits pseudo-aléatoires cryptographiquement sûrs. Ces générateurs doivent satisfaire des tests statistiques très stricts. Dans le cas des Block Ciphers, la taille de la clef est fixe (56 bits pour DES, 128 bits pour AES, voir 4.3, 4.4). Les principaux problèmes de cette technique résident dans la gestion et la distribution des clefs.

3.3. Cryptographie à clef publique. Contrairement aux algorithmes à clef secrète, les algorithmes à clef publique nécessitent deux clefs par utilisateur. Alice (resp. Bob) choisit une clef secrète XA (resp. XB) et publie (par exemple dans un annuaire) une clef publique YA (resp. YB) Bob encode son message avec YA et l'envoie à Alice. Seule Alice peut, avec sa clef secrète XA, décoder le message. La sécurité des algorithmes à clef publique est basée sur des problèmes mathématiques (voir 5).

Un compte-rendu (actuel au 31/12/1998) sur les procédures de standardisation des protocoles à clef secrète AES (voir 4.5) et à clef publique IEEE-P1363 (voir 5.3) est décrit dans [21] et [23].

3.4. Cryptographie guantique. Cette méthode est traitée dans 6.2.

3.5. Cryptanalyse. La cryptanalyse est la mise au point de techniques ou d'attaques pour réduire la sécurité théorique d'algorithmes cryptographiques. Cette approche est distincte de ceile des "pirates" qui, en règle générale, tire parti de faiblesses, non dans les algorithmes eux-mêmes, mais dans les architectures de sécurité. Nous décrivons certaines attaques pour la cryptographie à clef secrète dans 4.4, pour la cryptographie à clef publique dans 5.1 et 6.1.

3.6. Quantification de la sécurité. Elle est en règle générale évolutive, puisqu'elle dépend souvent des connaissances scientifiques d'une époque donnée. Elle peut être absolue. Par exemple, pour plusieurs Block Ciphers, on ne connait d'autre attaque que d'essayer toutes les clefs possibles (Brute-Force Attack). Ainsi, si un tel système utilise une clef de 56 bits, la sécurité est égale à 256 opérations. Elle peut également être relative: ainsi, du point de vue théorique, un cryptosystème est considéré comme peu sûr s'il peut être cryptanalysé en temps polynômial en la taille des données. ll sera considéré comme offrant un degré de sécurité satisfaisant si sa cryptanalyse nécessite un temps au mo ins so us-exponentiel ou , mieux, exponentiel Des mes u res plus p récises pe uve nt être fo u rnies , notamment en termes de MlPStyear. Cette unité de mesure équivaut à la puissance de calcul d'un ordinateur, réalisant un million d'instructions par secondes, et utilisé sur un an (approximativement 3.1013 instructions en tout).


4. Cryptographie à clef secrète

La cryptographie à clef secrète se sépare en deux catégories: les Stream Ciphers et les Blocks Ciphers.

4.1. Description des Stream Ciphers. Ces technologies ne sont que rarement publiées. Là où les Block Ciphers chiffrent par blocs, les Stream Ciphers chiffrent bit-à-bit. Le plus connu, et le plus sûr du point de vue cryptographique, est le One-Time Pad. Il nécessite une clef de même longueur que le message à transmettre. Cette clef doit de plus être créée de manière aléatoire. Pour des raisons pratiques, on simule souvent le One-Time Pad à l'aide de générateurs de bits pseudo-aléatoires cryptographiquement sécurisés, souvent abrégé en CSPRBG (Cryptographically Strong Pseudo-Random Bit Generator). Il s'agit, à partir d'une donnée de départ x0 (seed), d'utiliser le CSPRBG pour créer de manière déterministe des bits qui ont toutes les apparences de l'aléatoire. On vérifie que tel est le cas, en faisant subir au candidat CSPRBG des tests statistiques très stricts.

4.2. Description des Block Ciphers. Un message est coupé en blocs de longueur fixée. A l'aide d'un algorithme et d'une clef secrète K de longeur fixée, mais éventuellement différente de celle des blocs, on encode chaque bloc, que l'on envoie au destinataire. Celui-ci décode chaque bloc avec la même clef K. Il lui suffit alors de "recoller" les blocs les uns aux autres pour récupérer le message original. Le standard de facto des algorithmes rentrant dans la catégorie des Block Ciphers est DES (voir 4.4).

4.3. Problèmes. Ces méthodes (Stream Ciphers et Block Ciphers) s'exposent à, au moins, deux problèmes:

(a) Comment Alice et Bob se communiquent-ils ia clef secrète K ?

(b) Dans un réseau à n utilisateurs, il faut n(n-1)/2 clefs secrètes (par exemple 499500 clefs secrètes dans un réseau de 1000 usagers), ce qui pose des problèmes naturels de stockage, at de sécurité.

Les techniques de cryptographie à clef publique (voir 5, en particulier 5.2) ou de cryptographie quantique (voir 6.2) donnent des éléments de réponse à ces problèmes.

4.4. DES: état de l'art. L'algorithme symétrique le plus utilisé actuellement est sans aucun doute DES (Data Encryption Standard). ll a été reconnu en 1977 comme FIPS (Federal information Processing Standard), sous le numéro FIPS 46-2. DES utilise une clef de longueur 56 bits. Il y a donc 256 clefs possibles. Les blocs, eux, ont une longueur de 64 bits.

DES a très longtemps profité du soutien politique des USA. Robert S. Litt (Principal Associate Deputy Attorney General) par exemple assurait encore le 17 mars 1998 ([10], p. 1-3), que le FBI n'avait aucune possibilité technologique et financière de décoder un message codé avec un algorithme symétrique dont la clef secrète a une longueur égale à 56 bits. Il completait sa démonstration en déclarant que 14000 PC Pentium durant 4 mois seraient nécessaires pour réaliser cela (voir également les déclarations de Louis J. Freeh (Directeur du FBI) et de William P. Crowell (Deputy Director de la NSA, [10], p. 1-2)).

Cependant, la Electronic Frontier Foundation a construit un DES-Cracker et l'a présenté durant une session informelle (Rump-Session) du congrès Crypto'98 à Santa Barbara. On trouve la description de cette machine (valeur 250000 dollars, design inclus) dans [10]. Mieux: il est expliqué comment scanner les plans, afin de reproduire une telle machine, pour un prix maximal de 200000 dollars (il est en effet inutile de repayer pour le design). Cette machine est en mesure de trouver une clef secrète DES en 4 jours en moyenne. En janvier 1999, une équipe coordonnée par la Electronic Frontier Foundation a relevé un défi de la société RSA (et empoché ainsi 10000 dollars), en cassant, à l'aide d'un réseau très important d'ordinateurs, une clef de 56 bits en 23 heures 15 minutes. Cela a des conséquences politiques et diplomatiques: en effet, il semble accessible financièrement à toutes les nations de décoder les archives codées en DES qu'elle auraient pû constituer au cours des années. Pour le présent et le futur, il est désommais nécessaire de considérer comme peu sûrs tous les systèmes basés sur DES. En pratique, il est suggéré d'utiliser aujourd'hui au moins Triple-DES (mais, là encore, avec discernement). Conscient de ces risques concernant DES, le NIST (National Institute for Standards and Technology) a demandé à la communauté cryptographique de réfléchir au successeur: AES (Advanced Encryption Standard, [24]).

4.5. AES. Les caractéristiques voulues de AES sont les suivantes: I'algorithme est un algorithme à clef secrète de type Block Cipher, il doit pouvoir accepter des combinaisons clefs-blocs de longueurs 128-128,192-128 et 256-128 Bits. Les algorithmes utilisés dans AES seront libres de royalties, et cela au niveau mondial. L'algorithme doit également être suffisament flexible, par exemple pour autoriser d'autres combinaisons (blocs de longueur 64 Bits), efficace pour différentes platformes et applications (processeurs à 8-Bits, Réseaux ATM, communications satellitaires, HDTV, B-ISDN, etc.) et doit pouvoir être utilisé comme Stream Cipher, générateur de MAC (Message Authentication Code), Pseudo-Random Number Generator, etc.

Le premier congrès AES s'est déroulé le 20 août 1998 (juste avant le congres Crypto'98). A cette occasion ont été présentés les 15 (parmi 21) candidats retenus: CAST-256, CRYPTON, DEAL, DFC, E2, FROG, HPC, LOK197, MAGENTA, MARS, RC6, RIJNDAEL, SAFER+, SERPENT et TWOFISH.

A l'heure acctuelle, il semble que les propositions DEAL, LOK197, FROG, MAGENTA et MARS (dans la version où les tailles de clefs sont très longues) sont sujettes a des attaques d'importance variable.

Le second congrès AES aura lieu les 22-23 mars 1999 à Rome, a l'issue duquel seront sélectionnés 5 algorithmes parmi les 15 candidats. La discussion concemant les 15 candidats a déjà commencé ([3]). Un troisième congrès AES se tiendra six à neuf mois pius tard, où sera annoncé le vainqueur. Après une dernière période d'examen de six à neuf mois supplémentaires, cet algorithme sera proposé comme FIPS. Il est prévu que l'AES devienne un FIPS vers 2001.


5. Cryptographie à clef publique

5.1. Description de la cryptographie à clef publique. La sécurité des algorithmes à clef publique est basée sur des problèmes mathématiques:

Les cryptosystèmes à clef publique sont sujets à des attaques:

Les techniques basées sur ie problème de la factorisation d'une part, et celles basées sur celui du logarithme discret d'autre part, sont fondamentalement différentes. Pour les premiers, il est nécesaire de fabriquer et stocker secrètement des grands nombres premiers. Comme il n'est guère humainement possible de se rappeler de grands nombres premiers, il est nécessaire de les stocker sur des supports physiques, ce qui peut éventuellement poser des problèmes de sécurité.

L'approche du problème du logarithme discret est différente. Par exemple, I'usager peut choisir librement un texte de son choix, facilement mémorisable (e.g. un poême). Ce texte est alors traduit en binaire, puis haché avec une fonction de hachage éprouvée, comme la proposition européenne RIPEMD160, qui renvoie en sortie 160 bits (voir 3.1). Ce sont ces 160 bits, impossibles elles à mémoriser, qui constituent la clef secrète de l'usager. Cette approche a l'avantage de limiter les problèmes de stockaae.

Ceci étant, les deux approches répondent à des problèmes différents, fonction des paramètres à traiter.

Enfin, les techniques basées sur les courbes elliptiques sont très regardées, car, à la différence des autres propositions, il n'existe pas, à l'heure actuelle, d'algorithme sous-exponentiel résolvant le problème du logarithme discret pour ces groupes. La conséquence est la suivante: les courbes elliptiques sur des corps de taille fixée offrent le même degré de sécurité que les autres algorithmes pour des corps ou modules de tailles plus élevées. Par exemple, la sécurité offerte par les courbes elliptiques pour un module de 163 bits équivaut à celle offerte par RSA pour 1024 bits.

5.2. Cryptographie symétrique ou à clef publique: que choisir ? Les cryptosystèmes symétriques ou à clef publiques ne sont pas exclusifs l'un de l'autre. Au contraire, pour communiquer un document de manière sécurisée sur un canal ouvert (Internet), ils prennent toute leur utilité lorsqu'ils sont utilisés conjointement.

Par exemple, Alice vivant à Paris veut envoyer par mail un rapport de 15 pages à Bob qui habite Bruxelles. ll est hors de question pour Alice d'aller à Bruxelles remettre une clef secrète d'AES à Bob. Si elle choisissait cette méthode coûteuse, autant qu'elle remette directement le document ! Alice et Bob pourraient bien entendu choisir de communiquer à l'aide des techniques de la cryptographie à clef publique, comme décrit plus haut. Seulement le problème est que le chiffrement est environ 1000 fois plus lent pour ces techniques que pour les cryptosystèmes à clef secrète.

La solution la plus pratique peut prendre le schéma suivant:

Encore faut-il que les systèmes d'Alice et Bob soient compatibles: le but des démarches de standardisation décrites ci-dessous est précisément de favoriser l'harmonie des communications.

5.3. IEEE-P1363 et autres standards. Le projet P1363 a commencé en 1993 sous l'égide du comité de standardisation de l'IEEE (Institute of Electrical and Electronics Engineers). ll a pour but d'améliorer les communications entre plusieurs familles de cryptosystèmes à clef publique: RSA, El Gamal, Diffie-Hellman et courbes elliptiques Depuis la fin de 1996,1'ensemble des techniques considérées par P1363 est relativement stable, et regroupé dans un document ([16]). Le projet P1363A contient des techniques supplémentaires.

Le projet de standard (draft version 9) est désormais prêt pour révision par un groupe d'experts de l'IEEE Standards Association. Ce groupe a commencé son travail en février 1999, et remettra ses premières conclusions le 2 avril 1999. Dans l'optique la plus optimiste, le draft sera approuvé en tant que standard le 25 juin 1999.

Le standard IEEE-P1363 va avoir une très grande influence sur d'autres standards, tels par exemple ANSI X9.42, ANSI X9.62, ANSI X9.63 de l'industrie bancaire. ll sera également la pierre de base des protocoles X.509 ([17]) et S-MIME ([18]). Ces multiples protocoles sont essentiels au commerce électronique.

5.4. Lecture technique du document COM (97) 503 de la DG XIII de la Commission Europénne. Le document [12] spécifie les besoins sur le plan communautaire de communications électroniques sécurisées. Il porte à la fois sur les signatures électroniques et sur les méthodes de communications électroniques confidentielles. Nous suggérons ici quelques actualisations aux annexes techniques I (Digital Signature) et II (Symmetric and asymmetric encryption) à ce document.

Annexe I.- Il serait souhaitable d'éviter de citer comme exemples MD2 et MD5. En effet, des collisions dans le premier cas, et des pseudo-collisions dans le second, ont été mises en évidence. Il serait également souhaitable de remplacer SHA par SHA-1 (basé sur le travail [14]), et d'écrire RIPEMD-160 (basé sur le travail [7]) au lieu de RIPEM 160. L'une ou l'autre de ces fonctions de hachage sont actuellement à suggérer pour remplacer, là où cela est possible, les fonctions MD2, MD4 et MD5.

Annexe II. Symmetric encryption systems.- Il serait souhaitable d'éviter de citer comme exemple DES et SAFER. Nous suggérons de conserver IDEA, qui ne présente jusqu'à présent aucune faiblesse sérieuse, et citer les candidats retenus pour le second tour de AES.

Annexe II. Asymmetric encryption systems.- De nouveau, en ce qui concerne les exemples, il serait souhaitable d'être plus précis, e.g. en reprenant l'approche en cours de standardisation donnée au début de 5.1.

Annexe II. Systems security.- Nous suggérons de supprimer la dernière phrase du deuxième paragraphe: "In a symmetric system like DES or IDEA, keys of 56 to 128 bits provide similar protection as a 1,024-bit public key". Cette assertion est totalement éronnée.


6. Cryptanalyse et cryptographie quantique

Les conséquences politiques, diplomatiques et financières de ia cryptanalyse quantique et de la cryptographie quantique peuvent être très importantes.

6.1. Cryptanalyse quantique. La cryptanalyse quantique est l'ensemble des techniques permettant de trouver les clefs secrètes de protocoles cryptographiques à l'aide d'ordinateurs quantiques. C'est une direction de recherche particulièrement active, puisque l'un de ses fondateurs, Peter Shor de AT & T Bell Labs, a remporté en août 1998 le Prix Nevanlinna, qui lui a été remis au cours de l'lnternational Congress of Mathematicians à Berlin. Il a développé des méthodes basées sur la physique quantique pour factoriser en temps polynômial de grands nombres ([29], [30]) ou pour résoudre le problème du Log Discret, également lorsqu'il est formulé dans le cadre général des variétés abéliennes ([31], voir [32] Pour un résumé de ces résultats).

Conséquence: une mise en pratique efficace de ces résultats aurait pour conséquence immédiate que la sécurité des protocoles cryptographiques à clef publiques décrits en 5 serait définitivement compromise. Au delà de 5, des cryptosystèmes basés sur les variétés abéliennes seraient également ainsi quantiquement cryptanalysés. Ces conséquences sont à rapprocher des commentaires 7.3 concernant le Wassenaar Arranqement.

Malgré cela, IEEE-P1363 reste actuel: ces algorithmes de Shor nécessitent un ordinateur quantique puissant. Or l'existence de ces machines est encore hypothétique. Diverses propositions expérimentales existent (les qubits sont les analogues quantiques des bits, et sont en fait des systèmes quantiques à deux états):

Aucune de ces propositions n'a été réalisée expérimentalement pour plus que quelques qubits.

Cette direction de recherche est particulièrement considérée aux USA, et soutenue financièrement par le DARPA, qui est le département recherche du Pentagone. Un projet européen analogue existe: neuf groupes de recherche se sont unis dans le Quantum Information European Research Network. Ceci étant, selon l'avis de Shor lui-même ([31]), il serait déraisonnable d'espérer un coprocesseur quantique avant plusieurs années.

Si un tel ordinateur quantique existe un jour, il rendra obsolete la cryptographie à clef publique décrite dans la section 5. Indépendamment de cela, il existe une théorie de la cryptographie quantique, plus précisément du partage quantique de clefs ([1], voir [2] pour une bibliographie sur le sujet). Elle constitue donc une alternative à la cryptographie à clef publique.

6.2. Cryptographie quantique. La problématique est similaire à celle exposée dans la partie 5.2: Alice et Bob veulent de nouveau partager un secret commun qu'ils pourront alors utiliser comme clef secrète d'un protocole symétrique (comme AES). S'ils utilisent seulement une ligne téléphonique, ils n'ont d'autre recours que d'utiliser la cryptographie à clef publique. Si leur communication est écoutée par un attaquant muni d'un ordinateur quantique puissant, ils sont exposés aux attaques évoquées plus haut. Cependant, si en plus ils ont une fibre optique à disposition sur laquelle ils peuvent transmettre des états quantiques, ils peuvent utiliser la cryptographie quantique. Le design peut être fait de sorte qu'un attaquant qui écoute la conversation ne connaisse au plus qu'un bit de la conversation totale. En outre, toute information qu'il capture entraîne un dérangement des états, ce dont Alice et Bob ont immédiatement connaissance. Il suffit alors à Alice et Bob de ne pas prendre en considération ces états-là.

Si la théorie remonte à 1982-84 ([1]), les années 1990 ont vu les premières réalisations. En 1990-92 une première expérimentation à l'air libre sur une longueur de 30 cm a été initiée par IBM. En 1993-95, British Telecom ont réalisé une expérience sur fibres optiques sur une longueur de 10 à 30 km En 1996, Swiss Telekom a réalisé de telles expériences sur une fibre de 23 km sous le lac Léman. En 1997, Los Alamos National Lab a mené à bien de telles expériences sur une fibre optique de 48 km, et en 1998 à l'air libre sur une longueur de 1 km.


7. Lecture technique de la catégorie 5 du Wassenaar Arrangement

7.1. Le Wassenaar Arrangement. Le 16 novembre 1993 à La Haye, constatant la fin de la guerre froide, les représentants des 17 états membres du COCOM décident de mettre un terme au COCOM et de replacer sa fonction dans un cadre rendant compte des nouvelles données politiques. Cette décision de terminer le COCOM est confirmée à Wassenaar (Pays-Bas) les 29-30 mars 1994, et effective le 31 mars 1994.

Les bases de l'accord sur le successeur du COCOM sont jetées, de nouveau à Wassenaar, le 19 décembre 1995, et le meeting inaugural se tient les 2-3 avril 1996 à Vienne, où se trouve depuis lors la représentation permanente des Accords de Wassenaar.

Il concerne les contrôles sur les exportations d'armes conventionnelles et les produits technologiques sensibles. Les états participant sont: Allemagne, Argentine, Australie, Autriche, Belgique, Bulgarie, Canada, Danemark, Etats-Unis, Fédération Russe, Finlande, France, Espagne, Grèce, Hongrie, Irelande, Italie, Japon, Luxembourg, Norvège, Nouvelle Zélande, Pays-Bas, Pologne, Portugal, République de Corée, République Slovaque, République Tchèque, Roumanie, Royaume Uni, Suède, Suisse, Turquie et Ukraine.

Cette liste de 33 pays comprend en particulier les pays de la Communauté Européenne et les signataires de l'accord UKUSA.

L'Arrangement est ouvert aux pays répondant à certains critères (voir [34] pour une description complète), et les décisions sont prises sur consensus. Il n'est pas prévu d'observateurs.

Concernant la sécurité de l'information, des amendements importants ont été apportés au cours de la dernière rencontre des représentants des pays signataires du Wassenaar Arrangement les 2-3 décembre 1998 à Vienne ([34]). Ils concernent la Catégorie 5, partie 2, intitulée Sécurité de l'information, dont nous faisons une lecture technique ci-dessous.

7.2. Catégorie 5, partie 2: Sécurité de l'information. La partie 5.A.2 stipule en particulier que sont soumis au contrôle, les systèmes, équipements et composantes utilisant (directement ou après modification):

1. un algorithme symétrique employant une clef de longueur supérieure à 56 bits; ou

2. un algorithme à clef publique, où la sécurité de l'algorithme est basée sur l'un des phénomènes suivants:

(a) Factorisation des entiers supérieurs à 512 bits (e.g. RSA);

(b) Calcul de logarithmes discrets dans le groupe multiplicatif d'un corps fini de taille supérieure à 512 bits;

(c) Calcul de logarithmes discrets dans un groupe différent de ceux mentionnés ci-dessus, dont la taille excede bits.

Cependant (Note 5.A.2.d) les équipements cryptographiques spécialement destinés et limités aux usaaes bancaires ou transactions financières ne sont pas soumis au contrôle.

7.3. Commentaires. Le point (1 ) revient à n'autoriser à l'exportation sans contrôle que des techniques offrant un degré de sécurité analogue à celui présenté par DES. Comme vu en 4.3, ce type de système n'offre qu'un degré de sécurité très restreint.

Les techniques sousjascentes au point (2) ont été présentées en 5.1. La motivation première de (2c) réside dans les groupes associés aux courbes elliptiques. Cependant i'énoncé de (2c) couvre un champ beaucoup plus vaste, puisqu'il concerne tout groupe, incluant donc, mais pas seulement, les groupes de points rationnels de variétés abéliennes définies sur un corps fini (en particulier les courbes elliptiques, qui sont les variétés abéliennes de dimension 1), dont on sait (voir 61), qu'elles sont suiettes à la cryptanalyse quantique.

Comme énoncé en 5.1, les courbes elliptiques définies sur un corps de taille fixée offrent, en l'état actuel des connaissances, le même équivalent de sécurité que celui offert par RSA avec des modules beaucoup plus grands, ou avec le logarithme discret sur un corps fini de taille également beaucoup plus grand. En d'autres termes, (2a), (2b) et (2c) fournissent le même équivalent de sécurité, dans ia mesure où il faut en moyenne sensiblement le même effort pour récupérer les donnés secrètes de ces différents algorithmes. Ceci explique la nuance sur les tailles entre (2a, 2b) et (2c). En outre, comme vu en 5.2, ces techniques à clef publique sont en règle générale combinées avec des cryptosystèmes à clef secrète.

7.4. Remarque. Il est à noter, par exemple, que les techniques de filigranes sont absentes des systèmes soumis au contrôle. Ces techniques, connues sous le nom de watermarking, data hidding ou stéganographie, permettent de cacher une information dans une autre, par exemple un fax, une photo, une vidéo ou des fichiers de sons. Les informations cachées permettent en règle générale d'assurer la propriété intellectuelle des données (voir [20] par exemple). Mais rien n'empêche les utilisateurs de cacher autre chose, par exemple une clef de 128 bits d'un système symétrique sur lequel les deux correspondants se sont mis d'accord au préalable (éventuellement via une information stéganographiée dans un autre document). Les techniques actuelles sont telles que les documents stéganographiés ne se distinguent pas, sans un logiciel spécial, des originaux, que l'information résiste à de multiples compressions/décompressions (nécessaires pour le transfert rapide de tels documents sur Internet), et que l'information ne peut se retrouver qu'avec un logiciel et un mot de passe. Cette technique est en outre très peu onéreuse. Ce type de technique ne semble donc pas limitée à l'exportation, mais cependant permet parfaitement en pratique l'échange de données confidentielles.

7.5. Conséquences au niveau des organisations criminelles. Il serait naif de penser que les organisations criminelles ou terroristes mènent leurs activités dans le respect des règles internationales d'impor/export, ou qu'elles n'ont pas les moyens de mettre au point des méthodes de communication à haut degré de confidentialité. Un algorithme ne s'arrête pas à la frontière. D'ailleurs, de nombreux algorithmes sont librement accessibles. Par ailleurs, on voit mal comment les autorités pourraient prouver qu'une suite binaire suspecte donnée a été créée avec un système non autorisé si, par exemple, elle a été effectivement créée avec un cryptosystème à clef public utilisant un module de 4096 bits. Ce n'est pas parcequ'une suite binaire interceptée ne fait pas sens, même sous l'hypothèse d'un traitement cryptographique "licite" (ce qui est en pratique vérifiable, mais pour un coût non négligeable), que cette suite binaire a été crée de façon "illicite" (ce qui est en pratique invérifiable, à partir d'un certain deqré de sophistication). Enfin, même si l'exportation des poduits cryptographiques est soumise à des contrôles stricts, son utilisation libre est un état de fait sur de nombreux territoires, dont les Etats-Unis. Il n'apparait cependant pas que la criminalité ou le terrorisme ne s'excercent qu'à l'extérieur de ces pays, ni que les autorités de ces pays sont dépourvues de moyens d'investigation efficaces sur le territoire national.

7.6. Conséquences au niveau communautaire. Du point de vue communautaire, les conséquences de ces amendements sont multiples:

Avant ces amendements, les entreprises des Etats Européens, étaient libres de conquérir le marché de la sécurité informatique, pour peu que les législations de leurs Etats d'origine les y autorisaient. En particulier, les entreprises européennes de ce secteur pouvaient exporter des solutions à très haut degré de sécurité sans restrictions autres que les restrictions nationales.

Désormais, les entreprises européennes de sécurité des systèmes d'information ne peuvent exporter sans contrôle que des produits de qualité bien moindre qu'auparavant.

Par ces amendements, les entreprises européennes de sécurité des systèmes d'information ne peuvent pas, à la différence de leurs homologues des Etats-Unis, en l'état actuel de la situation, faire automatiquement des économies d'échelle et viser des marchés de tailles importantes. Même si, au regard du Wassenaar Arrangement, elles sont logées à la même enseigne que les entreprises des Etats-Unis, cette image d'égalité est trompeuse, et le bilan global leur est défavorable.

Ces amendements constituent également un frein à l'expansion du commerce électronique, en particulier en Europe.

Enfin, même si l'usage de la cryptographie est de nature à empêcher l'espionnage industriel de la part d'organismes dont la puissance financière est limitée, les résolutions du Wassenaar Arrangement ne mettent pas à l'abri les entreprises de tous les risques. Compte tenu du DES-Cracker, il n'est pas déraisonnable d'estimer à quelques secondes le temps nécessaire à une institution ayant un budget de 300 millions de dollars pour retrouver une clef de 56 bits. Avec le même budget, le temps nécessaire pour trouver une clef secrète de 40 bits est de quelques dix millièmes de secondes (voir 2.4, où ce niveau de sécurité est le maximal offert en pratique par plusieurs téléphones GSM). Par conséquent, les entreprises, organismes ou individus se dotant d'un système cryptographique répondant aux critères présentés en 7.2 doivent être pleinement conscients que le réseau Echelon est, selon toute probabilité, toujours en mesure d'intercepter et décoder leurs informations.


8. Options suggérées

Les recommandations (section 4.5, p. 21-22) du rapport précédent [35] nous paraissent toujours d'actualité. Nous suggérons ici certaines options supplémentaires au Parlement Européen.

A.- Faire procéder par des experts à des actualisations, régulières ou en fonction des événements, des documents techniques publiés par les instances communautaires. A titre d'exemple, il serait souhaitable, d'une part d'examiner l'intégration des remarques (non-exhaustives) données en 5.4, d'autre part de suivre les conférences AES, IEEE-P1363 et P1363A, relatives à la cryptographie à clef secrète et à clef publique, et observer les avancées expérimentales concernant les processeurs quantiques.

B.- Compte tenu des potentiels risques juridiques encourus par les industries télephoniques européennes (des groupes d'usagers pourraient s'émouvoir du fait que la sécurité vendue ne correspond pas systématiquement à la sécurité vantée), ies instances européennes devraient encourager les opérateurs téléphoniques européens à

- actualiser leur implémentation de l'algorithme d'autentification COMP128,

- préciser clairement quel est le niveau de sécurité effectif de leur implémentation de l'algorithme de cryptage A5.

C.- Compte tenu

- du lancement de la campagne publicitaire mondiale pour le Pentium III muni d'un PSN (Processor Serial Number) du leader (plus de 80 %) sur le marché des microprocesseurs pour les PC,

- des risques d'exploitation aux fins de surveillance électronique du PSN,

- de la préoccupation à ce sujet très précis manifestée par les plus hautes autorités américaines elles-mêmes; voir la déclaration [15] du 25/1/1999 de Mr. Al Gore, Vice-Président des Etats-Unis,

- des risques de clonages des PSN, et des risques de leur inadéquation au commerce électronique, et donc du risque consécutif de ralentissement de cette nouvelle industrie, en particulier en Europe,

les comités adéquats du Parlement Européen devraient

- demander information aux agences gouvernementales américaines, dont la NSA et le FBI, quant à leur rôle dans la création du PSN développé par Intel,

- en parallèle, commissionner un groupe d'experts techniques indépendants pour évaluer très précisément les risques de ce produit: surveillance électronique, falsification de PSN, etc. Ce groupe devrait rendre son rapport dans des délais très brefs.

S'appuyant sur les premiers résultats de ces démarches, et le cas échéant, les comités adéquats du Parlement Européen devraient être saisis pour évaluer les mesures légales en vue d'éviter l'implantation de microprocesseurs munis de PSN (ou de fonctionalités identiques) dans les ordinateurs destinés aux citoyens, entreprises et organisations européens. Nous tenons à très clairement souligner que les suggestions ci-dessus n'ont pas trait à une entreprise précise, mais sont motivées par les caractéristiques d'un produit qui, potentiellement, et en l'absence d'action rapide au niveau communautaire, peut s'imposer dans les prochains mois en tant que standard industriel de facto en Europe.
D.- En ce qui concerne la Catégorie 5, partie 2 du Wassenaar Arrangement, traitée dans la section 7 de ce rapport, nous rappelons les faits suivants:
- Du fait que les algorithmes à clef secrète ou à clef publique très sûrs sont accessibles librement, par exemple via Internet, et compte tenu de la remarque 7.4, et des conséquences 7.5, il apparait que les restrictions sur l'exportation ne constituent, en aucune façon, un handicap sérieux pour les organisations criminelles et terroristes. Par ailleurs, sur l'exemple des Etats-Unis, la police peut travailler de manière efficace, même lorsque des produits cryptographiques performants sont utilisés librement.

- En revanche, compte tenu de 7.6, elles constituent un frein très important pour les entreprises européennes de sécurité informatique et au développement de l'industrie du commerce électronique international.

- Le gouvernement Français, en accord avec le Président de la République, s'est engagé le 19/1/1999 à l'issue du comité interministériel consacré à la société de l'information ([5]), à libéraliser l'usage de la cryptographie en relevant de 40 bits à 128 bits le seuil de sécurité librement utilisable. Il semble que cette évolution ne soit qu'une première étape en vue d'une libéralisation totale de l'usage de la cryptographie sur le territoire Français. Jusqu'alors, la réglementation de la France en ce qui concerne ia cryptographie était parmi les plus strictes sur le plan international.

- Le réseau Echelon est très vraisemblablement en mesure d'intercepter, de décoder et de traiter les informations transmises avec les produits mis sur le marché répondant aux critères rappelés en 7.2.

Par conséquent, le Parlement Européen devrait rapidement débattre en vue de libéraliser l'usage de la cryptographie sur l'ensemble du territoire communautaire.

E.- Le Comité devrait commissioner un rapport plus détaillé sur les implications en ce qui concerne les risques de surveillance électronique du Wassenaar Arrangement. On constate déjà que l'item 5.B.1.b.1 (l'un de la partie consacrée aux télécommunications) du Wassenaar Arrangement soumet au contrôle certains équipements employant des techniques digitales ATM (Asynchronous Transfer Mode). Cette technologie de transfert de donnée est beaucoup plus difficile (mais toutefois pas impossible, voir [32], part 2) à surveiller électroniquement que celles échangées en mode TCP/IP classique. Il serait également très utile de déterminer si les produits autorisés à l'exportation permettent des réponses efficaces à TEMPEST (voir 2.7 et l'introduction à 3): en effet, l'utilité des cryptosystèmes est très limitée si, par ailleurs, on peut lire en clair les données avant cryptage, ou après décryptage, à l'aide des rayonnements électromaqnétiques.


Bibliographie

1 C. H. Bennett, G. Brassard: Quantum cryptography: public key distribution and coin tossing. In Proc. IEEE International Conference on Computers, Systems and Signal Processing, Bangalore, India (1984).

2 G. Brassard: Quantum cryptography: a bibliography. SIGACT News 24:3 (1993). Une version plus récente est accessible online à http://www.iro.umontreal.ca/crepeau/Biblio-QC.html

3 cAESar Project: http://www.dice.ucl.ac.be/crypto/CAESAR/caesar.html

4 J. I. Ciriac, P. Zoller: Ouantum computations with cold trapped ions. Phys. Rev. Lett. 74, p. 4091-4094 (1995)

5 Comité interministériel pour la société de l'information, conférence de presse de Mr. Lionel Jospin, Premier Ministre: http://www.premier-ministre.gouv.fr/PM/D190199.HTM

6 D. G. Cory, A. F. Fahmy, T. F. Havel: Ensemble quantum computing by nuclear magnetic resonance spectroscopy. Proc. Nat. Acad. Sci. 94, p. 1634-1639 (1997)

7 H. Dobbertin, A. Bosselaers, B. Preneel: RIPEMD-160: a strengthened version of RIPEMD. D. Gollmann, editor, Fast Software Encryption, Third International Workshop, Lecture Notes in Computer Science 1039 (1996). Une version corrigee et acutalisee est accessible online: http://www.esat.kuleuven.ac.be/bosselae/ripemd160.html

8 Echelon: une liste de liens:

http://www.saar.de/bong/archiv/echelon.html,
http://serendipity.nofadz.com/hermetic/crypto/echelon/echelon.htm, http://serendipity.nofadz.com/hermetic/crypto/echelon/nzh1.htm, http://www.telegraph.co.uk/et?ac=000602131144806&rtmo=0sksx2bq&atmo=0sksx2bq&pg=/et/97/12/16/ecspy16.html, http://www.freecongress.org/ctp/echelon.html http://www.disinfo.com/ci/dirty/cidirtyprojectechelon.html, http://www.dis.org/erehwon/spookwords.html (spookwords)

9 M A. Gershenfeld, I. L. Chuang: Bulk spin resonance quantum computation, Science 275, p. 350-356 (1997)

10 Electronic Frontier Foundation: Cracking DES, Secrets of Encryption Research. Wiretap Politics & Chip Design, O'Reilly (1998)

11 J. Dj. Golic: Cryptanalysis of alleged A5 stream cipher. In Advances in Cryptology, Eurocrypt'97, Lecture Notes in Computer Science 1233, Springer-Verlag Berlin Heideiberg New York, p. 239-256 (1997)

12 European Commission - Directorate General XIII: Communication from the commission to the European Parliament, the council, the economic and social committee and the committee of the regions ensuring security and trust in electronic communication (COM 97-503). Egalement accessible online: http://www. ispo.cec.be/eif/policy/97503toc.html

13 European Telecommunications Standards Institute (ETSI): http://www.etsi.fr/

14:FIPS PUP 180-1: Secure Hash Standard, Federal Information Processing Standards Publication 186, US Department of Commerce, National Institute of Standards and Technology, National Technical Information Service, Springfield, Virginia (1994). Accessible online sous: http://www.itl.nist.gov/div897/pubs/fips180-1.htm

15 A. Gore, Vice-Président des Etats-Unis: Interview au San Jose Mercury News (25/1/1999)

16 IEEE-P1363: http://grouper.ieee.org/groups/1363/index.html

17 IETF-PKIX Public-Key Infrastructure (X. 509): http://www.ietf.org/html.charters/pkix-charter.html

18 IETF-S/MIME, Mail Security (smime): http://www.ieff.org/html.charters/smime-charter.html

19 B. E. Kane: A silicon-based nuclear spin quantum computer. Nature 393, p. 133-137 (1998)

20 M. Kutter, F. Leprévost: Symbiose von Kryptographie und digitalen Wasserzeichen: effizienter Schutz des Urheberrechtes digitaler Medien. A paraitre in Tagungsband des 6. Deutschen IT-Sicherheitskongresses des BSI (1999)

21 F. Leprévost: Les standards cryptographiques du XXI-eme siecle: AES et IEEE-P1363. A paraitre in La Gazette des Mathématiciens (1999)

22 F. Leprévost: Peter W. Shor, prix Nevanlinna 1998. A paraitre in La Gazette des Mathématiciens (1999).

23 F. Leprévost: AES und IEEE-P1363, die kryptographischen Standards des 21. Jahrhunderts. A paraitre in Tagungsband des 6. Deutschen IT-Sicherheitskongresses des BSI (1999)

24 NIST AES Home Page: http://csrc.nist.gov/encryption/aes/aes_home.htm

25 NSA Tempest Documents: NACSIM 5000, 5004, 5100A, 5201, 5203

26 Ch. Persson: Pentium III serial number is soft switchable after all. In c't Magazin für Computer Technik (1999)

27 PricewaterhouseCoopers Investigations LLC: The Corporate Netspionnage Crisis. Informations accessibles online: http://www.pricewaterhousecoopers.fm/extweb/ncpressrelease.nsf/DocID/B81092772821633B8525673C006AFA91

28 Smartcard Developer Association: http://www.scard.org/

29 P. W. Shor: Polynomial-time algorithms for prime factorization and discrete logarithms on a quantum computer, SIAM Journal of Computing 26, p. 1484-1509 (1997)

30 P. W. Shor: Quantum Computing. Proceedings of the Internationai Congress of Mathematicians, Berlin, Documenta Mathematica, Journal der Deutschen Mathematiker-Vereinigung (1998)

31 P. W. Shor: Communication personnelle (1998)

32 U.S. Congress, Office of Technology Assessment: Electronic Surveillance in a Digital Age. OTA-BP-ITC-149, Washington, DC: U.S. Govemment Printing Office (July 1995)

33 D. Wagner: Communication personnelle (1999)

34 The Wassenaar Arrangement on Export Controls for Conventional Arms and Dual-Use Goods and Technologies: http://www.wassenaar.org/

35 S. Wright: An appraisal of technologies of political control. Interim Study for the STOA (19/1/1998)


STOA PROGRAMME

European Parliament
Directorate-General for Research
Directorate A
SCH 4/61

L-2929 Luxembourg

Tel: +352 4300 22511
Fax:+352 4300 22418
rholdsworth@europarl.eu.int

LEO 6 D46
Rue Wiertz 60
B-1047 Bruxelles

Tel: +32 2 284 3962
Fax:+32 2 284 9059
msosa@europarl.eu.int


Digitization and HTML by JYA/Urban Deadline. Thanks to DN.