Hallo, anbei die deutsche Ueberetzung von cryptomain[1], um deren Uebersetzung wir(?) gebeten hatten[2]. Da das Dokument etwas laenglich ist und einge Menge rechtlicher Fragen behandelt, wollte ich es hier zur Korrektur stellen, bevor ich es naechste Woche dann in das Web-CVS schreibe. Vielen Dank fuer alle Korrektur- und Verbesserungsvorschlaege. Viele Gruese Helge [1] http://www.debian.org/legal/cryptoinmain [2] http://www.debian.org/international/German/ -- Dr. Helge Kreutzmann debian@helgefjell.de Dipl.-Phys. http://www.helgefjell.de/debian.php 64bit GNU powered gpg signed mail preferred Help keep free software "libre": http://www.ffii.de/
#use wml::debian::template title="Untersuchung �ryptographische Software im �Main�-Archiv von Debian" BARETITLE=true #use wml::debian::acronyms # Nota bene! This is basically draft text from the lawyers, and it must # _not_ be modified for spelling errors and such. Formatting changes are # fine (I think). -- Joy <p><strong>Anmerkung des �ersetzers:</strong> Obwohl diese �ersetzung mit Sorgfalt erstellt wurde, ist nur der <a href="cryptoinmain.en.html">englische Originaltext dieser Untersuchung</a> verbindlich.</p> <table width="100%" summary="mail headers"> <colgroup span="2"> <col width="10%"> <col> </colgroup> <tr><td>An:</td> <td><a href="http://www.spi-inc.org/">Software in the Public Interest</a>, <a href="http://www.debian.org/">Debian-Projekt</a></td></tr> <tr><td>Von:</td> <td>Roszel C. Thomsen II, Partner, <a href="http://www.t-b.com/">Thomsen & Burke LLP</a></td></tr> <tr><td>Datum:</td> <td>31. Juli 2001</td></tr> <tr><td>Re:</td> <td>Untersuchung �ryptographische Software im <q>Main</q>-Archiv von Debian</td></tr> </table> <p>Vielen Dank f�se M�chkeit, Kommentare zu Sam Hartmans Wei�uch mit dem Titel <q lang="en">Exploring Cryptographic Software in Debian's Main Archive</q> abzugeben.</p> <p>Wir stellen diese Informationen als allgemeine Richtlinien f� bereit. BXA verlangt, dass jede Einheit, die Exporte durchf�sich mit ihren best�genden Auflagen – die in den Exportadministrationsregulierungen beschrieben sind – vertraut macht und diese einh�. Beachten Sie bitte, dass sich diese Regelungen �ern k�n. Wir empfehlen, dass Sie eine Rechtsauskunft einholen, wenn Sie zu exportieren versuchen wollen. Zus�lich k�e der Import von Verschl�ng in einigen L�ern beschr�t sein. Wir empfehlen, dass Sie in den betroffenen L�ern Rechtsauskunft einholen oder Kontakt zu den betroffenen Regierungsorganisationen in diesen L�ern aufnehmen.</p> <p>Als Hintergrundinformation: Der Export kryptographischer Software aus den Vereinigten Staaten wid durch die United States Export-Administration-Regulierungen (<q>EAR</q> 15 CFR Teil 730 ff.), betrieben durch die Export-Administration des Handelsministeriums (<q><acronym lang="en" title="Bureau of Export Administration">\ BXA</acronym></q>) geregelt. BXA �beitete die vorhergehenden Regelungen des EARs bez� kryptographischer Software zu letzt am 19. Oktober 2000. Ich beziehe mich auf diese <q>neue US-Regularien</q>, um sie von vorhergehenden, restriktiveren Regularien zu unterscheiden.</p> <p>Als die Clinton-Administraton nach Washington kam, wurde der Export von Verschl�ngsgegenst�en aus den Vereinigten Staaten als <q>Munition</q> unter der Waffenexportkontrolle-Verordnung und den internationalen Waffenhandel-Regularien geregelt. Die meisten Antr� auf Exportlizenz f� starke Verschl�ng wurden abgelehnt. Die Industrie und �ntliche Interessensgruppen betrieben Lobby-Arbeit zur Liberalisierung und die Clinton-Administration reformierte die veralteten US-Exportkontrollen f� Verschl�ngsgegenst�e in einer Serie von graduellen Schritten, was in die neue US-Regulierungen gipfelte. Die neue Bush-Administration denkt � weitere Liberalisierungen nach, die im Laufe des Jahres ver�ntlicht werden k�en.</p> <p>Trotz dieser Lieberalisierungen bleiben die US-Exportregelungen bez� kommerziellen Verschl�ngsgegenst�e komplex und fehlertr�tig. Amerikanische Firmen m�vor dem Export von Verschl�ngsgegenst�en diese zur technischen Begutachtung bei den Nachrichtendiensten einreichen. Exporte an einige Beh�n ausl�ischer Regierungen ben�en Lizenzen, wie auch bei Exporten an Telekommunikations- und Internetdiensteanbieter, die Dienste bestimmten Regierungsbeh�n bereitstellen wollen. Schlie�ich sind f�le Exporte auch nach dem Export aus den Vereinigten Staaten Berichtsanforderungen zu erf� Daher legen die Verschl�ngsexportkontrollen der USA weiterhin eine signifikante Last auf amerikanische Firmen und schr�en den weltweiten Einsatz starker Kryptographie in kommerziellen Software-Programmen ein.</p> <p>Nicht alle Software-Programme mit Verschl�ng sind allerdings kommerzielle Produkte. F�cke des EARS fallen kryptographische Quellcodekontrollen in drei Kategorieren: (a) Open Source, (b) Gemeinschaftsqullen und (c) propriet� Quellen. Die Regeln, die die einzelnen Arten des Quellcodes regeln, sind verschieden, und sie wurden in wichtigen Gesichtspunkten in Bezug auf die neue US-Regulierung erg�t.</p> <p>Open Source bezieht sich auf Software, die ohne Einschr�ung unter einer GNU-artigen Lizenz kostenlos f� �fentlichkeit verf�ist. Debian scheint in diese Kategorie zu fallen. Die alte Regulierung erlaubte den Export von Open Source ohne technische Begutachtung an jeden Endbenutzer unter der Voraussetzung, dass die Person, die die Open Source-Software bereitstellte, zeitgleich eine Benachrichtigung an die BXA und die National Security Agency (<q>NSA</q>) einreichte. Allerdings schwieg sich die alte Regulierung in Bezug auf die Einschr�ungen (falls vorhanden) f� Export von aus Open Source �tzter Software aus.</p> <p>Unter der neuen US-Regulierung ist nicht nur Open Source sondern auch daraus �tzte ausf�e Software zum Export unter den gleichen Bedingungen wie Open Source selbst berechtigt, vorausgesetzt, dass die �tzte Software unter den gleichen Bedingungen wie die Open Source selbst ohne Einschr�ungen und kostenlos verf�ist. Falls Sie die �tzte Software zu einem Produkt hinzuf�das Sie gegen Bezahlung vertreiben, gelten ungl�herweise f� entstandene Produkt alle Regeln, die auch f�merzielle Software-Programme gelten. Beispielsweise m�sie bei der BXA und NSA f�e einmalige technische Begutachtung eingereicht werden, wie dies oben beschrieben ist.</p> <p>Gemeinschaftsquellen beziehen sich auf Software, die der �fentlichkeit kostenlos f�ht-kommerzielle Verwendung zur Verf�steht, die aber weiteren Einschr�ungen f� kommerziellen Einsatz unterliegt. Gemeinschaftsquellen k�n im Prinzip unter den gleichen Bedingungen wie Open Source exportiert werden, allerdings unterliegen Gemeinschaftsquellen detailierteren Berichtsanforderungen.</p> <p>Properit� Quellen beziehen sich auf allen Quellcode, der weder <q>Open Source</q> noch <q>Gemeinschftsquellen</q> ist. Exporteure d� properit�n Quellcode zu jedem Endbenutzer in der EU in seinen Partnern sowie jedem nicht-Regierungs-Endbenutzer in jedem anderen Land bereitstellen, sobald Sie die technischen Begutachtung bei der BXA und NSA angemeldet haben. Die Berichtsanforderungen f�einschaftsquellen gelten auch f� properit� Quellen.</p> <p>Bitte beachten Sie, dass Personen in den USA, die auf Sites au�rhalb der USA ver�ntlichen k�n, unter die US-Gesetzgebung fallen, selbst falls sie dies in ihrer pers�chen Kompetenz tun. Daher sollten Sie Personen in den USA warnen, dass ihre Ver�ntlichung auf dem aktuellen Krypto-Server au�rhalb der USA dennoch unter die US-Regulierungen f�t.</p> <p>Schlie�ich sollten Sie beachten, dass eine Kernmenge an US-Exportkontrollen auf alle Exporte von Open Source-Kryptosoftware aus den Vereinigten Staaten zutrifft. Im Kern verbieten diese Kontrollen den Export von Open Source-Kryptosoftware unter der <q>License Exception TSU</q> an (1) verbotene Gesellschaften (aufgef�nter <a href="http://www.bxa.doc.gov/DPL/Default.shtm">\ http://www.bxa.doc.gov/DPL/Default.shtm</a>), (2) verbotene L�er (derzeit Kuba, Iran, Irak, Libyen, Nord Korea, Sudan, Syrien und das von den Taliban besetzte Afghanistan) und (3) Design, Entwicklung, Bevorratung, Produktion oder Verwendung nuklearer, chemischer oder biologischer Waffen oder Raketen.</p> <p>Mit diesem Hintergrund werden Ihre speziellen Fragen im Hinblick auf Debian in der Reihenfolge beantwortet werden, in der sie im Wei�uch von Sam Hartman (hier in kursiv) auftauchen,</p> <hr /> <h2><i>Untersuchung �ryptographische Software im <q>Main</q>-Archiv von Debian</i></h2> <p><i>Sam Hartman</i></p> <p><i>Debian-Projekt</i></p> <hrline /> <p style="margin-left: 2em"> <i>Debian ist ein Freies Betriebssystem. Derzeit trennt Debian aus Gr� des US-Exports die kryptographische Software in ein separates Archiv ab, das sich au�rhalb der USA befindet. Dieses Dokument fasst die Fragen zusammen, deren Beantwortung aus rechtlicher Sicht wir ben�ten, um diese zwei Archive zusammenzufassen.</i></p> <hrline /> <h3><i>�er Debian</i></h3> <p><i>Debian ist eine Gruppe von Einzelpersonen, die an der Erstellung eines Freien Betriebssystems arbeiten. Diese Einzelpersonen sind f� Entscheidungen, die sie w�end der Arbeit an Debian treffen, verantwortlich; es gibt keine rechtsf�ge Organisation <q>Debian</q> f�die die Entwickler arbeiten oder f� sie Entscheidungen treffen. Es gibt eine eingetragene gemeinn� Organisation, Software in the Public Interest (SPI), die f�ian Geld und Ressourcen verwaltet. Daher k�n Entscheidungen der Entwickler Einflu�auf die Ressourcen von SPI haben und daher SPI betreffen. Verschiedene F�r besitzen andere Debian-Ressourcen. Debian h�t im allgemeinen von Sponsoren f�zanbindung ab. Es gibt auch externe Gruppen, die die Debian-Software auf Spiegel kopiert, so dass Personen aus der ganzen Welt sie herunterladen und verwenden k�n. Andere erstellen und verkaufen CDs mit Debian. Alle diese Gruppen k�en zu einem gr�en oder kleineren Umfang haftbar f� Entscheidungen von Debian sein. Wir wollen uns derart verhalten, dass die Haftung f�e Parteien minimiert, und innerhalb dieser Randbedingungen der Wert unserer Bem�n maximiert wird.</i></p> <p><i>Wie alle Betriebssystemh�ler muss Debian kryptographische Software aufnehmen. Diese Software stellt Sicherheit bereit, erlaubt es den Benutzern, am Internet-Handel teilzunehmen und f�ndere Aufgaben durch, die Kryptographie ben�en. Heute wird diese Software auf einem Server au�rhalb der Vereinigten Staaten gespeichert, der als <q>non-US Server</q> bekannt ist. Derzeit unternimmt Debian nichts, um die US-Entwickler beim Erf�der Exportregularien zu unterst�oder sie am Hochladen von Software zu hindern. Wir m�en kryptographische Software von dem non-US-Server auf unseren Hauptserver in den USA verschieben.</i></p> <p><i>Mit der zunehmend vernetzten Art der Arbeit und der Tatsache, dass mehr und mehr kritische Funktionen auf Rechnerplattformen verlagert werden und dem ungl�hen Wachstum von Unheil und vors�licher B�llligkeit wird Sicherheit zunehmend wichtig. Kryptographie ist ein wichtiger Eckpfeiler f�eine Reihe von Sicherheitsprozessen. Alle Betriebssysteme, die keinen Versuch der nahtlosen Integration der Kryptographie unternehmen, sind wahrscheinlich nicht wettbewerbsf�g.</i></p> <p><i>Alle Software in eine einzige Quelle zu verlagern und der damit einhergehenden M�chkeit, ein einzelnen CD-Satz zu erstellen, der �ntegrierte kryptographische Unterst� verf�rleichtert den Umgang sowohl den Benutzern wie auch den CD-H�lern und vereinfacht die Arbeit der Entwickler beim Hochladen von Software zu diesen Sites sowie die Replizierung der Software-Depots �as Internet.</i></p> <p><i>Der Rest dieses Dokument konzentriert sich auf den Hauptserver in den USA und seinen Spiegeln und Kopien rund um die Welt. Es ist wichtig, zu erkennen, dass derzeit eine parallele Struktur zum Umgang mit dem non-US-Server aufgebaut ist.</i></p> <p><i>Alle paar Monate ver�ntlichen Debian-Entwickler eine neue offizielle Version von Debian. Die Softwrae wird auf dem Haupt- (und f� kryptographische Software auf dem non-US-)Server f�e Gruppe von prim�n Spiegeln weltweit bereitgestellt. Diese Spiegel kopieren die Software vom dem Hauptserver und stellen sie Benutzern und sekund�n Spiegeln bereit. Die Benutzer k�n HTTP, FTP oder eine Vielzahl von anderen Methoden verwenden, um die Software zu erlangen. CD-Images werden den Benutzern und Wiederverk�ern zur Verf�gestellt. Diese Images k�n von Einzelpersonen oder Personen, die Debian verkaufen/verschenken wollen, auf physische CDs gebrannt werden.</i></p> <p><i>Zus�lich gibt es zwei sich st�ig weiterentwickelnde Ver�ntlichungen von Debian: die Testing- und die Unstable-Ver�ntlichung. Diese Ver�ntlichungen werden t�ich durch Entwickler weltweit aktualisiert. Wie die offiziellen Ver�ntlichungen werden diese Ver�entlichungen auf dem Haupt- und den non-US-Servern den prim�n Spiegeln zur Verf�gestellt. Die prim�n Spiegel stellen die Software via HTTP, FTP und anderen Methoden sowohl Endbenutzern als aus sekund�n Spiegeln bereit. Manchmal werden von diesen Ver�ntlichungen CD-Images erstellt. Der wichtige Unterschied zwischen diesen sich st�ig weiterentwickelnden Ver�ntlichungen und der offiziellen Ver�ntlichung besteht darin, das erstere sich st�ig �ern.</i></p> <p><i>Often laden Entwickler Bin�rogramme und Quellcode gleichzeitig hoch. Allerdings unterst�wir verschiedene Arten von Computern, von denen jede ein anderes Bin�rogramm aus dem gleichen Quellcode verlangt. Die meisten Entwickler erstellen nur Bin�rogramme f�e der von uns unterst� Computerarchitekturen wenn sie ein ge�ertes Programm hochladen. Automatisierte Prozesse hohlen sich den hochgeladenen Quellcode um Bin�rogramme f� anderen Architekturen zu erstellen. Daher werden die Bin�rogramme f� bestimmtes Quellcode-Programm wahrscheinlich sp�r als der Quellcode hochgeladen.</i></p> <p><i>Einige Debian-Entwickler verwenden die Debian-Ressourcen auch, um an unver�ntlichter Software zu arbeiten. Die hierf�m�genutzte Ressource ist der Debian CVS-Server. Der Quellcode f�jekte auf diesem Server ist fast immer �ntlich verf� kann sich aber mehrfach am Tag �ern. Der CVS-Server befindet sich in den USA.</i></p> <p><i>Allerdings wird die meiste Debian-Software nicht direkt von Debian-Entwicklern entwickelt. Stattdessen wird die Software von dritter Seite ver�ntlicht. Einige Software wird auf Sites innerhalb der USA ver�ntlicht, w�end andere Originalautoren ihre Software auf Sites au�rhalb der USA der �fentlichkeit zur Verf�stellen. Die Debian-Entwickler sind daf�antwortlich, die Software in Debian zu integrieren. Als Teil dieser Aufgabe arbeiten viele Debian-Entwickler eng mit den Original-Softwareautoren zusammen und tragen dabei oft auch Code f� Originalver�ntlichungen bei.</i></p> <p><i>Die Software in Debian entspricht den Debian-Richtlinien f�ie Software, den <acronym_DFSG />. Wir glauben, dass diese Software �ntlich verf�n Quellcode im Sinne von Abschnitt 740.13(e) der EAR hat. Die Richtlinien verlangen, dass der Quellcode weitervertrieben werden darf. Indirekt verlangt die DFSG, dass man in der Lage ist, ohne Zahlung einer Geb�n Produkt zu vertreiben, das auf dem Quellcode basiert. Wir vertreiben den gesamten Quellcode als Teil unserer Ver�ntlichung. Andere Software wird in unserem Archiv non-free vertrieben, aber der Fokus dieses Dokuments liegt auf Software, die Frei im Sinne der DFSG ist. Wir w�n daran interessiert zu wissen, in welchem Umfang wir Software, die nicht Frei im Sinne der DFSG ist und f� wir Quellcode vertreiben k�n, in die USA verschieben k�n. Allerdings m�en wir nicht, dass dieser Bereich mit Ratschl�n �en Umgang mit Software, die Frei im Sinne der DFSG ist, durcheinandergebracht wird.</i></p> <p><i>Debian-Entwickler leben rund um die Welt und sind B�vieler L�er. Offensichtlich sind einige US-B�viele andere sind dies aber nicht. Einige k�en B�der sieben verbotenen L�er des Abschnitts 740.13(e) der EAR sein.</i></p> <p><i>Wie bereits erw�t, haben wir Spiegel auf der ganzen Welt. Wir haben in den sieben L�ern, die in Abschnitt 740.13(e) der EAR aufgef�ind, keine offiziellen Spiegel (Spiegel, zu denen das Projekt in Verbindung steht). Da allerdings unsere Software �ntlich verf�ist, k�e sie in diese L�er kopiert werden. Die meisten Spiegel innerhalb der USA spiegeln derzeit nur den Hauptserver (den Server ohne Kryptographie), allerdings spiegeln einige sowohl den Haupt- als auch die non-US-Anteile des Archivs. Debian �mmt keine Verantwortung f� Spiegel innerhalb der USA, die den non-US-Anteil des Archivs spiegeln.</i></p> <hrline /> <h3><i>Unser Ziel</i></h3> <p><i>Wir m�en kryptographische Software in unser Hauptarchiv aufnehmen. Wir m�en die Risiken f� Entwickler, Benutzer, SPI, Spiegelverwalter, CD-Wiederverk�er, Sponsoren und jede andere mit Debian verbundene Partei verstehen, so dass wir eine informierte Entscheidung treffen k�n. Wir m�en diese Risiken dokumentieren und ver�ntlichen, so dass dieses Parteien durch Unwissenheit keine Straftat begehen. Offensichtlich wollen wir auch unn�e Risiken vermeiden.</i></p> <p><i>Insbesondere m�en wir die folgenden Aktivit�n ber�htigen:</i></p> <ul> <li><i>Auf t�icher Basis Software, die Frei im Sinne der DFSG ist, zu unseren Ver�ntlichungen hinzuzuf�der sie dort zu �ern. In der Praxis werden nur die Testing- und Unstable-Ver�ntlichungen t�ich ge�ert, aber die anderen Ver�ntlichungen werden von Zeit zu Zeit ge�ert.</i></li> <li><i>Vertrieb kryptographischer Software als Teil unserer Ver�ntlichung �as Internet und auf CDs.</i></li> <li><i>Hinzuf�der �dern von Software, die Frei im Sinne der DFSG ist, auf unserem CVS-Server.</i></li> <li><i>Jede Reaktion, die wir aufgrund von �derungen in Kryptoregularien (oder Gesetzen) durchf�m�</i></li> </ul> <hrline /> <p><em>ENDE der Debian Dokumenten-Pr�bel</em></p> <p>Ich werde versuchen, diese Ziele in meinen Antworten auf Ihre Fragen zu reflektieren. Als Art Zusammenfassung denke ich, dass eine einmalige Benachrichtigung f� aktuelle Archiv und Aktualisierungen hieran gen�ollte. Eine neue Benachrichtigung w� nur notwendig, falls ein neues Programm mit Vreschl�ng zu dem Archiv hinzugef�rde. Zus�licher Vertrieb von Freeware ben�t keine weitere Benachrichtigung. Allerdings unterl�n kommerzielle Versionen den Anforderungen an technische Begutachtung, Lizenzierung und Berichte, denen auch andere kommerzielle Produkte unterliegen. Die zuk�en �derungen an Gesetzen oder Regularien vorherzusagen ist schwierig, aber falls sich das Gesetz �ert, m� Sie entweder Ihre Site vom Netz nehmen oder sie so �ern, dass sie dieses weiter einh�. Sie unterliegen keiner Verpflichtung, andere Kunden �hre rechtlichen Verpflichtungen zu informieren, aber falls Sie eine Liste von h�ig gestellten Fragen pflegen, w�ch mich freuen, angemessene Antworten, die sie ihnen anbieten k�en, vorzuschlagen.</p> <p>Fragen (Hinweis: jede Frage von Debian ist mit einem <q>D:</q> markiert)</p> <blockquote class="question"> <p> <span>D:</span> M�wird das Bureau of Export Administration (BXA) �oftware informieren, die wir zu Ver�ntlichungen hinzuf�</p> </blockquote> <p>Falls die Benachrichtigung genau formuliert ist und das Archiv auf der Site, die in der Benachrichtigung angegeben ist, bleibt, m�Sie nur eine einzige Benachrichtigung an BXA f� anf�liche Archiv einreichen. Nur eine Benachrichtigung f�e Site in den USA wird ben�t; f�egelsites innerhalb oder au�rhalb der USA wird keine separate Benachrichtigung ben�t. Diese Benachrichtigung m�nur aktualisiert werden, wenn Sie ein neues Programm, das Verschl�ng implementiert, hinzuf�</p> <pre lang="en"> Department of Commerce Bureau of Export Administration Office of Strategic Trade and Foreign Policy Controls 14th Street and Pennsylvania Ave., N.W. Room 2705 Washington, DC 20230 Re: Unrestricted Encryption Source Code Notification Commodity: Debian Source Code Dear Sir/Madam: Pursuant to paragraph (e)(1) of Part 740.13 of the U.S. Export Administration Regulations ("EAR", 15 CFR Part 730 et seq.), we are providing this written notification of the Internet location of the unrestricted, publicly available Debian Source Code. Debian Source Code is a free operating system developed by a group of individuals, coordinated by the non-profit Software in the Public Interest. This archive is updated from time to time, but its location is constant. Therefore, and this notification serves as a one-time notification for subsequent updates that may occur in the future. New programs will be the subject of a separate notification. The Internet location for the Debian Source Code is: http://www.debian.org. This site is mirrored to a number of other sites located outside the United States. A duplicate copy of this notification has been sent to the ENC Encryption Request Coordinator, P.O. Box 246, Annapolis Junction, MD 20701-0246. If you have any questions, please call me at (xxx) xxx-xxxx. Sincerely, Name Title </pre> <blockquote class="question"> <p> <span>D:</span> Welche Informationen m�wir in die Benachrichtigung aufnehmen? </p> </blockquote> <p>Der obige Entwurf enth� die Informationen, die Sie in die Benachrichtigung aufnehmen m�</p> <blockquote class="question"> <p> <span>D:</span> Wie oft m�wir Benachrichtigungen senden? Wir m�en diese so selten wie notwendig versenden, da sie f� und die Regierung mehr Arbeit erzeugen, aber wir wollen sie auch so oft wie notwendig versenden, um die Regularien der Regierung zu erf� </p> </blockquote> <p>Wie oben aufgeschrieben und unter der Annahme, dass das Archiv auf der Internet-Site wie in der Benachrichtigung identifiziert verbleibt sollten Sie f�gende Aktualisierungen keine erneute Benachrichtigung einreichen m� Sie w�nur eine weitere Benachrichtigung einreichen m� falls Sie ein neues Programm hinzuf� das Kryptographie implementiert.</p> <blockquote class="question"> <p> <span>D:</span> Falls wir unsere kryptographische Software in dieses Land versch� und die Gesetze oder Regularien w�versch�t, was k�en wir dann m�cherweise verlieren? M� wir irgendwelche Software oder CDs zerst�? M� wir sie von unserer Hauptsite oder irgendwelchen Spiegeln entfernen? Falls wir die verst�ter Verf�eit kryptographischer Software dazu verwendeten, die Sicherheit des Rest des Systems zu verbessern, und sich das kryptographische rechtliche Klima verschlechterte, w� es wahrscheinlich, dass wir alle Kopien dieser Software in den USA wegwerfen m�? </p> </blockquote> <p>Der Trend geht zu verst�ter Liberalisierung der Exportkontrollen f� Kryptographie in den Vereinigten Staaten statt zu verst�ten Beschr�ungen. Dieser Trend war �ie letzte Dekade hinweg konstant und hat sich im vergangenen Jahr beschleunigt. Wir k�n Sie nicht zu der Frage beraten, was Sie verlieren k�en, und nicht bis die neue Regulierungen ver�ntlicht sind. Allerdings glauben wir, dass Sie das Copyright auf die Software und einige, wenn auch vielleicht eingeschr�te, Exportrechte behielten.</p> </p> <blockquote class="question"> <p> <span>D:</span> In Reihenfolge absteigender Vorliebe w�wir die Benachrichtigung wie folgt durchf� </p> <ul> <li>Einmal f� ganze Debian-Archiv</li> <li>Einmal f�e offizielle Ver�ntlichung (beachten Sie hierbei aber, dass sich Testing/Unstable zwischen Ver�ntlichungen ver�ert)</li> <li>Einmal wenn ein neues Programm, das Kryptographie enth�, zu dem Archiv hinzugef�rd</li> <li>Einmal wenn eine neue Version eines Programmmes, das Kryptographie enth�, zu dem Archiv hinzugef�rd</li> </ul> </blockquote> <p>Ich glaube, dass Sie nur eine neue Benachrichtigung einzureichen haben, wenn Sie ein neues Programm, das Kryptographie beinhaltet, hinzuf� Aktualisierungen zu existierenden Programmen sollten durch die umfassende Sprache der von uns oben vorgeschlagenen Benachrichtigung abgedeckt sein.</p> <blockquote class="question"> <p> <span>D:</span> Neue Pakete kommen in den folgenden Ablauf an Schritten in das Debian-Archiv. Zu welchem Zeitpunkt muss die Benachrichtigung stattfinden? </p> <ol> <li>Die Originalautoren ver�ntlichen ein Paket als Open Source. Dieser Schritt wird bei einem Debian-eigenen Paket �rungen.</li> <li>Ein Debian-Entwickler paketiert die Quellen und das Bin�rogramm f� Debian, oft mit �derungen am Quelltext.</li> <li>Das Paket wird auf ftp-master, incoming, hochgeladen.</li> <li>Das neue Paket kann nicht installiert werden, da es neu ist.</li> <li>Ftp-Administratoren f�ie ben�ten Eintragungen f� Paket hinzu.</li> <li>Das Paket wird innerhalb weniger Tage in das Archiv installiert.</li> <li>Das Paket wird auf die Spiegelsites kopiert.</li> </ol> </blockquote> <p>Die Regulierung ist recht deutlich, dass die Benachrichtigung vor oder gleichzeitig mit der �ntlichen Verf�eit erfolgen muss. Exporte vor der �ntlichen Verf�eit ben�en eine Exportlizenz. Falls das Archiv in Schritt 3 nicht �ntlich verf�ist, muss das Paekt entweder vor Schritt 3 �ntlich verf�gemacht (und eine Benachrichtigung gesendet) werden oder f�ian-Entwickler werden Exportlizenzen ben�en. Falls das Archiv in Schritt 3 �ntlich verf�ist, dann w�Benachrichtigungen die Notwendigkeit beseitigen, f�ian-Entwickler Exportlizenzen zu haben.</p> <blockquote class="question"> <p> <span>D:</span> Falls der Originalautor die BXA benachrichtigt hat, wird dann eine Benachrichtigung ben�t? (Das Paketieren f�ian kann �derungen an den Quellen beinhalten, darunter �derungen am Ablageort von Dateien und gelegentlich funktionale Unterschiede, obwohl allerdings das allgemeine Ziel lautet, die Originalquellen in Debian mit minimalen �derungen zum Laufen zu bekommen.) </p> </blockquote> <p>Falls der Originalautor die BXA benachrichtigt hat reicht dies aus.</p> <blockquote class="question"> <p> <span>D:</span> M�wir eine Benachrichtigung durchf� wenn neue Bin�rogramme (Objektcodes) hinzugef�rden, falls wir bereits f� Quellcode eine Benachrichtigung durchgef�aben? </p> </blockquote> <p>Ich glaube nicht, dass Sie eine neue Benachrichtigung f�en Objektcode einreichen m� solange eine Benachrichtigung f� Quellcode eingereicht wurde.</p> <blockquote class="question"> <p> <span>D:</span> Wird f�gramme, die keine kryptographischen Algorithmen enthalten, die aber gegen kryptographische Bibliotheken gelinkt werden, eine Benachrichtigung notwendig? Wie sieht es f�grammen, die andere Programme f�ptographische Funktionen ausf� aus? </p> </blockquote> <p>Solange ein Programm Open Source ist kann es ein offenes kryptographische API enthalten und immer noch unter die <q>License Exception TSU</q> fallen.</p> <blockquote class="question"> <p> <span>D:</span> Neue Programme k�n leicht vor der Ver�ntlichung ��rden (und zu diesem Zeitpunkt eine Benachrichtigung erledigt weren), aber wenn eine Aktualisierung durchgef�ird gibt es keinen manuellen Schritt, an dem die Benachrichtiung erfolgen kann. W� es akzeptabel, f�e neu hinzugef�oftware die die BXA mit einem Hinweis zu benachrichtigen, dass zuk�e Aktualisierungen auch das Hinzuf�ryptographischer Funktionalit�beinhalten k�n? </p> </blockquote> <p>Ja. �er-Berichten sollte wahrscheinlich wo zumutbar vermieden werden, aber Unter-Berichten muss vermieden werden. Zuk�e Aktualisierungen eines existierenden Programms ben�en keine separate Benachrichtigung. Nur neue Programme ben�en eine separate Benachrichtigung.</p> <blockquote class="question"> <p> <span>D:</span> K�n wir den Prozess der Einsendung der Benachrichtigungen automatisieren? </p> </blockquote> <p>Sie k�n den Prozess der Einsendung der Benachrichtigungen automatisieren. Dies ist eine interne prozedurale Angelegenheit. BXA und NSA interessiert es nicht, wie Sie die Benachrichtigung intern ausf�</p> <blockquote class="question"> <p> <span>D:</span> Welche Form sollte die Benachrichtigung haben? </p> </blockquote> <p>Die Benachrichtung der BXA kann entweder elektronisch oder auf Papier erfolgen, die Benachrichtigung der NSA muss auf Papier erfolgen.</p> <blockquote class="question"> <p> <span>D:</span> Wer kann die Benachrichtigung einsenden? M�sie beispielsweise B� der USA sein? </p> </blockquote> <p>Jede Person darf die Benachrichtigung einsenden; die Staatsangeh�keit ist nicht relevant.</p> <blockquote class="question"> <p> <span>D:</span> Gibt es irgendwelche anderen Belange, denen wir uns bewu� sein sollten? Welche Ma�ahmen m�wir neben der Benachrichtigung noch treffen? </p> </blockquote> <p>Neben der Benachrichtigung k�en Sie die Implementierung einer umgekehrten IP-Suche �gen, die den Computer identifiziert, der um das Herunterladen bittet und dann Downloads des kryptographischen Archivs aus L�ern blockiert, die von den USA mit einem Embargo belegt sind: Kuba, Iran, Irak, Libyen, Nord-Korea, Syrien, Sudan und das von den Taliban besetzte Afghanistan. Zus�lich k�en Sie �gen, eine Klausel in Ihrer Lizenzvereinbarung oder einen separaten Bildschirm vor dem Herunterladen zu haben, der die Software herunterladende Person wie folgt ber�</p> <p>Diese Software unterliegt den US-Exportkontrollen, anwendbar auf Open Source-Software die Kryptographie enth�. Debian hat die Benachrichtigung bei dem Bureau of Export Administration und der National Security Agency eingereicht, die vor dem Export gem�den Bestimmungen der License Exception TSU der US-Exportadministrationsregeln verlangt ist. In Einklang mit den Anforderungen der License Exception TSU erkl�n und gew�leisten Sie, dass Sie berechtigt sind, die Software zu erhalten, dass Sie sich nicht in einem Land befinden, das dem Embargo der Vereinigten Staaten unterliegt und dass Sie die Software weder direkt noch indirekt in dem Design, der Entwicklung, der Lagerung oder Verwendung von nuklearen, chemischen oder biologischen Waffen oder Raketen verwenden. Kompilierter Bin�ode, der kostenlos weitergegeben wird, darf gem�den Vorschriften der License Exception TSU reexportiert werden. Allerdings kann eine zus�liche technische Begutachtung und andere Anforderungen f�merzielle Produkte, die diesen Code einbauen, vor dem Export aus den Vereinigten Staaten notwendig sein. F��liche Informationen lesen Sie bitte www.bxa.doc.gov.</p> <blockquote class="question"> <p> <span>D:</span> Derzeit k�n Benutzer weltweit auf die Software, die auf die Integration in unser Archiv wartet, zugreifen und diese m�cherweise herunterladen. Wahrscheinlich w�wir alle notwendigen Benachrichtigungen erledigen, w�end die Software in das Archiv aufgenommen wird. Somit w�oftware in diesem Zustand auf die Benachrichtigung warten. W� dies ein Problem? Falls ja, w� es akzeptable, eine alternative Warteschlange mit kryptographischer Software, die auf die Integration in das Archiv wartet, aufzusetzen, die nur f�ere Entwickler verf�w�? Um Software in unsere Distribution aufzunehmen, m�Entwickler, die sich oftmals au�rhalb der USA befinden, die Software untersuchen und sicherstellen, dass Sie bestimmten Richtlinien gen�ie sollten wir diesen Zugriff realisieren? Gibt es andere L�gen zu diesem Bereich vor der Benachrichtigung, an die wir denken sollten?</p> <p>Ein Problem, das uns h�ig �en Weg l�t, sind Software-Patente. Offensichtlich entfernt die Integration von Kryptographie in Software keine der Patentsorgen, �ie wir normalerweise nachdenken m�. Gibt es allerdings irgendwelche neuen Probleme die wir bedenken m� wenn Patente in das Wechselspiel mit den Exportregularien kommen? Es scheint, dass zumindest f� Freistellungs-TSU (Abschnitt 740.13 der EAR) Patente keinen Einfluss darauf nehmen, ob der Quellcode �ntlich ist.</p> </blockquote> <p>Es ist wichtig zwischen, dem Archiv, das der Benachrichtigung unterlag, und neuen Programmen zu unterscheiden. Sie k�n das Archiv, das der Benachrichtigung unterlag, ohne weitere Benachrichtigung aktualisieren, wie oben beschrieben. Nur neue Programme m�vor der Ver�ntlichung Thema einer separaten Benachrichtigung sein. Falls neue Programme von Entwicklern vor der Ver�ntlichung begutachtet werden m�und diese Software sowohl nicht �ntlich verf�und die US-Regierung noch nicht dar�enachrichtigt ist, dann empfehle ich Ihnen, zu �gen, sich eine Exportlizenz zu besorgen, die diese beschr�te Begutachtung vor der Benachrichtigung erlaubt. Ihre Aussage ist korrekt, dass Patente Software nicht von der Eignung zum Export unter der License Exception TSU disqualifizieren.</p> <blockquote class="question"> <p> <span>D:</span> Distribution, Spiegeln und CDs</p> <p>M�unsere Spiegel in den USA die BXA benachrichten, falls wir Kryptographie zu unserem Archiv hinzuf�Wie oft m�Sie die BXA benachrichtigen? Wir w�gerne die Situation vermeiden, in der Spiegel f�es neue Programm, das Debian zum Archiv hinzuf�ine Benachrichtigung versenden m� selbst falls unser Hauptserver solche Benachrichtigungen einsenden muss. Wir m�den Betrieb f� Spiegelbetreiber einfach halten. Was, falls �upt, m� Spiegel au�rhalb der USA tun?</p> <p>Falls wir eine Aktualisierung an einen Spiegel sendeten statt darauf zu warten, dass er die Software herunterl�, m�wir irgendwelche besonderen Schritte durchf� Was falls wir einem Spiegel eine Bitte zum Herunterladen neuer/ge�erter Software schicken?</p> </blockquote> <p>Sobald die Benachrichtigung f� zentralen Server versandt wurde wird keine weitere Benachrichtigung f�egelsites ben�t.</p> <blockquote class="question"> <p> <span>D:</span> Welche der folgenden H�ler (falls �upt) w� nur mit einer Benachrichtigung in der Lage, unver�erte Debian-Programme (und Quellen) zu versenden? Welche w�Begutachtungen und Zustimmungen ben�en? K�e die Begutachtung zeitgleich zum Versand erfolgen, oder m�sie vorher erfolgen?</p> <p> A) Post-Versand von CDs zu den Medienkosten?<br /> B) Post-Versand von CDs mit Gewinnabsicht?<br /> C) Regalverkauf von CDs zu den Medienkosten?<br /> D) Regalverkauf der CDs mit Gewinnabsicht?<br /> E) H�ler, die CDs von A) oder C) (s.o.) zusammen mit Hardware bereitstellen. Die Hardware wird mit Gewinnabsicht verkauft, allerdings keine Vorinstallation?<br /> F) Wie E, allerdings mit Vorinstallation der Software?<br /> G) Irgendeines der obigen, Verkauf von Unterst� f� Software?</p> <p> Falls das leichter ist, hier eine andere Betrachtungsweise: Welche Bedingungen m�f�en H�ler erf�ein, um Bin�rogramme unter der License Exception TSU zu versenden, und welche Kosten darf der H�ler wieder erlangen und/oder zu welchen Kosten darf der H�ler mit Gewinn verkaufen?</p> </blockquote> <p>Vern�e und �e Geb�f� Reproduktion und den Vertrieb sind erlaubt, aber keine Lizenzgeb� Unterst� ist ebenfalls entsprechend der obigen Begrenzungen erlaubt.</p> <blockquote class="question"> <p> <span>D:</span> Falls die einmalige Begutachtung f�er�erte Programme, die mit Gewinnabsicht verkauft werden, gen�ann diese Bewilligung von anderen H�lern verwandt werden, die unver�erte Programme versenden?</p> </blockquote> <p>Die einmalige Begutachtung ist produktbezogen und unabh�ig vom H�ler.</p> <blockquote class="question"> <p> <span>D:</span> W� es akzeptierbar, einen offiziellen Spiegel in einem Land, das von Abschnitt 740.13(e) der EAR verboten wird, aufzusetzen? </p> </blockquote> <p>Sie m� eine Lizenz beantragen, einen offiziellen Spiegeln in einem Land unter Embargo aufzusetzen.</p> <blockquote class="question"> <p> <span>D:</span> Falls es technisch undurchf� w�, Zugriff von den T7-L�ern zu einem Netz von Web- (oder FTP-, usw.)Servern zu verhindern, verlangte die angemessene Sorgfalt extreme Ma�ahmen? Erf�er defakto Standard des Gang und G�-Vorgehens die angemessene Sorgfalt?</p> </blockquote> <p>Der Defakto-Industriestandard sollte ausreichen. Ich hoffe, dass die Regierung erkennt, dass jedes von Menschen entworfene System mit genug Einsatz bezwungen werden kann.</p> <blockquote class="question"> <p> <span>D:</span> Welche Schritte sollten wir unternehmen, falls uns bewu� wird, dass jemand Software von einem Spiegel innerhalb der USA in eines dieser L�er herunterl�? Was gilt, falls uns bewu� wird, dass das Herunterladen in eines dieser L�er von einem Spiegel au�rhalb der USA passiert?</p> <p>Einige unserer Entwickler k�en in den sieben von der Freistellungs-TSU verbotenen L�ern leben oder deren B�sein. W� es f�se Entwickler ein Problem, Zugriff auf kryptographische Software auf unseren Maschinen zu erhalten? M� wir sie bitten, solche Software nicht herunterzuladen? Welche Schritte m� wir unternehmen, falls uns bewu� wird, dass sie kryptographische Software herunterladen?</p> </blockquote> <p>Reines Ver�ntlichen kryptographischer Software auf einem Server, der von einem Land unter Embargo zugreifbar ist, bedeutet kein <q>Wissen</q>, dass die Software dorthin exportiert wurde. Daher zieht das reine Ver�ntlichen keine Haftung im strafrechtlichen Sinne nach sich. Wir empfehlen, dass Sie IP-�erpr�n durchf�und das Herunterladen aus L�ern unter Embargo verbieten. Diese geb�e Sorgfalt w�uch eine Verteidigung gegen einen Anspruch auf zivilrechtliche Haftung darstellen. Falls Sie herausfinden, dass Ihre Software in ein verbotenes Ziel heruntergeladen wurde, empfehle ich Ihnen, dass Sie zuk�es Herunterladen zu dieser speziellen Site blockieren, es sei denn und bis Sie eine Lizenz von der BXA erhalten haben.</p> <hr /> <p>Debian bedankt sich bei <a href="http://www.hp.com/">Hewlett-Packards</a> <a href="http://www.hp.com/products1/linux/">Linux Systems Operation</a> f�e Unterst� beim Erhalt dieser rechtlichen Stellungnahme.</p>
Attachment:
signature.asc
Description: Digital signature