25.9 ISO/lEC 9979

В середине 80-х ISO стандартизировать DES, который уже использовался в качестве FIPS и стандарта ANSI. После некоторой политической возни ISO решило не стандартизировать криптографические алгоритмы, а рег и-стрировать их. Зарегистрировать можно только алгоритмы шифрования, регистрировать хэш-функции и схемы подписи нельзя. Зарегистрировать алгоритм может любая национальная организация .

В настоящее время поданы заявки на регистрацию трех алгоритмов (см. 21-й). Подача заявки включает информацию об использовании, параметрах, реализациях, режимах и тестовых векторах . Подробное описание необязательно, можно подавать на регистрацию и секретные алгоритмы .

Факт регистрации алгоритма ничего не говорит о его качестве. Регистрация не является и одобрением алгоритма ISO/IEC, она просто показывает, что одна из национальных организаций хочет зарегистрировать алг о-ритм, независимо от критериев, используемых данной организацией .

Меня не впечатлила эта идея. Регистрация мешает процессу стандартизации. Вместо того, чтобы принять несколько алгоритмов, ISO регистрирует любой алгоритм. При таком контроле можно зарегистрировать все, что угодно, и далее с полным правом сопровождать свой алгоритм звучной добавкой "Зарегистрирован ISO/IEC 9979 ". В любом случае реестр ведет National Computer Centre Ltd., Oxford Road, Manchester, MI 7ED, United Kingdom.

Табл. 25-4. Зарегистрированные алгоритмы ISO/IEC 9979

25.10 Профессиональные и промышленные группы, а также группы защитников гражданских свобод

Информационный центр по электронной тайне личности (EPIC)

Информационный центр по электронной тайне личности ( Electronic Privacy Information Center, EPIC) был учрежден в 1994 году для привлечения общественного внимания к возникающим вопросам тайн личности, св я-занным с Национальной информационной инфраструктурой , таких как микросхемы Clipper, предложения по цифровой телефонии, национальные системы идентификационных номеров, тайны историй болезни и продажа сведений о потребителях. EPIC ведет судебные процессы, спонсирует конференции, публикует отчеты, издает EPIC A/ert и проводит кампании по вопросам тайны личности . Желающие присоединиться могут обратиться по адресу Anyone interested in joining should contact Electronic Privacy Information Center, 666 Pennsylvania Avenue SE, Suite 301, Washington, D.C. 20003 (202,) 544-9240; факс: (202) 547-5482; Internet: info@epic.org.

Фонд электронного фронтира (EFF)

Фонд электронного фронтира (Electronic Frontier Foundation, EFF) посвятил себя защите гражданских прав в киберпространстве. Рассматривая криптографическую политику США, EFF считает, что информация и доступ к криптографии являются фундаментальными правами, и поэтому с них должны быть сняты правительственные ограничения. Фонд организовал рабочую группу по цифровой безопасности и тайне личности (Digital Privacy and Security Working Croup), которая является коалицией 50 организаций. Группа противодействует закону о цифровой телефонии и инициативе Clipper. EFF также содействует ведению процессов против контроля за эк спортом криптографии [143]. Желающие присоединиться к EFF могут связаться с Electronic Frontier Foundation, 1001 C Street NW, Suite 950E, Washington, D.C. 20001; (202) 347 5400, факс: (202) 393-5509; Internet: eff@eff.org.

Ассоциация по вычислительной технике (ACM)

Ассоциация по вычислительной технике (Association for Computing Machinery, ACM) - это международная компьютерная промышленная организация. В 1994 году Комитет общественной политики ACM США представил прекрасный отчет о криптографической политике США [935]. Его стоит прочитать каждому, кто интересуется политикой в криптографии. Его можно получить с помощью анонимного ftp с info.acm.org в /reports/acm. crypt study/acm crypto study.ps.

Институт инженеров по электричеству и радиоэлектронике (IEEE)

Институт инженеров по электричеству и радиоэлектронике ( Institute of Electrical and Electronics Engineers , IEEE) - это другая профессиональная организация. Отделение в США изучает вопросы, связанные с тайной личности, включая криптографическую политику, идентификационные номера, и защита тайн в Internet, и разрабатывает соответствующие рекомендации.

Ассоциация производителей программного обеспечения (SPA)

Ассоциация производителей программного обеспечения ( Software Publishers Association, SPA) - это торговая ассоциация, в которую входят свыше 1000 компаний, разрабатывающих программное обеспечение для перс о-нальных компаний. Они выступают за ослабление экспортного контроля в криптографии и поддерживают пер е-чень коммерчески доступных зарубежных продуктов .

25.11 Sci.crypt

Sci.crypt - это телеконференция Usenet по криптологии. Ее читают примерно 100000 человек по всему миру. Большинство сообщений - обычная чепуха, перебранка ли и то, и другое одновременно. Некоторые сообщения касаются политики, а большинство остальных - просьбы предоставить сведения или общие . Иногда в этой телеконференции случайно попадаются различные самородки и некоторая полезная информация . Если читать sci.crypt регулярно, можно узнать, как использовать нечто, называемое файлом-убийцей .

Другой телеконференцией Usenet является sci.crypt.research, более умеренная телеконференция, посвященная обсуждению криптологических исследований . В ней меньше сообщений, и они гораздо интереснее .

25.12 Шифропанки

Шифропанки (Cypherpunks) - это неформальная группа людей, заинтересованных в обучении и изучении криптографии. Они также экспериментируют с криптографией, пытаясь ввести ее в обиход . По их мнению все криптографические исследования не принесли обществу ничего хорошего, так как оно не воспользовалось до с-тижениями криптографии.

В "Манифесте шифропанков" Эрик Хьюз (Eric Hughes) пишет [744]:

Мы, Шифропанки, стремимся создать анонимные системы . Мы защищаем наши тайны с помощью криптографии, с п о-мощью систем анонимной отправки почты, с помощью цифровых подписей и электронных денег.

Шифропанки пишут код. Мы знаем, что кто-то должен написать программное обеспечение, защищающее тайны личн ости, и так как пока это не сделано, мы не сможем обеспечить сохранение своих тайн, мы собираемся написать такие програ м-мы. Мы публикуем наш код, чтобы наши друзья Шифропанки могли попрактиковаться и поиграть с ним . Наш код свободно может использовать кто угодно и где угодно . Нас не очень волнует, нравятся ли вам программы, которые мы пишем . Мы знаем, что программное обеспечение невозможно разрушить, и что невозможно прекратить работу рассеянных систем .

Те, кто хочет присоединиться к списку рассылки шифропанков в Internet, должны отправлять почту в адрес majordomo@toad.com. Список рассылки хранится на ftp.csua.berkeley.edu в /pub/cypherpunks.

25.13 Патенты

Вопрос о программных патентах невозможно втиснуть в рамки этой книги . Хороши они или нет, они существуют. В Соединенных Штатах можно патентовать алгоритмы , в том числе и криптографические . IBM владеет патентами DES [514]. IDEA запатентован. Запатентованы почти все алгоритмы с открытыми ключами . NIST даже запатентовал DSA. Действие ряда криптографических патентов было блокировано вмешательством NSA, в соответствии с Актом о секретности изобретений (Invention Secrecy Act) от 1940 года и Актом о национальной безопасности (National Security Act) от 1947 года. Это означает, что вместо патента изобретатель получает секретное постановление, и ему запрещается обсуждать его изобретение с кем-нибудь еще .

У NSA есть особые возможности при патентовании . Агентство может обратиться за патентом и затем бл о-кировать его выдачу. Снова появляется секретное постановление, но теперь NSA одновременно и изобретатель, и издатель постановления. Когда спустя некоторое время секретное постановление отменяется, регистрационная контора выдает патент, действующий стандартные 17 лет years. Это более явно защищает изобретение, чем хранение его в секрете. Если кому-нибудь удастся изобрести то же самое, NSA уже подало заявку на патент. Если никому другому не удастся изобрести то же самое, изобретение остается се кретным.

Несмотря на то, что процесс патентования должен не только защищать изобретения, но и раскрывать их, благодаря этой уловке NSA может держать патент дольше 17 лет. Отсчет 17-летнего срока начинается с моме н-та выдачи патента, а не подачи заявки. Пока неясно, как все может измениться в связи с ратификацией договора о GATT Соединенными Штатами.

25.14 Экспортное законодательство США

Согласно правительству США криптография относится к военному снаряжению . Это означает, что криптография подчиняется тем же законам, что и ракета TOW или танк М1 Абрамс. Если вы продаете криптографический продукт без соответствующей экспортной лицензии, то вы - международный контрабандист оружием . Если вы не хотите испортить ваше резюме строкой о пребывании в федеральной тюрьме, обратите внимание на зак о-нодательство.

С началом в 1949 году холодной войны все страны НАТО (кроме Исландии), а затем Австралия, Япония и Испания, образовали КОКОМ - Координационный комитет для многостороннего контроля за экспортом (CoCom, Coordinating Committee for Multilateral Export Controls ). Это неофициальная организация, призванная координировать национальные ограничения, касающиеся экспорта важных военных технологий в Советский Союз, другие страны Варшавского Договора и Китайскую Народную Республику . Примерами контролируемых технологий являются компьютеры, станки для металлопроката и криптография . Целью этой организации являлось замедление передачи технологий в указанные страны, и сдерживание, таким образом, их военного поте н-циала.

С концом холодной войны страны КОКОМ осознали, что выполняемый ими контроль большей частью уст а-рел. В настоящее время, по видимому, идет процесс формирования "Нового форума", другой международной организации, которая собирается остановить поток военных технологий в страны, которые не нравятся членам организации.

В любом случае экспортная политика США в отношении стратегических товаров регулируется Правительс т-венным актом об экспорте (Export Administration Act), Актом о контроле над экспортом вооружения (Arms Export Control Act), Актом об атомной энергии (Atomic Energy Act) и Актом о нераспространении ядерных воор ужений (Nuclear Non-Proliferation Act). Контроль, установленный этим законодательством, реализуется с пом о-щью многих подзаконных актов, ни один из них не координирует другой. Свыше дюжины организаций, включая военные службы, осуществляют контроль, часто их деятельность перекрывается и конфликтует .

Подконтрольные технологии фигурируют в нескольких списках . Криптография, по традиции относящаяся к вооружению, появляется в Перечне вооружений США ( U.S. Munitions List, USML), Международном перечне вооружений (International Munitions List, IML), Перечне контроля за торговлей (Commerce Control List, CCL) и Международном промышленном перечне ( International Industrial List, IIL). Госдепартамент отвечает за USML, он публикуется как часть Регулирования международного трафика оружия (International Traffic in Arms Regulations, ITAR) [466, 467].

Экспорт криптографии в США контролируется двумя правительственными организациями . Одной является Комитет по управлению экспортом ( Bureau of Export Administration, BXA) в Министерстве торговли, уполномоченный Правилами регулирования экспорта (Export Administration Regulations, EAR). Другая - это Управление по регулированию продажи средств обороны (Office of Defense Trade Controls, DTC) в Государственном департаменте, уполномоченное ITAR. По опыту требования BXA из Министерства торговли менее строги, но сначала весь криптографический экспорт просматривается DTC из Госдепартамента (которое получает советы по технике и национальной безопасности от NSA и, кажется, всегда следует этим советам), которое может отказать передать право решения BXA.

ITAR регулирует этот процесс. (До 1990 года Управление DTC называлось Управлением по контролю над вооружением, возможно, эти усилия в области "паблик рилейшнз" направлены на то, чтобы мы забыли, что мы имеем дело с бомбами и пушками.) Исторически DTC сопротивлялось выдаче экспортных лицензий на средства шифрования сильнее определенного уровня - хотя о том, каков этот уровень, никогда не сообщалось .

Следующие разделы взяты из ITAR [466, 467]:

§ 120.10 Технические данные.

Технические данные - это, в настоящем подпункте :

(1) Информация, отличная от программного обеспечения, определенного в 120.10(d), которая нужна для проектирования, разработки, производства, обработки, изготовления, сборки, работы, ремонта, поддержки или модификации средств обороны . Это, например, информация в форме светокопий, чертежей, фотографий, планов, инструкций и докуме нтации;

(2) Секретная информация, касающаяся средств обороны и оборонной деятельности ;

(3) Информация, охватываемая постановлением о засекречивании изобретения ;

(4) Программное обеспечение, определенное в разделе 121.8(f) и непосредственно связанное со средствами обороны

(5) Это определение не включает информацию, касающуюся общенаучных, математических или инженерных принц и-пов, обычно изучаемых в общедоступных школах, колледжах и университетах, как определено в § 120.11. Оно также не включает базовую рыночную информацию о функции, назначении или общесистемном описании средств обороны .

§ 120.11 Открытый доступ.

Открытый доступ обозначает информацию, которая опубликовывается и может быть общедоступной :

(1) С помощью продажи в киосках и книжных магазинах;

(2) С помощью подписки, которая доступна без ограничений для любого, кто хочет получить или приобрести опублик о-ванную информацию;

(3) С помощью почтовых привилегий второго класса, выданных правительством США ;

(4) В библиотеках, открытых для публики, или в которых публика может получить документы ;

(5) С помощью патентов, доступных в любой патентной конторе;