home *** CD-ROM | disk | FTP | other *** search

---

/ Handbook of Infosec Terms 2.0 / Handbook_of_Infosec_Terms_Version_2.0_ISSO.iso / text / privacy / p03_002.txt

< prev

next >

Wrap

Text File  |  1996-09-03  |  36KB  |  759 lines

---

1. PRIVACY Forum Digest     Sunday, 16 January 1994     Volume 03 : Issue 02
2.  
3.           Moderated by Lauren Weinstein (lauren@vortex.com)
4.             Vortex Technology, Woodland Hills, CA, U.S.A.
5.     
6.                      ===== PRIVACY FORUM =====
7.  
8.          The PRIVACY Forum digest is supported in part by the 
9.           ACM Committee on Computers and Public Policy.
10.  
11.  
12. CONTENTS 
13.     GAO Data Matching Report (Dave Banisar)
14.         Postal Service Still Selling NCOA Info (Dave Banisar)
15.     Wiretaps (John Higgins)
16.     Extracts from CPSR Alert 3.01:
17.        [1] FBI Pushes for Enhanced Wiretap Capabilities
18.        [2] Public Hearings on Privacy in DC & California
19.        (Original mailing from Dave Banisar; extracted by MODERATOR)
20.     Sprint VoiceCard - Maybe Not Such a Good Thing? (GOODMANS@delphi.com)
21.     National Computer Security Association 1994 Security Summit -
22.        Washington D.C. 1-25-94 and Encryption Export Control (Sharon Webb)
23.  
24.  
25.  *** Please include a RELEVANT "Subject:" line on all submissions! ***
26.             *** Submissions without them may be ignored! ***
27.  
28. -----------------------------------------------------------------------------
29. The Internet PRIVACY Forum is a moderated digest for the discussion and
30. analysis of issues relating to the general topic of privacy (both personal
31. and collective) in the "information age" of the 1990's and beyond.  The
32. moderator will choose submissions for inclusion based on their relevance and
33. content.  Submissions will not be routinely acknowledged.
34.  
35. ALL submissions should be addressed to "privacy@vortex.com" and must have
36. RELEVANT "Subject:" lines; submissions without appropriate and relevant
37. "Subject:" lines may be ignored.  Excessive "signatures" on submissions are
38. subject to editing.  Subscriptions are by an automatic "listserv" system; for
39. subscription information, please send a message consisting of the word
40. "help" (quotes not included) in the BODY of a message to:
41. "privacy-request@vortex.com".  Mailing list problems should be reported to
42. "list-maint@vortex.com".  All submissions included in this digest represent
43. the views of the individual authors and all submissions will be considered
44. to be distributable without limitations. 
45.  
46. The PRIVACY Forum archive, including all issues of the digest and all
47. related materials, is available via anonymous FTP from site "ftp.vortex.com",
48. in the "/privacy" directory.  Use the FTP login "ftp" or "anonymous", and
49. enter your e-mail address as the password.  The typical "README" and "INDEX"
50. files are available to guide you through the files available for FTP
51. access.  PRIVACY Forum materials may also be obtained automatically via
52. e-mail through the listserv system.  Please follow the instructions above
53. for getting the listserv "help" information, which includes details
54. regarding the "index" and "get" listserv commands, which are used to access
55. the PRIVACY Forum archive.  All PRIVACY Forum materials are also
56. available through the Internet Gopher system via a gopher server on
57. site "gopher.vortex.com".
58.  
59. For information regarding the availability of this digest via FAX, please
60. send an inquiry to privacy-fax@vortex.com, call (818) 225-2800, or FAX
61. to (818) 225-7203.
62. -----------------------------------------------------------------------------
63.  
64. VOLUME 03, ISSUE 02
65.  
66.    Quote for the day:
67.  
68.     "... Why can't they be like we were,
69.          Perfect in every way!
70.          What's the matter with kids to-day?"
71.  
72.             -- Paul Lynde
73.                "Bye, Bye Birdie" (1963)
74.  
75. ----------------------------------------------------------------------
76.  
77. Date:    Mon, 3 Jan 1994 15:14:32 EST    
78. From:    Dave Banisar <banisar@washofc.cpsr.org>
79. Subject: GAO Data Matching Report 
80.  
81.                           ONE HUNDRED THIRD CONGRESS
82.  
83.                          CONGRESS OF THE UNITED STATES
84.                             HOUSE OF REPRESENTATIVES
85.  
86.                        COMMITTEE ON GOVERNMENT OPERATIONS
87.                        2157 RAYBURN HOUSE OFFICE BUILDING
88.                            WASHINGTON, DC 20515-8143
89.  
90.  
91.            PRIVACY CONTROLS OVER COMPUTER MATCHING LARGELY IGNORED
92.  
93.                     Rep. Condit Releases New GAO Report
94.  
95.  
96.            A new General Accounting Office (GAO)  report  found  serious
97. deficiencies  in  implementation  of the 1988 Computer Matching and Privacy
98. Protection  Act  The  report  was  released  today  by  Rep.  Gary A.
99. Condit (D-CA), chairman of the Subcommittee on Information, Justice,
100. Transportation, and Agriculture.
101.  
102.            Computer matching is the identification of similarities or
103. dissimilarities in data found in two or more computer files. Matching is
104. frequently used to identify delinquent debtors or ineligible  program
105. recipients.  Computer matching has been criticized as an invasion of
106. privacy, and the Computer Matching and Privacy Protection Act was passed to
107. regulate the use of computer  matching by federal agencies.
108.  
109.            In releasing the report, Rep. Condit said:  "Most federal
110. agencies have done a lousy job of complying with the Computer Matching Act.
111. Agencies  ignore  the  law  or  interpret  it  to  suit  their own
112. bureaucratic convenience, without  regard  for  the  privacy  interests
113. that  the  law  was  designed to protect.
114.  
115.            "As a result, we don't have any idea when computer matching  is
116. a  cost-effective  technique  for preventing fraud, waste, and abuse. I
117. support reasonable  computer  matching  that  saves  money.  But  if we are
118. losing money, wasting resources, and invading privacy, then it makes no
119. sense.
120.  
121.            "A broader issue is whether agencies can be expected to police
122. their own operations that affect the privacy of the average citizen.
123. Certainly OMB has done little to assist.  We may need a different approach
124. to overseeing federal privacy-related activities."
125.  
126.            GAO found numerous problems with the implementation of the Act's
127. requirements.
128.  
129.             Cost-Benefit Analyses:  The Act requires that matching programs
130. include an analysis of the costs and benefits of the matching.  One of the
131. purposes of the Act was to limit the use of matching to instances where the
132. technique was  cost  effective.  GAO  found  many  problems  with
133. implementation  of this requirement, including poor quality or non-existent
134. analyses.  In  41%  of  cases,  no  attempt  was made to estimate costs or
135. benefits or both.
136.  
137.             In 59% of cases whem costs and benefits were esfimted, GAO
138. found that not all reasonable costs and benefits were considered; that
139. inadequate analyses were provided to support savings claims; and that no
140. effort was made after the match to validate estimates.
141.  
142.             o Data Integrity Boards: The Act requires agencies involved in
143. matching activities to establish a Data Integrity Board to oversee the
144. process. GAO found that the Boards were not providing full and earnest
145. reviews of proposed matches.  GAO did not find any instance in which a
146. Board pemianently cancelled an ongoing matching program or refused to
147. approve a newly proposed one.
148.  
149.             GAO did not find evidence that the requirements of the matching
150. act were used by the Boards to determine if a match should be approved. GAO
151. also found that the implementation of the new procedures does not appear to
152. have had major effects on the most important review process, the decision
153. to conduct the match.
154.  
155.             GAO found that the Data Integrity Boards generally accepted
156. agencies and states cost-benefit analyses despite their "severe
157. methodological flaws and lack of documentation."  The documentation often
158. failed to show how costs and benefits were calculated or the time period
159. for expected savings.     Agencies rarely estimated the most significant
160. costs.
161.  
162.             Overall, GAO found that the Data Integrity Boards provide less
163. than a full and earnest review of matching agreements to detem-dne whether
164. to proceed with proposed matches, but rather a regularization of the
165. approval process.
166.  
167.             The report is titled Computer Matching:  Quality of Decisions
168. and Supporting Analyses Little Affected by 1988 Act.  The report number is
169. GAO/PEMD-94-2, and the date is October 18, 1993. Copies can be obtained
170. [for free] from GAO by calling 202-512-6000.
171.  
172. ------------------------------
173.  
174. Date:    Thu, 6 Jan 1994 14:10:02 EST    
175. From:    Dave Banisar <banisar@washofc.cpsr.org>
176. Subject: Postal Service Still Selling NCOA Info
177.  
178.  
179.                             FOR IMMEDIATE RELEASE:
180.  
181.  
182.    News from the office of                     January 4, 1994
183.    Congressman Gary A . Condit
184.                                                CALIFORNIA - 15TH DISTRICT
185.  
186.                                                  
187.    1529 LONGWORTH HOUSE OFFICE BUILDING          
188.    WASHINGTON, D.C. 20515                        
189.    (202) 225-6131                                
190.  
191.  
192.              CONDIT CLAIMS VICTORY IN FIGHT FOR POSTAL PRIVACY
193.        BUT NOTES CONTINUED POSTAL SERVICE VIOLATION OF FEDERAL LAWS
194.  
195.  
196.  Rep. Gary A. Condit (D-CA) today claimed a partial victory in his ongoing
197. battle to compel the U.S. Postal Service to comply with Federal statutes
198. that protect the privacy of customer name and address information. The
199. Postal Service informed Condit today of its intention to alter regulations
200. which currently allow anyone to obtain the new address of someone who has
201. moved simply by presenting the Postal Service with the individual's old
202. address and a $3 fee. However, the Postal Service will continue to sell
203. change of address information to the nation's largest direct mail companies,
204. unless someone can produce a court order to stop the sale.
205.  
206.  Condit responded to the Postal Service action: "The Postal Service has
207. taken a small positive step to protect personal privacy and safety -- one
208. that I've been strongly advocating. But it still has a long way to go. The
209. Postal Service has no plan to halt its regular sale of change of address
210. information to the junk mail industry. Ordinary citizens who want to protect
211. their privacy will continue to have no recourse. Only those people protected
212. by a court order will be able to prevent the Postal Service from selling
213. their change of address information many thousands of times."
214.  
215.  Condit chairs the House Committee on Govenunent Operations Subcommittee on
216. Information, Justice,  Transportation, and Agriculture, which has oversight
217. jurisdiction over the Postal Service. In November 1992, the Government
218. Operations Committee issued a unanimous report, based on the subcommittee's
219. investigation, which condemned the Postal Service's address dissemination
220. practices. Entitled _Give Consumers a Choice: Privacy Implications of U.S.
221. Postal Service National Change of Address Program_ (House Report 102-1067),
222. the report explained that the Postal Service's address dissemination
223. practices violate federal statutes restricting the release of names and
224. addresses of postal patrons by the Postal Service. The Postal Reorganization
225. Act prohibits the Postal Service from making available any mailing or other
226. list of names or addresses of postal patrons or other persons. The Privacy
227. Act of 1974 prevents agencies, including the Postal Service, from selling or
228. renting an individual's name and address unless the agency has specific
229. legal authority to do so.
230.  
231.  Condit continued: "I've objected to the Postal Service's sale of address
232. information all along, not just because it violates personal privacy but
233. also because it violates the law. Nothing the Postal Service did today cures
234. its continuous violation of Federal statutes. The Postal Service's disregard
235. for privacy rights and for privacy statutes is callous and irresponsible."
236.  
237.  Last year, Condit introduced legislation to give postal customers the right
238. to prevent the U.S. Postal Service from giving out their change of address
239. information. H.R. 1344, the Postal Privacy Act of 1993, targets both the
240. Postal Service's $3 sale of an individual's new address and its widespread
241. sale of change of address information through its National Change of Address
242. (NCOA) service.
243.  
244.  Condit explained the impact of NCOA on personal privacy: "Every year, 40
245. million people file change of address orders with the Postal Service. Little
246. do they realize that every one of those orders is immediately made public.
247. Under the NCOA program, the Postal Service sells all of those records to 25
248. of the largest direct mail companies in the country, which in turn resell
249. them to thousands of other mailers."
250.  
251. Condit continued, "What makes this practice a real invasion of privacy is
252. that the Postal Service doesn't give anyone a choice about it. If you ask
253. the Postal Service to forward your mail, your new address is automatically
254. made public -- and there is nothing you can do to stop it."
255.  
256. Condit's proposed legislation would require the Postal Service to give
257. customers explicit written nodce that their change of address information
258. will be given out and to whom. Moreover, the legislation would require the Postal
259. Service to include a check-off box on change of address cards where people
260. could prevent public access to their address records.
261.  
262. Condit added, "The Postal Service has recognized that the sale of address
263. information invades the privacy of sonie people. It is now time to ensure
264. that everyone with a privacy concern has the same rights. My bill would
265. bring the Postal Service into compliance with federal law. More importantly,
266. it would give people a say about how their personal information is used. It
267. would give them the right to say no."
268.    
269.  
270. 920 13th Street                                       Federal Building
271. Modesto, CA 95354                                     415 West 18th Street
272. (209) 527-1914                                        Merced, CA 95340
273.                                                       (209) 383-4455
274.  
275. ------------------------------
276.  
277. Date:    Sun, 9 Jan 1994 17:41:52 -0500 (EST)
278. From:    John Higgins <higgins@dorsai.dorsai.org>
279. Subject: wiretaps
280.  
281. Are the cops tapping your phone? If you live in Oklahoma, Rhode Island or
282. Virginia, probably not. But if you're really paranoid don't move to New York
283. City, New Jersey or Florida.
284.  
285. On Jan. 9. New York Newsday published an article on wiretaps listing them by
286. location. Citing a report compiled by the Administrative Office of the United
287. States Courts, the article said that New York State cops lead the country with
288. 197 wiretaps installed in 1992. The aforementioned low-tap states reported
289. intalling just 1 phone or room bug, but of the 39 states that have wiretap
290. statutes 17 reported no taps AT ALL (no, I don't know which states those are).
291.  
292. Of the federal jurisdictions not on the list, 44 reported fewer than 10 taps
293. for the year, including 19 who reported one tap and 36 who reported zero.
294.  
295. I know that cops hate wiretaps, especially room bugs because they're so labor
296. intensive, but this doesn't seem like a whole lot of wiretaps in some of these
297. areas. Only seven local taps in Massachusetts? Three state wiretaps in all of
298. California? If these are accurate reports, this is far less pervasive than I
299. would have expected.
300.  
301. STATE AND LOCAL WIRETAP ACTIVITY (1992)
302. New York                 197 Nebraska                 4
303. New Jersey               111 Nevada                   4
304. Florida                  80  Utah                     3
305. Pennsylvania             77  Minnesota                3
306. Maryland                 17  California               3
307. Georgia                  16  Colorado                 2
308. Connecticut              15  New Hampshire            2
309. Texas                    14  New Mexico               2
310. Arizona                  12  Virginia                 1
311. Kansas                   7   Rhode Island             1
312. Massachusetts            7   Oklahoma                 1
313.  
314. FEDERAL WIRETAP ACTIVITY (1992)
315. Eastern Dist of NY       35  Central Dist of Calif.   14
316. Southern Dist. of NY     25  Arizona                  12
317. Southern Dist of Fla.    20  Western Dist. of NY      12
318. New Jersey               18  Easter Dist. of Penn.    12
319. Northern DIst of Tex.    16  Middle Dist of Florida   11
320. Colorado                 15  Eastern Dist. of Mich.   10
321. Maryland                 15  Southern Dist. of Tex    10
322.  
323. I'm going to try and obtain the full report this week.
324.  
325. John M. Higgins                   higgins@dorsai.dorsai.org
326. Multichannel News                 CIS:75266,3353
327.                                   V)212-887-8390/F)212-887-8384
328.  
329. ------------------------------
330.  
331. Date:    Thu, 13 Jan 1994 15:42:37 EST
332. From:    Dave Banisar <banisar@washofc.cpsr.org>
333. Subject: [ Extracts from CPSR Alert 3.01:
334.        [1] FBI Pushes for Enhanced Wiretap Capabilities
335.        [2] Public Hearings on Privacy in DC & California
336.                         -- MODERATOR ]
337.       
338.  
339.     [ Extracted from CPSR Alert, Vol. 3.01, 1/13/94 -- MODERATOR ]
340.  
341. [1] FBI Pushes for Enhanced Wiretap Capabilities
342.  
343. In the past month, FBI officials have indicated publicly that they are
344. continuing to push for enactment of legislation to mandate the building
345. in of electronic surveillance capabilities into most telecommunications
346. equipment. In addition, there are also reports that the Department of
347. Justice is investigating the possibility of recommending changes in the
348. law to allow for military personnel and equipment to be used by law
349. enforcement for electronic surveillance of Asian speakers.
350.  
351. On December 8, FBI Director Louis Freeh spoke at the National Press
352. Club where he stated:
353.  
354.      In order to keep up with the criminals and to protect our
355.      national security, the solution is clear. We need legislation
356.      to ensure that telephone companies and other carriers provide
357.      law enforcement with access to this new technology.
358.  
359. Communications Daily reported that the FBI and the telecommunications
360. carriers have formed a working group to discuss the problem and that
361. the companies might implement the capabilities voluntarily. This
362. working group has met several times.
363.  
364. Scripps Howard News Service reported on December 5 that the Department
365. of Justice is considering proposing new legislation to allow the
366. military to assist with wiretaps of Asian suspects. Currently the
367. military is prohibited by the 1878 Posse Comitatus Act, which prohibits
368. the use of military personal and resources in civilian law enforcement
369. activities. It was amended in 1981 to allow for use of military
370. personal and equipment for advice and assistance in drug interdiction.
371.  
372. Freeh reportedly told Scripts Howard that "I think that if we had
373. access to 50 or 100 qualified linguists in the Asian language[s] we
374. could probably monitor by ten times our ability to do court-authorized
375. surveillances of Asian organized crime groups."
376.  
377. Civil liberties groups are concerned about the military conducting
378. domestic electronic surveillance, especially in light of the recent
379. disclosures by CPSR of the National Security Agency's role in the
380. development of the Digital Signature Standard and the Digital Telephony
381. Proposal.
382.  
383. Sources inside the administration indicate that the long awaited
384. inter-agency review of government encryption policy, including Clipper,
385. the Digital Telephony Proposal and export control is due out by the end
386. of January. The report is expected to be classified.
387.  
388.    -------------------------------------------------------------
389.  
390. [2] Public Hearings on Privacy in DC & California
391.  
392. The Information Infrastructure Task Force (IITF) Privacy Working Group
393. has announced two public hearings on privacy and the NII to be held in
394. Sacramento, Ca and Washington, DC  The meetings are organized by the US
395. Office of Consumer Affairs. They are the first meetings in nearly
396. twenty years to be held outside Washington on privacy.
397.  
398. The public meetings will examine privacy issues relating to such areas
399. as law  enforcement, financial  services, information technology, and
400. direct marketing.  Representatives from the public, private  and
401. non-profit sectors will attend.  CPSR has been asked to participate at
402. both hearings.
403.  
404. The California meeting, January 10th and llth, will be hosted  by Jim
405. Conran,  Director, California Department of Consumer Affairs in the
406. First Floor Hearing Room at 400 R Street in Sacramento. The Washington,
407. DC meeting, January 26th and 27th, will be held at the U.S. Department
408. of Commerce Auditorium, 14th & Constitution Ave. NW. Registration
409. begins at 8:30am, meetings at 9am.
410.  
411. The public is invited to attend, question speakers and to make brief
412. comments, but space is limited.  Concise written statements for the
413. record should be sent to "Privacy," USOCA, 1620 L Street NW, Washington
414. DC 20036 or faxed to (202)634-4135.
415.  
416. For more Information, Contact Pat Faley or George Idelson at
417. (202)634-4329.
418.  
419. ------------------------------
420.  
421. Date: Thu, 13 Jan 1994 01:00:12 EDT
422. From: GOODMANS@delphi.com
423. Subject: Sprint VoiceCard - Maybe Not Such a Good Thing?
424.  
425.      [ From TELECOM Digest Vol. 14, Issue 28 -- MODERATOR ]
426.  
427. I was intrigued by the Sprint commericals on their voicecard and
428. called them to get more information.  I was quickly turned off from it
429. after speaking with one of their reps:
430.  
431. To use it you dial an 800 number;announce your SSN plus 1 digit;
432. announce the programmed number (ie call joe)
433.  
434. I don't know about you but I don't want to announce my SSN to the
435. world, especially in a crowded airport!  Also: the surcharge per call
436. is $1.00, its limited to domestic calls only, charged $5 a month, have
437. to be a Sprint Dial 1 customer, and the list is limited to 10 people.
438. It does not have any of the features the AT&T and MCI card have:
439. information services (weather, news) and conference calling.
440.  
441. What does everyone else think?
442.  
443. ------------------------------
444.  
445. Date: Thu, 06 Jan 1994 20:39:24 -0400 (EDT)
446. From: SHARONWEBB@delphi.com
447. Subject: National Computer Security Association 1994 Security Summit -
448.          Washington D.C. 1-25-94 and Encryption Export Control
449.  
450.  
451.     [ From RISKS-FORUM Digest Vol. 15, Issue 38 -- MODERATOR ]
452.  
453.  
454.   [This message was received rather late, even if the R.S.V.P. deadline 
455.   was extended from 2 Jan!  But you may want to respond anyway.  Besides,
456.   the Cantwell Bill is included below, and it may be of interest to many
457.   RISKS readers.  PGN]
458.  
459. This is an invitation to join members of the security community,
460. Administration officials, and members of Congress in a discussion of security
461. on the National Information Infrastructure and encryption export controls.
462.  
463. The meeting will be held at the Washington Convention Center on January the
464. 25th, 1994. The meeting will begin at 8 a.m. and will adjourn at 3 p.m.
465.  
466. The purpose of this meeting is in response to a request from Secretary of
467. Commerce Ron Brown at the recent 1993 Technology Summit in San Francisco.
468. Secretary Brown asked that a meeting be held to bring together industry and
469. government to start an open dialog, which will help shape information security
470. policy as the United States moves forward into a more global economy. Everyone
471. will have a chance to express their opinions and concerns.
472.  
473. During this meeting individual committees will be formed to study and make
474. recommendations on specific areas of information security as it relates to the
475. NII ( this will also become known as the International Information
476. Infrastructure).
477.  
478. R.S.V.P.'s are required NO LATER THAN January 2, 1994 [apparently extended to
479. 10 Jan.  PGN]. Please call Paul Gates at the National Computer Security
480. Association (717) 258-1816. All attendees will be sent an agenda, a copy of
481. the NII, the Clinton Administration's Technology Policy and a copy of the
482. Cantwell Bill which deals with encryption export controls.
483.  
484. NOTE: If you cannot attend in person but would still like to participate we
485. will be offering on-line opportunities.
486.  
487. Sharon Webb     voice# (404) 475-8787Director, Legislative
488. Affairs, National Computer Security Association
489.  
490. P.S. Attached please find a copy of the Cantwell Bill, my
491. comments and the NCSA's Encryption Export Control Survey .
492.  
493. Please send ALL responses to either my fax #(404) 740-8050 OR
494. EMAIL to me via SHARONWEBB@ DELPHI.com
495.  
496. 103D Congress
497. 1st Session
498.                                                H.R. 3627
499.  
500. IN THE HOUSE OF REPRESENTATIVES
501.  
502. Ms. CANTWELL (for herself and____) introduced the following bill which was
503. referred to the Committee on_____________________________.
504.  
505.                                                      A BILL
506.  
507. To amend the Export Administration Act of 1979 with respect to the control of
508. computers and related equipment.
509.  
510. Be enacted by the Senate and House of Representatives of the United States of
511. America in Congress assembled,
512.  
513.  
514. SECTION 1. GENERALLY AVAILABLE SOFTWARE.
515.  
516.  Section 17 of the Export Administration Act of 1979 (50 U.S.C.  App. 2416) is
517. amended by adding at the end thereof the following new subsection
518.  
519.      "(g) COMPUTERS AND RELATED EQUIPMENT -
520.  
521.  "(1) GENERAL RULE. - Subject to paragraphs (2) and (3) the Secretary shall
522. have exclusive authority to control exports of all computer hardware, software
523. and technology for information security (including encryption), except that
524. which is specifically designed or modified for -
525.  
526.      "(A) military use, including command, control and intelligence
527. applications; or
528.      "(B) Cryptanalytic Functions
529.  
530. "(2) ITEMS NOT REQUIRING LICENSES - No validated license may be required,
531. except pursuant to the Trading With The Enemy Act of the International
532. Emergency Economic Powers Act (but only to the extent that the authority of
533. such Act is not exercised to extend controls imposed under this Act), for the
534. export or reexport of-
535.  
536.     "(A) any software, including software with encryption capabilities, that
537. is
538.  
539.      "(i) generally available, as is, and is, and is designed for installation
540. by the user or
541.      "(ii) in the public domain or publicly available because it is generally
542. accessible to the interested public in any form; or
543.  
544.            "(B)" any computing device solely because it incorporates or
545. employs in any form software (including software with encryption capabilities)
546. exempted from any requirement for a validated license under subparagraph (A).
547.  
548. "(3) SOFTWARE WITH ENCRYPTION CAPABILITIES - The Secretary shall authorize the
549. export or reexport of software with encryption capabilities for nonmilitary
550. end-uses in any country to which exports of such software are permitted for
551. use by financial institutions not controlled in fact by united states persons,
552. unless there is substantial evidence that such software will be -
553.  
554.      "(A) diverted to a military end-use or an end-use supporting
555. international terrorism:
556.  
557.       "(B)  modified for military or terrorist end-use; or
558.  
559.       "(C) re-exported without requisite United States authorization.
560.  
561. "(4) DEFINITIONS - As used in this subsection-
562.  
563.     "(A) the term 'generally available' means, in the case of software
564. (including software with encryption capabilities), software that is offered
565. for sale, license, or transfer to any person without restriction through any
566. commercial means, including, but not limited to, over-the-counter retail
567. sales, mail order transactions, phone order transactions, electronic
568. distribution, or sale on approval;
569.  
570.     "(B) the term 'as is' means, in the case of software (including software
571. with encryption capabilities), a software program that is not designed,
572. developed, or tailored by the vendor for specific purchasers, except that such
573. purchasers may supply certain installation parameters needed by the software
574. program to function properly with the purchaser's system and may customize the
575. software program by choosing among options contained in the software program;
576.  
577.    "(C) the term 'is designed for installation by the purchaser' means, in the
578. case of software (including software with encryption capabilities -
579.  
580.     "(i) the software company intends for the purchaser (including any
581. licensee or transferee), who may not be the actual program user, to install
582. the software program on a computing device and has supplied the necessary
583. instructions to do so, except that the company may also provide telephone help
584. line services for software installation, electronic transmission, or basic
585. operations; and-
586.  
587.     "(ii) that the software program is designed for installation by the
588. purchaser without further substantial support by the supplier;
589.  
590.     "(D) the term 'computing device' means a device which incorporates one or
591. more microprocessor-based central processing units that can accept, store,
592. process or provide out-put of data; and
593.  
594.     "(E) the term 'computer hardware', when used in conjunction
595. with information  security, includes, but is not limited to,
596. computer systems, equipment,  application-specific assemblies,
597. modules and integrated circuits". END of BILL
598.  
599. FROM: Secure Systems Group International, Inc
600. TO: Bob Bales
601. Director, National Computer Security Association
602. (717) 258-1816
603.  
604. Re: Encryption Export Bill (Cantwell)
605. Bob -
606.  
607. Here are some of the comments that we passed along to Maria Cantwell's office
608. regarding the Bill on the export of encryption technologies. I hope you find
609. it useful.
610.  
611. I understood the purpose of this Bill was to reduce export controls and
612. restrictions of software that is either based on encryption or that contained
613. encryption. As I read the Bill everything was fine until paragraph (3) -( You
614. understand that I am reading this from a laypersons point of view and if you
615. can clear up any misinterpretations I would appreciate it).
616.  
617.  In paragraph (3) the Bill states software containing encryption can be
618. exported freely "unless there is substantial evidence that such software will
619. be:
620.  
621. (A) diverted to a military end-use or end-use supporting international
622. terrorism:
623.  
624. (B) modified for military or terrorist end user or
625.  
626. (C) re-exported without requisite United States Authorization."
627.  
628. or that software which is
629.  
630. "... specifically designed or modified for
631.  
632. (A) military use, including command, control, and intelligence applications;
633. or
634.  
635. (B) cryptanalytic functions
636.  
637. I think that before I or others from the security side decide to support or
638. not to support this Bill we have some questions that need answers.
639.  
640.  
641. 100 Nobel Court, Suite 400, Alpharetta, GA. 30202 Voice (404) 475-8787 FAX
642. (404) 740-8050
643.  
644. Member of National Computer Security Association and the American Electronics
645. Association
646.  
647. 1. Who will be asked to determine whether such restrictions are appropriate?
648. The NSA? The CIA? The FBI? Does it remain the same as under the current law?
649. Assuming that the technical overview of military applications for encryption
650. remains the NSA - what makes it in their interest to let ANY encryption out of
651. the country that will make their job more difficult? (A little like letting
652. the fox guard the chickens)
653.  
654. 2. What constitutes substantial evidence 'of or 'designed for' military use?
655. Is it measured by the relative strength of the algorithm or key management
656. system or by the mere fact it is longer than the DES which is 56 bits? I feel
657. that some sort of definition needs to be included. What can and what cannot be
658. exported? A list of commercially available encryption software algorithms that
659. are pre-approved - (i.e. DES, RSA, PGP, RC4, DSS, etc.) would be nice. Is
660. selling an encryption product to a foreign military contractor the same as
661. selling to the military itself, and who makes the judgment call?
662.  
663. 3. Will export licenses be required - will denials be explained so that the
664. exporter and the public understand the reasons for the denial?
665.  
666. 4. If a denial is issued, will the exporter have any forum for appeal?
667.  
668. Since Secretary of Commerce Ron Brown has exclusive control over the export
669. rules, it is obvious that the intelligence community can have a single,
670. important, point of focus for influence. (Yes I an slightly suspicious). In
671. theory, the intelligence overseers could disapprove any license to a FRIENDLY
672. Government or customer on the assumption that their military would use it just
673. because its within their borders. It is unlikely that German forces will
674. revert to DES, but their interest in RSA or PGP or triple DES may have such
675. applications.  It would still be in the NSA's best interest to limit the
676. export of such software.
677.  
678. My major objection to the Bill as I have understood it is that Commerce, based
679. on advice from the intelligence community (i.e.  NSA), still has arbitrary
680. control over what encryption may be exported or not. How is this that much
681. different from what we have today?
682.  
683. This version of the Bill would still permit the Secretary to arbitrarily
684. restrict export of some algorithms with no technical benchmarks in place (i.e.
685. length of key, number of bits). There will be some algorithms that the U.S.
686. would want to restrict it would be a great help to all to compile a list of
687. accepted algorithms for export such as is done with computer exports which are
688. measured in MIPS.
689.  
690. In general, I like the Bill - we NEED it ! - but I feel that it leaves a lot
691. of room for confusion.
692.  
693. Let me know what your thoughts are on this - thanks.
694.  
695. Sharon Webb, President
696. National Computer Security Association Encryption Export Control Survey
697.  
698. The purpose of this survey is to quantify the business opportunities lost
699. because of the U.S. policy on the exportation of encryption algorithms such as
700. DES, RSA, etc. If we are to make ANY impact AT ALL, the security community
701. needs to let Congress that economic HARM is being done due to the export
702. control on encryption technologies.
703.  
704. Please take the time to fill this out and return it to NCSA NO
705. LATER THAN FRIDAY JANUARY 7, 1994.         NCSA FAX (717)
706. 243-8642.
707.  
708. The results will be presented to Congress in order to further efforts to
709. release export controls on certain encryption technologies.
710.                                                      
711.  
712. 1) Are you a manufacturer of products that utilize encryption methods?
713.  
714.         YES             NO 
715.  
716. 2) What forms of encryption do you use?                         
717.  
718. 3) Is you product  Hardware    Software    or    Both .
719.  
720. 4) Have you experienced a loss of sales OVERSEAS due to export controls?
721.  
722.         YES             NO 
723.  
724. (If the answer is YES, please list the country, the customer (optional), the
725. dollar amount lost and who got the business (Competitor). If there is a way
726. for you to be able to know WHY a bid was lost let us know.)
727.  
728. 5) Have you experienced a loss of sales HERE in the U.S. and Canada to foreign
729. competition?
730.         YES             NO 
731.  
732. (If the answer is YES, please list the customer (Optional), the dollar amount
733. and who got the business (Competitor).
734.  
735. 6) What percentage of your business is U.S. based?  International?
736.  
737.   (what country(ies) make up the largest portion of your International sales?
738.                                                                 
739. Who are you?  (Optional) and additional comments: (Use additional paper if
740. necessary)
741.  
742. Attached is a file called NCSASUR.DOC. This file contains an open invitation
743. to the meeting in Washington D.C. on January 25th. Italso contains a copy of
744. the Cantwell Bill and my comments. The final page is the VERY IMPORTANT NCSA
745. Encryption Export Control Survey. We need as many QUALIFIED (names and phone
746. numbers attached) responses ASAP!!!!
747.  
748. Thank You
749.  
750. Sharon Webb - Director, Legislative Affairs NCSA
751. voice#(404) 475-8787
752. fax# (404) 740-8050
753. email SHARONWEBB@Delphi.com
754.  
755. ------------------------------
756.  
757. End of PRIVACY Forum Digest 03.02
758. ************************
759.