home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / etc / privacy / priv_603.txt < prev    next >
Encoding:
Text File  |  2003-06-11  |  29.5 KB  |  610 lines
  1. PRIVACY Forum Digest      Monday, 10 February 1997      Volume 06 : Issue 03
  2.  
  3.             Moderated by Lauren Weinstein (lauren@vortex.com)         
  4.               Vortex Technology, Woodland Hills, CA, U.S.A.
  5.     
  6.                        ===== PRIVACY FORUM =====              
  7.  
  8.     -------------------------------------------------------------------
  9.                The PRIVACY Forum is supported in part by the          
  10.                  ACM (Association for Computing Machinery)
  11.              Committee on Computers and Public Policy,      
  12.           "internetMCI" (a service of the Data Services Division         
  13.       of MCI Telecommunications Corporation), and Cisco Systems, Inc.
  14.                                  - - -
  15.              These organizations do not operate or control the     
  16.           PRIVACY Forum in any manner, and their support does not
  17.            imply agreement on their part with nor responsibility   
  18.         for any materials posted on or related to the PRIVACY Forum.
  19.     -------------------------------------------------------------------
  20.  
  21.  
  22. CONTENTS 
  23.      Crypto Export [Phil Karn] Interview on PRIVACY Forum Radio
  24.         (Lauren Weinstein; PRIVACY Forum Moderator)
  25.      Update on "Your Signature for Sale?"
  26.         (Lauren Weinstein; PRIVACY Forum Moderator)
  27.      Yahoo! promotes privacy -- well, at least they make an attempt
  28.         (Dave McComb)
  29.      HTTP cookies still taste bad (Howard Goldstein)
  30.      EU card (Phil Agre)
  31.      FBI Issues Scaled Back Surveillance Capacity Notice (Bob Palacios)
  32.      Virginia Bill on Collection of Information from Landlords
  33.         (Dave Banisar)
  34.      Proposed satellite monitoring of car movements in Sweden
  35.         (Feliks Kluzniak)
  36.      Maryland Motor Vehicles Department Sells Privacy Down the River
  37.         (Monty Solomon)
  38.      Berkeley Student Takes 3.5 Hours to Crack RSA 40-bit Key
  39.         (John van Heteren)
  40.  
  41.  
  42.  *** Please include a RELEVANT "Subject:" line on all submissions! ***
  43.             *** Submissions without them may be ignored! ***
  44.  
  45. -----------------------------------------------------------------------------
  46. The Internet PRIVACY Forum is a moderated digest for the discussion and
  47. analysis of issues relating to the general topic of privacy (both personal
  48. and collective) in the "information age" of the 1990's and beyond.  The
  49. moderator will choose submissions for inclusion based on their relevance and
  50. content.  Submissions will not be routinely acknowledged.
  51.  
  52. All submissions should be addressed to "privacy@vortex.com" and must have
  53. RELEVANT "Subject:" lines; submissions without appropriate and relevant
  54. "Subject:" lines may be ignored.  Excessive "signatures" on submissions are
  55. subject to editing.  Subscriptions are by an automatic "listserv" system; for
  56. subscription information, please send a message consisting of the word
  57. "help" (quotes not included) in the BODY of a message to:
  58. "privacy-request@vortex.com".  Mailing list problems should be reported to
  59. "list-maint@vortex.com". 
  60.  
  61. All messages included in this digest represent the views of their
  62. individual authors and all messages submitted must be appropriate to be
  63. distributable without limitations. 
  64.  
  65. The PRIVACY Forum archive, including all issues of the digest and all
  66. related materials, is available via anonymous FTP from site "ftp.vortex.com",
  67. in the "/privacy" directory.  Use the FTP login "ftp" or "anonymous", and
  68. enter your e-mail address as the password.  The typical "README" and "INDEX"
  69. files are available to guide you through the files available for FTP
  70. access.  PRIVACY Forum materials may also be obtained automatically via
  71. e-mail through the listserv system.  Please follow the instructions above
  72. for getting the listserv "help" information, which includes details
  73. regarding the "index" and "get" listserv commands, which are used to access
  74. the PRIVACY Forum archive.  
  75.  
  76. All PRIVACY Forum materials are available through the Internet Gopher system
  77. via a gopher server on site "gopher.vortex.com".  Access to PRIVACY Forum
  78. materials is also available through the Internet World Wide Web (WWW) via
  79. the Vortex Technology WWW server at the URL: "http://www.vortex.com";
  80. full keyword searching of all PRIVACY Forum files is available via
  81. WWW access.
  82. -----------------------------------------------------------------------------
  83.  
  84. VOLUME 06, ISSUE 03
  85.  
  86.    Quote for the day:
  87.  
  88.     "In my experience there's no such thing as luck."
  89.  
  90.         -- Obi-Wan ("Ben") Kenobi (Alec Guinness)
  91.              "Star Wars" (20th Century Fox/Lucasfilm; 1977)
  92.  
  93. ----------------------------------------------------------------------
  94.  
  95. Date:    Mon, 10 Feb 97 16:03 PST
  96. From:    lauren@vortex.com (Lauren Weinstein; PRIVACY Forum Moderator)
  97. Subject: Crypto Export [Phil Karn] Interview on PRIVACY Forum Radio
  98.  
  99. Greetings.  A new installment of PRIVACY Forum Radio is available for your
  100. listening pleasure.  This segment features my interview with Phil Karn
  101. (known to many in the TCP/IP world by his ham call sign "KA9Q") of Qualcomm,
  102. Inc.  We discuss the status of his lawsuit against the U.S. federal
  103. government seeking permission to export the machine readable version of a
  104. crypto source code package that can currently only be exported legally in
  105. printed form--even though the same code is involved.  It's a fascinating
  106. look at a case which is at the very leading edge of the crypto export
  107. controversy.  As always, follow the web links from www.vortex.com to PRIVACY
  108. Forum and PRIVACY Forum Radio to access the segment and prior PRIVACY Forum
  109. Radio interviews.
  110.  
  111. --Lauren--
  112. Moderator, PRIVACY Forum
  113. www.vortex.com
  114.  
  115. ------------------------------
  116.  
  117. Date:    Mon, 10 Feb 97 16:14 PST
  118. From:    lauren@vortex.com (Lauren Weinstein; PRIVACY Forum Moderator)
  119. Subject: Update on "Your Signature for Sale?"
  120.  
  121. Greetings.  Since the recent distribution of my "Your Signature for Sale?"
  122. piece recently, I've received a great number of responses and personal
  123. anecdotes.  For right now, there are two points I'd like to pass along.
  124.  
  125. First, some persons making inquiries to UPS have apparently been told that
  126. the UPS signature display software doesn't allow printing out of the
  127. recipient's signature.  Outside of the fact that conventional Windows
  128. functions, drivers, and "background" programs can be used to capture and
  129. print the contents of virtually any Windows application's screens, it seems
  130. to clearly be the case that the UPS software itself does include a signature
  131. print function.  By the way, I'd like to thank the person who faxed me a
  132. copy of the full UPS ad (from "The Economist", and subsequently seen in
  133. other publications) which promotes that signature printing function twice in
  134. the ad text plus again with a picture of a printer...
  135.  
  136. Second, as I had suggested would probably be the case, some persons have
  137. indeed reported problems getting their UPS delivery persons to accept an "X"
  138. or similar "non-signature" to receive their packages, even though such
  139. actions were explicitly suggested to me by UPS management.  If your local
  140. UPS driver refuses to turn over a package under these circumstances, you
  141. should insist on the issue being immediately escalated to a supervisor and
  142. if necessary to management at UPS headquarters in Atlanta.  At a certain
  143. level up the chain of command you should be able to find someone who will
  144. verify that such non-signatures *are* acceptable on the automated signature
  145. pads.
  146.  
  147. More on this developing story to come...
  148.  
  149. --Lauren--
  150. Moderator, PRIVACY Forum
  151. www.vortex.com
  152.  
  153. ------------------------------
  154.  
  155. Date: Mon, 20 Jan 1997 17:50:46 -0500
  156. From: Dave McComb <mccomb@InterWorld.com>
  157. Subject: Yahoo! promotes privacy -- well, at least they make an attempt
  158.  
  159.    [ From Risks-Forum Digest; Volume 18 : Issue 78  -- MODERATOR ]
  160.  
  161. When Yahoo!'s People Search page (http://www.yahoo.com/search/people/)
  162. first premiered, it allowed you to look up information based on first
  163. name, last name, city, state, and phone number.  Yahoo! has since
  164. removed the reverse phone number lookup, stating in their FAQ:
  165.  
  166. What happened to the "search by telephone number" feature?
  167.  
  168. We have elected to discontinue the reverse lookup feature because of
  169. privacy concerns that have been
  170. raised by users. 
  171.  
  172. However, this is not actually the case -- it's still there, just in a
  173. different form.
  174.  
  175. You see, Yahoo! also allows users to suppress information about themselves,
  176. by entering their phone number
  177. (http://www.yahoo.com/search/people/suppress.html).  When you enter your
  178. phone number, you get a listing containing your name and full address.  By
  179. using this, you can still perform a reverse phone number lookup.
  180.  
  181. -Dave mccomb@interworld.com  Manager, Network & Security  
  182. http://www.interworld.com/
  183.  
  184. ------------------------------
  185.  
  186. Date: 21 Jan 1997 02:46:09 GMT
  187. From: hgoldste@mpcs.com (Howard Goldstein)
  188. Subject: HTTP cookies still taste bad (Andersson, RISKS-18.77)
  189.  
  190.    [ From Risks-Forum Digest; Volume 18 : Issue 78  -- MODERATOR ]
  191.  
  192. Anders Andersson (Leaking WWW surfer interest profiles, RISKS-18.77)
  193. observes the possibility that the ad.doubleclick.net site, from a firm that
  194. sells space on a couple of dozen large web sites (*The New York Times*
  195. advertising column, 20 Jan 1997), may be in a position to save keyword lists
  196. submitted for search on the Alta-Vista search engine.
  197.  
  198. What Anders Andersson may not have noticed was that when the browser called
  199. up the doubleclick site it returned more than an image; it also returned a
  200. cookie that doubleclick retrieves on subsequent accesses to its affiliated
  201. systems to develop a profile of Andersson's likes, dislikes, and usage
  202. habits.  [See my item in RISKS-18.19 for more on these stealthy cookies.]
  203.  
  204. Seems one without too much trouble could compile an incredibly detailed
  205. profile of an individual given one's footprints through webspace, coupled
  206. with one's search engine habits for those inconvenient times when the
  207. footprints don't lead to doubleclick's sites.  A most valuable marketing
  208. tool.
  209.  
  210. Howard Goldstein <hgoldste@bbs.mpcs.com>
  211.  
  212. ------------------------------
  213.  
  214. Date:    Wed, 22 Jan 1997 04:55:32 -0800 (PST)
  215. From:    Phil Agre <pagre@weber.ucsd.edu>
  216. Subject: EU card
  217.  
  218. The Times (London) for 22 January 1997 carries an article by Leyla Linton
  219. entitled "EU card could be passport to open all doors".  (My access to
  220. the article is through an online version that was forwarded to me over
  221. the Internet, so I don't have a page number for it.)  The smart card,
  222. says the article, "could act as an identity document, driving licence and
  223. electronic purse", "and, eventually, could be used as a passport or even
  224. as a house key".  "The card has been supported by the European Commission
  225. and several member states, and could be introduced alongside a single
  226. currency."  The proposal is "to be published in detail next month".  The
  227. article focuses on apoplectic opposition to the proposal from Conservative
  228. British MP's who oppose Britain's accelerating integration with Europe;
  229. a spokesman the Conservative government also expressed opposition, as did
  230. the civil rights organization Liberty.
  231.  
  232. What first struck me about the proposal is its resemblance to so-called
  233. "one card" systems that are being widely implemented on American college
  234. campuses.  These cards combine many or all of the functions currently
  235. assigned to a range of other identification cards, such as library cards,
  236. plus additional functionalities.  A "one card" system being implemented
  237. on some California State University campuses, for example, derives its
  238. funding from a bank card and telephone card; the university expects to
  239. raise large sums by swinging a large portion of its 300,000+ students
  240. to a single bank and/or telephone service provider.  The card is then
  241. envisioned as extending to other purposes such as dormitory keys.  
  242.  
  243. From a business point of view, a college campus is an attractive site for
  244. the implementation of such technologies because a campus is a microcosm
  245. of a whole society; it includes an enormous range of activities including
  246. housing, food service, entertainment, parking, administrative functions,
  247. vending, and so on.  The CSU system, however, as one probably expects, has
  248. been designed and implemented with essentially no attention to privacy.  I
  249. attended a statewise meeting of CSU student governments (California State
  250. Student Association) at which CSU authorities assured that "one card"
  251. information was "fully protected by law", but then did not challenge a
  252. later assertion from an expert on privacy law that this "full protection"
  253. only applied to that narrow range of academic records that are covered by
  254. the Buckley Amendment.
  255.  
  256. The danger of a "one card", of course, is that it will provide the basis
  257. for the creation of a centralized dossier covering an ever-broader range
  258. of a student's activities, either through the literal creation of a single
  259. centralized database or (more likely) through the establishment of common
  260. identifiers and interoperable systems that allow data to be matched easily
  261. across different subsystems.  College campuses, in this way, threaten
  262. to become practice grounds for the establishment of a dossier society.
  263. In the case of CSU, it was clear that the real initiative for the system,
  264. including its architecture and public relations strategy, was originating
  265. not with the CSU administators but with the proposed system's vendor, IBM.
  266.  
  267. The EU proposal deserves similar attention.  DId this idea originate with
  268. the European Commission and the MEP's who introduced the proposal, or did
  269. it originate with vendors?  Has any attention been paid to privacy issues?
  270. Europe has a head start in this area because of the generally very good
  271. European Data Protection Directive, together with the functioning privacy
  272. commissioners' offices in several European countries.  But the EU proposal
  273. may be a more serious matter than the data protection model can address.
  274. The data protection model of privacy regulation, after all, presupposes
  275. that personal information is captured and stored in databases; it simply
  276. requires that the whole process be done with appropriate notification,
  277. documentation, and security.  A Europe-wide "one card" system can easily
  278. become a centralized dossier, even with the strictest data protection.
  279. In addition to the constraints of data protection, therefore, it becomes
  280. important for privacy protection to be built into the architectures of
  281. this emerging generation of integrated identification systems.  Technical
  282. proposals for this purpose are numerous and well-understood, including
  283. digital cash and pseudoidentity schemes that could be implemented on a
  284. smart card.  Actually implemnting these alternative technicals proposals
  285. on a large scale would be a significant challenge, both as a matter of
  286. infrastructure and the detailed development of policy and administrative
  287. procedures.  But it is certainly better than creating the dossier society
  288. by default, just because that is the logical extension of the traditional
  289. practices of computer system design.
  290.  
  291. Phil Agre
  292.  
  293. ------------------------------
  294.  
  295. Date: Fri, 17 Jan 1997 19:30:07 -0500
  296. From: Bob Palacios <cdt-edit@cdt.org>
  297. Subject: FBI Issues Scaled Back Surveillance Capacity Notice
  298.  
  299.    [ Excerpt extracted from CDT POLICY POST Volume 3, Number 1 by MODERATOR ]
  300.  
  301. FBI ISSUES SCALED BACK SURVEILLANCE CAPACITY NOTICE 
  302. -- COST & CAPABILITY ISSUES REMAIN
  303.  
  304. On Tuesday, January, 14 1997, the FBI issued a revised notice of proposed
  305. surveillance capacity as required by the 1994 Communications Assistance for
  306. Law Enforcement Act (CALEA - a.k.a. Digital Telephony).  The notice details
  307. projected increases in law enforcement wiretapping and other electronic
  308. surveillance activity in the coming years.
  309.  
  310. While the latest notice appears far less expansive than the FBI's first
  311. capacity notice issued in October of 1995, and while this notice, by
  312. including the unprecedented release of baseline surveillance information on
  313. a county-by-county basis, goes a long way towards satisfying some of CDT's
  314. objections to the first notice, many serious issues remain.  Specifically:
  315.  
  316. * Does the county-by-county approach of the latest surveillance capacity
  317.   request correspond to law enforcement's real needs?
  318.  
  319. * What is the expected cost for meeting the FBI's proposed capacity
  320.   needs?
  321.  
  322. * The latest capacity request lumps together interceptions of call
  323.   content and interceptions of dialing information (through pen register
  324.   and trap and trace devices). Does this increase surveillance
  325.   capacity available to law enforcement?
  326.  
  327. * Most importantly, issues of surveillance CAPABILITY remain on the
  328.   table.  The FBI has taken a broad view of CALEA and has proposed
  329.   technical standards which, in CDT's view, go far beyond the scope of
  330.   CALEA and would dramatically increase law enforcement surveillance
  331.   authority. These issues are currently being negotiated in industry
  332.   standards setting bodies and will be a major issue in 1997.
  333.  
  334. ------------------------------
  335.  
  336. Date:    Thu, 6 Feb 1997 15:43:44 -0500
  337. From:    Dave Banisar <Banisar@epic.org>
  338. Subject: Virginia Bill on Collection of Information from Landlords
  339.  
  340.       To: Interested Persons
  341.       From: David Banisar, Esq. (banisar@epic.org)
  342.       Electronic Privacy Information Center (http://www.epic.org/)
  343.       Re: Virginia Senate Bill SB 1012
  344.       Date: February 6, 1997
  345.  
  346. Summary
  347.  
  348. On January 27, the Virginia Senate approved by a vote of 37-2 a bill that
  349. would require landlords, managers of condominiums, storage facilities and
  350. others to annually provide a comprehensive list of the names, addresses, and
  351. the automobile, boat and aircraft registration information of all their
  352. tenants, lessees and others to the local tax commissioners of the Virginia
  353. government.  The legislation is intended to assist the state in the
  354. assessment of personal property taxes.  The bill poses a grave threat to the
  355. privacy of Virginia residents.  It raises the question of whether Virginia
  356. should be ab le to coerce private citizens into acting as state informants by
  357. requiring them to provide this personal information on persons with whom
  358. they have a busine ss relationship to the state government.
  359.  
  360. Overview of the Bill
  361.  
  362. The bill covers "every person owning, managing, or operating, any apartment
  363. house, condominium, cooperative-housing facility, office building, shopping
  364. center, trailer camp or trailer court, self-storage facility, marina, or
  365. privately owned or operated airport in the Commonwealth."  Counties having a
  366. population of more than 1,000 people per square mile may require such
  367. information from any person leasing houses for rent.  The bill substantially
  368. expands an existing 1950's era law to include condominiums, cooperative-
  369. housing facilities, and self-storage facilities.
  370.  
  371. The legislation would require that the person or business provide the "name
  372. and address of every tenant, lessee, owner, or other person permitted to
  373. occupy or use space at such facility"; the "year, make, model, state and
  374. license plate number of any motor vehicle garaged, housed or parked on the
  375. premises"; and the "state and registration number of any watercraft or
  376. aircraft at the facility."  Previously, the law only covered the names of
  377. people who were renting space for aircraft and boats.
  378.  
  379. Failure to provide such information is classified as a "Class 4
  380. misdemeanor."  Under Virginia Code 18.2-11, the punishment can be a fine up
  381. to $250 for each tenant.  The bill allows owners, managers, and operators to
  382. "require, as a condition to leasing, selling, licensing, or otherwise
  383. granting any rights or interest in space at such facility, that any tenant,
  384. renter, or such other person provide the owner, manager, or operator of such
  385. facility with the information required to be provided pursuant to this
  386. section."
  387.  
  388. Analysis
  389.  
  390. The bill raises questions about the role of the state government in
  391. mandating that individuals and businesses act as informers for the
  392. government and provide personal information about their clients to
  393. government officials.
  394.  
  395. The bill also raises grave privacy concerns about the creation of a state
  396. database of all residents and others with a business relationship in
  397. Virginia, whether or not they are subject to tax liabilities.
  398.  
  399. The bill will place a substantial burden on landlords, leasing companies,
  400. universities, and others to collect information on their clients.  It will
  401. likely damage their relationships with their clients, as they must act as
  402. defacto informants of the state, collecting and providing this information to
  403. the government.
  404.  
  405. The General Assembly should not only reject this bill, but also consider
  406. eliminating the existing requirements currently in A758.1-3901 of the Code of
  407. Virginia, which this bill amends.
  408.  
  409. Legislative Status and Contact Information
  410.  
  411. 01/17/97 Senate: Presented & ordered printed 973650681
  412. (by State Senator Richard J. Holland (D-15, Windsor). Office (804) 786-7392)
  413. 01/17/97 Senate: Referred to Committee on Finance
  414. 01/22/97 Senate: Reported from Finance (16-Y 1-N)
  415. 01/23/97 Senate: Constitutional reading dispensed (39-Y 0-N)
  416. 01/23/97 Senate: VOTE: CONST. READING DISPENSED (39-Y 0-N)
  417. 01/24/97 Senate: Read second time and engrossed
  418. 01/27/97 Senate: Read third time and passed Senate (37-Y 2-N)
  419. 01/27/97 Senate: VOTE: PASSAGE (37-Y 2-N)
  420. 01/27/97 Senate: Communicated to House
  421. 01/28/97 House: Placed on Calendar
  422. 01/29/97 House: Read first time
  423. 01/29/97 House: Referred to Committee on Finance
  424. 02/05/97 House: Assigned to Finance sub-committee: 2
  425.  
  426. The bill is expected to be considered by the House of Delegates in the near
  427. future.  Individuals who are interested in this legislation should contact
  428. their state delegate immediately.  The number for leaving messages at the
  429. Virginia General Assembly constituent hotline is 1-800-889-0229.
  430.  
  431. David Banisar (Banisar@epic.org)                *    202-544-9240 (tel)
  432. Electronic Privacy Information Center           *    202-547-5482 (fax)
  433. 666 Pennsylvania Ave, SE, Suite 301             *    HTTP://www.epic.org
  434. Washington, DC 20003
  435. PGP Key: http://www.epic.org/staff/banisar/key.html
  436.  
  437. ------------------------------
  438.  
  439. Date: Wed, 29 Jan 1997 20:39:29 +0100 (MET)
  440. From: Feliks Kluzniak <feliks@carlstedt.se>
  441. Subject: Proposed satellite monitoring of car movements in Sweden
  442.  
  443.    [ From Risks-Forum Digest; Volume 18 : Issue 81  -- MODERATOR ]
  444.  
  445. The new issue of "Dagens IT", no. 3, dated 28 Jan - 3 Feb 1997 (a Swedish
  446. paper aimed at information technology professionals), contains an item that
  447. might be of some interest to those RISKS readers who followed discussions
  448. about automatic highway toll booths in the US and related subjects.
  449.  
  450. My (probably imperfect) translation follows.
  451.    
  452.   Car users will be be put in "feetcuffs"
  453.   (written by Margaretha Sundstroem)
  454.       
  455. With the help of a new satellite system car users might pay different taxes,
  456. depending on when and where they drive.  This is what the State
  457. communications commission is said to be discussing.
  458.  
  459. According to (the newspaper) "Dagens Politik", the State communications
  460. commission is discussing a proposal to use satellites for determining car
  461. taxes in the future.  It is proposed that all of Sweden's 3.5 million cars
  462. should be equipped with a little reader fastened to the instrument board.
  463. Car users would then buy cards that can be inserted into the reader.  The
  464. card would communicate with a satellite that would register where you drive
  465. and for how long.  The car tax would then be withdrawn from the card.
  466.       
  467. The proposal has been put forward by the State institution for communication
  468. analysis.  They estimate that just the Stockholm (tax) authorities would be
  469. able to earn six billion crowns by using this system.
  470.       
  471. The costs for car users would thereby increase.
  472.  
  473.  - - - - 
  474.  
  475. The reference to "feetcuffs" (by analogy to "handcuffs" - ankle
  476. shackles?)  is an allusion to radio transmitters that are irremovably
  477. fastened to the ankles of some criminals in this country so that the
  478. authorities can monitor their compliance with the rules of house arrest.
  479.  
  480. The word "communication" is meant to include car traffic etc.  The word
  481. "billion" is given in its US meaning: a thousand million.
  482.  
  483. The risks?  Apart from the risks of having very complex systems
  484. automatically determine how much you have to pay, there are the usual
  485. privacy considerations. Some cry out "big brother".  Others say you are
  486. already in this situation if you carry a cellular phone.
  487.  
  488. Feliks Kluzniak,  Carlstedt Research & Technology, Gothenburg
  489.  
  490.     [ Cellular phone privacy issues aside, the last time I checked,
  491.       there were no laws requiring persons to carry cellular phones, or
  492.       to leave them activated as they travel from location to location.
  493.       The proposed vehicle tracking system would certainly fall into a
  494.       completely different category of privacy problems.
  495.  
  496.             -- PRIVACY Forum MODERATOR ]
  497.  
  498. ------------------------------
  499.  
  500. Date:    Mon, 10 Feb 1997 02:25:11 -0500
  501. From:    Monty Solomon <monty@roscom.COM>
  502. Subject: Maryland Motor Vehicles Department Sells Privacy Down the River
  503.  
  504. Excerpt from ACLU News 02-06-97
  505.  
  506. Maryland Motor Vehicles Department Sells Privacy Down the River
  507.  
  508. BALTIMORE -- The practice of selling personal information by the Maryland
  509. Motor Vehicles Administration has raised lots of money as well as privacy
  510. concerns, the Washington Times reports.
  511.  
  512. Over the past two years, MVA has grossed $5.7 million dollars by selling
  513. people's driver's license records to independent companies. Baltimore's MVA
  514. sells records either in bulk, giving 10,000 records for $500, or individually
  515. at $5 a piece.
  516.  
  517. Bankers, retailers, private investigators and insurance companies have all
  518. been known to purchase thousands of records from MVA and use the lists for
  519. subscription programs through mail solicitation.
  520.  
  521. The amount of money that MVA raises is relatively small, and not a
  522. "compelling" justification for violating people's privacy rights, said Susan
  523. Goering, the executive director of the American Civil Liberties Union in
  524. Maryland.
  525.  
  526. "It's bad enought that private concerns are [selling records], but to have
  527. the government making use of our personal information is outrageous," Goering
  528. said. "I think the role of government is to protect people from the invasions
  529. of privacy that already exist."
  530.  
  531. Until now, the choice about the distribution of one's information has
  532. existed, but not been publicized in Maryland. Out of the 3 million people
  533. that have drivers' licenses, only 6,018 have made that choice since 1985.
  534.  
  535. "It's bad enough that privacy concerns are compromised by this practice, but
  536. the fact that people aren't informed about the option of sealing their
  537. records is even worse," Goering said.
  538.  
  539. ------------------------------
  540.  
  541. Date: Thu, 30 Jan 1997 12:59:35 -0800
  542. From: John van Heteren <vanhet@sirius.com>
  543. Subject: Berkeley Student Takes 3.5 Hours to Crack RSA 40-bit Key
  544.  
  545.    [ From TELECOM Digest; Volume 17 : Issue 26  -- MODERATOR ]
  546.  
  547.       ----
  548.       Thought you'd be interested in the following article that I found at:
  549.       http://www.urel.berkeley.edu/releases/
  550.  
  551.       John van Heteren
  552.       vanhet@sirius.com
  553.       ----
  554.  
  555. Berkeley -- It took UC Berkeley graduate student Ian Goldberg only three
  556. and a half hours to crack the most secure level of encryption that the
  557. federal government allows U.S. companies to export. 
  558.  
  559. Yesterday (1/28) RSA Data Security Inc. challenged the world to decipher
  560. a message encrypted with its RC5 symmetric stream cipher, using a 40-bit
  561. key, the longest keysize allowed for export. RSA offered a $1,000
  562. reward, designed to stimulate research and practical experience with the
  563. security of today's codes.
  564.  
  565. Goldberg succeeded a mere 3 1/2 hours after the contest began, which
  566. provides very strong evidence that 40-bit ciphers are totally unsuitable
  567. for practical security.
  568.  
  569. "This is the final proof of what we've known for years: 40-bit
  570. encryption technology is obsolete," Goldberg said.
  571.  
  572. RSA's RC5 cipher can however be used with longer keysizes, ranging from
  573. 40 to 2,048 bits, to provide increasing levels of security.
  574.  
  575. U.S. export restrictions have limited the deployment of technology that
  576. could greatly strengthen security on the Internet, often affecting both
  577. foreign and domestic users, Goldberg said.
  578.  
  579. "We know how to build strong encryption; the government just won't let
  580. us deploy it. We need strong encryption to uphold privacy, maintain
  581. security, and support commerce on the Internet -- these export
  582. restrictions on cryptography must be lifted, " he said.
  583.  
  584. Fittingly, when Goldberg finally unscrambled the challenge message, it
  585. read: "This is why you should use a longer key."
  586.  
  587. The number of bits in a cipher is an indication of the maximum level of
  588. security the cipher can provide, Goldberg said. Each additional bit
  589. doubles the potential security level of the cipher. A recent panel of
  590. experts recommended using 90-bit ciphers, and 128-bit ciphers are
  591. commonly used throughout the world, but U.S. government regulations
  592. restrict exportable U.S. products to a mere 40 bits.
  593.  
  594. Goldberg used UC Berkeley's Network of Workstations (NOW) to harness the
  595. computational resources of about 250 idle machines. This allowed him to
  596. test 100 billion possible "keys" per hour -- analogous to safecracking
  597. by trying every possible combination at high speed. This amount of
  598. computing power is available with little overhead cost to students and
  599. employees at many large educational institutions and corporations.
  600.  
  601. Goldberg is a founding member of the ISAAC computer security research
  602. group at UC Berkeley, which is led by assistant professor of computer
  603. science Eric Brewer. In the fall of 1995 the ISAAC group made headlines
  604. by revealing a major security flaw in Netscape's web browser.
  605.  
  606. ------------------------------
  607.  
  608. End of PRIVACY Forum Digest 06.03
  609. ************************
  610.