home *** CD-ROM | disk | FTP | other *** search

---

/ Monster Media 1993 #2 / Image.iso / magazine / lnn0110.zip / LNN1.010

Wrap

Text File  |  1993-06-15  |  68KB  |  1,187 lines

---

1.  
2.       ▒▒▄     ▒▒▒▒▒▒▄ ▒▒▒▒▒▒▄ ▒▒▒▒▒▒▄ ▒▒▄        ▒▒▒▄▄ ▒▒▄ ▒▒▒▒▒▒▄ ▒▒▒▒▒▒▄
3.       ▒▒█     ▒▒█▀▀▀▀ ▒▒█▀▀▀▀ ▒▒█▀▒▒█ ▒▒█        ▒▒█▒▒█▒▒█ ▒▒█▀▀▀▀  ▀▒▒█▀▀ 
4.       ▒▒█     ▒▒▒▒▒▄  ▒▒█▒▒▒▄ ▒▒▒▒▒▒█ ▒▒█        ▒▒█ ▀▒▒▒█ ▒▒▒▒▒▄    ▒▒█   
5.       ▒▒█     ▒▒█▀▀▀  ▒▒█ ▒▒█ ▒▒█ ▒▒█ ▒▒█        ▒▒█   ▒▒█ ▒▒█▀▀▀    ▒▒█   
6.       ▒▒▒▒▒▒▄ ▒▒▒▒▒▒▄ ▒▒▒▒▒▒█ ▒▒█ ▒▒█ ▒▒▒▒▒▒▄    ▒▒█   ▒▒█ ▒▒▒▒▒▒▄   ▒▒█   
7.        ▀▀▀▀▀▀  ▀▀▀▀▀▀  ▀▀▀▀▀▀  ▀▀  ▀▀  ▀▀▀▀▀▀     ▀▀    ▀▀  ▀▀▀▀▀▀    ▀▀   
8.                        ▒▒▒▄▄ ▒▒▄ ▒▒▒▒▒▒▄ ▒▒▄   ▒▒▄ ▒▒▒▒▒▒▄ 
9.                        ▒▒█▒▒█▒▒█ ▒▒█▀▀▀▀ ▒▒█   ▒▒█ ▒▒█▀▀▀▀ 
10.                        ▒▒█ ▀▒▒▒█ ▒▒▒▒▒▄  ▒▒█   ▒▒█ ▒▒▒▒▒▒▄ 
11.                        ▒▒█   ▒▒█ ▒▒█▀▀▀  ▒▒█▒▒▄▒▒█  ▀▀▀▒▒█ 
12.                        ▒▒█   ▒▒█ ▒▒▒▒▒▒▄  ▀▒▒▒▒█▀▀ ▒▒▒▒▒▒█ 
13.                         ▀▀    ▀▀  ▀▀▀▀▀▀    ▀▀▀▀    ▀▀▀▀▀▀
14.  
15.                                Legal Net Newsletter
16.  
17.                         Volume 1, Issue 10 -- June 15, 1993
18.  
19.  
20.           Legal Net Newsletter is dedicated to providing information
21.          on the legal issues of computing and networking in the 1990's
22.                               and into the future.
23.  
24.  
25.  
26.        The information contained in this newsletter is not to be
27.        misconstrued as a bona fide legal document, nor is it to be taken
28.         as an advocacy forum for topics discussed and presented herein.
29.           The information contained within this newsletter has been
30.           collected from several governmental institutions, computer
31.          professionals and third party sources. Opinion and ideological
32.        excerpts have been collected from many sources with prior approval.
33.  
34.                  "Legal Net News", "Legal Net Newsletter"
35.                      and the Legal Net News logo are
36.           Copyright (c) 1993 Paul Ferguson -- All rights reserved.
37.  
38.      This newsletter may be freely copied and distributed in its entirety.
39.          Singular items contained within this newsletter may also be
40.         freely copied and distributed, with the exception of individual
41.                              copyrighted items.
42.  
43.            Legal Net News can be found at the following locations:
44.  
45.                          Publicly Accessible BBS's
46.                          -------------------------
47.  
48.          The SENTRY Net BBS             Arlington Software Exchange
49.          Centreville, Virginia  USA     Arlington, Virginia  USA
50.          +1-703-815-3244                +1-703-532-7143
51.          To 9,600 bps                   To 9,600 bps
52.  
53.                               The Internet
54.                               ------------
55.  
56.       tstc.edu   (161.109.128.2)  Directory: /pub/legal-net-news
57.  
58.   Login as ANONYMOUS and use your net ID (for example: fergp@sytex.com)
59.                   as the password. Or send e-mail to
60.                          postmaster@tstc.edu
61.  
62.        E-mail submissions, comments and editorials to: fergp@sytex.com
63.  
64. - --
65.  
66. In this issue -
67.  
68. o Markey Clipper Hearing and CPSR Testimony
69. o Hacker testimony to House subcommittee largely unheard
70. o PKP and NIST come to terms on DSA licensing
71.  
72. - --
73.  
74. Date: Thu, 10 Jun 1993 08:17:34 -0500
75. From: Dave Banisar <uunet!washofc.cpsr.org!banisar>
76. Subject: Markey Clipper Hearing 6/9 and CPSR Testimony
77.  
78.     On June 9, 1993, Congressman Edward Markey, Chairman of the House  
79. Subcommittee on Telecommunications and Finance held an oversight hearing on 
80. "encryption and telecommunications network security."  Panelists were 
81. Whitfield Diffie of Sun Microsystems, Dr. Dorothy Denning,  Steven Bryen of 
82. Secure Communications, Marc Rotenberg of the CPSR Washington Office and E.R. 
83. Kerkeslager of AT&T.
84.     Congressman Markey, after hearing the testimony presented, noted that 
85. the Clipper proposal had raised an "arched eyebrow among the whole committee" 
86. and that the committee viewed the proposal skeptically. This statement was 
87. the latest indication that the Clipper proposal has not been well recieved by 
88. policy makers.  Last Friday, the Computer Systems Security and Privacy 
89. Advisory Board of NIST issued two resolutions critical of the encryption 
90. plan, suggesting that further study was required and that implementation of 
91. the plan should be delayed until the review is completed.
92.     At the Third CPSR Cryptography and Privacy Conference on Monday, June 
93. 7, the Acting Director of NIST, Raymond Kammer, announced that the 
94. implementation of the proposal will be delayed and that a more comprehensive 
95. review will be undertaken. The review is due in the fall. Kammer told the 
96. Washington Post that "maybe we won't continue in the direction we started 
97. out."
98.     
99. ----------------------------------------------------------------
100.  
101.                               Prepared Testimony
102.                                      and
103.                              Statement for the Record
104.                                       of 
105.                            Marc Rotenberg, director
106.                             CPSR Washington Office
107.                                       on 
108.                        Encryption Technology and Policy
109.                                     Before
110.                  The Subcommittee on Telecommunications and Finance.
111.                         Committee on Energy and Commerce
112.  
113.                           U.S. House of Representatives
114.                                     June 9, 1993
115.  
116. SUMMARY
117.  
118.     The cryptography issue is of particular concern to CPSR.  During the 
119. past several years CPSR has pursued an extensive study of cryptography policy 
120. in the United States.  CPSR has organized public conferences, conducted 
121. litigation under the Freedom of Information Act, and has emphasized the 
122. importance of cryptography for privacy protection and the need to scrutinize 
123. carefully government proposals designed to limit the use of this technology.
124.     To evaluate the Clipper proposal it is necessary to look at a 1987 
125. law, the Computer Security Act, which made clear that in the area of 
126. unclassified computing systems, the National Institute of Standards and 
127. Technology (NIST) and not the National Security Agency (NSA), would be 
128. responsible for the development of technical standards.  The Act emphasized 
129. public accountability and stressed open decision-making. 
130.     In the spirit of the Act, in 1989 NIST set out to develop a public 
131. key cryptography standard.  According to documents obtained by CPSR through 
132. the Freedom of Information Act, NIST recommended that the algorithm be 
133. "public, unclassified, implementable in both hardware or software, usable by 
134. federal Agencies and U.S. based multi-national corporation." However, the 
135. Clipper proposal and the full-blown Capstone configuration that resulted is 
136. very different: the Clipper algorithm, Skipjack, is classified; public access 
137. to the reasons underlying the proposal is restricted; Skipjack can be 
138. implemented only in tamper-proof hardware; it is unlikely to be used by multi-
139. national corporations, and the security of Clipper remains unproven.
140.     The Clipper proposal undermines the central purpose of the Computer 
141. Security Act.  Although intended for broad use in commercial networks, it was 
142. not developed at the request of either U.S. business or the general public.  
143. It does not reflect public goals.
144.     The premise of the Clipper key escrow arrangement is that the 
145. government must have the ability to intercept electronic communications.  
146. However, there is no legal basis to support this premise. In law there is 
147. nothing inherently illegal or suspect about the use of a telephone.  The 
148. federal wiretap statute says only that communication service providers must 
149. assist law enforcement execute a lawful warrant.
150.     CPSR supports the review of cryptography policy currently underway at 
151. the Department of Commerce.  CPSR also supports the efforts undertaken by the 
152. Subcommittee on Telecommunications and Finance to study the full 
153. ramifications of the Clipper proposal.  However, we are not pleased about the 
154. review now being undertaken at the White House.  That effort has led to a 
155. series of secret meetings, has asked that scientists sign non-disclosure 
156. agreements and accept restrictions on publication, and has attempted to 
157. resolve public concerns through private channels.  This is not a good process 
158. for the evaluation of a technology that is proposed for the public switched 
159. network.
160.     Even if the issues regarding Clipper are resolved favorably, privacy 
161. concerns will not go away. Rules still need to be developed about the 
162. collection and use of transactional data generated by computer 
163. communications.  Several specific steps should be taken.  First, the FCC 
164. should be given a broad mandate to pursue privacy concerns.  Second, current 
165. gaps in the communications law should be filled.  The protection of 
166. transactional records is particularly important.  Third, telecommunications 
167. companies should be encouraged to explore innovative ways to protect privacy.  
168. "Telephone cards", widely available in other countries, are an ideal way to 
169. protect privacy.
170.  
171. ----------------------------------
172.  
173. TESTIMONY
174.  
175.     Mr. Chairman, members of the Subcommittee, thank you for the 
176. opportunity to testify today on encryption policy and the Clipper proposal.  
177. I especially wish to thank you Congressman Markey, on behalf of CPSR, for 
178. your ongoing efforts on the privacy front as well as your work to promote 
179. public access to electronic information.
180.     The cryptography issue is of particular concern to CPSR.  During the 
181. past several years we have pursued an extensive study of cryptography policy 
182. in the United States.  We have organized several public conferences, 
183. conducted litigation under the Freedom of Information Act, and appeared on a 
184. number of panels to discuss the importance of cryptography for privacy 
185. protection and the need to scrutinize carefully government proposals designed 
186. to limit the use of this technology.  
187.     While we do not represent any particular computer company or trade 
188. association we do speak for a great many people in the computer profession 
189. who value privacy and are concerned about the government's Clipper initiative.
190.     Today I will briefly summarize our assessment of the Clipper 
191. proposal.  Then I would like to say a few words about the current status of 
192. privacy protection.
193.  
194. CLIPPER
195.     To put the Clipper proposal in a policy context, I will need to 
196. briefly to describe a law passed in 1987 intended to address the roles of the 
197. Department of Commerce and the Department of Defense in the development of 
198. technical standards.  The Computer Security Act of 1987 was enacted to 
199. improve computer security in the federal government, to clarify the 
200. responsibilities of the National Institute of Standards and Technology (NIST) 
201. and the National Security Agency, and to ensure that technical standards 
202. would serve civilian and commercial needs.  
203.     The law made clear that in the area of unclassified computing 
204. systems, NIST and not NSA, would be responsible for the development of 
205. technical standards.  It emphasized public accountability and stressed open 
206. decision-making.  The Computer Security Act also established the Computer 
207. System Security and Privacy Advisory Board (CSSPAB), charged with reviewing 
208. the activities of NIST and ensuring that the mandate of the law was enforced.  
209.  
210.     The Computer Security Act grew out of a concern that classified 
211. standards and secret meetings would not serve the interests of the general 
212. public.  As the practical applications for cryptography have moved from the 
213. military and intelligence arenas to the commercial sphere, this point has 
214. become clear.  There is also clearly a conflict of interest when an agency 
215. tasked with signal interception is also given authority to develop standards 
216. for network security.  
217.     In the spirit of the Computer Security Act, NIST set out in 1989 to 
218. develop a public key standard FIPS (Federal Information Processing Standard).  
219. In a memo dated May 5, 1989, obtained by CPSR through the Freedom of 
220. Information Act, NIST said that it planned:
221.  
222. to develop the necessary public-key based security standards.  We require a 
223. public-key algorithm for calculating digital signatures and we also require a 
224. public-key algorithm for distributing secret keys.  
225.  
226. NIST then went on to define the requirements of the standard:
227.  
228. The algorithms that we use must be public, unclassified, implementable in 
229. both hardware or software, usable by federal Agencies and U.S. based multi-
230. national corporation, and must provide a level of security sufficient for the 
231. protection of unclassified, sensitive information and commercial propriety 
232. and/or valuable information.
233.  
234.     The Clipper proposal and the full-blown Capstone configuration, which 
235. incorporates the key management function NIST set out to develop in 1989, is 
236. very different from the one originally conceived by NIST. 
237.  
238. %    The Clipper algorithm, Skipjack, is classified,
239. %    Public access to the reasons underlying the proposal is restricted, 
240. %    Skipjack can be implemented only in tamper-proof hardware, 
241. %    It is unlikely to be used by multi-national corporations, and
242. %    The security of Clipper remains unproven.
243.  
244.     The Clipper proposal undermines the central purpose of the Computer 
245. Security Act.  Although intended for broad use in commercial networks, it was 
246. not developed at the request of either U.S. business or the general public.  
247. It does not reflect public goals.  Rather it reflects the interests of one 
248. secret agency with the authority to conduct foreign signal intelligence and 
249. another government agency  responsible for law enforcement investigations. 
250.     Documents obtained by CPSR through the Freedom of Information Act 
251. indicate that the National Security Agency dominated the meetings of the 
252. joint NIST/NSA Technical Working group which made recommendations to NIST 
253. regarding public key cryptography, and that a related technical standard for 
254. message authentication, the Digital Signature Standard, clearly reflected the 
255. interests of the NSA.
256.     We are still trying to determine the precise role of the NSA in the 
257. development of the Clipper proposal.  We would be pleased to provide to the 
258. Subcommittee whatever materials we obtain.
259.  
260. LEGAL AND POLICY ISSUES
261.     There are also several legal and constitutional issues raised by the 
262. government's key escrow proposal.  The premise of the Clipper key escrow 
263. arrangement is that the government must have the ability to intercept 
264. electronic communications, regardless of the economic or societal costs.  The 
265. FBI's Digital Telephony proposal, and the earlier Senate bill 266, were based 
266. on the same assumption.
267.     There are a number of arguments made in defense of this position: 
268. that privacy rights and law enforcement needs must be balanced, or that the 
269. government will be unable to conduct criminal investigations without this 
270. capability. 
271.     Regardless of how one views these various claims, there is one point 
272. about the law that should be made very clear: currently there is no legal 
273. basis -- in statute, the Constitution or anywhere else --  that supports the 
274. premise which underlies the Clipper proposal.  As the law currently stands, 
275. surveillance is not a design goal.  General Motors would have a stronger 
276. legal basis for building cars that could go no faster than 65 miles per hour 
277. than AT&T does in marketing a commercial telephone that has a built-in 
278. wiretap capability.  In law there is simply nothing about the use of a 
279. telephone that is inherently illegal or suspect.
280.     The federal wiretap statute says only that communication service 
281. providers must assist law enforcement in the execution of a lawful warrant.  
282. It does not say that anyone is obligated to design systems to facilitate 
283. future wire surveillance.  That distinction is the difference between 
284. countries that restrict wire surveillance to narrow circumstances defined in 
285. law and those that treat all users of the telephone network as potential 
286. criminals.  U.S. law takes the first approach.  Countries such as the former 
287. East Germany took the second approach.  The use of the phone system by 
288. citizens was considered inherently suspect and for that reason more than 
289. 10,000 people were employed by the East German government to listen in on 
290. telephone calls.
291.     It is precisely because the wiretap statute does not contain the 
292. obligation to incorporate surveillance capability -- the design premise of 
293. the Clipper proposal -- that the Federal Bureau of Investigation introduced 
294. the Digital Telephony legislation.  But that legislation has not moved 
295. forward and the law has remained unchanged.  The Clipper proposal attempts to 
296. accomplish through the standard-setting and procurement process what the 
297. Congress has been unwilling to do through the legislative process.
298.     On legal grounds, adopting the Clipper would be a mistake.  There is 
299. an important policy goal underlying the wiretap law.  The Fourth Amendment 
300. and the federal wiretap statute do not so much balance competing interests as 
301. they erect barriers against government excess and define the proper scope of 
302. criminal investigation.  The purpose of the federal wiretap law is to 
303. restrict the government, it is not to coerce the public.
304.     Therefore, if the government endorses the Clipper proposal, it will 
305. undermine the basic philosophy of the federal wiretap law and the fundamental 
306. values embodied in the Constitution.  It will establish a technical mechanism 
307. for signal interception based on a premise that has no legal foundation.  The 
308. assumption underlying the Clipper proposal is more compatible with the 
309. practice of telephone surveillance in the former East Germany than it is with 
310. the narrowly limited circumstances that wire surveillance has been allowed in 
311. the United States.  
312.  
313. UNANSWERED QUESTIONS
314.     There are a number of other legal issues that have not been 
315. adequately considered by the proponents of the key escrow arrangement that 
316. the Subcommittee should examine.  First, not all lawful wiretaps follow a 
317. normal warrant process.  The proponents of Clipper should make clear how 
318. emergency wiretaps will be conducted before the proposal goes forward.  
319. Second, there may be civil liability issues for the escrow agents, if they 
320. are private parties, if there is abuse or compromise of the keys.  Third, 
321. there is a Fifth Amendment dimension to the proposed escrow key arrangement 
322. if a network user is compelled to disclose his or her key to the government 
323. in order to access a communications network. Each one of these issues should 
324. be examined carefully. 
325.  
326.  
327. CPSR CONFERENCE
328.     At a conference organized by CPSR this week at the Carnegie Endowment 
329. for International Peace we heard presentations from staff members at NIST, 
330. FBI, NSA and the White House about the Clipper proposal.  The participants at 
331. the meeting had the opportunity to ask questions and to exchange views.
332.     Certain points now seem clear:
333.  
334. %    The Clipper proposal was not developed in response to any perceived 
335. public or business need.  It was developed solely to address a law 
336. enforcement concern.
337. %    Wire surveillance remains a small part of law enforcement 
338. investigations.  The number of arrests resulting from wiretaps has remained 
339. essentially unchanged since the federal wiretap law was enacted in 1968.
340. %    The potential risks of the Clipper proposal have not been assessed 
341. and many questions about the implementation remain unanswered.
342. %    Clipper does not appear to have the support of the business or 
343. research community.
344.  
345.     Many comments on the Clipper proposal, both positive and negative as 
346. well the materials obtained by CPSR through the Freedom of Information Act, 
347. are contained in the Source book compiled by CPSR for the recent conference.  
348. I am please to make a copy of this available to the Subcommittee.
349.  
350.  
351. NETWORK PRIVACY PROTECTION
352.     Communications privacy remains a critical test for network 
353. development.  Networks that do not provide a high degree of privacy are 
354. clearly less useful to network users.  Given the choice between a 
355. cryptography product without a key escrow and one with a key escrow, it would 
356. be difficult to find a user who would prefer the key escrow requirement.  If 
357. this proposal does go forward, it will not be because network users or 
358. commercial service providers favored it.
359.     Even if the issues regarding the Clipper are resolved favorably, 
360. privacy concerns will not go away.  Cryptography is a part of communications 
361. privacy, but it is only a small part.  Rules still need to be developed about 
362. the collection and use of transactional data generated by computer 
363. communications.  While the federal wiretap law generally does a very good job 
364. of protecting the content of communications against interception by 
365. government agencies, large holes still remain.  The extensive use of 
366. subpoenas by the government to obtain toll records and the sale of telephone 
367. records by private companies are just two examples of gaps in current law.
368.     The enforcement of privacy laws is also a particularly serious 
369. concern in the United States.  Good laws without clear mechanisms for 
370. enforcement raise over-arching questions about the adequacy of legal 
371. protections in this country.  This problem is known to those who have 
372. followed developments with the Privacy Act since passage in 1974 and the more 
373. recent Video Privacy and Protection Act of 1988.  I make this point because 
374. it has been the experience in other countries that agencies charged with the 
375. responsibility for privacy protection can be effective advocates for the 
376. public in the protection of personal privacy.
377.  
378. RECOMMENDATIONS
379.     Regarding the Clipper proposal, we believe that the national review 
380. currently underway by the Computer Security and Privacy Advisory Board at the 
381. Department of Commerce will be extremely useful and we look forward to the 
382. results of that effort.  The Panel has already conducted a series of 
383. important open hearings and compiled useful materials on Clipper and 
384. cryptography policy for public review.
385.     We are also pleased that the Subcommittee on Telecommunications and 
386. Finance has undertaken this hearing.  This Subcommittee can play a 
387. particularly important role in the resolution of these issues.  We also 
388. appreciate the Chairman's efforts to ensure that the proper studies are 
389. undertaken, that the General Accounting Office fully explores these issues, 
390. and that the Secretary of Commerce carefully assesses the potential impact of 
391. the Clipper proposal on export policy.
392.     We are, however, less pleased about the White House study currently 
393. underway.  That effort, organized in large part by the National Security 
394. Council, has led to a series of secret meetings, has asked that scientists 
395. sign non-disclosure agreements and accept restrictions on publication, and 
396. has attempted to resolve public concerns through private channels.  This is 
397. not a good process for the evaluation of a technology that is proposed for 
398. the public switched network.  While we acknowledge that the White House has 
399. been reasonably forthcoming in explaining the current state of affairs, we do 
400. not think that this process is a good one.  
401.     For these reasons, we believe that the White House should properly 
402. defer to the recommendations of the Computer System Security and Privacy 
403. Advisory Board and the Subcommittee on Telecommunications and Finance.  We 
404. hope that no further steps in support of the Clipper initiative will be 
405. taken.  We specifically recommend that no further purchase of Clipper chips 
406. be approved. 
407.     Speaking more generally, we believe that a number of steps could be 
408. taken to ensure that future communications initiatives could properly be 
409. viewed as a boost to privacy and not a set-back.   
410.  
411. %    The FCC must be given a strong mandate to pursue privacy concerns.  
412. There should be an office specifically established to examine privacy issues 
413. and to prepare reports.  Similar efforts in other countries have been 
414. enormously successful.  The Japanese Ministry of Post and Telecommunications 
415. developed a set of privacy principles to ensure continued trade with Europe.  
416. The Canada Ministry of Communications developed a set of communications 
417. principles to address public concerns about the privacy of cellular 
418. communications.  In Europe, the EC put forward an important directive on 
419. privacy protection for the development of new network services.
420.  
421. %    Current gaps in the communications law should be filled.  The 
422. protection of transactional records is particularly important.  Legislation 
423. is needed to limit law enforcement access to toll record information and to 
424. restrict the sale of data generated by the use of telecommunication services.  
425. As the network becomes digital, the transaction records associated with a 
426. particular communication may become more valuable than the content of the 
427. communication itself.
428.  
429. %    Telecommunications companies should be encouraged to explore 
430. innovative ways to protect privacy.  Cryptography is a particular method to 
431. seal electronic communications, but far more important for routine 
432. communications could be anonymous telephone cards, similar to the metro cards 
433. here in the District of Columbia, that allow consumers to purchase services 
434. without establishing accounts, transferring personal data, or recording 
435. personal activities.  Such cards are widely available in Europe, Japan, and 
436. Australia.
437.  
438.     I thank you very much for the opportunity to appear before the 
439. Subcommittee and would be pleased to answer your questions
440. Computer Professionals for Social Responsibility
441.  
442.     CPSR is a national membership organization, established in 1982, to 
443. address the social impact of computer technology.  There are 2,500 members in 
444. 20 chapters across the United States, and offices in Palo Alto, California, 
445. Cambridge, Massachusetts, and Washington DC. The organization is governed by 
446. a board of elected officers and meetings are open to the public.  CPSR 
447. sponsors an annual meeting and the biennial conference on Directions and 
448. Implications of Advanced Computing.  CPSR sponsored the first conference on 
449. Computers, Freedom, and Privacy in 1991.  CPSR also operates the Internet 
450. Library at cpsr.org.  The library contains documents from the White House on 
451. technology policy and a wide range of public laws covering privacy, access to 
452. information, and communications law and is available free of charge to all 
453. users of the Internet.
454.  
455.     Marc Rotenberg is the director of the CPSR Washington office and an 
456. adjunct professor at Georgetown University Law Center.  He is chairman of the 
457. ACM Committee on Scientific Freedom and Human Rights, an editor for the 
458. Computer Law and Security Report (London), and the secretary of Privacy 
459. International, an organization of human rights advocates and privacy scholars 
460. in forty countries.  He received an A.B. from Harvard College and a J.D. from 
461. Stanford Law School, and is a member of the bar of the United States Supreme 
462. Court.  His forthcoming article "Communications Privacy: Implications for 
463. Network Design" will appear in the August 1993 issue of Communications of the 
464. ACM.
465.  
466. - --
467.  
468. [extracted from Computer underground Digest,
469.  Wed June 13 1993   Volume 5 : Issue 43]
470.  
471.  
472. Date:   Thu, 10 Jun 1993 16:53:48 -0700
473. From: Emmanuel Goldstein <emmanuel@WELL.SF.CA.US>
474. Subject: File 1--Hacker testimony to House subcommittee largely unheard
475.  
476. What follows is a copy of my written testimony before the House
477. Subcommittee on Telecommunications and Finance. The June 9th hearing
478. was supposed to have been on the topic of network security, toll
479. fraud, and the social implications of the rapidly emerging
480. technologies. I was asked to speak for those who had no voice, which
481. translates to hackers and consumers. Instead I found myself barraged
482. with accusations from the two representatives in attendance (Rep. Ed
483. Markey D-MA and Rep. Jack Fields R-TX) who considered 2600 Magazine
484. (of which I'm the editor) nothing more than a manual for computer
485. crime. One article in particular that Markey latched upon was one in
486. our Spring issue that explained how a cable descrambler worked.
487. According to Markey, there was no use for this information outside of
488. a criminal context. Fields claimed we were printing cellular "codes"
489. that allowed people to listen in on cellular calls. In actuality, we
490. printed frequencies. The difference didn't seem to matter - after
491. explaining it to him, he still said he was very disturbed by the fact
492. that I was allowed to keep publishing. It soon became apparent to me
493. that neither one had read my testimony as there seemed to be no
494. inclination to discuss any of the issues I had brought up. In a way,
495. it was very much like being on the Geraldo show. Somehow I thought
496. elected representatives would be less sensationalist and more
497. interested in learning but this was not the case here. We got
498. absolutely nowhere. Markey in particular was rude, patronizing, and
499. not at all interested in entertaining any thought outside his narrow
500. perception. It's too bad this opportunity was lost. There is a real
501. danger in elected officials who don't listen to all relevant opinions
502. and who persist in sticking to old-fashioned, outdated notions that
503. just don't apply to high technology. You can look forward to more
504. restrictive regulations and higher penalties for violating them if
505. this mentality continues to dominate.
506.  
507. +++++++++++++++++++
508. WRITTEN TESTIMONY FOLLOWS:
509.  
510.      Mr. Chairman, members of the Committee, thank you for the
511. opportunity to speak on the issue of the rapid growth and changes in
512. the telecommunications industry.
513.  
514.      My name is Emmanuel Goldstein and I am the publisher of 2600
515. Magazine, which is a journal for computer hackers as well as anyone
516. else who happens to be interested in the direction that technology is
517. taking us. We tend to be brutally honest in our assessments and, as a
518. result, we do get some corporations quite angry at us. But we've also
519. managed to educate a large number of people as to how their telephone
520. system works, what kinds of computers may be watching them, and how
521. they can shape technology to meet their needs, rather than be forced
522. to tailor their existence to meet technology's needs.
523.  
524.      I am also the host of a weekly radio program called Off The Hook
525. which airs over WBAI in New York. Through that forum we have
526. discovered the eagerness and curiosity that many "ordinary people on
527. the street" possess for technology. At the same time we have seen
528. fears and suspicions expressed that would be unwise to ignore.
529.  
530. HOW TO HANDLE RAPIDLY CHANGING TECHNOLOGY
531.  
532.      The next few years will almost certainly go down in history as
533. those in which the most change took place in the least amount of time.
534. The computer and telecommunications revolution that we are now in the
535. midst of is moving full speed ahead into unknown territory. The
536. potential for amazing advances in individual thought and creativity is
537. very real. But so is the potential for oppression and mistrust the
538. likes of which we have never before seen. One way or the other, we
539. will be making history.
540.  
541.      I think we can imagine it best if we think of ourselves speeding
542. down a potentially dangerous highway. Perhaps the road will become
543. slick with ice or fraught with sharp curves. It's a road that nobody
544. has gone down before. And the question we have to ask ourselves is
545. what kind of a vehicle would we prefer to be in if things should start
546. getting out of control: our own automobile where we would have at
547. least some chance of controlling the vehicle and bringing it down to a
548. safe speed or a bus where we, along with many others, must put all of
549. our trust behind a total stranger to prevent a disaster. The answer is
550. obviously different depending on the circumstances. There are those of
551. us who do not want the responsibility of driving and others who have
552. proven themselves unworthy of it. What's important is that we all have
553. the opportunity at some point to choose which way we want to go.
554.  
555.      Rapidly changing technology can also be very dangerous if we
556. don't look where we're going or if too many of us close our eyes and
557. let someone else do the driving. This is a ride we all must stay awake
558. for.
559.  
560.      I am not saying we should be overly suspicious of every form of
561. technology. I believe we are on the verge of something very positive.
562. But the members of this committee should be aware of the dangers of an
563. uninformed populace. These dangers will manifest themselves in the
564. form of suspicion towards authority, overall fear of technology, and
565. an unhealthy feeling of helplessness.
566.  
567. HOW NEW TECHNOLOGY CAN HURT US
568.  
569.      The recent FBI proposal to have wiretap capabilities built into
570. digital telephone systems got most of its publicity because American
571. taxpayers were expected to foot the bill. But to many of the
572. non-technical people I talked to, it was just another example of Big
573. Brother edging one step closer. It is commonly believed that the
574. National Security Agency monitors all traffic on the Internet, not to
575. mention all international telephone calls.  Between Caller ID, TRW
576. credit reports, video cameras, room monitors, and computer
577. categorizations of our personalities, the average American feels as if
578. life no longer has many private moments. Our Social Security numbers,
579. which once were for Social Security, are now used for everything from
580. video rentals to driver's licenses. These numbers can easily be used
581. to track a person's location, expenses, and habits - all without any
582. consent. If you know a person's name, you can get their telephone
583. number. If you have their phone number, you can get their address.
584. Getting their Social Security number is not even a challenge anymore.
585. With this information, you can not only get every bit of information
586. about this person that exists on any computer from Blockbuster Video
587. to the local library to the phone company to the FBI, but you can
588. begin to do things in this poor person's name. It's possible we may
589. want a society like this, where we will be accountable for our every
590. movement and where only criminals will pursue privacy. The American
591. public needs to be asked. But first, they need to understand.
592.  
593.      In Germany, there is a fairly new computerized system of identity
594. cards. Every citizen must carry one of these cards. The information
595. includes their name, address, date of birth, and nationality - in
596. other words, the country they were originally born in. Such a system
597. of national identity can be quite useful, but in the wrong hands it
598. can be extremely scary. For example, if a neo-Nazi group were to
599. somehow get their hands on the database, they could instantly find out
600. where everyone of Turkish nationality lived. A malevolent government
601. could do the same and, since not carrying the card would be a crime,
602. it would be very hard to avoid its wrath.
603.  
604.      Before introducing a new technology that is all-encompassing, all
605. of its potential side-effects and disadvantages should be discussed
606. and addressed. Opportunities must exist for everyone to ask questions.
607. In our own country, nobody was ever asked if they wanted a credit file
608. opened on them, if they wanted to have their phone numbers given to
609. the people and companies they called through the use of Caller ID and
610. ANI, or if they wanted to be categorized in any manner on numerous
611. lists and databases. Yet all of this has now become standard practice.
612.  
613.      This implementation of new rules has resulted in a degree of
614. cynicism in many of us, as well as a sense of foreboding and dread. We
615. all know that these new inventions will be abused and used to
616. somebody's advantage at some point. There are those who would have us
617. believe that the only people capable of such misdeeds are computer
618. hackers and their ilk. But it just isn't that simple.
619.  
620. UNDERSTANDING COMPUTER HACKERS
621.  
622.      To understand computer hackers, it helps to think of an alien
623. culture. We have such cultures constantly around us - those with
624. teenage children ought to know what this means. There are alien
625. cultures of unlimited varieties throughout the globe, sometimes in the
626. most unexpected places. I'm convinced that this is a good thing.
627. Unfortunately, all too often our default setting on whatever it is we
628. don't understand is "bad". Suspicion and hostility follow and are soon
629. met with similar feelings from the other side. This has been going on
630. between and within our cultures for as long as we've existed. While we
631. can't stop it entirely, we can learn to recognize the danger signs.
632. The best way that I've found to deal with an alien culture, whether
633. it's in a foreign country or right here at home, is to try and
634. appreciate it while giving it a little leeway. There is not a single
635. alien culture I've encountered that has not been decidedly friendly.
636. That includes deadheads, skateboarders, Rastafarians, and hackers.
637.  
638.      When we talk about computer hackers, different images spring to
639. mind. Most of these images have come about because of perceptions
640. voiced by the media. Too often, as I'm sure the members of this
641. committee already suspect, the media just doesn't get it. This is not
642. necessarily due to malice on their part but rather a general lack of
643. understanding and an overwhelming pressure to produce a good story.
644. Hence we get an abundance of sensationalism and, when the dust clears,
645. hackers are being compared with bank robbers, mobsters, terrorists,
646. and the like.  It's gotten to the point that the word hacker is almost
647. analogous to the word criminal.
648.  
649.      Fortunately, the media is learning. Reporters now approach
650. hackers with a degree of technological savvy. For the most part, they
651. have stopped asking us to commit crimes so they can write a story
652. about it. As the technology envelops us, journalists are developing
653. the same appreciation and curiosity for it that hackers have always
654. had. Any good reporter is at least part hacker because what a hacker
655. does primarily is relentlessly pursue an answer. Computers naturally
656. lend themselves to this sort of pursuit, since they tend to be very
657. patient when asked a lot of questions.
658.  
659. WHAT CONSTITUTES A HI-TECH CRIME?
660.  
661.      So where is the boundary between the hacker world and the
662. criminal world? To me, it has always been in the same place. We know
663. that it's wrong to steal tangible objects. We know that it's wrong to
664. vandalize. We know that it's wrong to invade somebody's privacy. Not
665. one of these elements is part of the hacker world.
666.  
667.      A hacker can certainly turn into a criminal and take advantage of
668. the weaknesses in our telephone and computer systems. But this is
669. rare. What is more likely is that a hacker will share knowledge with
670. people, one of whom will decide to use that knowledge for criminal
671. purposes. This does not make the hacker a criminal for figuring it
672. out. And it certainly doesn't make the criminal into a hacker.
673.  
674.      It is easy to see this when we are talking about crimes that we
675. understand as crimes. But then there are the more nebulous crimes; the
676. ones where we have to ask ourselves: "Is this really a crime?" Copying
677. software is one example. We all know that copying a computer program
678. and then selling it is a crime. It's stealing, plain and simple. But
679. copying a program from a friend to try it out on your home computer --
680. is this the same kind of crime? It seems obvious to me that it is not,
681. the reason being that you must make a leap of logic to turn such an
682. action into a crime. Imagine if we were to charge a licensing fee
683. every time somebody browsed through a magazine at the local bookshop,
684. every time material was borrowed from a library, or every time a phone
685. number was jotted down from the yellow pages. Yet, organizations like
686. the Software Publishers Association have gone on record as saying that
687. it is illegal to use the same computer program on more than one
688. computer in your house. They claim that you must purchase it again or
689. face the threat of federal marshalls kicking in your door. That is a
690. leap of logic.
691.  
692.      It is a leap of logic to assume that because a word processor
693. costs $500, a college student will not try to make a free copy in
694. order to write and become a little more computer literate. Do we
695. punish this student for breaking a rule? Do we charge him with
696. stealing $500? To the hacker culture on whose behalf I am speaking
697. today, the only sensible answer is to make it as easy as possible for
698. that college student to use the software he needs. And while we're at
699. it, we should be happy that he's interested in the first place.
700.  
701.      Of course, this represents a fundamental change in our society's
702. outlook. Technology as a way of life, not just another way to make
703. money. After all, we encourage people to read books even if they can't
704. pay for them because to our society literacy is a very important goal.
705. I believe technological literacy is becoming increasingly important.
706. But you cannot have literacy of any kind without having access.
707.  
708.      If we continue to make access to technology difficult,
709. bureaucratic, and illogical, then there will also be more computer
710. crime. The reason being that if you treat someone like a criminal,
711. they will begin to act like one. If we succeed in convincing people
712. that copying a file is the same as physically stealing something, we
713. can hardly be surprised when the broad-based definition results in
714. more overall crime. Blurring the distinction between a virtual
715. infraction and a real-life crime is a mistake.
716.  
717. LEGISLATION FOR COMPUTER AGE CRIME
718.  
719.      New laws are not needed because there is not a single crime that
720. can be committed with a computer that is not already defined as a
721. crime without a computer. But let us not be loose with that
722. definition. Is mere unauthorized access to a computer worthy of
723. federal indictments, lengthy court battles, confiscation of equipment,
724. huge fines, and years of prison time? Or is it closer to a case of
725. trespassing, which in the real world is usually punished by a simple
726. warning? "Of course not," some will say, "since accessing a computer
727. is far more sensitive than walking into an unlocked office building."
728. If that is the case, why is it still so easy to do? If it's possible
729. for somebody to easily gain unauthorized access to a computer that has
730. information about me, I would like to know about it. But somehow I
731. don't think the company or agency running the system would tell me
732. that they have gaping security holes. Hackers, on the other hand, are
733. very open about what they discover which is why large corporations
734. hate them so much. Through legislation, we can turn what the hackers
735. do into a crime and there just might be a slim chance that we can stop
736. them. But that won't fix poorly designed systems whose very existence
737. is a violation of our privacy.
738.  
739. THE DANGERS OF UNINFORMED CONSUMERS
740.  
741.      The concept of privacy is something that is very important to a
742. hacker. This is so because hackers know how fragile privacy is in
743. today's world. Wherever possible we encourage people to protect their
744. directories, encrypt their electronic mail, not use cellular phones,
745. and whatever else it takes to keep their lives to themselves. In 1984
746. hackers were instrumental in showing the world how TRW kept credit
747. files on millions of Americans. Most people had never even heard of a
748. credit file until this happened.  Passwords were very poorly guarded -
749. in fact, credit reports had the password printed on the credit report
750. itself. More recently, hackers found that MCI's Friends and Family
751. program allowed anybody to call an 800 number and find out the numbers
752. of everyone in a customer's "calling circle". As a bonus, you could
753. also find out how these numbers were related to the customer:  friend,
754. brother, daughter-in-law, business partner, etc. Many times these
755. numbers were unlisted yet all that was needed to "verify" the
756. customer's identity was the correct zip code. In both the TRW and MCI
757. cases, hackers were ironically accused of being the ones to invade
758. privacy. What they really did was help to educate the American
759. consumer.
760.  
761.      Nowhere is this more apparent than in the telephone industry.
762. Throughout the country, telephone companies take advantage of
763. consumers. They do this primarily because the consumer does not
764. understand the technology. When we don't understand something
765. complicated, we tend to believe those who do understand. The same is
766. true for auto mechanics, plumbers, doctors, and lawyers. They all
767. speak some strange language that the majority of us will never
768. understand. So we tend to believe them. The difference with the phone
769. companies, and here I am referring to the local companies, is that you
770. cannot deal with somebody else if you happen to disagree with them or
771. find them untrustworthy. The phone companies have us in a situation
772. where we must believe what they say. If we don't believe them, we
773. cannot go elsewhere.
774.  
775.      This is the frustration that the hacker community constantly
776. faces. We face it especially because we are able to understand when
777. the local phone companies take advantage of consumers. Here are a few
778. examples:
779.  
780.      Charging a fee for touch tone service. This is a misnomer.  It
781. actually takes extra effort to tell the computer to ignore the tones
782. that you produce. Everybody already has touch tone capability but we
783. are forced to pay the phone company not to block it. While $1.50 a
784. month may not seem like much, when added together the local companies
785. that still engage in this practice are making millions of dollars a
786. year for absolutely nothing. Why do they get away with it? Because too
787. many of us don't understand how the phone system works. I try to draw
788. an analogy in this particular case - imagine if the phone company
789. decided that a fee would be charged to those customers who wanted to
790. use the number five when dialing. They could argue that the five takes
791. more energy than the four but most of us would see through this flimsy
792. logic. We must seek out other such dubious practices and not blindly
793. accept what we are told.
794.  
795.      Other examples abound: being charged extra not to have your name
796. listed in the telephone directory, a monthly maintenance charge if you
797. select your own telephone number, the fact that calling information to
798. get a number now costs more than calling the number itself.
799.  
800.      More recently, we have become acquainted with a new standard
801. called Signalling System Seven or SS7. Through this system it is
802. possible for telephones to have all kinds of new features: Caller ID,
803. Return Call, Repeat Calling to get through a busy signal, and more.
804. But again, we are having the wool pulled over our eyes. For instance,
805. if you take advantage of Call Return in New York (which will call the
806. last person who dialed your number), you are charged 75 cents on top
807. of the cost of the call itself.  Obviously, there is a cost involved
808. when new technologies are introduced. But there is no additional
809. equipment, manpower, or time consumed when you dial *69 to return a
810. call. It's a permanent part of the system. As a comparison, we could
811. say that it also costs money to install a hold button. Imagine how we
812. would feel if we were charged a fee every time we used it.
813.  
814.      The local companies are not the only offenders but it is
815. particularly bad in their case because, for the vast majority of
816. Americans, there is no competition on this level. The same complaints
817. are being voiced concerning cable television companies.
818.  
819.      Long distance telephone companies are also guilty. AT&T, MCI, and
820. Sprint all encourage the use of calling cards. Yet each imposes a
821. formidable surcharge each and every time they're used.  AT&T, for
822. example, charges 13 cents for the first minute of a nighttime call
823. from Washington DC to New York plus an 80 cent surcharge. Since a
824. calling card can only be used to make telephone calls, why are
825. consumers expected to pay an extra fee as if they were doing something
826. above and beyond the normal capability of the card? Again, there is no
827. extra work necessary to complete a calling card call - at least not on
828. the phone company's part. The consumer, on the other hand, must enter
829. up to 25 additional digits. But billing is accomplished merely by
830. computers sending data to each other. Gone are the days of tickets
831. being written up by hand and verified by human beings.  Everything is
832. accomplished quickly, efficiently, and cheaply by computer. Therefore,
833. these extra charges are outdated.
834.  
835. SOCIAL INJUSTICES OF TECHNOLOGY
836.  
837.      The way in which we have allowed public telephones to be operated
838. is particularly unfair to those who are economically disadvantaged. A
839. one minute call to Washington DC can cost as little as 12 cents from
840. the comfort of your own home. However, if you don't happen to have a
841. phone, or if you don't happen to have a home, that same one minute
842. call will cost you $2.20. That figure is the cheapest rate there is
843. from a Bell operated payphone. With whatever kind of logic was used to
844. set these prices, the results are clear. We have made it harder and
845. more expensive for the poor among us to gain access to the telephone
846. network. Surely this is not something we can be proud of.
847.  
848.      A direct result of this inequity is the prevalence of red boxes.
849. Red boxes are nothing more than tone generators that transmit a quick
850. burst of five tones which convince the central office that a quarter
851. has been deposited. It's very easy and almost totally undetectable.
852. It's also been going on for decades.  Neither the local nor long
853. distance companies have expended much effort towards stopping red
854. boxes, which gives the impression that the payphone profits are still
855. lucrative, even with this abuse. But even more troubling is the
856. message this is sending.  Think of it. For a poor and homeless person
857. to gain access to something that would cost the rest of us 12 cents,
858. they must commit a crime and steal $2.20. This is not equal access.
859.  
860. CORPORATE RULES
861.  
862.      Hackers and phone phreaks, as some of us are called, are very
863. aware of these facts. We learn by asking lots of questions.  We learn
864. by going to libraries and doing research. We learn by diving into
865. phone company trash dumpsters, reading discarded material, and doing
866. more research. But who will listen to people like us who have been
867. frequently characterized as criminals? I am particularly grateful that
868. this committee has chosen to hear us.  What is very important to us is
869. open communications. Freedom of information. An educated public.
870.  
871.      This puts us at direct odds with many organizations, who believe
872. that everything they do is "proprietary" and that the public has no
873. right to know how the public networks work. In July of 1992 we were
874. threatened with legal action by Bellcore (the research arm of the
875. Regional Bell Operating Companies) for revealing security weaknesses
876. inherent in Busy Line Verification (BLV) trunks. The information had
877. been leaked to us and we did not feel compelled to join Bellcore's
878. conspiracy of silence. In April of this year, we were threatened with
879. legal action by AT&T for printing proprietary information of theirs.
880. The information in question was a partial list of the addresses of
881. AT&T offices.  It's very hard for us to imagine how such information
882. could be considered secret. But these actions are not surprising. They
883. only serve to illustrate the wide disparities between the corporate
884. mindset and that of the individual. It is essential that the hundreds
885. of millions of Americans who will be affected by today's
886. all-encompassing inventions not be forced to play by corporate rules.
887.  
888.      In 1990 a magazine similar to 2600 was closed down by the United
889. States government because Bell South said they printed proprietary
890. information. Most people never found out about this because Phrack
891. Magazine was electronic, i.e., only available on computer bulletin
892. boards and networks. This in itself is wrong; a publication must have
893. the same First Amendment rights regardless of whether it is printed
894. electronically or on paper. As more online journals appear, this basic
895. tenet will become increasingly critical to our nation's future as a
896. democracy. Apart from this matter, we must look at what Bell South
897. claimed - that a document discussing the Enhanced 911 system which was
898. worth $79,449 had been "stolen" and printed by Phrack. (Some newspaper
899. accounts even managed to change it into an E911 program which gave the
900. appearance that hackers were actually interfering with the operation
901. of an E911 system and putting lives at risk. In reality there has
902. never been a report of a hacker gaining access to such a system.) It
903. was not until after the publisher of Phrack was forced to go to trial
904. that the real value of the document was revealed. Anyone could get a
905. copy for around $14. The government promptly dropped its case against
906. the publisher who, to this day, is still paying back $100,000 in legal
907. fees. As further evidence of the inquity between individual justice
908. and corporate justice, Bell South was never charged with fraud for its
909. claim that a $14 document was worth nearly $80,000. Their logic, as
910. explained in a memo to then Assistant U.S. Attorney Bill Cook, was
911. that the full salaries of everyone who helped write the document, as
912. well as the full cost of all hardware and software used in the
913. endeavor ($31,000 for a Vaxstation II, $6,000 for a printer), was
914. perfectly acceptable. It is very disturbing that the United States
915. government agreed with this assessment and moved to put a pre-law
916. student behind bars for violating corporate rules.
917.  
918. MISGUIDED AUTHORITY
919.  
920.      I wish I could stand before this committee and say that we have
921. been successful in stopping all such miscarriages of justice. While
922. the Phrack case may have been the most bizarre, there are many more
923. instances of individuals being victimized in similar manners. A
924. teenager in Chicago was jailed for a year for copying a file that was
925. worth millions, according to AT&T, but was utterly worthless and
926. unusable to a kid. A bulletin board operator in California, along with
927. his entire family, was held at gunpoint for hours while authorities
928. seized his equipment in an unsuccessful attempt to find child
929. pornography. Three hackers in Atlanta, after being imprisoned up to a
930. year for dialing into a Bell South computer system that had no
931. password, were forced to pay $233,000 in restitution so the company
932. could install a password system. More recently, a student at the
933. University of Texas at Houston was suspended from school for a year
934. because he accessed a file that merely listed the users of the system
935. (a file which the system allows all users to access). In increasing
936. numbers, young people are being sent to jail, not necessarily for
937. something they did, but rather for something they could have done in a
938. worst-case scenario. Again this indicates fear and misunderstanding of
939. technology and its applications. But this time those feelings emanate
940. from those in authority.
941.  
942.      Locally, an ominous happening occurred at a 2600 monthly meeting
943. last November. (These meetings occur in public areas in cities
944. throughout the nation on the first Friday of every month.) Shortly
945. after it began, the Washington meeting was broken up by Pentagon City
946. Mall security guards. Without any provocation, people were forced to
947. submit to searches and everybody's name was taken down. One of the
948. attendees who was writing down an officer's name had the paper ripped
949. from his hand, another had his film taken from his camera as he tried
950. to document what was going on. Upon questioning by a reporter from
951. Communications Daily, the mall security chief claimed that he was
952. acting under orders from the United States Secret Service. Subsequent
953. Freedom of Information Act requests by Computer Professionals for
954. Social Responsibility have yielded more evidence implicating the
955. Secret Service in this illegal and unwarranted action. Nothing of a
956. criminal nature was ever found in any of the bags that were searched.
957. But a full list of the attendees wound up in the possession of the
958. Secret Service. It seems ironic that while hackers are conducting an
959. open gathering in the middle of a shopping mall in order to share
960. knowledge and welcome new people, agents of the Secret Service are
961. lurking in the shadows trying to figure out ways to stop them.
962.  
963.      How can we move forward and talk about exciting new applications
964. of technology when we're off to such a bad start?  The people that are
965. being arrested, harassed, and intimidated are the people who will be
966. designing and running these new systems. They are the ones who will
967. appreciate their capabilities and understand their weaknesses. Through
968. our short-sightedness and eagerness to listen to the loudest voices,
969. we are alienating the promises of the future. How many here, who grew
970. up in decades past, remember hearing teenagers talk of how the
971. government is after them, watching their every move, listening to
972. their phone calls, doing everything one might expect in a totalitarian
973. regime. Such feelings are the sure sign of an ailing society. It does
974. not matter if these things are not actually occurring - their mere
975. perception is enough to cause lasting harm and mistrust.
976.  
977. PROMISE OF THE INTERNET
978.  
979.      The future holds such enormous potential. It is vital that we not
980. succumb to our fears and allow our democratic ideals and privacy
981. values to be shattered. In many ways, the world of cyberspace is more
982. real than the real world itself. I say this because it is only within
983. the virtual world that people are really free to be themselves - to
984. speak without fear of reprisal, to be anonymous if they so choose, to
985. participate in a dialogue where one is judged by the merits of their
986. words, not the color of their skin or the timbre of their voice.
987. Contrast this to our existing "real" world where we often have people
988. sized up before they even utter a word. The Internet has evolved, on
989. its own volition, to become a true bastion of worldwide democracy. It
990. is the obligation of this committee, and of governments throughout the
991. world, not to stand in its way.
992.  
993.      This does not mean we should stand back and do nothing.  Quite
994. the contrary, there is much we have to do if accessibility and
995. equality are our goals. Over-regulation and commercialization are two
996. ways to quickly kill these goals. A way to realize them is to have a
997. network access point in every house. Currently, network access is
998. restricted to students or professors at participating schools,
999. scientists, commercial establishments, and those who have access to,
1000. and can afford, local services that link into the Internet. Yes, a lot
1001. of people have access today.  But a far greater number do not and it
1002. is to these people that we must speak. The bigger the Internet gets,
1003. the better it gets. As it exists today, cultures from around the globe
1004. are represented; information of all kinds is exchanged. People are
1005. writing, reading, thinking. It's potentially the greatest educational
1006. tool we have. Therefore, it is essential that we not allow it to
1007. become a commodity that only certain people in society will be able to
1008. afford. With today's technology, we face the danger of widening the
1009. gap between the haves and the have-nots to a monumental level. Or we
1010. can open the door and discover that people really do have a lot to
1011. learn from each other, given the opportunity.
1012.  
1013.      It is my hope that this committee will recognize the importance
1014. of dialogue with the American public, in order to answer the questions
1015. so many are asking and to address the concerns that have been
1016. overlooked. I thank you for this opportunity to express those issues
1017. that I feel relevant to this hearing.
1018.  
1019.  
1020. - --
1021.  
1022. From: jim@rand.org (Jim Gillogly)
1023. Newsgroups: sci.crypt
1024. Subject: DSA: NIST and PKP come to terms
1025. Message-ID: <16860@rand.org>
1026. Date: 11 Jun 93 20:56:44 GMT
1027. Sender: news@rand.org
1028. Organization: Banzai Institute
1029.  
1030. This text was transcribed from a fax and may have transcription
1031. errors.  We believe the text to be correct but some of the numbers
1032. may be incorrect or incomplete.
1033.  
1034. ---------------------------------------------------
1035.  
1036.  ** The following notice was published in the Federal Register, Vol.
1037.            58, No. 108, dated June 8, 1993 under Notices **
1038.  
1039. National Institute of Standards and Technology
1040.  
1041. Notice of Proposal for Grant of Exclusive Patent License
1042.  
1043. This is to notify the public that the National Institute of
1044. Standards and Technology (NIST) intends to grant an exclusive
1045. world-wide license to Public Key Partners of Sunnyvale, California
1046. to practice the Invention embodied in U.S. Patent Application No.
1047. 07/738.431 and entitled "Digital Signature Algorithm."  A PCT
1048. application has been filed.  The rights in the invention have been
1049. assigned to the United States of America. 
1050.  
1051. The prospective license is a cross-license which would resolve a
1052. patent dispute with Public Key Partners and includes the right to
1053. sublicense.  Notice of availability of this invention for licensing
1054. was waived because it was determined that expeditious granting of
1055. such license will best serve the interest of the Federal Government
1056. and the public.  Public Key Partners has provided NIST with the
1057. materials contained in Appendix A as part of their proposal to
1058. NIST.
1059.  
1060. Inquiries, comments, and other materials relating to the prospec-
1061. tive license shall be submitted to Michael R. Rubin, Active Chief
1062. Counsel for Technology, Room A-1111, Administration Building,
1063. National Institute of Standards and Technology, Gaithersburg,
1064. Maryland 20899.  His telephone number is (301) 975-2803.  Applica-
1065. tions for a license filed in response to this notice will be
1066. treated as objections to the grant of the prospective license.  
1067. Only written comments and/or applications for a license which are
1068. received by NIST within sixty (60) days for the publication of this
1069. notice will be considered.
1070.  
1071. The prospective license will be granted unless, within sixty (60)
1072. days of this notice, NIST receives written evidence and argument
1073. which established that the grant of the license would not be
1074. consistent with the requirements of 35 U.S.C. 209 and 37 CFR 404.7.
1075.  
1076.   Dated:  June 2, 1993.
1077.  
1078. Raymond G. Kammer
1079. Acting Director, National Institute Standards and Technology.
1080.  
1081. Appendix "A"
1082.  
1083. The National Institute for Standards and Technology ("NIST") has
1084. announced its intention to grant Public Key Partners ("PKP")
1085. sublicensing rights to NIST's pending patent application on the
1086. Digital Signature Algorithm ("DSA").
1087.  
1088. Subject to NIST's grant of this license, PKP is pleased to declare
1089. its support for the proposed Federal Information Processing
1090. Standard for Digital Signatures (the "DSS") and the pending
1091. availability of licenses to practice the DSA.  In addition to the
1092. DSA, licenses to practice digital signatures will be offered by PKP
1093. under the following patents:
1094.  
1095.           Cryptographic Apparatus and Method ("Diffie-Hellman")
1096.                 No. 4,200,770
1097.           Public Key Cryptographic Apparatus and Method
1098.         ("Hellman-Merkle")   No. 4,315,552
1099.           Exponential Cryptographic Apparatus and Method
1100.                 ("Hellman-Pohlig")   No. 4,434,414
1101.           Method For Identifying Subscribers And For Generating
1102.         And Verifying Electronic Signatures In A Data Exchange
1103.                 System ("Schnorr")   No. 4,995,082
1104.  
1105. It is PKP's intent to make practice of the DSA royalty free for
1106. personal, noncommercial and U.S. Federal, state and local
1107. government use.  As explained below, only those parties who enjoy
1108. commercial benefit from making or selling products, or certifying
1109. digital signatures, will be required to pay royalties to practice
1110. the DSA.
1111.  
1112. PKP will also grant a license to practice key management, at no
1113. additional fee, for the integrated circuits which will implement
1114. both the DSA and the anticipated Federal Information Processing
1115. Standard for the "key escrow" system announced by President Clinton
1116. on April 16, 1993.
1117.  
1118. Having stated these intentions, PKP now takes this opportunity to
1119. publish its guidelines for granting uniform licenses to all parties
1120. having a commercial interest in practicing this technology:
1121.  
1122. First, no party will be denied a license for any reason other that
1123. the following:
1124.  
1125.           (i)    Failure to meet its payment obligations,
1126.           (ii)   Outstanding claims of infringement, or
1127.           (iii)  Previous termination due to material breach.
1128.  
1129. Second, licenses will be granted for any embodiment sold by the
1130. licensee or made for its use, whether for final products software,
1131. or components such as integrated circuits and boards, and regard-
1132. less of the licensee's channel of distribution.  Provided the
1133. requisite royalties have been paid by the seller on the enabling
1134. component(s), no further royalties will be owned by the buyer for
1135. making or selling the final product which incorporates such
1136. components.
1137.  
1138. Third, the practice of digital signatures in accordance with the
1139. DSS may be licensed separately from any other technical art covered
1140. by PKP's patents.
1141.  
1142. Fourth, PKP's royalty rates for the right to make or sell products,
1143. subject to uniform minimum fees, will be no more than 2 1/2% for
1144. hardware products and 5% for software, with the royalty rate
1145. further declining to 1% on any portion of the product price
1146. exceeding $1,000.  These royalty rates apply only to noninfringing
1147. parties and will be uniform without regard to whether the licensed
1148. product creates digital signatures, verifies digital signatures or
1149. performs both.
1150.  
1151. Fifth, for the next three (3) years, all commercial services which
1152. certify a signature's authenticity for a fee may be operated
1153. royalty free.  Thereafter, all providers of such commercial
1154. certification services shall pay a royalty to PKP of $1.00 per
1155. certificate for each year the certificate is valid.
1156.  
1157. Sixth, provided the foregoing royalties are paid on such products
1158. or services, all other practice of the DSA shall be royalty free.
1159.  
1160. Seventh, PKP invites all of its existing licensees, at their
1161. option, to exchange their current licenses for the standard license
1162. offered for DSA.
1163.  
1164. Finally, PKP will mediate the concerns of any party regarding the
1165. availability of PKP's licenses for the DSA with designated
1166. representatives of NIST and PKP.  For copies of PKP's license
1167. terms, contact Michael R. Rubin, Acting Chief Counsel for Technolo-
1168. gy, NIST, or Public Key Partners.
1169.  
1170.   Dated:  June 2, 1993.
1171.  
1172. Robert B. Fougner, Esq.,
1173. Director of Licensing, Public Key Partners,
1174. 310 North Mary Avenue, Sunnyvale, CA  94033
1175.  
1176. [FR Doc. 93-13473 Filed 8-7-93; 8:45 am]
1177.  
1178. ---------------------------------------------------------------------
1179. Forwarded by:
1180. -- 
1181.     Jim Gillogly
1182.     Trewesday, 21 Forelithe S.R. 1993, 20:56
1183.  
1184.  
1185. - --
1186. End of Legal Net News v1i10
1187.