求真百科歡迎當事人提供第一手真實資料,洗刷冤屈,終結網路霸凌。

密碼戰爭檢視原始碼討論檢視歷史

事實揭露 揭密真相
前往: 導覽搜尋
密碼戰爭
圖片來自war.163.com

密碼戰爭(Crypto Wars)是一個非正式術語,指美國及盟國政府企圖限制公眾和其他國家的資訊保密,以防其獲得足以抵禦國家情報機構[1] 的解密能力之加密技術,所採取的一系列措施。(特別是美國國家安全局(NSA))。該術語有時也指人權與加密|Human rights and encryption的爭端。

英國的密碼技術出口管制

1996年之前,英國政府會在出口商不願使用比較弱的:密碼算法|:加密算法或較短的密鑰長度時,扣留其出口許可證,並且通常不鼓勵採用公鑰密碼算法。一場關於NHS密碼算法的辯論公開了這一點。

美國的密碼技術出口管制

冷戰時期

冷戰初期,美國及其盟國制定了一系列詳盡的出口管制法規,旨在防止西方國家陣營的各種重要技術落入敵人手中,特別是東方集團。被歸類為「關鍵(Critical)」的技術,都需要經過授權才能出口。西方各國對出口管制的協調,由輸出管制統籌委員會(CoCOM,又稱巴黎統籌委員會,中文簡稱巴統)負責。

兩類技術受到了保護:只會與軍事(軍需品)有關的技術,以及可以同時具有軍事和商業雙重用途的技術。在美國,前者的出口由國務院管理,後者的由商務部管理。由於在第二次世界大戰後不久,加密市場幾乎完全是軍事市場,因此加密技術及設備(在計算機對密碼學變得重要後,也包括了加密軟件)也被列為United States Munitions List|美國軍需品清單第十一類—雜項(MISCELLANEOUS ARTICLES)當中(7403)。在冷戰時期,西方世界的多國通過巴黎統籌委員會控制了加密技術的出口。

但到了1960年代,金融機構在有線匯款領域的增長需要更強大的商業加密技術。美國政府於1975年發布的資料加密標準(DES)意味着高品質的商用加密將會變得普遍,並會開始出現嚴重的出口管制問題。通常,計算機製造商(例如IBM)以及其大型企業客戶,需要逐案向有關單位申請出口授權許可。

個人電腦普及後

隨著個人電腦逐漸普及,加密技術的出口管制已經成為公眾關注的問題。菲爾·齊默爾曼在1991年於網際網路上發布加密軟體PGP,成為密碼出口管制方面的首個主要的「個人挑戰」。1990年代,電子商務的發展為相關法規製造了更多壓力。1995年,網景推出安全通訊協定(SSL),被廣泛採用,成為使用公開密鑰加密保護信用卡交易的一種方法。這是後來傳輸層安全性協定(TLS)的前身。

SSL加密採用RC4演算法,密鑰長度為128位。超過40位的密鑰長度在美國出口法規中被視為軍需品,需要申請授權許可。

少於40位的密鑰長度無需單獨申請出口許可 ,因此網景開發了兩個版本的網頁瀏覽器。「北美版」有着完整的128位強度。通過公開SSL安全協議中的88位密鑰,「國際版」的有效密鑰長度減少到40位。即使是在美國,購買北美版也需要經過很麻煩的手續,大多數電腦用戶最終還是購買了「國際」版本, 一台個人電腦可以在數日內破解40位密鑰。出於相同的原因,IBM的Lotus Notes也發生了類似的情況。

Peter Junger|彼得·榮格和其他公民自由主義者、隱私權倡導者所發起的一系列訴訟,加密軟件在美國以外的廣泛可用性,以及許多公司認為對弱加密的負面宣傳限制了其銷售業和電子商務的發展,這使美國放寬了一系列出口管制。最終在1996年由比爾·克林頓總統簽署了13026號行政命令,將商業加密從軍需品清單中轉移到商業管制清單。此外該命令指出,從出口管制條例的意義上說,「軟件不應被視為或對待為『技術』」。該命令使美國商務部於2000年修訂出口管理條例,大幅簡化包含加密技術在內的專有和開源軟件的出口。

現今

截至2009年,從美國出口非軍事加密算法均由美國商務部Bureau of Industry and Security||工業和安全局(BIS)控制。即使是大眾市場上的產品,仍然存在一些限制,尤其是向流氓國家恐怖組織的出口。軍用的加密設備、經過TEMPEST認證的電子產品、定製|客製化的加密軟件,乃至加密諮詢服務,仍然需要出口許可證「具有超過64位密鑰長度,面向的大眾市場加密商品,軟體和組件」需要在依法向BIS註冊(36494)。以及,出口到大多數國家之前,其他物品需要由BIS進行一次性審查或通知BIS。例如,儘管不需要審查,但在互聯網上公開提供開放源代碼的加密軟件之前,必須通知BIS。出口法規儘管已較1996年以前的標準放寬,但仍然複雜。其他國家有類似的限制,特別是簽署瓦聖納協定的國家。

參考文獻

  1. 情報機構,mbalib