Экспорт криптографии из США

Передача из США в другую страну технологий, связанных с криптографией

Исходный код шифрования RSA, ограниченный к экспорту , напечатанный на футболке, сделал футболку боеприпасом, ограниченным к экспорту, в знак протеста за свободу слова против ограничений на экспорт шифрования в США ( обратная сторона ). ^[1] Изменения в законе об экспорте означают, что экспорт этой футболки из США или демонстрация ее гражданами США иностранцам больше не являются незаконными.

Экспорт криптографии из Соединенных Штатов в другие страны с течением времени подвергался различным уровням ограничений. ^[2] Вторая мировая война показала, что взлом кодов и криптография могут играть неотъемлемую роль в национальной безопасности и способности вести войну. Изменения в технологиях и сохранение свободы слова были конкурирующими факторами в регулировании и ограничении экспорта криптографических технологий.

История

Эпоха холодной войны

В первые дни Холодной войны США и их союзники разработали сложную серию правил экспортного контроля , призванных предотвратить попадание широкого спектра западных технологий в руки других, особенно Восточного блока . Для любого экспорта технологий, классифицируемых как «критические», требовалась лицензия. CoCom был организован для координации западного экспортного контроля.

Защищались два типа технологий: технологии, связанные только с оружием войны («боеприпасы»), и технологии двойного назначения, которые также имели коммерческое применение. В США экспорт технологий двойного назначения контролировался Министерством торговли , в то время как боеприпасы контролировались Государственным департаментом . Поскольку сразу после Второй мировой войны рынок криптографии был почти полностью военным, технология шифрования (методы, а также оборудование и, после того как компьютеры начали играть большую роль в современной жизни, криптографическое программное обеспечение) была включена в качестве пункта «Категория XI — Разные статьи», а затем «Категория XIII — Вспомогательное военное оборудование» в Список боеприпасов США 17 ноября 1954 года. Многонациональный контроль над экспортом криптографии на западной стороне холодной войны осуществлялся через механизмы CoCom.

Однако к 1960-м годам финансовые организации начали требовать сильное коммерческое шифрование в быстрорастущей области проводных денежных переводов. Введение правительством США Стандарта шифрования данных в 1975 году означало, что коммерческое использование высококачественного шифрования станет обычным делом, и начали возникать серьезные проблемы экспортного контроля. Обычно они решались посредством индивидуальных процедур запроса экспортной лицензии, инициированных производителями компьютеров, такими как IBM , и их крупными корпоративными клиентами.

эра ПК

Установочный диск Netscape Navigator с надписью «Не для экспорта»

Контроль за экспортом криптографии стал предметом общественного беспокойства с появлением персональных компьютеров . Программное обеспечение для шифрования PGP Фила Циммермана и его распространение в Интернете в 1991 году стало первым серьезным вызовом «индивидуального уровня» контролю за экспортом криптографии. Рост электронной коммерции в 1990-х годах создал дополнительное давление для снижения ограничений. VideoCipher II также использовал DES для шифрования звука спутникового телевидения.

В 1989 году нешифрованное использование криптографии (такое как контроль доступа и аутентификация сообщений) было исключено из экспортного контроля с помощью товарной юрисдикции. [1] В 1992 году в USML было официально добавлено исключение для нешифрованного использования криптографии (и дешифраторов спутникового телевидения), а соглашение между АНБ и Ассоциацией издателей программного обеспечения сделало 40-битное шифрование RC2 и RC4 легко экспортируемым с помощью товарной юрисдикции со специальными «7-дневными» и «15-дневными» процессами проверки (которые передали контроль от Госдепартамента Министерству торговли). На этом этапе западные правительства на практике имели раздвоение личности, когда дело касалось шифрования; политика была разработана военными криптоаналитиками, которые были озабочены исключительно тем, чтобы не допустить приобретения секретов их «врагами», но эта политика затем была передана в торговлю должностными лицами, чья работа заключалась в поддержке промышленности.

Вскоре после этого технология SSL компании Netscape получила широкое распространение в качестве метода защиты транзакций по кредитным картам с использованием криптографии с открытым ключом . Netscape разработала две версии своего веб-браузера . «Американская версия» поддерживала полноразмерные (обычно 1024-битные или больше) открытые ключи RSA в сочетании с полноразмерными симметричными ключами (секретными ключами) (128-битные RC4 или 3DES в SSL 3.0 и TLS 1.0). «Международная версия» имела действующие длины ключей, уменьшенные до 512 бит и 40 бит соответственно ( RSA_EXPORT с 40-битными RC2 или RC4 в SSL 3.0 и TLS 1.0). ^[3] Приобретение «американской внутренней» версии оказалось достаточно сложным, поэтому большинство пользователей компьютеров, даже в США, в конечном итоге остановились на «международной» версии, ^[4] чье слабое 40-битное шифрование в настоящее время можно взломать за несколько дней с помощью одного компьютера. Аналогичная ситуация произошла с Lotus Notes по тем же причинам.

Юридические иски Питера Юнгера и других борцов за гражданские права и защитников конфиденциальности, широкая доступность программного обеспечения для шифрования за пределами США и восприятие многими компаниями того, что негативная реклама слабого шифрования ограничивает их продажи и рост электронной коммерции, привели к серии послаблений в экспортном контроле США, кульминацией которых стало подписание президентом Биллом Клинтоном в 1996 году указа 13026 о переводе коммерческого шифрования из Списка боеприпасов в Список контроля за торговлей . Кроме того, в указе говорилось, что «программное обеспечение не должно рассматриваться или рассматриваться как «технология»» в смысле Правил экспортного администрирования . Процесс Commodity Jurisdiction был заменен процессом Commodity Classification, и было добавлено положение, разрешающее экспорт 56-битного шифрования, если экспортер обещал добавить бэкдоры «восстановления ключа» к концу 1998 года. В 1999 году EAR был изменен, чтобы разрешить экспорт 56-битного шифрования (на основе RC2, RC4, RC5, DES или CAST) и 1024-битного RSA без каких-либо бэкдоров, и были введены новые наборы шифров SSL для поддержки этого ( RSA_EXPORT1024 с 56-битным RC4 или DES). В 2000 году Министерство торговли ввело правила, которые значительно упростили экспорт коммерческого и открытого программного обеспечения, содержащего криптографию, включая разрешение на снятие ограничений на длину ключа после прохождения процесса Commodity Classification (для классификации программного обеспечения как «розничного») и добавление исключения для общедоступного исходного кода шифрования. ^[5]

Текущий статус

По состоянию на 2009 год ^{[обновлять]}экспорт невоенной криптографии из США контролируется Бюро промышленности и безопасности Министерства торговли . ^[6] Некоторые ограничения все еще существуют, даже для продуктов массового рынка; особенно в отношении экспорта в « государства-изгои » и террористические организации. Военизированное шифровальное оборудование, одобренная TEMPEST электроника, пользовательское криптографическое программное обеспечение и даже криптографические консультационные услуги по-прежнему требуют экспортной лицензии ^[6] (стр. 6–7). Кроме того, регистрация шифрования в BIS требуется для экспорта «товаров массового рынка шифрования, программного обеспечения и компонентов с шифрованием, превышающим 64 бита» (75 FR 36494). Для алгоритмов эллиптических кривых и асимметричных алгоритмов требования к длине ключа составляют 128 бит и 768 бит соответственно. ^[7] Кроме того, другие товары требуют одноразового рассмотрения или уведомления BIS перед экспортом в большинство стран. ^[6] Например, BIS должен быть уведомлен до того, как криптографическое программное обеспечение с открытым исходным кодом будет опубликовано в Интернете, хотя проверка не требуется. ^[8] Экспортные правила были смягчены по сравнению со стандартами до 1996 года, но все еще сложны. ^[6] Другие страны, в частности, участвующие в Вассенаарском соглашении , ^[9] имеют аналогичные ограничения. ^[10] 29 марта 2021 года в Федеральном реестре были опубликованы Решения пленарного заседания по реализации Вассенаарского соглашения 2019 года ^[11] . Это правило включало изменения в лицензионное исключение ENC Раздел 740.17 EAR ^{[12] [13]}

Правила экспорта США

Невоенный экспорт США контролируется Правилами экспортного администрирования (EAR), сокращенным названием Свода федеральных правил США (CFR), Раздел 15, Глава VII, Подраздел C.

Элементы шифрования, специально спроектированные, разработанные, настроенные, адаптированные или модифицированные для военных целей (включая командование, управление и разведку), контролируются Государственным департаментом и включены в Список боеприпасов США .

Терминология

Терминология экспорта шифрования определена в части EAR 772.1. ^[14] В частности:

• Компонент шифрования — это продукт или программное обеспечение для шифрования (но не исходный код), включая микросхемы шифрования, интегральные схемы и т. д.
• К средствам шифрования относятся средства шифрования, программное обеспечение и технологии невоенного назначения.
• Открытый криптографический интерфейс — это механизм, который позволяет клиенту или другой стороне вставлять криптографические функции без вмешательства, помощи или содействия производителя или его агентов.
• Вспомогательные элементы криптографии — это те, которые в первую очередь используются не для вычислений и связи, а для управления цифровыми правами ; игр, бытовой техники; печати, фото- и видеозаписи (но не видеоконференций); автоматизации бизнес-процессов ; промышленных или производственных систем (включая робототехнику , пожарную сигнализацию и системы отопления, вентиляции и кондиционирования воздуха ); автомобильных , авиационных и других транспортных систем.

Экспортные направления классифицируются Приложением EAR № 1 к Части 740 по четырем группам стран (A, B, D, E) с дальнейшими подразделениями; ^[15] страна может принадлежать к более чем одной группе. Для целей шифрования важны группы B, D:1 и E:1:

• B — большой список стран, на которые распространяются смягченные правила экспорта шифрования.
• D:1 — это краткий список стран, которые подлежат более строгому экспортному контролю. Известные страны в этом списке включают Китай и Россию .
• E:1 — очень короткий список стран, «поддерживающих террористов» (по состоянию на 2009 год включает пять стран ( Куба , Иран , Северная Корея , Судан и Сирия ); ранее включал шесть стран и также назывался «террористической 6» или T-6)

Приложение EAR № 1 к Части 738 (Таблица стран торговли) содержит таблицу с ограничениями по странам . ^[16] Если строка таблицы, соответствующая стране, содержит X в столбце причины контроля , экспорт контролируемого товара требует лицензии, если только не может быть применено исключение . Для целей шифрования важны следующие три причины контроля:

• NS1 Национальная безопасность, колонка 1
• AT1 Антитеррористическая колонна 1
• Элементы шифрования EI в настоящее время такие же, как и NS1

Классификация

Для целей экспорта каждый товар классифицируется с помощью номера классификации экспортного контроля (ECCN) с помощью Списка торгового контроля (CCL, Дополнение № 1 к EAR часть 774). В частности: ^[6]

• 5A002 Системы, оборудование, электронные узлы и интегральные схемы для «информационной безопасности». Причины контроля: NS1, AT1.
• 5A992 «Массовый рынок» шифровальных товаров и другого оборудования, не контролируемого 5A002. Причина контроля: AT1.
• 5B002 Оборудование для разработки или производства изделий, классифицированных как 5A002, 5B002, 5D002 или 5E002. Причины контроля: NS1, AT1.
• 5D002 Программное обеспечение для шифрования. Причины контроля: NS1, AT1.
  • используется для разработки, производства или использования предметов, классифицированных как 5A002, 5B002, 5D002
  • Поддерживающая технология, контролируемая 5E002
  • моделирование функций оборудования, управляемого 5A002 или 5B002
  • используется для сертификации программного обеспечения, контролируемого 5D002
• 5D992 Программное обеспечение для шифрования не контролируется 5D002. Причины контроля: AT1.
• 5E002 Технология разработки, производства или использования оборудования, контролируемого 5A002 или 5B002, или программного обеспечения, контролируемого 5D002. Причины контроля: NS1, AT1.
• 5E992 Технология для элементов 5x992. Причины контроля: AT1.

Элемент может быть либо самоклассифицирован, либо классификация («обзор») запрошена в BIS. Обзор BIS требуется для типичных элементов, чтобы получить классификацию 5A992 или 5D992.

Смотрите также

• Бернштейн против Соединенных Штатов
• Отказано в проверке торговли
• Экспортный контроль
• Юнгер против Дейли
• Ограничения на импорт криптографии
• НЕНОРМАЛЬНЫЙ
• Криптовойны

Ссылки

1. "Футболка с изображением боеприпасов".
2. Диффи, Уитфилд; Ландау, Сьюзен (2007), «Экспорт криптографии в 20-м и 21-м веках», История информационной безопасности , Elsevier, стр. 725–736, doi :10.1016/b978-044451608-4/50027-4, ISBN 978-0-444-51608-4, получено 2023-08-12
3. "Fortify for Netscape". www.fortify.net . Получено 1 декабря 2017 г. .
4. "Архив страницы загрузки Netscape Communicator 4.61 от 25 января 1999 г., показывающий более сложный путь загрузки 128-битной версии". Архивировано из оригинала 16 сентября 1999 г. Получено 26.03.2017 .{{cite web}}: CS1 maint: бот: исходный статус URL неизвестен ( ссылка )
5. "Пересмотренные правила экспортного контроля шифрования в США". EPIC-копия документа из Министерства торговли США . Январь 2000 г. Получено 06.01.2014 .
6. Дополнение к списку торгового контроля № 1 к Части 774, Категория 5, Часть 2 — Информационная безопасность
7. "CCL5 PT2" (PDF) . www.bis.doc.gov . Получено 2022-10-10 .
8. "Бюро промышленности и безопасности США - Требования к уведомлению об "общедоступном" исходном коде шифрования". Bis.doc.gov. 2004-12-09. Архивировано из оригинала 2002-09-21 . Получено 2009-11-08 .
9. Государства-участники Архивировано 2012-05-27 в archive.today Вассенаарские договоренности
10. Вассенаарские договоренности по экспортному контролю за обычными вооружениями, товарами и технологиями двойного назначения: руководящие принципы и процедуры, включая начальные элементы Вассенаарские договоренности, декабрь 2009 г.
11. Вассенаарские договоренности по экспортному контролю за обычными вооружениями, товарами и технологиями двойного назначения. Публичные документы. Том IV. Справочные документы, а также заявления, касающиеся пленарного заседания, и другие заявления. Архивировано 09.02.2024. Вассенаарские договоренности. Декабрь 2019 г.
12. Правила шифрования и экспортного администрирования (EAR) Архивировано 2024-02-09 в archive.today
13. Правила экспортного администрирования: Реализация Вассенаарских соглашений 2019 Пленарных решений Архивировано на странице 16482 Федерального реестра Архивировано Реализация Вассенаарских соглашений 2019 Пленарных решений. Архивировано 2024-02-09
14. "15 CFR § 772.1 - Определения терминов, используемых в Правилах экспортного администрирования (EAR)". LII / Институт юридической информации . Получено 2021-09-30 .
15. "EAR Supplement No. 1 to Part 740" (PDF) . Архивировано из оригинала (PDF) 2009-06-18 . Получено 2009-06-27 .
16. "EAR Supplement No. 1 to Part 738" (PDF) . Архивировано из оригинала (PDF) 2009-05-09 . Получено 2009-06-27 .

Внешние ссылки

• Обзор крипто-законодательства
• Бюро промышленности и безопасности. Обзор экспортных правил США можно найти на странице с основами лицензирования.
• Уитфилд Диффи и Сьюзан Ландау, Экспорт криптографии в 20-м и 21-м веках. В Карл де Леу, Ян Бергстра, ред. История информационной безопасности. Полное руководство. Elsevier, 2007. стр. 725
• Контроль за экспортом шифрования. Отчет CRS для Конгресса RL30273. Исследовательская служба Конгресса, ˜Библиотека Конгресса. 2001 Архивировано 28.02.2019 на Wayback Machine
• Дебаты по шифрованию: аспекты разведки. Отчет CRS для Конгресса 98-905 F. Исследовательская служба Конгресса, Библиотека Конгресса. 1998
• Технология шифрования: Конгресс США, выпуск CRS, краткий обзор для Конгресса IB96039. Исследовательская служба Конгресса, Библиотека Конгресса. 2000
• Криптография и свобода 2000. Международный обзор политики шифрования. Информационный центр электронной конфиденциальности. Вашингтон, округ Колумбия. 2000
• Национальный исследовательский совет, Роль криптографии в обеспечении безопасности информационного общества. National Academy Press, Вашингтон, округ Колумбия, 1996 (ссылка на полный текст доступна на странице).
• Эволюция ограничений правительства США на использование и экспорт технологий шифрования (U) Архивировано 09.05.2016 на Wayback Machine , Майкл Шварцбек, Технологии шифрования, около 1997 г., ранее Совершенно секретно, одобрено к публикации АНБ с редакционными правками 10 сентября 2014 г., C06122418