码产品。然而,对于他们是否能出口这些商品,商务部和国家安全局有着巨大的影响力,这些部门可以利用每一个比特。
简言之,使用的密钥超过了四十比特(从而使可能的密钥空间超过了可以轻易搜索到的空间),或实现了加密会话的能力的(与一个仅用于身份验证的简单的数字签名截然相反)任何加密产品在没有特殊豁免(通常不会授予)的前提下出口到美国和加拿大以外的地区都是非法的——这通常都不被批准。这怎么可能?因为美国的加密产品受《国际武器贸易条例》(ITAR)的管制,认为它们是“军火”,就像炸药一样。
ITAR可以是一种强大的武器。通过禁止把强加密轻易出口到海外,ITAR意味着把加密技术用于自己产品中的美国制造商有两个选择:其一是做一个加强版本用于国内,再做一个弱化版本用于国际出口;其二是在所有地方都使用弱版本。由于制造和储备两种不同产品的成本要远远高于一种产品,大多数美国公司都选择后者作为解决方案。这意味着,即使在国内,消费者得到的也只是脆弱的保护,甚至根本没有保护。例如,蜂窝系统的世界领导者摩托罗拉没有加密手机,因为他们为了出口不得不削弱加密(欧洲共同体也在效仿,最近发布的用于数字手机的跨欧洲标准GSM包含了非常安全的A5加密,却在最后关头被要求变更为薄弱很多的A5X,以确保z.府可以窃听。没有这个改变,手机就无法出口。但是现在,一个标准分裂成至少两个,市场也混乱不堪)。
使加密产品服从ITAR的背后官方想法源于冷战思想,限制加密工具的出口对我们对手的伤害大于对我们自己的伤害。然而,任何一个z.府只要愿意都可以很容易地制作自己的加密工具。正如上文所详述的,所需要的技术是众所周知的。冷战结束以来,其他的“妖魔”已经开始进入公共讨论当中,即所谓的“国家信息基础设施的四骑士”——d品贩子、无名外国恐怖分子、有组织犯罪、儿童色情。
然而,“四骑士”中的每一个都有动机和能力通过非官方产品使用强加密。此外,联邦z.府也知道这一点,上面的商业研究只是众多案例中的一个。那么,ITAR对密码学的限制是什么?
正如曾为前副总统阿尔·戈尔负责基础设施政策的汤姆·卡利尔对一位麻省理工学院的观众所解释的,“我们正在采取拖延战术”,让美国公民无法获得强加密技术,以便使他们的通信更容易被执法机关窃听——表面上是为了抓捕“四骑士”。然而,卡利尔承认,“四骑士”却可以使用密码(而且确实在用)