密碼戰爭查看源代码讨论查看历史
 |
密码战争(Crypto Wars)是一个非正式術語,指美国及盟国政府企圖限制公众和其他国家的資訊保密,以防其获得足以抵御国家情报机构[1] 的解密能力之加密技术,所采取的一系列措施。(特別是美国国家安全局(NSA))。該術語有時也指人權與加密|Human rights and encryption的爭端。
英国的密碼技術出口管制
1996年之前,英国政府会在出口商不愿使用比较弱的:密码算法|:加密算法或较短的密钥长度时,扣留其出口许可证,并且通常不鼓励采用公钥密码算法。一场关于NHS密码算法的辩论公开了这一点。
美国的密碼技術出口管制
冷战时期
在冷战初期,美国及其盟国制定了一系列详尽的出口管制法规,旨在防止西方國家陣營的各種重要技術落入敵人手中,特別是東方集團。被歸類為「關鍵(Critical)」的技術,都需要經過授權才能出口。西方各國對出口管制的協調,由輸出管制統籌委員會(CoCOM,又稱巴黎統籌委員會,中文簡稱巴統)負責。
两类技术受到了保护:只會與軍事(軍需品)有關的技術,以及可以同時具有軍事和商業雙重用途的技術。在美國,前者的出口由國務院管理,後者的由商務部管理。由于在第二次世界大战后不久,加密市场几乎完全是军事市场,因此加密技术及設備(在计算机对密码学变得重要后,也包括了加密软件)也被列为United States Munitions List|美国军需品清单第十一类—雜項(MISCELLANEOUS ARTICLES)當中(7403)。在冷战时期,西方世界的多国通过巴黎统筹委员会控制了加密技术的出口。
但到了1960年代,金融机构在有线汇款领域的增长需要更强大的商业加密技术。美国政府于1975年发布的資料加密標準(DES)意味着高品质的商用加密将会变得普遍,并会开始出现严重的出口管制问题。通常,計算機製造商(例如IBM)以及其大型企業客戶,需要逐案向有關單位申請出口授權許可。
個人電腦普及後
隨著個人電腦逐漸普及,加密技術的出口管制已經成為公眾關注的問題。菲爾·齊默爾曼在1991年於網際網路上發布加密軟體PGP,成为密码出口管制方面的首个主要的“个人挑战”。1990年代,電子商務的發展為相關法規製造了更多壓力。1995年,網景推出安全通訊協定(SSL),被广泛采用,成为使用公开密钥加密保护信用卡交易的一种方法。這是後來傳輸層安全性協定(TLS)的前身。
SSL加密採用RC4演算法,密鑰長度為128位。超過40位的密鑰長度在美國出口法規中被視為軍需品,需要申請授權許可。
少於40位的密钥长度无需单独申请出口许可 ,因此网景开发了两个版本的网页浏览器。“北美版”有着完整的128位强度。通过公开SSL安全协议中的88位密钥,“国际版”的有效密钥长度减少到40位。即使是在美國,購買北美版也需要經過很麻煩的手續,大多数电脑用户最终还是购买了“国际”版本, 一台個人電腦可以在數日內破解40位密鑰。出于相同的原因,IBM的Lotus Notes也发生了类似的情况。
Peter Junger|彼得·榮格和其他公民自由主義者、隱私權倡導者所發起的一系列訴訟,加密软件在美国以外的广泛可用性,以及许多公司认为对弱加密的负面宣传限制了其销售业和电子商务的发展,这使美国放宽了一系列出口管制。最终在1996年由比尔·克林顿总统签署了13026号行政命令,将商业加密从軍需品清單中转移到商业管制清单。此外该命令指出,从出口管制条例的意义上说,“软件不应被视为或对待为‘技术’”。該命令使美國商務部於2000年修訂出口管理條例,大幅简化包含加密技术在内的专有和开源软件的出口。
现今
截至2009年,从美国出口非军事加密算法均由美国商务部Bureau of Industry and Security||工业和安全局(BIS)控制。即使是大众市场上的产品,仍然存在一些限制,尤其是向流氓國家和恐怖组织的出口。军用的加密设备、经过TEMPEST认证的电子产品、定制|客製化的加密软件,乃至加密咨询服务,仍然需要出口许可证「具有超過64位密鑰長度,面向的大眾市場加密商品,軟體和組件」需要在依法向BIS注册(36494)。以及,出口到大多数国家之前,其他物品需要由BIS进行一次性审查或通知BIS。例如,尽管不需要审查,但在互联网上公开提供开放源代码的加密软件之前,必须通知BIS。出口法规尽管已较1996年以前的标准放宽,但仍然复杂。其他国家有类似的限制,特别是签署瓦聖納協定的国家。