web-dev-qa-db-ja.com

クラウド上の輸出法(キーサイズ)

AES-256に関する米国の輸出法は、クラウドでホストされているアプリケーションに適用されますか?

10
David Savage

この特定のケースで、トーマスの答えと私のコメントを拡張するには:

  • 特定の顧客へのAES-256暗号化のエクスポートは、米国政府によって制限されています。たとえば、中国政府に販売する場合、輸出許可が必要です。ただし、中国の民間企業に販売することはできます。

    not特定の禁輸国および個人に販売するためのライセンスを取得できます。

    これらには、キューバ、イラン、イラク、リビア、北朝鮮、セルビア、スーダン、シリア、アフガニスタンのタリバン支配地域が含まれます。

  • 中国やロシアなど一部の国では、暗号化製品の輸入許可(または輸入禁止)が必要です。

これは、クラウドが不適切に定義されている場合の明確な答えを提供しないため、解決策は次のようになります契約に基づいてクラウドの地理的分布を制限することに同意するクラウドプロバイダーを使用してください。多くはすでにこれを行っています-例えばIronMountainを使用すると、データを配置する正確な場所を選択できます。EUのクラウドプロバイダーは、顧客データをEU内に保持することになっています。

8
Rory Alsop

与えられた国の法律は、国自体が拡大するところにはどこでも適用されます。それは地理的な文脈です。 2つのシステム間で特定の情報が転送された国を特定することが難しいため、宇宙ベースの管轄区域がコンピュータ化されたネットワーク化された世界にうまくマッピングされないことがよくあります(特に、「情報」が「どこかにある銅ケーブルで揺れ動く電子の束が情報を転送するために利用されている」)。 「クラウド」はその方向に少し進んだだけです。質的には変化しませんが、量的には変化します。

管轄区域に関連する問題の例として、PS3の脱獄についての SonyのGeohotに対するケース 、特に次の引用を検討してください。

SCEAはカリフォルニア州に人的管轄権を確立しようとしました。これは、米国地方裁判所が、以前の画期的な事件で設定されたいくつかの判例のおかげで、訴訟でエレクトロニクス企業を支持する傾向があるためです。同社は、カリフォルニアで訴訟を起こす根拠があると主張し、PS3の脱獄をダウンロードした人々のほとんどは、その特定の州にたどり着くことができると主張している。つまり、Hotzはカリフォルニア州でソニーの訴訟を州の地方裁判所に提起するための最低限の連絡先を持っているということです。

ソニーは、ISPからログレコードを取得して、その管轄権を確立しようとするのに多くの問題を抱えました。 (2週間後、SonyとGeohotは法廷外で和解しました。そのため、これが法的に言えばどうなるかわかりません。)

しかし、some法則が確実に適用されることを確認できます。特定の国の法律が適用されない場所があります(公海、地球表面から80 kmを超える宇宙、おそらく南極)が、「雲」を実行しているシステムが オフショアなどに配置されていたとしてもplatform 、あなた自身とあなたのコンピュータは、物理的にはもっと「主流」の国に住んでいるでしょう。

その時点で、それは複雑になります。これは、すべての国に暗号システムおよび/または暗号キーに関する独自の法律と規制があるためです。暗号法の広範な調査については、 this site を参照してください。少なくとも、あなたがいる国の法律、およびクラウドシステムが置かれている国の法律を考慮してください。ソフトウェアを開発してアップロードできるからといって、前者から後者に移行するのであれば。

また、私には法的な助言を与える資格はありません。 (私はそのような免責事項が私を保護するかどうかさえ本当に知りません。)

5
Thomas Pornin