La exportación de tecnología y dispositivos criptográficos de los Estados Unidos estuvo severamente restringida por la ley estadounidense hasta 1992. La ley se suavizó gradualmente hasta alrededor del 2000, pero algunas restricciones aún permanecen en la actualidad.
Desde la Segunda Guerra Mundial , muchos gobiernos, incluidos los EE. UU. Y sus aliados de la OTAN , han regulado la exportación de criptografía por razones de seguridad nacional y, hasta 1992, la criptografía estaba en la Lista de municiones de EE. UU. Como equipo militar auxiliar. [2]
Debido al enorme impacto del criptoanálisis en la Segunda Guerra Mundial , estos gobiernos vieron el valor militar de negar a los enemigos actuales y potenciales el acceso a los sistemas criptográficos. Dado que EE. UU. Y el Reino Unido creían que tenían mejores capacidades criptográficas que otros, sus agencias de inteligencia intentaron controlar toda la difusión de las técnicas criptográficas más efectivas. También deseaban monitorear las comunicaciones diplomáticas de otras naciones, incluidas las que surgieron en el período poscolonial y cuya posición sobre los problemas de la Guerra Fría era vital. [3]
La Primera Enmienda hizo ilegal el control de todo uso de la criptografía dentro de los EE. UU., Pero controlar el acceso a los desarrollos de EE. UU. Por parte de otros era más práctico: no había impedimentos constitucionales.
En consecuencia, se introdujeron regulaciones como parte de los controles de municiones que requerían licencias para exportar métodos criptográficos (e incluso su descripción); las regulaciones establecieron que la criptografía más allá de una cierta fuerza (definida por el algoritmo y la longitud de la clave ) no se autorizaría para la exportación excepto caso por caso. Esta política también se adoptó en otros lugares por diversas razones.
El desarrollo y la publicación pública del Estándar de cifrado de datos (DES) y las técnicas de clave asimétrica en la década de 1970, el auge de Internet y la voluntad de algunos de arriesgarse y resistirse al enjuiciamiento, finalmente hicieron que esta política fuera imposible de hacer cumplir, y para fines de la década de 1990 se estaba relajando en los Estados Unidos y, hasta cierto punto, en otros lugares (por ejemplo, Francia). Todavía en 1997, a los funcionarios de la NSA en los EE. UU. Les preocupaba que el uso generalizado de cifrado fuerte frustrara su capacidad para proporcionar SIGINT con respecto a entidades extranjeras, incluidos grupos terroristas que operan internacionalmente. Los funcionarios de la NSA anticiparon que el software de cifrado estadounidense respaldado por una infraestructura extensa, cuando se comercializara, probablemente se convertiría en un estándar para las comunicaciones internacionales. [4] En 1997, Louis Freeh , entonces director del FBI , dijo
Para las fuerzas del orden público, enmarcar el problema es simple. En esta época de deslumbrante tecnología informática y de telecomunicaciones donde la información puede tener un valor extraordinario, la disponibilidad inmediata de un cifrado robusto es esencial. Nadie en la aplicación de la ley discute eso. Claramente, en el mundo actual y más aún en el futuro, la capacidad de cifrar tanto las comunicaciones contemporáneas como los datos almacenados es un componente vital de la seguridad de la información.
Sin embargo, como suele ser el caso, hay otro aspecto del problema del cifrado que, si no se aborda, tendrá graves ramificaciones de seguridad pública y seguridad nacional. Las fuerzas del orden público están de acuerdo unánimemente en que el uso generalizado de un cifrado robusto de recuperación sin claves devastará en última instancia nuestra capacidad para combatir el crimen y prevenir el terrorismo. El cifrado indescifrable permitirá a los narcotraficantes, espías, terroristas e incluso bandas violentas comunicarse impunemente sobre sus crímenes y conspiraciones. Perderemos una de las pocas vulnerabilidades que quedan de los peores criminales y terroristas de los que depende la aplicación de la ley para investigar con éxito y, a menudo, prevenir los peores delitos.
Por esta razón, la comunidad policial es unánime al pedir una solución equilibrada a este problema. [5]
Historia
Era de la Guerra Fría
En los primeros días de la Guerra Fría , Estados Unidos y sus aliados desarrollaron una elaborada serie de regulaciones de control de exportaciones diseñadas para evitar que una amplia gama de tecnología occidental cayera en manos de otros, particularmente del bloque del Este . Toda exportación de tecnología clasificada como "crítica" requería una licencia. CoCom se organizó para coordinar los controles de exportación occidentales.
Se protegieron dos tipos de tecnología: la tecnología asociada únicamente a las armas de guerra ("municiones") y la tecnología de doble uso, que también tenía aplicaciones comerciales. En los EE. UU., La exportación de tecnología de doble uso estaba controlada por el Departamento de Comercio , mientras que las municiones estaban controladas por el Departamento de Estado . Dado que en el período inmediatamente posterior a la Segunda Guerra Mundial el mercado de la criptografía era casi completamente militar, la tecnología de cifrado (técnicas y equipos y, después de que las computadoras se volvieron importantes, el software criptográfico) se incluyó como "Categoría XI - Artículos varios" y más tarde "Categoría XIII". - Equipo militar auxiliar "en la Lista de municiones de los Estados Unidos el 17 de noviembre de 1954. El control multinacional de la exportación de criptografía en el lado occidental de la división de la guerra fría se realizó a través de los mecanismos de CoCom.
Sin embargo, en la década de 1960, las organizaciones financieras comenzaban a requerir un cifrado comercial sólido en el campo de rápido crecimiento de las transferencias de dinero por cable. La introducción del estándar de cifrado de datos por parte del gobierno de los Estados Unidos en 1975 significó que los usos comerciales del cifrado de alta calidad se volverían comunes y comenzaron a surgir serios problemas de control de las exportaciones. En general, estos se resolvieron a través de procedimientos de solicitud de licencia de exportación caso por caso iniciados por fabricantes de computadoras, como IBM , y por sus grandes clientes corporativos.
Era de la PC
Los controles de exportación de cifrado se convirtieron en un asunto de interés público con la introducción de la computadora personal . El criptosistema PGP de Phil Zimmermann y su distribución en Internet en 1991 fue el primer desafío importante a "nivel individual" para los controles de exportación de criptografía. El crecimiento del comercio electrónico en la década de 1990 creó una presión adicional para reducir las restricciones. VideoCipher II también usó DES para codificar el audio de la televisión por satélite.
En 1989, el uso de criptografía sin cifrado (como el control de acceso y la autenticación de mensajes) se eliminó del control de exportaciones con una jurisdicción de productos básicos. [1] En 1992, se agregó formalmente una excepción en el USML para el uso no cifrado de criptografía (y decodificadores de televisión por satélite) y un acuerdo entre la NSA y la Asociación de Editores de Software hizo que el cifrado RC2 y RC4 de 40 bits se exportara fácilmente utilizando un producto Jurisdicción con procesos especiales de revisión de "7 días" y "15 días" (que transfirieron el control del Departamento de Estado al Departamento de Comercio). En esta etapa, los gobiernos occidentales tenían, en la práctica, una personalidad dividida en lo que respecta al cifrado; La política fue hecha por los criptoanalistas militares, que estaban únicamente preocupados por evitar que sus "enemigos" adquirieran secretos, pero esa política fue luego comunicada al comercio por funcionarios cuyo trabajo era apoyar a la industria.
Poco después, la tecnología SSL de Netscape fue ampliamente adoptada como un método para proteger las transacciones de tarjetas de crédito utilizando criptografía de clave pública . Netscape desarrolló dos versiones de su navegador web . La "edición estadounidense" admitía claves públicas RSA de tamaño completo (normalmente de 1024 bits o más) en combinación con claves simétricas de tamaño completo (claves secretas) (RC4 o 3DES de 128 bits en SSL 3.0 y TLS 1.0). La "Edición Internacional" redujo sus longitudes de claves efectivas a 512 bits y 40 bits respectivamente ( RSA_EXPORT con RC2 de 40 bits o RC4 en SSL 3.0 y TLS 1.0). [6] Adquirir la versión 'doméstica de EE. UU.' Resultó ser suficiente molestia para que la mayoría de los usuarios de computadoras, incluso en los EE. UU., Terminaran con la versión 'internacional', [7] cuyo cifrado débil de 40 bits se puede romper actualmente en un cuestión de días usando una sola computadora. Una situación similar ocurrió con Lotus Notes por las mismas razones.
Los desafíos legales de Peter Junger y otros defensores de las libertades civiles y de la privacidad, la disponibilidad generalizada de software de cifrado fuera de los EE. UU. Y la percepción de muchas empresas de que la publicidad adversa sobre el cifrado débil estaba limitando sus ventas y el crecimiento del comercio electrónico, llevaron a una serie de relajaciones en los controles de exportación de Estados Unidos, que culminaron en 1996 con la firma del presidente Bill Clinton de la Orden Ejecutiva 13026 que transfirió el cifrado comercial de la Lista de municiones a la Lista de control del comercio . Además, la orden establecía que "el software no se considerará ni tratará como 'tecnología'" en el sentido de las Regulaciones de Administración de Exportaciones . El proceso de jurisdicción de productos básicos se reemplazó por un proceso de clasificación de productos básicos, y se agregó una disposición para permitir la exportación de cifrado de 56 bits si el exportador prometía agregar puertas traseras de "recuperación de claves" para fines de 1998. En 1999, el EAR se cambió a permiten exportar el cifrado de 56 bits (basado en RC2, RC4, RC5, DES o CAST) y RSA de 1024 bits sin puertas traseras, y se introdujeron nuevos conjuntos de cifrado SSL para admitir esto ( RSA_EXPORT1024 con RC4 o DES de 56 bits) . En 2000, el Departamento de Comercio implementó reglas que simplificaron en gran medida la exportación de software comercial y de código abierto que contenga criptografía, incluida la posibilidad de eliminar las restricciones de longitud de la clave después de pasar por el proceso de Clasificación de productos básicos (para clasificar el software como "minorista") y agregando una excepción para el código fuente de cifrado disponible públicamente. [8]
Estado actual
A partir de 2009[actualizar], las exportaciones de criptografía no militar de los EE. UU. están controladas por la Oficina de Industria y Seguridad del Departamento de Comercio . [9] Aún existen algunas restricciones, incluso para productos del mercado masivo, particularmente con respecto a la exportación a " estados delincuentes " y organizaciones terroristas . El equipo de cifrado militarizado, la electrónica aprobada por TEMPEST , el software criptográfico personalizado e incluso los servicios de consultoría criptográfica todavía requieren una licencia de exportación [9] (págs. 6-7). Además, el registro de cifrado con el BIS es necesario para la exportación de "productos, software y componentes de cifrado de mercado masivo con cifrado superior a 64 bits" (75 FR 36494 ). Además, otros artículos requieren una revisión única o notificación al BIS antes de exportarlos a la mayoría de los países. [9] Por ejemplo, el BIS debe ser notificado antes de que el software criptográfico de código abierto esté disponible públicamente en Internet, aunque no se requiere revisión. [10] Las reglamentaciones de exportación se han relajado respecto a las normas anteriores a 1996, pero siguen siendo complejas. [9] Otros países, en particular los que participan en el Acuerdo de Wassenaar , [11] tienen restricciones similares. [12]
Reglas de exportación de EE. UU.
Las exportaciones no militares de EE. UU. Están controladas por las Regulaciones de Administración de Exportaciones (EAR), un nombre corto del Código de Regulaciones Federales (CFR) de EE . UU . Título 15, capítulo VII, subcapítulo C.
Los elementos de cifrado diseñados, desarrollados, configurados, adaptados o modificados específicamente para aplicaciones militares (incluidas las aplicaciones de comando, control e inteligencia) están controlados por el Departamento de Estado en la Lista de municiones de los Estados Unidos .
Terminología
La terminología de exportación de cifrado se define en EAR parte 772.1. [13] En particular:
- El componente de cifrado es un producto o software de cifrado (pero no el código fuente), que incluye chips de cifrado, circuitos integrados, etc.
- Los elementos de cifrado incluyen productos, software y tecnología de cifrado no militares.
- La interfaz criptográfica abierta es un mecanismo que está diseñado para permitir que un cliente u otra parte inserte una funcionalidad criptográfica sin la intervención, ayuda o asistencia del fabricante o sus agentes.
- Los elementos de criptografía auxiliar son los que se utilizan principalmente no para la informática y las comunicaciones, sino para la gestión de derechos digitales ; juegos, electrodomésticos; impresión, grabación de fotografías y videos (pero no videoconferencias); automatización de procesos comerciales ; sistemas industriales o de fabricación (incluidos robótica , alarmas contra incendios y HVAC ); automoción , aviación y otros sistemas de transporte.
Los destinos de exportación están clasificados por el Suplemento EAR No. 1 de la Parte 740 en cuatro grupos de países (A, B, D, E) con subdivisiones adicionales; [14] un país puede pertenecer a más de un grupo. A los efectos del cifrado, los grupos B, D: 1 y E: 1 son importantes:
- B es una gran lista de países que están sujetos a reglas de exportación de cifrado relajadas
- D: 1 es una breve lista de países que están sujetos a un control de exportación más estricto. Los países notables en esta lista incluyen China y Rusia.
- E: 1 es una lista muy corta de países "que apoyan al terrorismo" (a partir de 2009, incluye cinco países; anteriormente contenía seis países y también se llamaba "terrorista 6" o T-6)
El Suplemento EAR No. 1 de la Parte 738 (Cuadro de países de comercio) contiene la tabla con restricciones de países . [15] Si una línea de la tabla que corresponde al país contiene una X en la columna de motivo de control , la exportación de un artículo controlado requiere una licencia, a menos que se pueda aplicar una excepción . A los efectos del cifrado, las siguientes tres razones para el control son importantes:
- NS1 Columna de seguridad nacional 1
- AT1 Columna Antiterrorista 1
- Los elementos de cifrado de EI son actualmente los mismos que NS1
Clasificación
Para fines de exportación, cada artículo se clasifica con el Número de Clasificación de Control de Exportación (ECCN) con la ayuda de la Lista de Control de Comercio (CCL, Suplemento No. 1 del EAR parte 774). En particular: [9]
- 5A002 Sistemas, equipos, conjuntos electrónicos y circuitos integrados para "seguridad de la información. Razones para el control: NS1, AT1.
- 5A992 Productos de cifrado de "mercado masivo" y otros equipos no controlados por el artículo 5A002. Razón del control: AT1.
- 5B002 Equipo para el desarrollo o producción de artículos clasificados como 5A002, 5B002, 5D002 o 5E002. Razones para el control: NS1, AT1.
- Software de cifrado 5D002 . Razones para el control: NS1, AT1.
- utilizado para desarrollar, producir o utilizar elementos clasificados como 5A002, 5B002, 5D002
- tecnología de apoyo controlada por 5E002
- Modelado de las funciones de los equipos controlados por 5A002 o 5B002.
- utilizado para certificar software controlado por 5D002
- 5D992 Software de cifrado no controlado por 5D002. Razones para el control: AT1.
- 5E002 Tecnología para el desarrollo, producción o uso de equipos controlados por 5A002 o 5B002 o software controlado por 5D002. Razones para el control: NS1, AT1.
- 5E992 Tecnología para los elementos 5x992. Razones para el control: AT1.
Un artículo puede auto-clasificarse o solicitarse una clasificación ("revisión") al BIS. Se requiere una revisión de BIS para que los artículos típicos obtengan la clasificación 5A992 o 5D992.
Ver también
- Bernstein contra Estados Unidos
- Cribado de comercio denegado
- Junger contra Daley
- Restricciones a la importación de criptografía
- FENÓMENO
- Guerras criptográficas
Referencias
- ^ "Camiseta de municiones" .
- ^ Departamento de Estado - Reglamento sobre tráfico internacional de armas, 1 de abril de 1992, sección 121.1
- ^ Kahn, Los descifradores de códigos , cap. 19
- ^ El debate sobre el cifrado: aspectos de inteligencia. Consulte la referencia a continuación, p. 4
- ^ Declaración de Louis J. Freeh, Director, Oficina Federal de Investigación ante el Comité Judicial del Senado. 9 de julio de 1997
- ^ "Fortificar para Netscape" . www.fortify.net . Consultado el 1 de diciembre de 2017 .
- ^ "Archivo del 25 de enero de 1999 de la página de descarga de Netscape Communicator 4.61 que muestra una ruta más difícil para descargar la versión de 128 bits" . Archivado desde el original el 16 de septiembre de 1999 . Consultado el 26 de marzo de 2017 .CS1 maint: bot: estado de URL original desconocido ( enlace )
- ^ "Regulaciones revisadas de control de exportación de cifrado de Estados Unidos" . Copia EPIC del documento del Departamento de Comercio de EE. UU . Enero de 2000 . Consultado el 6 de enero de 2014 .
- ^ a b c d Suplemento núm. 1 de la lista de control de comercio electrónico de la Parte 774 Categoría 5 Parte 2 - Información. Seguridad
- ^ "Oficina de Industria y Seguridad de EE. UU. - Requisitos de notificación para el código fuente de cifrado" disponible públicamente " . Bis.doc.gov. 2004-12-09. Archivado desde el original el 21 de septiembre de 2002 . Consultado el 8 de noviembre de 2009 .
- ^ Estados participantes Archivado el 27 de mayo de 2012 en archive.today El acuerdo de Wassenaar
- ^ Acuerdo de Wassenaar sobre controles de exportación de armas convencionales y bienes y tecnologías de doble uso: directrices y procedimientos, incluidos los elementos iniciales El Acuerdo de Wassenaar, diciembre de 2009
- ^ "EAR Part 772" (PDF) . Archivado desde el original (PDF) el 2009-05-09 . Consultado el 27 de junio de 2009 .
- ^ "EAR Supplement No. 1 to Part 740" (PDF) . Archivado desde el original (PDF) el 18 de junio de 2009 . Consultado el 27 de junio de 2009 .
- ^ "EAR Supplement No. 1 to Part 738" (PDF) . Archivado desde el original (PDF) el 2009-05-09 . Consultado el 27 de junio de 2009 .
enlaces externos
- Encuesta sobre leyes criptográficas
- Oficina de Industria y Seguridad : se puede encontrar una descripción general de las regulaciones de exportación de EE. UU . En la página de conceptos básicos de licencias .
- Whitfield Diffie y Susan Landau, La exportación de la criptografía en los siglos XX y XXI . En Karl de Leeuw, Jan Bergstra, ed. La historia de la seguridad de la información. Un manual completo. Elsevier, 2007. pág. 725
- Controles de exportación de cifrado. Informe CRS para el Congreso RL30273. Servicio de Investigación del Congreso, Biblioteca del Congreso. 2001
- El debate sobre el cifrado: aspectos de inteligencia. Informe de CRS para el Congreso 98-905 F. Servicio de Investigación del Congreso, Biblioteca del Congreso. 1998
- Tecnología de cifrado: problemas del Congreso Resumen de cuestiones de CRS para el Congreso IB96039. Servicio de Investigación del Congreso, Biblioteca del Congreso. 2000
- Criptografía y libertad 2000. Estudio internacional sobre políticas de cifrado. Centro de información de privacidad electrónica. Washington DC. 2000
- Consejo Nacional de Investigación, El papel de la criptografía en la protección de la sociedad de la información . National Academy Press, Washington, DC 1996 (el enlace de texto completo está disponible en la página).
- La evolución de las restricciones del gobierno de EE. UU. Sobre el uso y la exportación de tecnologías de cifrado (U) , Micheal Schwartzbeck, Tecnologías de cifrado, alrededor de 1997, anteriormente Top Secret, aprobado para su publicación por la NSA con redacciones el 10 de septiembre de 2014, C06122418