Información de Contract-Soft onnet Area de servicios reservada a clientes Volver al índice de la base de datos  Volver al inicio del web

Limites a la exportación de software de cifrado

Noticia Última actualización: 17/05/99

 

Desde el mes de abril de 1999 está en vigor un nuevo régimen para la exportación de tecnologías de doble uso. El apartado que afecta a la criptografía deja fuera del control estatal los productos que cumplan los siguientes requisitos:

a. Que se hallen generalmente a disposición del público por estar a la venta, sin restricciones, en puntos de venta al por menor por cualquiera de los medios siguientes:

1. Transacciones en mostrador;
2. Transacciones por correo;
3. Transacciones electrónicas; o
4. Transacciones por teléfono.

b. Que la función de cifrado no pueda ser modificada fácilmente por el usuario;

c. Que estén concebidos para que el usuario los instale sin asistencia ulterior importante del proveedor;

d. Que no contengan un "algoritmo simétrico" que utilice una longitud de clave superior a 64 bits; y

e. Que, en caso necesario, pueda disponerse de información detallada sobre los productos y se facilite ésta, cuando se solicite, a las autoridades competentes del Estado miembro en el que esté establecido el exportador, con el fin de verificar el cumplimiento de las condiciones descritas en las letras a. a d. anteriores.

 

TEXTO COMPLETO

CATEGORÍA 5

Segunda parte - "SEGURIDAD DE LA INFORMACIÓN"

Nota 1: El régimen de control de los equipos "equipo lógico" («software»), sistemas, "conjuntos electrónicos" específicos para aplicaciones determinadas, módulos, circuitos integrados, componentes o funciones destinados a la "seguridad de la información" se determina en la Categoría 5, segunda parte, aunque se trate de componentes o de "conjuntos electrónicos" de otros equipos.

Nota 2: La Categoría 5, segunda parte, no contempla el control de los productos cuando acompañen a su usuario para el uso personal de éste.

Nota 3: Nota de criptografía

Los artículos 5A002 y 5D002 no contemplan el control de los productos que reúnan todas las características siguientes:

a. Que se hallen generalmente a disposición del público por estar a la venta, sin restricciones, en puntos de venta al por menor por cualquiera de los medios siguientes:

1. Transacciones en mostrador;
2. Transacciones por correo;
3. Transacciones electrónicas; o
4. Transacciones por teléfono.

b. Que la función de cifrado no pueda ser modificada fácilmente por el usuario;

c. Que estén concebidos para que el usuario los instale sin asistencia ulterior importante del proveedor;

d. Que no contengan un "algoritmo simétrico" que utilice una longitud de clave superior a 64 bits; y

e. Que, en caso necesario, pueda disponerse de información detallada sobre los productos y se facilite ésta, cuando se solicite, a las autoridades competentes del Estado miembro en el que esté establecido el exportador, con el fin de verificar el cumplimiento de las condiciones descritas en las letras a. a d. anteriores.

Nota técnica

En la Categoría 5, segunda parte, los bits de paridad no se cuentan en la longitud de la clave.

 

5A2 Sistemas, equipos y componentes

5A002a. Sistemas, equipos, "conjuntos electrónicos" específicos para aplicaciones determinadas, módulos y circuitos integrados destinados a la "seguridad de la información", según se indica, y otros componentes diseñados especialmente para ellos:

N.B: Para el control de los sistemas mundiales de navegación por satélite que estén dotados de equipos que contengan o utilicen el descifrado (p.ej. GPS o GLONASS), véase el artículo 7A005.

1. Diseñados o modificados para utilizar "criptografía" empleando técnicas digitales que realicen cualquier función criptográfica que no sea la autenticación ni la firma digital y posean alguna de las características siguientes:

Notas técnicas:

1. Las funciones de autenticación y fírma digital incluyen su función asociada de gestión de la clave.

2. La autenticación incluye todos los aspectos del control del acceso cuando no haya cifrado de ficheros o de texto, salvo los relacionados directamente con la protección de códigos de identificación «passwords», números de identificación personal (PIN) o datos similares para evitar el acceso no autorizado.

3. La "criptografía" no incluye las técnicas 'fijas" de compresión o codificación de datos.

Nota: El subartículo 5A002.a.1. incluye los equipos diseñados o modificados para utilizar una "criptografía" que utilice los principios analógicos siempre que los aplique con técnicas digitales.

a. Un "algoritmo simétrico" que utilice una longitud de clave superior a 56 bits; o

b. Un "algoritmo asimétrico" en el que la seguridad del algoritmo se base en alguna de las características siguientes:

1. Factorización de los números enteros por encima de los 512 bits (p.ej., RSA);
2. Cómputo de logaritmos discretos en un grupo multiplicativo de un campo finito de tamaño superior a los 512 bits (p.ej., Diffie-Hellman sobre Z/pZ); o
3. Logaritmos discretos en un grupo que no sea el mencionado en el subartículo 5A002.a. 1.b.2 por encima de los 112 bits (p.ej., Diffie-Hellman sobre una elipse);

2. Diseñados o modificados para realizar funciones criptoanalíticas;

3. No se utiliza;

4. Diseñados o modificados especialmente para reducir las emanaciones comprometedoras de señales portadoras de información por encima de lo dispuesto por las normas de salud, seguridad, o de interferencia electromagnética;

S. Diseñados o modificados para utilizar técnicas'criptográficás con objeto de generar el código de ensanchamiento para el "espectro ensanchado" o el código de salto para los sistemas de "agilidad de frecuencia";

6. Diseñados o modificados para proporcionar una "seguridad multinivel" o un aislamiento del usuario certificados o certificables a un nivel superior a la clase B2 de la norma <Trusted Computer System Evaluation Criteria> (TCSEC) o equivalentes;

7. Sistemas de cables de comunicación diseñados o modificados por medios mecánicos, eléctricos o electrónicos para detectar intromisiones subrepticias.

Nota: El artículo 5A002 no contempla el control de:

a. Las "tarjetas inteligentes personalizadas"cuya capacidad criptográfica esté limitada para su uso en equipos o sistemas excluidos del control con arreglo a los párrafos b. af de la presente Nota;
N.B Si una "tarjeta inteligente personalizada" posee funciones múltiples el régimen de control de cada función se evaluará individualmente.

b. Equipo receptor para radiodifusión, televisión de pago o televisión similar de audiencia restringida, de uso general, sin cifrado digital salvo el utilizado exclusivamente para remitir a los radiodifusores la información relativa a lafacturación o la programación;

c. Equipos cuya capacidad criptográfica no sea accesible al usuario y que estén diseñados y limitados especialmente para permitir cualquiera de las siguientes posibilidades:

1. Ejecución de "equipo lógico" protegido contra la copia
2. Acceso a cualquiera de las siguientes posibilidades:

a. Medios de comunicación "read-only"protegidos contra la copia,- o
b. Información almacenada enforma cifrada en un medio (p.ej., en relación con la protección de los derechos de propiedad intelectual) cuando este medio sea puesto a la venta alpúblico en presentaciones idénticas; o

3. Una sola copia de datos audiovisuales protegidos por derechos de autor.

d. Equipo criptográfico diseñado y limitado, especialmente al uso bancario o a las "transacciones monetarias",-

Nota técnica:

El término "transacciones monetarias" que figura en la Nota d. del artículo 5A002 incluye el cobro y la fijación de tarifas o las funciones crediticias.

e. Radioteléfonos portátiles o móviles para uso civil (p.ej., para su uso con sistemas de radiocomunicación celular comercial civil) que carezcan de la capacidad de cifrado de extremo a extremo;

f. Equipo de telefonía sin hilos que carezca de la capacidad de cifrado de extremo a extremo cuando el alcance máximo efectivo defuncionamiento sin repetición y sin hilos (es decir, un salto único y sin relevo entre la terminal y la base de origen) sea inferior a 400 metros conforme a la descripción delfabricante.

 

SB2 Equipos de ensayo, inspección y producción

5B002 a. Equipos diseñados especialmente para:

1. El "desarrollo" de equipos o de funciones incluidos en los artículos 5A002, 5B002, 5D002 o 5E002, incluidos los equipos de medida o ensayo;

2. La "producción" de equipos o de funciones incluidos en los artículos 5A002, 5B002, 5D002 o 5E002, incluidos los equipos de medida, ensayo, reparación o producción;

b. Equipos de medida diseñados especialmente para evaluar y convalidar las funciones de "seguridad de la información" incluidas en los artículos 5A002 o 5D002.

 

5C2 Materiales

Ninguno.

 

SD2 Equipo lógico

5D002a. "Equipo lógico" «software» diseñado o modificado especialmente para el "desarrollo", la "producción" o la "utilización" de equipos o de "equipo lógico" «software» incluidos en los artículos 5A002, 5B002 o 5D002;

b. "Equipo lógico" «software» diseñado o modificado especialmente para dar soporte a la "tecnología" incluida en el artículo 5EOO2;

c. "Equipo lógico" «software» específico, según se indica:

1. "Equipo lógico" «software» que posea las características o realice o simule las funciones de los equipos incluidos en los artículos 5A002 o 5B002;

2. "Equipo lógico" «software» destinado a certificar el "equipo lógico" «software» incluido en el subartículo 5D002.c. l.

Nota: El artículo 5D002 no contempla el control:

a. del "equipo lógico " «software» necesario para la "utilización " de los equipos excluidos del control de acuerdo con las notas al artículo 5A002;

b. del "equipo lógico" «software» que efectúe cualquiera de las funciones de los equipos excluidos del control de acuerdo con las notas al artículo 5A002.

 

5E2 Tecnología

5E002 "Tecnología", de acuerdo con la Nota General de Tecnología, para el "desarrollo", la "producción" o la "utilización" de equipos o de "equipo lógico" «software» especificados en los artículos 5A002, 5B002 o 5D002.

 

 


Copyright Xavier Ribas