home *** CD-ROM | disk | FTP | other *** search
/ 2,000 Greater & Lesser Mysteries / 2,000 Greater and Lesser Mysteries.iso / crypto / mys00562.txt < prev   
Encoding:
Text File  |  1994-06-10  |  18.5 KB  |  471 lines

  1.  
  2. A LETTER FROM THE NATIONAL COMPUTER SYSTEMS LABORATORY
  3. No. 29                                   February 1990
  4.  
  5.  
  6. DATA ENCRYPTION STANDARD:  THE KEY TO INFORMATION SECURITY
  7.  
  8. In response to the many questions we receive about the Data
  9. Encryption Standard (DES), we have developed a DES Fact Sheet
  10. which covers all aspects of the standard and its applicability. 
  11. Highlights of the DES Fact Sheet follow.
  12.  
  13. Background 
  14.  
  15. Protecting the confidentiality and integrity of sensitive
  16. unclassified information in federal computer systems has been a
  17. key goal of NCSL since the inception of its computer security
  18. program in 1972.  Federal Information Processing Standard (FIPS)
  19. 46, Data Encryption Standard (DES), was issued in 1977.  FIPS 46
  20. is based upon work by the International Business Machines
  21. Corporation and has been approved as American National Standard
  22. X3.92-1981/R1987.  DES has been reaffirmed twice, most recently
  23. in 1988.  The current FIPS 46-1 reaffirms the standard until
  24. 1993.
  25.  
  26. How does DES work?
  27.  
  28. DES specifies a cryptographic algorithm that converts plaintext
  29. to ciphertext using a key, a process called encryption.  The same
  30. algorithm used with the same key converts ciphertext back to
  31. plaintext in the reverse process called decryption.  DES involves
  32. 16 rounds of operations that mix the data and key together in a
  33. prescribed manner.  The result is a complete scramble of data and
  34. key so that no correlation exists between the ciphertext and
  35. either the original data or key.
  36.  
  37. How does DES provide security?
  38.  
  39. The security provided by DES depends on the following factors:
  40.  
  41.   o  mathematical soundness,
  42.  
  43.   o  length of key,
  44.  
  45.   o  key management,
  46.  
  47.   o  input data formatting,
  48.  
  49.   o  mode of operation,
  50.  
  51.   o  implementation,
  52.  
  53.   o  application, and
  54.  
  55.   o  threat.  
  56.  
  57. Several organizations have evaluated DES and found the standard
  58. to be mathematically sound.  NCSL has determined that at least
  59. until 1993, DES will continue to provide more than adequate
  60. security for its intended applications.  Applications which use
  61. DES include Electronic Funds Transfer, privacy protection of
  62. personal information, personal authentication, password
  63. protection, and access control.
  64.  
  65. Applicability of DES
  66.  
  67. Subject to agency waivers, the use of DES is mandatory for all
  68. federal agencies, including defense agencies, for the protection
  69. of sensitive unclassified data communications (except information
  70. covered by 10 U.S.C. Section 2315) when the agency determines
  71. that cryptographic protection is required.  Note that the use of
  72. DES is currently applicable only to the protection of data
  73. communications.  Private-sector individuals or organizations may
  74. use DES at their discretion.
  75.  
  76. Heads of federal agencies may waive the mandatory use of DES
  77. when:
  78.  
  79.   o  compliance with the standard would adversely affect the
  80.      accomplishment of the mission of an operator of a federal
  81.      computer system; or
  82.  
  83.   o  compliance would cause a major adverse financial impact on
  84.      the operator which is not offset by governmentwide savings.
  85.  
  86. Endorsement of DES Products
  87.  
  88. The National Security Agency (NSA) no longer endorses DES
  89. products for use in telecommunications equipment and systems for
  90. conformance to FIPS 140 (formerly Federal Standard 1027).  NCSL
  91. has notified federal agencies that they may wish to waive FIPS
  92. 140 in order to buy equipment which may not meet all requirements
  93. of the standard.  This action enables agencies to procure cost-
  94. effective equipment that meets their needs, but has not been
  95. endorsed by NSA.  FIPS 140 is being revised; in the interim,
  96. agencies may accept written affirmation of conformance to FIPS
  97. 140 from vendors as sufficient indication of conformance.
  98.  
  99. DES Fact Sheet
  100.  
  101. The DES Fact Sheet is available at no charge from the following
  102. address:
  103.  
  104.      DES Fact Sheet
  105.      National Computer Systems Laboratory
  106.      Room B64, Technology Building
  107.      National Institute of Standards and     Technology
  108.      Gaithersburg, MD 20899
  109.      (301) 975-2821
  110.  
  111. Alternatively, you may access our NCSL Computer Security Bulletin
  112. Board and download the DES Fact Sheet.  To access the board, you
  113. need a standard ASCII terminal (or PC with communications
  114. capabilities) set up with the following parameters:  baud rate -
  115. 300, 1200, or 2400; data bits - 8 with no parity or 7 with even
  116. parity; and stop bits - 1.  Dial (301) 948-5717 and after the
  117. CONNECT message is displayed, strike the carriage return twice. 
  118. The DES file is located in the "File Subsystem" under the
  119. "General Information (1)" Directory.  The ten-page file can only
  120. be viewed by downloading it.  Instructions for downloading are
  121. available in the "Bulletin Topics Menu" under the "Using the BBS
  122. (1)" Directory.
  123.  
  124. FEDERAL INFORMATION PROCESSING STANDARDS (FIPS) ACTIVITIES
  125.  
  126. FIPS For COBOL Revised
  127.  
  128. The Secretary of Commerce has approved a revision of FIPS 21-2,
  129. COBOL, to be published as FIPS 21-3.  To be effective June 29,
  130. 1990, the revised standard adopts American National Standard
  131. Programming Language COBOL, ANSI X3.23-1985 and X3.23A-1989 for
  132. federal agency use.  FIPS 21-3 adds an Intrinsic Function
  133. facility to the COBOL specifications.  FIPS COBOL is one of the
  134. high-level programming language standards provided for use by all
  135. federal agencies.  The language is especially suited for
  136. applications that emphasize the manipulation of characters,
  137. records, files, and input/output (in contrast to those primarily
  138. concerned with scientific and numeric computations).  FIPS 21-3
  139. will be available through NTIS.
  140.  
  141. Revision of FIPS Structured Query Language (SQL) Approved
  142.  
  143. FIPS 127, Database Language SQL, has been revised and will be
  144. published as FIPS 127-1.  The revised standard adopts American
  145. National Standard Database Language SQL with Integrity
  146. Enhancement, ANSI X3.135-1989, and American National Standard
  147. Database Language Embedded SQL, ANSI X.3.168-1989.  FIPS 127-1
  148. offers new conformance alternatives, new programming language
  149. interfaces, a new integrity enhancement option, clarification and
  150. correction of existing specifications, and additional
  151. considerations for use in procurements.  It does not contain any
  152. new requirements that would make an existing conforming
  153. implementation nonconforming.
  154. FIPS 127-1 will be available through NTIS.
  155.  
  156. NCSL HOSTS INTERAGENCY COMPUTER SECURITY MANAGERS MEETING  
  157.  
  158. Lynn McNulty, Associate Director for Computer Security, recently
  159. hosted the first meeting of the Federal Computer Security Program
  160. Managers Forum.  The purpose of the meeting was to share
  161. information with federal personnel who manage operational
  162. computer security organizations responsible for the protection of
  163. sensitive unclassified information.  Representatives from
  164. approximately thirty agencies and departments attended, including
  165. all four military services.  
  166.  
  167. McNulty discussed two projects that his office is undertaking. 
  168. The first is to develop a special publication to provide guidance
  169. to federal agencies on the management and organization of a
  170. computer security program.  Additionally, his office is examining
  171. how the federal personnel system is used to hire computer
  172. security professionals and hopes to convince the Office of
  173. Personnel Management to recognize computer security as a separate
  174. professional series.  
  175.  
  176. Participants were provided the latest information on NCSL's
  177. efforts in virus prevention, awareness publications, and
  178. interagency computer assistance activities.  The group also
  179. addressed whether NCSL should establish a standing interagency
  180. body to address policy issues.  McNulty will chair regular Forum
  181. meetings to share computer security information among the federal
  182. participants.
  183.  
  184. NCSL SEEKS AUTOMATED PASSWORD GENERATORS
  185. We are seeking contributions of existing automated password and
  186. passphrase generators from the commercial, industrial, and
  187. academic computer security communities.  These generators will be
  188. evaluated for use in federal systems that require automated
  189. password and passphrase generation.  Responses should be sent to
  190. Lawrence Keys, A216, Technology Building, National Institute of
  191. Standards and Technology, Gaithersburg, MD 20899 or call Larry at
  192. (301) 975-5482.
  193.  
  194. GRAPHICS VALIDATION TEST SUITES TO BE DEMONSTRATED
  195.  
  196. Our Information Systems Engineering Division will demonstrate its
  197. graphics validation test suites at the National Computer Graphics
  198. Association (NCGA) '90 Conference and Exposition in Anaheim, CA
  199. on March 19-22.  The test suites determine if a specified
  200. implementation conforms to the corresponding ANSI and FIPS
  201. graphics standards.  Test suites will be run for the following
  202. standards:  Graphical Kernel System (GKS); Programmer's
  203. Hierarchical Interactive Graphics System (PHIGS); Computer
  204. Graphics Metafile (CGM); and Structured Query Language (SQL).
  205.  
  206. Implementors can use the test suite to improve their products and
  207. help ensure correct implementation of the graphics standard. 
  208. Vendors with conforming products benefit by improving their
  209. competitive edge; users benefit from an open marketplace and
  210. increased confidence in these products.
  211.  
  212. For information about the NCSL exhibit, contact Lynne S.
  213. Rosenthal, A266, Technology Building, National Institute of
  214. Standards and Technology, Gaithersburg, MD 20899, (301) 975-3353.
  215.  
  216. For information about the conference in general, contact NCGA,
  217. 2722 Merrilee Drive, Suite 200, Fairfax, VA 22031, (800) 225-
  218. NCGA.
  219.  
  220. UPDATE ON NEW PUBLICATIONS
  221.  
  222. NCSL publishes the results of studies, investigations, and
  223. research.  The reports listed below may be ordered from the
  224. following sources as indicated for each:
  225.  
  226. *Superintendent of Documents
  227. U.S. Government Printing Office
  228. (GPO)
  229. Washington, DC 20402
  230. Telephone (202) 783-3238
  231.  
  232. *National Technical Information
  233. Service (NTIS)
  234. 5285 Port Royal Road
  235. Springfield, VA 22161
  236. Telephone (703) 487-4650
  237.  
  238. Report of the Invitational Workshop on Data Integrity
  239. By Zella G. Ruthberg and William T. Polk
  240. NIST Spec. Pub. 500-168
  241. September 1989
  242. SN003-003-02966-1   
  243. Order from GPO
  244.  
  245. This publication contains the proceedings of the second
  246. invitational workshop on computer integrity issues which took
  247. place at NIST on January 25-27, 1989.  Attended by 66 invited
  248. participants who are currently working in some aspect of data
  249. integrity, the workshop addressed such topics as data integrity
  250. models, data quality, integrity controls, and certification of
  251. transformation procedures that preserve data integrity.  Results
  252. of the first workshop held in October 1987 which addressed
  253. integrity policy in computer information systems are contained in
  254. NIST Special Publication 500-160.
  255.  
  256. Executive Guide to the Protection of Information Resources
  257. By Cheryl Helsing, Marianne Swanson, and Mary Anne Todd
  258. NIST Spec. Pub. 500-169
  259. October 1989
  260. SN003-003-02969-6        $1.50
  261. Order from GPO (also available on NCSL Computer Security Bulletin
  262. Board)
  263.  
  264. This guide assists executives address a host of questions
  265. regarding the protection and safety of computer systems and their
  266. information resources.  The publication introduces information
  267. systems security concerns, outlines the management issues that
  268. must be addressed by agency policies and programs, and describes
  269. essential components of an effective implementation process.
  270.  
  271. Management Guide to the Protection of Information Resources
  272. By Cheryl Helsing, Marianne Swanson, and Mary Anne Todd
  273. NIST Spec. Pub. 500-170
  274. October 1989
  275. SN003-003-02968-8        $1.75
  276. Order from GPO (also available on NCSL Computer Security Bulletin
  277. Board)
  278.  
  279. This guide introduces information systems security concerns and
  280. outlines the issues that must be addressed by all agency managers
  281. in meeting their responsibilities to protect information systems
  282. with their organizations.  It describes essential components of
  283. an effective information resource protection process that applies
  284. to a stand alone personal computer or to a large data processing
  285. facility.
  286.  
  287. Computer User's Guide to the Protection of Information Resources
  288. By Cheryl Helsing, Marianne Swanson, and Mary Anne Todd
  289. NIST Spec. Pub. 500-171
  290. October 1989
  291. SN003-003-02970-0        $1.00
  292. Order from GPO (also available on NCSL Computer Security Bulletin
  293. Board)
  294.  
  295. Computers have changed the way we handle our information
  296. resources.  Large amounts of information are stored in one
  297. central place with the ability to be accessed from remote
  298. locations.  Users have a personal responsibility for the security
  299. of the system and the data stored in it.  This document outlines
  300. the user's responsibilities and provides security and control
  301. guidelines to be implemented.
  302.  
  303. Computer Security Training Guidelines
  304. By Mary Anne Todd and Constance Guitian
  305. NIST Spec. Pub. 500-172
  306. November 1989
  307. SN003-003-02975-1        $2.50
  308. Order from GPO
  309.  
  310. This guideline provides a framework for determining the training
  311. needs of employees involved with computer systems.  It describes
  312. the learning objectives of agency computer security training
  313. programs -- what the employee should know and be able to direct
  314. or actually perform -- so that agencies may use the guidance to
  315. develop or acquire training programs that fit the agency
  316. environment.
  317.  
  318. Guide to Data Administration
  319. By Bruce K. Rosen and Margaret H. Law
  320. NIST Spec. Pub. 500-173
  321. October 1989
  322. SN003-003-02967-0        $4.25
  323. Order from GPO
  324.  
  325. This guide provides a reference model for the various activities
  326. performed by information resource management, data
  327. administration, data modeling tools administration, and database
  328. administration.  Data administration is responsible for defining
  329. an information architecture.  The guide describes computing tools
  330. useful for data administration, such as data dictionary systems
  331. and computer-aided software engineering (CASE) tools. 
  332.  
  333. Guide for Selecting Automated Risk Analysis Tools
  334. By Irene E. Gilbert
  335. NIST Spec. Pub. 500-174
  336. October 1989
  337. SN003-003-02971-8        $2.00
  338. Order from GPO
  339.  
  340. This document recommends a process for selecting automated risk
  341. analysis tools, describing important considerations for
  342. developing selection criteria for acquiring risk analysis
  343. software.  The report describes three essential elements that
  344. should be present in an automated risk analysis tool:  data
  345. collection, analysis, and output results.  It is intended
  346. primarily for managers and those responsible for managing risks
  347. in computer and telecommunications systems.
  348.  
  349. Management of Networks Based on Open Systems Interconnection
  350. (OSI) Standards:  Functional Requirements and Analysis
  351. By Robert Aronoff, Michael Chernick, Karen Hsing, Kevin Mills,
  352. and Daniel Stokesberry
  353. NIST Spec. Pub. 500-175
  354. November 1989
  355. SN003-003-02986-6        $7.00
  356. Order from GPO
  357.  
  358. This publication examines current and proposed network management
  359. systems to determine both user and functional requirements for
  360. network management.  The report compares the derived functional
  361. requirements to emerging standards to determine where and how
  362. requirements are being met.  The examination of requirements
  363. focuses on those necessary for interoperability in the following
  364. broad areas:  architecture, configuration management, fault
  365. management, security management, performance management, and
  366. accounting management.
  367.  
  368. A Detailed Description of the Knowledge-Based System for Physical
  369. Database Design
  370. (two volumes)
  371. By Christopher E. Dabrowski
  372. NISTIR 89-4139-1
  373. August 1989
  374. PB 89 228993             $17.00 
  375. NISTIR 89-4139-2
  376. PB 89 229033             $23.00
  377.  
  378. A knowledge-based system for physical database design developed
  379. at NCSL has previously been described in NIST Spec. Pub. 500-151. 
  380. This follow-up report to that publication describes the knowledge
  381. base for the system in detail.  The description includes a
  382. complete explanation of each component of the knowledge base
  383. together with the actual rules used by the system.
  384.  
  385. Working Implementation Agreements for Open Systems
  386. Interconnection Protocols
  387. Tim Boland, Editor
  388. NISTIR 89-4140
  389. August 1989
  390. PB 89-235931             $36.95
  391. Order from NTIS
  392.  
  393. This document records current agreements on implementation
  394. details of Open Systems Interconnection (OSI) protocols among the
  395. organizations participating in the NIST/OSI Workshop for
  396. Implementors of OSI.  The document is based on the proceedings of
  397. the workshop plenary assembly held June 16, 1989.  Decisions are
  398. documented to facilitate organizations in their understanding of
  399. the status of agreements.  
  400.  
  401. UPCOMING TECHNICAL CONFERENCES
  402.  
  403. North American ISDN Users' Forum
  404. This conference will address many concerns over a broad range of
  405. Integrated Services Digital Network (ISDN) issues and will seek
  406. to reach consensus on ISDN Implementation Agreements. 
  407. Participants will include ISDN users, implementors, and service
  408. providers.
  409. Date:  March 6-9, 1990
  410. Place:  Dallas, TX
  411. August 6-9, 1990
  412. Place:  NIST, Gaithersburg, MD
  413. Date:  November 5-8, 1990
  414. Place:  NIST, Gaithersburg, MD
  415. Contact:  Dawn Hoffman
  416. (301) 975-2937
  417. FTS 879-2937
  418.  
  419. NIST Workshop for Implementors of OSI
  420. This workshop is part of a continuing series to develop
  421. implementation specifications from international standard design
  422. specifications for computer network protocols.
  423. Sponsors:  NIST and the IEEE Computer          Society
  424. Dates:  March 12-16, 1990
  425.          June 18-22, 1990
  426.          September 10-14, 1990
  427.          December 10-14, 1990
  428. Place:  NIST, Gaithersburg, MD
  429. Contact:  Brenda Gray
  430. (301) 975-3664
  431. FTS 879-3664
  432.  
  433. Data Administration Management Association Annual Symposium
  434. Data administration techniques and approaches will be discussed
  435. in a forum for the exchange of ideas and resolution of problems.
  436. Sponsors:  NIST, FEDMUG, and Data Administration Management
  437. Association
  438. Date:  May 7-8, 1990
  439. Place:  NIST, Gaithersburg, MD
  440. Contact:  Judith Newton
  441. (301) 975-3256
  442. FTS 879-3256
  443.  
  444. Applications Portability Profile (APP) Workshop
  445. This workshop is designed as a user's forum to discuss the latest
  446. developments in the APP.
  447. Date:  May 9, 1990
  448. Place:  NIST, Gaithersburg, MD
  449. Contact:  James Hall
  450. (301) 975-3273
  451. FTS 879-3273
  452.  
  453. COMPASS '90
  454. The purpose of this conference is to identify the meaning of
  455. computer assurance, the techniques needed to achieve it, and
  456. their limitation.
  457. Sponsors:  NIST, IEEE Aerospace & Electronics Systems Society,
  458. and IEEE National Capital Area Council
  459. Date:  June 25-29, 1990
  460. Place:  NIST, Gaithersburg, MD
  461. Contact:  Dolores Wallace
  462. (301) 975-3340
  463. FTS 879-3340
  464.  
  465.  
  466.  
  467. If you are interested in receiving our newsletter, send your
  468. name, organization, and mailing address to:  NCSL Newsletter,
  469. National Institute of Standards and Technology, Room B151,
  470. Technology Building, Gaithersburg, MD 20899.
  471.