Экспорт криптографии из США

Экспорт криптографии из США в другие страны с течением времени подвергался различным уровням ограничений. ^[2] Вторая мировая война продемонстрировала, что взлом кодов и криптография могут играть неотъемлемую роль в обеспечении национальной безопасности и возможности ведения войны. Изменения в технологиях и сохранение свободы слова стали конкурирующими факторами в регулировании и ограничении экспорта криптографических технологий.

История

Эпоха холодной войны

В первые дни холодной войны США и их союзники разработали тщательно продуманную серию правил экспортного контроля , призванных предотвратить попадание широкого спектра западных технологий в руки других стран, особенно Восточного блока . Весь экспорт технологий, отнесенных к категории «критических», требует лицензии. CoCom был организован для координации западного экспортного контроля.

Охранялись два типа технологий: технологии, связанные только с военным оружием («боеприпасами»), и технологии двойного назначения, которые также имели коммерческое применение. В США экспорт технологий двойного назначения контролировался Министерством торговли , а боеприпасы контролировались Государственным департаментом . Поскольку сразу после Второй мировой войны рынок криптографии был почти полностью военным, технология шифрования (методы, а также оборудование, а после того, как компьютеры начали играть более важную роль в современной жизни, криптографическое программное обеспечение) была включена в «Категорию XI — Разное». Статьи», а затем «Категория XIII — Вспомогательное военное оборудование» в Списке боеприпасов США 17 ноября 1954 года. Многонациональный контроль над экспортом криптографии на западной стороне разделения холодной войны осуществлялся через механизмы CoCom.

Однако к 1960-м годам финансовые организации начали требовать надежного коммерческого шифрования в быстро развивающейся области проводных денежных переводов. Введение правительством США стандарта шифрования данных в 1975 году означало, что коммерческое использование высококачественного шифрования стало обычным явлением, и начали возникать серьезные проблемы с экспортным контролем. Как правило, эти вопросы решались посредством индивидуальных процедур запроса экспортной лицензии, возбужденных производителями компьютеров, такими как IBM , и их крупными корпоративными клиентами.

эпоха ПК

Контроль за экспортом шифрования стал предметом общественного беспокойства с появлением персонального компьютера . Фила Циммермана и PGP Программное обеспечение для шифрования его распространение в Интернете в 1991 году стало первым серьезным вызовом на «индивидуальном уровне» для контроля над экспортом криптографии. Рост электронной торговли в 1990-х годах создал дополнительное давление в пользу снижения ограничений. VideoCipher II также использовал DES для шифрования звука спутникового телевидения.

В 1989 году использование криптографии без шифрования (например, контроль доступа и аутентификация сообщений) было исключено из-под экспортного контроля в товарной юрисдикции. [1] В 1992 году в USML было официально добавлено исключение для использования криптографии (и дескремблеров спутникового телевидения) без шифрования, а соглашение между АНБ и Ассоциацией издателей программного обеспечения сделало 40-битное шифрование RC2 и RC4 легко экспортируемым с использованием Commodity. Юрисдикция со специальными «7-дневными» и «15-дневными» процессами рассмотрения (которые передали контроль от Государственного департамента Министерству торговли). На этом этапе западные правительства на практике имели раздвоение личности, когда дело касалось шифрования; Эта политика была разработана военными криптоаналитиками, которые были озабочены исключительно предотвращением получения секретов их «врагами», но затем эта политика была передана коммерции чиновниками, чья работа заключалась в поддержке промышленности.

Вскоре после этого Netscape технология SSL получила широкое распространение как метод защиты транзакций по кредитным картам с использованием криптографии с открытым ключом . Netscape разработала две версии своего веб-браузера . «Редакция для США» поддерживала полноразмерные (обычно 1024-битные или более) открытые ключи RSA в сочетании с полноразмерными симметричными ключами (секретными ключами) (128-битный RC4 или 3DES в SSL 3.0 и TLS 1.0). В «International Edition» эффективная длина ключей была уменьшена до 512 бит и 40 бит соответственно ( RSA_EXPORT с 40-битным RC2 или RC4 в SSL 3.0 и TLS 1.0). ^[3] Приобретение «внутренней» версии для США оказалось настолько хлопотным, что большинство пользователей компьютеров, даже в США, в конечном итоге остановились на «международной» версии. ^[4] чье слабое 40-битное шифрование в настоящее время можно взломать за считанные дни с помощью одного компьютера. Аналогичная ситуация произошла с Lotus Notes по тем же причинам.

Юридические проблемы со стороны Питера Юнгера и других борцов за гражданские права и защитников конфиденциальности, широкая доступность программного обеспечения для шифрования за пределами США, а также восприятие многими компаниями того, что негативная реклама о слабом шифровании ограничивает их продажи и рост электронной коммерции, привели к серия послаблений в экспортном контроле США, кульминацией которых стало Президентом Биллом Клинтоном подписание в 1996 году Исполнительного указа 13026 о переносе коммерческого шифрования из Списка боеприпасов в Список контроля над торговлей . Кроме того, в приказе говорилось, что «программное обеспечение не должно рассматриваться или рассматриваться как «технология»» в смысле Положений об экспортном контроле . Процесс товарной юрисдикции был заменен процессом классификации товаров, и было добавлено положение, разрешающее экспорт 56-битного шифрования, если экспортер пообещал добавить бэкдоры для «восстановления ключей» к концу 1998 года. В 1999 году EAR был изменен на позволяют экспортировать 56-битное шифрование (на основе RC2, RC4, RC5, DES или CAST) и 1024-битное RSA без каких-либо бэкдоров, а для поддержки этого были представлены новые наборы шифров SSL ( RSA_EXPORT1024 с 56-битным RC4 или DES). В 2000 году Министерство торговли ввело правила, которые значительно упростили экспорт коммерческого программного обеспечения и программного обеспечения с открытым исходным кодом , содержащего криптографию, в том числе разрешили снимать ограничения на длину ключа после прохождения процесса товарной классификации (чтобы классифицировать программное обеспечение как «розничное») и добавление исключения для общедоступного исходного кода шифрования. ^[5]

Текущий статус

По состоянию на 2009 год ^[update]Экспорт невоенной криптографии из США контролируется Бюро промышленности и безопасности Министерства торговли . ^[6] Некоторые ограничения все еще существуют даже для товаров массового рынка; особенно в отношении экспорта в « страны-изгои » и террористические организации. Военное шифровальное оборудование, электроника, одобренная TEMPEST , специальное криптографическое программное обеспечение и даже консультационные услуги по криптографии по-прежнему требуют экспортной лицензии. ^[6](стр. 6–7). Кроме того, регистрация шифрования в BIS требуется для экспорта «товаров, программного обеспечения и компонентов шифрования массового рынка с шифрованием, превышающим 64 бита» (75 FR 36494 ). Для алгоритмов эллиптических кривых и асимметричных алгоритмов требования к длине ключа составляют 128 бит и 768 бит соответственно. ^[7] Кроме того, другие товары требуют однократной проверки или уведомления BIS перед экспортом в большинство стран. ^[6] Например, перед тем, как криптографическое программное обеспечение с открытым исходным кодом станет общедоступным в Интернете, необходимо уведомить BIS, хотя никакой проверки не требуется. ^[8] Экспортные правила были смягчены по сравнению со стандартами, существовавшими до 1996 года, но они по-прежнему остаются сложными. ^[6] Другие страны, особенно страны-участницы Вассенаарских договоренностей , ^[9] имеют аналогичные ограничения. ^[10]29 марта 2021 г. Реализация решений пленарного заседания Вассенаарских договоренностей 2019 г. ^[11] был опубликован в Федеральном реестре. Это правило включало изменения в исключении из лицензии ENC, раздел 740.17 EAR. ^[12]^[13]

Правила экспорта США

Невоенный экспорт США контролируется Положениями об администрировании экспорта (EAR), сокращенным названием Кодекса федеральных правил США (CFR), раздел 15, глава VII, подраздел C.

Средства шифрования, специально спроектированные, разработанные, сконфигурированные, адаптированные или модифицированные для военных целей. приложения (включая приложения управления, контроля и разведки) контролируются в Государственный департамент Списке боеприпасов США .

Терминология

Терминология экспорта шифрования определена в части 772.1 EAR. ^[14] В частности:

Компонент шифрования — это продукт или программное обеспечение для шифрования (но не исходный код), включая чипы шифрования, интегральные схемы и т. д.
К объектам шифрования относятся невоенные средства шифрования, программное обеспечение и технологии.
Открытый криптографический интерфейс — это механизм, который предназначен для того, чтобы позволить клиенту или другой стороне вставлять криптографические функции без вмешательства, помощи или содействия производителя или его агентов.
Вспомогательные элементы криптографии — это те, которые в основном используются не для вычислений и связи, а для управления цифровыми правами ; игры, бытовая техника; печать, фото- и видеофиксация (кроме видеоконференцсвязи); автоматизация бизнес-процессов ; промышленные или производственные системы (включая робототехнику , пожарную сигнализацию и системы отопления, вентиляции и кондиционирования ); автомобильные , авиационные и другие транспортные системы.

Направления экспорта классифицируются Дополнением EAR № 1 к Части 740 на четыре группы стран (A, B, D, E) с дальнейшими подразделениями; ^[15] страна может принадлежать более чем к одной группе. Для целей шифрования важны группы B, D:1 и E:1:

B — большой список стран, на которые распространяются смягченные правила экспорта шифрования.
D:1 — это краткий список стран, на которые распространяется более строгий экспортный контроль. Известные страны в этом списке включают Китай и Россию .
E:1 — очень короткий список стран, «поддерживающих терроризм» (по состоянию на 2009 год, включает пять стран ( Куба , Иран , Северная Корея , Судан и Сирия ); ранее содержал шесть стран и также назывался «террористической шестеркой» или Т-6)

Дополнение EAR № 1 к Части 738 (Таблица торговых стран) содержит таблицу с ограничениями по странам . ^[16] Если строка таблицы, соответствующая стране, содержит X в столбце причины контроля , для экспорта контролируемого товара требуется лицензия, если не исключение может быть применено . Для целей шифрования важны следующие три причины контроля:

NS1 Колонна национальной безопасности 1
AT1 Антитеррористическая колонна 1
EI в настоящее время такие же, как NS1. Элементы шифрования

Классификация

Для целей экспорта каждому товару присваивается классификационный номер экспортного контроля (ECCN) с помощью Списка торгового контроля (CCL, Дополнение № 1 к EAR, часть 774). В частности: ^[6]

5А002 Системы, оборудование, электронные сборки и интегральные схемы для «информационной безопасности». Основания для контроля: НС1, АТ1.
5A992 Товары для шифрования «массового рынка» и другое оборудование, не контролируемое 5A002. Причина контроля: АТ1.
5B002 Оборудование для разработки или производства изделий, классифицированных как 5A002, 5B002, 5D002 или 5E002. Причины контроля: NS1, AT1.
5D002 Программное обеспечение для шифрования. Причины контроля: NS1, AT1.
- используется для разработки, производства или использования предметов, классифицированных как 5A002, 5B002, 5D002.
- поддерживающая технология, контролируемая 5E002
- моделирование функций оборудования, управляемого 5А002 или 5В002
- используется для сертификации программного обеспечения, контролируемого 5D002.
5D992 Программное обеспечение для шифрования, не контролируемое 5D002. Причины контроля: AT1.
5E002 Технология разработки, производства или использования оборудования, контролируемого 5A002 или 5B002, или программного обеспечения, контролируемого 5D002. Причины контроля: NS1, AT1.
5E992 Технология для предметов размером 5x992. Причины контроля: AT1.

Элемент может быть либо самоклассифицирован, либо классифицирован («обзор»), запрошенным у BIS. Для типичных товаров требуется проверка BIS для получения классификации 5A992 или 5D992.

См. также

Ссылки

^ «Футболка с боеприпасами» .
^ Диффи, Уитфилд; Ландау, Сьюзен (2007), «Экспорт криптографии в 20-м и 21-м веках» , История информационной безопасности , Elsevier, стр. 725–736, doi : 10.1016/b978-044451608-4/50027-4 , ISBN 978-0-444-51608-4 , получено 12 августа 2023 г.
^ «Укрепление для Netscape» . www.fortify.net . Проверено 1 декабря 2017 г.
^ «Архив страницы загрузки Netscape Communicator 4.61 от 25 января 1999 г., показывающий более сложный путь загрузки 128-битной версии» . Архивировано из оригинала 16 сентября 1999 года . Проверено 26 марта 2017 г. {{cite web}}: CS1 maint: bot: исходный статус URL неизвестен ( ссылка )
^ «Пересмотренные правила США по экспортному контролю за шифрованием» . EPIC копия документа Министерства торговли США . Январь 2000 года . Проверено 6 января 2014 г.
^ Jump up to: ^а ^б ^с ^д ^и Дополнение № 1 к контрольному списку торговли к части 774, категория 5, часть 2 - Информация. Безопасность
^ «CCL5 PT2» (PDF) . www.bis.doc.gov . Проверено 10 октября 2022 г.
^ «Бюро промышленности и безопасности США — Требования к уведомлению для «общедоступного» исходного кода шифрования» . Bis.doc.gov. 09.12.2004. Архивировано из оригинала 21 сентября 2002 г. Проверено 8 ноября 2009 г.
↑ Государства-участники. Архивировано 27 мая 2012 г. на archive.today Вассенаарские договоренности.
^ Вассенаарские договоренности по экспортному контролю за обычными вооружениями, товарами и технологиями двойного назначения: руководящие принципы и процедуры, включая начальные элементы Вассенаарские договоренности, декабрь 2009 г.
^ Вассенаарские договоренности по экспортному контролю за обычными вооружениями, товарами и технологиями двойного назначения. Публичные документы, том IV. Справочные документы, а также пленарные и другие заявления. Архивировано 9 февраля 2024 г. Вассенаарские договоренности, декабрь 2019 г.
^ Правила шифрования и экспортного администрирования (EAR). Архивировано 9 февраля 2024 г. на archive.today.
^ Положения об экспортном контроле: Реализация решений пленарного заседания Вассенаарских договоренностей 2019 года. Архивированная страница 16482 Федерального реестра. Архив. Реализация решений пленарного заседания Вассенаарских договоренностей 2019 года. Архивировано 9 февраля 2024 г.
^ «15 CFR § 772.1 — Определения терминов, используемых в Положениях об экспортном контроле (EAR)» . ЛИИ/Институт правовой информации . Проверено 30 сентября 2021 г.
^ «Дополнение EAR № 1 к Части 740» (PDF) . Архивировано из оригинала (PDF) 18 июня 2009 г. Проверено 27 июня 2009 г.
^ «Дополнение EAR № 1 к части 738» (PDF) . Архивировано из оригинала (PDF) 9 мая 2009 г. Проверено 27 июня 2009 г.

Внешние ссылки

Обзор криптоправа
Бюро промышленности и безопасности . Обзор экспортных правил США можно найти на странице с основами лицензирования .
Уитфилд Диффи и Сьюзен Ландау, Экспорт криптографии в 20-м и 21-м веках . В Карл де Леу, Ян Бергстра, изд. История информационной безопасности. Подробный справочник. Эльзевир, 2007. с. 725
Экспортный контроль шифрования. Отчет CRS для Конгресса RL30273. Исследовательская служба Конгресса, «Библиотека Конгресса». 2001 г. Архивировано 28 февраля 2019 г. в Wayback Machine.
Дебаты о шифровании: аспекты разведки. Отчет CRS для Конгресса 98-905 F. Исследовательская служба Конгресса, «Библиотека Конгресса». 1998 год
Технология шифрования: вопросы Конгресса Краткое описание выпуска CRS для Конгресса IB96039. Исследовательская служба Конгресса, «Библиотека Конгресса». 2000 г.
Криптография и свобода 2000. Международный обзор политики шифрования. Электронный информационный центр конфиденциальности. Вашингтон, округ Колумбия. 2000 г.
Национальный исследовательский совет, Роль криптографии в обеспечении безопасности информационного общества . National Academy Press, Вашингтон, округ Колумбия, 1996 г. (полная текстовая ссылка доступна на странице).
Эволюция ограничений правительства США на использование и экспорт технологий шифрования (U). Архивировано 9 мая 2016 г. в Wayback Machine , Майкл Шварцбек, Encryption Technologies, около 1997 г., ранее Совершенно секретно, одобрено к выпуску АНБ с поправками от 10 сентября 2014 г. , C06122418

[1] «Футболка с боеприпасами» .

[2] Диффи, Уитфилд; Ландау, Сьюзен (2007), «Экспорт криптографии в 20-м и 21-м веках» , История информационной безопасности , Elsevier, стр. 725–736, doi : 10.1016/b978-044451608-4/50027-4 , ISBN 978-0-444-51608-4 , получено 12 августа 2023 г.

[3] «Укрепление для Netscape» . www.fortify.net . Проверено 1 декабря 2017 г.

[4] «Архив страницы загрузки Netscape Communicator 4.61 от 25 января 1999 г., показывающий более сложный путь загрузки 128-битной версии» . Архивировано из оригинала 16 сентября 1999 года . Проверено 26 марта 2017 г. {{cite web}}: CS1 maint: bot: исходный статус URL неизвестен ( ссылка )

[5] «Пересмотренные правила США по экспортному контролю за шифрованием» . EPIC копия документа Министерства торговли США . Январь 2000 года . Проверено 6 января 2014 г.

[cclsup-6] Jump up to: ^а ^б ^с ^д ^и Дополнение № 1 к контрольному списку торговли к части 774, категория 5, часть 2 - Информация. Безопасность

[7] «CCL5 PT2» (PDF) . www.bis.doc.gov . Проверено 10 октября 2022 г.

[8] «Бюро промышленности и безопасности США — Требования к уведомлению для «общедоступного» исходного кода шифрования» . Bis.doc.gov. 09.12.2004. Архивировано из оригинала 21 сентября 2002 г. Проверено 8 ноября 2009 г.

[9] Государства-участники. Архивировано 27 мая 2012 г. на archive.today Вассенаарские договоренности.

[10] Вассенаарские договоренности по экспортному контролю за обычными вооружениями, товарами и технологиями двойного назначения: руководящие принципы и процедуры, включая начальные элементы Вассенаарские договоренности, декабрь 2009 г.

[11] Вассенаарские договоренности по экспортному контролю за обычными вооружениями, товарами и технологиями двойного назначения. Публичные документы, том IV. Справочные документы, а также пленарные и другие заявления. Архивировано 9 февраля 2024 г. Вассенаарские договоренности, декабрь 2019 г.

[12] Правила шифрования и экспортного администрирования (EAR). Архивировано 9 февраля 2024 г. на archive.today.

[13] Положения об экспортном контроле: Реализация решений пленарного заседания Вассенаарских договоренностей 2019 года. Архивированная страница 16482 Федерального реестра. Архив. Реализация решений пленарного заседания Вассенаарских договоренностей 2019 года. Архивировано 9 февраля 2024 г.

[14] «15 CFR § 772.1 — Определения терминов, используемых в Положениях об экспортном контроле (EAR)» . ЛИИ/Институт правовой информации . Проверено 30 сентября 2021 г.

[15] «Дополнение EAR № 1 к Части 740» (PDF) . Архивировано из оригинала (PDF) 18 июня 2009 г. Проверено 27 июня 2009 г.

[16] «Дополнение EAR № 1 к части 738» (PDF) . Архивировано из оригинала (PDF) 9 мая 2009 г. Проверено 27 июня 2009 г.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]