Cryptologie et DCSSI
Avertissement
Ce guide n'est pas un document de la DCSSI. Il est écrit et mis à disposition par la FSF France.Comment faire une démarche, pas à pas
En cas de doute, téléphoner à la DCSSI au 01 71 75 82 75 pour les questions sur la partie administrative et le 01 71 75 82 68 pour les questions sur la partie technique ou par e-mail (indifférement technique ou administratif) à ssi41@wanadoo.fr. Voir aussi une description de la procédure dans le Décret correspondant.
- Déterminer la démarche
- La description caractéristiques des démarches permet de savoir si, pour ce logiciel et cette version particulière il faut une Autorisation, une Déclaration ou bien une Déclaration simplifiée. Les tableaux catégorisant les diverses sortes de logiciels de cryptographie servent de référence.
- Obtenir les formulaires
- Autorisation ou Déclaration:
Déclaration simplifiée:
- Partie administrative (aussi en PDF).
- Partie technique.
- Partie administrative (aussi en PDF). La case Déclaration simplifiée doit être cochée.
- Remplir les formulaires
- Prendre exemple sur la demande faite pour GnuPG. Les éléments techniques requérant une forte compétence en cryptographie sont aussi disponibles en anglais, ce qui facilite le dialogue avec un auteur de Logiciel Libre non francophone. La partie technique remplie pour est aussi disponible en anglais et permet d'avoir une idée des réponses attendues.
- Rassembler les éléments requis par les formulaires
- Prendre exemple sur la demande faite pour GnuPG. Dans le cas du Logiciel Libre, les seuls éléments additionels sont la distribution source et la licence Logiciel Libre.
A noter que dans le cas de la Déclaration simplifiée, il n'y a pas d'éléments additionels car il n'y a pas de partie technique.
- Lettre d'accompagnement
- Elle sert a préciser des souhaits qui n'entrent pas dans le cadre proposé par le dossier formel. Par exemple:
- Demande et justification de qualification grand public (voir la lettre d'accompagnement pour GnuPG).
- Constituer le dossier
- Le dossier de demande est constitué des formulaires remplis et des éléments requis.
- Envoyer le dossier
- En trois exemplaires à l'adresse suivante:
Secrétariat général de la défense nationale DCSSI - Relations industrielles 51, boulevard de Latour-Maubourg 75700 PARIS 07 SP FRANCE- Attendre le récépissé
- A réception du dossier, la DCSSI envoit un récépissé attestant du dépot du dossier.
- Attendre une éventuelle demande de complément
- Si le dossier n'est pas complet, ce qui se produit parfois, la réponse est une demande de complément d'information. Dans le cas du Logiciel Libre, la disponibilité des sources permet à la DCSSI de palier les insuffisances du dossier technique et réduit encore le risque de demande de complément d'information. La DCSSI a un mois à compter de la date mentionée sur le récépissé pour faire une demande de compléments.
A noter que la Déclaration simplifiée ne contenant pas d'élément techniques, une demande de complément ne porterait que sur les éléments administratifs.
- Corriger le dossier et le renvoyer
- Cette étape se répète autant de fois qu'il est nécessaire pour que le dossier soit complet.
- Le dossier est complet
- A partir de ce moment, la DCSSI dispose d'un délai de réponse variant selon la nature de la démarche:
- Autorisation: 4 mois
- Déclaration: 1 mois
- Déclaration simplifiée: sans objet
- Réception des autorisations
- Une ou plusieurs autorisations sont fournies, pour les demandes d'Autorisation uniquement. Pour les Déclarations, la DCSSI adresse un accusé de réception de déclaration dès qu'elle reçoit le dossier. La DCSSI n'envoie pas d'autres documents, le déclarant peut alors procéder librement, au bout d'un mois, aux opérations faisant l'objet de la déclaration. Pour la déclaration simplifiée, on peut considérer que la réception de l'accusé clôt la procédure.
- Le délai est dépassé
- Si la DCSSI ne répond pas dans les délai, l'autorisation ou la déclaration est tacitement accordée.
Diffuser les autorisations pour en partager le bénéfice
Dans le cas des Logiciels Libres, il est de l'intérêt de tous (individus, gouvernement, associations, entreprises) que le bénéfice des autorisations et déclarations obtenues soient partagées. Les autorisations et déclarations sont nominatives mais leurs effets peuvent se propager si le logiciel est obtenu auprès du détenteur des autorisations et déclarations. Devenir un intermédiaire ne requiert aucune démarche dans le cas du Logiciel Libre, pour peu que le détenteur des autorisations et déclaration se donne la peine de suivre la méthode ci dessous. Chaque personne physique ou morale a ainsi le droit d'utiliser, de fournir, d'importer et d'exporter le programme visé.
On suppose ici que le programme a été qualifié de grand public (déclaration) et qu'une autorisation de fourniture générale a été obtenue.
- Publication
- Scanner l'autorisation
- Scanner la déclaration
- Créer un site de téléchargement sur le net utilisant des ressources appartenant à la personne physique ou morale et localisé sur le territoire français (ci-après dénomé site).
- Signer éléctroniquement la version source (binaires) du programme, l'autorisation et la déclaration
- Installer la version source (binaires) du programme
- Installer le scan de l'autorisation
- Installer le scan de la déclaration
- Installer les signatures
- Permettre l'accès au site sans condition
- Importation
- La personne ayant obtenu l'autorisation de fourniture générale peut importer la version du programme pour laquelle une autorisation de fourniture générale a été obtenue depuis un pays étranger. Elle est seule à avoir ce droit. En plaçant le programme sur le site elle permet à quiconque sur le territoire français de disposer d'une copie importée en accord avec la DCSSI.
- Utilisation
- Une personne physique ou morale souhaitant utiliser le programme peut le télécharger depuis le site. il y a alors fourniture d'un programme ayant été autorisé (autorisation de fourniture générale) par la DCSSI. De ce fait, la personne qui en dispose a le droit de l'utiliser.
- Fourniture
- Une personne physique ou morale souhaite à son tour fournir le programme. Elle souhaite aussi prouver qu'elle peut légitimement le faire en vertu de l'autorisation de fourniture générale. En téléchargeant le programme depuis le site et en le distribuant à son tour, elle devient alors un intermédiaire et peut à ce titre bénéficier de l'autorisation de fourniture générale. La signature du programme et de de l'autorisation lui permet de prouver à des tiers que la version du programme est effectivement celle qui a fait l'objet d'une autorisation et qu'elle agit donc en qualité d'intermédiaire.
- Exportation
- Une personne physique ou morale souhaite exporter le programme. Elle souhaite aussi prouver qu'elle peut légitimement le faire en vertu de la qualité grand public du programme. En téléchargeant le programme depuis le site et en l'exportant (par le net ou sur support physique), elle devient alors un intermédiaire et peut à ce titre bénéficier de la classification du programme en produit grand public qui entraîne la possibilité de l'exporter (sans besoin de demander une licence d'exportation). La signature du programme et de la lettre établissant que le programme est grand public lui permettent de prouver à des tiers que la version du programme est effectivement celle qui a été autorisée et qu'elle agit donc en qualité d'intermédiaire.
Pourquoi faire une démarche ?
En France, les moyens et prestations de cryptologie sont soumis à un contrôle gouvernemental. La fourniture, l'utilisation (dans le cas de clés de plus de 128 bits), l'importation et l'exportation de logiciels de cryptologie est autorisée à la condition expresse qu'une démarche gratuite ait été faite auprès de la DCSSI.
Lorsque la démarche appropriée a été effectuée avec succès (Autorisation, Déclaration ou Déclaration simplifiée), cela entraîne la permission de faire un certain nombre d'actes avec le moyen (le logiciel dans le cas du Logiciel Libre) ou de fournir certaines prestations. Ce qu'il est possible de faire dépend de la démarche et des conclusions de la DCSSI. Voir les tableaux synthétiques couvrant les cas possibles.
La conclusion d'une démarche auprès de la DCSSI (autorisations, déclaration) porte sur une version précise du produit. Ainsi, faire une démarche pour GnuPG-1.0.4 n'implique pas automatiquement que les conclusions s'appliquent à GnuPG-1.0.1 ou GnuPG-1.0.7.
Les autorisations
Lorsqu'une demande d'Autorisation est acceptée par la DCSSI, elle délivre une ou plusieurs autorisations. Les autorisations délivrées dépendent en partie des cases cochées dans le dossier (de fourniture pour une durée de et d'exportation pour une durée de voir par exemple la demande faite pour GnuPG). In fine, c'est la DCSSI qui détermine quelles autorisations sont appropriées pour une demande donnée.
La qualification de grand public (voir Décret no 2001-1192, article 10, 5) et l'autorisation de fourniture générale sont les mieux adaptées aux Logiciels Libres.
- L'autorisation de fourniture générale (AFG).
- Elle concerne le territoire français. Elle permet d'utiliser, d'importer et de fournir le produit (le logiciel dans le cas des Logiciels Libres).
- L'autorisation d'exportation.
- Permet l'exportation du produit sous réserve de l'obtention d'une licence individuelle ou globale.
- L'autorisation d'exportation d'un programme grand public.
- L'acte d'exportation ne demande aucune formalité supplémentaire, l'autorisation se suffit à elle même.
Un point délicat soulevé dans le cas des Logiciels Libres doit être éclaircit. Une condition nécessaire pour que le programme soit considéré grand public est: La fonctionnalité cryptographique ne peut pas être modifiée facilement par l'utilisateur. (Décret no 2001-1192, article 10, 5 b)).
Dans le cas d'un logiciel propriétaire, les éléments de l'équation sont une personne physique ou morale, un objet binaire (le produit). Dans le cas d'un Logiciel Libre, le code source vient s'ajouter. On peut donc légitimement s'interroger sur les conséquences pour la facilité avec laquelle l'utilisateur peut modifier la fonctionnalité cryptographique.
Qu'on dispose des sources ou du binaire, il est toujours possible de modifier au hasard, grâce à un éditeur de texte, le binaire ou les sources. C'est un processus facile pour tout utilisateur mais on s'accorde à dire que le seul résultat serait de rendre le logiciel non fonctionel. Même s'il est possible de qualifier une telle modification de facile et concernant les fonctionalités cryptographiques, elle s'appliquerait alors à tout logiciel. C'est un cas absurde et nous sommes en fait intéressés par le cas d'un logiciel qui permettrait une modification facile de ses fonctionalités cryptographiques tout en restant fonctionel.
Pour envisager de modifier les fonctionalités cryptographiques, l'utilisateur doit tout d'abord disposer de notions mathématiques et une connaissance approfondie du domaine de la cryptographie. Sans ce bagage théorique, il a toutes les chances de tenter des modifications qui rendront le logiciel inopérant. Hors disponibilité des sources ou du binaire seul, ce bagage théorique est une précondition qui constitue à lui seul un obstacle qui rend la tâche difficile.
En l'absence de bagage théorique, l'utilisateur peut tenter une modification en suivant à la lettre et aveuglément des instructions fournies par un tiers. Dans le cas d'un logiciel de cryptologie sous forme binaire les instructions peuvent prendre la forme d'un petit programme automatisant ces modifications. Il existe de nombreux programmes de ce genre, en général disponible sur le web. Dans le cas d'un logiciel de cryptologie disponible sous forme source, il s'agirait d'un patch s'appliquant sur les sources. Il s'agit essentiellement du même principe. Dans le cas du patch cependant, l'utilisateur doit en plus avoir la capacité technique de reconstruire une version binaire du logiciel de cryptologie, c'est donc un peu moins aisé. Comme dans le cas des modifications aléatoires rendant le logiciel inopérant, la possibilité de suivre aveuglément des instructions existant pour tous les logiciels de cryptologie (Logiciel Libre ou non), elle ne peut constituer un critère qualifiant la modification des fonctionalités cryptographiques de facile.
Supposons qu'une personne dispose du bagage théorique nécessaire et qu'elle entreprenne de modifier les fonctionalités cryptographiques sans appliquer des instructions aveuglément. En présence d'un binaire seul, la personne doit disposer d'une solide formation en assembleur, d'outils de décompilation et d'une expérience de reverse engineering. En présence d'un code source, la personne doit disposer d'une solide formation dans le langage de programmation visé, d'outils de compilation. En bref, elle doit avoir suivit une formation en informatique pour tenter effectivement une modification. Acquerir le bagage informatique nécessaire est dans tout les cas un processus difficile.
Enfin, le produit peut, par choix de conception, permettre une modification facile des fonctionalités de cryptographie. Le produit peut, par exemple, contenir une interface homme machine dont l'objet est de permettre à l'utilisateur de modifier les fonctionnalités cryptographiques. Il peut s'agir d'une interface graphique ou d'une interface ligne de commande, et cela implique que le logiciel a été expréssément conçu pour offrir cette possibilité. Il est alors facile pour l'utilisateur de modifier les fonctionalités cryptographiques. Mais c'est un choix de conception qui n'a pas de lien avec la disponibilité du code source du logiciel de cryptologie.
En conclusion, l'accès au code source n'implique pas en soit qu'il est facile pour l'utilisateur de modifier les fonctionalités cryptographiques. Il s'agit avant tout d'un choix de conception délibéré qui doit être jugé au cas par cas, Logiciel Libre ou non. La disponibilité du code source fait qu'il devient possible pour une personne ayant la volonté de franchir les difficiles étapes menant aux connaissances requises mais certainement pas facile pour l'utilisateur de modifier les fonctions cryptographiques. C'est la, uniquement, que réside la différence.
Diffusion des autorisations
Les autorisations fournies ne sont pas exclusives. Plusieures personnes physiques ou morales peuvent demander une autorisation pour la même version du même logiciel. Cependant elles sont nomminatives: une personne X ne peut pas automatiquement bénéficier de l'autorisation obtenue par une personne Z, même si la version du programme est identique.
Les autorisations émises ne sont pas toujours rendues publiques. Lorsque le demandeur en donne l'autorisation expresse, une page est ajoutée dans la liste des produits cryptologiques libres d'utilisation sur le site de la DCSSI. L'information se limite au nom du produit et au nom de la personne physique ou morale ayant fait la demande. La version du produit ou la nature des autorisations accordée ne sont pas spécifiées.
Les autorisations peuvent être publiées dans leur intégralité par le demandeur s'il le souhaite, rien ne s'y oppose.
Les contrôles
Ils sont au nombre de quatre:
- à l'exportation
- à la fourniture (en général, il s'agit d'une vente mais dans le cas du Logiciel Libre, le téléchargement peut s'apparenter à une fourniture)
- à l'importation (télécharger un Logiciel Libre à partir d'un site étranger peut être une importation)
- sur l'utilisation mais une fois que le logiciel a été déclaré (ou autorisé) , la procédure n'est plus nécessaire.
Caractéristiques des démarches
La plus complexe est l'Autorisation. Elle peut être utilisée pour tous les logiciels qui doivent faire l'objet d'une démarche auprès de la DCSSI. Mais il existe des démarches plus légères dans le cas de logiciels présentant des caractéristiques techniques infèrieures (moins de 128 bits, signature de document mais pas chiffrement etc.).
Se reporter au tableaux catégorisant les diverses sortes de logiciels de cryptographie et les démarches qui s'y appliquent pour une information complète.
- Obligatoire pour les logiciels permettant un chiffrement de plus de 128 bits de clé secrète.
- Obligatoire pour les logiciels permettant un chiffrement jusqu'à 128 bits de clé secrète.
- Obligatoire pour les logiciels qui permettent uniquement la signature, l'authentification et la vérification de l'intégrité du document (en aucun cas le chiffrement)
Les dossiers acceptés
- GnuPG
Mis à disposition sur http://fsffrance.org/crypto/.
- 25 Mai 2002: envoi du dossier http://fsffrance.org/dcssi/gnupg.fr.html en recommandé accusé de réception
- 3 Juin 2002: RECEPISSE DE DEMANDE D'AUTORISATION DE FOURNITURE EN VUE DE L'UTILISATION GENERALE, DE L'IMPORTATION ET DE L'EXPORTATION DE MOYENS DE CRYPTOLOGIE, Lettre Numéro 000571 (scan petit format grand format). Le dossier pour GnuPG-1.0.7 et suivantes est le numéro 0205180.
- 15 Juillet 2002: AUTORISATION DE FOURNITURE EN VUE D'UNE UTILISATION GENERALE ET D'IMPORTATION DE MOYENS DE CRYPTOLOGIE, Numéro 23295 (scan petit format grand format). Signature du scan grand format par Loïc Dachary avec sa clé GPG.
- 15 Juillet 2002: bénéficie du régime prévu à l'article 10 du décret 2001-1192 du 13/12/2002 modifiant le décret 99-200 du 17/03/199, et est dispensé des formalités douanières de licence d'exportation, Lettre Numéro 000713 (scan petit format grand format). Signature du scan grand format par Loïc Dachary avec sa clé GPG.
- OpenSSL
Mis à disposition sur http://fsffrance.org/crypto/.
- 5 Juin 2002: envoi du dossier http://fsffrance.org/dcssi/openssl.fr.html en recommandé accusé de réception
- 13 Juin 2002: RECEPISSE DE DEMANDE D'AUTORISATION DE FOURNITURE EN VUE DE L'UTILISATION GENERALE, DE L'IMPORTATION ET DE L'EXPORTATION DE MOYENS DE CRYPTOLOGIE, Numéro 000634 (scan petit format grand format). Le dossier pour OpenSSL-0.9.6d et suivantes est le numéro 0206199.
- 15 Juillet 2002: AUTORISATION DE FOURNITURE EN VUE D'UNE UTILISATION GENERALE ET D'IMPORTATION DE MOYENS DE CRYPTOLOGIE, Numéro 23299 (scan petit format grand format). Signature du scan grand format par Loïc Dachary avec sa clé GPG.
- 15 Juillet 2002: bénéficie du régime prévu à l'article 10 du décret 2001-1192 du 13/12/2002 modifiant le décret 99-200 du 17/03/199, et est dispensé des formalités douanières de licence d'exportation, Lettre Numéro 000721 (scan petit format grand format). Signature du scan grand format par Loïc Dachary avec sa clé GPG.
Références
Magali Julin, Loïc Dachary
- Dossier de demande d'Autorisation, de Déclaration et de Déclaration simplifiée
- Le même dossier doit être remplit pour une demande d'Autorisation, une Déclaration ou une Déclaration simplifiée. Partie administrative (aussi en PDF). Partie technique (éléments techniques disponibles en anglais ainsi que la partie technique de GnuPG). Pour référence voir aussi Constitution d'un dossier sur le site de la DCSSI, qui contient les même informations.
- Exemples de demande d'Autorisation
- Pour GnuPG: http://fsffrance.org/dcssi/gnupg.fr.html (partie technique en anglais http://fsffrance.org/dcssi/gnupg.en.html) Pour OpenSSL: http://fsffrance.org/dcssi/openssl.fr.html (partie technique en anglais http://fsffrance.org/dcssi/openssl.en.html)
- Adresse où envoyer les dossiers de demande d'Autorisation, de Déclaration et de Déclaration simplifiée
Secrétariat général de la défense nationale DCSSI - Relations industrielles 51, boulevard de Latour-Maubourg 75700 PARIS 07 SP FRANCE Téléphone : 01 71 75 82 65 (Secrétariat Général) Téléphone : 01 71 75 82 75 (partie administrative) Téléphone : 01 71 75 82 68 (partie technique) E-mail: ssi41@wanadoo.fr Web: http://www.ssi.gouv.fr/- GnuPG
- The GNU Privacy Guard http://www.gnupg.org/
- OpenSSL
- http://www.openssl.org/
- Kerberos
- http://web.mit.edu/kerberos/www/index.html
- lsh
- http://www.net.lut.ac.uk/psst/
- Mcrypt
- http://mcrypt.hellug.gr/
- GnuTLS
- http://www.gnu.org/software/gnutls/
- loop-AES
- http://loop-aes.sourceforge.net/
- Liste non exhaustive des produits ayant obtenu une autorisation
- http://www.ssi.gouv.fr/fr/reglementation/liste_cat/index.html
- Guide à propos de la réglementation sur la cryptologie
- http://www.ssi.gouv.fr/fr/reglementation/regl_crypto.html
- FAQ Infrastructures de gestion de clés
- http://www.ssi.gouv.fr/fr/faq/faq_igc.html
- FAQ Décret relatif à la signature électronique
- http://www.ssi.gouv.fr/fr/faq/faq_sigelec.html
- Arrété du 17 mars 1999
- Définissant la forme et le contenu du dossier concernant les déclarations ou demandes d'autorisation relatives aux moyens et prestations de cryptologie. http://fsffrance.org/dcssi/arrete-17-mars-1999.fr.html
- Décret no 2001-1192 du 13 décembre 2001 relatif au contrôle à l'exportation, à l'importation et au transfert de biens et technologies à double usage
- L'article 10, 5 en particulier. http://admi.net/jo/20011215/ECOX0100059D.html
- Article 28 de la loi n°90-1170 du 29 décembre 1990 (tel que modifié par la loi du 26 juillet 1996 sur les télécommunications)
- http://www.ssi.gouv.fr/fr/reglementation/lois/lois_fr4.html
- Décret n°98-101 du 24 février 1998
- Définissant les conditions dans lesquelles sont souscrites les déclarations et accordées les autorisations concernant les moyens et prestations de cryptologie. http://www.internet.gouv.fr/francais/textesref/cryptodecret98101.htm
- Décret n°99-199 du 17 mars 1999
- Définissant les catégories de moyens et de prestations de cryptologie pour lesquelles la procédure de déclaration préalable est substituée à celle d'autorisation. http://www.internet.gouv.fr/francais/textesref/cryptodecret99199.htm
- Décret n°99-200 du 17 mars 1999
- Définissant les catégories de moyens et de prestations de cryptologie dispensées de toute formalité préalable. http://www.internet.gouv.fr/francais/textesref/cryptodecret99200.htm