Hlavní navigace

Silné šifrování bez omezení? Zatím ještě ne.

Michal Krause

Před dvěma dny (tedy téměř o měsíc později, než bylo přislíbeno), byla americkým ministerstvem obchodu zveřejněna nová pravidla pro export šifrovacích technologií mimo území USA a Kanady. Je jejich nové pojetí důvodem k radosti nebo spíše zklamáním?

Nebudu vás dlouho napínat, pravda je někde mezi. Ti, kdo čekali, že žádná nová pravidla nebudou a že export bude regulovat jenom trh, budou asi velice zklamáni. My ostatní, kteří jsme v takovou benevolenci vlády USA vůbec nedoufali, budeme asi potěšeni tím, že se vůbec něco děje, ačkoliv stále existují jisté výhrady.

Klíčové (a pro nás zajímavé) body nových pravidel jsou ve zkratce tyto:

  1. Libovolný šifrovací produkt s neomezenou délkou klíče může být vyvážen do všech zemí, vyjma Kuby, Íránu, Iráku, Libye, Severní Korei, Sudánu a Sýrie – tyto země jsou považovány za terorismus podporující. Podmínkou pro export je udělení vyjímky, kterou ale nyní bude moci získat každý, kdo předloží svůj produkt k technickému přezkoumání. Koncový uživatel musí být komerční nebo jiný nevládní subjekt, přičemž není nijak omezován účel, k němuž je produkt určen. Finanční sektor (zejména bankovnictví) a některá další odvětví jsou nadále zvýhodněna, jako tomu bylo dříve a exportní výjimka se na ně vztahuje automaticky. Vývoz určený pro vládní subjekty může být explicitně povolen.
  2. Vzniká nová kategorie zboží, tzv. „maloobchodní šifrovací produkty a software“. Zboží tohoto typu může být vyváženo pro libovolné koncové uživatele (opět vyjma výše uvedených sedmi zemí) a mohou být určeny pro libovolný účel. Zda zboží spadá do této kategorie bude určovat Úřad pro řízení exportu (Bureau of Export Adminstration, BXA) na základě jejich funkčnosti, objemech prodeje a způsobu distribuce. Funkčně srovnatelné produkty budou rovněž považovány za maloobchodní zboží.
  3. Telekomunikační a internetové společnosti mohou získat a používat šifrovací produkty ve svých službách a mohou i budovat infrastrukturu pro veřejné klíče k volnému použití. Pokud by některou z těchto služeb poskytovaly vládním organizacím, potřebují opět speciální povolení.
  4. Na zdrojové kódy šifrovacích algoritmů či aplikací, které jsou volně dostupné a nejsou předmětem ujednání o placení licenčních či autorských poplatků, se vztahuje exportní výjimka automaticky, bez nutnosti předat software k technickému přezkoumání. Vývozce je povinen zaslat BXA kopii zdrojových kódů nebo písemné vyrozumění s odkazem na internetovou lokalitu, ze které bude produkt k dispozici, k datumu počátku šíření. Zahraniční software na bázi takových zdrojových kódů nepotřebuje žádné další povolení či revizi od vlády USA (ještě to tak; omlouvám se, ale tuhle poznámku jsem si nemohl odpustit).
  5. Pro komerční zdrojové kódy platí totožná pravidla, pakliže je volně dostupný a zároveň je předmětem ujednání o placení licenčních či autorských poplatků. Pokud zdrojové kódy nejsou volně dostupné, lze je distribuovat pouze po provedení technického přezkoumání.
Kompletní znění pravidel

toho obsahuje samozřejmě mnohem více, ale výše uvedené body jsou asi nejpodstatnější a týkají se nás nejvíce.

Na první pohled je tedy zřejmé, že si vláda USA, snad pod tlakem FBI, hlavního odpůrce uvolňování restrikcí, ponechala jistou (značnou) kontrolu nad tímto segmentem trhu. Ať se na mě nikdo nezlobí, ale tento přístup je jednak paranoidní, jednak je to „krásný“ příklad presumpce viny a hlavně jde o chování hodné Fidela Castra, Kim Chong Ila nebo jiného totalitního vůdce. Vysvětlení, že šifrovací technologie by mohli zneužívat teroristé, je opravdu směšné. Teroristické skupiny jsou buď bandy ubožáků a fanatiků, kteří útočí bombami ze střelného prachu a sekaných hřebíků, a nebo špičkově vybavená a výtečně organizovaná seskupení, srovnatelná s mnohými tajnými službami. Ti první šifrovací technologie nepotřebují a ti druzí už je mají nebo si je snadno zajistí. Celý tento systém je nechutný už z toho hlediska, že vyzdvihuje Američany nad ostatní národy, je to jako by říkal „my z USA jsme hodní hoši a vy všichni tam venku jste oškliví teroristé“. I tak holt může vypadat „nejdemokratič­tější“ země na světě…

To jsem ale poněkud odbočil, chtěl jsem se hlavně věnovat reakci, kterou zveřejnění nových exportních pravidel způsobilo. Asi nejzajímavější je společné prohlášení tří sdružení – ACLU, EFF a EPIC – zaměřených na ochranu občanských práv.

Těm (a nejen jim) se nelíbí zejména některé paradoxy, které sebou nová pravidla přinášejí (případně je přinesla už pravidla původní a ta nová je bohužel neodstraňují). Například podle momentálních pravidel je stále export omezen, ať už nutností předkládat produkty k zhodnocení či vyčleněním určitých zemí. Pokud však patřičný algoritmus napíšete na papír a pošlete poštou (třeba na Kubu), nikdo vám to nedokáže legálním způsobem znemožnit.
Dalším paradoxem je, že sice můžete volně zaslat zdrojový kód třeba do diskuzní skupiny, ale to se může stát ilegálním krokem, pokud existuje důvod domnívat se, že by si takovou zprávu mohl přečíst příslušník některého ze zapovězených států. Jelikož tuto jistotu nemáte obvykle nikdy, je to téměř stejná situace, jako by to bylo zakázáno.

Já osobně bych ještě podotkl, že nepovažuji za příliš šťastné, že o zařazování produktů do kategorií bude rozhodovat jakási komise, už jenom proto, že to podle mě alespoň v první fázi nebude stíhat. Dalším problémem je příliš obecné určení pravidel pro posuzování projektů, nejsou zřejmá konkrétní pravidla, která by měl produkt splňovat, aby prošel přezkoumáním (projdou-li všechny, pak je to jenom plýtvání penězi z kapes [amerického] daňového poplatníka a hnusné špiclování výrobců). Trošku mi to připomíná tuzemské zákony a vyhlášky, které přesně popisují dopravní přestupek, ale postih nechávají na benevolenci příslušného policisty.

Nová pravidla jsou samozřejmě krokem kupředu. Rozhodně v jejich důsledku přestanou mít význam projekty, jako je Fortify, protože prohlížeče, mailové programy, šifrovací pomůcky a podobně dorazí z USA i do Evropy a dalších zemí v plné kryptovací síle. Zřejmě o něco komplikovanější to bude ve světě open source, protože asi vyvstanou problémy s tím, jak zajistit, aby se software nedostal do zapovězených zemí a kdo za to případně bude právně odpovědný. Nikdo asi nebude mít chuť riskovat, že se do něčeho namočí, Phil Zimmermann by mohl vyprávět. A to nehledím na to, že filosofie open source je „volný software pro všechny“ a nikoliv „volný software pro všechny, vyjma Kubánců, Íránců, Syřanů, …“

Našli jste v článku chybu?

18. 5. 2009 18:02

vlabra (neregistrovaný)
K té kontrole šifrovacích sw. Co když mě v noci osvítí chuch svatý a já ráno napíši super silný šifrovaní algoritmus (který nebude založen na ničem dosud existujícím) a uvolním ho pod GPL licencí. Ten potom implementuji pro nejpoužívanější operační systémy a i s podrobnou dokumentací umístím na svůj web a ještě pošlu známému do Íránu a kamarádovi z Kuby co semnou studoval na univerzitě. Budu z toho mít nějaký problém?

15. 1. 2000 12:35

Michal Dobes (neregistrovaný)

Ze se k tomu v USA odhodlali se divim. Bud se v NSA zblaznili nebo konecne prisli na zpusob
lamani libovolnych sifer. :-)
Kdyz se tak o tom hezky bavime, coz takhle se podivat na situaci u nas a okolnich statech?
Myslim, ze cloveka ceka spoustu prekvapeni. Sifrovaci software u nas patri mezi
kontrolovane zbozi na jehoz vyvoz/dovoz by mel mit patricny subjekt licenci. Kdyz jsem
se dival na seznam veci osvobozenych od toho, tak jsem tam sifrovaci software
nepostrehl.







Podnikatel.cz: Podnikatelům dorazí varování od BSA

Podnikatelům dorazí varování od BSA

120na80.cz: Pánové, pečujte o svoje přirození a prostatu

Pánové, pečujte o svoje přirození a prostatu

120na80.cz: 5 nejčastějších mýtů o kondomech

5 nejčastějších mýtů o kondomech

Vitalia.cz: Bižuterie tisícinásobně překračuje povolené limity

Bižuterie tisícinásobně překračuje povolené limity

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Podnikatel.cz: Udávání a účtenková loterie, hloupá komedie

Udávání a účtenková loterie, hloupá komedie

Podnikatel.cz: Zavře krám u #EET Malá pokladna a Teeta?

Zavře krám u #EET Malá pokladna a Teeta?

Měšec.cz: U levneELEKTRO.cz už reklamaci nevyřídíte

U levneELEKTRO.cz už reklamaci nevyřídíte

Lupa.cz: Co se dá měřit přes Internet věcí

Co se dá měřit přes Internet věcí

Vitalia.cz: Jsou čajové sáčky toxické?

Jsou čajové sáčky toxické?

120na80.cz: Na ucho teplý, nebo studený obklad?

Na ucho teplý, nebo studený obklad?

Podnikatel.cz: Chtějte údaje k dani z nemovitostí do mailu

Chtějte údaje k dani z nemovitostí do mailu

Lupa.cz: Proč firmy málo chrání data? Chovají se logicky

Proč firmy málo chrání data? Chovají se logicky

Vitalia.cz: Nejlepší obranou při nachlazení je útok

Nejlepší obranou při nachlazení je útok

120na80.cz: Co všechno ovlivňuje ženskou plodnost?

Co všechno ovlivňuje ženskou plodnost?

Měšec.cz: Jak vymáhat výživné zadarmo?

Jak vymáhat výživné zadarmo?

Vitalia.cz: Spor o mortadelu: podle Lidlu falšovaná nebyla

Spor o mortadelu: podle Lidlu falšovaná nebyla

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

Podnikatel.cz: Udávání kvůli EET začalo

Udávání kvůli EET začalo

Vitalia.cz: Potvrzeno: Pobyt v lese je skvělý na imunitu

Potvrzeno: Pobyt v lese je skvělý na imunitu