包装密码学软件和分发

时间:2009-12-19 06:43:46

标签: python cryptography aes itar

我正在开发一个python GUI应用程序,并计划调用与我的程序一起打包的外部程序来进行一些加密。我注意到像OpenSSL这样的网站谈论有关加密软件的出口法律。

如果我无法将二进制形式的加密软件打包到我的应用程序中,我该如何解决这个问题仍然可以加密我程序的输出?

2 个答案:

答案 0 :(得分:5)

您需要谨慎选择目标受众,尤其是当您与ITAR一起跳舞时 - 国际武器贸易规则。确定您可以合法地将产品导出到的国家/地区,然后至少说来自其他国家/地区的人无法下载。您可能需要做的不仅仅是在您的国家保持合法。

从法律上讲,这是进入游泳池的深层次,你需要与知识渊博的律师谈谈此事。如果你住在芬兰,你可以做任何你喜欢的事。如果你住在美国,要小心。如果你住在法国,请非常小心。

更新:有时我觉得自己老了,其他时候我证明了这一点。在没有检查当前ITAR处理强加密的情况下,我回答了至少12年过时的答案。在1997年之前,从任何国家/地区出口任何类型的加密都是非常冒险的事情并且会受到严厉的法律处罚。在法国尤其如此,一度禁止所有非政府使用加密,甚至是非常弱的40位DES。虽然法国放松了一点,但他们似乎仍然落后于大多数其他发达国家,因为他们理解a)他们的公民拥有有效的隐私权,并且b)他们在4096位RSA的世界中没有多少能阻止它可以在网上购买。

ITAR对加密的立场在96-97改变了。虽然事情总体上有所改善,但出口/进口加密仍然存在障碍。在你走得太远之前,你应该彻底熟悉你的国家关于cryto的法律 - 你可能会对你所发现的东西感到震惊/悲伤。甚至美国still has some restrictions你可以向谁以及以何种形式输出什么样的加密。

某些国家/地区,特别是法国和英国,已经(并且似乎仍然有某种形式或其他)法律要求软件供应商托管其客户使用的密钥和/或提供后门进入政府希望看到你在说什么的系统。

底线:良好的加密使政府感到紧张,关于合法/非法的法律遍布全球。尝试准确了解加密在您提议的产品/项目中扮演的角色,并确定用户是否可以根据自己国家对该主题的立场来选择加入/退出。

答案 1 :(得分:0)

我经常看到人们依赖外部包加密部分:您可以在没有加密包的情况下打包软件,并告诉用户他们必须从原始发布者下载并安装加密部分。

这有效地将加密部分的责任从您转移到您的用户。