home *** CD-ROM | disk | FTP | other *** search

---

/ Night Owl 9 / Night Owl CD-ROM (NOPV9) (Night Owl Publisher) (1993).ISO / 032a / lnn0109.zip / LNN1.009

Wrap

Text File  |  1993-06-08  |  59KB  |  1,248 lines

---

1.  
2.       ▒▒▄     ▒▒▒▒▒▒▄ ▒▒▒▒▒▒▄ ▒▒▒▒▒▒▄ ▒▒▄        ▒▒▒▄▄ ▒▒▄ ▒▒▒▒▒▒▄ ▒▒▒▒▒▒▄
3.       ▒▒█     ▒▒█▀▀▀▀ ▒▒█▀▀▀▀ ▒▒█▀▒▒█ ▒▒█        ▒▒█▒▒█▒▒█ ▒▒█▀▀▀▀  ▀▒▒█▀▀ 
4.       ▒▒█     ▒▒▒▒▒▄  ▒▒█▒▒▒▄ ▒▒▒▒▒▒█ ▒▒█        ▒▒█ ▀▒▒▒█ ▒▒▒▒▒▄    ▒▒█   
5.       ▒▒█     ▒▒█▀▀▀  ▒▒█ ▒▒█ ▒▒█ ▒▒█ ▒▒█        ▒▒█   ▒▒█ ▒▒█▀▀▀    ▒▒█   
6.       ▒▒▒▒▒▒▄ ▒▒▒▒▒▒▄ ▒▒▒▒▒▒█ ▒▒█ ▒▒█ ▒▒▒▒▒▒▄    ▒▒█   ▒▒█ ▒▒▒▒▒▒▄   ▒▒█   
7.        ▀▀▀▀▀▀  ▀▀▀▀▀▀  ▀▀▀▀▀▀  ▀▀  ▀▀  ▀▀▀▀▀▀     ▀▀    ▀▀  ▀▀▀▀▀▀    ▀▀   
8.                        ▒▒▒▄▄ ▒▒▄ ▒▒▒▒▒▒▄ ▒▒▄   ▒▒▄ ▒▒▒▒▒▒▄ 
9.                        ▒▒█▒▒█▒▒█ ▒▒█▀▀▀▀ ▒▒█   ▒▒█ ▒▒█▀▀▀▀ 
10.                        ▒▒█ ▀▒▒▒█ ▒▒▒▒▒▄  ▒▒█   ▒▒█ ▒▒▒▒▒▒▄ 
11.                        ▒▒█   ▒▒█ ▒▒█▀▀▀  ▒▒█▒▒▄▒▒█  ▀▀▀▒▒█ 
12.                        ▒▒█   ▒▒█ ▒▒▒▒▒▒▄  ▀▒▒▒▒█▀▀ ▒▒▒▒▒▒█ 
13.                         ▀▀    ▀▀  ▀▀▀▀▀▀    ▀▀▀▀    ▀▀▀▀▀▀
14.  
15.                                Legal Net Newsletter
16.  
17.                         Volume 1, Issue 9 -- June 8, 1993
18.  
19.  
20.           Legal Net Newsletter is dedicated to providing information
21.          on the legal issues of computing and networking in the 1990's
22.                               and into the future.
23.  
24.  
25.  
26.        The information contained in this newsletter is not to be
27.        misconstrued as a bona fide legal document, nor is it to be taken
28.         as an advocacy forum for topics discussed and presented herein.
29.           The information contained within this newsletter has been
30.           collected from several governmental institutions, computer
31.          professionals and third party sources. Opinion and ideological
32.        excerpts have been collected from many sources with prior approval.
33.  
34.                  "Legal Net News", "Legal Net Newsletter"
35.                      and the Legal Net News logo are
36.           Copyright (c) 1993 Paul Ferguson -- All rights reserved.
37.  
38.      This newsletter may be freely copied and distributed in its entirety.
39.          Singular items contained within this newsletter may also be
40.              freely copied and distributed, with the exception of
41.                 individual copyrighted items which appear with
42.                  the prior approval of the originating author.
43.  
44.            Legal Net News can be found at the following locations:
45.  
46.                          Publicly Accessible BBS's
47.                          -------------------------
48.  
49.          The SENTRY Net BBS             Arlington Software Exchange
50.          Centreville, Virginia  USA     Arlington, Virginia  USA
51.          +1-703-815-3244                +1-703-532-7143
52.          To 9,600 bps                   To 9,600 bps
53.  
54.                               The Internet
55.                               ------------
56.  
57.       tstc.edu   (161.109.128.2)  Directory: /pub/legal-net-news
58.  
59.   Login as ANONYMOUS and use your net ID (for example: fergp@sytex.com)
60.                   as the password. Or send e-mail to
61.                          postmaster@tstc.edu
62.  
63.        E-mail submissions, comments and editorials to: fergp@sytex.com
64.  
65. - --
66.  
67. In this issue -
68.  
69. o LNN Topic Coverage -- An Editorial Explanation
70. o NIST Crypto resolutions
71. o SPA renews call for liberalizing export controls
72. o "US Data Decoding Plan Delayed," excerpt from the Washington Post
73. o "Fed officials pan ban of old encryption specs," excerpt from
74.   ComputerWorld
75. o Issues and Questions concerning the Clipper Chip proposal
76. o "IS managers assail data encryption rule," excerpt from INFOWorld
77.  
78. - --
79.  
80. May 8, 1993
81.  
82. I have received a couple of e-mails recently asking, basically "Why
83. the heck are you paying so much attention to this 'Clipper' thing?
84. Does this have some legally-related analogy that I'm missing?"
85. Good question.
86.  
87. The introduction of the "Clipper initiative" has complex
88. underpinnings. In my own opinion, it's development went hand-in-hand
89. with the earlier introduction of the FBI's "Digital Telephony" Bill,
90. which never made it past discussion on Capitol Hill. Under terms of the
91. Digital Telephony proposal, the government would have implemented
92. legislation to force telecommunications providers to allow a
93. "backdoor" means for law enforcement agencies to monitor
94. communications traffic. The privacy implications of this proposal are
95. clear, and the proposed bill was killed.
96.  
97. The Clipper chip/initiative was announced on April 16, 1993. Clipper is
98. designed for voice communications; a follow-on development chip called
99. "Capstone"  is geared towards data communications. Both utilize a
100. secret algorithm dubbed "Skipjack;" the technology for all of these
101. buzzwords was developed by the National Security Agency. Legal Net
102. News has attempted to cover this topic since its announcement, so
103. back-issues contain further historical references to Clipper/Capstone
104. and Skipjack.
105.  
106. Briefly, these technologies were introduced to allow a standard for
107. encryption at the device (hardware) level. An encryption system
108. designed to allow the secret keys to be "escrowed," or placed with two
109. separately designated escrow agencies in order to provide some form of
110. misappropriation. When a law enforcement agency needed to place a
111. wiretap on communications encrypted with Clipper, it would have to
112. obtain a court order and subsequently obtain both keys from the escrow
113. agencies before placing the wiretap and deciphering the
114. communications.
115.  
116. I first heard of this plan on the evening on April 16th when the
117. announcement was posted to the Internet. My first reaction was that
118. something was fishy about the whole scheme and I couldn't help but
119. think back to the Digital Telephony fiasco. "Until I know more about
120. it, however," I thought, "I shouldn't jump the gun."
121.  
122. There were a lot of unanswered questions. Why was this developed
123. behind the scenes? Why was the algorithm secret? I wanted to know
124. every detail about this "Clipper" chip, the key-escrow scheme and this
125. mystery company, Mykotronx, who was developing the chips for the
126. the government. I also wanted to know why AT&T released a statement
127. the same day announcing that they were going to immediately start
128. integrating this technology into their secure products. Sound like
129. some sort of collusion to me, being the eternal cynic that I am.
130.  
131. Well, there are still a lot of unanswered questions. In fact, a group
132. of software manufacturers presented the National Institute of
133. Standards and Technology a list of well over one hundred questions
134. that they wanted answered concerning this entire proposal. I've
135. included that list in this issue.
136.  
137. The fourth amendment to the Constitution of the United States reads,
138.  
139.    "The right of the people to be secure in their persons, houses,
140. papers, and effects, against unreasonable searches and seizures, shall
141. not be violated, and no Warrants shall issue, but upon probable cause,
142. supported by Oath or affirmation, and particularly describing the place
143. to be searched, and the persons or things to be seized."
144.  
145. This amendment was added to ensure our right, as citizens, to personal
146. privacy. Without trying to liberally interpret this passage, it can
147. also be applied to our right to private communications and the right
148. not to be monitored by our government under the guise of proactive law
149. enforcement without just cause.
150.  
151. The right privacy is about being able to conduct yourself without
152. scrutiny. It is not about being monitored in case you may commit a
153. crime in the future, or may have committed one during the course of
154. your casual communications, unless law enforcement can convince a
155. court that you might or may have.
156.  
157. This is a sensitive topic. What the government has tried to do is
158. implement a technology which has the potential to usurp privacy from
159. personal communications. For the time being, its been put on the back
160. burner. In any case, the public needs to know about this topic, in
161. order to make an informed decision concerning a technologically-enabled,
162. "Big Brother" topic that might eventually become the de facto standard
163. for secure communications in this country.
164.  
165. If I sound like an alarmist, then think again. Remember Nixon and his
166. "enemies" list? Remember McCarthy and his effort to expose and
167. prosecute Communists within the United States? They may sound
168. far-fetched as well, but they happened. And with intelligence
169. communities looking for work since the apparent demise of the "Iron
170. Curtain," it is highly likely that they will turn their intelligence
171. gathering powers inward on their own borders in the name of "The War
172. on Drugs" or "Industrial Espionage" or "Organized Crime" or
173. "Terrorism" or whatever happens to be politically correct at the time.
174.  
175. The bottom line is that you, as a private citizen, may be the ultimate
176. loser in the privacy game.
177.  
178.  - Paul
179.    fergp@sytex.com
180.  
181.  
182. - --
183.  
184. Date:         Fri, 4 Jun 1993 20:46:59 EST
185. Sender: Computer Professionals for Social Responsibility
186.               <uunet!VTVM2.CC.VT.EDU!CPSR%GWUVM.BITNET>
187. From: Dave Banisar <uunet!washofc.cpsr.org!banisar>
188. Organization: CPSR Civil Liberties and Computing Project
189. Subject:      NIST CSSPAB 6/4/93 Resolutions
190.  
191.   NIST CSSPAB 6/4/93 Resolutions
192.  
193.  
194.                  NIST Crypto Resolutions
195.  
196.   Computer System Security and Privacy Advisory Board
197.                        June 4, 1993
198.  
199.                       Resolution #1
200.  
201. At Mr. Kammer's request we have conducted two days of
202. hearings.  The clear message of the majority of input
203. was that there are serious concerns regarding the Key
204. Escrow Initiative and the Board concurs with these
205. concerns.  Many of these issues are still to be fully
206. understood and more time is needed to achieving that
207. understanding.
208.  
209. Accordingly, this Board resolves to have an additional
210. meeting in July 1993 in order to more completely respond
211. to Mr. Kammer's request and to fulfill its statutory
212. obligations under P.L. 100-235.  The Board recommends
213. that the inter-agency review take note of our input
214. collected, our preliminary finding, and adjust the
215. timetable to allow for resolution of the significant
216. issues and problems raised.
217.  
218. Attached to this resolution is a preliminary
219. distillation of the serious concerns and problems.
220.  
221.  
222.                      Resolution #2
223.  
224. Key escrowing encryption technology represents a
225. dramatic change in the nation's information
226. infrastructure.  The full implications of this
227. encryption technique are not fully understood at this
228. time.  Therefore, the Board recommends that key
229. escrowing encryption technology not be deployed beyond
230. current implementations planned within the Executive
231. Branch, until the significant public policy and
232. technical issues inherent with this encryption technique
233. are fully understood.
234.  
235. [Attachment to Resolution #1]]
236.  
237. -  A convincing statement of the problem that Clipper
238. attempts to solve has not been provided.
239.  
240. - Export and important controls over cryptographic
241. products must be reviewed.  Based upon data compiled
242. from U.S. and international vendors, current controls
243. are negatively impacting U.S. competitiveness in the
244. world market and are not inhibiting the foreign
245. production and use of cryptography (DES and RSA)
246.  
247. - The Clipper/Capstone proposal does not address the
248. needs of the software industry, which is a critical and
249. significant component of the National Information
250. Infrastructure and the U.S. economy.
251.  
252. - Additional DES encryption alternatives and key
253. management alternatives should be considered since there
254. is a significant installed base.
255.  
256. - The individuals reviewing the Skipjack algorithm and
257. key management system must be given an appropriate time
258. period and environment in which to perform a thorough
259. review.  This review must address the escrow protocol
260. and chip implementation as well as the algorithm itself.
261.  
262. - Sufficient information must be provided on the
263. proposed key escrow scheme to allow it to be fully
264. understood by the general public.  It does not appear to
265. be clearly defined at this time and, since it is an
266. integral part of the security of the system, it appears
267. to require further development and consideration of
268. alternatives to the key escrow scheme (e.g., three
269. "escrow" entities, one of which is a non-government
270. agency, and a software based solution).
271.  
272. - The economic implications for the Clipper/Capstone
273. proposal have not been examined.  These costs go beyond
274. the vendor cost of the chip and include such factors as
275. customer installation, maintenance, administration, chip
276. replacement, integration and interfacing, government
277. escrow systems costs, etc.
278.  
279. - Legal issues raised by the proposal must be reviewed.
280.  
281. - Congress, as well as the Administration, should play a
282. role in the conduct and approval of the results of the
283. review.
284.  
285. =======================================================
286.     NIST Resolutions on Key Escrow Issues and Clipper
287.                        provided by
288.                  CPSR Washington office
289.            666 Pennsylvania Ave., SE Suite 303
290.                   Washington, DC 20003
291.                rotenberg@washofc.cpsr.org
292. =======================================================
293. - --
294.  
295. Date: Sun, 6 Jun 1993 12:09:08 -0400
296. From: uunet!crc.monroecc.edu!mulivor
297. To: toad.com!cypherpunks
298. Subject: SPA Press Release
299.  
300. I recently received this press release from the Software Publishers 
301. Association. It gets better as it goes on.
302.  
303. --Phil Mulivor
304. mulivor@orion.crc.monroecc.edu
305.  
306. ----------------------------------------------------------------
307.  
308.  06/04 1018  SPA RENEWS CALL FOR LIBERALIZING EXPORT CONTROLS
309.  
310. WASHINGTON (JUNE 4) IDG PR SERVICE - At a National Institute of
311. Standards and Technology (NIST) hearing Thursday on national
312. cryptographic policies, the Software Publishers Association (SPA)
313. explained how continued "munitions" export controls of mass market
314. software with encryption capabilities were seriously harming the
315. American software industry and renewed its call for significant export
316. liberalization of mass market software using DES or other encryption
317. algorithms such as RC2/RC4 at comparable strengths.
318.    SPA also warned that the Administration's recent announcement of
319. its "Clipper Chip" initiative did not address the software industry's
320. concerns and should not be an excuse to delay export liberalization.
321.    The SPA announced the preliminary results of its recent research
322. which reveal a robust and rapidly expanding foreign market in
323. encryption programs and products.  "Unilateral US export controls do
324. not make any sense given the widespread legal availability of foreign
325. encryption programs," testified Ilene Rosenthal, SPA's general
326. counsel. "Foreign companies will buy foreign encryption products if
327. they cannot buy from American companies and in turn become ex-US
328. customers.  As a result, the U.S. Government will only succeed in
329. crippling an American industry's exporting ability."
330.    The SPA research team preliminary concluded that:
331.    - The US no longer dominates the encryption field.  In fact, the
332. SPA has identified to date more foreign than domestic encryption
333. programs and products (143 vs. 133).
334.    - There clearly are many foreign options for strong encryption,
335. contrary to assertions by the U.S. government.  SPA has preliminarily
336. identified to date 80 foreign software, hardware, and combination
337. hardware/software products for text, data, and file encryption from
338. companies in 13 foreign countries.  Forty-eight of these employ DES,
339. which is nearly impossible to export from the U.S. in other than very
340. rare circumstances.  Sixty-three additional foreign encryption
341. programs and products have been identified (including those from an
342. additional five countries) but have yet to be investigated.  However,
343. SPA believes many of these also will be found to employ DES or other
344. comparable strength encryption algorithms.
345.    - Fifteen foreign mass market encryption software programs and kits
346. are available that employ the DES algorithm.  These are published by
347. companies in Germany, Israel, the United Kingdom, Denmark, Canada,
348. Belgium, and Australia.  These software programs are installed by the
349. user inserting a diskette; the kits enable encryption capabilities to
350. be easily programmed into a variety of applications.
351.    - Foreign companies increasingly recognize and are responding to
352. the need to provide software only encryption solutions.  Although the
353. foreign encryption market is still heavily weighted towards encryption
354. hardware and hardware/software combinations, the market trend is going
355. to software.
356.    The SPA noted that in addition to these commercially available
357. programs and products, any analysis of the availability of foreign
358. encryption alternatives must consider programs available on the
359. Internet, which is the largest global network connecting millions of
360. users throughout the world.
361.    - DES is widely available on the Internet, including
362. implementations that can be simply down-loaded and used.
363.    - A recently popularized encryption program entitled Pretty Good
364. Privacy (PGP) also is widely available throughout the world.  PGP
365. implements the International Data Encryption Algorithm (IDEA), which
366. provides protection comparable to DES.  The program is intended for
367. electronic mail, but also is ideal for encrypting files.  It is
368. available for free, may be used legally throughout Europe, whether in
369. a business or at home, comes with easy-to-read instructions, is
370. trivial to install, and simple to use.
371.    "Some government officials routinely assert that even if the
372. Government prohibits America's software publishers from offering
373. encryption features demanded by their customers abroad, we should not
374. be concerned because there are foreign programs and products
375. available," said Ken Wasch, SPA's executive director.  "Our research
376. shows that such an assertion is erroneous.  In fact, there are a very
377. large number of such programs and products available on the market
378. today.  The result is lost sales for American business without any
379. improvement in national security."
380.    The Software Publishers Association is the principal trade
381. association of the PC software industry.  Its more than 1000 members
382. represent the leading publishers in the business, consumer, and
383. education markets.  The SPA has offices in Washington and Paris,
384. France.
385.  
386. CONTACT: Software Publishers Association, Washington
387.          Terri Childs, 202/452-1600
388.  
389.  
390. - --
391.  
392. Date: Tue, 8 Jun 93 08:55:48 EST
393. From: "Pat Farrell" <uunet!cs.gmu.edu!pfarrell>
394. Subject: Tuesday's Washington Post
395.  
396. In Tuesday June 8 Final edition of the Washington Post, Page A12
397.  
398. US Data Decoding Plan Delayed
399.  
400. Business and Legal Objections Reviewed
401. by John Schwartz
402.  
403. The Federal initiative to establish a new standard for scrambling electronic
404. communications will be slowed until its ramifications can be more fully
405. studied, the official in charge of implementing the program said yesterday.
406.  
407. The government's proposed "Clipper Chip" plan, announced on April 16, would
408. create a new national standard for data encryption that would make possible
409. the decoding and wiretaps by law enforcement and national security
410. agencies.
411.  
412. The plan has met with criticism from high-technology industries that argue
413. that the new requirements would be expensive and hurt the competitiveness of
414. their products. Civil liberties advocates see it as a threat to privacy.
415.  
416. Raymond Kammer, acting director of the National Institute of Standards and
417. Technology (NIST) - which developed the Clipper proposal with the National
418. Security Agency and is charged with implementing it within the government-
419. delivered the news to a  Washington conference attended largely by critics of
420. the Clipper plan.
421.  
422. In an interview afterward, Kammer said that the entire Clipper plan was
423. still being discussed, and if the review revealed unresolvable problems,
424. "maybe we won't continue in the direction we started out."
425.  
426. Criticism was sharp at the cryptography and privacy conference sponsored by
427. the Washington office of the Computer Professionals for Social
428. Responsibility, a public interest group concerned with high-tech issues.
429.  
430. One panelist compared Kammer's appearance at the conference to "having a
431. target painted on your chest." Kammer said: "We're not going to close off
432. the process while there's still productive conversation. And its' obvious
433. from the meeting today that there's still plenty of productive conversation."
434.  
435. Pressure has been building on NIST since the White House announcement in
436. April. Critics of the plan have flooded the administration with lengthy
437. lists of questions about the new plan, voicing concerns that the proposal
438. might make American products more expensive, less secure, and less
439. competitive overseas while not hindering criminals.
440.  
441. Last Friday, NIST's advisory panel on privacy issues concluded two days of
442. heated hearings concerning the Clipper proposal with a resolution expressing
443. "serious concerns" sparked by the administrations's proposal. "Things are
444. going too fast." said William Ware, chairman of the Computer System Security
445. and Privacy Advisory Board, a body created under the Computer Security Act
446. of 1987. The NIST panel reported that the government had not convincingly
447. explained the nature of law enforcement problems that would be solved by the
448. Clipper plan, and cited damage the proposal was likely to do to the American
449. software industry.
450.  
451. Later that day, White House officials overseeing the Clipper plan met with
452. representatives of industry and civil liberties groups, including the
453. high-tech policy group Electronic Frontier Foundation as well as the
454. American Civil Liberties Union. Administration officials said that the
455. Clipper review would be extended into the fall and that the government would
456. not move beyond its initial plans to buy about 10,000 Clipper-equipped
457. telephones until the review was completed.
458.  
459. John Podesta, assistance to the President, said that meeting was part of a
460. continuing dialog with the private sector. "It's time to start ot get
461. answers instead of the endless quest for questions, Podesta said."
462.  
463. - --
464.  
465.  
466. ComputerWorld
467. June 7, 1993
468. Vol. 27, No. 23
469. page 21
470.  
471.  
472. Fed officials pan ban of old encryption specs
473. by Gary H. Anthes
474. Gaithersburg, MD
475.  
476.  
477. Federal officials responsible for shaping information security
478. policy said last week that legislation mandating use of the
479. government's recently proposed encryption technology -- and
480. banning the use of older but popular techniques -- is neither
481. wise nor legal.
482.  
483. In April, the White House said it intended to establish as a
484. federal standard an approach to encryption called "key-escrow."
485. This method would require that the keys needed to unlock a coded
486. conversation be kept by government-approved agencies and
487. retrieved only for court-ordered wiretaps.
488.  
489. Dubbed "Clipper" for voice communications and "Capstone" for
490. data, the approach is intended to balance the conflicting
491. objectives of users -- who demand absolute security and privacy
492. -- and law enforcement agencies, which are looking for a legal
493. "backdoor" into coded criminal communications.
494.  
495. Protecting rights to privacy
496.  
497. But the idea has been challenged by civil libertarians who fear
498. abuses by a technologically empowered Big Brother, and by some
499. users, especially those such as banks that have made large
500. investments in cryptography based on the older Data Encryption
501. Standard (DES), which some fear could be banned by the
502. government.
503.  
504. Protesters so far include the Computer and Business Equipment
505. Manufacturers Association, Information Technology Association of
506. America, Computer Professionals for Social Responsibility,
507. Electronic Frontier Foundation, Business Software Alliance,
508. Software Publishers Association and Information Systems Security
509. Association.
510.  
511. Raymond Kammer, acting director of the National Institute of
512. Standards and Technology (NIST), acknowledged that a ban on
513. existing techniques would be considered. "But my personal opinion
514. is, I can't see doing anything that would take away any freedoms
515. we now enjoy," Kammer said.
516.  
517. "We tried to come up with a technique that would not require
518. legislation," said Clint Brooks, advisor to the director of the
519. National Security Agency, which developed and now strongly
520. supports the key-escrow approach.
521.  
522. Brooks predicted it would be years before criminal use of DES
523. would be wide-spread enough to present obstacles to law
524. enforcement agencies, which cannot crack DES codes. "Let's wait
525. and see if legislation is needed," he said.
526.  
527. While the majority of those attending a public hearing at the
528. NIST last week spoke out against the government's proposal, a few
529. strongly defended it saying criticisms are either misdirected or
530. deal with fixable flaws.
531.  
532. Donald Alvarez, national defense science and engineering graduate
533. fellow at Princeton University, outlined six ways that Clipper
534. could be breached but finished by saying, "I definitely believe
535. it is possible to address the needs of both [users and law
536. enforcers], even with the Clipper and Capstone chip sets."
537.  
538. 8<---------- End of Article -------------
539.  
540. In a small, corner-page, footnote box on the same page --
541.  
542. "Keyed up
543.  
544. In a statement filed with the Computer System and Privacy
545. Advisory Board, Citicorp raised the following concerns about
546. Clipper:
547.  
548. o The private sector was not adequately consulted.
549. o The algorithm used in Clipper/Capstone is not compatible with
550.   other commonly used encryption methods and will only cause
551.   costly disruptions for businesses.
552. o The algorithm -- which is to be secret but will be examined by
553.   a handful of government-chosen experts -- "will undergo
554.   inadequate scrutiny and hurried review."
555. o The databases and access systems associated with Clipper may be
556.   flawed and insecure."
557.  
558.  
559. - --
560.  
561. ...  The Digital Privacy and Security Working Group, coordinated by
562. the Electronic Frontier Foundation, sent the following questions to the
563. White House, the Department of Commerce, and key members of Congress.
564.  
565.  
566. Digital Privacy and Security Working Group
567.  
568. 666 Pennsylvania Ave, SE 
569. Suite 303
570. Washington, DC  20003
571.  
572. Jerry Berman or Daniel J. Weitzner   202/544-9237
573. Leah Gurowitz  202/544-6909
574.  
575.  
576. ISSUES AND QUESTIONS 
577. REGARDING THE ADMINISTRATION'S CLIPPER CHIP PROPOSAL
578.  
579.  
580. A. Process by Which the Proposal Was Developed
581.  
582. 1.      Why the secrecy in which the encryption code scheme was developed? 
583. Were any members of the computer, communications, or security industries
584. consulted? Were any privacy experts consulted? Has the Justice Department
585. or the White House Office of Legal Counsel considered the constitutional
586. implications?
587.  
588. 2.      The Administration's announcement implies that a policy review on
589. encryption has been commenced; but at the same time, it appears that a
590. decision has already been reached to support the Clipper proposal or some
591. other key-escrow scheme.  Is any review of the Clipper chip itself now
592. underway?  What progress has been made?  When will this expedited review be
593. complete?
594.  
595. 3.      What role has the National Security Agency played in the
596. development and selection of the Clipper Chip and key escrow system?  What
597. will NSA's role be in the deployment and evaluation of the system?  Are
598. these roles consistent with the principle of civilian control of computer
599. security, as required by the Computer Security Act of 1987?
600.  
601. 4.      What efforts are underway to improve the government's ability to
602. decrypt non-Clipper algorithms which are likely to be used by criminals? 
603. Can the government decrypt all commercially available hardware sold
604. domestically and abroad? If not, wouldn't it be a better policy to direct
605. U.S. resources in that direction instead of the Clipper approach?
606.  
607. 5.      What percentage of the 800 to 900 annual Title III interceptions
608. encounter encrypted communications?  What percentage of law enforcement
609. encountered encryption is estimated to be Clipper as opposed to the other
610. encryption schemes?  Is this a solution in search of a problem?
611.  
612. 6.      Did the government consider commercially-available encryption
613. schemes and reject them? If so, why were they rejected, and is that
614. analysis available? If not, why not?
615.  
616. 7.      Capstone is the successor to Clipper with the addition of public
617. key exchange and digital signature capabilities. Is Clipper just an
618. intermediate step before Capstone is released? Why did the White House
619. press release not mention Capstone?
620.  
621. 8.      How will this relate to the FBI's Digital Telephony Proposal?  Has
622. the Administration committed to supporting, discarding or reintroducing the
623. proposal in a new form?
624.  
625. 9.      What is the history of the proposal?  How long has this been under
626. consideration?
627.  
628. 10.     How long has the Clipper Chip and escrow concept been in
629. development?  Which agency originated these concepts?
630.  
631.  
632. B. Secrecy of the Algorithm
633. 11.     Will the Clipper proposal have the same degree of public review
634. that other NIST standards, such as DSS have gone through?
635.  
636. 12.     How can the public trust the security and reliability of an
637. algorithm that is kept classified?
638.  
639. 13.     If American firms are not able to have their encryption experts
640. examine the algorithm, how can they be sure that there is no "trap door"
641. that would allow any Clipper Chip security system to be overridden?  Dr.
642. Kammer of NIST has said that "respected experts from outside the government
643. will be offered access" to the algorithm. How do interested parties go
644. about obtaining this access to the classified material about the Clipper
645. algorithm and participate in the analysis of the design to search for trap
646. doors and other weaknesses?  What specific reports from this process will
647. serve to reassure users regarding the integrity of the Clipper Chip?
648.  
649. 14.     What will be the consequence if the algorithm is published? Will it
650. become less secure?  If publication (i.e., de-classification) would make it
651. less secure, how secure can it be? 
652.  
653. 15.     If the Clipper Chip is too weak to protect classified government
654. communications, why should it be used for sensitive proprietary private
655. sector communications?
656.  
657. 16.     Executive Order 12356 has procedures on classification and
658. declassification of information.  Is the algorithm being classified under
659. the framework of this order? What agency is in charge of classification/
660. declassification?
661.  
662. 17.     How much effort has the government put into the design and
663. cryptoanalysis of the Clipper Chip as compared to the public analysis of
664. the Data Encryption Standard during the last 16 years?
665.  
666. 18.     Is the Skipjack algorithm being used by the Clipper Chip derived
667. from codes used in the management of our nuclear arsenal?  Is this why the
668. algorithm is being kept secret?  If this is so, why are we using this
669. secret system for a dubious commercial standard?  If there is a national
670. security justification to avoid having this encryption technique revealed,
671. why risk compromising it by integrating it into publicly distributed
672. products?
673.  
674. 19.     If the algorithm is classified, how will it be legal to distribute
675. the chips to users not qualified to handle classified encryption equipment?
676. This seems contrary to Facility Security Clearance procedures and the
677. Personal Security Clearance requirements of DoD 5220.222-M, Industrial
678. Security Manual for Safeguarding Classified Information.
679.  
680. 20.     Is it illegal to reverse engineer the Clipper Chip?  If it were
681. reverse engineered, would it then be illegal to reveal the algorithm?  
682.  
683.  
684. C. Voluntariness of Clipper System
685.  
686. 21.     Will this system be truly voluntary? If so, won't criminals and
687. terrorists just use some other type of encryption?
688.  
689. 22.     If the use of the Clipper Chip is "voluntary," why would any party
690. desiring privacy or secrecy of communications use it, knowing that the US.
691. government has a process to allow decryption?  If the Administration's
692. ultimate goal is to ban other forms of encryption for use domestically,
693. what is the legal basis for such an approach?
694.  
695. 23.     Isn't the Administration doing more than "encouraging" use of
696. Clipper?  (E.g., discontinuing DES at the end of the current certification
697. cycle, directing NIST to adopt Clipper as a Federal standard, and
698. maintaining export restrictions on hardware/software using different
699. algorithms?)
700.  
701. 24.     Does the government have any plans to campaign for the
702. implementation of the Clipper Chip as a standard for data cryptography?
703.  
704. 25.     What impact will the introduction of Clipper have on the market for
705. other encryption technologies?  Will the government otherwise try to
706. discourage other cryptographic mechanisms from being marketed domestically
707. and abroad?
708.  
709. 26.     Isn't the government dictating the design of technology into
710. commercial products rather than allowing market demand to dictate?
711.  
712. 27.     What prevents a sender of information from encrypting with secure,
713. easy to obtain software using DES or RSA algorithms before sending data
714. through a channel encrypted with the Clipper system?
715.  
716. 28.     Would the Administration ever consider making the Clipper Chip or
717. other key escrow system mandatory?
718.  
719. D. Key Escrow System
720.  
721. 29.     How can the government assure us that the keys held in escrow are
722. not compromised?  What public or private agencies have sufficient integrity
723. and public trust to serve as escrow agents?
724.  
725. 30.     How can the public be sure that keys will only be revealed upon
726. proper warrant?  Will there be clerks who actually operate the equipment
727. who could get anyone's keys?  Or will judges have personal keys, which
728. would be directly authenticated to the escrow agents' equipment that
729. protects the users' keys?
730.  
731. 31.     Once the keys are obtained from the escrow holders, is it
732. envisioned that electronic surveillance can be done "real-time," or will
733. recording and post-processing be required?
734.  
735. 32.     To hear both sides of a conversation, does law enforcement need the
736. keys of both participants?
737.  
738. 33.     After law enforcement has properly obtained a pair of unit keys
739. from the escrow agents and conducted a wiretap, will the keys be "returned"
740. to the agents?  What safeguards exist to prevent law enforcement from
741. re-using the keys without authorization in the future?
742.  
743. 34.     Once in possession of the unit keys, can the government pretend to
744. be ("spoof") the original unit owner?
745.  
746. 35.     What is the smallest number of people who would be in a position to
747. compromise the security of the system?
748.  
749. 36.     Can an escrow agent exercise discretion in the release of key
750. information?  E.g., can they refuse an inappropriate request?  (Phone
751. companies ensure that court orders are facially valid.)  Can they publicize
752. an inappropriate request?  Can they tell the person whose communications
753. were intended to be violated?
754.  
755. 37.     Who will be responsible for auditing the escrow process and the use
756. of revealed keys?
757.  
758. 38.     How will the government ensure that unanticipated uses of the
759. escrow database are prevented in the long term?  (E.g., the Census database
760. was supposed to stay confidential for 75 years, but was released during
761. World War Two to allow Japanese-Americans to be imprisoned without cause. 
762. What protections are in place to make sure that this never happens again?
763.  
764. 39.     What happens when one discovers that the keys have been captured
765. through theft?  How difficult would it be to change keys?  What is done in
766. the meanwhile?  How difficult is it to reprogram the chip, or do you need a
767. replacement?
768.  
769. 40.     If the chip can be reprogrammed, how do you prevent covert changes
770. that will not be discovered until authorization to tap is received and
771. execution of the warrant is forestalled?
772.  
773. 41.     It appears that once a given chip has been compromised due to use
774. of the escrowed keys, the chip and the equipment it is used in are
775. vulnerable forever.  Is there any mechanism or program to re-key or replace
776. compromised hardware?  Is there any method for a potential acquiring party
777. to verify whether the keys on a given chip have been compromised?  Who
778. should bear the cost of replacement or re-keying of compromised hardware?
779.  
780. 42.     What safeguards will be used when transporting the escrow keys?
781.  
782. 43.     What are the national security implications of widespread
783. deployment of Clipper?  Does it make our communications more susceptible to
784. disruption or jamming?
785.  
786. 44.     Doesn't the two-escrowee approach make these locations targets of
787. opportunity for any party or foreign government that wants to gain access
788. to sensitive US. information?  If an escrow location is compromised, all
789. chip data contained there is compromised.  Wouldn't these locations also
790. become targets of opportunity for any criminal or terrorist organization
791. that wanted to disrupt US. law enforcement?  What back-up or physical
792. security measures are envisioned?  If multiple copies are kept, doesn't
793. this increase the threat of compromise?
794.  
795.  
796. E. Choice of Agents for the Keys
797.  
798. 45.     Who will be the agents for the keys? How secure will they be from
799. the outside and from the inside?  What is the cost of maintaining the
800. escrow system?  Who will pay?  Who will profit?
801.  
802. 46.     When will the escrow agents be announced? Will there be a process
803. to allow input into the selection of these individuals/agencies?
804.  
805. 47.     Although it has been reported that the escrow holders will not be
806. the FBI, DoD, CIA or NSA, is it envisioned that one or both of the escrow
807. locations will be non-government entities?  Can one or both be private
808. parties?  What will the process be to determine what private party will be
809. awarded the contract for key holder?
810.  
811. 48.     Can the set of escrow agents be changed after the initial
812. selection? How can the government be prevented from moving the escrow
813. contract to a more pliable escrow agent, if one of the agents stands up
814. against the government for the rights of the people whose keys they are
815. protecting?
816.  
817. 49.     Will escrow agents be immune from prosecution during their term of
818. office, like Members of Congress, the President, and Justices of the
819. Supreme Court?  If not, what will prevent the government from harassing the
820. agents during a dispute with the Justice Department?
821.  
822. 50.     Will there be a mechanism for particular people to keep their keys
823. out of the key escrow database, or to obtain Clipper Chips with keys that
824. have not been escrowed? (E.g. Judges, law enforcement officers, NSA
825. officials, the President, etc.)
826.  
827.  
828. F. Level of Security of Clipper Chip Encryption
829. 51.     How will the government assure American businesses that their
830. proprietary information is not compromised?  Given the extremely
831. competitive nature of the high-tech industries, and the importance of
832. intellectual property, how can American firms be adequately protected?
833.  
834. 52.     How will the government assure American citizens that the privacy
835. of their electronic communications and the security of personal information
836. that is transmitted in electronic form will all be secure under the Clipper
837. Chip?
838.  
839. 53.     f the Administration is so confident about the level of security of
840. the Clipper Chip scheme, why will classified information not be encrypted
841. with it?
842.  
843. 54.     What warranty is the US. government prepared to make regarding the
844. security of the Clipper Chip compared to other algorithms, and indemnity
845. for failures for breaches of the algorithm, chips that are compromised due
846. to failures in the security of the escrow system, or other failures in the
847. Clipper approach?  
848.  
849. 55.     What effect does Clipper have on other NSA and DOD programs aimed
850. at encryption and authentication of unclassified messages (e.g., MOSAIC)?
851.  
852. 56.     If Clipper is not approved for classified traffic, what government
853. agencies will be utilizing Clipper, and for what applications?
854.  
855. 57.     Normal security procedures involve changing cryptography keys
856. periodically, in case one has been compromised. But the family and unit
857. keys cannot be changed by the user. If these keys are compromised, it won't
858. matter how frequently the user changed their session keys. Doesn't the long
859. use of the same family and unit keys increase the likelihood that these
860. keys will be compromised while they are still in use? Doesn't this also
861. eliminate a significant degree of the user's control of the level of
862. security that their his or her system provides?
863.  
864. 58.     If the government discovered that the algorithm or family key had
865. been discovered by a foreign government or private individuals, would it
866. tell the public that the system had been compromised?  Are there plans to
867. restore privacy and authentication if the algorithm is compromised?
868.  
869. 59.     How secure is the Clipper algorithm if it is attacked by a person
870. with half the key? 
871.  
872. G. Level of Privacy Protection
873.  
874. 60.     Given the dramatic growth in transmission and storage of personal
875. information in electronic form, does the Administration recognize that
876. private individuals, as well as large organizations, need access to
877. affordable, robust encryption systems?
878.  
879. 61.     Is law enforcement permitted to identify the specific piece of
880. communications equipment without obtaining a warrant?  If encrypted
881. communications include the serial number ("chip family key"), will law
882. enforcement be able to keep track of communications traffic and track
883. private citizens without even securing the keys from the escrow agents?
884.  
885. 62.     Does the Administration believe that all household phones are going
886. to be replaced with secure versions over some period of time?  At what
887. cost?
888.  
889. 63.     It has been impossible to keep any large collection of information
890. completely private, including Social Security records, tax information,
891. police files, motor vehicle records, medical records, video rentals, highly
892. classified military information, and information on abuses of power. How
893. will users be able to tell when this happens to the key escrow information?
894.  
895.  
896. H. Constitutional/Legal Implications
897.  
898. 64.     Has the Administration fully considered the constitutional
899. implications of the Clipper Chip and other key escrow systems?
900.  
901. 65.     Does forcing someone to disclose a key for future law enforcement
902. access infringe the fundamental right against self incrimination embodied
903. in the Fifth Amendment?
904.  
905. 66.     Does requiring key disclosure in conjunction with a particular
906. technology violate users' right to free speech under the First Amendment? 
907. Courts frown most severely on any government attempts to compel a
908. particular form of speech.
909.  
910. 67.     Does the escrow system violate the letter or the spirit of the
911. Fourth Amendment protections which safeguard citizens against intrusive law
912. enforcement practices?
913.  
914. 68.     When the Administration says "nor is the U.S. saying that 'every
915. American, as a matter of right, is entitled to an unbreakable commercial
916. encryption product,'" are they therefore saying the inverse, that every
917. American is not allowed to have an unbreakable commercial encryption
918. product?
919.  
920. 69.     Does the Administration see the need for any new legislation to
921. implement its Clipper Chip proposal? If so, specifically identify.
922.  
923. 70.     In the event that one or more escrow keys are obtained through
924. unauthorized means, what liability, if any, might the equipment
925. manufacturer have to bear?
926.  
927. 71.     What will be the relationship between Federal and state law
928. enforcement?  Will the policy pre-empt state law?  How will state law
929. enforcement access the "key" system?
930.  
931. 72.     What is the statutory authority for regulation of domestic
932. encryption?  Are any of these statutes cold war relics?  Should the
933. efficacy of all statutes that effect civilian encryption be reviewed?
934.  
935. 73.     What protections do we have against blackmailing by escrow agents,
936. or by others who have gained possession of escrowed keys?  Is there civil
937. or criminal liability for escrow agents who reveal keys illegally?
938.  
939. 74.     What is the impact on society if the right to hold a truly private
940. conversation is withdrawn?
941.  
942. 75.     Is strong encryption technology important for protecting
943. intellectual property in a digital network environment?
944.  
945.  
946. I. Logistics of Chip Development and Manufacture
947.  
948. 76.     Why weren't other Chip manufacturers given the chance to bid on the
949. chip production process?  Why was the choice made to have only one
950. manufacturer?
951.  
952. 77.     Since the Clipper Chip design data will need to be released to
953. manufacturers, how will we be assured that this information, in itself,
954. will not allow the user systems to be compromised?
955.  
956. 78.     What assurances will there be that the manufacturer is not keeping
957. a record of all keys issued?
958.  
959. 79.     We have read Dorothy Denning's explanation of how the two 80-bit
960. keys will be created in the SCIF.  Is this description accurate? If not,
961. how would this process occur? If so, is the system feasible? What will the
962. cost be for this process and for the increased security of the involved
963. government agents?
964.  
965. 80.     The chips will be programmed in a Secure Compartmented Information
966. Facility (SCIF). Does this suggest that the chips should at some point be
967. classified Secret or Top Secret? What is the classification of the Clipper
968. and Capstone chips and the Skipjack algorithm? How will these chips be
969. declassified once leaving the SCIF?
970.  
971. 81.     Some of the press reports imply that AT&T has had access to this
972. information in order to incorporate Clipper into some of its equipment
973. designs. Is that implication accurate?
974.  
975. 82.     Can this scheme be implemented in software? If so, why haven't we
976. seen information on that software?  If not, were issues of how this
977. hardware solution would affect continued use of software encryption
978. adequately evaluated? Were the comparative costs of software and hardware
979. encryption schemes evaluated? Is this evaluation available for analysis?
980.  
981. 83.     Current high speed DES processors have encryption rates of
982. approximately 200 megabits per second, while the Clipper Chip has a
983. throughput of 12.5 megabits per second.  Within two to five years, 100 Mbs+
984. technologies, such as Fast Ethernet, FDDI and ATM, will become commonplace.
985.  How will the Clipper technology be used in environments where data is sent
986. at 100 Mbs or faster?
987.  
988.  
989. J. Feasibility/Implementation
990.  
991. 84.     What testing has been done to verify the ability of Clipper to work
992. across the panoply of new emerging technologies?  If the underlying digital
993. transport protocol drops a bit or two, will that interfere with Clipper
994. operation?  How critical is synchronization of the bit stream for Clipper
995. operation?  Has this technology been tested with ISDN, TDMA, Cellular, CDMA
996. Cellular, ATM, SONET, SMDS, etc. and other emerging technologies?  What
997. effect does Clipper have on the Cellular Authentication and Voice
998. Encryption (CAVE) algorithm?  Are these differences for key generation,
999. authentication, or voice privacy?
1000.  
1001. 85.     Does the Administration seek to extend the Clipper Chip proposal to
1002. the TDMA and CDMA digital cellular standards?
1003.  
1004. 86.     When will the government publish the various Modes of Operation and
1005. other documents for Clipper, together with a physical implementation
1006. standard (similar to the old FS-1027)?
1007.  
1008. 87.     Will the government consider the development of alternate sources
1009. for the chip or will vendors be limited to a single, monopoly supplier?
1010.  
1011. 88.     Initially, the Clipper Chip is being proposed for telephone
1012. technology, but the White House specifically mentions that the technology
1013. will be used for electronic data transmission. What is the timetable for
1014. implementing this?
1015.  
1016. 89.     What is the scope that the Administration envisions for the Clipper
1017. Chip's algorithm use?  What about Capstone?  Is it limited to choice, or
1018. does it encompass electronic mail, network encryption, security modems,
1019. long-haul bulk encryptors, video applications, computer password
1020. protection, Intelligent Vehicle Highway Systems ("IVHS"), satellite
1021. communications -- both transport and control, electronic funds transfers,
1022. etc.? 
1023.  
1024. 90.     What is the Administration's policy on other security mechanisms
1025. beyond privacy, such as message authentication codes for banking and EFT,
1026. and for integrity and digital signatures for sender authentication and
1027. non-repudiation? What is the impact on international standards such as
1028. X.500 and X.509?
1029.  
1030. 91.     Since Clipper, as currently defined, cannot be implemented in
1031. software, what options are available to those who can benefit from
1032. cryptography in software? Was a study of the impact on these vendors or of
1033. the potential cost to the software industry conducted?
1034.  
1035. 92.     What is are the success criterion for the Clipper initiative? 
1036. Would the government abandon its initiative if the Clipper is shown to be
1037. unsuccessful beyond government use?
1038.  
1039. 93.     What is the expected useful lifetime of the Clipper technology?
1040. What do you expect will render it useless at some point?
1041.  
1042. 94.     Is it true that the name "Clipper Chip" is the intellectual
1043. property of another company?
1044.  
1045. K. Impact on American Competitiveness
1046.  
1047. 95.     As the key-escrow approach is designed to ensure the ability of the
1048. American government to access confidential data, do NIST and NSA expect
1049. overseas customers (who do not have the protection of due process) to
1050. purchase the chip for data protection?
1051.  
1052. 96.     In testimony before the House Telecommunications Subcommittee, Mr.
1053. Kammer of NIST indicated that if he were a foreign customer, he would not
1054. purchase devices that included the Clipper Chip. Doesn't this raise serious
1055. balance-of-trade problems?
1056.  
1057. 97.     Will the technology, or the Chip itself, be shared with other
1058. allied governments  (e.g., the UK), or will US. producers of data security
1059. products, forced by government standards to develop clipper-based products
1060. for the US. market, be permanently closed out of the overseas security
1061. market?
1062.  
1063. 98.     If Clipper won't be commercially accepted abroad, and export
1064. controls continue to prohibit the exportation of other encryption schemes,
1065. isn't the US. government limiting American companies to a US. market?
1066.  
1067. 99.     Given the restrictions on who can build Clipper devices, how will
1068. Clipper keep up with advances in semiconductor speed, power, capacity and
1069. integration? Openly available devices, such as Intel-compatible
1070. microprocessors, have seen dramatic gains, but only because everyone was
1071. free to try to build a better version.
1072.  
1073. 100.    Will the Clipper Chip be used nationally and internationally? How
1074. will multinational operations accommodate this new system?
1075.  
1076. 101.    Banking and finance are truly global today. Most European financial
1077. institutions use technology described in standards such as ISO 9796. Many
1078. innovative new financial products and services will employ the reversible
1079. cryptography described in these standards. Clipper does not comply with
1080. these standards. Will US. financial institutions be able to export Clipper?
1081. If so, will their overseas customers find Clipper acceptable?
1082.  
1083. 102.    If overseas companies provide systems based on algorithms that do
1084. not have key escrow schemes that encrypt faster and more securely, how will
1085. we compete internationally? We are market leaders in applications software
1086. and operating systems. our world leadership in operating systems is
1087. dependent on integrating security in internationally distributed systems.
1088.  
1089. 103.    Internet Privacy Enhanced Mail (PEM) is becoming an internationally
1090. recognized system for encrypting Electronic Mail. Would Skipjack encryption
1091. become a US. standard for encrypting electronic mail while the rest of the
1092. world used PEM? How would E-mail traffic between the US. and other
1093. countries be encrypted?
1094.  
1095.  
1096. L. Effect on Export Control Policy
1097.  
1098. 104.    In light of the Clipper initiative, will export restrictions on
1099. hardware and software encryption regimes using DES and RSA algorithms
1100. (which are widely available abroad) remain in place?
1101.  
1102. 105.    Will American firms be allowed to sell devices containing the
1103. Clipper Chip abroad? Under which governmental regulatory regime would
1104. exports of devices containing the Clipper Chip fall? What conditions would
1105. be applied to exports of devices containing the Clipper Chip? (E.g., would
1106. American firms be allowed to export devices to non-US. customers without
1107. the escrow requirement? If not, who would hold the keys?)
1108.  
1109. 106.    What governmental regulations will apply to imports of devices
1110. containing the Clipper Chip? Given that most US. companies source most
1111. customer premise equipment (e.g., telephones, fax machines, etc.) offshore,
1112. how will the logistics be handled for the export of the Clipper Chip as a
1113. component, and the subsequent import of the device containing the chip?
1114. Will the US. permit non-US. manufacturers to have the Clipper algorithm? If
1115. not, how will the Administration justify this trade barrier?
1116.  
1117. 107.    If the Clipper Chip cannot be reverse-engineered, and if the US.
1118. government is capable of decrypting, why would there be any reason to limit
1119. Clipper products from being exported?
1120.  
1121. 108.    If Clipper is allowed to be exported, does the US. government
1122. foresee a problem with other governments? Would the US. government's access
1123. to escrow keys be viewed as an exercise of extraterritorial jurisdiction?
1124.  
1125.  
1126. M. Implications for Installed-Base/Existing Products
1127.  
1128. 109.    What are the implications of NSA/NIST withdrawing the certification
1129. of DES? Although it may -- at some point in the future -- no longer be used
1130. for government purposes, that is not going to effect commercial or private
1131. users' applications of DES. What about the embedded base of DES hardware?
1132.  
1133. 110.    Will existing systems need to be replaced?
1134.  
1135. 111.    What efforts were spent to make the new encryption approach
1136. compatible with the embedded base of equipment?  If DES was becoming weak
1137. (vulnerable), wouldn't merely extending the DES key length to 80 bits have
1138. solved that problem?
1139.  
1140. 112.    There are a number of companies that employ non-escrowed
1141. cryptography in their products today.  These products range from secure
1142. voice, data, and fax, to secure e-mail, electronic forms, and software
1143. distribution, to name but a few.  With over a million such products in use
1144. today, what does the Clipper scheme foretell for these products and the
1145. many corporations and individuals that are invested in them and use them? 
1146. Will the investment made by the vendors in encryption-enhanced products be
1147. protected?  If so, how?  Is it envisioned that they will add escrow
1148. features to their products or be asked to employ Clipper?
1149.  
1150.  
1151. N. Process by which Input Will Be Received from Industry/Public Interest Groups
1152.  
1153. 113.    If the outcome of the policy review is not pre-ordained, then the
1154. process to analyze the issues and arrive at solutions would seem to need a
1155. great deal of definition. What roles have been identified for Congress, the
1156. private sector, and other interested parties? Who is coordinating the
1157. process?
1158.  
1159. 114.    Why does the Presidential directive on the review process remain
1160. classified?
1161.  
1162.  
1163. - --
1164.  
1165.  
1166. INFOWorld
1167. June 7, 1993
1168. Volume 15, Issue 23
1169. pages 1, 103
1170.  
1171. IS managers assail data encryption rule
1172.  
1173. 'Clipper chip would allow snooping
1174.  
1175. by Scott  Mace
1176. And Shawn Willett
1177.  
1178. GAITHERSBURG, Md. -- IS managers and computer vendors last week
1179. blasted the Clinton administration's plans to mandate use of the
1180. "Clipper" data encryption chip.
1181.  
1182. During hearings hosted by the U.S. Commerce Department here last
1183. week and in interviews, many IS managers and vendors said they
1184. fear the encryption standard could make their operations
1185. vulnerable not only to snooping by the government, but by
1186. criminals as well.
1187.  
1188. IS managers and consultants from Bankers Trust Co. of New York
1189. and Deloitte &Touche voiced these concerns at the hearing and
1190. chided the government for shrouding the process in secrecy.
1191.  
1192. "The secret process up until now has been destructive to public
1193. trust," said William Murray, IS consultant at Deloitte & Touche,
1194. in Wilton, Conn.
1195.  
1196. "It is only a matter of time before hackers figure out a back
1197. door to de-crypt it," said Sheldon Laube, national director of
1198. information and technology at Price Waterhouse, in Menlo Park,
1199. Calif.
1200.  
1201. Laube echoed the concerns of other corporate data managers.
1202.  
1203. "If the government can de-encrypt it, we have to assume
1204. competitors can as well," said Bob Holmes, computer technology
1205. research analyst at Southern California Gas, in Los Angeles.
1206.  
1207. The chip, which would be installed in data communications
1208. devices, including computers, modems, fax machines, and phones,
1209. encrypts data so outsiders cannot listen in or steal sensitive
1210. data. But government agencies, such as the FBI, could ask for a
1211. court order to obtain the "keys" to decode the data.
1212.  
1213. No one would be forced to implement the chip, but the
1214. administration proposal could mandate government agencies to buy
1215. it, effectively forcing its widespread adoption.
1216.  
1217. The Clipper chip, jointly developed by the National Security
1218. Agency and the national Institute of Standards and Technology
1219. (NIST) was also assailed by computer vendors.
1220.  
1221. Oliver Smoot, vice president of the Computer and Business
1222. Equipment Manufacturers Association (CBEMA), testified that its
1223. members would have to develop separate product lines for the
1224. United States and overseas because a few foreign governments
1225. would want to give the U.S. government the capability to decode
1226. their data transmissions. This, along with the inclusion of the
1227. chip in every computer, would mean higher prices, Smoot said.
1228.  
1229. CBEMA members include Apple Computer Inc., Compaq Computer Corp.,
1230. IBM, and Hewlett-Packard Co.
1231.  
1232. The plan has also been hotly contested by computer industry civil
1233. libertarians, such as the Electronic Frontier Foundation, which
1234. urged that the Constitution's prohibition of illegal search and
1235. seizure be applied.
1236.  
1237. NIST and other government agencies countered that the chip is
1238. very resistant to tampering. It uses a key escrow system, where
1239. two or more government agencies will hold parts of a decryption
1240. key, for use by law enforcement with a valid court order.
1241.  
1242. The FBI expects organized crime and terrorists to begin encoding
1243. information.
1244.  
1245.  
1246. - --
1247. End of Legal Net News, v1i9
1248.