home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / etc / privacy / priv_419.txt < prev    next >
Encoding:
Text File  |  2003-06-11  |  18.8 KB  |  397 lines
  1. PRIVACY Forum Digest     Friday, 1 September 1995     Volume 04 : Issue 19
  2.  
  3.             Moderated by Lauren Weinstein (lauren@vortex.com)         
  4.               Vortex Technology, Woodland Hills, CA, U.S.A.
  5.     
  6.                        ===== PRIVACY FORUM =====              
  7.  
  8.          The PRIVACY Forum digest is supported in part by the 
  9.           ACM Committee on Computers and Public Policy,
  10.                   and the Data Services Division 
  11.                of MCI Communications Corporation.
  12.  
  13.  
  14. CONTENTS 
  15.     Son-of-Clipper proposal (John Levine)
  16.     Impossible to prevent non-escrowed encryption? (Peter Kaiser)
  17.     Newsletter recommendation (Charles M. Preston)
  18.     Medicare leak through FOIA analysis and 9-digit ZIP (Quentin Fennessy)
  19.     Highway Surveillance (Phil Agre)
  20.     Metromail chief loses job over privacy concerns (Phil Agre)
  21.     Security & Privacy (Richard Owen)
  22.     "New" Crypto Policy Announced: Clipper II? (David Sobel)
  23.  
  24.  
  25.  *** Please include a RELEVANT "Subject:" line on all submissions! ***
  26.             *** Submissions without them may be ignored! ***
  27.  
  28. -----------------------------------------------------------------------------
  29. The Internet PRIVACY Forum is a moderated digest for the discussion and
  30. analysis of issues relating to the general topic of privacy (both personal
  31. and collective) in the "information age" of the 1990's and beyond.  The
  32. moderator will choose submissions for inclusion based on their relevance and
  33. content.  Submissions will not be routinely acknowledged.
  34.  
  35. All submissions should be addressed to "privacy@vortex.com" and must have
  36. RELEVANT "Subject:" lines; submissions without appropriate and relevant
  37. "Subject:" lines may be ignored.  Excessive "signatures" on submissions are
  38. subject to editing.  Subscriptions are by an automatic "listserv" system; for
  39. subscription information, please send a message consisting of the word
  40. "help" (quotes not included) in the BODY of a message to:
  41. "privacy-request@vortex.com".  Mailing list problems should be reported to
  42. "list-maint@vortex.com". 
  43.  
  44. All messages included in this digest represent the views of their
  45. individual authors and all messages submitted must be appropriate to be
  46. distributable without limitations. 
  47.  
  48. The PRIVACY Forum archive, including all issues of the digest and all
  49. related materials, is available via anonymous FTP from site "ftp.vortex.com",
  50. in the "/privacy" directory.  Use the FTP login "ftp" or "anonymous", and
  51. enter your e-mail address as the password.  The typical "README" and "INDEX"
  52. files are available to guide you through the files available for FTP
  53. access.  PRIVACY Forum materials may also be obtained automatically via
  54. e-mail through the listserv system.  Please follow the instructions above
  55. for getting the listserv "help" information, which includes details
  56. regarding the "index" and "get" listserv commands, which are used to access
  57. the PRIVACY Forum archive.  All PRIVACY Forum materials are available
  58. through the Internet Gopher system via a gopher server on site
  59. "gopher.vortex.com".  Access to PRIVACY Forum materials is also available
  60. through the Internet World Wide Web (WWW) via the Vortex Technology WWW 
  61. server at the URL: "http://www.vortex.com".
  62. -----------------------------------------------------------------------------
  63.  
  64. VOLUME 04, ISSUE 19
  65.  
  66.    Quote for the day:
  67.  
  68.         "Where did I go wrong?"
  69.  
  70.             -- "Nix" (Daniel Von Bargen)
  71.                "Lord of Illusions" (1995)
  72.  
  73. ----------------------------------------------------------------------
  74.  
  75. Date:    Sun, 20 Aug 1995 18:20:27 -0400
  76. From:    John Levine <johnl@iecc.com>
  77. Subject: Son-of-Clipper proposal
  78.  
  79. A short and not terribly informative article in the Wall Street Journal a
  80. few days ago reported on a sort of son of Clipper proposal that seemed to be
  81. intended for software encryption.  It also seemed to allow multiple
  82. competing escrow agents, with a passing comment that they needed some way to
  83. prevent mob controlled fly-by-night escrow companies from popping up.
  84.  
  85. More detailed info would be quite interesting, particularly in view of the
  86. recently released documents that showed that law enforcement anticipates
  87. asking for mandatory escrowed encription.
  88.  
  89. ------------------------------
  90.  
  91. Date:    Mon, 21 Aug 95 08:53:33 MET DST
  92. From:    Peter Kaiser <kaiser@heron.enet.dec.com>
  93. Subject: Impossible to prevent non-escrowed encryption?
  94.  
  95. (The PRIVACY Forum Moderator writes, in PRIVACY Forum Digest 04.18):
  96. > Since it's clear that there's really no way to stop all non-Clipper
  97. > encryption ....
  98.  
  99. If the meaning is really "no way to stop all non-escrowed encryption", this
  100. seems to me far too sanguine a view.  You're really writing only about the
  101. USA, where privacy policy is still in debate.  Nothing about the quality of
  102. that debate encourages me to think that effective non-escrowed encryption
  103. is safe from being made illegal.
  104.  
  105. There are places in the world where effective encryption is already illegal
  106. or illegal if not licensed with a permit and escrowed.  Some of these
  107. places have representative governments -- I live in one of them.  Why
  108. shouldn't it happen in the USA?
  109.  
  110. ___Pete
  111.  
  112. kaiser@acm.org
  113.  
  114.    [ France (where you appear to be located) is indeed one of the few
  115.      countries, perhaps the only one in the "West", that has actually made
  116.      non-approved encryption illegal.  However, I did not say that
  117.      non-Clipper (non-escrowed) encryption couldn't be made illegal--perhaps
  118.      with quite harsh penalities for use (especially in conjunction with the
  119.      commission of other crimes).  I said that there's no way to actually
  120.      *stop* all use of such systems.  It is probably safe to assume that
  121.      even where encryption is illegal, there are entities that still use it
  122.      in violation of local laws.  Drunk driving is illegal, but people still
  123.      drink and drive.  When it comes to encryption, there's no way to stuff
  124.      that genie back into the bottle.
  125.  
  126.      In the hypothetical case of a non-escrowed encryption ban, whether or
  127.      not any individual violation would be deemed sufficiently significant
  128.      to be prosecuted in any given case would of course be a matter of
  129.      judgement (based on whatever criteria they choose or are directed to
  130.      use by statute) on the part of the appropriate authorities.
  131.     
  132.      Governments have significant, real concerns regarding the impact on law
  133.      enforcement that strong, non-escrowed encryption might possibly have in
  134.      some situations.  However, other concerns, such as freedom of speech
  135.      and privacy rights, are (or at least should be) among the fundamental
  136.      human rights and also should come into play.
  137.  
  138.      No freedoms or rights are absolute--it's always a delicate balancing
  139.      act.  But in the opinion of many, the area of encryption is one where
  140.      the most weight should be assigned to the personal privacy side of the
  141.      equation.
  142.                     -- MODERATOR ]
  143.  
  144. ------------------------------
  145.  
  146. Date:    Sun, 20 Aug 1995 11:45:18 -0800
  147. From:    cpreston@alaska.net (Charles M. Preston)
  148. Subject: Newsletter recommendation
  149.  
  150.    I would like to recommend a new publication called The Jarvis Report.  It
  151. is a quarterly newsletter about industrial espionage, and some technical
  152. tricks of the trade.  Ray Jarvis, who puts out the newsletter, has an
  153. extensive government background in technical surveillance and he provides
  154. classes for government and private security in countermeasures and
  155. associated subjects.  His stated aim is to collect and analyze verifiable
  156. instances of the theft of proprietary information, and to provide an overall
  157. look at trends and problems.
  158.    All 6 sections of the July issue were either useful or entertaining.
  159. This edition includes an account of widespread electronic eavesdropping in
  160. Israel, and suggestions on balanced line detection of series telephone line
  161. transmitters.  
  162.    A newsletter sample (article on Israel) can be found in the Info-Sec
  163. Super Journal area at http://all.net 
  164.    The Jarvis Report is published by Jarvis International 
  165. Intelligence, Inc., 11720 E. 21st Street, Tulsa, OK, 74129
  166.           Tel 918-437-1100       Fax 918-437-1191
  167.   
  168. Charles Preston   Information Integrity   cpreston@alaska.net
  169.  
  170. ------------------------------
  171.  
  172. Date: Sun, 20 Aug 1995 09:35:01 -0500
  173. From: Quentin Fennessy <Quentin.Fennessy@sematech.org>
  174. Subject: Medicare leak through FOIA analysis and 9-digit ZIP
  175.  
  176.    [ From Risks-Forum Digest,  Volume 17 : Issue 28  -- MODERATOR ]
  177.  
  178. I read an article on Medicare in the 20 Aug 1995 _Austin American-Statesman_.
  179. The article was evidently done for the Cox Newspaper chain.  The article
  180. talks of the deterioration of the service, and also touches on that fact
  181. that a handful of doctors earn a disproportionate share of Medicare funds
  182. paid out.
  183.  
  184. The article has a sidebar, which says, in short: Cox analyzed 100 million
  185. computerized Medicare payment records for the report.  The information was
  186. obtained via FOIA.  The doctors names were not released.  Evidently there is
  187. an ongoing court case to release the doctors' names.  Cox was able to
  188. identify some of the doctors.  The doctor's id codes were obscured by
  189. Medicare, but the 9 digit zip codes of the doctor's offices were not.  Cox
  190. was able to pinpoint individual doctors given this level of detail.
  191.  
  192. Risks: If information needs to be split into private and public components
  193. then care needs to be taken for the job to be done correctly.  9-digit zip
  194. codes divide the US into fairly small areas and so can (and have) given away
  195. the store.
  196.  
  197. This is not to say that I think this Medicare information should be kept
  198. secret.  However, 9 digit zip codes in databases can be used to pinpoint all
  199. sorts of details about folks.
  200.  
  201. Quentin Fennessy  quentin.fennessy@sematech.org
  202.  
  203. ------------------------------
  204.  
  205. Date:    Tue, 22 Aug 1995 23:48:04 -0700
  206. From:    Phil Agre <pagre@weber.ucsd.edu>
  207. Subject: highway surveillance
  208.  
  209. The California Department of Transportation (Caltrans) has been conducting
  210. surveys of people who drive particular roadways.  They collect all license
  211. plate numbers of cars driving past a certain point in a certain direction
  212. during a certain window of time, they look those plates up in DMV files,
  213. and they mail survey forms to the people whose names are attached to the
  214. plates.  This practice raises serious civil liberties concerns.  It is
  215. part of a larger push by state and regional transportation authorities
  216. to expand their collection of statistical information on driving patterns.
  217. Although the information they seek is aggregate in nature, it is gathered
  218. through the capture and storage of significant amounts of individually
  219. identifiable information which can be highly sensitive in nature.
  220.  
  221. This clearly sets a very poor precedent for citizens' ability to drive on
  222. public roads without fear of surveillance.  It is far from clear that the
  223. advantages to the public of creating these additional statistics in this
  224. manner outweigh the danger of chilling the fundamentally important freedom
  225. of association upon which democracy is based.
  226.  
  227. I have attached the text of the survey that one citizen received in the
  228. mail.  This individual called the ACLU, who suggested passing the survey
  229. along to the Privacy Rights Clearinghouse at the University of San Diego,
  230. from whom I obtained it.  Bold type is bounded by *asterisks*.
  231.  
  232.      ----------------------------------------------------------- 
  233.  
  234.   Dear Motorist:
  235.  
  236.   The California Department of Transportation (Caltrans) is studying
  237.   potential transportation improvements in the Sacramento - Stockton
  238.   region.  We would greatly appreciate your assistance with this effort.
  239.  
  240.   On *Sunday, March 5, 1995*, Caltrans observed traffic on *Interstate 5*
  241.   between Sacramento and Stockton.  On this day we believe we observed a
  242.   vehicle registered to this address traveling *southbound*.
  243.  
  244.   Please have the vehicle driver take a few minutes to fill out and
  245.   return the entire survey below.  This response is anonymous; *no
  246.   personal information about you will ever be revealed.*  All records of
  247.   names, addresses, and data sources connected with this survey will be
  248.   destroyed.  Postage is pre-paid.
  249.  
  250.   If you should have questions regarding the survey or the study please
  251.   call (916) 327-4577.  Thank you for your contribution to this important
  252.   study.
  253.  
  254.   Sincerely,
  255.  
  256.   Cindy McKim
  257.   Deputy Director
  258.  
  259.   If the vehicle license number appearing on the front of this survey
  260.   was recorded in error, please check here [box] and return this form.
  261.  
  262.      ---------------------------------------------------------
  263.  
  264. The "Intercity Travel Survey" asks questions about trip origin (home,
  265. work, etc, city, zip, cross streets, time to the minute), destination
  266. (likewise), number of people in the vehicle, frequency with which one
  267. makes such trips, driver's age and sex, how many people live in the
  268. household, how many motor vehicles are owned or used by members of that
  269. household, the household's total annual income (six boxes for successive
  270. income brackets), and "comments or suggestions".
  271.  
  272. It should be emphasized that this kind of routine surveillance is
  273. probably not now illegal under US law.  For example, the Supreme Court,
  274. in US v. Knotts, 460 U.S. 276 (1982), has asserted that, so far as the
  275. Constitution is concerned, "[a] person traveling in an automobile on
  276. public thoroughfares has no reasonable expectation of privacy in his
  277. movements from one place to another" (at 281).  But that doesn't make
  278. it right.
  279.  
  280. The Supreme Court made its decision before a reasonable prospect arose
  281. that individuals' travels might be routinely, automatically tracked
  282. from origin to destination on a large scale.  This scenario is becoming
  283. entirely imaginable, however, and proposals to this effect are found
  284. in a variety of documents.  Citizens of Washington State, for example,
  285. recently uncovered a report to the state Department of Transportation by
  286. a prominent consultant suggesting that individuals' movements be routinely
  287. tracked for statistical purposes by automatically tracking their cellular
  288. telephones (see Risks 17.23).
  289.  
  290. This is a very serious matter.  Individuals who feel they may have been
  291. subjected to automated surveillance on public roadways without probable
  292. cause should certainly make inquiries with their local transportation
  293. authorities and publicize what they learn on the net.
  294.  
  295. Phil Agre
  296.  
  297.     [ Another "interesting" system now being deployed here in California
  298.       is a remote infrared sensing system (combined with automated
  299.       license plate photography) to try detect (and ultimately subject
  300.       to various sanctions) vehicles in motion on public roads which
  301.       exceed emission standards.  The technology appears to be rather
  302.       unproven however, and reportedly has an annoying tendency toward
  303.       false positives--sometimes close to 70% false positives!
  304.  
  305.                     -- MODERATOR ]
  306.  
  307. ------------------------------
  308.  
  309. Date:    Wed, 23 Aug 1995 15:52:46 -0700
  310. From:    Phil Agre <pagre@weber.ucsd.edu>
  311. Subject: Metromail chief loses job over privacy concerns
  312.  
  313. The Privacy Journal 21(10), August 1995, reports that James D. McQuaid,
  314. CEO of R.R.Donnelley's Metromail company will retire.  Back in December
  315. the Wall Street Journal revealed that Metromail had been making commercial
  316. use of voter registration lists in states where such use is prohibited by
  317. law, and that it had used a fake survey about ice cream to add information
  318. about individuals' ages to the data.  The company then became the subject
  319. of a number of class action lawsuits.  PJ notes that the Direct Marketing
  320. Association "never issued any sanctions against the company".  This is 
  321. bound to raise questions about the effectiveness of self-regulation in
  322. the highly controversial direct marketing industry.
  323.  
  324. Privacy Journal (PO Box 28577, Providence RI 02908) is an excellent montly
  325. publication edited by Robert Ellis Smith.
  326.  
  327. Phil Agre
  328.  
  329. ------------------------------
  330.  
  331. Date:    Fri, 01 Sep 1995 11:57:10 -0600
  332. From:    Richard Owen <Richard.Owen@OAG.STATE.TX.US>
  333. Subject: Security & Privacy
  334.  
  335. Does anyone know how this works in other states/countries?
  336.  
  337. In looking forward to the October meeting of the Capital of Texas ISSA
  338. Chapter, which will be a debate on Privacy, does anyone know the official
  339. position on the following question:
  340.  
  341. When I go to renew my driver's license (or possibly any other state record
  342. or license - this case just came to mind because my wife just got a notice
  343. to renew) they ask for you SSN and it appears may also take a digital photo
  344. and digital image of your finger prints.  If someone else puts in an open
  345. records request for all, or specifically your, Texas Driver's License info
  346. what do they get?  Do they get everything including my SSN, picture, finger
  347. prints, record, etc.?  Is there some way that the individual can protect
  348. themselves and limit what can be given the state agency or limit personal
  349. information the agency can hand out?
  350.  
  351. Does anyone know the official answers?  Does anyone know of similar
  352. requests, uses, and dissemination of private data by public agencies
  353. (federal, state, or local)?
  354.  
  355. If someone knows of official limitation in the collection, processing or
  356. dissemination of private information, what controls are used to ensure that
  357. the limits are followed?
  358.  
  359. ------------------------------
  360.  
  361. Date:    Tue, 22 Aug 1995 01:47:24 -0700
  362. From:    "David Sobel" <sobel@epic.org>
  363. Subject: "New" Crypto Policy Announced: Clipper II?
  364.  
  365.    [ From Epic Alert 2.09 -- MODERATOR ]
  366.  
  367. "New" Crypto Policy Announced: Clipper II?
  368.  
  369. The Clinton Administration ended a year of silence on August 17 when
  370. it issued a long-awaited statement on the Clipper Chip and key-escrow
  371. encryption.  Unfortunately, the "new" policy is merely a re-working of
  372. the old one -- the Administration remains committed to key-escrow
  373. techniques that ensure government agents access to encrypted
  374. communications.  The only changes are a willingness to consider the
  375. export of 64-bit encryption (if "properly escrowed"), the possibility
  376. of private sector escrow agents to serve as key-holders, and
  377. consideration of software implementations of key-escrow technologies.
  378.  
  379. As EPIC Advisory Board member Whit Diffie observed in an op-ed piece
  380. in the New York Times, the new approach won't work.  "While other
  381. nations may share our interest in reading encrypted messages for law
  382. enforcement purposes, they are unlikely to embrace a system that
  383. leaves them vulnerable to U.S. spying.  They will reject any system
  384. that gives decoding ability to agents in the United States."  Diffie
  385. further notes that "64-bit keys are not expected to be adequate."
  386.  
  387. In a statement re-printed below, the National Institute of Standards
  388. and Technology (NIST) announced two public workshops "to discuss key
  389. escrow issues."  More information concerning these meetings can be
  390. obtained from Arlene Carlton at NIST, (301) 975-3240, fax: (301)
  391. 948-1784, e-mail: carlton@micf.nist.gov.
  392.  
  393. ------------------------------
  394.  
  395. End of PRIVACY Forum Digest 04.19
  396. ************************
  397.