미국의 수출 제한에 대한 프로그래머의 우려


21

암호화 소프트웨어에 대한 미국 수출 제한을 충족해야하는 소프트웨어를 설계 및 게시 할 때 고려해야 할 사항은 무엇입니까?

Wikipedia에 따르면 암호화 소프트웨어에 지정할 수있는 다양한 범주가 있습니다. 또한 수출 목적지 (예 : 중국, 러시아)도 중요한 역할을합니다. 그러나 나는 그 제한과 내 작업에 미치는 영향을 실제로 이해하지 못했습니다.

아무도 나에게 설명 할 수 있습니까?

응용 프로그램을 게시하려고하면 (예 : Apple의 App Store 또는 Android 마켓에) 응용 프로그램이 미국 수출 제한을 충족하는지 확인해야하기 때문에 묻습니다. 그리고 암호와 같은 안전한 정보 저장을 제공하는 많은 응용 프로그램이 있습니다.

그들은 모두 정부에 통보하고 검토를 요청 했습니까? 물론 그들이했는지 알 수 없습니다. 그러나 그들은 이것을해야합니까?


1
당신의 첫 예후는 사실이되었습니다. 그러나 두 번째 질문에 관해서는 : 이것은 많은 프로그래머에게 흥미로운 질문입니다. 많은 사람들이 암호화 알고리즘을 사용하는 소프트웨어를 발표했습니다. 그래서 누군가 알아야합니다.
caw

그렇습니다. 그렇다고해서 당신이 당신에게 결정적인 조언을 해주기에 충분하다고 확신하는 것은 아닙니다. 아래의 "변호사에게 가십시오"를보십시오!
Ben

자세한 내용 은 FIPS 웹 사이트를 참조하십시오
Ubermensch

1
이런 식으로 변호사와 상담 할 것입니다. 저의 경력은 국외 및 해외 고객을위한 제품을 생산하는 계약 업체를 포함하여 방위 산업에 있습니다. 법무 팀뿐만 아니라 가이드 라인을 준수하는지 확인하기 위해 모든 것을 검토하는 특정 수출 관리 전문가가 있습니다. 주의해야 할 것이 많고 소프트웨어 개발자의 답변에 의존하는 것은 중요한 것을 간과하기 쉽기 때문에 현명하지 않습니다.
Thomas Owens

1
감사합니다, 토마스 AES 암호화를 사용하는 Android 마켓에 너무 많은 응용 프로그램 (모두 지침을 충족해야 함)이 있으므로 분명한 경우라고 생각했습니다. 모든 뱅킹 앱, 비밀번호 저장 앱 등을 상상해보십시오. 애플리케이션을 판매하지 않고 무료로 제공합니다. 변호사를 요구하는 것은 비싸다.
caw

답변:


15

코드 인 경우 오픈 소스제한은 매우 가벼운 무게이다 : 당신은 당신의 코드를 내보낼 수 없습니다 제한 한 국가 나 단체 그리고 당신은해야한다 그들이 소스 및 개체 파일을 다운로드 할 수 있습니다 위치의 정부에 통보 . 당신은 에 의해 다운로드되는 코드를 방지하기 위해 어떤 노력을해야 쿠바,이란, 리비아, 북한, 시리아와 수단을 . 모든 사용자에게이 국가로 수출하지 않도록 요청해야합니다.

암호화 기본 요소를 포함하는 모든 "패키지"및 "파일" 목록을 준비해야합니다 . ( 인증 또는 무결성 제어 에만 사용 된 해싱 프리미티브를 건너 뛸 수 있음을 기억 합니다.)

코드가 오픈 소스 가 아닌 경우 자신의 코드 에 예외 를 신청해야 합니다 . 비슷한 소스 / 오브젝트 파일 목록과 어떤 메커니즘에 어떤 알고리즘이 구현되는지 준비해야합니다. 또한 라이센스가 부여되기 전에 검토가 필요할 것으로 예상합니다 .

2011 년 12 월 30 일 현재 모든 정보가 정확하다고 생각하지만, 저는 변호사가 아니며 법률 자문을 제공 할 수 없습니다. 이것들은 단순히 현재 이용 가능한 미국 정부 자원에 대한 포인터입니다.


1
고맙습니다! 이것은 정말 복잡하고 번거로운 것 같습니다. 질문에서 내 편집 내용을 참조하십시오.이 경우에도 또는 사용자가 자유롭게 정보를 인코딩하거나 디코딩 할 수있는 소프트웨어에 대한 설명입니까?
caw

해시 된 암호는 그들이 관심있는 것 중 하나가 아니라는 것이 나의 기억입니다. 따라서 그것이 여러분의 모든 응용 프로그램이라면, 당신은 거의 괜찮을 것입니다. 다른 응용 프로그램 작성자의 기능에 대해서는 말할 수 없습니다.
sarnold

좋아 감사합니다. 예를 들어 온라인 뱅킹 애플리케이션이나 비밀번호로 안전한 경우 예를 들어 안전한 저장을 위해 데이터를 암호화합니다.
caw

암호화 프리미티브를 제공하기 위해 호스트 OS에 100 % 의존하는 경우 별도의 조치를 취할 필요가 없습니다. :)
sarnold

1
JAVA의 무제한 권한 관할 정책 파일 : JCE 아키텍처를 통해 관할 정책 파일을 통해 유연한 암호화 수준을 구성 할 수 있습니다. 일부 국가의 수입 제한으로 인해 Java SE 7 소프트웨어와 함께 배포 된 관할 정책 파일에는 사용 가능한 암호화 강도에 대한 제한이 내장되어 있습니다. 이 다운로드 번들 (이 README 파일을 포함하는 번들)의 관할 정책 파일에는 암호화 강도에 대한 제한이 없습니다. 대부분의 국가에 적합합니다.
caw

7

자신 만의 암호화 루틴을 작성하거나 단순히 타사 루틴을 호출합니까?

내가 묻는 이유는 예를 들어 Windows에서 Microsoft가 제공 한 루틴 중 하나를 사용하는 경우 제어되는 소프트웨어를 게시하거나 배포하는 사람이 아니기 때문에 소프트웨어가 제한을받지 않기 때문입니다.


답변 해주셔서 감사합니다! 이것이 사실이라면 그것은 좋을 것입니다 :) 나는 AES, SHA 등과 같은 유명한 알고리즘을 사용할 것입니다. 그래서 나는 다른 알고리즘을 재사용하고 기본 함수를 호출 할 것입니다. 본인의 암호화 알고리즘을 게시하지 않습니다.
caw

마르코 : 그것은 분명히 갈 길입니다. 어떤 운영 체제를 타겟팅하고 있습니까?
JonnyBoats

3
Marco : 고객의 전화에서 사용할 수있는 최상의 루틴을 간단히 사용하도록 프로그램을 코딩하고 런타임에 확인하십시오. 쿠바 또는 북한에서 얼마나 많은 제품을 판매 할 예정입니까?
JonnyBoats

1
Windows에서 Microsoft 제공 루틴 암호화를 사용하는 경우 제공하지 않기 때문에 물건을 내 보내지 않습니다. 이미 있다면 전화해도 괜찮습니다. 표준 알고리즘의 표준 구현을 사용하면 여전히 암호화가 제공되며이를 내보내는 것이 좋습니다. (또한 현장에서 경험이없는 한 생산 목적으로 자체 보안 소프트웨어를 작성하지 마십시오. 쉽게 잘못 얻을 수있는 것이 너무 많습니다.)
David Thornley

1
암호화 API를 사용하는 경우 여전히 모든 암호화 내보내기 항목을 제출해야합니다.
코드 InChaos

1

이것이 관심을 끌기위한 질문이라면 다른 대답은 훌륭합니다. 그것이 실제로하고있는 일과 관련이 있습니까?

변호사를 찾아 가십시오. 지금.

아직도 기다리고 있습니까? 그런 다음 확장하겠습니다.

변호사를 만나러 가십시오. 지금. 기다리지 말고 생각하지 마십시오. 아직없는 경우 찾으십시오. 비즈니스 법률을 직업으로 취급 하는 사람 과 연락하도록 요청하십시오 . 그의 자격 증명을 확인하고 그들이 제대로 보인다면 그 사람과 함께 앉아서 조언을 위해 돈을 제공하십시오. 조건에 대해 자유롭게 협상하십시오.

당신이 저를 믿지 않고이 분야에서 많은 경험을 쌓지 못한 채로 나는 매우 분명하다는 것을 인정할 것 입니다. '93 년 이후 가족 사업을 성공적으로 운영 한 사람이 2010 년 5 월에 작성한이 기사를 읽으십시오 .

인디 게임 사업을 운영하려는 경우, 무엇보다도 사업을 운영하고 있습니다. 모든 지방, 주 및 연방법이 적용됩니다. 사업자 면허가 필요합니다. 또는 라이센스. 모든 사업에는 변호사와 회계사가 있어야합니다. 나는 전담 변호사 (현명하지 않은 과정)를 가지지 않고 개인적으로 해왔 지만 모든 사업에는 숙련 된 회계사가 있어야합니다.

이 말은 갑옷을 입은 도마뱀이 고블린을 때리는 게임을 판매 하는 두 사람으로 구성된 사업을하는 사람 은 항상 자신 의 개인 변호사 에게 접근 할 수 없기 때문에 위험에 처한다는 것을 알고 있습니다.

당신은 사업입니까? 몰라 무언가를 팔고 있다면 잘 할 수 있습니다. 누가 알 겠어요? 변호사 .

고가의 변호사에게 오랫동안 비용을 지불 할 필요는 없지만 최소한 법적으로 위험 할 수있는 일을하기 전에 일을 할 수있는 사람과 약속 할 수있는 사람이 있어야합니다. 법적으로 위험 할 수있는 것.

여기에있는 것이 있기 때문입니다. 당신이 그것을 미리한다면, 많은 것들이 적용됩니다.

  1. 당신은 정부의 관심을 끌고 관심을 끌 가능성이 적습니다.
  2. 실수했을 때 도움을 청하기 위해 연락 할 수있는 기존 연락처를 포함하여 해결 방법에 대해 더 잘 알고 있습니다.
  3. 당신이 실수를하고 정부의 관심을 끌면, 당신은 모든 것을 올바르게하려했다고 설명 할 수 있고 그것을 증명하기 위해 변호사의 메모를 가지고 있습니다.

당신이하지 않으면? 글쎄, 나는 최근에 당신이 당신이 무언가를 처리 할 능력이없고, 조언을 구하지 않는다는 것을 알고 있다면, 그것은 법적으로 당신이 고의적으로 망치기로 선택했다는 것을 의미합니다. 돈으로는 사기입니다. 수출 제재에서 나는 그것이 반역과 같은 규모라고 생각합니다.

인터넷 조사와 관련하여 : 이 블로그 게시물 은 2011 년 1 월 17 일에 작성되었습니다. 이 물건은 최근에 바뀌 었습니다. 다시 변경 될 수 있습니다. 이미 변경되었을 수 있습니다. 이는 누군가가 지금부터 3 년 동안 맹목적으로 뒤 따르면, 배신자가 아니라고 생각하는 사람들에게 설명하는데 진지한 시간을 할애 할 수 있다는 것을 의미합니다.

내 마음의 평화에 호의를 베풀어주세요. 변호사를 만나러 가십시오.


이 자세한 답변에 감사드립니다. 그것은 분명한 경우이며 결정하기 쉽다고 생각했습니다. 나는 왜 내가 이것을 생각했는지에 대한 질문에 위의 의견을 썼다.
caw

그렇습니다.이 경우 App Store를 통해서만 게시하려는 경우와 앱에서 암호화와 관련하여 특히 새로운 작업을 수행하지 않는 경우 규칙을 얻으려면 Apple에 직접 문의하십시오. 솔직히 말하면, 제출할 때 준수하지 않으면 되돌릴 것입니다. 그들은 App Store를 승인 된 국가로부터 보호하기위한 자체 보호 조치를 갖습니다. 그들은 또한 자신의 법률 팀 이이 물건을 다루고 변호사를 다루는 것으로 계산됩니다.
deworde

1
내가 대답 한 질문은 "일반적으로 암호화 소프트웨어에 대한 미국 수출 제한을 충족해야하는 소프트웨어를 디자인하고 게시 할 때 고려해야 할 사항은 무엇입니까?" Android / iOS 관련 사항의 경우 상담 할 사람은 Apple과 Google입니다. 그들에게 당신이하려는 일을 설명하는 이메일을 보내면 아마 당신을 위해 모든 절차가 준비되어있을 것입니다.
deworde

그러나 어떤 일이 잘못되면 현지 변호사에게 당신의 존재와 당신이하고있는 일을 알고있는 것이 현명합니다. 만일을 위해서.
deworde

추가 의견에 감사드립니다. 나는 당신의 말을 명심할 것입니다;)
caw

0

약간 다른 대답이지만 왜 미국에서 암호화 코드를 작성합니까? 미국에서 나머지 제품을 작성하더라도 다른 부분에서 암호화 부분을 수행하는 것이 좋습니다. 여전히 미국에서 제품을 판매 할 수 있지만 미국에서 수출하지 않고 미국으로 수입합니다.

한편, PGP 초기 초기에는 소스 코드가 포함 된 책을 인쇄하고 책을 내보내는 방식으로 수출 규칙을 회피했습니다.


3
이것은 매우 나쁜 생각입니다. 미국 제재 / 수출 규정은 미국에 등록 된 모든 회사에 적용되며 공급 업체 및 판매량을 결정합니다. 그렇습니다. 매우 영리한 변호사라면 미친 법적인 속임수를 사용하여 사람들을 긁어 모으는 예를 찾을 수 있습니다. 대기업들은 이것을 망치면 수억 파운드를 지불해야합니다. 소기업, 모두가 감옥에 가거나 파산하거나 둘 다 간다.
deworde
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.