美國的加密技術出口管制

在1992年以前,美國法律一直嚴格限制從美國出口加密相關技術和設備,但到了2000年逐漸放寬。現在仍然存在一些限制。

一件印有RSA原始碼的「軍火」T恤("munitions" T-Shirt)。RSA原始碼在美國被視為軍火管制出口,印有原始碼的T恤同樣受到限制[1],用於抗議出口禁令對言論自由的限制。 背面印有蓋上VOID標記的美國憲法第一第五第四第九修正案全文[2][3]。隨着出口法規的放鬆,此T恤的法律問題已經不存在

自第二次世界大戰以來,出於對國家安全的考量,包括美國及其北約盟國在內的許多國家政府都對加密技術進行了出口管制。1992年以後,加密技術被美國列為軍需品的輔助軍事裝備。[4]

由於密碼分析在第二次世界大戰中的巨大影響,政府看到了軍事價值,即拒絕當前和潛在的敵人使用密碼系統。由於美國和英國認為他們比其他國家具有更好的加密能力,因此,他們的情報機構試圖控制所有更有效的加密技術的傳播。他們還希望監測其他國家的外交往來,包括在後殖民時期崛起的國家以及在冷戰問題上的立場至關重要的國家。

作為軍火管制的一部分,制定了相關法規,要求出口加密算法(甚至只是說明其設計)都需要經過授權。美國出口法規規定,超過特定強度(由算法和密鑰長度定義)的加密技術不被允許出口,除非是逐案處理。出於各種原因,其他地方也採用了類似的政策。

1970年代資料加密標準 (DES)的公佈和公鑰密碼學的誕生,互聯網的興起以及人權活動家冒着風險和抗辯的意願,最終使相關政策無法實施。美國與西方世界其他國家(例如法國),開始放鬆出口限制。直到1997年,美國國家安全局(NSA)的官員們都表示擔心,高強度加密技術的廣泛使用,將挫敗他們在有關外國實體(包括在國際上運作的恐怖組織)訊號情報上的偵查。NSA官員預計,以廣泛的基礎架構為後盾的美國加密軟件在投放市場後很可能會成為國際通信的標準。1997年,時任聯邦調查局局長路易斯·費里說:

對於執法部門而言,解決問題很簡單。在令人眼花撩亂的各種電信和電腦技術蓬勃發展的時代,訊息可以具有非凡的價值,高強度加密技術的現成可用性至關重要,執法人員對此無異議。顯然,在當今世界以及未來更是如此,對同步通信和存儲的數據進行加密的能力是訊息安全的重要組成部分。

但是,通常情況下,加密問題還有另一方面,如果不加以解決,將對公共安全和國家安全造成嚴重影響。執法部門一致認為,不使用密鑰託管的強大加密技術,一旦廣泛使用,最終將破壞我們打擊犯罪和預防恐怖主義的能力。不可破解的加密將使毒販、間諜、恐怖分子甚至有組織犯罪能夠就其罪行和陰謀進行交流,而不受懲罰。我們將失去執法人員得以成功調查並經常預防著犯下最嚴重罪行的最可惡的那些犯罪分子和恐怖分子,所擁有的少數弱點之一。

因此,執法界一致呼籲為這一問題尋求平衡的解決方案。[5]

頁面存檔備份,存於互聯網檔案館

歷史記錄

冷戰時期

在冷戰初期,美國與其盟國制定了一系列詳盡的出口管制法規,旨在防止西方國家的各種重要技術落入敵人手中,特別是東方集團。被歸類為「關鍵(Critical)」的技術,都需要經過授權才能出口。西方各國對出口管制的協調,由輸出管制統籌委員會(CoCOM,又稱巴黎統籌委員會,中文簡稱巴統)負責。[6]

有兩種類型的技術受到保護:只會與軍事(軍需品)有關的技術,以及可以同時具有軍事和商業雙重用途的技術。在美國,前者的出口由國務院管理,後者的由商務部管理。由於在第二次世界大戰後不久,加密的市場幾乎完全和軍事有關,因此加密技術與設備(計算機逐漸開始應用於資料加密後,也包含了加密軟件)在1954年11月17日宣佈列入美國軍需品管制清單第十一類—設備與其他雜項當中(19 FR 7403)。通過CoCOM對西方各國的加密技術出口,進行管制。[6]

但是,到了1960年代,金融機構開始需要更強大的商業加密,以應付快速增長的電子匯款領域。美國政府於1975年發佈了資料加密標準(DES),這意味着的高品質的商業加密將會變得普遍,並且會開始出現嚴重的出口管制問題。通常,計算機製造商(例如IBM)以及其大型企業客戶,需要逐案(在每一次幫外國客戶加密數據時)向有關單位申請出口授權許可。

個人電腦普及後

隨着個人電腦逐漸普及,加密技術的出口管制已經成為公眾關注的問題。菲爾·齊默爾曼在1991年於互聯網上發佈加密軟件PGP,受到司法調查,是加密技術出口管制首次個人層面上的挑戰。[7],成為密碼出口管制方面的首個主要的「個人挑戰」。1990年代,電子商務的發展為相關法規製造了更多壓力。[8]1990年代電子商務的發展為相關法規製造了更多壓力。 VideoCipher II還使用DES加密衛星電視的音源訊號。

1989年,利用密碼學原理,但沒有加密數據的商品(例如訪問控制和消息身份驗證)的已從商品出口管制中刪除。在1992年,軍需品管制清單中正式添加了一個例外,用於密碼學的非加密應用(和衛星電視解擾器),並且NSA與軟件發行商協會達成協議,使40位密鑰長度的RC2和RC4加密更易於使用商品,出口具有特殊的「7天」和「 15天」司法審查流程,並將控制權從國務院轉移到商務部。

此後不久,網景安全通訊協定,利用公鑰密碼學,被廣泛使用在保護信用卡交易上。網景開發了兩個版本的Web瀏覽器 。「北美版」支持完整長度(通常為1024位或更大)的RSA公鑰,以及完整長度的對稱密鑰(SSL 3.0和TLS 1.0中為128位RC4或3DES)。通過披露SSL協議中的88位密鑰,「國際版」的有效密鑰長度分別減小為512位和40位(在SSL 3.0和TLS 1.0中, RSA_EXPORT具有40位RC2或RC4)。[9][10]一台個人電腦可以在數日內破解40位密鑰。出於相同的原因,IBM的Lotus Notes也發生了類似的情況。[11]即使是在美國,購買美版也需要經過很麻煩的手續,因此大多數用戶最終仍是購買了國際版。[11]

公民自由主義者、私隱權倡導者所發起的一系列訴訟,加密軟件在美國境外的普及,以及許多公司認為對弱加密的不利宣傳,限制了其銷售和電子商務的發展,諸多因素使美國開始放鬆一系列出口管制。最終在1996年,美國總統比爾·克林頓簽署了13026號行政命令,[12],將商業加密從軍需品管制清單中轉移到商業管制清單。此外,該命令指出:在「出口管制條例」的解釋中,不得把「軟件」視為「技術」。商品管轄權流程由商品分類流程代替,並且添加了一條規定,如果出口商承諾在1998年底之前添加「密鑰恢復」的後門,則可以出口56位加密。1999年,出口管制條例更改為允許沒有任何後門的情況下出口56位加密(基於RC2,RC4,RC5,DES或CAST)和1024位RSA,並且引入了新的SSL密碼套件來支援此技術(帶有56位RC4或DES的RSA_EXPORT1024 )。美國商務部於2000年修訂出口管理條例,簡化了包含加密技術的專有或開源軟件的出口程序。[13]

現狀

截至2009年,從美國出口的非軍事密碼系統均由美國商務部工業和安全局(BIS)管理。[14]即使對於大眾市場產品,仍然存在一些限制,特別是在向「流氓國家」和恐怖組織出口方面。軍事化的加密設備,經過TEMPEST英語Tempest (codename)認證的電子產品,客製化的加密軟件,甚至是加密諮詢服務,都仍需要出口授權許可。[14]:6-7對於「具有超過64位密鑰長度,面向的大眾市場加密商品,軟件和組件」的出口,需要依法向BIS進行註冊(75 FR 36494)。此外,其他物品在出口到大多數國家之前,需要獲得BIS的一次性審查或通知。 例如:開源加密軟件在互聯網上公開之前,必須先通知BIS,儘管不需要進行審查。[15]出口法規已經比1996年以前要來的放鬆,但仍然很嚴格。其他國家,[16]特別是瓦聖納協定成員國,也有類似的限制。[17]

相關法規

美國非軍事出口受出口管制條例 (EAR) 管制 ,這是美國聯邦法規 (CFR)第15章第730至第774部分的通稱(15 C.F.R. § 730 et seq頁面存檔備份,存於互聯網檔案館))。

專為軍事應用(包括指揮,控制和情報應用)設計,開發,配置,適應或修改的加密項目由國務院控制在美國軍需品管制清單上。

術語

加密技術與出口的相關術語在EAR的772.1部份說明[18],其中比較重要的有:

  • 加密組件:是一種加密商品或軟件(但不包括源代碼)包括加密晶片,集成電路等。這些組件通常無法獨立運作,是設計用來作為其他加密產品的一部分。
  • 加密物品:包括非軍用加密商品,軟件和技術。
  • 開放密碼界面:是一種機制,旨在允許客戶或其他方插入密碼功能,而無需製造商或其代理商的干預,幫助或協助。
  • 輔助密碼學技術:主要不是用於計算和通信,而是用於數位版權管理;遊戲、家用電器;打印,照片和視頻錄製(但不包括視頻會議);業務流程自動化;工業或製造系統(包括機械人、火警和HVAC);汽車、航空和其他運輸系統。

根據740部分的EAR補編第1號,出口目的地分為四個國家組 (A,B,D,E),並進一步細分。一個國家可以屬於多個集團。作為加密出口的目的地,組B,D:1和E:1很重要:

  • B是受寬鬆的加密出口管制的眾多國家/地區。
  • D:1是受更嚴格出口管制的國家的簡短清單。名單上著名的國家包括中國俄羅斯
  • E:1是「支持恐怖主義」的國家的簡短列表(截至2009年,包括五個國家;以前包含六個國家,也被稱為"terrorist 6"或T-6)。

738部分的EAR補編第1號(商業國家/地區圖表)包含具有國家/地區限制的表格。如果與國家/地區相對應的表格行的「控制理由」列中包含X,則除非可以應用例外情況 ,否則控制對象的出口需要許可證。為了加密目的,控制的以下三個原因很重要:

  • NS1國家安全專欄1
  • AT1反恐專欄1
  • EI加密項目當前與NS1相同

分類

出於出口目的,藉助於商業管制清單(CCL,EAR部分774的補編第1號),將每個項目分類為具有出口控制分類號 (ECCN)。 特別是:

  • 5A002用於「訊息安全」的系統,設備,電子組件和集成電路。控制原因:NS1,AT1。
  • 5A992不受5A002控制的 「大眾市場」加密商品和其他設備。 控制原因:AT1。
  • 5B002用於開發或生產歸類為5A002、5B002、5D002或5E002的物品的設備。 控制原因:NS1,AT1。
  • 5D002加密軟件。 控制原因:NS1,AT1。
    • 用於開發,生產或使用分類為5A002、5B002、5D002的物品
    • 5E002控制的輔助技術
    • 模擬5A002或5B002控制的設備的功能
    • 用於認證由5D002控制的軟件
  • 5D992加密軟件不受5D002控制。 控制原因:AT1。
  • 5E002 5A002或5B002控制的設備或5D002控制的軟件的開發,生產或使用技術。 控制原因:NS1,AT1。
  • 5E992 5x992項目的技術。 控制原因:AT1。

項目可以是自分類的,也可以是BIS要求的分類(「複查」)。 對於典型項目,需要進行BIS審查才能獲得5A992或5D992分類。

另請參見

參考來源

  1. ^ perl RSA "munitions" T-Shirt homepage. [2020-02-12]. (原始內容存檔於2020-02-18). 
  2. ^ UK shirt design. [2020-02-12]. (原始內容存檔於2020-01-29). (T恤設計的說明)
  3. ^ Munitions T-shirt. [2020-02-12]. (原始內容存檔於2020-02-18). (含有T-恤的正反面照片)
  4. ^ International Traffic in Arms Regulations. 電子私隱信息中心. [2020-02-19]. (原始內容存檔於2021-04-24). 
  5. ^ FBI Director Freeh's Testimony (7/9/97). 電子私隱信息中心. [2020-02-19]. (原始內容存檔於2021-03-08). 
  6. ^ 6.0 6.1 仲利波、趙婧琳 西安交通大學法學院. 美国密码技术的出口管制法律制度研究. 信息安全研究. 
  7. ^ 加密禁令会扼杀英国的比特币商业么?. 巴比特. [2020-02-19]. (原始內容存檔於2020-02-19). 
  8. ^ Ranger, Steve. The undercover war on your internet secrets: How online surveillance cracked our trust in the web. TechRepublic. 24 March 2015 [2016-06-12]. (原始內容存檔於2016-06-12). 
  9. ^ 曷歇. 讓您上網購物更加安心-Fortify for Netscape. Run!PC. 1999 年 2 月份. 
  10. ^ Installation Options. [2017-03-30]. (原始內容存檔於1997-07-09). 
  11. ^ 11.0 11.1 Crypto: How the Code Rebels Beat the Government—Saving Privacy in the Digital Age, Steven Levy, Penguin, 2001
  12. ^ Administration of Export Controls on Encryption Products (PDF). Federalregister.gov. [2016-06-11]. 
  13. ^ Revised U.S. Encryption Export Control Regulations (January 2000). Electronic Privacy Information Center. US Department of Commerce. January 2000 [2014-01-06]. (原始內容存檔於2013-08-23). 
  14. ^ 14.0 14.1 Robin Gross. Regulations (PDF). gpo.gov. [2014-10-24]. (原始內容 (PDF)存檔於2010-12-03). 
  15. ^ U. S. Bureau of Industry and Security - Notification Requirements for "Publicly Available" Encryption Source Code. Bis.doc.gov. 2004-12-09 [2009-11-08]. (原始內容存檔於2002-09-21). 
  16. ^ Participating States - The Wassenaar Arrangement. Wassenaar.org. [11 June 2016]. (原始內容存檔於27 May 2012). 
  17. ^ Wassenaar Arrangement on Export Controls for Conventional Arms and Dual-Use Goods and Technologies: Guidelines & Procedures, including the Initial Elements (PDF). Wassenaar.org. December 2009 [2016-06-11]. (原始內容 (PDF)存檔於2014-10-14). 
  18. ^ EAR part 772§772.1. 美國聯邦法規電子版. [2020-02-19]. (原始內容存檔於2021-04-09). 

外部連結