Programcıların ABD'den gelen ihracat kısıtlamaları konusundaki endişeleri


21

ABD’nin kriptografik yazılımlara yönelik ihracat kısıtlamalarını karşılaması gereken yazılımı tasarlarken ve yayınlarken hangi yönleri göz önünde bulundurmalıyım?

Wikipedia , kriptografik yazılımlara atayabileceğiniz çeşitli kategoriler olduğunu söylüyor. İhracat hedefi (örneğin Çin, Rusya) da önemli bir rol oynamaktadır. Ancak bu kısıtlamaları ve işim üzerindeki etkilerini gerçekten anlamadım.

Bunu bana açıklayan var mı?

Soruyorum çünkü başvurunuzu yayınlamaya çalışırsanız (örneğin, Apple'ın App Store'unda veya Android Market'inde), uygulamanızın ABD ihracat kısıtlamalarını karşıladığından emin olmalısınız. Ayrıca, örneğin şifreler için güvenli bilgi deposu sunan birçok uygulama vardır.

Hepsi hükümeti bilgilendirdi ve inceleme istedi mi? Tabii ki yaptılar mı bilemezsiniz. Ama bunu yapmak zorundalar mı?


1
İlk prognozunuz gerçek oldu. Fakat ikincisi ile ilgili: Bu, pek çok programcı için ilginç olan bir soru, değil mi? Birçoğu şifreleme algoritmaları kullanan bir yazılım yayınladı. Yani birileri bilmeli.
gak

Evet, kesinlikle, bu, kimsenin size kesin bir tavsiyede bulunmak için yaptıklarından yeterince emin olduğu anlamına gelmez. Aşağıdaki "avukata bakın" bölümüne bakın!
Ben

Daha fazla bilgi için FIPS web sitesine bakabilirsiniz
Ubermensch

1
Böyle bir şey için bir avukata danışırdım. Kariyerim, yerli ve yabancı müşteriler için ürünler üreten müteahhitler dahil olmak üzere savunma endüstrisinde. Sadece yasal bir ekip değil, yönergeleri takip ettiğinden emin olmak için her şeyi gözden geçiren belirli ihracat kontrol uzmanları da var. Dikkat edilmesi gereken ve bir yazılım geliştiricisinin yanıtına güvenmek için çok küçük şeyler var, çünkü önemli bir şeyi gözden kaçırmak kolay değil.
Thomas Owens

1
Sağol Thomas. Android Market'te AES Şifrelemesi kullanan birçok uygulamanın (tümü kurallara uyması gerekir) olduğu için açık bir durum olabileceğini düşündüm. Düşünün, tüm bankacılık uygulamalarını, şifre depolama uygulamalarını vs. ... Ve uygulamalarımı satmıyorum, ücretsiz olarak teklif ediyorum. Bu yüzden bir avukat istemek pahalıdır.
çarpışıyor

Yanıtlar:


15

Kodunuzu ise açık kaynak , kısıtlamalar çok hafif olan : Eğer kodunuzu veremezsiniz kısıtlı bazı ülkelere veya kuruluşlar ve gereken onlar kaynak ve nesne dosyaları indirebilirsiniz yerin hükümeti haberdar . Kodun Küba, İran, Libya, Kuzey Kore, Suriye ve Sudan tarafından indirilmesini önlemek için biraz çaba sarf etmeniz gerekiyor. . Tüm kullanıcılarınızdan bu ülkelere ihracat yapmamasını istemeniz gerekir.

Şifreleme ilkelerini içeren tüm "paketler" ve "dosyaların" listelerini hazırlamanız beklenir . (Yalnızca kimlik doğrulama veya bütünlük için kullanılan karma ilkeleri atlamamıza izin verildiğini hatırlıyorum. denetimleri .)

Kodunuz açık kaynak değilse , kendi kodunuzda istisnalar için dosyalamalısınız . Benzer kaynak / nesne dosyalarının listesini hazırlamanız ve hangi mekanizmaların hangi algoritmaların uygulanacağını bekliyorum. Ayrıca lisans verilmeden önce gözden geçirilmesi gerekeceğini bekliyorum .

Tüm bilgilerimin 30 Aralık 2011 itibariyle doğru olduğuna inanıyorum, ancak ben avukat değilim ve size yasal danışmanlık sağlayamıyorum. Bunlar sadece şu anda mevcut olan ABD hükümet kaynaklarına işaret etmektedir.


1
Teşekkür ederim! Bu gerçekten karmaşık ve zahmetli geliyor. Lütfen şu sorudaki düzenlememe bakın: Bu durum için açıklamanız mı yoksa yalnızca kullanıcının bilgileri serbestçe kodlamasını veya kodunu çözmesini sağlayan yazılımlar için mi?
gak

Şifreleri şifrelemek benim ilgilendiğim şeylerden biri olmadığını hatırlatan benim durumumdur - yani bütün uygulamanız böyle olursa, neredeyse kesinlikle iyisinizdir. Diğer uygulama yazarlarının yaptıkları için konuşamam ...
sarnold

Tamam teşekkür ederim. Dolayısıyla, çevrimiçi bir bankacılık başvurusu veya bir örnek olarak güvenli bir şifre alırsak - ikisi de güvenli depolama için verileri şifreler: Bu iyi mi, yoksa rapor edilmeli ve gözden geçirilmeli mi?
saat

Şifreleme ilkelerini sağlamak için ana bilgisayar işletim sistemine% 100 güveniyorsanız, hiçbir şey yapmanız gerekmez. :)
sarnold

1
JAVA'NIN SINIRSIZ GÜÇLÜ YETERLİLİK POLİTİKASI DOSYALARINDAN Bazı ülkelerin ithalat kısıtlamaları nedeniyle, Java SE 7 yazılımıyla birlikte dağıtılan yetki politikası dosyalarında mevcut şifreleme gücü konusunda yerleşik kısıtlamalar vardır. Bu indirme paketindeki yetki alanı ilkesi dosyaları (bu README dosyasını içeren paket), kriptografik güçlü yönleriyle ilgili herhangi bir kısıtlama içermez. Bu, çoğu ülke için uygundur.
12'de 01:36

7

Kendi şifreleme rutinlerini mi yazıyorsun yoksa sadece 3. parti rutini mi çağırıyorsun?

Sormamın nedeni, örneğin Windows'ta Microsoft tarafından sağlanan yordamlardan birini kullanıyorsanız, denetlenen yazılımı yayınlayan veya dağıtan siz değilseniz, bu durumda yazılımınız herhangi bir kısıtlamaya tabi olmaz.


Cevap için teşekkürler! Eğer bu doğruysa, harika olurdu :) AES, SHA vb. Gibi ünlü algoritmalar kullanacağım. Bu yüzden diğer algoritmaları tekrar kullanacağım ve yerel fonksiyonları çağıracağım. Kendi şifreleme algoritmamı yayınlamayacağım.
13'te

Marco: Bu kesinlikle gitmenin yolu. Hangi işletim sistemini hedef alıyorsunuz?
JonnyBoats

3
Marco: Müşterinizin telefonunda mevcut olan en iyi rutini kullanmak için programınızı kodlayın, çalışma zamanında kontrol edin. Küba'da veya Kuzey Kore'de ne kadar ürün satacaksınız?
JonnyBoats

1
Windows'ta Microsoft tarafından sağlanan rutin şifrelemeyi kullanıyorsanız, sağlamadığınız için öğeleri dışa aktarmazsınız. Zaten oradaysa, onu çağırmak muhtemelen sorun değil. Standart algoritmaların standart uygulamalarını kullanmak hala kripto sağlıyor ve siz de dışa aktarıyor olabilirsiniz. (Ayrıca, sahada güvenlik deneyiminiz yoksa, kendi güvenlik yazılımınızı üretim amacıyla yazmayın. Kolayca yanlışlıkla karşılaşabileceğiniz çok fazla şey var.)
David Thornley

1
Yalnızca kripto API'leri kullanıyorsanız, tüm bu kripto dışa aktarma dosyalarını dosyalamanız gerektiğine eminim.
KodlarInChaos

1

Bu sadece ilginin uğruna bir soru ise, diğer cevaplar mükemmeldir. Gerçekten yaptığınız bir şeyle ilgiliyse?

Bir Avukat GÖRMEK. ŞİMDİ.

Hala bekliyor musun Sonra genişleyeceğim.

Git bir avukatla görüş. Şimdi. Bekleme, düşünme. Zaten bir tane yoksa, bir tane bul. Sizi iş hukuku olarak iş yapan biriyle temasa geçmelerini isteyin . Kimlik bilgilerini kontrol edin ve doğru görünüyorsa, o kişiyle oturun ve tavsiye için onlara para önerin. Şartlar üzerinde pazarlık yapmaktan çekinmeyin.

Bana güvenmiyorsanız ve bu alanda çok fazla tecrübeye sahip olmadan çok kesin olduğumu kabul edersem , Mayıs 2010'da , '93'ten beri başarılı bir aile işletmesini başarıyla yürüten biri tarafından yazılmış olan bu makaleyi okuyun .

Bir Indie oyun işletmesine girmeye çalışıyorsanız, her şeyden önce bir işletme işletiyorsunuz. Tüm yerel, eyalet ve federal yasalar geçerlidir. Bir işletme lisansına ihtiyacınız var. Veya lisanslar. Her iş bir avukat ve bir muhasebeci olmalıdır. Şahsen musluğa atanmış bir avukat olmadan yaptım .

Bunun anlamı, işi zırhlı kertenkelelerin goblinleri dövdüğü oyun satan iki kişiden oluşan birinin, kendi kişisel avukatına her zaman erişemediği için bir risk aldığının farkında olmasıdır .

Sen iş Bilmiyorum. Bir şey satıyorsanız, iyi olabilirsiniz. Bil bakalım kim biliyor? Bir avukat .

Çok uzun bir süre boyunca çok pahalı bir avukatın parasını ödemek zorunda değilsiniz, ancak en azından yasal olarak tehlikeli olabilecek şeyler yapmadan önce işleri yönetebilecekleri ve açıklayabilecekleri birisini görevlendirmek için elinizde bulundurmanız gerekir. yasal olarak tehlikeli olabilecekler.

Çünkü işte bu. Ön tarafta yaparsanız, birçok şey uygulanır.

  1. Her şeyin batmasına ve dikkatini çekmen daha az olası.
  2. İşin bittiğinde ve bu konuda ne yapman gerektiğine dair size yardımcı olmak için arayabileceğiniz mevcut bir kişi de dahil olmak üzere daha farkındasınız.
  3. Eğer yiğitin dikkatini mahvediyor ve dikkatini çekiyorsanız, her şeyi doğru yapmaya çalıştığınızı ve bunu kanıtlamak için avukattan notlar aldığınızı açıklayabilirsiniz.

Eğer yapmazsan? Son zamanlarda keşfettim ki, bir şeyle başa çıkma konusunda yetkin olmadığınızın farkında olursanız ve tavsiye almazsanız, bunun yasal olarak kasıtlı olarak batırmayı seçtiniz demektir. Para olarak, bu dolandırıcılık. İhracat yaptırımlarında, ihanetle aynı ölçekte olduğunu düşünüyorum.

İnternet araştırmasıyla ilgili olarak: Bu blog yazısı 17 Ocak 2011'de yazıldı. Bu şeylerin son zamanlarda değiştiğini. Böylece tekrar değişebilir. Çoktan değişmiş olabilirdi . Bunun anlamı, eğer birileri bundan 3 yıl sonra kör bir şekilde takip ederse, ısrar etmiş erkeklere hain olmadıklarını açıklamak için ciddi zaman harcamak zorunda kalabilecekleri, blog yazılarının yasal belgeler olduğunu düşünecek kadar aptalca oldukları anlamına geliyor.

Bana kendi huzuru için bir iyilik yap. Git bir avukatla görüş.


Bu ayrıntılı cevap için çok teşekkür ederim. Sadece net bir dava olduğunu ve karar vermenin kolay olduğunu düşündüm. Ben yorumda neden bunu düşündüğümü (yukarıdaki) sorusuna yazdım.
17

Evet, ve yalnızca Uygulama Mağazası aracılığıyla yayınlayacaksanız ve Uygulamanız özellikle şifreleme ile ilgili yeni bir şey yapmıyorsa, kurallarını almak için doğrudan Apple’a danışabilirsiniz. Dürüst olmak gerekirse, teslim ettiğinizde, eğer uygun değilse, geri atacağını hayal ediyorum. App Store'u kutsal ülkelerden uzak tutmak için kendi güvenlik önlemleri alacaklar. Ayrıca, bu işlerle uğraşmak için kendi yasal ekibine sahipler ve bu bir avukatla ilgileniyor.
deworde

1
Yanıtladığım soru daha geneldi: "ABD’nin kriptografik yazılımlara yönelik ihracat kısıtlamalarını karşılaması gereken yazılımı tasarlarken ve yayınlarken hangi yönleri dikkate almalıyım?" Android / iOS'a özgü şeyler için, danışılacak kişiler Apple ve Google olacaktır. Onlara ne yapmayı planladığınızı belirten bir e-posta gönderin, muhtemelen sizin için hazırlanmış bir prosedürü olacaktır.
Deworde

Fakat bir şeyler ters giderse, yerel bir avukatın varlığınızdan ve ne yaptığınızdan haberdar olmasının akıllıca olacağını düşünüyorum. Her ihtimale karşı.
çiy mahzeni

Ek yorumlarınız için teşekkür ederiz. Aklımda sözlerinizi tutacak;)
gak

0

Biraz farklı bir cevap, ama neden ABD’de şifreleme kodunu yazsın? Ürünün geri kalanını ABD'de yazsanız bile, şifreleme parçalarını başka bir yerde yapmak çok mantıklıdır. Ürününüzü ABD'de yine de satabilirsiniz, ancak ABD'den ihraç etmek yerine ABD'ye ithal edersiniz.

Bir kenara, PGP'nin ilk günlerinde, kaynak kodunu içeren bir kitap basılarak ve kitabı ihraç ederek ihracat kurallarına uyulmadı.


3
Bu çok kötü bir fikir. ABD Yaptırımları / İhracat düzenlemeleri, ABD'de kayıtlı herhangi bir şirket için geçerlidir ve satıcıları olduğu gibi satıcıları da belirler. Evet, çok akıllı bir avukatla çılgınca yasal hile kullanarak çevrelerinde kazıyan insan örnekleri bulabilirsiniz, ancak YAPMAYIN. Büyük şirketler bunu mahvederlerse yüzlerce milyon lira ödemek zorundalar. Küçük şirketler, herkes hapse girer, iflas eder veya her ikisini birden yapar.
Deworde
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.