home *** CD-ROM | disk | FTP | other *** search

---

/ Media Share 9 / MEDIASHARE_09.ISO / business / effdocs.zip / EFF-FBI.ANA

< prev

next >

Wrap

Text File  |  1992-11-11  |  27KB  |  483 lines

---

1. ========================================================================
2.                                     
3.    From The Electronic Frontier Foundation FTP Archives (ftp.eff.org)
4.                                     
5.        EFF 155 Second Street  Cambridge, MA 02141 +1 617 864 0665
6.                               eff@eff.org
7.                                     
8. ========================================================================
9.                                     
10.         ANALYSIS OF THE FBI PROPOSAL REGARDING DIGITAL TELEPHONY
11.  
12. Executive Summary
13.  
14.    Although the FBI has characterized its proposed "Digital Telephony"
15. legislation as relating to the preservation of government's ability to
16. engage in authorized wiretapping, the proposal actually requires that
17. all communications and computer systems be designed to facilitate
18. interception of private messages, on a concurrent and remote basis --
19. thus imposing new engineering standards that go far beyond any existing
20. law.  As currently drafted, the proposal would impose substantial costs
21. and create significant uncertainties, despite the absence of any clear
22. showing that the proposed measures would be either effective or
23. necessary.  In addition, the proposal raises serious security and
24. privacy concerns.
25.  
26.    Beginning some time last year, the FBI has expressed concern that
27. technological changes occurring in the telecommunications industry might
28. have an adverse affect on the ability of law enforcement officials to
29. conduct lawful, authorized wiretapping.  For example, the FBI has raised
30. questions about its ability to extract individual telephone calls from
31. multiplexed signals sent over light fibers using new digital protocols.
32. Various FBI proposals have generated concern on the part of industry
33. that the security and privacy of electronic communications and computer
34. systems might be weakened and that the competitiveness or technical
35. advancement of various systems might be undercut.  No one in industry
36. challenges the FBI's right to cooperation in seeking to implement
37. wiretaps or disagrees with the proposition that law enforcement
38. officials need communications interception tools to do their vital job.
39. The communications industry, network users and public interest groups
40. are concerned with the broad sweep of the FBI's draft proposal and the
41. potential uncertainties and costs it would impose.  This memorandum
42. explains the basis for those concerns.
43.  
44.    Although the FBI proposal is described as relating to "digital
45. telephony," it actually applies to all forms of communication, including
46. all computer networks.  The proposal requires that equipment be designed
47. to give access to communications on a "concurrent" basis, regardless of
48. the mobility of a target, in isolation from messages being exchanged by
49. any other persons.  These requests may have complex and differing
50. application in different contexts, but they would certainly introduce
51. additional costs and substantial uncertainties for both equipment
52. manufacturers and everyone who offers messaging service to others.
53. These days, the list of those covered by the proposal ("providers of
54. electronic communications services" and "PBX owners") includes just
55. about everyone.  Because the wiretap statute was written to protect the
56. privacy of a broad range of communications types, and because of the
57. growing interdependence and intermixing of all forms of communications,
58. the statutory language of the FBI proposal could turn out to require
59. redesign or expensive alteration of:
60.  
61.    (1) public electronic mail systems, like those offered by MCI, AT&T
62. and a host of other companies and individuals;
63.  
64.    (2) all telephone switches and the sophisticated equipment used by
65. long distance carriers;
66.  
67.    (3) software used by online information services like Prodigy, GEnie,
68. Compuserve, America Online and many others;
69.  
70.    (4) local area networks, linking all kinds of computers, operated by
71. small businesses, colleges and universities and many other types of
72. organizations, including links into these systems from other homes and
73. offices;
74.  
75.    (5) PBXs owned by small and large businesses;
76.  
77.    (6) high speed data networks connecting workstations with mainframes
78. and supercomputers, as well as those carrying messaging traffic across
79. the "Internet;"
80.  
81.    (7) radio-based and cellular communications systems, including pocket
82. telephones and computers with radio-based modems;
83.  
84.    (8) the thousands of small personal computers owned by businesses,
85. hobbyists, local governments, and political organizations that
86. communicate with others via computer bulletin boards;
87.  
88.    (9) private metropolitan wide area communications systems used by
89. businesses such as large banks;
90.  
91.    (10) satellite uplink and downlink equipment supporting radio and
92. television transmissions and other communications; and
93.  
94.    (11) air-to-ground equipment serving general aviation and commercial
95. aircraft.
96.  
97. We are becoming an information economy and, accordingly, imposing
98. mandatory system design requirements on all those involved in the
99. transfer of information has an impact on large numbers of people and
100. most sectors of the economy.
101.  
102.    There is no doubt that evolving technologies will challenge law
103. enforcement officials and industry alike.  We need effective law
104. enforcement tools, as well as appropriate levels of privacy and security
105. in communications and computer systems. The goals underlying the FBI
106. proposal are valid and important ones.  But they may well be best
107. achieved without additional legislation.  Industry has historically
108. cooperated with law enforcement and is presently engaged in ongoing
109. discussions to identify specific problems and concrete solutions.  This
110. cooperative process will lead to needed exchanges of technical
111. information, better understanding on all sides of the real policy
112. issues, and better, more cost-effective solutions.  Congress should
113. reject the FBI proposal and encourage continuing discussions that will
114. lead to more specific identification of any problems and to more
115. concrete, cost-effective solutions.
116.  
117.              *        *       *        *        *        *
118.  
119. Analysis of the FBI Proposal Regarding Digital Telephony
120.  
121.    What is Proposed?  The most recent proposal imposes obligations to
122. provide various generic interception "capabilities and capacities" and
123. empowers the Attorney General to grant exemptions, after consultation
124. with the Federal Communications Commission, the Department of Commerce
125. and the Small Business Administration. See Attachment A.  Any person who
126. manufactures equipment or provides a service that failed to comply with
127. the broad and vague requirements of the proposed statute would be
128. subject to a civil penalty of $10,000 per day.
129.  
130.    How Serious is the Problem?  The predicate for the FBI proposal is
131. that advances in technology have made it more difficult for the
132. government to intercept particular telephone conversations in the course
133. of legally-authorized wiretapping. There have been few actual problems,
134. historically, in executing authorized wiretaps. None have stemmed from
135. characteristics of communications equipment design (as distinct from
136. limitations in equipment capacity).  On the other hand, it is clear
137. that, over time, changes in the technologies used for communications
138. will require the FBI (and the communications industry as a whole) to use
139. new techniques and to acquire additional equipment and skills.  Some
140. developments, such as encryption, may make interception (or, at least,
141. understanding the contents of what has been "intercepted") much more
142. difficult -- but in ways that are not even addressed and cannot be fixed
143. by the proposed legislation.  (It is difficult to evaluate the FBI
144. argument that it would have asked for more interceptions if some
145. technological barriers had not existed.  There have always been and will
146. always be some technological barriers to interception of the content of
147. communications the participants seek to protect.)
148.  
149.    Existing law requires all companies providing electronic
150. communications services to cooperate fully with lawful requests from the
151. FBI and other law enforcement officials -- and there is no history of
152. any general failure to provide such cooperation.  See Attachment B.
153. Existing law also contemplates that the government will bear the costs
154. imposed by the government's requests for access to communications.  (As
155. noted below, the proposal does not specifically extend that principle.)
156. There is no showing that the government lacks the financial resources to
157. modernize its communications equipment or to fund the costs of lawful
158. interceptions that it initiates.  Since the total number of content
159. wiretaps in 1991 authorized by Federal and State courts was only 856
160. taps (and almost 60% of these were at the State level, 356 Federal
161. versus 500 State), and since the call-set-up or pen register tap orders
162. for 1991 at the Federal level were only 2,445, (thus, implying a
163. national total under 7,000), it appears the costs may be better targeted
164. to the specific lines or ports necessary, instead of burdening all lines
165. or ports existing in the network.  See Administrative Office of the U.S.
166. Courts "Report on Applications For Orders Authorizing or Approving the
167. Interception of Wire, Oral, or Electronics Communications (Wiretap
168. Report)" for the period January 1, 1991 to December 31, 1991 and letter
169. from the Assistant Attorney General W. Lee Rawls to the Honorable Jack
170. Brooks, Chairman of the Committee on the Judiciary of the United States
171. House of Representatives, dated April 23, 1992, providing the annual
172. report of the Attorney General on pen register orders.  By comparison,
173. there were over 138 million access lines as of December 31, 1990
174. according to the United States Telephone Association and this does not
175. include ports used for cellular or many other network accesses. (We
176. understand the current FBI budget provides for $9 million for new
177. digital telephony interception equipment.)  Thus, although there is
178. valid reason to be concerned that changes in technology will challenge
179. law enforcement agencies to find and adopt new techniques, there is no
180. immediate crisis requiring swift action.
181.  
182.    Broad Scope of the Current Proposal.  The FBI proposal covers all
183. providers of "electronic communications services" and all "private
184. branch exchange operators." These days, that means just about everybody,
185. including every business that has its own phone switch and every company
186. that operates its own local or wide area computer network.  The
187. Electronic Communications Privacy Act defines "electronic communications
188. services" to include electronic mail, file transfers over a Local Area
189. Network ("LAN") and, indeed, every form of transmission of a message
190. other than voice telephone calls (which are also covered by the proposal
191. as "wire" communications), and sound waves in the open air (the only
192. form of communication not covered by the proposal).  See 18 U.S.C.
193. 2510(12),(15).  All "providers" of such services would be affirmatively
194. required, within three years, to provide law enforcement officials with
195. the "capability and capacity" to intercept communications. This
196. capability would have to be provided "concurrently" with the
197. communication, without detection (apparently without regard to the
198. target of the wiretap possibly employing sophisticated wiretap detection
199. capabilities), exclusive of any communications between other parties,
200. regardless of the mobility of the target, and without degradation of
201. service.
202.  
203.    These absolute requirements might not be capable of being met, as a
204. technical matter, in some contexts, regardless of costs.  The proposal
205. is redundant, in the sense that it requires the ability to access
206. communications at all points during their transmission, even though
207. access at one point is all that is needed in any given circumstance.
208. Although current wiretap law requires "minimization" and use of wiretaps
209. as a "last resort," the proposal imposes obligations on all
210. communications systems as if preserving the ability to wiretap at any
211. point should be the system designer's highest priority.  The application
212. of these requirements would have substantially different costs and other
213. implications depending upon where in a communications pathway they were
214. actually applied.  In any event, they dramatically expand the nature and
215. reach of current law -- which requires cooperation but does not grant
216. the government a right to redesign the communications network or the
217. equipment used by large numbers of businesses.
218.  
219.    The FBI has defended its proposal on the ground that it is only
220. seeking to "preserve the status quo," by preventing changes in
221. technology from taking away capabilities that Congress meant to assure
222. when it passed the 1968 and 1986 wiretap statutes.  But that
223. mischaracterizes the "status quo".  The current wiretap statutes take
224. the communications networks as they find them and do not require any
225. provider of communications service to redesign the system, or to refrain
226. from using any particular technology, solely on the ground that such a
227. technology would make interception more difficult.  While there may well
228. be sound reasons for all concerned to cooperate to seek to preserve for
229. the government a practical ability to engage in authorized wiretapping,
230. there is simply no existing legal authority for law enforcement
231. officials to mandate the use of particular technologies and, thus,
232. contrary to the claims made by the FBI, the proposal does not simply
233. maintain the status quo, but greatly expands the jurisdiction of the
234. Attorney General and would represent a giant step beyond current law and
235. congressional intent going back to 1968.
236.  
237.    While the proposal imposes substantial uncertainties, to be discussed
238. below, there is no question that, as drafted, it would have an extremely
239. broad reach.  As a result, it could complicate the development of
240. various new technologies.  Even though the language of the proposal
241. would extend to cable information systems and Automated Teller Machines
242. ("ATM"), the FBI has stressed in its proposal that various systems might
243. be exempted by executive action.  But the exemption authority is vague
244. and standardless -- so the net effect is that every system provider has
245. to worry on a continuing basis about whether or not its system is
246. covered.  Moreover, the proposal is clearly designed to cover any system
247. facilitating two-way conversation, regardless of the size of the
248. communications service provider.  In consequence, any small business
249. that installs its own local PBX system for forwarding calls from
250. customers could be required to replace its equipment with new switches
251. that meet the law's requirements. If current online information services
252. do not track the "services" and "features" used by those who send
253. messages through their electronic mail channels, then expensive
254. modifications might be mandated.  Because these electronic mail systems
255. are all being joined together, and some function as links that forward
256. messages between other systems, all might have to be designed to allow
257. "real time" interception by retransmission to a remote site -- even
258. though delayed searches of stored files would seem to make a lot more
259. sense in the context of electronic mail.
260.  
261.    Costs Likely to be Imposed by the Proposal.  The costs imposed by
262. this proposal would be passed on to consumers and to all subscribers to
263. electronic communications services.  The total costs, including costs
264. imposed by its potentially disruptive impact on planning for new
265. computer and communication technologies, cannot be fully assessed -- but
266. would clearly be very substantial.  In its report on the FBI's proposal,
267. the General Accounting Office ("GAO"), page 1, stated: "[N]either the
268. FBI nor the telecommunications industry has systematically identified
269. the alternatives, or evaluated their costs, benefits, or feasibility."
270. And further at page 4 of the GAO Report:
271.  
272. [T]he [FBI's] May proposal does not address what the telecommunications
273. industry would need to do to be in full compliance with the proposal in
274. the event it is enacted, the meaning of certain technical terms, or who
275. would pay for the cost of wiretapping solutions.
276.  
277. The proposal mandates compliance with very broadly stated functional
278. standards and contemplates that exemptions (available from the Attorney
279. General, without the benefit of any specific standards or criteria) will
280. be granted only after this broad new governmental authority has been
281. enacted into law.  The most recent proposal assumes that the costs of
282. compliance will become a cost of doing business imposed on all
283. communications service providers -- and passed on to telephone
284. ratepayers and other subscribers to electronic communications services.
285. (The current law's provision that the government will pay reasonable
286. expenses incurred in cooperating with a specific request for
287. interception have not been expressly applied to this new requirement to
288. "provide the capability and capacity" to respond to such requests.)
289. Communication service providers and computer equipment manufacturers
290. could suffer major losses as a result of delays, mandatory redesigns,
291. and even prohibition of certain technological options.
292.  
293.  There has been no opportunity as yet to compare (1) the costs the FBI
294. would incur to modernize its approach to interception (especially given the
295. data on the small number of taps performed annually) with (2) the costs
296. that would be incurred by consumers as a result of mandatory limitations on
297. new technology design applied to all technologies nationwide.
298.  
299.    Uncertainties Created by the Proposal.  By attempting to establish
300. open-ended duties, broadly defined, in statutory language, the current
301. proposal creates substantial uncertainties and could cause controversy
302. to supplant cooperation.  For example, although current interception
303. orders predominantly relate to voice communications, the draft proposal
304. covers all forms of communication.  This approach could sweep up systems
305. ranging from the cellular pager to the high-speed network designed to
306. transfer digital data between supercomputers.  It raises a wide variety
307. of questions:
308.  
309.   What exactly are the boundaries of the "public switched network" to
310. which the proposal refers?
311.  
312.   On what basis would the Attorney General choose, or be required, to
313. provide exemptions?
314.  
315.   How would the proposal affect systems that regularly encode messages
316. at the point of origin?
317.  
318.   Does the required provision of capacity to intercept "concurrent with
319. the transmission to the recipient" mean that an electronic mail or voice
320. mail or facsimile mail system must be designed to signal the system
321. operator every time a message from a target of an investigation is
322. accessed by the person to whom that message might have been addressed?
323.  
324.   Will it be technically feasible to detect and separate just those
325. parts of a communication signal coming from a particular residence or
326. other source, that "exclusively" represent the content coming from a
327. particular individual?
328.  
329.   What is meant by the new, broad requirement that the government be
330. told what "services, systems, and features" have been used by the
331. subject of the interception?
332.  
333.   Does the required provision of interception capacity "notwithstanding
334. ...  the use by the subject ... of any features of the ... system" have
335. the effect of requiring the system provider to offer to defeat any
336. encryption mechanism it may provide to subscribers?
337.  
338.   Does the requirement to provide interception despite the target's
339. mobility mean that systems that inherently allow users to send and
340. receive from multiple points, without notice, cannot be used at all?
341.  
342.   Will it be physically possible or economically feasible to prevent
343. "degradation of services" if the functional requirement for real time
344. tracking of any target means that some central database must be checked
345. by the service provider's computers every time a communication is made?
346.  
347.    We don't know the answers to these questions, despite their
348. importance.  More importantly, the answers to key policy questions may
349. differ substantially depending on what particular technology and
350. interception need (and minimization goal) is being addressed.  And we
351. don't even know by what means providers of electronic communications
352. services and designers and users of electronic communications and
353. computing equipment will find out how the requirements will be applied
354. to their systems.  In short, the FBI's proposal, as currently drafted,
355. may generate new and unnecessary controversy, despite its legitimate
356. goals, by attacking perceived problems at the wrong level of generality.
357.  
358.    Threat to security and privacy.  Ironically, in addition to creating
359. uncertainty and imposing costs, the proposal would itself create new and
360. serious security risks and undermine the privacy of electronic
361. communications.  If electronic communications service providers must
362. design their systems to allow and ensure FBI access, then the resulting
363. mandatory "back doors" may become known to and be exploited by
364. criminals.  Business is currently attempting to achieve greater security
365. in its communications, to counter the threats posed by unauthorized
366. access, computer viruses, and electronic theft.  A proposal the FBI
367. seeks to justify in terms of law enforcement could well have the effect
368. of facilitating violations of law and reducing or preventing effective
369. security measures.
370.  
371.    Threat to International Trade and Security Interests.  As drafted,
372. the proposal appears to threaten U.S. interests in international trade
373. and competitiveness. Potential purchasers abroad may not buy products or
374. systems that they know have a "trap door" the United States Government
375. can easily open.  If U.S. manufacturers of communications systems and
376. equipment and computer software have to go through a bureaucratic
377. certification or clearance process that is not applicable to their
378. foreign competitors, their race to the market with new technologies will
379. be slowed and their products and designs will be disadvantaged.
380.  
381.    Legitimate Law Enforcement Interests and Concerns Can and Should be
382. Served.  There is no doubt that authorized wiretapping is an important
383. weapon properly used by the FBI to fight serious crime.  And there is
384. general agreement among communications service providers, and the makers
385. of communications and computing equipment, that the FBI is entitled to
386. full cooperation in its efforts to exercise the powers granted to it in
387. the wiretap statute.  If new technologies require changes in police
388. tactics, then accommodations may be needed on all sides to make sure
389. that new tactics that do not threaten the effectiveness or safety of law
390. enforcement (or unreasonably threaten privacy interests) are available.
391. The FBI proposal has served a valuable purpose in drawing attention to
392. the need for adequate planning and redoubled cooperative efforts.
393.  
394.    It is Too Soon to Tell Whether Legislation will be Necessary.
395. Despite the good intentions underlying the FBI proposal, there is
396. certainly no demonstrated need to hamper U.S. technological advances,
397. harm the competitiveness of the U.S. communications or computer
398. industries, or hinder efforts by business to increase computer security,
399. just to make sure that law enforcement officials can continue
400. indefinitely to use the same equipment and procedures that were
401. appropriate for an earlier technology.  There has as yet been no clear
402. showing that the design of new technologies will not permit reasonable,
403. affordable and effective techniques to be used for authorized
404. interception.  There has been no showing that the industry will not or
405. cannot cooperate fully, share technical information under appropriate
406. protections, and even design and supply new equipment at reasonable
407. cost, insofar as these steps prove necessary for the FBI to accomplish
408. its mission.  There has been no clear showing that any capacity
409. limitations could not readily be remedied with the provision of adequate
410. financing for government law enforcement operations.
411.  
412.    The Current Proposal is Clearly Premature, in Light of Active Ongoing
413. Efforts by Industry to Identify and Solve any Serious Problems.  An ad
414. hoc coalition of interested parties has joined together to study the
415. issues posed by the FBI's proposal and to begin discussions involving
416. various business interests, public interest groups, the law enforcement
417. community, legislative staff, and representatives of the Administration.
418. All involved recognize that the FBI is entitled to have adequate tools
419. to fulfill its law enforcement objectives.  For its part, the FBI has
420. recognized the value of industry cooperation and the need for a more
421. robust exchange of technical information.  Once the technical issues
422. come into focus, particular policy issues may be ripe for decision, in a
423. context in which the costs and implications of such decisions for trade,
424. security and privacy concerns will be much more clear.  Technical
425. Working Groups representing both the telephone companies and the
426. computer industry are hard at work -- but the issues are complex and
427. even the first stage of identifying serious potential problems for law
428. enforcement will take some time.  Consideration of proposed solutions
429. should await the results of these detailed and technical discussions.
430.  
431. Conclusion
432.  
433.    As the broad collaboration that accompanied consideration of the 1986
434. amendments to the wiretap statute showed, the public interest in sound
435. law enforcement, and public expectations of privacy and security, are
436. best served by encouraging a constructive exchange of views among
437. industry, concerned citizens and government, before any new legislation
438. is enacted.  Congress should reject the FBI proposal and encourage
439. continuing discussions that will lead to more specific identification of
440. any problems and to concrete, cost-effective solutions.
441.  
442. Electronic Frontier Foundation
443. abcd - The Microcomputer Industry Association
444. Advanced Network & Services, Inc.
445. Agson, Inc.
446. American Civil Liberties Union
447. Arrow
448. AT&T 
449. Cellular Telecommunications Industry Association
450. Computer and Business Equipment Manufacturers Association
451. Computer and Communications Industry Association
452. Computer Professionals for Social Responsibility
453. Digital Equipment Corporation
454. Eastman Kodak
455. Electronic Mail Association
456. Graphics Technologies, Inc.
457. IBM
458. Information Industry Association 
459. Information Technology Association of America 
460. Iris Associates 
461. Logistics Management, Inc.
462. Lotus Development Corporation
463. Merisel, Inc.
464. Micro Computer Centers Inc.
465. Microsoft Corporation
466. Okidata
467. Oracle
468. Panamax
469. P C Parts Express
470. Prodigy
471. Seneca Data Distributors, Inc.
472. Software Publishers Association
473. Sun Microsystems
474. Telecommunications Industry Association
475. United States Telephone Association
476. Westbrook Technologies
477.  
478. For further information contact:
479. John Podesta   202/544-6906
480. Jerry Berman   202/544-9237
481. David Johnson   202/663-6723
482. for the Electronic Frontier Foundation
483.