home *** CD-ROM | disk | FTP | other *** search

---

/ Handbook of Infosec Terms 2.0 / Handbook_of_Infosec_Terms_Version_2.0_ISSO.iso / text / privacy / p02_019.txt

< prev

next >

Wrap

Text File  |  1996-09-03  |  38KB  |  806 lines

---

1. PRIVACY Forum Digest        Friday, 4 June 1993        Volume 02 : Issue 19
2.  
3.           Moderated by Lauren Weinstein (lauren@vortex.com)
4.                 Vortex Technology, Topanga, CA, U.S.A.
5.     
6.                      ===== PRIVACY FORUM =====
7.  
8.          The PRIVACY Forum digest is supported in part by the 
9.           ACM Committee on Computers and Public Policy.
10.  
11.  
12. CONTENTS
13.     Re: Can Wiretaps Remain Cost-Effective? (Barry Jaspan)
14.     Clipper Chip (bstrauss@BIX.com)
15.     Re: California law requiring ID at all times (Mel Beckman)
16.     Clinton Goes Online with E-Mail (Tansin A. Darcos & Company)
17.     White House Gets a Real Internet Address (Nigel Allen)
18.     House of Representatives On-Line (Mark Boolootian)
19.     CPSR Seeks Clipper Docs (Dave Banisar)
20.     CPSR NIST Crypto Statement (David Sobel)
21.  
22.  
23.  *** Please include a RELEVANT "Subject:" line on all submissions! ***
24.             *** Submissions without them may be ignored! ***
25.  
26. -----------------------------------------------------------------------------
27. The Internet PRIVACY Forum is a moderated digest for the discussion and
28. analysis of issues relating to the general topic of privacy (both personal
29. and collective) in the "information age" of the 1990's and beyond.  The
30. moderator will choose submissions for inclusion based on their relevance and
31. content.  Submissions will not be routinely acknowledged.
32.  
33. ALL submissions should be addressed to "privacy@vortex.com" and must have
34. RELEVANT "Subject:" lines; submissions without appropriate and relevant
35. "Subject:" lines may be ignored.  Excessive "signatures" on submissions are
36. subject to editing.  Subscriptions are by an automatic "listserv" system; for
37. subscription information, please send a message consisting of the word
38. "help" (quotes not included) in the BODY of a message to:
39. "privacy-request@vortex.com".  Mailing list problems should be reported to
40. "list-maint@vortex.com".  All submissions included in this digest represent
41. the views of the individual authors and all submissions will be considered
42. to be distributable without limitations. 
43.  
44. The PRIVACY Forum archive, including all issues of the digest and all
45. related materials, is available via anonymous FTP from site "ftp.vortex.com",
46. in the "/privacy" directory.  Use the FTP login "ftp" or "anonymous", and
47. enter your e-mail address as the password.  The typical "README" and "INDEX"
48. files are available to guide you through the files available for FTP
49. access.  PRIVACY Forum materials may also be obtained automatically via
50. e-mail through the listserv system.  Please follow the instructions above
51. for getting the listserv "help" information, which includes details
52. regarding the "index" and "get" listserv commands, which are used to access
53. the PRIVACY Forum archive.  All PRIVACY Forum materials are also
54. available through the Internet Gopher system via a gopher server on
55. site "gopher.vortex.com".
56.  
57. For information regarding the availability of this digest via FAX, please
58. send an inquiry to privacy-fax@vortex.com, call (310) 455-9300, or FAX
59. to (310) 455-2364.
60. -----------------------------------------------------------------------------
61.  
62. VOLUME 02, ISSUE 19
63.  
64.    Quote for the day:
65.  
66.     "When I play with my cat, who knows whether she isn't amusing
67.          herself with me more than I am with her?"
68.  
69.                 -- Montaigne (1533-1592)
70.  
71.     
72. ----------------------------------------------------------------------
73.  
74. Date:    Fri, 28 May 93 11:07:56 EDT
75. From:    "Barry Jaspan" <bjaspan@gza.com>
76. Subject: Re: Can Wiretaps Remain Cost-Effective? (Robin Hanson)
77.  
78. Robin Hanson writes:
79. >> So why not let phone companies sell police the option to perform legal
80. >> wiretaps on given sets of phone lines, at whatever price the two
81. >> parties can negotiate?
82.  
83. I agreed, or at least sympathized, with Hanson's argument up to this
84. point, but I think the privatizing of law enforcement is not
85. necessarily a good idea.
86.  
87. Why not let landlords sell police the option to perform legal searches
88. in homes they manage?  Why not allow company executives sell police
89. the option to perform legal investigations into the business-related
90. activities of employees?
91.  
92. The answer is that it would put the seller of the option in a position
93. to control the possibility of a criminal investigation being pursued.
94. What if the phone comany, the landlord, or the company executive was
95. in on the crime being committed?  The possibilities for corruption
96. and, more generally, social and political complications are immense.
97.  
98. This is not to say that law enforcement officials aren't equally
99. subject to these problems (they are), but there are stricter
100. guidelines governing their behavior.  It would be bad for business if
101. the person at the phone company with the authority the negotiate with
102. the police had to have a security clearance, etc.
103.  
104. Just my $.02.
105.  
106. Barry Jaspan, bjaspan@gza.com
107.  
108. ------------------------------
109.  
110. Date:    Fri, 28 May 1993 23:49:10 -0400 (EDT)
111. From:    bstrauss@BIX.com
112. Subject: Clipper Chip
113.  
114. One of the things I've not seen discussed in the clipper chip debate is
115. a worst case scenario.  Clipper chip is mandatory and all other forms of
116. encryption are banned.  Given the reality of electronic communications
117. (witness the inability of the USSR to control information flow once
118. computers started to become common place), I wonder if the government really
119. thinks they can manage the flow.  Even if there is a backdoor in clipper and
120. they can crack, trivially, every conversation 'they' want, how does the
121. government (nefarious FBI, NSA, etc people) expect to sift the 'interesting'
122. things from the sheer volume?
123.  
124. Suppose two people want to exchange dastardly messages.  Further suppose they
125. agree that every thousandth message is important and they program their 
126. computers to exchange 999 messages per day -- meaningless, random garbage...
127. Or even bad computer generated poetry -- perfect place to hide coded messages.
128.  
129. One of the key military technologies is traffic analysis -- even if you
130. can't read the meaning, a sudden increase in traffic is an indication that
131. 'something' is up.  But there is 999 or 1000 messages per day, and nothing
132. to set off a traffic alert.
133.  
134. How can government expect to manage this information flow, especially as
135. it grows 10x or 100x over the next years?
136.  
137. -----Burton
138.  
139. ------------------------------
140.  
141. Date:    Sun, 30 May 93 07:45:38 PST
142. From:    mbeckman@mbeckman.com (Mel Beckman)
143. Subject: Re: California law requiring ID at all times
144.  
145. In Regards to your letter <m0nyxeI-00020DC@vortex.com>:
146. > A couple of nights ago on the local TV news I heard that 
147. > California now requires that all adults carry identification 
148. > at all times.
149.  
150. I live in Southern California.  This was news to me, so I called two
151. different police agencies: the Ventura County Sherrif's Association, and the
152. Santa Barbara Police Dept. Both said that no, nobody is required to carry ID
153. at all times. However, if stopped by a police officer, a citizen is to
154. assume that the officer has reasonable cause and thus produce any
155. identification they're carrying. The officer (assuming reasonable cause) may
156. perform a surface search for ID to verify a claim of nonposession.
157.  
158. This has an interesting intersection with the INS (Immigration and
159. Naturalization Service) here in Southern California. The INS routinely stops
160. people and asks them to produce their "green card", or legal alien
161. registration. I've recently had occassion to ask the INS under what
162. conditions they may stop and demand proof of citizenship. An INS officer
163. told me that they can stop anybody and ask for a green card if they have the
164. infamous "reasonable cause" -- and that reasonable cause can be "ethnic
165. appearance!". However, if the person says they are a US Citizen, they
166. instantly do not have to produce any further documentation and must be
167. released. According to the Sherrif's department, the INS doesn't enjoy the
168. State law enforcer's privilege of obtaining whatever ID the person _is_
169. carrying.
170.  
171. I plan to look up the specific statutes and will report them here.
172.  
173.   -mel
174. ________________________________________________________________________
175. | Mel beckman                  |   Internet: mbeckman@mbeckman.com     |
176. | Beckman Software Engineering | Compuserve: 75226,2257                |
177. | Ventura, CA 93003            |  Voice/fax: 805/647-1641 805/647-3125 |
178. |______________________________|_______________________________________|
179.  "You can observe a lot just by watching."  -Yogi Berra
180.  
181. ------------------------------
182.  
183. Date:    Wed, 2 Jun 1993 20:59:24 -0400 (EDT)
184. From:    "Tansin A. Darcos & Company" <0005066432@mcimail.com>
185. Subject: Clinton Goes Online with E-Mail
186.  
187. >> From: Paul Robinson <TDARCOS@MCIMAIL.COM>
188. >> Organization: Tansin A. Darcos & Company, Silver Spring, MD USA
189. -----
190. Just reported today (6/2) on page F3 of The Washington Post:
191.  
192. "Move over 1600 Pennsylvania Avenue, Bill Clinton has a second 
193. address:  president@whitehouse.gov".
194.  
195. Several paragraphs later, it reports:
196.  
197. "People who send complaints or praise by E-Mail won't reach the president
198. directly or jump the queue in getting attention.  The messages will be
199. read by the White House correspondence staff, with the same priority as
200. paper letters. 
201.  
202. A sampling will be show to the president and Vice President Al Gore, 
203. who made White House E-Mail a personal priority.  (His address:
204. vice.president@whitehouse.gov)."
205.  
206. "The White House already had addresses with three commercial E-Mail
207. services.  Through them, it was receiving as many as 5,000 messages 
208. a week."  The article later points out that the messages were sent using
209. sneakernet, i.e. copied to diskette and carried by mail or courier.
210.  
211. In the article, it kept printing the E-Mail addresses such that the line
212. breaks kept making the system divide the messages as "president@white-
213. house.gov" or also, in the second place, the address "vice.president@white-
214. house.gov".  So I decided to see if it really was on line, or if the Post
215. had made a mistake; I telnetted to rs.internic.net and did a lookup:
216.  
217. Whois: whois whitehouse.gov 
218.  
219. Executive Office of the President USA (WHITEHOUSE-HST)  198.137.240.100 
220.  WHITEHOUSE.GOV  Whitehouse Public Access (WHITEHOUSE-DOM) 
221.  
222. Whois: whitehouse-dom 
223.  
224. Whitehouse Public Access (WHITEHOUSE-DOM)
225.    Executive Office of the President USA
226.    Office of Administration
227.    Room NEOB 4208
228.    725 17th Street NW
229.    Washington, D.C. 20503
230.    Domain Name: WHITEHOUSE.GOV
231.    Administrative Contact, Technical Contact, Zone Contact: 
232.       Fox, Jack S.  (JSF) fox_j@EOP.GOV
233.       (202) 395-7323
234.    Record last updated on 26-May-93. 
235.    Domain servers in listed order: 
236.    WHITEHOUSE.GOV    198.137.240.100
237.    NS.UU.NET    137.39.1.3 
238.  
239. whois:
240.  
241. The article mentions that selected items will be shown to the President
242. and the Vice President directly.  So here's your chance to send positive
243. comments directly as E-Mail, or, if desired, to vent your spleen without
244. delay!
245.  
246. -----
247. Paul Robinson -- TDARCOS@MCIMAIL.COM
248.  
249. ------------------------------
250.  
251. Date: Wed, 2 Jun 93 00:02:42 EDT
252. From: ae446@freenet.carleton.ca (Nigel Allen)
253. Subject: White House Gets a Real Internet Address
254. Organization: Echo Beach
255.  
256.     [ From TELECOM Digest -- MODERATOR ]
257.  
258. Here is a press release from the White House.
259.  
260. I downloaded the press release from the PR On-Line BBS in Maryland at
261. 410-363-0834.
262.  
263.  Letter from President Clinton, Vice President Gore Announcing
264. White House Electronic Mail Access
265.  
266.  Contact: White House Office of Media Affairs, 202-456-7150
267.  
268.    WASHINGTON, June 1 -- Following is a letter from President Clinton
269. and Vice President Gore announcing White House electronic mail access:
270.  
271.    Dear Friends:
272.  
273.    Part of our commitment to change is to keep the White House in step
274. with today's changing technology.  As we move ahead into the
275. twenty-first century, we must have a government that can show the way
276. and lead by example.  Today, we are pleased to announce that for the
277. first time in history, the White House will be connected to you via
278. electronic mail.  Electronic mail will bring the Presidency and this
279. Administration closer and make it more accessible to the people.
280.  
281.    The White House will be connected to the Internet as well as
282. several on-line commercial vendors, thus making us more accessible and
283. more in touch with people across this country.  We will not be alone
284. in this venture.  Congress is also getting involved, and an exciting
285. announcement regarding electronic mail is expected to come from the
286. House of Representatives tomorrow.
287.  
288.    Various government agencies also will be taking part in the near
289. future.  Americans Communicating Electronically is a project developed
290. by several government agencies to coordinate and improve access to the
291. nation's educational and information assets and resources.  This will
292. be done through interactive communications such as electronic mail,
293. and brought to people who do not have ready access to a computer.
294.  
295.    However, we must be realistic about the limitations and
296. expectations of the White House electronic mail system.  This
297. experiment is the first-ever e-mail project done on such a large
298. scale.  As we work to reinvent government and streamline our
299. processes, the e-mail project can help to put us on the leading edge
300. of progress.
301.  
302.    Initially, your e-mail message will be read and receipt immediately
303. acknowledged.  A careful count will be taken on the number received as
304. well as the subject of each message.  However, the White House is not
305. yet capable of sending back a tailored response via electronic mail.
306. We are hoping this will happen by the end of the year.
307.  
308.    A number of response-based programs which allow technology to help
309. us read your message more effectively, and, eventually respond to you
310. electronically in a timely fashion will be tried out as well.  These
311. programs will change periodically as we experiment with the best way
312. to handle electronic mail from the public.  Since this has never been
313. tried before, it is important to allow for some flexibility in the
314. system in these first stages.  We welcome your suggestions.
315.  
316.    This is an historic moment in the White House and we look forward
317. to your participation and enthusiasm for this milestone event.  We
318. eagerly anticipate the day when electronic mail from the public is an
319. integral and normal part of the White House communications system.
320.  
321.  
322.      President Clinton             Vice President Gore
323.  
324.      PRESIDENT@WHITEHOUSE.GOV      VICE.PRESIDENT@WHITEHOUSE.GOV
325.  
326.                        -----------------
327.  
328. Nigel Allen, Toronto, Ontario, Canada  ae446@freenet.carleton.ca
329.  
330. ------------------------------
331.  
332. Date: Thu, 3 Jun 1993 14:24:55 -0700 (PDT)
333. From: booloo@framsparc.ocf.llnl.gov (Mark Boolootian)
334. Subject: House of Representatives On-Line
335.  
336.     [ From TELECOM Digest -- MODERATOR ]
337.  
338.    Date: 03 Jun 93 15:41:15 -0500
339.    Subject: press release
340.  
341. TEXT OF PRESS RELEASE FROM COMMITTEE ON HOUSE ADMINISTRATION, U.S.
342. HOUSE OF REPRESENTATIVES, DATED JUNE 3,1993
343.  
344.  
345. FOR IMMEDIATE RELEASE
346.  
347. For further information please contact:
348. Lance Koonce  (202) 225-7922
349.  
350. HOUSE ANNOUNCES PUBLIC ELECTRONIC MAIL SERVICE
351.  
352.         Chairman Charlie Rose and Ranking Minority Member Bill Thomas
353. of the Committee on House Administration announced today the pilot
354. program of the Constituent Electronic Mail System.  This
355. ground-breaking new service will allow citizens to communicate
356. directly with their Member of Congress by electronic mail.  The House
357. of Representatives has established an electronic gateway to the
358. Internet, the vast computer network that is used currently by over
359. twelve million people worldwide.  Participating Members of the House
360. have been assigned public mailboxes which may be accessed by their
361. constituents from their home computers.  In addition, many libraries,
362. schools and other public institutions now provide, or soon will
363. provide, public access to the Internet.
364.  
365.         The Members of the House of Representatives who have agreed to
366. participate in this pilot program are: Rep. Jay Dickey (AR-07), Rep.
367. Sam Gejdenson (CT-02), Rep. Newt Gingrich (GA-06), Rep. George Miller
368. (CA-07), Rep. Charlie Rose (NC-07), Rep. Fortney (Pete) Stark (CA-l3),
369. and Rep.  Melvin Watt (NC-12).  These Members will be making
370. announcements in their congressional districts within the next few
371. weeks to make their constituents aware of the new service.
372.  
373.         The Constituent Electronic Mail System represents a
374. significant effort by the House of Representatives to expand
375. communication with constituents.  With the tremendous growth of
376. electronic mail over the past several years, and the increasingly
377. inter-connected nature of computer networks, the new service is a
378. natural addition to the current methods of communication available to
379. constituents.  At the present time, House Members involved in the
380. pilot program will largely respond to electronic mail messages from
381. their constituents by postal mail, to ensure confidentiality.
382.  
383.         Constituents of House Members participating in the pilot
384. program who wish to communicate with those Members will be asked to
385. send a letter or postcard stating their interest to the Member's
386. office.  The request will include the constituent's Internet
387. "address," as well as that constituent's name and postal address. This
388. process will allow Members to identify an electronic mail user as his
389. or her constituent.
390.  
391.         The pilot e-mail program will continue until sufficient
392. feedback from participating offices has been collected to allow
393. improvements and modifications to the system.  When House Information
394. Systems and the Committee on House Administration are satisfied that
395. the system is sufficiently error-free, other Members of the House will
396. be allowed to add this new service as technical, budgetary and
397. staffing concerns allow.
398.  
399.         For more information,Internet users are encouraged to contact
400. the House of Representative's new on-line information service. Please
401. send a request for information to CONGRESS@HR.HOUSE.GOV (1)
402.  
403.  
404. (1) Please be advised that the commercial "at" symbol is not
405. recognized by some computer systems when transmitted electronically.
406. The "at" symbol is an important part of the electronic mail address
407. for the U.S. House information service, and should be inserted in
408. place of the question mark in the following example:
409. "CONGRESS?HR.HOUSE.GOV"
410.  
411. ------------------------------
412.  
413. Date:    Fri, 28 May 1993 14:30:44 EST    
414. From:    Dave Banisar <banisar@washofc.cpsr.org>
415. Subject: CPSR Seeks Clipper Docs 
416.  
417. PRESS RELEASE May 28, 1993
418.  
419. CPSR Seeks Clipper Documents - Brings Suit Against NSA and National
420. Security Council
421.  
422.     Washington, DC -- Computer Professionals for Social
423. Responsibility filed suit today in federal district court seeking
424. information about the government's controversial new cryptography
425. proposal.
426.  
427.     The "Clipper" proposal, announced by the White House at an
428. April 16 press conference, is based on a technology developed by the
429. National Security Agency that would allow the government to intercept
430. computer encoded information.  Law enforcement agencies say that
431. capability this is necessary to protect court ordered wire
432. surveillance.
433.  
434.    But industry groups and civil liberties organizations have raised
435. questions about the proposal.  They cite the risk of abuse, the
436. potential loss in security and privacy, costs to US firms and
437. consumers, and the difficulties enforcing the policy.
438.  
439.     Marc Rotenberg, CPSR Washington office director, said "The
440. Clipper plan was developed behind a veil of secrecy.  It is not enough
441. for the White House to hold a few press conferences.  We need to know
442. why the standard was developed, what alternatives were considered, and
443. what the impact will be on privacy. "
444.  
445.     "As the proposal currently stands, Clipper looks a lot like
446. 'desktop surveillance,'" added Rotenberg.
447.  
448.     David Sobel, CPSR Legal Counsel, said "CPSR is continuing its
449. oversight of federal cryptography policy.  These decisions are too
450. important to made in secret, without public review by all interested
451. parties."
452.  
453.     In previous FOIA suits, CPSR obtained records from the General
454. Services Administration questioning the FBI's digital telephony plan, a
455. legislative proposal to require that communications companies design
456. wiretap capability.  More recently, CPSR obtained records through the
457. FOIA revealing the involvement of the National Security Agency in the
458. development of  unclassified technical standards in violation of
459. federal law.
460.  
461.     CPSR is a national membership organization, based in Palo Alto,
462. CA.  Membership is open to the public.  For more information about
463. CPSR, contact CPSR, P.O. Box 717, Palo Alto, CA 9403, 415/322-3778
464. (tel), 415/322-3798 (fax), cpsr@cpsr.org
465.  
466. ------------------------------
467.  
468. Date:    Wed, 2 Jun 1993 17:08:40 EST
469. From:    David Sobel <dsobel@washofc.cpsr.org>
470. Subject: CPSR NIST Crypto Statement
471.  
472.  
473.                     Department of Commerce
474.         National Institute of Standards and Technology
475.  
476.       Computer System Security and Privacy Advisory Board
477.  
478.                 Review of Cryptography Policy
479.                           June 1993
480.  
481.              Statement of CPSR Washington office
482.                   Marc Rotenberg, director
483.                 (rotenberg@washofc.cpsr.org)
484.                with David Sobel, legal counsel,
485.                  Dave Banisar, policy analyst
486.  
487.  
488.      Mr. Chairman, members of the Advisory Panel, thank you for the
489. opportunity to speak today about emerging issues on cryptography
490. policy.
491.  
492.      My name is Marc Rotenberg and I am director of the CPSR
493. Washington office.  Although CPSR does not represent any computer
494. firm or industry trade association, we speak for many in the
495. computer profession who value privacy and are concerned about the
496. government's Clipper proposal.
497.  
498.      During the last several years CPSR has organized several meetings
499. to promote public discussion of cryptography issues.  We have also
500. obtained important government documents through the Freedom of
501. Information Act.  We believe that good policies will only result if the
502. public, the profession, and the policy makers are fully informed
503. about the significance of these recent proposals.
504.  
505.      We are pleased that the Advisory Board has organized hearings.
506. This review of cryptography policy will help determine if the Clipper
507. proposal is in the best interests of the country.  We believe that a
508. careful review of the relevant laws and policies shows that the key
509. escrow arrangement is at odds with the public interest, and that
510. therefore the Clipper proposal should not go forward.
511.  
512.      Today I will address issues 1 through 3 identified in the NIST
513. announcement, specifically the policy requirements of the Computer
514. Security Act, the legal issues surrounding the key escrow
515. arrangement, and the importance of privacy for network
516. development.
517.  
518.  
519. 1. CRYPTOGRAPHY POLICY
520.  
521.      The first issue concerns the 1987 statute enacted to improve
522. computer security in the federal government, to clarify the
523. responsibilities of NIST and NSA, and to ensure that technical
524. standards would serve civilian and commercial needs.  The Computer
525. Security Act, which also established this Advisory Panel, is the true
526. cornerstone of cryptography policy in the United States.  That law
527. made clear that in the area of unclassified computing systems, the
528. Department of Commerce and not the Department of Defense, would
529. be responsible for the development of technical standards.  It
530. emphasized public accountability and stressed open decision-making.
531.  
532.      The Computer Security Act grew out of a concern that classified
533. standards and secret meetings would not serve the interests of the
534. general public.  As the practical applications for cryptography have
535. moved from the military and intelligence arenas to the commercial
536. sphere, this point has become clear.  There is also clearly a conflict of
537. interest when an agency tasked with signal interception is also given
538. authority to develop standards for network security.
539.  
540.      In the spirit of the Computer Security Act, NIST set out in 1989 to
541. develop a public key standard FIPS.  In a memo dated May 5, 1989
542. and obtained by CPSR through the Freedom of Information Act, NIST
543. said that it planned:
544.  
545.          to develop the necessary public-key based security
546.          standards.  We require a public-key algorithm for
547.          calculating digital signatures and we also require a
548.          public-key algorithm for distributing secret keys.
549.  
550. NIST then went on to define the requirements of the standard:
551.  
552.          The algorithms that we use must be public, unclassified,
553.          implementable in both hardware or software, usable by
554.          federal Agencies and U.S. based multi-national
555.          corporation, and must provide a level of security
556.          sufficient for the protection of unclassified, sensitive
557.          information and commercial propriety and/or valuable
558.          information.
559.  
560.      The Clipper proposal and the full-blown Capstone configuration,
561. which incorporates the key management function NIST set out to
562. develop in 1989, is very different from the one originally conceived
563. by NIST.
564.  
565.          %  The Clipper algorithm, Skipjack, is classified,
566.  
567.          %  Public access to the reasons underlying the proposal is
568.             restricted,
569.  
570.          %  Skipjack can be implemented only in tamper-proof
571.             hardware,
572.  
573.          %  It is unlikely to be used by multi-national corporations,
574.             and
575.  
576.          %  Its security remains unproven.
577.  
578.      The Clipper proposal undermines the central purpose of the
579. Computer Security Act.  Although intended for broad use in
580. commercial networks, it was not developed at the request of either
581. U.S. business or the general public.  It does not reflect public goals.
582. Rather it reflects the interests of one secret agency with the
583. authority to conduct foreign signal intelligence and another
584. government agency  responsible for law enforcement investigations.
585. ntent
586. of the Computer Security Act of 1987.
587. What is the significance of this?  It is conceivable that an expert
588. panel of cryptographers will review the Skipjack algorithm and find
589. that it lives up its billing, that there is no "trap door" and no easy
590. way to reverse-engineer.  In fact, the White House has proposed just
591. such a review process
592.  
593.      But is this process adequate?  Is this the procedure the Advisory
594. Board would endorse for the development of widespread technical
595. standards?  The expert participants will probably not be permitted
596. to publish their assessments of the proposal in scientific journals,
597. further review of the standard will be restricted, and those who are
598. skeptical will remain in the dark about the actual design of the chip.
599. This may be an appropriate process for certain military systems, but
600. it is clearly inappropriate for a technical standard that the
601. government believes should be widely incorporated into the
602. communications infrastructure.
603.  
604.      Good government policy requires that certain process goals be
605. satisfied.  Decisions should be made in the open.  The interests of the
606. participating agencies should be clear.  Agencies should be
607. accountable for their actions and recommendations.  Black boxes and
608. government oversight are not compatible.
609.  
610.      There is an even greater obligation to promote open decisions
611. where technical and scientific issues are at stake.  Innovation
612. depends on openness.  The scientific method depends on the ability
613. of researchers to "kick the tires" and "test drive" the product.  And,
614. then, even if it is a fairly good design, additional testing encourages
615. the development of new features, improved performance and
616. reduced cost.  Government secrecy is incompatible which such a
617. development process.
618.  
619.      Many of these principles are incorporated into the Computer
620. Security Act and the Freedom of Information Act.  The current
621. government policy on the development of unclassified technical
622. standards, as set out in the Computer Security Act, is a very good
623. policy.  It emphasizes public applications, stresses open review, and
624. ensures public accountability.  It is not the policy that is flawed.  It is
625. the Clipper proposal.
626.  
627.      To accept the Clipper proposal would be to endorse a process that
628. ran contrary to the law, that discourages innovation, and that
629. undermines openness.
630.  
631.  
632. 2. LEGAL AND CONSTITUTIONAL ISSUES
633.  
634.      There are several legal and constitutional issues raised by the
635. government's key escrow proposal.
636.  
637.      The premise of the Clipper key escrow arrangement is that the
638. government must have the ability to intercept electronic
639. communications, regardless of the economic or societal costs.  The
640. FBI's Digital Telephony proposal, and the earlier Senate bill 266, was
641. based on the same assumption.
642.  
643.      There are a number of arguments made in defense of this
644. position: that privacy rights and law enforcement needs must be
645. balanced, or that the government will be unable to conduct criminal
646. investigations without this capability.
647.  
648.      Regardless of how one views these various claims, there is one
649. point about the law that should be made very clear: currently there
650. is no legal basis -- in statute, the Constitution or anywhere else --
651. that supports the premise which underlies the Clipper proposal.  As
652. the law currently stands, surveillance is not a design goal.  General
653. Motors would have a stronger legal basis for building cars that could
654. not go faster than 65 miles per hour than AT&T does in marketing a
655. commercial telephone that has a built-in wiretap capability.  In law
656. there is simply nothing about the use of a telephone that is
657. inherently illegal or suspect.
658.  
659.      The federal wiretap statute says only that communication service
660. providers must assist law enforcement in the execution of a lawful
661. warrant.  It does not say that anyone is obligated to design systems
662. to facilitate future wire surveillance.  That distinction is the
663. difference between countries that restrict wire surveillance to
664. narrow circumstances defined in law and those that treat all users of
665. the telephone network as potential criminals.  U.S. law takes the first
666. approach.  Countries such as the former East Germany took the
667. second approach.  The use of the phone system by citizens was
668. considered inherently suspect and for that reason more than 10,000
669. people were employed by the East German government to listen in
670. on telephone calls.
671.  
672.      It is precisely because the wiretap statute does not contain the
673. obligation to incorporate surveillance capability -- the design
674. premise of the Clipper proposal -- that the Federal Bureau of
675. Investigation introduced the Digital Telephony legislation.  But that
676. legislation has not moved forward on Capitol Hill and the law has
677. remained unchanged.  The Clipper proposal attempts to accomplish
678. through the standard-setting and procurement process what the
679. Congress has been unwilling to do through the legislative process.
680.  
681.      On legal grounds, adopting the Clipper would be a mistake.  There
682. is an important policy goal underlying the wiretap law.  The Fourth
683. Amendment and the federal wiretap statute do not so much balance
684. competing interests as they erect barriers against government excess
685. and define the proper scope of criminal investigation.  The purpose
686. of the federal wiretap law is to restrict the government, it is not to
687. coerce the public.
688.  
689.      Therefore, if the government endorses the Clipper proposal, it will
690. undermine the basic philosophy of the federal wiretap law and the
691. fundamental values embodied in the Constitution.  It will establish a
692. technical mechanism for signal interception based on a premise that
693. has no legal foundation.  I am not speaking rhetorically about "Big
694. Brother."  My point is simply that the assumption underlying the
695. Clipper proposal is more compatible with the practice of telephone
696. surveillance in the former East Germany than it is with the narrowly
697. limited circumstances that wire surveillance has been allowed in the
698. United States.
699.  
700.      There are a number of other legal issues that have not been
701. adequately considered by the proponents of the key escrow
702. arrangement that the Advisory Board should examine.  First, not all
703. lawful wiretaps follow a normal warrant process.  It is critical that
704. the proponents of Clipper make very clear how emergency wiretaps
705. will be conducted before the proposal goes forward.  Second, there
706. may be civil liability issues for the escrow agents if there is abuse or
707. compromise of the keys.  Escrow agents may be liable for any harm
708. that results.  Third, there is a Fifth Amendment dimension to the
709. proposed escrow key arrangement if a network user is compelled to
710. disclose his or her key to the government in order to access a
711. communications network. Each one of these issues should be
712. examined.
713.  
714.      There is also one legislative change that we would like the
715. Advisory Board to consider.  During our FOIA litigation, the NSA cited
716. a 1951 law to withhold certain documents that were critical to
717. understand the development of the Digital Signature Standard.  The
718. law, passed  grants the government the right restrict the disclosure
719. of any classified information pertaining to cryptography.  While the
720. government may properly withhold classified information in FOIA
721. cases, the practical impact of this particular provision is to provide
722. another means to insulate cryptographic policy from public review.
723.  
724.      Given the importance of public review of cryptography policy, the
725. requirement of the Computer Security Act, and the Advisory Board's
726. own commitment to an open, public process, we ask the Advisory
727. Board to recommend to the President and to the Congress that
728. section 798 be repealed or substantially revised to reflect current
729. circumstances.
730.  
731.      This is the one area of national cryptography policy where we
732. believe a change is necessary.
733.  
734.  
735. 3. INDIVIDUAL PRIVACY
736.  
737.      Communications privacy remains a critical test for network
738. development.  Networks that do not provide a high degree of privacy
739. are clearly less useful to network users.  Given the choice between a
740. cryptography product without a key escrow and one with a key
741. escrow, it would be difficult to find a user who would prefer the key
742. escrow requirement.  If this proposal does go forward, it will not be
743. because network users or commercial service providers favored it.
744.  
745.      Many governments are now facing questions about restrictions on
746. cryptography similar to the question now being raised in this
747. country.  It is clear that governments may choose to favor the
748. interests of consumers and businesses over law enforcement.  Less
749. than a month ago, the government of Australia over-rode the
750. objections of law enforcement and intelligence agencies and allowed
751. the Australian telephone companies to go forward with new digital
752. mobile phone networks, GSM, using the A5 robust algorithm.   Other
753. countries will soon face similar decisions.  We hope that they will
754. follow a similar path
755.  
756.      To briefly summarize, the problem here is not the existing law on
757. computer security or policies on cryptography and wire surveillance.
758. The Computer Security Act stresses public standards, open review,
759. and commercial applications.  The federal wiretap statute is one of
760. the best privacy laws in the world.  With the exception of one
761. provision in the criminal code left over from the Cold War, our
762. current cryptography policy is very good.  It reflects many of the
763. values -- individual liberty, openness, government accountability --
764. that are crucial for democratic societies to function.
765.  
766.      The problem is the Clipper proposal.  It is an end-run around
767. policies intended to restrict government surveillance and to ensure
768. agency accountability.  It is an effort to put in place a technical
769. configuration that is at odds with the federal wiretap law and the
770. protection of individual privacy.  It is for these reasons that we ask
771. the Advisory Board to recommend to the Secretary of Commerce, the
772. White House, and the Congress that the current Clipper proposal not
773. go forward.
774.  
775.      I thank you for the opportunity to speak with you about these
776. issues.  I wish to invite the members of the Advisory Committee to
777. the third annual CPSR Privacy and Cryptography conference that will
778. be held Monday, June 7 in Washington, DC at the Carnegie
779. Endowment for International Peace.  That meeting will provide an
780. opportunity for further discussion about cryptography policy.
781.  
782.  
783. ATTACHMENTS
784.  
785. "TWG Issue Number: NIST - May 5, 1989," document obtained
786. by CPSR as a result of litigation under the Freedom of
787. Information Act.
788.  
789. "U.S. as Big Brother of Computer Age," The New York Times,
790. May 6, 1993, at D1.
791.  
792. "Keeping Fewer Secrets," Issues in Science and Technology, vol.
793. IX, no. 1 (Fall 1992)
794.  
795. "The Only Locksmith in Town," The Index on Censorship
796. (January 1990)
797.  
798. [The republication of these articles for the non-commercial purpose
799. of informing the government about public policy is protected by
800. section 107 of the Copyright Act of 1976]
801.  
802. ------------------------------
803.  
804. End of PRIVACY Forum Digest 02.19
805. ************************
806.