Cryptography software en het Wassenaar Arrangement

Ik ben laatste tijd bezig geweest met het ontwikkelen van een applicatie die gebruik maakt van de Bouncy Castle(https://www.bouncycastle.org) bibliotheek t.b.v. cryptography. Nou had ik ergens een keer gelezen dat je software die gebruik maakt van cryptography niet zomaar mag publiceren. Omdat dit een onderwerp is waar je niet elke dag mee bezig bent en je dit waarschijnlijk na verloop van tijd vergeet zou ik graag deze topic willen gebruiken als documentatie en om ervaringen uit te wisselen met medeontwikkelaars.

Na wat googlen kwam ik bij het Wassenaar Arrangement(http://www.wassenaar.org).

De vraag die ik heb en die ik graag d.m.v. het Wassenaar Arrangement wil beantwoorden is: Valt open source software onder het Wassenaar Arrangement?

Dit is wat ik erover gevonden heb:

Document: List of Dual-Use Goods and Technologies and Munitions List(http://www.wassenaar.org/...es-and-Munitions-List.pdf)

Pagina 3


Pagina 209


Mijn conclusie uit het bovenstaande is(LET OP: ik ben geen jurist/rechtsgeleerde): Dat open source software niet onder het Wassenaar Arrangement valt.

Meer leesvoer:
http://crypto.stackexchan...ts-still-needs-permission

http://blog.iusmentis.com...-de-security-onderzoeker/

Mocht je zelf ook ervaring hebben met het Wassenaar Arrangement laat a.u.b. wat van je horen.

Haan schreef op dinsdag 09 augustus 2016 @ 14:07:
Ik had nog nooit van het Wassenaar verdrag gehoord, maar als ik zo snel even lees, is het gericht op wapens en technologie dat als 'wapen' gebruikt kan worden.
Je hebt het dan dus over het publiceren van exploits of software om schade mee aan te richten (malware) , en heeft dus niks te maken met software waarin je data versleutelt.

echter, IANAL

The Wassenaar Arrangement on Export Controls for Conventional Arms and Dual-Use Goods and Technologies (https://en.wikipedia.org/wiki/Wassenaar_Arrangement)

Dual-Use

quote: https://en.wikipedia.org/wiki/Dual-use_technology

In politics and diplomacy, dual-use is technology that can be used for both peaceful and military aims.

Cryptography kan je gebruiken om zaken waarmee je schade aan zou kunnen richten te verbergen. Daarom valt deze onder de Dual-Use Goods volgens mij.

[ Voor 3% gewijzigd door appendto op 09-08-2016 15:18 ]

Haan schreef op dinsdag 09 augustus 2016 @ 15:50:
[...]

Klopt dat weet ik ook niet, maar ik lees dat dit verdrag gaat over anti-terrorisme, over afspraken tussen landen, dus als je je daar voor een open source projectje waarin je iets doet met cryptografie druk gaat maken, denk ik inderdaad dat dat een beetje overdreven voorzichtig is.

Neemt niet weg dat het wel een interessante vraag is, vandaag in ieder geval weer iets geleerd En ik ben benieuwd naar een goed onderbouwd antwoord.

Klopt ook dat het gericht is op anti-terrorisme. Maar dat betekend niet dat cryptography niet onder dual-use valt zoals ik het eerder zei en er een wet aan verbonden is waar je als software ontwikkelaar misschien druk over moet maken. De bedoeling van deze topic is om met elkaar ervaringen uit te delen en niet om lukraak zomaar iets te roepen.

downtime schreef op dinsdag 09 augustus 2016 @ 23:24:
[...]

Waarom stel je public domain gelijk met open source? Dat lijkt me een misverstand.

Hele goede vraag. Het zette me aan het denken.

Public Domain Software

quote: https://en.wikipedia.org/wiki/Public-domain_software

Public-domain software is software that has been placed in the public domain: in other words, there is absolutely no ownership such as copyright, trademark, or patent. Software in the public domain can be modified, distributed, or sold even without any attribution by anyone; this is unlike the common case of software under exclusive copyright, where software licenses grant limited usage rights.

Echter interpreteer ik de definitie van 'public domain' die in het Wassenaar Arrangement beschreven staat niet op de manier zoals die hierboven is beschreven. Ik interpreteer het meer als open source: Het is beschikbaar voor iedereen zonder restricties.

Mijn vertaling van "public domain" die in het Wassenaar Arrangement staat beschreven:

"In het publieke domein"
Dit betekent "technologie" of "programmatuur" die ter beschikking is gesteld
zonder beperkingen aan verdere verspreiding.
Opmerking: Copyright verwijderd "technologie" of "programmatuur" niet uit "het publieke domein".

Het bovenstaande klinkt in mijn oren als open source.

Hoe interpreteer jij het?

downtime schreef op woensdag 10 augustus 2016 @ 10:42:
Als je gemakshalve alleen naar open source onder de GPL licentie kijkt dan zijn er zeker restricties. Je mag bijvoorbeeld niet andermans code aanpassen en het eindproduct distribueren zonder de source code van je eigen aanpassingen ook (onder GPL) te verspreiden. Dat is zeker niet "zonder restricties". Niet voor niks willen een boel bedrijven niks met GPL te maken hebben.

Aan public domain zijn eigenlijk helemaal geen restricties. De rechten van de maker zijn verlopen of hij heeft zelf zijn copyright opgegeven zonder er voorwaarden aan te stellen. Dat lijkt soms hetzelfde als sommige permissieve open source licenties maar is juridisch echt iets heel anders.

Als je bijv naar de MIT Licentie kijkt (https://opensource.org/licenses/MIT). Die is weer heel vrij en valt daarom volgens mij onder de "public domain" zoals deze in het Wassenaar Arrangement beschreven is. Echter ik ben geen jurist/rechtsgeleerde en kan het niet met 100% zekerheid zeggen.

Het is een goed punt wat je aankaart en ik ben eigenlijk wel benieuwd hoe iemand met juridische achtergrond dit interpreteert.

sparticle schreef op donderdag 11 augustus 2016 @ 19:33:
[...]

Nee.

Dit is een FAQ: http://www.modssl.org/docs/2.8/ssl_faq.html#ToC7

Goed gevonden! Wat ik daar dan wel lees is:

quote: http://www.modssl.org/docs/2.8/ssl_faq.html#ToC7

What is actually allowed or forbidden to be exported from the countries has still to be defined in the local laws of each country.