(6) С помощью неограниченного распространения на конференции, встрече, семинаре, презентации или выставке, до с-тупных обычной публике в Соединенных Штатах;

(7) С помощью сообщений для печати (т.е., неограниченное распространение) в любой форме (например, необязательно опубликованной), одобренных компетентными органами США (см. также § 125.4(b)(13)).

(8) С помощью фундаментальных исследований в науке и технике в аккредитованных высших учебных заведениях США, где полученная информация обычно публикуется и широко распространяется в научном сообществе . Фундаментальными называются базовые и прикладные исследования в науке и технике, когда полученная информация обычно публикуе т-ся и широко распространяется в научном сообществе в отличие от исследований, результаты которых не разглашаются из-за прав собственности или определенного контроля доступа и распространения правительством США . Университетские исследования не считаются фундаментальными, если :

(i) Университет или его исследователи соглашаются с другими ограничениями на публикацию научно-технической и н-формации, полученной в результате работы над проектом, или

(ii) Исследования финансируются правительством США, а доступ к результатам исследований и их распространение н а-ходится ограничены с целью защиты информации .

§ 120.17 Экспорт.

Под экспортом понимается:

(1) Передача или вывоз средств обороны за пределы Соединенных Штатов любым способом, кроме путешествия за пр е-делы Соединенных Штатов лица, чьи личные знания включают технические данные ; или

(2) Передача иностранному лицу прав регистрации, управления или собственности на любой самолет, судно или спутник, присутствующий в Перечне вооружений США, в Соединенных Штатах или за их пределами ; или

(3) Раскрытие (в том числе устное или визуальное) или передача в Соединенных Штатах любых средств обороны посол ь-ству, учреждению или подразделению иностранного правительства (например, дипломатическим миссиям ); или

(4) Раскрытие (в том числе устное или визуальное) или передача технических данных иностранному лицу в Соединенных Штатах или за их пределами; или

(5) Выполнение оборонной деятельности от имени или для выгоды иностранного лица в Соединенных Штатах или за их пределами.

(6) Запускаемый аппарат или полезная нагрузка не должны, при запуске такого аппарата, рассматриваться как экспорт. Однако для определенных целей (см § 126.1 этого подпункта), положения этого подпункта применимы к продажам и другим способам передачи средств обороны или продуктов оборонительной деятельности .

Часть 121- Перечень вооружений СШ

§ 121.1 Общие положения. Перечень вооружений США Category XIII-Дополнительное военное снаряжение

(1) Криптографические (включая управление ключами) системы , аппаратура, конструкции, модули, интегральные схемы, компоненты или программное обеспечение с возможностью поддержки секретности или конфиденциальности информации или информационных систем, кроме следующего криптографического оборудования и программного обеспечения :

(i)Специально спроектированное для выполнения защищенным от копирования программным обеспечением только функций дешифрирования при условии, что управление дешифрированием недоступно пользователю .

(ii) Специально спроектированное, разработанное или модифицированное для использования в машинах для банковских операций или денежных транзакций, которое можно использовать только для таких транзакций . Машины для банковских операций или денежных транзакций включают автоматические кассовые аппараты, самообслуживаемые печатающие устройства, торговые терминалы или оборудование для шифрования межбанковских транза кций.

(iii) Использующее только аналоговые методы для криптографической обработки, которая обеспечивает безопасность информации в следующих приложениях. . . .

(iv) Персональные интеллектуальные карточки, использование которых возможно только в оборудовании или системах, не попадающих под регулирование USML.

(v) С ограничением доступа, такие как автоматические кассовые аппараты, самообслуживаемые печатающие устройства или торговые терминалы, которые обеспечивают защиту паролей или персональнгх идентификационных номеров (PIN) или аналогичных данных, чтобы предотвратить несанкционированный доступ к средствам, но не могут шифровать файлы или тексты, не посредственно не связанные с защитой паролей или PIN.

(vi) Осуществляющее только проверку подлинности данных с помощью вычисления кода проверки подлинности соо б-щения (MAC) или аналогичной функции для проверки, что в текст не было внесено изменений, или для проверки подлинн ости пользователей, но которое нельзя использовать для шифрования данных, текста или другой информации помимо необходимой для проверки подлинности.

(vii) Использующее только фиксированные методы сжатия и кодирования данных .

(viii) Используемое только для радиовещания, платного телевидения или аналогичных телевизионных систем с огран и-ченной аудиторией, без цифрового шифрования, и в которых цифровое дешифрирование ограничено только видео- и ауди о-функциями или управлением.

(ix) Программное обеспечение, спроектированное или модифицированное для защиты от злоумышленных компьютерных повреждений, (например, вирусов).

(2) Криптографические (включая управление ключами) системы , аппаратура, конструкции, модули, интегральные схемы, компоненты или программное обеспечение с возможностью генерации распространяемых кодов для большого количества систем или устройств:

(3) Криптографические системы, аппаратура, конструкции, модули, интегральные схемы, компоненты или программное обеспечение.

§ 125.2 Экспорт несекретных технических данных.

(a) Общие положения. Для экспорта несекретных технических данных необходима лицензия (DSP-5), если эти данные не исключены из лицензирующих требований данного подпункта . В случае планового визита детали предполагаемых диску с-сий должны быть переданы в Управление по регулированию продажи средств обороны для экспертизы технических данных. Должно быть предоставлено семь копий технических данных или тем ди скуссий.

(b) Патенты. При экспорте технических данных требуется лицензия, выданная Управлением по регулированию продажи средств обороны, если данные превышают необходимые для заполнения внутренней патентной заявки или для заполнения иностранной патентной заявки, если внутренняя заявка не была заполнена . Заявки на патентование за рубежом, выполнение в таких патентах улучшений, модификаций или дополнений должны регулироваться Управлением по патентам и торговым знакам США в соответствии с 37 CFR, часть 5. Экспорт технических данных, необходимых для патентования в других стр а-нах, является субъектом норм, издаваемых Управлением по патентам и торговым знакам США, в соответствии с 35 U.S.C.

184.

(c) Раскрытия. Для устного, визуального или документального раскрытия технических данных гражданами США ин о-странным лицам требуется лицензия, если в данном подпункте не оговорено иное . Лицензия требуется независимо от формы передачи технических данных (например, лично, по телефону, в переписке, электронными средствами, и т.д.). Лицензия тре-

буется для таких раскрытий, делаемых гражданами США при посещении иностранных дипломатических миссий и ко н-сульств.

И так далее. В этом документе намного больше информации. Если вы собираетесь экспортировать крипт о-графию, я советую вам добыть его копию и воспользоваться услугами юриста, который во всем этом разбирае т-ся.

В действительности экспорт криптографических продуктов контролируется NSA. Если вам нужно получить свидетельство о признании вашего продукта предметом общего потребления ( Commodity Jurisdiction, CJ), вы должны представить ваш продукт на одобрение в NSA и подать в Государственный департамент заявку на п о-лучение CJ. После одобрения в Госдепартаменте дело попадает под юрисдикцию Министерства торговли , которое никогда особенно не интересовалось криптографией . Однако Государственный департамент никогда не в ы-даст CJ без одобрения NSA.

В 1977 году Джозеф А. Мейер (Joseph A. Meyer), служащий NSA, написал письмо - несанкционированное, в соответствии с официальной историей инцидента - в IEEE, предупреждающее, что планируемое представление оригинальной работы RSA нарушит ITAR. Из The Puzz/e Pa/ace:

Вот его точка зрения. ITAR охватывает всю "несекретную информацию, которая может быть использована, или адапт и-рована для использования, при проектировании, производстве, изготовлении, ремонте, капитальном ремонте, переработке, конструировании, разработке, действии, поддержке или восстановлении" перечисленных материалов, также как и "любую технологию, которая развивает определенное умение или создает новое в области, которая имеет важное военное применение в Соединенных Штатах." И экспорт действительно включал передачу информации как в письменном виде, так и с помощью устных или визуальных средств, включая краткие обсуждения и симпозиумы, на которых были представлены иностра нцы.

Но, буквально следуя туманному, часто слишком пространному законодательству, кажется, требуется, чтобы каждый, кто собирается написать или заявить что-то на тему , касающуюся Перечня вооружений, сначала получил бы одобрение Госуда р-ственного департамента - эта унылая перспектива явно противоречит Первой поправке и требует подтверждения Верховным судом.

В конце концов NSA признало действия Мейера несанкционированными, и работа по RSA б1ла опубликована, как планировалось. Против изобретателей не было предпринято никаких действий , хотя может быть доказано, что их работа увеличила возможности зарубежной криптографии гораздо больше, чем что-нибудь, опу б-ликованное до того.

Экспорт криптографии обсуждается в следующем заявлении NSA [363]:

Криптографические технологии считаются жизненно важными для интересов национальной безопасности, включая эк о-номические интересы, военные интересы и интересы внешней политики .

Мы не согласны с заявлениями, сделанными 7 мая 1992 года на слушаниях Судебного комитета, и последними газетн ыми статьями, которые заявляют, что экспортные законы США мешают американским фирмам изготавливать и использовать современное шифровальное оборудование. Нам неизвестно ни об одном случае, когда из-за экспортных ограничений СШ американской фирме помешали изготавливать и использовать аппаратуру шифрования внутри страны, или американской фирме либо ее дочерней компании помешали использовать аппаратуру шифрования за пределами США . В действительности, NSA всегда поддерживало использование шифрования в американском бизнесе для защиты важной информации как дома, так и за границей.

Для экспорта в другие страны NSA, являющееся частью Министерства обороны, (вместе с Государственным департаме н-том и Министерством торговли просматривает экспортные лицензии в поисках технологий информационной безопасности, попадающих под действие Экспортного правительственного законодательства или Регулирования международного трафика оружия. Аналогичная система контроля экспорта действует во всех странах КОКОМ и во многих других странах, так как эти технологии повсеместно считаются важными. Не существует общего запрета на экспорт подобных технологий, каждый сл у-чай рассматривается отдельно. При этом может потребоваться получить лицензии на такие системы, при получении которых анализируется влияние экспорта этой системы на интересы национальной безопасности - включая интересы экономической, военной и политической безопасности. Экспортные лицензии выдаются или не выдаются в зависимости от типа задейств о-ванного оборудования, предполагаемого использования и предполагаем ого пользователя.

Наш анализ показывает, что США лидирует в мировом производстве и экспорте технологий информационной безопа с-ности. NSA одобряет для экспорта свыше 90% криптологических продуктов, направленных в NSA Государственным департаментом для лицензирования. Экспортные лицензии на продукты информационной безопасности, попадающие под юри с-дикцию Министерства торговли, выдаются без участия NSA или Министерства обороны. Среди них - продукты, использующие такие методы, как DSS и RSA, обеспечивающие проверку подлинности и контроль доступа к компьютерам и сетям . На самом деле, в прошлом NSA играло главную роль в успешном отстаивании ослабления экспортного контроля над RSA и близкими технологиями для проверки подлинности . Эти методы особенно важны при решении проблемы хакеров и несан к-ционированного использования ресурсов.

Итак, заявлено, что NSA ограничивает экспорт только продуктов шифрования, но не проверки подлинности . Если вы собираетесь экспортировать продукт только для проверки подлинности , получение разрешение ограничится демонстрацией того, что ваш продукт нельзя без значительных переделок использовать для шифрования . Более того, бюрократическая процедура для продуктов проверки подлинности намного проще, чем для проду к-тов шифрования. Для системы проверки подлинности получать одобрение Госдепартамента ( CJ), система шифрования требует повторного одобрения для каждой версии продукта или даже при каждой продаже .

Без CJ вам придется запрашивать разрешение на экспорт всякий раз, когда вы захотите экспортировать пр о-дукт. Государственный департамент не разрешает экспортировать продукты с сильным шифрованием, даже использующие DES. Отдельные исключения были сделаны для дочерних фирм американских компаний для возможности закрытой связи с, для некоторых банковских приложений и экспорт для военных пользователей США. Ассоциация производителей программного обеспечения (SPA) вела переговоры с правительством об о с-лаблении ограничений на экспортные. Соглашение, заключенное SPA и Госдепартаментом в 1992 году, облег-

чило правила выдачи экспортных лицензий для двух алгоритмов , RC2 и RC4, при условии, что длина используемого ключа не превысит 40 битов. Подробности можно найти в разделе 7.1.

В 1993 году в Палате представителей Мария Кантвелл ( Maria Cantwell) (D-WA) по просьбе компаний-разработчиков программного обеспечения внесла законопроект, ослабляющий экспортный контроль за пр о-граммами. Сенатор Пэтти Мюррей (Patty Murray) (D-WA) внесла соответствующий билль в сенате. Законопроект Кантвелл был добавлен к общему закону о контроле над экспортом, проходящему через Конгресс , но был удален Комитетом по разведке под сильным давлением NSA. Когда NSA что-нибудь делает, оно прикладывает все усилия - комитет единодушно проголосовал за удаление формулировки. За последнее время я не припомню другого случая, чтобы группа законодателей что-то сделала единодушно.

В 1995 году Дан Бернштейн (Dan Bernstein) при поддержке EFF подал в суд на правительство США, пытаясь помешать правительству ограничивать публикации криптографических документов и программного обесп е-чения [143]. В иске утверждалось, что законы об экспортном контроле неконституционны и вносят "непозволительные априорные ограничения высказываний в нарушение Первой поправки". Конкретно в иске утверждалось, что современный процесс контроля над экспортом :

- Позволяет бюрократам ограничивать публикации без решения суда.

- Обеспечивает слишком мало процедурных возможностей защиты прав в соответствии с Первой попра в-кой.

- Требует от издателей регистрироваться в правительстве, создавая эффект "лицензированной прессы ".

- Отказывает в общих публикациях, требуя идентифицировать каждого получателя .

- Достаточно запутан, чтобы простые люди не могли знать, какое поведение правильно, а какое - нет .

- Слишком пространен, так как запрещает поведение, которое явно защищается (например, разговор с иностранцами внутри Соединенных Штатов ).

- Применяется слишком широко, запрещая экспорт программного обеспечения не содержащего крипт о-графии, исходя из соображений, что криптография может быть добавлена позже .

- Явно нарушает Первую поправку, запрещая частные беседы по криптографии, так как правительство ж е-лает вместо этого навязывать публике свои криптографические взгляды .

- Многими способами превышает полномочия, предоставленные как Конгрессом в экспортном законод а-тельстве, так и Конституцией.

Можно предвидеть, что решение этого дела займет несколько лет , но предвидеть, чем оно закончится, невозможно.

Тем не менее, Консультативный комитет по безопасности и защищенности (Computer Security and Privacy Advisory Board), официальный консультант NIST, в марте 1992 года проголосовал за то, чтобы пересмотреть в национальной политике криптографические вопросы, включая экспортную политику . Было заявлено, что экспортная политика определяется только организациями, отвечающими за национальную безопасность, без учета точки зрения организаций, связанных с развитием торговли . Эти связанные с национальной безопасностью о р-ганизации делают все возможно, чтобы ничего не изменилось, но необходимость перемен уже назрела .

25.15 Экспорт и импорт криптографии за рубежом

В других странах существует свое экспортное и импортное право [311]. Приведенный обзор неполон и возможно устарел. Страны могут издать законы и не обращать на них внимания, или не иметь законов, но каким-то образом ограничивать экспорт, импорт и использование .

- Австралия требует наличия сертификата у импортируемого криптографического продукта только по тр е-бованию страны-экспортера.

- В Канаде нет контроля импорта, а контроль экспорта аналогичен американскому . Экспорт продуктов из Канада может быть ограничен, если они включены в Перечень контроля экспорта, соответствующий А к-ту разрешений экспорта и импорта. В отношении криптографических технологий Канада следует огран и-чениям КОКОМ. Шифровальные устройства описаны под категорией пять , части два канадских правил экспорта. These provisions аналогичны категории пять в Правительственных правилах экспорта в США.

- Китай использует схему лицензирования импортируемых продуктов, экспортеры должны заполнить зая в-ку в Министерстве зарубежной торговли . На основе китайского Перечня запрещенного и ограниченного экспорта и импорта, принятого в 1987 году, Китай ограничивает импорт и экспорт устройств кодирования речи.

- Во Франции нет специального законодательства относительно импорта криптографии, но существуют з а-