Question:
Est-il légal d'exporter des logiciels cryptographiques open source du Canada
user900
2015-11-20 22:44:40 UTC
view on stackexchange narkive permalink

Je suis un développeur de logiciels indépendant qui a développé un programme qui relie les bibliothèques OpenSSL dans le but de permettre aux utilisateurs de déchiffrer, filtrer et rechiffrer le contenu sécurisé. Par exemple, l'un des moteurs de filtrage de ce logiciel contient un proxy HTTPS transparent dans lequel l'utilisateur peut charger des règles de filtrage telles que les filtres Adblock Plus ( EasyList) et demander au proxy de supprimer de manière transparente le contenu correspondant avant de le présenter.

J'ai l'intention de publier l'intégralité du code source sur Github.com et de publier des versions binaires, à la fois sous la GNU GPL v3 (ou toute version ultérieure). J'ai parlé avec EXCOL pour essayer d'obtenir une décision formelle sur la question de savoir si un tel programme est soumis ou non à un contrôle en vertu de la loi sur l'importation / l'exportation au Canada. Cependant, ils ne veulent tout simplement pas prendre de décision par téléphone ou par e-mail et la seule décision claire qu'ils m'ont donnée est qu'en raison de la nature du produit et de la façon dont je le lance, je ne suis pas éligible à demander un permis d'exportation (car il n'y a pas de destinataire). L'autre chose qu'ils ont précisé est que le téléchargement de quelque chose sur un site Web est classé comme "exportation".

En tant que tel, ils m'ont dit que la seule chose que je pouvais faire était de demander un avis consultatif, ce qui, selon eux, va prendre "très longtemps "parce que leur priorité est de traiter les demandes réelles et non de donner des avis. De plus, ils m'ont essentiellement dit que l'opinion était inutile, car elle était basée sur vos spécifications fournies et non sur le "produit" réel, donc l'opinion peut être révoquée / modifiée / rejetée.

Il y a un langage dans le guide officiel de la demande de permis qui suggère que les logiciels placés dans "le domaine public" ne sont pas soumis à un contrôle, la définition de "domaine public" signifiant généralement accessible au public, et non la norme interprétation appliquée au droit d'auteur.

Remarque:

Cela ne libère pas une telle "technologie" contrôlée dans les entrées 1-1.E.2.e. et 1-1.E.2.f. et 1-8.E.2.a. et 1-8.E.2.b.

Les contrôles ne s'appliquent pas à la "technologie" du "domaine public", à la "recherche scientifique fondamentale" ou aux informations minimales nécessaires pour les demandes de brevet. Note générale sur le logiciel:

Les listes ne contrôlent pas le «logiciel» qui est l'un des suivants: 

  1. Généralement accessible au public en étant: Vendue en stock dans les points de vente au détail, sans restriction, au moyen: 1. de transactions de gré à gré; 2. Transactions par correspondance; 3. Transactions électroniques; ou 4. les transactions d'appels téléphoniques; et Conçu pour être installé par l'utilisateur sans autre assistance substantielle de la part du fournisseur; ou Remarque: l'entrée 1 de la note générale sur les logiciels ne libère pas de «logiciel» contrôlé par la catégorie 5, partie 2 («sécurité de l'information»). «Dans le domaine public»; ou 3. Le "code objet" minimum nécessaire pour l'installation, l'exploitation, la maintenance (vérification) ou la réparation des éléments dont l'exportation a été autorisée. ("Sécurité de l'information").

La définition du "domaine public" est donnée comme suit:

"Dans le domaine public" - Note générale sur la technologie, note générale sur le logiciel, 2-22 Cela signifie «technologie» ou «logiciel» qui a été rendu disponible sans restrictions lors de sa diffusion ultérieure. 

  Remarque: les restrictions de copyright ne suppriment pas » technologie "ou" logiciel "d'être" dans le domaine public ".

De plus, j'ai pu trouver une présentation qu'une société canadienne a faite à la Banque TD, posté ici qui semble interpréter ce langage comme signifiant que le logiciel open source est exempt de contrôle:

Exception "Open Source" - l'autorisation n'est pas requise si le logiciel les articles contenant la fonction cryptographique sont du domaine public

Ils le nuancent ensuite avec la déclaration suivante:

Ne s'applique pas lorsque le logiciel open source est combiné avec un logiciel propriétaire - c'est-à-dire un programme cryptographique open source (OpenSSL, etc ...) intégré en tant que fonction de sécurité dans ou liée au logiciel propriétaire de l'entreprise.

OpenSSL est un ensemble de bibliothèques de cryptographie open source, donc cette qualification supplémentaire sur l'exception signifie que les applications à source fermée se lient à ouvrir la crypto source n'est pas couverte. Puisqu'il s'agit d'une affirmation négative, l'inverse doit nécessairement être vrai, ce logiciel open source lié à quelque chose comme OpenSSL est couvert. Ceci est mon interprétation, j'ai contacté l'avocat qui a fait la présentation dans l'espoir d'obtenir des éclaircissements.

Ma question est donc: est-ce que j'interprète correctement ces informations? Que tant que la source est ouverte au public, rendue généralement disponible, que l'on peut légalement «exporter» c'est-à-dire publier une telle œuvre légalement sans permis d'exportation?

Je ne connais pas le droit canadien, mais dans les années 90, lorsque la cryptographie était silencieuse aux États-Unis, les gens contournaient l'interdiction en publiant des livres contenant le code source, avec des bords perforés et une police facile à reconnaître pour ocr. Les livres sont protégés en vertu du 1er amendement et vous ne pouvez donc pas être poursuivi. Idk si cela pouvait être fait au Canada. Je sais que ce n'est absolument pas ainsi que vous prévoyez de diffuser votre source, mais c'est quelque chose qui a été fait et je pense que c'est pertinent si quelqu'un d'autre rencontre cette question.
@Viktor C'est intéressant et logique. La différence qui vient du Canada, malheureusement, c'est que nous n'avons pas la liberté d'expression, pas même proche de celle des États-Unis. Un exemple célèbre de cela est que Mark Steyn a été traîné devant les tribunaux canadiens des droits de la personne dans plusieurs provinces pour ses critiques de l'islam (il est auteur et journaliste), où une condamnation aurait entraîné au minimum une interdiction de publication à vie.
Je pense que je publierai une prime. J'espère que l'avocat qui a fait la publication originale me reviendra pour une consultation, mais je crois que j'ai raison dans mon interprétation. Je dois juste revoir les sections 1-1.E.2.e, 1-1.E.2.f, 1-8.E.2.a. et 1-8.E.2.b (les seules sections spécifiquement mentionnées où le "domaine public" ne donne pas d'exception au contrôle).
Je vais publier une réponse, mais uniquement à titre informatif, je ne suis en aucun cas en train de conclure que ma réponse publiée est la réponse finale. Je veux juste distinguer les exceptions aux règles open source sans faire de cette question une énorme course à la question. J'espère que ma réponse inspirera de meilleures réponses que la mienne, et non une réponse définitive.
Un répondre:
user900
2015-11-23 05:09:21 UTC
view on stackexchange narkive permalink

Je publie une réponse en espérant que ce ne soit pas la réponse finale, mais plutôt dans l'espoir qu'elle inspire une meilleure réponse elle-même. L'exception open source ou "domaine public" citée dans ma question comporte certaines contraintes. Par exemple, un logiciel qui relève de 1-1.E.2.e , 1-1.E.2.f , 1-8.E. 2.a et 1-8.E.2.b ne sont pas couverts par l'exception. Donc, voici un résumé de chacune de ces sections, et les sections auxquelles ces sections font référence:

Section 1-1.E.2.e - " Technologie "pour l'installation, l'entretien ou la réparation des matériaux visés au 1-1.C.1.

La section 1-1.C.1 couvre les matériaux spécialement conçus pour être utilisés comme absorbeurs d'ondes électromagnétiques, ou polymères intrinsèquement conducteurs, comme suit:

. .. Non inclus car mon logiciel n'a absolument rien à voir avec des matériaux d'aucune sorte. La section entière concerne la qualification d'un type de matériau auquel cette règle s'applique.

1-1.E.2.f - "Technologie" pour la réparation des structures "composites", stratifiés ou matériaux visés aux alinéas 1-1.A.2., 1-1.C.7.c. ou 1-1.C.7.d.

La section 1-1.A.2 couvre les structures ou stratifiés "composites" présentant l'une des caractéristiques suivantes:

... Non inclus car mon logiciel n'a absolument rien à voir avec des matériaux d'aucune sorte. La section entière traite de la qualification d'un type de matériau auquel cette règle s'applique.

La section 1-1.C.7.c couvre les matériaux «composites» céramique-céramique avec un verre ou oxyde- "matrice" et renforcé de fibres présentant toutes les caractéristiques suivantes:

... Non inclus car mon logiciel n'a absolument rien à voir avec des matériaux d'aucune sorte. Toute la section concerne la qualification d'un type de matériau auquel cette règle s'applique.

La section 1-1.C.7.d couvre les matériaux "composites" céramique-céramique, avec ou sans phase métallique continue, incorporant des particules, des moustaches ou des fibres, où les carbures ou nitrures de silicium , le zirconium ou le bore forment la "matrice";

Section 1-8.E.2 Autre "technologie" définie comme suit:

a. "Technologie" pour le "développement", la "production", la réparation, la révision ou la remise à neuf (réusinage) d'hélices spécialement conçues pour la réduction du bruit sous-marin;

b. "Technologie" pour la révision ou la remise à neuf des équipements visés aux alinéas 1-8.A.1., 1-8.A.2.b., 1-8.A.2.j., 1-8.A.2 .o. ou 1-8.A.2.p.

J'ai omis de copier un peu de texte, mais j'ai gardé le titre / résumé pour illustrer que toutes les exceptions à la L'exception open source ou "domaine public" a quelque chose à voir avec les logiciels liés aux matériaux physiques restreints. Il existe quelques autres exceptions à l'exception générale, notamment la contrainte «Sécurité de l'information», mais notez que la contrainte «Sécurité de l'information» s'applique spécifiquement aux entrées 1 et 3, et que l'exception open source ou «domaine public» est définie dans l'entrée 2 .

Juste pour le plaisir, la définition de «Sécurité de l'information»:

«Sécurité de l'information» - Cat 5P2 Tous les moyens et fonctions assurant l'accessibilité, la confidentialité ou l'intégrité de informations ou communications, à l'exclusion des moyens et fonctions destinés à se prémunir contre les dysfonctionnements. Cela inclut la «cryptographie», «l'activation cryptographique», l'analyse cryptographique, la protection contre les émanations compromettantes et la sécurité informatique.

Note technique:

«Cryptanalyse»: l'analyse d'un système cryptographique ou de ses entrées et sorties pour dériver des variables confidentielles ou des données sensibles, y compris du texte clair. (ISO 7498-2-1988 (E), paragraphe 3.3.18).

Après avoir passé en revue chacune des contraintes imposées aux différentes exceptions, je crois que l'esprit de la loi ici est de contrôler:

  1. Logiciel de «sécurité de l'information» à source fermée qui définit ou utilise la cryptographie, que le logiciel de cryptage lié soit open source ou non.

  2. Logiciel fermé ou open source qui est même à distance lié à l'étude ou à la production de matériaux physiques qui vous avez besoin d'un permis d'exportation pour. Fondamentalement, si le programme mentionne même un matériel pour lequel vous auriez besoin d'un permis d'exportation, vous aurez probablement besoin d'un permis d'exportation pour le logiciel, qu'il soit open source ou non.

Encore une fois, ce n'est pas censé être une réponse définitive. Je publie simplement plus d'informations sur la question et mes réflexions à ce sujet, dans l'espoir d'aider à créer une meilleure réponse que celle-ci. De plus, beaucoup de représentants vont descendre aux toilettes sans autre réponse. :)



Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 3.0 sous laquelle il est distribué.
Loading...