Is de export van sterke cryptografie nog steeds verboden?

one-team-jabber-chat1.pngEen lezer stelde me een vraag over chatclient Jabber. Hij gebruikt deze op het werk inclusief de feature van end-to-end encryptie: OTR. Voor de iPad en iPhone is ook een Jabber-client beschikbaar, OneTeam geheten. Deze had echter geen encryptie. Op zijn verzoek of dat binnenkort dan opgenomen zou worden, reageerde het bedrijf met:

Chances to get encryption in OneTeam on iOS are very low, as we would have to ask permission to US government (as requested by Apple). This is a hassle we would like to avoid.

De vraag is natuurlijk, wat heeft de Amerikaanse regering te maken met encryptie op je iPhone?

In eerste instantie niet per se heel veel, maar Apple voelt zich als Amerikaans bedrijf geroepen de Amerikaanse wet te handhaven. Daarom staat in de voorwaarden voor app-developers dat zij bij gebruik van encryptie moeten bewijzen dat het Ministerie van Handel de export van deze technologie heeft goedgekeurd. Dat proces is een heel gedoe, maar het kan wel.

Deze regels gelden ook voor andere besturingssystemen en software, alleen wordt daar niet heel hard op gelet. Maar reken maar dat Microsoft keurig toestemming heeft gevraagd alvorens Windows met encryptie aan boord uit te leveren.

Vroeger waren er heel strenge regels over encryptie: je mocht als Amerikaan geen sterke encryptie naar buiten het land exporteren, wat inhield dat een sleutel bijvoorbeeld maar 40 bits lang mocht zijn (en niet de 128 bits die het zou moeten zijn om veilig te zijn). Dat geldt niet meer, er is alleen nog een verbod op export naar Libië, Iran en die landen. Voor de rest geldt een meldingsplicht en een paar beperkingen.

Voor open source is ook dat nog een probleem, want je hebt geen idee waar je software naartoe gaat dus je kunt niet garanderen dat de software niet naar Iran zal gaan. Daarom is er een uitzondering in de export control wetgeving opgenomen (art. 740.13 e-CFR), die zegt dat software in broncodevorm die publiek op internet downloadbaar is niet onder de strenge wetgeving valt.

Dat is volstrekt onlogisch gezien doel van de wet maar wel handig voor open source: wie producten met encryptie verkoopt, moet nagaan wie de klanten zijn en goedkeuring voor export hebben, maar wie het gratis op internet zet hoeft dat allemaal niet. Je moet alleen melden dat je cryptografische open source op internet hebt gezet.

In Europa geldt geen eis van melding. Wel is het verboden encryptie opzettelijk te exporteren naar landen als Libië, Noord-Korea of Iran. Want ja, encryptietechnologie wordt nog steeds gelijkgeschakeld met wapens en munitie.

Arnoud

9 reacties

  1. Bij PGP was de truc destijds dat je boeken met daarin broncode wel mocht exporteren (want vrije meningsuiting) maar floppy disks met broncode niet (want software). Er is toen een scanning project opgezet waarbij iemand in de VS alle broncode printte in een goed te OCR-en lettertype. Dat boek (oh, nog bij Amazon bekend) is naar Europa gestuurd en ingescand.

    Er is nooit een opzettelijk afgezwakte versie van PGP verspreid. Toen versie 2.6 uitkwam, bleek deze incompatible met eerdere versies maar dat had met patenten te maken. Een fork was al snel beschikbaar.

  2. Wat je op het laatst zegt Arnaud klopt niet helemaal, het is verboden bepaalde soorten encryptietechnologie of software te exporteren naar een land buiten de Europese Unie zonder een exportvergunning van de Douane. Zie EG 428/2009, 5A002 en 5D002 in Bijlage I:

    a. Een ???symmetrisch algoritme??? met een sleutellengte van meer dan 56 bits; of b. Een ???asymmetrisch algoritme??? waarvan de beveiliging wordt gewaarborgd door: 1. Ontbinding van gehele getallen van meer dan 512 bits (bv. RSA) 2. Berekening van discrete logaritmen in een groep van een eindig veld met een grootte van meer dan 512 bits (bv. Diffie-Hellman over Z/pZ); of 3. Discrete logaritmen in een andere dan de in 5A002.a.1.b.2 genoemde groepen van meer dan 112 bits (bv. Diffie-Hellman over een elliptische curve)

    Dit is alleen omgeven door een zooi uitzonderingen, waaronder:

    5A002 en 5D002 gelden niet voor goederen die aan alle onderstaande criteria voldoen: a. De goederen zijn algemeen voor het publiek verkrijgbaar doordat ze zonder beperkingen via de detail­ handel uit voorraad wordt verkocht via: 1. winkelverkoop; 2. postorderverkoop; 3. elektronische verkoop; of 4. telefonische verkoop; b. De cryptografische werking kan niet eenvoudig door de gebruiker worden veranderd; c. De goederen zijn ontworpen voor installatie door de gebruiker zonder wezenlijke ondersteuning van de leverancier; en d. Zo nodig zijn er over deze goederen nadere gegevens beschikbaar, die op verzoek worden verstrekt aan de bevoegde autoriteiten van de lidstaat waarin de exporteur gevestigd is, zodat kan worden vastgesteld of aan de onder a. tot en met c. beschreven voorwaarden wordt voldaan.
    .

  3. De open source (-achtige)uitzondering staat er wel in, ze hebben hem alleen goed verstopt als voorafgaande noot:

    De categorieën 0 tot en met 9 van deze lijst zijn niet van toepassing op programmatuur die: … b. ???voor iedereen beschikbaar??? is.
    En dan fastforwarden naar de definitielijst:
    ???Voor iedereen beschikbaar??? (ATN NTN APN). ???Technologie of ???programmatuur die zonder beperkingen aan de verdere ver­spreiding daarvan beschikbaar zijn gesteld. (Auteursrechtelijke beperkingen hebben niet tot gevolg dat ???technologie of ???pro­grammatuur niet langer ???voor iedereen beschikbaar??? is.)
    Wat dan volgens mij weer niet helemaal aansluit bij open source licenties, maar dat is meer jouw terrein.

  4. Dit soort wetgeving lijkt mij erg lastig te handhaven. Ook voor het ietwat onzinnige PGP boeken-scan project was PGP (eerder bedoeld om een lange neus naar de wetgever/handhaver te maken) al ruim beschikbaar in Europa, en schimmige regimes zullen zich ook niet al te veel aantrekken van Amerikaanse wetgeving. Ik geloof dat de wetgeving uiteindelijk is afgezwakt omdat Amerikaanse ondernemers niet konden concurreren met niet-Amerikaanse bedrijven ongehinderd equivalente producten aanboden.

    Tenslotte zie ik het publiceren op een internationaal toegankelijke website niet als “exporteren.”

    Gezien de aard van het beestje, moet dit soort software altijd “open source” zijn, zodat openbaar onderzoek van de sterkte ervan mogelijk is. Vertrouwen is hierbij het sleutelwoord. Afhankelijk van tegen wat of wie je je wilt beschermen kan het behoorlijk complex zijn je met encryptie adequaat te beschermen.

    Bovendien heb je een omgeving nodig waarin je het kunt gebruiken. Ik heb al jaren PGP als onderdeel van mijn email software, maar er is bijna niemand die het ook gebruikt….

  5. Kun je dan niet alleen van je encryptie module een opensource module maken, en die vanuit je closed source applicatie aanroepen? Is dat niet een goedkope manier om toch een closed sourse applicatie vrijelijk te kunnen exporteren mét encryptie? Enkel tegen de prijs van dat je de encryptiemodule als opensource moet vrijgeven (of een bestaande open source module moet gebruiken, mits de betreffende licentie het toestaat dat je die mag aanroepen vanuit een closed source applicatie.)

  6. Wat achtergrond: Zelfs in de vorige twee decennia was de praktijk dat een aanvraag in principe goedgekeurd werd, tenzij het naar de schurken staten ging of de zware criminaliteit.

    Formeel moest het wel aangevraagd worden net als alle dual-use spullen (denk ook aan hoge snelheid centrifuges en nachtzichtkijkers). Die hele Wassenaar afspraken en hun opvolgers zijn gericht op het voorkomen dat de overheden en legers van de schurken staten praktisch te gebruiken wapen en ondersteunende systemen krijgen en dat was vroeger altijd hardware.

    PGP was de eerste die die grens over ging naar bruikbare software en werd daarmee de frontlinie waar het uitgevochten werd. Overheden waren toen al helemaal niet zo handig in open communiceren over hun risico afwegingen of hun beleid aan te passen voor “open source hippies” 😉

  7. Een citaat van kernel.org:

    Due to U.S. Exports Regulations, all cryptographic software on this site is subject to the following legal notice:

    This site includes publicly available encryption source code which, together with object code resulting from the compiling of publicly available source code, may be exported from the United States under License Exception “TSU” pursuant to 15 C.F.R. Section 740.13(e).

    This legal notice applies to cryptographic software only. Please see the Bureau of Industry and Security for more information about current U.S. regulations.

    Our servers are located in Corvallis, Oregon, USA; Palo Alto and San Francisco, California, USA; Amsterdam, Netherlands; and Umeå, Sweden. Use in violation of any applicable laws is prohibited.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.