home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #18 / NN_1992_18.iso / spool / sci / crypt / 2932 < prev    next >
Encoding:
Internet Message Format  |  1992-08-18  |  19.0 KB
  1. Xref: sparky sci.crypt:2932 comp.org.eff.talk:5441 alt.security:4177
  2. Newsgroups: sci.crypt,comp.org.eff.talk,alt.security
  3. Path: sparky!uunet!zaphod.mps.ohio-state.edu!sol.ctr.columbia.edu!eff!nuntius
  4. From: David Banisar <Banisar@washofc.cpsr.org>
  5. Subject: CPSR Letter on Crypto Policy
  6. Message-ID: <1992Aug18.123558.26646@eff.org>
  7. Sender: usenet@eff.org (NNTP News Poster)
  8. Nntp-Posting-Host: j-adams.eff.org
  9. Organization: Computer Professionals for Social Responsibility
  10. X-Useragent: Nuntius v1.1
  11. Date: Tue, 18 Aug 1992 12:35:58 GMT
  12. Lines: 383
  13.  
  14.  
  15.  
  16. The following is the text of a letter Computer Professionals for Social
  17. Responsibility (CPSR) recently sent to Rep. Jack Brooks,
  18. chairman of the House Judiciary Committee.  The letter raises several
  19. issues concerning computer security and cryptography policy.  For
  20. additional information on CPSR's activities in this area, contact
  21. banisar@washofc.cpsr.org.   For information concerning CPSR generally
  22. (including membership information), contact cpsr@csli.stanford.edu.
  23.  
  24. ======================================================================
  25.  
  26. August 11, 1992
  27.  
  28. Representative Jack Brooks 
  29. Chairman 
  30. House Judiciary Committee 2138
  31. Rayburn House Office Bldg. 
  32. Washington, DC 20515-6216
  33.  
  34. Dear Mr. Chairman:
  35.  
  36.      Earlier this year, you held hearings before the Subcommittee on
  37. Economic and Commercial Law on the threat of foreign economic
  38. espionage to U.S. corporations.  Among the issues raised during the
  39. hearings were the future of computer security authority and the
  40. efforts of government agencies to restrict the use of new
  41. technologies, such as cryptography.
  42.  
  43.      As a national organization of computer professionals interested
  44. in the policies surrounding civil liberties and privacy, including
  45. computer security and cryptography, CPSR supports your efforts to
  46. encourage public dialogue of these matters.  Particularly as the
  47. United States becomes more dependent on advanced network technologies,
  48. such as cellular communications, the long-term impact of proposed
  49. restrictions on privacy-enhancing techniques should be carefully
  50. explored in a public forum.
  51.  
  52.      When we had the opportunity to testify before the Subcommittee on
  53. Legislation and National Security in May 1989 on the enforcement of
  54. the Computer Security Act of 1987, we raised a number of these issues.
  55. We write to you now to provide new information about the role of the
  56. National Security Agency in the development of the Digital Signature
  57. Standard and the recent National Security Directive on computer
  58. security authority.  The information that we have gathered suggests
  59. that further hearings are necessary to assess the activities of the
  60. National Security Agency since passage of the Computer Security Act of
  61. 1987.
  62.  
  63. The National Security Agency and the Digital Signature Standard
  64.  
  65.      Through the Freedom of Information Act, CPSR has recently learned
  66. that the NSA was the driving force behind the selection and
  67. development of the Digital Signature Standard (DSS).  We believe that
  68. the NSA's actions contravene the Computer Security Act of 1987.  We
  69. have also determined  that the National Institute of Standards and
  70. Technology (NIST) attempted to shield the NSA's role in the
  71. development of the DSS from public scrutiny.
  72.  
  73.      The Digital Signature Standard will be used for the
  74. authentication of computer messages that travel across the public
  75. computer network.  Its development was closely watched in the computer
  76. science community.  Questions about the factors leading to the
  77. selection of the standard were raised by a Federal Register notice, 56
  78. Fed. Reg. 42, (Aug 30, 1991), in which NIST indicated that it had
  79. considered the impact of the proposed standard on "national security
  80. and law enforcement," though there was no apparent reason why these
  81. factors might be considered in the development of a technical standard
  82. for communications security.
  83.  
  84.      In August 1991, CPSR filed a FOIA request with the National
  85. Institute of Standards and Technology seeking all documentation
  86. relating to the development of the DSS.  NIST denied our request in
  87. its entirety.  The agency did not indicate that they had responsive
  88. documents from the National Security Agency in their files, as they
  89. were required to do under their own regulations.  15 C.F.R. Sec.
  90. 4.6(a)(4) (1992).  In October 1991, we filed a similar request for
  91. documents concerning the development of the DSS with the Department of
  92. Defense.  The Department replied that they were forwarding the request
  93. to the NSA, from whom we never received even an acknowledgement of our
  94. request.
  95.  
  96.      In April 1992, CPSR filed suit against NIST to force disclosure
  97. of the documents.  CPSR v. NIST, et al., Civil Action No. 92-0972-RCL
  98. (D.D.C.).  As a result of that lawsuit, NIST released 140 out of a
  99. total of 142 pages.  Among those documents is a memo from Roy Saltman
  100. to Lynn McNulty which suggests that there were better algorithms
  101. available than the one NIST eventually recommended for adoption. If
  102. that is so, why did NIST recommend a standard that its own expert
  103. believed was inferior?
  104.  
  105.      Further, NIST was required under Section 2 of the Computer
  106. Security Act to develop standards and guidelines to "assure the
  107. cost-effective security and privacy of sensitive information in
  108. federal systems."  However, the algorithm selected by NIST as the DSS
  109. was purposely designed to minimize privacy protection: its use is
  110. limited to message authentication.  Other algorithms that were
  111. considered by NIST included both the ability to authenticate messages
  112. and the capability to incorporate privacy-enhancing features.  Was
  113. NSA's interest in communication surveillance one of the factors that
  114. lead to the NIST decision to select an algorithm that was useful for
  115. authentication, but not for communications privacy?
  116.  
  117.      Most significantly, NIST also disclosed that 1,138 pages on the
  118. DSS that were created by the NSA were in their files and were being
  119. sent back to the NSA for processing.  Note that only 142 pages of
  120. material were identified as originating with NIST.  In addition, it
  121. appears that the patent for the DSS is filed in the name of an NSA
  122. contractor.
  123.  
  124.      The events surrounding the development of the Digital Signature
  125. Standard warrant further Congressional investigation.  When Congress
  126. passed the Computer Security Act, it sought to return authority for
  127. technical standard-setting to the civilian sector.  It explicitly
  128. rejected the proposition that NSA should have authority for developing
  129. technical guidelines:
  130.  
  131.      Since work on technical standards represents virtually
  132.      all of the research effort being done today, NSA would
  133.      take over virtually the entire computer standards job
  134.      from the [National Institute of Standards and
  135.      Technology].  By putting the NSA in charge of developing
  136.      technical security guidelines (software, hardware,
  137.      communications), [NIST] would be left with the
  138.      responsibility for only administrative and physical
  139.      security measures -- which have generally been done
  140.      years ago.  [NIST], in effect, would on the surface be
  141.      given the responsibility for the computer standards
  142.      program with little to say about the most important part
  143.      of the program -- the technical guidelines developed by
  144.      NSA.
  145.  
  146. Government Operation Committee Report at 25-26, reprinted in 1988
  147. U.S. Code Cong. and Admin. News at 3177-78.  See also Science
  148. Committee Report at 27, reprinted in 1988 U.S.C.A.N. 3142.
  149.  
  150.      Despite the clear mandate of the Computer Security Act, NSA does,
  151. indeed, appear to have assumed the lead role in the development of the
  152. DSS.  In a letter to MacWeek magazine last fall, NSA's Chief of
  153. Information Policy acknowledged that the Agency "evaluated and
  154. provided candidate algorithms including the one ultimately selected by
  155. NIST."  Letter from Michael S. Conn to Mitch Ratcliffe, Oct. 31, 1991.
  156. By its own admission, NSA not only urged the adoption of the DSS -- it
  157. actually "provided" the standard to NIST.
  158.  
  159.      The development of the DSS is the first real test of the
  160. effectiveness of the Computer Security Act.  If, as appears to be the
  161. case, NSA was able to develop the standard without regard to
  162. recommendations of NIST, then the intent of the Act has clearly been
  163. undermined.
  164.  
  165.      Congress' intent that the standard-setting process be open to
  166. public scrutiny has also been frustrated.  Given the role of NSA in
  167. developing the DSS, and NIST's refusal to open the process to
  168. meaningful public scrutiny, the public's ability to monitor the
  169. effectiveness of the Computer Security Act has been called into
  170. question.
  171.  
  172.      On a related point, we should note that the National Security
  173. Agency also exercised its influence in the development of an important
  174. standard for the digital cellular standards committee.  NSA's
  175. influence was clear in two areas.  First, the NSA ensured that the
  176. privacy features of the proposed standard would be kept secret.  This
  177. effectively prevents public review of the standard and is contrary to
  178. principles of scientific research.  The NSA was also responsible for
  179. promoting the development of a standard that is less robust than other
  180. standards that might have been selected.  This is particularly
  181. problematic as our country becomes increasingly dependent on cellular
  182. telephone services for routine business and personal communication.
  183.  
  184.      Considering the recent experience with the DSS and the digital
  185. cellular standard, we can anticipate that future NSA involvement in
  186. the technical standards field will produce two results: (1) diminished
  187. privacy protection for users of new communications technologies, and
  188. (2) restrictions on public access to information about the selection
  189. of technical standards.  The first result will have severe
  190. consequences for the security of our advanced communications
  191. infrastructure.  The second result will restrict our ability to
  192. recognize this problem.
  193.  
  194.      However, these problems were anticipated when Congress first
  195. considered the possible impact of President Reagan's National Security
  196. Decision Directive on computer security authority, and chose to
  197. develop legislation to promote privacy and security and to reverse
  198. efforts to limit public accountability.
  199.  
  200.  
  201. National Security Directive 42
  202.  
  203.       Congressional enactment of the Computer Security Act was a
  204. response to President Reagan's issuance of National Security Decision
  205. Directive ("NSDD") 145 in September 1984.  It was intended to reverse
  206. an executive policy that enlarged classification authority and
  207. permitted the intelligence community broad say over the development of
  208. technical security standards for unclassified government and
  209. non-government computer systems and networks.  As noted in the
  210. committee report, the original NSDD 145 gave the intelligence
  211. community new authority to set technical standards in the private
  212. sector:
  213.  
  214.      [u]nder this directive, the Department of Defense (DOD)
  215.      was given broad new powers to issue policies and
  216.      standards for the safeguarding of not only classified
  217.      information, but also other information in the civilian
  218.      agencies and private sector which DOD believed should be
  219.      protected.  The National Security Agency (NSA), whose
  220.      primary mission is one of monitoring foreign
  221.      communications, was given the responsibility of
  222.      managing this program on a day-to-day basis.
  223.  
  224. H. Rep. No. 153 (Part 2), 100th Cong., 1st Sess. 6 (1987).  The
  225. legislation was specifically intended to override the Presidential
  226. directive and to "greatly restrict these types of activities by the
  227. military intelligence agencies ... while at the same time providing a
  228. statutory mandate for a strong security program headed up by [NIST], a
  229. civilian agency."  Id. at 7.
  230.  
  231.      President Bush issued National Security Directive ("NSD") 42 on
  232. July 5, 1990.  On July 10, 1990, Assistant Secretary of Defense Duane
  233. P. Andrews testified before the House Subcommittee on Transportation,
  234. Aviation, and Materials on the contents of the revised NSD.  The
  235. Assistant Secretary stated that the "the new policy is fully compliant
  236. with the Computer Security Act of 1987 (and the Warner Amendment) and
  237. clearly delineates the responsibilities within the Federal Government
  238. for national security systems."
  239.  
  240.      On August 27, 1990, CPSR wrote to the Directorate for Freedom of
  241. Information of the Department of Defense and requested a copy of the
  242. revised NSD, which had been described by an administration official at
  243. the July hearing but had not actually been disclosed to the public.
  244. CPSR subsequently sent a request to the National Security Council
  245. seeking the same document.  When both agencies failed to reply in a
  246. timely fashion, CPSR filed suit seeking disclosure of the Directive.
  247. CPSR v. NSC, et al., Civil Action No. 91-0013-TPJ (D.D.C.).
  248.  
  249.      The Directive, which purports to rescind NSDD 145, was recently
  250. disclosed as a result of this litigation CPSR initiated against the
  251. National Security Council.
  252.  
  253.      The text of the Directive raises several questions concerning the
  254. Administration's compliance with the Computer Security Act:
  255.  
  256.      1. The new NSD 42 grants NSA broad authority over "national
  257. security systems."  This phrase is not defined in the Computer
  258. Security Act and raises questions given the expansive interpretation
  259. of "national security" historically employed by the military and
  260. intelligence agencies and the broad scope that such a term might have
  261. when applied to computer systems within the federal government.
  262.  
  263.      If national security now includes international economic
  264. activity, as several witnesses at your hearings suggested, does NSD 42
  265. now grant NSA computer security authority in the economic realm?  Such
  266. a result would clearly contravene congressional intent and eviscerate
  267. the distinction between civilian and "national security" computer
  268. systems.
  269.  
  270.      More critically, the term "national security systems" is used
  271. throughout the document to provide the Director of the National
  272. Security Agency with broad new authority to set technical standards.
  273. Section 7 of NSD 42 states that the Director of the NSA, as "National
  274. Manager for National Security Telecommunications and Information
  275. Systems Security," shall
  276.  
  277.      * * *
  278.  
  279.      c. Conduct, *approve*, or endorse research and
  280.      development of techniques and equipment to secure
  281.      national security systems.
  282.  
  283.      d. Review and *approve* all standards, techniques,
  284.      systems, and equipment, related to the security of
  285.      national security systems.
  286.  
  287.      * * *
  288.  
  289.      h. Operate a central technical center to evaluate and
  290.      *certify* the security of national security
  291.      telecommunications and information systems.
  292.  
  293. (Emphasis added)
  294.  
  295.      Given the recent concern about the role of the National Security
  296. Agency in the development of the Digital Signature Standard, it is our
  297. belief that any standard-setting authority created by NSD 42 should
  298. require the most careful public review.
  299.  
  300.      2. NSD 42 appears to grant the NSA new authority for  information
  301. security.  This is a new area for the agency; NSA's role has
  302. historically been limited to communications security.  Section 4 of
  303. the directive provides as follows:
  304.  
  305.      The National Security Council/Policy Coordinating
  306.      Committee (PCC) for National Security Telecommuni-
  307.      cations, chaired by the Department of Defense, under the
  308.      authority of National Security Directives 1 and 10,
  309.      assumed the responsibility for the National Security
  310.      Telecommunications NSDD 97 Steering Group.  By
  311.      authority of this directive, the PCC for National Security
  312.      Telecommunications is renamed the PCC for National
  313.      Security Telecommunications and Information Systems,
  314.      and shall expand its authority to include the
  315.      responsibilities to protect the government's national
  316.      security telecommunications and information systems.
  317.  
  318. (Emphasis added).
  319.  
  320.      Thus, by its own terms, NSD 42 "expands" DOD's authority to
  321. include "information systems."  What is the significance of this new
  322. authority?  Will it result in military control of systems previously
  323. deemed to be civilian?
  324.  
  325.      3. NSD 42 appears to consolidate NSTISSC (The National Security
  326. Telecommunications and Information Systems Security Committee)
  327. authority for both computer security policy and computer security
  328. budget determinations.
  329.  
  330.      According to section 7 of the revised directive, the National
  331. Manager for NSTISSC shall:
  332.  
  333.      j. Review and assess annually the national security
  334.      telecommunications systems security programs and
  335.      budgets of Executive department and agencies of the U.S.
  336.      Government, and recommend alternatives, where
  337.      appropriate, for the Executive Agent.
  338.  
  339.      NTISSC has never been given budget review authority for federal
  340. agencies.  This is a power, in the executive branch, that properly
  341. resides in the Office of Management and Budget.  There is an
  342. additional concern that Congress's ability to monitor the activities
  343. of federal agencies may be significantly curtailed if this NTISSC, an
  344. entity created by presidential directive, is permitted to review
  345. agency budgets in the name of national security.
  346.  
  347.      4. NSD 42 appears to weaken the oversight mechanism established
  348. by the Computer Security Act.  Under the Act, a Computer Systems
  349. Security and Privacy Advisory Board was established to identify
  350. emerging issues, to inform the Secretary of Commerce, and to report
  351. findings to the Congressional Oversight Committees.  Sec. 3, 15 U.S.C.
  352. Sec. 278g-4(b).
  353.  
  354.      However, according to NSD 42, NSTISSC is established "to consider
  355. technical matters and develop operating policies, procedures,
  356. guidelines, instructions, and standards as necessary to implement
  357. provisions of this Directive."  What is the impact of NSTISSC
  358. authority under NSD 42 on the review authority of the Computer Systems
  359. Security and Privacy Advisory Board created by the Computer Security
  360. Act?
  361.  
  362. Conclusion
  363.  
  364.      Five years after passage of the Computer Security Act, questions
  365. remain about the extent of military involvement in civilian and
  366. private sector computer security.  The acknowledged role of the
  367. National Security Agency in the development of the proposed Digital
  368. Signature Standard appears to violate the congressional intent that
  369. NIST, and not NSA, be responsible for developing security standards
  370. for civilian agencies.  The DSS experience suggests that one of the
  371. costs of permitting technical standard setting by the Department of
  372. Defense is a reduction in communications privacy for the public.  The
  373. recently released NSD 42 appears to expands DOD's security authority
  374. in direct contravention of the intent of the Computer Security Act,
  375. again raising questions as to the role of the military in the nation's
  376. communications network.
  377.  
  378.      There are also questions that should be pursued regarding the
  379. National Security Agency's compliance with the Freedom of Information
  380. Act.  Given the NSA's increasing presence in the civilian computing
  381. world, it is simply unacceptable that it should continue to hide its
  382. activities behind a veil of secrecy.  As an agency of the federal
  383. government, the NSA remains accountable to the public for its
  384. activities.
  385.  
  386.      We commend you for opening a public discussion of these important
  387. issues and look forward to additional hearings that might address the
  388. questions we have raised.
  389.  
  390.  
  391.                                        Sincerely,
  392.  
  393.  
  394.  
  395.                                       Marc Rotenberg, Director
  396.                                       CPSR Washington Office
  397.