24.10 // Новые правила требуют лицензировать открытые проекты, использующие криптографию
Министерство торговли США (DoC) изменило в сторону ужесточения правила оборота технологий в которых используется стойкие алгоритмы шифрования, такие как RSA, DES, SHA, Blowfish, Diffie-Hellman, ElGamal и AES. Данные криптометоды входят в разряд военно-стратегических и их реализация с последующим экспортом за пределы США требует приобретения специальной лицензии. По новым правилам любая организация или частное лицо, работающие будь-то единолично или совместно над opensource проектом должны уведомлять DoC перед тем, как открывать доступ к коду через интернет.
На практике такое решение будет означать, что каждый индивидуальный разработчик, либо компания, участвующая в открытом проекте должны будут озадачиться получением персональной лицензии, разрешающей работу над ПО. Т.е. так как проект, размещенный в интернет, по определению доступен за пределами США, на него распространяются новые правила министерства торговли. Более того, если компания занимается распространением конечного продукта, в который входят криптографические модули, то независимо от того, кто являлся их разработчиком, компания экспортер обязана обзавестись лицензией.
Чтобы оценить примерное количество проектов, использующих стойкие криптографические методы можно прибегнуть к поиску по базе данных открытого кода Black Duck KnowledgeBase. В результате получается, что в категорию лицензируемых попадают более более 4 тыс. разработок, в то время как еще 3900 возможно потребуют лицензии. Меры воздействия для нарушителей определены от штрафов и вплоть до заключения под стражу. Скорее всего, новые правила добавят еще один повод с опаской относится к opensource, особенно когда дело касается способов защищенной передачи данных.
Источник: http://www.opennet.ru/opennews/art.shtml?num=23972, http://www.ddj.com/linux-open-source/220800130
комментариев: 11558 документов: 1036 редакций: 4118
То есть просто пишется бумажка и отправляется заказным письмом в министерство (в бюро по экспорту, если быть точным). Даже ответа не надо ждать. Авторы сего текста употребляли какие-то странные вещества.
Вероятно, это только первый шаг...
комментариев: 11558 документов: 1036 редакций: 4118
Фактор новости в этом сообщении в том, что, если верить источнику, те же самые требования теперь распространили и на opensource-проекты. Раньше они были явным образом выведены из-под него, а относились только к коммерческим разработчикам.
Ребята! ВЫ ЗАЕ??? И! Весь Интернет засран этой поганой ошибкой: глаза режет и выкалывает. Это же элементарное правило: если, и только если есть мягкий знак в вопросе, он же есть и в глаголе. Неужели у нас типичный пользователь таких уважаемых ресурсов не знает русский язык даже за 5ый-6ой класс?! Сначала думал, что это опечатки, но позже увидел что народ действительно не знает этого правила. Я хреново учился: у меня четвёрка по русскому была, но современный уровень, о ужас, допОдлинные дегенераты
PS: SATtva, извините, я не сдержался.
[/совсем offtop]
комментариев: 11558 документов: 1036 редакций: 4118
Дальше не читал.
http://epic.org/crypto/export_controls/regs_1_00.html
Апач, например, уведомляет агентуру таким образом:
http://www.apache.org/dev/crypto.html
комментариев: 11558 документов: 1036 редакций: 4118
Русский перевод:
Получайте теперь "радости общения" с государством.
Отсюда мораль: всё, всё, всё что только можно, включая и безобидные, казалось бы, вещи (исходники программ например), надо публиковать только анонимно.
комментариев: 11558 документов: 1036 редакций: 4118
комментариев: 9796 документов: 488 редакций: 5664
Обычно предпочтение в использовании программы отдают тому, кто занимает какую-то должность
в научной или иной организации, известен по месту своей работы в IT и т.д.
Для участие в сборке пакетов в Debian нужно засвидетельствовать контракт.
Не особо юридически значимый обмен электронными письмами, но под своим именем.
В ядро Linux несколько лет назад прекратили принимать патчи от анонимов.
Реальность личности никто не проверяет. Но чем серьёзнее патч, тем больше предпочтения
более известным разработчикам.
В более мелкие проекты, такие как Tor, патчи от анонимов принимают, но рассматривают их более
тщательно, плюс за все сторонние патчи опять же должен поручиться разработчик с именем.
Негласное правило обычно таково — лучше не очень хороший, но стабильный код от проверенного
и известного человека или организации, чем очень хороший, но неизвестно от кого. При любом
раскладе анонимам дают только второстепенную роль, а ведут проект люди с именем и репутацией.
Пока это себя оправдывало — модель разработки с исключением или урезанием роли анонимов в
целом эффективнее и доверямее. После того, как времена наивного шифрпанка прошли, часто выясняется,
что на практике проще взломать творчество фанатичных энтузиастов, чем получить злонамеренный баг от человека
или организации с репутацией.
Не выведены из стандартов SHA-256 и выше, под DES может иметься ввиду тройной DES, как резервный стандарт,
значит формально стойкие.
Для чего нужны бумажки министерству неясно. Если это приведёт к ограничению свободных крипторазработок, то программы
могут скатиться на уровень эпохи наивного шифрпанка.
Если проблема будет серьёзной, то в Америке есть активисты и организации наподобие EFF, которые любят судиться и посылать запросы с требованием разъяснений от всяких ведомств.
Да ладно, тоже мне проблема. Просто свободные разработки уйдут из США и будут хоститься в другой стране. Ну а авторы этих разработок проживающие в США могут продолжать разрабатывать неофициально.
комментариев: 9796 документов: 488 редакций: 5664
Вот новый руководитель проекта python-crypto живёт в Канаде и находится под перекрёстным огнём американского и канадского законодательства одновременно.
В итоге автор не может взять риск принимать в код патчи от американских и канадских граждан — пример живой реализации бюрократического маразма:
Вот ещё новое соглашение с разработчиками, полюбуйтесь:
Это конечно частная инициатива руководителя хоть и не такого уж второстепенного проекта, но пример показательный и возможно ему будут вынуждены последовать и другие.
Поскольку на питон завязано всё больше проектов, а безопасной реализации крипто в нём до сих пор нет, то негативные последствия всяких ограничительнымх мер тут явно видны. А код от анонимов и неофициальных разрабов не рискнут ставить в дистрибутивы — на нём даже инсталляторы и всякие системные обёртки завязаны, в точ числе с модулями python-crypto.
При том что американские стандарты на крипто объективно самые лучшие и тут они лидеры в индустрии, но по части реализации получается бред.
Вообще убрали бы для свободного ПО все патентные и прочие ограничения — была бы только польза.
комментариев: 9796 документов: 488 редакций: 5664
Перепутали абзац про криптографию с абзацем про ракетные, ядерные, химические и биологические технологии?