密码问题既是技术问题，还是习惯问题，还跟CPU的计算能力一样，是个政治问题。美国人一向把这个东西当成军事设备，限制出口，比如限制多少位以上的加密技术不能出口等。奇怪的是他们的法规，书可以出口，因为书不是军火，但拷贝在软盘里的代码就不行，因为这个东西“很容易就能编译成武器”。

在上一篇提到的Philip R. Zimmermann当年就有这个问题，PGP的软件不能出口，但他发现了这一点，于是在MIT出版社把这个源代码给出了一本书，书上全用等宽字体，页码放在注释里，共933页（并不是传说中的7大本），然后出口到了欧洲，就有人接应，扫描了之后OCR，很容易就恢复了全部源代码。这样他就既不违反规定，又输出了源代码。

在90年代后半期，技术发展很快，美国商务部也对他们的出口管理规定EAR做了调整，大体是分开源软件，社区软件和商业软件，每种规定都不同。但对开源软件，似乎放得比较开，允许随意出口，也不必管对方是谁，只要不是特意向美国的禁运目标（CU/IR/IQ/LY/KP/SY/SD/AF，随着美国占领的地方不同应该会有变化）出口就成。所以后来Debian就先把加密部分，今年又把Non-US目录（专放违禁的软件，包括加密软件，美国服务器上没有）里的软件都合并到了主目录。

咱们这里有个《商用密码管理规定》，虽然称为商用，但其定义里并不限于商业应用。规定也很吓人：“ 第十四条 任何单位或者个人只能使用经国家密码管理机构认可的商用密码产品，不得使用自行研制的或者境外生产的密码产品。”，也就是说，用GPG/PGP毫无疑问都是违法行为。