Kekhawatiran programmer tentang batasan ekspor dari Amerika Serikat

21

Aspek mana yang perlu saya pertimbangkan ketika merancang dan menerbitkan perangkat lunak yang harus memenuhi batasan ekspor AS untuk perangkat lunak kriptografi?

Wikipedia mengatakan bahwa ada berbagai kategori yang dapat Anda tetapkan untuk perangkat lunak kriptografi. Dan tujuan ekspor (misalnya Cina, Rusia) juga memainkan peran utama. Tetapi saya tidak benar-benar memahami batasan-batasan itu dan pengaruhnya terhadap pekerjaan saya.

Adakah yang bisa menjelaskan hal itu kepada saya?

Saya bertanya karena jika Anda mencoba untuk menerbitkan aplikasi Anda (mis. Di App Store Apple atau Pasar Android) Anda harus memastikan bahwa aplikasi Anda memenuhi batasan ekspor AS. Dan ada banyak aplikasi yang menawarkan penyimpanan informasi yang aman, misalnya untuk kata sandi.

Sudahkah mereka semua memberi tahu pemerintah dan meminta peninjauan? Tentu saja, Anda tidak bisa tahu apakah mereka tahu. Tetapi apakah mereka perlu melakukan ini?

security encryption cryptography gak
sumber
1
Prognosis pertama Anda menjadi kenyataan. Tetapi mengenai yang kedua: Ini adalah pertanyaan yang menarik bagi banyak programmer, bukan? Banyak yang telah menerbitkan perangkat lunak yang menggunakan algoritma kriptografi. Jadi seseorang harus tahu.
gak
Ya tentu saja, itu tidak berarti siapa pun cukup yakin dengan apa yang telah Anda lakukan untuk memberikan saran yang pasti. Lihat "pergi menemui pengacara" di bawah!
Ben
Anda dapat memeriksa situs web FIPS untuk lebih jelasnya
Ubermensch
1
Untuk hal seperti ini, saya akan berkonsultasi dengan pengacara. Karier saya adalah di industri pertahanan, termasuk di kontraktor yang menciptakan produk untuk pelanggan domestik maupun asing. Tidak hanya ada tim hukum, tetapi spesialis kontrol ekspor khusus yang meninjau semuanya untuk memastikan itu mengikuti pedoman. Ada banyak hal kecil yang harus diperhatikan dan mengandalkan jawaban dari pengembang perangkat lunak tidak bijaksana karena sangat mudah untuk mengabaikan sesuatu yang penting.
Thomas Owens
1
Terima kasih, Thomas. Saya hanya berpikir itu mungkin menjadi kasus yang jelas karena ada begitu banyak aplikasi di Android Market (semua harus memenuhi pedoman) yang menggunakan Enkripsi AES. Bayangkan, semua aplikasi perbankan, aplikasi penyimpanan kata sandi dll ... Dan saya tidak menjual aplikasi saya, saya menawarkannya secara gratis. Jadi meminta pengacara itu mahal.
gak

Jawaban:

15

Jika kode Anda adalah open source , batasannya sangat ringan : Anda tidak dapat mengekspor kode Anda ke negara atau entitas yang telah dibatasi dan Anda harus memberi tahu pemerintah lokasi di mana mereka dapat mengunduh file sumber dan objek . Anda harus berupaya agar kode tidak diunduh oleh Kuba, Iran, Libya, Korea Utara, Suriah, dan Sudan . Anda harus meminta semua pengguna Anda untuk tidak mengekspor ke negara-negara ini.

Anda diharapkan untuk menyiapkan daftar semua "paket" dan "file" yang berisi primitif enkripsi. (Saya ingat bahwa kami diizinkan melewati hashing primitif yang hanya digunakan untuk otentikasi atau kontrol integritas .)

Jika kode Anda bukan sumber terbuka, Anda harus mengajukan pengecualian pada kode Anda sendiri. Saya berharap Anda harus menyiapkan daftar file sumber / objek yang serupa dan algoritma mana yang diterapkan untuk mekanisme apa. Lebih lanjut saya berharap ini akan membutuhkan peninjauan sebelum lisensi diberikan.

Meskipun saya yakin semua informasi saya benar pada 30 Desember 2011, saya bukan pengacara dan tidak dapat memberi Anda nasihat hukum. Ini hanyalah petunjuk untuk sumber daya pemerintah AS yang saat ini tersedia.

sarnold
sumber
1
Terima kasih! Ini terdengar sangat rumit dan berat. Silakan lihat edit saya dalam pertanyaan: Apakah penjelasan Anda bahkan untuk kasus ini atau hanya untuk perangkat lunak yang memungkinkan pengguna untuk menyandikan atau mendekodekan informasi secara bebas?
gak
Ini adalah ingatan saya bahwa kata sandi hash bukan salah satu hal yang mereka minati - jadi jika hanya itu yang dilakukan aplikasi Anda, Anda hampir pasti baik-baik saja. Saya tidak dapat berbicara atas apa yang dilakukan oleh penulis aplikasi lain ...
sarnold
Oke terima kasih. Jadi jika kita mengambil contoh aplikasi perbankan online atau kata sandi aman - keduanya mengenkripsi data untuk penyimpanan yang aman: Apakah ini baik atau harus dilaporkan dan ditinjau?
gak
Jika Anda mengandalkan 100% pada OS host untuk memberikan primitif kriptografi, Anda tidak perlu melakukan apa pun. :)
sarnold
1
DARI JURISDIKSI KEBIJAKAN KEBIJAKAN KEKUATAN JAWA TAK TERBATAS: Arsitektur JCE memungkinkan kekuatan kriptografi yang fleksibel untuk dikonfigurasi melalui file kebijakan yurisdiksi. Karena pembatasan impor dari beberapa negara, file kebijakan yurisdiksi yang didistribusikan dengan perangkat lunak Java SE 7 memiliki batasan bawaan pada kekuatan kriptografi yang tersedia. File kebijakan yurisdiksi dalam bundel unduhan ini (bundel termasuk file README ini) tidak mengandung batasan pada kekuatan kriptografi. Ini sesuai untuk sebagian besar negara.
caw
7

Apakah Anda menulis rutin kriptografi Anda sendiri atau hanya menelepon rutin pihak ke-3?

Alasan saya bertanya adalah karena jika misalnya pada Windows Anda menggunakan salah satu dari rutinitas yang disediakan oleh Microsoft maka Anda bukan orang yang mempublikasikan atau mendistribusikan perangkat lunak yang dikontrol, dalam hal ini perangkat lunak Anda tidak akan berada di bawah batasan apa pun.

JonnyBoats
sumber
Terima kasih atas jawabannya! Jika ini benar, akan sangat bagus :) Saya akan menggunakan algoritma terkenal seperti AES, SHA dll. Jadi saya akan menggunakan kembali algoritma lain dan memanggil fungsi asli. Saya tidak akan mempublikasikan algoritma kriptografi saya sendiri.
gak
Marco: Itu pasti cara yang harus ditempuh. Sistem operasi apa yang Anda targetkan?
JonnyBoats
3
Marco: Buat kode program Anda untuk sekadar menggunakan rutinitas terbaik yang tersedia di telepon pelanggan, periksa pada saat dijalankan. Selain berapa banyak produk yang akan Anda jual di Kuba atau Korea Utara?
JonnyBoats
1
Jika Anda menggunakan crypto rutin yang disediakan Microsoft di Windows, maka Anda tidak mengekspor barang karena Anda tidak menyediakannya. Jika sudah ada di sana, mungkin boleh saja menyebutnya. Menggunakan implementasi standar dari algoritma standar masih menyediakan crypto, dan Anda mungkin mengekspornya. (Juga, jangan menulis perangkat lunak keamanan Anda sendiri untuk tujuan produksi, kecuali jika Anda memiliki pengalaman di lapangan. Ada terlalu banyak hal yang dapat dengan mudah Anda salah.)
David Thornley
1
Saya cukup yakin bahwa Anda masih perlu mengajukan semua barang ekspor kripto jika Anda hanya menggunakan API kripto.
CodesInChaos
1

Jika ini hanya pertanyaan demi kepentingan, maka jawaban yang lain bagus. Jika itu berkaitan dengan sesuatu yang sebenarnya Anda lakukan?

PERGI MELIHAT Pengacara. SEKARANG.

Apakah kamu masih menunggu? Maka saya akan berkembang.

Pergi menemui pengacara. Sekarang. Jangan menunggu, jangan berpikir. Jika Anda belum memilikinya, temukan satu. Minta mereka untuk menghubungkan Anda dengan seseorang yang menangani hukum bisnis sebagai pekerjaan . Periksa kredensial-nya, dan jika itu terlihat benar, duduklah bersama orang itu dan berikan mereka uang untuk nasihat. Jangan ragu untuk bernegosiasi berdasarkan persyaratan.

Jika Anda tidak mempercayai saya, dan saya akui saya menjadi sangat pasti tanpa banyak pengalaman di bidang ini, baca artikel ini, ditulis pada Mei 2010 , oleh seseorang yang telah sukses menjalankan bisnis keluarga sejak '93.

Jika Anda mencoba menjalankan bisnis game Indie, Anda, pertama dan terutama, menjalankan bisnis. Semua hukum setempat, negara bagian, dan federal berlaku. Anda memerlukan izin usaha. Atau lisensi. Setiap bisnis harus memiliki pengacara dan akuntan. Saya secara pribadi telah melakukannya tanpa memiliki pengacara yang berdedikasi (kursus yang tidak bijaksana), tetapi setiap bisnis harus memiliki akuntan yang terampil.

Maksudnya adalah seseorang yang bisnisnya terdiri dari dua orang yang menjual permainan di mana kadal berbaju besi memukuli goblin sadar dia mengambil risiko dengan tidak memiliki akses ke pengacara pribadinya sendiri setiap saat .

Apakah Anda bisnis? Tidak tahu Jika Anda menjual sesuatu, Anda bisa saja. Tebak siapa yang akan tahu? Seorang Pengacara .

Anda tidak perlu membayar pengacara yang sangat mahal untuk waktu yang lama, tetapi paling tidak Anda perlu memiliki seseorang dengan janji temu yang dapat Anda jalankan sebelum melakukan hal-hal yang mungkin berbahaya secara hukum, dan siapa yang bisa menjelaskan kepada Anda apa yang mungkin berbahaya secara hukum.

Karena ini masalahnya. Jika Anda melakukannya di muka, maka banyak hal berlaku.

  1. Anda cenderung mengacau dan menarik perhatian pemerintah.
  2. Anda lebih sadar ketika Anda telah mengacau, dan apa yang harus dilakukan tentang hal itu, termasuk kontak yang ada yang dapat Anda hubungi untuk membantu Anda.
  3. Jika Anda benar-benar mengacau dan menarik perhatian pemerintah, Anda dapat menjelaskan bahwa Anda mencoba melakukan segalanya dengan benar, dan meminta catatan dari pengacara untuk membuktikannya.

Jika tidak? Nah, saya baru-baru ini menemukan bahwa jika Anda sadar bahwa Anda tidak kompeten untuk menangani sesuatu, dan Anda tidak mencari nasihat, itu secara hukum berarti Anda sengaja memilih untuk mengacau. Dalam uang, itu penipuan. Dalam sanksi ekspor, saya pikir itu pada skala yang sama dengan pengkhianatan.

Mengenai penelitian internet: Posting blog ini ditulis pada 17 Januari 2011. Dan hal pertama yang tertulis di sana? Bahwa hal ini berubah baru-baru ini. Jadi bisa berubah lagi. Itu sudah bisa berubah. Yang berarti bahwa jika seseorang secara membabi buta mengikuti ini 3 tahun dari sekarang, mereka bisa berakhir dengan harus menghabiskan waktu yang serius untuk menjelaskan kepada para pria yang diperingatkan bahwa mereka bukan pengkhianat, mereka hanya cukup bodoh untuk berpikir bahwa posting blog adalah dokumen hukum.

Tolong aku untuk ketenangan pikiranku sendiri. Pergi menemui pengacara.

deworde
sumber
Terima kasih banyak atas jawaban terperinci ini. Hanya saja saya pikir itu kasus yang jelas dan mudah untuk diputuskan. Saya menulis di komentar untuk pertanyaan (di atas) mengapa saya memikirkan hal ini.
gak
Ya, dan Anda mungkin dapat berkonsultasi dengan Apple secara langsung dalam hal ini untuk mendapatkan aturan mereka, jika Anda hanya akan mempublikasikan melalui App Store, dan jika Aplikasi Anda tidak melakukan apa-apa terutama novel dengan enkripsi. Sejujurnya, saya akan membayangkan bahwa ketika Anda mengirimkan, jika tidak sesuai, mereka akan melemparkannya kembali. Mereka akan memiliki perlindungan sendiri untuk mencegah App Store keluar dari negara yang terkena sanksi. Mereka juga memiliki tim hukum sendiri untuk menangani hal-hal ini, dan itu dianggap berurusan dengan pengacara.
deworde
1
Pertanyaan yang saya jawab adalah yang lebih umum, "Aspek mana yang perlu saya pertimbangkan ketika merancang dan menerbitkan perangkat lunak yang harus memenuhi batasan ekspor AS untuk perangkat lunak kriptografi?" Untuk hal-hal spesifik Android / iOS, maka orang yang akan dikonsultasikan adalah Apple dan Google. Kirimi mereka e-mail untuk menjelaskan apa yang Anda rencanakan, dan mereka mungkin akan memiliki prosedur yang sesuai untuk Anda.
deworde
Tetapi jika ada yang tidak beres, saya berpendapat akan bijaksana jika pengacara lokal mengetahui keberadaan Anda dan apa yang Anda lakukan. Untuk berjaga-jaga.
deworde
Terima kasih atas komentar tambahan Anda. Saya akan mengingat kata-kata Anda;)
caw
0

Jawaban yang sedikit berbeda, tetapi mengapa menulis kode enkripsi di AS? Bahkan jika Anda menulis sisa produk di AS, masuk akal untuk melakukan bagian enkripsi di tempat lain. Anda masih dapat menjual produk Anda di AS, tetapi Anda mengimpor ke AS, bukan ekspor dari AS.

Selain itu, pada masa-masa awal PGP, aturan ekspor dihilangkan dengan mencetak buku yang berisi kode sumber, dan mengekspor buku itu.

Michael Shaw
sumber
3
Ini ide yang sangat buruk. Sanksi AS / peraturan Ekspor berlaku untuk perusahaan yang terdaftar di AS, dan menentukan vendor serta penjualan. Ya, dengan pengacara yang sangat pintar, Anda mungkin menemukan contoh orang-orang yang berkeliaran di sekitar mereka menggunakan tipuan hukum gila, tapi JANGAN. Perusahaan besar harus membayar ratusan juta pound jika mereka mengacaukannya. Perusahaan kecil, semua orang masuk penjara, bangkrut atau keduanya.
deworde