Hallo,
anbei die deutsche Ueberetzung von cryptomain[1], um deren Uebersetzung
wir(?) gebeten hatten[2]. Da das Dokument etwas laenglich ist und
einge Menge rechtlicher Fragen behandelt, wollte ich es hier zur
Korrektur stellen, bevor ich es naechste Woche dann in das Web-CVS
schreibe.
Vielen Dank fuer alle Korrektur- und Verbesserungsvorschlaege.
Viele Gruese
Helge
[1] http://www.debian.org/legal/cryptoinmain
[2] http://www.debian.org/international/German/
--
Dr. Helge Kreutzmann debian@helgefjell.de
Dipl.-Phys. http://www.helgefjell.de/debian.php
64bit GNU powered gpg signed mail preferred
Help keep free software "libre": http://www.ffii.de/
#use wml::debian::template title="Untersuchung �ryptographische Software im �Main�-Archiv von Debian" BARETITLE=true
#use wml::debian::acronyms
# Nota bene! This is basically draft text from the lawyers, and it must
# _not_ be modified for spelling errors and such. Formatting changes are
# fine (I think). -- Joy
<p><strong>Anmerkung des �ersetzers:</strong> Obwohl diese �ersetzung mit
Sorgfalt erstellt wurde, ist nur der <a href="cryptoinmain.en.html">englische
Originaltext dieser Untersuchung</a> verbindlich.</p>
<table width="100%" summary="mail headers">
<colgroup span="2">
<col width="10%">
<col>
</colgroup>
<tr><td>An:</td>
<td><a href="http://www.spi-inc.org/";>Software in the Public Interest</a>, <a href="http://www.debian.org/";>Debian-Projekt</a></td></tr>
<tr><td>Von:</td>
<td>Roszel C. Thomsen II, Partner, <a href="http://www.t-b.com/";>Thomsen & Burke LLP</a></td></tr>
<tr><td>Datum:</td>
<td>31. Juli 2001</td></tr>
<tr><td>Re:</td>
<td>Untersuchung �ryptographische Software im <q>Main</q>-Archiv von Debian</td></tr>
</table>
<p>Vielen Dank f�se M�chkeit, Kommentare zu Sam Hartmans Wei�uch mit
dem Titel <q lang="en">Exploring Cryptographic Software in Debian's Main
Archive</q> abzugeben.</p>
<p>Wir stellen diese Informationen als allgemeine Richtlinien f� bereit.
BXA verlangt, dass jede Einheit, die Exporte durchf�sich mit
ihren best�genden Auflagen – die in den
Exportadministrationsregulierungen beschrieben sind – vertraut macht
und diese einh�. Beachten Sie bitte, dass sich diese Regelungen �ern
k�n. Wir empfehlen, dass Sie eine Rechtsauskunft einholen, wenn Sie zu
exportieren versuchen wollen. Zus�lich k�e der Import von
Verschl�ng in einigen L�ern beschr�t sein. Wir empfehlen, dass
Sie in den betroffenen L�ern Rechtsauskunft einholen oder Kontakt zu den
betroffenen Regierungsorganisationen in diesen L�ern aufnehmen.</p>
<p>Als Hintergrundinformation: Der Export kryptographischer Software aus
den Vereinigten Staaten wid durch die United States
Export-Administration-Regulierungen (<q>EAR</q> 15 CFR Teil 730 ff.),
betrieben durch die Export-Administration des Handelsministeriums
(<q><acronym lang="en" title="Bureau of Export Administration">\
BXA</acronym></q>) geregelt. BXA �beitete die vorhergehenden Regelungen
des EARs bez� kryptographischer Software zu letzt am 19. Oktober
2000. Ich beziehe mich auf diese <q>neue US-Regularien</q>, um sie von
vorhergehenden, restriktiveren Regularien zu unterscheiden.</p>
<p>Als die Clinton-Administraton nach Washington kam, wurde der Export von
Verschl�ngsgegenst�en aus den Vereinigten Staaten als <q>Munition</q>
unter der Waffenexportkontrolle-Verordnung und den internationalen
Waffenhandel-Regularien geregelt. Die meisten Antr� auf Exportlizenz f� starke Verschl�ng wurden abgelehnt. Die Industrie und �ntliche
Interessensgruppen betrieben Lobby-Arbeit zur Liberalisierung und die
Clinton-Administration reformierte die veralteten US-Exportkontrollen f� Verschl�ngsgegenst�e in einer Serie von graduellen Schritten, was in
die neue US-Regulierungen gipfelte. Die neue Bush-Administration denkt � weitere Liberalisierungen nach, die im Laufe des Jahres ver�ntlicht werden
k�en.</p>
<p>Trotz dieser Lieberalisierungen bleiben die US-Exportregelungen bez�
kommerziellen Verschl�ngsgegenst�e komplex und fehlertr�tig.
Amerikanische Firmen m�vor dem Export von Verschl�ngsgegenst�en
diese zur technischen Begutachtung bei den Nachrichtendiensten einreichen.
Exporte an einige Beh�n ausl�ischer Regierungen ben�en Lizenzen, wie
auch bei Exporten an Telekommunikations- und Internetdiensteanbieter, die
Dienste bestimmten Regierungsbeh�n bereitstellen wollen. Schlie�ich
sind f�le Exporte auch nach dem Export aus den Vereinigten Staaten
Berichtsanforderungen zu erf� Daher legen die
Verschl�ngsexportkontrollen der USA weiterhin eine signifikante Last auf
amerikanische Firmen und schr�en den weltweiten Einsatz starker
Kryptographie in kommerziellen Software-Programmen ein.</p>
<p>Nicht alle Software-Programme mit Verschl�ng sind allerdings
kommerzielle Produkte. F�cke des EARS fallen kryptographische
Quellcodekontrollen in drei Kategorieren: (a) Open Source, (b)
Gemeinschaftsqullen und (c) propriet� Quellen. Die Regeln, die die
einzelnen Arten des Quellcodes regeln, sind verschieden, und sie wurden in
wichtigen Gesichtspunkten in Bezug auf die neue US-Regulierung erg�t.</p>
<p>Open Source bezieht sich auf Software, die ohne Einschr�ung unter einer
GNU-artigen Lizenz kostenlos f� �fentlichkeit verf�ist. Debian
scheint in diese Kategorie zu fallen. Die alte Regulierung erlaubte den
Export von Open Source ohne technische Begutachtung an jeden Endbenutzer
unter der Voraussetzung, dass die Person, die die Open Source-Software
bereitstellte, zeitgleich eine Benachrichtigung an die BXA und die National
Security Agency (<q>NSA</q>) einreichte. Allerdings schwieg sich die alte
Regulierung in Bezug auf die Einschr�ungen (falls vorhanden) f� Export
von aus Open Source �tzter Software aus.</p>
<p>Unter der neuen US-Regulierung ist nicht nur Open Source sondern auch
daraus �tzte ausf�e Software zum Export unter den gleichen
Bedingungen wie Open Source selbst berechtigt, vorausgesetzt, dass die
�tzte Software unter den gleichen Bedingungen wie die Open Source selbst
ohne Einschr�ungen und kostenlos verf�ist. Falls Sie die �tzte
Software zu einem Produkt hinzuf�das Sie gegen Bezahlung vertreiben,
gelten ungl�herweise f� entstandene Produkt alle Regeln, die auch
f�merzielle Software-Programme gelten. Beispielsweise m�sie bei der
BXA und NSA f�e einmalige technische Begutachtung eingereicht werden,
wie dies oben beschrieben ist.</p>
<p>Gemeinschaftsquellen beziehen sich auf Software, die der �fentlichkeit
kostenlos f�ht-kommerzielle Verwendung zur Verf�steht, die aber
weiteren Einschr�ungen f� kommerziellen Einsatz unterliegt.
Gemeinschaftsquellen k�n im Prinzip unter den gleichen Bedingungen
wie Open Source exportiert werden, allerdings unterliegen
Gemeinschaftsquellen detailierteren Berichtsanforderungen.</p>
<p>Properit� Quellen beziehen sich auf allen Quellcode, der weder <q>Open
Source</q> noch <q>Gemeinschftsquellen</q> ist. Exporteure d�
properit�n Quellcode zu jedem Endbenutzer in der EU in seinen Partnern
sowie jedem nicht-Regierungs-Endbenutzer in jedem anderen Land bereitstellen,
sobald Sie die technischen Begutachtung bei der BXA und NSA angemeldet haben.
Die Berichtsanforderungen f�einschaftsquellen gelten auch f� properit� Quellen.</p>
<p>Bitte beachten Sie, dass Personen in den USA, die auf Sites au�rhalb der USA
ver�ntlichen k�n, unter die US-Gesetzgebung fallen, selbst falls sie
dies in ihrer pers�chen Kompetenz tun. Daher sollten Sie Personen in den
USA warnen, dass ihre Ver�ntlichung auf dem aktuellen Krypto-Server
au�rhalb der USA dennoch unter die US-Regulierungen f�t.</p>
<p>Schlie�ich sollten Sie beachten, dass eine Kernmenge an US-Exportkontrollen
auf alle Exporte von Open Source-Kryptosoftware aus den Vereinigten Staaten
zutrifft. Im Kern verbieten diese Kontrollen den Export von Open
Source-Kryptosoftware unter der <q>License Exception TSU</q> an (1)
verbotene Gesellschaften (aufgef�nter <a
href="http://www.bxa.doc.gov/DPL/Default.shtm";>\
http://www.bxa.doc.gov/DPL/Default.shtm</a>), (2) verbotene L�er (derzeit
Kuba, Iran, Irak, Libyen, Nord Korea, Sudan, Syrien und das von den Taliban
besetzte Afghanistan) und (3) Design, Entwicklung, Bevorratung, Produktion
oder Verwendung nuklearer, chemischer oder biologischer Waffen oder
Raketen.</p>
<p>Mit diesem Hintergrund werden Ihre speziellen Fragen im Hinblick auf Debian
in der Reihenfolge beantwortet werden, in der sie im Wei�uch von Sam Hartman
(hier in kursiv) auftauchen,</p>
<hr />
<h2><i>Untersuchung �ryptographische Software im <q>Main</q>-Archiv von Debian</i></h2>
<p><i>Sam Hartman</i></p>
<p><i>Debian-Projekt</i></p>
<hrline />
<p style="margin-left: 2em">
<i>Debian ist ein Freies Betriebssystem. Derzeit trennt Debian aus Gr� des US-Exports die kryptographische Software in ein separates Archiv ab,
das sich au�rhalb der USA befindet. Dieses Dokument fasst die Fragen
zusammen, deren Beantwortung aus rechtlicher Sicht wir ben�ten, um diese
zwei Archive zusammenzufassen.</i></p>
<hrline />
<h3><i>�er Debian</i></h3>
<p><i>Debian ist eine Gruppe von Einzelpersonen, die an der Erstellung eines
Freien Betriebssystems arbeiten. Diese Einzelpersonen sind f�
Entscheidungen, die sie w�end der Arbeit an Debian treffen,
verantwortlich; es gibt keine rechtsf�ge Organisation <q>Debian</q> f�die die Entwickler arbeiten oder f� sie Entscheidungen treffen. Es
gibt eine eingetragene gemeinn� Organisation, Software in the Public
Interest (SPI), die f�ian Geld und Ressourcen verwaltet. Daher k�n
Entscheidungen der Entwickler Einflu�auf die Ressourcen von SPI haben und
daher SPI betreffen. Verschiedene F�r besitzen andere Debian-Ressourcen.
Debian h�t im allgemeinen von Sponsoren f�zanbindung ab. Es gibt auch
externe Gruppen, die die Debian-Software auf Spiegel kopiert, so dass
Personen aus der ganzen Welt sie herunterladen und verwenden k�n. Andere
erstellen und verkaufen CDs mit Debian. Alle diese Gruppen k�en zu einem
gr�en oder kleineren Umfang haftbar f� Entscheidungen von Debian
sein. Wir wollen uns derart verhalten, dass die Haftung f�e Parteien
minimiert, und innerhalb dieser Randbedingungen der Wert unserer Bem�n
maximiert wird.</i></p>
<p><i>Wie alle Betriebssystemh�ler muss Debian kryptographische Software
aufnehmen. Diese Software stellt Sicherheit bereit, erlaubt es den Benutzern,
am Internet-Handel teilzunehmen und f�ndere Aufgaben durch, die
Kryptographie ben�en. Heute wird diese Software auf einem Server au�rhalb
der Vereinigten Staaten gespeichert, der als <q>non-US Server</q> bekannt
ist. Derzeit unternimmt Debian nichts, um die US-Entwickler beim Erf�der
Exportregularien zu unterst�oder sie am Hochladen von Software zu
hindern. Wir m�en kryptographische Software von dem non-US-Server auf
unseren Hauptserver in den USA verschieben.</i></p>
<p><i>Mit der zunehmend vernetzten Art der Arbeit und der Tatsache, dass mehr
und mehr kritische Funktionen auf Rechnerplattformen verlagert werden und dem
ungl�hen Wachstum von Unheil und vors�licher B�llligkeit wird
Sicherheit zunehmend wichtig. Kryptographie ist ein wichtiger Eckpfeiler f�eine Reihe von Sicherheitsprozessen. Alle Betriebssysteme, die keinen Versuch
der nahtlosen Integration der Kryptographie unternehmen, sind wahrscheinlich
nicht wettbewerbsf�g.</i></p>
<p><i>Alle Software in eine einzige Quelle zu verlagern und der damit
einhergehenden M�chkeit, ein einzelnen CD-Satz zu erstellen, der
�ntegrierte kryptographische Unterst� verf�rleichtert den
Umgang sowohl den Benutzern wie auch den CD-H�lern und vereinfacht die
Arbeit der Entwickler beim Hochladen von Software zu diesen Sites sowie
die Replizierung der Software-Depots �as Internet.</i></p>
<p><i>Der Rest dieses Dokument konzentriert sich auf den Hauptserver in den USA
und seinen Spiegeln und Kopien rund um die Welt. Es ist wichtig, zu erkennen,
dass derzeit eine parallele Struktur zum Umgang mit dem non-US-Server
aufgebaut ist.</i></p>
<p><i>Alle paar Monate ver�ntlichen Debian-Entwickler eine neue offizielle
Version von Debian. Die Softwrae wird auf dem Haupt- (und f� kryptographische Software auf dem non-US-)Server f�e Gruppe von prim�n
Spiegeln weltweit bereitgestellt. Diese Spiegel kopieren die Software vom dem
Hauptserver und stellen sie Benutzern und sekund�n Spiegeln bereit. Die
Benutzer k�n HTTP, FTP oder eine Vielzahl von anderen Methoden verwenden,
um die Software zu erlangen. CD-Images werden den Benutzern und
Wiederverk�ern zur Verf�gestellt. Diese Images k�n von
Einzelpersonen oder Personen, die Debian verkaufen/verschenken wollen, auf
physische CDs gebrannt werden.</i></p>
<p><i>Zus�lich gibt es zwei sich st�ig weiterentwickelnde Ver�ntlichungen
von Debian: die Testing- und die Unstable-Ver�ntlichung. Diese
Ver�ntlichungen werden t�ich durch Entwickler weltweit aktualisiert.
Wie die offiziellen Ver�ntlichungen werden diese Ver�entlichungen
auf dem Haupt- und den non-US-Servern den prim�n Spiegeln zur
Verf�gestellt. Die prim�n Spiegel stellen die Software via HTTP,
FTP und anderen Methoden sowohl Endbenutzern als aus sekund�n Spiegeln
bereit. Manchmal werden von diesen Ver�ntlichungen CD-Images erstellt.
Der wichtige Unterschied zwischen diesen sich st�ig weiterentwickelnden
Ver�ntlichungen und der offiziellen Ver�ntlichung besteht darin, das
erstere sich st�ig �ern.</i></p>
<p><i>Often laden Entwickler Bin�rogramme und Quellcode gleichzeitig hoch.
Allerdings unterst�wir verschiedene Arten von Computern, von denen jede
ein anderes Bin�rogramm aus dem gleichen Quellcode verlangt. Die meisten
Entwickler erstellen nur Bin�rogramme f�e der von uns unterst� Computerarchitekturen wenn sie ein ge�ertes Programm hochladen.
Automatisierte Prozesse hohlen sich den hochgeladenen Quellcode um
Bin�rogramme f� anderen Architekturen zu erstellen. Daher werden die
Bin�rogramme f� bestimmtes Quellcode-Programm wahrscheinlich sp�r
als der Quellcode hochgeladen.</i></p>
<p><i>Einige Debian-Entwickler verwenden die Debian-Ressourcen auch, um an
unver�ntlichter Software zu arbeiten. Die hierf�m�genutzte
Ressource ist der Debian CVS-Server. Der Quellcode f�jekte auf diesem
Server ist fast immer �ntlich verf� kann sich aber mehrfach am Tag
�ern. Der CVS-Server befindet sich in den USA.</i></p>
<p><i>Allerdings wird die meiste Debian-Software nicht direkt von
Debian-Entwicklern entwickelt. Stattdessen wird die Software von dritter
Seite ver�ntlicht. Einige Software wird auf Sites innerhalb der USA
ver�ntlicht, w�end andere Originalautoren ihre Software auf Sites
au�rhalb der USA der �fentlichkeit zur Verf�stellen. Die
Debian-Entwickler sind daf�antwortlich, die Software in Debian zu
integrieren. Als Teil dieser Aufgabe arbeiten viele Debian-Entwickler eng
mit den Original-Softwareautoren zusammen und tragen dabei oft auch Code
f� Originalver�ntlichungen bei.</i></p>
<p><i>Die Software in Debian entspricht den Debian-Richtlinien f�ie
Software, den <acronym_DFSG />. Wir glauben, dass diese Software �ntlich
verf�n Quellcode im Sinne von Abschnitt 740.13(e) der EAR hat. Die
Richtlinien verlangen, dass der Quellcode weitervertrieben werden darf.
Indirekt verlangt die DFSG, dass man in der Lage ist, ohne Zahlung einer
Geb�n Produkt zu vertreiben, das auf dem Quellcode basiert. Wir
vertreiben den gesamten Quellcode als Teil unserer Ver�ntlichung. Andere
Software wird in unserem Archiv non-free vertrieben, aber der Fokus dieses
Dokuments liegt auf Software, die Frei im Sinne der DFSG ist. Wir w�n
daran interessiert zu wissen, in welchem Umfang wir Software, die nicht Frei
im Sinne der DFSG ist und f� wir Quellcode vertreiben k�n, in die USA
verschieben k�n. Allerdings m�en wir nicht, dass dieser Bereich mit
Ratschl�n �en Umgang mit Software, die Frei im Sinne der DFSG ist,
durcheinandergebracht wird.</i></p>
<p><i>Debian-Entwickler leben rund um die Welt und sind B�vieler L�er.
Offensichtlich sind einige US-B�viele andere sind dies aber nicht.
Einige k�en B�der sieben verbotenen L�er des Abschnitts 740.13(e)
der EAR sein.</i></p>
<p><i>Wie bereits erw�t, haben wir Spiegel auf der ganzen Welt. Wir haben in
den sieben L�ern, die in Abschnitt 740.13(e) der EAR aufgef�ind, keine
offiziellen Spiegel (Spiegel, zu denen das Projekt in Verbindung steht). Da
allerdings unsere Software �ntlich verf�ist, k�e sie in diese
L�er kopiert werden. Die meisten Spiegel innerhalb der USA spiegeln derzeit
nur den Hauptserver (den Server ohne Kryptographie), allerdings spiegeln
einige sowohl den Haupt- als auch die non-US-Anteile des Archivs. Debian
�mmt keine Verantwortung f� Spiegel innerhalb der USA, die den
non-US-Anteil des Archivs spiegeln.</i></p>
<hrline />
<h3><i>Unser Ziel</i></h3>
<p><i>Wir m�en kryptographische Software in unser Hauptarchiv aufnehmen.
Wir m�en die Risiken f� Entwickler, Benutzer, SPI, Spiegelverwalter,
CD-Wiederverk�er, Sponsoren und jede andere mit Debian verbundene Partei
verstehen, so dass wir eine informierte Entscheidung treffen k�n. Wir
m�en diese Risiken dokumentieren und ver�ntlichen, so dass dieses
Parteien durch Unwissenheit keine Straftat begehen. Offensichtlich wollen
wir auch unn�e Risiken vermeiden.</i></p>
<p><i>Insbesondere m�en wir die folgenden Aktivit�n
ber�htigen:</i></p>
<ul>
<li><i>Auf t�icher Basis Software, die Frei im Sinne der DFSG ist, zu
unseren Ver�ntlichungen hinzuzuf�der sie dort zu �ern. In der
Praxis werden nur die Testing- und Unstable-Ver�ntlichungen t�ich
ge�ert, aber die anderen Ver�ntlichungen werden von Zeit zu Zeit
ge�ert.</i></li>
<li><i>Vertrieb kryptographischer Software als Teil unserer Ver�ntlichung
�as Internet und auf CDs.</i></li>
<li><i>Hinzuf�der �dern von Software, die Frei im Sinne der DFSG ist,
auf unserem CVS-Server.</i></li>
<li><i>Jede Reaktion, die wir aufgrund von �derungen in Kryptoregularien
(oder Gesetzen) durchf�m�</i></li>
</ul>
<hrline />
<p><em>ENDE der Debian Dokumenten-Pr�bel</em></p>
<p>Ich werde versuchen, diese Ziele in meinen Antworten auf Ihre Fragen zu
reflektieren. Als Art Zusammenfassung denke ich, dass eine einmalige
Benachrichtigung f� aktuelle Archiv und Aktualisierungen hieran
gen�ollte. Eine neue Benachrichtigung w� nur notwendig, falls ein
neues Programm mit Vreschl�ng zu dem Archiv hinzugef�rde.
Zus�licher Vertrieb von Freeware ben�t keine weitere Benachrichtigung.
Allerdings unterl�n kommerzielle Versionen den Anforderungen an technische
Begutachtung, Lizenzierung und Berichte, denen auch andere kommerzielle
Produkte unterliegen. Die zuk�en �derungen an Gesetzen oder Regularien
vorherzusagen ist schwierig, aber falls sich das Gesetz �ert, m�
Sie entweder Ihre Site vom Netz nehmen oder sie so �ern, dass sie
dieses weiter einh�. Sie unterliegen keiner Verpflichtung, andere Kunden
�hre rechtlichen Verpflichtungen zu informieren, aber falls Sie eine
Liste von h�ig gestellten Fragen pflegen, w�ch mich freuen,
angemessene Antworten, die sie ihnen anbieten k�en, vorzuschlagen.</p>
<p>Fragen (Hinweis: jede Frage von Debian ist mit einem <q>D:</q> markiert)</p>
<blockquote class="question">
<p>
<span>D:</span>
M�wird das Bureau of Export Administration (BXA) �oftware
informieren, die wir zu Ver�ntlichungen hinzuf�</p>
</blockquote>
<p>Falls die Benachrichtigung genau formuliert ist und das Archiv auf der Site,
die in der Benachrichtigung angegeben ist, bleibt, m�Sie nur eine einzige
Benachrichtigung an BXA f� anf�liche Archiv einreichen. Nur eine
Benachrichtigung f�e Site in den USA wird ben�t; f�egelsites
innerhalb oder au�rhalb der USA wird keine separate Benachrichtigung
ben�t. Diese Benachrichtigung m�nur aktualisiert werden, wenn Sie
ein neues Programm, das Verschl�ng implementiert, hinzuf�</p>
<pre lang="en">
Department of Commerce
Bureau of Export Administration
Office of Strategic Trade and Foreign Policy Controls
14th Street and Pennsylvania Ave., N.W.
Room 2705
Washington, DC 20230
Re: Unrestricted Encryption Source Code Notification
Commodity: Debian Source Code
Dear Sir/Madam:
Pursuant to paragraph (e)(1) of Part 740.13 of the U.S. Export
Administration Regulations ("EAR", 15 CFR Part 730 et seq.), we are
providing this written notification of the Internet location of the
unrestricted, publicly available Debian Source Code. Debian Source Code
is a free operating system developed by a group of individuals,
coordinated by the non-profit Software in the Public Interest. This
archive is updated from time to time, but its location is constant.
Therefore, and this notification serves as a one-time notification for
subsequent updates that may occur in the future. New programs will be
the subject of a separate notification. The Internet location for the
Debian Source Code is: http://www.debian.org.
This site is mirrored to a number of other sites located
outside the United States.
A duplicate copy of this notification has been sent to the ENC
Encryption Request Coordinator, P.O. Box 246, Annapolis Junction, MD
20701-0246.
If you have any questions, please call me at (xxx) xxx-xxxx.
Sincerely,
Name
Title
</pre>
<blockquote class="question">
<p>
<span>D:</span>
Welche Informationen m�wir in die Benachrichtigung aufnehmen?
</p>
</blockquote>
<p>Der obige Entwurf enth� die Informationen, die Sie in die Benachrichtigung
aufnehmen m�</p>
<blockquote class="question">
<p>
<span>D:</span>
Wie oft m�wir Benachrichtigungen senden? Wir m�en diese so selten
wie notwendig versenden, da sie f� und die Regierung mehr Arbeit
erzeugen, aber wir wollen sie auch so oft wie notwendig versenden, um die
Regularien der Regierung zu erf�
</p>
</blockquote>
<p>Wie oben aufgeschrieben und unter der Annahme, dass das Archiv auf der
Internet-Site wie in der Benachrichtigung identifiziert verbleibt sollten
Sie f�gende Aktualisierungen keine erneute Benachrichtigung einreichen
m� Sie w�nur eine weitere Benachrichtigung einreichen m�
falls Sie ein neues Programm hinzuf� das Kryptographie
implementiert.</p>
<blockquote class="question">
<p>
<span>D:</span>
Falls wir unsere kryptographische Software in dieses Land versch� und
die Gesetze oder Regularien w�versch�t, was k�en wir dann
m�cherweise verlieren? M� wir irgendwelche Software oder CDs
zerst�? M� wir sie von unserer Hauptsite oder irgendwelchen
Spiegeln entfernen? Falls wir die verst�ter Verf�eit
kryptographischer Software dazu verwendeten, die Sicherheit des Rest
des Systems zu verbessern, und sich das kryptographische rechtliche
Klima verschlechterte, w� es wahrscheinlich, dass wir alle Kopien
dieser Software in den USA wegwerfen m�?
</p>
</blockquote>
<p>Der Trend geht zu verst�ter Liberalisierung der Exportkontrollen f� Kryptographie in den Vereinigten Staaten statt zu verst�ten Beschr�ungen.
Dieser Trend war �ie letzte Dekade hinweg konstant und hat sich im
vergangenen Jahr beschleunigt. Wir k�n Sie nicht zu der Frage beraten, was
Sie verlieren k�en, und nicht bis die neue Regulierungen ver�ntlicht
sind. Allerdings glauben wir, dass Sie das Copyright auf die Software und
einige, wenn auch vielleicht eingeschr�te, Exportrechte behielten.</p>
</p>
<blockquote class="question">
<p>
<span>D:</span>
In Reihenfolge absteigender Vorliebe w�wir die Benachrichtigung
wie folgt durchf�
</p>
<ul>
<li>Einmal f� ganze Debian-Archiv</li>
<li>Einmal f�e offizielle Ver�ntlichung (beachten Sie hierbei
aber, dass sich Testing/Unstable zwischen Ver�ntlichungen
ver�ert)</li>
<li>Einmal wenn ein neues Programm, das Kryptographie enth�, zu dem
Archiv hinzugef�rd</li>
<li>Einmal wenn eine neue Version eines Programmmes, das Kryptographie
enth�, zu dem Archiv hinzugef�rd</li>
</ul>
</blockquote>
<p>Ich glaube, dass Sie nur eine neue Benachrichtigung einzureichen haben, wenn
Sie ein neues Programm, das Kryptographie beinhaltet, hinzuf� Aktualisierungen zu existierenden Programmen sollten durch die umfassende
Sprache der von uns oben vorgeschlagenen Benachrichtigung abgedeckt sein.</p>
<blockquote class="question">
<p>
<span>D:</span>
Neue Pakete kommen in den folgenden Ablauf an Schritten in das
Debian-Archiv. Zu welchem Zeitpunkt muss die Benachrichtigung stattfinden?
</p>
<ol>
<li>Die Originalautoren ver�ntlichen ein Paket als Open Source. Dieser
Schritt wird bei einem Debian-eigenen Paket �rungen.</li>
<li>Ein Debian-Entwickler paketiert die Quellen und das Bin�rogramm f� Debian, oft mit �derungen am Quelltext.</li>
<li>Das Paket wird auf ftp-master, incoming, hochgeladen.</li>
<li>Das neue Paket kann nicht installiert werden, da es neu ist.</li>
<li>Ftp-Administratoren f�ie ben�ten Eintragungen f� Paket
hinzu.</li>
<li>Das Paket wird innerhalb weniger Tage in das Archiv installiert.</li>
<li>Das Paket wird auf die Spiegelsites kopiert.</li>
</ol>
</blockquote>
<p>Die Regulierung ist recht deutlich, dass die Benachrichtigung vor oder
gleichzeitig mit der �ntlichen Verf�eit erfolgen muss. Exporte vor
der �ntlichen Verf�eit ben�en eine Exportlizenz. Falls das Archiv
in Schritt 3 nicht �ntlich verf�ist, muss das Paekt entweder vor
Schritt 3 �ntlich verf�gemacht (und eine Benachrichtigung gesendet)
werden oder f�ian-Entwickler werden Exportlizenzen ben�en. Falls das
Archiv in Schritt 3 �ntlich verf�ist, dann w�Benachrichtigungen
die Notwendigkeit beseitigen, f�ian-Entwickler Exportlizenzen zu
haben.</p>
<blockquote class="question">
<p>
<span>D:</span>
Falls der Originalautor die BXA benachrichtigt hat, wird dann eine
Benachrichtigung ben�t? (Das Paketieren f�ian kann �derungen an
den Quellen beinhalten, darunter �derungen am Ablageort von Dateien und
gelegentlich funktionale Unterschiede, obwohl allerdings das allgemeine
Ziel lautet, die Originalquellen in Debian mit minimalen �derungen zum
Laufen zu bekommen.)
</p>
</blockquote>
<p>Falls der Originalautor die BXA benachrichtigt hat reicht dies aus.</p>
<blockquote class="question">
<p>
<span>D:</span>
M�wir eine Benachrichtigung durchf� wenn neue Bin�rogramme
(Objektcodes) hinzugef�rden, falls wir bereits f� Quellcode eine
Benachrichtigung durchgef�aben?
</p>
</blockquote>
<p>Ich glaube nicht, dass Sie eine neue Benachrichtigung f�en Objektcode
einreichen m� solange eine Benachrichtigung f� Quellcode
eingereicht wurde.</p>
<blockquote class="question">
<p>
<span>D:</span>
Wird f�gramme, die keine kryptographischen Algorithmen enthalten,
die aber gegen kryptographische Bibliotheken gelinkt werden, eine
Benachrichtigung notwendig? Wie sieht es f�grammen, die andere
Programme f�ptographische Funktionen ausf� aus?
</p>
</blockquote>
<p>Solange ein Programm Open Source ist kann es ein offenes kryptographische
API enthalten und immer noch unter die <q>License Exception TSU</q>
fallen.</p>
<blockquote class="question">
<p>
<span>D:</span>
Neue Programme k�n leicht vor der Ver�ntlichung ��rden
(und zu diesem Zeitpunkt eine Benachrichtigung erledigt weren), aber wenn
eine Aktualisierung durchgef�ird gibt es keinen manuellen Schritt,
an dem die Benachrichtiung erfolgen kann. W� es akzeptabel, f�e neu
hinzugef�oftware die die BXA mit einem Hinweis zu benachrichtigen,
dass zuk�e Aktualisierungen auch das Hinzuf�ryptographischer
Funktionalit�beinhalten k�n?
</p>
</blockquote>
<p>Ja. �er-Berichten sollte wahrscheinlich wo zumutbar vermieden werden, aber
Unter-Berichten muss vermieden werden. Zuk�e Aktualisierungen eines
existierenden Programms ben�en keine separate Benachrichtigung. Nur neue
Programme ben�en eine separate Benachrichtigung.</p>
<blockquote class="question">
<p>
<span>D:</span>
K�n wir den Prozess der Einsendung der Benachrichtigungen automatisieren?
</p>
</blockquote>
<p>Sie k�n den Prozess der Einsendung der Benachrichtigungen automatisieren.
Dies ist eine interne prozedurale Angelegenheit. BXA und NSA interessiert es
nicht, wie Sie die Benachrichtigung intern ausf�</p>
<blockquote class="question">
<p>
<span>D:</span>
Welche Form sollte die Benachrichtigung haben?
</p>
</blockquote>
<p>Die Benachrichtung der BXA kann entweder elektronisch oder auf Papier
erfolgen, die Benachrichtigung der NSA muss auf Papier erfolgen.</p>
<blockquote class="question">
<p>
<span>D:</span>
Wer kann die Benachrichtigung einsenden? M�sie beispielsweise B� der USA sein?
</p>
</blockquote>
<p>Jede Person darf die Benachrichtigung einsenden; die Staatsangeh�keit ist
nicht relevant.</p>
<blockquote class="question">
<p>
<span>D:</span>
Gibt es irgendwelche anderen Belange, denen wir uns bewu� sein sollten?
Welche Ma�ahmen m�wir neben der Benachrichtigung noch treffen?
</p>
</blockquote>
<p>Neben der Benachrichtigung k�en Sie die Implementierung einer umgekehrten
IP-Suche �gen, die den Computer identifiziert, der um das Herunterladen
bittet und dann Downloads des kryptographischen Archivs aus L�ern
blockiert, die von den USA mit einem Embargo belegt sind: Kuba, Iran, Irak,
Libyen, Nord-Korea, Syrien, Sudan und das von den Taliban besetzte
Afghanistan. Zus�lich k�en Sie �gen, eine Klausel in Ihrer
Lizenzvereinbarung oder einen separaten Bildschirm vor dem Herunterladen zu
haben, der die Software herunterladende Person wie folgt ber�</p>
<p>Diese Software unterliegt den US-Exportkontrollen, anwendbar auf Open
Source-Software die Kryptographie enth�. Debian hat die Benachrichtigung
bei dem Bureau of Export Administration und der National Security Agency
eingereicht, die vor dem Export gem�den Bestimmungen der License Exception
TSU der US-Exportadministrationsregeln verlangt ist. In Einklang mit den
Anforderungen der License Exception TSU erkl�n und gew�leisten Sie, dass
Sie berechtigt sind, die Software zu erhalten, dass Sie sich nicht in einem
Land befinden, das dem Embargo der Vereinigten Staaten unterliegt und
dass Sie die Software weder direkt noch indirekt in dem Design, der
Entwicklung, der Lagerung oder Verwendung von nuklearen, chemischen oder
biologischen Waffen oder Raketen verwenden. Kompilierter Bin�ode, der
kostenlos weitergegeben wird, darf gem�den Vorschriften der License
Exception TSU reexportiert werden. Allerdings kann eine zus�liche
technische Begutachtung und andere Anforderungen f�merzielle Produkte,
die diesen Code einbauen, vor dem Export aus den Vereinigten Staaten
notwendig sein. F��liche Informationen lesen Sie bitte
www.bxa.doc.gov.</p>
<blockquote class="question">
<p>
<span>D:</span>
Derzeit k�n Benutzer weltweit auf die Software, die auf die Integration
in unser Archiv wartet, zugreifen und diese m�cherweise herunterladen.
Wahrscheinlich w�wir alle notwendigen Benachrichtigungen erledigen,
w�end die Software in das Archiv aufgenommen wird. Somit w�oftware
in diesem Zustand auf die Benachrichtigung warten. W� dies ein Problem?
Falls ja, w� es akzeptable, eine alternative Warteschlange mit
kryptographischer Software, die auf die Integration in das Archiv wartet,
aufzusetzen, die nur f�ere Entwickler verf�w�? Um Software
in unsere Distribution aufzunehmen, m�Entwickler, die sich oftmals
au�rhalb der USA befinden, die Software untersuchen und sicherstellen,
dass Sie bestimmten Richtlinien gen�ie sollten wir diesen Zugriff
realisieren? Gibt es andere L�gen zu diesem Bereich vor der
Benachrichtigung, an die wir denken sollten?</p>
<p>Ein Problem, das uns h�ig �en Weg l�t, sind Software-Patente.
Offensichtlich entfernt die Integration von Kryptographie in Software keine
der Patentsorgen, �ie wir normalerweise nachdenken m�. Gibt es
allerdings irgendwelche neuen Probleme die wir bedenken m� wenn Patente
in das Wechselspiel mit den Exportregularien kommen? Es scheint, dass
zumindest f� Freistellungs-TSU (Abschnitt 740.13 der EAR) Patente
keinen Einfluss darauf nehmen, ob der Quellcode �ntlich ist.</p>
</blockquote>
<p>Es ist wichtig zwischen, dem Archiv, das der Benachrichtigung unterlag, und
neuen Programmen zu unterscheiden. Sie k�n das Archiv, das der
Benachrichtigung unterlag, ohne weitere Benachrichtigung aktualisieren,
wie oben beschrieben. Nur neue Programme m�vor der Ver�ntlichung
Thema einer separaten Benachrichtigung sein. Falls neue Programme von
Entwicklern vor der Ver�ntlichung begutachtet werden m�und diese
Software sowohl nicht �ntlich verf�und die US-Regierung noch
nicht dar�enachrichtigt ist, dann empfehle ich Ihnen, zu �gen,
sich eine Exportlizenz zu besorgen, die diese beschr�te Begutachtung vor der
Benachrichtigung erlaubt. Ihre Aussage ist korrekt, dass Patente Software
nicht von der Eignung zum Export unter der License Exception TSU
disqualifizieren.</p>
<blockquote class="question">
<p>
<span>D:</span>
Distribution, Spiegeln und CDs</p>
<p>M�unsere Spiegel in den USA die BXA benachrichten, falls wir
Kryptographie zu unserem Archiv hinzuf�Wie oft m�Sie die BXA
benachrichtigen? Wir w�gerne die Situation vermeiden, in der Spiegel
f�es neue Programm, das Debian zum Archiv hinzuf�ine
Benachrichtigung versenden m� selbst falls unser Hauptserver solche
Benachrichtigungen einsenden muss. Wir m�den Betrieb f�
Spiegelbetreiber einfach halten. Was, falls �upt, m� Spiegel
au�rhalb der USA tun?</p>
<p>Falls wir eine Aktualisierung an einen Spiegel sendeten statt darauf zu
warten, dass er die Software herunterl�, m�wir irgendwelche
besonderen Schritte durchf� Was falls wir einem Spiegel eine Bitte zum
Herunterladen neuer/ge�erter Software schicken?</p>
</blockquote>
<p>Sobald die Benachrichtigung f� zentralen Server versandt wurde wird
keine weitere Benachrichtigung f�egelsites ben�t.</p>
<blockquote class="question">
<p>
<span>D:</span>
Welche der folgenden H�ler (falls �upt) w� nur mit einer
Benachrichtigung in der Lage, unver�erte Debian-Programme (und Quellen)
zu versenden? Welche w�Begutachtungen und Zustimmungen ben�en?
K�e die Begutachtung zeitgleich zum Versand erfolgen, oder m�sie
vorher erfolgen?</p>
<p> A) Post-Versand von CDs zu den Medienkosten?<br />
B) Post-Versand von CDs mit Gewinnabsicht?<br />
C) Regalverkauf von CDs zu den Medienkosten?<br />
D) Regalverkauf der CDs mit Gewinnabsicht?<br />
E) H�ler, die CDs von A) oder C) (s.o.) zusammen mit Hardware
bereitstellen. Die Hardware wird mit Gewinnabsicht verkauft, allerdings
keine Vorinstallation?<br />
F) Wie E, allerdings mit Vorinstallation der Software?<br />
G) Irgendeines der obigen, Verkauf von Unterst� f� Software?</p>
<p> Falls das leichter ist, hier eine andere Betrachtungsweise: Welche
Bedingungen m�f�en H�ler erf�ein, um Bin�rogramme unter
der License Exception TSU zu versenden, und welche Kosten darf der H�ler
wieder erlangen und/oder zu welchen Kosten darf der H�ler mit Gewinn
verkaufen?</p>
</blockquote>
<p>Vern�e und �e Geb�f� Reproduktion und den Vertrieb sind
erlaubt, aber keine Lizenzgeb� Unterst� ist ebenfalls entsprechend
der obigen Begrenzungen erlaubt.</p>
<blockquote class="question">
<p>
<span>D:</span>
Falls die einmalige Begutachtung f�er�erte Programme, die mit
Gewinnabsicht verkauft werden, gen�ann diese Bewilligung von anderen
H�lern verwandt werden, die unver�erte Programme versenden?</p>
</blockquote>
<p>Die einmalige Begutachtung ist produktbezogen und unabh�ig vom H�ler.</p>
<blockquote class="question">
<p>
<span>D:</span>
W� es akzeptierbar, einen offiziellen Spiegel in einem Land, das von
Abschnitt 740.13(e) der EAR verboten wird, aufzusetzen?
</p>
</blockquote>
<p>Sie m� eine Lizenz beantragen, einen offiziellen Spiegeln in einem
Land unter Embargo aufzusetzen.</p>
<blockquote class="question">
<p>
<span>D:</span>
Falls es technisch undurchf� w�, Zugriff von den T7-L�ern zu einem
Netz von Web- (oder FTP-, usw.)Servern zu verhindern, verlangte die
angemessene Sorgfalt extreme Ma�ahmen? Erf�er defakto Standard des
Gang und G�-Vorgehens die angemessene Sorgfalt?</p>
</blockquote>
<p>Der Defakto-Industriestandard sollte ausreichen. Ich hoffe, dass die
Regierung erkennt, dass jedes von Menschen entworfene System mit genug
Einsatz bezwungen werden kann.</p>
<blockquote class="question">
<p>
<span>D:</span>
Welche Schritte sollten wir unternehmen, falls uns bewu� wird, dass
jemand Software von einem Spiegel innerhalb der USA in eines dieser L�er
herunterl�? Was gilt, falls uns bewu� wird, dass das Herunterladen in
eines dieser L�er von einem Spiegel au�rhalb der USA passiert?</p>
<p>Einige unserer Entwickler k�en in den sieben von der Freistellungs-TSU
verbotenen L�ern leben oder deren B�sein. W� es f�se Entwickler
ein Problem, Zugriff auf kryptographische Software auf unseren Maschinen
zu erhalten? M� wir sie bitten, solche Software nicht herunterzuladen?
Welche Schritte m� wir unternehmen, falls uns bewu� wird, dass sie
kryptographische Software herunterladen?</p>
</blockquote>
<p>Reines Ver�ntlichen kryptographischer Software auf einem Server, der von
einem Land unter Embargo zugreifbar ist, bedeutet kein <q>Wissen</q>, dass
die Software dorthin exportiert wurde. Daher zieht das reine
Ver�ntlichen keine Haftung im strafrechtlichen Sinne nach sich. Wir
empfehlen, dass Sie IP-�erpr�n durchf�und das Herunterladen
aus L�ern unter Embargo verbieten. Diese geb�e Sorgfalt w�uch
eine Verteidigung gegen einen Anspruch auf zivilrechtliche Haftung
darstellen. Falls Sie herausfinden, dass Ihre Software in ein verbotenes
Ziel heruntergeladen wurde, empfehle ich Ihnen, dass Sie zuk�es
Herunterladen zu dieser speziellen Site blockieren, es sei denn und bis
Sie eine Lizenz von der BXA erhalten haben.</p>
<hr />
<p>Debian bedankt sich bei <a href="http://www.hp.com/";>Hewlett-Packards</a>
<a href="http://www.hp.com/products1/linux/";>Linux Systems Operation</a>
f�e Unterst� beim Erhalt dieser rechtlichen Stellungnahme.</p>
Attachment:
signature.asc
Description: Digital signature