從美國導出密鑰大小 > 56 位的加密軟體仍需要許可嗎?
在其他地方,有人說他不能在網際網路上發布他的加密軟體,因為如果密鑰大小大於 56 位,美國出口法規需要批准。我知道幾十年前有如此嚴格的限制。任何人都可以檢查一下即使在今天仍然如此嗎?
首先,這不是法律建議。然而,我一直處於不幸的境地,不得不處理這個法律噩夢。規范國際密碼學出口的新協議稱為瓦森納安排。如果您的產品是所謂的大眾市場產品,即可以不受限制地向公眾購買,您可以忽略任何出口限制。如果您的軟體是開源的並且可供所有人免費使用,您也可以跳過此步驟。還有更多例外情況,例如您的唯一用途是在 DRM 中,如果不能更改加密算法的輸入。
如果您將銷售限制在選定的客戶子集,或者如果您的產品在某些屬性中具有排他性,例如價格太高而不能被視為大眾市場,您需要聯繫負責 Wassenaar 合規性的當地政府機構。
您會感興趣的部分是雙重用途列表 - 類別 5 - 第 2 部分 - “資訊安全”。
如果您覺得自己可能屬於這種安排,最好遵循以下規則:
- 如果您的加密基於對稱算法,請將密鑰大小保持在 56 位或更少。(例如 AES、DES、Blowfish…)
- 如果您的加密基於分解整數的難度,請將密鑰大小保持在 512 位或更少。(例如 RSA)
- 如果您的加密基於在有限域的乘法組中計算離散對數的難度,請將大小保持在 512 位或更少。(例如 Diffie Hellman over Z/pZ)
- 如果您的加密基於前面提到的其他組中的離散對數,請將大小保持在 112 位或更少。(例如橢圓曲線上的 Diffie-Hellman)
如果您不遵守這些規則,您將受到負責 Wassenaar 合規性的政府機構的控制。這極有可能成為您組織的巨大官僚負擔,因為出口管制設置極差,無法處理您可能擁有數千名客戶的軟體之類的事情。除非密碼學是您產品不可分割的一部分,否則最好避免使用它。大多數公司和個人不受該安排的影響,因為它試圖縮小到僅涵蓋與外國政府進行貿易的公司。
如果您的系統進行任何類型的密碼分析工作,它通常被認為更加敏感,並且您進入出口控制區域的機率會增加。
@Thomas 引用的維基百科部分說:
此外,出口“加密超過 64 位的大眾市場加密商品、軟體和組件”需要在 BIS 進行加密註冊。
$$ … $$
此外,BIS 公佈的商業管制清單規定如下(第 1 頁):
您必須向 BIS 送出分類請求或加密註冊,以針對符合密碼學說明的大眾市場加密商品和軟體,對稱算法採用大於 64 位的密鑰長度(或者,對於未實施任何對稱算法的商品和軟體,採用非對稱算法的密鑰長度大於 768 位或橢圓曲線算法的密鑰長度大於 128 位)
$$ … $$
所以你的問題的答案是否定的。儘管如此,程序員和研究人員一直在未經 BIS 許可的情況下線上發表論文和程式碼。