Exportación de criptografía desde Estados Unidos

Transferencia de Estados Unidos a otro país de tecnología relacionada con la criptografía

El código fuente de cifrado RSA con restricción de exportación impreso en una camiseta convirtió a la camiseta en una munición con restricción de exportación, como una protesta por la libertad de expresión contra las restricciones de exportación de cifrado de EE. UU. ( Parte posterior ). ^[1] Los cambios en la ley de exportación significan que ya no es ilegal exportar esta camiseta desde los EE. UU., ni que los ciudadanos estadounidenses la muestren a los extranjeros.

La exportación de criptografía desde Estados Unidos a otros países ha experimentado varios niveles de restricciones a lo largo del tiempo. ^[2] La Segunda Guerra Mundial ilustró que el descifrado de códigos y la criptografía pueden desempeñar un papel integral en la seguridad nacional y la capacidad de llevar adelante la guerra. Los cambios en la tecnología y la preservación de la libertad de expresión han sido factores competitivos en la regulación y restricción de las tecnologías criptográficas para la exportación.

Historia

Era de la Guerra Fría

En los primeros días de la Guerra Fría , Estados Unidos y sus aliados desarrollaron una elaborada serie de regulaciones de control de exportaciones diseñadas para evitar que una amplia gama de tecnología occidental cayera en manos de otros, particularmente del bloque del Este . Toda exportación de tecnología clasificada como "crítica" requería una licencia. El CoCom se organizó para coordinar los controles de exportación occidentales.

Se protegían dos tipos de tecnología: la tecnología asociada únicamente con armas de guerra ("municiones") y la tecnología de doble uso, que también tenía aplicaciones comerciales. En Estados Unidos, la exportación de tecnología de doble uso estaba controlada por el Departamento de Comercio , mientras que las municiones estaban controladas por el Departamento de Estado . Dado que en el período inmediatamente posterior a la Segunda Guerra Mundial el mercado de la criptografía era casi en su totalidad militar, la tecnología de encriptación (tanto las técnicas como los equipos y, después de que las computadoras comenzaron a desempeñar un papel más importante en la vida moderna, el software de criptografía) se incluyó como "Categoría XI - Varios". Artículos" y más tarde el elemento "Categoría XIII - Equipo militar auxiliar" en la Lista de municiones de Estados Unidos el 17 de noviembre de 1954. El control multinacional de la exportación de criptografía en el lado occidental de la división de la guerra fría se realizó a través de los mecanismos de CoCom.

Sin embargo, en la década de 1960, las organizaciones financieras comenzaron a exigir un cifrado comercial sólido en el campo de rápido crecimiento de las transferencias de dinero por cable. La introducción por parte del gobierno de Estados Unidos del estándar de cifrado de datos en 1975 significó que los usos comerciales de cifrado de alta calidad se volverían comunes y comenzaron a surgir serios problemas de control de exportaciones. Por lo general, estos problemas se resolvían caso por caso mediante procedimientos de solicitud de licencias de exportación iniciados por fabricantes de computadoras, como IBM , y por sus grandes clientes corporativos.

era de la PC

Disco de instalación de Netscape Navigator que indica "No apto para exportación"

Los controles de exportación de cifrado se convirtieron en un asunto de preocupación pública con la introducción de la computadora personal . El software de cifrado PGP de Phil Zimmermann y su distribución en Internet en 1991 fue el primer gran desafío de "nivel individual" a los controles sobre la exportación de criptografía. El crecimiento del comercio electrónico en la década de 1990 creó una presión adicional para reducir las restricciones. VideoCipher II también utilizó DES para codificar el audio de la televisión por satélite.

En 1989, el uso de criptografía sin cifrado (como el control de acceso y la autenticación de mensajes) se eliminó del control de exportaciones con una Jurisdicción de Productos Básicos. [1] En 1992, se agregó formalmente una excepción en el USML para el uso sin cifrado de criptografía (y descodificadores de televisión por satélite) y un acuerdo entre la NSA y la Asociación de Editores de Software hizo que el cifrado RC2 y RC4 de 40 bits fuera fácilmente exportable utilizando un producto básico. Jurisdicción con procesos especiales de revisión de "7 días" y "15 días" (que transfirieron el control del Departamento de Estado al Departamento de Comercio). En esta etapa, los gobiernos occidentales tenían, en la práctica, una doble personalidad en lo que respecta al cifrado; La política la hacían los criptoanalistas militares, que estaban únicamente preocupados por evitar que sus "enemigos" adquirieran secretos, pero esa política luego era comunicada al comercio por funcionarios cuyo trabajo era apoyar a la industria.

Poco después, la tecnología SSL de Netscape fue ampliamente adoptada como método para proteger las transacciones con tarjetas de crédito utilizando criptografía de clave pública . Netscape desarrolló dos versiones de su navegador web . La "edición estadounidense" admitía claves públicas RSA de tamaño completo (normalmente de 1024 bits o más) en combinación con claves simétricas de tamaño completo (claves secretas) (RC4 de 128 bits o 3DES en SSL 3.0 y TLS 1.0). La "Edición Internacional" vio reducidas sus longitudes de clave efectivas a 512 bits y 40 bits respectivamente ( RSA_EXPORT con RC2 o RC4 de 40 bits en SSL 3.0 y TLS 1.0). ^[3] Adquirir la versión 'nacional estadounidense' resultó ser una molestia suficiente para que la mayoría de los usuarios de computadoras, incluso en los EE. UU., terminaran con la versión 'internacional', ^[4] cuyo débil cifrado de 40 bits actualmente se puede romper en un cuestión de días usando una sola computadora. Una situación similar ocurrió con Lotus Notes por las mismas razones.

Los desafíos legales por parte de Peter Junger y otros defensores de las libertades civiles y defensores de la privacidad, la disponibilidad generalizada de software de cifrado fuera de los EE. UU. y la percepción de muchas empresas de que la publicidad adversa sobre el cifrado débil estaba limitando sus ventas y el crecimiento del comercio electrónico, llevaron a una serie de flexibilizaciones en los controles de exportación de Estados Unidos, que culminaron en 1996 con la firma del presidente Bill Clinton de la Orden Ejecutiva 13026 que transfirió el cifrado comercial de la Lista de Municiones a la Lista de Control de Comercio . Además, la orden establecía que "el software no será considerado ni tratado como 'tecnología'" en el sentido de las Regulaciones de Administración de Exportaciones . El proceso de Jurisdicción de Productos Básicos fue reemplazado por un proceso de Clasificación de Productos Básicos, y se agregó una disposición para permitir la exportación de cifrado de 56 bits si el exportador prometía agregar puertas traseras de "recuperación de claves" para fines de 1998. En 1999, el EAR se cambió a permiten exportar cifrado de 56 bits (basado en RC2, RC4, RC5, DES o CAST) y RSA de 1024 bits sin puertas traseras, y se introdujeron nuevos conjuntos de cifrado SSL para admitir esto ( RSA_EXPORT1024 con RC4 o DES de 56 bits) . En 2000, el Departamento de Comercio implementó reglas que simplificaron enormemente la exportación de software comercial y de código abierto que contenía criptografía, incluida la posibilidad de eliminar las restricciones de longitud de las claves después de pasar por el proceso de clasificación de productos básicos (para clasificar el software como "minorista") y agregando una excepción para el código fuente de cifrado disponible públicamente. ^[5]

Estado actual

A partir de 2009 ^[actualizar], las exportaciones de criptografía no militar de EE. UU. están controladas por la Oficina de Industria y Seguridad del Departamento de Comercio . ^[6] Todavía existen algunas restricciones, incluso para productos del mercado masivo; particularmente en lo que respecta a la exportación a " estados rebeldes " y organizaciones terroristas . Los equipos de cifrado militarizados, los dispositivos electrónicos aprobados por TEMPEST , el software criptográfico personalizado e incluso los servicios de consultoría criptográfica todavía requieren una licencia de exportación ^[6] (págs. 6-7). Además, se requiere el registro de cifrado en la BIS para la exportación de "productos, software y componentes de cifrado del mercado masivo con cifrado superior a 64 bits" (75 FR 36494). Para algoritmos de curvas elípticas y algoritmos asimétricos, los requisitos de longitud de clave son 128 bits y 768 bits, respectivamente. ^[7] Además, otros artículos requieren una revisión única por parte de la BIS o una notificación a la misma antes de exportarse a la mayoría de los países. ^[6] Por ejemplo, se debe notificar al BIS antes de que el software criptográfico de código abierto esté disponible públicamente en Internet, aunque no se requiere revisión. ^[8] Las regulaciones de exportación se han relajado con respecto a las normas anteriores a 1996, pero aún son complejas. ^[6] Otros países, en particular los que participan en el Arreglo de Wassenaar , ^[9] tienen restricciones similares. ^[10] El 29 de marzo de 2021 se publicó en el Registro Federal la Implementación de las Decisiones Plenarias del Arreglo de Wassenaar de 2019 ^{[11] .} Esta regla incluyó cambios a la excepción de licencia ENC Sección 740.17 de la EAR ^{[12] [13]}

Reglas de exportación de EE. UU.

Las exportaciones no militares de EE. UU. están controladas por las Regulaciones de Administración de Exportaciones (EAR, por sus siglas en inglés), una abreviatura del Código de Regulaciones Federales (CFR) de EE. UU., Título 15, capítulo VII, subcapítulo C.

Los elementos de cifrado diseñados, desarrollados, configurados, adaptados o modificados específicamente para aplicaciones militares (incluidas aplicaciones de comando, control e inteligencia) están controlados por el Departamento de Estado en la Lista de Municiones de los Estados Unidos .

Terminología

La terminología de exportación de cifrado se define en EAR parte 772.1. ^[14] En particular:

• El componente de cifrado es un producto o software de cifrado (pero no el código fuente), incluidos chips de cifrado, circuitos integrados, etc.
• Los elementos de cifrado incluyen productos, software y tecnología de cifrado no militares.
• La interfaz criptográfica abierta es un mecanismo diseñado para permitir que un cliente u otra parte inserte funcionalidad criptográfica sin la intervención, ayuda o asistencia del fabricante o sus agentes.
• Los elementos criptográficos auxiliares son los que se utilizan principalmente no para la informática y las comunicaciones, sino para la gestión de derechos digitales ; juegos, electrodomésticos; impresión, grabación de fotografías y vídeos (pero no videoconferencias); automatización de procesos de negocio ; sistemas industriales o de fabricación (incluidos robótica , alarmas contra incendios y HVAC ); automoción , aviación y otros sistemas de transporte.

Los destinos de las exportaciones se clasifican en el Suplemento EAR No. 1 de la Parte 740 en cuatro grupos de países (A, B, D, E) con subdivisiones adicionales; ^[15] un país puede pertenecer a más de un grupo. A efectos de cifrado, los grupos B, D:1 y E:1 son importantes:

• B es una lista grande de países que están sujetos a reglas relajadas de exportación de cifrado
• D:1 es una breve lista de países que están sujetos a un control de exportaciones más estricto. Los países notables en esta lista incluyen China y Rusia.
• E:1 es una lista muy corta de países que "apoyan al terrorismo" (a partir de 2009, incluye cinco países; anteriormente contenía seis países y también se llamaba "terrorista 6" o T-6)

El Suplemento EAR No. 1 de la Parte 738 (Tabla de países comerciales) contiene la tabla con las restricciones de los países . ^[16] Si una línea del cuadro que corresponde al país contiene una X en la columna de motivo de control , la exportación de un artículo controlado requiere una licencia, a menos que se pueda aplicar una excepción . A los efectos del cifrado, son importantes las siguientes tres razones de control:

• NS1 Seguridad Nacional Columna 1
• AT1 Antiterrorismo Columna 1
• Los elementos de cifrado EI son actualmente los mismos que NS1

Clasificación

Para fines de exportación, cada artículo se clasifica con el Número de Clasificación de Control de Exportaciones (ECCN) con la ayuda de la Lista de Control de Comercio (CCL, Suplemento No. 1 de la EAR parte 774). En particular: ^[6]

• 5A002 Sistemas, equipos, conjuntos electrónicos y circuitos integrados para "seguridad de la información". Motivos de Control: NS1, AT1.
• 5A992 Productos de cifrado y otros equipos de "mercado masivo" no controlados por el artículo 5A002. Motivo del Control: AT1.
• 5B002 Equipos para el desarrollo o producción de artículos clasificados como 5A002, 5B002, 5D002 o 5E002. Razones de control: NS1, AT1.
• 5D002 Software de cifrado. Motivos de control: NS1, AT1.
  • utilizado para desarrollar, producir o utilizar artículos clasificados como 5A002, 5B002, 5D002
  • tecnología de soporte controlada por 5E002
  • Modelización de las funciones de los equipos controlados por los artículos 5A002 o 5B002.
  • utilizado para certificar software controlado por 5D002
• 5D992 Software de cifrado no controlado por 5D002. Motivos de control: AT1.
• 5E002 Tecnología para el desarrollo, producción o uso de equipos controlados por el artículo 5A002 o 5B002 o software controlado por el artículo 5D002. Motivos de control: NS1, AT1.
• Tecnología 5E992 para los artículos 5x992. Motivos de control: AT1.

Un artículo puede ser autoclasificado o una clasificación ("revisión") solicitada al BIS. Se requiere una revisión BIS para que los artículos típicos obtengan la clasificación 5A992 o 5D992.

Ver también

• Bernstein contra Estados Unidos
• Revisión comercial denegada
• Control de exportación
• Junger contra Daley
• Restricciones a la importación de criptografía
• FENÓMENO
• Guerras criptográficas

Referencias

1. "Camiseta de municiones".
2. Diffie, Whitfield; Landau, Susan (2007), "La exportación de criptografía en los siglos XX y XXI", La historia de la seguridad de la información , Elsevier, págs. 725–736, doi :10.1016/b978-044451608-4/50027-4, ISBN 978-0-444-51608-4, recuperado el 12 de agosto de 2023
3. "Fortificar para Netscape". www.fortify.net . Consultado el 1 de diciembre de 2017 .
4. "Archivo del 25 de enero de 1999 de la página de descarga de Netscape Communicator 4.61 que muestra una ruta más difícil para descargar la versión de 128 bits". Archivado desde el original el 16 de septiembre de 1999 . Consultado el 26 de marzo de 2017 .{{cite web}}: Mantenimiento CS1: bot: estado de la URL original desconocido ( enlace )
5. "Regulaciones revisadas de control de exportaciones de cifrado de EE. UU.". Copia EPIC de un documento del Departamento de Comercio de EE. UU . Enero de 2000 . Consultado el 6 de enero de 2014 .
6. Suplemento n.º 1 de la lista de control de comercio de abcde a la Parte 774, Categoría 5, Parte 2 - Información. Seguridad
7. "CCL5 PT2" (PDF) . www.bis.doc.gov . Consultado el 10 de octubre de 2022 .
8. "Oficina de Industria y Seguridad de EE. UU.: requisitos de notificación para el código fuente de cifrado" disponible públicamente "". Bis.doc.gov. 2004-12-09. Archivado desde el original el 21 de septiembre de 2002 . Consultado el 8 de noviembre de 2009 .
9. Estados participantes Archivado el 27 de mayo de 2012 en archive.today El Arreglo de Wassenaar
10. Acuerdo de Wassenaar sobre controles de exportación de armas convencionales y bienes y tecnologías de doble uso: directrices y procedimientos, incluidos los elementos iniciales El Acuerdo de Wassenaar, diciembre de 2009
11. Acuerdo de Wassenaar sobre controles de exportación de armas convencionales y bienes y tecnologías de doble uso Documentos públicos Volumen IV Documentos de antecedentes y declaraciones relacionadas con la sesión plenaria y otras declaraciones Archivado el 9 de febrero de 2024. Arreglo de Wassenaar Diciembre de 2019
12. Reglamento de administración de exportaciones y cifrado (EAR) Archivado el 9 de febrero de 2024 en archive.today
13. Reglamento de administración de exportaciones: Implementación de las decisiones plenarias del Arreglo de Wassenaar de 2019 Archivado en la página 16482 Registro Federal Archivado Implementación de las Decisiones plenarias del Arreglo de Wassenaar de 2019. Archivado el 2024-02-09
14. "15 CFR § 772.1 - Definiciones de términos utilizados en las Regulaciones de Administración de Exportaciones (EAR)". LII / Instituto de Información Jurídica . Consultado el 30 de septiembre de 2021 .
15. "Suplemento EAR nº 1 de la Parte 740" (PDF) . Archivado desde el original (PDF) el 18 de junio de 2009 . Consultado el 27 de junio de 2009 .
16. "Suplemento EAR nº 1 de la Parte 738" (PDF) . Archivado desde el original (PDF) el 9 de mayo de 2009 . Consultado el 27 de junio de 2009 .

enlaces externos

• Encuesta sobre la ley criptográfica
• Oficina de Industria y Seguridad: puede encontrar una descripción general de las regulaciones de exportación de EE. UU. en la página de conceptos básicos sobre licencias.
• Whitfield Diffie y Susan Landau, La exportación de criptografía en los siglos XX y XXI. En Karl de Leeuw, Jan Bergstra, ed. La historia de la seguridad de la información. Un manual completo. Elsevier, 2007. pág. 725
• Controles de exportación de cifrado. Informe CRS para el Congreso RL30273. Servicio de Investigación del Congreso, 'La Biblioteca del Congreso. 2001 Archivado el 28 de febrero de 2019 en la Wayback Machine.
• El debate sobre el cifrado: aspectos de inteligencia. Informe CRS para el Congreso 98-905 F. Servicio de Investigación del Congreso, "La Biblioteca del Congreso". 1998
• Tecnología de cifrado: cuestiones del Congreso Resumen temático de CRS para el Congreso IB96039. Servicio de Investigación del Congreso, 'La Biblioteca del Congreso. 2000
• Criptografía y libertad 2000. Estudio internacional sobre políticas de cifrado. Centro de información de privacidad electrónica. Washington DC. 2000
• Consejo Nacional de Investigación, El papel de la criptografía en la seguridad de la sociedad de la información. National Academy Press, Washington, DC 1996 (el enlace al texto completo está disponible en la página).
• La evolución de las restricciones del gobierno de EE. UU. sobre el uso y la exportación de tecnologías de cifrado (U) Archivado el 9 de mayo de 2016 en Wayback Machine , Micheal Schwartzbeck, Encryption Technologies, alrededor de 1997, anteriormente Top Secret, aprobado para su publicación por la NSA con redacción del 10 de septiembre de 2014. , C06122418