¿Puedo desarrollar herramientas basadas en SSH en los Estados Unidos?

Navega tus respuestas
6

Es bien sabido que el desarrollo de herramientas criptográficas de código abierto es muy problemático en los Estados Unidos: todo el software de código abierto basado en ssh se desarrolló específicamente fuera de los EE. UU. debido a las restricciones de exportación de los EE. UU.

enlace

Mientras estaba en los Estados Unidos, ¿qué pasaría si quisiera reutilizar algún código ssh con licencia del MIT, como OpenSSH, Dropbear o PuTTY, y escribir algunas funciones encima de él, y publicar los resultados como código abierto? ¿Una licencia similar a aquella en la que he adquirido el código original?

No soy una persona matemática, por lo que mis contribuciones ssh probablemente consistirán solo en partes de integración de nivel profundo: por ejemplo, crear varios tipos de clientes de transferencia de archivos basados en ssh.

¿Estoy abriendo la puerta para ser potencialmente procesado en un caso penal por violaciones a la exportación en los Estados Unidos?

    
pregunta cnst 29.12.2012 - 22:43
fuente

3 respuestas

9

La mayoría de las restricciones de exportación de criptografía fuerte se han eliminado, pero no todas. No se puede vender a "estados deshonestos" u organizaciones terroristas, por ejemplo.

Wikipedia: exportación de criptografía en los Estados Unidos

Sin embargo, como siempre, consulte a un abogado, no a Internet, con respecto a la asesoría legal.

    
respondido por el tylerl 30.12.2012 - 01:22
fuente
1

Un truco que suelen utilizar los grupos de EE. UU. que desean utilizar una capacidad de cifrado es, a menudo, una forma de cargar esta capacidad por separado. Cree su aplicación de tal manera que no se distribuya utilizando el código fuente criptográfico, y proporcione instrucciones adicionales sobre cómo obtener su código fuente preferido del creador y compilarlo / vincularlo con el código que está proporcionando.

Esto funciona siempre que no estés modificando las bibliotecas, sino que solo construyas sobre ellas.

El kilometraje varía según el lenguaje de desarrollo y el conocimiento técnico de los usuarios.

También es bueno porque impone cierto nivel de abstracción: si solo tiene un área de suface limitada para las API que no desea exportar, también significa que solo tiene una dependencia limitada de ellas y podría Actualícelos o cámbielos fácilmente si luego encuentra algo que le guste más.

    
respondido por el bethlakshmi 31.12.2012 - 18:44
fuente
0

Creo que mientras no se vuelva a publicar un código de criptografía real junto con las nuevas herramientas basadas en ssh, entonces dichas herramientas basadas en ssh pueden escribirse dentro de los Estados Unidos.

Supongo que podría limitar la capacidad de implementar realmente una integración de nivel más profundo entre los productos ssh existentes y la razón por la cual se está buscando la integración ssh: por ejemplo, hacer un cliente sftp puede ser algo complicado, dependiendo de qué tan buenas fueron las abstracciones realizadas en el código original que se importó para ser pirateado.

Pero, básicamente, la publicación de un único conjunto de parches que hacen la integración entre el código existente basado en ssh y los clientes del sistema de archivos, debería, en mi humilde opinión, ser una apuesta segura. Solo asegúrese de que no se publiquen implementaciones de ssh originales ni funciones criptográficas junto con dichos parches.

    
respondido por el cnst 30.12.2012 - 02:00
fuente

Lea otras preguntas en las etiquetas

¿Qué resolución de cámara se requiere para identificar rostros humanos? ¿Alguien usa el cifrado XML?