home *** CD-ROM | disk | FTP | other *** search
/ The Unsorted BBS Collection / thegreatunsorted.tar / thegreatunsorted / texts / txtfiles_misc / cryptbil.txt < prev    next >
Text File  |  1993-06-29  |  15KB  |  581 lines
  1. This thread is copied from "sci.crypt" on Usenet.   -Bruce
  2. >From: schuman@sgi.com (Aaron Schuman)
  3. Newsgroups: sci.crypt
  4. Subject: Congress to order crypto trapdoors?
  5. Date: 11 Apr 91 23:30:28 GMT
  6. Organization: Silicon Graphics 415-335-1901
  7. Lines: 83
  8. The United States Senate is considering a bill that would require
  9. manufacturers of cryptographic equipment to introduce a trap door, and
  10. to make that trap door accessible to law enforcement officials.
  11. If you feel, as I do, that t|he risk of abuse far outweighs the potential
  12. benefits, please write to Senators Joseph Biden and Dennis DeConcini,
  13. and to the Senators that represent your state, asking that they propose
  14. a friendly amendment to their bill removing this requirement.
  15.  
  16. I don't have exact addresses for Senators Biden and DeConcini, and I
  17. hope someone will post them here, but the Washington DC post office can
  18. deliver letters addressed to
  19.  
  20. Senator Joseph Biden            Senator Dennis DeConcini
  21. United States Senate    and     United States Senate
  22. Washington, DC                  Washington, DC
  23.  
  24.  
  25. RISKS-LIST: RISKS-FORUM Digest  Wednesday 10 April 1991  Volume 11 : Issue 43
  26.  
  27. Date:  Wed, 10 Apr 91 17:23 EDT
  28. >From: WHMurray@DOCKMASTER.NCSC.MIL
  29. Subject:  U.S. Senate 266, Section 2201 (cryptographics)
  30.  
  31. Senate 266 introduced by Mr. Biden (for himself and Mr. DeConcini)
  32. contains the following section:
  33.  
  34. SEC. 2201. COOPERATION OF TELECOMMUNICATIONS  PROVIDERS WITH LAW ENFORCEMENT
  35.  
  36. It is the sense of Congress that providers of electronic communications
  37. services and manufacturers of electronic communications service
  38. equipment shall ensure that communications systems permit the government
  39. to obtain the plain text contents of voice, data, and other
  40. communications when appropriately authorized by law.
  41. ------------------------------
  42.  
  43. The referenced language requires that manufacturers build trap-doors
  44. into all cryptographic equipment and that providers of cconfidential
  45. channels reserve to themselves, their agents, and assigns the ability to
  46. read all traffic.
  47.  
  48. Are there readers of this list that believe that it is possible for
  49. manufacturers of crypto gear to include such a mechanism and also to
  50. reserve its use to those "appropriately authorized by law" to employ it?
  51.  
  52. Are there readers of this list who believe that providers of electronic
  53. communications services can reserve to themselves the ability to read
  54. all the traffic and still keep the traffic "confidential" in any
  55. meaningful sense?
  56.  
  57. Is there anybody out there who would buy crypto gear or confidential
  58. services from vendors who were subject to such a law?
  59.  
  60. David Kahn asserts that the sovereign always attempts to reserve the use
  61. of cryptography to himself.  Nonetheless, if this language were to be
  62. enacted into law, it would represent a major departure.  An earlier
  63. Senate went to great pains to assure itself that there were no trapdoors
  64. in the DES.  Mr.  Biden and Mr.  DeConcini want to mandate them.  The
  65. historical justification of such reservation has been "national
  66. security;" just when that justification begins to wane, Mr.  Biden wants
  67. to use "law enforcement." Both justifications rest upon appeals to fear.
  68.  
  69. In the United States the people, not the Congress, are sovereign; it
  70. should not be illegal for the people to have access tto communications
  71. that the government cannot read.  We should be free from unreasonable
  72. search and seizure; we should be free from self-incrimination.  The
  73. government already has powerful tools of investigation at its disposal;
  74. it has demonstrated precious little restraint in their use.
  75.  
  76. Any assertion that all use of any such trap-doors would be only "when
  77. appropriately authorized by law" is absurd on its face.  It is not
  78. humanly possible to construct a mechanism that could meet that
  79. requirement; any such mechanism would be subject to abuse.
  80.  
  81. I suggest that you begin to stock up on crypto gear while you can still
  82. get it.  Watch the progress of this law carefully.  Begin to identify
  83. vendors across the pond.
  84.  
  85. William Hugh Murray, Executive Consultant, Information System Security 21
  86. Locust Avenue, Suite 2D, New Canaan, Connecticut 06840       203 966 4769
  87.  
  88. Article 3419 of sci.crypt:
  89. >From: karn@epic.bellcore.com (Phil R. Karn)
  90. Newsgroups: sci.crypt,alt.privacy
  91. Subject: Re: Congress Mandates Backdoors
  92. Date: 15 Apr 91 23:51:07 GMT
  93. Organizatinon: Packet Communications Research Group (Bellcore)
  94.  
  95. Since I was looking for any excuse to procrastinate on my taxes this
  96. past weekend, I composed this letter to Senators Biden and DeConcini.
  97.  
  98. --Phil
  99.  
  100.                      25-B Hillcrest Rd
  101.  
  102.                    Warren, NJ 07059-5304
  103.  
  104.                        April 13, 1991
  105.  
  106.  
  107.  
  108.  
  109.  
  110.  
  111.  
  112.  
  113.  
  114. Senator Dennis DeConcini
  115.  
  116. United States Senate
  117.  
  118. Washington, DC  20510
  119.  
  120.  
  121.  
  122. Dear Senator DeConcini:
  123.  
  124.  
  125.  
  126.  
  127.  
  128. Yesterday I read a most disturbing computer network  article
  129.  
  130. about   a  piece  of  legislation  you  are  proposing  that
  131.  
  132. apparently attempts to regulate the use of  cryptography  to
  133.  
  134. protect  the  secrecy  of private communications. I refer to
  135.  
  136. this excerpt:
  137.  
  138.  
  139.  
  140.      Senate 266 introduced by Mr. Biden (for himself and Mr.
  141.  
  142.      DeConcini) contains the following section:
  143.  
  144.  
  145.  
  146.      SEC. 2201. COOPERATION OF TELECOMMUNICATIONS  PROVIDERS
  147.  
  148.      WITH LAW ENFORCEMENT
  149.  
  150.  
  151.  
  152.      It is the sense of Congress  that  providers  of  elec-
  153.  
  154.      tronic  communications  services  and  manufacturers of
  155.  
  156.      electronic  communications  service   equipment   shall
  157.  
  158.      ensure  that  communications systems permit the govern-
  159.  
  160.      ment to obtain the plain text contents of voice,  data,
  161.  
  162.      and  other communications when appropriately authorized
  163.  
  164.      by law.
  165.  
  166.  
  167.  
  168. The author of the article continues:
  169.  
  170.  
  171.  
  172.      The referenced  language  requires  that  manufacturers
  173.  
  174.      build  trap-doors  into all cryptographic equipment and
  175.  
  176.      that providers  of  confidential  channels  reserve  to
  177.  
  178.      themselves,  their  agents,  and assigns the ability to
  179.  
  180.      read all traffic.
  181.  
  182.  
  183.  
  184. I would like to know if this is indeed the  intent  of  your
  185.  
  186. legislation.   If so, it will be the most futile exercise of
  187.  
  188. authority since King Canute set up his throne on the  beach,
  189.  
  190. ordered  the  sea  to withdraw and probably got his feet wet
  191.  
  192. for his trouble.
  193.  
  194.  
  195.  
  196. I would like the opportunity to explain.
  197.  
  198.  
  199.  
  200. First of all, this legislation will not serve its ostensible
  201.  
  202. purpose  (facilitating  a  legitimate  police  investigation
  203.  
  204. involving encrypted communications or  stored  data).  Quite
  205.  
  206.  
  207.  
  208.  
  209.  
  210.  
  211.  
  212.                        April 15, 1991
  213.  
  214.  
  215.  
  216.  
  217.  
  218.  
  219.  
  220.  
  221.  
  222.  
  223.  
  224.                            - 2 -
  225.  
  226.  
  227.  
  228.  
  229.  
  230. simply,  cryptography  exists;  it cannot be uninvented. And
  231.  
  232. with today's powerful,  inexpensive  and  readily  available
  233.  
  234. computer  technology, anyone - law-abiding citizen or crimi-
  235.  
  236. nal - can apply a little technical knowledge and  build  and
  237.  
  238. operate his own cryptographic communications system.
  239.  
  240.  
  241.  
  242. You see, with the right software, even the simplest personal
  243.  
  244. computer  becomes  an  excellent  cipher  machine  - and the
  245.  
  246. software is readily and widely available. I know of  perhaps
  247.  
  248. six  public-domain  programs  that do the National Bureau of
  249.  
  250. Standards' Data Encryption Standard (DES); I  wrote  one  of
  251.  
  252. them.  DES  software  is  also available in several publicly
  253.  
  254. available books and magazines and  from  several  commercial
  255.  
  256. suppliers.   Even  without  all this software, an interested
  257.  
  258. programmer can find the complete specifications for  DES  in
  259.  
  260. any of several dozen textbooks on cryptography - not to men-
  261.  
  262. tion the official Federal standards themselves.
  263.  
  264.  
  265.  
  266. And DES is not the only cryptographic algorithm available to
  267.  
  268. the public. Because of concerns about possible weaknesses in
  269.  
  270. the DES (including unproven allegations  that  the  National
  271.  
  272. Security  Agency  introduced a "trap door" into the design),
  273.  
  274. research into stronger  alternatives  has  been  brisk.  New
  275.  
  276. algorithms appear all the time, and they come from cryptolo-
  277.  
  278. gists all over the world. The NSA has abandoned its attempts
  279.  
  280. to control the publication of private cryptographic research
  281.  
  282. because it is clearly protected by the First Amendment.
  283.  
  284.  
  285.  
  286. It is precisely because computers are so easily turned  into
  287.  
  288. cipher  machines  that your reference to "providers of elec-
  289.  
  290. tronic communications services" is  so  pointless.  A  smart
  291.  
  292. criminal  won't  trust  anyone  with  his plain text that he
  293.  
  294. doesn't have to - especially not a  communications  provider
  295.  
  296. subject  to  subpoena.  He'll encrypt on an end-to-end basis
  297.  
  298. with his own computers, his own cryptographic  software  and
  299.  
  300. with  cryptographic keys known only to him (and protected by
  301.  
  302. his Fifth Amendment right against self-incrimination).  Com-
  303.  
  304. munications  service providers won't have the opportunity to
  305.  
  306. turn plain text over  to  law  enforcement  because  they'll
  307.  
  308. never see it.
  309.  
  310.  
  311.  
  312. You also refer to "manufacturers  of  electronic  communica-
  313.  
  314. tions  service equipment," which I assume means "manufactur-
  315.  
  316. ers of cryptographic hardware."  But this would  be  equally
  317.  
  318. ineffective:  no  criminal  would  use  a  ready-made cipher
  319.  
  320. machine with a "trap door" built into  it  when  he  can  so
  321.  
  322. easily  turn his own personal computer into a cipher machine
  323.  
  324. without a trap door, and at much lower  cost.  Indeed,  spe-
  325.  
  326. cialized  cryptographic hardware has only one real advantage
  327.  
  328. over cryptographic software running on general purpose  com-
  329.  
  330. puters:  the  hardware  is  generally more tamper-resistant.
  331.  
  332. This is usually important only in highly sensitive  applica-
  333.  
  334. tions  such  as  banking,  where  one does not want to trust
  335.  
  336. one's employees too much. It is irrelevant where  the  owner
  337.  
  338.  
  339.  
  340.  
  341.  
  342.  
  343.  
  344.                        April 15, 1991
  345.  
  346.  
  347.  
  348.  
  349.  
  350.  
  351.  
  352.  
  353.  
  354.  
  355.  
  356.                            - 3 -
  357.  
  358.  
  359.  
  360.  
  361.  
  362. and  user  of  the  computer,  the person being protected by
  363.  
  364. cryptography and the person who knows the key  are  all  the
  365.  
  366. same.
  367.  
  368.  
  369.  
  370. This brings me to the second fundamental flaw in  your  pro-
  371.  
  372. posed  legislation.  Even  if "trap doors" were installed in
  373.  
  374. cryptographic equipment of the type  used  by  banks  (among
  375.  
  376. others),  how  could  their  use be limited to persons "duly
  377.  
  378. authorized by law"? Experience has shown electronic  vandals
  379.  
  380. (popularly  known  as  "hackers"  or  "phone phreaks") to be
  381.  
  382. highly adept at discovering and exploiting  hidden  security
  383.  
  384. weaknesses in computer and communication systems. What is to
  385.  
  386. prevent  such  persons  from  discovering   and   exploiting
  387.  
  388. weaknesses  deliberately  introduced  in  response  to  your
  389.  
  390. legislation?
  391.  
  392.  
  393.  
  394. They certainly wouldn't remain secret for long. Every modern
  395.  
  396. cipher  is  designed  to rely entirely on the secrecy of the
  397.  
  398. key for its security.  The design of the cipher itself  must
  399.  
  400. be  assumed  to  be completely public, because eventually it
  401.  
  402. will be. (This philosophy is captured in a popular  computer
  403.  
  404. science saying: "Security through obscurity doesn't work.")
  405.  
  406.  
  407.  
  408. Indeed, what procedures could guarantee  that  "trap  doors"
  409.  
  410. would  not  be abused by law enforcement or other government
  411.  
  412. personnel not properly authorized by court order?  The  rise
  413.  
  414. of  computer technology has opened up many opportunities for
  415.  
  416. invasion of privacy and the abuse of government power. It is
  417.  
  418. only  fitting that the same technology in the hands of indi-
  419.  
  420. viduals can also put some real teeth into the guarantees  of
  421.  
  422. the Fourth and Fifth Amendments.
  423.  
  424.  
  425.  
  426. The government is simply going to have to get  used  to  its
  427.  
  428. citizens using cryptography that it cannot break. The police
  429.  
  430. may have to give up on wiretaps and information seizures and
  431.  
  432. resort  to  the more traditional (and less invasive and less
  433.  
  434. easily abused) ways of conducting  investigations,  such  as
  435.  
  436. informants  and  grants  of immunity for testimony. They may
  437.  
  438. even have to give up entirely  on  enforcing  certain  laws,
  439.  
  440. e.g.,  those prohibiting the mere possession of information.
  441.  
  442. Perhaps the  government  can  then  redirect  its  resources
  443.  
  444. toward enforcing laws that make more sense.
  445.  
  446.  
  447.  
  448. A popular metaphor states that the computer is an  extension
  449.  
  450. of  the human mind. With cryptography, this metaphor becomes
  451.  
  452. reality in one important way - a user can make the  informa-
  453.  
  454. tion  stored  in a computer or transmitted over a phone line
  455.  
  456. just as private as the information in his own  mind.  And  I
  457.  
  458. wouldn't have it any other way in a free society.
  459.  
  460.  
  461.  
  462. Senator, I urge you to abandon this ill-advised proposal. At
  463.  
  464. best,  it  will  be ignored. At its worst, it would decrease
  465.  
  466. security for law-abiding citizens  while  doing  nothing  to
  467.  
  468. help bring clever criminals to justice.
  469.  
  470.  
  471.  
  472. Sincerely yours,
  473.  
  474.  
  475.  
  476. Philip R. Karn, Jr.
  477.  
  478.  
  479.  
  480.  
  481.  
  482. Article 3420 of sci.crypt:
  483.  
  484. >From: gwyn@smoke.brl.mil (Doug Gwyn)
  485.  
  486. Newsgroups: sci.crypt
  487.  
  488. Subject: Re: Senate Bill 266 would require trapdoors in encryption gear
  489.  
  490. Date: 16 Apr 91 03:05:59 GMT
  491.  
  492. Organization: U.S. Army Ballistic Researech Laboratory, APG, MD.
  493.  
  494. Lines: 23
  495.  
  496.  
  497.  
  498. In article <17056@hoptoad.uucp> gnu@hoptoad.uucp (John Gilmore) writes:
  499.  
  500. >"If privacy is outlawed, only outlaws will have privacy"...
  501.  
  502.  
  503.  
  504. Absolutely -- this hits the nail right on the head.  Just as gun control
  505.  
  506. activists, who inspired the slogan on which the above was based, can
  507.  
  508. achieve at best the disarming of law-abiding citizens, leaving them no
  509.  
  510. defense against potential assault by those who ignore such laws, other
  511.  
  512. than to die or to break the law trehemselves.
  513.  
  514.  
  515.  
  516. The right to privacy unfortunately was not considered sufficiently
  517.  
  518. questionable by the framers of the US Constitution to require explicit
  519.  
  520. mention in the Constitution (as was done for the right to keep and bear
  521.  
  522. arms); it was among those rights that the 10th Amendment reserved to the
  523.  
  524. people.
  525.  
  526.  
  527.  
  528. I am all for catching genuine criminals, i.e.  those who injure others
  529.  
  530. deliberately.  However, I am not willing to have perfectly reasonable
  531.  
  532. activities on my part be declared "criminal" by the legal system as part
  533.  
  534. of misguided attempts to "do something" about crime.  Having recently
  535.  
  536. sat in on several court proceedings, I can attest to the fact that there
  537.  
  538. are a lot of fundamental problems with the entire US system of justice
  539.  
  540. that should be addressed if crime is truly to be controlled.
  541.  
  542.  
  543.  
  544. Article 3422 of sci.crypt:
  545.  
  546. >From: gwyn@smoke.brl.mil (Doug Gwyn)
  547.  
  548. Newsgroups: sci.crypt
  549.  
  550. Subject: Re: Congress Mandates Backdoors
  551.  
  552. Date: 16 Apr 91 02:54:47 GMT
  553.  
  554. Organization: U.S. nArmy Ballistic Research Laboratory, APG, MD.
  555.  
  556. Lines: 12
  557.  
  558.  
  559.  
  560. -COOPERATION OF TELECOMMUNICATIONS PROVIDERS WITH LAW ENFORCEMENT
  561.  
  562. -It is the sense of Congress that providers of electronic
  563.  
  564. -communications services and manufacturers of electronic communications
  565.  
  566. -service equipment shall ensure that communications systems permit the
  567.  
  568. -government to obtain the plain text contents of voice, data, and other
  569.  
  570. -communications when appropriately authorized by law.
  571.  
  572.  
  573.  
  574. "Damn, I wish I were The Man!" (with apologies to Cindy Lee Berryhill).
  575.  
  576.  
  577.  
  578. With representatives like these, our remaining freedoms are not long
  579.  
  580. for the world.
  581.