Exportați criptarea

Exportul de criptografie este transferul dintr-o țară în alta a mijloacelor și tehnologiilor legate de criptografie .

Începând cu cel de-al doilea război mondial, un număr mare de state, inclusiv Statele Unite ale Americii și aliații NATO , au reglementat exportul criptografiei dintr-o perspectivă de securitate națională, definind criptografia ca muniție.

Având în vedere impactul enorm al criptanalizei în cel de-al doilea război mondial , era clar pentru aceste state că refuzul accesului inamicilor actuali și potențiali la sistemele criptografice avea o mare valoare militară. Aceste state aspirau, de asemenea, să controleze comunicațiile diplomatice ale altor națiuni, inclusiv numeroasele națiuni emergente post-coloniale a căror poziție din Războiul Rece a fost considerată vitală ^[1] .

Primul amendament al Constituției americane a făcut dificilă controlul utilizării criptografiei în Statele Unite, dar controlul accesului altor țări la cercetarea americană s-a dovedit a fi mai ușor sau cel puțin Constituția nu a împiedicat-o.

Ca urmare, în Regulamentul privind controlul munițiilor au fost introduse reglementări care impuneau o licență pentru exportul metodelor criptografice sau chiar o descriere a acestora; regulamentele stabileau că dincolo de o anumită rezistență, definită pe baza algoritmului și a lungimii cheii , exportul metodelor criptografice nu ar fi permis, cu excepția cazurilor speciale.

Dezvoltarea și publicarea Standardului de criptare a datelor (DES) și tehnicile cheie asimetrice în anii șaptezeci , nașterea internetului , luptele efectuate pentru eliminarea limitărilor în domeniul criptografic, uneori făcând imposibile aplicarea legii, făcute astfel încât în anii nouăzeci utilitatea acestei legi a fost redusă. În ciuda acestui fapt, unele ranguri militare americane de rang înalt credeau că disponibilitatea la nivel mondial și pe scară largă a tehnicilor avansate de criptare ar face mai dificilă pentru Agenția Națională de Securitate decodarea mesajelor care ar putea dezvălui informații importante despre planurile ostile Statelor Unite ^[2] .

În timpul Războiului Rece

La începutul Războiului Rece , Statele Unite și aliații săi au dezvoltat un set elaborat de reglementări privind controlul exporturilor pentru a împiedica un număr mare de tehnologii occidentale să cadă în mâinile țărilor din blocul sovietic . Toate tehnologiile clasificate drept „critice” necesită o licență. CoCom a fost creat pentru a coordona controalele de export.

Au fost protejate două tipuri de tehnologie: tehnologiile asociate armelor și cele care ar putea avea o posibilă utilizare militară, printre care se aflau și produse comerciale. În Statele Unite, exportul de tehnologii cu dublă utilizare a fost controlat de către Departamentul de Comerț al Statelor Unite , în timp ce muniția a fost controlată de către Departamentul de Stat al Statelor Unite . Aproape toate tehnologiile de criptare, inclusiv tehnici, instrumente și, după apariția computerelor, a software-ului, au fost incluse ca elemente din categoria 13 pe „Lista de muniții din Statele Unite”.

Cu toate acestea, acest lucru a avut de fapt o importanță minimă până când criptarea sigură a fost disponibilă publicului în perioada imediat postbelică. În cele din urmă, în anii 1960 , organizațiile financiare au început să solicite criptare robustă pentru întreprinderile în creștere rapidă în domeniul transferului virtual de bani.

Introducerea de către guvernul SUA a Standardului de criptare a datelor în 1975 a făcut ca utilizarea tehnologiilor criptografice de înaltă calitate să fie comună și au început să apară probleme serioase pentru controlul exporturilor criptografice. Acestea au fost, în general, tranzacționate printr-o licență de la caz la caz, care a achiziționat companii de calculatoare, cum ar fi IBM , și de la companii mari.

În era PC

Controlul exportului criptografiei a devenit o preocupare publică odată cu introducerea computerelor personale . Phil Zimmermann lui PGP Criptosistem și răspândirea acesteia pe internet în 1991 a fost prima lupta pentru controlul exporturilor de criptografie. Creșterea comerțului electronic în anii 1990 a fost un alt motiv pentru reducerea restricțiilor. La scurt timp după aceea, tehnologia SSL a Netscape a fost adoptată pe scară largă ca metodă de securizare a tranzacțiilor cu cardul de credit folosind criptografie cu cheie publică .

Mesajele criptate cu SSL foloseau cifrul RC4 și o cheie de 128 de biți. Politica de export din SUA nu a permis exportarea sistemelor criptografice cu cheie pe 128 de biți. În acest moment, guvernele occidentale au avut o atitudine fluctuantă atunci când au fost chestionate cu privire la criptografie; controlul a fost efectuat de criptanalizatori militari care erau interesați doar să împiedice dușmanii lor să dobândească secretele, dar această tehnologie a fost apoi transmisă comerțului de ofițeri a căror sarcină era să sprijine industria.

Cea mai lungă cheie permisă pentru exportul individual fără licență a fost cheia de 40 de biți, astfel încât Netscape a dezvoltat două versiuni ale browserului său. Versiunea „americană” avea o rezistență completă pe 128 de biți. Cea „internațională” a avut lungimea efectivă a cheii redusă la 40 de biți pentru a produce cei 88 de biți ai cheii de protocol SSL. Achiziționarea versiunii americane a fost atât de problematică încât majoritatea utilizatorilor, chiar și în SUA, au ajuns să achiziționeze versiunea „internațională”, a cărei criptare slabă pe 40 de biți ar putea fi întreruptă în câteva zile de la un singur computer personal. Din aceleași motive, aproximativ același lucru s-a întâmplat cu Lotus Notes.

Procesele formulate de Peter Junger , precum și de alți cetățeni liberali și susținătorii confidențialității, difuzarea pe scară largă a software-ului criptografic în afara Statelor Unite și sentimentul de către numeroase companii că publicitatea negativă despre criptarea slabă le-a limitat vânzările și creșterea comerțului electronic, au dus la o serie de slăbire a legii SUA privind exportul criptografiei, culminând cu semnarea președintelui Bill Clinton din 1996 a Ordinului executiv 13026 ^[3] transferând criptografia comercială de pe lista de muniții pe lista de verificare a comerțului. În plus, ordinul prevedea că software-ul nu va fi considerat sau tratat ca „tehnologie” conform Regulamentelor privind administrarea exporturilor. Această ordonanță a permis Departamentului de Comerț al SUA să introducă reguli care simplificau foarte mult exportul de software comercial și open source care conține criptografie care, în orice caz, un „stat necinstit” putea descărca și, prin urmare, controla, din rețele pentru partajarea de fișiere sau de pe servere. în afara Statelor Unite.

Situatia actuala

Exportul de criptografie din Statele Unite este controlat în prezent de Biroul de Industrie și Securitate al Departamentului de Comerț. Există încă unele restricții, chiar și pentru produsele de consum, în special în ceea ce privește exporturile către „ state necinstite ” și organizații teroriste . Echipamentele militare de criptare, componentele electronice compatibile TEMPEST , software-ul de criptare personalizat și chiar serviciile de consultanță criptografică necesită în continuare o licență de export. Multe produse sunt încă în curs de analiză sau trebuie notificate Biroului Industriei și Securității înainte de a fi exportate în majoritatea țărilor. De exemplu, Biroul Industriei și Securității trebuie să fie notificat înainte ca software-ul open source să fie disponibil pe Internet, chiar dacă nu este necesară o analiză. ^[4] Restricțiile la export au fost relaxate dinainte de 1996, dar sunt încă complexe, necesitând adesea avocați experimentați și consultări cu criptografi. Alte țări, în special cele care au participat la Acordul Wassenaar , au reglementări similare.

Notă

linkuri externe

Sondaj legea cripto , la rechten.uvt.nl . Adus la 17 februarie 2009 (arhivat din original la 6 ianuarie 2010) .
Biroul Industriei și Securității - O prezentare generală a reglementărilor din SUA pentru export poate fi găsită în pagina de bază a licențelor , iar o pagină mai specifică este dedicată exportului de criptografie .
Viața mea de curier cu arme Kiwi - povestea farsă a lui Peter Gutmann despre experiențele sale exportând software criptografic din Noua Zeelandă.

Portal de criptografie

Portal de securitate IT

[1] Kahn, The Codebreaker , Cap. 19

[2] .org .

[3] Ordinul executiv al SUA 13026

[4] Biroul SUA pentru Industrie și Securitate - Cerințe de notificare pentru codul sursă de criptare „disponibil public”

[1]

[2]

[3]

[4]