home *** CD-ROM | disk | FTP | other *** search
/ Handbook of Infosec Terms 2.0 / Handbook_of_Infosec_Terms_Version_2.0_ISSO.iso / text / privacy / p02_020.txt < prev    next >
Text File  |  1996-09-03  |  20KB  |  461 lines
  1. PRIVACY Forum Digest        Sunday, 13 June 1993        Volume 02 : Issue 20
  2.  
  3.           Moderated by Lauren Weinstein (lauren@vortex.com)
  4.                 Vortex Technology, Topanga, CA, U.S.A.
  5.     
  6.                      ===== PRIVACY FORUM =====
  7.  
  8.          The PRIVACY Forum digest is supported in part by the 
  9.           ACM Committee on Computers and Public Policy.
  10.  
  11.  
  12. CONTENTS
  13.     The other side of Clipper (A. Padgett Peterson)
  14.     Traffic analysis (Mathew Lodge)
  15.     NIST CSSPAB 6/4/93 Resolutions (Dave Banisar)
  16.     CLI News from Spain - June 7, 1993 (Rafael Fernandez Calvo)
  17.     USPS NCOA request results (Steve Peterson)
  18.     CPSR Clipper Testimony 6/9 (Dave Banisar)
  19.  
  20.  
  21.   *** Due to network nameserver problems, this may be a duplicate ***
  22.   *** digest for some readers.  The problems have been resolved.  ***
  23.   *** Sorry for any inconvenience.                      ***
  24.  
  25.  *** Please include a RELEVANT "Subject:" line on all submissions! ***
  26.             *** Submissions without them may be ignored! ***
  27.  
  28. -----------------------------------------------------------------------------
  29. The Internet PRIVACY Forum is a moderated digest for the discussion and
  30. analysis of issues relating to the general topic of privacy (both personal
  31. and collective) in the "information age" of the 1990's and beyond.  The
  32. moderator will choose submissions for inclusion based on their relevance and
  33. content.  Submissions will not be routinely acknowledged.
  34.  
  35. ALL submissions should be addressed to "privacy@vortex.com" and must have
  36. RELEVANT "Subject:" lines; submissions without appropriate and relevant
  37. "Subject:" lines may be ignored.  Excessive "signatures" on submissions are
  38. subject to editing.  Subscriptions are by an automatic "listserv" system; for
  39. subscription information, please send a message consisting of the word
  40. "help" (quotes not included) in the BODY of a message to:
  41. "privacy-request@vortex.com".  Mailing list problems should be reported to
  42. "list-maint@vortex.com".  All submissions included in this digest represent
  43. the views of the individual authors and all submissions will be considered
  44. to be distributable without limitations. 
  45.  
  46. The PRIVACY Forum archive, including all issues of the digest and all
  47. related materials, is available via anonymous FTP from site "ftp.vortex.com",
  48. in the "/privacy" directory.  Use the FTP login "ftp" or "anonymous", and
  49. enter your e-mail address as the password.  The typical "README" and "INDEX"
  50. files are available to guide you through the files available for FTP
  51. access.  PRIVACY Forum materials may also be obtained automatically via
  52. e-mail through the listserv system.  Please follow the instructions above
  53. for getting the listserv "help" information, which includes details
  54. regarding the "index" and "get" listserv commands, which are used to access
  55. the PRIVACY Forum archive.  All PRIVACY Forum materials are also
  56. available through the Internet Gopher system via a gopher server on
  57. site "gopher.vortex.com".
  58.  
  59. For information regarding the availability of this digest via FAX, please
  60. send an inquiry to privacy-fax@vortex.com, call (310) 455-9300, or FAX
  61. to (310) 455-2364.
  62. -----------------------------------------------------------------------------
  63.  
  64. VOLUME 02, ISSUE 20
  65.  
  66.    Quote for the day:
  67.  
  68.       "The life so short, the craft so long to learn."
  69.  
  70.             -- Hippocrates, 5th century B.C.
  71.     
  72. ----------------------------------------------------------------------
  73.  
  74. Date:    Fri, 4 Jun 93 09:05:30 -0400
  75. From:    padgett@tccslr.dnet.mmc.com
  76.      (A. Padgett Peterson,P.E. Information Security - - (407)826-1101)
  77. Subject: The other side of Clipper
  78.  
  79. As apparently the sole individual to see a positive side of Clipper, I
  80. would like to comment that this is not so much an evolution of
  81. cryptographc practise as a revolution and requires a different mindset.
  82.  
  83. First, I believe that the tapping capability of Clipper/Capstone will 
  84. prevent its ever replacing STU-IIIs and other complex algoritms for
  85. dedicated point-point connections that require absolute privacy. 
  86. Legislation from the government banning "any other cryptography" would
  87. be impossible to enforce and akin to trying to stuff knowlege back into
  88. Pandora's box. It is just not going to be happen and the government is
  89. intelligent enough not to take on a losing battle that could just
  90. flood the legal system (and there would be pleanty of floodees).
  91.  
  92. Next, what Capstone represents is a new kind of crypto that the miliary
  93. has enjoyed for years. Anytime, anywhere, to anyone. No complex and
  94. archane key management, no prearranged signals, the key management
  95. appears to be able to be handled intermally *including session ignition*.
  96. That I do not understand *how* this is done does not mean that it isn't
  97. (and if you read the 30 April Capstone document you will find the words
  98. "A Key Exchange Algorithm based on a public key exchange.").
  99.  
  100. Finally, it has been said that "business will not accept Clipper/Capstone".
  101. Hogwash. The bulk of American business could care less if the government
  102. can tap their communications that are being sent in the clear today 
  103. anyway ! What American business wants is freedom from "due care" lawsuits,
  104. hackers, and competitors. To a hospital transmitting X-Rays over phone
  105. lines, it is the patient's lawyer that concerns the hospital, not the
  106. government's.
  107.  
  108. IMHO the tap capability is *necessary* for American business to embrace
  109. Clipper/Capstone so long as their security department can also do so.
  110. Since we are now talking "owner's rights", I believe this will happen and
  111. will not require a court order.
  112.  
  113. Already the precidents are being set in the California E-Mail monitoring
  114. cases. Certainly maintaining this right will require the ability for the
  115. owner to monitor such transmissions or accountability will be lost.
  116.  
  117. As a result, I believe that Clipper/Capstone is going to change how we
  118. think about telecommunications and that the current arguments against
  119. Clipper will turn out to be its greatest strengths.
  120.  
  121.                     Warmly (94 today),
  122.                         Padgett
  123.  
  124.                     (usual disclaimers apply) 
  125.  
  126. ps IMHO the "problem" with key management is already solved & is just a 
  127.    diversionary smokescreen. All of the facts have not been released.
  128.  
  129. ------------------------------
  130.  
  131. Date:    Fri, 4 Jun 93 15:10:32
  132. From:    mjl-b@minster.york.ac.uk
  133. Subject: Traffic analysis
  134.  
  135. In V02 #19, Burton Strauss writes:
  136. > Date:    Fri, 28 May 1993 23:49:10 -0400 (EDT)
  137. > From:    bstrauss@BIX.com
  138. > Subject: Clipper Chip
  139.  
  140. [stuff deleted]
  141. > ... I wonder if the government really
  142. > thinks they can manage the flow.  Even if there is a backdoor in clipper and
  143. > they can crack, trivially, every conversation 'they' want, how does the
  144. > government (nefarious FBI, NSA, etc people) expect to sift the 'interesting'
  145. > things from the sheer volume?
  147. > One of the key military technologies is traffic analysis -- even if you
  148. > can't read the meaning, a sudden increase in traffic is an indication that
  149. > 'something' is up.  But there is 999 or 1000 messages per day, and nothing
  150. > to set off a traffic alert.
  151.  
  152. This has long been a recognised problem, and is easily solved by continuous
  153. transmission of information. You continuously transmit a stream of data
  154. (usually randomly generated). When you want to transmit a real message, you
  155. insert it into the random data stream.
  156.  
  157. This raises the problem of how to identify the real messages from the
  158. rubbish -- prefixing a code or keywork leaves the data stream open to attack
  159. by a good cryptanalyist, who is looking for just such a repeated item. (see
  160. the sci.crypt FAQ for more on this sort of attack)
  161.  
  162. It has long been known that the British Government's GCHQ (Government
  163. Communications Head Quarters) is continually working on various systems that
  164. try to identify "interesting" messages in the mass of information that they
  165. receive. I imagine the NSA in the USA does the same (since it is reputed to
  166. be the largest employer of mathematicians and purchaser of computer
  167. equipment in the world, I imagine it's quite good at it.)
  168.  
  169. There's a nice discussion about the problems of information transmission in
  170. Nelson DeMille's novel "The Talbot Odyssey" It also has a nice nightmare
  171. scenario for the wiping out of all electronic devices in the USA that might
  172. interest PRIVACY readers.
  173.  
  174. Mat
  175.  
  176. | Mathew Lodge             | "What's your name, boy?" "Kate." "Isn't that |
  177. | mjl-b@minster.york.ac.uk |  a bit of a girl's name?" "It's short for... |
  178. | University of York, UK   |  Bob." -- Blackadder II                      |
  179.  
  180. ------------------------------
  181.  
  182. Date:    Fri, 4 Jun 1993 20:46:59 EST    
  183. From:    Dave Banisar <banisar@washofc.cpsr.org>
  184. Subject: NIST CSSPAB 6/4/93 Resolutions
  185.  
  186.  
  187.                  NIST Crypto Resolutions
  188.  
  189.   Computer System Security and Privacy Advisory Board
  190.                        June 4, 1993
  191.  
  192.                       Resolution #1
  193.  
  194. At Mr. Kammer's request we have conducted two days of 
  195. hearings.  The clear message of the majority of input 
  196. was that there are serious concerns regarding the Key 
  197. Escrow Initiative and the Board concurs with these 
  198. concerns.  Many of these issues are still to be fully 
  199. understood and more time is needed to achieving that 
  200. understanding.
  201.  
  202. Accordingly, this Board resolves to have an additional 
  203. meeting in July 1993 in order to more completely respond 
  204. to Mr. Kammer's request and to fulfill its statutory 
  205. obligations under P.L. 100-235.  The Board recommends 
  206. that the inter-agency review take note of our input 
  207. collected, our preliminary finding, and adjust the 
  208. timetable to allow for resolution of the significant 
  209. issues and problems raised.
  210.  
  211. Attached to this resolution is a preliminary 
  212. distillation of the serious concerns and problems.
  213.  
  214.  
  215.                      Resolution #2
  216.  
  217. Key escrowing encryption technology represents a 
  218. dramatic change in the nation's information 
  219. infrastructure.  The full implications of this 
  220. encryption technique are not fully understood at this 
  221. time.  Therefore, the Board recommends that key 
  222. escrowing encryption technology not be deployed beyond 
  223. current implementations planned within the Executive 
  224. Branch, until the significant public policy and 
  225. technical issues inherent with this encryption technique 
  226. are fully understood.
  227.  
  228. [Attachment to Resolution #1]]
  229.  
  230. -  A convincing statement of the problem that Clipper 
  231. attempts to solve has not been provided.
  232.  
  233. - Export and important controls over cryptographic 
  234. products must be reviewed.  Based upon data compiled 
  235. from U.S. and international vendors, current controls 
  236. are negatively impacting U.S. competitiveness in the 
  237. world market and are not inhibiting the foreign 
  238. production and use of cryptography (DES and RSA)
  239.  
  240. - The Clipper/Capstone proposal does not address the 
  241. needs of the software industry, which is a critical and 
  242. significant component of the National Information 
  243. Infrastructure and the U.S. economy.
  244.  
  245. - Additional DES encryption alternatives and key 
  246. management alternatives should be considered since there 
  247. is a significant installed base.
  248.  
  249. - The individuals reviewing the Skipjack algorithm and 
  250. key management system must be given an appropriate time 
  251. period and environment in which to perform a thorough 
  252. review.  This review must address the escrow protocol 
  253. and chip implementation as well as the algorithm itself.
  254.  
  255. - Sufficient information must be provided on the 
  256. proposed key escrow scheme to allow it to be fully 
  257. understood by the general public.  It does not appear to 
  258. be clearly defined at this time and, since it is an 
  259. integral part of the security of the system, it appears 
  260. to require further development and consideration of 
  261. alternatives to the key escrow scheme (e.g., three 
  262. "escrow" entities, one of which is a non-government 
  263. agency, and a software based solution).
  264.  
  265. - The economic implications for the Clipper/Capstone 
  266. proposal have not been examined.  These costs go beyond 
  267. the vendor cost of the chip and include such factors as 
  268. customer installation, maintenance, administration, chip 
  269. replacement, integration and interfacing, government 
  270. escrow systems costs, etc.
  271.  
  272. - Legal issues raised by the proposal must be reviewed.
  273.  
  274. - Congress, as well as the Administration, should play a 
  275. role in the conduct and approval of the results of the 
  276. review.
  277.  
  278. =======================================================
  279.     NIST Resolutions on Key Escow Issues and Clipper
  280.                        provided by
  281.                  CPSR Washington office
  282.            666 Pennsylvania Ave., SE Suite 303
  283.                   Washington, DC 20003
  284.                rotenberg@washofc.cpsr.org
  285. =======================================================
  286.  
  287. ------------------------------
  288.  
  289. Date:    Mon,  7 Jun 93 13:39:49 -0100
  290. From:    rfcalvo@guest2.atimdr.es (Rafael Fernandez Calvo)
  291. Subject: CLI News from Spain - June 7, 1993 
  292.  
  293.  
  294.     CCCCC  LL     II
  295.    CC      LL     II
  296.    CC      LL     II    --  N E W S   FROM   S P A I N  --- June 7, 1993
  297.     CCCCC  LLLLLL II
  298.  
  299.  COMMISSION for LIBERTIES
  300.  and INFORMATICS (*)
  301.  
  302.       PRIVACY AND GENERAL ELECTIONS: TRICKS OF THE TRADE
  303.       --------------------------------------------------
  304.  
  305.  Spain held general parlamentary elections yesterday, June 6th.
  306. Regardless of the ocutcome (the ruling Socialist Party obtained again
  307. a majority of the seats), one of the parties participating in the
  308. event, "Centrist Unity-Spanish Democratic Party", was expelled of the
  309. race on June 1 by the Electoral Control Committee on the grounds that
  310. the party was actually a sham put up by a group of direct marketing
  311. pirates.
  312.  
  313.  Regardless of the fact that this party had no choice whatsoever
  314. of winning a single seat, it showed again one of the problems
  315. that has been plaguing citizens' privacy in Spain since 1977 (first
  316. democratic elections after forty years of dictatorship): the use for
  317. commercial purposes of the magnetic tapes containing the Election
  318. Census, provided to the parties by the Public Administration.
  319.  
  320.  Big parties do not seem to have participated in data smuggling
  321. practices but there is evidence that many of the companies that process
  322. the tapes provided by them are the main source of abuse against the
  323. privacy of citizens in regard to their personal data in Spain, since they
  324. duplicate and sell the tapes. This fact has been frequently dennounced by
  325. CLI (*).
  326.  
  327.  The recently approved Personal Data Law could help to stop these
  328. practices.
  329.  
  330. * SOME WORDS ABOUT CLI
  331.  
  332.  The --Commission for Liberties and Informatics, CLI-- is an independent
  333. and pluralistic organization that was officially constituted in April
  334. '91.
  335.  
  336.  Its mission is to "promote the development and protection of
  337. citizens' rights, specially privacy, against misuse of Information
  338. Technologies".
  339.  
  340.  As of May '93, CLI is composed by nine organizations, with
  341. a joint membership of about 3,000,000 people. They cover a very
  342. wide spectrum of social interest groups: associations of computer
  343. professionals, judges, civil rights leagues, trade unions, consumers
  344. groups, direct marketing industry, etc.
  345.  
  346.  CLI is confederated with similar bodies created in some other Spanish
  347. Regions such as Valencia, Basque Country and Catalonia, and has fluid
  348. working relationships with many public and private Data Protection bodies
  349. and entities all over the world, including CNIL, CPSR and Privacy
  350. International.
  351.  
  352.  CLI has its headquarters in:
  353.  
  354. Padilla 66, 3 dcha.
  355. E-28006 Madrid, Spain
  356.  
  357. Phone: (34-1) 402 9391
  358. Fax: (34-1) 309 3685
  359. E-mail: rfcalvo@guest2.atimdr.es
  360.  
  361. ------------------------------
  362.  
  363. Date:    Wed, 9 Jun 93 15:38:12 CDT
  364. From:    Steve Peterson <peterson@fs.fs.com>
  365. Subject: USPS NCOA request results
  366.  
  367. In February, I sent a Privacy Act request to the US Postal Service, asking
  368. them to identify everyone who had received a copy of the change of address I
  369. had filed with them in 1990.
  370.  
  371. I recently received a 2 inch thick response from the USPS.  It turns out that
  372. no one made a specific request for my records at the local post office.  It
  373. was not possible to identify whether others had been informed via the USPS's
  374. National Change of Address (NCOA) data base; they did, however, provide me
  375. with the complete list of everyone who requested the data base from 9/1990
  376. to 2/1993.
  377.  
  378. I don't have the time to scan in all of the months of the data base, but I
  379. scanned in January, 1993 as a recent and representative sample.  My apologies
  380. in advance for any misspellings or formatting problems.  OCR is good, but not 
  381. perfect.
  382.  
  383. I believe that the entries prefixed by "MC" are Members of Congress.
  384.  
  385. --
  386.  
  387. Steve Peterson                                                  612 851 1523
  388. FOURTH SHIFT Corporation                            7900 International Drive
  389. peterson@fs.com                                    Bloomington, MN 55425 USA
  390.  
  391.     [ The complete text of this message, including the USPS list,
  392.       which I have slightly reformatted, is available in
  393.       the PRIVACY Forum archives.  To access:
  394.  
  395.         Via Anon FTP: From site "ftp.vortex.com": /privacy/usps-addr.Z
  396.                               or: /privacy/usps-addr
  397.  
  398.         Via e-mail: Send mail to "listserv@vortex.com" with
  399.                     the line:
  400.  
  401.                 get privacy usps-addr
  402.  
  403.                 as the first text in the BODY of your message.
  404.  
  405.         Via gopher: From the gopher server on site "gopher.vortex.com"
  406.         in the "*** PRIVACY Forum ***" area under "usps-addr".
  407.  
  408.                             -- MODERATOR ]
  409.  
  410. ------------------------------
  411.  
  412. Date:    Sat, 12 Jun 1993 12:30:38 EST
  413. From:    Dave Banisar <banisar@washofc.cpsr.org>
  414. Subject: CPSR Clipper Testimony 6/9
  415.  
  416.         On June 9, 1993, Congressman Edward Markey, Chairman of the
  417. House  Subcommittee on Telecommunications and Finance held an oversight
  418. hearing on Rencryption and telecommunications network security.
  419. Panelists were Whitfield Diffie of Sun Microsystems, Dr. Dorothy
  420. Denning,  Steven Bryen of Secure Communications, Marc Rotenberg of the
  421. CPSR Washington Office and E.R. Kerkeslager of AT&T.
  422.  
  423.         Congressman Markey, after hearing the testimony presented,
  424. noted that the Clipper proposal had raised an Rarched eyebrow among the
  425. whole committee and that the committee viewed the proposal
  426. skeptically. This statement was the latest indication that the Clipper
  427. proposal has not been well recieved by policy makers.  Last Friday, the
  428. Computer Systems Security and Privacy Advisory Board of NIST issued two
  429. resolutions critical of the encryption plan, suggesting that further
  430. study was required and that implementation of the plan should be
  431. delayed until the review is completed.
  432.         At the Third CPSR Cryptography and Privacy Conference on Monday, 
  433. June 7, the Acting Director of NIST, Raymond Kammer, announced that the
  434. implementation of the proposal will be delayed and that a more comprehensive
  435. review will be undertaken.  The review is due in the fall.  Kammer told the
  436. Washington Post that maybe we won't continue in the direction we started
  437. out.
  438.  
  439.     [ The complete testimony mentioned above is now available
  440.       in the PRIVACY Forum archives.  To access:
  441.  
  442.         Via Anon FTP: From site "ftp.vortex.com": /privacy/cpsr-clip.1.Z
  443.                               or: /privacy/cpsr-clip.1
  444.  
  445.         Via e-mail: Send mail to "listserv@vortex.com" with
  446.                     the line:
  447.  
  448.                 get privacy cpsr-clip.1
  449.  
  450.                 as the first text in the BODY of your message.
  451.  
  452.         Via gopher: From the gopher server on site "gopher.vortex.com"
  453.         in the "*** PRIVACY Forum ***" area under "cpsr-clip.1".
  454.  
  455.                             -- MODERATOR ]
  456.  
  457. ------------------------------
  458.  
  459. End of PRIVACY Forum Digest 02.20
  460. ************************
  461.