Hlavní navigace

Silné šifrování bez omezení? Zatím ještě ne.

14. 1. 2000
Doba čtení: 5 minut

Sdílet

Před dvěma dny (tedy téměř o měsíc později, než bylo přislíbeno), byla americkým ministerstvem obchodu zveřejněna nová pravidla pro export šifrovacích technologií mimo území USA a Kanady. Je jejich nové pojetí důvodem k radosti nebo spíše zklamáním?

Nebudu vás dlouho napínat, pravda je někde mezi. Ti, kdo čekali, že žádná nová pravidla nebudou a že export bude regulovat jenom trh, budou asi velice zklamáni. My ostatní, kteří jsme v takovou benevolenci vlády USA vůbec nedoufali, budeme asi potěšeni tím, že se vůbec něco děje, ačkoliv stále existují jisté výhrady.

Klíčové (a pro nás zajímavé) body nových pravidel jsou ve zkratce tyto:

  1. Libovolný šifrovací produkt s neomezenou délkou klíče může být vyvážen do všech zemí, vyjma Kuby, Íránu, Iráku, Libye, Severní Korei, Sudánu a Sýrie – tyto země jsou považovány za terorismus podporující. Podmínkou pro export je udělení vyjímky, kterou ale nyní bude moci získat každý, kdo předloží svůj produkt k technickému přezkoumání. Koncový uživatel musí být komerční nebo jiný nevládní subjekt, přičemž není nijak omezován účel, k němuž je produkt určen. Finanční sektor (zejména bankovnictví) a některá další odvětví jsou nadále zvýhodněna, jako tomu bylo dříve a exportní výjimka se na ně vztahuje automaticky. Vývoz určený pro vládní subjekty může být explicitně povolen.
  2. Vzniká nová kategorie zboží, tzv. „maloobchodní šifrovací produkty a software“. Zboží tohoto typu může být vyváženo pro libovolné koncové uživatele (opět vyjma výše uvedených sedmi zemí) a mohou být určeny pro libovolný účel. Zda zboží spadá do této kategorie bude určovat Úřad pro řízení exportu (Bureau of Export Adminstration, BXA) na základě jejich funkčnosti, objemech prodeje a způsobu distribuce. Funkčně srovnatelné produkty budou rovněž považovány za maloobchodní zboží.
  3. Telekomunikační a internetové společnosti mohou získat a používat šifrovací produkty ve svých službách a mohou i budovat infrastrukturu pro veřejné klíče k volnému použití. Pokud by některou z těchto služeb poskytovaly vládním organizacím, potřebují opět speciální povolení.
  4. Na zdrojové kódy šifrovacích algoritmů či aplikací, které jsou volně dostupné a nejsou předmětem ujednání o placení licenčních či autorských poplatků, se vztahuje exportní výjimka automaticky, bez nutnosti předat software k technickému přezkoumání. Vývozce je povinen zaslat BXA kopii zdrojových kódů nebo písemné vyrozumění s odkazem na internetovou lokalitu, ze které bude produkt k dispozici, k datumu počátku šíření. Zahraniční software na bázi takových zdrojových kódů nepotřebuje žádné další povolení či revizi od vlády USA (ještě to tak; omlouvám se, ale tuhle poznámku jsem si nemohl odpustit).
  5. Pro komerční zdrojové kódy platí totožná pravidla, pakliže je volně dostupný a zároveň je předmětem ujednání o placení licenčních či autorských poplatků. Pokud zdrojové kódy nejsou volně dostupné, lze je distribuovat pouze po provedení technického přezkoumání.
Kompletní znění pravidel

toho obsahuje samozřejmě mnohem více, ale výše uvedené body jsou asi nejpodstatnější a týkají se nás nejvíce.

Na první pohled je tedy zřejmé, že si vláda USA, snad pod tlakem FBI, hlavního odpůrce uvolňování restrikcí, ponechala jistou (značnou) kontrolu nad tímto segmentem trhu. Ať se na mě nikdo nezlobí, ale tento přístup je jednak paranoidní, jednak je to „krásný“ příklad presumpce viny a hlavně jde o chování hodné Fidela Castra, Kim Chong Ila nebo jiného totalitního vůdce. Vysvětlení, že šifrovací technologie by mohli zneužívat teroristé, je opravdu směšné. Teroristické skupiny jsou buď bandy ubožáků a fanatiků, kteří útočí bombami ze střelného prachu a sekaných hřebíků, a nebo špičkově vybavená a výtečně organizovaná seskupení, srovnatelná s mnohými tajnými službami. Ti první šifrovací technologie nepotřebují a ti druzí už je mají nebo si je snadno zajistí. Celý tento systém je nechutný už z toho hlediska, že vyzdvihuje Američany nad ostatní národy, je to jako by říkal „my z USA jsme hodní hoši a vy všichni tam venku jste oškliví teroristé“. I tak holt může vypadat „nejdemokratič­tější“ země na světě…

To jsem ale poněkud odbočil, chtěl jsem se hlavně věnovat reakci, kterou zveřejnění nových exportních pravidel způsobilo. Asi nejzajímavější je společné prohlášení tří sdružení – ACLU, EFF a EPIC – zaměřených na ochranu občanských práv.

Těm (a nejen jim) se nelíbí zejména některé paradoxy, které sebou nová pravidla přinášejí (případně je přinesla už pravidla původní a ta nová je bohužel neodstraňují). Například podle momentálních pravidel je stále export omezen, ať už nutností předkládat produkty k zhodnocení či vyčleněním určitých zemí. Pokud však patřičný algoritmus napíšete na papír a pošlete poštou (třeba na Kubu), nikdo vám to nedokáže legálním způsobem znemožnit.
Dalším paradoxem je, že sice můžete volně zaslat zdrojový kód třeba do diskuzní skupiny, ale to se může stát ilegálním krokem, pokud existuje důvod domnívat se, že by si takovou zprávu mohl přečíst příslušník některého ze zapovězených států. Jelikož tuto jistotu nemáte obvykle nikdy, je to téměř stejná situace, jako by to bylo zakázáno.

root_podpora

Já osobně bych ještě podotkl, že nepovažuji za příliš šťastné, že o zařazování produktů do kategorií bude rozhodovat jakási komise, už jenom proto, že to podle mě alespoň v první fázi nebude stíhat. Dalším problémem je příliš obecné určení pravidel pro posuzování projektů, nejsou zřejmá konkrétní pravidla, která by měl produkt splňovat, aby prošel přezkoumáním (projdou-li všechny, pak je to jenom plýtvání penězi z kapes [amerického] daňového poplatníka a hnusné špiclování výrobců). Trošku mi to připomíná tuzemské zákony a vyhlášky, které přesně popisují dopravní přestupek, ale postih nechávají na benevolenci příslušného policisty.

Nová pravidla jsou samozřejmě krokem kupředu. Rozhodně v jejich důsledku přestanou mít význam projekty, jako je Fortify, protože prohlížeče, mailové programy, šifrovací pomůcky a podobně dorazí z USA i do Evropy a dalších zemí v plné kryptovací síle. Zřejmě o něco komplikovanější to bude ve světě open source, protože asi vyvstanou problémy s tím, jak zajistit, aby se software nedostal do zapovězených zemí a kdo za to případně bude právně odpovědný. Nikdo asi nebude mít chuť riskovat, že se do něčeho namočí, Phil Zimmermann by mohl vyprávět. A to nehledím na to, že filosofie open source je „volný software pro všechny“ a nikoliv „volný software pro všechny, vyjma Kubánců, Íránců, Syřanů, …“

Byl pro vás článek přínosný?

Autor článku