אהבתם? שתפו
שיתוף בפייסבוק
שיתוף ב-X
שיתוף בלינקדאין
שיתוף באימייל
שיתוף בווטסאפ
הדפסת כתבה
במשטרי הפיקוח הבינ״ל טכנולוגיית ההצפנה הינה מפוקחת וחייבת ברישיון יצוא. הטכנולוגיה מפוקחת בקטגוריה 5 סעיף 2 במשטר הפיקוח הדו שימושי ואסנאר. בתחילת השנה חלו שינויים חשובים בהגדרות של המונח ״הצפנה״ מבחינת משטר הפיקוח. במאמר זה אסקור את השינויים הללו.
המונח הצפנה (באנגלית: encryption) מתאר הסתרת משמעותו של מסר קריא באמצעות פונקציה שמקבלת כפרמטר מפתח הצפנה והופכת את המסר לרצף של סימנים בלתי מובן לאיש. שחזור הטקסט המוצפן למצבו הקריא באמצעות פונקציה הופכית מתאימה עם מפתח הפענוח, קרוי פענוח (באנגלית: decryption). המונח צופן Cipherמתייחס לאלגוריתם הצפנה בדרך כלל במחשב, פעולת אלגוריתם ההצפנה נשלטת על ידי מפתח ההצפנה הסודי הידוע רק לשולח ולמקבל.
בעבר שימשה הקריפטוגרפיה הקלאסית בעיקר ממשלות, צבאות, דיפלומטים ומרגלים. שני אירועים לכאורה לא קשורים שאירעו ב-1970 בסמיכות רבה, הביאו למפנה העיקרי ותרמו יותר מכל להפיכתה למודרנית כפי שהיא מוכרת כיום;
הפצת DES כתקן הצפנה - תקן הצפנת מידע באנגלית: Data Encryption Standard, הוא צופן בלוקים שפותח ב-1974 במרכז המחקר של IBM בשיתוף פעולה עם הסוכנות לביטחון לאומי של ממשלת ארה״ב. DES הוא צופן בלוקים סימטרי איטרטיבי שיועד בעיקר לחומרה. הוא מקבל בלוק טקסט קריא שהוא מחרוזת של 64 סיביות (8 בתים) ומפיק בלוק מוצפן באורך זהה. הפונקציה הפנימית של הצופן מתבצעת ב-16 חזרות בעזרת מפתח סודי באורך 64 סיביות (שמתוכן רק 56 סיביות בשימוש).
המצאת RSA. מערכת RSA היא מערכת הצפנת מפתח ציבורי דטרמיניסטית מעשית הראשונה שהומצאה, והיא עדיין קיימת בשימוש נרחב במערכות אבטחת מידע מודרניות, תקשורת מחשבים ומסחר אלקטרוני. ב-RSA, כבכל מערכת מפתח ציבורי, מפתח ההצפנה אינו סודי והוא שונה ממפתח הפענוח שנשמר בסוד, על כן היא נקראת אסימטרית. האסימטריה ב־RSA נובעת מהקושי המעשי שבפירוק לגורמים של מספר פריק שהוא כפולה של שני ראשוניים גדולים, שהיא בעיה פתוחה בתורת המספרים. השם RSA נובע מראשי התיבות של שמות המשפחה של הממציאים, רון ריבסט, עדי שמיר ולאונרד אדלמן, שפרסמו את האלגוריתם לראשונה ב־1977. ב-RSA השולח משתמש במפתח ההצפנה הציבורי של הנמען כדי להצפין עבורו מסר כך שרק הנמען מסוגל לפענחו באמצעות המפתח הפרטי המתאים שברשותו.
הצפנה והפיקוח על היצוא
במשטרי הפיקוח הבינ״ל טכנולוגית ההצפנה הינה מפוקחת, וחייבת ברישיון יצוא. הטכנולוגיה מפוקחת בקטגוריה 5 סעיף 2 במשטר הפיקוח הדו שימושי ואסנאר. בעולם הפיקוח הבינ״ל, עד לפני כשנה הסף להגדרה האם מוצר מפוקח או לא היה מספר ה״מפתחות״ או ה״סיביות״ שמהן הורכב הצופן, והסף היה נמוך ביותר - מעל 56 סיביות (צופן שנחשב ״מוצר מדף״) נחשבו לטכנולוגיה מפוקחת. למרבה המזל, בעדכון השנתי האחרון של רשימות הפיקוח של משטר ואסנאר, בחודש דצמבר 2018, עדכנה הנהלת משטר הפיקוח על ה״יצוא הדו שימושי״ היושבת בווינה את רשימות הפיקוח על ה״יצוא הדו שימושי״. להלן לינק לעידכונים כפי שהתפרסמו ע״י הנהלת המשטר הבינ״ל.
בנושא הצפנה חל כאמור שינוי במספר המפתחות שהופכים מוצר למפוקח: במקום לנקוב במספר הסיביות שמעליהן מוצר מתחיל להיות מפוקח (56), החליטה הנהלת המשטר לאמץ פרמטרים מעודכנים יותר (Described security algorithm). כמו כן חל שינוי בנוגע בהגדרות למונחים הבאים:
Asymmetric algorithm, ‘Quantum resistant cryptography algorithms, ‘Cryptographic activation token'
מה המצב בארה״ב:
בארה״ב נבדק הנושא של פיקוח ורישוי ״קוד מקור״ של מוצרי הצפנה בבתי המשפט, ושם הוחלט להתייחס ל״קוד פתוח״ כאל תוצר המוגן על ידי ״חופש הביטוי״. לאחר ארבע שנים של דיונים ושינוי רגולטורי אחד, קבע בית הדין לערעורים בארה״ב כי פרסום ״קוד מקור״ של תוכנת ההצפנה נופל תחת הגדרת ״חופש הביטוי״ וככזה הינו מוגן על ידי התיקון הראשון לחוקה האמריקאית וכי תקנות הממשלה המונעות את פרסומו אינן חוקתיות. (לינק לפסיקה)
למרות שממשלת ארה״ב ערערה על פסק הדין, היא גם שינתה את התקנות שלה, והפחיתה מאוד את הנטל הרגולטורי על פרסום תוכנת קידוד שנחשבות ״קוד פתוח״, יחד עם הרבה תוכנות קידוד אחרות.
למרות הניצחון החוקי בפרשת ברנשטיין, תוכנת ״קוד פתוח״ עם הצפנה נותרת כפופה לחוקים ולתקנות של פיקוח על היצוא בארה״ב. למרות שתוכנה כזו כבר אינה כפופה למגבלות הכבדות תחת ITAR או EAR, עם זאת, נותרו כמה דרישות קטנות:
במסגרת סעיפים 734.7 ו- 742.15 של- EAR, קוד המקור של ההצפנה ״שפורסם״ באינטרנט, אינו כפוף לדרישות האישור המוקדמות של ה- EAR. עם זאת, כדי להגיע למצב ״מפורסם״ ובלתי מבוקר זה, על היצואן להודיע למשרד המסחר האמריקאי (BIS) ולמתאם בקשת ההצפנה של ENC בסוכנות לביטחון לאומי עם: כתובת האתר או כתובת האינטרנט שבה פורסם קוד המקור להצפנה, או עותק של ״קוד המקור״ להצפנה שפורסם לאחר עמידה בדרישות אלו של ה-EAR, התוכנה למעשה יוצאת מכיסוי ה- EAR ובעלי אתרים עשויים לייצא או לפרסם תוכנת קידוד ״קוד פתוח״. להרחבה ביתר הדרישות בארה״ב בנושא לחצו כאן.
סיכום:
בישראל, בשונה ממה שקורה בכל העולם, שם ההצפנה מפוקחת ברשימה הדו שימושית, ע״י משרד אזרחי, ניכס לעצמו משרד הביטחון את סעיף ההצפנה ברשימה הדו שימושית, והעביר את כולו לאחריותו גם במקרה של יצוא לשימוש אזרחי לחלוטין. כך קורה, שחברה ישראלית אזרחית, המפתחת טכנולוגיית הצפנה לשימושים אזרחיים לחלוטין, חייבת לפנות למשרד הביטחון על מנת לקבל ״אישור עיסוק באמצעי הצפנה״ - אישור שמבוסס על הטכנולוגיה שהיתה קיימת בשנת 1998. ראו לינק.
שימו לב: שינויים אלו שנימנו לעיל, שערך משטר הפיקוח הבינ״ל בהגדרות של מוצר ״הצפנה״ אמורים היו להיות מאומצים ע״י הרגולטור הישראלי בתחילת שנת 2019, ולכן כדאי ליצואן הישראלי של מוצרי הצפנה לבדוק מול הרגולטור, ואולי יופתע לגלות שמוצר ההצפנה המיוצא על ידו כבר אינו חייב בבקשת רישיון יצוא.
עמירם הלוי שירת כציר כלכלי של ישראל ביפן, בהודו, בספרד ובאוסטרליה, והיה עד לאחרונה מנהל תחום ״פיקוח יצוא דו שימושי״ במשרד הכלכלה ושימש בתפקיד זה במשך 10 שנים. ליצירת קשר במייל ניתן לפנות לטלפון 050-6240904 לכתובת דוא״ל [email protected] או באתר: http://www.ah-consultant.com/
