La exportación de criptografía de los Estados Unidos a otros países ha experimentado diversos niveles de restricciones a lo largo del tiempo. [2] La Segunda Guerra Mundial demostró que el descifrado de códigos y la criptografía pueden desempeñar un papel integral en la seguridad nacional y la capacidad de llevar a cabo una guerra. Los cambios en la tecnología y la preservación de la libertad de expresión han sido factores que compiten en la regulación y restricción de las tecnologías criptográficas para la exportación.
En los primeros días de la Guerra Fría , Estados Unidos y sus aliados elaboraron una serie de complejas normas de control de las exportaciones destinadas a impedir que una amplia gama de tecnología occidental cayera en manos de otros países, en particular del bloque del Este . Toda exportación de tecnología clasificada como "crítica" requería una licencia. El CoCom se organizó para coordinar los controles de las exportaciones occidentales.
Se protegían dos tipos de tecnología: la asociada únicamente a las armas de guerra ("municiones") y la tecnología de doble uso, que también tenía aplicaciones comerciales. En Estados Unidos, la exportación de tecnología de doble uso estaba controlada por el Departamento de Comercio , mientras que las municiones estaban controladas por el Departamento de Estado . Dado que en el período inmediatamente posterior a la Segunda Guerra Mundial el mercado de la criptografía era casi enteramente militar, la tecnología de cifrado (tanto técnicas como equipos y, después de que las computadoras comenzaron a desempeñar un papel más importante en la vida moderna, el software de cifrado) se incluyó como "Categoría XI - Artículos varios" y más tarde como "Categoría XIII - Equipo militar auxiliar" en la Lista de municiones de los Estados Unidos el 17 de noviembre de 1954. El control multinacional de la exportación de criptografía en el lado occidental de la división de la guerra fría se realizó a través de los mecanismos del CoCom.
Sin embargo, en la década de 1960, las organizaciones financieras comenzaron a exigir un cifrado comercial fuerte en el campo de rápido crecimiento de las transferencias de dinero por cable. La introducción del Estándar de cifrado de datos por parte del gobierno de los Estados Unidos en 1975 significó que los usos comerciales del cifrado de alta calidad se volverían comunes y comenzaron a surgir graves problemas de control de las exportaciones. Por lo general, estos se resolvían mediante procedimientos de solicitud de licencia de exportación caso por caso iniciados por los fabricantes de computadoras, como IBM , y por sus grandes clientes corporativos.
Los controles de exportación de cifrado se convirtieron en un asunto de interés público con la introducción de la computadora personal . El software de cifrado PGP de Phil Zimmermann y su distribución en Internet en 1991 fue el primer desafío importante "a nivel individual" a los controles de exportación de criptografía. El crecimiento del comercio electrónico en la década de 1990 creó una presión adicional para reducir las restricciones. VideoCipher II también utilizó DES para codificar el audio de la televisión por satélite.
En 1989, el uso de criptografía sin cifrado (como el control de acceso y la autenticación de mensajes) se eliminó del control de exportación con una Jurisdicción de Productos Básicos. [1] En 1992, se agregó formalmente una excepción en la USML para el uso de criptografía sin cifrado (y decodificadores de TV satelital) y un acuerdo entre la NSA y la Asociación de Editores de Software hizo que el cifrado RC2 y RC4 de 40 bits fuera fácilmente exportable utilizando una Jurisdicción de Productos Básicos con procesos especiales de revisión de "7 días" y "15 días" (que transfirieron el control del Departamento de Estado al Departamento de Comercio). En esta etapa, los gobiernos occidentales tenían, en la práctica, una personalidad dividida en lo que respecta al cifrado; la política la hacían los criptoanalistas militares, quienes solo se preocupaban de evitar que sus "enemigos" adquirieran secretos, pero esa política luego era comunicada al comercio por funcionarios cuyo trabajo era apoyar a la industria.
Poco después, la tecnología SSL de Netscape fue ampliamente adoptada como un método para proteger las transacciones con tarjetas de crédito utilizando criptografía de clave pública . Netscape desarrolló dos versiones de su navegador web . La "edición estadounidense" admitía claves públicas RSA de tamaño completo (normalmente de 1024 bits o más) en combinación con claves simétricas de tamaño completo (claves secretas) (RC4 de 128 bits o 3DES en SSL 3.0 y TLS 1.0). La "edición internacional" tenía sus longitudes de clave efectivas reducidas a 512 bits y 40 bits respectivamente ( RSA_EXPORT con RC2 o RC4 de 40 bits en SSL 3.0 y TLS 1.0). [3] Adquirir la versión "doméstica estadounidense" resultó ser una molestia suficiente para que la mayoría de los usuarios de computadoras, incluso en los EE. UU., terminaran con la versión "internacional", [4] cuyo débil cifrado de 40 bits actualmente se puede romper en cuestión de días utilizando una sola computadora. Una situación similar ocurrió con Lotus Notes por las mismas razones.
Los desafíos legales presentados por Peter Junger y otros defensores de las libertades civiles y de la privacidad, la amplia disponibilidad de software de cifrado fuera de los EE. UU. y la percepción por parte de muchas empresas de que la publicidad adversa sobre el cifrado débil estaba limitando sus ventas y el crecimiento del comercio electrónico, llevaron a una serie de relajaciones en los controles de exportación de los EE. UU., que culminaron en 1996 con la firma por parte del presidente Bill Clinton de la Orden Ejecutiva 13026, que transfirió el cifrado comercial de la Lista de Municiones a la Lista de Control de Comercio . Además, la orden establecía que "el software no se considerará ni se tratará como 'tecnología'" en el sentido de las Regulaciones de Administración de Exportaciones . El proceso de Jurisdicción de Productos Básicos fue reemplazado por un proceso de Clasificación de Productos Básicos, y se agregó una disposición para permitir la exportación de cifrado de 56 bits si el exportador prometía agregar puertas traseras de "recuperación de clave" para fines de 1998. En 1999, se modificó la EAR para permitir la exportación de cifrado de 56 bits (basado en RC2, RC4, RC5, DES o CAST) y RSA de 1024 bits sin puertas traseras, y se introdujeron nuevos conjuntos de cifrado SSL para respaldar esto ( RSA_EXPORT1024 con RC4 de 56 bits o DES). En 2000, el Departamento de Comercio implementó reglas que simplificaron en gran medida la exportación de software comercial y de código abierto que contenía criptografía, incluida la posibilidad de eliminar las restricciones de longitud de clave después de pasar por el proceso de Clasificación de Productos Básicos (para clasificar el software como "minorista") y agregar una excepción para el código fuente de cifrado disponible públicamente. [5]
A partir de 2009 [actualizar], las exportaciones de criptografía no militar de los EE. UU. están controladas por la Oficina de Industria y Seguridad del Departamento de Comercio . [6] Todavía existen algunas restricciones, incluso para productos del mercado masivo; particularmente con respecto a la exportación a " estados rebeldes " y organizaciones terroristas . El equipo de cifrado militarizado, la electrónica aprobada por TEMPEST , el software criptográfico personalizado e incluso los servicios de consultoría criptográfica aún requieren una licencia de exportación [6] (págs. 6-7). Además, se requiere el registro de cifrado en la BIS para la exportación de "productos, software y componentes de cifrado del mercado masivo con cifrado que exceda los 64 bits" (75 FR 36494). Para los algoritmos de curvas elípticas y los algoritmos asimétricos, los requisitos para la longitud de clave son 128 bits y 768 bits, respectivamente. [7] Además, otros artículos requieren una revisión única por parte de la BIS o una notificación a la misma antes de su exportación a la mayoría de los países. [6] Por ejemplo, se debe notificar al BIS antes de que un software criptográfico de código abierto se ponga a disposición del público en Internet, aunque no se requiere ninguna revisión. [8] Las regulaciones de exportación se han relajado con respecto a las normas anteriores a 1996, pero siguen siendo complejas. [6] Otros países, en particular los que participan en el Acuerdo de Wassenaar , [9] tienen restricciones similares. [10] El 29 de marzo de 2021, se publicó en el Registro Federal la Implementación de las Decisiones Plenarias del Acuerdo de Wassenaar de 2019 [11] . Esta regla incluía cambios en la excepción de licencia ENC Sección 740.17 de las EAR [12] [13]
Las exportaciones no militares de EE. UU. están controladas por las Regulaciones de Administración de Exportaciones (EAR), un nombre abreviado para el Título 15, capítulo VII, subcapítulo C del Código de Regulaciones Federales (CFR) de EE. UU.
Los elementos de cifrado específicamente diseñados, desarrollados, configurados, adaptados o modificados para aplicaciones militares (incluidas aplicaciones de comando, control e inteligencia) están controlados por el Departamento de Estado en la Lista de Municiones de los Estados Unidos .
La terminología de exportación de cifrado se define en la parte 772.1 de EAR. [14] En particular:
Los destinos de exportación se clasifican en el Suplemento EAR N.º 1 de la Parte 740 en cuatro grupos de países (A, B, D, E) con subdivisiones adicionales; [15] un país puede pertenecer a más de un grupo. A los efectos del cifrado, los grupos B, D:1 y E:1 son importantes:
El Suplemento EAR N.° 1 de la Parte 738 (Cuadro de países de comercio) contiene la tabla con las restricciones por país . [16] Si una línea de la tabla que corresponde al país contiene una X en la columna de motivos de control , la exportación de un artículo controlado requiere una licencia, a menos que se pueda aplicar una excepción . A los efectos del cifrado, los siguientes tres motivos de control son importantes:
Para fines de exportación, cada artículo se clasifica con el Número de Clasificación de Control de Exportación (ECCN) con la ayuda de la Lista de Control de Comercio (CCL, Suplemento No. 1 a la EAR parte 774). En particular: [6]
Un artículo puede ser autoclasificado o se puede solicitar una clasificación ("revisión") a la BIS. Se requiere una revisión de la BIS para que los artículos típicos obtengan la clasificación 5A992 o 5D992.
{{cite web}}
: CS1 maint: bot: estado de URL original desconocido ( enlace )