密码战争查看源代码讨论查看历史
密码战争(Crypto Wars)是一个非正式术语,指美国及盟国政府企图限制公众和其他国家的资讯保密,以防其获得足以抵御国家情报机构[1] 的解密能力之加密技术,所采取的一系列措施。(特别是美国国家安全局(NSA))。该术语有时也指人权与加密|Human rights and encryption的争端。
英国的密码技术出口管制
1996年之前,英国政府会在出口商不愿使用比较弱的:密码算法|:加密算法或较短的密钥长度时,扣留其出口许可证,并且通常不鼓励采用公钥密码算法。一场关于NHS密码算法的辩论公开了这一点。
美国的密码技术出口管制
冷战时期
在冷战初期,美国及其盟国制定了一系列详尽的出口管制法规,旨在防止西方国家阵营的各种重要技术落入敌人手中,特别是东方集团。被归类为“关键(Critical)”的技术,都需要经过授权才能出口。西方各国对出口管制的协调,由输出管制统筹委员会(CoCOM,又称巴黎统筹委员会,中文简称巴统)负责。
两类技术受到了保护:只会与军事(军需品)有关的技术,以及可以同时具有军事和商业双重用途的技术。在美国,前者的出口由国务院管理,后者的由商务部管理。由于在第二次世界大战后不久,加密市场几乎完全是军事市场,因此加密技术及设备(在计算机对密码学变得重要后,也包括了加密软件)也被列为United States Munitions List|美国军需品清单第十一类—杂项(MISCELLANEOUS ARTICLES)当中(7403)。在冷战时期,西方世界的多国通过巴黎统筹委员会控制了加密技术的出口。
但到了1960年代,金融机构在有线汇款领域的增长需要更强大的商业加密技术。美国政府于1975年发布的资料加密标准(DES)意味着高品质的商用加密将会变得普遍,并会开始出现严重的出口管制问题。通常,计算机制造商(例如IBM)以及其大型企业客户,需要逐案向有关单位申请出口授权许可。
个人电脑普及后
随著个人电脑逐渐普及,加密技术的出口管制已经成为公众关注的问题。菲尔·齐默尔曼在1991年于网际网路上发布加密软体PGP,成为密码出口管制方面的首个主要的“个人挑战”。1990年代,电子商务的发展为相关法规制造了更多压力。1995年,网景推出安全通讯协定(SSL),被广泛采用,成为使用公开密钥加密保护信用卡交易的一种方法。这是后来传输层安全性协定(TLS)的前身。
SSL加密采用RC4演算法,密钥长度为128位。超过40位的密钥长度在美国出口法规中被视为军需品,需要申请授权许可。
少于40位的密钥长度无需单独申请出口许可 ,因此网景开发了两个版本的网页浏览器。“北美版”有着完整的128位强度。通过公开SSL安全协议中的88位密钥,“国际版”的有效密钥长度减少到40位。即使是在美国,购买北美版也需要经过很麻烦的手续,大多数电脑用户最终还是购买了“国际”版本, 一台个人电脑可以在数日内破解40位密钥。出于相同的原因,IBM的Lotus Notes也发生了类似的情况。
Peter Junger|彼得·荣格和其他公民自由主义者、隐私权倡导者所发起的一系列诉讼,加密软件在美国以外的广泛可用性,以及许多公司认为对弱加密的负面宣传限制了其销售业和电子商务的发展,这使美国放宽了一系列出口管制。最终在1996年由比尔·克林顿总统签署了13026号行政命令,将商业加密从军需品清单中转移到商业管制清单。此外该命令指出,从出口管制条例的意义上说,“软件不应被视为或对待为‘技术’”。该命令使美国商务部于2000年修订出口管理条例,大幅简化包含加密技术在内的专有和开源软件的出口。
现今
截至2009年,从美国出口非军事加密算法均由美国商务部Bureau of Industry and Security||工业和安全局(BIS)控制。即使是大众市场上的产品,仍然存在一些限制,尤其是向流氓国家和恐怖组织的出口。军用的加密设备、经过TEMPEST认证的电子产品、定制|客制化的加密软件,乃至加密咨询服务,仍然需要出口许可证“具有超过64位密钥长度,面向的大众市场加密商品,软体和组件”需要在依法向BIS注册(36494)。以及,出口到大多数国家之前,其他物品需要由BIS进行一次性审查或通知BIS。例如,尽管不需要审查,但在互联网上公开提供开放源代码的加密软件之前,必须通知BIS。出口法规尽管已较1996年以前的标准放宽,但仍然复杂。其他国家有类似的限制,特别是签署瓦圣纳协定的国家。