diff options
author | Yuri Kozlov <yuray-guest> | 2013-10-22 17:47:04 +0000 |
---|---|---|
committer | Yuri Kozlov <yuray-guest> | 2013-10-22 17:47:04 +0000 |
commit | 50bb9fa5e9e1f3aa22e81f0f53d9af38d10ef67d (patch) | |
tree | 6667945a432b4e43c80a82b264b0fc340b98b7a9 /russian/legal | |
parent | e704d70402338dda7ce48aa365a2fa54a751a8c3 (diff) |
russian translation update
CVS version numbers
russian/legal/cryptoinmain.wml: INITIAL -> 1.1
Diffstat (limited to 'russian/legal')
-rw-r--r-- | russian/legal/cryptoinmain.wml | 719 |
1 files changed, 719 insertions, 0 deletions
diff --git a/russian/legal/cryptoinmain.wml b/russian/legal/cryptoinmain.wml new file mode 100644 index 00000000000..824a2759fc8 --- /dev/null +++ b/russian/legal/cryptoinmain.wml @@ -0,0 +1,719 @@ +#use wml::debian::template title="Exploring Cryptographic Software in Debian's Main Archive" BARETITLE=true +#use wml::debian::translation-check translation="1.8" + +# Nota bene! This is basically draft text from the lawyers, and it must +# _not_ be modified for spelling errors and such. Formatting changes are +# fine (I think). -- Joy + +<table width="100%" summary="mail headers"> +<colgroup span="2"> +<col width="10%"> +<col> +</colgroup> +<tr><td>Кому:</td> + <td><a href="http://www.spi-inc.org/">Software in the Public Interest</a>, <a href="http://www.debian.org/">Проект Debian</a></td></tr> +<tr><td>From:</td> + <td>Розель Томсен, Партнёр <a href="http://www.t-b.com/">Thomsen &l Burke LLP</a></td></tr> +<tr><td>Дата:</td> + <td>31 июля 2001 года</td></tr> +<tr><td>Re:</td> + <td>Исследование ПО для шифрования в главном архиве Debian</td></tr> +</table> + +<p>Спасибо за возможность прокомментировать работу Сэма Хартмана озаглавленную как: <q>Исследование ПО для шифрования в основном архиве Debian</q>.</p> + +<p>Мы предоставляем вам эту информацию как общее руководство. BXA требует, +чтобы каждая единица экспортируемых продуктов соответствовала установленным +соглашениям, указанным в Export Administration Regulations (EAR, «Правилах экспорта США»). +Пожалуйста, обратите внимание, что правила могут быть изменены. В случае экспорта рекомендуем +получить личную юридическую консультацию. +Кроме того, некоторые страны могут ограничивать импорт определённых уровней +шифрования. Рекомендуем проконсультироваться у законного +представителя соответствующей страны или специализированного правительственного +агентства в конкретной стране.</p> + +<p>На правах истории, экспорт ПО для шифрования из США контролируется +при помощи «Правил экспорта США» (<q>EAR</q>, 15 CFR часть 730 и последующие), +контроль осуществляется коммерческим отделом Бюро Управления Экспортом (<q>BXA</q>). +BXA исправляла заготовки EAR, затрагивающие ПО для шифрования, +последнее исправление произошло 19 октября 2000 года. Данная статья ссылается на эти <q>Новые правила</q> +по причине более строгих указаний.</p> + +<p>Когда администрация Клинтона пришла в Вашингтон, экспорт элементов шифрования +контролировался как <q>военное снаряжение</q> на основе +«Акта контроля экспорта вооружений» (AECA) и «Правилах международной перевозки вооружений». +Большинство заявок на лицензирование экспорта сильных средств шифрования были отклонены. +Промышленность и общественные группы выступали за либерализацию правил, +тогда Администрация Клинтона реформировала устаревшие правила экспорта элементов шифрования +по ряду моментов, что привело к появлению новых «Правил экспорта США». +Новая администрация Буша обдумывает дальнейшую либерализацию, которая может быть +опубликована позже в этом году.</p> + +<p>Несмотря на эту либерализацию, контроль экспорта из США коммерческих +элементов шифрования по-прежнему остаётся сложным и обременительным процессом. +Американские компании должны отправлять элементы шифрования на техническую +экспертизу компетентным органам для того, чтобы их можно было экспортировать. +Для экспорта в некоторые агентства других государств требуется наличие лицензий, как и для экспорта +в области телекоммуникаций и Интернет-услуг, если провайдеры хотят предоставлять +эти услуги для некоторых государственных агентств. И наконец, к экспорт из США применяются требования +пост-экспортной отчётности. Таким образом, американский контроль +экспорта шифрования продолжает налагать значительный управленческий груз на американские компании, +замедляя всемирное развёртывание сильного шифрования в коммерческих программных продуктах.</p> + +<p>Тем не менее, не все программные продукты с шифрованием являются коммерческими. +В соответствии с EAR, контроль исходного кода с элементами шифрования делится на +три категории: (1) открытый исходный код, (2) исходный код сообщества, +(3) собственнический исходный код. Управление экспортом каждой из этих +категорий выполняется по-разному, и за это необходимо поблагодарить +новые правила управления экспортом.</p> + +<p>Открытому исходному коду соответствует ПО, которое доступно для общества +без ограничений и без оплаты, под соглашениями типа GNU. Debian, похоже, +попадает под эту категорию. Старые правила позволяли экспорт свободного +исходного кода к любому конечному пользователю без проведения технической экспертизы, +предполагая, что тот, кто делает код доступным отправляет уведомление в BXA и Национальное агентство по безопасности +(<q>NSA</q>). Однако, старые правила умалчивали разрешения и ограничения +(если таковые имелись) на экспорт собранных исполняемых файлов ПО, полученных +из свободного исходного кода.</p> + +<p>По новым правилам не только открытый свободный код, но так же и +собранные исполняемые файлы ПО, полученные из исходного кода, подходят +для экспорта на тех же условиях что и сам исходный код, при условии, что +исполняемые файлы также доступны без ограничений и без получения платы. К сожалению, если собранный +исполняемый файл включён в состав продукта за который взимается плата, +то результирующий продукт считается коммерческим +продуктом, и к нему будут применяться соответствующие правила. К примеру, такие продукты должны быть отправлены в BXA и NSA для +однократной технической экспертизы, описанной выше.</p> + +<p>Исходному коду сообщества соответствует ПО, которое доступно публично, +без получения прибыли, для некоммерческого использования, но содержащее +некоторые ограничения на использование в коммерческих целях. Исходный код сообщества +может быть экспортирован, в сущности, на тех же условиях что и свободный исходный код, +но остаётся необходимость составления более детальной отчётности.</p> + +<p>Собственнический исходный код соответствует любому исходному коду, +который не является ни <q>свободным кодом</q>, ни <q>кодом сообщества</q>. +Экспортёры могут предоставлять собственнический исходный код любому конечному +пользователю в Евросоюзе и его партнёрам, и любому негосударственному конечному пользователю +в других странах, пройдя техническую экспертизу в BXA и NSA. Условия отчётности для +собственнического исходного кода те же, что и для исходного кода сообщества.</p> + +<p>Пожалуйста, не забывайте, что тот, кто находится на территории США, +и может размещать ПО на сайтах за пределами США, также подпадает под действие законов США, +даже если это делается в индивидуальном порядке. По этой причине необходимо +предупредить людей из США, что их публикации на сервер, содержащий ПО для шифрования из США, +так же подпадают под действие правил США.</p> + +<p>И наконец, вы должны понимать, что ключевые правила контроля экспорта США +распространяются на всё экспортируемое из США свободное ПО для шифрования. +В сущности, эти правила контроля запрещают экспорт Свободного ПО для шифрования +под License Exception TSU для (1) запрещённых партий (представлены здесь: +<a href="http://www.bxa.doc.gov/DPL/Default.shtm">http://www.bxa.doc.gov/DPL/Default.shtm</a>); +(2) запрещённых стран (на текущий момент: Куба, Иран, Ирак, Ливия, Северная Корея, Судан, +Сирия и оккупированная Талибаном часть Афганистана); а так же (3) проектирования, разработки, накопления, +производства или использования ядерного, химического или биологического оружия или ракет.</p> + +<p>В соответствии с данными знаниями, ваши вопросы касательно Debian рассматриваются ниже в том порядке, +в котором они указаны в работе Сэма Хартмана (фрагменты из указанной работы помечены +курсивом).</p> + +<hr /> + +<h2><i>Исследование ПО для шифрования в главном архиве Debian</i></h2> + +<p><i>Сэм Хартман</i></p> + +<p><i>Проект Debian</i></p> + +<hrline /> + +<p style="margin-left: 2em"> + <i>Debian — это свободная операционная система. На данный момент, по + причинам, связанным с экспортом из США, Debian выделяет ПО для шифрования + в отдельные архивы, находящиеся за пределами США. Этот документ объединяет + вопросы, на которые нам необходимо ответить с точки зрения закона для того, + чтобы объединить эти два архива.</i> +</p> + +<hrline /> + +<h3><i>О Debian</i></h3> + +<p><i>Debian — это группа отдельных людей, работающих для создания свободной +операционной системы. Эти люди ответственны за решения, которые они принимают +при работе над Debian. Не существует официальной организации Debian, в которой +разработчики работают или принимают решения от имени организации. +Имеется зарегистрированная некоммерческая организация «Software in Public Interest» (SPI), которая владеет +деньгами и ресурсами Debian. По этой причине, принимаемые разработчиками решения, +могут влиять на ресурсы, которыми владеет SPI, и, таким образом, влиять на SPI. Также +ресурсы для Debian предоставляют различные спонсоры. Debian, в основном, зависит от +спонсоров в плане предоставления сетевого доступа. Также имеются группы третьих лиц, которые копируют +ПО Debian на зеркала для того, чтобы люди по всему свету могли +скачивать и использовать его. Некоторые изготавливают и продают диски с Debian. Все эти группы +могут в большей или меньше степени влиять на принятие решений для Debian. Мы хотим вести +себя таким образом, при котором минимизируется ответственность для всех групп, и в пределах +этих ограничений максимизировать значимость наших усилий.</i></p> + +<p><i>Подобно остальным поставщикам операционных систем, нам необходимо включать в Debian +ПО для шифрования. Данное ПО предоставляет защиту, позволяя +пользователям заниматься интернет-коммерцией, и выполнять другие задачи, требующие +шифрования. На сегодня, это ПО хранится на серверах за пределами США, которые известны +как <q>серверы за пределами США</q>. На данный момент Debian не помогает +разработчикам из США следовать правилам экспорта, если они +загружают ПО на архивы вне США, и не запрещает им загрузку такого ПО. Мы хотели бы переместить +ПО для шифрования с серверов вне США на наши главные серверы в США.</i></p> + +<p><i>С увеличением доли сетевой работы (сетевого взаимодействия) и по причине, +что всё больше и больше критических функций размещаются на вычислительных платформах, +и из-за роста вандализма и преднамеренной злобы, безопасность становится всё +более важным аспектом сетевого взаимодействия. Шифрование это важный камень +преткновения большого числа процессов обеспечения безопасности. Любая ОС, которая не предпринимает +усилий по плавному интегрированию шифрования, к сожалению, не конкурентоспособна.</i></p> + +<p><i>Размещение всего ПО на одном источнике, и описание возможностей создания единого +набора компакт-дисков, в которые интегрирована поддержка шифрования, упрощает работу +поставщиков дисков, упрощает задачи разработчиков по загрузке ПО на эти сайты и +упрощает задачи репликации репозиториев с ПО в Интернете.</i></p> + +<p><i>Оставшаяся часть данного документа сфокусирована на основном сервере +на территории США и на его зеркалировании и копировании по всему миру. +Важно осознавать, что на текущий момент создана параллельная структура, +занимающаяся серверами за пределами США.</i></p> + +<p><i>Каждые несколько месяцев разработчики Debian выпускают новые официальные +версии Debian. Это ПО делается доступным на главном (и для ПО для шифрования за пределами США) +сервере для группы первичных серверов-зеркал по всему миру. Эти зеркала копируют ПО с главного +сервера и делают его доступным для пользователей вторичных зеркал. Пользователи могут +использовать HTTP, FTP или другие методы для получения ПО. Образы компакт-дисков становятся +доступными для пользователей и торговых посредников. Эти образы могут быть записаны на +физические компакт-диски отдельными людьми или теми, кто хочет продавать или раздавать Debian.</i></p> + +<p><i>Кроме того, имеется два постоянно развивающихся выпуска Debian: тестируемый и +нестабильный. Эти выпуски обновляются ежедневно разработчиками по всему миру. +Как и официальные выпуски, эти выпуски делаются доступными на главном сервере и сервере за пределами США +для первичных зеркал. Первичные зеркала делают ПО доступным через HTTP, FTP и другие методы +для конечных пользователей и вторичных зеркал. Иногда из этих выпусков создаются образы компакт-дисков. +Важное различие между этими развивающимися выпусками и официальным выпуском заключается в том, +что они постоянно изменяются.</i></p> + +<p><i>Зачастую, разработчики загружают исполняемые файлы и исходный код в одно и то же время. +Однако, мы поддерживаем много различных типов компьютеров, каждый из которых требует свои +исполняемые файлы для того же исходного кода. Большинство разработчиков делают исполняемые +файлы только для одной поддерживаемой компьютерной архитектуры при загрузке +изменённой программы. Затем запускается автоматизированный процесс, которые создаёт исполняемые файлы для +других архитектур из загруженного исходного кода. По этой причине, некоторые исполняемые +файлы для определённого исходного кода программы будут, скорее всего, загружены позже +исходного кода.</i></p> + +<p><i>Некоторые разработчики Debian также используют ресурсы Debian для работы +над пока ещё не изданным ПО. Первичный ресурс, который удобен для данной задачи — +это CVS-сервер Debian. Исходный код проектов на этом сервере почти всегда доступен +публично, но может быть изменён много раз за день. CVS-сервер находится в США.</i></p> + +<p><i>Однако большинство ПО Debian не разрабатывается непосредственно +разработчиками Debian. Вместо этого ПО выпускается в публичный доступ +группами третьих лиц. Некоторое ПО делается доступным публично на сайтах +внутри США, тогда как другие авторы выпускают своё ПО на сайтах за пределами США. +Разработчики Debian ответственны за интеграцию ПО в Debian. Как часть данной +работы, множество разработчиков Debian работают совместно с авторами ПО, часто +внося изменённый код в оригинальный выпуск.</i></p> + +<p><i>ПО в Debian соответствует Критериям Debian по определению Свободного ПО (DFSG). +Мы верим, что это ПО имеет публично доступный исходный код в соответствии с разделом +740.13(e) (EAR). Правила требуют, чтобы исходный код был распространяемым. +DFSG косвенно требует, чтобы продукт, основанный на этом исходном коде, был предоставлен +без взимания платы. Мы предоставляем весь исходный код Debian в качестве части наших +выпусков. Другое ПО предоставляется в нашем несвободном архиве, но в этом документе мы +концентрируем внимание на Свободном ПО в смысле DFSG. Мы заинтересованы в том, чтобы знать, в какой +степени мы могли бы переместить несвободное в смысле DFSG ПО, для которого мы можем предоставить +исходный код в США, но мы хотим быть уверены, что эти советы не будут путаться +с советами о том, как работать со свободным в смысле DFSG ПО.</i></p> + +<p><i>Разработчики Debian живут во множестве разных стран по всему миру. Очевидно, +что некоторые из них являются жителями США, но остальные живут за пределами США. Некоторые +могут быть жителями семи запрещённых в EAR (раздел 740.13(e)) стран.</i></p> + +<p><i>Как было упомянуто ранее, у нас имеются зеркала по всему миру. Мы не имеем +никаких официальных зеркал (зеркала, с которыми проект может быть связан) в любой +из семи стран, указанных в EAR (раздел 740.13(e)). Хотя с тех пор как наше ПО публично +доступно, оно может быть скопировано в эти страны. Большинство зеркал внутри США +на данный момент зеркалируют только главный сервер (тот, на котором отсутствует ПО для шифрования), +хотя некоторые зеркалируют оба: главный архив и архив за пределами США. Debian не несёт +ответственности за зеркала в США, которые зеркалируют архив, размещённый за пределами США.</i></p> + +<hrline /> + +<h3><i>Наша цель</i></h3> + +<p><i>Мы хотим включить ПО для шифрования в наш основной архив. +Мы хотим понять риски для разработчиков, пользователей, организации SPI, +представителей зеркал, торговых поставщиков компакт-дисков, спонсоров и +других групп, которые имеют отношение к Debian, чтобы мы могли +принять взвешенное решение. Мы хотим иметь возможность документировать и опубликовать +эти риски для того, чтобы эти группы не совершили преступление, игнорируя +данный закон. Очевидно, мы также хотим избежать необоснованного риска.</i></p> + +<p><i>В частности нам бы хотелось рассмотреть следующие виды деятельности:</i></p> + +<ul> +<li><i>Добавление и изменение DFSG-свободного + ПО в наших выпусках на ежедневной основе. На практике только тестируемый и нестабильный + выпуски изменяются на ежедневной основе, остальные выпуски + изменяются лишь время от времени.</i></li> + +<li><i>Распространение ПО для шифрования как часть наших + выпусков через Интернет и на компакт-дисках.</i></li> + +<li><i>Добавление и изменение DFSG-свободного ПО для шифрования на нашем CVS-сервере.</i></li> + +<li><i>Любые действия, которые нам следует предпринять в ответ на изменения в правилах + экспорта ПО для шифрования (или соответствующих законов).</i></li> +</ul> + +<hrline /> + +<p><em>Окончание преамбулы документа Debian</em></p> + +<p>Я постараюсь отразить все эти цели в моих ответах на ваши вопросы. +Подводя итог, я думаю что изначального уведомления должно хватить для +текущего архива и его обновлений. Новое уведомление может понадобиться +в том случае, если новая программа с шифрованием будет добавлена в архив. +Дальнейшее распространение свободного ПО не требует дополнительного уведомления. +В то же время, коммерческие версии ПО должны пройти техническую экспертизу, +лицензирование и сообщить требуемые сведения, которые применяются к коммерческим +продуктам. Предсказать будущее изменения законов или правил тяжело, +но если закон изменится, вам потребуется отключить сайт или изменить его +для соответствия требованиям. У вас нет необходимости информировать других +субъектов об их юридических обязательствах, также если у вас имеется +список часто задаваемых вопросов, я был бы рад предложить соответствующие +ответы на них, которые вы бы могли предоставить.</p> + +<p>Вопросы (каждый вопрос от Debian помечен буквой «D»)</p> + +<blockquote class="question"> +<p> +<span>D:</span> + Необходимо ли оповещать Бюро Управления Экспортом + (BXA) о ПО, добавленном в выпуски? +</p> +</blockquote> + +<p>Если оповещение составлено верно, и архив остаётся на том же +месте, указанном в уведомлении, тогда вам необходимо сделать +одно уведомление в BXA для изначального архива. Требуется только +одно уведомление для одного сайта в США. Отдельных уведомлений о +зеркалах на территории и за пределами США не требуется. +Это уведомление должно быть повторено только в том случае, если вы добавили +новую программу, использующую шифрование.</p> + +<pre> + Коммерческое отделение + Бюро Управления Экспортом + Офис стратегической торговли и внешнеполитических норм + 14-я улица и Пенсильвания Авеню + Комната 2705 + Вашингтон, Округ Колумбия 20230 + + Re: Уведомление о неограниченном исходном коде, содержащем элементы шифрования + Продукт: Исходный код Debian + + Дорогой(ая) Сэр/Мадам + В соответствии с параграфом (e)(1) части 740.13 Правил + экспорта США («EAR», 15 CFR часть 730 и последующие) мы + предоставляем данное письменное уведомление о нахождении в Интернет + неограниченного, доступного публично исходного кода Debian. Исходный + код Debian — это свободная операционная система, разработанная группой + людей в общественных интересах, координируемая некоммерческой организацией + «Software in the Public Interest». Этот архив обновляется время от времени, + но расположение сайта является постоянным. Поэтому данное уведомление является + единовременным и применяется также для последующих изменений, которые могут произойти в архиве. + Для новых программ будут составлены отдельные дополнительные уведомления. + Размещение исходного кода Debian в Интернет: http://www.debian.org. + + Этот сайт зеркалируется на большое число других сайтов за пределами США. + + Дубликат этого уведомления так же был отправлен Координатору запросов + шифрования (ENC), Абонентский ящик 246, Переход Аннаполиса, MD 20701-0246. + + Если у вас возникнут вопросы, пожалуйста позвоните мне по номеру (xxx) xxx-xxxx + + Искренне ваш, + Имя + Должность +</pre> + + +<blockquote class="question"> +<p> +<span>D:</span> + Какую информацию нам нужно включить в такое уведомление? +</p> +</blockquote> + +<p>Черновой вариант, приведённый выше, включает всю информацию, +которую вам необходимо включить в уведомление.</p> + + +<blockquote class="question"> +<p> +<span>D:</span> + Как часто нам необходимо отсылать уведомления? Нам бы хотелось + делать это как можно реже, так как это создаёт дополнительную + работу как для нас, так и для правительства, но мы хотим делать это + настолько часто, насколько это необходимо. +</p> +</blockquote> + +<p>Как описано выше, и полагая что архив остаётся в сети Интернет +по указанному в уведомлении адресу, вам не нужно составлять дополнительное +уведомление для последующих обновлений. Уведомление следует +подавать только в том случае, если вы добавили новую программу.</p> + + +<blockquote class="question"> +<p> +<span>D:</span> + Если мы переместим ПО для шифрования в какую-то страну, + а законы или правила изменятся на более ограничительные, + что мы скорее всего потеряем? Необходимо ли уничтожить ПО или + диски? Необходимо ли нам удалить ПО с основного и вторичных + серверов? Если мы используем возросшую доступность ПО для шифрования + для улучшения безопасности остальной системы, а законы о шифровании + изменятся в худшую сторону, стоит ли нам удалить все копии данного + ПО в США? +</p> +</blockquote> + +<p>Дальнейшее развитие идёт в сторону увеличения либерализации контроля +экспорта шифрования из США, а не увеличения ограничений. Эта тенденция появилась +в последние десять лет, либерализация ускорилась в прошлом году. Мы не можем сказать +что-то более точное до тех пор, пока не будут выпущены новые правила. +В то же время, мы полагаем, что вы сохраните права на ПО, правда, +возможно, с более ограниченными правами экспорта.</p> + + +<blockquote class="question"> +<p> +<span>D:</span> + В порядке снижения предпочтений, мы хотели бы уведомить: + </p> + <ul> + <li>Однократно для всего архива Debian</li> + + <li>Однократно для каждого официального выпуска + (не забываем о том, что тестируемый и нестабильный выпуски могут изменяться между выпуском стабильных версий)</li> + + <li>Однократно, когда новая программа, использующая шифрование, добавлена в архив</li> + + <li>Однократно, когда новая версия программы, содержащая шифрование, добавлена в архив</li> + </ul> + +</blockquote> + +<p>Я полагаю, что отправлять новое уведомление нужно только, если добавлена +новая программа содержащая шифрование. Обновления к существующим программам +должно покрываться тем уведомлением, которое приведено выше.</p> + + +<blockquote class="question"> +<p> +<span>D:</span> + Новые пакеты входят в архив Debian через следующую + последовательность шагов. На каком шаге необходимо подавать уведомление? +</p> + <ol> + <li>Ведущий разработчик выпускает пакет как пакет с открытым кодом. Этот + шаг пропускается в случае, если пакет является родным в Debian.</li> + <li>Разработчик Debian создаёт пакет с исходным кодом и с исполняемыми + файлами для Debian, в основном вместе с изменением исходников.</li> + <li>Пакет загружается на главный FTP-сервер, входящий.</li> + <li>Возникает ошибка при установке нового пакета в архив, потому что он новый.</li> + <li>FTP-администраторы добавляют необходимую запись о пакете.</li> + <li>Пакет устанавливается в архив в течении нескольких дней.</li> + <li>Пакет копируется на зеркала.</li> + </ol> +</blockquote> + +<p>Правила достаточно чётко говорят о том, что уведомление +должно быть отправлено до, либо одновременно с размещением в +публичном доступе. Прежде размещения в публичный доступ требуется +иметь экспортную лицензию. Поэтому, если архив на шаге 3 не доступен +публично, то либо пакет должен быть доступен публично до шага 3 +(и уведомление должно быть отправлено), +либо разработчикам Debian нужны будут экспортные лицензии.</p> + + +<blockquote class="question"> +<p> +<span>D:</span> + Если автор главной ветки уведомил BXA, нужно ли уведомлять опять? + (Создание пакета для Debian может потребовать внесение изменений в исходный код, + к примеру, пути к файлам, а возможно и изменение функций, так как основной + целью является создание рабочего кода для среды Debian с минимальными изменениями). +</p> +</blockquote> + +<p>Если ведущий автор уведомил BXA, тогда нет необходимости уведомлять дополнительно.</p> + + +<blockquote class="question"> +<p> +<span>D:</span> + Должны ли мы уведомлять, когда добавляются новые исполнительные файлы + (объектный код), если мы уже уведомили об исходном коде? +</p> +</blockquote> + +<p>Я не думаю, что необходимо составлять новое уведомление +об объектном коде, если предоставлено уведомление об исходном коде.</p> + + +<blockquote class="question"> +<p> +<span>D:</span> + Необходимо ли уведомление для приложений, не содержащих + алгоритмов шифрования, но связанных с + библиотеками для шифрования? И как быть в том случае когда программы запускают + другие программы для выполнения операций шифрования? +</p> +</blockquote> + +<p>До тех пор, пока программа является открытой (с открытым исходным кодом), +она может содержать API для шифрования, и может быть квалифицирована как +подходящая под License Exception TSU.</p> + + +<blockquote class="question"> +<p> +<span>D:</span> + Новые программы могут быть легко проверены до их выпуска (и в то же + время выслано уведомление), но когда происходит обновление, нет + шагов выполняемых вручную, при которых возможно было бы осуществить уведомление. + Будет ли приемлемым уведомлять BXA о каждом дополнительном программном + продукте с пометкой о том, что дальнейшее обновление будет включать дополнение + функционала шифрования? +</p> +</blockquote> + +<p>Да, лишние уведомления не должны отправляться, если такая возможность имеется, +но не должно быть недоуведомлённости. Будущие обновления существующих программ не требуют +отдельного уведомления. Только новые программы требуют отдельного уведомления.</p> + + +<blockquote class="question"> +<p> +<span>D:</span> + Можем ли мы автоматизировать процесс уведомления? +</p> +</blockquote> + +<p>Да, автоматизировать процесс отправки уведомления возможно. +Это внутренняя процедура. BXA и NSA не волнует как именно производится +составление уведомления.</p> + + +<blockquote class="question"> +<p> +<span>D:</span> + В какой форме должно быть составлено уведомление? +</p> +</blockquote> + +<p>Уведомление для BXA может быть в электронном виде или в бумажном, +уведомление для NSA должно быть в бумажном виде.</p> + + +<blockquote class="question"> +<p> +<span>D:</span> + Кто должен посылать уведомления? К примеру, + должны ли они быть гражданами США? +</p> +</blockquote> + +<p>Любой человек может посылать уведомление, гражданство не играет роли.</p> + + +<blockquote class="question"> +<p> +<span>D:</span> + Есть ли ещё какие-то сложности, которых мы должны остерегаться? + Какие шаги мы должны совершать помимо уведомления? +</p> +</blockquote> + +<p>Помимо уведомления вам также может понадобиться применение метода Reverse IP Lookup, +который будет определять компьютер, с которого идёт запрос на скачивание, и который будет +блокировать скачивание для стран, запрещённых США: Куба, Иран, Ирак, Ливия, Северная Корея, +Сирия, Судан и оккупированная Талибаном часть Афганистана. Кроме того, вам может понадобиться +дополнительное указание или отдельная страница перед скачиванием с уведомлением о следующем:</p> + +<p>Это ПО находится под контролем экспорта США, который применяется к ПО с открытым исходным кодом, +включающим шифрование. Debian отправил уведомление для BXA и NSA, которое требуется +перед экспортом в соответствии с License Exception TSU Правил экспорта США. +В соответствии с требованиями License Exception TSU, вы соглашаетесь и подтверждаете, что +имеете право получить это ПО, что вы не находитесь в стране попадающей под запрет США, и вы +не используете ПО для проектирования, разработки, хранения или использования ядерного, +химического или биологического оружия или ракет прямым или косвенным образом. Собранный исполняемый +код, который предоставлен как код с открытым исходным кодом, может быть переэкспортирован в соответствии +с License Exception TSU. В то же время, требуется дополнительная техническая экспертиза и исполнение +других требований, связанных с использованием или при включении данного кода в коммерческие продукты, до +момента его экспорта из США. Для получения дополнительной информации вы можете обратиться на сайт: www.bxa.doc.gov.</p> + + +<blockquote class="question"> +<p> +<span>D:</span> + На текущий момент пользователи по всему миру могут получить доступ и + потенциально скачать то ПО, которое ожидает интеграции в архив, ПО будет находиться + в состоянии ожидания уведомления. Будет ли это являться проблемой? Если так, будет + ли приемлемым настроить отдельную очередь ПО для шифрования, ожидающего интеграции + в архив, так, чтобы это ПО было доступно только для наших разработчиков? В порядке включения ПО в наш дистрибутив + разработчикам, чаще всего находящимся за пределами США, необходимо проверить ПО и + убедиться в том, что оно соответствует определённым требованиям. Как мы должны обеспечить доступ в таком случае? + Имеются ли другие решения для такой зоны предуведомления, которые мы могли бы рассмотреть? + </p> + <p>Одна проблема, с которой мы часто сталкиваемся — это патент на ПО. + Интеграция шифрования в ПО не решает каких-либо проблем с патентами, о которых мы обычно задумываемся. + Тем не менее, существуют ли какие-либо новые проблемы, которые нам необходимо рассмотреть касательно патентов, + которые связаны с правилами экспорта элементов шифрования? Кажется, что для освобождения + от TSU (раздел 740.13 EAR), патенты не влияют на то, является ли исходный код публичным. + +</p> +</blockquote> + +<p>Необходимо понимать различия между архивом, попадающим под уведомление, +и новыми программами. Вы можете обновить архив, попадающий под уведомление +без последующего уведомления, как описано выше. Только о новых программах +должны быть составлены отдельные уведомления перед размещением. Если новые +программы должны пройти экспертизу разработчиками до размещения, и такое ПО не +является публично доступным и о нём ещё не было уведомления, тогда я рекомендую +вам получить лицензию на экспорт, разрешающую данную ограниченную предуведомительную +экспертизу. Вы совершенно правы в том, что патенты не делают ПО неприемлемым для экспорта +под License Exception TSU.</p> + + +<blockquote class="question"> +<p> +<span>D:</span> + Распространение, зеркалирование и компакт-диски</p> + + <p>Необходимо ли зеркалам на территории США уведомлять BXA, если + мы добавляем элементы шифрования в наш архив? Нам хотелось + бы избежать ситуации, при которой зеркала должны отсылать уведомление о + каждой новой программе, которую Debian добавляет в архив, даже если + основному серверу необходимо посылать такие уведомления. Нам необходимо, + чтобы операции зеркалирования были просты для операторов зеркал. Что в + таком случае должны делать зеркала за пределами США?</p> + + <p>Если мы посылаем обновление зеркалу вместо того, чтобы дожидаться + пока оно скачает ПО, требуется ли нам совершать ряд каких-то + дополнительных шагов? Что если мы посылаем запрос зеркалу о + том, чтобы оно скачало обновления или новое ПО с сервера? + +</p> +</blockquote> + +<p>Если уведомление было составлено для центрального сервера, составление +дополнительных уведомлений для сайтов-зеркал не требуется.</p> + + +<blockquote class="question"> +<p> +<span>D:</span> + Какой из следующих поставщиков (если таковой имеется) сможет поставлять + неизменённые исполняемые файлы (и исходный код) Debian с уведомлением? + Какой из них требует экспертизы и одобрения? Может ли экспертиза выполняться одновременно с + поставкой или одобрение предшествуют поставке? +</p> + <p> + A) Почтовый заказ доставки компакт-дисков по стоимости носителя?<br /> + B) Почтовый заказ доставки компакт-дисков ради прибыли?<br /> + C) Продажи в магазине по стоимости носителя?<br /> + D) Продажи в магазине ради прибыли?<br /> + E) Поставщики, предоставляющие диски в соответствии с пунктами A или C выше + вместе с аппаратным обеспечением. Аппаратное обеспечение продано + ради прибыли, но без предустановки?<br /> + F) Пункт E, но с предустановленным ПО?<br /> + G) Любой выше описанный пункт, продажа поддержки для ПО? + </p> + + <p>Если так проще, то вот другой способ взглянуть на это: какие условия должны + быть соблюдены, для того, чтобы поставщики могли поставлять исполняемые + файлы под License Exception TSU, и какие расходы разрешено поставщику + покрывать для возврата стоимости и/или продажи ради прибыли?</p> +</blockquote> + +<p>Разумное и обыкновенное вознаграждение за перевыпуск и распространение +разрешены, но не лицензионные сборы или рояльти. Поддержка также разрешена, +с условием тех же ограничений, что описаны выше.</p> + + +<blockquote class="question"> +<p> +<span>D:</span> + Если проведена однократная экспертиза, необходимая для неизменённых + исполняемых файлов поставляемых ради прибыли, может ли это давать разрешение + остальным поставщикам поставлять неизменённые исполняемые файлы? +</p> +</blockquote> + +<p>Производится однократная экспертиза продукта, она не зависит от поставщиков.</p> + + +<blockquote class="question"> +<p> +<span>D:</span> + Будет ли допустимым создание официального зеркала в стране, + запрещённой в EAR раздел 740.13(e)? +</p> +</blockquote> + +<p>Вам потребуется подать заявку на лицензию для того, чтобы создать +официальное зеркало в запрещённой стране.</p> + + +<blockquote class="question"> +<p> +<span>D:</span> + Если технически невозможно блокировать доступ из запрещённых + стран к серверам веб (или FTP и т.д.), требуется ли для этой экспертизы + применение решительных мер? Имела ли место ранее общественная практика + подобного рода экспертиз? +</p> +</blockquote> + +<p>Де факто промышленного стандарта будет достаточно. Я надеюсь, что правительство +осознаёт тот факт, что любая система может быть взломана при достаточном +количестве усилий.</p> + + +<blockquote class="question"> +<p> +<span>D:</span> + Какие шаги нам следует предпринять в том случае, если мы получим + предупреждение, что кто-то из этих стран производит скачивание с зеркала, находящегося + на территории США? Что если мы осведомлены о том, что кто-то из этих стран + скачивает с зеркал за пределами США? +</p> + <p>Некоторые из наших разработчиков могут быть гражданами этих семи запрещённых + стран. Будет ли проблемой для данных разработчиков иметь + доступ к нашему ПО для шифрования на наших машинах? Должны ли мы просить + их не скачивать такое ПО? Какие шаги мы должны предпринять, если мы будем + осведомлены о том, что они скачивают ПО для шифрования?</p> +</blockquote> + +<p>Простое размещение ПО для шифрования на сервере, к которому имеется доступ из +запрещённых стран, <q>не означает</q> что данное ПО было экспортировано туда. +Поэтому уголовная ответственность не будет применена по факту размещения +этого ПО. Мы рекомендуем проводить проверку IP и отказывать в запросах на скачивание +из этих стран. Также это должно помочь избежать гражданско-правовой ответственности. +Если вы выясните что ваше ПО было скачано в запрещённом направлении, тогда я рекомендую +чтобы вы заблокировали возможность для скачивания в будущем для конкретного сайта до +тех пор, пока вы не получите лицензию от BXA.</p> + +<hr /> + +<p>Debian благодарит <a href="http://www.hp.com/">Hewlett-Packard</a> +<a href="http://www.hp.com/products1/linux/">Linux Systems Operation</a> +за их помощь в получении данного правового мнения.</p> |