home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #26 / NN_1992_26.iso / spool / comp / org / eff / talk / 6989 < prev    next >
Encoding:
Internet Message Format  |  1992-11-12  |  2.3 KB
  1. Path: sparky!uunet!ferkel.ucsb.edu!taco!rock!concert!uvaarpa!darwin.sura.net!zaphod.mps.ohio-state.edu!swrinde!emory!ogicse!psgrain!puddle!f93.n104.z1.fidonet.org!Zhahai.Stewart
  2. From: Zhahai.Stewart@f93.n104.z1.fidonet.org (Zhahai Stewart)
  3. Newsgroups: comp.org.eff.talk
  4. Subject: Key Registration; authentication vs encryption
  5. Message-ID: <18684.2B02FE98@puddle.fidonet.org>
  6. Date: 10 Nov 92 19:34:00 GMT
  7. Article-I.D.: puddle.18684.2B02FE98
  8. Sender: ufgate@puddle.fidonet.org (newsout1.26)
  9. Organization: FidoNet node 1:104/93 - Adelante, Boulder CO
  10. Lines: 36
  11.  
  12.  
  13.  Even if I disagree on whether the tradeoff in privacy is worth it, I
  14.  can see the point of those, like Denning, who are seeking a compromise
  15.  which could allow law enforcement to acquire private keys under court
  16.  order, by analogy with wiretapping.
  17.  
  18.  This however also leaves open a second question which hasn't yet been 
  19.  discussed here.  Some public key systems (including RSA) also provide
  20.  message authentication.  Anyone who has your private key, in such
  21.  schemes, can in effect create an undetectable forgery of your "legal 
  22.  signature".  Given past "dirty tricks" campaigns (by the FBI and 
  23.  others), this could be a mighty temptation.  It could be used for
  24.  harassment (creating personal friction or financial ruin), or even
  25.  to create irrefutable yet bogus "evidence", if the key was compromised 
  26.  to parties who were not officially in posession of it.
  27.  
  28.  The question: does *anyone* here, Ms. Denning included, see any solid
  29.  justification for allowing the government to engage in such forgery,
  30.  or "spoofing"?  Is there any legitimate need for this, within law
  31.  enforcement?
  32.  
  33.  If not, then I would expect the "key registry" proposals to include the
  34.  concept of using dual key pairs: one which is used for encryption, and
  35.  whose secret key could be revealed by court order, and one which is used
  36.  for authentication, with no registration required, and with no court 
  37.  authority to compel release of the secret half.
  38.  
  39.  I still believe that key registration is a bad idea, and must be opposed.
  40.  But I hope that such proposals will nevertheless continue to be debated,
  41.  and refined, so as to focus the attention on the real issues.
  42.      ~z~
  43.  
  44.  
  45. --  
  46. uucp: uunet!m2xenix!puddle!104!93!Zhahai.Stewart
  47. Internet: Zhahai.Stewart@f93.n104.z1.fidonet.org
  48.