政府はいつ暗号化ソフトウェアの輸出を許可しますか？

このApacheリンク から、ECCN5D002は次のように要約できます。

• このリストの他のソフトウェアの開発、製造、または使用のために特別に設計または変更されたソフトウェア、またはこのリストの他のソフトウェアを認定するために設計されたソフトウェア。または

• 56ビットを超えるキー長を使用する「対称アルゴリズム」を使用するソフトウェア。または

• アルゴリズムのセキュリティが以下に基づく「非対称アルゴリズム」を使用するソフトウェア：512ビットを超える整数の因数分解（RSAなど）、512ビットを超えるサイズの有限体の乗法群における離散対数の計算（たとえば、Z/pZ上のDiffie-Hellman）、または112ビットを超えるグループ内の他の離散対数（たとえば、楕円曲線上のDiffie-Hellman）。

• 暗号解読機能を実行するように設計または変更されたソフトウェア暗号解読機能が上記の定義の1つに制限されている場合は、ECCN 5D002として分類し、残りの2つの手順を実行する必要があります（以下で説明）。リリースに上記以外の暗号化機能が含まれている可能性がある場合は、ASF法務担当副社長に連絡してください。

一言で言えば、それが特定の強度を超えるキーで暗号化するソフトウェアである場合、それは暗号化ソフトウェアとして分類されることを意味しているように見えます。でも弁護士は話せないので〜

暗号化ソフトウェアとハ​​ードウェアは、戦時中の秘密を守るために使用できるため、米国政府によって軍需品と見なされています。そのため、米国の輸出管理下にあります。このレベルの管理は過去15年ほどで大幅に緩和されましたが、カバーされているものとカバーされていないものについてはまだかなりの量の法律があります。

私が知っている輸出の主な理由の3つは、鍵の長さが十分に短いかどうか、銀行のセキュリティに使用されるかどうか、または政府が行っていない政権の側でとげとして使用されるかどうかです。好きです。 （たとえば、厳しく管理された国で検閲を回避し、自由を促進することを目的としたソフトウェアには、例外が認められることがよくあります。）

BIS輸出管理規則、セクション740.13は、これに関連する法律の関連セクションです。全体的に、私はそれがNSAによって壊される可能性があることを意味することについてあまり心配しません。キーの長さが短い場合は、解読しやすい可能性がありますが、銀行や公益などの重要なセキュリティに関する例外を除いて、同じ種類の暗号化の使用が許可されています。政府自体が使用するように。

私がいつも自問しているのは、政府が自分たちの極秘通信を、彼らが破る方法を知っているアルゴリズムで暗号化する可能性はどのくらいだと思いますか？

政府は暗号化キーの長さを制限しているだけで、特定のアルゴリズムは制限していないと聞いています。これは、たとえば法律によって達成され、対称キーの場合は56（これは国によって異なります）ビット、非対称キーの場合は512（これも異なります）ビットのキー長を削減することを企業に強制します。

私の知る限り、ソフトウェア会社は弱いキーの長さに従わず、キーの十分な部分をハードコーディングしているだけなので、制限された長さに違反することはなく、ユーザーはそれぞれ56ビットと512ビットのキーにのみ影響を与えることができます。