Cryptography software en het Wassenaar Arrangement

Pagina: 1
Acties:

Acties:
  • 0 Henk 'm!

  • appendto
  • Registratie: Januari 2014
  • Laatst online: 22-07-2022
Ik ben laatste tijd bezig geweest met het ontwikkelen van een applicatie die gebruik maakt van de Bouncy Castle(https://www.bouncycastle.org) bibliotheek t.b.v. cryptography. Nou had ik ergens een keer gelezen dat je software die gebruik maakt van cryptography niet zomaar mag publiceren. Omdat dit een onderwerp is waar je niet elke dag mee bezig bent en je dit waarschijnlijk na verloop van tijd vergeet zou ik graag deze topic willen gebruiken als documentatie en om ervaringen uit te wisselen met medeontwikkelaars.

Na wat googlen kwam ik bij het Wassenaar Arrangement(http://www.wassenaar.org).

De vraag die ik heb en die ik graag d.m.v. het Wassenaar Arrangement wil beantwoorden is: Valt open source software onder het Wassenaar Arrangement?

Dit is wat ik erover gevonden heb:

Document: List of Dual-Use Goods and Technologies and Munitions List(http://www.wassenaar.org/...es-and-Munitions-List.pdf)

Pagina 3
The Lists do not control "software" which is any of the following:
1. Generally available to the public by being: 
	a. Sold from stock at retail selling points without restriction, by means of:
		1. Over-the-counter transactions;
		2. Mail order transactions;
		3. Electronic transactions; or
		4. Telephone call transactions; and
	b. Designed for installation by the user without further substantial support by the supplier;
	Note Entry 1 of the General Software Note does not release "software" controlled by Category 5 - Part 2 ("Information Security").
2. [u]"In the public domain"; or[/u]
3. The minimum necessary "object code" for the installation, operation, maintenance (checking) or repair of those items whose export has been authorised.
	Note Entry 3 of the General Software Note does not release "software" controlled by Category 5 - Part 2 ("Information Security").


Pagina 209
GTN	"In the public domain" 
GSN		This means "technology" or "software" which has been made available 
ML 22		without restrictions upon its further dissemination. 
		Note Copyright restrictions do not remove "technology" or "software" from being "in 		the public domain".


Mijn conclusie uit het bovenstaande is(LET OP: ik ben geen jurist/rechtsgeleerde): Dat open source software niet onder het Wassenaar Arrangement valt.

Meer leesvoer:
http://crypto.stackexchan...ts-still-needs-permission

http://blog.iusmentis.com...-de-security-onderzoeker/

Mocht je zelf ook ervaring hebben met het Wassenaar Arrangement laat a.u.b. wat van je horen. :)

Acties:
  • 0 Henk 'm!

  • Haan
  • Registratie: Februari 2004
  • Laatst online: 13:37

Haan

dotnetter

Ik had nog nooit van het Wassenaar verdrag gehoord, maar als ik zo snel even lees, is het gericht op wapens en technologie dat als 'wapen' gebruikt kan worden.
Je hebt het dan dus over het publiceren van exploits of software om schade mee aan te richten (malware) , en heeft dus niks te maken met software waarin je data versleutelt.

echter, IANAL

Kater? Eerst water, de rest komt later


Acties:
  • 0 Henk 'm!

  • appendto
  • Registratie: Januari 2014
  • Laatst online: 22-07-2022
Haan schreef op dinsdag 09 augustus 2016 @ 14:07:
Ik had nog nooit van het Wassenaar verdrag gehoord, maar als ik zo snel even lees, is het gericht op wapens en technologie dat als 'wapen' gebruikt kan worden.
Je hebt het dan dus over het publiceren van exploits of software om schade mee aan te richten (malware) , en heeft dus niks te maken met software waarin je data versleutelt.

echter, IANAL
The Wassenaar Arrangement on Export Controls for Conventional Arms and Dual-Use Goods and Technologies (https://en.wikipedia.org/wiki/Wassenaar_Arrangement)

Dual-Use
In politics and diplomacy, dual-use is technology that can be used for both peaceful and military aims.
Cryptography kan je gebruiken om zaken waarmee je schade aan zou kunnen richten te verbergen. Daarom valt deze onder de Dual-Use Goods volgens mij.

[ Voor 3% gewijzigd door appendto op 09-08-2016 15:18 ]


Acties:
  • 0 Henk 'm!

  • Haan
  • Registratie: Februari 2004
  • Laatst online: 13:37

Haan

dotnetter

Ik denk dat je te ver doordenkt.

Kater? Eerst water, de rest komt later


Acties:
  • 0 Henk 'm!

  • PrisonerOfPain
  • Registratie: Januari 2003
  • Laatst online: 26-05 17:08
Bel een advocaat, hier gaat een stel tweakers het nooit over eens worden :)

Acties:
  • 0 Henk 'm!

  • DiedX
  • Registratie: December 2000
  • Laatst online: 31-05 20:58
Haan schreef op dinsdag 09 augustus 2016 @ 15:22:
Ik denk dat je te ver doordenkt.
Ik denk het niet. Volgens mij viel OSS niet onder Wassenaar

DiedX supports the Roland™, Sound Blaster™ and Ad Lib™ sound cards


Acties:
  • 0 Henk 'm!

  • Rukapul
  • Registratie: Februari 2000
  • Nu online
Haan schreef op dinsdag 09 augustus 2016 @ 15:22:
Ik denk dat je te ver doordenkt.
Ik denkweet dat jij niet weet waar je over praat.

Crypto is in beginsel onderhevig aan export en import control. Het valt dan ook onder de Wassenaar arrangement. De regels zijn een aantal maal veranderd en de omstandigheden luisteren nauw of en onder welke condities geexporteerd mag worden.

Acties:
  • 0 Henk 'm!

  • Haan
  • Registratie: Februari 2004
  • Laatst online: 13:37

Haan

dotnetter

Rukapul schreef op dinsdag 09 augustus 2016 @ 15:29:
[...]

Ik denkweet dat jij niet weet waar je over praat.

Crypto is in beginsel onderhevig aan export en import control. Het valt dan ook onder de Wassenaar arrangement. De regels zijn een aantal maal veranderd en de omstandigheden luisteren nauw of en onder welke condities geexporteerd mag worden.
Klopt dat weet ik ook niet, maar ik lees dat dit verdrag gaat over anti-terrorisme, over afspraken tussen landen, dus als je je daar voor een open source projectje waarin je iets doet met cryptografie druk gaat maken, denk ik inderdaad dat dat een beetje overdreven voorzichtig is.

Neemt niet weg dat het wel een interessante vraag is, vandaag in ieder geval weer iets geleerd :) En ik ben benieuwd naar een goed onderbouwd antwoord.

[ Voor 9% gewijzigd door Haan op 09-08-2016 15:50 ]

Kater? Eerst water, de rest komt later


Acties:
  • 0 Henk 'm!

  • appendto
  • Registratie: Januari 2014
  • Laatst online: 22-07-2022
Haan schreef op dinsdag 09 augustus 2016 @ 15:50:
[...]

Klopt dat weet ik ook niet, maar ik lees dat dit verdrag gaat over anti-terrorisme, over afspraken tussen landen, dus als je je daar voor een open source projectje waarin je iets doet met cryptografie druk gaat maken, denk ik inderdaad dat dat een beetje overdreven voorzichtig is.

Neemt niet weg dat het wel een interessante vraag is, vandaag in ieder geval weer iets geleerd :) En ik ben benieuwd naar een goed onderbouwd antwoord.
Klopt ook dat het gericht is op anti-terrorisme. Maar dat betekend niet dat cryptography niet onder dual-use valt zoals ik het eerder zei en er een wet aan verbonden is waar je als software ontwikkelaar misschien druk over moet maken. De bedoeling van deze topic is om met elkaar ervaringen uit te delen en niet om lukraak zomaar iets te roepen.

Acties:
  • 0 Henk 'm!

  • downtime
  • Registratie: Januari 2000
  • Niet online

downtime

Everybody lies

appendto schreef op dinsdag 09 augustus 2016 @ 13:39:


Pagina 209
GTN	"In the public domain" 
GSN		This means "technology" or "software" which has been made available 
ML 22		without restrictions upon its further dissemination. 
		Note Copyright restrictions do not remove "technology" or "software" from being "in 		the public domain".


Mijn conclusie uit het bovenstaande is(LET OP: ik ben geen jurist/rechtsgeleerde): Dat open source software niet onder het Wassenaar Arrangement valt.
Waarom stel je public domain gelijk met open source? Dat lijkt me een misverstand.

Acties:
  • 0 Henk 'm!

  • appendto
  • Registratie: Januari 2014
  • Laatst online: 22-07-2022
downtime schreef op dinsdag 09 augustus 2016 @ 23:24:
[...]

Waarom stel je public domain gelijk met open source? Dat lijkt me een misverstand.
Hele goede vraag. Het zette me aan het denken.

Public Domain Software
Public-domain software is software that has been placed in the public domain: in other words, there is absolutely no ownership such as copyright, trademark, or patent. Software in the public domain can be modified, distributed, or sold even without any attribution by anyone; this is unlike the common case of software under exclusive copyright, where software licenses grant limited usage rights.
Echter interpreteer ik de definitie van 'public domain' die in het Wassenaar Arrangement beschreven staat niet op de manier zoals die hierboven is beschreven. Ik interpreteer het meer als open source: Het is beschikbaar voor iedereen zonder restricties.

Mijn vertaling van "public domain" die in het Wassenaar Arrangement staat beschreven:
"In het publieke domein"
Dit betekent "technologie" of "programmatuur" die ter beschikking is gesteld
zonder beperkingen aan verdere verspreiding.
Opmerking: Copyright verwijderd "technologie" of "programmatuur" niet uit "het publieke domein".
Het bovenstaande klinkt in mijn oren als open source.

Hoe interpreteer jij het?

Acties:
  • 0 Henk 'm!

  • downtime
  • Registratie: Januari 2000
  • Niet online

downtime

Everybody lies

Als je gemakshalve alleen naar open source onder de GPL licentie kijkt dan zijn er zeker restricties. Je mag bijvoorbeeld niet andermans code aanpassen en het eindproduct distribueren zonder de source code van je eigen aanpassingen ook (onder GPL) te verspreiden. Dat is zeker niet "zonder restricties". Niet voor niks willen een boel bedrijven niks met GPL te maken hebben.

Aan public domain zijn eigenlijk helemaal geen restricties. De rechten van de maker zijn verlopen of hij heeft zelf zijn copyright opgegeven zonder er voorwaarden aan te stellen. Dat lijkt soms hetzelfde als sommige permissieve open source licenties maar is juridisch echt iets heel anders.

Acties:
  • 0 Henk 'm!

  • appendto
  • Registratie: Januari 2014
  • Laatst online: 22-07-2022
downtime schreef op woensdag 10 augustus 2016 @ 10:42:
Als je gemakshalve alleen naar open source onder de GPL licentie kijkt dan zijn er zeker restricties. Je mag bijvoorbeeld niet andermans code aanpassen en het eindproduct distribueren zonder de source code van je eigen aanpassingen ook (onder GPL) te verspreiden. Dat is zeker niet "zonder restricties". Niet voor niks willen een boel bedrijven niks met GPL te maken hebben.

Aan public domain zijn eigenlijk helemaal geen restricties. De rechten van de maker zijn verlopen of hij heeft zelf zijn copyright opgegeven zonder er voorwaarden aan te stellen. Dat lijkt soms hetzelfde als sommige permissieve open source licenties maar is juridisch echt iets heel anders.
Als je bijv naar de MIT Licentie kijkt (https://opensource.org/licenses/MIT). Die is weer heel vrij en valt daarom volgens mij onder de "public domain" zoals deze in het Wassenaar Arrangement beschreven is. Echter ik ben geen jurist/rechtsgeleerde en kan het niet met 100% zekerheid zeggen.

Het is een goed punt wat je aankaart en ik ben eigenlijk wel benieuwd hoe iemand met juridische achtergrond dit interpreteert.

  • sparticle
  • Registratie: Oktober 2014
  • Laatst online: 08-04-2022
appendto schreef op dinsdag 09 augustus 2016 @ 13:39:
Valt open source software onder het Wassenaar Arrangement?
Nee.

Dit is een FAQ: http://www.modssl.org/docs/2.8/ssl_faq.html#ToC7

Acties:
  • 0 Henk 'm!

  • appendto
  • Registratie: Januari 2014
  • Laatst online: 22-07-2022
Goed gevonden! Wat ik daar dan wel lees is:
What is actually allowed or forbidden to be exported from the countries has still to be defined in the local laws of each country.
Pagina: 1