Perché i controlli di esportazione per la crittografia?

Le normative sull'esportazione sono la progenie dei trattati internazionali, in particolare il Wassenaar Arrangement . L'idea è che una volta che i paesi decidono che la crittografia strong deve essere regolata all'interno dei loro confini, questi paesi stringono accordi con altri paesi in modo che quei altri paesi non esportino incautamente forti prodotti crittografici, né a loro né a soggetti terzi ritenuti "non sufficientemente affidabili" per riceverli (ad esempio l'accordo limita l'esportazione dagli Stati Uniti alla Francia e anche dagli Stati Uniti alla Corea del Nord, ma non per gli stessi motivi!).

La crittografia è qui trattata come se fosse una specie di fucile d'assalto. Infatti, fino a circa una dozzina di anni fa, la crittografia fu ufficialmente classificata dagli Stati Uniti come munizioni. Ciò implica lo stesso tipo di controlli rispetto a quelli per l'importazione o l'esportazione di armi.

Possiamo ringraziare (o maledire) il Web, e in particolare tutto il business del let-buy-things-on-the-Web, per la normalizzazione della crittografia: la maggior parte delle normative criptate che sono state approvate nell'ultimo decennio hanno è stato progettato in modo da diventare legale per fornire, esportare e importare i browser Web con supporto SSL, per le lunghezze delle chiavi non joke. Gli organismi legislativi di tutto il mondo stanno lentamente realizzando che la crittografia non è necessariamente uno strumento cattivo; gli individui e le corporazioni possono avere il diritto di usarli anche per la loro stessa protezione, specialmente nelle aree in cui più le forze dell'ordine classiche non dispongono dei mezzi tecnici per garantire la sicurezza di tutti. SSL è legale perché non esiste un modo pratico per prevenire in modo proattivo le intercettazioni.

La risposta alla domanda è perché i governi lo impongono.

C'è stato un tempo qui negli Stati Uniti quando il governo era zoppicato da "signori non leggono la posta dell'altro", ma le lezioni di milioni di morti a causa della guerra globale nel secolo scorso seguita dall'integrazione termonucleare hanno annullato quell'idioma quantico. Così ci troviamo a vivere in un momento in cui la tecnologia crittografica è vista a livello statale come potenzialmente in grado di migliorare le capacità dei nemici dello stato.

Non è un compito semplice mettere in quarantena un'idea scientifica o un algoritmo informatico, ma questo è l'unico strumento a disposizione dello stato. Le idee tendono a sfuggire a tali controlli, ma sia che si tratti della progettazione di armi nucleari o della crittografia usata per tramandare quel progetto, essi cadono sotto il controllo dello Stato. Mentre quei dettagli sfuggono al mondo diventa un posto più complicato per lo stato.

Penso che il motivo per cui i controlli delle esportazioni statunitensi per la crittografia siano stati creati in primo luogo era che era più comunemente usato nelle forze armate, e parte del motivo per cui i primi computer erano stati creati in primo luogo era quello di rompere la crittografia. Quindi perché è stato classificato come munizioni nell'ITAR.

Curiosità: il famigerato limite di 40 bit è stato impostato come parte di un accordo tra SPA e NSA nel 1992 per rendere l'esportazione di crypto più facile di prima.