米国からの輸出制限に関するプログラマーの懸念


21

暗号化ソフトウェアに関する米国の輸出規制を満たさなければならないソフトウェアを設計および公開するとき、どの側面を考慮する必要がありますか?

ウィキペディアでは、暗号化ソフトウェアに割り当てることができるさまざまなカテゴリがあると述べています。また、輸出先(中国、ロシアなど)も大きな役割を果たしています。しかし、私はこれらの制限と私の仕事への影響を本当に理解していませんでした。

誰も私にそれを説明できますか?

アプリケーションを公開しようとすると(たとえば、AppleのApp StoreやAndroidのマーケットで)、アプリケーションが米国の輸出規制を満たしていることを確認する必要があるからです。また、パスワードなどの安全な情報ストレージを提供する多くのアプリケーションがあります。

彼ら全員が政府に通知し、レビューを求めましたか?もちろん、彼らがそうしたかどうかはわかりません。しかし、彼らはこれを行う必要がありますか?


1
あなたの最初の予後は真実になりました。しかし、2番目については、これは多くのプログラマーにとって興味深い質問ですね。多くは、暗号化アルゴリズムを使用するソフトウェアを公開しています。だから誰かが知っている必要があります。
caw

はい、確かに、だれもあなたがあなたに決定的な助言を与えるためにしたことについて十分に確信しているという意味ではありません。以下の「弁護士に会う」をご覧ください!
ベン

詳細については、FIPS Webサイトを参照してください
Ubermensch

1
このようなことについては、弁護士に相談します。私のキャリアは、国内および海外の顧客向けの製品を製造する請負業者を含む防衛産業です。法務チームだけでなく、すべてがガイドラインに従っていることを確認するために特定の輸出管理の専門家がいます。気をつけるべきことがたくさんあります。ソフトウェア開発者からの回答に頼るのは、重要なことを見落とすのが簡単なので賢明ではありません。
トーマスオーエンズ

1
ありがとう、トーマス。AES暗号化を使用するAndroidマーケットには多くのアプリケーション(すべてがガイドラインを満たしている必要があります)があるため、これは明らかなケースだと思いました。すべての銀行アプリ、パスワード保存アプリなどを想像してみてください。そして、私は自分のアプリケーションを販売せず、無料で提供しています。したがって、弁護士に尋ねるのは高価です。
12

回答:


15

コードがオープンソースの場合、制限は非常に軽量です。制限されている国またはエンティティにコードをエクスポートすることはできません。ソースおよびオブジェクトファイルをダウンロードできる場所を政府に通知する必要がありますあなたは、によってダウンロードされたコードを防ぐために、いくつかの努力しなければならない、キューバ、イラン、リビア、北朝鮮、シリア、スーダンを。これらの国にエクスポートしないようにすべてのユーザーに依頼する必要があります。

暗号化プリミティブを含むすべての「パッケージ」および「ファイル」のリストを準備することが期待されます。(認証または整合性の制御にのみ使用されるハッシュプリミティブをスキップすることが許可されたことを思い出します。)

コードがオープンソースでない場合は、独自のコードで例外を申請する必要があります。ソース/オブジェクトファイルの類似リストと、どのメカニズムがどのアルゴリズムに実装されているかを準備する必要があると思います。さらに、ライセンスが許可される前にレビューが必要になると予想しています。

2011年12月30日現在、私の情報はすべて正しいと考えていますが、私は弁護士ではないため、法的助言を提供することはできません。これらは、現在利用可能な米国政府のリソースへの単なるポインタです。


1
ありがとうございました!これは本当に複雑で面倒なように聞こえます。質問の私の編集を参照してください:この場合でも、ユーザーが情報を自由にエンコードまたはデコードできるソフトウェアのみの説明ですか?
caw

私の記憶では、ハッシュされたパスワードは彼らが興味を持っているものの1つではないので、もしそれがあなたのアプリケーションがすることなら、あなたはほぼ間違いなく大丈夫です。他のアプリケーション作成者が何をするかについて話すことはできません...
sarnold

大丈夫ありがとう。たとえば、オンラインバンキングアプリケーションやパスワードを例にとると、両方ともデータを暗号化して安全に保管します。これで問題ないのですか、それとも報告してレビューする必要がありますか?
11

ホストOSに完全に依存して暗号化プリミティブを提供している場合は、何もする必要はありません。:)
sarnold

1
JAVAの無制限の強度の管轄ポリシーファイルから:JCEアーキテクチャでは、管轄ポリシーファイルを介して柔軟な暗号強度を構成できます。一部の国の輸入制限により、Java SE 7ソフトウェアと共に配布される管轄ポリシーファイルには、利用可能な暗号強度に関する制限が組み込まれています。このダウンロードバンドル(このREADMEファイルを含むバンドル)の管轄ポリシーファイルには、暗号強度の制限は含まれていません。これはほとんどの国に適しています。
1

7

独自の暗号化ルーチンを書いていますか、それとも単にサードパーティのルーチンを呼び出していますか?

私が尋ねる理由は、たとえばWindowsでMicrosoft提供のルーチンの1つを使用している場合、制御ソフトウェアを公開または配布するのはあなたではないためです。その場合、ソフトウェアは制限されません。


答えてくれてありがとう!これが本当なら、それは素晴らしいことです:) AES、SHAなどの有名なアルゴリズムを使用します。したがって、他のアルゴリズムを再利用し、ネイティブ関数を呼び出します。独自の暗号化アルゴリズムを公開しません。
caw

マルコ:それは間違いなく行く方法です。どのオペレーティングシステムをターゲットにしていますか?
ジョニーボート

3
マルコ:顧客の電話で利用できる最高のルーチンを使用するようにプログラムをコーディングし、実行時に確認します。キューバまたは北朝鮮でどれくらいの製品を販売しますか?
ジョニーボート

1
WindowsでMicrosoft提供のルーチンクリプトを使用する場合は、提供していないので、それらをエクスポートしていません。既に存在する場合は、おそらくそれを呼び出しても問題ありません。標準アルゴリズムの標準実装を使用することで暗号化が提供され、エクスポートすることもできます。(また、現場での経験がない限り、生産目的で独自のセキュリティソフトウェアを作成しないでください。簡単に間違える可能性があるものが多すぎます。)
デイヴィッド

1
暗号化APIを使用しているだけであれば、暗号化エクスポートのすべてをファイルする必要があると確信しています。
CodesInChaos

1

これが興味のためだけの質問であれば、他の答えは素晴らしいです。それがあなたが実際にやっていることに関係しているなら?

弁護士をご覧ください。今。

まだ待っていますか?次に、展開します。

弁護士に会いに行ってください。今。待つな、考えないで。まだ持っていない場合は見つけてください。彼らに仕事法を仕事として扱う誰かと連絡をとるように頼みなさい。彼の資格情報を確認し、正しければ、その人と一緒に座ってアドバイスを求めるお金を提供します。条件について自由に交渉してください。

あなたが私を信用していないなら、私はこの分野で多くの経験がなくても非常にはっきりしていることを認めるでしょう。2010年5月に書かれたこの記事を読んでください

もしあなたがインディーズゲームビジネスを営もうとしているなら、何よりもまずビジネスを営んでいることになります。すべての地方法、州法、および連邦法が適用されます。ビジネスライセンスが必要です。またはライセンス。すべてのビジネスには弁護士と会計士が必要です。私は個人的にタップの専門弁護士(賢明なコース)を持たずにやったことがありますが、すべてのビジネスには熟練した会計士が必要です。

これは、鎧を着たトカゲがゴブリンを打ち負かすゲームを販売する2人でビジネスを営むが、自分の弁護士にいつでもアクセスできないことでリスクを冒していることに気付いているということです。

あなたはビジネスですか?わからない。あなたが何かを売っているなら、あなたはそうかもしれません。誰が知っていると思いますか?弁護士

非常に高価な弁護士に長い間支払う必要はありませんが、少なくとも、法的に危険な可能性のあることを行う前に物事を実行できる人を予約して利用できる人を確保する必要があります法的に危険な可能性のあるもの。

ここにあるからです。前もってやれば、多くのことが当てはまります。

  1. あなたは政府を台無しにして、政府の注意を引き付ける可能性が低くなります。
  2. あなたが失敗したとき、そしてあなたがあなたを助けるためにあなたが電話することができる既存の連絡先を含めて、それについて何をするかについて、あなたはより意識しています。
  3. 政府を混乱させ、政府の注意を引き付ける場合、あなたはすべてを正しく行おうとしたことを説明でき、弁護士からのメモでそれを証明できます。

そうしないと?まあ、私は最近、何かを処理する能力がないことを知っていて、アドバイスを求めない場合、それは法的にあなたが故意に台無しにすることを選んだことを発見しました。お金では、それは詐欺です。輸出制裁では、反逆罪と同じ規模だと思います。

インターネット調査について: このブログ投稿は2011年1月17日に執筆されました。このようなものが最近変わったこと。したがって、再び変化する可能性があります。すでに変更されている可能性あります。つまり、誰かがこれから3年後に盲目的にフォローすると、彼らは裏切り者ではないことを適任の男性に説明するために真剣な時間を費やすことになり、ブログの投稿は合法的な文書であると考えるのに十分なだけです。

私自身の心の安らぎをお願いします。弁護士に会いに行ってください。


この詳細な回答をありがとうございます。明確なケースだと判断しやすいと思っただけです。なぜそう思ったのかという質問(上記)へのコメントに書きました。
12

はい。AppStoreを通じてのみ公開する場合、および暗号化に関して特に目新しいことをアプリが実行していない場合は、この場合Appleに直接相談してルールを取得することができます。正直に言うと、あなたが提出するとき、それが非準拠であれば、彼らはそれを投げ返すだろうと思います。App Storeを認可された国から締め出すための独自の保護手段があります。彼らはまた、このようなものに対処するための独自の法的チームを持っています、そしてそれは弁護士に対処するものとしてカウントされます。
-deworde

1
私が答えた質問は、より一般的な「暗号ソフトウェアに関する米国の輸出規制を満たさなければならないソフトウェアを設計および公開する際に、どの側面を考慮する必要があるか」でした。Android / iOS固有の場合、相談する人はAppleとGoogleです。あなたがすることを計画していることを説明する電子メールを彼らに送ってください、そして、彼らはおそらくあなたのためにすべての手順を用意しているでしょう。
-deworde

しかし、何かがうまくいかない場合、地元の弁護士にあなたの存在とあなたが何をしていたかを知ってもらうのが賢明だと思います。念のため。
-deworde

追加のコメントをありがとう。あなたの言葉を心に留めておく;)
caw

0

少し違う答えですが、なぜ米国で暗号化コードを書くのですか?残りの製品を米国で作成したとしても、暗号化部分を他の場所で行うことは非常に理にかなっています。製品を米国で販売することはできますが、米国から輸出するのではなく、米国に輸入します。

余談ですが、初期のPGP時代には、ソースコードを含む本を印刷し、その本をエクスポートすることにより、エクスポートルールが回避されました。


3
これは非常に悪い考えです。米国の制裁/輸出規制は、米国で登録されたすべての会社に適用され、ベンダーと販売を決定します。はい、非常に賢い弁護士であれば、クレイジーな法的な策略を使用して周りを掻き回す人々の例を見つけるかもしれませんが、しないでください。大企業はこれを台無しにすると数億ポンドを支払わなければなりません。中小企業は、誰もが刑務所に行くか、破産するか、その両方になります。
-deworde
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.