Quando i governi consentono l'esportazione di software di crittografia?

Naviga le tue risposte
1

Vedo questo avviso nel TextSecure README: 

The U.S. Government Department of Commerce, Bureau of
Industry and Security (BIS), has classified this software
as Export Commodity Control Number (ECCN) 5D002.C.1, 
which includes information security software using or 
performing cryptographic functions with asymmetric 
algorithms. The form and manner of this distribution 
makes it eligible for export under the License Exception 
ENC Technology Software Unrestricted (TSU) exception (see
the BIS Export Administration Regulations, Section 
740.13) for both object code and source code.

Perché il Governo degli Stati Uniti ritiene che questo software sia "idoneo per l'esportazione"? Significa che ha un'elusione disponibile?

TextSecure è solo un esempio. Più in generale, su quali basi i governi consentono l'esportazione di software di crittografia? Se un govt consente di esportare software di crittografia, significa che non è stong sufficiente?

    
posta HRJ 02.07.2014 - 14:26
fonte

4 risposte

2

Da questo collegamento di Apache , ECCN 5D002 può essere riassunto come:

  • Software appositamente progettato o modificato per lo sviluppo, produzione o uso di uno qualsiasi degli altri software di questo elenco, o software progettato per certificare altri software in questo elenco; o

  • Software che utilizza un "algoritmo simmetrico" che impiega una lunghezza di chiave in eccesso di 56 bit; o

  • Software che utilizza un "algoritmo asimmetrico" in cui la sicurezza del l'algoritmo si basa su: fattorizzazione di numeri interi superiori a 512 bit (ad es. RSA), calcolo di logaritmi discreti in a gruppo moltiplicativo di un campo finito di dimensioni superiori a 512 bit (ad es. Diffie-Hellman su Z / pZ) o altri logaritmi discreti in a gruppo di oltre 112 bit (ad es. Diffie-Hellman su un'ellittica curva).

  • Software progettato o modificato per eseguire funzioni crittoanalitiche If la funzionalità crittografica è limitata a uno dei precedenti definizioni, dovrebbe essere classificato come ECCN 5D002 e il rimanente due passi dovrebbero essere presi (descritto di seguito). Se il rilascio potrebbe contenere funzionalità crittografiche oltre a quanto descritto sopra, si prega di contattare il Vice Presidente per gli Affari Legali di ASF.

In un nuttshell, sembra significare che se si tratta di un software che crittografa con le chiavi sopra un certo punto di forza, viene classificato come software crittografico. Ma io non parlo avvocato, quindi ~

    
risposta data 02.07.2014 - 15:19
fonte
2

Il software e l'hardware di Crytographic sono considerati munizioni dal governo degli Stati Uniti in quanto potrebbero essere utilizzati per mantenere segreti di guerra. In quanto tale, rientra nel controllo delle esportazioni degli Stati Uniti. Questo livello di controllo è stato allentato in modo significativo negli ultimi 15 anni circa, ma c'è ancora una buona quantità di leggi su ciò che è o non è coperto.

Tre dei motivi principali per l'esportazione che conosco sono se la lunghezza della chiave è abbastanza breve, se verrà usata per la sicurezza bancaria o se sarà usata per essere una spina nel lato dei regimi che la il governo non piace. (Ad esempio, le eccezioni sono spesso concesse per software mirati ad evitare censura e promuovere la libertà in nazioni strettamente controllate.)

Regolamenti di amministrazione delle esportazioni BIS, la sezione 740.13 è la sezione pertinente della legge relativa a questo. Nel complesso, non sarei troppo preoccupato perché potrebbe essere rotto dalla NSA. Per chiavi di lunghezza più corta, ci sono buone probabilità che ciò possa significare che è più facile per loro rompere, ma per le eccezioni per aspetti di sicurezza critici come l'interesse bancario e pubblico, stanno permettendo l'uso dello stesso tipo di livelli di crittografia come lo stesso governo usa.

La domanda che mi pongo sempre è, quali pensi che siano le probabilità che il governo cripta le proprie comunicazioni top secret con algoritmi che sanno come rompere?

    
risposta data 02.07.2014 - 15:32
fonte
0

Ho sentito dire che i governi limitano solo la lunghezza della chiave di crittografia, ma non i determinati algoritmi. Ciò è ottenuto, ad esempio, dalla legge, che impone alle aziende la riduzione della lunghezza della chiave per 56 bit (questo dipende dal paese) per le chiavi simmetriche e 512 (anche questo dipende dai bit) per le chiavi asimmetriche.

Le società di software, per quanto ne so, non seguono una lunghezza della chiave debole e solo una parte sufficiente della chiave, quindi la lunghezza limitata non viola e l'utente può influenzare solo su 56 e 512 bit di chiave rispettivamente.

    
risposta data 02.07.2014 - 15:29
fonte
-1

L'intero testo è sbagliato. ENC e TSU sono due diverse eccezioni di esportazione. Il modo in cui funziona per "codice sorgente di crittografia pubblicamente disponibile" è che esiste una sezione nell'eccezione TSU che consente l'esportazione, a condizione che la notifica della posizione della fonte venga inviata a NSA e BIS tramite e-mail.

    
risposta data 28.12.2014 - 07:32
fonte

Leggi altre domande sui tag

Qual è la terminologia corretta per le varie soluzioni di crittografia del tunnel SMTP? Esiste la necessità di testare la penetrazione di una soluzione GoogleAppEngine?