Actualización : por alguna razón me perdí el “por qué” en la pregunta y simplemente respondí “es ilegal …”. Agregaré una respuesta de “por qué” en la parte inferior.
Depende.
Asumiré que está hablando de exportación desde los EE. UU., Y luego depende de la naturaleza de la tecnología criptográfica. Los detalles de la categorización están “detallados” en la Parte 2 de la Categoría 5 del Reglamento de la Administración de Exportaciones de los Estados Unidos [1].
- ¿Qué debe hacer después de notar que su Yahoo! Se accedió al correo desde Bakersfield (cuando no vives en Bakersfield) y de repente hay un montón de direcciones extrañas en tus contactos de Messenger.
- ¿Por qué la recuperación de la cuenta de autenticación de dos factores, por parte de Apple, no se puede hacer usando un correo electrónico de recuperación?
- ¿Es posible que un hacker realice un ataque de DOS en un canal satelital de televisión a través de Internet?
- ¿Hay algunos investigadores privados que usan Internet como su única herramienta de investigación? ¿Que tan bien funciona eso?
- Alguien está ejecutando un script y tomando datos de nuestro servidor. ¿Qué debemos hacer? Ya hemos encontrado la dirección IP y la hemos incluido en la lista negra.
En su mayor parte, la mayoría de las cosas son exportables a todas partes, excepto las exportaciones a Cuba, Irán, Corea del Norte, Sudán y Siria. También hay restricciones a la exportación a partes controladas por Rusia de Ucrania. (Al menos la última vez que encontré la lista, pero eso fue hace aproximadamente un año, y las cosas pueden haber cambiado allí).
Pero determinar la categorización de cualquier tecnología en particular puede ser muy complicado. Si no está claro de inmediato en qué categoría pertenece su producto, le recomiendo consultar con un abogado.
En los viejos tiempos (1980, 1990) era ilegal exportar desde los Estados Unidos cualquier tecnología de cifrado con una potencia efectiva de más de 40 bits. Afortunadamente, esos requisitos ya no están vigentes.
¿Por qué?
A los gobiernos no les gusta “oscurecerse”. Es decir, quieren poder espiar la comunicación de otros (aunque no les gusta que espíen su propia comunicación). Hasta aproximadamente el año 2000, el gobierno de los Estados Unidos pensó que podría lograr esto mejor a través de algunas regulaciones de exportación absurdamente restrictivas. Pero las regulaciones no estaban teniendo el efecto deseado (ya existían herramientas criptográficas sólidas en el mundo), y las restricciones dañaron a las empresas estadounidenses. Nadie fuera de los EE. UU. Quería “exportar criptografía”.
Como hemos aprendido de algunos de los lanzamientos de Snowden, en particular BULLRUN [2], el gobierno de EE. UU. Tomó un rumbo diferente después de renunciar a la mayoría de los controles de exportación. Trabajó para socavar activa y sigilosamente la seguridad de las herramientas en las que todos (incluidos los ciudadanos estadounidenses) confían para su propia seguridad.
PD: No tengo ningún problema con que la NSA intente encontrar y utilizar puntos débiles en los sistemas de cifrado. Ese es su trabajo. Me opongo enérgicamente a que intenten debilitar los sistemas que todos usan.
Notas al pie
[1] https://www.bis.doc.gov/index.ph…
[2] Bullrun (programa de descifrado) – Wikipedia
