Министерство торговли США (DoC) изменило (http://www.ddj.com/linux-open-source/220800130) в сторону ужесточения правила оборота технологий, в которых используется стойкие алгоритмы шифрование, такие как RSA, DES, SHA, Blowfish, Diffie-Hellman, ElGamal и AES. Данные криптометоды входят в разряд военно-стратегических и их реализация с последующим экспортом за пределы США требует приобретения специальной лицензии. По новым правилам любая организация или частное лицо, работающие будь-то единолично или совместно над opensource проектом должны уведомлять DoC перед тем, как открывать доступ к коду через интернет.На практике такое решение будет означать, что каждый индивидуальный разработчик, либо компания, участвующая в открытом проекте должны будет озадачиться получением персональной лицензии разрешающей работу над ПО. Т.е. так как проект, размещенный в интернет, по определению доступен за пределами США, на него распространяются новые правила министерства торговли. Более того, если компан...
URL: http://www.ddj.com/linux-open-source/220800130
Новость: http://www.opennet.me/opennews/art.shtml?num=23972
Мда, маразм крепчал...
Господа, а вас не смущает, что в старой доброй РФ для разработки и распространения криптосредтв уже давно требуется получать лицензию и ФСТЭК, ФСБ и (вроде бы) ФАПСИ? Или в свем глазу бревно...Да и сама "сильная" криптография в РФ весьма на шатком положении для граждан. И требует отдельное лицензирование на использование.
PS
И не говорите, что никого не трогают.
Лицензия нужна от ФСБ только.
> (вроде бы) ФАПСИага ага, ФАПСИ, ФСТЕК, ФСБ, КГБ!!! и много других страшных слов Вы знаете.
11 марта 2003 года В.В. Путин подписал указ, согласно которому упразднил ФАПСИ, а Вы всё к ним ходите лицензию получаете ? ;)
ps: коллега аноним, Вы если не в курсе то лучше уж помолчите, чем заведомо ложную информацию распространять, а лучше почитайте законодательные акты и выясните в конце концов что именно требует лицензирования.
Для особо одаренных выделю
> (вроде бы)Это значит, что я от этой темы _сейчас_ отошел, и привилегию проверить точность утверждения оставляю для вашей совести в_части_ФАПСИ. В прочем, проверять всё на вшивость - хорошоая привычка.
Касаемо страшных слов: для разработки и внедрения криптосредств требуется получать лицензию ФСБ. Для использования - сертифицировать рабочие места (в случае ИС). В случае экспорта криптосредств (т.е. распространения за границы РФ, дустим, через Internet) - еще и ФСТЭК.
Вы хотя бы эту тему вниз прокрутите, там написано не один раз что нужно лицензировать и когда.
О господи, по-моему под стражу надо заключить тех кто проталкивает такие законы. За саботаж прогресса и идиотское крючкотворство.
А аптечку и самолёт они не хотят присвоить собственностью американской армии и позволять остальному миру делать их только с их разрешения? Армия же пользуется. И начихать на армии других стран - они пуп земли. Не нравится - нападайте. Взяли и присвоили себе открытые разработки. Каково будет программистам, продающимсофт из или в США? Предлагаю переименовать SHA, blowfish и так далее и незначительно их изменить.
> Предлагаю переименовать SHA, blowfish и так далее и незначительно их изменить.предлагаю не переименовыывть, а просто не ездить в США
Предлагаю переименовать США и незначительно их изменить.
Я передумал. Если так сделать - США объявит, что для использования любого шифрования надо спрашивать у них разрешение.
Форк? ;)
Сплит. :]
Теперь амеранские программисты будут хостить проект на заграничных доменах, а популярные дистрибутивы предлагаю ориентировать на весь мир, кроме америки. В США будут использоваться европейские дистрибутивы, создаваемые американцами.
+1. сам подумал так же )))))
OpenBSD, например.
т.е. погодите.. всякие постфиксы, апачи, давкоты, опенссл-и и пр. становится вне закона??
Именно так. Пусть использующие эти технологии программисты платят налог, как какие-нибудь изготовители водки. Спришивается: а по какому праву они себе присвоили эти методы шифрования? Они их что ли сделали?
Ну вообще-то да, - это они их сделали - все перечисленные алгоритмы были разработаны американцами...
Хотя согласен, что данный закон полный маразм.
Впрочем нам-то какая разница? Это американские законы, которые не работают и не должны работать у нас. OpenSource на то и опен, что даже если ихнее правительство постановит вообще закрыть все проекты использующие подобное шифрование - берем, форкаем и продолжаем пользоваться. И пусть они там со своими законами варятся в собственном соку.
AES бельгийцы создали.
Вообще-то, они создали Rijndael, но NIST, наверное, с дальновидной подачи DoC, переименовали его в AES. Они видели будущее.
теперь просто в любую реализацию данных алгоритмов перед выпуском должна будет встроена уязвимость, иначе разрешения они не получат.
>AES бельгийцы создали.
>Вообще-то, они создали Rijndael, но NIST, наверное, с дальновидной подачи DoC, переименовали
>его в AES. Они видели будущее.как это ? победителем конкурса AES стал Rijndael, кого во что переименовали ? O_o
Благодарим американцев за развитие европейского (и нашего) рынка хостинга.
так и где оригинальное письмо DoC?
А я уж думал только у нас мразматики у власти сидят
те кто у нашей власти -- они просто берут пример с США , но как обычно с запозданием :-)
И, казалось бы, почему не оставить США просто без шифрования и всего что попадает под их патенты (типа MP3)... Европе-то плевать, Китай вообще глубочайше ложил на это дело, да и у нас не менее прохладное отношение.Ведь сами быстро заверещат, если лишатся технологий.
Let them require anything they want ,,, soon they will realize they are alone and it will get very scary!
А как у нас в России с этим? На сколько я слышал у нас по закону запрещено использование не сертифицированных средств шифрования.
Ну а по сути: если твой алгоритм (реализацию) шифрования спец службы могут взломать, тогда его разрешат (может быть), а если нет тогда увы (ну тут и так всем все понятно).
Только для госструктур и вроде банковского сектора. Насчет взлома - ГОСТ до-сих пор криптостойким является.
Алгоритмы да, а так называемые "законченные решения" представляют собой большой и сложный в анализе программный комплекс, который может содержать бекдоры.Дырка в реализации может быть и при правильно реализованном надежном алгоритме.
>Только для госструктур и вроде банковского сектора. Насчет взлома - ГОСТ до-сих
>пор криптостойким является.Гост достаточно неоднозначен. Например в гостовском алгоритме шифрования используется таблица замены. В принципе достаточно сильно влияющая на свойства алгоритма. Ну а вот методы получения хороших таблиц в описании стандарта ... не определены.
Госконторам данные таблицы АФАЙК выдает соответствующая контора. По какому принципу они посчитаны - а хрен бы его знает. Как хрен бы его знает и нет ли там какой слабины.
Хотите после этого пользоваться данным шифрованием? Пользуйтесь. А я лучше буду использовать более документированные алгоритмы, которые без непоняток и пропущенных мест в описании...
>у нас по закону запрещено использование не сертифицированных средств шифрования.в госучреждениях онли.
...и во всех других, желающих обмениваться зашифрованной или подписанной информацией с парвыми.
>...и во всех других, желающих обмениваться зашифрованной или подписанной информацией с парвыми.
>+ для всех работающих с персональными данными
запрещено только для госучреждений
для коммерческих организаций - на усмотрение самих организаций
Причем не только для госучереждений, а еще и только для защиты персональных данных.
Скажем точнее: лицензирование и сертификация требуются, если проект будет обрабатывать ЛЮБУЮ информацию, охраняемую законом. Персональные данные - один из видов охраняемой законом информации.
У нас запрещено использовать "стойкие алгоритмы шифрования". Как и в Китае и США. А к ним относятся, по мнению законодателей, именно гос стандарты этих стран.
Так что все реализации этих (сертифицированных) алгоритмов запрещены к применению без разрешения сверху.
Я так понял, что по закону в США все перечисленные стали стойкими и их использование запрещено.
Маразм! Законопослушные использовать не будут и их переписку и трафик (абсолютно бесполезно) смогут подсматривать все кому не лень, а не законопослушные (читай преступники и прочие) будут использовать и хрен кто подсмотрит.
Что то мне подсказывает что это начало конца. Лицензирование будет или супер сложным и давать его будут только избранным после внесения каких либо скрытых возможностей для спецслужб или сильно уж платным, что отобьет желание использовать перечисленные алгоритмы.С другой стороны скорее всего смышленый индус скрафтит довольно быстро новый "свободный-белый-пушистый-теплый-кошерный" алгоритм криптования, который не поддастся взлому с математической точки зрения, но будет содержать махонький подлом о котором будет первое время знать только автор, а потом и весь ZOG.
Радоваться особо нечему, поживем - увидим.
> С другой стороны скорее всего смышленый индус скрафтит довольно быстро новый "свободный-белый-пушистый-теплый-кошерный" алгоритм криптованияДля начала, не индус, а китаец. Они сейчас в криптографии очень круты, куча исследований именно от них их.
А затем - есть процесс peer review. Никакие законы об _экспорте_ не отменят то, что если будет какой-то массовый алгоритм, то его рассмотрит куча опытных специалистов по криптоанализу.
1)Ого го, а я то думал что индусы это и есть единственные исконные арийцы. По крайней мере, по философии Ницше и по материалам Андербе.2)Бедным тупым антисемитам точно не найти уязвимость в кошерном opensource алгоритме. Вероятно криптографические алгоримы только в ZOG рубят с их "еврейской математикой".
интересно, как ты предлагаешь подсунуть скрытые возможности в фосс-проекты
история с криптостойкостью сотовых повторяется...
Скажите, пожалуйста, а последнее предложение в новости -- это измышления автора статьи или переводчика?
Opennet -- это, блин, новостной сайт или аналитический?
Если аналитический -- прошу предоставить список литературы, которым автор пользовался для создания последней фразы в новости.
BTW там есть ссылочка "исправить". Воспользовался.
Ну все-таки хочется, чтобы автор нес ответственность. Тем более, что правки проверяются, насколько я понимаю.
интересное кино
ну ну
поглядим во что это все выльеться и чем закончитьсяимхо америка ищет на чем заработать
так что готовтесь
вспомнят патенты на все и всяэто еще цветочки
вот американские олигархи подростут и доберуться до интернета со всем его опен соурсом
вот там есть где место разгуляться ))))ps:
это ответ америки на то что у нее с форт нокса все страны забрали свое золото
>ps:
>это ответ америки на то что у нее с форт нокса все
>страны забрали свое золотоВы талантливы, как обычно.
Запустить сайт проекта на хостинге в другой стране и все.
В эпоху интернетов законодательно что-то ограничивать в этой сфере...
Это только в странах с "вождем" во главе.
Как в китае врубили "фаерволл интернета" и режут все, что не попадает под политику партии.
Гугл тот же фильтрует ответы для китая.
Эффективность этих мер - другой вопрос)Кстати у нас, если захотите продать циску, в которой есть функции шифрования, тоже нужна бумажка от фсб.
Но у нас понятно, у нас сормы всякие и прочая.
А там США...
> Запустить сайт проекта на хостинге в другой стране и все.Только жизненно-важные органы Интернет типа ICANN-то всё-равно в США...
Надо срочно форкать Интернет! :)
>Надо срочно форкать Интернет! :)интернет не нужен :)
http://ru.wikipedia.org/wiki/Netsukuku
> интернет не нужен :)А как вы трафф за океан будете слать? За свой счет проложите кабели? Или будете траффик бочками по морю пускать? Или ... как?
вы невнимательно читали. техническое обеспечение необходимо, а интернет со своими дурацкими ограничениями, бюрократическими проволочками и архиачными протоколами, модернизированные версии которых без особого успеха пытаются внедрить, давно устарел.
>Надо срочно форкать Интернет! :)Из Томска фидонет, к сожалению, убрали... А был в 90-х.
а там CALEA
Ну если ты американец или американская компания (а очень многие полезные проекты оттуда двигаются) это тогда только переходить на нелегальное положение, с исходного кода убирать авторство и копирайты, вычищать фамилии и названия фирм, чтобы не узнали. Или получать лицензию, ведь если там не ошиблись с переводом (интерпретацией) то:
"... Т.е. так как проект, размещенный в интернет, по определению доступен за пределами США, на него распространяются новые правила министерства торговли. Более того, если компания занимается распространением конечного продукта, в который входят криптографические модули, то независимо от того, кто являлся их разработчиком, компания экспортер обязана обзавестись лицензией ..."
смеемся дальше>There's nothing like an official letter from the U.S. Department of Commerce's
>munitions control office to make you choke on your morning coffee. At least
>that was my response upon receiving such a notice a few years ago.где сдесь говориться о том что это будет?
автор статьи только делает предположение
>>There's nothing like an official letter from the U.S. Department of Commerce's
>>munitions control office to make you choke on your morning coffee. At least
>>that was my response upon receiving such a notice a few years ago.
>где сдесь говориться о том что это будет?А в чем смысл цитирования отвелеченной от текста фразы ? "Нет ничего лучше официального письма от минобороны США, чтобы подавиться чашкой уренного кофе"
>>где сдесь говориться о том что это будет?
>А в чем смысл цитирования отвелеченной от текста фразы ?Цитирующий не владеет не только русским.
криптографические медоеды - это сильно. а я думал что это я один такой не выспался. по теме - ограничения неприятные, но, на мой взгляд, вполне обходимые для разработчиков.
Уже ближе, следующий этап это лицензии на математику, физику и Ко.
Звонок ученому.
-У вас есть лицензия на теорему Ферма?
-ЭЭ..нету.
-Никуда не уходите, за вами уже выехали.
>Уже ближе, следующий этап это лицензии на математику, физику и Ко.Так ведь уже. http://en.wikipedia.org/wiki/Illegal_number
Скорее всего, новые правила добавят ещё один повод с опаской относиться к США.
Они хотят чтобы ихние ки-и-иборги заполонили всю-ю-ю плане-е-е-ту :D Все такие зашифрованные естественно. Хрен взломаеш.
Копирасты ссут кипятком, в очередной раз. Но прогресс не остановить!
И что теперь, все Apache, OpenSSH, OpenVPN, GnuPG, PuTTY, WinSCP, TrueCrypt, все форумные движки и CMS и MVC-фреймворки, сохраняющие в базе хэши паролей, мэйл-серверы и клиенты, архиваторы типа 7zip, всё объявлено вне закона?
Нет, сами проекты НЕ вне закона. Вне закона все организации и граждане США, которые принимают участие в разработке.
Люди защищающие личную жизнь пользователей вне закона. Это нормально? И конечно же лицензирование этой деятельности станет настоящей бюрократической трясиной, где утонут все перспективные разработки. Здравствуй демократия! Когда власть бессильна, то она тупо пытается ограничить свободу гражданам тем сам показав свою астрономическую тупость.
>И что теперь, все Apache, OpenSSH, OpenVPN, GnuPG, PuTTY, WinSCP, TrueCrypt, все
>форумные движки и CMS и MVC-фреймворки, сохраняющие в базе хэши паролей,
>мэйл-серверы и клиенты, архиваторы типа 7zip, всё объявлено вне закона?Не совсем. Ранее нельзя было только копировать большую часть этого софта оттуда. Теперь же нельзя будет без лицензии разрабатывать. Требование действует только на американцев, естественно.
Может, я не прав, но по-моему, это приведёт к разделению программных проектов на три группы: «лицензированные» (единицы, в основном пропиетарный софт), «нелицензированные американские» и «нелицензированные неамериканские». Третьи, боюсь, задавят вторых. И в итоге пострадают все.
>[оверквотинг удален]
>>мэйл-серверы и клиенты, архиваторы типа 7zip, всё объявлено вне закона?
>
>Не совсем. Ранее нельзя было только копировать большую часть этого софта оттуда.
>Теперь же нельзя будет без лицензии разрабатывать. Требование действует только на
>американцев, естественно.
>
>Может, я не прав, но по-моему, это приведёт к разделению программных проектов
>на три группы: «лицензированные» (единицы, в основном пропиетарный софт), «нелицензированные американские»
>и «нелицензированные неамериканские». Третьи, боюсь, задавят вторых. И в итоге пострадают
>все.Дьявол, я тоже попался. :) Новость реально дутая.
Интересующимся прошу сюда: http://www.bis.doc.gov/encryption/checklistinstr.htm
>7zipон, вроде, рашкинский
какое вам дело до сшп?
>какое вам дело до сшп?так мы их софтом пользуемся, связью и хостимся у них - тут жертвы этого закона на самом деле мы, а не они - до них-то на самом деле нам дела нет
каким таким их софтом? какой такой их связью?
openvpn например, ну и кучей всего вышеперечисленного
Всё дело в том что глядя на них наши дебилы-демократы могут у нас всё сделать ещё более убогие законы. По убогим законам мы впереди планеты всей :)
Вроде уже было подобное с MIT Kerberos. Ничего, обошлись и без него как-то.
Надо пример с китайцев брать, не обращать внимания на все эти бредни и всё. Америка привыкла и любит диктовать свои условия, а когда их, случается и такое, посылают, за частую она туда и идёт, хоть и огрызается.
Обсуждение полно вставателей с колен, не понимающих что это значит на самом деле.
давно пора
Вообще в оригинале новости не хватает ссылки на соответствующее постановление. Поэтому вообще не понятно каким образом данная новость имеет отношение к действительности.
"Новость" никакога отношения к реальности не имеет.Сам шум пошел от рекламного вброса одной конторы, которая продает инструментарий для анализа кода. Чтобы поддержать продажи они заявили про теоретическую возможность расширительного толкования ограничений на экспорт сильной криптографии - мол, срочно покупайте наш анализатор, который выявит код, может быть когда-нибудь подлежащий лицензированию.
Но поскольку среди почтенной публики, которая приписывает себя к технарям, удивительно велико количество не владеющих английским, не ходящих по ссылкам, и упоротых американоборцев - ажиотаж обеспечен.
Оно на самом деле уже так расширительно толковалось -- все мы помним non-US/ у Debian и историю OpenSWAN/FreeSWAN. И почему толкование сузили помним -- по просьбе американских производителей, которые из-за этого геморроя имели негативное преимущество перед европейскими, не связанными такими ограничениями.
Спасибо за комментарий. Теперь реально видно, что новость высосана из пальца.
>Вообще в оригинале новости не хватает ссылки на соответствующее постановление. Поэтому вообще
>не понятно каким образом данная новость имеет отношение к действительности.Там написано, про то что автор книги получил уведомление из-за публикации в свободном доступе исходников, связанных с криптографией.
несколько лет назад (причем даже не уточнено сколько именно)
Млин... Уже проходили - был rc4 - стал arc4. Теперь что, AES будет aAES?
На сколько мне известно, то получить лицензию можно только в том случае, если продукт на самом деле правильно работает, и самое интересное у правительства США есть возможность вскрыть зашифрованную информацию. Скажете ну как же так... как такое возможно? просто в прогу вносятся изменения которые позволяют вскрыть зашифрованную инфу.Это мне чувак рассказывал он в конторе работал и они хотели продукт у америкосов толкать, ну тут надо естественно лицензия. Их продукт протестили разобрали алгоритм, сказали молодцы все хорошо, только лицензию не дадим так как мы потом не вскроем его, так что.... Лицензию они получили, выполнив все условия
Отдав им код шифрования?
А у нас разве не так?
по-моему закон всего-навсего перефразируется так:
нельзя распространять криптостойкое ПО с серверов, которые находятся на территории США
>[оверквотинг удален]
>если продукт на самом деле правильно работает, и самое интересное у
>правительства США есть возможность вскрыть зашифрованную информацию. Скажете ну как же
>так... как такое возможно? просто в прогу вносятся изменения которые позволяют
>вскрыть зашифрованную инфу.
>
>Это мне чувак рассказывал он в конторе работал и они хотели продукт
>у америкосов толкать, ну тут надо естественно лицензия. Их продукт протестили
>разобрали алгоритм, сказали молодцы все хорошо, только лицензию не дадим так
>как мы потом не вскроем его, так что.... Лицензию они получили,
>выполнив все условияда это всё понятно..
непонятен смысл вставки бэкдора в ОТКРЫТЫЙ КОД :D
"Это же элементарно Ватсон"1. Насколько часто вы смотрите исходный текст используемых вами open source программ?
2. Закладку в код вживлят хитро и незаметно для беглого взгляда.
3. Это все нужно что-бы тот кто вживляет эту закладку мог потом беспрепятственно все расшифровать (спец. службы например). Ну собственно спец. службам это и надо.
1) очень распространённое заблуждение, люди которые сами в чужой код не заглядывают думают что этого вообще никто не делает. Очень даже заглядываем перед тем как пользоваться, как минимум оцениваем на предмет дружбы автора с безопасностью и качеством кода. Насколько знаний хватает конечно, если не хватает то идём в сеть и информируемся. А если в сети конкретной инфы не находится то считаем программу потенциально рискованной и относимся к ней соответственно. А Вы когда продукты в магазине покупаете на состав и срок годности никогда не смотрите?
2) да, вживить конечно возможно, вот только у открытых проектов всегда есть эффект независимых наблюдателей, при том что чем проект популярнее тем он сильнее будет. Некоторые ребята считают это своим призванием, ковыряться в чужом коде и слать авторам патчи безопасности, также точно как кто-то другой над функционалом на опенсорсных проектах работает. В закрытых проектах это невозможно делать легально.
3) если спецслужбы могут надавить на какую-нибудь супер-мега-корпорацию то их бэкдоры будут там жить годами, а в открытом проекте его обязательно кто-нибудь вычистит, на крайний случай новую версию форкнет. Эффект на лицо.P.S. а статья ни о чём, и перевод к ней сплошная провокация. Где написанно что это "новые правила"? Никаких дат и источников, на сайте самого этого бюро контроля экспорта последнее изменение отмечено третим октября 2008.
Кому интересно, всё что удалось найти: http://www.bis.doc.gov/encryption/default.htm