Исследование ПО для шифрования в главном архиве Debian

Кому: Software in the Public Interest, Проект Debian
From: Розель Томсен, Партнёр Thomsen & Burke LLP
Дата: 31 июля 2001 года
Re: Исследование ПО для шифрования в главном архиве Debian

Спасибо за возможность прокомментировать работу Сэма Хартмана озаглавленную как: Исследование ПО для шифрования в основном архиве Debian.

Мы предоставляем вам эту информацию как общее руководство. BXA требует, чтобы каждая единица экспортируемых продуктов соответствовала установленным соглашениям, указанным в Export Administration Regulations (EAR, «Правилах экспорта США»). Пожалуйста, обратите внимание, что правила могут быть изменены. В случае экспорта рекомендуем получить личную юридическую консультацию. Кроме того, некоторые страны могут ограничивать импорт определённых уровней шифрования. Рекомендуем проконсультироваться у законного представителя соответствующей страны или специализированного правительственного агентства в конкретной стране.

На правах истории, экспорт ПО для шифрования из США контролируется при помощи «Правил экспорта США» (EAR, 15 CFR часть 730 и последующие), контроль осуществляется коммерческим отделом Бюро Управления Экспортом (BXA). BXA исправляла заготовки EAR, затрагивающие ПО для шифрования, последнее исправление произошло 19 октября 2000 года. Данная статья ссылается на эти Новые правила по причине более строгих указаний.

Когда администрация Клинтона пришла в Вашингтон, экспорт элементов шифрования контролировался как военное снаряжение на основе «Акта контроля экспорта вооружений» (AECA) и «Правилах международной перевозки вооружений». Большинство заявок на лицензирование экспорта сильных средств шифрования были отклонены. Промышленность и общественные группы выступали за либерализацию правил, тогда Администрация Клинтона реформировала устаревшие правила экспорта элементов шифрования по ряду моментов, что привело к появлению новых «Правил экспорта США». Новая администрация Буша обдумывает дальнейшую либерализацию, которая может быть опубликована позже в этом году.

Несмотря на эту либерализацию, контроль экспорта из США коммерческих элементов шифрования по-прежнему остаётся сложным и обременительным процессом. Американские компании должны отправлять элементы шифрования на техническую экспертизу компетентным органам для того, чтобы их можно было экспортировать. Для экспорта в некоторые агентства других государств требуется наличие лицензий, как и для экспорта в области телекоммуникаций и Интернет-услуг, если провайдеры хотят предоставлять эти услуги для некоторых государственных агентств. И наконец, к экспорт из США применяются требования пост-экспортной отчётности. Таким образом, американский контроль экспорта шифрования продолжает налагать значительный управленческий груз на американские компании, замедляя всемирное развёртывание сильного шифрования в коммерческих программных продуктах.

Тем не менее, не все программные продукты с шифрованием являются коммерческими. В соответствии с EAR, контроль исходного кода с элементами шифрования делится на три категории: (1) открытый исходный код, (2) исходный код сообщества, (3) собственнический исходный код. Управление экспортом каждой из этих категорий выполняется по-разному, и за это необходимо поблагодарить новые правила управления экспортом.

Открытому исходному коду соответствует ПО, которое доступно для общества без ограничений и без оплаты, под соглашениями типа GNU. Debian, похоже, попадает под эту категорию. Старые правила позволяли экспорт свободного исходного кода к любому конечному пользователю без проведения технической экспертизы, предполагая, что тот, кто делает код доступным отправляет уведомление в BXA и Национальное агентство по безопасности (NSA). Однако, старые правила умалчивали разрешения и ограничения (если таковые имелись) на экспорт собранных исполняемых файлов ПО, полученных из свободного исходного кода.

По новым правилам не только открытый свободный код, но так же и собранные исполняемые файлы ПО, полученные из исходного кода, подходят для экспорта на тех же условиях что и сам исходный код, при условии, что исполняемые файлы также доступны без ограничений и без получения платы. К сожалению, если собранный исполняемый файл включён в состав продукта за который взимается плата, то результирующий продукт считается коммерческим продуктом, и к нему будут применяться соответствующие правила. К примеру, такие продукты должны быть отправлены в BXA и NSA для однократной технической экспертизы, описанной выше.

Исходному коду сообщества соответствует ПО, которое доступно публично, без получения прибыли, для некоммерческого использования, но содержащее некоторые ограничения на использование в коммерческих целях. Исходный код сообщества может быть экспортирован, в сущности, на тех же условиях что и свободный исходный код, но остаётся необходимость составления более детальной отчётности.

Собственнический исходный код соответствует любому исходному коду, который не является ни свободным кодом, ни кодом сообщества. Экспортёры могут предоставлять собственнический исходный код любому конечному пользователю в Евросоюзе и его партнёрам, и любому негосударственному конечному пользователю в других странах, пройдя техническую экспертизу в BXA и NSA. Условия отчётности для собственнического исходного кода те же, что и для исходного кода сообщества.

Пожалуйста, не забывайте, что тот, кто находится на территории США, и может размещать ПО на сайтах за пределами США, также подпадает под действие законов США, даже если это делается в индивидуальном порядке. По этой причине необходимо предупредить людей из США, что их публикации на сервер, содержащий ПО для шифрования из США, так же подпадают под действие правил США.

И наконец, вы должны понимать, что ключевые правила контроля экспорта США распространяются на всё экспортируемое из США свободное ПО для шифрования. В сущности, эти правила контроля запрещают экспорт Свободного ПО для шифрования под License Exception TSU для (1) запрещённых партий (представлены здесь: http://www.bxa.doc.gov/DPL/Default.shtm); (2) запрещённых стран (на текущий момент: Куба, Иран, Ирак, Ливия, Северная Корея, Судан, Сирия и оккупированная Талибаном часть Афганистана); а так же (3) проектирования, разработки, накопления, производства или использования ядерного, химического или биологического оружия или ракет.

В соответствии с данными знаниями, ваши вопросы касательно Debian рассматриваются ниже в том порядке, в котором они указаны в работе Сэма Хартмана (фрагменты из указанной работы помечены курсивом).

Исследование ПО для шифрования в главном архиве Debian

Сэм Хартман

Проект Debian

Debian — это свободная операционная система. На данный момент, по причинам, связанным с экспортом из США, Debian выделяет ПО для шифрования в отдельные архивы, находящиеся за пределами США. Этот документ объединяет вопросы, на которые нам необходимо ответить с точки зрения закона для того, чтобы объединить эти два архива.

О Debian

Debian — это группа отдельных людей, работающих для создания свободной операционной системы. Эти люди ответственны за решения, которые они принимают при работе над Debian. Не существует официальной организации Debian, в которой разработчики работают или принимают решения от имени организации. Имеется зарегистрированная некоммерческая организация «Software in Public Interest» (SPI), которая владеет деньгами и ресурсами Debian. По этой причине, принимаемые разработчиками решения, могут влиять на ресурсы, которыми владеет SPI, и, таким образом, влиять на SPI. Также ресурсы для Debian предоставляют различные спонсоры. Debian, в основном, зависит от спонсоров в плане предоставления сетевого доступа. Также имеются группы третьих лиц, которые копируют ПО Debian на зеркала для того, чтобы люди по всему свету могли скачивать и использовать его. Некоторые изготавливают и продают диски с Debian. Все эти группы могут в большей или меньше степени влиять на принятие решений для Debian. Мы хотим вести себя таким образом, при котором минимизируется ответственность для всех групп, и в пределах этих ограничений максимизировать значимость наших усилий.

Подобно остальным поставщикам операционных систем, нам необходимо включать в Debian ПО для шифрования. Данное ПО предоставляет защиту, позволяя пользователям заниматься интернет-коммерцией, и выполнять другие задачи, требующие шифрования. На сегодня, это ПО хранится на серверах за пределами США, которые известны как серверы за пределами США. На данный момент Debian не помогает разработчикам из США следовать правилам экспорта, если они загружают ПО на архивы вне США, и не запрещает им загрузку такого ПО. Мы хотели бы переместить ПО для шифрования с серверов вне США на наши главные серверы в США.

С увеличением доли сетевой работы (сетевого взаимодействия) и по причине, что всё больше и больше критических функций размещаются на вычислительных платформах, и из-за роста вандализма и преднамеренной злобы, безопасность становится всё более важным аспектом сетевого взаимодействия. Шифрование это важный камень преткновения большого числа процессов обеспечения безопасности. Любая ОС, которая не предпринимает усилий по плавному интегрированию шифрования, к сожалению, не конкурентоспособна.

Размещение всего ПО на одном источнике, и описание возможностей создания единого набора компакт-дисков, в которые интегрирована поддержка шифрования, упрощает работу поставщиков дисков, упрощает задачи разработчиков по загрузке ПО на эти сайты и упрощает задачи репликации репозиториев с ПО в Интернете.

Оставшаяся часть данного документа сфокусирована на основном сервере на территории США и на его зеркалировании и копировании по всему миру. Важно осознавать, что на текущий момент создана параллельная структура, занимающаяся серверами за пределами США.

Каждые несколько месяцев разработчики Debian выпускают новые официальные версии Debian. Это ПО делается доступным на главном (и для ПО для шифрования за пределами США) сервере для группы первичных серверов-зеркал по всему миру. Эти зеркала копируют ПО с главного сервера и делают его доступным для пользователей вторичных зеркал. Пользователи могут использовать HTTP, FTP или другие методы для получения ПО. Образы компакт-дисков становятся доступными для пользователей и торговых посредников. Эти образы могут быть записаны на физические компакт-диски отдельными людьми или теми, кто хочет продавать или раздавать Debian.

Кроме того, имеется два постоянно развивающихся выпуска Debian: тестируемый и нестабильный. Эти выпуски обновляются ежедневно разработчиками по всему миру. Как и официальные выпуски, эти выпуски делаются доступными на главном сервере и сервере за пределами США для первичных зеркал. Первичные зеркала делают ПО доступным через HTTP, FTP и другие методы для конечных пользователей и вторичных зеркал. Иногда из этих выпусков создаются образы компакт-дисков. Важное различие между этими развивающимися выпусками и официальным выпуском заключается в том, что они постоянно изменяются.

Зачастую, разработчики загружают исполняемые файлы и исходный код в одно и то же время. Однако, мы поддерживаем много различных типов компьютеров, каждый из которых требует свои исполняемые файлы для того же исходного кода. Большинство разработчиков делают исполняемые файлы только для одной поддерживаемой компьютерной архитектуры при загрузке изменённой программы. Затем запускается автоматизированный процесс, которые создаёт исполняемые файлы для других архитектур из загруженного исходного кода. По этой причине, некоторые исполняемые файлы для определённого исходного кода программы будут, скорее всего, загружены позже исходного кода.

Некоторые разработчики Debian также используют ресурсы Debian для работы над пока ещё не изданным ПО. Первичный ресурс, который удобен для данной задачи — это CVS-сервер Debian. Исходный код проектов на этом сервере почти всегда доступен публично, но может быть изменён много раз за день. CVS-сервер находится в США.

Однако большинство ПО Debian не разрабатывается непосредственно разработчиками Debian. Вместо этого ПО выпускается в публичный доступ группами третьих лиц. Некоторое ПО делается доступным публично на сайтах внутри США, тогда как другие авторы выпускают своё ПО на сайтах за пределами США. Разработчики Debian ответственны за интеграцию ПО в Debian. Как часть данной работы, множество разработчиков Debian работают совместно с авторами ПО, часто внося изменённый код в оригинальный выпуск.

ПО в Debian соответствует Критериям Debian по определению Свободного ПО (DFSG). Мы верим, что это ПО имеет публично доступный исходный код в соответствии с разделом 740.13(e) (EAR). Правила требуют, чтобы исходный код был распространяемым. DFSG косвенно требует, чтобы продукт, основанный на этом исходном коде, был предоставлен без взимания платы. Мы предоставляем весь исходный код Debian в качестве части наших выпусков. Другое ПО предоставляется в нашем несвободном архиве, но в этом документе мы концентрируем внимание на Свободном ПО в смысле DFSG. Мы заинтересованы в том, чтобы знать, в какой степени мы могли бы переместить несвободное в смысле DFSG ПО, для которого мы можем предоставить исходный код в США, но мы хотим быть уверены, что эти советы не будут путаться с советами о том, как работать со свободным в смысле DFSG ПО.

Разработчики Debian живут во множестве разных стран по всему миру. Очевидно, что некоторые из них являются жителями США, но остальные живут за пределами США. Некоторые могут быть жителями семи запрещённых в EAR (раздел 740.13(e)) стран.

Как было упомянуто ранее, у нас имеются зеркала по всему миру. Мы не имеем никаких официальных зеркал (зеркала, с которыми проект может быть связан) в любой из семи стран, указанных в EAR (раздел 740.13(e)). Хотя с тех пор как наше ПО публично доступно, оно может быть скопировано в эти страны. Большинство зеркал внутри США на данный момент зеркалируют только главный сервер (тот, на котором отсутствует ПО для шифрования), хотя некоторые зеркалируют оба: главный архив и архив за пределами США. Debian не несёт ответственности за зеркала в США, которые зеркалируют архив, размещённый за пределами США.

Наша цель

Мы хотим включить ПО для шифрования в наш основной архив. Мы хотим понять риски для разработчиков, пользователей, организации SPI, представителей зеркал, торговых поставщиков компакт-дисков, спонсоров и других групп, которые имеют отношение к Debian, чтобы мы могли принять взвешенное решение. Мы хотим иметь возможность документировать и опубликовать эти риски для того, чтобы эти группы не совершили преступление, игнорируя данный закон. Очевидно, мы также хотим избежать необоснованного риска.

В частности нам бы хотелось рассмотреть следующие виды деятельности:

Окончание преамбулы документа Debian

Я постараюсь отразить все эти цели в моих ответах на ваши вопросы. Подводя итог, я думаю что изначального уведомления должно хватить для текущего архива и его обновлений. Новое уведомление может понадобиться в том случае, если новая программа с шифрованием будет добавлена в архив. Дальнейшее распространение свободного ПО не требует дополнительного уведомления. В то же время, коммерческие версии ПО должны пройти техническую экспертизу, лицензирование и сообщить требуемые сведения, которые применяются к коммерческим продуктам. Предсказать будущее изменения законов или правил тяжело, но если закон изменится, вам потребуется отключить сайт или изменить его для соответствия требованиям. У вас нет необходимости информировать других субъектов об их юридических обязательствах, также если у вас имеется список часто задаваемых вопросов, я был бы рад предложить соответствующие ответы на них, которые вы бы могли предоставить.

Вопросы (каждый вопрос от Debian помечен буквой «D»)

D: Необходимо ли оповещать Бюро Управления Экспортом (BXA) о ПО, добавленном в выпуски?

Если оповещение составлено верно, и архив остаётся на том же месте, указанном в уведомлении, тогда вам необходимо сделать одно уведомление в BXA для изначального архива. Требуется только одно уведомление для одного сайта в США. Отдельных уведомлений о зеркалах на территории и за пределами США не требуется. Это уведомление должно быть повторено только в том случае, если вы добавили новую программу, использующую шифрование.

	Коммерческое отделение
	Бюро Управления Экспортом
	Офис стратегической торговли и внешнеполитических норм
	14-я улица и Пенсильвания Авеню
	Комната 2705
	Вашингтон, Округ Колумбия 20230

	Re: Уведомление о неограниченном исходном коде, содержащем элементы шифрования
	Продукт: Исходный код Debian

	Дорогой(ая) Сэр/Мадам
	В соответствии с параграфом (e)(1) части 740.13 Правил
	экспорта США («EAR», 15 CFR часть 730 и последующие) мы
	предоставляем данное письменное уведомление о нахождении в Интернет
	неограниченного, доступного публично исходного кода Debian. Исходный
	код Debian — это свободная операционная система, разработанная группой
	людей в общественных интересах, координируемая некоммерческой организацией
	«Software in the Public Interest». Этот архив обновляется время от времени,
	но расположение сайта является постоянным. Поэтому данное уведомление является
	единовременным и применяется также для последующих изменений, которые могут произойти в архиве.
	Для новых программ будут составлены отдельные дополнительные уведомления.
	Размещение исходного кода Debian в Интернет: https://www.debian.org.

	  Этот сайт зеркалируется на большое число других сайтов за пределами США.

	  Дубликат этого уведомления так же был отправлен Координатору запросов
	  шифрования (ENC), Абонентский ящик 246, Переход Аннаполиса, MD 20701-0246.

	  Если у вас возникнут вопросы, пожалуйста позвоните мне по номеру (xxx) xxx-xxxx

	Искренне ваш,
	  Имя
	  Должность

D: Какую информацию нам нужно включить в такое уведомление?

Черновой вариант, приведённый выше, включает всю информацию, которую вам необходимо включить в уведомление.

D: Как часто нам необходимо отсылать уведомления? Нам бы хотелось делать это как можно реже, так как это создаёт дополнительную работу как для нас, так и для правительства, но мы хотим делать это настолько часто, насколько это необходимо.

Как описано выше, и полагая что архив остаётся в сети Интернет по указанному в уведомлении адресу, вам не нужно составлять дополнительное уведомление для последующих обновлений. Уведомление следует подавать только в том случае, если вы добавили новую программу.

D: Если мы переместим ПО для шифрования в какую-то страну, а законы или правила изменятся на более ограничительные, что мы скорее всего потеряем? Необходимо ли уничтожить ПО или диски? Необходимо ли нам удалить ПО с основного и вторичных серверов? Если мы используем возросшую доступность ПО для шифрования для улучшения безопасности остальной системы, а законы о шифровании изменятся в худшую сторону, стоит ли нам удалить все копии данного ПО в США?

Дальнейшее развитие идёт в сторону увеличения либерализации контроля экспорта шифрования из США, а не увеличения ограничений. Эта тенденция появилась в последние десять лет, либерализация ускорилась в прошлом году. Мы не можем сказать что-то более точное до тех пор, пока не будут выпущены новые правила. В то же время, мы полагаем, что вы сохраните права на ПО, правда, возможно, с более ограниченными правами экспорта.

D: В порядке снижения предпочтений, мы хотели бы уведомить:

Я полагаю, что отправлять новое уведомление нужно только, если добавлена новая программа содержащая шифрование. Обновления к существующим программам должно покрываться тем уведомлением, которое приведено выше.

D: Новые пакеты входят в архив Debian через следующую последовательность шагов. На каком шаге необходимо подавать уведомление?

  1. Ведущий разработчик выпускает пакет как пакет с открытым кодом. Этот шаг пропускается в случае, если пакет является родным в Debian.
  2. Разработчик Debian создаёт пакет с исходным кодом и с исполняемыми файлами для Debian, в основном вместе с изменением исходников.
  3. Пакет загружается на главный FTP-сервер, входящий.
  4. Возникает ошибка при установке нового пакета в архив, потому что он новый.
  5. FTP-администраторы добавляют необходимую запись о пакете.
  6. Пакет устанавливается в архив в течении нескольких дней.
  7. Пакет копируется на зеркала.

Правила достаточно чётко говорят о том, что уведомление должно быть отправлено до, либо одновременно с размещением в публичном доступе. Прежде размещения в публичный доступ требуется иметь экспортную лицензию. Поэтому, если архив на шаге 3 не доступен публично, то либо пакет должен быть доступен публично до шага 3 (и уведомление должно быть отправлено), либо разработчикам Debian нужны будут экспортные лицензии.

D: Если автор главной ветки уведомил BXA, нужно ли уведомлять опять? (Создание пакета для Debian может потребовать внесение изменений в исходный код, к примеру, пути к файлам, а возможно и изменение функций, так как основной целью является создание рабочего кода для среды Debian с минимальными изменениями).

Если ведущий автор уведомил BXA, тогда нет необходимости уведомлять дополнительно.

D: Должны ли мы уведомлять, когда добавляются новые исполнительные файлы (объектный код), если мы уже уведомили об исходном коде?

Я не думаю, что необходимо составлять новое уведомление об объектном коде, если предоставлено уведомление об исходном коде.

D: Необходимо ли уведомление для приложений, не содержащих алгоритмов шифрования, но связанных с библиотеками для шифрования? И как быть в том случае когда программы запускают другие программы для выполнения операций шифрования?

До тех пор, пока программа является открытой (с открытым исходным кодом), она может содержать API для шифрования, и может быть квалифицирована как подходящая под License Exception TSU.

D: Новые программы могут быть легко проверены до их выпуска (и в то же время выслано уведомление), но когда происходит обновление, нет шагов выполняемых вручную, при которых возможно было бы осуществить уведомление. Будет ли приемлемым уведомлять BXA о каждом дополнительном программном продукте с пометкой о том, что дальнейшее обновление будет включать дополнение функционала шифрования?

Да, лишние уведомления не должны отправляться, если такая возможность имеется, но не должно быть недоуведомлённости. Будущие обновления существующих программ не требуют отдельного уведомления. Только новые программы требуют отдельного уведомления.

D: Можем ли мы автоматизировать процесс уведомления?

Да, автоматизировать процесс отправки уведомления возможно. Это внутренняя процедура. BXA и NSA не волнует как именно производится составление уведомления.

D: В какой форме должно быть составлено уведомление?

Уведомление для BXA может быть в электронном виде или в бумажном, уведомление для NSA должно быть в бумажном виде.

D: Кто должен посылать уведомления? К примеру, должны ли они быть гражданами США?

Любой человек может посылать уведомление, гражданство не играет роли.

D: Есть ли ещё какие-то сложности, которых мы должны остерегаться? Какие шаги мы должны совершать помимо уведомления?

Помимо уведомления вам также может понадобиться применение метода Reverse IP Lookup, который будет определять компьютер, с которого идёт запрос на скачивание, и который будет блокировать скачивание для стран, запрещённых США: Куба, Иран, Ирак, Ливия, Северная Корея, Сирия, Судан и оккупированная Талибаном часть Афганистана. Кроме того, вам может понадобиться дополнительное указание или отдельная страница перед скачиванием с уведомлением о следующем:

Это ПО находится под контролем экспорта США, который применяется к ПО с открытым исходным кодом, включающим шифрование. Debian отправил уведомление для BXA и NSA, которое требуется перед экспортом в соответствии с License Exception TSU Правил экспорта США. В соответствии с требованиями License Exception TSU, вы соглашаетесь и подтверждаете, что имеете право получить это ПО, что вы не находитесь в стране попадающей под запрет США, и вы не используете ПО для проектирования, разработки, хранения или использования ядерного, химического или биологического оружия или ракет прямым или косвенным образом. Собранный исполняемый код, который предоставлен как код с открытым исходным кодом, может быть переэкспортирован в соответствии с License Exception TSU. В то же время, требуется дополнительная техническая экспертиза и исполнение других требований, связанных с использованием или при включении данного кода в коммерческие продукты, до момента его экспорта из США. Для получения дополнительной информации вы можете обратиться на сайт: www.bxa.doc.gov.

D: На текущий момент пользователи по всему миру могут получить доступ и потенциально скачать то ПО, которое ожидает интеграции в архив, ПО будет находиться в состоянии ожидания уведомления. Будет ли это являться проблемой? Если так, будет ли приемлемым настроить отдельную очередь ПО для шифрования, ожидающего интеграции в архив, так, чтобы это ПО было доступно только для наших разработчиков? В порядке включения ПО в наш дистрибутив разработчикам, чаще всего находящимся за пределами США, необходимо проверить ПО и убедиться в том, что оно соответствует определённым требованиям. Как мы должны обеспечить доступ в таком случае? Имеются ли другие решения для такой зоны предуведомления, которые мы могли бы рассмотреть?

Одна проблема, с которой мы часто сталкиваемся — это патент на ПО. Интеграция шифрования в ПО не решает каких-либо проблем с патентами, о которых мы обычно задумываемся. Тем не менее, существуют ли какие-либо новые проблемы, которые нам необходимо рассмотреть касательно патентов, которые связаны с правилами экспорта элементов шифрования? Кажется, что для освобождения от TSU (раздел 740.13 EAR), патенты не влияют на то, является ли исходный код публичным.

Необходимо понимать различия между архивом, попадающим под уведомление, и новыми программами. Вы можете обновить архив, попадающий под уведомление без последующего уведомления, как описано выше. Только о новых программах должны быть составлены отдельные уведомления перед размещением. Если новые программы должны пройти экспертизу разработчиками до размещения, и такое ПО не является публично доступным и о нём ещё не было уведомления, тогда я рекомендую вам получить лицензию на экспорт, разрешающую данную ограниченную предуведомительную экспертизу. Вы совершенно правы в том, что патенты не делают ПО неприемлемым для экспорта под License Exception TSU.

D: Распространение, зеркалирование и компакт-диски

Необходимо ли зеркалам на территории США уведомлять BXA, если мы добавляем элементы шифрования в наш архив? Нам хотелось бы избежать ситуации, при которой зеркала должны отсылать уведомление о каждой новой программе, которую Debian добавляет в архив, даже если основному серверу необходимо посылать такие уведомления. Нам необходимо, чтобы операции зеркалирования были просты для операторов зеркал. Что в таком случае должны делать зеркала за пределами США?

Если мы посылаем обновление зеркалу вместо того, чтобы дожидаться пока оно скачает ПО, требуется ли нам совершать ряд каких-то дополнительных шагов? Что если мы посылаем запрос зеркалу о том, чтобы оно скачало обновления или новое ПО с сервера?

Если уведомление было составлено для центрального сервера, составление дополнительных уведомлений для сайтов-зеркал не требуется.

D: Какой из следующих поставщиков (если таковой имеется) сможет поставлять неизменённые исполняемые файлы (и исходный код) Debian с уведомлением? Какой из них требует экспертизы и одобрения? Может ли экспертиза выполняться одновременно с поставкой или одобрение предшествуют поставке?

A) Почтовый заказ доставки компакт-дисков по стоимости носителя?
B) Почтовый заказ доставки компакт-дисков ради прибыли?
C) Продажи в магазине по стоимости носителя?
D) Продажи в магазине ради прибыли?
E) Поставщики, предоставляющие диски в соответствии с пунктами A или C выше вместе с аппаратным обеспечением. Аппаратное обеспечение продано ради прибыли, но без предустановки?
F) Пункт E, но с предустановленным ПО?
G) Любой выше описанный пункт, продажа поддержки для ПО?

Если так проще, то вот другой способ взглянуть на это: какие условия должны быть соблюдены, для того, чтобы поставщики могли поставлять исполняемые файлы под License Exception TSU, и какие расходы разрешено поставщику покрывать для возврата стоимости и/или продажи ради прибыли?

Разумное и обыкновенное вознаграждение за перевыпуск и распространение разрешены, но не лицензионные сборы или рояльти. Поддержка также разрешена, с условием тех же ограничений, что описаны выше.

D: Если проведена однократная экспертиза, необходимая для неизменённых исполняемых файлов поставляемых ради прибыли, может ли это давать разрешение остальным поставщикам поставлять неизменённые исполняемые файлы?

Производится однократная экспертиза продукта, она не зависит от поставщиков.

D: Будет ли допустимым создание официального зеркала в стране, запрещённой в EAR раздел 740.13(e)?

Вам потребуется подать заявку на лицензию для того, чтобы создать официальное зеркало в запрещённой стране.

D: Если технически невозможно блокировать доступ из запрещённых стран к серверам веб (или FTP и т.д.), требуется ли для этой экспертизы применение решительных мер? Имела ли место ранее общественная практика подобного рода экспертиз?

Де факто промышленного стандарта будет достаточно. Я надеюсь, что правительство осознаёт тот факт, что любая система может быть взломана при достаточном количестве усилий.

D: Какие шаги нам следует предпринять в том случае, если мы получим предупреждение, что кто-то из этих стран производит скачивание с зеркала, находящегося на территории США? Что если мы осведомлены о том, что кто-то из этих стран скачивает с зеркал за пределами США?

Некоторые из наших разработчиков могут быть гражданами этих семи запрещённых стран. Будет ли проблемой для данных разработчиков иметь доступ к нашему ПО для шифрования на наших машинах? Должны ли мы просить их не скачивать такое ПО? Какие шаги мы должны предпринять, если мы будем осведомлены о том, что они скачивают ПО для шифрования?

Простое размещение ПО для шифрования на сервере, к которому имеется доступ из запрещённых стран, не означает что данное ПО было экспортировано туда. Поэтому уголовная ответственность не будет применена по факту размещения этого ПО. Мы рекомендуем проводить проверку IP и отказывать в запросах на скачивание из этих стран. Также это должно помочь избежать гражданско-правовой ответственности. Если вы выясните что ваше ПО было скачано в запрещённом направлении, тогда я рекомендую чтобы вы заблокировали возможность для скачивания в будущем для конкретного сайта до тех пор, пока вы не получите лицензию от BXA.

Debian благодарит Hewlett-Packard Linux Systems Operation за их помощь в получении данного правового мнения.