Domanda:
Cosa c'era di così pericoloso in PGP che il suo creatore è stato accusato in tribunale per questo?
Computernerd
2014-04-07 20:02:44 UTC
view on stackexchange narkive permalink

Stavo leggendo la storia del software di crittografia PGP quando ho capito che il suo creatore era sotto accusa penale per esportazione di munizioni senza una licenza per il rilascio del codice sorgente PGP.

Cosa c'era di così pericoloso in PGP in quel momento da essere considerato un reato ai sensi della legge? Voglio dire, PGP è solo un algoritmo di crittografia e decrittografia; cosa mi manca qui?

I documenti di afaik PRZ sono stati citati in giudizio in un'indagine ma non è mai stato accusato. la legge pertinente è l '["ITAR"] (http://en.wikipedia.org/wiki/International_Traffic_in_Arms_Regulations) che è la legge internazionale sulla regolamentazione degli armamenti che regola anche la crittografia forte [razionalizzata in quanto ha "applicazioni militari"]. si noti che l'ITAR non sembra mai limitare di molto i massicci corpi di "difesa" degli Stati Uniti dall'esportazione di miliardi di dollari di armi altamente letali ad alleati "borderline" per molti decenni ...
per la cronaca, alcuni degli inizi della storia di PGP sono anche strettamente legati a [Hal Finney] (http://www.forbes.com/sites/andygreenberg/2014/03/25/satoshi-nakamotos-nekely-the-bitcoin-ghostwriter- chi-non era /). contesto più storico: [Clipper chip] (http://en.wikipedia.org/wiki/Clipper_chip) annunciato dall'ordine presidenziale / ghostbuilt da [NSA] (http://en.wikipedia.org/wiki/Nsa) nel 1993 nota nel corso degli anni ITAR a volte limita anche la tecnologia di supercalcolo.
Questa domanda era più interessante quando l'ho interpretata erroneamente come "PHP".
Cinque risposte:
Philipp
2014-04-07 20:21:46 UTC
view on stackexchange narkive permalink

PGP was considered dangerous because it could have allowed Soviet spies and military officers to plan the nuclear annihilation of the western world without the CIA realizing what's happening before it's too late.

Time for some history.

During World War II, the importance of cryptography for military use became apparent. Being able to crack enemy cryptography while also having cryptography systems for oneself which can not be cracked, proved to be an important military factor which could result in victory or defeat.

During the subsequent universal arms-race during the cold war, all sides were aware of this. Having the upper hand in cryptographic technology over the other side was considered a strategical factor which could turn the tide in another world-war. That meant that any knowledge-transfer of cryptography know-how from the Western to the Eastern world had to be prevented.

As a result of this doctrine, cryptographic technology was considered of military value and thus filed under Category XIII in the United States Munitions List. That meant any data storage medium which contained cryptographic software was legally considered like live ammunition when it came to moving it across borders.

From today's point of view it might seem absurd to try to contain knowledge through export restrictions designed for physical goods, but it fitted into the isolationist viewpoint of the military strategists of the cold war era. Also remember that this was the 70s, long before the internet age. This was decades before the time where you were able to obtain any software in the world via the internet through your favorite piracy website. Getting a piece of software from computer A to computer B usually meant to put it on a physical medium like a floppy disk, magnetic tape or (even earlier) punch-cards, and the movement of such physical media across borders seemed controllable (at least in theory).

Technology marched on. In the 80s, the first international computer networks emerged, and the hacker community began to flourish. The world became increasingly interconnected and soon it became apparent that containing knowledge within geographical borders was an exercise in futility. But as usual, politics and laws didn't keep up with technical innovation, so when PGP emerged in the 90s, it was still subject to cold war era laws regarding cryptography exporting. The algorithms it used were open secrets, available to anyone in the world capable of buying a modem and making long-distance phone calls. Hackers were tattooing them on their bodies to ridicule the cryptography export restrictions. But as a commercial company, PGP had to play along and find a loophole in the form of exporting their source code in printed form and re-transcribe it.

Although the restrictions on cryptographic technology have been relaxed in the past decades, some of them are still in place.

Non esattamente prima di Internet, ma prima del suo utilizzo diffuso (1991). Per completare questa lezione di storia va notato che intorno al 1995 il codice sorgente è stato stampato in un libro, e quindi improvvisamente è diventato legale esportarlo. E grazie allo sforzo di alcune scimmie macchina da scrivere, è nata la versione PGPi.
L'indagine penale non è avvenuta fino al 1993, dopo la scomparsa dell'Unione Sovietica. Inoltre, lo stesso argomento riguardante la prevenzione del suo utilizzo da parte dell'Unione Sovietica potrebbe essere applicato anche al suo utilizzo da parte di Al Qaeda. La limitazione delle sue esportazioni non era più ragionevole allora di quanto non lo sia adesso.
@WarrenDew Ci è voluto * molto * tempo ai politici per smettere di essere stupidi riguardo a Internet. Probabilmente non si sono ancora fermati completamente, del resto ...
@Shadur Non credo che abbiano fermato tutto.
Quell'orribile e oscuro periodo degli anni '90 in cui non avevamo più l'Unione Sovietica ma ancora nessuna Al Qaeda e il governo degli Stati Uniti non aveva nessuno spauracchio per giustificare le violazioni dei diritti civili.
Piccolo cavillo di dettaglio che non influisce sul tuo altrimenti eccellente post: i militari erano consapevoli dell'importanza della crittografia sin da prima dei romani. Forse intendevi che l'esercito * USA * divenne importante della crittografia durante la seconda guerra mondiale?
Il mio loop hole preferito era l '"edizione internazionale" di Netscape, che è stata esportata dagli Stati Uniti sotto forma di un libro, quindi sottoposta a OCR e compilata dagli Stati Uniti, quindi distribuita normalmente. L'unica differenza era che l '"edizione internazionale" era stata stampata e poi sottoposta a OCR.
@Aron Considerate le odierne tecniche OCR all'avanguardia, ho alcuni dubbi su questa storia.
@MrLister Mi scuso, in realtà era PGP, non netscape (ricordato male) http://www.pgpi.org/pgpi/project/scanning/ All'epoca un libro era "libertà di parola", quindi esente da restrizioni all'esportazione. Lo sforzo richiesto è stato non banale e altamente manuale, ma non di meno si è verificato.
-1
@CeesTimmerman Nessuna di queste questioni stava davvero spaventando il pubblico statunitense abbastanza da giustificare misure come l'atto patriota. Semplicemente non c'era una singola forza tangibile del male negli anni '90 che sembrava essere una seria minaccia per lo "stile di vita americano".
"Dal punto di vista di oggi potrebbe sembrare assurdo cercare di contenere la conoscenza attraverso restrizioni all'esportazione progettate per beni fisici" Intendi, tipo, tutto ciò che è soggetto a copyright?
Cordiali saluti, è stato nel 1992 che è stato fissato il famigerato limite di lunghezza della chiave di 40 bit per gli algoritmi RC2 e RC4 (da un accordo tra la NSA e la SPA). Hai utilizzato una Giurisdizione delle materie prime in cui hanno aggiunto speciali processi accelerati per la revisione della crittografia.
Tom Leek
2014-04-07 20:37:47 UTC
view on stackexchange narkive permalink

For a long time, cryptography was something used by spies and armies, and was weak, and a lot of the weakness was tentatively fixed by keeping algorithms and methods as secret as can be. That's security through obscurity, which is BAD, but, to be honest, algorithms from the pre-computer era were so weak that they needed secrecy; security through obscurity was about the best that could be hoped for.

From this followed a strict system for controlling who could get access to cryptographic technology. Since USA have these nifty things called "constitutional rights", including "free speech", the best the US government could do was tightening things at the boundary, i.e. export regulations.

The field of cryptography changed quite a lot with the advent of computers and public research, specifically in the 1970s and 1980s. The regulations, though, were lagging, and military people were firmly clinging to strict rules because if there is something that armies know how to do, it is to maintain immobility at all costs.

Therefore, when Zimmerman tried to push PGP and export it, they all fell on his skin, by pure conservatism. The case was compounded by Phil Zimmerman's stance, who was overtly hostile to the Federal government, the military, the NSA, and just about everybody who exhibits the slightest bit of organization. He went for a fight; he got it.

Quelle cose chiamate "diritti costituzionali", inclusa la "libertà di parola", non erano molto apprezzate negli Stati Uniti all'epoca. Basta chiedere a gay o "comunisti".
Forse non esattamente nello stesso momento. PGP risale ai primi anni '90, non agli anni '60. Eppure i dettagli legali contavano: Zimmerman riuscì ad esportare _legalmente_ il suo codice stampandolo come un libro (l'ho visto: codice sorgente in un carattere monospazio grande e chiaro e un grande banner "scannerizza questo libro" sulla copertina).
AJ Henderson
2014-04-07 20:26:44 UTC
view on stackexchange narkive permalink

Non è consentito esportare la crittografia simmetrica a 128 bit o determinati livelli di asimmetria. PGP ha superato questi limiti. Queste leggi sul controllo delle esportazioni sono il motivo per cui alcune società di sicurezza dispongono di team per camere bianche che creano una crittografia avanzata senza che dipendenti istruiti negli Stati Uniti lavorino nel team.

Tecnicamente, se hai imparato a conoscere la crittografia ad alta resistenza negli Stati Uniti, non lo sei autorizzato a esportare o utilizzare tale conoscenza in alcuni paesi.

È considerato munizioni perché può essere utilizzato per proteggere le informazioni durante una guerra.

Le cose erano più rigide di quanto lo siano oggi, motivo per cui esiste la crittografia server-gated (SGC); le leggi consentivano alle istituzioni finanziarie di utilizzare la crittografia a 128 bit, limitando al contempo tutti gli altri a 40 o 56 bit. Un certificato SSL SGC sul server mostrava al browser che eri "autorizzato" a utilizzare la crittografia a 128 bit e il browser "aumentava" la sicurezza per quella connessione. Ora, è per lo più ridondante poiché quasi tutto supporta comunque 128 bit (o superiore!).
Dr.Ü
2014-04-07 20:17:07 UTC
view on stackexchange narkive permalink

According to Wikipedia the Arms Export Control Acts permitted (at the 1990's) only weak crypto to be exported outside the U.S.

Inoltre, l'esportazione di criptovalute è ancora oggi controllata dal governo.
Per descriverlo con una canzone dei Metallica: Triste ma vero.
Sarebbe fantastico se potessi espandere questo in una risposta più dettagliata.
Ghost
2014-04-08 02:22:33 UTC
view on stackexchange narkive permalink

In passato anche alcuni computer commerciali a livello personale avevano restrizioni all'esportazione a causa della guerra fredda e della paura di un trasferimento illegale di tecnologia al nemico, ma la realtà è che i sovietici avevano una rete incredibilmente elaborata utilizzata per procurarsi tecnologia, figuriamoci proteggere la loro.

Dall'andare direttamente alla fonte e corrompere tecnici e dirigenti in quasi tutti i settori fino a mandare qualcuno in un negozio e contrabbandarlo fuori dal paese, come hanno fatto con i primi Mac (le dimensioni hanno aiutato molto!)

È noto ad esempio che l'URSS ha creato una rete di banche e società false per acquisire startup nella Silicon Valley in modo che potessero avere un accesso totale e diretto a tutti i dati.

Quello che è successo con PGP è stata l'idea dello stupido burocrate di prevenire un disastro, quando si sono resi conto del problema con PGP il KGP molto probabilmente aveva già inviato tutto il materiale a casa per l'analisi.

Potete fornire qualsiasi tipo di prova a sostegno delle vostre affermazioni sull'acquisizione di startup della Silicon Valley da parte dell'URSS?
Ecco un caso http://www.nytimes.com/1983/10/23/us/some-losers-in-silicon-valley-said-to-find-wealth-in-spying.html
Mentre lo leggo, l'articolo descrive un caso di spionaggio, ma non descrive una banca sostenuta dalla Russia o un'altra società che rileva una società della Silicon Valley.


Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 3.0 con cui è distribuito.
Loading...