home *** CD-ROM | disk | FTP | other *** search
/ Hacker 2 / HACKER2.mdf / cud / cud534d.txt < prev    next >
Text File  |  1995-01-03  |  8KB  |  148 lines
  1. Date: Thu, 6 May 1993 13:09:12 EST
  2. From: David Sobel <dsobel@WASHOFC.CPSR.ORG>
  3. Subject: File 4--New NIST/NSA Revelations
  4.  
  5.                        New NIST/NSA Revelations
  6.  
  7.         Less than three weeks after the White House announced a
  8. controversial initiative to secure the nation's electronic
  9. communications with government-approved cryptography, newly released
  10. documents raise serious questions about the process that gave rise to
  11. the administration's proposal.  The documents, released by the
  12. National Institute of Standards and Technology (NIST) in response to a
  13. Freedom of Information Act lawsuit, suggest that the super-secret
  14. National Security Agency (NSA) dominates the process of establishing
  15. security standards for civilian computer systems in contravention of
  16. the intent of legislation Congress enacted in 1987.
  17.  
  18.         The released material concerns the development of the Digital
  19. Signature Standard (DSS), a cryptographic method for authenticating
  20. the identity of the sender of an electronic communication and for
  21. authenticating the integrity of the data in that communication.  NIST
  22. publicly proposed the DSS in August 1991 and initially made no mention
  23. of any NSA role in developing the standard, which was intended for use
  24. in unclassified, civilian communications systems.  NIST finally
  25. conceded that NSA had, in fact, developed the technology after
  26. Computer Professionals for Social Responsibility (CPSR) filed suit
  27. against the agency for withholding relevant documents.  The proposed
  28. DSS was widely criticized within the computer industry for its
  29. perceived weak security and inferiority to an existing authentication
  30. technology known as the RSA algorithm.  Many observers have speculated
  31. that the RSA technique was disfavored by NSA because it was, in fact,
  32. more secure than the NSA-proposed algorithm and because the RSA
  33. technique could also be used to encrypt data very securely.
  34.  
  35.         The newly-disclosed documents -- released in heavily censored
  36. form at the insistence of NSA -- suggest that NSA was not merely
  37. involved in the development process, but dominated it.  NIST and NSA
  38. worked together on the DSS through an intra-agency Technical Working
  39. Group (TWG).  The documents suggest that the NIST-NSA relationship was
  40. contentious, with NSA insisting upon secrecy throughout the
  41. deliberations.  A NIST report dated January 31, 1990, states that
  42.  
  43.      The members of the TWG acknowledged that the efforts
  44.      expended to date in the determination of a public key
  45.      algorithm which would be publicly known have not been
  46.      successful.  It's increasingly evident that it is
  47.      difficult, if not impossible, to reconcile the concerns
  48.      and requirements of NSA, NIST and the general public
  49.      through using this approach.
  50.  
  51.         The civilian agency's frustration is also apparent in a July
  52. 21, 1990, memo from the NIST members of the TWG to NIST director
  53. John W. Lyons.  The memo suggests that "national security"
  54. concerns hampered efforts to develop a standard:
  55.  
  56.      THE NIST/NSA Technical Working Group (TWG) has held 18
  57.      meetings over the past 13 months.  A part of every
  58.      meeting has focused on the NIST intent to develop a
  59.      Public Key Standard Algorithm Standard.  We are
  60.      convinced that the TWG process has reached a point where
  61.      continuing discussions of the public key issue will
  62.      yield only marginal results.  Simply stated, we believe
  63.      that over the past 13 months we have explored the
  64.      technical and national security equity issues to the
  65.      point where a decision is required on the future
  66.      direction of digital signature standards.
  67.  
  68. An October 19, 1990, NIST memo discussing possible patent issues
  69. surrounding DSS noted that those questions would need to be
  70. addressed "if we ever get our NSA problem settled."
  71.  
  72.         Although much of the material remains classified and withheld
  73. from disclosure, the "NSA problem" was apparently the intelligence
  74. agency's demand that perceived "national security" considerations
  75. take precedence in the development of the DSS.  From the outset,
  76. NSA cloaked the deliberations in secrecy.  For instance, at the
  77. March 22, 1990, meeting of the TWG, NSA representatives presented
  78. NIST with NSA's classified proposal for a DSS algorithm.  NIST's
  79. report of the meeting notes that
  80.  
  81.      The second document, classified TOP SECRET CODEWORD, was
  82.      a position paper which discussed reasons for the
  83.      selection of the algorithms identified in the first
  84.      document.  This document is available at NSA for review
  85.      by properly cleared senior NIST officials.
  86.  
  87. In other words, NSA presented highly classified material to NIST
  88. justifying NSA's selection of the proposed algorithm -- an
  89. algorithm intended to protect and authenticate unclassified
  90. information in civilian computer systems.  The material was so
  91. highly classified that "properly cleared senior NIST officials"
  92. were required to view the material at NSA's facilities.
  93.  
  94.         These disclosures are disturbing for two reasons.  First, the
  95. process as revealed in the documents contravenes the intent of
  96. Congress embodied in the Computer Security Act of 1987.  Through
  97. that legislation, Congress intended to remove NSA from the process
  98. of developing civilian computer security standards and to place
  99. that responsibility with NIST, a civilian agency.  Congress
  100. expressed a particular concern that NSA, a military intelligence
  101. agency, would improperly limit public access to information in a
  102. manner incompatible with civilian standard setting.  The House
  103. Report on the legislation noted that NSA's
  104.  
  105.      natural tendency to restrict and even deny access to
  106.      information that it deems important would disqualify
  107.      that agency from being put in charge of the protection
  108.      of non-national security information in the view of many
  109.      officials in the civilian agencies and the private
  110.      sector.
  111.  
  112. While the Computer Security Act contemplated that NSA would
  113. provide NIST with "technical assistance" in the development of
  114. civilian standards, the newly released documents demonstrate that
  115. NSA has crossed that line and dominates the development process.
  116.  
  117.         The second reason why this material is significant is because
  118. of what it reveals about the process that gave rise to the so-
  119. called "Clipper" chip proposed by the administration earlier this
  120. month.  Once again, NIST was identified as the agency actually
  121. proposing the new encryption technology, with "technical
  122. assistance" from NSA.  Once again, the underlying information
  123. concerning the development process is classified.  DSS was the
  124. first test of the Computer Security Act's division of labor
  125. between NIST and NSA.  Clipper comes out of the same
  126. "collaborative" process.  The newly released documents suggest
  127. that NSA continues to dominate the government's work on computer
  128. security and to cloak the process in secrecy, contrary to the
  129. clear intent of Congress.
  130.  
  131.         On the day the Clipper initiative was announced, CPSR
  132. submitted FOIA requests to key agencies -- including NIST and NSA
  133. -- for information concerning the proposal.  CPSR will pursue
  134. those requests, as well as the pending litigation concerning NSA
  135. involvement in the development of the Digital Signature Standard.
  136. Before any meaningful debate can occur on the direction of
  137. cryptography policy, essential government information must be made
  138. public -- as Congress intended when it passed the Computer
  139. Security Act.  CPSR is committed to that goal.
  140.  
  141. ***************************************************
  142. David L. Sobel
  143. CPSR Legal Counsel
  144. (202) 544-9240
  145. dsobel@washofc.cpsr.org
  146.  
  147. Downloaded From P-80 International Information Systems 304-744-2253
  148.