home *** CD-ROM | disk | FTP | other *** search

---

/ Handbook of Infosec Terms 2.0 / Handbook_of_Infosec_Terms_Version_2.0_ISSO.iso / text / privacy / p01_006.txt

< prev

next >

Wrap

Text File  |  1996-09-03  |  25KB  |  565 lines

---

1. PRIVACY Forum Digest        Friday, 26 June 1992        Volume 01 : Issue 06
2.  
3.          Moderated by Lauren Weinstein (lauren@cv.vortex.com)
4.                 Vortex Technology, Topanga, CA, U.S.A.
5.     
6.                      ===== PRIVACY FORUM =====
7.  
8. CONTENTS
9.     PRIVACY Briefs (Moderator--Lauren Weinstein)
10.     PRIVACY Forum back issues now available via listserv system
11.        (Moderator--Lauren Weinstein)
12.     FBI Digital Telephony Proposal now in PRIVACY Forum archive
13.        (Moderator--Lauren Weinstein)
14.         Govt & Corp Sysops Monitoring Users & Email (Jim Warren)
15.     Rental applications and privacy (Susie Hirsch)
16.     Monitoring of public information sources 
17.        (Moderator--Lauren Weinstein)
18.         Chronicle Crypto Article (Joe Abernathy)
19.  
20.  *** Please include a RELEVANT "Subject:" line on all submissions! ***
21.             *** Submissions without them may be ignored! ***
22.  
23. -----------------------------------------------------------------------------
24. The PRIVACY Forum is a moderated digest for the discussion and analysis of
25. issues relating to the general topic of privacy (both personal and
26. collective) in the "information age" of the 1990's and beyond.  The
27. moderator will choose submissions for inclusion based on their relevance and
28. content.  Submissions will not be routinely acknowledged.
29.  
30. ALL submissions should be addressed to "privacy@cv.vortex.com" and must have
31. RELEVANT "Subject:" lines.  Submissions without appropriate and relevant
32. "Subject:" lines may be ignored.  Subscriptions are by an automatic
33. "listserv" system; for subscription information, please send a message
34. consisting of the word "help" (quotes not included) in the BODY of a message
35. to:  "privacy-request@cv.vortex.com".  Mailing list problems should be
36. reported to "list-maint@cv.vortex.com".  Mechanisms for obtaining back
37. issues will be announced when available.  All submissions included in this
38. digest represent the views of the individual authors and all submissions
39. will be considered to be distributable without limitations. 
40.  
41. Back issues of PRIVACY Forum digests (and other related material) are now
42. archived and may be obtained automatically through the listserv system.
43. Please follow the instructions above for getting the listserv "help"
44. information, which now includes details regarding the "index" and "get"
45. listserv commands, which are used to access the PRIVACY Forum archive.
46.  
47. For information regarding the availability of this digest via FAX, please
48. send an inquiry to privacy-fax@cv.vortex.com, call (310) 455-9300, or FAX
49. to (310) 455-2364.
50. -----------------------------------------------------------------------------
51.  
52. VOLUME 01, ISSUE 06
53.  
54.     Quote for the day:
55.  
56.            "I am not a number!  I am a free man!"
57.  
58.             -- Number 6
59.                 "The Prisoner" television series (1968-1969)
60.  
61. ----------------------------------------------------------------------
62.  
63. Date:    Fri, 26 Jun 92 18:25 PDT
64. From:    lauren@cv.vortex.com (Moderator--Lauren Weinstein)
65. Subject: PRIVACY Briefs
66.  
67. ---
68.  
69. Concerns have been raised in Los Angeles over the recent revelations that
70. the District Attorney's office has been "secretly" videotaping the
71. spectators attending certain ongoing court cases.  The cases in question
72. involve the defendants charged in the beating of a truck driver at the start
73. of the recent L.A. area civil unrest.  The tapes have apparently been used
74. in an effort to determine if any of the court spectators could be matched up
75. with unidentified persons taped during the actual disturbances.
76.  
77. ---
78.  
79. An Iowa couple has been awarded $4.3 million (with 25% going to them, and
80. 75% going to a victims' reparations fund) after winning a privacy suit
81. against a motel.  While having sex in a motel room, they heard a creaking
82. noise behind a wall, and discovered that what they had thought was a
83. conventional mirror was actually a "two-way" type with an 8 inch peephole
84. behind it, leading to an attic crawlspace.  Though the motel operator said he
85. had not known about the mirror, and even though it was never proven that
86. anybody had actually been behind the mirror, the judge told the jury that
87. the mere existence of such an arrangement could be sufficient for conviction.
88.  
89. ------------------------------
90.  
91. Date:    Fri, 26 Jun 92 18:17 PDT
92. From:    lauren@cv.vortex.com (Moderator--Lauren Weinstein)
93. Subject: PRIVACY Forum back issues now available via listserv system
94.  
95. Greetings.  I'm pleased to announce that all PRIVACY Forum back issues, and
96. related privacy materials, are now available via the cv.vortex.com listserv
97. system.  All future issues will be added to the archive as well.  This
98. system allows you to request particular items from the archive automatically
99. via mail messages.
100.  
101. To get an index of available materials, you should send a message to:
102.  
103.    privacy-request@cv.vortex.com
104.  
105. or
106.  
107.    listserv@cv.vortex.com
108.  
109. with the command:
110.  
111.    index privacy
112.  
113. in the BODY of your message (as the first text in your message body).
114.  
115. To retrieve a particular item, follow the same procedure as above,
116. but use the command:
117.  
118.    get privacy <file>
119.  
120. where <file> is replaced by the desired file name.
121. For example, to retrieve PRIVACY Forum digest Volume 01, Issue 04:
122.  
123.    get privacy priv.01.04
124.  
125. As always with the listserv system, only one request may be included in a
126. message; any subsequent requests in a single message will be ignored. 
127.  
128. To avoid unnecessary net traffic, please only retrieve materials that you
129. really need.
130.  
131. Thanks much.
132.  
133. --Lauren--
134.  
135. ------------------------------
136.  
137. Date:    Fri, 26 Jun 92 21:45 PDT
138. From:    lauren@cv.vortex.com (Moderator--Lauren Weinstein)
139. Subject: FBI Digital Telephony Proposal now in PRIVACY Forum archive
140.  
141. A complete copy of the latest revision (May, 1992) of the FBI
142. Digital Telephony Proposal is now in the PRIVACY Forum archive,
143. under the name "fbi-tel.1".
144.  
145. This is the legislative proposal to require direct interception capability
146. in virtually all U.S. telecommunications networks and related equipment, the
147. transferring of telecommunications certification control from the FCC to the
148. Attorney General, and the explicit ability to establish a remote government
149. monitoring facility.
150.  
151. There have been comments regarding this proposal in previous issues
152. of the PRIVACY Forum digest.
153.  
154. --Lauren--
155.  
156. ------------------------------
157.  
158. Date:    Sun, 21 Jun 92 17:46:26 PDT
159. From:    jwarren@autodesk.com (Jim Warren)
160. Subject: Govt & Corp Sysops Monitoring Users & Email
161.  
162. Last month, I gave a morning talk to an all-day meeting of an organization
163. of systems administrators of mini-class, mostly-shared systems -- most of
164. them employed by Fortune 500 companies and government agencies.
165.  
166. Initially titled, "Dodging Pitfalls in the Electronic Frontier," by mutual
167. agreement with the organizers, we re-titled it, "Government Impacts on
168. Privacy and Security." However, it was the same talk.  :-)  It was based on
169. information and perspectives aired during recent California Senate Judiciary
170. privacy hearings, and those presented at the 1991 and 1992 conferences on
171. Computers, Freedom & Privacy. (I organized and chaired the first CFP and
172. co-authored its transcripts, available from the IEEE Computer Society Press,
173. 714-821-8380, Order #2565.)
174.  
175. The talk was long; the audience attentive; the questions and discussion
176. extensive.  The attendees were clearly and actively interested in the issues.
177.  
178. At one point, I asked "How many have *NOT* been asked by their management or
179. superiors to monitor their users and/or examine or monitor users' email."
180.   Only about 20% held up their hands -- even though I emphasized that I was
181. phrasing the question in a way that those who would be proud to hold up
182. their hands, could to do so.
183.  
184. --jim
185. Jim Warren, jwarren@well.sf.ca.us  -or-  jwarren@autodesk.com
186. MicroTimes "futures" columnist; Autodesk, Inc., Board of Directors' member
187. InfoWorld founder; PBS' "Computer Chronicles" founding host, blah blah blah
188.  
189. ------------------------------
190.  
191. Date:    Fri, 26 Jun 92 13:46 PDT
192. From:    susie@cv.vortex.com (Susie Hirsch)
193. Subject: Rental applications and privacy
194.  
195. I recently have been looking for a house to rent, and have completed rental
196. applications that contain a variety of personal information (social
197. security number, address, phone number, credit information). The market is
198. very competitive for rental houses in the area, so I am required to provide
199. a completed rental application to even be considered as the potential renter.
200. Submitting incomplete applications on privacy grounds will most certainly 
201. result in the landlord simply renting the property to another applicant
202. who provides all the requested personal information.
203.  
204. Given the nature of this personal information, I wonder about the security
205. issues concerning rental applications.  What if an application is turned
206. down by the property owner, and then carelessly tossed away where anyone
207. could find it?  What recourse does an applicant have if personal information
208. has been misused as a result of completing a rental application?  Or is this 
209. another situation where you simply hope you won't be victimized?
210.  
211. How can a balance be struck between the privacy rights of the applicant,
212. and the owner's need to check the background and credit history of a
213. potential renter?
214.  
215. ::: Susie :::
216.  
217. ------------------------------
218.  
219. Date:    Fri, 26 Jun 92 19:49 PDT
220. From:    lauren@cv.vortex.com (Moderator--Lauren Weinstein)
221. Subject: Monitoring of public information sources
222.  
223. Greetings.  Every so often on the networks, we hear of a case where a person
224. sent a message (to public distribution lists or public newsgroups) which
225. might be interpreted as threatening to particular groups or individuals, or
226. discussing information that might potentially have been of a classified
227. nature.  Sometimes the result of such a message is a visit to that author by
228. law enforcement officials, with a copy of the message in hand.
229.  
230. Usually it has turned out that the perceived threats weren't serious, or that
231. the information in question wasn't classified, but there was no reasonable
232. way to make such determinations until after some investigation.
233.  
234. When such events occur, there is sometimes incredulity expressed by some
235. segments of the network community that law enforcement officials even knew
236. that such public messages had been posted, and the argument is raised that
237. it is wrong for such "monitoring" of public information sources to be taking
238. place by such agencies.  Some argue that law enforcement should be
239. restrained from making use of those kinds of information channels, even
240. though others can use that information freely.
241.  
242. I personally disagree.  While obviously it is very important that such
243. agencies react responsibly, I believe that information openly posted to
244. public lists and other public forums should be available to law
245. enforcement officials and agencies, just as it's available to everyone
246. else.  In fact, I'd be concerned if law enforcement didn't pay attention to
247. such widely available public information and public discussions.  
248.  
249. Note that I'm talking here about *public* postings and *public*
250. information.  The issues surrounding *private* communications 
251. (e.g. *private* e-mail) are completely different, of course.
252.  
253. Some discussion of the "monitoring of public information" issues here 
254. in the PRIVACY Forum might prove interesting.
255.  
256. --Lauren--
257.  
258. ------------------------------
259.  
260. Date:    Wed, 24 Jun 92 18:14:42 CDT
261. From:    Joe.Abernathy@houston.chron.com (Joe Abernathy)
262. Subject: Chronicle Crypto Article
263.  
264. This cryptography article appeared Sunday, June 21. It
265. is being forwarded to Risks as a way of giving back
266. something to the many thoughtful participants here who
267. helped give shape to the questions and the article.
268.  
269. In a companion submission, I include the scanned text of
270. the NSA's 13-page response to my interview request, which
271. appears to be the most substantial response they've
272. provided to date. I would like to invite feedback
273. and discussion on the article and the NSA document.
274.  
275.    [ Moderator's Note: The entire NSA response document referred
276.      to above has been placed in the PRIVACY Forum archive under
277.      the name "nsa-chron.1".  --Lauren-- ]
278.  
279. Please send comments to edtjda@chron.com
280.  
281. Promising technology alarms government
282.  
283. / Use of super-secret codes would block
284.   legal phone taps in FBI's crime work
285.  
286. By JOE ABERNATHY
287. Copyright 1992, Houston Chronicle
288.     
289.    Government police and spy agencies are trying to thwart 
290. new technology that allows conversations the feds can't tap.
291.  
292.    A form of cryptography _ the science of writing and 
293. deciphering codes _ this technology holds the promise of 
294. guaranteeing true privacy for transactions and communications.
295.  
296.    But an array of federal agencies is seeking to either 
297. outlaw or severely restrict its use, pointing out the potency 
298. of truly secret communications as a criminal tool.
299.  
300.    "Cryptography offers or appears to offer something that is 
301. unprecedented,'' said Whitfield Diffie, who with a Stanford 
302. University colleague devised public key cryptography,'' an 
303. easily used cryptography that is at the center of the fight. "It 
304. looks as though an individual might be able to protect 
305. information in such a way that the concerted efforts of 
306. society are not going to be able to get at it.
307.  
308.    "No safe you can procure has that property; the strongest 
309. safes won't stand an hour against oxygen lances. But 
310. cryptography may be different. I kind of understand why the 
311. police don't like it.''
312.  
313.    The National Security Agency, whose mission is to 
314. conduct espionage against foreign governments and diplomats,
315. sets policy for the government on matters regarding 
316. cryptography.
317.  
318.    But the FBI is taking the most visible role. It is backing 
319. legislation that would address police fears by simply 
320. outlawing any use of secure cryptography in electronic 
321. communications.
322.  
323.    The ban would apply to cellular phones, computer 
324. networks, and the newer standard telephone equipment _ 
325. already in place in parts of Houston's phone system and 
326. expected to gain wider use nationwide. 
327.  
328.    "Law enforcement needs to keep up with technology,'' said 
329. Steve Markardt, a spokesman for the FBI in Washington. 
330. "Basically what we're trying to do is just keep the status 
331. quo. We're not asking for anything more intrusive than we 
332. already have.''
333.  
334.    He said the FBI uses electronic eavesdropping only on 
335. complex investigations involving counterterrorism, foreign 
336. intelligence, organized crime, and drugs. "In many of those,'' 
337. he said, we would not be able to succeed without the ability 
338. to lawfully intercept.''
339.  
340.    The State and Commerce departments are limiting 
341. cryptography's spread through the use of export reviews, 
342. although many of these reviews actually are conducted by 
343. the NSA. The National Institute of Standards and Technology,
344. meanwhile, is attempting to impose a government 
345. cryptographic standard that critics charge is flawed, although
346. the NSA defends the standard as adequate for its 
347. intended, limited use.
348.  
349.    "It's clear that the government is unilaterally trying to 
350. implement a policy that it's developed,'' said Jim Bidzos, 
351. president of RSA Data Security, which holds a key cryptography
352. patent. "Whose policy is it, and whose interest does it 
353. serve? Don't we have a right to know what policy they're 
354. pursuing?''
355.  
356.    Bidzos and a growing industry action group charge that 
357. the policy is crippling American business at a critical 
358. moment.
359.  
360.    The White House, Commerce Department, and NIST 
361. refused to comment. 
362.  
363.    The NSA, however, agreed to answer questions posed in 
364. writing by the Houston Chronicle. Its purpose in granting the 
365. rare, if limited, access, a spokesman said, was "to give a true 
366. reflection'' of the policy being implemented by the agency.
367.  
368.    "Our feeling is that cryptography is like nitroglycerin: Use 
369. it sparingly then put it back under trusted care,'' the 
370. spokesman said.
371.  
372.    Companies ranging from telephone service providers to 
373. computer manufacturers and bankers are poised to introduce 
374. new services and products including cryptography. 
375. Users of electronic mail and computer networks can expect 
376. to see cryptography-based privacy enhancements later this 
377. year.
378.  
379.    The technology could allow electronic voting, electronic 
380. cash transactions, and a range of geographically separated 
381. _ but secure _ business and social interactions. Not since 
382. the days before the telephone could the individual claim 
383. such a level of privacy.
384.  
385.    But law enforcement and intelligence interests fear a 
386. world in which it would be impossible to execute a wiretap 
387. or conduct espionage.
388.  
389.    "Secure cryptography widely available outside the United 
390. States clearly has an impact on national security,'' said the 
391. NSA in its 13-page response to the Chronicle. "Secure 
392. cryptography within the United States may impact law 
393. enforcement interests.''
394.  
395.    Although Congress is now evaluating the dispute, a call by 
396. a congressional advisory panel for an open public policy 
397. debate has not yet been heeded, or even acknowledged, by 
398. the administration.
399.  
400.    The FBI nearly won the fight before anyone knew that war 
401. had been declared. Its proposal to outlaw electronic 
402. cryptography was slipped into another bill as an amendment
403. and nearly became law by default last year before 
404. civil liberties watchdogs exposed the move.
405.  
406.    "It's kind of scary really, the FBI proposal being considered
407. as an amendment by just a few people in the 
408. Commerce Committee without really understanding the 
409. basis for it,'' said a congressional source, who requested 
410. anonymity. "For them, I'm sure it seemed innocuous, but 
411. what it represented was a fairly profound public policy 
412. position giving the government rights to basically spy on 
413. anybody and prevent people from stopping privacy infringements.''
414.  
415.    This year, the FBI proposal is back in bolder, stand-alone 
416. legislation that has created a battle line with law enforce
417. ment on one side and the technology industry and privacy 
418. advocates on the other.
419.  
420.    "It says right on its face that they want a remote 
421. government monitoring facility'' through which agents in 
422. Virginia, for instance, could just flip a switch to tap a 
423. conversation in Houston, said Dave Banisar of the Washington 
424. office of Computer Professionals for Social Responsibility.
425.  
426.    Though the bill would not change existing legal restraints 
427. on phone-tapping, it would significantly decrease the practical
428. difficulty of tapping phones _ an ominous development 
429. to those who fear official assaults on personal and corporate 
430. privacy.
431.  
432.    And the proposed ban would defuse emerging technical 
433. protection against those assaults.
434.  
435.    CPSR, the point group for many issues addressing the way 
436. computers affect peoples' lives, is helping lend focus to a 
437. cryptographic counterinsurgency that has slowly grown in 
438. recent months to include such heavyweights as AT&T, DEC, 
439. GTE, IBM, Lotus, Microsoft, Southwestern Bell, and other 
440. computer and communications companies.
441.  
442.    The proposed law would ban the use of secure cryptography 
443. on any message handled by a computerized communications
444. network. It would further force service providers to 
445. build access points into their equipment through which the 
446. FBI _ and conceivably, any police officer at any level _ 
447. could eavesdrop on any conversation without ever leaving 
448. the comfort of headquarters.
449.     
450.    "It's an open-ended and very broad set of provisions that 
451. says the FBI can demand that standards be set that industry 
452. has to follow to ensure that (the FBI) gets access,'' said 
453. a congressional source. "Those are all code words for if they
454. can't break in, they're going to make (cryptography) illegal.
455.     
456.    "This is one of the biggest domestic policy issues facing
457. the country. If you make the wrong decisions, it's going to
458. have a profound effect on privacy and security.''
459.     
460.    The matter is being considered by the House Judiciary 
461. Committee, chaired by Rep. Jack Brooks, D-Texas, who is 
462. writing a revision to the Computer Security Act of 1987, the 
463. government's first pass at secure computing.
464.     
465.    The recent hearings on the matter produced a notable 
466. irony, when FBI Director William Sessions was forced to 
467. justify his stance against cryptography after giving opening 
468. remarks in which he called for stepped-up action to combat 
469. a rising tide of industrial espionage. Secure cryptography 
470. was designed to address such concerns.
471.     
472.    The emergence of the international marketplace is 
473. shaping much of the debate on cryptography. American 
474. firms say they can't compete under current policy, and that 
475. in fact, overseas firms are allowed to sell technology in 
476. America that American firms cannot export.
477.     
478.    "We have decided to do all further cryptographic develop
479. ment overseas,'' said Fred B. Cohen, a noted computer 
480. scientist. "This is because if we do it here, it's against the law 
481. to export it, but if we do it there, we can still import it and 
482. sell it here. What this seems to say is that they can have it, 
483. but I can't sell it to them _ or in other words _ they get the 
484. money from our research.''
485.     
486.    A spokeswoman for the the Software Publishers Association
487. said that such export controls will cost $3-$5 billion in 
488. direct revenue if left in place over the next five years. She 
489. noted the Commerce Department estimate that each $1 
490. billion in direct revenue supports 20,000 jobs.
491.     
492.    The NSA denied any role in limiting the power of 
493. cryptographic schemes used by the domestic public, and 
494. said it approves 90 percent of cryptographic products 
495. referred to NSA by the Department of State for export 
496. licenses. The Commerce Department conducts its own 
497. reviews.
498.     
499.    But the agency conceded that its export approval figures 
500. refer only to products that use cryptology to authenticate a 
501. communication _ the electronic form of a signed business 
502. document _ rather than to provide privacy.
503.     
504.    The NSA, a Defense Department agency created by order 
505. of President Harry Truman to intercept and decode foreign 
506. communications, employs an army of 40,000 code-breakers. 
507. All of its work is done in secret, and it seldom responds to 
508. questions about its activities, so a large reserve of distrust 
509. exists in the technology community.
510.     
511.    NSA funding is drawn from the so-called "black budget,'' 
512. which the Defense Budget Project, a watchdog group, 
513. estimates at $16.3 billion for 1993.
514.     
515.    While the agency has always focused primarily on foreign 
516. espionage, its massive eavesdropping operation often pulls 
517. in innocent Americans, according to James Bamford, author 
518. of "The Puzzle Palace," a book focusing on the NSA's 
519. activities. Significant invasions of privacy occurred in the 
520. 1960s and 1970s, Bamford said. 
521.     
522.    Much more recently, several computer network managers 
523. have acknowledged privately to the Chronicle that NSA has 
524. been given access to data transmitted on their networks _ 
525. without the knowledge of network users who may view the 
526. communications as private electronic mail.
527.     
528.    Electronic cryptology could block such interceptions of 
529. material circulating on regional networks or on Internet _ 
530. the massive international computer link.
531.     
532.    While proponents of the new technology concede the need 
533. for effective law enforcement, some question whether the 
534. espionage needs of the post-Cold War world justify the 
535. government's push to limit these electronic safeguards on 
536. privacy.
537.     
538.    "The real challenge is to get the people who can show 
539. harm to our national security by freeing up this technology 
540. to speak up and tell us what this harm is,'' said John 
541. Gillmore, one of the founders of Sun Microsystems. 
542.     
543.    "When the privacy of millions of people who have cellular 
544. telephones, when the integrity of our computer networks 
545. and our PCs against viruses are up for grabs here, I think the 
546. battleground is going to be counting up the harm and in the 
547. public policy debate trying to strike a balance.''
548.     
549.    But Vinton Cerf, one of the leading figures of the Internet 
550. community, urged that those criticizing national policy 
551. maintain perspective.
552.     
553.    "I want to ask you all to think a little bit before you totally 
554. damn parts of the United States government,'' he said. 
555. "Before you decide that some of the policies that in fact go 
556. against our grain and our natural desire for openness, before 
557. you decide those are completely wrong and unacceptable, I 
558. hope you'll give a little thought to the people who go out 
559. there and defend us in secret and do so at great risk.''
560.  
561. ------------------------------
562.  
563. End of PRIVACY Forum Digest 01.06
564. ************************
565.