Leyes de exportación en la nube (tamaño de clave)

9

¿Se aplican las leyes de exportación de EE. UU. en torno a AES-256 a las aplicaciones alojadas en la nube?

    
pregunta David Savage 13.07.2011 - 21:12
fuente

2 respuestas

8

Para ampliar la respuesta de Thomas y mi comentario, en este caso particular:

  • La exportación del cifrado AES-256 a ciertos clientes está restringida por el gobierno de los EE. UU. Por ejemplo, si está vendiendo al gobierno de China, necesita una licencia de exportación. Pero puedes venderle a una entidad privada en China.

    Puede no obtener una licencia para vender a ciertos países y personas embargados:

    Estos incluyen a Cuba, Irán, Irak, Libia, Corea del Norte, Serbia, Sudán, Siria y áreas controladas por los talibanes de Afganistán.

  • Algunos países, incluidos China y Rusia, requieren un permiso de importación (o prohibir la importación) para los productos de encriptación.

Lo que no le da una respuesta definitiva cuando la nube está mal definida, por lo que la solución será utilizar un proveedor de la nube que acordará bajo contrato limitar la distribución geográfica de su nube . Muchos ya lo hacen, por ejemplo, IronMountain le permite elegir la ubicación exacta en la que desea que se encuentren sus datos, y se supone que los proveedores de la nube en la UE deben mantener los datos del cliente dentro de la UE.

    
respondido por el Rory Alsop 14.07.2011 - 16:09
fuente
5

Las leyes de un país determinado se aplican dondequiera que el país se extienda. Es un contexto geográfico. Se ha observado muchas veces que las jurisdicciones basadas en el espacio no se mapean bien en un mundo computarizado y en red, porque a menudo es difícil saber en qué países se transita una información determinada entre dos sistemas (especialmente porque "información" no es lo mismo que "manojo de electrones cuyo movimiento en algún cable de cobre en algún lugar se utiliza para transferir información"). La "nube" va un poco más lejos en esa dirección; no cambia las cosas cualitativamente, sino cuantitativamente.

Para ilustrar los problemas relacionados con la jurisdicción, considere el caso de Sony contra Geohot sobre el jailbreak de PS3 , en particular esta cita:

  

SCEA ha tratado de establecer jurisdicción personal en California,   porque el Tribunal de Distrito de los Estados Unidos tiene una tendencia a favorecer   Las empresas de electrónica en los juicios gracias a algunos precedentes establecidos en   casos anteriores hito. La empresa mantiene que tiene los motivos para   presentar su demanda en California, afirmando que la mayoría de las personas que   descargado el jailbreak de PS3 se puede rastrear a ese estado en particular.   Es decir, que Hotz tiene los contactos mínimos en Calfornia para   Sony presentará su caso ante el Tribunal de Distrito del estado.

Sony se tomó muchas molestias para obtener registros del ISP para tratar de establecer esa jurisdicción. (Dos semanas más tarde, Sony y Geohot se retiraron de la corte, por lo que nunca sabremos cómo habría resultado legalmente hablando).

Sin embargo, puede estar seguro de que se aplican algunas leyes. Hay lugares donde no se aplica ninguna ley de ningún país específico (alta mar, espacio exterior a más de 80 km de la superficie de la Tierra, tal vez la Antártida) pero incluso si los sistemas que ejecutan la "nube" estuvieran ubicados en, por ejemplo, un offshore platform , usted y su computadora todavía residirán físicamente en un país más "convencional", cuyas leyes ciertamente se aplican.

En ese momento se vuelve complejo, porque cada país tiene su propio conjunto de leyes y regulaciones sobre sistemas criptográficos y / o claves criptográficas. Consulte este sitio para obtener una amplia encuesta de las leyes de criptografía. Como mínimo, tenga en cuenta las leyes del país en el que se encuentra y las del país donde se encuentran los sistemas de nube; solo porque el software que desarrolle y cargue podría ir del primero al segundo.

Recuerde también que no tengo derecho a de ninguna manera para brindar asesoramiento legal. (Yo no incluso realmente saber si un descargo de responsabilidad me protege o no.)

    
respondido por el Thomas Pornin 14.07.2011 - 14:23
fuente

Lea otras preguntas en las etiquetas