home *** CD-ROM | disk | FTP | other *** search
/ ftp.ee.pdx.edu / 2014.02.ftp.ee.pdx.edu.tar / ftp.ee.pdx.edu / pub / lpf / bidzos.letter < prev    next >
Internet Message Format  |  1992-11-02  |  24KB
  1. Date: Sat, 21 Sep 91 23:04:37 -0700
  2. From: dennis@cs.washington.edu (Dennis Gentry)
  3. Return-Path: <dennis@cs.washington.edu>
  4. To: rms@gnu.ai.mit.edu
  5. Subject: Letter from RSA to the chair of the House subcommitte on Technology and Competitiveness.
  6.  
  7. I thought you might be interested in this letter.  It appeared
  8. in the risks digest recently and was forwarded to me by a friend.
  9.  
  10. Dennis
  11.  
  12. ---------Begin Forwarded Message
  13. September 20, 1991
  14.  
  15. Hon. Tim Valentine
  16. Chairman, subcommittee on Technology and Competitiveness
  17. House Committee on Space, Science, and Technology
  18. U.S. House of Representatives
  19.  
  20.  
  21. Dear Mr. Valentine:
  22.  
  23. On August 30, 1991, nine years after their first attempt and over three years
  24. after being called upon by the Congress to do so under authority of the
  25. Computer Security Act of 1987 (the "Act"), the National Institute for Standards
  26. and Technology (NIST) has published a proposal for a public-key cryptographic
  27. standard.  The proposal, developed with the National Security Agency (NSA), is
  28. called DSS, for "Digital Signature Standard." [1]
  29.  
  30. While we recognize NIST's efforts in finally proposing such a standard, we have
  31. serious concerns about the proposal. We question NIST's justifications for
  32. their proposal and the manner in which it is being proposed.  We are greatly
  33. concerned that NIST has not fulfilled its obligations under the Act.  Since
  34. NIST provided some of these justifications in testimony to the Subcommittee on
  35. Technology and Competitiveness on June 27, 1991, you may be interested in our
  36. analyses.
  37.  
  38. Before providing our analysis of the specific statements of justification in
  39. NIST's proposal, we would like to offer four criticisms of DSS and the manner
  40. in which it is being introduced.
  41.  
  42. 1.  NIST has offered only a 90 day comment period for their proposed standard.
  43. This time period is insufficient for analyzing DSS.  Further, DSS will not be
  44. fully complete and presented within the 90 days, but will appear in pieces over
  45. a much longer period.
  46.  
  47. DSS proposes a new, untested public-key cryptographic algorithm. The
  48. cryptosystems in use today became trusted over a period of more than ten years,
  49. during which much research was conducted and published.  Since no one outside
  50. of NIST and NSA has seen the DSS algorithm until now, we feel that a much
  51. longer comment period----at least one year---is appropriate.  Public-key
  52. technology has been ignored by NIST for fifteen years; it is inappropriate for
  53. NIST to foist a new scheme upon the country with such a short review period.
  54. NIST is admittedly submitting a proposal which is missing important components.
  55. It is therefore inappropriate for NIST to offer a comment period which expires
  56. prior to an opportunity to review a complete proposal.
  57.  
  58. 2. NIST's proposal fails to address the use of public-key cryptography for
  59. privacy.  It covers only authentication, and is incomplete even as an
  60. authentication proposal.  Data privacy is an important requirement of the Act,
  61. and a large part of NIST's responsibility.
  62.  
  63. While authentication is certainly important, neglecting to allow for the
  64. powerful privacy that public-key cryptography can provide denies U.S. industry
  65. important protection against industrial espionage. There is no discernible
  66. reason for this omission.  Further, NIST's authentication proposal is
  67. incomplete --- it is missing important components such as a hashing algorithm
  68. and a structure for "certificates" and thus is not yet ready for any actual
  69. use.  NIST gives no indication of its plans to complete the proposal, but it
  70. could easily be one to two years before their proposal is complete.  This is a
  71. major reason why a 90 day comment period is inappropriate: there is not a
  72. complete proposal to comment on.
  73.  
  74. 3. A system different from the one NIST proposes, known as RSA, has come into
  75. widespread use around the world as a de facto standard over the last ten years,
  76. but NIST, for reasons unknown, has ignored this development.
  77.  
  78. A growing number of major computer industry companies have licensed and
  79. endorsed the patented RSA system.  Many, including Motorola, Northern Telecom,
  80. Lotus Development and Novell, Inc., have already made RSA a standard part of
  81. their mainstream products and have shipped over half a million copies. Current
  82. plans of RSA licensees will put this number at several million within a year.
  83. (Recently, a Fortune 10 company purchased 15,000 copies of a product from a
  84. U.S. licensee of RSA which has privacy and authentication based on the RSA
  85. system embedded in it, for use in Europe.) The RSA system offers both
  86. authentication and privacy.  Furthermore, there is a well developed, complete
  87. standard for its use, developed by a number of the most important companies in
  88. the U.S., including Microsoft, Sun Microsystems, Lotus, Digital Equipment, and
  89. many others. NIST has ignored these developments, not even acknowledging them.
  90.  
  91. In response to criticism from the press that NIST has ignored developments in
  92. the private sector, NIST has stated that their standard is nominally "only for
  93. the government."  However, it will be seen that NIST's behavior gives every
  94. indication that they are aggressively pursuing a U.S. commercial standard based
  95. on their system, attempting to supplant existing de facto standards, and
  96. employing every means available to accomplish these objectives.
  97.  
  98. 4. The proposed NIST standard as presented thus far appears inflexible, and
  99. cannot support or adapt to new technologies or new technological developments.
  100. In a security standard, such inflexibility amounts to gross negligence.
  101.  
  102. Any cryptographic standard should be structured to support multiple algorithms.
  103. (With the exception of the NIST proposal, all such efforts have this
  104. flexibility.)  Such a facility would provide a means to "switch" algorithms in
  105. the event one algorithm becomes "broken," or unsuitable.  Support for multiple
  106. algorithms is normal practice in cryptography standards, and does not affect
  107. interoperability.  Such a facility, in this case, would also protect a major
  108. investment by U.S.  industry, made during government inaction over the last ten
  109. years.  NIST's approach gives the appearance of trying to reverse a major
  110. worldwide trend in industry and standards making.  In the same direction, the
  111. NIST proposal does not allow for a gradual increase in key size as
  112. technological improvements give greater strength to potential adversaries.
  113. With computer performance steadily increasing at approximately 40% per year,
  114. any reasonable security standard must plan to compensate with a gradual
  115. increase in key size.  Any proposal, such as NIST's, that contains unnecessary
  116. restrictions on allowable key sizes (NIST's proposal only allows 512-bit keys)
  117. contains the cause of its own eventual demise.  There is no reason for the NIST
  118. proposal to restrict users from choosing arbitrarily large key sizes, and thus
  119. protecting themselves from technological advances.
  120.  
  121. We will formally submit these observations to NIST during the comment period
  122. for DSS, and request explanation and justification from NIST, consistent with
  123. their obligations.
  124.  
  125. NIST'S JUSTIFICATIONS FOR DSS
  126.  
  127. It is interesting to review NIST's justifications for DSS.  The proposal
  128. states: "Among the factors that were considered during this process were the
  129. level of security provided, the ease of implementation in both hardware and
  130. software, the ease of export from the U.S.; the applicability of patents,
  131. impact on national security and law enforcement and the level of efficiency in
  132. both the signing and verification functions."
  133.  
  134. We shall examine each of these justifications separately.
  135.  
  136. SECURITY LEVEL
  137.  
  138. The security level of DSS is clearly an important consideration.
  139.  
  140. The most serious technical flaw in DSS is that it provides insufficient
  141. security.  The security of the system depends on the size of certain numbers.
  142. Based on the most thorough and recent work on the subject, numbers (such as the
  143. DSS numbers at the proposed length of 512 bits) "should definitely be avoided"
  144. because they offer only "marginal security" [2].  Such numbers are vulnerable
  145. to catastrophic failure, compromising the security of every single user of the
  146. system.  An attacker could surreptitiously have the "run of the system."  The
  147. threat this poses to the security of sensitive U.S. government, commercial, and
  148. financial data cannot possibly be justified.
  149.  
  150. The referenced research [2] on the security of the discrete logarithm problem,
  151. on which the DSS system is based, is well known worldwide, ensuring that the
  152. NIST system would never be used by any company not forced to do so, and would
  153. never be purchased from U.S. suppliers by companies outside of the U.S.
  154.  
  155. In addition, every single use of the NIST proposal to create a "digital
  156. signature" requires a new, truly random value.  Although the NIST proposal does
  157. not warn users of this, an attacker who could obtain the random value used in
  158. any one signature could easily derive that user's private key. Given the user's
  159. private key, the attacker could forge the user's digital signature on any
  160. document. Obtaining cryptographic quality random values is non-trivial, and may
  161. not be possible in some computing environments, making DSS unusable in many
  162. applications.  We note that the RSA system does not suffer from this weakness.
  163.  
  164. EASE OF IMPLEMENTATION
  165.  
  166. In addition to the security risk it poses, the added burden of providing the
  167. "randomizing" apparatus in a secure manner makes the NIST proposal a cumbersome
  168. and costly scheme to implement.  Other, more popular schemes do not share this
  169. burden; they either require no randomization whatsoever or do not require that
  170. the randomization apparatus be kept secret.
  171.  
  172. Furthermore, the inefficiency of the DSS proposal --- see the following section
  173. on efficiency --- makes it difficult to implement if specific performance goals
  174. must be met.
  175.  
  176. EASE OF EXPORT
  177.  
  178. We note that as a signature system, the NIST proposal is no more or less
  179. exportable than any system employing cryptography (of any type) for
  180. authentication, as opposed to data privacy.  All systems that employ
  181. cryptography for authentication only fall under Commerce Department
  182. jurisdiction, whereas systems applying cryptography to data privacy are
  183. controlled by the State Department.
  184.  
  185. APPLICABILITY OF PATENTS
  186.  
  187. NIST cites, as a major justification for this decision, economic factors
  188. related to patent applicability.  (see "U.S. Plan Is Seen Hurting Electronic
  189. Data Standard," the Wall Street Journal, July 2, 1991.)
  190.  
  191. NIST feels the government should not pay royalties for the use of technology.
  192. (see "NIST Proposes Standard for Electronic Signatures - Move Criticized by
  193. Some as Ignoring Tried and True," Network World, July 1, 1991.)
  194.  
  195. It is a simple fact that the U.S. government does not need to pay royalties or
  196. any fees for the use of any public-key cryptography developed in the U.S.
  197. since the known public-key schemes were all developed with at least partial
  198. federal funding, thereby giving the government royalty-free use.  Further, the
  199. government has the right to solicit the private sector to build products,
  200. royalty-free, for government use.  This justification by NIST could not be more
  201. wrong.
  202.  
  203. NIST further claims it wants to offer a royalty-free system for industry as
  204. well.  Most licensees of the patented RSA system do not pay royalties but have
  205. already absorbed the cost through single payments so that high-grade security
  206. can be made available at no extra cost to users as a standard part of
  207. high-volume products.  Again, since NIST has not consulted industry, it is fair
  208. to ask how NIST has determined that this should be the most important criteria.
  209. Much of industry has already spoken; a well-studied and well-respected
  210. public-key system is worth paying a reasonable royalty for.
  211.  
  212. A significant part of the U.S. computer industry clearly felt the RSA system
  213. offered sufficient value to invest in.  Whether one feels RSA is worth paying
  214. for or not, NIST's proposal attempts to take this option away from U.S.
  215. industry and from the U.S. government.  There are currently well over 100,000
  216. documented users of products containing RSA-based security in the federal
  217. government and defense industry alone.
  218.  
  219. In April of 1990, the patent holders for the RSA system offered to cooperate
  220. with NIST in a well publicized letter to the agency.  Unfortunately, NIST chose
  221. not to respond to this offer to work with industry.
  222.  
  223. NIST's decision to work with NSA instead of industry has the unfortunate effect
  224. of "punishing" those companies that haven't waited for DSS.  If the NIST
  225. standard should prevail as proposed, then those who decided not to wait for
  226. NIST lose their investment, and, further, may be put at a disadvantage as they
  227. must "retool."  How the Commerce Department, after four years of work, could
  228. develop a standards proposal that would result in a setback for U.S. companies
  229. whose collective annual revenues exceed $30 billion, demands more explanation
  230. than NIST has provided.  By punishing our industry leaders who have adopted
  231. RSA, NIST's proposal also has the undesirable effect of discouraging the
  232. adoption of innovative technology, something U.S.  industry must do to be
  233. competitive in a global marketplace.
  234.  
  235. We note that if the NIST proposal becomes the government standard to the
  236. exclusion of all others, as currently proposed, then the government itself is
  237. deprived of the economic benefit of the investment industry has made in the RSA
  238. system.
  239.  
  240. NIST is the only organization to propose a non-RSA scheme as a public key
  241. standard.  Those who have proposed RSA standards include the British, French
  242. and Swiss banking communities; the International Organization for
  243. Standardization; CCITT; and the Internet, among others.  Of course, no one can
  244. expect that U.S. industry will ignore these developments in favor of the NIST
  245. proposal; so in order to remain competitive internationally, U.S. companies
  246. will be forced to bear the economic burden of supporting two different systems.
  247.  
  248. We also note that it has been administration doctrine for over a decade that
  249. the government should support, rather than compete, with private industry.
  250. NIST's actions are in direct conflict with this policy.
  251.  
  252. EFFICIENCY OF SIGNATURE COMPUTATION VS. SIGNATURE VERIFICATION
  253.  
  254. NIST has stated that performance in signature creation is more important than
  255. in signature verification, and offered this as part of its justification for
  256. DSS.
  257.  
  258. We believe, however, that it can be shown without doubt that NIST's claim about
  259. the relative importance of these functions is absolutely false, and we invite
  260. NIST to justify their claim publicly.  We note that special purpose hardware
  261. provides identical performance regardless of the algorithm used.  NIST's claim
  262. makes no sense.
  263.  
  264. We note that it is true that the NIST proposal features an algorithm with the
  265. property that "signing" is faster than "verifying."  However, we also note that
  266. the RSA system "signs" 35% faster than the NIST proposal, and that RSA operates
  267. 40 to several hundred times faster in the critical "signature verification"
  268. function. (This can be demonstrated mathematically.)  It's poor performance
  269. makes DSS useless in interactive applications.  DSS will be unusable by a large
  270. segment of U.S. industry without the added expense of special purpose hardware,
  271. and entirely unusable in most software applications.
  272.  
  273. NATIONAL SECURITY AND LAW ENFORCEMENT CONSIDERATIONS
  274.  
  275. We are left to speculate as to what the concerns of national security and law
  276. enforcement NIST refers to may be.  We are deeply concerned that it is likely
  277. NIST and NSA intend to restrict use of DSS to specific conditions facilitating
  278. their own ability to "break the system."
  279.  
  280. Law enforcement organizations are concerned that the plaintext version of
  281. encrypted information be obtainable by subpoena.  This was established during
  282. the debate over Senate Bill 266 (see "Move on Unscrambling of Messages is
  283. Assailed," the New York Times, April 17, 1991).
  284.  
  285. One may justly ask whether a future privacy standard based on DSS is in fact
  286. not NIST's intended concession to national security and law enforcement.  The
  287. known concerns over obtaining plaintext, NIST's potential use of patents [3],
  288. and the weaknesses in DSS make this possibility difficult to ignore.  Using a
  289. short comment period to avoid future scrutiny and offering only an incomplete
  290. signature proposal increases suspicions.  Therefore, we must view DSS as the
  291. underlying technology for providing a standard for data privacy in the future,
  292. and ask if it is appropriate for this use.  Of course, NIST could reveal its
  293. plans for a privacy feature to calm these fears.  Instead, NIST states that a
  294. privacy mechanism is "years away," and will not give any indication as to its
  295. plans.
  296.  
  297. If such a system becomes the de facto U.S. commercial standard, then it may
  298. indeed benefit law enforcement, albeit at the expense of the privacy of
  299. everyone.  In this case, a "breakable" system is effected by forcing the use of
  300. a single number or small group of numbers that the government can "break," but
  301. that they believe no one else can.  A number of the size proposed by NIST seems
  302. just about right for this scenario.
  303.  
  304. As a standard for U.S. private sector, such a system gives the government
  305. unwarranted, unnecessary, and undesirable powers to violate personal privacy.
  306. Further, there is no assurance that a foreign government cannot also "break"
  307. the system, running the risk of a "digital Pearl Harbor" --- a devastating loss
  308. of the security of the entire national financial and business transaction
  309. systems. The possibility that DSS is intended to be used in this manner alone
  310. justifies congressional investigation.
  311.  
  312. OTHER CONCERNS
  313.  
  314. The DSS proposal states, "This proposed FIPS is the result of evaluating a
  315. number of alternative digital signature techniques.  In making the selection,
  316. the NIST has followed the mandate contained in section 2 of the Computer
  317. Security Act of 1987 that NIST develop guidelines and standards to '...assure
  318. the cost-effective security and privacy of sensitive information in Federal
  319. Systems.'"
  320.  
  321. We note that NIST has so far declined to identify alternative techniques it
  322. evaluated.  A Freedom of Information Act request was filed in August of this
  323. year by CPSR (Computer Professionals for Social Responsibility) with NIST
  324. seeking documents related to NIST's evaluation, but NIST claims to be exempt in
  325. this case, claiming in their response that such information is "advisory and
  326. pre-decisional" as well as "related to pending patent applications."  We note
  327. that NIST has made and publicized its decision and that it has also published
  328. the scheme it hopes to patent.  NIST's denial of information with no apparent
  329. justification does not inspire confidence in DSS, but intensifies concern that
  330. there is a hidden agenda, such as laying the groundwork for a national
  331. public-key cryptosystem that is in fact vulnerable to being broken by NIST
  332. and/or NSA.
  333.  
  334. Statements made by NIST officials in defense of DSS do not offer any clarity.
  335. According to Lynn McNulty, associate director of the National Computer Systems
  336. Laboratory at NIST, "Even if someone breaks the DSS, it is only a signature
  337. standard." ("NIST Signature Standard Whips Up Storm of Controversy from
  338. Industry," Federal Computer Week, Sep. 2, 1991.)  Aside from the insight this
  339. comment may provide about the security of DSS, this statement may be misleading
  340. if NIST in fact plans to base a data privacy standard around DSS.
  341.  
  342. CONCLUSIONS
  343.  
  344. It is well known that the larger part of NSA's mission is to gather electronic
  345. intelligence.  It is also well known that strong data encryption technology
  346. (already well known and coming into use around the world) may interfere with
  347. that mission.  But electronic eavesdropping by others and industrial espionage
  348. through electronic means are also realities.  The U.S., with the largest
  349. computer market in the world, is at greatest risk, and therefore has the most
  350. to gain from high quality encryption technology.
  351.  
  352. Through its active promotion to industry of less than fully open programs such
  353. as CCEP (NSA's Commercial Comsec Endorsement Program), NSA has lost any
  354. credibility it may have had with the private sector.  (see "A Supersecret
  355. Agency Finds Selling Secrecy to Others Isn't Easy," page 1, column 1, the Wall
  356. Street Journal, March 28, 1988.)  Sadly, NIST seems to be headed down the same
  357. path.
  358.  
  359. The government should be playing a leading role in advancing the U.S.
  360. information industry into the next century.  The NIST proposal, with its
  361. unanswered questions, NSA origins, and questionable justification, looks
  362. backward.  We would hope that with the stakes involved in the country's first
  363. government standard for public-key cryptography, NIST would "go the extra mile"
  364. to ensure the integrity of the process.  Instead, NIST shuns industry
  365. cooperation and offers flawed proposals developed secretly with NSA.
  366.  
  367. NIST's proposal gives industry no privacy mechanism, and has a long way to go
  368. before being usable for authentication.  It is a great disappointment that a
  369. multi-year effort involving the Commerce and Defense Departments has yielded
  370. such an incomplete, flawed product.  U.S. industry and the taxpayers of this
  371. country deserve better from our government.
  372.  
  373. NIST is either unable or unwilling to justify its actions.  Only Congress has
  374. the power to force NIST and NSA to answer critical questions about the proposed
  375. DSS.  Even the most remote possibility that there is a hidden agenda behind DSS
  376. justifies congressional action.  We urge you and your committee to have NIST,
  377. and, if necessary, NSA, answer important questions about their proposal or have
  378. it withdrawn.
  379.  
  380. We are at the disposal of the Committee if we can be of any assistance.
  381.  
  382. Respectfully, 
  383. RSA Data Security, Inc.
  384.  
  385.  
  386. (signed)
  387. D. James Bidzos 
  388. President
  389.  
  390. cc:    Members, Subcommittee on Technology and Competitiveness
  391.     Hon. Jack Brooks, Chairman, House Committee on the Judiciary
  392.     Hon. Robert Mosbacher, U.S. Secretary of Commerce
  393.     Dr. Willis H. Ware, RAND Corporation    
  394.  
  395. [1] NIST's proposal is Docket No. 910807-1207, RIN 0693-AA86, "A Proposed
  396. Federal Information Processing Standard for Digital Signature Standard (DSS)."
  397. A digital signature is an electronic analogue to a handwritten signature that
  398. demonstrates the authenticity of an electronic document or message.  A user
  399. "signs" a document by applying a cryptographic function to the contents of the
  400. document using a quantity known only to that user called a a "private key."
  401. Anyone can "verify" a user's digital signature on a document by applying
  402. another cryptographic function to the contents of the signed document employing
  403. the user's corresponding "public key," a quantity published and known to
  404. everyone.  Digital signatures are essential for the transition of commerce from
  405. a paper-based system to electronic media.
  406.  
  407. [2] "Furthermore, since many discrete log cryptographic schemes have the
  408. feature that they use a fixed prime which cannot easily be changed, one has to
  409. allow for attacks that consume not just a couple of months, but even a couple
  410. of years of computing time.  Therefore, even 512-bit primes appear to offer
  411. only marginal security..." from "Computation of Discrete Logarithms in Prime
  412. Fields" by B. A.  LaMacchia and A. M. Odlyzko, published in "Designs, Codes,
  413. and Cryptography 1" (Kluwer, 1991, pp47-62)
  414.  
  415. DSS specifies a 512-bit prime modulus, and states that such a modulus can be
  416. shared by groups.  This is important as the discrete log problem is known to be
  417. "brittle," meaning a table of discrete logarithms could be built, allowing an
  418. attacker to simply "look up," rather than have to "break," a user key.
  419.  
  420. [3] NIST has stated clearly in its proposal that worldwide patents have been
  421. filed for DSS.  It is not clear how NIST can justify spending tax dollars to
  422. file for worldwide patents on DSS if, as NIST claims, the goal is to grant
  423. royalty-free use of DSS.  NIST need simply publish the scheme without patenting
  424. it, and save the expense.  One likely reason to patent DSS is to control its
  425. use.  NIST could then offer "royalty-free patent licenses to anyone who
  426. practices the standard."  This would insure that no one could use DSS except as
  427. specified by NIST.  Interestingly, there is precedent for precisely this
  428. approach to licensing standards.
  429.  
  430.  
  431. ---------End Forwarded Message
  432.  
  433.