Android 暗号化アプリとアメリカ輸出規制
前置き
アメリカ合衆国の輸出管理規則(EAR)のカテゴリー5パート2(通信および情報セキュリティ)に関する独自見解です。
暗号化したろっ!
↓
アメリカの輸出規制引っかかるけど、HTTPSとかみんな使ってるし既存技術ならOK?
↓
EAR原文調査(2020/1/30時点)
※アプリのアップロード先がアメリカのサーバになるため、アメリカの輸出規制が適用される。
規制対象外(年次自己番号分類報告CSV✉をすれば個別の審査・許可を受ける必要がない)
- 鍵長56ビット以下の対称アルゴリズム(共通鍵暗号)
- 鍵長512ビット以下の素因数分解に基づく非対称アルゴリズム(公開鍵暗号)(例 RSA)
- 鍵長512ビット以下の離散対数に基づく非対称アルゴリズム(公開鍵暗号)(例 有限体のディフィーヘルマン)
- 上記以外の鍵長112ビット以下の離散対数に基づく非対称アルゴリズム(公開鍵暗号)(例 楕円曲線上のディフィーヘルマン)
個人開発なら
鍵長56ビット以下のAESDES ※訂正:AESの鍵長は最低128ビット
または
鍵長512ビット以下のRSA
を使えば問題なさそう。
ただし、2020年現在、この程度のビット長では暗号強度が全く足りないので、ガチで秘匿しなければならない情報を暗号化したいのであれば、ちゃんとアメリカの審査・許可を受けましょう。
注意
- セキュリティソフトでない事(主たる機能が暗号化でない事)
- 無料で誰でも入手可能である事。
- 当局が確認のためにソフトウェアの詳細にアクセス可能で、かつ、請求があり次第提示される事
リンク
アメリカ合衆国商務省 産業安全保障局
Export Administration Regulations Downloadable Files
https://www.bis.doc.gov/index.php/regulations/export-administration-regulations-ear
※Category 5 Part 2 - Information Securityが該当箇所です。
