美国的加密技术出口管制
美国的加密技术出口管制在1992年以前,美国法律一直严格限制从美国出口加密相关技术和设备,但到了2000年逐渐放宽。现在仍然存在一些限制。
自第二次世界大战以来,出于对国家安全的考量,包括美国及其北约盟国在内的许多国家政府都对加密技术进行了出口管制。1992年以后,加密技术被美国列为军需品的辅助军事装备。
由于密码分析在第二次世界大战中的巨大影响,政府看到了军事价值,即拒绝当前和潜在的敌人使用密码系统。由于美国和英国认为他们比其他国家具有更好的加密能力,因此,他们的情报机构试图控制所有更有效的加密技术的传播。他们还希望监测其他国家的外交往来,包括在后殖民时期崛起的国家以及在冷战问题上的立场至关重要的国家。
作为军火管制的一部分,制定了相关法规,要求出口加密算法(甚至只是说明其设计)都需要经过授权。美国出口法规规定,超过特定强度(由算法和密钥长度定义)的加密技术不被允许出口,除非是逐案处理。出于各种原因,其他地方也采用了类似的政策。
1970年代资料加密标准[1] (DES)的公布和公钥密码学的诞生,互联网的兴起以及人权活动家冒著风险和抗辩的意愿,最终使相关政策无法实施。美国与西方世界其他国家(例如法国),开始放松出口限制。直到1997年,美国国家安全局(NSA)的官员们都表示担心,高强度加密技术的广泛使用,将挫败他们在有关外国实体(包括在国际上运作的恐怖组织)讯号情报上的侦查。NSA官员预计,以广泛的基础架构为后盾的美国加密软件在投放市场后很可能会成为国际通信的标准。1997年,时任联邦调查局局长路易斯·费里说:
个人电脑普及后
随著个人电脑逐渐普及,加密技术的出口管制已经成为公众关注的问题。菲尔·齐默尔曼在1991年于网际网路上发布加密软体PGP,受到司法调查,是加密技术出口管制首次个人层面上的挑战。,成为密码出口管制方面的首个主要的“个人挑战”。1990年代,电子商务的发展为相关法规制造了更多压力。1990年代电子商务的发展为相关法规制造了更多压力。 VideoCipher II还使用DES加密卫星电视的音源讯号。
1989年,利用密码学原理,但没有加密数据的商品(例如访问控制和消息身份验证)的已从商品出口管制中删除。在1992年,军需品管制清单中正式添加了一个例外,用于密码学的非加密应用(和卫星电视解扰器),并且NSA与软件发行商协会达成协议,使40位密钥长度的RC2和RC4加密更易于使用商品,出口具有特殊的“7天”和“ 15天”司法审查流程,并将控制权从国务院转移到商务部。
此后不久,网景的安全通讯协定,利用公钥密码学,被广泛使用在保护信用卡交易上。网景开发了两个版本的Web浏览器 。“北美版”支持完整长度(通常为1024位或更大)的RSA公钥,以及完整长度的对称密钥(SSL 3.0和TLS 1.0中为128位RC4或3DES)。通过披露SSL协议中的88位密钥,“国际版”的有效密钥长度分别减小为512位和40位(在SSL 3.0和TLS 1.0中, RSA_EXPORT具有40位RC2或RC4)。一台个人电脑可以在数日内破解40位密钥。出于相同的原因,IBM的Lotus Notes也发生了类似的情况。
公民自由主义者、隐私权倡导者所发起的一系列诉讼,加密软件在美国境外的普及,以及许多公司认为对弱加密的不利宣传,限制了其销售和电子商务的发展,诸多因素使美国开始放松一系列出口管制。最终在1996年,美国总统比尔·柯林顿签署了13026号行政命令,,将商业加密从军需品管制清单中转移到商业管制清单。此外,该命令指出:在“出口管制条例”的解释中,不得把“软体”视为“技术”。商品管辖权流程由商品分类流程代替,并且添加了一条规定,如果出口商承诺在1998年底之前添加“密钥恢复”的后门,则可以出口56位加密。1999年,出口管制条例更改为允许没有任何后门的情况下出口56位加密(基于RC2,RC4,RC5,DES或CAST)和1024位RSA,并且引入了新的SSL密码套件来支援此技术(带有56位RC4或DES的RSA_EXPORT1024 )。美国商务部于2000年修订出口管理条例,简化了包含加密技术的专有或开源软体的出口程序。
现状
截至2009年,从美国出口的非军事密码系统均由美国商务部工业和安全局|Bureau of Industry and Security(BIS)管理。即使对于大众市场产品,仍然存在一些限制,特别是在向“流氓国家”和恐怖组织出口方面。军事化的加密设备,经过TEMPEST认证的电子产品,客制化的加密软件,甚至是加密谘询服务,都仍需要出口授权许可。对于“具有超过64位密钥长度,面向的大众市场加密商品,软件和组件”的出口,需要依法向BIS进行注册(36494)。此外,其他物品在出口到大多数国家之前,需要获得BIS的一次性审查或通知。 例如:开源加密软件在互联网上公开之前,必须先通知BIS,尽管不需要进行审查。出口法规已经比1996年以前要来的放松,但仍然很严格。其他国家,特别是瓦圣纳协定成员国,也有类似的限制。
目录
相关法规
美国非军事出口受出口管制条例 (EAR) 管制 ,这是美国联邦法规 (CFR)第15章第730至第774部分的通称(15 C.F.R. § 730 et seq)。
专为军事应用(包括指挥,控制和情报应用)设计,开发,配置,适应或修改的加密项目由国务院控制在美国军需品管制清单上。
历史记录
冷战时期
在冷战初期,美国与其盟国制定了一系列详尽的出口管制法规,旨在防止西方国家的各种重要技术落入敌人手中,特别是东方集团。被归类为“关键(Critical)”的技术,都需要经过授权才能出口。西方各国对出口管制的协调,由输出管制统筹委员会(CoCOM,又称巴黎统筹委员会,中文简称巴统)负责。
有两种类型的技术受到保护:只会与军事(军需品)有关的技术,以及可以同时具有军事和商业双重用途的技术。在美国,前者的出口由国务院管理,后者的由商务部管理。由于在第二次世界大战后不久,加密的市场几乎完全和军事有关,因此加密技术与设备(计算机逐渐开始应用于资料加密后,也包含了加密软体)在1954年11月17日宣布列入美国军需品管制清单第十一类—设备与其他杂项当中(7403)。通过CoCOM对西方各国的加密技术出口,进行管制。
但是,到了1960年代,金融机构开始需要更强大的商业加密,以应付快速增长的电子汇款领域。美国政府于1975年发布了资料加密标准(DES),这意味著的高品质的商业加密将会变得普遍,并且会开始出现严重的出口管制问题。通常,计算机制造商(例如IBM)以及其大型企业客户,需要逐案(在每一次帮外国客户加密数据时)向有关单位申请出口授权许可。