Exportación de criptografía desde Estados Unidos

Transferencia desde Estados Unidos a otro país de tecnología relacionada con la criptografía

El código fuente de cifrado RSA con restricciones de exportación impreso en una camiseta convirtió a la camiseta en una munición de exportación restringida, como una protesta por la libertad de expresión contra las restricciones de exportación de cifrado de EE. UU. ( Reverso ). ^[1] Los cambios en la ley de exportación significan que ya no es ilegal exportar esta camiseta desde EE. UU. o que los ciudadanos estadounidenses la muestren a extranjeros.

La exportación de criptografía de los Estados Unidos a otros países ha experimentado diversos niveles de restricciones a lo largo del tiempo. ^[2] La Segunda Guerra Mundial demostró que el descifrado de códigos y la criptografía pueden desempeñar un papel integral en la seguridad nacional y la capacidad de llevar a cabo una guerra. Los cambios en la tecnología y la preservación de la libertad de expresión han sido factores que compiten en la regulación y restricción de las tecnologías criptográficas para la exportación.

Historia

Era de la Guerra Fría

En los primeros días de la Guerra Fría , Estados Unidos y sus aliados elaboraron una serie de complejas normas de control de las exportaciones destinadas a impedir que una amplia gama de tecnología occidental cayera en manos de otros países, en particular del bloque del Este . Toda exportación de tecnología clasificada como "crítica" requería una licencia. El CoCom se organizó para coordinar los controles de las exportaciones occidentales.

Se protegían dos tipos de tecnología: la asociada únicamente a las armas de guerra ("municiones") y la tecnología de doble uso, que también tenía aplicaciones comerciales. En Estados Unidos, la exportación de tecnología de doble uso estaba controlada por el Departamento de Comercio , mientras que las municiones estaban controladas por el Departamento de Estado . Dado que en el período inmediatamente posterior a la Segunda Guerra Mundial el mercado de la criptografía era casi enteramente militar, la tecnología de cifrado (tanto técnicas como equipos y, después de que las computadoras comenzaron a desempeñar un papel más importante en la vida moderna, el software de cifrado) se incluyó como "Categoría XI - Artículos varios" y más tarde como "Categoría XIII - Equipo militar auxiliar" en la Lista de municiones de los Estados Unidos el 17 de noviembre de 1954. El control multinacional de la exportación de criptografía en el lado occidental de la división de la guerra fría se realizó a través de los mecanismos del CoCom.

Sin embargo, en la década de 1960, las organizaciones financieras comenzaron a exigir un cifrado comercial fuerte en el campo de rápido crecimiento de las transferencias de dinero por cable. La introducción del Estándar de cifrado de datos por parte del gobierno de los Estados Unidos en 1975 significó que los usos comerciales del cifrado de alta calidad se volverían comunes y comenzaron a surgir graves problemas de control de las exportaciones. Por lo general, estos se resolvían mediante procedimientos de solicitud de licencia de exportación caso por caso iniciados por los fabricantes de computadoras, como IBM , y por sus grandes clientes corporativos.

Era de la PC

Disco de instalación de Netscape Navigator que indica "No apto para exportación"

Los controles de exportación de cifrado se convirtieron en un asunto de interés público con la introducción de la computadora personal . El software de cifrado PGP de Phil Zimmermann y su distribución en Internet en 1991 fue el primer desafío importante "a nivel individual" a los controles de exportación de criptografía. El crecimiento del comercio electrónico en la década de 1990 creó una presión adicional para reducir las restricciones. VideoCipher II también utilizó DES para codificar el audio de la televisión por satélite.

En 1989, el uso de criptografía sin cifrado (como el control de acceso y la autenticación de mensajes) se eliminó del control de exportación con una Jurisdicción de Productos Básicos. [1] En 1992, se agregó formalmente una excepción en la USML para el uso de criptografía sin cifrado (y decodificadores de TV satelital) y un acuerdo entre la NSA y la Asociación de Editores de Software hizo que el cifrado RC2 y RC4 de 40 bits fuera fácilmente exportable utilizando una Jurisdicción de Productos Básicos con procesos especiales de revisión de "7 días" y "15 días" (que transfirieron el control del Departamento de Estado al Departamento de Comercio). En esta etapa, los gobiernos occidentales tenían, en la práctica, una personalidad dividida en lo que respecta al cifrado; la política la hacían los criptoanalistas militares, quienes solo se preocupaban de evitar que sus "enemigos" adquirieran secretos, pero esa política luego era comunicada al comercio por funcionarios cuyo trabajo era apoyar a la industria.

Poco después, la tecnología SSL de Netscape fue ampliamente adoptada como un método para proteger las transacciones con tarjetas de crédito utilizando criptografía de clave pública . Netscape desarrolló dos versiones de su navegador web . La "edición estadounidense" admitía claves públicas RSA de tamaño completo (normalmente de 1024 bits o más) en combinación con claves simétricas de tamaño completo (claves secretas) (RC4 de 128 bits o 3DES en SSL 3.0 y TLS 1.0). La "edición internacional" tenía sus longitudes de clave efectivas reducidas a 512 bits y 40 bits respectivamente ( RSA_EXPORT con RC2 o RC4 de 40 bits en SSL 3.0 y TLS 1.0). ^[3] Adquirir la versión "doméstica estadounidense" resultó ser una molestia suficiente para que la mayoría de los usuarios de computadoras, incluso en los EE. UU., terminaran con la versión "internacional", ^[4] cuyo débil cifrado de 40 bits actualmente se puede romper en cuestión de días utilizando una sola computadora. Una situación similar ocurrió con Lotus Notes por las mismas razones.

Los desafíos legales presentados por Peter Junger y otros defensores de las libertades civiles y de la privacidad, la amplia disponibilidad de software de cifrado fuera de los EE. UU. y la percepción por parte de muchas empresas de que la publicidad adversa sobre el cifrado débil estaba limitando sus ventas y el crecimiento del comercio electrónico, llevaron a una serie de relajaciones en los controles de exportación de los EE. UU., que culminaron en 1996 con la firma por parte del presidente Bill Clinton de la Orden Ejecutiva 13026, que transfirió el cifrado comercial de la Lista de Municiones a la Lista de Control de Comercio . Además, la orden establecía que "el software no se considerará ni se tratará como 'tecnología'" en el sentido de las Regulaciones de Administración de Exportaciones . El proceso de Jurisdicción de Productos Básicos fue reemplazado por un proceso de Clasificación de Productos Básicos, y se agregó una disposición para permitir la exportación de cifrado de 56 bits si el exportador prometía agregar puertas traseras de "recuperación de clave" para fines de 1998. En 1999, se modificó la EAR para permitir la exportación de cifrado de 56 bits (basado en RC2, RC4, RC5, DES o CAST) y RSA de 1024 bits sin puertas traseras, y se introdujeron nuevos conjuntos de cifrado SSL para respaldar esto ( RSA_EXPORT1024 con RC4 de 56 bits o DES). En 2000, el Departamento de Comercio implementó reglas que simplificaron en gran medida la exportación de software comercial y de código abierto que contenía criptografía, incluida la posibilidad de eliminar las restricciones de longitud de clave después de pasar por el proceso de Clasificación de Productos Básicos (para clasificar el software como "minorista") y agregar una excepción para el código fuente de cifrado disponible públicamente. ^[5]

Estado actual

A partir de 2009 ^[actualizar], las exportaciones de criptografía no militar de los EE. UU. están controladas por la Oficina de Industria y Seguridad del Departamento de Comercio . ^[6] Todavía existen algunas restricciones, incluso para productos del mercado masivo; particularmente con respecto a la exportación a " estados rebeldes " y organizaciones terroristas . El equipo de cifrado militarizado, la electrónica aprobada por TEMPEST , el software criptográfico personalizado e incluso los servicios de consultoría criptográfica aún requieren una licencia de exportación ^[6] (págs. 6-7). Además, se requiere el registro de cifrado en la BIS para la exportación de "productos, software y componentes de cifrado del mercado masivo con cifrado que exceda los 64 bits" (75 FR 36494). Para los algoritmos de curvas elípticas y los algoritmos asimétricos, los requisitos para la longitud de clave son 128 bits y 768 bits, respectivamente. ^[7] Además, otros artículos requieren una revisión única por parte de la BIS o una notificación a la misma antes de su exportación a la mayoría de los países. ^[6] Por ejemplo, se debe notificar al BIS antes de que un software criptográfico de código abierto se ponga a disposición del público en Internet, aunque no se requiere ninguna revisión. ^[8] Las regulaciones de exportación se han relajado con respecto a las normas anteriores a 1996, pero siguen siendo complejas. ^[6] Otros países, en particular los que participan en el Acuerdo de Wassenaar , ^[9] tienen restricciones similares. ^[10] El 29 de marzo de 2021, se publicó en el Registro Federal la Implementación de las Decisiones Plenarias del Acuerdo de Wassenaar de 2019 ^[11] . Esta regla incluía cambios en la excepción de licencia ENC Sección 740.17 de las EAR ^{[12] [13]}

Normas de exportación de EE.UU.

Las exportaciones no militares de EE. UU. están controladas por las Regulaciones de Administración de Exportaciones (EAR), un nombre abreviado para el Título 15, capítulo VII, subcapítulo C del Código de Regulaciones Federales (CFR) de EE. UU.

Los elementos de cifrado específicamente diseñados, desarrollados, configurados, adaptados o modificados para aplicaciones militares (incluidas aplicaciones de comando, control e inteligencia) están controlados por el Departamento de Estado en la Lista de Municiones de los Estados Unidos .

Terminología

La terminología de exportación de cifrado se define en la parte 772.1 de EAR. ^[14] En particular:

• Un componente de cifrado es un producto o software de cifrado (pero no el código fuente), incluidos chips de cifrado, circuitos integrados, etc.
• Los artículos de cifrado incluyen productos, software y tecnología de cifrado no militares.
• La interfaz criptográfica abierta es un mecanismo diseñado para permitir que un cliente u otra parte inserte una funcionalidad criptográfica sin la intervención, ayuda o asistencia del fabricante o sus agentes.
• Los elementos de criptografía auxiliares son aquellos que se utilizan principalmente no para informática y comunicaciones, sino para gestión de derechos digitales ; juegos, electrodomésticos; impresión, grabación de fotografías y vídeos (pero no videoconferencias); automatización de procesos empresariales ; sistemas industriales o de fabricación (incluida la robótica , las alarmas contra incendios y los sistemas de calefacción, ventilación y aire acondicionado ); automoción , aviación y otros sistemas de transporte.

Los destinos de exportación se clasifican en el Suplemento EAR N.º 1 de la Parte 740 en cuatro grupos de países (A, B, D, E) con subdivisiones adicionales; ^[15] un país puede pertenecer a más de un grupo. A los efectos del cifrado, los grupos B, D:1 y E:1 son importantes:

• B es una gran lista de países que están sujetos a reglas de exportación de cifrado relajadas
• D:1 es una lista breve de países que están sujetos a un control de exportación más estricto. Entre los países destacados de esta lista se encuentran China y Rusia .
• E:1 es una lista muy corta de países que "apoyan al terrorismo" (a partir de 2009, incluye cinco países ( Cuba , Irán , Corea del Norte , Sudán y Siria ); anteriormente contenía seis países y también se llamaba "terroristas 6" o T-6)

El Suplemento EAR N.° 1 de la Parte 738 (Cuadro de países de comercio) contiene la tabla con las restricciones por país . ^[16] Si una línea de la tabla que corresponde al país contiene una X en la columna de motivos de control , la exportación de un artículo controlado requiere una licencia, a menos que se pueda aplicar una excepción . A los efectos del cifrado, los siguientes tres motivos de control son importantes:

• Columna de seguridad nacional ns1 n.° 1
• Columna 1 sobre antiterrorismo de AT1
• Los elementos de cifrado de EI son actualmente los mismos que los de NS1

Clasificación

Para fines de exportación, cada artículo se clasifica con el Número de Clasificación de Control de Exportación (ECCN) con la ayuda de la Lista de Control de Comercio (CCL, Suplemento No. 1 a la EAR parte 774). En particular: ^[6]

• 5A002 Sistemas, equipos, conjuntos electrónicos y circuitos integrados para "seguridad de la información". Razones para el control: NS1, AT1.
• 5A992 Productos de cifrado y otros equipos de "mercado masivo" no controlados por el artículo 5A002. Motivo del control: AT1.
• 5B002 Equipos para el desarrollo o producción de artículos clasificados como 5A002, 5B002, 5D002 o 5E002. Motivos para el control: NS1, AT1.
• 5D002 Software de cifrado. Razones para el control: NS1, AT1.
  • utilizado para desarrollar, producir o utilizar artículos clasificados como 5A002, 5B002, 5D002
  • Tecnología de apoyo controlada por 5E002
  • Modelado de las funciones de los equipos controlados por 5A002 o 5B002
  • Se utiliza para certificar software controlado por 5D002
• 5D992 Software de cifrado no sujeto a control por el artículo 5D002. Motivos para su control: AT1.
• 5E002 Tecnología para el desarrollo, producción o utilización de equipos controlados por los artículos 5A002 o 5B002 o de programas informáticos controlados por el artículo 5D002. Motivos para la aplicación del control: NS1, AT1.
• 5E992 Tecnología para los artículos 5x992. Razones para el control: AT1.

Un artículo puede ser autoclasificado o se puede solicitar una clasificación ("revisión") a la BIS. Se requiere una revisión de la BIS para que los artículos típicos obtengan la clasificación 5A992 o 5D992.

Véase también

• Bernstein contra Estados Unidos
• Denegación de control comercial
• Control de exportaciones
• Junger contra Daley
• Restricciones a la importación de criptografía
• FENÓMENO
• Guerras de criptomonedas

Referencias

1. "Camiseta de municiones".
2. Diffie, Whitfield; Landau, Susan (2007), "La exportación de criptografía en los siglos XX y XXI", La historia de la seguridad de la información , Elsevier, págs. 725-736, doi :10.1016/b978-044451608-4/50027-4, ISBN 978-0-444-51608-4, consultado el 12 de agosto de 2023
3. "Fortify para Netscape". www.fortify.net . Consultado el 1 de diciembre de 2017 .
4. "Archivo del 25 de enero de 1999 de la página de descarga de Netscape Communicator 4.61 que muestra una ruta más difícil para descargar la versión de 128 bits". Archivado desde el original el 16 de septiembre de 1999. Consultado el 26 de marzo de 2017 .{{cite web}}: CS1 maint: bot: estado de URL original desconocido ( enlace )
5. "Reglamento revisado de control de exportación de cifrado de EE. UU." Copia de EPIC del documento del Departamento de Comercio de EE . UU . Enero de 2000. Consultado el 6 de enero de 2014 .
6. Suplemento N.º 1 de la Lista de Control de Comercio de la Parte 774 Categoría 5 Parte 2 - Información sobre seguridad
7. "CCL5 PT2" (PDF) . www.bis.doc.gov . Consultado el 10 de octubre de 2022 .
8. "Oficina de Industria y Seguridad de los Estados Unidos - Requisitos de notificación para código fuente de cifrado "disponible públicamente"". Bis.doc.gov. 2004-12-09. Archivado desde el original el 2002-09-21 . Consultado el 2009-11-08 .
9. Estados participantes Archivado el 27 de mayo de 2012 en archive.today El Acuerdo de Wassenaar
10. Acuerdo de Wassenaar sobre controles de las exportaciones de armas convencionales y bienes y tecnologías de doble uso: directrices y procedimientos, incluidos los elementos iniciales El Acuerdo de Wassenaar, diciembre de 2009
11. Acuerdo de Wassenaar sobre controles de las exportaciones de armas convencionales y bienes y tecnologías de doble uso Documentos públicos Volumen IV Documentos de referencia y declaraciones plenarias y de otro tipo Archivado el 9 de febrero de 2024. Acuerdo de Wassenaar Diciembre de 2019
12. Reglamento de administración de exportaciones y cifrado (EAR) Archivado el 9 de febrero de 2024 en archive.today
13. Reglamento de administración de exportaciones: Implementación del Acuerdo de Wassenaar 2019 Decisiones plenarias Página archivada 16482 Registro Federal Archivado Implementación del Acuerdo de Wassenaar 2019 Decisiones plenarias. Archivado el 2024-02-09
14. "15 CFR § 772.1 - Definiciones de términos utilizados en el Reglamento de Administración de Exportaciones (EAR)". LII / Instituto de Información Legal . Consultado el 30 de septiembre de 2021 .
15. "EAR Supplement No. 1 to Part 740" (PDF) . Archivado desde el original (PDF) el 2009-06-18 . Consultado el 2009-06-27 .
16. "EAR Supplement No. 1 to Part 738" (PDF) . Archivado desde el original (PDF) el 2009-05-09 . Consultado el 2009-06-27 .

Enlaces externos

• Encuesta sobre la legislación sobre criptomonedas
• Oficina de Industria y Seguridad: Puede encontrar una descripción general de las regulaciones de exportación de EE. UU. en la página de conceptos básicos de licencias.
• Whitfield Diffie y Susan Landau, La exportación de criptografía en los siglos XX y XXI. En Karl de Leeuw, Jan Bergstra, ed. La historia de la seguridad de la información. Un manual completo. Elsevier, 2007. p. 725
• Controles de exportación de cifrado. Informe CRS para el Congreso RL30273. Servicio de Investigación del Congreso, ˜La Biblioteca del Congreso. 2001 Archivado el 28 de febrero de 2019 en Wayback Machine .
• El debate sobre el cifrado: aspectos de inteligencia. Informe CRS para el Congreso 98-905 F. Servicio de Investigación del Congreso, Biblioteca del Congreso. 1998
• Tecnología de cifrado: cuestiones del Congreso Informe de la CRS para el Congreso IB96039. Servicio de investigación del Congreso, ˜La Biblioteca del Congreso. 2000
• Criptografía y libertad 2000. Un estudio internacional sobre políticas de cifrado. Centro de información sobre privacidad electrónica. Washington, DC. 2000
• Consejo Nacional de Investigación, El papel de la criptografía en la protección de la sociedad de la información. National Academy Press, Washington, DC 1996 (el enlace al texto completo está disponible en la página).
• La evolución de las restricciones del gobierno de Estados Unidos sobre el uso y la exportación de tecnologías de cifrado (U) Archivado el 9 de mayo de 2016 en Wayback Machine , Micheal Schwartzbeck, Encryption Technologies, circa 1997, anteriormente Top Secret, aprobado para su publicación por la NSA con tachaduras el 10 de septiembre de 2014, C06122418