Політика в сфері криптографічного захисту інформації в Україні та інших державах світу

криптографія суспільство інформація шифрування

Швидкий темп розвитку технологій обчислювальної техніки та зв'язку докорінно змінили способи комунікації та обміну інформацією. Але разом з підвищенням швидкості та ефективності передачі інформації та істотним зниженням вартості цієї передачі на основі "цифрової революції" в комп'ютерній техніці і техніці зв'язку виникли проблеми забезпечення інформаційної безпеки і збереження конфіденційності особистої інформації при передачі з використанням глобальної інфраструктури зв'язку. Основним способом вирішення цих проблем стала криптографічний техніка, що дає можливість захисту з дуже високим ступенем надійності інформації, яка передається по мережах зв'язку і яка зберігається в базі даних і пам'яті комп'ютерів і оброблюваної в обчислювальних системах.

До недавнього часу криптографія мала місце лише в урядових організаціях і опікувалася виключно державою. Сучасна криптографія - процес математичного перетворення даних з використанням формул або алгоритмів - традиційно використовувалася в основному для захисту військового і дипломатичного зв'язку. Але новітні досягнення в комп'ютерній технології, нові види зв'язку та суттєво нові досягнення в криптографії привели до виникнення ринку криптографічних продуктів, що став складовою частиною світової економіки. Техніка електронного зв'язку широко використовується для передачі безперервно зростаючих обсягів інформації (у тому числі фінансової, комерційної та персональної, наприклад, медичної) у цивільному секторі. Важливе місце займають такі застосування зв'язку, як електронна пошта, електронне перерахування платежів та ін. У цих умовах все більш істотним стає збереження конфіденційності інформації.

Це завдання може бути вирішене тільки методами криптографії та використанням її для таких застосувань, як аутентифікація, перевірка цілісності та ін.[7]

Для цього необхідно, щоб криптографічні методи і техніка стали загальнодоступними і їх використання не обмежувалося урядовим регулюванням. Урядове регулювання застосувань криптографії для досягнення інформаційної безпеки завдає істотної шкоди збереженню приватності корпоративної інформації. Криптографія забезпечує конфіденційність персональних записів (медичних, фінансових тощо) і повідомлень, переданих по електронній пошті. В умовах передачі цієї інформації по лініях зв'язку і обчислювальних мережах вона піддається великому ризику розкрадання і неправомірного використання. Тому члени Комітету за глобальну свободу користування мережею Internet GILC (Global Internet Liberty Campaign) прийняли резолюцію про підтримку свободи використання криптографії" Resolution in Support of Freedom to Use Cryptography". У цій резолюції наголошується, що "використання криптографії визнає неприпустимість порушень прав людини та її свободи дій, що завдають йому шкоди, на всій території земної кулі" і що "збереження конфіденційності зв'язку захищається статтею 12" Загальної декларації прав людини.

У багатьох країнах світу організації з захисту прав людини, журналісти та політичні дисиденти зазвичай є основними об'єктами спостереження урядових розвідувальних служб і правоохоронних органів а також інших неурядових груп. Держдепартамент США у своїй доповіді про практику дотримання прав людини, представленому країні в 1996 р., повідомляв що набули широкого поширення незаконні і неконтрольовані підключення до ліній зв'язку з метою їх прослуховування, що практикуються як урядовими органами, так і приватними групами в більш ніж 90 країнах. У деяких країнах, таких як Гондурас і Парагвай, компанії, що володіють урядовими мережами зв'язку, є активними помічниками урядових агентств безпеки у проведенні стеження за особистим життям людей. Ця проблема стосується не тільки країн, що розвиваються. Агенти французької контррозвідки підключаються до телефонів відомих журналістів і лідерів опозиційних організацій[8].

За даними французької національної комісії з контролю за незаконними підключеннями, для перехоплення інформації в цій країні щорічно виробляється до 100 000 таких підключень. Відомо багато випадків контролювання розвідувальними службами Великобританії громадських, профспілкових та правозахисних організацій. Нещодавно прийнятий у Великобританії закон дозволяє спостереження за адвокатами і священиками. У Німеччині, вперше після нацистського правління, продовжено дію закону, що дозволяє прослуховування в журналістських офісах. Європейський парламент опублікував у січні 1998 доповідь, в якій повідомляється, що Агентство національної безпеки (АНБ) США здійснює масовий контроль в європейських системах зв'язку.

Комітет GILC адресував прийняту ним в 1996 р. згадану вище резолюцію Організації економічного співробітництва та розвитку OECD (Organization for Economic Cooperation and Development) із зверненням прискорити вироблення політики OECD по "основних прав громадян на користування захищеним зв'язком". У прийнятому у відповідь на це звернення рішенні OECD визнала, що "основні права людини на збереження особистої таємниці, включаючи конфіденційність зв'язку та захист персональної інформації, повинні дотримуватися в національній політиці з криптографії і використанню криптографічних методів".

Пізніше OECD прийняла "Основні принципи політики в галузі криптографії" (Guidelines on Cryptography Policy), опубліковані 27 березня 1997. У цьому документі заявлено, що OECD не підтримує пропозицію США про створення міжнародної структури депонування криптографічних ключів і видачі їх правоохоронним та іншим урядовим органам. Рекомендації OECD були прийняті після дискусій, що тривали більше року по проекту "Основних принципів". Ці рекомендації, що не мають характеру обов'язкового угоди, визначають основні проблеми, які повинні враховувати окремі країни при формуванні політики в області криптографії на національному та міжнародному рівнях[8].

У документі OECD наголошується, що необхідність прийняття "основних принципів" виникла у зв'язку зі вибуховим зростанням у всьому світі інформаційних і комунікаційних мереж і технологій та вимогами ефективного захисту інформації. Криптографія є основним інструментом такого захисту.

Криптографія може також забезпечити збереження конфіденційності і цілісності даних і з'явитися механізмом аутентифікації і виключення відмов сторін від своїх зобов'язань в електронній комерції. Уряди країн - членів OECD мають намір сприяти застосуванню криптографії для захисту даних і в комерційних операціях, але вони змушені проводити таку політику, яка давала б можливість збалансувати різні інтереси і завдання, включаючи збереження конфіденційності персональної інформації, інтереси національної безпеки і правоохоронних органів, розвиток технологій і торгівлі. Міжнародні консультації та співробітництво повинні сприяти виробленню правильної політики в області криптографії зважаючи притаманного інформаційним і комунікаційним мережам міжнародного характеру і труднощів визначення і юридичного захисту кордонів у сучасній глобальній обстановці[9].

"Основні принципи" мають сприяти розширенню галузей застосування криптографії, розвитку електронної комерції, зміцнення довіри користувачів до мереж, підвищенню рівня захисту даних і збереження таємниці особистої інформації. Деякі країни-члени OECD вже проводять певну політику в області застосувань криптографії і приймають відповідні закони, а багато країн ще тільки виробляють цю політику. Невдалі спроби координувати національну політику окремих держав на міжнародному рівні можуть з'явитися перешкодою створенню і розвитку національних і глобальних інформаційних і комунікаційних мереж і розширенню міжнародної торгівлі. Уряди країн - членів OECD усвідомлюють важливість міжнародного співробітництва, і OECD внесла свій внесок у досягнення угоди про дану політику та вирішенні специфічних проблем, що відносяться до криптографії, а в більш широкому сенсі до інформаційних і комунікаційних мереж і технологій.

"Основні принципи політики в галузі криптографії" містять вісім таких принципів:

. Криптографічні методи повинні викликати довіру користувачів інформаційних і комунікаційних мереж.

. Користувачі повинні мати право вибору і реалізації будь-якого криптографічного методу, застосування якого дозволено законом.

. Криптографічні методи повинні розроблятися при виникненні необхідності в цьому, як відповідь на певні вимоги і з ініціативи окремих осіб, організацій і урядів.

. Технічні стандарти, критерії та протоколи, що відносяться до криптографічних методів, повинні розроблятися і поширюватися на національному та міжнародному рівнях.

. Основні права людини на особисту таємницю, включаючи секретність зв'язку та захист персональних даних, повинні дотримуватися в політиці застосування криптографії, реалізації та використанні криптографічних методів.

. Національна політика в галузі криптографії повинна забезпечувати законний доступ до відкритих текстам, криптографічним ключам або зашифрованих даних. Ця політика повинна поважати інші основні принципи в максимально можливій мірі.

. Незалежно від того, чи встановлюється за контрактом або законодавчим порядком відповідальність осіб або організацій, що пропонують криптографічні послуги або відають доступом до криптографічних ключів, вона повинна бути чітко визначена.

. Уряди різних країн повинні співпрацювати і координувати свої дії з вироблення та реалізації політики в області криптографії. Заради загального прогресу криптографії уряди країн - членів OECD повинні прагнути усувати виникаючі невизначені перешкоди досягненню такої взаємодії[10].

У коментарях до цих принципів підкреслюється, що кожен з них зачіпає ту чи іншу важливу особливість загальної політики в галузі криптографії. Тому їх слід вважати взаємозалежними і реалізувати як єдине ціле, домагаючись балансу різних інтересів. "Принципи" представлені у певній логічній послідовності, що виражає поступальний прогрес при переході від одного принципу до наступного. Для досягнення міжнародної згоди про застосуваннях криптографії та повного використання потенційних можливостей національних і глобальних інформаційних і комунікаційних мереж політика в області криптографії, яка приймається і проводиться тією чи іншою країною, повинна максимально гармоніювати з аналогічною політикою інших країн.

Для досягнення міжнародної згоди про застосуваннях криптографії та повного використання потенційних можливостей національних і глобальних інформаційних і комунікаційних мереж, політика в області криптографії, яка приймається і проводиться тією чи іншою країною, повинна максимально гармоніювати з аналогічною політикою інших країн.

Даний огляд складений інформаційним центром EPIC (Electronic Privacy Information Center) захисту конфіденційності інформації в електронних системах за дорученням комітету GLIP. Він повинен дати по можливості повне уявлення про національну політику і законодавство в галузі криптографії більшості країн. На відміну від попередніх оглядів з цієї тематики, він є найбільш повним і детальним, так як складений на основі офіційних повідомлень, отриманих від більш ніж 200 країн.

Центр EPIC розіслав запити посольствам, місіям ООН, урядовим міністерствам та інформаційним центрам цих країн і територій з проханням дати відповіді по чотирьох основних аспектів політики в галузі криптографії.

Контроль уряду за застосуваннями криптографії всередині країни;

Контроль уряду за імпортом в країну комп'ютерних програм, які можуть бути використані в криптографії;

Контроль уряду за експортом розроблених в країні комп'ютерних програм або апаратних засобів, що допускають застосування криптографії;

Наявність урядового агентства або департаменту, відповідального за реалізацію прийнятої політики контролю застосування криптографії, імпорту та експорту криптографічних продуктів і технологій.

Відповіді на ці питання офіційних представництв та представників різних країн наведені нижче у формі огляду. У ньому наводяться посилання на огляд Національного інституту стандартів і технологій США (NIST), опублікованому у вересні 1993 р. що представляє першу спробу зібрати і проаналізувати інформацію про політику в галузі криптографії, що діє в інших країнах. Зустрічаються також посилання на доповідь, підготовлену міністерством торгівлі і АНБ США для міжвідомчої групи з політики в галузі криптографії та зв'язку. Ця доповідь з назвою "Вивчення світового ринку програм комп'ютерного шифрування " була опублікована в 1995 р. Вона складена в основному за відомостями, отриманими від посольств і торгпредставництв США в інших країнах і частково за даними розвідувальних служб США. Тому не дає повної інформації про дійсний стан. Враховуючи все це, Центр EPIC прийняв рішення про складання огляду, головним чином за матеріалами, отриманими від офіційних представництв та відомств країн, що взяли участь в опитуванні[11].

За результатами опитування ці країни розділені на три групи залежно від характеру прийнятої і реалізованої в них політики контролю криптографії. Цим групам присвоєні такі позначення:

Green - зелена (3) - країни, які дотримуються основних положень OECD про криптографію, тобто практично не обмежують її вільного застосування;

Yellow - жовта (Ж) країни, які мають намір ввести певний контроль криптографії, включаючи її застосування всередині країни і експорт програмних засобів подвійного призначення;

Red - червона (Ч) - країни, що здійснюють контроль криптографії та її застосувань всередині країни.

Деякі країни не можна безумовно віднести до тієї чи іншої групи. Їм присвоюються проміжні позначення, наприклад, yellow/red -жовта/червона.

Нижче наводяться оброблені результати опитування про політику контролю криптографії в більшості країн, що взяли в ньому участь.

Австралія (3/Ж)

В Австралії з 1987 р. діють законодавчі акти, що обмежують експорт криптографічних продуктів. Для експорту потрібне схвалення міністерства оборони і митного управління.

Особливо строгі обмеження діють на отримання індивідуальних ліцензій на експорт програмних продуктів шифрування масового застосування.

За даними міністерства зовнішньої торгівлі Австралії, ця країна має добре розвинену мережу постачальників комерційних програмних засобів шифрування, призначених головним чином для захисту потоків комерційних даних, переданих через модеми, рухливі телефони та мовні скремблери. Тому обмеження експорту таких продуктів зачіпає, в першу чергу, інтереси комерційного сектора. Дозвіл або заборона експорту залежать від економічних чинників, впливу на національну безпеку і міжнародних зобов'язань країни. Дозвіл на експорт криптографічних продуктів вимагає схвалення директорату зв'язку міністерства оборони Австралії DSD (Defence Signals Durectorate), що визначає ступінь впливу експорту на національну безпеку країни. DSD несе відповідальність за розвідку джерел електромагнітних сигналів SIGINT і працює у взаємодії з агентством національної безпеки США (АНБ) відповідно до угоди про безпеку між Великобританією і США, укладеним в 1948 р. DSD відповідає також за безпеку урядового зв'язку Австралії[11].

В Австралії відсутній контроль імпорту криптографічних продуктів. Крім того, використання криптографії приватними особами та організаціями в Австралії обмежується тільки отриманням дозволу на будь-яке приєднання криптографічних пристроїв до телефонної апаратури комутованої мережі загального користування від австралійської дирекції зв'язку Austel. Такі дозволи зазвичай видаються за умови, що криптографічні пристрої, які інтегруються, не порушать роботу мережі. В Австралії передбачається прийняття закону про контроль за застосуваннями криптографії приватними особами. Контроль стосується тільки апаратури, яка приєднується до національних мереж зв'язку.

У жовтні 1996 р. в Австралії була опублікована доповідь колишнього заступника директора Національного управління розвідки і безпеки ASIO (Australia Security Intelligence Organization) Ж.Уолша. Ця доповідь, що стала відомою як доповідь Уолша, має назву "Огляд політики в галузі криптографічних технологій" (Review of Policy relating to Encryption Technologies). У доповіді Уолша містилася рекомендація Австралії не вводити пропоновану США систему депонування криптографічних ключів (Key escrow) або отримання ключів за запитом урядових агентств. Ця рекомендація грунтувалася на тому, що діючі в Австралії правила використання криптографії не відповідають умовам, необхідним для функціонування системи депонування ключів. Наголошувалося також на можливість корупції з боку третьої сторони, керуючої депонованими ключами.

Відзначалася і непопулярність пропозиції США ввести міжнародну комерційну систему депонування криптографічних ключів серед багатьох розвинених країн світу. У серпні 1997 р. в Австралії було створено Національне управління з інформаційної економіки NOIE (National Office for the Information Economy), яке займатиметься виробленням та реалізацією політики Австралії в області криптографії.

Австрія (Ж.)

Відповідальним за використання криптографії, експорт та імпорт криптографічних продуктів в Австрії є 6-й відділ (Section VI) міністерства закордонних справ. Уряд Австрії контролює всі програмні засоби шифрування подвійного (військового і цивільного) застосування на експорт, транзит або реекспорт, для яких потрібні спеціальні ліцензії. Не видаються ліцензії на експорт цих продуктів в регіони, де відбуваються військові конфлікти, і в країни, проти яких введені міжнародні санкції.

За даними Інституту прикладної обробки інформації та зв'язку Австрії (IAIK), діючі в цій країні правила використання криптографії визначені законом про внутрішній радіозв'язок (Betriebsfunkverorduiig, 1995). Застосування криптографії явно заборонено цим законом, так як призначення частот деяким компаніям і організаціям є привілейованим і тому ці частоти можуть бути використані тільки для специфічного внутрішнього зв'язку компаній. Але деякі частоти виділені для цілого сектору економіки, внаслідок чого інформація що передається по них може прослуховуватися конкуруючими компаніями. Тому зацікавлені організації та фірми вимагають зміни діючих правил. Винятки зроблено тільки для підрозділів міністерства внутрішніх справ (головним чином поліції і силам безпеки). Передачі по мережах стільникового зв'язку (наприклад, GSM) можуть шифруватися. Міжнародні правила радіоаматорського зв'язку, що вимагають передачі відкритим текстом (з певним обмеженням вмісту повідомлень), строго виконуються Австрією.

У липні 1997р. міністр науки і транспорту Австрії підписав комюніке Європейської конференції міністрів "Про глобальні інформаційні мережі", що відбулася в Бонні (Німеччина). У цьому комюніке оголошується, що підписуючі його міністри будуть "домагатися міжнародної доступності та вільного вибору криптографічних продуктів і взаємодіючих служб відповідно до прийнятих законів". Міністри оголосили також, що "якщо країни будуть застосовувати заходи щодо захисту законних вимог, ці заходи повинні враховувати приватні права та інтереси". Підтверджено необхідність дотримуватися рекомендації OECD про контроль за застосуваннями криптографії і приймати їх як основу національної політики та міжнародного співробітництва з криптографії.

Аргентина (Ж)

Аргентина дотримується політики обмеження експорту криптографічних продуктів і технологій подвійного (військового і цивільного) призначення. Проте, міністерство юстиції Аргентини пропонує програми криптографічного захисту повідомлень PGP (Pretty Good Privacy) через мережу Internet.

Вірменія (Ч)

За даними посольства Вірменії в Вашингтоні, ця країна в даний час не має визначеної політики щодо застосування криптографії. Але нещодавно уряд Вірменії заснував міністерство з інформації та публікацій, яке поряд з іншими питаннями планує виступити із законодавчою ініціативою, що стосується криптографії.

Білорусія (Ч)

У Білорусії обмежені виробництво, придбання і застосування криптографічних продуктів. Необхідні ліцензії видаються Комітетом державної безпеки (КДБ) Білорусі.

Бельгія (3/Ж)

Експорт криптографічних продуктів з Бельгії в інші країни (крім Нідерландів і Люксембургу) дозволяється тільки за ліцензіями. Однак Європейський Союз скасував ці обмеження для інших членів Союзу і деяких країн, які не є його членами.

У грудні 1994 р. парламент Бельгії прийняв закон, що вимагає застосування криптографії з депонуванням ключів. Цей закон затвердив інститут пошти та зв'язку Бельгії (Belgacom) як органу, керуючого депонованими ключами. Інституту надано право відключати телефони, що порушують правила криптографії з депонованими ключами. Але цей закон до теперішнього часу не введений в дію через відсутність механізму його реалізації. Разом з тим надійшли пропозиції про внесення поправок до закону, що послаблюють прийняті обмеження на застосування криптографії.

У липні 1997 р. віце-прем'єр-міністр Бельгії підписав комюніке "європейської конференції міністрів про глобальні комунікаційні мережі". Міністри, які підписали це комюніке, підкреслили необхідність створення юридичного та технічного органу на європейському та міжнародному рівнях, який забезпечував би сумісність криптографічних засобів і створив довірчі умови для застосування цифрових електронних підписів.

Болгарія (3/Ж)

Болгарія проводить політику обмеження експорту програмних криптографічних продуктів подвійного (цивільного і військового) призначення. Країна підписала комюніке Європейської конференції міністрів про глобальні комунікаційні мережі 8 липня 1997 р.

Бразилія (3)

За даними огляду національного інституту стандартів і технологій США (NIST) за 2005 р., в Бразилії немає обмежень на імпорт криптографічних технологій. У Португалії доступні програми криптографічного захисту PGP з Бразилії.

Великобританія (3/Ж)

У Великобританії здійснюється контроль експорту криптографічних продуктів, детальний перелік яких дано в документі "порядок контролю експорту товарів EGCO ("Export of Goods Control Orders"). Останній варіант EGCO опублікований 24 квітня 1994. Порядок, встановлений цим документом, заснований на законі 1939 "Імпорт, експорт та митний захист (" Import, Export and Customs Defence Act"). EGCO вимагає, щоб ніякі засоби забезпечення безпеки, технології або технічні засоби не могли б експортуватися без відповідних ліцензій. Встановлений порядок не робить відмінностей між криптографічними продуктами урядового та цивільного призначення і не виділяє продукти із застосуванням стандарту шифрування DES або інших криптоалгоритмів[12].

Ліцензії на експорт видаються міністерством торгівлі та промисловості Великобританії DTI (Department of Trade and Industry) за заявками. Але англійські фірми постачальники криптографічного апаратури посилають також факси групі з безпеки зв'язку та електронних систем CESG (Communication and Electronic Security Group), що є частиною Управління урядового зв'язку Великобританії GCHQ (Government Communications Headquarter), аналогічного Агентству національної безпеки США (АНБ). Фірми вважають, що таким шляхом вони прискорюють процес видачі ліцензії DTI. CESG розглядає пропозиції фірм і видає рекомендації DTI з питань видачі ліцензій. Практично DTI завжди дотримується цих рекомендацій.

За даними бюлетеня групи контролю експорту DTI, Великобританія застосувала санкції і часткове або повне ембарго щодо Анголи, Іраку, Лівії, Аргентини, Вірменії, Азербайджану, Боснії і Герцеговини, КНР, Хорватії, Ірану, Ліберії, Нігерії, Руанди, Сербії, Сомалі, Тайваню, колишньої Югославії та Конго (столиця Кіншаса).

У Великобританії немає контролю імпорту криптографічних продуктів і обмежень на застосування їх усередині країни. Чинний до останніх виборів уряд Великобританії почав проводити відкриті консультації (Public Consultation) з довіреними третіми сторонами (Trusted Third Parties) з питань розширення криптографічних служб в країні. В результаті DTI випустило бюлетень про хід цих консультацій (березень 1997 р.). Але знову обраний лейбористський уряд Великобританії увів мораторій на надійшовшу пропозицію про перегляд юридичних обґрунтувань видачі ліцензій, виходячи з того, що уряд лейбористів має намір почати кампанію за скасування будь-якого контролю використання криптографії у Великобританії. Своє ставлення до криптографії лейбористський уряд висловив в наступній заяві: "Важливе значення має суворий захист приватних комерційних і персональних інтересів у нових мережах. Ми не можемо прийняти концепцію криптографії з депонуванням ключів, розроблену і пропоновану США, що дає можливість урядовим органам розкривати будь-яке зашифроване або скремблюване повідомлення. Єдине повноваження, яке ми можемо надати урядовим органам для боротьби із злочинністю, - це можливість розшифрування повідомлень за ордерами судових або слідчих органів (аналогічним ордерами на обшук). Спроби контролювати застосування криптографічної техніки і технологій є помилковими в принципі, нездійсненними практично і шкідливими для довгострокової економіки інформаційних мереж. Не має суттєвої різниці між зашифрованим файлом і замкненим сейфом. Сейф може бути зроблений так, що зберігаюча в ньому інформація буде знищена при його несанкціонованому взломі. Аналогічну роль виконує алгоритм шифрування файлу.

Крім того, швидкі темпи зміни технологій і широкі можливості отримання нових комп'ютерних програм через мережу Internet та інші мережі приведуть до неможливості своєчасного використання технічних рішень. Адекватний контроль може бути введений в дію тільки на основі існуючих законів про пошук, перехоплення та розкритті інформації. Немає необхідності відносити до категорії злочинних елементів великої кількості користувачів інформаційних мереж, виходячи з вимог контролю дій невеликої кількості порушників закону".

У липні 1997р. міністр науки, енергетики та промисловості Великобританії підписав комюніке "Про глобальні комунікаційних мережах".

Угорщина (3/Ж)

Угорщина належить до країн, які дотримуються політики обмеження експорту криптографічних програмних засобів подвійного призначення.

У липні 1997 р. міністр транспорту, зв'язку та водних ресурсів Угорщини підписав відоме комюніке Європейської конференції міністрів "Про глобальні інформаційні мережі"[12].

Німеччина (3)

За даними представництва Німеччини у Вашингтоні, в цій країні:

Немає контролю за застосуванням апаратних або програмних криптографічних засобів;

Немає контролю імпорту таких засобів;

Контроль експорту засобів шифрування застосовується в такій же мірі, як і в США станом на початок 1997 р.;

Контроль експорту здійснює Федеральне управління міністерства економіки.

У доповіді міністерства торгівлі і АНБ США є відомості про те, що ліцензії на експорт криптографічних засобів фактично видаються з дозволу Федерального управління інформаційної безпеки BSI (Bundesamt fur Sicherheit der Informationstechnik) міністерства внутрішніх справ.

У червні 1997 р. в Німеччині прийнято закон "Про електронно-цифровий підпис" (Sig G). За цим законом система цифрового підпису ґрунтується на застосуванні асиметричної криптографії з двома ключами: секретним ключем зашифрування стороною, яка підписує документ або повідомлення, і відкритим ключем довіреною стороною. Який криптоалгоритм повинен застосовуватися в системі цифрового підпису, в законі не уточнюється. Питання про вибір криптоалгоритма буде, очевидно, вирішено в окремій постанові про застосування закону Sig G. У цьому законі не уточнюється також питання про третю довірчу сторону, але він вимагає, щоб ця сторона затверджувалася Федеральною службою зв'язку Німеччини, що створює цифровий ланцюг перевірки відкритих ключів.

Управління BSI координує свої рішення з експорту з Федеральною службою зв'язку, Федеральним управлінням розвідки і міністерством оборони Німеччини.

Греція (3)

Посольство Греції у Вашингтоні повідомляє, що в даний час в країні відсутні закони про застосування, імпорт та експорт криптографічних засобів і прийняття таких законів не передбачається. Але посольство, ймовірно, не знає про те, що Греція приєдналася в липні 1997 р., до комюніке Європейської конференції міністрів "Про глобальні інформаційні

мережі", яке визначає порядок експорту програмних засобів шифрування подвійного (військового і цивільного) застосування.

Данія (3)

У доповіді міністерства торгівлі і АНБ США повідомляється, що в Данії контролюється експорт та реекспорт програмних криптографічних засобів. На експорт необхідно отримати ліцензію від урядових органів. Відомостей про скасування цього порядку немає. У політиці контролю експорту криптографічних засобів Данії не робиться відмінностей між типами криптоалгоритмів і їх криптостійкість.

Експорт стратегічних товарів в Данії контролюється на основі адміністративного розпорядження міністерства промисловості від 12 листопада 1993 До цього розпорядження прикладений список стратегічних товарів, експорт яких можливий тільки за наявності ліцензії міністерства політики ділових відносин (Business Policy Ministry). У список включені товари, на які поширюються ембарго, прийняті чотирма міжнародними угодами. Адміністративне розпорядження міністерства Данії визнано як відповідне міжнародним правилам контролю експорту стратегічних товарів подвійного призначення Європейським Союзом. У Данії відсутній контроль імпорту криптографічних продуктів.

У червні 1996 р. рада з інформаційної безпеки Данії виступила з пропозицією про свободу застосувань криптографії в країні, в тому числі і систем з обов'язковим депонуванням криптографічних ключів. Рада вважає, що чинна юридична система проведення обшуків дає можливість доступу до криптографічних ключів. Рада звернулася також до міністра з досліджень та інформаційних технологій з пропозицією внести на розгляд парламенту країни законопроект про цифровий підпис. Данія приєдналася до комюніке Європейської конференції міністрів "Про глобальних інформаційних мережах" від 8 липня 1997.

Європейський Союз (3/Ж)

У 1992 р. Європейська комісія запропонувала правила регулювання продажів криптографічних продуктів подвійного (військового і цивільного) застосування на світовому ринку. Але так як експорт криптопродуктів військового призначення торкався питань національної безпеки країн-учасниць, то контроль за цим експортом був віднесений до компетенції окремих держав, а контроль експорту криптопродуктів цивільного призначення залишено за Європейською комісією.

Згодом було досягнуто компромісу, і в 1994р. були прийняті правила Європейського Союзу про регулювання експорту криптопродуктів подвійного призначення (ЄС № 338 V 94), що містять 24 статті. Ці правила введені в дію

липня 1995 рішенням Ради № 94/942/CFSP, що містить вісім статей і п'ять додатків.

. Всі країни - члени Європейського Союзу визнають один і той же список кріптопродуктов подвійного призначення і правила контролю їх експорту.

. Для експорту більшості продуктів подвійного призначення між країнами - членами Союзу (і в інші дружні країни, що не входять до Союзу, такі як Австралія, Канада, Японія, Норвегія, Швейцарія і США) досить дозволу уряду країни-експортера.

. У Європейському Союзі діє загальний контроль рівня експорту.

. Дозволи на експорт, видані урядом якоїсь країни - члена Союзу, мають поширюватися і на експорт крbптопродуктів з інших країн - членів Союзу.

У доповіді від 8 жовтня 1997 Генерального Директорату - XIII (Directrorate - General XIII) Європейської Комісії, яка відповідає за політику в галузі зв'язку, ринку інформаційних продуктів і досліджень, повідомлялося, що Директорат розглядає проблеми, пов'язані з політикою уряду США, та пропонує перейти до криптографії з депонуванням ключів.

У доповіді стверджується, що "обмеження у використанні криптографії можуть перешкоджати законослухняним компаніям і громадянам захистити себе від дій кримінальних елементів" і що криптосистеми з депонуванням ключів "не виключають повністю можливості використання цієї техніки в злочинних цілях". Відносно механізму "чорний хід" в цих системах, що дає змогу правоохоронним і розвідувальним органам читати відкритий текст зашифрованих повідомлень, в доповіді сказано, що "якщо такі криптосистеми будуть прийняті, права правоохоронних органів та інших служб повинні бути обмежені до абсолютно необхідних". Ця доповідь була представлена Європейською комісією основним адміністративним органам Європейського Союзу: Європейському Парламенту, Раді міністрів, Комітету з економіки та соціальних питань, Комітету у справах регіонів[12].

Ізраїль (Ч)

В Ізраїлі введений всебічний контроль експорту, імпорту та внутрішнього застосування криптографічних засобів. Правила проведення такого контролю визначені Судовим наказом (Court Ordez) 1974 "Контроль за продуктами і засобами (відносяться до криптографії)". У цьому наказі встановлено, що будь-яка особа не може займатися діяльністю в галузі криптографії (включаючи імпорт, експорт, виробництво або застосування криптопродуктів) без отримання ліцензії від національного органу, призначуваного міністром оборони.

За роз'ясненням міністерства закордонних справ Ізраїлю "регулювання імпорту та експорту криптографічних засобів, а також розробки нових криптотехнологій здійснює міністерство оборони, так само як і контроль експорту зброї. Для експорту криптографічних засобів необхідно отримати ліцензію із зазначенням кінцевого користувача, якому поставляються ці кошти. Фірма, яка має намір вести розробки криптографічного техніки, повинна одержати відповідний дозвіл міністерства оборони Ізраїлю ".

Індія (Ж/Ч)

Індія має строгу урядову структуру, що здійснює основні функції контролю зовнішньої торгівлі, головним чином, товарами першої необхідності, а не товарами, що відносяться до оборони країни і національної безпеки. До травня 1994 р. у Індії не було чіткої політики щодо експорту озброєння або критичних засобів подвійного (військового і цивільного) застосування. У березні 1995 р. Індія опублікувала список стратегічних сировинних матеріалів і технологій, експорт яких дозволяється тільки за ліцензіями. У список включені тільки апаратні і програмні засоби шифрування для телеметричних систем (головним чином, відносяться до управління ракетами, які займають важливе місце в цьому списку). У списку відсутні програмні засоби шифрування інформації.

Згідно зі спільним меморандумом Індії та США про взаєморозуміння з питань обміну критичними технологіями, уряд Індії має намір "полегшити" умови імпорту з США окремих продуктів, включених в списки товарів, що підлягають митному контролю, і списки предметів озброєння. Інформація про контроль імпорту криптографічних засобів в Індію і їх застосування всередині країни відсутня.

Індонезія (Ч)

Як повідомило посольство Індонезії у Вашингтоні, прийняття правил, що регулюють застосування криптографії всередині країни, являє собою важливе нововведення уряду. Комерційний аташе Індонезії у Вашингтоні інформував відповідні організації в Джакарті про розвиток криптографії в США і політиці уряду цієї країни щодо контролю її застосувань.

Посольство Індонезії повідомило також, що відповідальним за проведення політики контролю експорту та імпорту криптографічних продуктів є Генеральний директорат міжнародної торгівлі, що входить в міністерство промисловості і торгівлі Індонезії.

Іран (невідомо)

Посольство Пакистану, що представляє інтереси Ірану в Вашингтоні, повідомило, що запит центру EPIC про закони Ірану, що відносяться до криптографії, був переданий відповідним організаціям ісламської республіки Іран. Ніякої інформації надалі не було отримано.

Ірландія (3/Ж)