[Top][All Lists]
[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[Fsfe-france] Re: autorisation de GnuPG et OpenSSL
|
From: |
Loic Dachary |
|
Subject: |
[Fsfe-france] Re: autorisation de GnuPG et OpenSSL |
|
Date: |
Thu, 8 Aug 2002 13:52:36 +0200 |
Bonjour,
Le répertoire http://france.fsfeurope.org/crypto/ contient
maintenant OpenSSL-0.9.6e, je viens d'avoir confirmation formelle des
gens de OpenSSL que cette version ne contient pas de modifications
fonctionelles. Dans ce cas il n'est pas nécessaire de faire un nouveau
dossier (c'est la raison du "version OpenSSL-0.9.6d et suivantes" dans
l'autorisation).
Si une nouvelle version sort (OpenSSL-0.9.7) il sera nécessaire
de faire un nouveau dossier car elle inclue des nouvelles fonctionalités
cryptographiques. Ce n'est pas un inconvénient propre au Logiciel Libre,
les logiciels propriétaires y sont également assujetis.
A++,
Jean-Luc Szpyrka writes:
>
> Bonjour,
>
> N'ayant pas trouvé de forum sur votre site
> http://france.fsfeurope.org/
> je me permets d'entrer en contact direct avec vous.
>
> J'ai une question de fond sur les autorisations DCSSI, qui
> concerne
> des produits (gnupg-1.07 et openssl-0.9.6d), et pas des
> algorithmes
> ou des "chaines de production de logiciel". Que se passe-t-il
> lorsqu'un trou de sécurité est publié sur les produits validés ?
>
> Je m'explique par l'exemple:
> - si aujourd'hui j'installe openssl-0.9.6d, je suis vulnérable
> au dernier trou de sécurité publié (sur le site CERTA de la
> DCSSI ;-)
>
> http://www.certa.ssi.gouv.fr/site/CERTA-2002-AVI-162/index.html.2.html
>
> - j'ai donc le choix de rester dans la légalité et de ne pas
> bouger et donc d'être vulnérable
> - j'ai le choix de désinstaller le produit et de perdre
> éventuellement une fonctionnalité primordiale (ex: commerce
> électronique)
> - ou de me mettre dans l'illégalité (télécharger openssl-0.9.6e
> depuis un site étranger et l'installer) pour me protéger.
>
> C'est donc une situation complètement paradoxale où une
> autorisation DCSSI m'empêche de me protéger correctement.
>
> Suivant la politique de sécurité d'une entreprise, cela peut
> être un élément déterminant pour décider de ne pas utiliser de
> logiciel libre [prendre le risque de ne pas pouvoir upgrader
> un produit quand il est nécessaire].
>
> Questions:
> - faut-il refaire une demande d'autorisation pour
> openssl-0.9.6e ?
> - cette démarche est-elle simplifiée (procédure rapide) ?
> - qui la fait ?
> - la DCSSI est elle moteur la dedans, ou est-ce un buffer (de
> 4 mois) ?
> - si j'installe le produits avant sa réhabilitation,
> pendant le temps de transition, est-ce que je bénéficie
> de circonstances atténuantes ?
>
> Je pense que c'est un problème lié au mode de fonctionnement
> de la DCSSI dont les procédures ne qui sont pas adaptées au
> cas du logiciel libre. Ce cas peut sans doute se présenter
> avec des produits commerciaux, je ne sais pas si il existe
> des "procédures d'urgences" pour les validations.
>
> Peut-être la DCSSI devrait fournir un service de suivi de version
> pour les logiciels (libres) qu'ils ont autorisés ?
>
> Avez-vous des avis la dessus, ou des contacts avec la DCSSI
> pour discuter de ce pb ?
>
> Quoiqu'il en soit, votre démarche est tout à fait intéressante,
> j'espère qu'elle fera tâche d'huile.
>
> Cordialement.
>
> P.S.: indiquez moi un forum de discussion approprié si
> vous préferrez discuter de ces points sur la place publique,
> j'y forwarderais ce mail.
--
Loic Dachary http://www.dachary.org/ address@hidden
12 bd Magenta http://www.senga.org/ address@hidden
75010 Paris T: 33 1 42 45 07 97 address@hidden
GPG Public Key: http://www.dachary.org/loic/gpg.txt
| [Prev in Thread] |
Current Thread |
[Next in Thread] |
- [Fsfe-france] Re: autorisation de GnuPG et OpenSSL,
Loic Dachary <=