))))))
Nová
pravidla americké vlády pro vývoz šifrování přinášejí dobré zprávy i špatné
zprávy
Kelly Blough
Ředitel vztahů s vládou
"Dobrým začátkem" byla téměř jednomyslná reakce na oznámení viceprezidenta Gorea ze 16. září o nové šifrovací politice Spojených států. I když nově oznámená politika se neblíží splnění všech námitek ze strany průmyslu týkajících se kontroly vývozu kryptografie, posunuje se směrem k tvárnému řešení pro šifrování. Nová politika odráží poznámky klíčových společností v oblasti bezpečnosti sítí, mezi které patří také Network Associates. Důležitější je, vláda jasně naznačila, veřejně i při uzavřených rozhovorech, že nová politika je myšlena jako základna, ne jako strop. Rozsah, v jakém probíhaly předběžné vládní konzultace se zástupci průmyslu, odráží pozitivní trend, který, jak vláda naznačila, bude pokračovat i v následujícím roce. Ve skutečnosti byli klíčoví aktéři (včetně Network Associates) kontaktováni vládou a vznesli návrhy, jak pokračovat v současném pohybu a učinit další kroky k následné reformě. Network Associates zamýšlí pokračovat ve spolupráci s představiteli vlády a rozšířit nová pravidla tak, aby obsáhla co nejvíce našich zákazníků a trhů.
Co tedy nová politika skutečně znamená pro společnosti, které si přejí exportovat produkty se silným šifrováním ze Spojených států? Pro většinu z nich je výsledek smíšený.
Dobrá zpráva
Mezi dobré zprávy patří, že americké společnosti již nebudou muset podstoupit nepříjemnosti spojené s vyřizováním vývozních licencí nebo licenčních ujednání pro šifrování. Nová politika obsahuje návrh licenční výjimky, procesu, který je mnohem méně obtížný než vývozní licence. Podle nových pravidel budou společnosti moci zavádět šifrování v celém podniku. Šifrovací produkty libovolné síly mohou být rozeslány zahraničním pobočkám amerických společností. Dodávky těmto zahraničním pobočkám mohou přijít od kohokoli ve Spojených státech. Většina vývozních licencí má jednoho "vývozce položky", který je jediný oprávněn dodávat zboží na základě licence. Nová pravidla dovolují komukoli vyvézt dotyčný produkt. Americké společnosti tak mohou objednat šifrovací produkty, nakonfigurovat je podle potřeby a dodat je přímo svým zahraničním expoziturám. Nebo tyto zahraniční expozitury mohou objednat produkty přímo od výrobce či distributora. Stručně řečeno, zákazník si vybírá způsob, jakým si obstará šifrovací produkty.
Vláda pomalu rozšiřuje seznam organizací, které jsou oprávněny získávat silné šifrování z USA. Aktuální seznam zahrnuje většinu bank po celém světě. Nová politika obsahuje širší rozsah finančních institucí, stejně jako pojišťovacích firem, zdravotních a lékařských organizací a obchodníků s cennými papíry. Avšak spolu se seznamem se rozšiřují také podmínky a soudní výstrahy spojené s každým navrženým koncovým uživatelem. To je skutečně smíšený výsledek (viz Špatná zpráva níže).
Mezi pozitivními důsledky zářijového oznámení je jasný ústup od vládou nařízeného a schváleného standardu "obnovení klíče" (v originále key recovery) a krok směrem k více trhem podporovanému konceptu "obnovitelnosti" (v originále recoverability). Tento koncept byl uveden jako součást tak zvané aliance "Private Doorbell" (soukromý zvonek u dveří). Network Associates, spolu s dalšími společnostmi sdruženými v této alianci, navrhla používání technologií, které již existují v produktech dostupných dnes na trhu. Návrh, který směřuje na ministerstvo obchodu, předpokládá použití technologií poskytujících jistý stupeň dostupnosti otevřeného textu prostřednictvím např. síťových administrátorů. Společnosti v alianci "Private Doorbell" měly nakonec přesvědčivé argumenty, že pokud jisté produkty umožní síťovým operátorům získat přístup k datům na základě požadavku právní autority, pak tyto produkty by měly být uvolněny pro vývoz, aniž by musely obsahovat vládou definovaný standard obnovení klíče. Očekává se, že nadcházející regulace definují "obnovitelnost" jako právě tento typ šifrovacích produktů na úrovni síťové vrstvy a také další typ šifrovacích aplikací, které umožní společnostem uchovávat zálohy obnovených klíčů, bez ohledu na to, zda vlastnost "obnovení" je v produktu povinná nebo volitelná.
Špatná zpráva
Spolu s dobrými zprávami se ve vládní šifrovací politice objevují vždy
i špatné zprávy a toto oznámení se nijak neliší. Zaprvé, i když uvolnění
kontroly 56bitových produktů zbavuje tíživých a náročných podmínek pro
vývoj plánu technologie "obnovení klíče", ve skutečnosti nedává k dispozici
podnikům ani jejich zákazníkům nic nového. Většina zákazníků, zvláště těch
s mezinárodní působností, se dožadují 128bitového šifrování bez dalších
podmínek.
Ještě více znepokojující je fakt, že úřady, které se podílejí na psaní těchto regulací, se stále nemohou dohodnout na přijatelné délce asymetrického klíče. Podle některých vládních činitelů chce NSA omezit vývoz asymetrické kryptografie na méně než 1024 bitů, zatímco ministerstvo obchodu by raději použilo termín "menší nebo rovno". Druhá varianta vyplývala jednoznačně ze zářijového oznámení, ale spor pokračuje a mohl by způsobit odložení nových opatření. Publikace těchto opatření se nyní očekává nejdříve koncem prosince.
Jak už je naznačeno výše, seznam organizací, kterým je povolen vývoz šifrování, má smíšený efekt. Regulace vyčleňují z definice zdravotních a lékařských organizací biotechnologické a farmaceutické společnosti a tím vynechávají některé z nejdůležitějších světových zákazníků. Telekomunikační společnosti a poskytovatelé připojení na Internet jsou vypuštěni ze seznamu komerčních společností, které mohou získat "obnovitelné" produkty, což je další rána prospěchu odvětví a jeho zákazníků. Konečně definice obchodníků s cennými papíry má být teprve oznámena a může se stát také jablkem sváru mezi vládními úřady, což by dále opozdilo nová opatření. (Úřadům zabralo více než rok, než se shodly na definici "finanční instituce", takže teprve minulý měsíc byla publikována politika oznámená poprvé v květnu 1997.)
Společnosti, které chtějí využít nových regulací, najdou v jejich implementaci několik problémů, mezi nimi to, že vývoz bude nyní rozlišen podle místa určení. Např. pravidla pro "obnovitelné" produkty se vztahují na 42 zemí, zatímco u "finančních institucí" se hovoří o 45ti zemích. (Česká republika není ani v jednom z těchto seznamů, což je jistě velká škoda, pozn. překl.) Tyto změny přinesou firmám jako Network Associates zisk, ale vytvoří krátkodobě byrokratický zmatek. Velcí dodavatelé softwaru se pokusí vyškolit a zavést vývozní ochranu pro domácí i zahraniční obchodní kanály. Jako obvykle budou mít největší prospěch z nových pravidel právníci a konzultanti.