¿Cuándo permiten los gobiernos exportar software de criptografía?

Navega tus respuestas
1

Veo este aviso en el TextSecure README: 

The U.S. Government Department of Commerce, Bureau of
Industry and Security (BIS), has classified this software
as Export Commodity Control Number (ECCN) 5D002.C.1, 
which includes information security software using or 
performing cryptographic functions with asymmetric 
algorithms. The form and manner of this distribution 
makes it eligible for export under the License Exception 
ENC Technology Software Unrestricted (TSU) exception (see
the BIS Export Administration Regulations, Section 
740.13) for both object code and source code.

¿Por qué el gobierno de EE. UU. considera que este software es "elegible para la exportación"? ¿Eso significa que tiene una elusión disponible?

TextSecure es solo un ejemplo. Más generalmente, ¿sobre qué base los gobiernos permiten la exportación de software de encriptación? Si un gobierno permite que se exporte algún software de criptografía, ¿esto implica que no es lo suficientemente "fuerte"?

    
pregunta HRJ 02.07.2014 - 14:26
fuente

4 respuestas

2

De este enlace de Apache , ECCN 5D002 se puede resumir como:

  • Software especialmente diseñado o modificado para el desarrollo, producción o uso de cualquiera de los otros programas de esta lista, o software diseñado para certificar otro software en esta lista; o

  • Software que utiliza un "algoritmo simétrico" que emplea una longitud de clave en exceso de 56 bits; o

  • Software que utiliza un "algoritmo asimétrico" donde la seguridad del El algoritmo se basa en: factorización de enteros en exceso de 512 bits (por ejemplo, RSA), cálculo de logaritmos discretos en un grupo multiplicativo de un campo finito de tamaño mayor a 512 bits (por ejemplo, Diffie-Hellman sobre Z / pZ), u otros logaritmos discretos en un grupo de más de 112 bits (por ejemplo, Diffie-Hellman sobre una elíptica curva).

  • Software diseñado o modificado para realizar funciones criptoanalíticas Si La funcionalidad criptográfica se limita a uno de los anteriores. definiciones, debe ser clasificado como ECCN 5D002, y el resto Se deben tomar dos pasos (descritos a continuación). Si el lanzamiento puede contienen funcionalidad criptográfica más allá de lo que se describe anteriormente, comuníquese con el Vicepresidente de Asuntos Legales de la ASF.

En pocas palabras, parece significar que si se trata de un software que se cifra con claves por encima de cierta fuerza, se clasifica como software criptográfico. Pero no hablo abogado, así que ~

    
respondido por el Andrew Hoffman 02.07.2014 - 15:19
fuente
2

El gobierno y el software de criptografía son considerados municiones por el gobierno de los EE. UU., ya que podrían usarse para guardar secretos durante la guerra. Como tal, cae bajo el control de exportaciones de Estados Unidos. Este nivel de control se ha relajado significativamente en los últimos 15 años aproximadamente, pero todavía hay una gran cantidad de leyes sobre qué está y qué no está cubierto.

Tres de los principales motivos para la exportación que conozco son si la longitud de la clave es lo suficientemente corta, si se va a utilizar para la seguridad bancaria o si se va a utilizar como una espina en el lado de los regímenes que al gobierno no le gusta (Por ejemplo, a menudo se otorgan excepciones para el software destinado a evitar los censores y promover la libertad en naciones con un control estricto).

La Sección 740.13 del Reglamento de Administración de Exportaciones del BIS es la sección relevante de la ley relacionada con esto. En general, no estaría muy preocupado por eso, lo que significa que la NSA puede romperlo. Para longitudes de clave más cortas, hay una buena posibilidad de que pueda significar que es más fácil que se rompan, pero para las excepciones de seguridad críticas, como la banca y el interés público, están permitiendo el uso del mismo tipo de cifrado. como el propio gobierno utiliza.

La pregunta que siempre me pregunto es: ¿cuáles crees que son las probabilidades de que el gobierno cifre sus propias comunicaciones secretas con algoritmos que ellos saben cómo romper?

    
respondido por el AJ Henderson 02.07.2014 - 15:32
fuente
0

He escuchado que los gobiernos solo restringen la longitud de la clave de cifrado, pero no los algoritmos determinados. Esto se logró, por ejemplo, mediante la ley, que obliga a las empresas a reducir la longitud de la clave para 56 bits (esto depende del país) para las claves simétricas y 512 (esto también depende) los bits para las claves asimétricas.

Por lo que sé, las compañías de software no siguen una longitud de clave débil y solo una parte suficiente de la clave, por lo que la longitud restringida no está violando y el usuario solo puede influir en 56 y 512 bits de clave respectivamente.

    
respondido por el prober 02.07.2014 - 15:29
fuente
-1

Todo el texto está mal. ENC y TSU son dos excepciones de exportación diferentes. La forma en que funciona para el "código fuente de encriptación disponible públicamente" es que hay una sección en la excepción TSU que permite la exportación siempre que la notificación de la ubicación de la fuente se envíe a NSA y BIS mediante correo electrónico.

    
respondido por el Yuhong Bao 28.12.2014 - 07:32
fuente

Lea otras preguntas en las etiquetas

¿Es php DOMDocument :: loadXML completamente seguro? ¿Están las computadoras en la misma red que honeypot seguras?