Kontrollierte Liberalisierung

USA kündigen weitere Lockerungen für Kryptoexporte an.

Das US-amerikanische Ausfuhramt (Bureau of Export Administration - BXA) stellte heute die neuen Exportregeln für kryptografische Produkte vor. Bis Mitte Mai hat die Industrie jetzt Zeit, den Entwurf zu kommentieren. Danach soll die revidierte Endfassung vorgestellt werden. Handelsminister William Daley begründete die neue Politik damit, dass US-Firmen beim Verkauf ihrer Produkte "in Übersee" geholfen werden solle. Man habe sich zudem sehr bemüht, die Bedürfnisse von Datenschutz, sowie von Strafverfolgung und nationaler Sicherheit zu berücksichtigen. In ersten Stellungnahmen begrüßten Industrievertreter den neuen Vorschlag. Robert Holleyman, Präsident der Business Software Alliance, sagte, dass es mit ihm keine Wettbewerbsnachteile mehr gebe.

Der aktuelle Entwurf erlaubt es US-Firmen, jedes beliebige Kryptoprodukt an Firmen und einzelne Personen ohne Exportlizenz weiterzugeben. Ausgenommen von diesen Regelungen sind Endnutzer in ausländischen Regierungen. Allerdings, so die Exportbehörde in einer Pressemitteilung, wird auch weiterhin "in den meisten Fällen ein One-Time-Review nötig sein". Angelehnt an das Wassenaar-Abkommen vom Dezember 1998 wird es keine Exportkontrollen mehr für 64-Bit Massenmarktprodukte, 56-Bit Verschlüsselungskomponenten und 512-Bit Schlüsselmanagament-Produkte geben.

Freiheit für "Handelswaren"-Krypto

Keinerlei Exportbeschränkung gibt es nur bei Kryptoprodukten für den Massenmarkt. Für diesen Bereich wurde die Produktkategorie der "Krypto-Handelsware" ("Retail encryption commodities and software") neu geschaffen. Welche Produkte darunter fallen, bestimmt allerdings die BXA nach einer Überprüfung der Funktionalitäten, des Verkaufsvolumens und der Distributionsmethoden. Wenn Produkte die gleiche Funktionalität aufweisen, wie Produkte, die in dieser Kategorie bereits eingeordnet wurden, werden sie ebenfalls als Handelskrypto eingestuft.

Unter die Kategorie "Handelsware" fallen auch 56-Bit Kryptoprodukte im Finanzsektor, die nicht für den Massenmarkt bestimmt sind, mit einer Schlüssellänge grösser als 512-Bit und kleiner als 1024-Bit. Die Begrenzung auf 1024-Bit führte bei Beobachtern bereits zu einem Zucken der Augenbrauen á la "aha, auch nicht mehr sicher".

Einschränkungen gibt es im Kleingedruckten: Wenn Kryptokomponenten, die bislang mit einem 40- oder 56-Bit DES Schlüssel ausgerüstet waren, hochgerüstet werden sollen, dürfen sie dies nur bis 64-Bit. Darüber muss die Behörde per Brief unterrichtet werden.

Auch US-Firmen können künftig ihren Töchtern im Ausland ohne vorhergehende Prüfung Verschlüsselungskomponenten zukommen lassen. Ausländische Angestellte, die in US-Firmen in den USA arbeiten, brauchen nicht mehr wie bisher eine Exportlizenz, um mit Verschlüsselungskomponenten arbeiten zu dürfen. Telekommunikations- und Internetserviceprovider können unter dieser Lizenz jedes Kryptoprodukt erhalten und nutzen. Betreiberdienste speziell für Regierungen, die beispielsweise ein virtuelles privates Netzwerk (VPN) für eine Regierungsbehörde betreiben, benötigen jedoch eine Lizenz.

Open Source - ein Muss für internationale Entwickler?

Die jetzt vorgestellte Regelung geht vor allem in der Frage von Source Code weiter als die im September vorgestellte Regelung. Bislang hatte die BXA beispielsweise den Export der Microsoft Krypto-API an Entwickler in Deutschland untersagt. Künftig soll es jedoch keine Begrenzungen mehr für den Export von Source Code von kommerzieller Kryptosoftware, von Toolkits und Komponenten geben - ausgenommen sind hier Exporte an ausländische Regierungsstellen. Damit sind US-Firmen in der Lage, den Source Code ihrer Produkte zur Überprüfung offen zu legen.

Nur so können sie aber auch Vorwürfen, ihre Produkte enthielten von der NSA autorisierte Hintertürchen, glaubhaft entgegentreten. Damit stehen diejenigen in der Bringschuld, die die Vorwürfe erheben. Nicht wenige deutsche Firmen hatten in der Vergangenheit mit Hinweis auf den "NSAkey" in Microsofts Krypto-API Werbung für ihre eigenen Produkte betrieben.

Für Source Code, der bereits zum Beispiel im Internet öffentlich verfügbar ist, gibt es Exporterleichterungen: Er kann ohne technische Überprüfung exportiert werden, wenn dem BXA eine Kopie des Source Codes oder die Internetadresse vorliegt. Damit steht nun auch künftig der weiteren Verbreitung von GnuPG, der Open-Source-Variante des beliebten Verschlüsselungsverfahrens "Pretty Good Privacy" nichts mehr im Wege.

Für die US-amerikanischen Entwickler von Kryptoalgorithmen bedeutet dies aber auch, dass die US-Behörden immer über den Stand ihrer Forschung Bescheid wissen müssen. Wollen sie den Source Code nicht offen legen, müssen sie ihre Entwicklungsergebnisse der Behörde für ein "One-Time-Review" vorlegen. Und das könnte unter Umständen wertvolle Zeit kosten.

Kontrollierte Liberalisierung

Tatsächlich behält das Exportbüro auch weiterhin einen Überblick darüber, welche Kryptoprodukte zum Einsatz kommen. Mit Ausnahme der Open Source Produkte unterliegen alle anderen Produkte auch weiterhin einem Reviewprozess. Wie liberal die Regelungen sind, wird vor allem von dieser Überprüfungspraxis abhängen.

Mitte Mai könnten bereits die Ergebnisse einer von den G-8-Staaten durchgeführten Kryptostudie vorliegen. Sie wurde auf Initiative des FBI durchgeführt. Sie soll untersuchen, welche Rolle Kryptografie in der Strafverfolgung spielt. Diese Ergebnisse werden dann sicherlich auch für die Endversion der US-Exportregeln eine Rolle spielen.

Auch werden jetzt schon die Verhandlungen für die nächste Wassenaarrunde im Dezember 2000 vorbereitet. Bislang gelten kryptografische Produkte immer noch als Dual-Use-Produkte - sie können für den militärischen, aber auch für den zivilen Gebrauch eingesetzt werden. Einige Länder wie Deutschland fordern die Herausnahme von Kryptografie aus der Dual-Use-Liste. Nicht zuletzt in der Behandlung dieser Frage wird sich zeigen, wie liberal die neue amerikanische Kryptopolitik wirklich ist.

Ausgenommen von diesen Exporterleichterungen sind die üblichen Verdächtigen: Kuba, Iran, Irak, Libyen, Nordkorea, Sudan und Syrien. Unter Embargo stehen auch Serbien sowie die unter Kontrolle der Taliban stehenden Gebiete in Afghanistan.