Министерство торговли США требует лицензирования проектов, использующие криптографию

[ALEX(XX)]

Министерство торговли США (DoC) изменило в сторону ужесточения правила оборота технологий в которых используется стойкие алгоритмы шифрования, такие как RSA, DES, SHA, Blowfish, Diffie-Hellman, ElGamal и AES. Данные криптометоды входят в разряд военно-стратегических и их реализация с последующим экспортом за пределы США требует приобретения специальной лицензии. По новым правилам любая организация или частное лицо, работающие будь-то единолично или совместно над opensource проектом должны уведомлять DoC перед тем, как открывать доступ к коду через интернет.
На практике такое решение будет означать, что каждый индивидуальный разработчик, либо компания, участвующая в открытом проекте должны будут озадачиться получением персональной лицензии, разрешающей работу над ПО. Т.е. так как проект, размещенный в интернет, по определению доступен за пределами США, на него распространяются новые правила министерства торговли. Более того, если компания занимается распространением конечного продукта, в который входят криптографические модули, то независимо от того, кто являлся их разработчиком, компания экспортер обязана обзавестись лицензией.
Чтобы оценить примерное количество проектов, использующих стойкие криптографические методы можно прибегнуть к поиску по базе данных открытого кода Black Duck KnowledgeBase. В результате получается, что в категорию лицензируемых попадают более более 4 тыс. разработок, в то время как еще 3900 возможно потребуют лицензии. Меры воздействия для нарушителей определены от штрафов и вплоть до заключения под стражу. Скорее всего, новые правила добавят еще один повод с опаской относится к opensource, особенно когда дело касается способов защищенной передачи данных.
Подробнее

uinc.ru

[Kuzz]

Опубликованы разъяснения оборонного ведомства США по поводу свободного ПО

Министерство обороны США (DoD) опубликовало «Разъяснения касающиеся открытого ПО». Новый документ является своего рода продолжением выпущенного в 2003 году меморандума «Открытое ПО в Министерстве Обороны», в котором недостаточно четко формулировались некоторые положения, позволявшие их двоякое толкование и блокировавшие успешное внедрение opensource в этом правительственном учреждении.

«Разъяснения» 2009 года попросту указывают на неочевидные моменты в существующем законодательстве, инструкциях и правилах, и детально изложены в Секции 2 Приложения 2 документа. Здесь приведены лишь его наиболее значимые моменты:

* Правительство США в лице Министерства Обороны подтверждает, что открытое программное обеспечение может считаться коммерческим и, следовательно, как и любое другое коммерческое ПО должно находится в списке предпочтительного для использования ПО
* Правила требуют, чтобы МО проводило исследования рынка ПО на предмет наиболее подходящих предложений, и говорят о «позитивном эффекте, который несет СПО»
* Инструкция № 8500.2 имела пункт, который был недостаточно корректно сформулирован. Новая его редакция подчеркивает, что при использовании двоичного кода программы МО должно либо заручиться гарантиями разработчика о безошибочности кода, либо иметь на руках исходные тексты и разрешение на самостоятельное исправление ошибок.
* «Использование ПО без контракта на поддержку является информационным риском». Компании, предоставляющие поддержку СПО (например, Red Hat) могут рассчитывать на равные условия с проприетарными вендорами.
* Правительство США не обязано распространять исходные коды модифицируемого СПО.
* Исходные тексты и дизайн программ являются «данными» (Директива 8320.02) которые могут распространяться как внутри министерства, так и за его пределами, если целесообразность этого продиктована потребностями организации. То же относится и к исправлениям / улучшениям ПО.

Последние два пункта на первый взгляд кажутся несколько непоследовательными, но в дальнейшем в тексте для них находится объяснение: ПО не будет опубликовано, если это нарушает закон или правительство не обладает полномочиями на публикацию. В остальных случаях МО собирается делиться с сообществом своими наработками.

opennet.ru