Exportação de criptografia dos Estados Unidos

A exportação de criptografia dos Estados Unidos para outros países experimentou vários níveis de restrições ao longo do tempo. A Segunda Guerra Mundial ilustrou que a quebra de código e a criptografia podem desempenhar um papel integral na segurança nacional e na capacidade de processar a guerra. As mudanças na tecnologia e a preservação da liberdade de expressão têm sido fatores concorrentes na regulamentação e restrição de tecnologias criptográficas para exportação.

História[editar | editar código-fonte]

Era da guerra fria[editar | editar código-fonte]

Nos primeiros dias da Guerra Fria, os EUA e seus aliados desenvolveram uma série elaborada de regulamentos de controle de exportação destinados a impedir que uma ampla gama de tecnologia ocidental caísse nas mãos de outros, particularmente do bloco oriental . Toda exportação de tecnologia classificada como 'crítica' exigia uma licença. O CoCom foi organizado para coordenar os controles de exportação ocidentais.

Foram protegidos dois tipos de tecnologia: tecnologia associada apenas a armas de guerra ("munições") e tecnologia de uso dual, que também tinha aplicações comerciais. Nos EUA, a exportação de tecnologia de uso duplo era controlada pelo Departamento de Comércio, enquanto as munições eram controladas pelo Departamento de Estado . Uma vez que no período imediatamente após a Segunda Guerra Mundial o mercado de criptografia era quase inteiramente militar, a tecnologia de criptografia (técnicas, bem como equipamentos e, depois que os computadores se tornaram importantes, software criptográfico) foi incluída como "Categoria XI - Artigos Diversos" e posteriormente "Categoria XIII - Equipamento Auxiliar Militar" na Lista de Munições dos Estados Unidos em 17 de novembro de 1954. O controle multinacional da exportação de criptografia no lado ocidental da divisão da Guerra Fria foi feito por meio dos mecanismos do CoCom.

Na década de 1960, no entanto, as organizações financeiras começaram a exigir forte criptografia comercial no campo de rápido crescimento da transferência de dinheiro com fio. A introdução do padrão de criptografia de dados pelo governo dos Estados Unidos em 1975 significou que os usos comerciais de criptografia de alta qualidade se tornariam comuns, e sérios problemas de controle de exportação começaram a surgir. Em geral, essas questões eram tratadas por meio de procedimentos de solicitação de licença de exportação caso a caso, apresentados por fabricantes de computadores, como a IBM, e por seus grandes clientes corporativos.

Era do PC[editar | editar código-fonte]

Os controles de exportação de criptografia tornaram-se uma questão de preocupação pública com a introdução do computador pessoal . O software de criptografia PGP de Phil Zimmermann e sua distribuição na Internet em 1991 foi o primeiro grande desafio de 'nível individual' aos controles de exportação de criptografia. O crescimento do comércio eletrônico na década de 1990 criou uma pressão adicional para reduzir as restrições. VideoCipher II também usou DES para embaralhar o áudio da TV via satélite.

Em 1989, o uso não criptografado de criptografia (como controle de acesso e autenticação de mensagem) foi removido do controle de exportação com uma jurisdição de mercadoria. [1] Em 1992, uma exceção foi formalmente adicionada ao USML para uso sem criptografia de criptografia (e decodificadores de TV via satélite) e um acordo entre a NSA e a Software Publishers Association tornou a criptografia RC2 e RC4 de 40 bits facilmente exportável usando uma Jurisdição de Commodity com especial Processos de revisão de "7 dias" e "15 dias" (que transferiram o controle do Departamento de Estado para o Departamento de Comércio). Nesta fase, os governos ocidentais tinham, na prática, uma dupla personalidade quando se tratava de criptografia; a política foi feita pelos criptoanalistas militares, que estavam preocupados apenas em impedir que seus "inimigos" adquirissem segredos, mas essa política foi então comunicada ao comércio por funcionários cujo trabalho era apoiar a indústria.

Pouco tempo depois, a tecnologia SSL da Netscape foi amplamente adotada como um método para proteger transações de cartão de crédito usando criptografia de chave pública . A Netscape desenvolveu duas versões de seu navegador web . A "edição dos EUA" suportava chaves públicas RSA de tamanho completo (normalmente 1024 bits ou maiores) em combinação com chaves simétricas de tamanho completo (chaves secretas) (RC4 ou 3DES de 128 bits em SSL 3.0 e TLS 1.0). A "Edição Internacional" teve seus comprimentos de chave efetivos reduzidos para 512 bits e 40 bits, respectivamente ( RSA_EXPORT com RC2 ou RC4 de 40 bits em SSL 3.0 e TLS 1.0).^[2] A aquisição da versão 'doméstica dos EUA' acabou sendo um problema suficiente para que a maioria dos usuários de computador, mesmo nos EUA, acabasse com a versão 'Internacional',^[3] cuja fraca criptografia de 40 bits pode ser quebrada em questão de dias. usando um único computador. Uma situação semelhante ocorreu com o Lotus Notes pelos mesmos motivos.

Desafios legais de Peter Junger e outros libertários civis e defensores da privacidade, a ampla disponibilidade de software de criptografia fora dos EUA e a percepção de muitas empresas de que a publicidade negativa sobre criptografia fraca estava limitando suas vendas e o crescimento do comércio eletrônico levaram a uma uma série de relaxamentos nos controles de exportação dos EUA, culminando em 1996 com a assinatura do Presidente Bill Clinton da Ordem Executiva 13026 transferindo a criptografia comercial da Lista de Munições para a Lista de Controle de Comércio . Além disso, a ordem afirmava que "o software não deve ser considerado ou tratado como 'tecnologia'" no sentido dos Regulamentos de Administração de Exportação . O processo Commodity Jurisdiction foi substituído por um processo Commodity Classification, e uma provisão foi adicionada para permitir a exportação de criptografia de 56 bits se o exportador prometesse adicionar backdoors de "recuperação de chave" até o final de 1998. Em 1999, o EAR foi alterado para permitir que a criptografia de 56 bits (baseada em RC2, RC4, RC5, DES ou CAST) e RSA de 1024 bits fossem exportados sem backdoors, e novos conjuntos de cifras SSL foram introduzidos para suportar isso ( RSA_EXPORT1024 com RC4 ou DES de 56 bits). Em 2000, o Departamento de Comércio implementou regras que simplificaram bastante a exportação de software comercial e de código aberto contendo criptografia, inclusive permitindo que as restrições de tamanho de chave fossem removidas após passar pelo processo de Classificação de Commodity (para classificar o software como "varejo") e adicionando uma exceção para o código-fonte de criptografia disponível publicamente.^[4]

Status atual[editar | editar código-fonte]

Desde 2009^[update], exportações de criptografia não militar dos EUA são controlados pelo Department of Commerce's Bureau of Industry and Security.^[5] Algumas restrições ainda existem, mesmo para produtos de mercado de massa; particularmente no que diz respeito à exportação para "estados paralelos" and terroristas. Equipamentos de criptografia militarizados, eletrônicos aprovados pela TEMPEST, software criptográfico personalizado e até mesmo serviços de consultoria criptográfica ainda exigem uma licença de exportação^[5](pp. 6–7). Além disso, o registro de criptografia no BIS é necessário para a exportação de "commodities, software e componentes de criptografia de mercado de massa com criptografia superior a 64 bits" (75 FR 36494). Para algoritmos de curvas elípticas e algoritmos assimétricos, os requisitos para comprimento de chave são 128 bits e 768 bits, respectivamente.^[6] Além disso, outros itens requerem uma revisão única ou notificação ao BIS antes da exportação para a maioria dos países.^[5] Por exemplo, o BIS deve ser notificado antes que o software criptográfico de código aberto seja disponibilizado publicamente na Internet, embora nenhuma revisão seja necessária.^[7] Os regulamentos de exportação foram relaxados em relação aos padrões anteriores a 1996, mas ainda são complexos. Outros países, principalmente os que participam do Acordo de Wassenaar,^[8] têm restrições semelhantes^[9]

As exportações não militares dos EUA são controladas pelos Regulamentos de Administração de Exportações (EAR), um nome abreviado para o Código de Regulamentos Federais (CFR) dos EUA, Título 15, capítulo VII, subcapítulo C.

Itens de criptografia especificamente projetados, desenvolvidos, configurados, adaptados ou modificados para aplicações militares (incluindo aplicações de comando, controle e inteligência) são controlados pelo Departamento de Estado na Lista de Munições dos Estados Unidos .

Terminologia[editar | editar código-fonte]

A terminologia de exportação de criptografia é definida na parte EAR 772.1.^[10] Em particular:

Componente de criptografia é uma mercadoria ou software de criptografia (mas não o código-fonte), incluindo chips de criptografia, circuitos integrados, etc.
Os itens de criptografia incluem commodities, software e tecnologia de criptografia não militar.
A interface criptográfica aberta é um mecanismo projetado para permitir que um cliente ou outra parte insira funcionalidade criptográfica sem a intervenção, ajuda ou assistência do fabricante ou de seus agentes.
Itens auxiliares de criptografia são aqueles usados principalmente não para computação e comunicação, mas para gerenciamento de direitos digitais ; jogos, eletrodomésticos; impressão, gravação de fotos e vídeos (mas não videoconferência); automação de processos de negócios ; sistemas industriais ou de manufatura (incluindo robótica, alarmes de incêndio e HVAC ); automotivo, aviação e outros sistemas de transporte.

Os destinos de exportação são classificados pelo Suplemento EAR No. 1 da Parte 740 em quatro grupos de países (A, B, D, E) com outras subdivisões;^[11] um país pode pertencer a mais de um grupo. Para fins de criptografia, os grupos B, D:1 e E:1 são importantes:

B é uma grande lista de países que estão sujeitos a regras de exportação de criptografia relaxadas
D:1 é uma pequena lista de países que estão sujeitos a um controle de exportação mais rígido. Países notáveis nesta lista incluem China e Rússia
E:1 é uma lista muito curta de países "apoiadores do terrorismo" (a partir de 2009, inclui cinco países; anteriormente continha seis países e também era chamado de "terrorista 6" ou T-6)

O EAR Supplement No. 1 à Parte 738 (Commerce Country Chart) contém a tabela com restrições de país .^[12] Se uma linha da tabela que corresponde ao país contiver um X na coluna motivo do controle, a exportação de um item controlado requer uma licença, a menos que uma exceção possa ser aplicada. Para fins de criptografia, os três motivos de controle a seguir são importantes:

NS1 Coluna de Segurança Nacional 1
AT1 Anti-Terrorismo Coluna 1
Os itens de criptografia EI são atualmente os mesmos que NS1

Classificação[editar | editar código-fonte]

Para fins de exportação, cada item é classificado com o Número de Classificação de Controle de Exportação (ECCN) com a ajuda da Lista de Controle de Comércio (CCL, Suplemento No. 1 da EAR parte 774). Em particular: ^[5]

5A002 Sistemas, equipamentos, conjuntos eletrônicos e circuitos integrados para "segurança da informação". Razões para Controle: NS1, AT1.
5A992 Mercadorias de encriptação de "mercado de massas" e outros equipamentos não abrangidos por 5A002. Motivo do Controle: AT1.
5B002 Equipamento para desenvolvimento ou produção de itens classificados como 5A002, 5B002, 5D002 ou 5E002. Razões para Controle: NS1, AT1.
5D002 Software de criptografia. Razões para controle: NS1, AT1.
- usados para desenvolver, produzir ou usar itens classificados como 5A002, 5B002, 5D002
- tecnologia de apoio controlada por 5E002
- modelação das funções dos equipamentos abrangidos por 5A002 ou 5B002
- utilizado para certificar software controlado por 5D002
5D992 Software de encriptação não controlado por 5D002. Razões para controle: AT1.
5E002 Tecnologia para o desenvolvimento, produção ou utilização de equipamentos abrangidos por 5A002 ou 5B002 ou software abrangidos por 5D002. Razões para controle: NS1, AT1.
5E992 Tecnologia para os itens 5x992. Razões para controle: AT1.

Um item pode ser autoclassificado ou uma classificação ("revisão") solicitada ao BIS. Uma revisão do BIS é necessária para itens típicos para obter a classificação 5A992 ou 5D992.

Veja também[editar | editar código-fonte]

Bernstein v. Estados Unidos
Triagem de negociação negada
Controle de exportação
Junger v. Daley
Restrições à importação de criptografia
DOIDO
guerras criptográficas

Referências[editar | editar código-fonte]

↑ «Munitions T-shirt»
↑ «Fortify for Netscape». www.fortify.net. Consultado em 1 de dezembro de 2017
↑ «January 25, 1999 archive of the Netscape Communicator 4.61 download page showing a more difficult path to download 128-bit version». Consultado em 26 de março de 2017. Arquivado do original em 16 de setembro de 1999
↑ «Revised U.S. Encryption Export Control Regulations». EPIC copy of document from U.S. Department of Commerce. Janeiro de 2000. Consultado em 6 de janeiro de 2014
↑ ^a ^b ^c ^d Commerce Control List Supplement No. 1 to Part 774 Category 5 Part 2 - Info. Security
↑ «CCL5 PT2» (PDF). www.bis.doc.gov. Consultado em 10 de outubro de 2022
↑ «U. S. Bureau of Industry and Security - Notification Requirements for "Publicly Available" Encryption Source Code». Bis.doc.gov. 9 de dezembro de 2004. Consultado em 8 de novembro de 2009. Arquivado do original em 21 de setembro de 2002
↑ Participating States Arquivado em 2012-05-27 na Archive.today The Wassenaar Arrangement
↑ Wassenaar Arrangement on Export Controls for Conventional Arms and Dual-Use Goods and Technologies: Guidelines & Procedures, including the Initial Elements The Wassenaar Arrangement, December 2009
↑ «15 CFR § 772.1 - Definitions of terms as used in the Export Administration Regulations (EAR).». LII / Legal Information Institute (em inglês). Consultado em 30 de setembro de 2021
↑ «EAR Supplement No. 1 to Part 740» (PDF). Consultado em 27 de junho de 2009. Arquivado do original (PDF) em 18 de junho de 2009
↑ «EAR Supplement No. 1 to Part 738» (PDF). Consultado em 27 de junho de 2009. Arquivado do original (PDF) em 9 de maio de 2009

Ligações externas[editar | editar código-fonte]

Pesquisa de lei de criptografia
Bureau of Industry and Security — Uma visão geral dos regulamentos de exportação dos EUA pode ser encontrada na página básica de licenciamento .
Whitfield Diffie e Susan Landau, The Export of Cryptography in the 20th and the 21st Centurys . Em Karl de Leeuw, Jan Bergstra, ed. A história da segurança da informação. Um manual abrangente. Elsevier, 2007. pág. 725
Controles de exportação de criptografia. Relatório CRS para o Congresso RL30273. Serviço de Pesquisa do Congresso, 'A Biblioteca do Congresso. 2001 Arquivado em 2019-02-28 no Wayback Machine
O debate sobre criptografia: aspectos de inteligência. Relatório CRS para o Congresso 98-905 F. Serviço de Pesquisa do Congresso, 'A Biblioteca do Congresso. 1998
Tecnologia de Criptografia: Questões do Congresso Resumo da Emissão do CRS para o Congresso IB96039. Serviço de Pesquisa do Congresso, 'A Biblioteca do Congresso. 2000
Criptografia e Liberty 2000. Uma pesquisa internacional sobre política de criptografia. Centro de Informações sobre Privacidade Eletrônica. Washington DC. 2000
Conselho Nacional de Pesquisa, Papel da Criptografia na Segurança da Sociedade da Informação . National Academy Press, Washington, DC 1996 (o link do texto completo está disponível na página).
The Evolution of US Government Restrictions on Using and Exporting Encryption Technologies (U), Micheal Schwartzbeck, Encryption Technologies, por volta de 1997, anteriormente Top Secret, aprovado para lançamento pela NSA com redações em 10 de setembro de 2014, C06122418

[1] «Munitions T-shirt»

[2] «Fortify for Netscape». www.fortify.net. Consultado em 1 de dezembro de 2017

[3] «January 25, 1999 archive of the Netscape Communicator 4.61 download page showing a more difficult path to download 128-bit version». Consultado em 26 de março de 2017. Arquivado do original em 16 de setembro de 1999

[4] «Revised U.S. Encryption Export Control Regulations». EPIC copy of document from U.S. Department of Commerce. Janeiro de 2000. Consultado em 6 de janeiro de 2014

[cclsup-5] Commerce Control List Supplement No. 1 to Part 774 Category 5 Part 2 - Info. Security

[6] «CCL5 PT2» (PDF). www.bis.doc.gov. Consultado em 10 de outubro de 2022

[7] «U. S. Bureau of Industry and Security - Notification Requirements for "Publicly Available" Encryption Source Code». Bis.doc.gov. 9 de dezembro de 2004. Consultado em 8 de novembro de 2009. Arquivado do original em 21 de setembro de 2002

[8] Participating States Arquivado em 2012-05-27 na Archive.today The Wassenaar Arrangement

[9] Wassenaar Arrangement on Export Controls for Conventional Arms and Dual-Use Goods and Technologies: Guidelines & Procedures, including the Initial Elements The Wassenaar Arrangement, December 2009

[10] «15 CFR § 772.1 - Definitions of terms as used in the Export Administration Regulations (EAR).». LII / Legal Information Institute (em inglês). Consultado em 30 de setembro de 2021

[11] «EAR Supplement No. 1 to Part 740» (PDF). Consultado em 27 de junho de 2009. Arquivado do original (PDF) em 18 de junho de 2009

[12] «EAR Supplement No. 1 to Part 738» (PDF). Consultado em 27 de junho de 2009. Arquivado do original (PDF) em 9 de maio de 2009

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]