Legalnie czy nie legalnie?

Ze względu na to, że kryptografia jest dziedziną wiedzy, która znajduje się w zainteresowaniu organów państwowych, jej wykorzystanie i rozpowszechnianie może być (i często jest) regulowane prawem. Jest to chyba zrozumiałe. Sytuacja jest tu podobna, jak w wypadku wyrobu i sprzedaży broni. Można oczywiście zadać pytanie, co państwo ma do tego, czy ktoś szyfruje list, czy nie.

Przesyłanie informacji było i jest newralgiczne dla funkcjonowania wielu instytucji i organizacji, również obcych służb wywiadowczych i organizacji przestępczych. Dlatego w niektórych państwach - jak Francja - jest wręcz wymagane prawem, by użytkownik kryptografii uzyskał na to zezwolenie. W innych - jak Rosja - nie zezwala się na przywóz, a więc pośrednio i na używanie obcych urządzeń szyfrowych. Jeśli bank lub firma chcą założyć w Rosji własne systemy ochrony danych, muszą ubiegać się o zgodę FAPSI - odpowiedniej instytucji państwowej. Wiele państw - jak USA - próbuje wprowadzić normy kryptografii kontrolowanej, tzw. Key escrow cryptography. Są one tak skonstruowane (na przykładzie amerykańskiej normy federalnej Escrowed Encryption Standard, potocznie znanej pod nazwą Clipper Chip), że pewne zaufane organy państwowe dysponują kluczami pozwalającymi odszyfrować wiadomości zaszyfrowane i przesyłane między użytkownikami takiego standardu. Organizacyjnie prawne i techniczne zbudowanie takiego standardu jest proste. Możliwość odszyfrowania musi być zapewniona niezależnie od faktu szyfrowania każdej wiadomości innym kluczem sesyjnym. Każdy moduł kryptograficzny przed wejściem na rynek musi trafić do uprawnionej instytucji w celu wprowadzenia do niego dodatkowych informacji. Ponadto należy rozwiązać problemy prawne - jakie organy państwowe i w jaki sposób mogą wykorzystywać uzyskane na tej drodze podsłuchu informacje.

Podobna inicjatywa zyskała poparcie Rady Europy (której Polska jest członkiem). W Uchwale nr R(95)13 z września 1995 r. Zaleca ona państwom członkowskim dążenie do wdrażania u siebie kryptografii kontrolowanej. Jest to powodowane obawami przed coraz szerszym stosowaniem utajniania informacji przez międzynarodowe organizacje terrorystyczne i przestępcze, grupy handlarzy narkotyków, broni, pornografii dziecięcej itp. Wywołuje jednak sprzeciw zwykłych konsumentów kryptografii, korzystających z niej do celów zgodnych z prawem.

Innym często stosowanym przez rządy mechanizmem ograniczania popularności rozwiązań utajniających jest kontrola obrotu urządzeniami lub programami kryptograficznymi, w tym konieczność starania się o trudne do uzyskania zezwolenia na eksport lub import. Znanym przykładem są Stany Zjednoczone, gdzie od lat toczy się debata między rządem a producentami na temat tzw. licencji eksportowych.

W Polsce obecnie jedyną instytucją kontrolującą obrót urządzeniami kryptograficznymi jest Ministerstwo Współpracy Gospodarczej z Zagranicą. Działa ono opierając się na międzynarodowych umowach podpisanych przez Polskę, w których zobowiązujemy się do uczestnictwa w kontroli obrotu tzw. towarami o przeznaczeniu specjalnym, w tym i kryptografią. Sprowadza się to praktycznie do ewidencji wszystkich urządzeń szyfrujących i oprogramowania w celu niedopuszczenia do ich wywozu do krajów, których w tej dziedzinie dotyczy embargo. Nie ma to na celu jakiegokolwiek ograniczania wwozu, sprzedaży i kupowania tych akcesoriów przez instytucje, firmy i obywateli polskich. Dealer przed wwiezieniem tych akcesoriów do kraju (często po uzyskaniu przez władze kraju producenta certyfikatu wywozowego) występuje do MWGzZ o zezwolenie przywozowe lub potwierdzenie certyfikatu wywozowego. Warunkiem uzyskania tego pozwolenia jest określenie ostatecznego użytkownika - nabywcy kryptografii.

Podobnie - produkując i wywożąc urządzenia bądź oprogramowanie z kraju, należy uzyskać na nie od MWGzZ certyfikat wywozowy. Warunkiem jego uzyskania jest również określenie ostatecznego użytkownika - tym razem za granicą.

Podstawą prawną powyższych działań jest ustawa o zasadach szczególnej kontroli obrotu z zagranicą towarami i technologiami w związku z porozumieniami i zobowiązaniami międzynarodowymi (Dz. U. 129 poz. 598 z 24.12.1993 r.) i zarządzenie Ministra Współpracy Gospodarczej z Zagranicą z dn. 21.12.1995 r. z załącznikiem (M. P. 15 z 05.03.96 r.), zawierającym wykaz towarów i technologii o tzw. podwójnym przeznaczeniu (cywilnym, ale mogącym znaleźć zastosowanie militarne). Przepisy te nie są do końca precyzyjne. Nie regulują sprawy użytkowania urządzeń i oprogramowania szyfrującego, które zostało zakupione przed wprowadzeniem ustawy. Celowe byłoby tu wprowadzenie - wzorem ustawy o Prawie autorskim - instytucji abolicji. Ponadto dyskusyjne jest traktowanie oprogramowania. W myśl przepisów, jeśli jedynym celem programu jest ochrona danych i nie jest to program ogólnie dostępny w sprzedaży detalicznej, to zezwolenie jest wymagane. W innym przypadku nie jest konieczne. Tymczasem niektóre pakiety programowe - biurowe, komunikacyjne, zawierają rozbudowane opcje ochrony danych. Przykładem jest tu pakiet Lotus Notes stosujący do szyfrowania poczty elektronicznej, w zależności od wersji, różne algorytmy kryptograficzne. W myśl międzynarodowych i polskich przepisów program ten nie podlega obowiązkowi uzyskiwania zezwolenia przywozowego.