[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Kryptographie und Gueterkontrollverordnung (Schweiz)
- To: debate@lists.fitug.de
- Subject: Kryptographie und Gueterkontrollverordnung (Schweiz)
- From: Daniel Hartmeier <daniel@benzedrine.cx>
- Date: Wed, 13 Nov 2002 16:20:49 +0100
- Delivered-To: mailing list debate@lists.fitug.de
- Delivered-To: moderator for debate@lists.fitug.de
- List-Help: <mailto:debate-help@lists.fitug.de>
- List-Id: <debate.lists.fitug.de>
- List-Post: <mailto:debate@lists.fitug.de>
- List-Subscribe: <mailto:debate-subscribe@lists.fitug.de>
- List-Unsubscribe: <mailto:debate-unsubscribe@lists.fitug.de>
- Mailing-List: contact debate-help@lists.fitug.de; run by ezmlm
- User-Agent: Mutt/1.4i
Seit dem 1. Maerz[1] umfasst die Schweizer Gueterkontrollverordnung
GKV[2] im Anhang 2 Teil 2 ("Dual Use"-Gueter)[3] auch Software (Binaries
und Quellcode), welche starke Kryptographie enthaelt.
Die Ausnahmeregeln (Teil 2, Informationssicherheit, Anmerkung 3:
Kryptotechnik-Anmerkung, Seite 107ff des pdf[3]) koennen aber
unterschiedlich interpretiert werden, u.a. muss
"Die kryptographische Funktionalitaet der Gueter kann nicht mit
einfachen Mitteln durch den Benutzer geaendert werden."
erfuellt sein, damit ein Produkt von den Restriktionen ohne spezielle
Bewilligung ausgenommen ist. So stellt sich die Frage, ob z.B. ein frei
erhaeltliches Open Source Projekt wie OpenSSH diese Bedingung erfuellt,
oder ob Modifikation des Quellcodes und Rekompilierung ein "einfaches
Mittel" darstellt. Oder ob ein Benutzer, der durch Konfiguration
Algorithmen und Schluessellaengen waehlen kann, die "kryptographische
Funktionalitaet" aendert.
Ich habe beim zustaendigen Staatssekretariat fuer Wirtschaft angefragt
und mit Herrn Rodolphe-Ami Freymond[4] gesprochen. Frueher wurde
lediglich kryptographische Hardware fuer militaerische Anwendungen
eingestuft, und der "Export" von reiner Software ueber das Internet
wirft neue Fragen auf (soll ein Web-/FTP-Server in der Schweiz Zugriffe
geographisch zuordnen, Proxies existieren, Verbindungen zwischen
Schweizer Client und Server koennen Grenzen ueberschreiten, wer
exportiert genau wenn der Webserver eines ISPs eine Datei eines Kunden
ueber eine Proxy ins Ausland liefert, ist es technisch moeglich, solche
Exporte zu verhindern, und wer waere verpflichtet, solche Massnahmen zu
treffen, etc.).
Offenbar werden die neuen Regelungen noch nicht auf Software angewandt,
und Schweizer Mirrors liefern unbeschraenkt auch ins Ausland. Allerdings
koennte eine wortwoertliche Auslegung der jetzt gueltigen Regeln
drastische Auswirkungen fuer Betreiber von Internet Infrastruktur und
natuerlich Entwickler von kryptographischer Software in der Schweiz
haben. Es waere deshalb wuenschenswert, wenn die Ausnahmeregeln
praezisiert wuerden, und z.B. bereits frei erhaeltliche Software
(speziell Open Source) explizit erwaehnt wuerden. Das Seco hat zugesagt,
die Problematik intern zu diskutieren, und hat die Moeglichkeit, den
Anhang 2 anzupassen.
Ich wuerde gerne andere von diesen Regelungen betroffene Administratoren
und Entwickler aufrufen, sich an der Diskussion zu beteiligen. Es waere
schade, wenn die Schweiz mangels Beteiligung von Experten eine
schaerfere Krypto-Exportbeschraenkung durchsetzt, als dies die USA mit
ITAR taten.
Daniel
[1] http://www.hkbb.ch/dokumente/seco_gvk_120202.pdf
[2] http://www.admin.ch/ch/d/sr/946_202_1/index.html
[3] http://www.seco-admin.ch/goto?ID=AWP_ExpKont_ExpKontRecht_GKVAnhang2Teil2&l=de
[4] Rodolphe-Ami.Freymond@seco.admin.ch
--
To unsubscribe, e-mail: debate-unsubscribe@lists.fitug.de
For additional commands, e-mail: debate-help@lists.fitug.de