[Top][All Lists]
[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: [Fsfe-france] contact Libre <-> APP ?!
From: |
jeremie ZIMMERMANN |
Subject: |
Re: [Fsfe-france] contact Libre <-> APP ?! |
Date: |
Thu, 17 Jun 2004 18:01:33 +0200 |
User-agent: |
KMail/1.6.2 |
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Le Thursday 17 June 2004 17:32, Vincent Caron a écrit :
>
> Le concept du hash MD5 est limité : il ne peut constater que l'identité
> parfaite. Change un caractère, et le MD5 change. Pour signer des sources, on
> peut appliquer du preprocessing pour 'applanir' les différences avant de
> faire un MD5, mais l'exercice relève de toute façon de la logique floue.
>
oui, il garantit juste l'identification d'un contenu à un instant T.
si il y a une affaire de contrefaçon, il y aura saisie des sourcetrees chez
les uns et les autres, et après avoir constaté que celui du plaignant est
conforme à l'empreinte IDDN (ce qui assurera l'antériorité) on pourra faire
procéder (par un expert judiciaire) à la comparaison au cas par cas, ligne
par ligne, pour déterminer les similarités (ce sont les similarités et non
les différences qui déterminent une contrefaçon...)
> Je ne suis toujours pas sûr de comprendre. Ce qui est important, ce n'est
> pas d'identifier le logiciel, mais l'auteur et l'acte de création. L'acte de
> dépôt doit permettre de certifier 1) qui a déposé le code, 2) quel code, 3)
> quand.
>
l'auteur s'identifie pas d'autres moyens... l'utilisation d'un certificat
giftfile (MD5+signature GPG) fournirait par ailleurs la combinaison
identifiant un auteur ET son source...
le dépot permet juste de certifier quel code, c'est vrai que la question de la
certification de l'auteur reste floue... (d'où l'idée soulevée au cours de
cette rencontre de pousser la reflexion sur l'idée de l'emploi d'une
empreinte+signature)
> L'identification du logiciel se fera plus tard avec des méthodes à
> prévoir sur place : imaginez que vous avez déposé un driver GPL en C et que
> vous poursuivez un constructeur pour diffuser une version modifiée compilée
> sur MIPS, vous allez avoir besoin de choses plus sophistiquées que du MD5
> pour reconnaitre des bouts de votre code.
>
oui mais ça c'est le rôle de l'expert judiciaire dans le cadre d'un procès en
contrefaçon! (voir plus haut) il partira simplement du hash MD5 pour
confirmer que les sources qu'on lui fournira seront bien celles déposées à la
date dite...
> Je ne vois pas bien ce que vient faire la signature MD5 dans l'histoire.
> Et je suis surpris de ne pas entendre parler de dépôt de 'source' (je
> m'attend à ce que les propriétaires déposent les binaires, ce qui leur
> donnerait une protection très faible car il est difficile d'identifier des
> dérivations de binaire).
>
l'APP/IDDN/InterDeposit (je m'y perds) propose aussi des services de
conservation de sources... sous scellés, dans un coffre... je crois savoir
que les acteurs du monde propriétaire déposent leurs _sources_ chez APP et
non leurs binaires, afin de bénéficier de la protecion maximale...
j'imagine que tu dois envisager le coût que ça peut représenter par rapport à
celui d'un simple enregistrement d'une chaîne dans une base de donnée... il
faut donc scaler ses moyens en fonction du niveau de protection requis... et
certes oui le dépot des sources est peut-être le meilleur moyen, et il
devrait être possible de le faire chez un huissier également, je ne sais
pas...
> J'ai l'impression qu'en 20 ans, le logiciel libre a pu vérifier que le
> plus simple et le plus efficace, c'est tout simplement de diffuser largement
> et publiquement tout logiciel. Un commit CVS laisse beaucoup de traces sur
> Savannah ou Gna! ... :)
>
>
cela ne fait pas 20 ans que le libre est "mûr" au point de coller la frousse
à beaucoup d'acteurs économiques de la vente d'exemplaires de logiciels! cela
ne fait que quelques temps qu'ils s'inquiètent et tentent de le
décrédibiliser par des actions juridiques...
l'affaire SCO montre hélas que la simple publication n'est pas une protection
assez forte contre les pinailleurs et autres cracheurs de FUD... il y a un
gros problème d'identification de chaque partie d'un logiciel qui est en fait
une oeuvre collective, et c'est vrai que l'IDDN ne résoud pas totalement ce
problème... je pense juste que c'est clairement un premier pas vers une
"sécurité juridique" qu'il nous faudra d'une façon ou d'une autre acquerir
pour faire face à des actions futures de déstabilisation juridique...
jz
- --
** Jeremie ZIMMERMANN * * * http://tofz.org **
** get my GNUPG/PGP public key at http://tofz.org/pubkey.asc **
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.4 (GNU/Linux)
iD8DBQFA0cBe1eTOPM/5+wsRAjrBAJoCnJ/RSYc1Tn9XIPIu0uN67znyLACfZG4a
w6EQUrvWDazZwrGh4Rz8Zgg=
=wty5
-----END PGP SIGNATURE-----