Norge innfører lisensplikt på krypteringseksport

De 33 landene i Wassenaar-samarbeidet, deriblant Norge, har avtalt nye regler som medfører lisensplikt på all krypterende programvare med nøkkellengder over 64 biter.

De som deltar i Wassenaar-samarbeidet, i tillegg til Norge og EU-landene, er Argentina, Australia, Bulgaria, Canada, Japan, New Zealand, Polen, Romania, Russland, Slovakia, Sveits, Sør-Korea, Tsjekkia, Tyrkia, Ukraina, Ungarn og USA.

I dokumenter som er tilgjengelige for allmennheten, det vil si Stortingsmeldinger og offentlige utredninger, er Wassenaar-samarbeidet beskrevet slik: "The Wassenaar Arrangement (WA) har som hovedformål å hindre spredning av konvensjonelle våpen og høyteknologiprodukter som kan tjene til å bygge opp offensiv militær kapasitet." I Stortingsmelding 43 (1997-98) heter det at samarbeidet "kontrollerer eksport av konvensjonelle våpen og sensitiv høgteknologi (fleirbruksvarer) og trådde i kraft 1. november 1996... Det er utarbeidd retningslinjer og varelister for å ta hand om eksportkontroll med konvensjonelle våpen og fleirbruksvarer som spelar ei rolle for utvikling, produksjon og bruk av slike våpen."

Betegnelsen "flerbruksvarer" eller "flerbruksteknologi" beskrives som "teknologi som kan brukes for mange formål, både militære og sivile. En økende andel av internasjonale, forsvarsrelaterte transaksjoner er i denne kategorien." Det kan virke som man ikke ønsker å avdekke at kategorien også dekker et av de verste utslagene av amerikansk hysteri, nemlig krypterende programvare.

I en melding fra Reuters gis det inntrykk av at Wassenaar-samarbeidet nærmest har gått over til den amerikanske holdningen om at krypterende programvare bare unntaksvis skal kunne eksporteres.

- Det stemmer ikke, sier spesialrådgiver Harald Schiøtz i Utenriksdepartementet. - Den nye avtalen medfører for alle 33 medlemsland at det innføres eksportlisensplikt på kryptoprodukter. Lisensplikten gjelder ikke programvare for massemarkedet med nøkkellengder opptil 64 biter. Den gjelder ingen programvare med nøkkellengder opptil 56 biter, uansett anvendelse og marked.

Schiøtz understreker at selve eksportlisensplikten ikke er ny. Det som er nytt, er hva den gjelder. Hittil gjaldt den ikke programvare beregnet på massemarkedet overhodet. På den andre siden var all annen programvare lisenspliktig.

- De nye reglene innebærer fri eksport av absolutt all programvare med nøkkellengder opptil 56 biter. Den nye begrensningen er at kyptoprogramvare for massemarkedet underkastes lisens dersom nøkkellengden er over 64 biter.

Det betyr at all programvare for betalingsformidling etter SET-standarden (sikre elektroniske transaksjoner), for kryptering av e-post, digitale signaturer med mer, vil, i motsetning til det som har vært tilfelle hittil, underlegges eksportlisens. Det gjelder blant annet e-post-håndtereren fra det norske selskapet Opera Software.

Såkalt "public domain" programvare - denne betegnelsen oversettes med "ment for allmenheten" i norske Wassenaar-dokumenter, og tolkes som programvare som distribueres fritt uten noen form for restriksjoner for videre spredning - er imidlertid unntatt eksportlisens.

Norge spiller en internasjonal rolle i distribusjonen av sterk kryptoprogramvare som bare delvis faller inn under dette unntaket, blant annet PGP (Pretty Good Privacy, gir sikker e-post) og den krypterende kjernen i Linux.

- I den grad slike produkter distribueres for seg og gratis, er de ikke eksportlisenspliktige. Men i det øyeblikk de inkorporeres i produkter til massemarkedet og som man vil ta seg betalt for, kan det tenkes at disse rammes disse av lisensplikten, sier Aleksander Kjeldaas i Trondheim-firmaet Guardian Networks.

Alt kommer an på hvordan norsk UD vil håndtere eksportlisensplikten.

- Jeg vil ikke være krystallkulekikker sier Schiøtz. - Vi trenger å konferere med våre naboland, det vil si Sverige og Danmark. Det er viktig å få en mest mulig ensartet håndtering av ordningen. Vi vil trenge noen døgn på oss før vi kan si noe mer.

Schiøtz bekrefter til slutt at det legges opp til felles praksis innen hele EØS-området, men at det ikke er snakk om å bygge noen sentral godkjenningsinstans alla 1980-tallets Cocom.

digi.no følger opp saken.

Til toppen