Политика применения криптографии в разных странах мира
ИНОСТРАННАЯ ПЕЧАТЬ
ОБ ЭКОНОМИЧЕСКОМ, НАУЧНО-ТЕХНИЧЕСКОМ И ВОЕННОМ ПОТЕНЦИАЛЕ ГОСУДАРСТВ - УЧАСТНИКОВ СНГ И ТЕХНИЧЕСКИХ СРЕДСТВАХ .ЕГО ВЫЯВЛЕНИЯ
Серия: "ТЕХНИЧЕСКИЕ СРЕДСТВА РАЗВЕДЫВАТЕЛЬНЫХ СЛУЖБ ЗАРУБЕЖНЫХ ГОСУДАРСТВ"
Ежемесячный информационный бюллетень
№3/99
Политика применения криптографии в разных странах мира
Быстро развивающиеся технологии вычислительной техники и связи коренным образом изменили способы коммуникации и обмена информацией. Но вместе с повышением скорости и эффективности передачи информации и существенным снижением стоимости этой передачи на основе "цифровой революции" в компьютерной технике и технике связи возникли проблемы обеспечения информационной безопасности и сохранения конфиденциальности личной информации при обмене информацией с использованием глобальной инфраструктуры связи.
Основным средством решения этих проблем стала криптографическая техника, дающая возможность защиты с очень высокой степенью надежности информации, передаваемой по сетям связи, хранимой в базе данных и памяти компьютеров и обрабатываемой в вычислительных системах.
До недавнего времени спрос на неправительственные применения криптографии был ограниченным. Современная криптографическая техника - процесс математического преобразования данных с использованием формул или алгоритмов - традиционно использовалась в основном для защиты военной и дипломатической связи. Но новейшие достижения в компьютерной технологии, новые виды связи и существенно новые достижения в криптографии привели к возникновению рынка криптографических продуктов, ставшего составной частью мировой экономики. Техника электронной связи широко используется для передачи непрерывно возрастающих объемов информации (в том числе финансовой, коммерческой и персональной, например, медицинской) в гражданском секторе. Важное место занимают такие применения связи, как электронная почта, электронное перечисление платежей и др. В этих условиях все более существенным становится сохранение конфиденциальности информации. Эта задача может быть решена только методами криптографии и использованием ее для таких применений, как аутентификация, проверка целостности и др. Для этого необходимо, чтобы криптографические методы и техника стали общедоступными и их использование не ограничивалось правительственным регулированием.
Правительственное регулирование применений криптографии для достижения информационной безопасности наносит существенный ущерб сохранению приватности частной информации. Криптография обеспечивает конфиденциальность персональных записей (медицинских, финансовых и др.) и сообщений, передаваемых по электронной почте. В условиях передачи этой информации по линиям связи и вычислительным сетям она подвергается большому риску хищения и злонамеренного использования. Поэтому члены Комитета за глобальную свободу пользования сетью Internet GILC (Global Internet Liberty Campaign) приняли резолюцию о поддержке свободы использования криптографии "Resolution in Support of Freedom to Use Cryptography". В этой резолюции отмечается, что "использование криптографии признает недопустимость нарушений прав человека и его свободы действий, наносящих ему ущерб, на всей территории земного шара" и что "сохранение конфиденциальности связи защищается статьей 12 "Всеобщей декларации прав человека".
Во многих странах мира организации по защите прав человека, журналисты и политические диссиденты обычно являются основными объектами наблюдения правительственных разведывательных служб и правоохранительных органов и других неправительственных групп. Госдепартамент США в своем докладе о практике соблюдения прав человека, представленном стране в 1996 г., сообщал о получивших широкое распространение незаконных и неконтролируемых подключениях к линиям связи для их прослушивания, практикуемых как правительственными органами, так и частными группами в более чем 90 странах. В некоторых странах, таких как Гондурас и Парагвай, компании, владеющие правительственными сетями связи, являются активными помощниками правительственных агентств безопасности в проведении слежки за защитниками прав человека. Эта проблема касается не только развивающихся стран. Агенты французской контрразведки подключаются к телефонам известных журналистов и лидеров оппозиционных организаций.
По данным французской национальной комиссии по контролю за незаконными подключениями, для перехвата информации в этой стране ежегодно производится до 100 000 таких подключений. Известны многие случаи контролирования разведывательными службами Великобритании общественных, профсоюзных и правозащитных организаций.
Недавно принятый в Великобритании закон разрешает наблюдение за адвокатами и священниками. В Германии, впервые после нацистского правления, продлено действие закона, разрешающего прослушивание в журналистских офисах. Европейский парламент опубликовал в январе 1998 г. доклад, в котором сообщается, что Агентство национальной безопасности (АНБ) США осуществляет массовый контроль в европейских системах связи.
Комитет GILC адресовал принятую им в 1996 г. упомянутую выше резолюцию Организации экономического сотрудничества и развития OECD (Organization for Economic Cooperation and Development) с обращением ускорить выработку политики OECD по "основным правам граждан на пользование защищенной связью".
В принятом в ответ на это обращение решении OECD признала, что "основные права человека на сохранение личной тайны, включая конфиденциальность связи и защиту персональной информации, должны соблюдаться в национальной политике по криптографии и использованию криптографических методов".
Позднее OECD приняла "Основные принципы политики в области криптографии" (Guidelines on Cryptography Policy), опубликованные 27 марта 1997 г. В этом документе заявлено, что OECD не поддерживает предложение США о создании международной структуры депонирования криптографических ключей и выдачи их правоохранительным и другим правительственным органам.
Рекомендации OECD приняты в результате длившейся более года дискуссии по проекту "Основных принципов".
Эти рекомендации, не имеющие характера обязательного соглашения, определяют основные проблемы, которые должны учитывать отдельные страны при формировании политики в области криптографии на национальном и международном уровнях.
В документе OECD отмечается, что необходимость принятия "основных принципов" возникла в связи со взрывоподобным ростом во всем мире информационных и коммуникационных сетей и технологий и требованиями эффективной защиты информации. Криптография является основным инструментом такой защиты.
Криптография может также обеспечить сохранение конфиденциальности и целостности данных и явиться механизмом аутентификации и исключения отказов сторон от своих обязательств в электронной коммерции.
Правительства стран-членов OECD намереваются содействовать применению криптографии для защиты данных и в коммерческих операциях, но они вынуждены проводить такую политику, которая давала бы возможность сбалансировать различные интересы и задачи, включая сохранение конфиденциальности персональной информации, интересы национальной безопасности и правоохранительных органов, развитие технологий и торговли. Международные консультации и сотрудничество должны способствовать выработке правильной политики в области криптографии ввиду присущего информационным и коммуникационным сетям международного характера и трудностей определения и юридической защиты границ в современной глобальной обстановке.
"Основные принципы" должны способствовать расширению областей применения криптографии, развитию электронной коммерции, укреплению доверия пользователей к сетям, повышению уровня защиты данных и сохранению тайны личной информации. Некоторые страны-члены OECD уже проводят определенную политику в области применений криптографии и принимают соответствующие законы, а многие страны еще только вырабатывают такую политику. Неудачные попытки координировать национальную политику отдельных государств на международном уровне могут явиться препятствием созданию и развитию национальных и глобальных информационных и коммуникационных сетей и расширению международной торговли. Правительства стран-членов OECD осознают важность международного сотрудничества, и OECD внесла свой вклад в достижение соглашения об определенной политике и решении специфических проблем, относящихся к криптографии, а в более широком смысле к информационным и коммуникационным сетям и технологиям.
"Основные принципы политики в области криптографии" содержат восемь таких принципов.
1.Криптографические методы должны вызывать доверие пользователей информационных и коммуникационных сетей.
2.Пользователи должны иметь право выбора любого криптографического метода, применение которого разрешено законом.
3.Криптографические методы должны разрабатываться при возникновении необходимости в этом, как ответ на определенные требования и по инициативе отдельных лиц, организаций и правительств.
4.Технические стандарты, критерии и протоколы, относящиеся к криптографическим методам, должны разрабатываться и распространяться на национальном и международном уровнях.
5.Основные права человека на личную тайну, включая секретность связи и защиту персональных данных, должны соблюдаться в политике применений криптографии, реализации и использовании криптографических методов.
6.Национальная политика в области криптографии должна обеспечивать законный доступ к открытым текстам, криптографическим ключам или зашифрованным данным. Эта политика должна уважать другие основные принципы в максимально возможной степени.
7.Независимо от того, устанавливается ли по контракту или законодательным порядком ответственность лиц или организаций, предлагающих криптографические услуги или ведающих доступом к криптографическим ключам, она должна быть четко определена.
8.Правительства различных стран должны сотрудничать и координировать свои действия по выработке и реализации политики в области криптографии. Ради общего прогресса криптографии правительства стран-членов OECD должны стремиться устранять возникающие неопределенные препятствия достижению такого взаимодействия.
В комментариях к этим Принципам подчеркивается, что каждый из них затрагивает ту или иную важную особенность общей политики в области криптографии. Поэтому их следует считать взаимозависимыми и реализовать как единое целое, добиваясь баланса различных интересов. "Принципы" представлены в определенной логической последовательности, выражающей поступательный прогресс при переходе от одного принципа к следующему.
Для достижения международного согласия о применениях криптографии и полного использования потенциальных возможностей национальных и глобальных информационных и коммуникационных сетей политика в области криптографии, принимаемая и проводимая той или иной страной, должна максимально гармонировать с аналогичной политикой других стран.
Данный обзор составлен Информационным центром EPIC (Electronic Privacy Information Center) защиты конфиденциальности информации в электронных системах по поручению Комитета GLIP. Он должен дать по возможности полное представление о национальной политике и законодательстве в области криптографии большинства стран и территорий земного шара. В отличие от предшествовавших обзоров по этой тематике, он является наиболее полным и подробным, так как составлен на основе официальных сообщений, полученных от более чем 200 стран и территорий.
Центр EPIC разослал запросы посольствам, миссиям ООН, правительственным министерствам, торгпредствам и информационным центрам этих стран и территорий с просьбой дать ответы по четырем основным аспектам политики в области криптографии:
-контроль правительства за применениями криптографии внутри страны;
контроль правительства за импортом в страну компьютерных программ, которые могут быть использованы в криптографии;
-контроль правительства за экспортом разработанных в стране компьютерных программ или аппаратных средств, допускающих применение криптографии;
-наличие правительственного агентства или департамента, отвечающего за реализацию принятой политики контроля применения криптографии, импорта и экспорта криптографических продуктов и технологий.
Ответы на эти вопросы официальных представительств и представителей различных стран приведены в обобщенном виде в данном обзоре. В нем приводятся ссылки на обзор Национального института стандартов и технологий США (NIST), опубликованный в сентябре 1993 г., представляющий первую попытку собрать и проанализировать информацию о политике в области криптографии, действующей в других странах. Встречаются также ссылки на доклад, подготовленный министерством торговли и АНБ США для межведомственной группы по политике в области криптографии и связи. Этот доклад с названием "Изучение мирового рынка программ компьютерного шифрования" был опубликован в 1995 г. Он составлен в основном по сведениям, полученным от посольств и торгпредств США в других странах и частично по данным разведывательных служб США. Поэтому он не дает полной информации о действительном положении.
Учитывая все это, Центр EPIC принял решение о составлении обзора, главным образом по материалам, полученным от официальных представительств и ведомств стран, принявших участие в опросе.
По результатам опроса эти страны разделены на три группы в зависимости от характера принятой и реализуемой в них политики контроля криптографии. Этим группам присвоены следующие обозначения:
-green - зеленая (3) - страны, придерживающиеся основных положений OECD о криптографии, т. е. практически не ограничивающие ее свободного применения;
- yellow - желтая (Ж) страны, намеревающиеся ввести определенный контроль криптографии, включая ее применения внутри страны и экспорт программных средств двойного назначения;
-red - красная (К) - страны, осуществляющие контроль криптографии и ее применений внутри страны.
Некоторые страны нельзя определенно отнести к той или иной группе. Им присваиваются промежуточные обозначения, например, yellow/red -желтая/красная (JK/K).
Ниже приводятся обработанные результаты опроса о политике контроля криптографии в большинстве стран, принявших в нем участие.
Австралия (3/Ж)
В Австралии с 1987 г. действуют законодательные акты, ограничивающие экспорт криптографических продуктов. Для экспорта требуется одобрение министерства обороны и таможенного управления.
Особенно строгие ограничения действуют на получение индивидуальных лицензий на экспорт программных продуктов шифрования массового применения.
По данным министерства внешней торговли Австралии, эта страна имеет хорошо развитую сеть поставщиков коммерческих программных средств шифрования, предназначенных главным образом для защиты потоков коммерческих данных, передаваемых через модемы, подвижные телефоны и речевые скремблеры. Поэтому ограничение экспорта таких продуктов затрагивает, в первую очередь, интересы коммерческого сектора. Разрешение или запрет экспорта зависят от экономических факторов, влияния на национальную безопасность и международных обязательств страны. Разрешение на экспорт криптографических продуктов требует одобрения директората связи министерства обороны Австралии DSD (Defence Signals Durectorate), определяющего степень влияния экспорта на национальную безопасность страны. DSD несет ответственность за разведку источников электромагнитных сигналов SIGINT и работает во взаимодействии с агентством национальной безопасности США (АНБ) в соответствии с соглашением о безопасности между Великобританией и США, заключенным в 1948 г. DSD отвечает также за безопасность правительственной связи Австралии.
В Австралии отсутствует контроль импорта криптографических продуктов. Кроме того, использование криптографии частными лицами и организациями в Австралии ограничивается только получением разрешения на любое присоединение криптографических устройств к телефонной аппаратуре коммутируемой сети общего пользования от австралийской дирекции связи Austel. Такие разрешения обычно выдаются при условии, что подключаемые криптографические устройства не нарушат работу сети. В Австралии не предполагается принятие закона о контроле за применениями криптографии частными лицами. Контроль касается только аппаратуры, присоединяемой к национальным сетям связи.
В октябре 1996 г. в Австралии был опубликован доклад бывшего заместителя директора Национального управления разведки и безопасности ASIO (Australia Security Intelligence Organization) Ж. Уолша. Этот доклад, ставший известным как доклад Уолша, имеет заглавие "Обзор политики в области криптографических технологий" (Review of Policy relating to Encryption Technologies).
В докладе Уолша содержалась рекомендация Австралии не вводить предлагаемую США систему депонирования криптографических ключей (Key escrow) или получения ключей по запросу правительственных агентств. Эта рекомендация основывалась на том, что действующие в Австралии правила использования криптографии не соответствуют условиям, необходимым для функционирования системы депонирования ключей. Подчеркивалась также возможность коррупции со стороны третьей стороны, управляющей депонированными ключами. Отмечалась и непопулярность предложения США ввести международную коммерческую систему депонирования криптографических ключей среди многих развитых стран мира.
В августе 1997 г. в Австралии было создано Национальное управление по информационной экономике NOIE (National Office for the Information Economy), которое будет заниматься выработкой и реализацией политики Австралии в области криптографии.
Австрия (Ж.)
Ответственным за использование криптографии, экспорт и импорт криптографических продуктов в Австрии является 6-й отдел (Section VI) министерства иностранных дел.
Правительство Австрии контролирует все программные средства шифрования двойного (военного и гражданского) применения на экспорт, транзит или реэкспорт, для которых требуются специальные лицензии. Не выдаются лицензии на экспорт этих продуктов в регионы, где происходят военные конфликты, и в страны, против которых введены международные санкции.
По данным Института прикладной обработки информации и связи Австрии (IAIK), действующие в этой стране правила использования криптографии определены законом о внутренней радиосвязи (Betriebsfunkverorduiig, 1995). Применение криптографии явно запрещено этим законом, так как назначение частот некоторым компаниям и организациям является привилегированным и поэтому эти частоты могут быть использованы только для специфически внутренней связи компаний. Но некоторые частоты выделены целому сектору экономики, вследствие чего передаваемая на них информация может прослушиваться конкурирующими компаниями. Поэтому заинтересованные организации и фирмы требуют изменения действующих правил. Исключения сделаны только для подразделений министерства внутренних дел (главным образом полиции и силам безопасности). Передачи по сетям сотовой связи (например, GSM) могут шифроваться. Международные правила радиолюбительской связи, требующие передачи открытым текстом (с определенным ограничением содержания сообщений), строго выполняются Австрией.
В июле 1997 г. министр науки и транспорта Австрии подписал коммюнике Европейской конференции министров "О глобальных информационных сетях", состоявшейся в Бонне (Германия). В этом коммюнике объявляется, что подписавшие его министры будут "добиваться международной доступности и свободного выбора криптографических продуктов и взаимодействующих служб в соответствии с принимаемыми законами". Министры объявили также, что "если страны будут применять меры по защите законных требований, эти меры должны учитывать частные права и интересы" . Подтверждена необходимость придерживаться рекомендации OECD о контроле за применениями криптографии и принимать их как основу национальной политики и международного сотрудничества по криптографии. (Дале ссылки на коммюнике Европейской конференции приводятся без этих подробностей.)
Аргентина (Ж!)
Аргентина придерживается политики ограничения экспорта криптографических продуктов и технологий двойного (военного и гражданского) назначения. Тем не менее, министерство юстиции Аргентины предлагает программы криптографической защиты сообщений PGP (Pretty Good Privacy) через сеть Internet.
Армения (УК)
По данным посольства Армении в Вашингтоне, эта страна в настоящее время не имеет определенной политики в отношении применения криптографии. Но недавно правительство Армении учредило министерство по информации и публикациям, которое наряду с другими вопросами планирует выступить с законодательной инициативой, касающейся криптографии.
Белоруссия (К)
В Белоруссии ограничены производство, приобретение и применение криптографических продуктов. Необходимые лицензии выдаются Комитетом государственной безопасности (КГБ) Белоруссии.
Бельгия (3/Ж)
Экспорт криптографических продуктов из Бельгии в другие страны (кроме Нидерландов и Люксембурга) разрешается только по лицензиям. Однако Европейский Союз отменил эти ограничения для других членов Союза и некоторых стран, не являющихся его членами.
В декабре 1994 г. парламент Бельгии принял закон, требующий применения криптографии с депонированием ключей. Этот закон утвердил институт почты и связи Бельгии (Belgacom) в качестве органа, управляющего депонированными ключами. Институту предоставлено право отключать телефоны, нарушающие правила криптографии с депонированными ключами. Но этот закон до настоящего времени не введен в действие ввиду отсутствия механизма его реализации. Вместе с тем поступили предложения о внесении поправок к закону, ослабляющих принятые ограничения на применения криптографии.
В июле 1997 г. вице-премьер-министр Бельгии подписал коммюнике "европейской конференции министров о глобальных коммуникационных сетях" (см. Австрия). Министры, подписавшие это коммюнике, подчеркнули необходимость создания юридического и технического органа на европейском и международном уровнях, который обеспечивал бы совместимость криптографических уровнях, который обеспечивал бы совместимость криптографических средств и создал доверительные условия для применения цифровых электронных подписей.
Болгария (3/Ж)
Болгария проводит политику ограничения экспорта программных криптографических продуктов двойного (гражданского и военного) назначения. Страна подписала коммюнике Европейской конференции министров о глобальных коммуникационных сетях 8 июля 1997 г.
Бразилия (3)
По данным обзора национального института стандартов и технологий США (NIST) за 1993 г., в Бразилии нет ограничений на импорт криптографических технологий. В Португалии доступны программы криптографической защиты PGP из Бразилии.
Великобритания (3/Ж)
В Великобритании осуществляется контроль экспорта криптографических продуктов, подробный перечень которых дан в документе "порядок контроля экспорта товаров и EGCO" ("Export of Goods Control Orders"). Последний вариант EGCO опубликован 24 апреля 1994 г. Порядок, установленный этим документом, основан на законе 1939 г. "Импорт, экспорт и таможенная защита" ("Import, Export and Customs Defence Act"). EGCO требует, чтобы никакие средства обеспечения безопасности, технологии или технические средства не могли бы экспортироваться без соответствующих лицензий. Установленный порядок не делает различий между криптографическими продуктами правительственного и гражданского назначения и не выделяет продукты с применением стандарта шифрования DES или других криптоалгоритмов.
Лицензии на экспорт выдаются министерством торговли и промышленности Великобритании DTI (Department of Trade and Industry) по заявкам. Но английские фирмы поставщики криптографической аппаратуры посылают также факсы группе по безопасности связи и электронных систем CESG (Communication and Electronic Security Group), являющейся частью Управления правительственной связи Великобритании GCHQ (Government Communications Headquarter), аналогичного Агентству национальной безопасности США (АНБ). Фирмы считают, что таким путем они ускоряют процесс выдачи лицензии DTI. CESG рассматривает предложения фирм и выдает рекомендации DTI по вопросам выдачи лицензий. Практически DTI всегда следует этим рекомендациям.
По данным бюллетеня группы контроля экспорта DTI (ноябрь 1996 г.), Великобритания применила санкции и частичное или полное эмбарго в отношении Анголы, Ирака, Ливии, Аргентины, Армении, Азербайджана, Боснии и Герцеговины, КНР, Хорватии, Ирана, Либерии, Нигерии, Руанды, Сербии, Сомали, Тайваня, бывшей Югославии и Конго (столица Киншаса).
В Великобритании нет контроля импорта криптографических продуктов и ограничений на применения их внутри страны.
Действующее до последних выборов правительство Великобритании начало проводить открытые консультации (Public Consultation) с доверенными третьими сторонами (Trusted Third Parties) по вопросам расширения криптографических служб в стране. В результате DTI выпустило бюллетень о ходе этих консультаций (март 1997 г.). Но вновь избранное лейбористское правительство Великобритании ввело мораторий на поступившие предложения о пересмотре юридических обоснований выдачи лицензий, исходя из того, что правительство лейбористов намерено начать кампанию за отмену какого-либо контроля использования криптографии в Великобритании.
Свое отношение к криптографии лейбористское правительство выразило в следующем заявлении: "Важное значение имеет строгая защита частных коммерческих и персональных интересов в новых сетях. Мы не можем принять концепцию криптографии с депонированием ключей, разработанную и предлагаемую США, дающую возможность правительственным органам раскрывать любое зашифрованное или скремблированное сообщение.
Единственное полномочие, которое мы можем предоставить правительственным органам для борьбы с преступностью, - это возможность расшифрования сообщений по ордерам судебных или следственных органов (аналогичным ордерам на производство обыска).
Попытки контролировать применения криптографической техники и технологий являются ошибочными в принципе, неосуществимыми практически и вредными для долгосрочной экономики информационных сетей. Нет существенного различия между зашифрованным файлом и запертым сейфом. Сейф может быть запущен так, что хранимая в нем информация будет уничтожена при его несанкционированном вскрытии. Аналогичную роль выполняет алгоритм шифрования файла.
Кроме того, быстрые темпы изменений технологии и широкие возможности получения новых компьютерных программ через сеть Internet и другие сети приведут к невозможности своевременного использования технических решений. Адекватный контроль может быть введен в действие только на основе существующих законов о поиске, перехвате и раскрытии информации. Нет необходимости относить к категории преступных элементов большое количество пользователей информационных сетей, исходя из требований контроля действий небольшого количества нарушителей законов".
В июле 1997 г. министр науки, энергетики и промышленности Великобритании подписал коммюнике "О глобальных коммуникационных сетях".
Венгрия (3/Ж)
Венгрия относится к странам, придерживающимся политики ограничения экспорта криптографических программных средств двойного назначения.
В июле 1997 г. министр транспорта, связи и водных ресурсов Венгрии подписал известное коммюнике Европейской конференции министров "О глобальных информационных сетях".
Германия (3)
По данным представительства Германии в Вашингтоне, в этой стране:
-нет контроля за применением аппаратных или программных криптографических средств;
-нет контроля импорта таких средств;
-контроль экспорта средств шифрования применяется в такой же мере, как и в США по состоянию на начало 1997 г.;
-контроль экспорта осуществляет Федеральное управление министерства экономики.
В докладе министерства торговли и АНБ США имеются сведения о том, что лицензии на экспорт криптографических средств фактически выдаются по разрешению Федерального управления информационной безопасности BSI (Bundesamt fur Sicherheit der Informationstechnik) министерства внутренних дел.
Управление BSI координирует свои решения по экспорту с Федеральной службой связи, Федеральным управлением разведки и министерством обороны Германии.
Наряду с другими европейскими странами, Германия присоединилась к коммюнике Европейской конференции министров "О глобальных информационных сетях" в июле 1997 г.
В июне 1997 г. в Германии принят закон "О цифровой электронной подписи" (Sig G). По этому закону система цифровой подписи основывается на применении асимметричной криптографии с двумя ключами: секретным ключом зашифрования стороной, подписывающей документ или сообщение, и открытым ключом доверенной стороной. Какой криптоалгоритм должен применяться в системе цифровой подписи, в законе не уточняется. Вопрос о выборе криптоалгоритма будет, очевидно, решен в отдельном постановлении о применении закона Sig G. В этом законе не уточняется также вопрос о третьей доверительной стороне, но он требует, чтобы эта сторона утверждалась Федеральной службой связи Германии, создающей цифровую цепь проверки открытых ключей.
Греция (3)
Посольство Греции в Вашингтоне сообщало, что в настоящее время в стране отсутствуют законы о применении, импорте и экспорте криптографических средств и принятие таких законов не предусматривается. Но посольство, вероятно, не знает о том, что Греция присоединилась в июле 1997 г. к коммюнике Европейской конференции министров "О глобальных информационных сетях", определяющему порядок экспорта программных средств шифрования двойного (военного и гражданского) применения.
Дания (3)
В докладе министерства торговли и АНБ США сообщается, что в Дании контролируется экспорт и реэкспорт программных криптографических средств. На экспорт необходимо получить лицензию от правительственных органов. Сведений об отмене этого порядка нет. В политике контроля экспорта криптографических средств Дании не делается различий между типами криптоалгоритмов и их криптостойкостью.
Экспорт стратегических товаров в Дании контролируется на основе административного распоряжения министерства промышленности от 12 ноября 1993 г. К этому распоряжению приложен список стратегических товаров, экспорт которых возможен только при наличии лицензии министерства политики деловых отношений (Business Policy Ministry). В список включены товары, на которые распространяются эмбарго, принятые четырьмя международными соглашениями. Административное распоряжение министерства Дании признано как соответствующее международным правилам контроля экспорта стратегических товаров двойного назначения Европейским Союзом.
В Дании отсутствует контроль импорта криптографических продуктов.
В июне 1996 г. совет по информационной безопасности Дании выступил с предложением о свободе применений криптографии в стране, в том числе и систем с обязательным депонированием криптографических ключей. Совет считает, что действующая юридическая система проведения обысков дает возможность доступа к криптографическим ключам. Совет обратился также к министру по исследованиям и информационным технологиям с предложением внести на рассмотрение парламента страны законопроект о цифровой подписи.
Дания присоединилась к коммюнике Европейской конференции министров "О глобальных информационных сетях" от 8 июля 1997 г.
Европейский Союз (3/Ж)
В 1992 г. Европейская комиссия предложила правила регулирования продаж криптографических продуктов двойного (военного и гражданского) применения на мировом рынке. Но так как экспорт криптопродуктов военного назначения затрагивал вопросы национальной безопасности стран- участниц, то контроль за этим экспортом был отнесен к компетенции отдельных государств, а контроль экспорта криптопродуктов гражданского назначения оставлен за Европейской комиссией.
Впоследствии был достигнут компромисс, и в 1994 г. были приняты правила Европейского Союза о регулировании экспорта криптопродуктов двойного назначения (ЕС № 338 V 94), содержащие 24 статьи. Эти правила введены в действие 1 июля 1995 г. решением Совета № 94/942/CFSP, содержащим восемь статей и пять приложений.
Правила, статьи и приложения этого документа устанавливают следующее.
1.Все страны-члены Европейского Союза признают один и тот же список криптопродуктов двойного назначения и правила контроля их экспорта.
2.Для экспорта большинства продуктов двойного назначения между странами -членами Союза (и в другие дружественные страны, не входящие в Союз, такие как Австралия, Канада, Япония, Норвегия, Швейцария и США) достаточно разрешения правительства страны-экспортера.
3.В Европейском Союзе действует общий контроль уровня экспорта.
4.Разрешения на экспорт, выданные правительством какой-либо страны -члена Союза, должны распространяться и на экспорт криптопродуктов из других стран-членов Союза.
В докладе от 8 октября 1997 г. Генерального Директората - XIII (Directrorate-General XIII) Европейской Комиссии, отвечающего за политику в области связи, рынка информационных продуктов и исследований, сообщалось, что Директорат рассматривает проблемы, связанные с политикой правительства США, предлагающего перейти к криптографии с депонированием ключей. В докладе утверждается, что "ограничения в использовании криптографии могут препятствовать законопослушным компаниям и гражданам защитить себя от действий криминальных элементов" и что криптосистемы с депонированием ключей "не исключают полностью возможности использования этой техники в преступных целях".
В отношении механизма "черный ход" в этих системах, дающего возможность правоохранительным и разведывательным органам читать открытый текст зашифрованных сообщений, в докладе сказано, что "если такие криптосистемы будут приняты, права правоохранительных органов и других служб должны быть ограничены до абсолютно необходимых".
Этот доклад был представлен Европейской комиссией основным административным органам Европейского Союза: Европейскому парламенту, Совету министров, Комитету по экономике и социальным вопросам, Комитету по делам регионов.
Израиль (К)
В Израиле введен всесторонний контроль экспорта, импорта и внутреннего применения криптографических средств. Правила проведения такого контроля определены Судебным приказом (Court Ordez) 1974 г. "Контроль за продуктами и средствами (относящимися к криптографии)". В этом приказе установлено, что любое лицо не может заниматься деятельностью в области криптографии (включая импорт, экспорт, производство или применение криптопродуктов) без получения лицензии от национального органа, назначаемого министром обороны.
По разъяснению министерства иностранных дел Израиля (11049-93) "регулирование импорта и экспорта криптографических средств, а также разработки новых криптотехнологий осуществляет министерство обороны, так же как и контроль экспорта оружия. Для экспорта криптографических средств необходимо получить лицензию с указанием конечного пользователя, которому поставляются эти средства. Фирма, намеревающаяся вести разработки криптографической техники, должна получить соответствующее разрешение министерства обороны Израиля".
Индия (Ж/К)
Индия имеет строгую правительственную структуру, осуществляющую основные функции контроля внешней торговли, главным образом, товарами первой необходимости, а не товарами, относящимися к обороне страны и национальной безопасности. До мая 1994 г. в Индии не было четкой политики в отношении экспорта вооружения или критических средств двойного (военного и гражданского) применения. В марте 1995 г. Индия опубликовала список стратегических сырьевых материалов и технологий, экспорт которых разрешается только по лицензиям. В список включены только аппаратные и программные средства шифрования для телеметрических систем (главным образом, относящихся к управлению ракетами, занимающими важное место в этом списке). В списке отсутствуют программные средства шифрования информации.
Согласно совместному меморандуму Индии и США о взаимопонимании по вопросам обмена критическими технологиями, правительство Индии намерено "облегчить" условия импорта из США отдельных продуктов, включенных в списки товаров, подлежащих таможенному контролю, и списки предметов вооружения.
Информация о контроле импорта криптографических средств в Индию и их применения внутри страны отсутствует.
Индонезия (УК)
Как сообщило посольство Индонезии в Вашингтоне, принятие правил, регулирующих применение криптографии внутри страны, представляет собой важное нововведение правительства. Коммерческий атташе Индонезии в Вашингтоне информировал соответствующие организации в Джакарте о развитии криптографии в США и политике правительства этой страны в отношении контроля ее применений.
Посольство Индонезии сообщило также, что ответственным за проведение политики контроля экспорта и импорта криптографических продуктов является Генеральный директорат международной торговли, входящий в министерство промышленности и торговли Индонезии.
Иран (неизвестно)
Посольство Пакистана, представляющее интересы Ирана в Вашингтоне, сообщило, что запрос центра EPIC о законах Ирана, относящихся к криптографии, был передан соответствующим организациям исламской республики Иран. Никакой информации в дальнейшем не было получено.
Ирландия (3/Ж)
В письме Агентства развития (Development Agency) Ирландии от 21 февраля 1994 г. сообщалось, что в Ирландии нет ограничений на экспорт компьютерных программных средств. Благодаря отсутствию таких ограничений более 75 иностранных фирм в Ирландии занимались этим экспортом.
По последним данным, позднее Ирландия ввела ограничения на экспорт компьютерных программ шифрования, которые могут использоваться для гражданских и военных применений.
В июле 1997 г. Ирландия подписала коммюнике Европейской конференции министров "О глобальных информационных сетях".
Испания (УК)
По сообщению Генерального директората связи Испании, правительство страны принимает административные и юридические меры по реализации Резолюции Совета Европейского Союза от 17 января 1995 г. о законном перехвате сообщений в системах связи (9529/95ENFPOL). Собственных законов, определяющих политику в области криптографии, в Испании нет.
Согласно действующим в стране правилам, все поставщики услуг в системах связи (и другие агентства) обязаны по требованиям законных органов власти расшифровывать перехваченные сообщения. Это записано в статье 579 Закона о криминальных расследованиях (Law on Criminal Investigations).
Правительственным агентством, ответственным за контроль экспорта и импорта криптографических продуктов, является Генеральный директорат внешней торговли (в составе министерства экономики Испании). Контроль за применениями криптографии внутри страны осуществляет Генеральный директорат связи (в составе министерства планирования).
Вопросами выдачи лицензии на экспорт товаров двойного назначения и выработки государственной политики в этих вопросах занимается Объединенный межминистерский комитет по регулированию торговли стратегическими товарами двойного назначения JIMDDU (Junta Interministerial Reguladora del Comercio de Material de Defensa у Doblc Uso). В состав этого комитета входят представители министерств обороны, торговли, иностранных дел и экономики. Комитет выдает лицензии или отказывает в их выдаче с учетом интересов иностранной политики, национальной безопасности и обороны страны. В каждом случае применяется строгий индивидуальный подход.
Выработкой национальной политики Испании по криптографии занимается Главный центр военной информации CESID (Centro Superior de Information de la Defensa), являющийся разведывательным центром министерства обороны.
Разрешения на импорт выдаются в соответствии с королевским указом (Royal Decree 824/1993). В приложении 6 к этому указу дан список товаров, на импорт которых требуется лицензия: криптографические продукты в этом списке отсутствуют. Но Испания выдает сертификаты на импорт таких продуктов, если этого требует страна-экспортер.
Хотя в Испании официально гражданские применения криптографии не контролируются, министерство иностранных дел в своем сообщении 120521Z в августе 1994 г. объявило, что по согласованию с другими министерствами контроль за неправительственными применениями криптографии в стране будут осуществлять министерства внутренних дел, общественных работ и торговли.
В настоящее время контроль за частными применениями криптографии осуществляется только в сетях правительственных и правоохранительных органов, банковских учреждений.
Министр промышленности и энергетики Испании подписал 8 июля 1997 г. коммюнике Европейской конференции министров "О глобальных информационных сетях".
(Окончание следует)
1998 .- An International Survay of Encryption Policy.- P. 1 .- 44.