home *** CD-ROM | disk | FTP | other *** search
/ Group 42-Sells Out! - The Information Archive / Group 42 Sells Out (Group 42) (1996).iso / crypto / telephon.txt < prev    next >
Text File  |  1995-11-30  |  22KB  |  372 lines
  1.         ANALYSIS OF THE FBI PROPOSAL REGARDING DIGITAL TELEPHONY
  2.  
  3. Executive Summary
  4.  
  5.    Although the FBI has characterized its proposed "Digital Telephony"
  6. legislation as relating to the preservation of government's ability to
  7. engage in authorized wiretapping, the proposal actually requires that
  8. all communications and computer systems be designed to facilitate
  9. interception of private messages, on a concurrent and remote basis --
  10. thus imposing new engineering standards that go far beyond any existing
  11. law.  As currently drafted, the proposal would impose substantial costs
  12. and create significant uncertainties, despite the absence of any clear
  13. showing that the proposed measures would be either effective or
  14. necessary.  In addition, the proposal raises serious security and
  15. privacy concerns.
  16.  
  17.    Beginning some time last year, the FBI has expressed concern that
  18. technological changes occurring in the telecommunications industry might
  19. have an adverse affect on the ability of law enforcement officials to
  20. conduct lawful, authorized wiretapping.  For example, the FBI has raised
  21. questions about its ability to extract individual telephone calls from
  22. multiplexed signals sent over light fibers using new digital protocols.
  23. Various FBI proposals have generated concern on the part of industry
  24. that the security and privacy of electronic communications and computer
  25. systems might be weakened and that the competitiveness or technical
  26. advancement of various systems might be undercut.  No one in industry
  27. challenges the FBI's right to cooperation in seeking to implement
  28. wiretaps or disagrees with the proposition that law enforcement
  29. officials need communications interception tools to do their vital job.
  30. The communications industry, network users and public interest groups
  31. are concerned with the broad sweep of the FBI's draft proposal and the
  32. potential uncertainties and costs it would impose.  This memorandum
  33. explains the basis for those concerns.
  34.  
  35.    Although the FBI proposal is described as relating to "digital
  36. telephony," it actually applies to all forms of communication, including
  37. all computer networks.  The proposal requires that equipment be designed
  38. to give access to communications on a "concurrent" basis, regardless of
  39. the mobility of a target, in isolation from messages being exchanged by
  40. any other persons.  These requests may have complex and differing
  41. application in different contexts, but they would certainly introduce
  42. additional costs and substantial uncertainties for both equipment
  43. manufacturers and everyone who offers messaging service to others.
  44. These days, the list of those covered by the proposal ("providers of
  45. electronic communications services" and "PBX owners") includes just
  46. about everyone.  Because the wiretap statute was written to protect the
  47. privacy of a broad range of communications types, and because of the
  48. growing interdependence and intermixing of all forms of communications,
  49. the statutory language of the FBI proposal could turn out to require
  50. redesign or expensive alteration of:
  51.  
  52.    (1) public electronic mail systems, like those offered by MCI, AT&T
  53. and a host of other companies and individuals;
  54.  
  55.    (2) all telephone switches and the sophisticated equipment used by
  56. long distance carriers;
  57.  
  58.    (3) software used by online information services like Prodigy, GEnie,
  59. Compuserve, America Online and many others;
  60.  
  61.    (4) local area networks, linking all kinds of computers, operated by
  62. small businesses, colleges and universities and many other types of
  63. organizations, including links into these systems from other homes and
  64. offices;
  65.  
  66.    (5) PBXs owned by small and large businesses;
  67.  
  68.    (6) high speed data networks connecting workstations with mainframes
  69. and supercomputers, as well as those carrying messaging traffic across
  70. the "Internet;"
  71.  
  72.    (7) radio-based and cellular communications systems, including pocket
  73. telephones and computers with radio-based modems;
  74.  
  75.    (8) the thousands of small personal computers owned by businesses,
  76. hobbyists, local governments, and political organizations that
  77. communicate with others via computer bulletin boards;
  78.  
  79.    (9) private metropolitan wide area communications systems used by
  80. businesses such as large banks;
  81.  
  82.    (10) satellite uplink and downlink equipment supporting radio and
  83. television transmissions and other communications; and
  84.  
  85.    (11) air-to-ground equipment serving general aviation and commercial
  86. aircraft.
  87.  
  88. We are becoming an information economy and, accordingly, imposing
  89. mandatory system design requirements on all those involved in the
  90. transfer of information has an impact on large numbers of people and
  91. most sectors of the economy.
  92.  
  93.    There is no doubt that evolving technologies will challenge law
  94. enforcement officials and industry alike.  We need effective law
  95. enforcement tools, as well as appropriate levels of privacy and security
  96. in communications and computer systems. The goals underlying the FBI
  97. proposal are valid and important ones.  But they may well be best
  98. achieved without additional legislation.  Industry has historically
  99. cooperated with law enforcement and is presently engaged in ongoing
  100. discussions to identify specific problems and concrete solutions.  This
  101. cooperative process will lead to needed exchanges of technical
  102. information, better understanding on all sides of the real policy
  103. issues, and better, more cost-effective solutions.  Congress should
  104. reject the FBI proposal and encourage continuing discussions that will
  105. lead to more specific identification of any problems and to more
  106. concrete, cost-effective solutions.
  107.  
  108.              *        *       *        *        *        *
  109.  
  110. Analysis of the FBI Proposal Regarding Digital Telephony
  111.  
  112.    What is Proposed?  The most recent proposal imposes obligations to
  113. provide various generic interception "capabilities and capacities" and
  114. empowers the Attorney General to grant exemptions, after consultation
  115. with the Federal Communications Commission, the Department of Commerce
  116. and the Small Business Administration. See Attachment A.  Any person who
  117. manufactures equipment or provides a service that failed to comply with
  118. the broad and vague requirements of the proposed statute would be
  119. subject to a civil penalty of $10,000 per day.
  120.  
  121.    How Serious is the Problem?  The predicate for the FBI proposal is
  122. that advances in technology have made it more difficult for the
  123. government to intercept particular telephone conversations in the course
  124. of legally-authorized wiretapping. There have been few actual problems,
  125. historically, in executing authorized wiretaps. None have stemmed from
  126. characteristics of communications equipment design (as distinct from
  127. limitations in equipment capacity).  On the other hand, it is clear
  128. that, over time, changes in the technologies used for communications
  129. will require the FBI (and the communications industry as a whole) to use
  130. new techniques and to acquire additional equipment and skills.  Some
  131. developments, such as encryption, may make interception (or, at least,
  132. understanding the contents of what has been "intercepted") much more
  133. difficult -- but in ways that are not even addressed and cannot be fixed
  134. by the proposed legislation.  (It is difficult to evaluate the FBI
  135. argument that it would have asked for more interceptions if some
  136. technological barriers had not existed.  There have always been and will
  137. always be some technological barriers to interception of the content of
  138. communications the participants seek to protect.)
  139.  
  140.    Existing law requires all companies providing electronic
  141. communications services to cooperate fully with lawful requests from the
  142. FBI and other law enforcement officials -- and there is no history of
  143. any general failure to provide such cooperation.  See Attachment B.
  144. Existing law also contemplates that the government will bear the costs
  145. imposed by the government's requests for access to communications.  (As
  146. noted below, the proposal does not specifically extend that principle.)
  147. There is no showing that the government lacks the financial resources to
  148. modernize its communications equipment or to fund the costs of lawful
  149. interceptions that it initiates.  Since the total number of content
  150. wiretaps in 1991 authorized by Federal and State courts was only 856
  151. taps (and almost 60% of these were at the State level, 356 Federal
  152. versus 500 State), and since the call-set-up or pen register tap orders
  153. for 1991 at the Federal level were only 2,445, (thus, implying a
  154. national total under 7,000), it appears the costs may be better targeted
  155. to the specific lines or ports necessary, instead of burdening all lines
  156. or ports existing in the network.  See Administrative Office of the U.S.
  157. Courts "Report on Applications For Orders Authorizing or Approving the
  158. Interception of Wire, Oral, or Electronics Communications (Wiretap
  159. Report)" for the period January 1, 1991 to December 31, 1991 and letter
  160. from the Assistant Attorney General W. Lee Rawls to the Honorable Jack
  161. Brooks, Chairman of the Committee on the Judiciary of the United States
  162. House of Representatives, dated April 23, 1992, providing the annual
  163. report of the Attorney General on pen register orders.  By comparison,
  164. there were over 138 million access lines as of December 31, 1990
  165. according to the United States Telephone Association and this does not
  166. include ports used for cellular or many other network accesses. (We
  167. understand the current FBI budget provides for $9 million for new
  168. digital telephony interception equipment.)  Thus, although there is
  169. valid reason to be concerned that changes in technology will challenge
  170. law enforcement agencies to find and adopt new techniques, there is no
  171. immediate crisis requiring swift action.
  172.  
  173.    Broad Scope of the Current Proposal.  The FBI proposal covers all
  174. providers of "electronic communications services" and all "private
  175. branch exchange operators." These days, that means just about everybody,
  176. including every business that has its own phone switch and every company
  177. that operates its own local or wide area computer network.  The
  178. Electronic Communications Privacy Act defines "electronic communications
  179. services" to include electronic mail, file transfers over a Local Area
  180. Network ("LAN") and, indeed, every form of transmission of a message
  181. other than voice telephone calls (which are also covered by the proposal
  182. as "wire" communications), and sound waves in the open air (the only
  183. form of communication not covered by the proposal).  See 18 U.S.C.
  184. 2510(12),(15).  All "providers" of such services would be affirmatively
  185. required, within three years, to provide law enforcement officials with
  186. the "capability and capacity" to intercept communications. This
  187. capability would have to be provided "concurrently" with the
  188. communication, without detection (apparently without regard to the
  189. target of the wiretap possibly employing sophisticated wiretap detection
  190. capabilities), exclusive of any communications between other parties,
  191. regardless of the mobility of the target, and without degradation of
  192. service.
  193.  
  194.    These absolute requirements might not be capable of being met, as a
  195. technical matter, in some contexts, regardless of costs.  The proposal
  196. is redundant, in the sense that it requires the ability to access
  197. communications at all points during their transmission, even though
  198. access at one point is all that is needed in any given circumstance.
  199. Although current wiretap law requires "minimization" and use of wiretaps
  200. as a "last resort," the proposal imposes obligations on all
  201. communications systems as if preserving the ability to wiretap at any
  202. point should be the system designer's highest priority.  The application
  203. of these requirements would have substantially different costs and other
  204. implications depending upon where in a communications pathway they were
  205. actually applied.  In any event, they dramatically expand the nature and
  206. reach of current law -- which requires cooperation but does not grant
  207. the government a right to redesign the communications network or the
  208. equipment used by large numbers of businesses.
  209.  
  210.    The FBI has defended its proposal on the ground that it is only
  211. seeking to "preserve the status quo," by preventing changes in
  212. technology from taking away capabilities that Congress meant to assure
  213. when it passed the 1968 and 1986 wiretap statutes.  But that
  214. mischaracterizes the "status quo".  The current wiretap statutes take
  215. the communications networks as they find them and do not require any
  216. provider of communications service to redesign the system, or to refrain
  217. from using any particular technology, solely on the ground that such a
  218. technology would make interception more difficult.  While there may well
  219. be sound reasons for all concerned to cooperate to seek to preserve for
  220. the government a practical ability to engage in authorized wiretapping,
  221. there is simply no existing legal authority for law enforcement
  222. officials to mandate the use of particular technologies and, thus,
  223. contrary to the claims made by the FBI, the proposal does not simply
  224. maintain the status quo, but greatly expands the jurisdiction of the
  225. Attorney General and would represent a giant step beyond current law and
  226. congressional intent going back to 1968.
  227.  
  228.    While the proposal imposes substantial uncertainties, to be discussed
  229. below, there is no question that, as drafted, it would have an extremely
  230. broad reach.  As a result, it could complicate the development of
  231. various new technologies.  Even though the language of the proposal
  232. would extend to cable information systems and Automated Teller Machines
  233. ("ATM"), the FBI has stressed in its proposal that various systems might
  234. be exempted by executive action.  But the exemption authority is vague
  235. and standardless -- so the net effect is that every system provider has
  236. to worry on a continuing basis about whether or not its system is
  237. covered.  Moreover, the proposal is clearly designed to cover any system
  238. facilitating two-way conversation, regardless of the size of the
  239. communications service provider.  In consequence, any small business
  240. that installs its own local PBX system for forwarding calls from
  241. customers could be required to replace its equipment with new switches
  242. that meet the law's requirements. If current online information services
  243. do not track the "services" and "features" used by those who send
  244. messages through their electronic mail channels, then expensive
  245. modifications might be mandated.  Because these electronic mail systems
  246. are all being joined together, and some function as links that forward
  247. messages between other systems, all might have to be designed to allow
  248. "real time" interception by retransmission to a remote site -- even
  249. though delayed searches of stored files would seem to make a lot more
  250. sense in the context of electronic mail.
  251.  
  252.    Costs Likely to be Imposed by the Proposal.  The costs imposed by
  253. this proposal would be passed on to consumers and to all subscribers to
  254. electronic communications services.  The total costs, including costs
  255. imposed by its potentially disruptive impact on planning for new
  256. computer and communication technologies, cannot be fully assessed -- but
  257. would clearly be very substantial.  In its report on the FBI's proposal,
  258. the General Accounting Office ("GAO"), page 1, stated: "[N]either the
  259. FBI nor the telecommunications industry has systematically identified
  260. the alternatives, or evaluated their costs, benefits, or feasibility."
  261. And further at page 4 of the GAO Report:
  262.  
  263. [T]he [FBI's] May proposal does not address what the telecommunications
  264. industry would need to do to be in full compliance with the proposal in
  265. the event it is enacted, the meaning of certain technical terms, or who
  266. would pay for the cost of wiretapping solutions.
  267.  
  268. The proposal mandates compliance with very broadly stated functional
  269. standards and contemplates that exemptions (available from the Attorney
  270. General, without the benefit of any specific standards or criteria) will
  271. be granted only after this broad new governmental authority has been
  272. enacted into law.  The most recent proposal assumes that the costs of
  273. compliance will become a cost of doing business imposed on all
  274. communications service providers -- and passed on to telephone
  275. ratepayers and other subscribers to electronic communications services.
  276. (The current law's provision that the government will pay reasonable
  277. expenses incurred in cooperating with a specific request for
  278. interception have not been expressly applied to this new requirement to
  279. "provide the capability and capacity" to respond to such requests.)
  280. Communication service providers and computer equipment manufacturers
  281. could suffer major losses as a result of delays, mandatory redesigns,
  282. and even prohibition of certain technological options.
  283.  
  284.  There has been no opportunity as yet to compare (1) the costs the FBI
  285. would incur to modernize its approach to interception (especially given the
  286. data on the small number of taps performed annually) with (2) the costs
  287. that would be incurred by consumers as a result of mandatory limitations on
  288. new technology design applied to all technologies nationwide.
  289.  
  290.    Uncertainties Created by the Proposal.  By attempting to establish
  291. open-ended duties, broadly defined, in statutory language, the current
  292. proposal creates substantial uncertainties and could cause controversy
  293. to supplant cooperation.  For example, although current interception
  294. orders predominantly relate to voice communications, the draft proposal
  295. covers all forms of communication.  This approach could sweep up systems
  296. ranging from the cellular pager to the high-speed network designed to
  297. transfer digital data between supercomputers.  It raises a wide variety
  298. of questions:
  299.  
  300.   What exactly are the boundaries of the "public switched network" to
  301. which the proposal refers?
  302.  
  303.   On what basis would the Attorney General choose, or be required, to
  304. provide exemptions?
  305.  
  306.   How would the proposal affect systems that regularly encode messages
  307. at the point of origin?
  308.  
  309.   Does the required provision of capacity to intercept "concurrent with
  310. the transmission to the recipient" mean that an electronic mail or voice
  311. mail or facsimile mail system must be designed to signal the system
  312. operator every time a message from a target of an investigation is
  313. accessed by the person to whom that message might have been addressed?
  314.  
  315.   Will it be technically feasible to detect and separate just those
  316. parts of a communication signal coming from a particular residence or
  317. other source, that "exclusively" represent the content coming from a
  318. particular individual?
  319.  
  320.   What is meant by the new, broad requirement that the government be
  321. told what "services, systems, and features" have been used by the
  322. subject of the interception?
  323.  
  324.   Does the required provision of interception capacity "notwithstanding
  325. ...  the use by the subject ... of any features of the ... system" have
  326. the effect of requiring the system provider to offer to defeat any
  327. encryption mechanism it may provide to subscribers?
  328.  
  329.   Does the requirement to provide interception despite the target's
  330. mobility mean that systems that inherently allow users to send and
  331. receive from multiple points, without notice, cannot be used at all?
  332.  
  333.   Will it be physically possible or economically feasible to prevent
  334. "degradation of services" if the functional requirement for real time
  335. tracking of any target means that some central database must be checked
  336. by the service provider's computers every time a communication is made?
  337.  
  338.    We don't know the answers to these questions, despite their
  339. importance.  More importantly, the answers to key policy questions may
  340. differ substantially depending on what particular technology and
  341. interception need (and minimization goal) is being addressed.  And we
  342. don't even know by what means providers of electronic communications
  343. services and designers and users of electronic communications and
  344. computing equipment will find out how the requirements will be applied
  345. to their systems.  In short, the FBI's proposal, as currently drafted,
  346. may generate new and unnecessary controversy, despite its legitimate
  347. goals, by attacking perceived problems at the wrong level of generality.
  348.  
  349.    Threat to security and privacy.  Ironically, in addition to creating
  350. uncertainty and imposing costs, the proposal would itself create new and
  351. serious security risks and undermine the privacy of electronic
  352. communications.  If electronic communications service providers must
  353. design their systems to allow and ensure FBI access, then the resulting
  354. mandatory "back doors" may become known to and be exploited by
  355. criminals.  Business is currently attempting to achieve greater security
  356. in its communications, to counter the threats posed by unauthorized
  357. access, computer viruses, and electronic theft.  A proposal the FBI
  358. seeks to justify in terms of law enforcement could well have the effect
  359. of facilitating violations of law and reducing or preventing effective
  360. security measures.
  361.  
  362.    Threat to International Trade and Security Interests.  As drafted,
  363. the proposal appears to threaten U.S. interests in international trade
  364. and competitiveness. Potential purchasers abroad may not buy products or
  365. systems that they know have a "trap door" the United States Government
  366. can easily open.  If U.S. manufacturers of communications systems and
  367. equipment and computer software have to go through a bureaucratic
  368. certification or clearance process that is not applicable to their
  369. foreign competitors, their race to the market with new technologies will
  370. be slowed and their products and designs will be disadvantaged.
  371.  
  372.