Crypto wars (a " criptografia de guerra ") é um termo informal para os esforços do governo dos Estados Unidos para limitar o acesso público e métodos criptográficos bastante fortes de nações estrangeiras para resistir à criptoanálise de suas diferentes agências de inteligência, especialmente a NSA. Por volta de 2005, as Crypto Wars foram consideradas "ganhas" pelo acesso público à criptografia. Depois disso, as revelações de Edward Snowden , particularmente de que o programa Bullrun visava enfraquecer secretamente os algoritmos de criptografia e suas implementações, desafiaram o resultado das Crypto Wars e relançaram o debate sobre a necessidade de criptografia pública. Após as revelações da NSA, esforços renovados para trazer criptografia forte para o público em geral, particularmente a criptografia padrão para iPhones da Apple, levaram o governo dos EUA a reiterar os apelos para limitar o acesso público à criptografia não backdoor ., Surpreendentes defensores da privacidade que acreditaram na luta pois os direitos do público à criptografia forte foram definitivamente conquistados.
Nos primeiros dias da Guerra Fria , os Estados Unidos e seus aliados desenvolveram um corpo complexo de regras de controle de exportação para evitar que uma ampla gama de tecnologias ocidentais caísse nas mãos de outras potências, especialmente o Bloco de lastro. Qualquer tecnologia considerada "crítica", portanto, só poderia ser exportada sob licença. O Comitê Coordenador de Controles Multilaterais de Exportação foi criado para coordenar os controles sobre as exportações ocidentais.
Foram protegidos dois tipos de tecnologias: as associadas especificamente a armas de guerra (“munições”) e as tecnologias de duplo uso , com outras aplicações comerciais. Nos Estados Unidos, o Departamento de Comércio controlava as exportações de tecnologia de uso duplo, enquanto a munição era responsabilidade do Departamento de Estado . Como o mercado de criptografia do pós-guerra imediato era quase inteiramente militar, as tecnologias de criptografia (técnicas, equipamentos e, depois que os computadores cresceram em importância, software) foram incluídas na Lista de Munições dos Estados Unidos como parte da categoria XIII.
No entanto, já na década de 1960, as organizações financeiras começaram a precisar de criptografia forte de uso comercial para transferências eletrônicas de dinheiro, um campo em rápida expansão. A introdução do Data Encryption Standard em 1975 pelo governo dos Estados Unidos significou que a criptografia de alta qualidade se tornaria generalizada e graves problemas de controle de exportação começaram a ser sentidos. Eles geralmente eram tratados por meio de licenças de exportação caso a caso, adquiridas por fabricantes de computadores e seus clientes comerciais.
Os controles de exportação de criptografia estão se tornando um tópico de interesse público com a introdução do computador pessoal. Em 1991, o criptosistema PGP para Phil Zimmermann está se espalhando na Internet e se tornou o primeiro desafio para a exportação de criptografia em nível individual. O crescimento do comércio eletrônico na década de 1990 aumentou a pressão para reduzir as restrições. Em seguida, a tecnologia SSL da Netscape é amplamente adotada para proteger transações por cartão de crédito usando criptografia de chave pública .
As mensagens criptografadas por SSL usaram RC4 , com chaves criptográficas de 128 bits. No entanto, os regulamentos americanos não permitiam a exportação de sistemas criptográficos usando chaves de 128 bits. Os governos ocidentais então praticavam uma forma de conversa dupla sobre a criptografia: as regulamentações eram escritas por criptanalistas militares, que estavam preocupados exclusivamente em evitar que seus "adversários" adquirissem segredos, mas essas regulamentações se estendiam ao domínio comercial, onde os funcionários trabalharam para encorajar indústria.
O maior tamanho de chave permitido para exportação sem uma licença específica era de 40 bits, então a Netscape desenvolveu duas versões de seu navegador da web: a “edição dos EUA” tinha força total em 128 bits; a "edição internacional" viu o comprimento efetivo de sua chave reduzido para 40 bits, revelando os 88 bits restantes no protocolo SSL. Adquirir a “versão dos EUA” envolveu tanto esforço que a maioria dos usuários, mesmo nos EUA, acabou com a versão “internacional”, cuja criptografia 40 bis fraca poderia quebrar em questão de dias com um simples computador pessoal. Os mesmos efeitos foram encontrados pelos mesmos motivos no Lotus Notes.
Uma série de ações judiciais ( Bernstein v. Estados Unidos , Junger v. Daley ) por Peter Junger e outros ativistas das liberdades civis e da privacidade, a crescente disponibilidade de software criptográfico hots dos EUA e a impressão de muitas empresas de que a má imprensa quanto à fraqueza de suas cifras limitaram suas vendas e o crescimento do comércio eletrônico, resultando na flexibilização dos controles de exportação, culminando com a assinatura da ordem executiva. 13026 pelo presidente Bill Clinton em 1996, que transferiu a criptografia comercial da Lista de Munições para o Controle de Comércio Lista . O Pedido especifica ainda que "o software não deve ser considerado ou tratado como" tecnologia "na acepção dos Regulamentos de Administração de Exportação " . Essa ordem permitiu ao Departamento de Comércio aplicar regras que simplificaram muito a exportação de software proprietário ou de código aberto contendo criptografia, o que fez em 2000.
A partir de 2009, as exportações de criptografia não militar dos Estados Unidos são regulamentadas pelo Bureau de Indústria e Segurança do Departamento de Comércio. Algumas restrições permanecem, mesmo para produtos de consumo, especialmente no que diz respeito aos chamados estados invasores e organizações terroristas. Hardware de codificação militarizado, eletrônicos certificados pelo TEMPEST , software criptográfico especializado e até mesmo serviços de consultoria criptográfica ainda estão sujeitos a licenciamento ( p. 6–7 ). Além disso, o registro no BIS é necessário para a exportação de “produtos, software e componentes de criptografia de mercado público com criptografia superior a 64 bits”. Outros elementos também requerem exame pelo BIS, ou informações do BIS, antes de exportar para a maioria dos países. Por exemplo, o BIS deve ser informado antes que qualquer software criptográfico de código aberto seja disponibilizado ao público na Internet, embora a revisão não seja necessária. Assim, as regras de exportação foram relaxadas desde 1996, mas permanecem complexas.
Outros países, especialmente as partes do acordo de Wassenaar , têm restrições semelhantes.