Torsdag 3. desember lot den amerikanske utsendingen til Wassenaar-samarbeidet (se relaterte artikler i høyre marg) seg intervjue av Reuters om et nytt eksportreglement som USA hadde fått partnerne med på. Reuters-meldingen slo fast at alle skulle nå underkaste krypterende program- og maskinvare "strenge nye eksportbegrensninger".
En samtale med tjenestemennene i Norges Utenriksdepartement som dette reglementet sorterer under, ga en annen versjon av saken: Innen Wassenaar ble man enige om en felles oppfatning av hva slags varer det må søkes eksportlisens til. Man ble ikke enige om hva slags regler som skulle ligge til grunn. Prinsippet i Wassenaar-samarbeidet er at hvert land utarbeider sine egne regler. Det er ikke snakk om den form for underkastelse som ble krevd under Cocom og den kalde krigen.
Mye er avhengig av hva slags regler Utenriksdepartementet utformer, og hvordan de praktiseres. De amerikanske uttalelsene gir et inntrykk av at det forventes betydelige innskrenkninger av det som har vært norske og andre europeiske myndigheters praksis hittil. For den vanlige forbrukeren er kryptering et redskap gir tillit til elektronisk handel og trygghet for at elektronisk post ikke avlyttes. For den amerikanske regjeringen er kryptering et farlig redskap for terrorister og fiendtlige makter, og som følgelig må begrenses så langt råd.
Siden vi ikke har hørt om noen protester fra Norges side, kan vi gå ut fra at ingen av våre reiste seg på Wassenaar-møtet for å lese amerikanerne teksten om personvern og betydningen av en sikker digital handleplass. Vi vet ikke om våre myndigheter vil ha ryggrad nok til å utarbeide regler som gir for eksempel nettleseren Opera generell eksportlisens, selv om den med sin innebygde 128-biters kryptering gir langt sterkere vern enn USAs - og Wassenaars - grense på 64 biter. Vi kan heldigvis forvente det, ut fra uttalelsene som ble gitt til digi.no fredag og ut fra den praksis som hittil er fulgt. Kanskje er det en bevisst taktikk, å ligge lavt men trosse like fullt?
Hovedhensikten med Wassenaar-samarbeidet er å regulere våpeneksport. Det sier seg selv at det er visse regimer man ikke ønsker å eksportere våpen til. Men krypterende programvare som samarbeidet nå krever eksportlisens for, kan knapt oppfattes som våpen. Og tenker man på Irak, bør man også tenke på mulighetene kryptert elektronisk post gir de mer frittenkende innbyggerne i dette landet. Begrensninger på kryptering framstår som et alvorlig hinder mot å realisere Internettets demokratiserende potensial.
Wassenaars grense på 64 biters nøkkellengde er tilsynelatende den amerikanerne selv oppfatter som praktisk for myndighetene å knekke. På nettstedet til Business Software Alliance (følg stikkordet crytpography) finnes et interessant tre år gammel dokument kalt Minimal Key Lengths For Symmetric Ciphers To Provide Adequate Commercial Security - A Report By An Ad Hoc Group Of Cryptographers And Computer Scientists. Her heter det blant annet:
"Krypterende systemer med 40 biters nøkler gir omtrent ingen beskyttelse mot angrep basert på rå datakraft. Selv den amerikanske Data Encryption Standard (DES) med 56 biters nøkler blir stadig mer utilstrekkelig."
Men for kryptovare beregnet på annet enn massemarkedet, er 56 biter den maksimale nøkkellengden som Wassenaar-samarbeidet - tre år etter denne rapporten - fritar for eksportlisens!
Det heter videre i rapporten: "For å gi tilstrekkelig beskyttelse for informasjon de neste tjue årene og ta høyde for forventet framgang i datakraft, bør nøkler i nye systemer være på minst 90 biter."
Tre år seinere kan vi konstatere at amatører knekker 56 biters nøkler ved å samkjøre et antall vanlige PC-er. Det er ikke umulig at 128 biter bør anbefales i dag, dersom man ønsker å beskytte sine transaksjoner og sin person et par tiår fram i tid. Hva er da argumentet for å sette grensen for eksportlisens til det halve?
