暗号法

暗号学とは、情報を暗号化する実践と研究、言い換えれば、不正アクセスから情報を保護することです。暗号に関する法律は国によって様々です。暗号ソフトウェアや暗号アルゴリズム暗号解読手法の輸出を禁止している国もあります。また、警察の捜査の際に復号鍵を復元可能であることを義務付けている国もあります。

概要

暗号法に関する問題は4つのカテゴリーに分類される。[ 1 ]

禁止事項

暗号技術は、情報収集機関や法執行機関にとって長年の関心事であった。[ 3 ]秘密通信は犯罪、あるいは反逆罪に問われる可能性もある。また、暗号技術はプライバシーの保護を容易にする一方で、その禁止に伴うプライバシーの侵害も懸念されるため、公民権擁護者にとっても大きな関心事となっている。そのため、特に安価なコンピュータの登場により高品質な暗号技術への広範なアクセスが可能になって以来、暗号技術をめぐる法的論議は、これまでも議論の的となってきた。

一部の国では、暗号技術の国内使用さえも制限されているか、あるいは制限されていた。フランスは1999年まで国内での暗号技術の使用を大幅に制限していたが、その後多くの規制を緩和した。中国イランでは、暗号技術を使用するには依然としてライセンスが必要である。[ 4 ]多くの国では暗号技術の使用に厳しい規制が設けられており、特にベラルーシカザフスタンモンゴルパキスタンシンガポールチュニジアベトナムでは法律が厳しい。[ 5 ]

米国では、暗号は国内での使用は合法であるが、暗号に関連する法的問題をめぐっては多くの争いがあった。[ 3 ]特に重要な問題の 1 つは、暗号および暗号ソフトウェアとハ​​ードウェアの輸出である。おそらく、第二次世界大戦における暗号解読の重要性と、暗号が国家安全保障上重要であり続けるとの見通しから、多くの西側諸国政府は、ある時点で暗号の輸出を厳しく規制した。第二次世界大戦後、米国では暗号技術を海外に販売または配布することは違法であり、実際、暗号は軍事補助装備に指定され、米国軍需品リストに掲載された。[ 6 ]パーソナルコンピュータ、非対称鍵アルゴリズム (つまり、公開鍵技術)、およびインターネットが開発されるまでは、これは特に問題にならなかった。しかし、インターネットが成長し、コンピュータがより広く利用できるようになったため、高品質の暗号化技術が世界中でよく知られるようになった。

輸出規制

1990年代には、米国の暗号輸出規制に対していくつかの異議が唱えられた。 1991年6月にフィリップ・ジマーマンPretty Good Privacy (PGP)暗号化プログラムのソースコードがインターネット上に流出した後、RSA Security(当時RSA Data Security, Inc.)の苦情により、米国税関とFBIジマーマンに対して長期にわたる刑事捜査を行ったが、起訴には至らなかった。[ 7 ] [ 8 ]当時カリフォルニア大学バークレー校の大学院生だったダニエル・J・バーンスタインは、言論の自由を理由に、米国政府を相手取って規制の一部に異議を唱える訴訟を起こした。1995年のBernstein対米国訴訟は最終的に、暗号アルゴリズムおよびシステムの印刷されたソースコードは米国憲法によって言論の自由として保護されるとの1999年の判決に至った。 [ 9 ]

1996年、39カ国がワッセナー・アレンジメントに署名しました。これは武器の輸出と暗号技術などの「軍民両用」技術を扱う軍備管理条約です。この条約では、短い鍵長(対称暗号では56ビット、RSAでは512ビット)の暗号技術の使用は輸出規制の対象外と規定されました。[ 10 ] 2000年の規制緩和の結果、米国からの暗号技術の輸出規制は緩和され、[ 11 ]米国から輸出される大衆市場向けソフトウェアの鍵長に関する規制はもはやほとんどなくなりました。米国の輸出規制のこの緩和と、インターネットに接続されているほとんどのパーソナルコンピュータにFirefoxInternet Explorerなどの米国製のウェブブラウザが搭載されていることから、世界中のほぼすべてのインターネットユーザーは、ブラウザ(例:トランスポート層セキュリティ経由)を介して高品質の暗号技術にアクセスできる可能性があります。 Mozilla ThunderbirdMicrosoft Outlookといった電子メールクライアントプログラムも同様にTLS経由で電子メールを送受信でき、S/MIMEで暗号化された電子メールを送受信できます。多くのインターネットユーザーは、基本的なアプリケーションソフトウェアにこれほど高度な暗号システムが組み込まれていることに気づいていません。これらのブラウザや電子メールプログラムは非常に普及しているため、暗号技術の民間利用を規制しようとする政府でさえ、このレベルの暗号技術の流通や使用を規制することは現実的ではないと考えている場合が多く、そのため、たとえそのような法律が施行されたとしても、実際の執行は事実上不可能であることが多いのです。

NSAの関与

メリーランド州フォートミードにあるNSA本部

アメリカ合衆国の暗号技術に関するもう 1 つの論争の的となっている問題は、国家安全保障局 (NSA)が暗号技術の開発と政策に及ぼす影響です。[ 3 ] NSA は、IBMでのDES開発時および米国標準規格協会が暗号技術の連邦標準の可能性として検討していたときに、DES の設計に関わっていました。 [ 12 ] DES は差分解読法に耐えられるように設計されていました。[ 13 ]差分解読法は NSA と IBM が知っていた強力かつ汎用的な解読技術でしたが、1980 年代後半に再発見されて初めて公になりました。[ 14 ] Steven Levyによると、IBM は差分解読法を発見しましたが、[ 8 ] NSA の要請でその技術は秘密にしていました。その技術が公になったのは、数年後に Biham と Shamir が再発見し発表したときでした。この事件全体は、攻撃者が実際にどのようなリソースと知識を持っているかを判断することの難しさを物語っています。

NSAの関与を示すもう一つの例は、1993年のクリッパーチップ事件である。これは、キャップストーン暗号管理構想の一環として意図された暗号化マイクロチップである。クリッパーは、2つの理由から暗号学者から広く批判された。暗号アルゴリズム(スキップジャックと呼ばれる)は当時機密扱いされていた(クリッパー構想が失効してからかなり後の1998年に機密解除された)。機密扱いされた暗号は、NSAが諜報活動を支援するために意図的に暗号を脆弱にしたのではないかという懸念を引き起こした。構想全体も、政府が法執行機関(つまり盗聴)で使用するために保管する特別なエスクロー鍵を含んでいたため、カークホフスの原則に違反しているとして批判された。[ 8 ]

デジタル著作権管理

暗号化はデジタル著作権管理(DRM)の中心であり、著作権で保護された素材の使用を技術的に制御する一連の技術であり、一部の著作権者の要請により広く実装および展開されています。1998年、米国大統領ビル・クリントンはデジタルミレニアム著作権法(DMCA)に署名しました。この法律は、特定の暗号解読技術とテクノロジー(現在既知または後に発見されたもの)のすべての作成、頒布、および使用を犯罪としました。具体的には、DRMの技術的スキームを回避するために使用できるものです。[ 15 ]これは、暗号解読研究はすべてDMCAに違反しているという議論ができるため、暗号研究コミュニティに顕著な影響を与えました。その後、EU著作権指令での実施を含め、同様の法律がいくつかの国と地域で制定されました。世界知的所有権機関の加盟国 が署名した条約でも同様の制限が求められています。

米国司法省FBIは、一部の人が懸念していたほど厳格にDMCAを執行していないが、それでもこの法律は物議を醸し続けている。暗号研究者として高く評価されているニールス・ファーガソンは、 DMCAによる訴追を恐れて、インテルのセキュリティ設計に関する研究の一部を公開しないと公言している。 [ 16 ]暗号学者ブルース・シュナイアーは、DMCAはベンダーロックインを助長し、サイバーセキュリティに向けた実際の対策を妨げていると主張している。[ 17 ]アラン・コックス(長年のLinuxカーネル開発者)とエドワード・フェルテン(およびプリンストンの学生数名)はともにこの法律に関連した問題に遭遇している。ドミトリー・スクリャーロフは、ロシアで行った研究に起因するDMCA違反の疑いで、ロシアで合法であった研究を理由に、米国を訪問中に逮捕され、裁判を待つ間5ヶ月間投獄された。 2007年、ブルーレイHD DVDのコンテンツのスクランブル化に使用されていた暗号鍵が発見され、インターネット上に公開されました。どちらの事件でも、アメリカ映画協会(MPAA)は多数のDMCA削除通知を発出しましたが、こうした通知がフェアユース言論の自由に影響を与えると認識され、インターネット上で激しい反発が起こりました。[ 18 ]

暗号化キーの強制開示

英国では、捜査権限規制法により、英国警察は容疑者に対し、ファイルの復号や暗号鍵を保護するパスワードの引き渡しを強制する権限を与えられている。これに従わない場合はそれ自体が犯罪であり、有罪判決を受けた場合、懲役2年、国家安全保障に関わる事件では最長5年が科せられる。[ 19 ]この法律に基づく起訴は成功しており、2009年に行われた最初の起訴では[ 20 ] 13ヶ月の懲役刑が言い渡された。[ 21 ]オーストラリア、フィンランド、フランス、インドでも同様の強制開示法が制定されており、捜査対象の個々の容疑者に対し、刑事捜査中に暗号鍵やパスワードの引き渡しを強制している。

アメリカ合衆国では、連邦刑事事件「米国対フリコス事件」において、捜索令状によって暗号化パスフレーズやパスワードの開示を強制できるかどうかが争点となった。[ 22 ]電子フロンティア財団(EFF)は、これは憲法修正第五条で保障された自己負罪拒否の権利に違反すると主張した。[ 23 ] 2012年、裁判所は全令状法に基づき、被告は暗号化されていないハードドライブを裁判所に提出する必要があると判決を下した。[ 24 ]

多くの法域では、強制開示の法的地位は依然として不明確です。

2016 年のFBI と Apple の暗号化紛争は、米国の裁判所が、暗号化されて保護されたコンテンツを持つ携帯電話のロック解除にメーカーの協力を強制できるかどうかに関係しています。

強制開示に対する潜在的な対抗手段として、一部の暗号化ソフトウェアは、暗号化されたデータが未使用のランダム データ(たとえば、安全に消去されたドライブのデータなど)と区別できない、もっともらしい否認可能性をサポートしています。

各国の暗号法

中国

1999年10月、国務院は「商業暗号管理条例」を公布した。この条例によれば、商業暗号は国家機密として扱われた。[ 25 ]

2019年10月26日、全国人民代表大会常務委員会は「中華人民共和国暗号法」を公布した。この法律は2020年初頭に施行された。[ 25 ] [ 26 ]この法律は暗号を3つのカテゴリーに分類している。[ 25 ] [ 26 ]

  • 国家機密であり、最高機密までの情報に適したコア暗号
  • 通常の暗号は国家機密であり、機密情報に適しています。
  • 国家機密ではない情報を保護する商用暗号化。

この法律では、「商用暗号技術に対する、日常的な監視とランダムな検査を組み合わせた、プロセス中および事後的な監視メカニズム」が必要であると規定されている(これは、中国政府が暗号化されたサーバーにアクセスできるようにすることを示唆している)。[ 26 ]また、商用暗号技術を提供する外国企業には、何らかの国家承認が必要であると規定されている。[ 26 ]

中国で使用が認可されている暗号システムには、SM2、SM3SM4SM9がある。[ 27 ]

フランス

2011年現在および2004年以降、デジタル経済における信頼に関する法律フランス語Loi pour la confiance dans l'économie numérique、略称LCEN)により、暗号の使用はほぼ自由化されました。[ 28 ]

  • 暗号技術は認証と整合性の確保のみを目的として使用される限り、自由に利用できます。暗号鍵や取引に関与する主体の国籍は問いません。典型的な電子商取引ウェブサイトは、この自由化された体制に該当します。
  • 暗号ツールの外国への輸出入は、申告(相手国が欧州連合加盟国の場合)または明示的な許可(EU 域外の国の場合)が必要となります。

インド

2000年情報技術法(2008年改正)第69条は、インド政府職員または警察官が令状なしで電話の通話を盗聴したり、SMSメッセージやメールを読んだり、誰かが訪問するウェブサイトを監視したりすることを認めている。 [ 29 ]:2 [ 30 ] (しかし、これはインド憲法21条に違反する。[ 29 ]:2 )この条項はまた、インドの中央政府またはインドの州政府が任意の機関に情報の解読を強制することを可能にしている。[ 29 ]:4

2011年情報技術(仲介者ガイドライン)規則によれば、仲介者は調査やその他の目的でインド政府機関に情報を提供することが義務付けられている。[ 29 ]:2

ISPライセンス保有者は、 40ビットまでの暗号鍵を自由に使用できます。それを超える場合は、書面による許可を取得し、復号鍵を電気通信省に寄託する必要があります。[ 29 ] : 2–3

2012年証券取引委員会SEBI)の証券取引所または現金市場向けマスターサーキュラーによれば、証券取引所は暗号化を使用してデータの信頼性機密性を維持する責任があります。 [ 29 ]:3 インド準備銀行が2001年に発行したガイダンスによれば、銀行はブラウザと銀行間の通信を保護するために少なくとも128ビットのSSLを使用する必要があります。また、銀行は内部的に機密データを暗号化する必要があります。[ 29 ]:3

暗号製品を含む電子機器は、 1992年の外国貿易(開発および規制法)に基づく特殊化学物質、生物、材料、装置および技術(SCOMET)における軍民両用品目のカテゴリーの一つである。しかし、この規制では、どの暗号製品が輸出規制の対象となるのかは明記されていない。 [ 29 ] : 3

アメリカ合衆国

米国では、国際武器取引規則により暗号技術の輸出が制限されています。

参照

参考文献

  1. ^ Kumar, Pankaj (2004年5月28日). 「Javaによる暗号化」 . ピアソン. 2013年2月12日閲覧
  2. ^ Koops, Bert-Jaap (1996年11月). 「暗号法と規制の概観」 .コンピュータ法とセキュリティレポート. 6. 12 (6): 349– 355. doi : 10.1016/0267-3649(96)84928-4 .(アクセスは現在のトロント大学に限定されています)
  3. ^ a b cレンジャー、スティーブ(2015年3月24日)「インターネットの秘密をめぐる秘密戦争:オンライン監視がウェブへの信頼を揺るがす」 TechRepublic。2016年6月12日時点のオリジナルよりアーカイブ。 2016年6月12日閲覧
  4. ^ 「国別概要」暗号法調査、2013年2月。 2015年3月26日閲覧
  5. ^ 「6.5.1 いくつかの国の暗号化ポリシーとは?」 RSA Laboratories . 2015年3月26日閲覧
  6. ^ Rosenoer, Jonathan (1995). 「暗号化と音声」.サイバー法.「アーカイブコピー」 。 2005年12月1日時点のオリジナルよりアーカイブ。2006年6月23日閲覧。{{cite web}}: CS1 maint: アーカイブされたコピーをタイトルとして (リンク)
  7. ^ 「ツィンマーマンPGP事件の捜査は終結」 IEEEコンピュータ協会セキュリティ・プライバシー技術委員会1996年2月14日. 2015年3月26日閲覧
  8. ^ a b cレヴィ、スティーブン(2001年)『暗号:コード反逆者が政府に勝つ―デジタル時代のプライバシー保護ペンギンブックス、56ページ。ISBN 978-0-14-024432-8. OCLC  244148644 .
  9. ^ 「Bernstein v USDOJ」電子プライバシー情報センター米国第9巡回区控訴裁判所、1999年5月6日。 2015年3月26日閲覧
  10. ^ 「デュアルユースリスト – カテゴリー5 – パート2 – 「情報セキュリティ」" (PDF)ワッセナー協定。2015年3 月 26 日閲覧
  11. ^ 「.4 米国暗号化技術輸出入法」 RSA Laboratories . 2015年3月26日閲覧
  12. ^ Schneier, Bruce (2000年6月15日). 「データ暗号化規格(DES)」 . Crypto-Gram . 2015年3月26日閲覧
  13. ^ Coppersmith, D. (1994年5月). 「データ暗号化規格(DES)とその攻撃に対する強度」(PDF) . IBM Journal of Research and Development . 38 (3): 243– 250. doi : 10.1147/rd.383.0243 . 2015年3月26日閲覧
  14. ^ Biham, E. ; Shamir, A. (1991). 「DES型暗号システムの差分暗号解析」. Journal of Cryptology . 4 (1): 3– 72. doi : 10.1007/bf00630563 . S2CID 206783462 . 
  15. ^ 「1998年デジタルミレニアム著作権法」(PDF) .米国著作権局. 2015年3月26日閲覧。
  16. ^ Ferguson, Niels (2001年8月15日). 「検閲の実態:HDCPの結果を公表しない理由」 . 2001年12月1日時点のオリジナルよりアーカイブ2009年2月16日閲覧。
  17. ^ Schneier, Bruce (2001年8月6日). 「コンピューター研究者の逮捕は憲法修正第一条の権利の逮捕に等しい」 . InternetWeek . 2017年3月7日閲覧
  18. ^ Doctorow, Cory (2007年5月2日). 「DiggユーザーがAACSキーをめぐって反乱」 . Boing Boing . 2015年3月26日閲覧
  19. ^ 「英国データ暗号化開示法が発効」 PC World 2007年10月1日。 2012年1月20日時点のオリジナルよりアーカイブ。 2015年3月26日閲覧
  20. ^ウィリアムズ、クリストファー(2009年8月11日)「データの復号を拒否した2人が有罪判決」 The Register誌。 2015年3月26日閲覧
  21. ^ウィリアムズ、クリストファー(2009年11月24日)「英国、ファイルの復号を拒否した統合失調症患者を投獄」The Register紙2015年3月26日閲覧
  22. ^インゴルド、ジョン(2012年1月4日)「パスワード事件はデジタル世界の文脈で憲法修正第5条の権利を再定義する」デンバー・ポスト紙。 2015年3月26日閲覧
  23. ^レイデン、ジョン(2011年7月13日)「暗号鍵を渡さない権利に関する米国裁判所のテスト」 The Register 。 2015年3月26日閲覧
  24. ^ 「All Writs Actに基づく申請許可命令。被告フリコスに対し、以前に発行された捜索令状の執行に協力することを要求する。」(PDF)コロラド州連邦地方裁判所。 2015年3月26日閲覧
  25. ^ a b c Chen, Jihong (2020-10-01). 「規制と規制緩和:中国暗号法の最新施行から見る中国暗号法制度の進化」 .国際サイバーセキュリティ法レビュー. 1 ( 1–2 ): 73– 86. doi : 10.1365/s43439-020-00003-6 . ISSN 2662-9739 . S2CID 224858334 .  
  26. ^ a b c dテイラー、モニーク(2022年)「習近平時代のデジタル権威主義」中国のデジタル権威主義:ガバナンスの視点』Cham: Springer International Publishing. pp.  63– 85. doi : 10.1007/978-3-031-11252-2_4 . ISBN 978-3-031-11252-2. 2022年12月23日閲覧
  27. ^ Martinkauppi, Louise Bergman; He, Qiuping; Ilie, Dragos (2020年6月). 「中国OSCCA承認暗号アルゴリズムの設計と性能について」 . 2020年第13回国際通信会議 (COMM) . pp.  119– 124. doi : 10.1109/COMM48946.2020.9142035 . ISBN 978-1-7281-5611-8. S2CID  220668639 .
  28. ^ "Legifrance.gouv.fr - Loi pour la confiance dans l'économie numérique (LCEN)" . www.legifrance.gouv.fr (フランス語) 2011 年6 月 14 日に取得
  29. ^ a b c d e f g h Parvathy, A.; Singh, Vrijendra; Choudhary, Ravi Shankar (2013). 「インドにおける暗号に関する法的問題」 VIDHIGYA : The Journal of Legal Awareness 8 ( 1): 1– 11.
  30. ^ 「はい、スヌーピングは許可されています」インディアン・エクスプレス。2009年2月6日。2022年12月23日時点のオリジナルよりアーカイブ。 2022年12月23日閲覧
「 https://en.wikipedia.org/w/index.php?title=Cryptography_law&oldid=1320070496」より取得