Je lisais l'histoire du logiciel de cryptage PGP quand j'ai réalisé que son créateur faisait l'objet de poursuites pénales pour munitions exportation sans licence pour avoir publié le code source de PGP.
Qu'est-ce qui était si dangereux avec PGP à ce moment-là que c'était une infraction à la loi? Je veux dire, PGP n'est qu'un algorithme de chiffrement et de déchiffrement; Qu'est-ce que j'oublie ici?
Le PGP était considéré comme dangereux car il aurait pu permettre aux espions soviétiques et aux officiers militaires de planifier l'annihilation nucléaire du monde occidental sans que la CIA ne se rende compte de ce qui se passe avant qu'il ne soit trop tard.
Il est temps pour un peu d'histoire.
Pendant la Seconde Guerre mondiale, l'importance de la cryptographie à des fins militaires est devenue évidente. Être capable de pirater la cryptographie ennemie tout en ayant pour soi des systèmes de cryptographie qui ne peuvent pas être piratés s'est avéré être un facteur militaire important pouvant entraîner la victoire ou la défaite.
Lors de la course aux armements universelle qui a suivi pendant la guerre froide, toutes les parties en étaient conscientes. Avoir le dessus sur la technologie cryptographique de l'autre côté était considéré comme un facteur stratégique qui pourrait inverser le cours d'une autre guerre mondiale. Cela signifiait que tout transfert de connaissances du savoir-faire en cryptographie du monde occidental vers le monde oriental devait être empêché.
En raison de cette doctrine, la technologie cryptographique a été considérée comme ayant une valeur militaire et a donc été classée dans la catégorie XIII de la liste des munitions des États-Unis. Cela signifiait que tout support de stockage de données contenant des logiciels cryptographiques était légalement considéré comme des munitions réelles lorsqu'il s'agissait de les déplacer à travers les frontières.
Du point de vue d'aujourd'hui, il peut sembler absurde d'essayer de contenir la connaissance par le biais de restrictions à l'exportation conçues pour les biens physiques , mais il correspondait au point de vue isolationniste des stratèges militaires de l'ère de la guerre froide. Souvenez-vous également que c'était dans les années 70, bien avant l'ère d'Internet. C'était des décennies avant l'époque où vous pouviez obtenir n'importe quel logiciel dans le monde via Internet via votre site Web de piratage préféré. Obtenir un logiciel de l'ordinateur A à l'ordinateur B signifiait généralement de le placer sur un support physique comme une disquette, une bande magnétique ou (encore plus tôt) des cartes perforées, et le mouvement de ces supports physiques à travers les frontières semblait contrôlable (au moins en théorie).
La technologie a marché. Dans les années 80, les premiers réseaux informatiques internationaux ont vu le jour et la communauté des hackers a commencé à prospérer. Le monde est devenu de plus en plus interconnecté et il est vite devenu évident que contenir les connaissances à l'intérieur des frontières géographiques était un exercice futile. Mais comme d'habitude, la politique et les lois n'ont pas suivi l'innovation technique, donc lorsque PGP a émergé dans les années 90, il était toujours soumis aux lois de l'ère de la guerre froide concernant l'exportation de cryptographie. Les algorithmes utilisés étaient des secrets ouverts, accessibles à toute personne dans le monde capable d'acheter un modem et de passer des appels téléphoniques longue distance. Les pirates les tatouaient sur leur corps pour ridiculiser les restrictions d'exportation de la cryptographie. Mais en tant qu'entreprise commerciale, PGP a dû jouer le jeu et trouver une faille sous la forme de l'exportation de son code source sous forme imprimée et de le retranscrire.
Bien que les restrictions sur la technologie cryptographique aient été assouplies au cours des dernières décennies, certaines d'entre elles sont toujours en place .
Pendant longtemps, la cryptographie a été utilisée par les espions et les armées, et était faible, et une grande partie de la faiblesse a été provisoirement corrigée en gardant les algorithmes et les méthodes aussi secrets que possible. C'est la sécurité par l'obscurité , ce qui est MAUVAIS, mais, pour être honnête, les algorithmes de l'ère pré-informatique étaient si faibles qu'ils étaient nécessaires secret; la sécurité par l'obscurité était ce qu'il y avait de mieux à espérer.
De cela découle un système strict de contrôle des personnes pouvant accéder à la technologie cryptographique. Étant donné que les États-Unis ont ces astuces appelées "droits constitutionnels", y compris la "liberté d'expression", le mieux que le gouvernement américain pouvait faire était de resserrer les choses à la frontière, c'est-à-dire les réglementations à l'exportation.
Le domaine de la cryptographie a beaucoup changé avec l'avènement des ordinateurs et de la recherche publique, en particulier dans les années 1970 et 1980. La réglementation, cependant, était à la traîne, et les militaires se tenaient fermement à des règles strictes parce que s'il y a quelque chose que les armées savent faire, c'est de maintenir l'immobilité à tout prix.
Par conséquent, lorsque Zimmerman a essayé de pousser le PGP et de l'exporter, ils sont tous tombés sur sa peau, par pur conservatisme. L'affaire a été aggravée par la position de Phil Zimmerman, qui était ouvertement hostile au gouvernement fédéral, aux militaires, à la NSA et à presque tous ceux qui font preuve de la moindre organisation. Il est allé se battre; il l'a eu.
Il est illégal d'exporter un cryptage symétrique 128 bits ou certains niveaux d'asymétrie. PGP a dépassé ces limites. Ces lois de contrôle des exportations sont la raison pour laquelle certaines entreprises de sécurité ont des équipes de salle blanche qui construisent un cryptage fort sans qu'aucun employé formé aux États-Unis ne travaille dans l'équipe.
Techniquement, si vous avez découvert le cryptage haute résistance aux États-Unis, vous n'êtes pas autorisé à exporter ou utiliser ces connaissances dans certains pays.
Il est considéré comme des munitions car il peut être utilisé pour protéger des informations pendant une guerre.
Selon Wikipedia les Arms Export Control Acts autorisaient (dans les années 1990) uniquement la cryptographie faible à exporter en dehors des États-Unis.
Bien à l'époque, même certains ordinateurs commerciaux de niveau personnel avaient des restrictions à l'exportation en raison de la guerre froide et de la crainte d'un transfert de technologie illégal vers l'ennemi, mais la réalité est que les Soviétiques avaient un réseau incroyablement élaboré utilisé pour se procurer des technologies étrangères, laissez seuls protègent les leurs.
D'aller directement à la source et de soudoyer des techniciens et des cadres dans presque tous les secteurs jusqu'à envoyer quelqu'un dans un magasin et le faire passer à l'étranger, comme ils l'ont fait avec les premiers Mac (la taille a beaucoup aidé!)
On sait par exemple que l'URSS a créé un réseau de fausses banques et sociétés pour acquérir des startups dans la Silicon Valley afin qu'elles puissent avoir un accès total et direct à toutes les données.
Ce qui est arrivé avec PGP était l'idée du bureaucrate stupide de prévenir une catastrophe, au moment où ils ont réalisé le problème avec PGP, le KGP avait probablement déjà envoyé tous les matériaux à la maison pour analyse.