Экспортное законодательство США

Согласно правительству США криптография относится к военному снаряжению. Это означает, что криптография подчиняется тем же законам, что и ракета TOW или танк М1 Абрамс. Если вы продаете криптографический продукт без соответствующей экспортной лицензии, то вы - международный контрабандист оружием. Если вы не хотите испортить ваше резюме строкой о пребывании в федеральной тюрьме, обратите внимание на законодательство.

С началом в 1949 году холодной войны все страны НАТО (кроме Исландии), а затем Австралия, Япония и Испания, образовали КОКОМ - Координационный комитет для многостороннего контроля за экспортом (CoCom, Coordinating Committee for Multilateral Export Controls). Это неофициальная организация, призванная координировать национальные ограничения, касающиеся экспорта важных военных технологий в Советский Союз, другие страны Варшавского Договора и Китайскую Народную Республику. Примерами контролируемых технологий являются компьютеры, станки для металлопроката и криптография. Целью этой организации являлось замедление передачи технологий в указанные страны, и сдерживание, таким образом, их военного потенциала.

С концом холодной войны страны КОКОМ осознали, что выполняемый ими контроль большей частью устарел. В настоящее время, по видимому, идет процесс формирования "Нового форума", другой международной организации, которая собирается остановить поток военных технологий в страны, которые не нравятся членам организации.

В любом случае экспортная политика США в отношении стратегических товаров регулируется Правительственным актом об экспорте (Export Administration Act), Актом о контроле над экспортом вооружения (Arms Export Control Act), Актом об атомной энергии (Atomic Energy Act) и Актом о нераспространении ядерных вооружений (Nuclear Non-Proliferation Act). Контроль, установленный этим законодательством, реализуется с помощью многих подзаконных актов, ни один из них не координирует другой. Свыше дюжины организаций, включая военные службы, осуществляют контроль, часто их деятельность перекрывается и конфликтует.

Подконтрольные технологии фигурируют в нескольких списках. Криптография, по традиции относящаяся к вооружению, появляется в Перечне вооружений США (U.S. Munitions List, USML), Международном перечне вооружений (International Munitions List, IML), Перечне контроля за торговлей (Commerce Control List, CCL) и Международном промышленном перечне (International Industrial List, IIL). Госдепартамент отвечает за USML, он публикуется как часть Регулирования международного трафика оружия (International Traffic in Arms Regulations, ITAR) [466, 467].

Экспорт криптографии в США контролируется двумя правительственными организациями. Одной является Комитет по управлению экспортом (Bureau of Export Administration, BXA) в Министерстве торговли, уполномоченный Правилами регулирования экспорта (Export Administration Regulations, EAR). Другая - это Управление по регулированию продажи средств обороны (Office of Defense Trade Controls, DTC) в Государственном департаменте, уполномоченное ITAR. По опыту требования BXA из Министерства торговли менее строги, но сначала весь криптографический экспорт просматривается DTC из Госдепартамента (которое получает советы по технике и национальной безопасности от NSA и, кажется, всегда следует этим советам), которое может отказать передать право решения BXA.

ITAR регулирует этот процесс. (До 1990 года Управление DTC называлось Управлением по контролю над вооружением, возможно, эти усилия в области "паблик рилейшнз" направлены на то, чтобы мы забыли, что мы имеем дело с бомбами и пушками.) Исторически DTC сопротивлялось выдаче экспортных лицензий на средства шифрования сильнее определенного уровня - хотя о том, каков этот уровень, никогда не сообщалось.

Следующие разделы взяты из ITAR [466, 467]:

§ 120.10 Технические данные.

Технические данные - это, в настоящем подпункте:

(1) Информация, отличная от программного обеспечения, определенного в 120.10(d), которая нужна для проектирования, разработки, производства, обработки, изготовления, сборки, работы, ремонта, поддержки или модификации средств обороны. Это, например, информация в форме светокопий, чертежей, фотографий, планов, инструкций и документации;

(2) Секретная информация, касающаяся средств обороны и оборонной деятельности;

(3) Информация, охватываемая постановлением о засекречивании изобретения;

(4) Программное обеспечение, определенное в разделе 121.8(f) и непосредственно связанное со средствами обороны

(5) Это определение не включает информацию, касающуюся общенаучных, математических или инженерных принципов, обычно изучаемых в общедоступных школах, колледжах и университетах, как определено в § 120.11. Оно также не включает базовую рыночную информацию о функции, назначении или общесистемном описании средств обороны.

§ 120.11 Открытый доступ.

Открытый доступ обозначает информацию, которая опубликовывается и может быть общедоступной:

(1) С помощью продажи в киосках и книжных магазинах;

(2) С помощью подписки, которая доступна без ограничений для любого, кто хочет получить или приобрести опубликованную информацию;

(3) С помощью почтовых привилегий второго класса, выданных правительством США;

(4) В библиотеках, открытых для публики, или в которых публика может получить документы;

(5) С помощью патентов, доступных в любой патентной конторе;

(6) С помощью неограниченного распространения на конференции, встрече, семинаре, презентации или выставке, доступных обычной публике в Соединенных Штатах;

(7) С помощью сообщений для печати (т.е., неограниченное распространение) в любой форме (например, необязательно опубликованной), одобренных компетентными органами США (см. также § 125.4(b)(13)).

(8) С помощью фундаментальных исследований в науке и технике в аккредитованных высших учебных заведениях США, где полученная информация обычно публикуется и широко распространяется в научном сообществе. Фундаментальными называются базовые и прикладные исследования в науке и технике, когда полученная информация обычно публикуется и широко распространяется в научном сообществе в отличие от исследований, результаты которых не разглашаются из-за прав собственности или определенного контроля доступа и распространения правительством США. Университетские исследования не считаются фундаментальными, если:

(i) Университет или его исследователи соглашаются с другими ограничениями на публикацию научно-технической информации, полученной в результате работы над проектом, или

(ii) Исследования финансируются правительством США, а доступ к результатам исследований и их распространение находится ограничены с целью защиты информации.

§ 120.17 Экспорт.

Под экспортом понимается:

(1) Передача или вывоз средств обороны за пределы Соединенных Штатов любым способом, кроме путешествия за пределы Соединенных Штатов лица, чьи личные знания включают технические данные; или

(2) Передача иностранному лицу прав регистрации, управления или собственности на любой самолет, судно или спутник, присутствующий в Перечне вооружений США, в Соединенных Штатах или за их пределами; или

(3) Раскрытие (в том числе устное или визуальное) или передача в Соединенных Штатах любых средств обороны посольству, учреждению или подразделению иностранного правительства (например, дипломатическим миссиям ); или

(4) Раскрытие (в том числе устное или визуальное) или передача технических данных иностранному лицу в Соединенных Штатах или за их пределами; или

(5) Выполнение оборонной деятельности от имени или для выгоды иностранного лица в Соединенных Штатах или за их пределами.

(6) Запускаемый аппарат или полезная нагрузка не должны, при запуске такого аппарата, рассматриваться как экспорт. Однако для определенных целей (см § 126.1 этого подпункта), положения этого подпункта применимы к продажам и другим способам передачи средств обороны или продуктов оборонительной деятельности.

Часть 121- Перечень вооружений США

§ 121.1 Общие положения. Перечень вооружений США

Category XIII—Дополнительное военное снаряжение

(1) Криптографические (включая управление ключами) системы, аппаратура, конструкции, модули, интегральные схемы, компоненты или программное обеспечение с возможностью поддержки секретности или конфиденциальности информации или информационных систем, кроме следующего криптографического оборудования и программного обеспечения:

(i)Специально спроектированное для выполнения защищенным от копирования программным обеспечением только функций дешифрирования при условии, что управление дешифрированием недоступно пользователю.

(ii) Специально спроектированное, разработанное или модифицированное для использования в машинах для банковских операций или денежных транзакций, которое можно использовать только для таких транзакций. Машины для банковских операций или денежных транзакций включают автоматические кассовые аппараты, самообслуживаемые печатающие устройства, торговые терминалы или оборудование для шифрования межбанковских транзакций.

(iii) Использующее только аналоговые методы для криптографической обработки, которая обеспечивает безопасность информации в следующих приложениях. . . .

(iv) Персональные интеллектуальные карточки, использование которых возможно только в оборудовании или системах, не попадающих под регулирование USML.

(v) С ограничением доступа, такие как автоматические кассовые аппараты, самообслуживаемые печатающие устройства или торговые терминалы, которые обеспечивают защиту паролей или персональных идентификационных номеров (PIN) или аналогичных данных, чтобы предотвратить несанкционированный доступ к средствам, но не могут шифровать файлы или тексты, не посредственно не связанные с защитой паролей или PIN.

(vi) Осуществляющее только проверку подлинности данных с помощью вычисления кода проверки подлинности сообщения (MAC) или аналогичной функции для проверки, что в текст не было внесено изменений, или для проверки подлинности пользователей, но которое нельзя использовать для шифрования данных, текста или другой информации помимо необходимой для проверки подлинности.

(vii) Использующее только фиксированные методы сжатия и кодирования данных.

(viii) Используемое только для радиовещания, платного телевидения или аналогичных телевизионных систем с ограниченной аудиторией, без цифрового шифрования, и в которых цифровое дешифрирование ограничено только видео- и аудиофункциями или управлением.

(ix) Программное обеспечение, спроектированное или модифицированное для защиты от злоумышленных компьютерных повреждений, (например, вирусов).

(2) Криптографические (включая управление ключами) системы, аппаратура, конструкции, модули, интегральные схемы, компоненты или программное обеспечение с возможностью генерации распространяемых кодов для большого количества систем или устройств:

(3) Криптографические системы, аппаратура, конструкции, модули, интегральные схемы, компоненты или программное обеспечение.

§ 125.2 Экспорт несекретных технических данных.

(a) Общие положения. Для экспорта несекретных технических данных необходима лицензия (DSP-5), если эти данные не исключены из лицензирующих требований данного подпункта. В случае планового визита детали предполагаемых дискуссий должны быть переданы в Управление по регулированию продажи средств обороны для экспертизы технических данных. Должно быть предоставлено семь копий технических данных или тем дискуссий.

(b) Патенты. При экспорте технических данных требуется лицензия, выданная Управлением по регулированию продажи средств обороны, если данные превышают необходимые для заполнения внутренней патентной заявки или для заполнения иностранной патентной заявки, если внутренняя заявка не была заполнена. Заявки на патентование за рубежом, выполнение в таких патентах улучшений, модификаций или дополнений должны регулироваться Управлением по патентам и торговым знакам США в соответствии с 37 CFR, часть 5. Экспорт технических данных, необходимых для патентования в других странах, является субъектом норм, издаваемых Управлением по патентам и торговым знакам США, в соответствии с 35 U.S.C. 184.

(c) Раскрытия. Для устного, визуального или документального раскрытия технических данных гражданами США иностранным лицам требуется лицензия, если в данном подпункте не оговорено иное. Лицензия требуется независимо от формы передачи технических данных (например, лично, по телефону, в переписке, электронными средствами, и т.д.). Лицензия требуется для таких раскрытий, делаемых гражданами США при посещении иностранных дипломатических миссий и консульств.

И так далее. В этом документе намного больше информации. Если вы собираетесь экспортировать криптографию, я советую вам добыть его копию и воспользоваться услугами юриста, который во всем этом разбирается.

В действительности экспорт криптографических продуктов контролируется NSA. Если вам нужно получить свидетельство о признании вашего продукта предметом общего потребления (Commodity Jurisdiction, CJ), вы должны представить ваш продукт на одобрение в NSA и подать в Государственный департамент заявку на получение CJ. После одобрения в Госдепартаменте дело попадает под юрисдикцию Министерства торговли, которое никогда особенно не интересовалось криптографией. Однако Государственный департамент никогда не выдаст CJ без одобрения NSA.

В 1977 году Джозеф А. Мейер (Joseph A. Meyer), служащий NSA, написал письмо - несанкционированное, в соответствии с официальной историей инцидента - в IEEE, предупреждающее, что планируемое представление оригинальной работы RSA нарушит ITAR. Из The Puzzle Palace:

Вот его точка зрения. ITAR охватывает всю "несекретную информацию, которая может быть использована, или адаптирована для использования, при проектировании, производстве, изготовлении, ремонте, капитальном ремонте, переработке, конструировании, разработке, действии, поддержке или восстановлении" перечисленных материалов, также как и "любую технологию, которая развивает определенное умение или создает новое в области, которая имеет важное военное применение в Соединенных Штатах." И экспорт действительно включал передачу информации как в письменном виде, так и с помощью устных или визуальных средств, включая краткие обсуждения и симпозиумы, на которых были представлены иностранцы.

Но, буквально следуя туманному, часто слишком пространному законодательству, кажется, требуется, чтобы каждый, кто собирается написать или заявить что-то на тему , касающуюся Перечня вооружений, сначала получил бы одобрение Государственного департамента - эта унылая перспектива явно противоречит Первой поправке и требует подтверждения Верховным судом.

В конце концов NSA признало действия Мейера несанкционированными, и работа по RSA была опубликована, как планировалось. Против изобретателей не было предпринято никаких действий, хотя может быть доказано, что их работа увеличила возможности зарубежной криптографии гораздо больше, чем что-нибудь, опубликованное до того.

Экспорт криптографии обсуждается в следующем заявлении NSA [363]:

Криптографические технологии считаются жизненно важными для интересов национальной безопасности, включая экономические интересы, военные интересы и интересы внешней политики.

Мы не согласны с заявлениями, сделанными 7 мая 1992 года на слушаниях Судебного комитета, и последними газетными статьями, которые заявляют, что экспортные законы США мешают американским фирмам изготавливать и использовать современное шифровальное оборудование. Нам неизвестно ни об одном случае, когда из-за экспортных ограничений США американской фирме помешали изготавливать и использовать аппаратуру шифрования внутри страны, или американской фирме либо ее дочерней компании помешали использовать аппаратуру шифрования за пределами США. В действительности, NSA всегда поддерживало использование шифрования в американском бизнесе для защиты важной информации как дома, так и за границей.

Для экспорта в другие страны NSA, являющееся частью Министерства обороны, (вместе с Государственным департаментом и Министерством торговли просматривает экспортные лицензии в поисках технологий информационной безопасности, попадающих под действие Экспортного правительственного законодательства или Регулирования международного трафика оружия. Аналогичная система контроля экспорта действует во всех странах КОКОМ и во многих других странах, так как эти технологии повсеместно считаются важными. Не существует общего запрета на экспорт подобных технологий, каждый случай рассматривается отдельно. При этом может потребоваться получить лицензии на такие системы, при получении которых анализируется влияние экспорта этой системы на интересы национальной безопасности - включая интересы экономической, военной и политической безопасности. Экспортные лицензии выдаются или не выдаются в зависимости от типа задействованного оборудования, предполагаемого использования и предполагаемого пользователя.

Наш анализ показывает, что США лидирует в мировом производстве и экспорте технологий информационной безопасности. NSA одобряет для экспорта свыше 90% криптологических продуктов, направленных в NSA Государственным департаментом для лицензирования. Экспортные лицензии на продукты информационной безопасности, попадающие под юрисдикцию Министерства торговли, выдаются без участия NSA или Министерства обороны. Среди них - продукты, использующие такие методы, как DSS и RSA, обеспечивающие проверку подлинности и контроль доступа к компьютерам и сетям. На самом деле, в прошлом NSA играло главную роль в успешном отстаивании ослабления экспортного контроля над RSA и близкими технологиями для проверки подлинности. Эти методы особенно важны при решении проблемы хакеров и несанкционированного использования ресурсов.

Итак, заявлено, что NSA ограничивает экспорт только продуктов шифрования, но не проверки подлинности. Если вы собираетесь экспортировать продукт только для проверки подлинности, получение разрешение ограничится демонстрацией того, что ваш продукт нельзя без значительных переделок использовать для шифрования. Более того, бюрократическая процедура для продуктов проверки подлинности намного проще, чем для продуктов шифрования. Для системы проверки подлинности получать одобрение Госдепартамента (CJ), система шифрования требует повторного одобрения для каждой версии продукта или даже при каждой продаже.

Без CJ вам придется запрашивать разрешение на экспорт всякий раз, когда вы захотите экспортировать продукт. Государственный департамент не разрешает экспортировать продукты с сильным шифрованием, даже использующие DES. Отдельные исключения были сделаны для дочерних фирм американских компаний для возможности закрытой связи с, для некоторых банковских приложений и экспорт для военных пользователей США. Ассоциация производителей программного обеспечения (SPA) вела переговоры с правительством об ослаблении ограничений на экспортные. Соглашение, заключенное SPA и Госдепартаментом в 1992 году, облегчило правила выдачи экспортных лицензий для двух алгоритмов, RC2 и RC4, при условии, что длина используемого ключа не превысит 40 битов. Подробности можно найти в разделе 7.1.

В 1993 году в Палате представителей Мария Кантвелл (Maria Cantwell) (D-WA) по просьбе компаний-разработчиков программного обеспечения внесла законопроект, ослабляющий экспортный контроль за программами. Сенатор Пэтти Мюррей (Patty Murray) (D-WA) внесла соответствующий билль в сенате. Законопроект Кантвелл был добавлен к общему закону о контроле над экспортом, проходящему через Конгресс, но был удален Комитетом по разведке под сильным давлением NSA. Когда NSA что-нибудь делает, оно прикладывает все усилия - комитет единодушно проголосовал за удаление формулировки. За последнее время я не припомню другого случая, чтобы группа законодателей что-то сделала единодушно.

В 1995 году Дан Бернштейн (Dan Bernstein) при поддержке EFF подал в суд на правительство США, пытаясь помешать правительству ограничивать публикации криптографических документов и программного обеспечения [143]. В иске утверждалось, что законы об экспортном контроле неконституционны и вносят "непозволительные априорные ограничения высказываний в нарушение Первой поправки". Конкретно в иске утверждалось, что современный процесс контроля над экспортом:

— Позволяет бюрократам ограничивать публикации без решения суда.

— Обеспечивает слишком мало процедурных возможностей защиты прав в соответствии с Первой поправкой.

— Требует от издателей регистрироваться в правительстве, создавая эффект "лицензированной прессы".

— Отказывает в общих публикациях, требуя идентифицировать каждого получателя.

— Достаточно запутан, чтобы простые люди не могли знать, какое поведение правильно, а какое - нет.

— Слишком пространен, так как запрещает поведение, которое явно защищается (например, разговор с иностранцами внутри Соединенных Штатов).

— Применяется слишком широко, запрещая экспорт программного обеспечения не содержащего криптографии, исходя из соображений, что криптография может быть добавлена позже.

— Явно нарушает Первую поправку, запрещая частные беседы по криптографии, так как правительство желает вместо этого навязывать публике свои криптографические взгляды.

— Многими способами превышает полномочия, предоставленные как Конгрессом в экспортном законодательстве, так и Конституцией.

Можно предвидеть, что решение этого дела займет несколько лет, но предвидеть, чем оно закончится, невозможно.

Тем не менее, Консультативный комитет по безопасности и защищенности (Computer Security and Privacy Advisory Board), официальный консультант NIST, в марте 1992 года проголосовал за то, чтобы пересмотреть в национальной политике криптографические вопросы, включая экспортную политику. Было заявлено, что экспортная политика определяется только организациями, отвечающими за национальную безопасность, без учета точки зрения организаций, связанных с развитием торговли. Эти связанные с национальной безопасностью организации делают все возможно, чтобы ничего не изменилось, но необходимость перемен уже назрела.