home *** CD-ROM | disk | FTP | other *** search
/ Ian & Stuart's Australian Mac: Not for Sale / Another.not.for.sale (Australia).iso / hold me in your arms / crypto.export.controls / cjr.kit < prev    next >
Internet Message Format  |  1994-09-12  |  19KB
  1. Date: Fri, 26 Mar 93 15:37:40 PST
  2. From: tien@toad.com (Lee Tien)
  3. To: gnu@cygnus.com, gnu@toad.com
  4. Subject: CJR kit [export commodity jurisdiction request]
  5.  
  6.                     United States Department of State
  7.  
  8.                     Bureau of Politico-Military Affairs
  9.                     Office of Defense Trade Controls
  10.  
  11. 17 Sep 92                Washington, D.C. 20522-0602
  12.  
  13.         *GUIDELINES FOR PREPARING COMMODITY JURISDICTION (CJ) REQUESTS*
  14.  
  15. *Purpose.*  The purpose of a commodity jurisdiction request is to determine
  16. whether an item requires a Department of State license for export.  If you
  17. are not completely sure of the export licensing jurisdiction of an item, you
  18. should request a CJ determination.  You can also use a CJ request to ask that
  19. a State controlled item be moved to the licensing jurisdiction of the
  20. Department of Commerce.  Anyone can request a CJ determination on any item.
  21. Remember, a CJ determination only determines the proper licensing authority
  22. for an item and is not a license or approval to export.
  23.  
  24. *The CJ Process.*  A CJ request should be submitted to the Office of Defense
  25. Trade Controls (DTC) in the form of a letter and supporting documents.  Once
  26. received, a CJ request is assigned a CJ case number.  Copies of the request
  27. are staffed to appropriate U.S. Government agencies for review.  To avoid
  28. delays in the interagency coordination process, we request you send *nine
  29. complete sets* of the letter and any attachments.  Upon receipt of these
  30. comments from reviewing agencies, DTC makes a jurisdictional determination
  31. and then notifies the applicant of this decision by letter.
  32.  
  33. *Preparing the CJ Package.*  Use the following guidelines in preparing the
  34. CJ letter and attachments:
  35.  
  36. 1. _Subject Line_.  On the subject line identify the letter as a "Commodity
  37. Jurisdiction Request for (state the item or items)."  Be as specific as
  38. possible, including the manufacturer, the model and/or part number, and the
  39. name of the item.  If this is request for reconsideration of a previous CJ,
  40. reference the previous CJ case number.
  41.  
  42. 2. _Description_.  State what the item is, what it is a component of, what
  43. it does, how it works, and any other information that explains the item.
  44.  
  45. 3. _Origin of Commodity_.  State what the item was originally designed for
  46. and/or why the item was created.  State whether the item was designed or
  47. modified specifically for military use, for commercial use, or for both
  48. commercial and military use.  Give examples of these uses.  If the item was
  49. developed for any U.S. Government agency or with any U.S. Government funding,
  50. state so and identify the agency.  A brief product history is also useful.
  51.  
  52. 4. _Current use_.  Describe all current uses of the item and state whether
  53. or not the uses have changed significantly over time.  Include only what the
  54. item "*is used for*", rather than what it "*can be used for*."  Indicate
  55. whether most of the product market is military or commercial.
  56.  
  57. 5. _Special Characteristics_.  State any military standards or military
  58. specifications that the item is designed to meet.  Describe any special
  59. characteristics of the item, including radiation-hardening, ballistic
  60. protection, hard points, TEMPEST capability, thermal or infrared signature
  61. reduction capability, and surveillance or intelligence gathering capability.
  62. If the item uses image intensification tubes, give the level of technology
  63. (Gen II, Gen III, etc).  If the item uses encryption algorithms state what
  64. the encryption is for and describe the algorithm.  Check with the CJ staff
  65. before submitting a CJ request for mass market software containing
  66. encryption.
  67.  
  68. 6. _Other Information_.  Provide any other information in the letter that
  69. would be helpful in making a jurisdictional determination.  If a
  70. jurisdiction recommendation is applicable, recommend the U.S. Government
  71. agency (State or Commerce), the United States Munitions List category or
  72. export control classification number, and the reasons for the
  73. recommendation.
  74.  
  75. 7. _Attachments_.  Include any brochure, specification sheet, marketing
  76. literature, technical data, or any other document that will assist in the
  77. determination.
  78.  
  79. *Getting Your Request to DTC*.  When sending your CJ request to DTC be
  80. careful to address it correctly.  When sending it through the U.S. Postal
  81. Service system (other than Express Mail) use the following address:
  82.  
  83.     Office of Defense Trade Controls
  84.     PM/DTC SA-6 Room 200
  85.     U.S. Department of State
  86.     Washington, D.C. 20522-0602
  87.  
  88. When sending it via courier or Express Mail use the following address:
  89.  
  90.     Office of Defense Trade Controls 
  91.     PM/DTC SA-6 Room 200 
  92.     U.S. Department of State
  93.     Arlington, VA  22209-3113
  94.  
  95. *Processing Time.*  A CJ case normally takes 40 work days (60 calendar days)
  96. to complete.  This includes the time it takes to initially review and staff
  97. the case, to receive all agency recommendation replies, to resolve
  98. conflicting agency recommendations, to prepare the response letter, and to
  99. complete the internal review process.  Processing times vary depending on
  100. the complexity of the case.
  101.  
  102. *Status.*  Seven to ten days after submitting a CJ case an applicant should
  103. call the CJ staff to obtain the case number.  With this case number status
  104. on a CJ case can be obtained by calling the automated license status line
  105. (ALISS), at (703) 875-7374.  Applicants that subscribe to the Remote On-line
  106. Bulletin Board (ROBB) can obtain status via computer on (703) 875-6652,
  107. Monday through Friday, 9-12am and 2-5pm.
  108.  
  109. *Requests for Reconsideration.*  If an applicant disagrees with a DTC
  110. determination or if a change in export regulations cause a transfer of
  111. jurisdiction, a request for reconsideration can be submitted.  In either
  112. case the format is identical to an original CJ request.  Remember to
  113. reference the previous CJ case number in the subject line.  Additionally,
  114. state why you disagree with the DTC ruling, and provide appropriate
  115. justification and/or information.
  116.  
  117. *Points of Contact.*  Points of contact for commodity jurisdictions are:
  118.  
  119. Major Gary Oncale    (703) 875-5655
  120. Christopher Elder    (703) 875-7041
  121. PM/DTC/ALD FAX        (703) 875-6647
  122.  
  123. 31 Jul 92
  124.  
  125. =====
  126.  
  127. Note:    Asterisks  surrounding text (*foo*) indicate emboldening. 
  128.     Underlines surrounding text (_bar_) indicate underlining.
  129. ==============================================================================
  130.                     United States Department of State
  131.  
  132.                     Bureau of Politico-Military Affairs
  133.                     Office of Defense Trade Controls
  134.  
  135.                     Washington, D.C. 20522-0602
  136.  
  137.       PROCEDURE FOR SUBMITTING A COMMODITY JURISDICTION REQUEST
  138.      FOR A MASS MARKET SOFTWARE PRODUCT THAT CONTAINS ENCRYPTION
  139.  
  140.  
  141. On April 27, 1992, as the result of public comments on proposed rule
  142. changes regarding the area of cryptographic devices covered by the
  143. USML, the Department of State (DOS) published a revised USML which
  144. clarified the cryptographic devices and technology that are subject
  145. to USML controls.  Additionally, on July 20, 1992, the DOS published
  146. an interim final rule that announced a procedure to facilitate the
  147. expeditious transfer to the Department of Commerce's Control List
  148. (CCL) of mass market software products with encryption.
  149.  
  150. All commodity jurisdiction (CJ) requests for mass market software
  151. products with encryption will be reviewed in one of the following
  152. manners:
  153.  
  154.   -  Those requests for products which meet the specified criteria
  155. established in paragraphs 1 and 2 of the attached "Criteria for
  156. Determining Eligibility of A Mass Market Software Product for
  157. Expedited Handling", will be processed in seven working days from
  158. receipt of a properly completed request.
  159.  
  160.   -  Those requests for products which meet only paragraph 1 of the
  161. attached "Criteria for Determining Eligibility of A Mass Market
  162. Software Product for Expedited Handling", will be processed in
  163. fifteen working days of the receipt of a properly completed request.
  164. When additional information is requested, the request will be
  165. processed within fifteen working days of the receipt of the
  166. requested information.
  167.  
  168.   -  Those software products that do not meet the specified criteria
  169. above are not eligible for expeditious handling, and must be
  170. submitted using the normal CJ procedures as described in CFR 22 Part
  171. 120.5.
  172.  
  173. If an applicant wants an expedited CJ on an entire product line,
  174. then a separate CJ request must be submitted on each product.
  175. However, a mass market software commodity that runs on multiple
  176. operating systems can be submitted as a single CJ request.
  177.  
  178. 1.   *The instructions for the preparation and submission of a CJ
  179. request that is eligible for seven day handling are as follows:*
  180.  
  181.     a.  If the software product _meets paragraphs 1 and 2_ of the
  182. attached "Criteria for Determining Eligibility of A Mass Market
  183. Software Product for Expedited Handling," you must call the Office
  184. of Defense Trade Controls (ODTC), Maj Gary Oncale at (703) 875-5655
  185. or Chris Elder at (703) 875-7041, to obtain a test vector included on
  186. the "Supplemental Form for Mass Market Software Expedited Review."
  187. This test vector must be used in the CJ review process to confirm
  188. that the software has properly implemented the approved encryption
  189. algorithm(s).
  190.  
  191.     b.  Upon receipt of the test vector, the applicant must encrypt
  192. the test plain text input provided using the commodity's encryption
  193. routine (RC2 and/or RC4) with the given key value.  Do not
  194. pre-process the test vector by any compression or any other routine
  195. that changes its format.  Place the resultant test cipher text
  196. output in hexadecimal format on the "Supplemental Form for Mass
  197. Market Software Expedited Review," and submit the form with the CJ
  198. request.
  199.  
  200.     c.  The applicant must provide the following information in the
  201. CJ request letter:
  202.  
  203.         (i)  clearly mark in the subject line "Mass Market Software
  204. with Encryption - 7 Day Expedited Review Requested."
  205.  
  206.        (ii)  state your Defense Trade Controls (DTC) registration
  207. code if you are registered with the Department of State as a
  208. manufacturer and/or exporter of defense articles or furnisher of
  209. defense services.
  210.  
  211.       (iii)  state that you have reviewed and determined that the
  212. software, which is the subject of the CJ request, meets paragraphs 1
  213. and 2 of the attached "Criteria for Determining Eligibility of A
  214. Mass Market Software Product for Expedited Handling."
  215.  
  216.        (iv)  state the name of the single software product being
  217. submitted for review.  Remember, a separate CJ request must be
  218. submitted on each product.
  219.  
  220.         (v)  state how the software has been written to preclude
  221. user modification of the encryption algorithm, key management
  222. mechanism, and key space.
  223.  
  224.        (vi)  The following information must be provided on each
  225. software product:
  226.  
  227.              -  whether the software uses the RC2 and/or the
  228.                 RC4 algorithm and how the algorithm(s) is used.  If
  229.                 both of these algorithms are used in the same
  230.                 product, also state how the functionality of each is
  231.                 separated to assure that no data is operated on by
  232.                 both algorithms.
  233.  
  234.              -  pre-processing information of plain text data before
  235.                 encryption (e.g., the addition of header information
  236.                 or compression of the data).
  237.  
  238.              -  post-processing information of cipher text data after
  239.                 encryption (e.g., the addition of clear text header
  240.                 information or packetization of the encrypted data).
  241.  
  242.              -  whether or not a public key algorithm or a symmetric
  243.                 key algorithm is used to encrypt keys and the
  244.                 applicable key space.
  245.  
  246.       (vii)  Additional Information On Source Code Requests:  A CJ
  247. request to transfer the source code of a mass market software
  248. product that meets the specified criteria established in paragraphs
  249. 1 and 2 of the attached "Criteria for Determining Eligibility of A
  250. Mass Market Software Product for Expedited Handling", must also:
  251.  
  252.              -  reference the applicable executable product that was
  253.                 transferred to Commerce.
  254.  
  255.              -  include whether or not the source code has been
  256.                 modified by deleting the encryption algorithm, it's
  257.                 associated key management routine(s), and all calls
  258.                 to the algorithm from the source code, or by
  259.                 providing the encryption algorithm and associated
  260.                 key management routine(s) in object code with all
  261.                 calls to the algorithm hidden.  The applicant must
  262.                 provide the technical details on how they have
  263.                 modified the source code.
  264.  
  265.              -  include a copy of the sections of the source code
  266.                 that contain the encryption algorithm, key
  267.                 management routines, and their related calls.
  268.  
  269.      (viii)  provide any additional information which you believe
  270. would assist in the review process.
  271.  
  272.  
  273.     d.  Address the CJ request letter to the Office of Defense Trade
  274. Controls (ODTC) using the mailing instructions in paragraph 3 below.
  275.  
  276.  
  277. 2.   *The instructions for the preparation and submission of a CJ
  278. request that is eligible for 15 day handling are as follows:
  279.  
  280.  
  281.     a.  If the software product _meets only paragraph 1_ of the
  282. attached "Criteria for Determining Eligibility of A Mass Market
  283. Software Product for Expedited Handling," then you will need to
  284. prepare two copies of the CJ request.  The first copy must be sent
  285. to the Office of Defense Trade Controls (ODTC), using the mailing
  286. instructions in paragraph 3 below, and the second copy must be sent
  287. by Express Mail to:
  288.  
  289.                 P.O. Box 246
  290.                 Annapolis Junction, Maryland 20701-0246
  291.                 Attn: 15 Day CJ Request Coordinator
  292.  
  293.     b.  The applicant must provide the following information in the
  294. CJ request letter:
  295.  
  296.         (i)  clearly mark in the subject line "Mass Market Software
  297. with Encryption - 15 Day Expedited Review Requested."
  298.  
  299.        (ii)  state your Defense Trade Controls (DTC) registration
  300. code if you are registered with the Department of State as a
  301. manufacturer and/or exporter of defense articles or furnisher of
  302. defense services.
  303.  
  304.       (iii)  state that you have reviewed and determined that the
  305. software, which is the subject of the CJ request, meets paragraphs 1
  306. of the attached "Criteria for Determining Eligibility of A Mass
  307. Market Software Product for Expedited Handling."
  308.  
  309.        (iv)  state the name of the single software product being
  310. submitted for review.  Remember, a separate CJ request must be
  311. submitted on each product.
  312.  
  313.         (v)  state that a duplicate copy, in accordance with
  314. paragraph 2a above, has been sent to the 15 Day CJ Request
  315. Coordinator.
  316.  
  317.        (vi)  ensure that the information provided includes brochures
  318. or other documentation or specifications relating to the software,
  319. as well as any additional information which you believe would assist
  320. in the review process.
  321.  
  322.     c.  ODTC recommends that Major Gary Oncale be contacted prior to
  323. submission to facilitate the submission of proper documentation.
  324.  
  325.  
  326. 3.  Although ODTC can and will accept expedited CJ requests via Fax,
  327. courier, or overnight mail, ODTC recommends the Fax to ensure that
  328. no time delays are incurred due to in-house processing of the mail.
  329. Send one copy of the CJ request to ODTC either by FAX, courier, or
  330. by overnight mail.  Address the CJ request as follows:
  331.  
  332. When sending it via _courier or overnight mail_ use the following
  333. address:
  334.  
  335.    ATTN:  Maj Gary Oncale - (insert 7 or 15) Day CJ Request
  336.    U.S. Department of State
  337.    Office of Defense Trade Controls
  338.    PM/DTC SA-6 Room 200 
  339.    1701 N. Fort Myer Drive
  340.    Arlington, VA  22209-3113
  341.  
  342.  
  343. When sending it via _FAX_ use the following number: (703) 875-5845 and
  344. state in the cover letter, "ATTN:  Maj Gary Oncale - (insert 7 or
  345. 15) Day CJ Request."
  346.  
  347.  
  348. 4.  Finally, ODTC suggests that you call either Maj Oncale or Chris Elder
  349. one day after transmitting your CJ request to ensure ODTC received
  350. your CJ request and to obtain the assigned CJ case number for future
  351. reference.
  352.  
  353.  
  354.               CRITERIA FOR DETERMINING ELIGIBILITY OF A
  355.          MASS MARKET SOFTWARE PRODUCT FOR EXPEDITED HANDLING
  356.  
  357.  
  358. 1.  In accordance with the Note in 22 CFR 121.1 Category XIII(b)(1),
  359. published on July 20, 1992, a mass market software product that
  360. meets _all_ the criteria established in this paragraph will be
  361. processed in fifteen working days from receipt of the properly
  362. completed request:
  363.  
  364.     a.  The commodity must be mass market software.  Mass market
  365. software is computer software that is available to the public via
  366. sales from stock at retail selling points by means of
  367. over-the-counter transactions. mail order transactions, or telephone
  368. call transactions.
  369.  
  370.     b.  The software must be designed for installation by the user
  371. without further substantial support by the supplier.  Substantial
  372. support does not include telephone (voice only) help line services
  373. for installation or basic operation, or basic operation training
  374. provided by the supplier.
  375.  
  376.     c.  The software includes encryption for data confidentiality.
  377.  
  378. 2.  In accordance with the Note in 22 CFR 121.1 Category XIII(b)(1),
  379. published on July 20, 1992, a mass market software product that
  380. meets _all_ the criteria established in this paragraph will be
  381. processed in seven working days from receipt of the properly
  382. completed request:
  383.  
  384.     a.  The software meets _all_ the criteria established in paragraph
  385. 1(a), (b), and (c) above.
  386.  
  387.     b.  The data encryption algorithm must be RC4 and/or RC2 with a
  388. key space of 40 bits.  The RC4 and RC2 algorithms are proprietary to
  389. RSA Data Security, Inc.  To ensure that the subject software is
  390. properly licensed and correctly implemented, contact RSA Data
  391. Security, (415) 595-8782.
  392.  
  393.     c.  If both RC4 and RC2 are used in the same software, their
  394. functionality must be separate,  That is, no data can be operated on
  395. by both routines.
  396.  
  397.     d.  The software must not allow the alteration of the data
  398. encryption mechanism and its associated key spaces by the user or
  399. any other program.
  400.  
  401.     e.  The key exchange used in the data encryption must be:
  402.  
  403.         (i)  a public key algorithm with a key space less than or
  404. equal to a 512 bit modulus and/or
  405.  
  406.        (ii)  a symmetrical algorithm with a key space less than or 
  407. equal to 64 bits.
  408.  
  409.     f.  The software must not allow the alteration of the key
  410. management mechanism and its associated key space by the user or any
  411. other program.
  412.  
  413.  
  414. SEPTEMBER 1992
  415.  
  416.  
  417. =====
  418.  
  419. Note:   Asterisks  surrounding text (*foo*) indicate emboldening. 
  420.         Underlines surrounding text (_bar_) indicate underlining.
  421. ==============================================================================
  422.  
  423. -30-
  424.  
  425. Lee
  426.