Poprzednia Następna

Zakazy

Kryptografia od dawna pozostawała w kręgu zainteresowań służb wywiadowczych i policyjnych. Ze względu na fakt, że jest ona pomocna w utrzymywaniu prywatności, a ewentualne prawne jej ograniczenia wiążą się z umniejszeniem możliwości zachowania prywatności, kryptografia przyciąga też uwagę obrońców praw człowieka. W związku z powyższym, można znaleźć we współczesnej historii kontrowersyjne przepisy prawne dotyczące kryptografii, szczególnie od momentu pojawienia się niedrogich komputerów, dzięki którym dostęp do kryptografii na zaawansowanym poziomie stał się powszechny.

W niektórych państwach nawet wewnątrzkrajowe użycie technik kryptograficznych podlega ograniczeniom. We Francji było ono w znacznym stopniu ograniczone do 1999 roku; w Chinach w dalszym ciągu wymagana jest licencja. Wśród krajów z najbardziej restrykcyjnymi uregulowaniami są: Białoruś, Kazachstan, Mongolia, Pakistan, Rosja, Singapur, Tunezja, Wenezuela i Wietnam.

W Stanach Zjednoczonych kryptografia w zastosowaniach wewnętrznych jest legalna, ale wokół uregulowań prawnych wiążących się z kryptografią było wiele konfliktów. Jedną ze szczególnie istotnych kwestii był eksport kryptografii, oprogramowania i urządzeń kryptograficznych. Ze względu na znaczenie kryptoanalizy podczas II wojny światowej i prognoz, że kryptografia pozostanie istotna dla bezpieczeństwa narodowego, wiele państw zachodnich w pewnym momencie ustanowiło rygorystyczne rozwiązania prawne związane z eksportem technologii kryptograficznych. W Stanach Zjednoczonych po II wojnie światowej za nielegalne uznawane były sprzedaż lub rozpowszechnianie technologii szyfrujących poza granice państwa; szyfrowanie było traktowane jako uzbrojenie, tak jak czołgi czy broń jądrowa.

Przed nastaniem ery komputerów osobistych i Internetu było to rozwiązanie zupełnie nieproblematyczne; dla większości użytkowników różnica między dobrą i złą kryptografią jest niedostrzegalna, a w owym czasie dodatkowo zdecydowana większość ogólnie dostępnych technik kryptograficznych była powolna i podatna na błędy. Jednakże wraz z rozbudową sieci Internet i upowszechnieniem komputerów, techniki szyfrujące wysokiej jakości stały się dobrze znane na całym świecie. W rezultacie postępu technologicznego, kontrola eksportu zaczęła być postrzegana jako bariera dla handlu i nauki.


Ograniczenia eksportu

W latach 90. XX wieku w USA doszło do kilku prób sił odnośnie regulacji prawnych dotyczących kryptografii. Jedna z nich miała miejsce w związku z programem kodującym PGP (Pretty Good Privacy) Philipa Zimmermanna. Program ten, razem z kodem źródłowym, został wydany w USA i w czerwcu 1991 roku trafił do Internetu. Wskutek skargi złożonej przez RSA Security (występujące wówczas pod nazwą RSA Data Security Inc lub RSADSI), w sprawie Zimmermanna toczyło się kilkuletnie dochodzenie służb celnych i FBI; nie wniesiono jednak żadnego oskarżenia. Podobnie Daniel J. Bernstein, wówczas student uniwersytetu w Berkeley, na podstawie prawa do wolności wypowiedzi, wytoczył sprawę amerykańskiemu rządowi, podważając kilka przepisów w ograniczeniach w stosowaniu kryptografii; sprawa sądowa z 1995 roku – Bernstein przeciwko USA – zakończyła się w roku 1999 orzeczeniem sądu stwierdzającym, że wydrukowanie kodu źródłowego algorytmów i systemów kryptograficznych jest chronione prawem do wolności słowa zawartym w konstytucji USA.

W 1996 roku trzydzieści dziewięć krajów, w tym Polska, podpisało porozumienie z Wassenaar (ang. The Wassenaar Arrangement on Export Controls for Conventional Arms and Dual-Use Goods and Technologies) – traktat o eksporcie uzbrojenia i technologii podwójnego zastosowania (czyli technologii mogących mieć zastosowanie cywilne i wojskowe), w tym kryptografii. Uzgodniono, że technologie szyfrowania oparte na krótkich kluczach (56-bitowych dla szyfrów symetrycznych i 512-bitowych dla RSA) nie podlegają ograniczeniom eksportowym.

Eksport kryptografii ze Stanów Zjednoczonych, w konsekwencji znacznego złagodzenia prawa w roku 2000, jest obecnie znacznie mniej restrykcyjnie regulowany niż w przeszłości; nie ma już wielu obostrzeń w zakresie długości kluczy stosowanych w popularnym oprogramowaniu importowanym z USA. Dzięki temu, a także w konsekwencji faktu, iż prawie wszystkie komputery osobiste podłączone do Internetu, na całym świecie, zawierają oparte na amerykańskich kodach źródłowych przeglądarki jak Mozilla Firefox czy Microsoft Internet Explorer, prawie każdy użytkownik Internetu ma dostęp do wysokiej jakości kryptografii w swojej przeglądarce, np. w postaci dostatecznie długich kluczy, obrony się przed złośliwym oprogramowaniem, zastosowania bezpiecznych protokołów; przykładami mogą być protokoły Transport Layer Security i SSL. Podobnie klienty e-mail, jak Mozilla Thunderbird czy Microsoft Outlook, mogą łączyć się z serwerami poczty IMAP i POP poprzez TLS, a także wysyłać i przyjmować e-maile zaszyfrowane z użyciem S/MIME. Wielu użytkowników Internetu nie wie nawet, że ich podstawowe programy zawierają tak zaawansowane kryptosystemy. Wymienione przeglądarki i programy pocztowe są tak wszechobecne, że nawet władza, która zmierzałaby do regulacji osobistego używania kryptografii, raczej nie uzna tego za praktyczne, a nawet gdyby takie prawo miało obowiązywać, jego skuteczna egzekucja byłaby często niemożliwa.


Rola NSA

Innym kontrowersyjnym zagadnieniem związanym z kryptografią w Stanach Zjednoczonych jest wpływ NSA (National Security Agency) – amerykańskiej Agencji Bezpieczeństwa Narodowego na zasady szyfrowania i jego rozwój. NSA była zaangażowana w rozwój szyfru DES podczas jego konstruowania w IBM i rozważania przez NBS jako możliwy rządowy standard w kryptografii. DES został tak zaprojektowany, aby oprzeć się kryptoanalizie różnicowej, skutecznej ogólnej technice kryptoanalitycznej znanej agencji NSA i firmie IBM, a która została przedstawiona do wiadomości publicznej dopiero wtedy, gdy została odkryta na nowo w latach 80. XX wieku. Według Stevena Levy'ego, IBM niezależnie od NSA wynalazł kryptoanalizę różnicową, ale zachował ją w tajemnicy na wniosek NSA. Technika ta stała się publicznie znana dopiero wtedy, kiedy E. Biham i A. Shamir odkryli ją kilka lat później. Cała sprawa ilustruje trudność oceny, jakie zasoby i wiedzę może posiadać oponent chcący przeprowadzić atak.

Kolejnym przykładem uwikłania NSA była w 1993 roku sprawa układu Clipper – układu scalonego mającego być częścią przedsięwzięcia zmierzającego do kontrolowania kryptografii – rządowego projektu o nazwie Capstone. Clipper był szeroko krytykowany przez kryptologów z dwóch przyczyn: użyty szyfr był tajny (algorytm o nazwie Skipjack został odtajniony dopiero w roku 1998, długo po wygaśnięciu projektu), co prowokowało obawy, że NSA celowo uczynił go słabym, aby wspomóc działania wywiadowcze. Cały projekt był także krytykowany ponieważ łamał kryptograficzną zasadę Kerckhoffsa, która mówi, że kryptosystem powinien być bezpieczny, nawet jeśli szczegóły systemu, oprócz klucza, są publicznie znane – klucz używany przez wspomniany układ Clipper miał być deponowany przez administrację państwową i używany przez organy porządkowe np. do podsłuchu telefonicznego.


Digital Rights Management

Kryptografia stanowi podstawę cyfrowych systemów zarządzania uprawnieniami (DRM) – zespołu technik służących technologicznej kontroli użycia materiałów licencjonowanych – technik stosowanych na żądanie posiadaczy praw autorskich, a wdrażanych na szeroką skalę. W 1998 prezydent Bill Clinton podpisał Digital Millennium Copyright Act (DMCA), ustawę penalizującą wytwarzanie, rozpowszechnianie i używanie niektórych technik i technologii kryptograficznych (znanych w chwili podpisywania ustawy, ewentualnie wynalezionych w przyszłości), szczególnie takich, które mogą być użyte w celu ominięcia schematów DRM (nawet gdy nie zachodzi pogwałcenie praw autorskich).

Prawo to od chwili jego uchwalenia miało w sobie potencjał bardzo poważnego wpływu na społeczność szukających nowych rozwiązań kryptologów, jako że w przypadku dowolnego odkrycia kryptoanlitycznego można podnieść argument, że narusza ono, lub może naruszać, DMCA. FBI i Departament Sprawiedliwości USA postanowiły nie egzekwować prawa aż tak rygorystycznie, jak obawiali się niektórzy, jednakże prawo samo w sobie pozostaje kontrowersyjne. Jeden z powszechnie szanowanych badaczy, Niels Ferguson, publicznie ujawnił, że nie zastosuje niektórych wyników badań w konstrukcji procesorów Intel z obawy przed oskarżeniem na mocy aktu DMCA. Alan Cox (przez długi czas człowiek numer dwa jeśli chodzi o rozwój jądra systemu Linux) i profesor Edward Felten (wraz z częścią swoich studentów z Princeton) spotkali się z problemami związanymi z restrykcjami DMCA.

Dymitr Sklarow został podczas wizyty w USA aresztowany i osadzony na kilka miesięcy w więzieniu za naruszenie DMCA, "naruszenie", które miało miejsce w Rosji, gdzie wykonywana przez niego praca była, także w czasie gdy go aresztowano, legalna. Podobne przepisy przyjęto po pewnym czasie w niektórych innych państwach – na przykład w 2001 roku w krajach Unii Europejskiej, pod postacią EU Copyright Directive. W 2007 roku odkryto i ujawniono w Internecie klucze kryptograficzne, za pomocą których kodowane były materiały na DVD i HD DVD. W przypadkach obu systemów zapisu, organizacja MPAA, walcząca w interesie amerykańskich producentów filmowych, wielokrotnie informowała o naruszaniu DMCA, co spotkało się masowym sprzeciwem internautów, którzy powoływali się na prawo do wolności wypowiedzi i zasadę fair use.

Poprzednia Następna