home *** CD-ROM | disk | FTP | other *** search
/ Handbook of Infosec Terms 2.0 / Handbook_of_Infosec_Terms_Version_2.0_ISSO.iso / text / privacy / p02_013.txt < prev    next >
Text File  |  1996-09-03  |  19KB  |  420 lines
  1. PRIVACY Forum Digest     Saturday, 17 April 1993     Volume 02 : Issue 13
  2.  
  3.          Moderated by Lauren Weinstein (lauren@cv.vortex.com)
  4.                 Vortex Technology, Topanga, CA, U.S.A.
  5.     
  6.                      ===== PRIVACY FORUM =====
  7.  
  8.          The PRIVACY Forum digest is supported in part by the 
  9.           ACM Committee on Computers and Public Policy.
  10.  
  11.  
  12. CONTENTS
  13.     *** Special Issue on "Clipper" Encryption System ***
  14.  
  15.     White House Public Encryption Management Fact Sheet
  16.        (Clipper Chip Announcement)
  17.     Clipper chip encryption (Bruce O'Neel)
  18.     CPSR Calls for Public Debate (Dave Banisar)
  19.     Which countries outlaw encryption? (Dave Bakken)
  20.     Initial EFF Analysis of Clinton Privacy and Security Proposal
  21.            (EFFector Online Volume 5 No. 6)
  22.  
  23.  
  24.  *** Please include a RELEVANT "Subject:" line on all submissions! ***
  25.             *** Submissions without them may be ignored! ***
  26.  
  27. -----------------------------------------------------------------------------
  28. The PRIVACY Forum is a moderated digest for the discussion and analysis of
  29. issues relating to the general topic of privacy (both personal and
  30. collective) in the "information age" of the 1990's and beyond.  The
  31. moderator will choose submissions for inclusion based on their relevance and
  32. content.  Submissions will not be routinely acknowledged.
  33.  
  34. ALL submissions should be addressed to "privacy@cv.vortex.com" and must have
  35. RELEVANT "Subject:" lines.  Submissions without appropriate and relevant
  36. "Subject:" lines may be ignored.  Subscriptions are by an automatic
  37. "listserv" system; for subscription information, please send a message
  38. consisting of the word "help" (quotes not included) in the BODY of a message
  39. to: "privacy-request@cv.vortex.com".  Mailing list problems should be
  40. reported to "list-maint@cv.vortex.com".  All submissions included in this
  41. digest represent the views of the individual authors and all submissions
  42. will be considered to be distributable without limitations. 
  43.  
  44. The PRIVACY Forum archive, including all issues of the digest and all
  45. related materials, is available via anonymous FTP from site "cv.vortex.com",
  46. in the "/privacy" directory.  Use the FTP login "ftp" or "anonymous", and
  47. enter your e-mail address as the password.  The typical "README" and "INDEX"
  48. files are available to guide you through the files available for FTP
  49. access.  PRIVACY Forum materials may also be obtained automatically via
  50. e-mail through the listserv system.  Please follow the instructions above
  51. for getting the listserv "help" information, which includes details
  52. regarding the "index" and "get" listserv commands, which are used to access
  53. the PRIVACY Forum archive.  All PRIVACY Forum materials are also
  54. available through the Internet Gopher system via a gopher server on
  55. site "cv.vortex.com".
  56.  
  57. For information regarding the availability of this digest via FAX, please
  58. send an inquiry to privacy-fax@cv.vortex.com, call (310) 455-9300, or FAX
  59. to (310) 455-2364.
  60. -----------------------------------------------------------------------------
  61.  
  62. VOLUME 02, ISSUE 13
  63.  
  64.    Quote for the day:
  65.  
  66.     "Listen, do you want to know a secret?
  67.      Do you promise not to tell?"
  68.  
  69.         -- "Do You Want to Know a Secret?"
  70.             John Lennon / Paul McCartney; 1963
  71.     
  72. ----------------------------------------------------------------------
  73.  
  74. Date:    Fri, 16 Apr 93 16:42:31 EDT
  75. From:    Clipper Chip Announcement <clipper@first.org>
  76. Subject: White House Public Encryption Management Fact Sheet
  77.  
  78.  
  79. Note:     The following was released by the White House today in
  80.           conjunction with the announcement of the Clipper Chip
  81.           encryption technology.
  82.  
  83.                            FACT SHEET
  84.  
  85.                   PUBLIC ENCRYPTION MANAGEMENT
  86.  
  87. The President has approved a directive on "Public Encryption
  88. Management."  The directive provides for the following:
  89.  
  90. Advanced telecommunications and commercially available encryption
  91. are part of a wave of new computer and communications technology. 
  92. Encryption products scramble information to protect the privacy of
  93. communications and data by preventing unauthorized access. 
  94. Advanced telecommunications systems use digital technology to
  95. rapidly and precisely handle a high volume of communications. 
  96. These advanced telecommunications systems are integral to the
  97. infrastructure needed to ensure economic competitiveness in the
  98. information age.
  99.  
  100. Despite its benefits, new communications technology can also
  101. frustrate lawful government electronic surveillance.  Sophisticated
  102. encryption can have this effect in the United States.  When
  103. exported abroad, it can be used to thwart foreign intelligence
  104. activities critical to our national interests.  In the past, it has
  105. been possible to preserve a government capability to conduct
  106. electronic surveillance in furtherance of legitimate law
  107. enforcement and national security interests, while at the same time
  108. protecting the privacy and civil liberties of all citizens.  As
  109. encryption technology improves, doing so will require new,
  110. innovative approaches.
  111.  
  112. In the area of communications encryption, the U. S. Government has
  113. developed a microcircuit that not only provides privacy through
  114. encryption that is substantially more robust than the current
  115. government standard, but also permits escrowing of the keys needed
  116. to unlock the encryption.  The system for the escrowing of keys
  117. will allow the government to gain access to encrypted information
  118. only with appropriate legal authorization.
  119.  
  120. To assist law enforcement and other government agencies to collect
  121. and decrypt, under legal authority, electronically transmitted
  122. information, I hereby direct the following action to be taken:
  123.  
  124. INSTALLATION OF GOVERNMENT-DEVELOPED MICROCIRCUITS
  125.  
  126. The Attorney General of the United States, or her representative,
  127. shall request manufacturers of communications hardware which
  128. incorporates encryption to install the U.S. government-developed
  129. key-escrow microcircuits in their products.  The fact of law
  130. enforcement access to the escrowed keys will not be concealed from
  131. the American public.  All appropriate steps shall be taken to
  132. ensure that any existing or future versions of the key-escrow
  133. microcircuit are made widely available to U.S. communications
  134. hardware manufacturers, consistent with the need to ensure the
  135. security of the key-escrow system.  In making this decision, I do
  136. not intend to prevent the private sector from developing, or the
  137. government from approving, other microcircuits or algorithms that
  138. are equally effective in assuring both privacy and a secure key-
  139. escrow system.
  140.  
  141. KEY-ESCROW
  142.  
  143. The Attorney General shall make all arrangements with appropriate
  144. entities to hold the keys for the key-escrow microcircuits
  145. installed in communications equipment.  In each case, the key
  146. holder must agree to strict security procedures to prevent
  147. unauthorized release of the keys.  The keys shall be released only
  148. to government agencies that have established their authority to
  149. acquire the content of those communications that have been
  150. encrypted by devices containing the microcircuits.  The Attorney
  151. General shall review for legal sufficiency the procedures by which
  152. an agency establishes its authority to acquire the content of such
  153. communications.
  154.  
  155. PROCUREMENT AND USE OF ENCRYPTION DEVICES
  156.  
  157. The Secretary of Commerce, in consultation with other appropriate
  158. U.S. agencies, shall initiate a process to write standards to
  159. facilitate the procurement and use of encryption devices fitted
  160. with key-escrow microcircuits in federal communications systems
  161. that process sensitive but unclassified information.  I expect this
  162. process to proceed on a schedule that will permit promulgation of
  163. a final standard within six months of this directive. 
  164.  
  165. The Attorney General will procure and utilize encryption devices to
  166. the extent needed to preserve the government's ability to conduct
  167. lawful electronic surveillance and to fulfill the need for secure
  168. law enforcement communications.  Further, the Attorney General
  169. shall utilize funds from the Department of Justice Asset Forfeiture
  170. Super Surplus Fund to effect this purchase.
  171.  
  172. ------------------------------
  173.  
  174. Date:    Fri, 16 Apr 93 16:59:16 EDT
  175. From:    oneel@aplcenmp.apl.jhu.edu (Bruce O'Neel)
  176. Subject: Clipper chip encryption
  177.  
  178. In Volume 02, Issue 12:
  179. > For Immediate Release                           April 16, 1993
  182. >                 STATEMENT BY THE PRESS SECRETARY
  185. > The President today announced a new initiative that will bring
  186. > the Federal Government together with industry in a voluntary
  187. > program to improve the security and privacy of telephone
  188. > communications while meeting the legitimate needs of law
  189. > enforcement.
  190.  
  191. A few thoughts from a practical vein rather than  a subversive vein
  192. from someone who isn't a cryptographer and doesn't play one on TV... 
  193.  
  194. 1.  What's an "encryption" device?  Is a V.32 modem one?  Without
  195. another modem it's pretty hard to figure out what's going on.   What
  196. about programs such as compress?  With out the "key" of the
  197. compress/decompress program it's a bit difficult to decode compressed
  198. files.  
  199.  
  200. 2.  What happens if I make for my own use an "encryption" device for
  201. data and/or voice communications?  Will that become illegal?  The
  202. Press Secretary dodged the question about individuals purchasing the
  203. chips.   Or will transmission methods only be encryption if I use
  204. unpublished methods and non-commercial devices?  Say I come up with a
  205. breakthrough to compress voice and can multiplex multiple voice
  206. channels together on a regular telephone circuit.  If I make a one-off
  207. device to do this (one for each end of the circuit) is this
  208. encryption?  Will I have to get a permit to use it?
  209.  
  210. 3.  Does that mean that voice/data communications would have to have
  211. "headers" telling what the "encryption" method is?  [The following is
  212. in ascii text] ABC [The following is in ...] and so on.   Will
  213. UUENCODE become encryption? 
  214.  
  215. 4.  Will we therefore get "approved" or "standardized" transmission
  216. formats?  You don't need a permit|permission|whatever to stay within
  217. the law if you use ascii, LZ compressed ascii, english over telephones
  218. and so on?
  219.  
  220. 5. What if I use some sort of Huffman compression and transmit the
  221. frequency table in a separate message?  Common algorithm but without
  222. the "key" in the form of a frequency table it'll be a bit difficult to
  223. figure out.
  224.  
  225. Just some thoughts.
  226.  
  227. bruce
  228. -- 
  229. Measure with a micrometer.  Mark with chalk.  Cut with an axe.
  230.  
  231. ------------------------------
  232.  
  233. Date:    Fri, 16 Apr 1993 16:43:02 EST    
  234. From:    Dave Banisar <banisar@washofc.cpsr.org>
  235. Subject: CPSR Calls for Public Debate
  236.  
  237. April 16, 1993
  238. Washington, DC
  239.  
  240.                COMPUTER PROFESSIONALS CALL FOR PUBLIC 
  241.            DEBATE ON NEW GOVERNMENT ENCRYPTION INITIATIVE
  242.  
  243.     Computer Professionals for Social Responsibility (CPSR) 
  244. today called for the public disclosure of technical data 
  245. underlying the government's newly-announced "Public Encryption 
  246. Management" initiative.  The new cryptography scheme was 
  247. announced today by the White House and the National Institute 
  248. for Standards and Technology (NIST), which will implement the 
  249. technical specifications of the plan.  A NIST spokesman 
  250. acknowledged that the National Security Agency (NSA), the super-
  251. secret military intelligence agency, had actually developed the 
  252. encryption technology around which the new initiative is built.
  253.  
  254.     According to NIST, the technical specifications and the 
  255. Presidential directive establishing the plan are classified.  To 
  256. open the initiative to public review and debate, CPSR today 
  257. filed a series of Freedom of Information Act (FOIA) requests 
  258. with key agencies, including NSA, NIST, the National Security 
  259. Council and the FBI for information relating to the encryption 
  260. plan.  The CPSR requests are in keeping with the spirit of the 
  261. Computer Security Act, which Congress passed in 1987 in order to 
  262. open the development of non-military computer security standards 
  263. to public scrutiny and to limit NSA's role in the creation of 
  264. such standards.
  265.  
  266.     CPSR previously has questioned the role of NSA in 
  267. developing the so-called "digital signature standard" (DSS), a 
  268. communications authentication technology that NIST proposed for 
  269. government-wide use in 1991.  After CPSR sued NIST in a FOIA 
  270. lawsuit last year, the civilian agency disclosed for the first 
  271. time that NSA had, in fact, developed that security standard.  
  272. NSA is due to file papers in federal court next week justifying 
  273. the classification of records concerning its creation of the 
  274. DSS.
  275.  
  276.     David Sobel, CPSR Legal Counsel, called the 
  277. administration's apparent commitment to the privacy of 
  278. electronic communications, as reflected in today's official 
  279. statement,  "a step in the right direction."  But he questioned 
  280. the propriety of NSA's role in the process and the apparent 
  281. secrecy that has thus far shielded the development process from 
  282. public scrutiny.  "At a time when we are moving towards the 
  283. development of a new information infrastructure, it is vital 
  284. that standards designed to protect personal privacy be 
  285. established openly and with full public participation.  It is 
  286. not appropriate for NSA -- an agency with a long tradition of 
  287. secrecy and opposition to effective civilian cryptography -- to 
  288. play a leading role in the development process." 
  289.  
  290.     CPSR is a national public-interest alliance of computer 
  291. industry professionals dedicated to examining the impact of 
  292. technology on society.   CPSR has 21 chapters in the U.S. and 
  293. maintains offices in Palo Alto, California, Cambridge, 
  294. Massachusetts and Washington, DC.  For additional information on 
  295. CPSR, call (415) 322-3778 or e-mail <cpsr@csli.stanford.edu>.
  296.  
  297. ------------------------------
  298.  
  299. Date:    Fri, 16 Apr 1993 14:51:36 MST
  300. From:    "Dave Bakken" <bakken@cs.arizona.edu>
  301. Subject: Which countries outlaw encryption?
  302.  
  303. Friday's announcement about the new Clipper Chip 
  304. mentioned in passing that some countries have effectively
  305. outlawed encryption.  Where can one find a list of such countries
  306. or a paper discussing this?  Thanks!
  307.  
  308. ------------------------------
  309.  
  310. Date:    Fri, 16 Apr 1993 23:00:00 PDT
  311. From:    "EFFector Online Volume 5 No. 6"
  312. Subject: Initial EFF Analysis of Clinton Privacy and Security Proposal
  313.  
  314.     [ This item is extracted from "EFF Effector Online" Volume 5 No. 6.
  315.       Contact address is "editors@eff.org". -- MODERATOR ]
  316.  
  317.  
  318.                        April 16, 1993
  319.  
  320.       INITIAL EFF ANALYSIS OF CLINTON PRIVACY AND SECURITY  
  321.                            PROPOSAL
  322.  
  323.        The Clinton Administration today made a major announcement 
  324. on cryptography policy which will effect the privacy and security of 
  325. millions of Americans.  The first part of the plan is to begin a 
  326. comprehensive inquiry into major communications privacy issues 
  327. such as export controls which have effectively denied most people 
  328. easy access to robust encryption as well as law enforcement issues 
  329. posed by new technology.
  330.  
  331.        However, EFF is very concerned that the Administration has 
  332. already reached a conclusion on one critical part of the inquiry, before 
  333. any public comment or discussion has been allowed.  Apparently, the 
  334. Administration is going to use its leverage to get all telephone 
  335. equipment vendors to adopt a voice encryption standard developed 
  336. by the National Security Agency. The so-called "Clipper Chip" is an 
  337. 80-bit, split key escrowed encryption scheme which will be built into 
  338. chips manufactured by a military contractor.  Two separate escrow 
  339. agents would store users' keys, and be required to turn them over 
  340. law enforcement upon presentation of a valid warrant.  The 
  341. encryption scheme used is to be classified, but they chips will be 
  342. available to any manufacturer for incorporation into their 
  343. communications products.
  344.  
  345.        This proposal raises a number of serious concerns .
  346.  
  347.        First, the Administration appears to be adopting a solution 
  348. before conducting an inquiry.  The NSA-developed Clipper chip may 
  349. not be the most secure product. Other vendors or developers may 
  350. have better schemes. Furthermore, we should not rely on the 
  351. government as the sole source for Clipper or any other chips.  Rather,
  352. independent chip manufacturers should be able to produce chipsets 
  353. based on open standards.
  354.  
  355.        Second, an algorithm can not be trusted unless it can be tested. 
  356. Yet the Administration proposes to keep the chip algorithm 
  357. classified.  EFF believes that any standard adopted ought to be public 
  358. and open.  The public will only have confidence in the security of a 
  359. standard that is open to independent, expert scrutiny.  
  360.  
  361.        Third, while the use of the split-key, dual-escrowed 
  362. system may prove to be a reasonable balance between privacy and 
  363. law enforcement needs, the details of this scheme must be explored 
  364. publicly before it is adopted.  What will give people confidence in the 
  365. safety of their keys?  Does disclosure of keys to a third party waive 
  366. individual's fifth amendment rights in subsequent criminal 
  367. inquiries?  
  368.  
  369.        In sum, the Administration has shown great sensitivity to the 
  370. importance of these issues by planning a comprehensive inquiry into 
  371. digital privacy and security.  However, the "Clipper chip" solution 
  372. ought to be considered as part of the inquiry, not be adopted before 
  373. the discussion even begins.
  374.  
  375. DETAILS OF THE PROPOSAL:
  376.  
  377. ESCROW
  378.  
  379. The 80-bit key will be divided between two escrow agents, each of 
  380. whom hold 40 bits of each key.  Upon presentation of a valid 
  381. warrant, the two escrow agents would have to turn the key parts 
  382. over to law enforcement agents.  Most likely the Attorney General 
  383. will be asked to identify appropriate escrow agents.  Some in the 
  384. Administration have suggested one non-law enforcement federal 
  385. agency, perhaps the Federal Reserve, and one non-governmental 
  386. organization.  But, there is no agreement on the identity of the agents 
  387. yet.
  388.  
  389. Key registration would be done by the manufacturer of the 
  390. communications device.  A key is tied to the device, not to the person 
  391. using it.
  392.  
  393. CLASSIFIED ALGORITHM AND THE POSSIBILITY OF BACK DOORS
  394.  
  395. The Administration claims that there are no back door means by 
  396. which the government or others could break the code without 
  397. securing keys from the escrow agents and that the President will 
  398. be told there are no back doors to this classified algorithm.  In order 
  399. to prove this, Administration sources are interested in arranging for 
  400. an all-star crypto cracker team to come in, under a security 
  401. arrangement, and examine the algorithm for trap doors.  The results 
  402. of the investigation would then be made public.
  403.  
  404. GOVERNMENT AS MARKET DRIVER
  405.  
  406. In order to get a market moving, and to show that the government 
  407. believes in the security of this system, the feds will be the first big 
  408. customers for this product.  Users will include the FBI, Secret Service, 
  409. VP Al Gore, and maybe even the President. 
  410.  
  411. FROM MORE INFORMATION CONTACT:
  412.  
  413. Jerry Berman, Executive Director
  414. Daniel J. Weitzner, Senior Staff Counsel
  415.  
  416. ------------------------------
  417.  
  418. End of PRIVACY Forum Digest 02.13
  419. ************************
  420.