RE: SSH / DEBIAN
On Thu, 3 Feb 2000, Alexandre Vitrac wrote:
>
> On 03-Feb-00 Georges Mariano wrote:
>
> > On rencontre souvent dans les docs la suggestion d'utiliser ssh
> > pour securiser tel ou tel service...
> >
> > Qestion simple :
> > Comment mettre en oeuvre ssh ??
> > i.e. compte tenu des problemes de lois, du cloisonnement Debian
> > (non-us) ?
> > =>
> > Est-ce que je peux le faire ??
> > Ou sont les paquets ?? (si la reponse precedente est oui)
> Il suffit d'installer le paquet ssh de debian (que l'on trouve sur les miroirs
> debian-non-us.
> Par contre, pour ce qui est du droit de le faire... Normalement, en France, et
> contrairement à ce que les gens pensent, il est toujours interdit d'utiliser
> ssh, pour 2 raisons :
[snip, les deux sont vraies]
> C'est à cause de ces 2 contraintes que des français (je crois qu'il sont de
> l'INRIA, mais je suis pas sûr...) on développé SSF : une version de ssh bridée
> à des clefs de 128 bits, et déclarée auprès du SCS... Cependant, ce soft n'est
> pas modifiable (il n'est donc pas libre), étant donné que sa modification
> invaliderait sa déclaration auprès du SCS...
Enfin, surtout un (Bernard Perrot), qui par ailleurs, s'occupe fort bien
de corriger les bogues et de répondre aux questions... il distribue de
même un client sous Windows. Et c'est l'IN2P3.
> Malheureusement, je ne me rappelle plus l'URL de la page web de SSF. Elle est
> très intéressante, surtout pour les éléments légaux qu'elle apporte, et aussi
> pour une analyse de ssh qui démystifie sa sécurité... L'auteur y parle des
> trous de sécurité qu'il a trouvé dans ssh en travaillant dessus, et pour
> lesquels les concepteurs du soft n'ont parfois pas montré beaucoup d'entrain à
> les corriger...
La mailing-list est SSF-L@in2p3.fr
La page web (à lire en premier, et à lire tout court, d'ailleurs) est:
http://www.in2p3.fr/securite/ssf/
C'est effectivement dommage qu'il n'y ait rien pour le paquetage
debian. On pourrait probablement proposer un patch avant qu'il ne
dépose une nouvelle version... Je vois ceci comme un poil difficile,
mais faisable (si on est motivé).
Je me permet d'extraire quelques lignes du fichier Lisezmoi:
Introduction:
-------------
SSF est une adaptation de la suite SSH pour plateforme Unix diffusée
librement sur l'Internet en code source.
L'acquisition et l'usage de SSH en France est soumis aux conditions
prévues par la législation en matière de cryptologie. En l'occurence,
SSH assurant un chiffrement "dur" (3-DES obligatoirement par défaut,
IDEA 128bits également, Blowfish 256 bits, etc.), il relève d'une
autorisation préalable.
Les décrets du printemps 1999 prévoient un régime d'usage libre pour des
produits dont la taille de l'espace de clé en inférieur à 2^128, sous
condition que ce produit ai fait l'objet d'une "déclaration de
fourniture en vue d'une utilisation générale" auprès des autorités
compétentes (le SCSSI). À noter que cette déclaration peut être
non-conforme, et être rejetée (en particulier, l'appartenance à la
catégorie "128bits" doit être confirmée).
SSF est donc une adaptation de la suite SSH le rendant conforme à ces
dispositions, c'est à dire que la taille de l'espace de clé est de
2^128. Noter de suite que les clients et serveurs SSF interagissent
totalement et en toute transparence avec des clients et serveurs SSH
standard qui peuvent totalement ignorer que l'interlocuteur est SSF
plutôt qu'un SSH. Compte-tenu du dispositif adopté dans SSF pour limiter
l'entropie des clés de session, le produit reste conforme à la
législation si seul le client ou le serveur est SSF (l'interlocuteur à
l'étranger n'a pas besoin d'utiliser un client ou serveur SSF).
--
JCD
Reply to: