Untersuchung über kryptographische Software im »Main«-Archiv von Debian

Anmerkung des Übersetzers: Obwohl diese Übersetzung mit Sorgfalt erstellt wurde, ist nur der englische Originaltext dieser Untersuchung verbindlich.

An: Software in the Public Interest, Debian-Projekt
Von: Roszel C. Thomsen II, Partner, Thomsen & Burke LLP
Datum: 31. Juli 2001
Re: Untersuchung über kryptographische Software im Main-Archiv von Debian

Vielen Dank für diese Möglichkeit, Kommentare zu Sam Hartmans Weißbuch mit dem Titel Exploring Cryptographic Software in Debian's Main Archive abzugeben.

Wir stellen diese Informationen als allgemeine Richtlinien für Sie bereit. BXA verlangt, dass jede Einheit, die Exporte durchführt, sich mit ihren bestätigenden Auflagen – die in den Exportadministrationsregulierungen beschrieben sind – vertraut macht und diese einhält. Beachten Sie bitte, dass sich diese Regelungen ändern können. Wir empfehlen, dass Sie eine Rechtsauskunft einholen, wenn Sie zu exportieren versuchen wollen. Zusätzlich könnte der Import von Verschlüsselung in einigen Ländern beschränkt sein. Wir empfehlen, dass Sie in den betroffenen Ländern Rechtsauskunft einholen oder Kontakt zu den betroffenen Regierungsorganisationen in diesen Ländern aufnehmen.

Als Hintergrundinformation: Der Export kryptographischer Software aus den Vereinigten Staaten wid durch die United States Export-Administration-Regulierungen (EAR 15 CFR Teil 730 ff.), betrieben durch die Export-Administration des Handelsministeriums (BXA) geregelt. BXA überarbeitete die vorhergehenden Regelungen des EARs bezüglich kryptographischer Software zu letzt am 19. Oktober 2000. Ich beziehe mich auf diese neue US-Regularien, um sie von vorhergehenden, restriktiveren Regularien zu unterscheiden.

Als die Clinton-Administraton nach Washington kam, wurde der Export von Verschlüsselungsgegenständen aus den Vereinigten Staaten als Munition unter der Waffenexportkontrolle-Verordnung und den internationalen Waffenhandel-Regularien geregelt. Die meisten Anträge auf Exportlizenz für starke Verschlüsselung wurden abgelehnt. Die Industrie und öffentliche Interessensgruppen betrieben Lobby-Arbeit zur Liberalisierung und die Clinton-Administration reformierte die veralteten US-Exportkontrollen für Verschlüsselungsgegenstände in einer Serie von graduellen Schritten, was in die neue US-Regulierungen gipfelte. Die neue Bush-Administration denkt über weitere Liberalisierungen nach, die im Laufe des Jahres veröffentlicht werden könnten.

Trotz dieser Lieberalisierungen bleiben die US-Exportregelungen bezüglich kommerziellen Verschlüsselungsgegenstände komplex und fehlerträchtig. Amerikanische Firmen müssen vor dem Export von Verschlüsselungsgegenständen diese zur technischen Begutachtung bei den Nachrichtendiensten einreichen. Exporte an einige Behörden ausländischer Regierungen benötigen Lizenzen, wie auch bei Exporten an Telekommunikations- und Internetdiensteanbieter, die Dienste bestimmten Regierungsbehörden bereitstellen wollen. Schließlich sind für viele Exporte auch nach dem Export aus den Vereinigten Staaten Berichtsanforderungen zu erfüllen. Daher legen die Verschlüsselungsexportkontrollen der USA weiterhin eine signifikante Last auf amerikanische Firmen und schränken den weltweiten Einsatz starker Kryptographie in kommerziellen Software-Programmen ein.

Nicht alle Software-Programme mit Verschlüsselung sind allerdings kommerzielle Produkte. Für Zwecke des EARS fallen kryptographische Quellcodekontrollen in drei Kategorieren: (a) Open Source, (b) Gemeinschaftsqullen und (c) proprietäre Quellen. Die Regeln, die die einzelnen Arten des Quellcodes regeln, sind verschieden, und sie wurden in wichtigen Gesichtspunkten in Bezug auf die neue US-Regulierung ergänzt.

Open Source bezieht sich auf Software, die ohne Einschränkung unter einer GNU-artigen Lizenz kostenlos für die Öffentlichkeit verfügbar ist. Debian scheint in diese Kategorie zu fallen. Die alte Regulierung erlaubte den Export von Open Source ohne technische Begutachtung an jeden Endbenutzer unter der Voraussetzung, dass die Person, die die Open Source-Software bereitstellte, zeitgleich eine Benachrichtigung an die BXA und die National Security Agency (NSA) einreichte. Allerdings schwieg sich die alte Regulierung in Bezug auf die Einschränkungen (falls vorhanden) für den Export von aus Open Source übersetzter Software aus.

Unter der neuen US-Regulierung ist nicht nur Open Source sondern auch daraus übersetzte ausführbare Software zum Export unter den gleichen Bedingungen wie Open Source selbst berechtigt, vorausgesetzt, dass die übersetzte Software unter den gleichen Bedingungen wie die Open Source selbst ohne Einschränkungen und kostenlos verfügbar ist. Falls Sie die übersetzte Software zu einem Produkt hinzufügen, das Sie gegen Bezahlung vertreiben, gelten unglücklicherweise für das entstandene Produkt alle Regeln, die auch für kommerzielle Software-Programme gelten. Beispielsweise müssen sie bei der BXA und NSA für eine einmalige technische Begutachtung eingereicht werden, wie dies oben beschrieben ist.

Gemeinschaftsquellen beziehen sich auf Software, die der Öffentlichkeit kostenlos für nicht-kommerzielle Verwendung zur Verfügung steht, die aber weiteren Einschränkungen für den kommerziellen Einsatz unterliegt. Gemeinschaftsquellen können im Prinzip unter den gleichen Bedingungen wie Open Source exportiert werden, allerdings unterliegen Gemeinschaftsquellen detailierteren Berichtsanforderungen.

Proprietäre Quellen beziehen sich auf allen Quellcode, der weder Open Source noch Gemeinschftsquellen ist. Exporteure dürfen proprietären Quellcode zu jedem Endbenutzer in der EU in seinen Partnern sowie jedem nicht-Regierungs-Endbenutzer in jedem anderen Land bereitstellen, sobald Sie die technischen Begutachtung bei der BXA und NSA angemeldet haben. Die Berichtsanforderungen für Gemeinschaftsquellen gelten auch für proprietäre Quellen.

Bitte beachten Sie, dass Personen in den USA, die auf Sites außerhalb der USA veröffentlichen können, unter die US-Gesetzgebung fallen, selbst falls sie dies in ihrer persönlichen Kompetenz tun. Daher sollten Sie Personen in den USA warnen, dass ihre Veröffentlichung auf dem aktuellen Krypto-Server außerhalb der USA dennoch unter die US-Regulierungen fällt.

Schließlich sollten Sie beachten, dass eine Kernmenge an US-Exportkontrollen auf alle Exporte von Open Source-Kryptosoftware aus den Vereinigten Staaten zutrifft. Im Kern verbieten diese Kontrollen den Export von Open Source-Kryptosoftware unter der License Exception TSU an (1) verbotene Gesellschaften (aufgeführt unter http://www.bxa.doc.gov/DPL/Default.shtm), (2) verbotene Länder (derzeit Kuba, Iran, Irak, Libyen, Nord Korea, Sudan, Syrien und das von den Taliban besetzte Afghanistan) und (3) Design, Entwicklung, Bevorratung, Produktion oder Verwendung nuklearer, chemischer oder biologischer Waffen oder Raketen.

Mit diesem Hintergrund werden Ihre speziellen Fragen im Hinblick auf Debian in der Reihenfolge beantwortet werden, in der sie im Weißbuch von Sam Hartman (hier in kursiv) auftauchen,


Untersuchung über kryptographische Software im Main-Archiv von Debian

Sam Hartman

Debian-Projekt


Debian ist ein Freies Betriebssystem. Derzeit trennt Debian aus Gründen des US-Exports die kryptographische Software in ein separates Archiv ab, das sich außerhalb der USA befindet. Dieses Dokument fasst die Fragen zusammen, deren Beantwortung aus rechtlicher Sicht wir benötigten, um diese zwei Archive zusammenzufassen.


Über Debian

Debian ist eine Gruppe von Einzelpersonen, die an der Erstellung eines Freien Betriebssystems arbeiten. Diese Einzelpersonen sind für die Entscheidungen, die sie während der Arbeit an Debian treffen, verantwortlich; es gibt keine rechtsfähige Organisation Debian für die die Entwickler arbeiten oder für die sie Entscheidungen treffen. Es gibt eine eingetragene gemeinnützige Organisation, Software in the Public Interest (SPI), die für Debian Geld und Ressourcen verwaltet. Daher können Entscheidungen der Entwickler Einfluß auf die Ressourcen von SPI haben und daher SPI betreffen. Verschiedene Förder besitzen andere Debian-Ressourcen. Debian hängt im Allgemeinen von Sponsoren für Netzanbindung ab. Es gibt auch externe Gruppen, die die Debian-Software auf Spiegel kopiert, so dass Personen aus der ganzen Welt sie herunterladen und verwenden können. Andere erstellen und verkaufen CDs mit Debian. Alle diese Gruppen könnten zu einem größeren oder kleineren Umfang haftbar für die Entscheidungen von Debian sein. Wir wollen uns derart verhalten, dass die Haftung für alle Parteien minimiert, und innerhalb dieser Randbedingungen der Wert unserer Bemühungen maximiert wird.

Wie alle Betriebssystemhändler muss Debian kryptographische Software aufnehmen. Diese Software stellt Sicherheit bereit, erlaubt es den Benutzern, am Internet-Handel teilzunehmen und führt andere Aufgaben durch, die Kryptographie benötigen. Heute wird diese Software auf einem Server außerhalb der Vereinigten Staaten gespeichert, der als non-US Server bekannt ist. Derzeit unternimmt Debian nichts, um die US-Entwickler beim Erfüllen der Exportregularien zu unterstützen oder sie am Hochladen von Software zu hindern. Wir möchten kryptographische Software von dem non-US-Server auf unseren Hauptserver in den USA verschieben.

Mit der zunehmend vernetzten Art der Arbeit und der Tatsache, dass mehr und mehr kritische Funktionen auf Rechnerplattformen verlagert werden und dem unglücklichen Wachstum von Unheil und vorsätzlicher Böswillligkeit wird Sicherheit zunehmend wichtig. Kryptographie ist ein wichtiger Eckpfeiler für eine Reihe von Sicherheitsprozessen. Alle Betriebssysteme, die keinen Versuch der nahtlosen Integration der Kryptographie unternehmen, sind wahrscheinlich nicht wettbewerbsfähig.

Alle Software in eine einzige Quelle zu verlagern und der damit einhergehenden Möglichkeit, ein einzelnen CD-Satz zu erstellen, der über integrierte kryptographische Unterstützung verfügt, erleichtert den Umgang sowohl den Benutzern wie auch den CD-Händlern und vereinfacht die Arbeit der Entwickler beim Hochladen von Software zu diesen Sites sowie die Replizierung der Software-Depots über das Internet.

Der Rest dieses Dokument konzentriert sich auf den Hauptserver in den USA und seinen Spiegeln und Kopien rund um die Welt. Es ist wichtig, zu erkennen, dass derzeit eine parallele Struktur zum Umgang mit dem non-US-Server aufgebaut ist.

Alle paar Monate veröffentlichen Debian-Entwickler eine neue offizielle Version von Debian. Die Software wird auf dem Haupt- (und für kryptographische Software auf dem non-US-)Server für eine Gruppe von primären Spiegeln weltweit bereitgestellt. Diese Spiegel kopieren die Software vom dem Hauptserver und stellen sie Benutzern und sekundären Spiegeln bereit. Die Benutzer können HTTP, FTP oder eine Vielzahl von anderen Methoden verwenden, um die Software zu erlangen. CD-Images werden den Benutzern und Wiederverkäufern zur Verfügung gestellt. Diese Images können von Einzelpersonen oder Personen, die Debian verkaufen/verschenken wollen, auf physische CDs gebrannt werden.

Zusätzlich gibt es zwei sich ständig weiterentwickelnde Veröffentlichungen von Debian: die Testing- und die Unstable-Veröffentlichung. Diese Veröffentlichungen werden täglich durch Entwickler weltweit aktualisiert. Wie die offiziellen Veröffentlichungen werden diese Veröffentlichungen auf dem Haupt- und den non-US-Servern den primären Spiegeln zur Verfügung gestellt. Die primären Spiegel stellen die Software via HTTP, FTP und anderen Methoden sowohl Endbenutzern als aus sekundären Spiegeln bereit. Manchmal werden von diesen Veröffentlichungen CD-Images erstellt. Der wichtige Unterschied zwischen diesen sich ständig weiterentwickelnden Veröffentlichungen und der offiziellen Veröffentlichung besteht darin, das erstere sich ständig ändern.

Often laden Entwickler Binärprogramme und Quellcode gleichzeitig hoch. Allerdings unterstützen wir verschiedene Arten von Computern, von denen jede ein anderes Binärprogramm aus dem gleichen Quellcode verlangt. Die meisten Entwickler erstellen nur Binärprogramme für eine der von uns unterstützen Computerarchitekturen wenn sie ein geändertes Programm hochladen. Automatisierte Prozesse hohlen sich den hochgeladenen Quellcode um Binärprogramme für die anderen Architekturen zu erstellen. Daher werden die Binärprogramme für ein bestimmtes Quellcode-Programm wahrscheinlich später als der Quellcode hochgeladen.

Einige Debian-Entwickler verwenden die Debian-Ressourcen auch, um an unveröffentlichter Software zu arbeiten. Die hierfür primär genutzte Ressource ist der Debian CVS-Server. Der Quellcode für Projekte auf diesem Server ist fast immer öffentlich verfügbar, kann sich aber mehrfach am Tag ändern. Der CVS-Server befindet sich in den USA.

Allerdings wird die meiste Debian-Software nicht direkt von Debian-Entwicklern entwickelt. Stattdessen wird die Software von dritter Seite veröffentlicht. Einige Software wird auf Sites innerhalb der USA veröffentlicht, während andere Originalautoren ihre Software auf Sites außerhalb der USA der Öffentlichkeit zur Verfügung stellen. Die Debian-Entwickler sind dafür verantwortlich, die Software in Debian zu integrieren. Als Teil dieser Aufgabe arbeiten viele Debian-Entwickler eng mit den Original-Softwareautoren zusammen und tragen dabei oft auch Code für die Originalveröffentlichungen bei.

Die Software in Debian entspricht den Debian-Richtlinien für Freie Software, den DFSG. Wir glauben, dass diese Software öffentlich verfügbaren Quellcode im Sinne von Abschnitt 740.13(e) der EAR hat. Die Richtlinien verlangen, dass der Quellcode weitervertrieben werden darf. Indirekt verlangt die DFSG, dass man in der Lage ist, ohne Zahlung einer Gebühr ein Produkt zu vertreiben, das auf dem Quellcode basiert. Wir vertreiben den gesamten Quellcode als Teil unserer Veröffentlichung. Andere Software wird in unserem Archiv non-free vertrieben, aber der Fokus dieses Dokuments liegt auf Software, die Frei im Sinne der DFSG ist. Wir wären daran interessiert zu wissen, in welchem Umfang wir Software, die nicht Frei im Sinne der DFSG ist und für die wir Quellcode vertreiben können, in die USA verschieben können. Allerdings möchten wir nicht, dass dieser Bereich mit Ratschlägen über den Umgang mit Software, die Frei im Sinne der DFSG ist, durcheinandergebracht wird.

Debian-Entwickler leben rund um die Welt und sind Bürger vieler Länder. Offensichtlich sind einige US-Bürgr, viele andere sind dies aber nicht. Einige könnten Bürger der sieben verbotenen Länder des Abschnitts 740.13(e) der EAR sein.

Wie bereits erwähnt, haben wir Spiegel auf der ganzen Welt. Wir haben in den sieben Ländern, die in Abschnitt 740.13(e) der EAR aufgeführt sind, keine offiziellen Spiegel (Spiegel, zu denen das Projekt in Verbindung steht). Da allerdings unsere Software öffentlich verfügbar ist, könnte sie in diese Länder kopiert werden. Die meisten Spiegel innerhalb der USA spiegeln derzeit nur den Hauptserver (den Server ohne Kryptographie), allerdings spiegeln einige sowohl den Haupt- als auch die non-US-Anteile des Archivs. Debian übernimmt keine Verantwortung für die Spiegel innerhalb der USA, die den non-US-Anteil des Archivs spiegeln.


Unser Ziel

Wir möchten kryptographische Software in unser Hauptarchiv aufnehmen. Wir möchten die Risiken für die Entwickler, Benutzer, SPI, Spiegelverwalter, CD-Wiederverkäufer, Sponsoren und jede andere mit Debian verbundene Partei verstehen, so dass wir eine informierte Entscheidung treffen können. Wir möchten diese Risiken dokumentieren und veröffentlichen, so dass dieses Parteien durch Unwissenheit keine Straftat begehen. Offensichtlich wollen wir auch unnötige Risiken vermeiden.

Insbesondere möchten wir die folgenden Aktivitäten berücksichtigen:


ENDE der Debian Dokumenten-Präambel

Ich werde versuchen, diese Ziele in meinen Antworten auf Ihre Fragen zu reflektieren. Als Art Zusammenfassung denke ich, dass eine einmalige Benachrichtigung für das aktuelle Archiv und Aktualisierungen hieran genügen sollte. Eine neue Benachrichtigung wäre nur notwendig, falls ein neues Programm mit Verschlüsselung zu dem Archiv hinzugefügt würde. Zusätzlicher Vertrieb von Freeware benötigt keine weitere Benachrichtigung. Allerdings unterlägen kommerzielle Versionen den Anforderungen an technische Begutachtung, Lizenzierung und Berichte, denen auch andere kommerzielle Produkte unterliegen. Die zukünftigen Änderungen an Gesetzen oder Regularien vorherzusagen ist schwierig, aber falls sich das Gesetz ändert, müssten Sie entweder Ihre Site vom Netz nehmen oder sie so ändern, dass sie dieses weiter einhält. Sie unterliegen keiner Verpflichtung, andere Kunden über ihre rechtlichen Verpflichtungen zu informieren, aber falls Sie eine Liste von häufig gestellten Fragen pflegen, würde ich mich freuen, angemessene Antworten, die sie ihnen anbieten könnten, vorzuschlagen.

Fragen (Hinweis: jede Frage von Debian ist mit einem D: markiert)

D: Müssen wird das Bureau of Export Administration (BXA) über Software informieren, die wir zu Veröffentlichungen hinzufügen?

Falls die Benachrichtigung genau formuliert ist und das Archiv auf der Site, die in der Benachrichtigung angegeben ist, bleibt, müssen Sie nur eine einzige Benachrichtigung an BXA für das anfängliche Archiv einreichen. Nur eine Benachrichtigung für eine Site in den USA wird benötigt; für Spiegelsites innerhalb oder außerhalb der USA wird keine separate Benachrichtigung benötigt. Diese Benachrichtigung müsste nur aktualisiert werden, wenn Sie ein neues Programm, das Verschlüsselung implementiert, hinzufügten.

	Department of Commerce
	Bureau of Export Administration
	Office of Strategic Trade and Foreign Policy Controls
	14th Street and Pennsylvania Ave., N.W.
	Room 2705
	Washington, DC 20230

	Re:  Unrestricted Encryption Source Code Notification
	Commodity:	Debian Source Code

	Dear Sir/Madam:
	Pursuant to paragraph (e)(1) of Part 740.13 of the U.S. Export
	Administration Regulations ("EAR", 15 CFR Part 730 et seq.), we are
	providing this written notification of the Internet location of the
	unrestricted, publicly available Debian Source Code. Debian Source Code
	is a free operating system developed by a group of individuals,
	coordinated by the non-profit Software in the Public Interest.  This
	archive is updated from time to time, but its location is constant.
	Therefore, and this notification serves as a one-time notification for
	subsequent updates that may occur in the future.  New programs will be
	the subject of a separate notification.  The Internet location for the
	Debian Source Code is:  http://www.debian.org.

	  This site is mirrored to a number of other sites located
	outside the United States.

	  A duplicate copy of this notification has been sent to the ENC
	Encryption Request Coordinator, P.O. Box 246, Annapolis Junction, MD
	20701-0246.

	  If you have any questions, please call me at (xxx) xxx-xxxx.

	Sincerely,
	  Name
	  Title

D: Welche Informationen müssen wir in die Benachrichtigung aufnehmen?

Der obige Entwurf enthält die Informationen, die Sie in die Benachrichtigung aufnehmen müssen.

D: Wie oft müssen wir Benachrichtigungen senden? Wir möchten diese so selten wie notwendig versenden, da sie für uns und die Regierung mehr Arbeit erzeugen, aber wir wollen sie auch so oft wie notwendig versenden, um die Regularien der Regierung zu erfüllen.

Wie oben aufgeschrieben und unter der Annahme, dass das Archiv auf der Internet-Site wie in der Benachrichtigung identifiziert verbleibt sollten Sie für folgende Aktualisierungen keine erneute Benachrichtigung einreichen müssen. Sie würden nur eine weitere Benachrichtigung einreichen müssen falls Sie ein neues Programm hinzufügten, das Kryptographie implementiert.

D: Falls wir unsere kryptographische Software in dieses Land verschöben und die Gesetze oder Regularien würden verschärft, was könnten wir dann möglicherweise verlieren? Müssten wir irgendwelche Software oder CDs zerstören? Müssten wir sie von unserer Hauptsite oder irgendwelchen Spiegeln entfernen? Falls wir die verstärkter Verfügbarkeit kryptographischer Software dazu verwendeten, die Sicherheit des Rest des Systems zu verbessern, und sich das kryptographische rechtliche Klima verschlechterte, wäre es wahrscheinlich, dass wir alle Kopien dieser Software in den USA wegwerfen müssten?

Der Trend geht zu verstärkter Liberalisierung der Exportkontrollen für Kryptographie in den Vereinigten Staaten statt zu verstärkten Beschränkungen. Dieser Trend war über die letzte Dekade hinweg konstant und hat sich im vergangenen Jahr beschleunigt. Wir können Sie nicht zu der Frage beraten, was Sie verlieren könnten, und nicht bis die neue Regulierungen veröffentlicht sind. Allerdings glauben wir, dass Sie das Copyright auf die Software und einige, wenn auch vielleicht eingeschränkte, Exportrechte behielten.

D: In Reihenfolge absteigender Vorliebe würden wir die Benachrichtigung wie folgt durchführen:

Ich glaube, dass Sie nur eine neue Benachrichtigung einzureichen haben, wenn Sie ein neues Programm, das Kryptographie beinhaltet, hinzufügen. Aktualisierungen zu existierenden Programmen sollten durch die umfassende Sprache der von uns oben vorgeschlagenen Benachrichtigung abgedeckt sein.

D: Neue Pakete kommen in den folgenden Ablauf an Schritten in das Debian-Archiv. Zu welchem Zeitpunkt muss die Benachrichtigung stattfinden?

  1. Die Originalautoren veröffentlichen ein Paket als Open Source. Dieser Schritt wird bei einem Debian-eigenen Paket übersprungen.
  2. Ein Debian-Entwickler paketiert die Quellen und das Binärprogramm für Debian, oft mit Änderungen am Quelltext.
  3. Das Paket wird auf ftp-master, incoming, hochgeladen.
  4. Das neue Paket kann nicht installiert werden, da es neu ist.
  5. Ftp-Administratoren fügen die benötigten Eintragungen für das Paket hinzu.
  6. Das Paket wird innerhalb weniger Tage in das Archiv installiert.
  7. Das Paket wird auf die Spiegelsites kopiert.

Die Regulierung ist recht deutlich, dass die Benachrichtigung vor oder gleichzeitig mit der öffentlichen Verfügbarkeit erfolgen muss. Exporte vor der öffentlichen Verfügbarkeit benötigen eine Exportlizenz. Falls das Archiv in Schritt 3 nicht öffentlich verfügbar ist, muss das Paket entweder vor Schritt 3 öffentlich verfügbar gemacht (und eine Benachrichtigung gesendet) werden oder für Debian-Entwickler werden Exportlizenzen benötigen. Falls das Archiv in Schritt 3 öffentlich verfügbar ist, dann würden Benachrichtigungen die Notwendigkeit beseitigen, für Debian-Entwickler Exportlizenzen zu haben.

D: Falls der Originalautor die BXA benachrichtigt hat, wird dann eine Benachrichtigung benötigt? (Das Paketieren für Debian kann Änderungen an den Quellen beinhalten, darunter Änderungen am Ablageort von Dateien und gelegentlich funktionale Unterschiede, obwohl allerdings das allgemeine Ziel lautet, die Originalquellen in Debian mit minimalen Änderungen zum Laufen zu bekommen.)

Falls der Originalautor die BXA benachrichtigt hat reicht dies aus.

D: Müssen wir eine Benachrichtigung durchführen, wenn neue Binärprogramme (Objektcodes) hinzugefügt werden, falls wir bereits für den Quellcode eine Benachrichtigung durchgeführt haben?

Ich glaube nicht, dass Sie eine neue Benachrichtigung für jeden Objektcode einreichen müssen, solange eine Benachrichtigung für den Quellcode eingereicht wurde.

D: Wird für Programme, die keine kryptographischen Algorithmen enthalten, die aber gegen kryptographische Bibliotheken gelinkt werden, eine Benachrichtigung notwendig? Wie sieht es für Programmen, die andere Programme für kryptographische Funktionen ausführen, aus?

Solange ein Programm Open Source ist kann es ein offenes kryptographische API enthalten und immer noch unter die License Exception TSU fallen.

D: Neue Programme können leicht vor der Veröffentlichung überprüft werden (und zu diesem Zeitpunkt eine Benachrichtigung erledigt weren), aber wenn eine Aktualisierung durchgeführt wird gibt es keinen manuellen Schritt, an dem die Benachrichtigung erfolgen kann. Wäre es akzeptabel, für jede neu hinzugefügte Software die die BXA mit einem Hinweis zu benachrichtigen, dass zukünftige Aktualisierungen auch das Hinzufügen kryptographischer Funktionalität beinhalten können?

Ja. Über-Berichten sollte wahrscheinlich wo zumutbar vermieden werden, aber Unter-Berichten muss vermieden werden. Zukünftige Aktualisierungen eines existierenden Programms benötigen keine separate Benachrichtigung. Nur neue Programme benötigen eine separate Benachrichtigung.

D: Können wir den Prozess der Einsendung der Benachrichtigungen automatisieren?

Sie können den Prozess der Einsendung der Benachrichtigungen automatisieren. Dies ist eine interne prozedurale Angelegenheit. BXA und NSA interessiert es nicht, wie Sie die Benachrichtigung intern ausfüllen.

D: Welche Form sollte die Benachrichtigung haben?

Die Benachrichtung der BXA kann entweder elektronisch oder auf Papier erfolgen, die Benachrichtigung der NSA muss auf Papier erfolgen.

D: Wer kann die Benachrichtigung einsenden? Müssen sie beispielsweise Bürger der USA sein?

Jede Person darf die Benachrichtigung einsenden; die Staatsangehörigkeit ist nicht relevant.

D: Gibt es irgendwelche anderen Belange, derer wir uns bewusst sein sollten? Welche Maßnahmen müssen wir neben der Benachrichtigung noch treffen?

Neben der Benachrichtigung könnten Sie die Implementierung einer umgekehrten IP-Suche überlegen, die den Computer identifiziert, der um das Herunterladen bittet und dann Downloads des kryptographischen Archivs aus Ländern blockiert, die von den USA mit einem Embargo belegt sind: Kuba, Iran, Irak, Libyen, Nord-Korea, Syrien, Sudan und das von den Taliban besetzte Afghanistan. Zusätzlich könnten Sie überlegen, eine Klausel in Ihrer Lizenzvereinbarung oder einen separaten Bildschirm vor dem Herunterladen zu haben, der die Software herunterladende Person wie folgt berät:

Diese Software unterliegt den US-Exportkontrollen, anwendbar auf Open Source-Software die Kryptographie enthält. Debian hat die Benachrichtigung bei dem Bureau of Export Administration und der National Security Agency eingereicht, die vor dem Export gemäß den Bestimmungen der License Exception TSU der US-Exportadministrationsregeln verlangt ist. In Einklang mit den Anforderungen der License Exception TSU erklären und gewährleisten Sie, dass Sie berechtigt sind, die Software zu erhalten, dass Sie sich nicht in einem Land befinden, das dem Embargo der Vereinigten Staaten unterliegt und dass Sie die Software weder direkt noch indirekt in dem Design, der Entwicklung, der Lagerung oder Verwendung von nuklearen, chemischen oder biologischen Waffen oder Raketen verwenden. Kompilierter Binärcode, der kostenlos weitergegeben wird, darf gemäß den Vorschriften der License Exception TSU reexportiert werden. Allerdings kann eine zusätzliche technische Begutachtung und andere Anforderungen für kommerzielle Produkte, die diesen Code einbauen, vor dem Export aus den Vereinigten Staaten notwendig sein. Für zusätzliche Informationen lesen Sie bitte www.bxa.doc.gov.

D: Derzeit können Benutzer weltweit auf die Software, die auf die Integration in unser Archiv wartet, zugreifen und diese möglicherweise herunterladen. Wahrscheinlich würden wir alle notwendigen Benachrichtigungen erledigen, während die Software in das Archiv aufgenommen wird. Somit würde Software in diesem Zustand auf die Benachrichtigung warten. Wäre dies ein Problem? Falls ja, wäre es akzeptable, eine alternative Warteschlange mit kryptographischer Software, die auf die Integration in das Archiv wartet, aufzusetzen, die nur für unsere Entwickler verfügbar wäre? Um Software in unsere Distribution aufzunehmen, müssen Entwickler, die sich oftmals außerhalb der USA befinden, die Software untersuchen und sicherstellen, dass Sie bestimmten Richtlinien genügt. Wie sollten wir diesen Zugriff realisieren? Gibt es andere Lösungen zu diesem Bereich vor der Benachrichtigung, an die wir denken sollten?

Ein Problem, das uns häufig über den Weg läuft, sind Software-Patente. Offensichtlich entfernt die Integration von Kryptographie in Software keine der Patentsorgen, über die wir normalerweise nachdenken müssten. Gibt es allerdings irgendwelche neuen Probleme die wir bedenken müssen, wenn Patente in das Wechselspiel mit den Exportregularien kommen? Es scheint, dass zumindest für die Freistellungs-TSU (Abschnitt 740.13 der EAR) Patente keinen Einfluss darauf nehmen, ob der Quellcode öffentlich ist.

Es ist wichtig zwischen, dem Archiv, das der Benachrichtigung unterlag, und neuen Programmen zu unterscheiden. Sie können das Archiv, das der Benachrichtigung unterlag, ohne weitere Benachrichtigung aktualisieren, wie oben beschrieben. Nur neue Programme müssen vor der Veröffentlichung Thema einer separaten Benachrichtigung sein. Falls neue Programme von Entwicklern vor der Veröffentlichung begutachtet werden müssen und diese Software sowohl nicht öffentlich verfügbar und die US-Regierung noch nicht darüber benachrichtigt ist, dann empfehle ich Ihnen, zu überlegen, sich eine Exportlizenz zu besorgen, die diese beschränkte Begutachtung vor der Benachrichtigung erlaubt. Ihre Aussage ist korrekt, dass Patente Software nicht von der Eignung zum Export unter der License Exception TSU disqualifizieren.

D: Distribution, Spiegeln und CDs

Müssen unsere Spiegel in den USA die BXA benachrichtigen, falls wir Kryptographie zu unserem Archiv hinzufügen? Wie oft müssen Sie die BXA benachrichtigen? Wir würden gerne die Situation vermeiden, in der Spiegel für jedes neue Programm, das Debian zum Archiv hinzufügt, eine Benachrichtigung versenden müssen, selbst falls unser Hauptserver solche Benachrichtigungen einsenden muss. Wir müssen den Betrieb für die Spiegelbetreiber einfach halten. Was, falls überhaupt, müssten Spiegel außerhalb der USA tun?

Falls wir eine Aktualisierung an einen Spiegel sendeten statt darauf zu warten, dass er die Software herunterlädt, müssen wir irgendwelche besonderen Schritte durchführen? Was falls wir einem Spiegel eine Bitte zum Herunterladen neuer/geänderter Software schicken?

Sobald die Benachrichtigung für den zentralen Server versandt wurde wird keine weitere Benachrichtigung für Spiegelsites benötigt.

D: Welche der folgenden Händler (falls überhaupt) wäre nur mit einer Benachrichtigung in der Lage, unveränderte Debian-Programme (und Quellen) zu versenden? Welche würden Begutachtungen und Zustimmungen benötigen? Könnte die Begutachtung zeitgleich zum Versand erfolgen, oder müsste sie vorher erfolgen?

A) Post-Versand von CDs zu den Medienkosten?
B) Post-Versand von CDs mit Gewinnabsicht?
C) Regalverkauf von CDs zu den Medienkosten?
D) Regalverkauf der CDs mit Gewinnabsicht?
E) Händler, die CDs von A) oder C) (s.o.) zusammen mit Hardware bereitstellen. Die Hardware wird mit Gewinnabsicht verkauft, allerdings keine Vorinstallation?
F) Wie E, allerdings mit Vorinstallation der Software?
G) Irgendeines der obigen, Verkauf von Unterstützung für die Software?

Falls das leichter ist, hier eine andere Betrachtungsweise: Welche Bedingungen müssen für einen Händler erfüllt sein, um Binärprogramme unter der License Exception TSU zu versenden, und welche Kosten darf der Händler wieder erlangen und/oder zu welchen Kosten darf der Händler mit Gewinn verkaufen?

Vernünftige und übliche Gebühren für die Reproduktion und den Vertrieb sind erlaubt, aber keine Lizenzgebühren. Unterstützung ist ebenfalls entsprechend der obigen Begrenzungen erlaubt.

D: Falls die einmalige Begutachtung für unveränderte Programme, die mit Gewinnabsicht verkauft werden, genügt, kann diese Bewilligung von anderen Händlern verwandt werden, die unveränderte Programme versenden?

Die einmalige Begutachtung ist produktbezogen und unabhängig vom Händler.

D: Wäre es akzeptierbar, einen offiziellen Spiegel in einem Land, das von Abschnitt 740.13(e) der EAR verboten wird, aufzusetzen?

Sie müssten eine Lizenz beantragen, einen offiziellen Spiegeln in einem Land unter Embargo aufzusetzen.

D: Falls es technisch undurchführbar wäre, Zugriff von den T7-Ländern zu einem Netz von Web- (oder FTP-, usw.)Servern zu verhindern, verlangte die angemessene Sorgfalt extreme Maßnahmen? Erfüllt der defakto Standard des Gang und Gäbe-Vorgehens die angemessene Sorgfalt?

Der Defakto-Industriestandard sollte ausreichen. Ich hoffe, dass die Regierung erkennt, dass jedes von Menschen entworfene System mit genug Einsatz bezwungen werden kann.

D: Welche Schritte sollten wir unternehmen, falls uns bewusst wird, dass jemand Software von einem Spiegel innerhalb der USA in eines dieser Länder herunterlädt? Was gilt, falls uns bewusst wird, dass das Herunterladen in eines dieser Länder von einem Spiegel außerhalb der USA passiert?

Einige unserer Entwickler könnten in den sieben von der Freistellungs-TSU verbotenen Ländern leben oder deren Bürger sein. Wäre es für diese Entwickler ein Problem, Zugriff auf kryptographische Software auf unseren Maschinen zu erhalten? Müssten wir sie bitten, solche Software nicht herunterzuladen? Welche Schritte müssten wir unternehmen, falls uns bewusst wird, dass sie kryptographische Software herunterladen?

Reines Veröffentlichen kryptographischer Software auf einem Server, der von einem Land unter Embargo zugreifbar ist, bedeutet kein Wissen, dass die Software dorthin exportiert wurde. Daher zieht das reine Veröffentlichen keine Haftung im strafrechtlichen Sinne nach sich. Wir empfehlen, dass Sie IP-Überprüfungen durchführen und das Herunterladen aus Ländern unter Embargo verbieten. Diese gebührende Sorgfalt würde auch eine Verteidigung gegen einen Anspruch auf zivilrechtliche Haftung darstellen. Falls Sie herausfinden, dass Ihre Software in ein verbotenes Ziel heruntergeladen wurde, empfehle ich Ihnen, dass Sie zukünftiges Herunterladen zu dieser speziellen Site blockieren, es sei denn und bis Sie eine Lizenz von der BXA erhalten haben.


Debian bedankt sich bei Hewlett-Packards Linux Systems Operation für ihre Unterstützung beim Erhalt dieser rechtlichen Stellungnahme.