Занепокоєння програмістів щодо обмежень експорту з США

21

Які аспекти потрібно враховувати при розробці та публікації програмного забезпечення, яке повинно відповідати обмеженням щодо експорту криптографічного програмного забезпечення США?

У Вікіпедії сказано, що існують різні категорії, які можна віднести до програмного забезпечення криптовалюти. І експортне призначення (наприклад, Китай, Росія) також відіграє велику роль. Але я не дуже розумів ці обмеження та їх вплив на мою роботу.

Хтось може мені це пояснити?

Я прошу, тому що якщо ви спробуєте опублікувати свою заявку (наприклад, на Apple App Store або Android Market), ви повинні переконатися, що ваша програма відповідає обмеженням експорту в США. І є багато додатків, які пропонують безпечне зберігання інформації, наприклад, для паролів.

Чи всі вони повідомили уряд і попросили переглянути? Звичайно, ти не можеш знати, чи зробили вони це. Але чи потрібно їм це робити?

security  encryption  cryptography 
кава
джерело
1
Ваш перший прогноз став справжним. А щодо другого: це питання, яке цікаве для багатьох програмістів, чи не так? Багато хто опублікував програмне забезпечення, яке використовує криптографічні алгоритми. Тому хтось повинен знати.
каре
Так, безумовно, це не означає, що хтось достатньо впевнений у тому, що ви зробили, щоб дати вам остаточну пораду. Дивіться "ідіть до юриста" нижче!
Бен
Ви можете ознайомитись на веб-сайті FIPS для більш детальної інформації
Ubermensch
1
Для чогось подібного я порадився з юристом. Моя кар’єра - в галузі оборонної промисловості, в тому числі в підрядниках, які створюють продукцію як для вітчизняних, так і для іноземних замовників. Існує не лише юридична команда, але й спеціальні спеціалісти з контролю за експортом, які переглядають усе, щоб переконатися, що він відповідає правилам. Є багато дрібниць, на які слід пильнувати, і покладатися на відповідь розробника програмного забезпечення не розумно, оскільки так просто не помітити щось важливе.
Томас Оуенс
1
Дякую, Томасе. Я просто подумав, що це може бути ясний випадок, оскільки на Android Market існує багато програм (всі повинні відповідати інструкціям), які використовують шифрування AES. Уявіть, усі банківські програми, програми зберігання паролів тощо ... І я не продаю свої програми, я пропоную їх безкоштовно. Тож просити адвоката дорого.
каре

Відповіді:

15

Якщо ваш код є відкритим кодом , обмеження дуже незначні : ви не можете експортувати свій код до країн чи організацій, які обмежилися, і ви повинні повідомити уряд про місце, де вони можуть завантажувати вихідні та об’єктивні файли . Ви повинні докласти певних зусиль, щоб запобігти завантаженню коду на Кубу, Іран, Лівію, Північну Корею, Сирію та Судан . Ви повинні попросити всіх своїх користувачів не експортувати в ці країни.

Вам потрібно буде підготувати списки всіх "пакетів" і "файлів", які містять примітиви шифрування. (Я пам'ятаю, що нам дозволяли пропускати хешируючі примітиви, які використовувались лише для автентифікації або контролю цілісності .)

Якщо ваш код не є відкритим кодом, ви повинні подати винятки з власного коду. Я думаю, вам потрібно буде підготувати подібні списки вихідних / об’єктних файлів та які алгоритми реалізовані за якими механізмами. Далі сподіваюсь, що для отримання ліцензії потрібен перегляд до отримання ліцензії.

Хоча я вважаю, що вся моя інформація є правильною станом на 30 грудня 2011 року, я не юрист і не можу надати вам юридичну консультацію. Це просто вказівки на наявні в даний час урядові ресурси США.

сарнольд
джерело
1
Дякую! Це звучить справді складно і обтяжливо. Будь ласка, дивіться мою редакцію у питанні: Чи є ваше пояснення навіть для цього випадку чи лише для програмного забезпечення, яке дозволяє користувачеві вільно кодувати або декодувати інформацію?
каре
Наскільки я пам'ятаю, що хешовані паролі - це не одне із речей, що їх цікавить - тож якщо це все, що робиться у вашій заявці, ви майже напевно добре. Я не можу говорити за те, що роблять інші автори додатків ...
sarnold
Добре, дякую. Отже, якщо ми беремо в якості прикладу інтернет-банкінг або безпечний пароль - вони обидва зашифровують дані для безпечного зберігання: чи це нормально, чи потрібно повідомляти і переглядати?
каре
Якщо ви на 100% покладаєтесь на хост-OS для надання примітивів криптографії, вам нічого не потрібно робити. :)
sarnold
1
ФАЙЛИ ПОЛІТИКИ ЮРИДИКЦІЙНОЇ ПОЛІТИКИ ЯВИ: НЕЗАГРЕБЕНА СИЛА: Архітектура JCE дозволяє конфігурувати гнучку криптографічну силу за допомогою файлів політики юрисдикції. Через обмеження на імпорт деяких країн, у файлах політики юрисдикції, що поширюються за допомогою програмного забезпечення Java SE 7, є вбудовані обмеження на доступну криптографічну силу. Файли політики юрисдикції в цьому пакеті завантаження (пакет, що включає цей файл README) не містять обмежень щодо криптографічних сильних сторін. Це підходить для більшості країн.
пекла
7

Ви пишете власні криптографічні процедури або просто називаєте стороннім розпорядком?

Я запитую причину тому, що якщо, наприклад, у Windows ви використовуєте одну з передбачених Microsoft процедур, то ви не є тим, хто публікує або розповсюджує кероване програмне забезпечення, і в цьому випадку ваше програмне забезпечення не підлягає жодним обмеженням.

JonnyBoats
джерело
Дякую за відповідь! Якщо це правда, було б чудово :) Я буду використовувати відомі алгоритми, такі як AES, SHA і т. Д. Тож я повторно використовую інші алгоритми і закликаю натільні функції. Я не публікую власний криптографічний алгоритм.
каре
Марко: Це безумовно шлях. На яку операційну систему ви орієнтовані?
JonnyBoats
3
Марко: Зашифруйте програму, щоб просто використовувати найкращий розпорядок роботи на телефоні замовника, перевірити час виконання. Крім того, скільки товару ви будете продавати на Кубі чи Північній Кореї?
JonnyBoats
1
Якщо ви використовуєте передбачені Майкрософт звичайні криптовалюти в Windows, ви не експортуєте цей матеріал, оскільки не надаєте його. Якщо він вже є, то, мабуть, добре це назвати. Використання стандартних реалізацій стандартних алгоритмів все ще надає криптовалюту, і ви, можливо, експортуєте її. (Крім того, не пишіть власне програмне забезпечення безпеки для виробничих цілей, якщо у вас немає досвіду в цій галузі. Занадто багато речей, з якими ви легко можете помилитися.)
Девід Торнлі
1
Я майже впевнений, що вам все-таки потрібно подати весь цей експорт криптовалюти, якщо ви просто використовуєте крипто API.
CodesInChaos
1

Якщо це лише питання заради інтересів, то інші відповіді чудові. Якщо це стосується чогось, що ви насправді робите?

ПЕРЕГЛЯДУЙТЕ адвоката. ЗАРАЗ.

Ти ще чекаєш? Тоді я розширюся.

Іди до юриста. Тепер. Не чекай, не думай. Якщо у вас його вже немає, знайдіть його. Попросіть їх зв’язати вас з тим, хто займається комерційним правом як роботою . Перевірте його дані, і якщо вони виглядають правильно, сядьте з цією людиною і запропонуйте їм гроші за пораду. Не соромтеся домовлятися на умовах.

Якщо ви мені не довіряєте, і я визнаю, що я дуже рішучий, не маючи великого досвіду в цій галузі, прочитайте цю статтю, написану в травні 2010 року , від когось, хто успішно керує сімейним бізнесом з 93 року.

Якщо ви намагаєтеся вести ігровий бізнес Indie, ви, в першу чергу, ведете бізнес. Діють усі місцеві, державні та федеральні закони. Вам потрібна ліцензія на бізнес. Або ліцензії. Кожен бізнес повинен мати юриста та бухгалтера. Я особисто робив це, не маючи присвяченого юриста (нерозумно), але кожен бізнес повинен мати кваліфікованого бухгалтера.

Це означає, що той, хто займається двома людьми, які продають ігри, де ящірки в обладунках побивають гоблінів , знають, що він ризикує, не маючи доступу до свого особистого адвоката постійно .

Ви бізнес? Не знаю. Якщо ти щось продаєш, ти цілком можеш бути. Здогадайтесь, хто знав би? Юрист .

Вам не доведеться довго платити за дуже дорогого адвоката, але, принаймні, вам потрібно за домовленістю мати когось, кому ви можете вести справи, перш ніж робити речі, які можуть бути юридично небезпечними, і хто може пояснити Ви, що може бути юридично небезпечним.

Бо ось у чому річ. Якщо ви робите це наперед, то багато речей застосовується.

  1. Ви менше шанси накрутити і привернути увагу уряду.
  2. Ви більше усвідомлюєте, коли ви накрутили, і що з цим робити, включаючи наявний контакт, до якого ви можете зателефонувати, щоб допомогти вам.
  3. Якщо ви все-таки обмацуєте та привертаєте увагу уряду, ви можете пояснити, що ви намагалися зробити все правильно, і маєте відзнаки адвоката, щоб це підтвердити.

Якщо ви цього не зробите? Ну, нещодавно я виявив, що якщо ви знаєте, що ви не вмієте щось впоратися, і не звертаєтесь за порадою, це юридично означає, що ви навмисно вирішили заграти. У грошах це шахрайство. Щодо експортних санкцій, я думаю, це в тому ж масштабі, що і державна зрада.

Щодо дослідження в Інтернеті: Ця публікація в блозі була написана 17 січня 2011 року. І перше, що там сказано? Що цей матеріал нещодавно змінився. Отже, це може змінитися знову. Це вже могло змінитися. Що означає, що якщо хтось сліпо слідкує за цими 3 роками відтепер, їм, можливо, доведеться витратити якийсь серйозний час, пояснюючи осакатуваним чоловікам, що вони не зрадники, вони достатньо спритні, щоб думати, що повідомлення в блозі - це юридичні документи.

Зробіть мені послугу для мого власного спокою. Іди до юриста.

deworde
джерело
Дуже дякую за цю детальну відповідь. Просто я подумав, що це чіткий випадок і його легко вирішити. Я написав у коментарі до питання (вище), чому я це вважав.
каре
Так, і ви, напевно, можете звернутися до Apple безпосередньо в цьому випадку, щоб отримати їхні правила, якщо ви збираєтеся публікувати лише через App Store і якщо ваш додаток не робить нічого особливо нового з шифруванням. Якщо чесно, я б уявив, що коли ви подасте, якщо це не відповідає, вони повернуть його назад. Вони матимуть власні гарантії, що дозволять утримувати App Store поза санкціонованими країнами. У них також є своя юридична команда, яка займається цими справами, і це вважається справою з юристом.
deworde
1
Питання, на яке я відповів, було більш загальним: "Які аспекти потрібно враховувати при розробці та публікації програмного забезпечення, яке повинно відповідати американським обмеженням експорту криптографічного програмного забезпечення?" Що стосується конкретних речей для Android / iOS, тоді люди, які консультуються, будуть Apple та Google. Надішліть їм електронний лист, у якому викладете те, що ви плануєте зробити, і вони, ймовірно, будуть розроблені для вас усіма процедурами.
deworde
Але якщо щось піде не так, я вважаю, що було б розумно, щоб місцевий юрист знав про ваше існування та що ви робили. Про всяк випадок.
deworde
Дякуємо за додаткові коментарі. Я буду мати на увазі ваші слова;)
caw
0

Трохи інша відповідь, але навіщо писати код шифрування в США? Навіть якщо ви пишете решту продукту в США, це має багато сенсу робити деталі шифрування в інших місцях. Ви все ще можете продавати свій товар у США, але ви імпортуєте до США, а не експортуєте зі США.

На відміну від цього, на початку PGP, правила експорту були застосовані за рахунок друку книги, що містить вихідний код, та експорту книги.

Майкл Шоу
джерело
3
Це дуже погана ідея. Норми санкцій / експорту США застосовуються до будь-якої компанії, зареєстрованої в США, і визначають продавців, а також продаж. Так, з дуже розумним юристом ви можете знайти приклади того, як люди скрегочуть навколо них за допомогою шалених юридичних хитрощів, але НЕ ДУМАЙТЕ. Великим компаніям доводиться платити сотні мільйонів фунтів, якщо вони накрутять це. Невеликі компанії, всі йдуть у в'язницю, банкрутство чи обидва.
deworde
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.