Экспорт криптографии из США - Export of cryptography from the United States

Ограничен экспорт ЮАР шифрование исходный код печать на футболке сделала футболку боеприпасом, экспорт которого ограничен, поскольку Свобода слова протест против ограничений экспорта шифрования США (Задняя сторона ).[1] Изменения в законе об экспорте означают, что экспорт этой футболки из США больше не является незаконным, а граждане США не могут показывать ее иностранцам.

Экспорт криптографический технологии и устройства из США были строго ограничены НАС. закон до 1992 года. Закон постепенно смягчался примерно до 2000 года, но некоторые ограничения все еще сохраняются.

С Вторая Мировая Война правительства многих стран, включая США и их НАТО союзники, регулировали экспорт криптографии по соображениям национальной безопасности, и еще в 1992 году криптография была на Список боеприпасов США как вспомогательное военное оборудование.[2]

Из-за огромного воздействия криптоанализ во Второй мировой войне, эти правительства видели военную ценность в отказе нынешним и потенциальным противникам в доступе к криптографическим системам. Поскольку США и ВЕЛИКОБРИТАНИЯ. считали, что у них лучшие криптографические возможности, чем у других, их спецслужбы пытались контролировать все распространение более эффективных криптографических методов. Они также хотели следить за дипломатической связью других стран, в том числе тех, которые появляются в постколониальный период и чья позиция по Холодная война вопросы были жизненно важны.[3]

В Первая поправка сделали незаконным контроль любого использования криптографии внутри США, но контроль доступа к разработкам в США других был более практичным - не было никаких конституционных препятствий.

Соответственно, правила были введены как часть боеприпасы элементы управления, требующие лицензий на экспорт криптографических методов (и даже их описания); правила устанавливали, что криптография сверх определенной силы (определяемой алгоритмом и длиной ключ ) не будет лицензироваться на экспорт, кроме как на индивидуальной основе. Эта политика была принята и в других странах по разным причинам.

Разработка и публичный выпуск Стандарт шифрования данных (DES) и асимметричный ключ техники в 1970-х, рост Интернет, а также готовность некоторых рискнуть и сопротивляться судебному преследованию, в конечном итоге сделали эту политику невозможной, и к концу 1990-х годов она была ослаблена в США и в некоторой степени в других странах (например, во Франции). Еще в 1997 году АНБ официальные лица в США были обеспокоены тем, что повсеместное использование надежного шифрования подорвет их способность предоставлять SIGINT в отношении иностранных субъектов, включая террористические группы, действующие на международном уровне. Представители АНБ ожидали, что американское программное обеспечение для шифрования, поддерживаемое разветвленной инфраструктурой, после выхода на рынок, скорее всего, станет стандартом для международных коммуникаций.[4] В 1997 г. Луи Фри, то Директор ФБР, сказал

Для правоохранительных органов проблема проста. В наше время великолепных телекоммуникаций и компьютерных технологий, когда информация может иметь исключительную ценность, наличие надежного шифрования имеет важное значение. Никто в правоохранительных органах с этим не спорит. Очевидно, что в сегодняшнем мире и, в большей степени, в будущем возможность шифрования как одновременных сообщений, так и сохраненных данных является жизненно важным компонентом информационной безопасности.

Однако, как это часто бывает, есть еще один аспект проблемы шифрования, который, если его не решить, будет иметь серьезные последствия для общественной и национальной безопасности. Правоохранительные органы единодушны в том, что широкое использование надежных, нешифрование для восстановления ключей в конечном итоге подорвет нашу способность бороться с преступностью и предотвращать терроризм. Неразрушаемое шифрование позволит наркобаронам, шпионам, террористам и даже жестоким бандам безнаказанно сообщать о своих преступлениях и заговорах. Мы потеряем одну из немногих оставшихся уязвимостей самых страшных преступников и террористов, от которых зависят правоохранительные органы для успешного расследования и зачастую предотвращения самых ужасных преступлений.

По этой причине правоохранительное сообщество единодушно призывает к сбалансированному решению этой проблемы.[5]

История

Эпоха холодной войны

В первые дни Холодная война, США и их союзники разработали тщательно продуманную серию экспортный контроль правила, разработанные для предотвращения попадания широкого спектра западных технологий в руки других, особенно Восточный блок. Для экспорта технологий, отнесенных к категории «критических», требуется лицензия. CoCom был организован для координации западного экспортного контроля.

Защищались два типа технологий: технология, связанная только с военным оружием («боеприпасы»), и технология двойного назначения, которая также имела коммерческое применение. В США экспорт технологий двойного назначения контролировался Министерство торговли, а боеприпасы контролировались Государственный департамент. Поскольку сразу после Второй мировой войны рынок криптографии был почти полностью военным, технология шифрования (методы, а также оборудование и, после того, как стали важны компьютеры, криптографическое программное обеспечение) была включена в «Категория XI - Разные статьи», а затем в категорию XIII. - Вспомогательное военное снаряжение »в Список боеприпасов США 17 ноября 1954 года. Многонациональный контроль над экспортом криптографии на западной стороне «холодной войны» осуществлялся через механизмы CoCom.

Однако к 1960-м годам финансовые организации начали требовать надежного коммерческого шифрования в быстрорастущей области проводных денежных переводов. Введение правительством США Стандарт шифрования данных в 1975 году это означало, что коммерческое использование высококачественного шифрования станет обычным явлением, и начали возникать серьезные проблемы экспортного контроля. Как правило, они рассматривались посредством рассмотрения индивидуальных запросов на экспортную лицензию от производителей компьютеров, таких как IBM, а также их крупными корпоративными клиентами.

Эпоха ПК

Контроль за экспортом шифрования стал предметом озабоченности общественности с введением персональный компьютер. Фил Циммерманн с PGP криптосистема и его распространение на Интернет в 1991 году был первый серьезный вызов «индивидуального уровня» по контролю за экспортом криптографии. Рост электронная коммерция в 1990-е годы создали дополнительное давление для снижения ограничений. VideoCipher II также использовал DES для шифрования звука спутникового телевидения.

В 1989 году использование криптографии без шифрования (например, контроль доступа и аутентификация сообщений) было исключено из-под экспортного контроля в соответствии с юрисдикцией сырьевых товаров. [1] В 1992 году в USML было официально добавлено исключение для использования криптографии (и дескремблеров спутникового телевидения) без шифрования, а также сделка между АНБ и Ассоциация издателей программного обеспечения сделали 40 бит RC2 и RC4 шифрование легко экспортируется с использованием товарной юрисдикции со специальными процессами проверки «7 дней» и «15 дней» (которые передали контроль от Государственного департамента Департаменту торговли). На этом этапе правительства западных стран практически разделились, когда дело касалось шифрования; Политика была разработана военными криптоаналитиками, которые были исключительно озабочены предотвращением получения секретов своими «врагами», но затем эта политика была доведена до коммерции чиновниками, чья работа заключалась в поддержке промышленности.

Вскоре после этого Netscape с SSL технология получила широкое распространение в качестве метода защиты транзакций по кредитным картам с использованием криптография с открытым ключом. Netscape разработала две версии своего веб-браузер. Версия для США поддерживает полный размер (обычно 1024 бит или больше). ЮАР открытые ключи в сочетании с полноразмерными симметричными ключами (секретными ключами) (128-битный RC4 или 3DES в SSL 3.0 и TLS 1.0). В "International Edition" эффективная длина ключа была уменьшена до 512 бит и 40 бит соответственно (RSA_EXPORT с 40-битным RC2 или RC4 в SSL 3.0 и TLS 1.0).[6] Приобретение США отечественная версия оказалась настолько сложной, что большинство пользователей компьютеров, даже в США, остановились на версии «International»,[7] чей слабый 40-битное шифрование в настоящее время могут быть взломаны за считанные дни с помощью одного компьютера. Аналогичная ситуация произошла с Lotus Notes по тем же причинам.

Правовые проблемы к Питер Юнгер и других гражданских либертарианцев и защитников конфиденциальности, широкая доступность программного обеспечения для шифрования за пределами США и восприятие многими компаниями того, что негативная реклама слабого шифрования ограничивает их продажи и рост электронной коммерции, привели к ряду послаблений в США. экспортный контроль, кульминацией которого стало 1996 г. Билл Клинтон подписание Распоряжение 13026 перенос коммерческого шифрования из Списка боеприпасов в Список контроля за торговлей. Кроме того, в приказе говорилось, что «программное обеспечение не должно рассматриваться или рассматриваться как« технология »» в смысле Правила экспортного управления. Процесс товарной юрисдикции был заменен процессом товарной классификации, и было добавлено положение, разрешающее экспорт 56-битного шифрования, если экспортер обещал добавить бэкдоры «восстановления ключа» к концу 1998 года. В 1999 году EAR был изменен на позволяют экспортировать 56-битное шифрование (на основе RC2, RC4, RC5, DES или CAST) и 1024-битный RSA без каких-либо бэкдоров, и для поддержки этого были представлены новые комплекты шифров SSL (RSA_EXPORT1024 с 56-битным RC4 или DES). В 2000 г. Министерство торговли реализованы правила, которые значительно упростили экспорт коммерческих и Открытый исходный код программное обеспечение, содержащее криптографию, включая возможность снятия ограничений по длине ключа после прохождения процесса классификации товаров (для классификации программного обеспечения как «розничного») и добавление исключения для общедоступного исходного кода шифрования.[8]

Текущее состояние

По состоянию на 2009 годэкспорт невоенной криптографии из США контролируется Министерством торговли США. Бюро промышленности и безопасности.[9] Некоторые ограничения все еще существуют даже для товаров массового потребления, особенно в отношении экспорта в "государства-изгои " и террорист организации. Военизированное шифровальное оборудование, ТЕМПЕСТ -утвержденная электроника, нестандартное криптографическое программное обеспечение и даже консалтинговые услуги по криптографии по-прежнему требуют экспортной лицензии[9](стр. 6–7). Кроме того, регистрация шифрования в BIS требуется для экспорта «товаров массового потребления, программного обеспечения и компонентов для шифрования с шифрованием, превышающим 64 бит» (75 FR 36494 ). Кроме того, другие товары требуют одноразовой проверки или уведомления BIS перед экспортом в большинство стран.[9] Например, BIS должна быть уведомлена до того, как криптографическое программное обеспечение с открытым исходным кодом станет общедоступным в Интернете, хотя проверка не требуется.[10] Правила экспорта были смягчены по сравнению со стандартами, существовавшими до 1996 года, но все еще остаются сложными.[9] Другие страны, особенно участвующие в Вассенаарская договоренность,[11] имеют аналогичные ограничения.[12]

Правила экспорта США

Невоенный экспорт США контролируется Правила экспортного управления (EAR), сокращенное название США. Свод федеральных правил (CFR) Раздел 15, глава VII, подраздел C.

Элементы шифрования, специально спроектированные, разработанные, настроенные, адаптированные или модифицированные для военных приложений (включая приложения для управления, контроля и разведки), контролируются Госдепартамент на Список боеприпасов США.

Терминология

Терминология экспорта шифрования определена в части 772.1 EAR.[13] Особенно:

  • Компонент шифрования является продуктом или программным обеспечением для шифрования (но не исходным кодом), включая микросхемы шифрования, интегральные схемы и т. д.
  • Элементы шифрования включают невоенные средства шифрования, программное обеспечение и технологии.
  • Открытый криптографический интерфейс представляет собой механизм, который позволяет покупателю или другой стороне добавлять криптографические функции без вмешательства, помощи или помощи производителя или его агентов.
  • Вспомогательная криптография предметы - это те, которые в основном используются не для вычислений и связи, а для управление цифровыми правами; игры, бытовая техника; печать, фото и видео запись (но не видеоконференцсвязь); автоматизация бизнес-процессов; промышленные или производственные системы (включая робототехника, пожарная сигнализация и HVAC ); автомобильный, авиация и другие транспортные системы.

Пункты назначения экспорта классифицируются в Приложении № 1 к Части 740 EAR на четыре группы стран (A, B, D, E) с дальнейшими подразделениями;[14] страна может принадлежать более чем к одной группе. Для целей шифрования важны группы B, D: 1 и E: 1:

  • B это большой список стран, в которых действуют упрощенные правила экспорта шифрования.
  • Д: 1 это краткий список стран, которые подлежат более строгому экспортному контролю. Известные страны в этом списке включают Китай и Россия
  • E: 1 - это очень короткий список стран, «поддерживающих террористов» (по состоянию на 2009 год, включает пять стран; ранее содержал шесть стран и также назывался «террористическая 6» или Т-6)

Приложение EAR № 1 к Части 738 (Таблица торговых стран) содержит таблицу с ограничения страны.[15] Если строка таблицы, соответствующая стране, содержит X в причина для контроля столбец, для экспорта контролируемого объекта требуется лицензия, если только исключение может быть применено. Для целей шифрования важны следующие три причины для контроля:

  • NS1 Колонка национальной безопасности 1
  • AT1 Колонка "Антитерроризм" 1
  • EI Элементы шифрования в настоящее время такие же, как NS1

Классификация

Для целей экспорта каждый товар классифицируется с Классификационный номер экспортного контроля (ECCN) с помощью Список контроля за торговлей (CCL, Дополнение № 1 к EAR часть 774). Особенно:[9]

  • 5A002 Системы, оборудование, электронные сборки и интегральные схемы для защиты информации. Причины контроля: NS1, AT1.
  • 5A992 Шифровальные товары для массового рынка и другое оборудование, не контролируемое 5A002. Причина контроля: AT1.
  • 5B002 Оборудование для разработки или производства изделий, классифицированных как 5A002, 5B002, 5D002 или 5E002. Причины контроля: NS1, AT1.
  • 5D002 Программное обеспечение для шифрования. Причины контроля: NS1, AT1.
    • используется для разработки, производства или использования предметов, классифицированных как 5A002, 5B002, 5D002
    • поддерживающая технология, управляемая 5E002
    • моделирование функций оборудования под управлением 5A002 или 5B002
    • используется для сертификации программного обеспечения, контролируемого 5D002
  • 5D992 Программное обеспечение шифрования не контролируется 5D002. Причины контроля: АТ1.
  • 5E002 Технология разработки, производства или использования оборудования, контролируемого 5A002 или 5B002, или программного обеспечения, управляемого 5D002. Причины контроля: NS1, AT1.
  • 5E992 Техника для изделий 5х992. Причины контроля: АТ1.

Элемент может быть либо самоклассифицированным, либо классификационным («обзором»), запрашиваемым BIS. Проверка BIS требуется для типовых элементов, чтобы получить классификацию 5A992 или 5D992.

Смотрите также

Рекомендации

  1. ^ «Футболка с боеприпасами».
  2. ^ Государственный департамент - Правила международной торговли оружием, 1 апреля 1992 г., раздел 121.1.
  3. ^ Кан, Взломщики кодов, Гл. 19
  4. ^ Дискуссия о шифровании: аспекты разведки. См. Ссылку ниже, стр. 4
  5. ^ Заявление Луи Дж. Фри, директора Федерального бюро расследований, перед Судебным комитетом Сената. 9 июля 1997 г.
  6. ^ "Укрепление для Netscape". www.fortify.net. Получено 1 декабря 2017.
  7. ^ "25 января 1999 г., архив страницы загрузки Netscape Communicator 4.61, показывающий более сложный путь загрузки 128-битной версии". Архивировано 16 сентября 1999 года.. Получено 2017-03-26.CS1 maint: BOT: статус исходного URL-адреса неизвестен (связь)
  8. ^ «Пересмотренные правила экспортного контроля шифрования США». EPIC копия документа из Министерства торговли США. Январь 2000 г.. Получено 2014-01-06.
  9. ^ а б c d е Дополнение № 1 к Списку контроля за торговлей к Части 774 Категория 5 Часть 2 - Информация. Безопасность
  10. ^ «Бюро промышленности и безопасности США - Требования к уведомлениям для« общедоступного »исходного кода шифрования». Bis.doc.gov. 2004-12-09. Архивировано из оригинал 21.09.2002. Получено 2009-11-08.
  11. ^ Государства-участники В архиве 27.05.2012 в Archive.today Вассенаарские договоренности
  12. ^ Вассенаарские договоренности о контроле за экспортом обычных вооружений и товаров и технологий двойного назначения: руководящие принципы и процедуры, включая исходные элементы Вассенаарские договоренности, декабрь 2009 г.
  13. ^ "EAR Часть 772" (PDF). Архивировано из оригинал (PDF) на 2009-05-09. Получено 2009-06-27.
  14. ^ «Дополнение EAR № 1 к Части 740» (PDF). Архивировано из оригинал (PDF) на 2009-06-18. Получено 2009-06-27.
  15. ^ «Дополнение EAR № 1 к Части 738» (PDF). Архивировано из оригинал (PDF) на 2009-05-09. Получено 2009-06-27.

внешняя ссылка