미국으로부터의 암호 수출

이 기사의 선두 섹션은 기사의 길이에 비해 너무 길 수 있습니다. 기사의 본문 안으로 소재를 옮겨주세요. 레이아웃 가이드와 리드 섹션의 가이드라인을 읽고 섹션에 필요한 모든 세부사항이 포함되도록 하십시오. 이 문제는 기사 토크 페이지에서 논의해 주십시오.(2010년 2월)

1992년까지 미국에서의 암호화 기술과 장치 수출은 미국 법률에 의해 엄격하게 제한되었다.이 법은 2000년경까지 점차 완화되었지만, 일부 제한은 오늘날에도 여전히 남아 있다.

제2차 세계대전 이후 미국과 나토 동맹국들을 포함한 많은 정부들이 국가 안보상의 이유로 암호 수출에 규제를 가하고 있으며, 1992년까지 암호는 미국의 군수품 목록에 보조 ^[2]군사 장비로 등재되었다.

제2차 세계대전 중 암호 해독의 영향이 컸기 때문에 이들 정부는 현재 및 잠재적 적들의 암호 시스템 접근을 막는 군사적 가치를 인식했습니다.미국과 영국은 자신들이 다른 나라보다 암호화 능력이 뛰어나다고 믿었기 때문에, 그들의 정보 기관들은 효과적인 암호화 기술의 보급을 규제하려고 노력했다.그들은 또한 포스트 식민지 시대에 출현하고 냉전 문제에 대한 입장이 ^[3]중요한 국가들을 포함한 다른 국가들의 외교 통신을 감시하기를 원했다.

수정헌법 제1조는 미국 내에서 암호학 사용을 통제하는 것을 불법으로 규정했지만, 다른 사람들에 의한 미국 개발에 대한 접근을 통제하는 것이 더 실용적이었다. 헌법상의 장애는 없었다.

따라서, 암호화 방법(및 그 설명)을 수출하기 위해 라이선스를 필요로 하는 군수품 통제의 일부로서 규제가 도입되었다.규정은 (알고리즘과 키의 길이로 정의되는) 일정 강도를 초과하는 암호화는 케이스 바이 케이스(case-by-case)를 제외하고 수출용으로 허가되지 않도록 규정하였다.

1970년대 Data Encryption Standard(DES; 데이터 암호화 표준)와 비대칭 키 기술의 개발과 공개, 그리고 일부 사람들의 기소에 대한 위험과 저항 의지로 인해 결국 이 정책을 시행할 수 없게 되었고, 1990년대 후반에는 미국에서도 어느 정도 완화되었다(예:(프랑스).1997년까지만 해도, 미국의 NSA 관계자들은 강력한 암호화가 광범위하게 사용되면서 국제적으로 활동하는 테러 단체를 포함한 외국 단체들에 대한 SIGINT를 제공하는 그들의 능력이 좌절될 것이라고 우려했다.NSA 관계자들은 광범위한 인프라를 기반으로 한 미국 암호화 소프트웨어가 시판되면 국제 ^[4]통신의 표준이 될 것으로 예상했습니다.1997년 루이스 프리 당시 FBI 국장은 다음과 같이 말했다.

법 집행기관에서 이 문제를 제기하는 것은 간단하다.정보가 비범한 가치를 가질 수 있는 이 눈부신 통신과 컴퓨터 테크놀로지의 시대에 강력한 암호화의 즉시 가용성은 필수적입니다.법 집행 기관에서는 아무도 그것에 이의를 제기하지 않는다.오늘날의 세계와 미래의 세계에서는 동시 통신과 저장된 데이터를 모두 암호화할 수 있는 기능이 정보 보안의 중요한 구성 요소임이 분명합니다.

그러나 흔히 있는 일이지만, 암호화 문제에는 다른 측면이 있습니다. 이를 해결하지 않으면 심각한 공공 안전과 국가 안보에 영향을 미칠 수 있습니다.강력한 비키 복구 암호화의 광범위한 사용은 궁극적으로 범죄와 싸우고 테러를 예방하는 우리의 능력을 파괴할 것이라는 데 법 집행 당국은 만장일치로 동의한다.해독할 수 없는 암호는 마약왕, 스파이, 테러리스트 그리고 심지어 폭력조직들도 그들의 범죄와 음모에 대해 처벌받지 않고 소통할 수 있게 할 것이다.우리는 법 집행이 성공적으로 수사하고 종종 최악의 범죄를 막기 위해 의존하는 최악의 범죄자들과 테러리스트들의 몇 안 되는 취약점 중 하나를 잃게 될 것이다.

이 때문에 법 집행계는 이 ^[5]문제에 대한 균형 잡힌 해결책을 요구하는 데 만장일치를 보이고 있다.

역사

냉전 시대

냉전 초기에 미국과 그 동맹국들은 광범위한 서구 기술이 다른 사람들, 특히 동구권의 손에 넘어가는 것을 막기 위해 정교한 일련의 수출 통제 규정을 개발했습니다.'critical'로 분류된 모든 기술 내보내기에는 라이센스가 필요합니다.CoCom은 서방의 수출 규제를 조정하기 위해 조직되었다.

두 가지 유형의 기술이 보호되었습니다. 전쟁 무기('무기')와 관련된 기술과 상업적인 용도도 있는 이중 사용 기술입니다.미국에서 이중 사용 기술 수출은 상무부가, 군수품은 국무부가 통제했습니다.제2차 세계대전 직후의 암호화 시장은 거의 군사적인 것이었기 때문에 암호화 기술(기술, 장비 및 컴퓨터가 중요해진 후 암호 소프트웨어)은 "Category XI - Miscellaneous Arguments"와 이후 "Category XIII - Auxiliary Militar Equipment"로 미국에 포함되었습니다.1954년 11월 17일 테스 군수품 목록.냉전 분단의 서방 국가에서의 암호 수출에 대한 다국적 통제는 CoCom의 메커니즘을 통해 이루어졌다.

그러나 1960년대까지 금융기관들은 급속히 성장하는 유선 송금 분야에서 강력한 상업적 암호화를 요구하기 시작했습니다.1975년 미국 정부가 데이터 암호화 표준을 도입함에 따라 고품질 암호화가 상용화되면서 수출 통제에 심각한 문제가 발생하기 시작했다.일반적으로 이러한 문제는 IBM과 같은 컴퓨터 제조업체와 대기업 고객이 제기한 사례별 수출 허가 요청 절차를 통해 처리되었습니다.

PC 시대

PC의 도입으로 암호화 수출 통제는 대중의 관심사가 되었다.Phil Zimmermann의 PGP 암호화 소프트웨어와 1991년 인터넷에서의 배포는 암호학 수출 규제에 대한 첫 번째 주요 '개별 수준' 도전이었다.1990년대 전자 상거래의 성장은 규제 완화에 대한 추가적인 압력을 야기했다.VideoCipher II는 위성 TV 오디오 스크램블에도 DES를 사용했습니다.

1989년에는 상품 관할구역에서 암호화 이외의 암호화 사용(접근통제 및 메시지 인증 등)이 수출통제에서 제외되었습니다.[1] 1992년 USML에 암호화(및 위성 TV 기술자)의 비암호화 사용에 대한 예외가 공식적으로 추가되었으며, NSA와 소프트웨어 퍼블리셔 협회 간의 합의에 따라 40비트 RC2 및 RC4 암호화는 상품 관할구역에서 "7일" 및 "15일 검토" 프로세스를 사용하여 쉽게 내보낼 수 있게 되었습니다.국무부에서 상무부로 근무하다).이 단계에서 서구 정부는 암호화에 관한 한 사실상 두 갈래의 성격을 가지고 있었다; 정책은 오직 그들의 '적'들이 비밀을 얻는 것을 막는 것에만 관심이 있는 군 암호 분석가들에 의해 만들어졌지만, 그 정책은 산업을 지원하는 것을 직업으로 하는 관리들에 의해 상업에 전달되었다.

얼마 지나지 않아 넷스케이프의 SSL 기술은 공개키 암호화를 이용한 신용카드 거래를 보호하는 방법으로 널리 채택되었다.넷스케이프는 두 가지 버전의 웹 브라우저를 개발했다."미국판"은 풀사이즈(일반적으로 1024비트 이상) RSA 공개키와 풀사이즈 대칭키(비밀키)를 조합하여 지원했습니다(SSL 3.0 및 TLS 1.0에서는 128비트 RC4 또는 3DES)."International Edition"의 유효 키 길이는 각각 512비트 및 40비트로 감소했습니다(SSL 3.0 및 TLS 1.0의 ^[6]40비트 RC2 또는 RC4를 사용하는 RSA_EXPORT).'미국 국내' 버전을 입수하는 것은 대부분의 컴퓨터 사용자들이 심지어 미국에서도 '인터내셔널'^[7] 버전으로 끝나기에 충분한 번거로움으로 판명되었다. 이 버전은 현재 컴퓨터 한 대를 사용하면 취약한 40비트 암호화가 며칠 만에 깨질 수 있다.동일한 이유로 Lotus Notes에서도 유사한 상황이 발생했습니다.

Peter Junger 및 기타 시민 자유주의자 및 개인 정보 보호 옹호자의 법적 문제, 미국 밖에서 널리 이용 가능한 암호화 소프트웨어, 그리고 취약한 암호화에 대한 부정적인 홍보가 전자 상거래의 매출과 성장을 제한하고 있다는 많은 기업들의 인식은 미국의 수출 규제 완화로 이어졌습니다.1996년 빌 클린턴 대통령이 군수품목록에서 상업용 암호화를 상업용 제어목록으로 이전하는 행정명령 13026에 서명하면서 서명했다.또한 수출관리규정의 의미에서 "소프트웨어는 '기술'로 간주하거나 취급해서는 안 된다"고 명시하였다.상품 관할권 프로세스는 상품 분류 프로세스로 대체되었으며 수출업자가 1998년 말까지 "키 복구" 백도어를 추가하기로 약속할 경우 56비트 암호화 내보내기를 허용하는 조항이 추가되었습니다.1999년에 EAR는 56비트 암호화(RC2, RC4, RC5, DES 또는 CAST에 근거) 및 1024비트 RSA를 백도어 없이 내보낼 수 있도록 변경되었으며 이를 지원하기 위해 새로운 SSL 암호 스위트(56비트 RC4 또는 DES를 탑재한RSA_EXPORT1024)가 도입되었습니다.2000년에 상무성은 상품 분류 과정을 거친 후 키 길이 제한을 철폐할 수 있도록 허용하고(소프트웨어를 '소매'로 분류하는 것), 공개적인 AV에 대한 예외를 추가하는 등 암호화가 포함된 상용 및 오픈 소스 소프트웨어의 수출을 대폭 간소화하는 규칙을 시행했다.사용할 수 있는 암호화 소스 코드.^[8]

현황

이 섹션은 업데이트해야 합니다. 최근 이벤트나 새로운 정보를 반영하여 이 글을 업데이트 할 수 있도록 도와주세요. (2016년 10월)

2009년 현재^[update] 미국으로부터의 비군사 암호 수출은 상무성 ^[9]산업 보안국에 의해 관리되고 있습니다.특히 "불량 국가"와 테러 조직으로의 수출과 관련하여, 대중 시장 제품에도 여전히 몇 가지 제한이 존재한다.군사용 암호화 장비, TEMPEST 승인 전자제품, 커스텀 암호화 소프트웨어, 심지어 암호화 컨설팅 서비스에도 수출 허가서가^[9] 필요합니다(6-7페이지).또, 「암호화가 64 비트를 넘는 매스 마켓 암호화 상품, 소프트웨어, 부품」(75 FR 36494)의 수출에는, BIS에의 암호화 등록이 필요하다.또한 다른 품목은 대부분의 국가로 ^[9]수출하기 전에 BIS에 의한 일회성 검토 또는 통지가 필요하다.예를 들어, BIS는 오픈 소스 암호화 소프트웨어가 인터넷에서 공개되기 전에 이를 통지해야 합니다.다만,^[10] 재검토는 필요 없습니다.수출 규제는 1996년 이전 기준보다 완화됐지만 여전히 ^[9]복잡하다.다른 나라들, 특히 바세나르 ^[11]협정에 참여하는 나라들도 비슷한 ^[12]제한을 가지고 있다.

미국의 수출 규칙

미국의 비군사 수출은 미국 연방규정집(CFR) Title 15 챕터 VII, C 하위 장의 줄임말인 수출관리규정(EAR)에 의해 관리된다.

군사 애플리케이션(명령, 제어 및 정보 애플리케이션 포함)을 위해 특별히 설계, 개발, 구성, 개조된 암호화 항목은 미국 군수품 목록에 있는 국무부에 의해 관리됩니다.

용어.

암호화 내보내기 용어는 EAR 파트 772.^[13]1에 정의되어 있습니다.특히:

• 암호화 컴포넌트는 암호화 칩, 집적회로 등을 포함한 암호화 상품 또는 소프트웨어(소스 코드는 아님)입니다.
• 암호화 항목에는 군사용 암호화 물품, 소프트웨어 및 기술이 포함됩니다.
• 오픈 암호화 인터페이스는 제조원 또는 그 에이전트의 개입, 지원 또는 지원 없이 고객 또는 다른 당사자가 암호화 기능을 삽입할 수 있도록 설계된 메커니즘입니다.
• 보조 암호화 항목은 주로 컴퓨팅 및 통신에 사용되는 것이 아니라 디지털 권리 관리, 게임, 가전, 인쇄, 사진 및 비디오 기록(화상회의는 제외), 비즈니스 프로세스 자동화, 산업 또는 제조 시스템(로봇, 화재 경보 및 HVAC 포함), 자동차, 항공 장비온 및 기타 교통 시스템.

수출처는 EAR Supplement No.1~Part 740에 따라 세분화된 ^[14]4개의 국가 그룹(A, B, D, E)으로 분류된다.한 국가는 여러 그룹에 속할 수 있다.암호화에서는 그룹 B, D:1 및 E:1이 중요합니다.

• B는 암호화 내보내기 규칙이 완화된 국가의 목록입니다.
• D:1은 보다 엄격한 수출 통제의 대상이 되는 국가의 짧은 리스트입니다.이 목록에서 주목할 만한 국가로는 중국과 러시아가 있다.
• E:1은 "테러리스트 지원" 국가의 매우 짧은 목록입니다(2009년 현재, 5개국을 포함; 이전에는 6개국을 포함했으며 "테러리스트 6" 또는 T-6이라고도 함).

EAR Supplement No.1 ~ Part 738(커머스 국가 차트)에는 국가 제한이 있는 ^[15]표가 포함되어 있습니다.국가에 해당하는 테이블의 행에 Reason of control 열에 X가 포함되어 있는 경우 예외를 적용할 수 없는 한 제어대상 아이템 내보내기에 라이선스가 필요합니다.암호화에서는 다음 3가지 제어 이유가 중요합니다.

• NS1 국가 보안 컬럼 1
• AT1 대테러 칼럼 1
• EI 암호화 항목은 현재 NS1과 동일합니다.

분류

수출목적을 위해 각 품목은 상거래관리목록(ECCL, EAR 파트 774)에 따라 수출관리분류번호(ECCN)로 분류된다.특히:^[9]

• 5A002 '정보 보안'을 위한 시스템, 기기, 전자 어셈블리 및 집적회로.제어 이유: NS1, AT1.
• 5A992 "대중시장" 암호화 상품 및 5A002에 의해 제어되지 않는 기타 기기.제어 이유: AT1.
• 5B002 5A002, 5B002, 5D002 또는 5E002로 분류된 품목의 개발 또는 생산을 위한 장치.제어 이유: NS1, AT1.
• 5D002 암호화 소프트웨어.제어 이유: NS1, AT1.
  • 5A002, 5B002, 5D002로 분류되는 항목을 개발, 생산 또는 사용하는 데 사용됩니다.
  • 5E002에 의해 제어되는 지원 테크놀로지
  • 5A002 또는 5B002에 의해 제어되는 장비의 기능 모델링
  • 5D002에 의해 제어되는 소프트웨어를 인증하는 데 사용됩니다.
• 5D992 암호화 소프트웨어는 5D002에 의해 제어되지 않습니다.제어 이유: AT1.
• 5E002 5A002 또는 5B002에 의해 제어되는 기기의 개발, 생산 또는 사용을 위한 기술 또는 5D002에 의해 제어되는 소프트웨어.제어 이유: NS1, AT1.
• 5E992 테크놀로지 (5x992 항목용)제어 이유: AT1.

항목은 자체 분류 또는 BIS에 요청하여 분류("검토")할 수 있습니다.BIS 검토는 5A992 또는 5D992 분류를 받기 위한 일반적인 항목에 대해 필요하다.

「 」를 참조해 주세요.

• 번스타인 대 미국 사건
• 거래 심사 거부
• 수출관리
• 융거 대 데일리 사건
• 암호화의 Import 제한
• 또라이
• 암호 전쟁

레퍼런스

외부 링크

• 암호법 조사
• Bureau of Industry and Security - 미국 수출규제의 개요는 라이선스 기본 페이지에 있습니다.
• 휘트필드 디피와 수잔 랜도, 20세기와 21세기의 암호학 수출.카를 드 리우, 얀 베르크스트라, ED정보 보안의 역사.포괄적인 핸드북.Elsevier, 2007. 페이지 725
• 암호화 내보내기 제어. 의회용 CRS 보고서 RL30273.의회 조사국, § 의회 도서관.2001
• 암호화에 대한 논의: 인텔리전스 측면.의회용 CRS 보고서 98-905 F.의회 조사국, § 의회 도서관.1998
• 암호화 테크놀로지: 의회 문제 CRS 문제 요약 IB96039.의회 조사국, § 의회 도서관.2000
• 암호와 자유 2000. 암호화 정책에 대한 국제 조사.전자 프라이버시 정보 센터.워싱턴 DC. 2000
• 정보사회 확보에 있어서의 암호학의 역할.내셔널 아카데미 프레스, 워싱턴 D.C. 1996 (전체 텍스트 링크는 페이지에서 이용 가능)
• 암호화 테크놀로지의 사용 및 수출에 관한 미국 정부의 제약의 진화(U), Michal Schwartzbeck, Encryption Technologies, 1997년 경, 이전 일급비밀, 2014년 9월 10일 개정과 함께 NSA에 의해 공개가 승인됨, C06122418