home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #27 / NN_1992_27.iso / spool / sci / crypt / 4983 < prev    next >
Encoding:
Internet Message Format  |  1992-11-18  |  9.1 KB
  1. Xref: sparky sci.crypt:4983 alt.privacy:2335
  2. Path: sparky!uunet!ogicse!clark!nsrvan.vanc.wa.us!sysevm
  3. From: sysevm@nsrvan.vanc.wa.us
  4. Newsgroups: sci.crypt,alt.privacy
  5. Subject: Discussion on SCIPH WP version 1
  6. Message-ID: <1992Nov18.105748.55@nsrvan.vanc.wa.us>
  7. Date: 18 Nov 92 18:57:48 GMT
  8. Article-I.D.: nsrvan.1992Nov18.105748.55
  9. References: <921114182202.126812@DOCKMASTER.NCSC.MIL> <1992Nov14.204512.17407@csi.uottawa.ca> <hugh.721982357@gargoyle.uchicago.edu>
  10. Organization: National Systems & Research, Vancouver WA
  11. Lines: 146
  12.  
  13. Hugh, Terry, Chris and a host of others have given some very thoughtfull
  14. comments along the lines of how do we keep the government from legistation on
  15. registration or ban of strong cryptography. I have come to respect their
  16. thoughts on the subject.
  17.  
  18. I think that the time has come to create a White Paper of the position of
  19. 'netnews' RE. How Strong Cryptography is of benifit to society and Why it must
  20. be freely available for use, public and private.
  21.  
  22. To that end let me set down some ground rules that I hope will keep us on
  23. track and prevent the digression to arguments between fractions.
  24.  
  25. It is my intent to get the ball running in the formulation of this white paper
  26. as a response to those who would attempt remove strong cryptography from the
  27. hands of common citizens. The completed white paper could take the form of a
  28. FAQ or what the will of the netters can come up with.
  29.  
  30. As this white paper grows (if you all don't shoot it down at birth) we will be
  31. faced with forming a consensus. Let's tackle that as we come to it. I don't
  32. expect to have any central control (from any point) so this is a real challenge
  33. in coorporation.
  34.  
  35. What good will it do? Well, I expect that we can turn this into a paper that we
  36. can send to our respective elected officials expressing our collective view.
  37. Further the white paper would be of use as a letter to the editor of your local
  38. paper when the point should come up locally and as a starting point on the
  39. education of local government and law enforcement persons on why not to
  40. regulate strong cryptography and how mis-use of cryprography has been
  41. considered in this position.
  42.  
  43. To get the ball rolling I have taken Hugh Miller's proposal and turned it into
  44. 'White Paper on SCIPH version 1' with this post as 'Discussion on SCIPH WP
  45. version 1'.
  46.  
  47. Regards, Ethan
  48.  
  49. ----------------------------------------------------------------------
  50.             White Paper on Strong Cryptography in Public Use
  51.  
  52. GROUND RULES.
  53.  
  54. 1) the white paper shall start with the ground rules
  55. 2) a version code shall be used to identify competing versions of the white
  56.    paper
  57. 3) each version of the white paper shall be indicated in the subject line in
  58.    the following format  'White Paper on SCIPH version n' Where n indicates the
  59.    specific version.
  60. 4) the creation of a new version will occur when major changes to the content
  61.    of the white paper are proposed or at any time the ground rules change. 
  62. 5) No Discussion or debate of the white paper(s) shall occur under the white
  63.    paper subject line (see rune 3)
  64. 6) DISCUSSION and debate of proposed changes to a specific version of the
  65.    white paper shall be noted in the subject line in the following format
  66.    'Discussion on SCIPH WP version n'
  67. 7) All persons are open to participate in the formulation of these white papers
  68.  
  69.  
  70. >     Chris Browne's wonderful post is the very voice of reason, although
  71. > it's a gone a little short of replies due, I suppose, to the clang of
  72. >     To start the ball rolling, a few initial efforts:
  74. >   I.    Freely accessible practically secure cryptography (FAPSC) is an
  75. >         area in which the interests of private corporations and the
  76. >         interests (some would say rights) of private individuals to be
  77. >         secure in their persons and papers converge.  (They, ahem, don't
  78. >         always.)  As one of the recent contributors to the discussion on
  79. >         sci.crypt noted (I can't remember who, sorry!), it was supremely
  80. >         ironic that in the same Congressional testimony in which he
  81. >         lamented the explosive growth in recent years of industrial
  82. >         espionage, FBI Director William Sessions went on record as
  83. >         opposing FAPSC.  Making FAPSC illegal for the general populace
  84. >         will severely impact the security of internal corporate
  85. >         communications.  (Individual corporations are, I think, unlikely
  86. >         to win exemptions to such legislation unless they do contract
  87. >         work with the government, and then only on those specific
  88. >         contracts.)  Such a general ukase on FAPSC would thus hurt
  89. >         American business in a competitive world market.  This kind of
  90. >         argument is already being made by many corporations, and loudly.
  92. >   II.   From my educated layman's view of the intelligence-gathering
  93. >         process, two critical problems faced by analysts are (1)
  94. >         identifying the needles of valuable information in the haystack
  95. >         of more-or-less irrelevant data, and (2) correctly interpreting
  96. >         that information for the end-user.  The presence of FAPSC would
  97. >         not affect the second problem at all, as it is internal to the
  98. >         relationship of the intelligence-gatherer and the end-user. It
  99. >         _would_ affect the first problem, in certain ways.  It would of
  100. >         course reduce the size of the haystack, since most of the bits
  101. >         flowing into the intercept horns and linetaps would be
  102. >         encrypted.  Some informational `needles' would doubtless be
  103. >         obscured as well, and it is this prospect which exercises those
  104. >         who oppose FAPSC.  But consider that the kind of
  105. >         information-gathering facility which would be most impacted by
  106. >         FAPSC is the one about which almost everybody in this debate has
  107. >         the most misgivings: brute-force keyword searches on very-broad-
  108. >         band comm trunks.  Here the analogy with paper mail is most apt
  109. >         and should be played up for all it's worth: no one (or almost no
  110. >         one) would agree that the government ought to be in the business
  111. >         of steaming open and reading every letter passing through the
  112. >         U.S. Postal Service in the hopes of catching someone plotting to
  113. >         sell drugs or distribute kiddie porn, reprehensible as we find
  114. >         such activities to be.  (Wartime mail censorhip is, of course,
  115. >         the sole exception to this rule; but we haven't been formally at
  116. >         war in a _very_ long time, and we have shown no inclination to
  117. >         accept it or other related wartime expediencies even at the
  118. >         height of the Korean, Vietnam, Drug, and Persian Gulf wars.)  If
  119. >         by some other means (e.g. HUMINT) an intelligence-gathering
  120. >         agency discovers several parties communicating for possibly
  121. >         illegal purposes, it may obtain a court order by due process and
  122. >         proceed to eavesdrop.  That the data stream that it intercepts
  123. >         will be encrypted may not turn out to be a big problem, for
  124. >         reasons given below.  So, taken all in all, when one counts the
  125. >         (small) possible losses in information from ubiquitous FAPSC
  126. >         against the enormous benefits to business and private citizens
  127. >         from having it in place, it is clear that the balance of utility
  128. >         is on the side of the latter option.  (Most folks love
  129. >         cost-benefit analyses.)
  131. >    III. I propose that -- and this is, admiitedly, a stretch --
  132. >         ubiquitous FAPSC would tend to _improve_ the quality of
  133. >         intelligence gathered from telecomm.  Suppose, for the sake of
  134. >         argument, that Agency N gets information that individuals A and
  135. >         B are involved in what appears to be a conspiracy to, say, sell
  136. >         illicitly acquired industrial secrets to company C. Further
  137. >         assume that A and B are not professionals, i.e., trained spies;
  138. >         assume rather that they use common carriers for their
  139. >         communications and a trusted FAPSC package such as RIPEM or PGP.
  140. >         Such persons are likely, given the current understanding of
  141. >         FAPSC in the general populace, to be rather too credulous and
  142. >         trusting of their security system.  This makes them easy
  143. >         pickings for Agency N.  A quick trip in a Tempest van or a
  144. >         black-bag job to obtain the secret keys of one or both parties,
  145. >         and a wiretap, and Agency N can listen to their correspondence
  146. >         until at least the next keychange, and maybe beyond.  It can
  147. >         even spoof one or both parties and insert disinformation into
  148. >         the communications stream between A and B, and have that
  149. >         information acted on in complete trust of its authenticity.
  150. >         This is the key point: a shallow understanding of current crypto
  151. >         security (especially asymmetric cryptosystem) would lead the
  152. >         likes of A and B to be more easily monitored and duped.  Shallow
  153. >         understanding is about all that most nonprofessionals would ever
  154. >         exhibit.  As for the professionals, of course, special means
  155. >         will, and have always been, required to catch them; and the
  156. >         presence of ubiquitous FAPSC will not make that task any more
  157. >         onerous than it already is.
  159.