“Криптониши” и экспортное законодательство
Неясности в законах приводят в замешательство и производителей, и пользователей
Джим Керстеттер
В американском законодательстве появился еще один казус. Связан он с правилами экспорта ПО, к которому можно подключать криптографические средства высокой стойкости, разработанные сторонними производителями. В экспортных правилах возникла неясность, мешающая корпорациям с обширными международными связями приступить к внедрению технологий шифрования.
Виновником сложившегося положения стали так называемые “криптониши” (crypto with a hole). Под этим термином понимаются аппаратные и программные средства, которые на момент вывоза их за границу лишены средств шифрования, но имеют специальную “нишу”, куда впоследствии можно добавить криптографические компоненты. Стало быть, если строго следовать американским законам, экспорт таких систем противозаконен.
Однако крупные производители знают, как справиться с этой проблемой и избежать неприятностей. Корпорации Microsoft (Редмонд, шт. Вашингтон), например, уже удалось получить разрешение на экспорт своей технологии CAPI (Crypto API - API для криптографии).
Как пояснил Каран Ханна, менеджер по производству средств безопасности Microsoft, этот криптографический интерфейс предлагается поставщику услуг в виде каркаса, в который можно встроить систему шифрования Microsoft или каких-либо других разработчиков. Чтобы поставщик криптоуслуг смог взаимодействовать с CAPI и опознавался операционной системой, ему нужна цифровая подпись Microsoft. Периодически проверяя ее подлинность, операционная система удостоверяется, что поставщик сохраняет свой первозданный вид и никто не пытался вмешаться в его структуру.
Без такой обязательной подписи корпорации ни за что не удалось бы преодолеть экспортные барьеры. А неограниченный доступ к CAPI к тому же сделал бы “невыездной” и саму ОС Windows. Но цифровая подпись позволяет работать с этим интерфейсом лишь тем производителям, которые соглашаются следовать законодательству США.
И все же, считают эксперты, как CAPI ни изображай, он остается одной из “криптониш”, поэтому исключение, сделанное для этого продукта из экспортного законодательства, приводит разработчиков в недоумение.
“Очень трудно давать рекомендации, когда не знаешь уровня требований”, - жалуется Лорен Холл, старший технолог американской Ассоциации издателей ПО (Вашингтон).
Чтобы получить разрешение федеральных властей на экспорт CAPI, корпорации Microsoft пришлось вести многомесячные переговоры с Министерством торговли США и Агентством национальной безопасности.
Но как бы то ни было, многие аспекты окончательного решения лишь подчеркивают противоречивый характер американского законодательства, касающегося экспорта средств шифрования.
“Министерство финансов никак не может выработать четкой политики и ясно определить, что можно экспортировать, а что нельзя, - утверждает Холл. - И это приводит всю индустрию в отчаяние”. Что же касается пользователей, то при выборе криптопродуктов они совершенно теряются и тянутся к крупным производителям.
“Мы можем иметь дело с правительством, но ввязываться в стычку с Агентством национальной безопасности нам совершенно не хочется, - говорит Том Арнон, менеджер информационных технологий международной финансовой корпорации. - В результате мы вообще ничего не предпринимаем”.
Два года назад Национальный центр по приложениям для суперкомпьютеров (National Center for Supercomputing Applications) получил рекомендации, в соответствии с которыми “криптониши” и любые другие средства встраивания компонентов шифрования должны подпадать под экспортные ограничения. Получив такую информацию, фирма Apache Group лишила свой Web-сервер всех криптографических возможностей и лишь затем обратилась за экспортной лицензией на него. Ее примеру последовали и другие производители.
Но как отмечает Брюс Шнейер, президент фирмы Counterpane Systems (Миннеаполис, шт. Миннесота), “если у вас есть достаточно денег и терпения, вы сможете экспортировать практически все что угодно”.
“Криптониша”
- Что это такое: программные продукты, оснащенные комплектом интерфейсов прикладного программирования, которые позволяют сторонним разработчикам ПО подключать к ним собственные средства шифрования
- Преимущество для корпораций: широкий выбор доступных технологий шифрования
- Соответствие законам: агентство национальной безопасности однозначно запрещает экспорт “криптониш”, однако крупные производители ПО находят способы обойти такие запреты