США: криптография — охота на ведьм началась?

Open source

Как уже, наверное, известно всему уважаемому хабрасообществу, с некоторых пор администрация нынешнего президента США Барака Обамы взяла курс на закручивание гаек в сфере взаимодействий с неугодными правительству США странами: Куба, Иран, Сирия, Ливия, Судан и Северная Корея (иногда в этот список включают еще Ирак). Занимается этой задачей выпало незабавенному U.S. Department of Commerce, Bureau of Industry and Security — огранизации, как это известно по её прошлым деяниями, достаточно бюрократической и воспринимающей все приказы довольно прямолинейно.

События развивались стремительно: в середине января 2010 года вылилось это в то, что крупнейшие хостинги открытых проектов — такие, как SourceForge и Google Code получили «письма счастья» с настойчивыми рекомендациями прекратить доступ к программным проектам с открытыми исходниками, так как они могут содержать [цитирую]certain technology[/цитирую], которые запрещены к экспорту из США. Под этими «некоторыми технологиями» понимается криптография, причём на этот раз — вся.

SourceForge и Google Code подчинились, извинившись перед своими пользователями, но разведя руками — в конце концов — они обычные американские компании, мол, нам очень жалко, но we also live in the real world и вынуждены подчиняться законам.

Вчера, 7 февраля 2010 года, юристы SourceForge после пары недель баталий, выработали таки компромиссное решение, которое, безусловно, лучше, чем то, что было, но…

Решено было переложить «ответственность» и «вину» с головы SourceForge на администраторов проектов.

Сейчас попытаюсь объяснить и показать, чем это хорошо, и чем — плохо. Если вы — администратор проекта на SourceForge, то, начиная с воскресенья у вас есть выбор из 2 пунктов. Пройдя по ссылкам Develop → Project Admin → Project Settings, можно их лицезреть:

Export Controls

По умолчанию включен пункт «Да, мой проект ИСПОЛЬЗУЕТ криптографические алгоритмы, поэтому подлежит ограничениям по экспорту». (Разумеется, это теперь прописано в terms of service, которые, как в них же самих написано, могут меняться по усмотрению администрации SourceForge как им нравится в любое время.)

Итак, если у вас есть проект на SourceForge — и у вас хоть каким-то образом используется криптография — без разницы каким — любым — это может быть даже банальный опрос на наличие библиотек в системе — вы и ваш проект подпадаете под действие этого чудесного пункта.

Какие есть варианты действий:

Если проект не пользуется никакой криптографией


То, разумеется, под ограничения он не подпадает. Можно и нужно пойти и смело включить первый пункт — «мой проект НЕ ИСПОЛЬЗУЕТ криптографические алгоритмы» — и спать спокойно, зная, что никаких законов вы не нарушили, и ущемлять права бедных кубинцев и корейцев не ущемляете — и волки сыты, и овцы целы.

Если проект подпадает под «пользование криптографией»


То есть по сути три варианта действий, все на самом деле плохие:

Соврать SourceForge «не используем криптографию»


Плюсы: чистая совесть перед open source сообществом — никого не притисняем по национально-географическому принципу; поставить галочку — просто.
Минусы: если этот обман когда-либо раскроется — последствия могут быть… многообразными. Все, думаю, хорошо помнят про дело Дмитрия Склярова, российского программиста, поехавшего на конференцию в США, которого арестовали сразу же по окончанию мероприятия. Даже если вы не планируете ездить в США прямо сейчас — повод задуматься.

Оставить второй пункт «используем криптографию»


Плюсы: честно по отношению к SourceForge и правительству США; никаких проблем с законом.
Минусы: это решение против хакерской этики — ущемляются права массы людей, которым волею случая «посчастливилось» родится в странах, подверженных эмбарго США. Кроме того, если внимательно почитать то, что написано мелким шрифтом рядом с этой опцией — вы обязаны будете встать на учёт в вышеупомянутом департаменте США со своим программным продуктом (приготовьтесь, вот тут начинается настоящий цирк!).

Департамент требует отправить им некую форму регистрации программного продукта, использующего криптографические алгоритмы (в самом широком понимании слова «использующего»), но при этом требуется ещё и приложить все исходные коды, и при каждом их изменении нужно актуализировать данные в их БД. К счастью, это можно сделать по e-mail (в виду аттача) — хотя для особых фриков предлагается ещё и альтернативный способ: распечатать и прислать исходные коды почтой или по факсу.

Покинуть SourceForge


Плюсы: не надо идти ни на сделку с совестью, ни на сделку с пресловутым департаментом.
Минусы: переезд проекта с одного места на другой всегда болезненный. Вы потеряете какое-то количество своих пользователей, вы потеряете какое-то количество расставленных на вас ссылок. Ехать, на самом деле, почти некуда.

Кроме того, взглянув на обзор того, какие вообще бывают хостинги для свободного ПО, отсортировав их по популярности рейтинга Alexa (а значит и тому, насколько хостинг будет способствовать созданию и поддержанию сообщества вокруг вашего проекта) становится грустно:

Хостинг Пользователей Проектов Страна
SourceForge 2.6 млн 156 тыс США
Google Code ? 250 тыс США
GitHub 100 тыс ? США
CodePlex 151 тыс 9.2 тыс США
Tigris 137 тыс 1.5 тыс США
LaunchPad 930 тыс 15 тыс США
Assembla 170 тыс 60 тыс США
BerliOS 43 тыс 5.3 тыс Германия
Gitorious ? ? Норвегия

Становится ясно, почему «письма счастья» получили именно SF и GC: они занимают почетные 2 верхние позиции в списке. Все 7 верхних позиций подряд занимают именно хостинги из США: ясно, что рано или поздно они получат точно такие же письма и будут вынуждены ввести ровно такие же меры. Если бежать — то куда?

И, завершая этот пост, мне хотелось бы спросить мнения хабрасообщества — как поступите вы и как посоветуете поступить мне? Насколько я понимаю — здесь немало тех, кто будет подвержен этой напасти. Авторы Jabber-клиентов, авторы веб-браузеров и плагинов к ним, разработчики ядер ОС и их компонент и т.д. и т.п. — все, у кого есть что-то, связанное с SSL, SSH, MD5, SHA1 — это автоматически нас всех касается.

У меня есть два серьёзных проекта на SourceForge — KGuitar (редактор гитарных табулатур — он, к счастью, не имеет ничего общего с криптографией, с ним всё ясно) и Inquisitor — система на основе Linux (мета-дистрибутив) для автоматизации нагрузочного и бенчмаркового тестирования железа. Разумеется, как и в любом дистрибутиве Linux, там есть и ssh, есть и openssl. Даже хуже того — мы, такие нехорошие, тестируем производительность этого самого openssl в качестве одного из наших бенчмарков.

Как быть? Уходить с SF — лишаться не только community SF, но и обширной системы мирроров, через которые распространялись наши ISO-образы, и достаточно стабильного хостинга репозитария, и удобного механизма включения новых людей в проект. Альтернативы SF? Про BerliOS слышал массу плохих отзывов в плане стабильности, да и он меньше SF где-то в 50 раз. Все остальные — еще меньше и еще непонятнее в плане стабильности…
Теги:sourceforgeкриптографияэкспортные ограниченияСШАКубаИранСирияЛивияСуданСеверная Корея
Хабы: Open source
+115
4k 15
Комментарии 198

Похожие публикации

Профессия Java-разработчик
2 марта 2021107 250 ₽SkillFactory
Профессия Product Manager
3 марта 2021108 500 ₽Нетология
Python для анализа данных
3 марта 202124 900 ₽SkillFactory
Профессия Data Scientist
3 марта 2021162 000 ₽SkillFactory
Специализация Data Science
3 марта 2021114 000 ₽SkillFactory

Лучшие публикации за сутки