home *** CD-ROM | disk | FTP | other *** search

---

/ Group 42-Sells Out! - The Information Archive / Group 42 Sells Out (Group 42) (1996).iso / crypto / a-crypt.txt

< prev

next >

Wrap

Text File  |  1995-11-30  |  22KB  |  447 lines

---

1.  
2.       +--------------------------------------------------+
3.       |                                                  |
4.       |          This information brought to you by      |
5.       |                                                  |
6.       |                _  | |_  o  _  ,_                 |
7.       |               (_|_|_|_)_|_(_)_| )                |
8.       |                                                  |
9.       |          as a service to the cybercommunity.     |
10.       |                                                  |
11.       +--------------------------------------------------+
12.  
13.  
14. Dear Friends:
15.  
16. Once again the U.S. government is embarked upon a campaign to restrict
17. our personal freedom on the electronic frontier.  This time, the FBI &
18. NSA are asking the Congress to severly restrict the use of cryptography
19. in digital communications so that their electronic eavesdropping may
20. continue to be effective.  (Recall the recent arrest of Acid Phreak,
21. Fiber Optik, & the rest, where the authorities used to wiretaps to
22. intercept their digital transmissions?)  _Boardwatch_ magazine described
23. it this way:
24.  
25.         The proposed law would ban the use of secure cryptography on any
26.         message handled by a computerized communications network.  It
27.         would further force service providers to build access points
28.         into their equipment through which the FBI--& conceivably any
29.         polic officer at any level--could eavesdrop on any conversation
30.         without ever leaving the comfort of headquarters.
31.  
32. I recommend that all U.S. citizens educate themselves on this issue &
33. contact their elected representatives NOW, before the proposal becomes
34. law.  Remember, as a regular user of digital communications media, you
35. are far better equipped to understand the threat this poses to our
36. privacy than the average member of Congress;  it is up to you to educate
37. them.
38.  
39. Here are some places to go for further information:  _Boardwatch_
40. magazine, September 1992 ("FBI Seeks to Outlaw Cryptography" & "Pretty
41. Good Privacy Version 2.0--Free Cryptography Software") for information
42. about the proposed legislation;  _2600_, Winter 1992 ("crypt() source")
43. & Spring 1992 ("UNIX Password Hacker"), for a discussion of defeating
44. UNIX encryption; & a recent issue of _Scientific American_ (sorry, no
45. reference handy), which contains a detailed description of one possible
46. method for using encryption to validate electronic signitures for bank
47. transactions & the like.
48.  
49. What follows is a recent mailing from CPSR concerning the current debate
50. over encryption.
51.  
52. Urizen
53.  
54.  
55. ------------------------------------------------------------------------
56.  
57.  
58. Sender: Computer Professionals for Social Responsibility
59.               <CPSR%GWUVM.BITNET@pucc.Princeton.EDU>
60. From: David Sobel <dsobel@washofc.cpsr.org>
61. Subject:      CPSR Letter on Crypto Polic
62. X-To:         CPSR List <cpsr@gwuvm.gwu.edu>
63. To: Multiple recipients of list CPSR <CPSR%GWUVM.BITNET@pucc.Princeton.EDU>
64.  
65.   CPSR Letter on Crypto Policy
66.  
67. The following is the text of a letter Computer Professionals for Social
68. Responsibility (CPSR) recently sent to Rep. Jack Brooks, chairman of
69. the House Judiciary Committee.  The letter raises several issues concerning
70. computer security and cryptography policy.  For additional information on
71. CPSR's activities in this area, contact banisar@washofc.cpsr.org.   For
72. information concerning CPSR generally (including membership information),
73. contact cpsr@csli.stanford.edu.
74.  
75. ====================================================
76.  
77. August 11, 1992
78.  
79. Representative Jack Brooks
80. Chairman
81. House Judiciary Committee
82. 2138 Rayburn House Office Bldg.
83. Washington, DC 20515-6216
84.  
85. Dear Mr. Chairman:
86.  
87.      Earlier this year, you held hearings before the Subcommittee on
88. Economic and Commercial Law on the threat of foreign economic espionage
89. to U.S. corporations.  Among the issues raised during the hearings were the
90. future of computer security authority and the efforts of government
91. agencies to restrict the use of new technologies, such as cryptography.
92.  
93.      As a national organization of computer professionals interested in the
94. policies surrounding civil liberties and privacy, including computer
95. security and cryptography, CPSR supports your efforts to encourage public
96. dialogue of these matters.  Particularly as the United States becomes
97. more dependent on advanced network technologies, such as cellular
98. communications, the long-term impact of proposed restrictions on
99. privacy-enhancing techniques should be carefully explored in a public
100. forum.
101.  
102.      When we had the opportunity to testify before the Subcommittee on
103. Legislation and National Security in May 1989 on the enforcement of the
104. Computer Security Act of 1987, we raised a number of these issues.  We
105. write to you now to provide new information about the role of the National
106. Security Agency in the development of the Digital Signature Standard and
107. the recent National Security Directive on computer security authority.
108. The information that we have gathered suggests that further hearings are
109. necessary to assess the activities of the National Security Agency since
110. passage of the Computer Security Act of 1987.
111.  
112. The National Security Agency
113. and the Digital Signature Standard
114.  
115.      Through the Freedom of Information Act, CPSR has recently learned
116. that the NSA was the driving force behind the selection and development
117. of the Digital Signature Standard (DSS).  We believe that the NSA's actions
118. contravene the Computer Security Act of 1987.  We have also determined
119. that the National Institute of Standards and Technology (NIST) attempted
120. to shield the NSA's role in the development of the DSS from public
121. scrutiny.
122.  
123.      The Digital Signature Standard will be used for the authentication of
124. computer messages that travel across the public computer network.  Its
125. development was closely watched in the computer science community.
126. Questions about the factors leading to the selection of the standard were
127. raised by a Federal Register notice, 56 Fed. Reg. 42, (Aug 30, 1991), in
128. which NIST indicated that it had considered the impact of the proposed
129. standard on "national security and law enforcement," though there was no
130. apparent reason why these factors might be considered in the development
131. of a technical standard for communications security.
132.  
133.      In August 1991, CPSR filed a FOIA request with the National Institute
134. of Standards and Technology seeking all documentation relating to the
135. development of the DSS.  NIST denied our request in its entirety.  The
136. agency did not indicate that they had responsive documents from the
137. National Security Agency in their files, as they were required to do under
138. their own regulations.  15 C.F.R. Sec. 4.6(a)(4) (1992).  In October 1991,
139. we
140. filed a similar request for documents concerning the development of the
141. DSS with the Department of Defense.  The Department replied that they
142. were forwarding the request to the NSA, from whom we never received
143. even an acknowledgement of our request.
144.  
145.      In April 1992, CPSR filed suit against NIST to force disclosure of the
146. documents.  CPSR v. NIST, et al., Civil Action No. 92-0972-RCL (D.D.C.).  As
147.  
148. a result of that lawsuit, NIST released 140 out of a total of 142 pages.
149. Among those documents is a memo from Roy Saltman to Lynn McNulty
150. which suggests that there were better algorithms available than the one
151. NIST eventually recommended for adoption. If that is so, why did NIST
152. recommend a standard that its own expert believed was inferior?
153.  
154.      Further, NIST was required under Section 2 of the Computer Security
155. Act to develop standards and guidelines to "assure the cost-effective
156. security and privacy of sensitive information in federal systems."
157. However, the algorithm selected by NIST as the DSS was purposely
158. designed to minimize privacy protection: its use is limited to message
159. authentication.  Other algorithms that were considered by NIST included
160. both the ability to authenticate messages and the capability to
161. incorporate privacy-enhancing features.  Was NSA's interest in
162. communication surveillance one of the factors that lead to the NIST
163. decision to select an algorithm that was useful for authentication, but not
164. for communications privacy?
165.  
166.      Most significantly, NIST also disclosed that 1,138 pages on the DSS
167. that were created by the NSA were in their files and were being sent back
168. to the NSA for processing.  Note that only 142 pages of material were
169. identified as originating with NIST.  In addition, it appears that the
170. patent
171. for the DSS is filed in the name of an NSA contractor.
172.  
173.      The events surrounding the development of the Digital Signature
174. Standard warrant further Congressional investigation.  When Congress
175. passed the Computer Security Act, it sought to return authority for
176. technical standard-setting to the civilian sector.  It explicitly rejected
177. the proposition that NSA should have authority for developing technical
178. guidelines:
179.  
180.      Since work on technical standards represents virtually
181.      all of the research effort being done today, NSA would
182.      take over virtually the entire computer standards job
183.      from the [National Institute of Standards and
184.      Technology].  By putting the NSA in charge of developing
185.      technical security guidelines (software, hardware,
186.      communications), [NIST] would be left with the
187.      responsibility for only administrative and physical
188.      security measures -- which have generally been done
189.      years ago.  [NIST], in effect, would on the surface be
190.      given the responsibility for the computer standards
191.      program with little to say about the most important part
192.      of the program -- the technical guidelines developed by
193.      NSA.
194.  
195. Government Operation Committee Report at 25-26, reprinted in 1988 U.S.
196. Code Cong. and Admin. News at 3177-78.  See also Science Committee
197. Report at 27, reprinted in 1988 U.S.C.A.N. 3142.
198.  
199.      Despite the clear mandate of the Computer Security Act, NSA does,
200. indeed, appear to have assumed the lead role in the development of the
201. DSS.  In a letter to MacWeek magazine last fall, NSA's Chief of Information
202. Policy acknowledged that the Agency "evaluated and provided candidate
203. algorithms including the one ultimately selected by NIST."  Letter from
204. Michael S. Conn to Mitch Ratcliffe, Oct. 31, 1991.  By its own admission,
205. NSA not only urged the adoption of the DSS -- it actually "provided" the
206. standard to NIST.
207.  
208.      The development of the DSS is the first real test of the effectiveness
209. of the Computer Security Act.  If, as appears to be the case, NSA was able
210. to develop the standard without regard to recommendations of NIST, then
211. the intent of the Act has clearly been undermined.
212.  
213.      Congress' intent that the standard-setting process be open to public
214. scrutiny has also been frustrated.  Given the role of NSA in developing the
215. DSS, and NIST's refusal to open the process to meaningful public scrutiny,
216. the public's ability to monitor the effectiveness of the Computer Security
217. Act has been called into question.
218.  
219.      On a related point, we should note that the National Security Agency
220. also exercised its influence in the development of an important standard
221. for the digital cellular standards committee.  NSA's influence was clear in
222. two areas.  First, the NSA ensured that the privacy features of the
223. proposed standard would be kept secret.  This effectively prevents public
224. review of the standard and is contrary to principles of scientific research.
225.  
226. The NSA was also responsible for promoting the development of a standard
227. that is less robust than other standards that might have been selected.
228. This is particularly problematic as our country becomes increasingly
229. dependent on cellular telephone services for routine business and personal
230. communication.
231.  
232.      Considering the recent experience with the DSS and the digital cellular
233.  
234. standard, we can anticipate that future NSA involvement in the technical
235. standards field will produce two results: (1) diminished privacy
236. protection for users of new communications technologies, and (2)
237. restrictions on public access to information about the selection of
238. technical standards.  The first result will have severe consequences for
239. the security of our advanced communications infrastructure.  The second
240. result will restrict our ability to recognize this problem.
241.  
242.      However, these problems were anticipated when Congress first
243. considered the possible impact of President Reagan's National Security
244. Decision Directive on computer security authority, and chose to develop
245. legislation to promote privacy and security and to reverse efforts to limit
246. public accountability.
247.  
248.  
249. National Security Directive 42
250.  
251.       Congressional enactment of the Computer Security Act was a response
252. to President Reagan's issuance of National Security Decision Directive
253. ("NSDD") 145 in September 1984.  It was intended to reverse an executive
254. policy that enlarged classification authority and permitted the
255. intelligence community broad say over the development of technical
256. security standards for unclassified government and non-government
257. computer systems and networks.  As noted in the committee report, the
258. original NSDD 145 gave the intelligence community new authority to set
259. technical standards in the private sector:
260.  
261.      [u]nder this directive, the Department of Defense (DOD)
262.      was given broad new powers to issue policies and
263.      standards for the safeguarding of not only classified
264.      information, but also other information in the civilian
265.      agencies and private sector which DOD believed should be
266.      protected.  The National Security Agency (NSA), whose
267.      primary mission is one of monitoring foreign
268.      communications, was given the responsibility of
269.      managing this program on a day-to-day basis.
270.  
271. H. Rep. No. 153 (Part 2), 100th Cong., 1st Sess. 6 (1987).  The legislation
272. was specifically intended to override the Presidential directive and to
273. "greatly restrict these types of activities by the military intelligence
274. agencies ... while at the same time providing a statutory mandate for a
275. strong security program headed up by [NIST], a civilian agency."  Id. at 7.
276.  
277.      President Bush issued National Security Directive ("NSD") 42 on July 5,
278.  
279. 1990.  On July 10, 1990, Assistant Secretary of Defense Duane P. Andrews
280. testified before the House Subcommittee on Transportation, Aviation, and
281. Materials on the contents of the revised NSD.  The Assistant Secretary
282. stated that the "the new policy is fully compliant with the Computer
283. Security Act of 1987 (and the Warner Amendment) and clearly delineates
284. the responsibilities within the Federal Government for national security
285. systems."
286.  
287.      On August 27, 1990, CPSR wrote to the Directorate for Freedom of
288. Information of the Department of Defense and requested a copy of the
289. revised NSD, which had been described by an administration official at the
290. July hearing but had not actually been disclosed to the public.  CPSR
291. subsequently sent a request to the National Security Council seeking the
292. same document.  When both agencies failed to reply in a timely fashion,
293. CPSR filed suit seeking disclosure of the Directive. CPSR v. NSC, et al.,
294. Civil Action No. 91-0013-TPJ (D.D.C.).
295.  
296.      The Directive, which purports to rescind NSDD 145, was recently
297. disclosed as a result of this litigation CPSR initiated against the National
298.  
299. Security Council.
300.  
301.      The text of the Directive raises several questions concerning the
302. Administration's compliance with the Computer Security Act:
303.  
304.      1. The new NSD 42 grants NSA broad authority over "national security
305. systems."  This phrase is not defined in the Computer Security Act and
306. raises questions given the expansive interpretation of "national security"
307. historically employed by the military and intelligence agencies and the
308. broad scope that such a term might have when applied to computer
309. systems within the federal government.
310.  
311.      If national security now includes international economic activity, as
312. several witnesses at your hearings suggested, does NSD 42 now grant NSA
313. computer security authority in the economic realm?  Such a result would
314. clearly contravene congressional intent and eviscerate the distinction
315. between civilian and "national security" computer systems.
316.  
317.      More critically, the term "national security systems" is used
318. throughout the document to provide the Director of the National Security
319. Agency with broad new authority to set technical standards.  Section 7 of
320. NSD 42 states that the Director of the NSA, as "National Manager for
321. National Security Telecommunications and Information Systems Security,"
322. shall
323.  
324.      * * *
325.  
326.      c. Conduct, *approve*, or endorse research and
327.      development of techniques and equipment to secure
328.      national security systems.
329.  
330.      d. Review and *approve* all standards, techniques,
331.      systems, and equipment, related to the security of
332.      national security systems.
333.  
334.      * * *
335.  
336.      h. Operate a central technical center to evaluate and
337.      *certify* the security of national security
338.      telecommunications and information systems.
339.  
340. (Emphasis added)
341.  
342.      Given the recent concern about the role of the National Security Agency
343.  
344. in the development of the Digital Signature Standard, it is our belief that
345. any standard-setting authority created by NSD 42 should require the most
346. careful public review.
347.  
348.      2. NSD 42 appears to grant the NSA new authority for  information
349. security.  This is a new area for the agency; NSA's role has historically
350. been limited to communications security.  Section 4 of the directive
351. provides as follows:
352.  
353.      The National Security Council/Policy Coordinating
354.      Committee (PCC) for National Security Telecommuni-
355.      cations, chaired by the Department of Defense, under the
356.      authority of National Security Directives 1 and 10,
357.      assumed the responsibility for the National Security
358.      Telecommunications NSDD 97 Steering Group.  By
359.      authority of this directive, the PCC for National Security
360.      Telecommunications is renamed the PCC for National
361.      Security Telecommunications and Information Systems,
362.      and shall expand its authority to include the
363.      responsibilities to protect the government's national
364.      security telecommunications and information systems.
365.  
366. (Emphasis added).
367.  
368.      Thus, by its own terms, NSD 42 "expands" DOD's authority to include
369. "information systems."  What is the significance of this new authority?
370. Will it result in military control of systems previously deemed to be
371. civilian?
372.  
373.      3. NSD 42 appears to consolidate NSTISSC (The National Security
374. Telecommunications and Information Systems Security Committee)
375. authority for both computer security policy and computer security budget
376. determinations.
377.  
378.      According to section 7 of the revised directive, the National Manager
379. for NSTISSC shall:
380.  
381.      j. Review and assess annually the national security
382.      telecommunications systems security programs and
383.      budgets of Executive department and agencies of the U.S.
384.      Government, and recommend alternatives, where
385.      appropriate, for the Executive Agent.
386.  
387.      NTISSC has never been given budget review authority for federal
388. agencies.  This is a power, in the executive branch, that properly resides
389. in the Office of Management and Budget.  There is an additional concern
390. that Congress's ability to monitor the activities of federal agencies may
391. be significantly curtailed if this NTISSC, an entity created by presidential
392.  
393. directive, is permitted to review agency budgets in the name of national
394. security.
395.  
396.      4. NSD 42 appears to weaken the oversight mechanism established by
397. the Computer Security Act.  Under the Act, a Computer Systems Security
398. and Privacy Advisory Board was established to identify emerging issues,
399. to inform the Secretary of Commerce, and to report findings to the
400. Congressional Oversight Committees.  Sec. 3, 15 U.S.C. Sec. 278g-4(b).
401.  
402.      However, according to NSD 42, NSTISSC is established "to consider
403. technical matters and develop operating policies, procedures, guidelines,
404. instructions, and standards as necessary to implement provisions of this
405. Directive."  What is the impact of NSTISSC authority under NSD 42 on the
406. review authority of the Computer Systems Security and Privacy Advisory
407. Board created by the Computer Security Act?
408.  
409. Conclusion
410.  
411.      Five years after passage of the Computer Security Act, questions
412. remain about the extent of military involvement in civilian and private
413. sector computer security.  The acknowledged role of the National Security
414. Agency in the development of the proposed Digital Signature Standard
415. appears to violate the congressional intent that NIST, and not NSA, be
416. responsible for developing security standards for civilian agencies.  The
417. DSS experience suggests that one of the costs of permitting technical
418. standard setting by the Department of Defense is a reduction in
419. communications privacy for the public.  The recently released NSD 42
420. appears to expands DOD's security authority in direct contravention of the
421. intent of the Computer Security Act, again raising questions as to the role
422. of the military in the nation's communications network.
423.  
424.      There are also questions that should be pursued regarding the National
425. Security Agency's compliance with the Freedom of Information Act.  Given
426. the NSA's increasing presence in the civilian computing world, it is simply
427. unacceptable that it should continue to hide its activities behind a veil of
428.  
429. secrecy.  As an agency of the federal government, the NSA remains
430. accountable to the public for its activities.
431.  
432.      We commend you for opening a public discussion of these important
433. issues and look forward to additional hearings that might address the
434. questions we have raised.
435.  
436.  
437.                                                      Sincerely,
438.  
439.  
440.  
441.                                                      Marc Rotenberg,
442. Director
443.                                                      CPSR Washington Office
444.  
445. =======================================================
446.  
447.