╚ßst 38 - CW 1-2/98

Export kryptografie

Motto: Exportnφ kontrola je °φzena t°emi pravidly:
1. Tato pravidla nemajφ ₧ßdn² smysl.
2. Za chyby se platφ v∞zenφm.
3. A ti naho°e nemajφ ₧ßdn² smysl pro humor.

Anonym

MasovΘ rozÜφ°enφ Internetu a pot°eba °φdit bezpeΦnΘ elektronickΘ obchodovßnφ s sebou p°inesly pot°ebu v∞tÜφ dostupnosti kryptologie. Dodnes je ale s exportem Üifrovacφch produkt∙ mnohde zachßzeno jako s exportem zbranφ: "silnß" kryptografie Φasto p°edstavuje v²znamnou zbra≥ -- schopnost deÜifrovat komunikaci m∙₧e rozhodnout v²sledek konfliktu. Vlßdnφ zßjmy se zde soust°e∩ujφ do dvou oblastφ:

- mφt jistotu, ₧e pou₧φvßnφ kryptografick²ch systΘm∙ nesnφ₧φ schopnost dopadnout ne₧ßdoucφ osoby a skupiny osob;

- zajistit, aby pou₧φvßnφ kryptografick²ch systΘm∙ nep∙sobilo proti nßrodnφm zßjm∙m danΘ zem∞.

D∞nφ v IT v∞tÜinou znamenß d∞nφ v USA, o kryptografii ani nemluv∞. Americkß vlßda pova₧uje Üifrovßnφ za stejn∞ nebezpeΦnou technologii jako zbran∞. ╚asto se uvßdφ, ₧e si americkß vlßda prost∞ nep°eje uvolnit mimo zemi technologie, kterΘ by jφ mohly ztφ₧it sb∞r zprßv (vyzv∞daΦstvφ). Informace posφlanΘ Internetem nebo jin²mi otev°en²mi sφt∞mi lze velmi jednoduÜe filtrovat a analyzovat -- °φkß se leccos ohledn∞ ·Φasti zpravodajsk²ch slu₧eb v aktivitßch ISP. N∞kterΘ IT firmy reagujφ tak, ₧e ·pln∞ ze sv²ch produkt∙ Üifrovßnφ odstranφ. Nebo majφ 2 verze a do zßmo°φ prodßvajφ tu bez Üifrovßnφ. Mohou mφt takΘ 1 verzi, kterß nenφ urΦena pro export, s dostateΦnou dΘlkou klφΦe, a druhou, urΦenou pro export, s omezenou efektivnφ dΘlkou klφΦe. V dob∞, kdy Lotus ₧ßdal o exportnφ licenci, aby se splnila exportnφ kritΘria, musel mφt 2 dΘlky tajn²ch klφΦ∙: jeden, v dΘlce 40 bit∙, pou₧it², jakmile byl jeden z ·Φastnφk∙ mimo USA, a druh² -- delÜφ -- pou₧φvan² pouze v USA.

Ale digitßlnφ podpis nynφ ji₧ obvykle bez omezenφ b²vß vypoΦten s pou₧itφm dlouhΘho ve°ejnΘho klφΦe odesφlatele, i kdy₧ jsou ·Φastnφci komunikace mimo USA, pokud -- a to je d∙le₧itΘ -- se dlouh² klφΦ dß pou₧φt jen k podpisu a nikoliv k Üifrovßnφ. Podpis zprßvy je pak bezpeΦn² dokonce i p°ed protivnφkem, kterΘmu se poda°φ prolomit kratÜφ klφΦe RSA i tajnΘ klφΦe pou₧φvanΘ pro zaÜifrovßnφ zprßvy.

Exportnφ omezenφ ze strany USA stojφ americkΘ prodejce miliardy dolar∙. A omezenφ exportu americkou vlßdou stßle komplikuje bezpeΦnou mezinßrodnφ komunikaci mnoh²m firmßm, proto₧e asi 60 % kryptografick²ch produkt∙ se vyrßbφ v USA (podle pr∙zkumu firmy TIS), nemluv∞ o spoust∞ dalÜφho u₧iteΦnΘho softwaru, kter² je dnes Φasto kryptografiφ proÜpikovßn. N∞kte°φ prodejci, aby obeÜli exportnφ omezenφ, vyvφjejφ Üifrovacφ algoritmy mimo USA (RSA DSI, Sun, C2 atd.). Po zajφmavΘm precedentu soudnφ p°e Phila Karna ve Washingtonu z ledna 1997 lze takΘ v podstat∞ bez omezenφ vyvß₧et zdrojov² k≤d (tak₧e se t°eba novß mezinßrodnφ verze PGP 5.0 d∞lala tak, ₧e se vyvezly "zdrojßky", ty se musely oskenovat, nalinkovat na neamerickΘ podp∙rnΘ knihovny a takto zkompilovat). Jinou mo₧nost zv²Üenφ bezpeΦnosti produkt∙ s kontrolou exportu ukazuje p°φklad WWW server∙ a prohlφ₧eΦ∙ Netscape. Netscape je v souΦasnΘ dob∞ distribuovßn po celΘm sv∞t∞ a je p°edm∞tem kontroly exportu USA, co se t²Φe kryptografie a dΘlky klφΦe. VÜechny verze Netscape majφ zabudovanou podporu SSL (Secure Sockets Layer). V rohu prohlφ₧eΦe (verze p°ed 4.x) je umφst∞n ₧lut² klφΦek: v zßvislosti na verzi pou₧itΘho SSL mß jeden nebo dva zoubky. Verze s dv∞ma zoubky oznaΦuje dΘlku klφΦe 128 b, s jednφm pak on∞ch kritizovan²ch 40 b. Koncem roku 1995 byla zpochyb≥ovßna bezpeΦnost exportnφ verze SSL s ohledem na 3 incidenty, ke kter²m doÜlo. P°i prvnφm incidentu se poda°ilo francouzskΘmu studentu Doligezovi prolomit b∞hem 5 dn∙ 40b RC4 klφΦ relace, pou₧φvan² v mezinßrodn∞ dostupnΘ verzi Netscape. Druh² incident m∞l za ·kol snφ₧it tento 5dennφ limit: n∞kolika Φlen∙m skupiny "cyberpunks" se ho poda°ilo snφ₧it na 31 hodin. Vysv∞tlenφ t∞chto dvou incident∙ bylo z°ejmΘ: 40b klφΦe nejsou dosti silnΘ. Je v t∞chto p°φpadech mo₧nΘ °eÜenφ? Pro finanΦnφ instituce lze za°φdit exportnφ v²jimku a jinak v p°φpad∞ prohlφ₧eΦe Netscape je nov∞ dostupn² Fortify, kter² upravuje nedostateΦnou dΘlku klφΦe na 128 b a ·sp∞Ün∞ tak obchßzφ americkß pravidla pro kontrolu exportu (viz vlo₧en² seznam URL). DalÜφ mo₧nostφ je pou₧itφ nßstavby v podob∞ proxy se siln²m Üifrovßnφm -- nap°. SafePassage.

Export kryptografie je kontrolovßn ve v∞tÜin∞ vysp∞l²ch zemφ. VÜeobecn∞ jsou z takovΘ kontroly vy≥ata kryptografickß za°φzenφ, kterß umo₧≥ujφ pouze kontrolu integrity. Mezi zem∞, kde nenφ kontrola exportu aplikovßna, pat°φ Belgie, Dßnsko, Finsko, Ma∩arsko, Irsko a èpan∞lsko. Nap°. z Britßnie m∙₧ete vyvß₧et kryptografickß za°φzenφ pro nekomerΦnφ ·Φely bez omezenφ, ale v p°φpad∞ komerΦnφch produkt∙ podlΘhßte pravidl∙m kontroly exportu. Do Kanady lze produkty z USA vyvß₧et bez omezenφ, ale z Kanady nelze jednoduÜe reexportovat americkΘ produkty se siln²m Üifrovßnφm, kde₧to obdobnΘ kanadskΘ produkty do zahraniΦφ dodßvat lze.

Mnozφ poΦφtaΦovφ odbornφci pamatujφ COCOM (Co-ordinating Committee for Multilateral Export Controls) -- mezinßrodnφ organizaci pro vzßjemnou kontrolu exportu strategick²ch produkt∙ a technick²ch dat z Φlensk²ch zemφ, kterß m∞la jako jeden z cφl∙ zabrßnit tomu, aby citlivΘ technologie -- vΦetn∞ silnΘ kryptografie -- nebyly dodßvßny do zemφ v²chodnφho bloku. Udr₧ovala mezinßrodnφ seznam vybran²ch citliv²ch produkt∙, kterΘ tΘto exportnφ kontrole podlΘhaly. V b°eznu 1994 byl COCOM rozpuÜt∞n; do doby, ne₧ bude vytvo°ena nßhrada, bylo dohodnuto udr₧ovat status quo. Koncem tΘho₧ roku p°ipravila Rada Evropy podrobnΘ exportnφ sm∞rnice pro p°ijetφ Evropskou uniφ, obsahujφcφ rovn∞₧ seznam zbo₧φ "dvojφho u₧itφ". V tomto seznamu jsou zahrnuty i kryptografickΘ produkty a jejich v²voz proto podlΘhß zvlßÜtnφ autorizaci. Vybran²m zemφm, kterΘ nejsou Φleny EU, m∙₧e b²t ud∞leno generßlnφ oprßvn∞nφ k exportu. Jednß se o Austrßlii, Kanadu, Japonsko, Norsko, èv²carsko a USA.

Prvnφ diskuse o nahrazenφ COCOM se uskuteΦnila v zß°φ 1994. Krom∞ Φlen∙ NATO a 3 nov²ch Φlen∙ EU byly p°φtomny takΘ Rusko, ╚R, Ma∩arsko, Polsko a Slovensko. Navr₧en² nov² orgßn byl neformßln∞ nazvßn NovΘ f≤rum, a bylo odsouhlaseno ustavit tzv. Wassenaarskou dohodu o exportnφch kontrolßch konvenΦnφch zbranφ a zbo₧φ a technologiφ "dvojφho u₧itφ". NovΘ f≤rum se nßsledn∞ seÜlo ve Wassenaaru a v dubnu 1996 se uskuteΦnila prvnφ plenßrnφ sch∙ze ve Vφdni. Nov² re₧im kontroly exportu mß 2 v∞tve, t²kajφcφ se konvenΦnφch zbranφ a zbo₧φ dvojφho u₧itφ. Dφky Wassenaaru si dnes m∙₧ete stßhnout nap°. kanadskΘ produkty se siln²m Üifrovßnφm (viz vlo₧en² seznam URL).

Co je to silnß kryptografie?

Jako silnΘ Üifry jsou obecn∞ oznaΦovßny takovΘ Üifry, kterΘ jsou schopny odolat vÜem formßm kryptoanal²zy s v²jimkou tzv. ·toku hrubou silou, tj. ·toku s vyΦerpßnφm vÜech mo₧n²ch hodnot klφΦ∙. Obranou proti tomuto typu ·toku je v²b∞r Üifry, kterß mß tak velk² prostor pro klφΦe, aby se vyΦerpßvajφcφ prohledßvßnφ uskuteΦnilo v Φase, kter² nenφ realizovateln², nebo jak se Φasto °φkß, aby bylo v²poΦetn∞ neproveditelnΘ (angl. computationally infeasible).

Obecn∞ je za silnou kryptografii pova₧ovßna kvalitnφ symetrickß Üifra s dΘlkou klφΦe v∞tÜφ ne₧ 70 b a u asymetrick²ch Üifer typu RSA pak klφΦe delÜφ ne₧ 700 b. Ale nap°. vlßda USA mß tyto hranice posunuty na 56, resp. 512 b.

Charakteristick²m p°φkladem produkt∙ silnΘ kryptografie je poslednφch 20 let nejvφce studovan² Üifrovacφ algoritmus -- DES. Jeho konstrukci i kryptanal²ze a posun∙m hranice odolnosti jsme se v∞novali v dφlu 28. Metody schopnΘ prolomit DES jsou i dnes velmi obtφ₧nΘ a drahΘ, tak₧e DES je ve sv∞t∞ dßle vyu₧φvßn; k dispozici jsou samoz°ejm∞ i verze trojitΘho DESu. Studie expert∙ JaponskΘ nßrodnφ banky a YokohamskΘ nßrodnφ univerzity ze srpna 1996 odhadujφ 3-DES jako bezpeΦn² systΘm do poloviny 21. stoletφ, a s p°ihlΘdnutφm k dv∞ma specißlnφm ·tok∙m minimßln∞ do roku 2020. Toto obvykle nezmi≥ujφ r∙znΘ "odbornΘ" Φlßnky v naÜem tisku, kterΘ s cφlem propagovat vlastnφ proprietßrnφ algortimy Üφ°φ ne·plnΘ informace o "vy°φzenΘm" DESu.

Stav v roce 1996

K urΦitΘmu uvoln∞nφ americk²ch exportnφch zßkon∙ t²kajφcφch se americk²ch obΦan∙ doÜlo v lednu 1996: ITAR (International Traffic in Arms Regulations), kter² °φdφ pou₧φvßnφ kryptografie, povolil doΦasn² osobnφ export silnΘ kryptografie americk²m obΦan∙m cestujφcφm do ciziny. V °φjnu 1996 americk² viceprezident Gore vyhlßsil novou politiku kontroly exportu Üifrovacφch produkt∙ a slu₧eb s ·Φinnostφ od 1. 1. 1997 -- EAR (Export Administration Regulations). Koncem roku 1996 se toti₧ zaΦalo nad ITAR nebezpeΦn∞ (pro vlßdu) mraΦit a 18. 12. 1996 doÜlo k tomu, ₧e kalifornsk² soud pozastavil ITAR jako omezenφ odporujφcφ duchu prvnφho dodatku americkΘ ·stavy (o svobod∞ projevu). Rozhodnutφ soudu platilo, ale jen pro Severnφ Kalifornii, jinde zßvaznΘ nebylo. Zßstupce ₧alujφcφho -- Daniela Bernsteina -- podal 30. 12. 1996 ₧alobu i na EAR, proto₧e rozsudek ohledn∞ neplatn²ch ITAR je sice p∞kn², ale prakticky k niΦemu. Do platnosti EAR bylo u komerΦnφch Üifrovacφch produkt∙ spoleΦnostem zakßzßno prodßvat mimo Severnφ Ameriku produkty s dΘlkou klφΦe v∞tÜφ ne₧ 40 bit∙. Uvoln∞nφ kontrol potrvß 2 roky. Po tΘto dob∞ nebude povolen export produkt∙, kterΘ nebudou podporovat obnovu klφΦ∙ (angl. key recovery). Obnova klφΦ∙ mß nahradit americkou administrativou navr₧en² tzv. "Clipper Chip", °eÜenφ, kterΘ p°edpoklßdalo ·schovu klφΦe vlßdou. LeckterΘ americkΘ firmy ale neΦekajφ a °eÜφ problΘm nap°. akvizicφ firem v zahraniΦφ (Sun v Rusku), jinΘ zase zaklßdßnφm zahraniΦnφch poboΦek (RSA v Japonsku).

SouΦasnß situace

Evropskß unie byla koncem roku pod siln²m tlakem USA na zavedenφ spoleΦn²ch (rozum∞j velmi restriktivnφch) opat°enφ nejen pro export, ale i pro vnitrostßtnφ pou₧itφ Üifrovacφch produkt∙. Zßm∞ry USA naÜly oporu jen u Britßnie a tak EU tyto nßvrhy USA odmφtla. P°edevÜφm N∞mecko, Belgie, Finsko, Dßnsko a Irsko stojφ za nßzorem, ₧e "zßst∞rky" jako sledovßnφ kriminßlnφch ₧ivl∙ neospravedl≥ujφ vlßdnφ ·°ednφky sledovat privßtnφ komunikaci obΦan∙. RozumnΘmu Φlov∞ku je jasnΘ, ₧e ukrajinskß mafie nezaΦne pou₧φvat vlßdou p°edepsanΘ slabΘ Üifrovßnφ jen proto, ₧e se zalekne mo₧nΘho trestnφho postihu za pou₧φvßnφ p°φliÜ silnΘho Üifrovßnφ.

V prvnφ polovin∞ zß°φ rozhodl Kongresov² v²bor USA, ₧e software, kter² chrßnφ soukromφ, je p°edm∞tem kontroly a nesmφ b²t dßle prodßvßn. Sch∙ze zpravodajskΘho v²boru Sn∞movny hlasovala pro zcela p°epracovan² nßvrh, kter² zabudovßvß do vÜech budoucφch Üifrovacφch produkt∙ "VelkΘho bratra". Nov² nßvrh, nazvan² orwellovsky "BezpeΦnost a svoboda pomocφ Üifrovßnφ" (SAFE -- Security and Freedom through Encryption), obsahuje mj. nßvrh:

- kontrolu exportu budou provßd∞t ministerstva obrany a obchodu; software -- bez ohledu na jeho sφlu -- m∙₧e b²t exportovßn pouze v p°φpad∞, ₧e obsahuje zadnφ vrßtka s ·schovou klφΦ∙ a je nejprve p°edlo₧en vlßd∞; exportnφ rozhodnutφ nejsou p°edm∞tem soudnφ kontroly a "prezident m∙₧e v²konn²m p°φkazem nep°ihlΘdnout k jakΘmukoliv ustanovenφ zßkona", domnφvß-li se, ₧e je ohro₧ena nßrodnφ bezpeΦnost.

Zatφmco o m∞sφc d°φve se v USA diskutovalo o kontrole exportu, bojuje se nynφ o to, jak p°φsnΘ budou domßcφ kontroly. A zßv∞r t²kajφcφ se kontroly exportu? Software bez ohledu na sφlu Üifry m∙₧e b²t exportovßn pouze v p°φpad∞, ₧e obsahuje zadnφ vrßtka ·schovy klφΦe a je nejprve p°edlo₧en vlßd∞. Nekupte to.

1. PGP -- asi nejznßm∞jÜφ a nejpou₧φvan∞jÜφ produkt se siln²m Üifrovßnφm. Je dostupn² zdarma pro nekomerΦnφ pou₧itφ. Jeho detailnφmu popisu se budeme v∞novat v jednom z dalÜφch dφl∙. Je t°eba v∞novat pozornost rozdφl∙m mezi starÜφmi verzemi do 2.6.3, "externφmi" verzemi do verze 4 a novou °adou od verze 5.0. Mß velmi dobrΘ propojenφ nap°. s Eudorou, Pegasem, ale i dalÜφmi poÜtovnφmi klienty. NovΘ verze bohu₧el podporujφ obnovu klφΦ∙. Na Sφti jsou dostupnΘ jak vlastnφ PGP programy, tak klφΦe desetitisφc∙ jednotlivc∙, ale i grafickß rozhranφ pro nßroΦnΘ. Mj. nap°. <ftp.pgp.net/pub/pgp/README.html>

2. Entrust Solo -- nejni₧Üφ z °ady produkt∙ ÜpiΦkovΘ ottawskΘ firmy Entrust. Solo je dostupnΘ zdarma pro nekomerΦnφ ·Φely a na dobu 30 dn∙ takΘ firmßm pro ohodnocenφ. Umo₧≥uje Üifrovßnφ/deÜifrovßnφ soubor∙, vytvß°enφ/verifikaci digitßlnφho podpisu, bezpeΦnΘ mazßnφ soubor∙ a jednoduchou sprßvu klφΦ∙. Je velmi dob°e integrovatelnΘ s prost°edφm MS Windows a aplikacemi jako MS Word. V souΦasnΘ dob∞ je dostupnΘ pouze pro Windows NT/95. <www.entrust.com/solo.htm>

3. Fortify -- zßplata pro opravu Üifrovßnφ u SSL ve WWW prohlφ₧eΦφch Netscape °ad 3.x a 4.x. Je zcela zdarma a takΘ voln∞ redistribuovateln² (s urΦit²m omezenφm proti komerΦnφmu zneu₧itφ). Umo₧nφ pou₧itφ 128b klφΦ∙ namφsto b∞₧n²ch 40b. Bohu₧el neud∞lß nic s generovßnφm asymetrick²ch klφΦ∙ (KEYGEN) o dΘlce 512 b, ani s Üifrovßnφm pro S/MIME, kterΘ u Messengeru z∙stane na 40 b. <www.geocities.com/Eureka/Plaza/6333/>