Регистрационный номерНазвание
1 B-CRYPT
2 IDEA
3 LUC
25.10 Профессиональные и промышленные группы, а также группы защитников гражданских свобод
Информационный центр по электронной тайне личности (EPIC)
Информационный центр по электронной тайне личности (Electronic Privacy Information Center, EPIC) был учрежден в 1994 году для привлечения общественного внимания к возникающим вопросам тайн личности, ев я-занным с Национальной информационной инфраструктурой, таких как микросхемы Clipper, предложения по цифровой телефонии, национальные системы идентификационных номеров, тайны историй болезни и продажа сведений о потребителях. EPIC ведет судебные процессы, спонсирует конференции, публикует отчеты, издает EPIC Alert и проводит кампании по вопросам тайны личности . Желающие присоединиться могут обратиться по адресу Anyone interested in joining should contact Electronic Privacy Information Center, 666 Pennsylvania Avenue SE, Suite 301, Washington, D.C. 20003 (202,) 544-9240; факс: (202) 547-5482; Internet: info@epic.org.
Фонд электронного фронтира (EFF)
Фонд электронного фронтира (Electronic Frontier Foundation, EFF) посвятил себя защите гражданских прав в киберпространстве. Рассматривая криптографическую политику США, EFF считает, что информация и доступ к криптографии являются фундаментальными правами, и поэтому с них должны быть сняты правительственные ограничения. Фонд организовал рабочую группу по цифровой безопасности и тайне личности (Digital Privacy and Security Working Croup), которая является коалицией 50 организаций. Группа противодействует закону о цифровой телефонии и инициативе Clipper. EFF также содействует ведению процессов против контроля за экспортом криптографии [143]. Желающие присоединиться к EFF могут связаться с Electronic Frontier Foundation, 1001 С Street NW, Suite 950E, Washington, D.C. 20001; (202) 347 5400, факс: (202) 393-5509; Internet: eff@eff.org.
Ассоциация по вычислительной технике (АСМ)
Ассоциация по вычислительной технике (Association for Computing Machinery, АСМ) - это международная компьютерная промышленная организация. В 1994 году Комитет общественной политики АСМ США представил прекрасный отчет о криптографической политике США [935]. Его стоит прочитать каждому, кто интересуется политикой в криптографии. Его можно получить с помощью анонимного ftp с info.acm.org в /reports/acm. crypt_study/acm_crypto_study.ps.
Институт инженеров по электричеству и радиоэлектронике (IEEE)
Институт инженеров по электричеству и радиоэлектронике (Institute of Electrical and Electronics Engineers, IEEE) - это другая профессиональная организация. Отделение в США изучает вопросы, связанные с тайной личности, включая криптографическую политику, идентификационные номера, и защита тайн в Internet, и разрабатывает соответствующие рекомендации.
Ассоциация производителей программного обеспечения (SPA)
Ассоциация производителей программного обеспечения (Software Publishers Association, SPA) - это торговая ассоциация, в которую входят свыше 1000 компаний, разрабатывающих программное обеспечение для перс о-нальных компаний. Они выступают за ослабление экспортного контроля в криптографии и поддерживают пер е-чень коммерчески доступных зарубежных продуктов .
25.11 Sci.crypt
Sci.crypt - это телеконференция Usenet по криптологии. Ее читают примерно 100000 человек по всему миру. Большинство сообщений - обычная чепуха, перебранка ли и то, и другое одновременно. Некоторые сообщения касаются политики, а большинство остальных - просьбы предоставить сведения или общие . Иногда в этой телеконференции случайно попадаются различные самородки и некоторая полезная информация . Если читать sci.crypt регулярно, можно узнать, как использовать нечто, называемое файлом-убийцей .
Другой телеконференцией Usenet является sci.crypt.research, более умеренная телеконференция, посвященная обсуждению криптологических исследований. В ней меньше сообщений, и они гораздо интереснее.
25.12 Шифропанки
Шифропанки (Cypherpunks) - это неформальная группа людей, заинтересованных в обучении и изучении криптографии. Они также экспериментируют с криптографией, пытаясь ввести ее в обиход . По их мнению все криптографические исследования не принесли обществу ничего хорошего, так как оно не воспользовалось до с-тижениями криптографии.
В "Манифесте шифропанков" Эрик Хьюз (Eric Hughes) пишет [744]:
Мы, Шифропанки, стремимся создать анонимные системы . Мы защищаем наши тайны с помощью криптографии, с помощью систем анонимной отправки почты, с помощью цифровых подписей и электронных денег.
Шифропанки пишут код. Мы знаем, что кто-то должен написать программное обеспечение, защищающее тайны личн о-сти, и так как пока это не сделано, мы не сможем обеспечить сохранение своих тайн, мы собираемся написать такие програ м-мы. Мы публикуем наш код, чтобы наши друзья Шифропанки могли попрактиковаться и поиграть с ним. Наш код свободно может использовать кто угодно и где угодно. Нас не очень волнует, нравятся ли вам программы, которые мы пишем . Мы знаем, что программное обеспечение невозможно разрушить, и что невозможно прекратить работу рассеянных систем .
Те, кто хочет присоединиться к списку рассылки шифропанков в Internet, должны отправлять почту в адрес majordomo@toad.com. Список рассылки хранится на ftp.csua.berkeley.edu в /pub/cypherpunks.
25.13 Патенты
Вопрос о программных патентах невозможно втиснуть в рамки этой книги . Хороши они или нет, они существуют. В Соединенных Штатах можно патентовать алгоритмы, в том числе и криптографические. IBM владеет патентами DES [514]. IDEA запатентован. Запатентованы почти все алгоритмы с открытыми ключами. NIST даже запатентовал DSA. Действие ряда криптографических патентов было блокировано вмешательством NSA, в соответствии с Актом о секретности изобретений (Invention Secrecy Act) от 1940 года и Актом о национальной безопасности (National Security Act) от 1947 года. Это означает, что вместо патента изобретатель получает секретное постановление, и ему запрещается обсуждать его изобретение с кем-нибудь еще .
У NSA есть особые возможности при патентовании. Агентство может обратиться за патентом и затем блокировать его выдачу. Снова появляется секретное постановление, но теперь NSA одновременно и изобретатель, и издатель постановления. Когда спустя некоторое время секретное постановление отменяется, регистрационная контора выдает патент, действующий стандартные 17 лет years. Это более явно защищает изобретение, чем хранение его в секрете. Если кому-нибудь удастся изобрести то же самое, NSA уже подало заявку на патент. Если никому другому не удастся изобрести то же самое, изобретение остается се кретным.
Несмотря на то, что процесс патентования должен не только защищать изобретения, но и раскрывать их, благодаря этой уловке NSA может держать патент дольше 17 лет. Отсчет 17-летнего срока начинается с момента выдачи патента, а не подачи заявки. Пока неясно, как все может измениться в связи с ратификацией договора о GATT Соединенными Штатами.
25.14 Экспортное законодательство США
Согласно правительству США криптография относится к военному снаряжению . Это означает, что криптография подчиняется тем же законам, что и ракета TOW или танк Ml Абраме. Если вы продаете криптографический продукт без соответствующей экспортной лицензии, то вы - международный контрабандист оружием . Если вы не хотите испортить ваше резюме строкой о пребывании в федеральной тюрьме, обратите внимание на зак о-нодательство.
С началом в 1949 году холодной войны все страны НАТО (кроме Исландии), а затем Австралия, Япония и Испания, образовали КОКОМ - Координационный комитет для многостороннего контроля за экспортом (CoCom, Coordinating Committee for Multilateral Export Controls). Это неофициальная организация, призванная координировать национальные ограничения, касающиеся экспорта важных военных технологий в Советский Союз, другие страны Варшавского Договора и Китайскую Народную Республику . Примерами контролируемых технологий являются компьютеры, станки для металлопроката и криптография . Целью этой организации являлось замедление передачи технологий в указанные страны, и сдерживание, таким образом, их военного поте н-циала.
С концом холодной войны страны КОКОМ осознали, что выполняемый ими контроль большей частью уст а-рел. В настоящее время, по видимому, идет процесс формирования "Нового форума", другой международной организации, которая собирается остановить поток военных технологий в страны, которые не нравятся членам организации.
В любом случае экспортная политика США в отношении стратегических товаров регулируется Правительс т-венным актом об экспорте (Export Administration Act), Актом о контроле над экспортом вооружения (Arms Export Control Act), Актом об атомной энергии (Atomic Energy Act) и Актом о нераспространении ядерных вооружений (Nuclear Non-Proliferation Act). Контроль, установленный этим законодательством, реализуется с пом о-щью многих подзаконных актов, ни один из них не координирует другой. Свыше дюжины организаций, включая военные службы, осуществляют контроль, часто их деятельность перекрывается и конфликтует .
Подконтрольные технологии фигурируют в нескольких списках. Криптография, по традиции относящаяся к вооружению, появляется в Перечне вооружений США (U.S. Munitions List, USML), Международном перечне вооружений (International Munitions List, IML), Перечне контроля за торговлей (Commerce Control List, CCL) и Международном промышленном перечне (International Industrial List, IIL). Госдепартамент отвечает за USML, он публикуется как часть Регулирования международного трафика оружия (International Traffic in Arms Regulations, ITAR) [466, 467].
Экспорт криптографии в США контролируется двумя правительственными организациями . Одной является Комитет по управлению экспортом (Bureau of Export Administration, BXA) в Министерстве торговли, уполномоченный Правилами регулирования экспорта (Export Administration Regulations, EAR). Другая - это Управление по регулированию продажи средств обороны (Office of Defense Trade Controls, DTC) в Государственном департаменте, уполномоченное ITAR. По опыту требования ВХА из Министерства торговли менее строги, но сначала весь криптографический экспорт просматривается DTC из Госдепартамента (которое получает советы по технике и национальной безопасности от NSA и, кажется, всегда следует этим советам), которое может отказать передать право решения ВХА.
ITAR регулирует этот процесс. (До 1990 года Управление DTC называлось Управлением по контролю над вооружением, возможно, эти усилия в области "паблик рилейшнз" направлены на то, чтобы мы забыли, что мы имеем дело с бомбами и пушками.) Исторически DTC сопротивлялось выдаче экспортных лицензий на средства шифрования сильнее определенного уровня - хотя о том, каков этот уровень, никогда не сообщалось.
Следующие разделы взяты из ITAR [466, 467]:
§ 120.10 Технические данные.
Технические данные - это, в настоящем подпункте:
(1) Информация, отличная от программного обеспечения, определенного в 120.10(d), которая нужна для проектирования, разработки, производства, обработки, изготовления, сборки, работы, ремонта, поддержки или модификации средств обороны . Это, например, информация в форме светокопий, чертежей, фотографий, планов, инструкций и докуме нтации;
(2) Секретная информация, касающаяся средств обороны и оборонной деятельности ;
(3) Информация, охватываемая постановлением о засекречивании изобретения ;
(4) Программное обеспечение, определенное в разделе 121.8(f) и непосредственно связанное со средствами обороны
(5) Это определение не включает информацию, касающуюся общенаучных, математических или инженерных принц и-пов, обычно изучаемых в общедоступных школах, колледжах и университетах, как определено в § 120.11. Оно также не включает базовую рыночную информацию о функции, назначении или общесистемном описании средств обороны .
§ 120.11 Открытый доступ.
Открытый доступ обозначает информацию, которая опубликовывается и может быть общедоступной :
(1) С помощью продажи в киосках и книжных магазинах;
(2) С помощью подписки, которая доступна без ограничений для любого, кто хочет получить или приобрести опублик о-ванную информацию;
(3) С помощью почтовых привилегий второго класса, выданных правительством США ;
(4) В библиотеках, открытых для публики, или в которых публика может получить документы ;
(5) С помощью патентов, доступных в любой патентной конторе;
(6) С помощью неограниченного распространения на конференции, встрече, семинаре, презентации или выставке, до с-тупных обычной публике в Соединенных Штатах;
(7) С помощью сообщений для печати (т.е., неограниченное распространение) в любой форме (например, необязательно опубликованной), одобренных компетентными органами США (см. также § 125.4(Ь)(13)).
(8) С помощью фундаментальных исследований в науке и технике в аккредитованных высших учебных заведениях США, где полученная информация обычно публикуется и широко распространяется в научном сообществе . Фундаментальными называются базовые и прикладные исследования в науке и технике, когда полученная информация обычно публикуе т-ся и широко распространяется в научном сообществе в отличие от исследований, результаты которых не разглашаются из-за прав собственности или определенного контроля доступа и распространения правительством США . Университетские исследования не считаются фундаментальными, если:
(i) Университет или его исследователи соглашаются с другими ограничениями на публикацию научно-технической и н-формации, полученной в результате работы над проектом, или
(И) Исследования финансируются правительством США, а доступ к результатам исследований и их распространение н а-ходится ограничены с целью защиты информации.
§ 120.17 Экспорт.
Под экспортом понимается:
(1) Передача или вывоз средств обороны за пределы Соединенных Штатов любым способом, кроме путешествия за пр е-делы Соединенных Штатов лица, чьи личные знания включают технические данные ; или
(2) Передача иностранному лицу прав регистрации, управления или собственности на любой самолет, судно или спутник, присутствующий в Перечне вооружений США, в Соединенных Штатах или за их пределами ; или
(3) Раскрытие (в том числе устное или визуальное) или передача в Соединенных Штатах любых средств обороны посол ь-ству, учреждению или подразделению иностранного правительства (например, дипломатическим миссиям ); или
(4) Раскрытие (в том числе устное или визуальное) или передача технических данных иностранному лицу в Соединенных Штатах или за их пределами; или
(5) Выполнение оборонной деятельности от имени или для выгоды иностранного лица в Соединенных Штатах или за их пределами.
(6) Запускаемый аппарат или полезная нагрузка не должны, при запуске такого аппарата, рассматриваться как экспорт. Однако для определенных целей (см § 126.1 этого подпункта), положения этого подпункта применимы к продажам и другим способам передачи средств обороны или продуктов оборонительной деятельности .
Часть 121- Перечень вооружений США
§ 121.1 Общие положения. Перечень вооружений США Category XIII—Дополнительное военное снаряжение
(1) Криптографические (включая управление ключами) системы , аппаратура, конструкции, модули, интегральные схемы,
компоненты или программное обеспечение с возможностью поддержки секретности или конфиденциальности информации
или информационных систем, кроме следующего криптографического оборудования и программного обеспечения :
(^Специально спроектированное для выполнения защищенным от копирования программным обеспечением только функций дешифрирования при условии, что управление дешифрированием недоступно пользователю .
(И) Специально спроектированное, разработанное или модифицированное для использования в машинах для банковских операций или денежных транзакций, которое можно использовать только для таких транзакций . Машины для банковских операций или денежных транзакций включают автоматические кассовые аппараты, самообслуживаемые печатающие устройства, торговые терминалы или оборудование для шифрования межбанковских транзакций.
(Hi) Использующее только аналоговые методы для криптографической обработки, которая обеспечивает безопасность информации в следующих приложениях. . . .
(iv) Персональные интеллектуальные карточки, использование которых возможно только в оборудовании или системах, не попадающих под регулирование USML.
(v) С ограничением доступа, такие как автоматические кассовые аппараты, самообслуживаемые печатающие устройства или торговые терминалы, которые обеспечивают защиту паролей или персональных идентификационных номеров (PIN) или аналогичных данных, чтобы предотвратить несанкционированный доступ к средствам, но не могут шифровать файлы или тексты, не посредственно не связанные с защитой паролей или PIN.
(vi) Осуществляющее только проверку подлинности данных с помощью вычисления кода проверки подлинности соо б-щения (MAC) или аналогичной функции для проверки, что в текст не было внесено изменений, или для проверки подлинн о-сти пользователей, но которое нельзя использовать для шифрования данных, текста или другой информации помимо необходимой для проверки подлинности.
(vii) Использующее только фиксированные методы сжатия и кодирования данных .
(viii) Используемое только для радиовещания, платного телевидения или аналогичных телевизионных систем с огран и-ченной аудиторией, без цифрового шифрования, и в которых цифровое дешифрирование ограничено только видео- и ауди о-функциями или управлением.
(ix) Программное обеспечение, спроектированное или модифицированное для защиты от злоумышленных компьютерных повреждений, (например, вирусов).
(2) Криптографические (включая управление ключами) системы , аппаратура, конструкции, модули, интегральные схемы, компоненты или программное обеспечение с возможностью генерации распространяемых кодов для большого количества систем или устройств:
(3) Криптографические системы, аппаратура, конструкции, модули, интегральные схемы, компоненты или программное обеспечение.
§ 125.2 Экспорт несекретных технических данных.
(a) Общие положения. Для экспорта несекретных технических данных необходима лицензия (DSP-5), если эти данные не исключены из лицензирующих требований данного подпункта. В случае планового визита детали предполагаемых дискуссий должны быть переданы в Управление по регулированию продажи средств обороны для экспертизы технических данных. Должно быть предоставлено семь копий технических данных или тем ди скуссий.
(b)Патенты. При экспорте технических данных требуется лицензия, выданная Управлением по регулированию продажи средств обороны, если данные превышают необходимые для заполнения внутренней патентной заявки или для заполнения иностранной патентной заявки, если внутренняя заявка не была заполнена . Заявки на патентование за рубежом, выполнение в таких патентах улучшений, модификаций или дополнений должны регулироваться Управлением по патентам и торговым знакам США в соответствии с 37 CFR, часть 5. Экспорт технических данных, необходимых для патентования в других стр а-нах, является субъектом норм, издаваемых Управлением по патентам и торговым знакам США, в соответствии с 35 U.S.C. 184.
(c) Раскрытия. Для устного, визуального или документального раскрытия технических данных гражданами США ин о-странным лицам требуется лицензия, если в данном подпункте не оговорено иное . Лицензия требуется независимо от формы передачи технических данных (например, лично, по телефону, в переписке, электронными средствами, и т.д.). Лицензия тре-
буется для таких раскрытий, делаемых гражданами США при посещении иностранных дипломатических миссий и ко н-сульств.
И так далее. В этом документе намного больше информации. Если вы собираетесь экспортировать крипт о-графию, я советую вам добыть его копию и воспользоваться услугами юриста, который во всем этом разбирае т-ся.
В действительности экспорт криптографических продуктов контролируется NSA. Если вам нужно получить свидетельство о признании вашего продукта предметом общего потребления (Commodity Jurisdiction, CJ), вы должны представить ваш продукт на одобрение в NSA и подать в Государственный департамент заявку на получение CJ. После одобрения в Госдепартаменте дело попадает под юрисдикцию Министерства торговли , которое никогда особенно не интересовалось криптографией . Однако Государственный департамент никогда не выдаст CJ без одобрения NSA.
В 1977 году Джозеф А. Мейер (Joseph A. Meyer), служащий NSA, написал письмо - несанкционированное, в соответствии с официальной историей инцидента - в IEEE, предупреждающее, что планируемое представление оригинальной работы RSA нарушит ITAR. Из The Puzzle Palace:
Вот его точка зрения. ITAR охватывает всю "несекретную информацию, которая может быть использована, или адапт и-рована для использования, при проектировании, производстве, изготовлении, ремонте, капитальном ремонте, переработке, конструировании, разработке, действии, поддержке или восстановлении" перечисленных материалов, также как и "любую технологию, которая развивает определенное умение или создает новое в области, которая имеет важное военное применение в Соединенных Штатах." И экспорт действительно включал передачу информации как в письменном виде, так и с помощью устных или визуальных средств, включая краткие обсуждения и симпозиумы, на которых были представлены иностра нцы.
Но, буквально следуя туманному, часто слишком пространному законодательству, кажется, требуется, чтобы каждый, кто собирается написать или заявить что-то на тему , касающуюся Перечня вооружений, сначала получил бы одобрение Госуда р-ственного департамента - эта унылая перспектива явно противоречит Первой поправке и требует подтверждения Верховным судом.
В конце концов NSA признало действия Мейера несанкционированными, и работа по RSA была опубликована, как планировалось. Против изобретателей не было предпринято никаких действий , хотя может быть доказано, что их работа увеличила возможности зарубежной криптографии гораздо больше, чем что-нибудь, опу б-ликованное до того.
Экспорт криптографии обсуждается в следующем заявлении NSA [363]:
Криптографические технологии считаются жизненно важными для интересов национальной безопасности, включая эк о-номические интересы, военные интересы и интересы внешней политики .
Мы не согласны с заявлениями, сделанными 7 мая 1992 года на слушаниях Судебного комитета, и последними газета ы-ми статьями, которые заявляют, что экспортные законы США мешают американским фирмам изготавливать и использовать современное шифровальное оборудование. Нам неизвестно ни об одном случае, когда из-за экспортных ограничений США американской фирме помешали изготавливать и использовать аппаратуру шифрования внутри страны, или американской фирме либо ее дочерней компании помешали использовать аппаратуру шифрования за пределами США . В действительности, NSA всегда поддерживало использование шифрования в американском бизнесе для защиты важной информации как дома, так и за границей.
Для экспорта в другие страны NSA, являющееся частью Министерства обороны, (вместе с Государственным департаме н-том и Министерством торговли просматривает экспортные лицензии в поисках технологий информационной безопасности, попадающих под действие Экспортного правительственного законодательства или Регулирования международного трафика оружия. Аналогичная система контроля экспорта действует во всех странах КОКОМ и во многих других странах, так как эти технологии повсеместно считаются важными. Не существует общего запрета на экспорт подобных технологий, каждый ел у-чай рассматривается отдельно. При этом может потребоваться получить лицензии на такие системы, при получении которых анализируется влияние экспорта этой системы на интересы национальной безопасности - включая интересы экономической, военной и политической безопасности. Экспортные лицензии выдаются или не выдаются в зависимости от типа задейств о-ванного оборудования, предполагаемого использования и предполагаем ого пользователя.
Наш анализ показывает, что США лидирует в мировом производстве и экспорте технологий информационной безопа с-ности. NSA одобряет для экспорта свыше 90% криптологических продуктов, направленных в NSA Государственным департаментом для лицензирования. Экспортные лицензии на продукты информационной безопасности, попадающие под юри с-дикцию Министерства торговли, выдаются без участия NSA или Министерства обороны. Среди них - продукты, использующие такие методы, как DSS и RSA, обеспечивающие проверку подлинности и контроль доступа к компьютерам и сетям . На самом деле, в прошлом NSA играло главную роль в успешном отстаивании ослабления экспортного контроля над RSA и близкими технологиями для проверки подлинности. Эти методы особенно важны при решении проблемы хакеров и несан к-ционированного использования ресурсов.
Итак, заявлено, что NSA ограничивает экспорт только продуктов шифрования, но не проверки подлинности . Если вы собираетесь экспортировать продукт только для проверки подлинности , получение разрешение ограничится демонстрацией того, что ваш продукт нельзя без значительных переделок использовать для шифрования . Более того, бюрократическая процедура для продуктов проверки подлинности намного проще, чем для проду к-тов шифрования. Для системы проверки подлинности получать одобрение Госдепартамента ( CJ), система шифрования требует повторного одобрения для каждой версии продукта или даже при каждой продаже .
Без CJ вам придется запрашивать разрешение на экспорт всякий раз, когда вы захотите экспортировать пр о-дукт. Государственный департамент не разрешает экспортировать продукты с сильным шифрованием, даже использующие DES. Отдельные исключения были сделаны для дочерних фирм американских компаний для возможности закрытой связи с, для некоторых банковских приложений и экспорт для военных пользователей США. Ассоциация производителей программного обеспечения (SPA) вела переговоры с правительством об ослаблении ограничений на экспортные. Соглашение, заключенное SPA и Госдепартаментом в 1992 году, облег-
чило правила выдачи экспортных лицензий для двух алгоритмов, RC2 и RC4, при условии, что длина используемого ключа не превысит 40 битов. Подробности можно найти в разделе 7.1.
В 1993 году в Палате представителей Мария Кантвелл (Maria Cantwell) (D-WA) по просьбе компаний-разработчиков программного обеспечения внесла законопроект, ослабляющий экспортный контроль за пр о-граммами. Сенатор Пэтти Мюррей (Patty Murray) (D-WA) внесла соответствующий билль в сенате. Законопроект Кантвелл был добавлен к общему закону о контроле над экспортом, проходящему через Конгресс , но был удален Комитетом по разведке под сильным давлением NSA. Когда NSA что-нибудь делает, оно прикладывает все усилия - комитет единодушно проголосовал за удаление формулировки. За последнее время я не припомню другого случая, чтобы группа законодателей что-то сделала единодушно.
В 1995 году Дан Бернштейн (Dan Bernstein) при поддержке EFF подал в суд на правительство США, пытаясь помешать правительству ограничивать публикации криптографических документов и программного обесп е-чения [143]. В иске утверждалось, что законы об экспортном контроле неконституционны и вносят "непозволительные априорные ограничения высказываний в нарушение Первой поправки". Конкретно в иске утверждалось, что современный процесс контроля над экспортом :
— Позволяет бюрократам ограничивать публикации без решения суда.
— Обеспечивает слишком мало процедурных возможностей защиты прав в соответствии с Первой попра в-кой.
— Требует от издателей регистрироваться в правительстве, создавая эффект "лицензированной прессы ".
— Отказывает в общих публикациях, требуя идентифицировать каждого получателя .
— Достаточно запутан, чтобы простые люди не могли знать, какое поведение правильно, а какое - нет .
— Слишком пространен, так как запрещает поведение, которое явно защищается (например, разговор с иностранцами внутри Соединенных Штатов).
— Применяется слишком широко, запрещая экспорт программного обеспечения не содержащего крипт о-графии, исходя из соображений, что криптография может быть добавлена позже .
— Явно нарушает Первую поправку, запрещая частные беседы по криптографии, так как правительство ж е-лает вместо этого навязывать публике свои криптографические взгляды .
— Многими способами превышает полномочия, предоставленные как Конгрессом в экспортном законод а-тельстве, так и Конституцией.
Можно предвидеть, что решение этого дела займет несколько лет, но предвидеть, чем оно закончится, невозможно.
Тем не менее, Консультативный комитет по безопасности и защищенности (Computer Security and Privacy Advisory Board), официальный консультант NIST, в марте 1992 года проголосовал за то, чтобы пересмотреть в национальной политике криптографические вопросы, включая экспортную политику . Было заявлено, что экспортная политика определяется только организациями, отвечающими за национальную безопасность, без учета точки зрения организаций, связанных с развитием торговли . Эти связанные с национальной безопасностью организации делают все возможно, чтобы ничего не изменилось, но необходимость перемен уже назрела .
25.15 Экспорт и импорт криптографии за рубежом
В других странах существует свое экспортное и импортное право [311]. Приведенный обзор неполон и возможно устарел. Страны могут издать законы и не обращать на них внимания, или не иметь законов, но каким-то образом ограничивать экспорт, импорт и использование .
— Австралия требует наличия сертификата у импортируемого криптографического продукта только по тр е-бованию страны-экспортера.
— В Канаде нет контроля импорта, а контроль экспорта аналогичен американскому . Экспорт продуктов из Канада может быть ограничен, если они включены в Перечень контроля экспорта, соответствующий А к-ту разрешений экспорта и импорта. В отношении криптографических технологий Канада следует огран и-чениям КОКОМ. Шифровальные устройства описаны под категорией пять, части два канадских правил экспорта. These provisions аналогичны категории пять в Правительственных правилах экспорта в США.
— Китай использует схему лицензирования импортируемых продуктов, экспортеры должны заполнить зая в-ку в Министерстве зарубежной торговли. На основе китайского Перечня запрещенного и ограниченного экспорта и импорта, принятого в 1987 году, Китай ограничивает импорт и экспорт устройств кодирования речи.
— Во Франции нет специального законодательства относительно импорта криптографии, но существуют з а-
коны, касающиеся продажи и использования криптографии в стране . Продукты должны быть сертифицированы: либо они должны соответствовать опубликованным спецификациям, либо фирменная специф и-кация компании должна быть предоставлена правительству. Правительство может также затребовать два устройства для собственного использования. У компаний должна быть лицензия на продажу криптографии во Франции, в лицензии указывается рыночное назначение . У пользователей должна быть лицензия на покупку и использование криптографии, в лицензию включено положение о том, что пользователи должны быть готовы передать свои ключи правительству в течение четырех месяцев после использов а-ния. Это ограничение иногда допускает исключения: банков, больших компаний, и т.д. Для криптографии, экспортируемой из США, лицензионные требования отсутствуют .
— Германия следует положениям КОКОМ, требуя лицензировать экспорт криптографии. Проводится специальный контроль общедоступного криптографического программного обеспечения .
— В Израиле есть ограничения импорта, но, по видимому, никто не знает какие .
— Бельгия, Италия, Япония, Нидерланды и Великобритания следуют положениям КОКОМ , требуя лицензировать экспорт криптографии.
— В Бразилии, Индии, Мексике, России, Саудовской Аравии, Испании, Южной Африке, Швеции и Шве й-царии контроль экспорта или импорта криптографии отсутствует .
25.16 Правовые вопросы
Являются ли цифровые подписи настоящими подписями ? Будут ли они признаны судом? Некоторые предварительные правовые исследования привели к мнению, что цифровые подписи будут соответствовать требован и-ям законных обязующих подписей для большей части применений, включая коммерческое использование, определенное в Едином своде законов о торговле (Uniform Commercial Code, UCC). Решение Управления по общей бухгалтерии (GAD, General Accounting Office), вынесенное по просьбе NIST, утверждает, что цифровые подписи соответствуют правовым стандартам для рукописных подписей [362].
Акт о цифровых подписях штата Юта вступил в действие 1 мая 1995 года, обеспечивая законную основу использования цифровых подписей в системе судопроизводства. Калифорния рассматривает соответствующий законопроект, а в Орегоне и Вашингтоне разрабатывают свои законы . Техас и Флорида дышат им в затылок. К моменту издания книги большинство штатов пройдет этот путь.
Американская юридическая ассоциация (Отдел EDI и информационных технологий секции науки и техники) разработала образец акта, который может быть использован штатами в процессе законотворчества . Акт пытается вписать цифровые подписи в существующую для подписей правовую инфраструктуру : Единый свод законов о торговле, Законы Федеральной резервной системы Соединенных Штатов, общее право о контрактах и подписях, Конвенция ООН по контрактам для международной продажи товаров и Конвенция ООН по международным законам о комитетах по биржам и долговым обязательствам . В акт включены положения об ответственности и обязанностях сертифицирующих органов, вопросы ответственности , а также ограничения и политика.
В Соединенных Штатах законы о подписях, контрактах и торговых операциях находятся в юрисдикции шт а-тов, поэтому этот акт-образец разработан для штатов . Окончательной целью является федеральный акт, но если все начинается на уровне штатов, у NSA меньше возможностей все испоганить.
Даже при этом, пока правильность цифровых подписей не будет оспорена в суде, их правовой статус ост а-нется неопределенным. Для того, чтобы цифровые подписи обладали теми же идентификационными возможн о-стями, что и рукописные подписи, они сначала должны быть использованы для подписания законного, затем оспорены в суде одной из сторон. Тогда суд рассмотрит безопасность схемы подписи и вынесет решение . Спустя некоторое время, когда повторится подобный случай, решения о том, какие методы цифровой подписи и какие размеры ключей понадобятся, чтобы цифровая подпись была признана законной, будет вынесено на основе предыдущих решений. Возможно для этого потребуются годы.
До тех пор, если два человека хотят использовать цифровые подписи для контракта(для заявок на покупку, для приказов по работе, и т.д.), рекомендуется, чтобы они подписали на бумаге контракт, с котором они согл а-шаются в будущем признавать любые документы, подписанные их цифровыми подписями [1099]. В этом документе должны определяться алгоритм, размер ключа и все остальные параметры. В нем должен, к тому же, быть определен способ разрешения споров.