home *** CD-ROM | disk | FTP | other *** search
/ DP Tool Club 8 / CDASC08.ISO / VRAC / CUD562.ZIP / CUD562.TXT next >
Encoding:
Text File  |  1993-08-18  |  38.3 KB  |  851 lines
  1.  
  2.  
  3. Computer underground Digest    Tue  Aug 17 1993   Volume 5 : Issue 62
  4.                            ISSN  1004-042X
  5.  
  6.        Editors: Jim Thomas and Gordon Meyer (TK0JUT2@NIU.BITNET)
  7.        Archivist: Brendan Kehoe
  8.        Shadow-Archivists: Dan Carosone / Paul Southworth
  9.                           Ralph Sims / Jyrki Kuoppala
  10.                           Ian Dickinson
  11.        Copie Editor: Etaoin Shrdlu, Senior
  12.  
  13. CONTENTS, #5.62 (Aug 17 1993)
  14. File 1--CU News ("Software felons," "Valuing Info," et. al.)
  15. File 2--CuNews ("Technofogies" and more)
  16. File 3--Another BBS Seizure in Hartford
  17. File 4--Call for Clipper Comments
  18.  
  19. Cu-Digest is a weekly electronic journal/newsletter. Subscriptions are
  20. available at no cost electronically from tk0jut2@mvs.cso.niu.edu. The
  21. editors may be contacted by voice (815-753-0303), fax (815-753-6302)
  22. or U.S. mail at:  Jim Thomas, Department of Sociology, NIU, DeKalb, IL
  23. 60115.
  24.  
  25. Issues of CuD can also be found in the Usenet comp.society.cu-digest
  26. news group; on CompuServe in DL0 and DL4 of the IBMBBS SIG, DL1 of
  27. LAWSIG, and DL1 of TELECOM; on GEnie in the PF*NPC RT
  28. libraries and in the VIRUS/SECURITY library; from America Online in
  29. the PC Telecom forum under "computing newsletters;"
  30. On Delphi in the General Discussion database of the Internet SIG;
  31. on the PC-EXEC BBS at (414) 789-4210; and on: Rune Stone BBS (IIRG
  32. WHQ) (203) 832-8441 NUP:Conspiracy; RIPCO BBS (312) 528-5020
  33. CuD is also available via Fidonet File Request from 1:11/70; unlisted
  34. nodes and points welcome.
  35. EUROPE:   from the ComNet in LUXEMBOURG BBS (++352) 466893;
  36.           In ITALY: Bits against the Empire BBS: +39-461-980493
  37.  
  38. ANONYMOUS FTP SITES:
  39.   UNITED STATES:  ftp.eff.org (192.88.144.4) in /pub/cud
  40.                   etext.archive.umich.edu (141.211.164.18)  in /pub/CuD/cud
  41.                   halcyon.com( 202.135.191.2) in /pub/mirror/cud
  42.                   aql.gatech.edu (128.61.10.53) in /pub/eff/cud
  43.   AUSTRALIA:      ftp.ee.mu.oz.au (128.250.77.2) in /pub/text/CuD.
  44.   EUROPE:         nic.funet.fi in pub/doc/cud. (Finland)
  45.                   ftp.warwick.ac.uk in pub/cud (United Kingdom)
  46.  
  47. COMPUTER UNDERGROUND DIGEST is an open forum dedicated to sharing
  48. information among computerists and to the presentation and debate of
  49. diverse views.  CuD material may  be reprinted for non-profit as long
  50. as the source is cited. Authors hold a presumptive copyright, and
  51. they should be contacted for reprint permission.  It is assumed that
  52. non-personal mail to the moderators may be reprinted unless otherwise
  53. specified.  Readers are encouraged to submit reasoned articles
  54. relating to computer culture and communication.  Articles are
  55. preferred to short responses.  Please avoid quoting previous posts
  56. unless absolutely necessary.
  57.  
  58. DISCLAIMER: The views represented herein do not necessarily represent
  59.             the views of the moderators. Digest contributors assume all
  60.             responsibility for ensuring that articles submitted do not
  61.             violate copyright protections.
  62.  
  63. ----------------------------------------------------------------------
  64.  
  65. Date: Sat, 31 Jul 93 02:01:00 BST
  66. From: grmeyer@GENIE.GEIS.COM
  67. Subject: File 1--CU News ("Software felons," "Valuing Info," et. al.)
  68.  
  69. Software Felons
  70. ===============
  71. A federal grand jury in California handed down felony indictments for
  72. software piracy near the first week of July. These are the first
  73. indictments under the law that makes copyright infringement a fel ony.
  74. The indictments follow coast-to-coast raids over the past four months
  75. where US Marshals seized over 9.5 millions dollars worth of MS-DOS
  76. and Windows operating systems.
  77. (Information Week. July 12, 1993. pg 8)
  78.  
  79. Valuing Information
  80. ===================
  81. How much are your computer files really worth? The Information
  82. Systems Security Association has put together a panel to create a
  83. methodology for determining the value of information. Representatives
  84. from Chase Manhattan Bank, Bank America, and Motorola are among the
  85. panel members. The ISSA suggests that valuation can be determined in
  86. three ways: Cost to acquire/develop/maintain the info, value to
  87. owners/others, and commercial value.
  88. (Information Week. July 12, 1993. pg 62)
  89.  
  90. Virus "fax vote" results
  91. ========================
  92. Information Week magazine recently conducted a self-selected survey
  93. of IS managers and virus security. Some of the more interesting
  94. results include:
  95.  
  96.    Measures implemented to deal with virus threat:
  97.       65% training
  98.       86% purchased anti-viral software
  99.  
  100.    Company practices altered as a result of virus threat:
  101.       49% use of shareware
  102.       47% downloading from BBSs
  103.  
  104.    State of the virus threat during the past 12 months:
  105.       48% increased
  106.       34% stayed the same
  107.  
  108.    Number of machines infected during past year:
  109.       42% none
  110.       46% less than 25%
  111.  
  112. For the complete results in each category, and for other questions
  113. and comments, refer to Information Week. July 19, 1993. Pgs 25 and
  114. following.
  115.  
  116. Holy Data Islands!
  117. ==================
  118. The Wall Street Journal (July 12, 1993 p B-2) reports that a company
  119. founded by Ed Leonard has been farming out data for storage at
  120. monasteries. Customers like the prices, and the dedication and
  121. discretion of the monks is apparently unmatched.
  122. (Information Week.  July 19, 1993. pg 62)
  123.  
  124. Singapore Piracy
  125. ================
  126. Lotus and Novell have filed criminal charges against a man and wife
  127. in Singapore after they were found guilty in a civil suit for
  128. copyright and trademark violations.  The companies obtained a court or
  129. der to freeze nearly one million dollars in assets belonging to the
  130. pair, who had sold thousands of illegal software copies in Southeast
  131. Asia.
  132. (Information Week. May 10, 1993. pg. 8)
  133.  
  134. Computer Ethics Institute Conference
  135. ====================================
  136. Information Week reports that Congressman Edward Markey (D - Mass.)
  137. made the following remarks at the conference.
  138.  
  139. "Just because personal information can be collected electronically,
  140. can be   gleaned off the network as people call 800 number or click
  141. channels on the television, or can be cross-referenced into
  142. sophisticated lists and put on line for sale to others, does not
  143. mean that it has been technologically predetermined that privacy
  144. and social mores should be bent to that capability.  (...) The
  145. Constitution is a 200-year-old parchment, simply because we digitize
  146. the words should not suggest their meanings change."  Later, Markey
  147. commented that "Real harm can be done in the virtual world."
  148.  
  149. Refer to "Ethics and Cyberculture" , Information Week, May 10, 1993
  150. pg. 60 for more information on the conference and Markey's speech.
  151.  
  152. Follow-up on Epson America Email Case
  153. =====================================
  154. Alana Shoars, plaintiff in a case against Epson America, reports that
  155. she's "slogging forward" with the case. Shoars was dismissed from her
  156. Email administrator job in January 1990 after she complained that by
  157. monitoring employees' Email the company was invading their privacy.
  158. Her wrongful termination lawsuit, as well as a class-action lawsuit
  159. brought on behalf of 170 Epson employees, is in appellate court.
  160. (Information Week. July 26, 1993. pg 62)
  161.  
  162. Political Censorship at Microsoft?
  163. ==================================
  164. Gregory Steshenko was allowed to emigrate from the Soviet Union to
  165. the US in 1987. Last September he landed a job with Microsoft as a
  166. support engineer. Last month he was fired, he says, for sending
  167. political messages over the Internet. Microsoft contends it was solely
  168. for performance reasons. Steshenko's messages typically centered on
  169. the political situation in his native Ukraine, and his view that the
  170. Ukrainian government is more corrupt than the previous Communist
  171. government. ( In fact, Steshenko was once imprisoned in the Soviet
  172. Union for spreading "anti-Soviet propaganda"). He comments: ".  ..it
  173. looks to me like I've found another kind of Big Brother. In the Soviet
  174. Union it was the party and the state. In the US, it is the
  175. corporation."
  176. (Information Week. July 26, 1993. pg 62)
  177.  
  178. Fraud Free with AT&T
  179. ====================
  180. AT&T has announced a service that will help protect corporate calling
  181. card users from fraudulent use of their card number:
  182.  
  183.      AT&T Card Protect (sm) Service gives you real control over card
  184.      usage. To help prevent unauthorized use, we offer you a range of
  185.      measures such as geographic restrictions, purchase limits and
  186.      account passwords to meet your specific calling needs.
  187.      24 hours a day, 7 days a week, our Fraud Analysis and Surveillance
  188.      Center provides state-of-the-art security coverage for every one of
  189.      your employee's cards. It helps to identify unauthorized card use
  190.      in real time, allowing prompt action to be taken.
  191.  
  192. Dr. Dobb's Editor Speaks Out Against Clipper Chip
  193. =================================================
  194. Jonathan Erickson, editor-in-chief of Dr. Dobb's Journal, writes
  195. about the government's "clipper" chip in his July 1993 editorial. Mr.
  196. Erickson begins by describing some of the antics and crimes of Ke vin
  197. Poulsen, a hacker whose story is familiar to regular CuD readers.
  198. After discussing Paulsen, the gist of the FBI's proposal, and the
  199. clipper Erickson concludes with this statement:
  200.      Money and export concerns aside, the real issues remain those of
  201.      privacy and the government's attitude towards its citizens. What
  202.      we're witnessing is a fundamental shift from what we've considered
  203.      to be our Constitutional right to privacy to a view that the
  204.      government is privy to our most private conversations. This alone
  205.      is enough to make Kevin Poulsen look like nothing more than an
  206.      angel with a dirty face.
  207. (Dr. Dobb's Journal. July 1993. pg 8)
  208.  
  209. Nosy Bosses
  210. ===========
  211. Based on a survey in Macworld, an estimated 20 million US employees
  212. may be victims of electronic monitoring on the job. Of the 21% of
  213. employers admitting to checking up on employees, 74% had searched
  214. electronic work files, 42% had searched workers' email and 15% had
  215. searched voice mail. When the survey asked why, the nosy respondents
  216. replied that their snooping was to monitor work flow or to invest
  217. igate espionage and theft.
  218. (Communications of the ACM. Aug 1993. pg 9 reprinted with permission)
  219.  
  220. Lax on Tapes
  221. ============
  222. The Clinton administration has been blasted by a federal judge on its
  223. promise to make good on preserving nearly 6,000 computerized White
  224. House records that hold millions of National Security Council e mail
  225. messages. In January the judge ordered the tapes copied for
  226. preservation. As of late June, the judge threatened to fine the White
  227. House and National Archives $50K a day for not complying with prior
  228. orders each day the tapes aren't copied. Justice Department lawyers
  229. have tried in vain to appeal the order, citing the timetable of the
  230. task as causing "irreparable disruption of White House operations".
  231. (Communications of the ACM. Aug 1993. pg 10 reprinted with permission)
  232.  
  233. Disco Tech
  234. ==========
  235. Timothy Leary, the Harvard prof known for his hallucinogenic
  236. escapades in the '60s and Virtual Reality experimentation of more
  237. recent times, has designed the VR programs for Light, Wisdom, and
  238. Sound, a new night club in New York. VR could be on the brink of
  239. rivaling dance floors as nightlife entertainment. However, club
  240. owners are worried that happy clubbers may never leave the private
  241. VR sex room once they get in - it's one of the main attractions of
  242. the club.
  243. (Communications of the ACM. Aug 1993. pg 10 reprinted with permission)
  244.  
  245. ------------------------------
  246.  
  247. From: grmeyer@GENIE.GEIS.COM
  248. Date: Sat,  7 Aug 93 21:38:00 BST
  249. Subject: File 2--CuNews ("Technofogies" and more)
  250.  
  251. Technofogies
  252. =============
  253. A survey by Dell Computer Corp found that technophobia is alive and
  254. well in the United States. In a survey of 500 adults and 1000
  255. teenagers found that about 25% of the adults has never used a
  256. computer, programmed a VCR, or set-up the stations on their car radio.
  257. About a third said they feared they might damage a computer during
  258. normal use, and a quarter of them said they wouldn't use a computer un
  259. less they were forced to do so. About the same percentage said they
  260. still miss their typewriters.  As you might expect, the results were
  261. drastically different for the teens in the sample. Only 8% of them had
  262. never used a computer. About the same percentage said they felt
  263. uncomfortable using one without assistance.  Roughly two-thirds of
  264. both groups said they wished computer terminology was easier to
  265. understand.  Contact Dell Computer Corp for more information about the
  266. study.
  267. (Information Week. August 2, 1993 pg. 46)
  268.  
  269. More on "Tiger Teams"
  270. =====================
  271. Harlan Crouse, a security specialist with the US Army, has a guest
  272. editorial in the August 2, 1993 issue of Information Week (pg. 52).
  273. Crouse responds to IW's earlier story about firms that use so-called
  274. 'tiger teams' of ex-hackers to test security.  The following are some
  275. excerpts from the editorial.
  276.  
  277.    ...using convicted computer criminals to do information security work
  278.    is the height of folly. We don't use former armed robbers as bank
  279.    guards and we don't use child molesters as sex therapists; why should
  280.    we trust our precious information to convicted felons?
  281.    (...)
  282.    Common sense dictates that if you something to valuable, you work to
  283.    protect it. That means all the time - not just when it's convenient
  284.    or when a security deficiency has become nearly disastrous. What would
  285.    you think of people who lock the door to their houses only sometimes, or
  286.    only after their houses have already been burglarized?
  287.  
  288.    Lapses in security are almost always traceable, directly or indirectly,
  289.    to management's inattention to the need to protect organizational
  290.    assets. Yet managers are seldom held accountable for their negligence.
  291.    Unfortunately, it's the taxpayers, customers, stockholders, and
  292.    employees who pay.
  293.  
  294. ------------------------------
  295.  
  296. Date: Wed, 11 Aug 93 11:58:26 GMT
  297. From: Wes Morgan <morgan@ENGR.UKY.EDU>
  298. Subject: File 3--Another BBS Seizure in Hartford
  299.  
  300. This was posted to Usenet's alt.censorship newsgroup.
  301.  
  302. > * Forwarded by MATT GIWER from the Main Board conference.
  303. > * Original from DON KIMBERLIN to ALL on 08-09-93.
  304. >
  305. >Date: 08-03-93 (22:35)             Number: 1089
  306. >From: KENNETH PAVLAK               Refer#: NONE
  307. >  To: ALL                           Recvd: NO
  308. >Subj: Sysop held on $500,000 Bail    Conf: (24) F-Law&Dis
  309. >---------------------------------------------------------------------------
  310. >The Hartford Courant on August 5, 1993 (page b-4) stated that a 21 year
  311. >old computer BBS operator was arrested for maintaining a computer
  312. >bulletin board that had a bomb making recipe.
  313. >
  314. >Michael Elansky was charged by the West Hartford police with inciting
  315. >injury to persons or property - a felony charge - and risk of injury
  316. >to a minor.
  317. >
  318. >He was held in lieu of $500,000 bond (in CT the bond for a person accused
  319. >of murder is normally $100,000)
  320. >
  321. >Det. Capt. James Gustafson said the case was "sealed" and no information
  322. >could be released.
  323. >
  324. >Michal Elansky's father said information from the Anarchists Cook Book
  325. >(Available from Paladin Press, P.O. Box 1307, Boulder, CO 80306,
  326. >phone 303-443-7250) was on the bbs placed there by person or persons
  327. >unknown; it was impossible for his son to keep track of due to the
  328. >number of calls to his bbs.
  329. >
  330. >And so, Big Brother now says that passing along information will get
  331. >a person 21 years old locked up on a half a million dollars bail, while
  332. >accused murderers get out on  100,000 dollars.  The newspaper did not
  333. >say if the computer or the files from it were taken.
  334. >
  335. >Can the people who were on that bbs look forward to a "Visit" from
  336. >the servants of Big Brother?
  337. >
  338. >Will they be arrested if they downloaded VERBOTEN information?  Will
  339. >there be MASS ARRESTS of people who have knowledge that is no longer
  340. >permitted?
  341. >
  342. >Time will tell
  343. >
  344. >=== GEcho 1.00
  345. >
  346. > * SPEED 1.30 >01< * Remember, god works in meaningless ways.
  347. >
  348. >
  349. >--
  350. >Internet: Matt Giwer@mechanic.fidonet.org
  351. >UUCP:     ...!myrddin!mechanic!326!Matt.Giwer
  352. >Note: mechanic is a Fidonet<>USENET gate for TAMPA BAY,FL.
  353. >      The opinions stated in this post are only my own!
  354.  
  355. ------------------------------
  356.  
  357. Date: Tue, 17 Aug 1993 14:23:16 EST
  358. From: Dave Banisar <banisar@WASHOFC.CPSR.ORG>
  359. Subject: File 4--Call for Clipper Comments
  360.  
  361.                       Call for Clipper Comments
  362.  
  363. The National Institute of Standards and Technology (NIST) has issued a
  364. request for public comments on its proposal to establish the
  365. "Skipjack" key-escrow system as a Federal Information Processing
  366. Standard (FIPS).  The deadline for the submission of comments is
  367. September 28, 1993.  The full text of the NIST notice follows.
  368.  
  369. CPSR is urging all interested individuals and organizations to express
  370. their views on the proposal and to submit comments directly to NIST.
  371. Comments need not be lengthy or very detailed; all thoughtful
  372. statements addressing a particular concern will likely contribute to
  373. NIST's evaluation of the key-escrow proposal.
  374.  
  375. The following points could be raised about the NIST proposal
  376. (additional materials on Clipper and the key escrow proposal may be
  377. found at the CPSR ftp site, cpsr.org):
  378.  
  379. * The potential risks of the proposal have not been assessed and many
  380. questions about the implementation remain unanswered.  The NIST notice
  381. states that the current proposal "does not include identification of
  382. key escrow agents who will hold the keys for the key escrow
  383. microcircuits or the procedures for access to the keys."  The key
  384. escrow configuration may also create a dangerous vulnerability in a
  385. communications network.  The risks of misuse of this feature should be
  386. weighed against any perceived benefit.
  387.  
  388. * The classification of the Skipjack algorithm as a "national
  389. security" matter is inappropriate for technology that will be used
  390. primarily in civilian and commercial applications.  Classification of
  391. technical information also limits the computing community's ability to
  392. evaluate fully the proposal and the general public's right to know
  393. about the activities of government.
  394.  
  395. * The proposal was not developed in response to a public concern or a
  396. business request.  It was put forward by the National Security Agency
  397. and the Federal Bureau of Investigation so that these two agencies
  398. could continue surveillance of electronic communications. It has not
  399. been established that is necessary for crime prevention.  The number
  400. of arrests resulting from wiretaps has remained essentially unchanged
  401. since the federal wiretap law was enacted in 1968.
  402.  
  403. * The NIST proposal states that the escrow agents will provide the key
  404. components to a government agency that "properly demonstrates legal
  405. authorization to conduct electronic surveillance of communications
  406. which are encrypted."  The crucial term "legal authorization" has not
  407. been defined.  The vagueness of the term "legal authorization" leaves
  408. open the possibility that court-issued warrants may not be required in
  409. some circumstances.  This issue must be squarely addressed and
  410. clarified.
  411.  
  412. * Adoption of the proposed key escrow standard may have an adverse
  413. impact upon the ability of U.S. manufacturers to market cryptographic
  414. products abroad.  It is unlikely that non-U.S. users would purchase
  415. communication security products to which the U.S. government holds
  416. keys.
  417.  
  418.  
  419. Comments on the NIST proposal should be sent to:
  420.  
  421. Director, Computer Systems Laboratory
  422. ATTN: Proposed FIPS for Escrowed Encryption Standard
  423. Technology Building, Room B-154
  424. National Institute of Standards and Technology
  425. Gaithersburg, MD 20899
  426.  
  427. Submissions must be received by September 28, 1993.  CPSR has
  428. asked NIST that provisions be made to allow for electronic
  429. submission of comments.
  430.  
  431. Please also send copies of your comments on the key escrow
  432. proposal to CPSR for inclusion in the CPSR Internet Library, our
  433. ftp site.  Copies should be sent to <clipper@washofc.cpsr.org>.
  434.  
  435. =================================================================
  436.  
  437.                          FEDERAL REGISTER
  438.                          VOL. 58, No. 145
  439.  
  440.                      DEPARTMENT OF COMMERCE (DOC)
  441.         National Institute of Standards and Technology (NIST)
  442.  
  443.                      Docket No. 930659-3159
  444.                          RIN 0693-AB19
  445.  
  446. A Proposed Federal Information Processing Standard for an Escrowed
  447. Encryption Standard (EES)
  448.  
  449.                         58 FR 40791
  450.  
  451.                      Friday, July 30, 1993
  452.  
  453. Notice; request for comments.
  454.  
  455. SUMMARY: A Federal Information Processing Standard (FIPS) for an
  456. Escrowed Encryption Standard (EES) is being proposed. This proposed
  457. standard specifies use of a symmetric-key encryption/decryption
  458. algorithm and a key escrowing method which are to be implemented in
  459. electronic devices and used for protecting certain unclassified
  460. government communications when such protection is required. The
  461. algorithm and the key escrowing method are classified and are
  462. referenced, but not specified, in the standard.
  463.  
  464.    This proposed standard adopts encryption technology developed by
  465. the Federal government to provide strong protection for unclassified
  466. information and to enable the keys used in the encryption and
  467. decryption processes to be escrowed. This latter feature will assist
  468. law enforcement and other government agencies, under the proper legal
  469. authority, in the collection and decryption of electronically
  470. transmitted information. This proposed standard does not include
  471. identification of  key escrow  agents who will hold the keys for the
  472. key escrow  microcircuits or the procedures for access to the keys.
  473. These issues will be addressed by the Department of Justice.
  474.  
  475.    The purpose of this notice is to solicit views from the public,
  476. manufacturers, and Federal, state, and local government users so that
  477. their needs can be considered prior to submission of this proposed
  478. standard to the Secretary of Commerce for review and approval.
  479.  
  480.    The proposed standard contains two sections: (1) An announcement
  481. section, which provides information concerning the applicability,
  482. implementation, and maintenance of the standard; and (2) a
  483. specifications section which deals with the technical aspects of the
  484. standard. Both sections are provided in this notice.
  485.  
  486. DATES: Comments on this proposed standard must be received on or
  487. before September 28, 1993.
  488.  
  489. ADDRESSES: Written comments concerning the proposed standard should be
  490. sent to: Director, Computer Systems Laboratory, ATTN:  Proposed FIPS
  491. for Escrowed Encryption Standard, Technology Building, room B-154,
  492. National Institute of Standards and Technology, Gaithersburg, MD
  493. 20899.
  494.  
  495.    Written comments received in response to this notice will be
  496. made part of the public record and will be made available for
  497. inspection and copying in the Central Reference and Records
  498. Inspection Facility, room 6020, Herbert C. Hoover Building, 14th
  499. Street between Pennsylvania and Constitution Avenues, NW.,
  500. Washington, DC 20230.
  501.  
  502. FOR FURTHER INFORMATION CONTACT: Dr. Dennis Branstad, National
  503. Institute of Standards and Technology, Gaithersburg, MD 20899,
  504. telephone (301) 975-2913.
  505.  
  506.    SUPPLEMENTARY INFORMATION: This proposed FIPS implements the
  507. initiative announced by the White House Office of the Press
  508. Secretary on April 16, 1993. The President of the U.S. approved a
  509. Public Encryption Management directive, which among other actions,
  510. called for standards to facilitate the procurement and use of
  511. encryption devices fitted with  key-escrow  microcircuits in
  512. Federal communication systems that process sensitive, but
  513. unclassified information.
  514.  
  515.    Dated: July 26, 1993.
  516.  
  517.  Arati Prabhakar,
  518.  Director.(NIST)
  519.  
  520. ++++++++++++++++++++++++++++++++++++++++++++++++++++
  521.  Federal Information Processing Standards Publication XX
  522.  1993 XX
  523.  Announcing the Escrowed Encryption Standard (EES)
  524.  
  525.    Federal Information Processing Standards Publications (FIPS PUBS)
  526. are issued by the National Institute of Standards and Technology
  527. (NIST) after approval by the Secretary of Commerce pursuant to section
  528. 111(d) of the Federal Property and Administrative Services Act of 1949
  529. as amended by the Computer Security Act of 1987, Public Law 100-235.
  530.  
  531.  Name of Standard: Escrowed Encryption Standard (EES).
  532.  
  533.  Category of Standard: Telecommunications Security.
  534.  
  535.  Explanation: This Standard specifies use of a symmetric-key
  536. encryption (and decryption) algorithm and a Law Enforcement Access
  537. Field (LEAF) creation method (one part of a  key escrow  system) which
  538. provide for decryption of encrypted telecommunications when
  539. interception of the telecommunications is lawfully authorized.  Both
  540. the algorithm and the LEAF creation method are to be implemented in
  541. electronic devices (e.g., very large scale integration chips). The
  542. devices may be incorporated in security equipment used to encrypt (and
  543. decrypt) sensitive unclassified telecommunications data. Decryption of
  544. lawfully intercepted telecommunications may be achieved through the
  545. acquisition and use of the LEAF, the decryption algorithm and escrowed
  546. key components.
  547.  
  548.    To escrow something (e.g., a document, an encryption key) means
  549. that it is "delivered to a third person to be given to the grantee
  550. only upon the fulfillment of a condition" (Webster's Seventh New
  551. Collegiate Dictionary). A key escrow  system is one that entrusts
  552. components of a key used to encrypt telecommunications to third
  553. persons, called key component escrow agents. In accordance with the
  554. common definition of "escrow", the key component escrow agents provide
  555. the key components to a "grantee" (i.e., a government agency) only
  556. upon fulfillment of the condition that the grantee properly
  557. demonstrates legal authorization to conduct electronic surveillance of
  558. communications which are encrypted using the specific device whose key
  559. component is requested. The key components obtained through this
  560. process are then used by the grantee to reconstruct the device unique
  561. key and obtain the session key (contained in the LEAF) which is used
  562. to decrypt the telecommunications that are encrypted with that device.
  563. The term, "escrow", for purposes of this standard, is restricted to
  564. the dictionary definition.
  565.  
  566.    The encryption/decryption algorithm has been approved for
  567. government applications requiring encryption of sensitive unclassified
  568. telecommunications of data as defined herein. The specific operations
  569. of the algorithm and the LEAF creation method are classified and hence
  570. are referenced, but not specified, in this standard.
  571.  
  572.    Data, for purposes of this standard, includes voice, facsimile and
  573. computer information communicated in a telephone system.  Telephone
  574. system, for purposes of this standard, is limited to systems
  575. circuit-switched up to no more than 14.4 kbs or which use basic-rate
  576. ISDN, or to a similar grade wireless service.
  577.  
  578.    Data that is considered sensitive by a responsible authority should
  579. be encrypted if it is vulnerable to unauthorized disclosure during
  580. telecommunications. A risk analysis should be performed under the
  581. direction of a responsible authority to determine potential threats
  582. and risks. The costs of providing encryption using this standard as
  583. well as alternative methods and their respective costs should be
  584. projected. A responsible authority should then make a decision, based
  585. on the risk and cost analyses, whether or not to use encryption and
  586. then whether or not to use this standard.
  587.  
  588.  Approving Authority: Secretary of Commerce.
  589.  
  590.  Maintenance Agency: Department of Commerce, National Institute of
  591. Standards and Technology.
  592.  
  593.  Applicability: This standard is applicable to all Federal departments
  594. and agencies and their contractors under the conditions specified
  595. below. This standard may be used in designing and implementing
  596. security products and systems which Federal departments and agencies
  597. use or operate or which are operated for them under contract. These
  598. products may be used when replacing Type II and Type III (DES)
  599. encryption devices and products owned by the government and government
  600. contractors.
  601.  
  602.    This standard may be used when the following conditions apply:
  603.  
  604.    1. An authorized official or manager responsible for data security
  605. or the security of a computer system decides that encryption is
  606. required and cost justified as per OMB Circular A-130; and
  607.  
  608.    2. The data is not classified according to the National Security
  609. Act of 1947, as amended, or the Atomic Energy Act of 1954, as amended.
  610.  
  611.    However, Federal departments or agencies which use encryption
  612. devices for protecting data that is classified according to either of
  613. these acts may use those devices also for protecting unclassified data
  614. in lieu of this standard.
  615.  
  616.    In addition, this standard may be adopted and used by non-Federal
  617. Government organizations. Such use is encouraged when it provides the
  618. desired security.
  619.  
  620. Applications: Devices conforming to this standard may be used for
  621. protecting unclassified communications.
  622.  
  623.  Implementations: The encryption/decryption algorithm and the LEAF
  624. creation method shall be implemented in electronic devices (e.g.,
  625. electronic chip packages) that can be physically protected against
  626. unauthorized entry, modification and reverse engineering.
  627. Implementations which are tested and validated by NIST will be
  628. considered as complying with this standard. An electronic device shall
  629. be incorporated into a cyptographic module in accordance with FIPS
  630. 140-1. NIST will test for conformance with FIPS 140-1.  Cryptographic
  631. modules can then be integrated into security equipment for sale and
  632. use in an application. Information about devices that have been
  633. validated, procedures for testing equipment for conformance with NIST
  634. standards, and information about obtaining approval of security
  635. equipment are available from the Computer Systems Laboratory, NIST,
  636. Gaithersburg, MD 20899.
  637.  
  638.  Export Control: Implementations of this standard are subject to
  639. Federal Government export controls as specified in title 22, Code of
  640. Federal Regulations, parts 120 through 131 (International Traffic of
  641. Arms Regulations -ITAR). Exporters of encryption devices, equipment
  642. and technical data are advised to contact the U.S. Department of
  643. State, Office of Defense Trade Controls for more information.
  644. Patents: Implementations of this standard may be covered by U.S. and
  645. foreign patents.
  646.  
  647.  Implementation Schedule: This standard becomes effective thirty days
  648. following publication of this FIPS PUB.
  649.  
  650.  Specifications: Federal Information Processing Standard (FIPS
  651. XXX)(affixed).
  652.  
  653.  Cross Index:
  654.  
  655.    a. FIPS PUB 46-2, Data Encryption Standard.
  656.  
  657.    b. FIPS PUB 81, Modes of Operation of the DES
  658.  
  659.    c. FIPS PUB 140-1, Security Requirements for Cryptographic
  660. Modules.
  661.  
  662.  
  663.  Glossary:
  664.  
  665.    The following terms are used as defined below for purposes of
  666. this standard:
  667.  
  668.    Data-Voice, facsimile and computer information communicated in
  669. a telephone system.
  670.  
  671.    Decryption-Conversion of ciphertext to plaintext through the
  672. use of a cryptographic algorithm.
  673.  
  674.    Device (cryptographic)-An electronic implementation of the
  675. encryption/decryption algorithm and the LEAF creation method as
  676. specified in this standard.
  677.  
  678.    Digital data-Data that have been converted to a binary
  679. representation.
  680.  
  681.    Encryption-Conversion of plaintext to ciphertext through the
  682. use of a cryptographic algorithm.
  683.  
  684.    Key components-The values from which a key can be derived (e.g., KU
  685. sub 1 + KU sub 2).
  686.  
  687.    Key escrow -A process involving transferring one or more components
  688. of a cryptographic key to one or more trusted key component escrow
  689. agents for storage and later use by government agencies to decrypt
  690. ciphertext if access to the plaintext is lawfully authorized.
  691.  
  692.    LEAF Creation Method 1-A part of a  key escrow  system that is
  693. implemented in a cryptographic device and creates a Law Enforcement
  694. Access Field.
  695.  
  696.    Type I cryptography-A cryptographic algorithm or device approved by
  697. the National Security Agency for protecting classified information.
  698.  
  699.    Type II cryptography-A cryptographic algorithm or device
  700. approved by the National Security Agency for protecting sensitive
  701. unclassified information in systems as specified in section 2315
  702. of Title 10 United State Code, or section 3502(2) of Title 44,
  703. United States Code.
  704.  
  705.    Type III cryptography-A cryptographic algorithm or device
  706. approved as a Federal Information Processing Standard.
  707.  
  708.    Type III(E) cryptography-A Type III algorithm or device that is
  709. approved for export from the United States.
  710.  
  711.  Qualifications. The protection provided by a security product or
  712. system is dependent on several factors. The protection provided by
  713. this standard against key search attacks is greater than that
  714. provided by the DES (e.g., the cryptographic key is longer).
  715. However, provisions of this standard are intended to ensure that
  716. information encrypted through use of devices implementing this
  717. standard can be decrypted by a legally authorized entity.
  718.  
  719.  Where to Obtain Copies of the Standard: Copies of this
  720. publication are for sale by the National Technical Information
  721. Service, U.S. Department of Commerce, Springfield, VA 22161. When
  722. ordering, refer to Federal Information Processing Standards
  723. Publication XX (FIPS PUB XX), and identify the title. When
  724. microfiche is desired, this should be specified. Prices are
  725. published by NTIS in current catalogs and other issuances. Payment
  726. may be made by check, money order, deposit account or charged to a
  727. credit card accepted by NTIS.
  728.  Specifications for the Escrowed Encryption Standard
  729.  
  730.  
  731.  1. Introduction
  732.  
  733.    This publication specifies Escrowed Encryption Standard (EES)
  734. functions and parameters.
  735.  
  736.  2. General
  737.  
  738.    This standard specifies use of the SKIPJACK cryptographic algorithm
  739. and the LEAF Creation Method 1 (LCM-1) to be implemented in an
  740. approved electronic device (e.g., a very large scale integration
  741. electronic chip). The device is contained in a logical cryptographic
  742. module which is then integrated in a security product for encrypting
  743. and decrypting telecommunications.
  744.  
  745.    Approved implementations may be procured by authorized
  746. organizations for integration into security equipment. Devices must be
  747. tested and validated by NIST for conformance to this standard.
  748. Cryptographic modules must be tested and validated by NIST for
  749. conformance to FIPS 140-1.
  750.  
  751.  3. Algorithm Specifications
  752.  
  753.    The specifications of the encryption/decryption algorithm
  754. (SKIPJACK) and the LEAF Creation Method 1 (LCM-1) are classified.  The
  755. National Security Agency maintains these classified specifications and
  756. approves the manufacture of devices which implement the
  757. specifications. NIST tests for conformance of the devices implementing
  758. this standard in cryptographic modules to FIPS 140-1 and FIPS 81.
  759.  
  760.  4. Functions and Parameters
  761.  
  762.  4.1 Functions
  763.  
  764.    The following functions, at a minimum, shall be implemented:
  765.  
  766.    1. Data Encryption: A session key (80 bits) shall be used to
  767. encrypt plaintext information in one or more of the following modes of
  768. operation as specified in FIPS 81: ECB, CBC, OFB (64) CFB (1, 8, 16,
  769. 32, 64).
  770.  
  771.    2. Data Decryption: The session key (80 bits) used to encrypt the
  772. data shall be used to decrypt resulting ciphertext to obtain the data.
  773.  
  774.    3.  Key Escrow:  The Family Key (KF) shall be used to create the
  775. Law Enforcement Access Field (LEAF) in accordance with the LEAF
  776. Creation Method 1 (LCM-1). The Session Key shall be encrypted with the
  777. Device Unique Key and transmitted as part of the LEAF.  The security
  778. equipment shall ensure that the LEAF is transmitted in such a manner
  779. that the LEAF and ciphertext may be decrypted with legal
  780. authorization. No additional encryption or modification of the LEAF is
  781. permitted.
  782.  
  783.  4.2 Parameters
  784.  
  785.    The following parameters shall be used in performing the prescribed
  786. functions:
  787.  
  788.    1. Device Identifier (DID): The identifier unique to a particular
  789. device and used by the  Key Escrow  System.
  790.  
  791.    2. Device Unique Key (KU): The cryptographic key unique to a
  792. particular device and used by the  Key Escrow  System.
  793.  
  794.    3. Cryptographic Protocol Field (CPF): The field identifying the
  795. registered cryptographic protocol used by a particular application and
  796. used by the  Key Escrow  System (reserved for future specification and
  797. use).
  798.  
  799.    4. Escrow Authenticator (EA): A binary pattern that is inserted in
  800. the LEAF to ensure that the LEAF is transmitted and received properly
  801. and has not been modified, deleted or replaced in an unauthorized
  802. manner.
  803.  
  804.    5. Initialization Vector (IV): A mode and application dependent
  805. vector of bytes used to initialize, synchronize and verify the
  806. encryption, decryption and key escrow  functions.
  807.  
  808.    6. Family Key (KF): The cryptographic key stored in all devices
  809. designated as a family that is used to create the LEAF.
  810.  
  811.    7. Session Key (KS): The cryptographic key used by a device to
  812. encrypt and decrypt data during a session.
  813.  
  814.    8. Law Enforcement Access Field (LEAF): The field containing the
  815. encrypted session key and the device identifier and the escrow
  816. authenticator.
  817.  
  818.  5. Implementation
  819.  
  820.    The Cryptographic Algorithm and the LEAF Creation Method shall be
  821. implemented in an electronic device (e.g., VLSI chip) which is highly
  822. resistant to reverse engineering (destructive or non-destructive) to
  823. obtain or modify the cryptographic algorithms, the KU, the EA, the
  824. CPF, the operational KS, or any KU, the EA, the CPF, the operational
  825. KS, or any other security or  Key Escrow  System relevant information.
  826. The device shall be able to be programmed/personalized (i.e., made
  827. unique) after mass production in such a manner that the DID, KU (or
  828. its components), KF (or its components) and EA fixed pattern can be
  829. entered once (and only once) and maintained without external
  830. electrical power.
  831.  
  832.    The LEAF and the IV shall be transmitted with the ciphertext.  The
  833. specifics of the protocols used to create and transmit the LEAF, IV,
  834. and encrypted data shall be registered and a CPF assigned. The CPF
  835. shall then be transmitted in accordance with the registered
  836. specifications.
  837.  
  838.    The specific electric, physical and logical interface will vary
  839. with the implementation. Each approved, registered implementation
  840. shall have an unclassified electrical, physical and logical interface
  841. specification sufficient for an equipment manufacturer to understand
  842. the general requirements for using the device. Some of the
  843. requirements may be classified and therefore would not be specified in
  844. the unclassified interface specification.
  845.  
  846. ------------------------------
  847.  
  848. End of Computer Underground Digest #5.62
  849. ************************************
  850.  
  851.