美國的加密技術出口管制

在冷戰初期，美國與其盟國制定了一系列詳盡的出口管制法規，旨在防止西方國家的各種重要技術落入敵人手中，特別是東方集團。被歸類為「關鍵（Critical）」的技術，都需要經過授權才能出口。西方各國對出口管制的協調，由輸出管制統籌委員會（CoCOM，又稱巴黎統籌委員會，中文簡稱巴統）負責。^[6]

有兩種類型的技術受到保護：只會與軍事（軍需品）有關的技術，以及可以同時具有軍事和商業雙重用途的技術。在美國，前者的出口由國務院管理，後者的由商務部管理。由於在第二次世界大戰後不久，加密的市場幾乎完全和軍事有關，因此加密技術與設備（計算機逐漸開始應用於資料加密後，也包含了加密軟體）在1954年11月17日宣佈列入美國軍需品管制清單第十一類—設備與其他雜項當中（19 FR 7403）。通過CoCOM對西方各國的加密技術出口，進行管制。^[6]

但是，到了1960年代，金融機構開始需要更強大的商業加密，以應付快速增長的電子匯款領域。美國政府於1975年發布了資料加密標準（DES），這意味著的高品質的商業加密將會變得普遍，並且會開始出現嚴重的出口管制問題。通常，計算機製造商（例如IBM）以及其大型企業客戶，需要逐案（在每一次幫外國客戶加密數據時）向有關單位申請出口授權許可。

隨著個人電腦逐漸普及，加密技術的出口管制已經成為公眾關注的問題。菲爾·齊默爾曼在1991年於網際網路上發布加密軟體PGP，受到司法調查，是加密技術出口管制首次個人層面上的挑戰。^[7]，成为密码出口管制方面的首个主要的“个人挑战”。1990年代，電子商務的發展為相關法規製造了更多壓力。^[8]1990年代電子商務的發展為相關法規製造了更多壓力。 VideoCipher II還使用DES加密衛星電視的音源訊號。

1989年，利用密碼學原理，但沒有加密數據的商品（例如訪問控制和消息身份驗證）的已從商品出口管制中刪除。在1992年，軍需品管制清單中正式添加了一個例外，用於密碼學的非加密應用（和衛星電視解擾器），並且NSA與軟體發行商協會達成協議，使40位密鑰長度的RC2和RC4加密更易於使用商品，出口具有特殊的“7天”和“ 15天”司法審查流程，並將控制權從國務院轉移到商務部。

此後不久，網景的安全通訊協定，利用公鑰密碼學，被廣泛使用在保護信用卡交易上。網景開發了兩個版本的Web瀏覽器 。「北美版」支持完整長度（通常為1024位或更大）的RSA公鑰，以及完整長度的對稱密鑰（SSL 3.0和TLS 1.0中為128位RC4或3DES）。通過披露SSL協議中的88位密鑰，「國際版」的有效密鑰長度分別減小為512位和40位（在SSL 3.0和TLS 1.0中， RSA_EXPORT具有40位RC2或RC4）。^[9][10]一台個人電腦可以在數日內破解40位密鑰。出于相同的原因，IBM的Lotus Notes也发生了类似的情况。^[11]即使是在美國，購買美版也需要經過很麻煩的手續，因此大多數用戶最終仍是購買了國際版。^[11]

公民自由主義者、隱私權倡導者所發起的一系列訴訟，加密軟體在美國境外的普及，以及許多公司認為對弱加密的不利宣傳，限制了其銷售和電子商務的發展，諸多因素使美國開始放鬆一系列出口管制。最終在1996年，美國總統比爾·柯林頓簽署了13026號行政命令，^[12]，將商業加密從軍需品管制清單中轉移到商業管制清單。此外，該命令指出：在「出口管制條例」的解釋中，不得把「軟體」視為「技術」。商品管轄權流程由商品分類流程代替，並且添加了一條規定，如果出口商承諾在1998年底之前添加「密鑰恢復」的後門，則可以出口56位加密。1999年，出口管制條例更改為允許沒有任何後門的情況下出口56位加密（基於RC2，RC4，RC5，DES或CAST）和1024位RSA，並且引入了新的SSL密碼套件來支援此技術（帶有56位RC4或DES的RSA_EXPORT1024 ）。美國商務部於2000年修訂出口管理條例，簡化了包含加密技術的專有或開源軟體的出口程序。^[13]

截至2009年，從美國出口的非軍事密碼系統均由美國商務部工業和安全局（BIS）管理。^[14]即使對於大眾市場產品，仍然存在一些限制，特別是在向「流氓國家」和恐怖組織出口方面。軍事化的加密設備，經過TEMPEST（英语：Tempest (codename)）認證的電子產品，客製化的加密軟體，甚至是加密諮詢服務，都仍需要出口授權許可。^[14]:6-7對於「具有超過64位密鑰長度，面向的大眾市場加密商品，軟體和組件」的出口，需要依法向BIS進行註冊（75 FR 36494）。此外，其他物品在出口到大多數國家之前，需要獲得BIS的一次性審查或通知。 例如：開源加密軟體在互聯網上公開之前，必須先通知BIS，儘管不需要進行審查。^[15]出口法規已經比1996年以前要來的放鬆，但仍然很嚴格。其他國家，^[16]特別是瓦聖納協定成員國，也有類似的限制。^[17]

美國非軍事出口受出口管制條例 （EAR） 管制 ，這是美國聯邦法規 （CFR）第15章第730至第774部分的通稱（15 C.F.R. § 730 et seq （页面存档备份，存于互联网档案馆））。

專為軍事應用（包括指揮，控制和情報應用）設計，開發，配置，適應或修改的加密項目由國務院控制在美國軍需品管制清單上。

加密技術與出口的相關術語在EAR的772.1部份說明^[18]，其中比較重要的有：

• 加密組件：是一種加密商品或軟體（但不包括源代碼）包括加密芯片，集成電路等。這些組件通常無法獨立運作，是設計用來作為其他加密產品的一部分。
• 加密物品：包括非軍用加密商品，軟體和技術。
• 開放密碼界面：是一種機制，旨在允許客戶或其他方插入密碼功能，而無需製造商或其代理商的干預，幫助或協助。
• 輔助密碼學技術：主要不是用於計算和通信，而是用於數位版權管理；遊戲、家用電器；打印，照片和視頻錄製（但不包括視頻會議）；業務流程自動化；工業或製造系統（包括機器人、火警和HVAC）；汽車、航空和其他運輸系統。

根據740部分的EAR補編第1號，出口目的地分為四個國家組 （A，B，D，E），並進一步細分。一個國家可以屬於多個集團。作為加密出口的目的地，組B，D:1和E:1很重要：

• B是受寬鬆的加密出口管制的眾多國家/地區。
• D:1是受更嚴格出口管制的國家的簡短清單。名單上著名的國家包括中國和俄羅斯。
• E:1是“支持恐怖主義”的國家的簡短列表（截至2009年，包括五個國家；以前包含六個國家，也被稱為"terrorist 6"或T-6）。

738部分的EAR補編第1號（商業國家/地區圖表）包含具有國家/地區限制的表格。如果與國家/地區相對應的表格行的“控制理由”列中包含X，則除非可以應用例外情況 ，否則控制對象的出口需要許可證。為了加密目的，控制的以下三個原因很重要：

• NS1國家安全專欄1
• AT1反恐專欄1
• EI加密項目當前與NS1相同

分類

出於出口目的，借助於商業管制清單（CCL，EAR部分774的補編第1號），將每個項目分類為具有出口控制分類號 （ECCN）。 特別是：

• 5A002用於“訊息安全”的系統，設備，電子組件和集成電路。控制原因：NS1，AT1。
• 5A992不受5A002控制的 “大眾市場”加密商品和其他設備。 控制原因：AT1。
• 5B002用於開發或生產歸類為5A002、5B002、5D002或5E002的物品的設備。 控制原因：NS1，AT1。
• 5D002加密軟體。 控制原因：NS1，AT1。
  • 用於開發，生產或使用分類為5A002、5B002、5D002的物品
  • 5E002控制的輔助技術
  • 模擬5A002或5B002控制的設備的功能
  • 用於認證由5D002控制的軟體
• 5D992加密軟體不受5D002控制。 控制原因：AT1。
• 5E002 5A002或5B002控制的設備或5D002控制的軟體的開發，生產或使用技術。 控制原因：NS1，AT1。
• 5E992 5x992項目的技術。 控制原因：AT1。

項目可以是自分類的，也可以是BIS要求的分類（“複查”）。 對於典型項目，需要進行BIS審查才能獲得5A992或5D992分類。

• 榮格訴戴利案
• 伯恩斯坦訴合眾國案
• FREAK缺陷
• 加密戰爭

• Crypto law survey （页面存档备份，存于互联网档案馆）
• Bureau of Industry and Security — An overview of the US export regulations can be found in the licensing basics page.
• Whitfield Diffie and Susan Landau, The Export of Cryptography in the 20th and the 21st Centuries. In Karl de Leeuw, Jan Bergstra, ed. The history of information security. A comprehensive handbook. Elsevier, 2007. p. 725 （页面存档备份，存于互联网档案馆）
• Encryption Export Controls. CRS Report for Congress RL30273. Congressional Research Service, ˜The Library of Congress. 2001 （页面存档备份，存于互联网档案馆）
• The encryption debate: Intelligence aspects. CRS Report for Congress 98-905 F. Congressional Research Service, ˜The Library of Congress. 1998 （页面存档备份，存于互联网档案馆）
• Encryption Technology: Congressional Issues CRS Issue Brief for Congress IB96039. Congressional Research Service, ˜The Library of Congress. 2000
• Cryptography and Liberty 2000. An International Survey of Encryption Policy. Electronic Privacy Information Center. Washington, DC. 2000 （页面存档备份，存于互联网档案馆）
• National Research Council, Cryptography's Role in Securing the Information Society （页面存档备份，存于互联网档案馆）. National Academy Press, Washington, D.C. 1996 (full text link is available on the page).
• The Evolution of US Government Restrictions on Using and Exporting Encryption Technologies (U) （页面存档备份，存于互联网档案馆）, Micheal Schwartzbeck, Encryption Technologies, circa 1997, formerly Top Secret, approved for release by NSA with redactions September 10, 2014, C06122418