home *** CD-ROM | disk | FTP | other *** search
/ Handbook of Infosec Terms 2.0 / Handbook_of_Infosec_Terms_Version_2.0_ISSO.iso / text / privacy / p02_017.txt < prev    next >
Text File  |  1996-09-03  |  23KB  |  566 lines
  1. PRIVACY Forum Digest     Thursday, 13 May 1993     Volume 02 : Issue 17
  2.  
  3.           Moderated by Lauren Weinstein (lauren@vortex.com)
  4.                 Vortex Technology, Topanga, CA, U.S.A.
  5.     
  6.                      ===== PRIVACY FORUM =====
  7.  
  8.          The PRIVACY Forum digest is supported in part by the 
  9.           ACM Committee on Computers and Public Policy.
  10.  
  11.  
  12. CONTENTS
  13.     Clipper on "Wall Street Journal Report" 
  14.        (Lauren Weinstein; PRIVACY Forum Moderator)
  15.     DMV Records (Rasch@DOCKMASTER.NCSC.MIL)
  16.     NIST Advisory Board Seeks Comments on Crypto
  17.        (Clipper-Capstone Chip Info)
  18.  
  19.  
  20.  *** Please include a RELEVANT "Subject:" line on all submissions! ***
  21.             *** Submissions without them may be ignored! ***
  22.  
  23. -----------------------------------------------------------------------------
  24. The Internet PRIVACY Forum is a moderated digest for the discussion and
  25. analysis of issues relating to the general topic of privacy (both personal
  26. and collective) in the "information age" of the 1990's and beyond.  The
  27. moderator will choose submissions for inclusion based on their relevance and
  28. content.  Submissions will not be routinely acknowledged.
  29.  
  30. ALL submissions should be addressed to "privacy@vortex.com" and must have
  31. RELEVANT "Subject:" lines; submissions without appropriate and relevant
  32. "Subject:" lines may be ignored.  Excessive "signatures" on submissions are
  33. subject to editing.  Subscriptions are by an automatic "listserv" system; for
  34. subscription information, please send a message consisting of the word
  35. "help" (quotes not included) in the BODY of a message to:
  36. "privacy-request@vortex.com".  Mailing list problems should be reported to
  37. "list-maint@vortex.com".  All submissions included in this digest represent
  38. the views of the individual authors and all submissions will be considered
  39. to be distributable without limitations. 
  40.  
  41. The PRIVACY Forum archive, including all issues of the digest and all
  42. related materials, is available via anonymous FTP from site "ftp.vortex.com",
  43. in the "/privacy" directory.  Use the FTP login "ftp" or "anonymous", and
  44. enter your e-mail address as the password.  The typical "README" and "INDEX"
  45. files are available to guide you through the files available for FTP
  46. access.  PRIVACY Forum materials may also be obtained automatically via
  47. e-mail through the listserv system.  Please follow the instructions above
  48. for getting the listserv "help" information, which includes details
  49. regarding the "index" and "get" listserv commands, which are used to access
  50. the PRIVACY Forum archive.  All PRIVACY Forum materials are also
  51. available through the Internet Gopher system via a gopher server on
  52. site "gopher.vortex.com".
  53.  
  54. For information regarding the availability of this digest via FAX, please
  55. send an inquiry to privacy-fax@vortex.com, call (310) 455-9300, or FAX
  56. to (310) 455-2364.
  57. -----------------------------------------------------------------------------
  58.  
  59. VOLUME 02, ISSUE 17
  60.  
  61.    Quote for the day:
  62.  
  63.     "Life is like a sewer.  What you get out of it depends
  64.      on what you put into it."
  65.  
  66.         -- Tom Lehrer (1928- )
  67.  
  68.            Preamble to the song "We Will All Go Together
  69.            When We Go" on the album "An Evening Wasted
  70.            with Tom Lehrer" (1953)
  71.  
  72.     
  73. ----------------------------------------------------------------------
  74.  
  75. Date:    Sun, 9 May 93 16:20 PDT
  76. From:    lauren@vortex.com (Lauren Weinstein; PRIVACY Forum Moderator)
  77. Subject: Clipper on "Wall Street Journal Report"
  78.  
  79. Greetings.  Last Sunday's (5/9/93) edition of the television news program
  80. "Wall Street Journal Report" featured a somewhat brief segment on encryption.
  81. Starting with the issues revolving around the theft of U.S. trade secrets
  82. and information by outside governments, it then led to the topic of
  83. encryption systems, mentioning DES, RSA, and finally Clipper. 
  84.  
  85. They discussed the controversy surrounding Clipper, and included brief
  86. soundbites from both NIST and Electronic Frontier Foundation spokespersons.
  87. There was even a brief shot of what was purported to be the Clipper chip
  88. itself (surface mount, I think).  Clipper was identified in the piece
  89. as being developed by NSA, but it was the NIST spokesman who was asked
  90. if a "backdoor" existed in the chip (the reply was "no"... not the biggest
  91. surprise answer ever spoken, to be sure).
  92.  
  93. As short mainstream television media pieces go, it was a reasonably accurate
  94. presentation.  It seemed clear that some officials had presented the view
  95. that society needed to make a decision about the level of security that
  96. should be allowed the public.  The implication seemed clear that this might
  97. involve banning "non-compliant" encryption systems if that view wins out.
  98.  
  99. --Lauren--
  100.  
  101. ------------------------------
  102.  
  103. Date:    Fri, 7 May 93 09:59 EDT
  104. From:    Rasch@DOCKMASTER.NCSC.MIL
  105. Subject: DMV Records
  106.  
  107. I am working on a research project, and need some help.  In how many
  108. states is it illegal for a citizen to obtain DMV records on others?  In
  109. which states are such records publicly available?  What are the
  110. procedures for obtaining such records?  I'd like any help I can get.
  111.  
  112. ------------------------------
  113.  
  114. Date:    Tue, 11 May 93 13:43:21 EDT
  115. From:    Clipper-Capstone Chip Info <clipper@csrc.ncsl.nist.gov>
  116. Subject: NIST Advisory Board Seeks Comments on Crypto
  117.  
  118. Note: This file has been posted to the following groups:
  119.             RISKS Forum
  120.             Privacy Forum
  121.             Sci.crypt
  122.             Alt.privacy.clipper
  123.  
  124. and will be made available for anonymous ftp from csrc.ncsl.nist.gov,
  125. filename pub/nistgen/cryptmtg.txt and for download from the NIST 
  126. Computer Security BBS, 301-948-5717, filename cryptmtg.txt.
  127.  
  128.  
  129. Note: The following notice is scheduled to appear in the Federal Register this
  130. week.  The notice announces a meeting of the Computer System Security and
  131. Privacy Advisory Board (established by the Computer Security Act of 1987) and
  132. solicits public and industry comments on a wide range of cryptographic issues. 
  133. Please note that submissions due by 4:00 p.m. May 27, 1993.  
  134.                -----------------------
  135.  
  136.  
  137.                             DEPARTMENT OF COMMERCE
  138.                 National Institute of Standards and Technology
  139.  
  140.                           Announcing a Meeting of the
  141.  
  142.               COMPUTER SYSTEM SECURITY AND PRIVACY ADVISORY BOARD
  143.  
  144.  
  145. AGENCY:   National Institute of Standards and Technology 
  146.  
  147.  
  148. ACTION:   Notice of Open Meeting
  149.  
  150.  
  151. SUMMARY:  Pursuant to the Federal Advisory Committee Act, 5
  152. U.S.C. App., notice is hereby given that the Computer System
  153. Security and Privacy Advisory Board will meet Wednesday, June 2,
  154. 1993, from 9:00 a.m. to 5:00 p.m.,  Thursday, June 3, 1993, from
  155. 9:00 a.m. to 5:00 p.m., and Friday, June 4, 1993 from 9:00 a.m.
  156. to 1:00 p.m.  The Advisory Board was established by the Computer
  157. Security Act of 1987 (P.L. 100-235) to advise the Secretary of
  158. Commerce and the Director of NIST on security and privacy issues
  159. pertaining to Federal computer systems and report its findings to
  160. the Secretary of Commerce, the Director of the Office of
  161. Management and Budget, the Director of the National Security
  162. Agency, and the appropriate committees of the Congress.  All
  163. sessions will be open to the public.
  164.  
  165. DATES:    The meeting will be held on June 2-4 1993.  On June 2
  166. and 3, 1993 the meeting will take place from 9:00 a.m. to 5:00
  167. p.m. and on June 4, 1993 from 9:00 a.m. to 1:00 p.m.
  168.  
  169. Public submissions (as described below) are due by 4:00 p.m.
  170. (EDT) May 27, 1993 to allow for sufficient time for distribution
  171. to and review by Board members.
  172.  
  173. ADDRESS:   The meeting will take place at the National Institute
  174. of Standards and Technology, Gaithersburg, MD.  On June 2, 1993,
  175. the meeting will be held in the Administration Building, "Red
  176. Auditorium," on June 3 the meeting will be held in the
  177. Administration Building, "Green Auditorium," and on June 4, 1993
  178. in the Administration Building, Lecture Room "B."
  179.  
  180. Submissions (as described below), including copyright waiver if
  181. required, should be addressed to:  Cryptographic Issue
  182. Statements, Computer System Security and Privacy Advisory Board,
  183. Technology Building, Room B-154, National Institute of Standards 
  184. and Technology, Gaithersburg, MD, 20899 or via FAX to 
  185. 301/948-1784.  Submissions, including copyright waiver if
  186. required, may also be sent electronically to
  187. "crypto@csrc.ncsl.nist.gov".
  188.  
  189.  
  190.  
  191.                                       -2-
  192. AGENDA:
  193.  
  194. - Welcome and Review of Meeting Agenda
  195. - Government-developed "Key Escrow" Chip Announcement Review
  196. - Discussion of Escrowed Cryptographic Key Technologies
  197. - Review of Submitted Issue Papers
  198. - Position Presentations & Discussion
  199. - Public Participation
  200. - Annual Report and Pending Business
  201. - Close
  202.  
  203. PUBLIC PARTICIPATION:  
  204.  
  205. This Advisory Board meeting will be devoted to the issue of the
  206. Administration's recently announced government-developed "key
  207. escrow" chip cryptographic technology and, more broadly, to
  208. public use of cryptography and government cryptographic policies
  209. and regulations.  The Board has been asked by NIST to obtain
  210. public comments on this matter for submission to NIST for the
  211. national review that the Administration's has announced it will
  212. conduct of cryptographic-related issues.  Therefore, the Board is
  213. interested in: 1)  obtaining public views and reactions to the
  214. government-developed "key escrow" chip technology announcement,
  215. "key escrow" technology generally, and government cryptographic
  216. policies and regulations 2) hearing selected summaries of written
  217. views that have been submitted, and 3) conducting a general
  218. discussion of these issues in public.
  219.  
  220. The Board solicits all interested parties to submit well-written,
  221. concise issue papers, position statements, and background
  222. materials on areas such as those listed below.  Industry input is
  223. particularly encouraged in addressing the questions below.  
  224.  
  225. Because of the volume of responses expected, submittors are asked
  226. to identify the issues above to which their submission(s) are
  227. responsive.  Submittors should be aware that copyrighted
  228. documents cannot be accepted unless a written waiver is included
  229. concurrently with the submission to allow NIST to reproduce the
  230. material.  Also, company proprietary information should not be
  231. included, since submissions will be made publicly available.  
  232.  
  233. This meeting specifically will not be a tutorial or briefing on
  234. technical details of the government-developed "key escrow" chip
  235. or escrowed cryptographic key technologies.  Those wishing to
  236. address the Board and/or submit written position statements are
  237. requested to be thoroughly familiar with the topic and to have
  238. concise, well-formulated opinions on its societal ramifications. 
  239.  
  240.  
  241.  
  242.  
  243.  
  244.  
  245.                                       -3-
  246.  
  247. Issues on which comments are sought include the following:
  248.  
  249. 1.    CRYPTOGRAPHIC POLICIES AND SOCIAL/PUBLIC POLICY ISSUES
  250.  
  251. Public and Social policy aspects of the government-developed "key
  252. escrow" chip and, more generally, escrowed key technology and
  253. government cryptographic policies.
  254.  
  255. Issues involved in balancing various interests affected by
  256. government cryptographic policies.
  257.  
  258. 2.    LEGAL AND CONSTITUTIONAL ISSUES
  259.  
  260. Consequences of the government-developed "key escrow" chip
  261. technology and, more generally, key escrow technology and
  262. government cryptographic policies.
  263.  
  264. 3.    INDIVIDUAL PRIVACY
  265.  
  266. Issues and impacts of cryptographic-related statutes,
  267. regulations, and standards, both national and international, upon
  268. individual privacy.
  269.  
  270. Issues related to the privacy impacts of the government-developed
  271. "key escrow" chip and "key escrow" technology generally.
  272.  
  273. 4.    QUESTIONS DIRECTED TO AMERICAN INDUSTRY
  274.  
  275. 4.A  Industry Questions: U.S. Export Controls
  276.  
  277. 4.A.1 Exports - General 
  278.  
  279. What has been the impact on industry of past export controls on
  280. products with password and data security features for voice or
  281. data?
  282.  
  283. Can such an impact, if any, be quantified in terms of lost export
  284. sales or market share?  If yes, please provide that impact.
  285.  
  286. How many exports involving cryptographic products did you attempt
  287. over the last five years?  How many were denied?  What reason was
  288. given for denial?
  289.  
  290. Can you provide documentation of sales of cryptographic equipment
  291. which were lost to a foreign competitor, due solely to U.S.
  292. Export Regulations.
  293.  
  294. What are the current market trends for the export sales of
  295. information security devices implemented in hardware solutions? 
  296. For software solutions?
  297.  
  298.  
  299.                                       -4-
  300.  
  301. 4.A.2  Exports - Software
  302.  
  303. If the U.S. software producers of mass market or general purpose
  304. software (word processing, spreadsheets, operating environments,
  305. accounting, graphics, etc.) are prohibited from exporting such
  306. packages with file encryption capabilities, what foreign
  307. competitors in what countries are able and willing to take
  308. foreign market share from U.S. producers by supplying file
  309. encryption capabilities?
  310.  
  311. What is the impact on the export market share and dollar sales of
  312. the U.S. software industry if a relatively inexpensive hardware
  313. solution for voice or data encryption is available such as the
  314. government-developed "key escrow" chip?
  315.  
  316. What has been the impact of U.S. export controls on COMPUTER
  317. UTILITIES software packages such as Norton Utilities and PCTools?
  318.  
  319. What has been the impact of U.S. export controls on exporters of
  320. OTHER SOFTWARE PACKAGES (e.g., word processing) containing file
  321. encryption capabilities?
  322.  
  323. What information does industry have that Data Encryption Standard
  324. (DES) based software programs are widely available abroad in
  325. software applications programs?
  326.  
  327. 4.A.3  Exports - Hardware
  328.  
  329. Measured in dollar sales, units, and transactions, what have been
  330. the historic exports for:
  331.  
  332.             Standard telephone sets
  333.             Cellular telephone sets
  334.             Personal computers and work stations            
  335.             FAX machines
  336.             Modems
  337.             Telephone switches
  338.  
  339. What are the projected export sales of these products if there is
  340. no change in export control policy and if the government-
  341. developed "key escrow" chip is not made available to industry?
  342.  
  343. What are the projected export sales of these products if the
  344. government-developed "key escrow" chip is installed in the above
  345. products, the above products are freely available at an
  346. additional price of no more than $25.00, and the above products
  347. are exported WITHOUT ADDITIONAL LICENSING REQUIREMENTS?
  348.  
  349. What are the projected export sales of these products if the
  350. government-developed "key escrow" chip is installed in the above
  351. products, the above products are freely available at an
  352. additional price of no more than $25.00, and the above products 
  353.  
  354.                                       -5-
  355.  
  356. are to be exported WITH AN ITAR MUNITIONS LICENSING REQUIREMENT
  357. for all destinations?
  358.  
  359. What are the projected export sales of these products if the
  360. government-developed "key escrow" chip is installed in the above
  361. products, the above products are freely available at an
  362. additional price of no more than $25.00, and the above products
  363. are to be exported WITH A DEPARTMENT OF COMMERCE LICENSING
  364. REQUIREMENT for all destinations?
  365.  
  366. 4.A.4  Exports - Advanced Telecommunications 
  367.  
  368. What has been the impact on industry of past export controls on
  369. other advanced telecommunications products?
  370.  
  371. Can such an impact on the export of other advanced
  372. telecommunications products, if any, be quantified in terms of
  373. lost export sales or market share?  If yes, provide that impact.
  374.  
  375.  
  376. 4.B  Industry Questions:  Foreign Import/Export Regulations
  377.  
  378. How do regulations of foreign countries affect the import and
  379. export of products containing cryptographic functions?  Specific
  380. examples of countries and regulations will prove useful.
  381.  
  382.  
  383. 4.C  Industry Questions: Customer Requirements for Cryptography
  384.  
  385. What are current and future customer requirements for information
  386. security by function and industry?  For example, what are current
  387. and future customer requirements for domestic banking,
  388. international banking, funds transfer systems, automatic teller
  389. systems, payroll records, financial information, business plans,
  390. competitive strategy plans, cost analyses, research and
  391. development records, technology trade secrets, personal privacy
  392. for voice communications, and so forth?  What might be good
  393. sources of such data?
  394.  
  395. What impact do U.S. Government mandated information security
  396. standards for defense contracts have upon demands by other
  397. commercial users for information security systems in the U.S.? 
  398. In foreign markets?
  399.  
  400. What threats are your product designed to protect against?  What
  401. threats do you consider unaddressed?
  402.  
  403. What demand do you foresee for a) cryptographic only products,
  404. and b) products incorporating cryptography in: 1) the domestic
  405. market, 2) in the foreign-only market, and 3) in the global
  406. market?
  407.  
  408.  
  409.                                       -6-
  410.  
  411. 4.D  Industry Questions:  Standards
  412.  
  413. If the European Community were to announce a non-DES, 
  414. non-public key European Community Encryption Standard (ECES), how
  415. would your company react?  Include the new standard in product
  416. line?  Withdraw from the market?  Wait and see? 
  417.  
  418. What are the impacts of government cryptographic standards on
  419. U.S. industry (e.g., Federal Information Processing Standard 46-1
  420. [the Data Encryption Standard] and the proposed Digital Signature
  421. Standard)?
  422.  
  423.  
  424. 5.  QUESTIONS DIRECTED TO THE AMERICAN BUSINESS COMMUNITY
  425.  
  426. 5.A  American Business:  Threats and Security Requirements
  427.  
  428. Describe, in detail, the threat(s), to which you are exposed and
  429. which you believe cryptographic solutions can address.
  430.  
  431. Please provide actual incidents of U.S. business experiences with
  432. economic espionage which could have been thwarted by applications
  433. of cryptographic technologies.
  434.  
  435. What are the relevant standards of care that businesses must
  436. apply to safeguard information and what are the sources of those
  437. standards other than Federal standards for government
  438. contractors?
  439.  
  440. What are U.S. business experiences with the use of cryptography
  441. to protect against economic espionage, (including current and
  442. projected investment levels in cryptographic products)?
  443.  
  444.  
  445. 5.B  American Business:  Use of Cryptography
  446.  
  447. Describe the types of cryptographic products now in use by your
  448. organization.  Describe the protection they provide (e.g., data
  449. encryption or data integrity through digital signatures).  Please
  450. indicate how these products are being used.
  451.  
  452. Describe any problems you have encountered in finding,
  453. installing, operating, importing, or exporting cryptographic
  454. devices.
  455.  
  456. Describe current and future uses of cryptographic technology to
  457. protect commercial information (including types of information
  458. being protected and against what threats).
  459.  
  460. Which factors in the list below inhibit your use of cryptographic
  461. products?
  462.  
  463.  
  464.                                       -7-
  465.  
  466. Please rank:
  467.  
  468. --    no need
  469. --    no appropriate product on market
  470. --    fear of interoperability problems
  471. --    regulatory concerns
  472. --       a) U.S. export laws
  473. --       b) foreign country regulations
  474. --       c) other
  475. --    cost of equipment
  476. --    cost of operation
  477. --    other
  478.  
  479. Please comment on any of these factors.
  480.  
  481. In your opinion, what is the one most important
  482. unaddressed need involving cryptographic technology?
  483.  
  484. Please provide your views on the adequacy of the government-
  485. developed "key escrow" chip technological approach for the
  486. protection of all your international voice and data communication
  487. requirements.  Comments on other U.S. Government cryptographic
  488. standards?
  489.  
  490. 6.  OTHER
  491.  
  492. Please describe any other impacts arising from Federal government
  493. cryptographic policies and regulations. 
  494.  
  495. Please describe any other impacts upon the Federal government in
  496. the protection of unclassified computer systems.  
  497.  
  498. Are there any other comments you wish to share?
  499.  
  500. The Board agenda will include a period of time, not to exceed ten
  501. hours, for oral presentations of summaries of selected written
  502. statements submitted to the Board by May 27, 1993.  As
  503. appropriate and to the extent possible, speakers addressing the
  504. same topic will be grouped together.  Speakers, prescheduled by
  505. the Secretariat and notified in advance, will be allotted fifteen
  506. to thirty minutes to orally present their written statements. 
  507. Individuals and organizations submitting written materials are
  508. requested to advise the Secretariat if they would be interested
  509. in orally summarizing their materials for the Board at the
  510. meeting.
  511.  
  512. Another period of time, not to exceed one hour, will be reserved
  513. for oral comments and questions from the public.  Each speaker
  514. will be allotted up to five minutes; it will be necessary to
  515. strictly control the length of presentations to maximize public
  516. participation and the number of presentations.
  517.  
  518.  
  519.                                       -8-
  520.  
  521. Except as provided for above, participation in the Board's
  522. discussions during the meeting will be at the discretion of the
  523. Designated Federal Official.
  524.  
  525. Approximately thirty seats will be available for the public,
  526. including three seats reserved for the media.  Seats will be
  527. available on a first-come, first-served basis.  
  528.  
  529. FOR FURTHER INFORMATION CONTACT:  Mr. Lynn McNulty, Executive
  530. Secretary and Associate Director for Computer Security, Computer
  531. Systems Laboratory, National Institute of Standards and
  532. Technology, Building 225, Room B154, Gaithersburg, Maryland
  533. 20899, telephone: (301) 975-3240.
  534.  
  535. SUPPLEMENTARY INFORMATION:  Background information on the
  536. government-developed "key escrow" chip proposal is available from
  537. the Board Secretariat; see address in "for further information"
  538. section.  Also, information on the government-developed "key
  539. escrow" chip is available electronically from the NIST computer
  540. security bulletin board, phone 301-948-5717.
  541.  
  542. The Board intends to stress the public and social policy aspects,
  543. the legal and Constitutional consequences of this technology, and
  544. the impacts upon American business and industry during its
  545. meeting.  
  546.  
  547. It is the Board's intention to create, as a product of this
  548. meeting, a publicly available digest of the important points of
  549. discussion, conclusions (if any) that might be reached, and an
  550. inventory of the policy issues that need to be considered by the
  551. government.  Within the procedures described above, public
  552. participation is encouraged and solicited.
  553.  
  554.  
  555. /signed/
  556. Raymond G. Kammer, Acting Director
  557.  
  558.  
  559. May 10, 1993
  560. Date  
  561.  
  562. ------------------------------
  563.  
  564. End of PRIVACY Forum Digest 02.17
  565. ************************
  566.