Esportazione della crittografia
L'esportazione della crittografia è il trasferimento da un paese ad un altro di mezzi e tecnologie legati alla crittografia.
Fin dalla seconda guerra mondiale un gran numero di stati, tra cui gli Stati Uniti d'America e i suoi alleati della NATO, hanno regolato l'esportazione della crittografia nell'ottica della sicurezza nazionale, definendo la crittografia come una munizione.
Alla luce dell'enorme impatto della crittanalisi nella Seconda guerra mondiale, fu chiaro a questi stati che negare ad attuali e potenziali nemici l'accesso ai sistemi crittografici aveva un alto valore militare. Questi stati aspiravano anche a controllare le comunicazioni diplomatiche delle altre nazioni, incluse le molte nazioni emergenti nel post-colonialismo la cui posizione nella guerra fredda era ritenuta vitale[1].
Il primo emendamento della costituzione americana rendeva difficile il controllo sull'uso della crittografia all'interno degli Stati Uniti, ma controllare l'accesso degli altri paesi alle ricerche americane risultò essere più semplice, o perlomeno la costituzione non lo impediva.
Di conseguenza, vennero introdotte delle regolamentazioni all'interno del regolamento sul controllo delle munizioni che richiedevano una licenza per esportare metodi crittografici o anche una loro descrizione; le regolamentazioni stabilivano che oltre una certa resistenza, definita sulla base dell'algoritmo e della lunghezza della chiave, non si sarebbe permessa l'esportazione di metodi crittografici, se non in casi particolari.
Lo sviluppo e la pubblicazione del Data Encryption Standard (DES) e delle tecniche a chiave asimmetrica negli anni settanta, la nascita di Internet, le lotte portate avanti per eliminare le limitazioni nel campo crittografico, alcune volte rendendo impossibile l'applicazione della legge, fecero sì che negli anni novanta si era ridotta l'utilità di questa legge. Nonostante ciò alcuni alti gradi militari americani credettero che la mondiale e diffusa disponibilità di tecniche di crittografia avanzate avrebbe reso più difficile la capacità della National Security Agency di decodificare messaggi che avrebbero potuto rivelare importanti informazioni riguardo a piani ostili agli Stati Uniti[2].
Durante la guerra fredda
modificaAgli inizi della guerra fredda, gli Stati Uniti e i suoi alleati svilupparono un'elaborata serie di regolamenti per il controllo delle esportazioni atti a prevenire che un gran numero di tecnologie occidentali cadessero nelle mani dei paesi del blocco sovietico. Tutte le tecnologie classificate come 'critiche' richiedevano una licenza. Fu creato il CoCom per coordinare i controlli sulle esportazioni.
Due tipi di tecnologia erano protetti: le tecnologie associate alle armi e quelle che potevano avere un possibile utilizzo bellico, tra le quali c'erano anche prodotti commerciali. All'interno degli Stati Uniti l'esportazione di tecnologie con un duplice utilizzo era controllato dal Dipartimento del Commercio degli Stati Uniti, mentre le munizioni erano controllate dal Dipartimento di Stato degli Stati Uniti. Quasi tutte le tecnologie di crittazione tra cui tecniche, strumenti e, dopo l'avvento dei computer, software, furono inclusi come oggetti di XIII categoria nella 'Lista delle munizioni degli Stati Uniti'.
Comunque, questo in realtà ebbe un'importanza minima finché la crittazione sicura, nell'immediato dopoguerra, fu disponibile al pubblico. Negli anni sessanta infine, le organizzazioni finanziarie iniziarono a richiedere una crittazione resistente per i commerci che rapidamente crescevano nel campo del trasferimento virtuale di denaro.
L'introduzione da parte del governo americano del Data Encryption Standard nel 1975 rese comune l'utilizzo di tecnologie crittografiche di alta qualità, e iniziarono a sorgere seri problemi per il controllo delle esportazioni della crittografia. Generalmente queste erano commerciate attraverso una licenza rilasciata caso per caso che si procuravano aziende di computer, come l'IBM, e da grandi aziende corporative.
Nell'era dei PC
modificaIl controllo delle esportazioni della crittografia divenne un problema di interesse pubblico con l'introduzione dei personal computer. Il crittosistema PGP di Phil Zimmermann e la sua diffusione in Internet nel 1991 fu la prima lotta per il controllo sulle esportazioni della crittografia. La crescita del commercio elettronico negli anni novanta fu un motivo ulteriore per ridurre le restrizioni. Poco dopo la tecnologia SSL di Netscape fu diffusamente adottata come metodo per proteggere le transazioni con carta di credito usando la crittografia a chiave pubblica.
I messaggi crittati con SSL usavano il cifrario RC4, e una chiave a 128 bit. La politica degli Stati Uniti sulle esportazioni non consentiva ai sistemi crittografici con chiavi da 128 bit di essere esportati. A questo punto i governi occidentali ebbero un atteggiamento altalenante quando venivano interrogati sulla crittografia; il controllo era effettuato da crittanalisti militari che erano interessati unicamente nell'impedire ai loro nemici di acquisire i segreti, ma quella tecnologia fu poi trasmessa al commercio da ufficiali il cui lavoro era sostenere l'industria.
La più lunga chiave a cui era consentita l'esportazione senza licenza individuale era quella a 40 bit, perciò Netscape sviluppo due versioni del suo browser. La versione "americana" aveva la piena resistenza dei 128 bit. Quella "internazionale" aveva la lunghezza effettiva della chiave ridotta a 40 bit per produrre gli 88 bit della chiave del protocollo SSL. L'acquisto della versione per gli Stati Uniti era problematico tanto che la maggior parte degli utenti, anche negli Stati Uniti, finì con l'acquistare la versione "Internazionale", la cui debole crittazione a 40 bit poteva essere rotta nel giro di pochi giorni da un unico personal computer. Per le stesse ragioni successe all'incirca la stessa cosa con il Lotus Notes.
Azioni legali da parte di Peter Junger come di altri cittadini liberalitari e avvocati della privacy, la larga diffusione di software crittografico al di fuori degli Stati Uniti e la sensazione di numerose compagnie che la pubblicità negativa sulla crittazione debole stesse limitando le loro vendite e la crescita del commercio elettronico, portò ad una serie di allentamenti per la legge sull'esportazione della crittografia da parte degli Stati Uniti, culminate nella firma, da parte del presidente Bill Clinton nel 1996 dell'ordine esecutivo 13026[3] che trasferiva la crittazione commerciale dalla lista delle munizioni alla lista per il controllo del commercio. Inoltre, l'ordine stabiliva che il software non sarà considerato o trattato come "tecnologia" ai sensi del Regolamento per l'amministrazione delle esportazioni. Questa ordinanza permise al Dipartimento del Commercio degli Stati Uniti di introdurre regole che semplificavano enormemente l'esportazione di software commerciale e open source contenente crittografia che, in ogni caso, uno "stato canaglia" avrebbe potuto scaricare, e di conseguenza controllare, da reti per la condivisione di file o da server al di fuori degli Stati Uniti.
Situazione attuale
modificaL'esportazione della crittografia dagli Stati Uniti è attualmente controllata dal Bureau of Industry and Security del Dipartimento del Commercio. Esistono ancora alcune restrizioni, anche per i prodotti di largo consumo, con particolare riguardo all'esportazione verso gli "stati canaglia" e le organizzazioni terroristiche. Attrezzature militari per la crittazione, elettroniche conformi a TEMPEST, software di crittazione personalizzato, ed anche servizi di consulenza per la crittografia richiedono ancora una licenza per l'esportazione. Molti prodotti sono ancora sottoposti ad un'analisi o devono essere notificati al Bureau of Industry and Security prima di essere esportati nella maggior parte dei paesi. Ad esempio, il Bureau of Industry and Security deve essere avvisato prima che un software open source sia disponibile su Internet, anche se non è richiesta un'analisi.[4] Le restrizioni sulle esportazioni sono state allentate rispetto a prima del 1996, ma sono ancora complesse, e spesso richiedono avvocati esperti e consultazioni con crittografici. Altri paesi, specialmente quelli che hanno partecipato all'accordo di Wassenaar, hanno simili regolamentazioni.
Note
modificaCollegamenti esterni
modifica- Crypto law survey, su rechten.uvt.nl. URL consultato il 17 febbraio 2009 (archiviato dall'url originale il 6 gennaio 2010).
- Bureau of Industry and Security — An overview of the US export regulations can be found in the licensing basics page, and a more specific page is dedicated to the export of cryptography.
- My life as a Kiwi arms courier — Peter Gutmann's farcical account of his experiences exporting cryptographic software from New Zealand.