Stavo leggendo la storia del software di crittografia PGP quando ho realizzato che il suo creatore era sotto accusa criminale per munizioni esporta senza licenza per il rilascio del codice sorgente di PGP.
A quel punto nel tempo era così pericoloso per PGP che si trattava di un reato secondo la legge? Voglio dire, PGP è solo un algoritmo di crittografia e decrittografia; cosa mi manca qui?
PGP era considerato pericoloso perché avrebbe permesso alle spie sovietiche e agli ufficiali militari di pianificare l'annientamento nucleare del mondo occidentale senza che la CIA realizzasse ciò che sta accadendo prima che sia troppo tardi.
Tempo per un po 'di storia.
Durante la seconda guerra mondiale divenne evidente l'importanza della crittografia per uso militare. Essere in grado di decifrare la crittografia nemica pur disponendo di sistemi di crittografia per se stessi che non possono essere decifrati, si è dimostrato un importante fattore militare che potrebbe portare alla vittoria o alla sconfitta.
Durante la successiva corsa universale alle armi durante la guerra fredda, tutte le parti erano consapevoli di ciò. Avere il sopravvento nella tecnologia crittografica dall'altra parte era considerato un fattore strategico che poteva invertire la tendenza in un'altra guerra mondiale. Ciò significava che ogni conoscenza-trasferimento del know-how di crittografia dal mondo occidentale al mondo orientale doveva essere prevenuta.
Come risultato di questa dottrina, la tecnologia crittografica era considerata di valore militare e quindi depositata nella Categoria XIII nella Lista delle munizioni degli Stati Uniti. Ciò significava che qualsiasi supporto di memorizzazione dati che conteneva software crittografico era considerato legalmente come munizioni vere quando si trattava di spostarlo oltre i confini.
Dal punto di vista di oggi potrebbe sembrare assurdo cercare di contenere conoscenza attraverso restrizioni di esportazione progettate per beni fisici , ma si adattava al punto di vista isolazionista degli strateghi militari dell'era della guerra fredda. Ricorda anche che erano gli anni '70, molto prima dell'era di Internet. Questo era decenni prima del tempo in cui si è stati in grado di ottenere qualsiasi software nel mondo tramite Internet attraverso il proprio sito web di pirateria preferito. Ottenere un pezzo di software dal computer A al computer B di solito significava metterlo su un supporto fisico come un floppy disk, nastro magnetico o (anche prima) punch-card, e il movimento di tali supporti fisici attraverso i confini sembrava controllabile (almeno in teoria).
La tecnologia ha marciato. Negli anni '80 sono emerse le prime reti informatiche internazionali e la comunità degli hacker ha iniziato a prosperare. Il mondo divenne sempre più interconnesso e presto divenne evidente che il contenimento delle conoscenze all'interno dei confini geografici era un esercizio di futilità. Ma come al solito, la politica e le leggi non hanno tenuto il passo con l'innovazione tecnica, quindi quando PGP è emerso negli anni '90, era ancora soggetto alle leggi dell'era della guerra fredda in materia di esportazione di crittografia. Gli algoritmi utilizzati erano segreti aperti, disponibili a chiunque nel mondo fosse in grado di acquistare un modem e fare telefonate a lunga distanza. Gli hacker li stavano tatuando sui loro corpi per mettere in ridicolo le restrizioni all'esportazione della crittografia. Ma come azienda commerciale, PGP ha dovuto giocare e trovare una scappatoia nella forma di esportare il loro codice sorgente in forma stampata e ri-trascriverlo.
Sebbene le restrizioni sulla tecnologia crittografica siano state attenuate negli ultimi decenni, alcune di esse sono ancora in vigore .
Per molto tempo, la crittografia era usata da spie e eserciti, ed era debole, e molte delle debolezze erano fissate provvisoriamente mantenendo algoritmi e metodi il più segreti possibile. Questa è sicurezza attraverso l'oscurità , che è BAD, ma, ad essere onesti, gli algoritmi dell'era pre-computer erano così deboli che loro avevano bisogno di segretezza; la sicurezza attraverso l'oscurità era il meglio che si poteva sperare.
Da ciò seguì un rigoroso sistema per controllare chi poteva accedere alla tecnologia crittografica. Poiché gli Stati Uniti hanno queste belle cose chiamate "diritti costituzionali", inclusa la "libertà di parola", il meglio che il governo degli Stati Uniti poteva fare era stringere le cose al confine, cioè i regolamenti sulle esportazioni.
Il campo della crittografia è cambiato parecchio con l'avvento dei computer e della ricerca pubblica, in particolare negli anni '70 e '80. I regolamenti, tuttavia, erano in ritardo, e le persone militari erano saldamente aggrappate a regole severe, perché se c'è qualcosa che gli eserciti sanno come fare, è mantenere l'immobilità a tutti i costi.
Pertanto, quando Zimmerman ha provato a spingere PGP ed esportarlo, sono caduti tutti sulla sua pelle, per puro conservatorismo. Il caso è stato aggravato dalla posizione di Phil Zimmerman, che era apertamente ostile al governo federale, ai militari, alla NSA e quasi a tutti quelli che esibiscono il minimo frammento di organizzazione. Andò a combattere; l'ha preso.
È illegale esportare la crittografia simmetrica a 128 bit o alcuni livelli asimmetrici. PGP ha superato questi limiti. Queste leggi sul controllo delle esportazioni sono il motivo per cui alcune società di sicurezza hanno squadre di camere bianche che costruiscono una crittografia strong senza che nessun dipendente istruito negli USA lavori nel team.
Tecnicamente, se hai imparato a conoscere la crittografia ad alta resistenza negli Stati Uniti, non sei autorizzato a esportare o utilizzare tale conoscenza in determinati Paesi.
È considerato munizioni perché può essere usato per proteggere le informazioni durante una guerra.
Nel passato anche alcuni computer commerciali a livello personale avevano restrizioni all'esportazione dovute alla guerra fredda e alla paura di trasferire la tecnologia illegale al nemico, ma la realtà è che i sovietici avevano una rete incredibilmente elaborata usata per procurarsi stranieri tecnologia, per non parlare della loro protezione.
Andare direttamente alla fonte e corrompere tecnici e dirigenti in quasi tutti i settori per mandare qualcuno in un negozio e contrabbandarlo fuori dal paese, come hanno fatto con i primi Mac (la dimensione ha aiutato molto!)
È noto, ad esempio, che l'URSS ha creato una rete di banche e aziende false per acquisire startup nella Silicon Valley in modo da poter avere accesso totale e diretto a tutti i dati.
Quello che è successo con PGP è stata l'idea del burocrate muto di prevenire un disastro, nel momento in cui si sono resi conto del problema con PGP, il KGP molto probabilmente aveva già inviato tutti i materiali a casa per l'analisi.
Leggi altre domande sui tag pgp historical