美國的加密技術出口管制檢視原始碼討論檢視歷史
美國的加密技術出口管制在1992年以前,美國法律一直嚴格限制從美國出口加密相關技術和設備,但到了2000年逐漸放寬。現在仍然存在一些限制。
自第二次世界大戰以來,出於對國家安全的考量,包括美國及其北約盟國在內的許多國家政府都對加密技術進行了出口管制。1992年以後,加密技術被美國列為軍需品的輔助軍事裝備。
由於密碼分析在第二次世界大戰中的巨大影響,政府看到了軍事價值,即拒絕當前和潛在的敵人使用密碼系統。由於美國和英國認為他們比其他國家具有更好的加密能力,因此,他們的情報機構試圖控制所有更有效的加密技術的傳播。他們還希望監測其他國家的外交往來,包括在後殖民時期崛起的國家以及在冷戰問題上的立場至關重要的國家。
作為軍火管制的一部分,制定了相關法規,要求出口加密算法(甚至只是說明其設計)都需要經過授權。美國出口法規規定,超過特定強度(由算法和密鑰長度定義)的加密技術不被允許出口,除非是逐案處理。出於各種原因,其他地方也採用了類似的政策。
1970年代資料加密標準[1] (DES)的公佈和公鑰密碼學的誕生,互聯網的興起以及人權活動家冒著風險和抗辯的意願,最終使相關政策無法實施。美國與西方世界其他國家(例如法國),開始放鬆出口限制。直到1997年,美國國家安全局(NSA)的官員們都表示擔心,高強度加密技術的廣泛使用,將挫敗他們在有關外國實體(包括在國際上運作的恐怖組織)訊號情報上的偵查。NSA官員預計,以廣泛的基礎架構為後盾的美國加密軟件在投放市場後很可能會成為國際通信的標準。1997年,時任聯邦調查局局長路易斯·費里說:
個人電腦普及後
隨著個人電腦逐漸普及,加密技術的出口管制已經成為公眾關注的問題。菲爾·齊默爾曼在1991年於網際網路上發布加密軟體PGP,受到司法調查,是加密技術出口管制首次個人層面上的挑戰。,成為密碼出口管制方面的首個主要的「個人挑戰」。1990年代,電子商務的發展為相關法規製造了更多壓力。1990年代電子商務的發展為相關法規製造了更多壓力。 VideoCipher II還使用DES加密衛星電視的音源訊號。
1989年,利用密碼學原理,但沒有加密數據的商品(例如訪問控制和消息身份驗證)的已從商品出口管制中刪除。在1992年,軍需品管制清單中正式添加了一個例外,用於密碼學的非加密應用(和衛星電視解擾器),並且NSA與軟件發行商協會達成協議,使40位密鑰長度的RC2和RC4加密更易於使用商品,出口具有特殊的「7天」和「 15天」司法審查流程,並將控制權從國務院轉移到商務部。
此後不久,網景的安全通訊協定,利用公鑰密碼學,被廣泛使用在保護信用卡交易上。網景開發了兩個版本的Web瀏覽器 。「北美版」支持完整長度(通常為1024位或更大)的RSA公鑰,以及完整長度的對稱密鑰(SSL 3.0和TLS 1.0中為128位RC4或3DES)。通過披露SSL協議中的88位密鑰,「國際版」的有效密鑰長度分別減小為512位和40位(在SSL 3.0和TLS 1.0中, RSA_EXPORT具有40位RC2或RC4)。一台個人電腦可以在數日內破解40位密鑰。出於相同的原因,IBM的Lotus Notes也發生了類似的情況。
公民自由主義者、隱私權倡導者所發起的一系列訴訟,加密軟件在美國境外的普及,以及許多公司認為對弱加密的不利宣傳,限制了其銷售和電子商務的發展,諸多因素使美國開始放鬆一系列出口管制。最終在1996年,美國總統比爾·柯林頓簽署了13026號行政命令,,將商業加密從軍需品管制清單中轉移到商業管制清單。此外,該命令指出:在「出口管制條例」的解釋中,不得把「軟體」視為「技術」。商品管轄權流程由商品分類流程代替,並且添加了一條規定,如果出口商承諾在1998年底之前添加「密鑰恢復」的後門,則可以出口56位加密。1999年,出口管制條例更改為允許沒有任何後門的情況下出口56位加密(基於RC2,RC4,RC5,DES或CAST)和1024位RSA,並且引入了新的SSL密碼套件來支援此技術(帶有56位RC4或DES的RSA_EXPORT1024 )。美國商務部於2000年修訂出口管理條例,簡化了包含加密技術的專有或開源軟體的出口程序。
現狀
截至2009年,從美國出口的非軍事密碼系統均由美國商務部工業和安全局|Bureau of Industry and Security(BIS)管理。即使對於大眾市場產品,仍然存在一些限制,特別是在向「流氓國家」和恐怖組織出口方面。軍事化的加密設備,經過TEMPEST認證的電子產品,客製化的加密軟件,甚至是加密諮詢服務,都仍需要出口授權許可。對於「具有超過64位密鑰長度,面向的大眾市場加密商品,軟件和組件」的出口,需要依法向BIS進行註冊(36494)。此外,其他物品在出口到大多數國家之前,需要獲得BIS的一次性審查或通知。 例如:開源加密軟件在互聯網上公開之前,必須先通知BIS,儘管不需要進行審查。出口法規已經比1996年以前要來的放鬆,但仍然很嚴格。其他國家,特別是瓦聖納協定成員國,也有類似的限制。
相關法規
美國非軍事出口受出口管制條例 (EAR) 管制 ,這是美國聯邦法規 (CFR)第15章第730至第774部分的通稱(15 C.F.R. § 730 et seq)。
專為軍事應用(包括指揮,控制和情報應用)設計,開發,配置,適應或修改的加密項目由國務院控制在美國軍需品管制清單上。
歷史記錄
冷戰時期
在冷戰初期,美國與其盟國制定了一系列詳盡的出口管制法規,旨在防止西方國家的各種重要技術落入敵人手中,特別是東方集團。被歸類為「關鍵(Critical)」的技術,都需要經過授權才能出口。西方各國對出口管制的協調,由輸出管制統籌委員會(CoCOM,又稱巴黎統籌委員會,中文簡稱巴統)負責。
有兩種類型的技術受到保護:只會與軍事(軍需品)有關的技術,以及可以同時具有軍事和商業雙重用途的技術。在美國,前者的出口由國務院管理,後者的由商務部管理。由於在第二次世界大戰後不久,加密的市場幾乎完全和軍事有關,因此加密技術與設備(計算機逐漸開始應用於資料加密後,也包含了加密軟體)在1954年11月17日宣佈列入美國軍需品管制清單第十一類—設備與其他雜項當中(7403)。通過CoCOM對西方各國的加密技術出口,進行管制。
但是,到了1960年代,金融機構開始需要更強大的商業加密,以應付快速增長的電子匯款領域。美國政府於1975年發布了資料加密標準(DES),這意味著的高品質的商業加密將會變得普遍,並且會開始出現嚴重的出口管制問題。通常,計算機製造商(例如IBM)以及其大型企業客戶,需要逐案(在每一次幫外國客戶加密數據時)向有關單位申請出口授權許可。