Regionale Einschränkungen für den Export dieser Software.

Aufgrund der qualitativ hochwertigen Kryptografie in der FIPS 140-2-validierten Verschlüsselungsengine MOVEit Crypto und ihrer zentralen Bedeutung in MOVEit Transfer unterliegt MOVEit Transfer den Exportkontrollbestimmungen der Vereinigten Staaten. Nach diesen Bestimmungen ist es derzeit legal, MOVEit Transfer in jedem Land zu installieren und zu verwenden, das nicht in den Dokumenten „Regional Considerations“ der Genehmigungsbehörde U.S. Department of Commerce aufgeführt ist.

Nachfolgend finden Sie eine abgekürzte Fassung der Bestimmungen unter „Control Policy – CCL Based Controls“, „Supplement No. 6 to part 742“, „Export Administration Regulations (EAR)“. (Der vollständige Originaltext liegt beim U.S. Department of Commerce.) Laut Anfrage wurde das Dokument das letzte Mal am 15. Mai 2002 aktualisiert.

Section a – Name of item (Abschnitt a – Produktname)

MOVEit Transfer und MOVEit Automation.

Section b – Duplicate copy (Abschnitt b – Duplikat)

Section c – Commodity or software (Abschnitt c – Handelsware oder Software)

1. MOVEit Transfer verwendet:

• Die Standard-SSL-Verschlüsselung (Secure Socket Layer), wie von Microsoft bereitgestellt. Das Produkt installiert keine SSL-Verschlüsselungssoftware, es verwendet die auf dem Computer vorhandene SSL-Implementierung. Die Schlüssellängen und -algorithmen werden durch die auf dem Computer vorhandene Installation bestimmt. Microsoft Windows ist erforderlich.
• AES, auch Rijndael-Algorithmus genannt. 256-Bit-Schlüssel mit Cipher Block Chaining (CBC, Chiffrenblock-Verkettung) werden verwendet.

MOVEit Automation verwendet für den Schutz lokal gespeicherter Kennwörter zudem eine einfache Stream-Chiffre (engl. Stream Cipher). Dies ist ein rotoren-basiertes Schema, das speziell für den Export um das Jahr 1990 entwickelt wurde, als die Exportbestimmungen noch restriktiver waren.

Über die von Microsoft bereitgestellte SSL-Implementierung hinaus verwendet das Produkt keine asymmetrische Verschlüsselung.

2. MOVEit Transfer verschlüsselt Dateien mit einem 256-Bit-Schlüssel.

Die Schlüsselverwaltungsalgorithmen für SSL sind gut dokumentiert, so dass an dieser Stelle nicht näher darauf eingegangen werden muss.

3. Der AES-Algorithmus ist nicht geschützt. Er wurde FIPS 197-validiert, um wie erforderlich in den öffentlichen Dokumenten von NIST und CSE verwendet werden zu können.

(Der Quellcode wurde im Rahmen der FIPS 140-2-Validierung eingehend untersucht.)

Der rotoren-basierte Algorithmus funktioniert wie folgt:

• Aus der Tageszeit und dem vom Benutzer bereitgestellten Kennwort wird ein additiver, linearer, kongruenter Pseudozufallszahlen-Generator erstellt.
• Ein 256-Byte-Array wird erstellt, das 0->0, 1->1 usw. zuordnet.
• Mittels PRNG wird das Array in einen Pseudozufallsrotor umgesetzt.
• Jedes Byte wird wie folgt chiffriert:
  ranbyte = die nächste von PRNG zurückgegebene Zahl
  cipherbyte = rotorArray[plainbyte + prevcipherbyte) % 256] ^ ranbyte;
• Das Ergebnis wird für die Ausgabe mittels RFC 1113-Verschlüsselung codiert.

4. Vor der Verschlüsselung findet keine weitere Verarbeitung der Daten statt.

5. Für den AES-Schlüssel wird dem Chiffren- bzw. Geheimtext ein 128-Byte großer Header vorangestellt, der einen Nachrichten-Hash, die ursprüngliche Nachrichtengröße und weitere Informationen enthält, die nicht allein in der Dateistruktur des zugrunde liegenden Betriebssystems gespeichert werden können.

Für das oben beschriebene rotoren-basierte Schema wird für die Ausgabe eine RFC 1113-entsprechende Codierung angewendet.

6. TCP und SSL werden unterstützt. Das Produkt stützt sich auf Microsoft-Standardsoftware, die bereits auf dem Computer des Benutzers installiert ist.

7. Das Produkt wird mit zwei – ausschließlich internen – APIs implementiert.

Durch diese Methoden werden Dateien ver- und entschlüsselt, ohne dass die gesamte Datei in den Arbeitsspeicher gelesen werden muss. Um sowohl der ASP- als auch der ASP.NET-Version von Response.BinaryWrite Rechnung zu tragen, hat Progress sowohl die Byte-Version BSTR als auch SafeArray implementiert.

8. Die API, die den AES-Verschlüsselungsalgorithmus nutzt, wird sowohl durch statische Verknüpfung als auch durch ein dynamisch verknüpftes COM-Objekt implementiert. In beiden Fällen wird der gleiche Quellcode verwendet.

Zudem verwendet das Produkt die TCP/IP Enterprise Edition von Dundas Software. Diese Software stellt den Code zum einen Teil in einer statischen Bibliothek, zum anderen Teil in einer dynamischen Bibliothek mit dem Namen „UTSecureLayer.dll“ bereit. Der eigentliche Verschlüsselungscode stammt weder von Ipswitch noch von Dundas, hierfür wird die CRYPT32.dll von Microsoft verwendet. Die CRYPT32.dll ist dynamisch verknüpft und muss bereits auf dem Computer des Benutzers vorhanden sein. (Diese DLL wird von keinem der MOVEit-Produkte installiert.)

9. Das Produkt verwendet keinen Java-Bytecode.

10. Das Produkt wird in Form kompilierter und verknüpfter .exe- und .dll-Dateien von Microsoft bereitgestellt. Zur Verhinderung einer Binärbearbeitung der Dateien werden keine speziellen Prüfsummen- oder Obfuskationstechniken verwendet.

Section d – Components (Abschnitt d – Komponenten)

1. – 4. Nicht zutreffend – Ipswitch verkauft keine Komponenten.

Section e – Source code (Abschnitt e – Quellcode)

1. – 3. Nicht zutreffend – Ipswitch vertreibt keinen Quellcode.