home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / zines / cud / cud562.txt < prev    next >
Encoding:
Text File  |  2003-06-11  |  38.3 KB  |  848 lines
  1. Computer underground Digest    Tue  Aug 17 1993   Volume 5 : Issue 62
  2.                            ISSN  1004-042X
  3.  
  4.        Editors: Jim Thomas and Gordon Meyer (TK0JUT2@NIU.BITNET)
  5.        Archivist: Brendan Kehoe
  6.        Shadow-Archivists: Dan Carosone / Paul Southworth
  7.                           Ralph Sims / Jyrki Kuoppala
  8.                           Ian Dickinson
  9.        Copie Editor: Etaoin Shrdlu, Senior
  10.  
  11. CONTENTS, #5.62 (Aug 17 1993)
  12. File 1--CU News ("Software felons," "Valuing Info," et. al.)
  13. File 2--CuNews ("Technofogies" and more)
  14. File 3--Another BBS Seizure in Hartford
  15. File 4--Call for Clipper Comments
  16.  
  17. Cu-Digest is a weekly electronic journal/newsletter. Subscriptions are
  18. available at no cost electronically from tk0jut2@mvs.cso.niu.edu. The
  19. editors may be contacted by voice (815-753-0303), fax (815-753-6302)
  20. or U.S. mail at:  Jim Thomas, Department of Sociology, NIU, DeKalb, IL
  21. 60115.
  22.  
  23. Issues of CuD can also be found in the Usenet comp.society.cu-digest
  24. news group; on CompuServe in DL0 and DL4 of the IBMBBS SIG, DL1 of
  25. LAWSIG, and DL1 of TELECOM; on GEnie in the PF*NPC RT
  26. libraries and in the VIRUS/SECURITY library; from America Online in
  27. the PC Telecom forum under "computing newsletters;"
  28. On Delphi in the General Discussion database of the Internet SIG;
  29. on the PC-EXEC BBS at (414) 789-4210; and on: Rune Stone BBS (IIRG
  30. WHQ) (203) 832-8441 NUP:Conspiracy; RIPCO BBS (312) 528-5020
  31. CuD is also available via Fidonet File Request from 1:11/70; unlisted
  32. nodes and points welcome.
  33. EUROPE:   from the ComNet in LUXEMBOURG BBS (++352) 466893;
  34.           In ITALY: Bits against the Empire BBS: +39-461-980493
  35.  
  36. ANONYMOUS FTP SITES:
  37.   UNITED STATES:  ftp.eff.org (192.88.144.4) in /pub/cud
  38.                   etext.archive.umich.edu (141.211.164.18)  in /pub/CuD/cud
  39.                   halcyon.com( 202.135.191.2) in /pub/mirror/cud
  40.                   aql.gatech.edu (128.61.10.53) in /pub/eff/cud
  41.   AUSTRALIA:      ftp.ee.mu.oz.au (128.250.77.2) in /pub/text/CuD.
  42.   EUROPE:         nic.funet.fi in pub/doc/cud. (Finland)
  43.                   ftp.warwick.ac.uk in pub/cud (United Kingdom)
  44.  
  45. COMPUTER UNDERGROUND DIGEST is an open forum dedicated to sharing
  46. information among computerists and to the presentation and debate of
  47. diverse views.  CuD material may  be reprinted for non-profit as long
  48. as the source is cited. Authors hold a presumptive copyright, and
  49. they should be contacted for reprint permission.  It is assumed that
  50. non-personal mail to the moderators may be reprinted unless otherwise
  51. specified.  Readers are encouraged to submit reasoned articles
  52. relating to computer culture and communication.  Articles are
  53. preferred to short responses.  Please avoid quoting previous posts
  54. unless absolutely necessary.
  55.  
  56. DISCLAIMER: The views represented herein do not necessarily represent
  57.             the views of the moderators. Digest contributors assume all
  58.             responsibility for ensuring that articles submitted do not
  59.             violate copyright protections.
  60.  
  61. ----------------------------------------------------------------------
  62.  
  63. Date: Sat, 31 Jul 93 02:01:00 BST
  64. From: grmeyer@GENIE.GEIS.COM
  65. Subject: File 1--CU News ("Software felons," "Valuing Info," et. al.)
  66.  
  67. Software Felons
  68. ===============
  69. A federal grand jury in California handed down felony indictments for
  70. software piracy near the first week of July. These are the first
  71. indictments under the law that makes copyright infringement a fel ony.
  72. The indictments follow coast-to-coast raids over the past four months
  73. where US Marshals seized over 9.5 millions dollars worth of MS-DOS
  74. and Windows operating systems.
  75. (Information Week. July 12, 1993. pg 8)
  76.  
  77. Valuing Information
  78. ===================
  79. How much are your computer files really worth? The Information
  80. Systems Security Association has put together a panel to create a
  81. methodology for determining the value of information. Representatives
  82. from Chase Manhattan Bank, Bank America, and Motorola are among the
  83. panel members. The ISSA suggests that valuation can be determined in
  84. three ways: Cost to acquire/develop/maintain the info, value to
  85. owners/others, and commercial value.
  86. (Information Week. July 12, 1993. pg 62)
  87.  
  88. Virus "fax vote" results
  89. ========================
  90. Information Week magazine recently conducted a self-selected survey
  91. of IS managers and virus security. Some of the more interesting
  92. results include:
  93.  
  94.    Measures implemented to deal with virus threat:
  95.       65% training
  96.       86% purchased anti-viral software
  97.  
  98.    Company practices altered as a result of virus threat:
  99.       49% use of shareware
  100.       47% downloading from BBSs
  101.  
  102.    State of the virus threat during the past 12 months:
  103.       48% increased
  104.       34% stayed the same
  105.  
  106.    Number of machines infected during past year:
  107.       42% none
  108.       46% less than 25%
  109.  
  110. For the complete results in each category, and for other questions
  111. and comments, refer to Information Week. July 19, 1993. Pgs 25 and
  112. following.
  113.  
  114. Holy Data Islands!
  115. ==================
  116. The Wall Street Journal (July 12, 1993 p B-2) reports that a company
  117. founded by Ed Leonard has been farming out data for storage at
  118. monasteries. Customers like the prices, and the dedication and
  119. discretion of the monks is apparently unmatched.
  120. (Information Week.  July 19, 1993. pg 62)
  121.  
  122. Singapore Piracy
  123. ================
  124. Lotus and Novell have filed criminal charges against a man and wife
  125. in Singapore after they were found guilty in a civil suit for
  126. copyright and trademark violations.  The companies obtained a court or
  127. der to freeze nearly one million dollars in assets belonging to the
  128. pair, who had sold thousands of illegal software copies in Southeast
  129. Asia.
  130. (Information Week. May 10, 1993. pg. 8)
  131.  
  132. Computer Ethics Institute Conference
  133. ====================================
  134. Information Week reports that Congressman Edward Markey (D - Mass.)
  135. made the following remarks at the conference.
  136.  
  137. "Just because personal information can be collected electronically,
  138. can be   gleaned off the network as people call 800 number or click
  139. channels on the television, or can be cross-referenced into
  140. sophisticated lists and put on line for sale to others, does not
  141. mean that it has been technologically predetermined that privacy
  142. and social mores should be bent to that capability.  (...) The
  143. Constitution is a 200-year-old parchment, simply because we digitize
  144. the words should not suggest their meanings change."  Later, Markey
  145. commented that "Real harm can be done in the virtual world."
  146.  
  147. Refer to "Ethics and Cyberculture" , Information Week, May 10, 1993
  148. pg. 60 for more information on the conference and Markey's speech.
  149.  
  150. Follow-up on Epson America Email Case
  151. =====================================
  152. Alana Shoars, plaintiff in a case against Epson America, reports that
  153. she's "slogging forward" with the case. Shoars was dismissed from her
  154. Email administrator job in January 1990 after she complained that by
  155. monitoring employees' Email the company was invading their privacy.
  156. Her wrongful termination lawsuit, as well as a class-action lawsuit
  157. brought on behalf of 170 Epson employees, is in appellate court.
  158. (Information Week. July 26, 1993. pg 62)
  159.  
  160. Political Censorship at Microsoft?
  161. ==================================
  162. Gregory Steshenko was allowed to emigrate from the Soviet Union to
  163. the US in 1987. Last September he landed a job with Microsoft as a
  164. support engineer. Last month he was fired, he says, for sending
  165. political messages over the Internet. Microsoft contends it was solely
  166. for performance reasons. Steshenko's messages typically centered on
  167. the political situation in his native Ukraine, and his view that the
  168. Ukrainian government is more corrupt than the previous Communist
  169. government. ( In fact, Steshenko was once imprisoned in the Soviet
  170. Union for spreading "anti-Soviet propaganda"). He comments: ".  ..it
  171. looks to me like I've found another kind of Big Brother. In the Soviet
  172. Union it was the party and the state. In the US, it is the
  173. corporation."
  174. (Information Week. July 26, 1993. pg 62)
  175.  
  176. Fraud Free with AT&T
  177. ====================
  178. AT&T has announced a service that will help protect corporate calling
  179. card users from fraudulent use of their card number:
  180.  
  181.      AT&T Card Protect (sm) Service gives you real control over card
  182.      usage. To help prevent unauthorized use, we offer you a range of
  183.      measures such as geographic restrictions, purchase limits and
  184.      account passwords to meet your specific calling needs.
  185.      24 hours a day, 7 days a week, our Fraud Analysis and Surveillance
  186.      Center provides state-of-the-art security coverage for every one of
  187.      your employee's cards. It helps to identify unauthorized card use
  188.      in real time, allowing prompt action to be taken.
  189.  
  190. Dr. Dobb's Editor Speaks Out Against Clipper Chip
  191. =================================================
  192. Jonathan Erickson, editor-in-chief of Dr. Dobb's Journal, writes
  193. about the government's "clipper" chip in his July 1993 editorial. Mr.
  194. Erickson begins by describing some of the antics and crimes of Ke vin
  195. Poulsen, a hacker whose story is familiar to regular CuD readers.
  196. After discussing Paulsen, the gist of the FBI's proposal, and the
  197. clipper Erickson concludes with this statement:
  198.      Money and export concerns aside, the real issues remain those of
  199.      privacy and the government's attitude towards its citizens. What
  200.      we're witnessing is a fundamental shift from what we've considered
  201.      to be our Constitutional right to privacy to a view that the
  202.      government is privy to our most private conversations. This alone
  203.      is enough to make Kevin Poulsen look like nothing more than an
  204.      angel with a dirty face.
  205. (Dr. Dobb's Journal. July 1993. pg 8)
  206.  
  207. Nosy Bosses
  208. ===========
  209. Based on a survey in Macworld, an estimated 20 million US employees
  210. may be victims of electronic monitoring on the job. Of the 21% of
  211. employers admitting to checking up on employees, 74% had searched
  212. electronic work files, 42% had searched workers' email and 15% had
  213. searched voice mail. When the survey asked why, the nosy respondents
  214. replied that their snooping was to monitor work flow or to invest
  215. igate espionage and theft.
  216. (Communications of the ACM. Aug 1993. pg 9 reprinted with permission)
  217.  
  218. Lax on Tapes
  219. ============
  220. The Clinton administration has been blasted by a federal judge on its
  221. promise to make good on preserving nearly 6,000 computerized White
  222. House records that hold millions of National Security Council e mail
  223. messages. In January the judge ordered the tapes copied for
  224. preservation. As of late June, the judge threatened to fine the White
  225. House and National Archives $50K a day for not complying with prior
  226. orders each day the tapes aren't copied. Justice Department lawyers
  227. have tried in vain to appeal the order, citing the timetable of the
  228. task as causing "irreparable disruption of White House operations".
  229. (Communications of the ACM. Aug 1993. pg 10 reprinted with permission)
  230.  
  231. Disco Tech
  232. ==========
  233. Timothy Leary, the Harvard prof known for his hallucinogenic
  234. escapades in the '60s and Virtual Reality experimentation of more
  235. recent times, has designed the VR programs for Light, Wisdom, and
  236. Sound, a new night club in New York. VR could be on the brink of
  237. rivaling dance floors as nightlife entertainment. However, club
  238. owners are worried that happy clubbers may never leave the private
  239. VR sex room once they get in - it's one of the main attractions of
  240. the club.
  241. (Communications of the ACM. Aug 1993. pg 10 reprinted with permission)
  242.  
  243. ------------------------------
  244.  
  245. From: grmeyer@GENIE.GEIS.COM
  246. Date: Sat,  7 Aug 93 21:38:00 BST
  247. Subject: File 2--CuNews ("Technofogies" and more)
  248.  
  249. Technofogies
  250. =============
  251. A survey by Dell Computer Corp found that technophobia is alive and
  252. well in the United States. In a survey of 500 adults and 1000
  253. teenagers found that about 25% of the adults has never used a
  254. computer, programmed a VCR, or set-up the stations on their car radio.
  255. About a third said they feared they might damage a computer during
  256. normal use, and a quarter of them said they wouldn't use a computer un
  257. less they were forced to do so. About the same percentage said they
  258. still miss their typewriters.  As you might expect, the results were
  259. drastically different for the teens in the sample. Only 8% of them had
  260. never used a computer. About the same percentage said they felt
  261. uncomfortable using one without assistance.  Roughly two-thirds of
  262. both groups said they wished computer terminology was easier to
  263. understand.  Contact Dell Computer Corp for more information about the
  264. study.
  265. (Information Week. August 2, 1993 pg. 46)
  266.  
  267. More on "Tiger Teams"
  268. =====================
  269. Harlan Crouse, a security specialist with the US Army, has a guest
  270. editorial in the August 2, 1993 issue of Information Week (pg. 52).
  271. Crouse responds to IW's earlier story about firms that use so-called
  272. 'tiger teams' of ex-hackers to test security.  The following are some
  273. excerpts from the editorial.
  274.  
  275.    ...using convicted computer criminals to do information security work
  276.    is the height of folly. We don't use former armed robbers as bank
  277.    guards and we don't use child molesters as sex therapists; why should
  278.    we trust our precious information to convicted felons?
  279.    (...)
  280.    Common sense dictates that if you something to valuable, you work to
  281.    protect it. That means all the time - not just when it's convenient
  282.    or when a security deficiency has become nearly disastrous. What would
  283.    you think of people who lock the door to their houses only sometimes, or
  284.    only after their houses have already been burglarized?
  285.  
  286.    Lapses in security are almost always traceable, directly or indirectly,
  287.    to management's inattention to the need to protect organizational
  288.    assets. Yet managers are seldom held accountable for their negligence.
  289.    Unfortunately, it's the taxpayers, customers, stockholders, and
  290.    employees who pay.
  291.  
  292. ------------------------------
  293.  
  294. Date: Wed, 11 Aug 93 11:58:26 GMT
  295. From: Wes Morgan <morgan@ENGR.UKY.EDU>
  296. Subject: File 3--Another BBS Seizure in Hartford
  297.  
  298. This was posted to Usenet's alt.censorship newsgroup.
  299.  
  300. > * Forwarded by MATT GIWER from the Main Board conference.
  301. > * Original from DON KIMBERLIN to ALL on 08-09-93.
  302. >
  303. >Date: 08-03-93 (22:35)             Number: 1089
  304. >From: KENNETH PAVLAK               Refer#: NONE
  305. >  To: ALL                           Recvd: NO
  306. >Subj: Sysop held on $500,000 Bail    Conf: (24) F-Law&Dis
  307. >---------------------------------------------------------------------------
  308. >The Hartford Courant on August 5, 1993 (page b-4) stated that a 21 year
  309. >old computer BBS operator was arrested for maintaining a computer
  310. >bulletin board that had a bomb making recipe.
  311. >
  312. >Michael Elansky was charged by the West Hartford police with inciting
  313. >injury to persons or property - a felony charge - and risk of injury
  314. >to a minor.
  315. >
  316. >He was held in lieu of $500,000 bond (in CT the bond for a person accused
  317. >of murder is normally $100,000)
  318. >
  319. >Det. Capt. James Gustafson said the case was "sealed" and no information
  320. >could be released.
  321. >
  322. >Michal Elansky's father said information from the Anarchists Cook Book
  323. >(Available from Paladin Press, P.O. Box 1307, Boulder, CO 80306,
  324. >phone 303-443-7250) was on the bbs placed there by person or persons
  325. >unknown; it was impossible for his son to keep track of due to the
  326. >number of calls to his bbs.
  327. >
  328. >And so, Big Brother now says that passing along information will get
  329. >a person 21 years old locked up on a half a million dollars bail, while
  330. >accused murderers get out on  100,000 dollars.  The newspaper did not
  331. >say if the computer or the files from it were taken.
  332. >
  333. >Can the people who were on that bbs look forward to a "Visit" from
  334. >the servants of Big Brother?
  335. >
  336. >Will they be arrested if they downloaded VERBOTEN information?  Will
  337. >there be MASS ARRESTS of people who have knowledge that is no longer
  338. >permitted?
  339. >
  340. >Time will tell
  341. >
  342. >=== GEcho 1.00
  343. >
  344. > * SPEED 1.30 >01< * Remember, god works in meaningless ways.
  345. >
  346. >
  347. >--
  348. >Internet: Matt Giwer@mechanic.fidonet.org
  349. >UUCP:     ...!myrddin!mechanic!326!Matt.Giwer
  350. >Note: mechanic is a Fidonet<>USENET gate for TAMPA BAY,FL.
  351. >      The opinions stated in this post are only my own!
  352.  
  353. ------------------------------
  354.  
  355. Date: Tue, 17 Aug 1993 14:23:16 EST
  356. From: Dave Banisar <banisar@WASHOFC.CPSR.ORG>
  357. Subject: File 4--Call for Clipper Comments
  358.  
  359.                       Call for Clipper Comments
  360.  
  361. The National Institute of Standards and Technology (NIST) has issued a
  362. request for public comments on its proposal to establish the
  363. "Skipjack" key-escrow system as a Federal Information Processing
  364. Standard (FIPS).  The deadline for the submission of comments is
  365. September 28, 1993.  The full text of the NIST notice follows.
  366.  
  367. CPSR is urging all interested individuals and organizations to express
  368. their views on the proposal and to submit comments directly to NIST.
  369. Comments need not be lengthy or very detailed; all thoughtful
  370. statements addressing a particular concern will likely contribute to
  371. NIST's evaluation of the key-escrow proposal.
  372.  
  373. The following points could be raised about the NIST proposal
  374. (additional materials on Clipper and the key escrow proposal may be
  375. found at the CPSR ftp site, cpsr.org):
  376.  
  377. * The potential risks of the proposal have not been assessed and many
  378. questions about the implementation remain unanswered.  The NIST notice
  379. states that the current proposal "does not include identification of
  380. key escrow agents who will hold the keys for the key escrow
  381. microcircuits or the procedures for access to the keys."  The key
  382. escrow configuration may also create a dangerous vulnerability in a
  383. communications network.  The risks of misuse of this feature should be
  384. weighed against any perceived benefit.
  385.  
  386. * The classification of the Skipjack algorithm as a "national
  387. security" matter is inappropriate for technology that will be used
  388. primarily in civilian and commercial applications.  Classification of
  389. technical information also limits the computing community's ability to
  390. evaluate fully the proposal and the general public's right to know
  391. about the activities of government.
  392.  
  393. * The proposal was not developed in response to a public concern or a
  394. business request.  It was put forward by the National Security Agency
  395. and the Federal Bureau of Investigation so that these two agencies
  396. could continue surveillance of electronic communications. It has not
  397. been established that is necessary for crime prevention.  The number
  398. of arrests resulting from wiretaps has remained essentially unchanged
  399. since the federal wiretap law was enacted in 1968.
  400.  
  401. * The NIST proposal states that the escrow agents will provide the key
  402. components to a government agency that "properly demonstrates legal
  403. authorization to conduct electronic surveillance of communications
  404. which are encrypted."  The crucial term "legal authorization" has not
  405. been defined.  The vagueness of the term "legal authorization" leaves
  406. open the possibility that court-issued warrants may not be required in
  407. some circumstances.  This issue must be squarely addressed and
  408. clarified.
  409.  
  410. * Adoption of the proposed key escrow standard may have an adverse
  411. impact upon the ability of U.S. manufacturers to market cryptographic
  412. products abroad.  It is unlikely that non-U.S. users would purchase
  413. communication security products to which the U.S. government holds
  414. keys.
  415.  
  416.  
  417. Comments on the NIST proposal should be sent to:
  418.  
  419. Director, Computer Systems Laboratory
  420. ATTN: Proposed FIPS for Escrowed Encryption Standard
  421. Technology Building, Room B-154
  422. National Institute of Standards and Technology
  423. Gaithersburg, MD 20899
  424.  
  425. Submissions must be received by September 28, 1993.  CPSR has
  426. asked NIST that provisions be made to allow for electronic
  427. submission of comments.
  428.  
  429. Please also send copies of your comments on the key escrow
  430. proposal to CPSR for inclusion in the CPSR Internet Library, our
  431. ftp site.  Copies should be sent to <clipper@washofc.cpsr.org>.
  432.  
  433. =================================================================
  434.  
  435.                          FEDERAL REGISTER
  436.                          VOL. 58, No. 145
  437.  
  438.                      DEPARTMENT OF COMMERCE (DOC)
  439.         National Institute of Standards and Technology (NIST)
  440.  
  441.                      Docket No. 930659-3159
  442.                          RIN 0693-AB19
  443.  
  444. A Proposed Federal Information Processing Standard for an Escrowed
  445. Encryption Standard (EES)
  446.  
  447.                         58 FR 40791
  448.  
  449.                      Friday, July 30, 1993
  450.  
  451. Notice; request for comments.
  452.  
  453. SUMMARY: A Federal Information Processing Standard (FIPS) for an
  454. Escrowed Encryption Standard (EES) is being proposed. This proposed
  455. standard specifies use of a symmetric-key encryption/decryption
  456. algorithm and a key escrowing method which are to be implemented in
  457. electronic devices and used for protecting certain unclassified
  458. government communications when such protection is required. The
  459. algorithm and the key escrowing method are classified and are
  460. referenced, but not specified, in the standard.
  461.  
  462.    This proposed standard adopts encryption technology developed by
  463. the Federal government to provide strong protection for unclassified
  464. information and to enable the keys used in the encryption and
  465. decryption processes to be escrowed. This latter feature will assist
  466. law enforcement and other government agencies, under the proper legal
  467. authority, in the collection and decryption of electronically
  468. transmitted information. This proposed standard does not include
  469. identification of  key escrow  agents who will hold the keys for the
  470. key escrow  microcircuits or the procedures for access to the keys.
  471. These issues will be addressed by the Department of Justice.
  472.  
  473.    The purpose of this notice is to solicit views from the public,
  474. manufacturers, and Federal, state, and local government users so that
  475. their needs can be considered prior to submission of this proposed
  476. standard to the Secretary of Commerce for review and approval.
  477.  
  478.    The proposed standard contains two sections: (1) An announcement
  479. section, which provides information concerning the applicability,
  480. implementation, and maintenance of the standard; and (2) a
  481. specifications section which deals with the technical aspects of the
  482. standard. Both sections are provided in this notice.
  483.  
  484. DATES: Comments on this proposed standard must be received on or
  485. before September 28, 1993.
  486.  
  487. ADDRESSES: Written comments concerning the proposed standard should be
  488. sent to: Director, Computer Systems Laboratory, ATTN:  Proposed FIPS
  489. for Escrowed Encryption Standard, Technology Building, room B-154,
  490. National Institute of Standards and Technology, Gaithersburg, MD
  491. 20899.
  492.  
  493.    Written comments received in response to this notice will be
  494. made part of the public record and will be made available for
  495. inspection and copying in the Central Reference and Records
  496. Inspection Facility, room 6020, Herbert C. Hoover Building, 14th
  497. Street between Pennsylvania and Constitution Avenues, NW.,
  498. Washington, DC 20230.
  499.  
  500. FOR FURTHER INFORMATION CONTACT: Dr. Dennis Branstad, National
  501. Institute of Standards and Technology, Gaithersburg, MD 20899,
  502. telephone (301) 975-2913.
  503.  
  504.    SUPPLEMENTARY INFORMATION: This proposed FIPS implements the
  505. initiative announced by the White House Office of the Press
  506. Secretary on April 16, 1993. The President of the U.S. approved a
  507. Public Encryption Management directive, which among other actions,
  508. called for standards to facilitate the procurement and use of
  509. encryption devices fitted with  key-escrow  microcircuits in
  510. Federal communication systems that process sensitive, but
  511. unclassified information.
  512.  
  513.    Dated: July 26, 1993.
  514.  
  515.  Arati Prabhakar,
  516.  Director.(NIST)
  517.  
  518. ++++++++++++++++++++++++++++++++++++++++++++++++++++
  519.  Federal Information Processing Standards Publication XX
  520.  1993 XX
  521.  Announcing the Escrowed Encryption Standard (EES)
  522.  
  523.    Federal Information Processing Standards Publications (FIPS PUBS)
  524. are issued by the National Institute of Standards and Technology
  525. (NIST) after approval by the Secretary of Commerce pursuant to section
  526. 111(d) of the Federal Property and Administrative Services Act of 1949
  527. as amended by the Computer Security Act of 1987, Public Law 100-235.
  528.  
  529.  Name of Standard: Escrowed Encryption Standard (EES).
  530.  
  531.  Category of Standard: Telecommunications Security.
  532.  
  533.  Explanation: This Standard specifies use of a symmetric-key
  534. encryption (and decryption) algorithm and a Law Enforcement Access
  535. Field (LEAF) creation method (one part of a  key escrow  system) which
  536. provide for decryption of encrypted telecommunications when
  537. interception of the telecommunications is lawfully authorized.  Both
  538. the algorithm and the LEAF creation method are to be implemented in
  539. electronic devices (e.g., very large scale integration chips). The
  540. devices may be incorporated in security equipment used to encrypt (and
  541. decrypt) sensitive unclassified telecommunications data. Decryption of
  542. lawfully intercepted telecommunications may be achieved through the
  543. acquisition and use of the LEAF, the decryption algorithm and escrowed
  544. key components.
  545.  
  546.    To escrow something (e.g., a document, an encryption key) means
  547. that it is "delivered to a third person to be given to the grantee
  548. only upon the fulfillment of a condition" (Webster's Seventh New
  549. Collegiate Dictionary). A key escrow  system is one that entrusts
  550. components of a key used to encrypt telecommunications to third
  551. persons, called key component escrow agents. In accordance with the
  552. common definition of "escrow", the key component escrow agents provide
  553. the key components to a "grantee" (i.e., a government agency) only
  554. upon fulfillment of the condition that the grantee properly
  555. demonstrates legal authorization to conduct electronic surveillance of
  556. communications which are encrypted using the specific device whose key
  557. component is requested. The key components obtained through this
  558. process are then used by the grantee to reconstruct the device unique
  559. key and obtain the session key (contained in the LEAF) which is used
  560. to decrypt the telecommunications that are encrypted with that device.
  561. The term, "escrow", for purposes of this standard, is restricted to
  562. the dictionary definition.
  563.  
  564.    The encryption/decryption algorithm has been approved for
  565. government applications requiring encryption of sensitive unclassified
  566. telecommunications of data as defined herein. The specific operations
  567. of the algorithm and the LEAF creation method are classified and hence
  568. are referenced, but not specified, in this standard.
  569.  
  570.    Data, for purposes of this standard, includes voice, facsimile and
  571. computer information communicated in a telephone system.  Telephone
  572. system, for purposes of this standard, is limited to systems
  573. circuit-switched up to no more than 14.4 kbs or which use basic-rate
  574. ISDN, or to a similar grade wireless service.
  575.  
  576.    Data that is considered sensitive by a responsible authority should
  577. be encrypted if it is vulnerable to unauthorized disclosure during
  578. telecommunications. A risk analysis should be performed under the
  579. direction of a responsible authority to determine potential threats
  580. and risks. The costs of providing encryption using this standard as
  581. well as alternative methods and their respective costs should be
  582. projected. A responsible authority should then make a decision, based
  583. on the risk and cost analyses, whether or not to use encryption and
  584. then whether or not to use this standard.
  585.  
  586.  Approving Authority: Secretary of Commerce.
  587.  
  588.  Maintenance Agency: Department of Commerce, National Institute of
  589. Standards and Technology.
  590.  
  591.  Applicability: This standard is applicable to all Federal departments
  592. and agencies and their contractors under the conditions specified
  593. below. This standard may be used in designing and implementing
  594. security products and systems which Federal departments and agencies
  595. use or operate or which are operated for them under contract. These
  596. products may be used when replacing Type II and Type III (DES)
  597. encryption devices and products owned by the government and government
  598. contractors.
  599.  
  600.    This standard may be used when the following conditions apply:
  601.  
  602.    1. An authorized official or manager responsible for data security
  603. or the security of a computer system decides that encryption is
  604. required and cost justified as per OMB Circular A-130; and
  605.  
  606.    2. The data is not classified according to the National Security
  607. Act of 1947, as amended, or the Atomic Energy Act of 1954, as amended.
  608.  
  609.    However, Federal departments or agencies which use encryption
  610. devices for protecting data that is classified according to either of
  611. these acts may use those devices also for protecting unclassified data
  612. in lieu of this standard.
  613.  
  614.    In addition, this standard may be adopted and used by non-Federal
  615. Government organizations. Such use is encouraged when it provides the
  616. desired security.
  617.  
  618. Applications: Devices conforming to this standard may be used for
  619. protecting unclassified communications.
  620.  
  621.  Implementations: The encryption/decryption algorithm and the LEAF
  622. creation method shall be implemented in electronic devices (e.g.,
  623. electronic chip packages) that can be physically protected against
  624. unauthorized entry, modification and reverse engineering.
  625. Implementations which are tested and validated by NIST will be
  626. considered as complying with this standard. An electronic device shall
  627. be incorporated into a cyptographic module in accordance with FIPS
  628. 140-1. NIST will test for conformance with FIPS 140-1.  Cryptographic
  629. modules can then be integrated into security equipment for sale and
  630. use in an application. Information about devices that have been
  631. validated, procedures for testing equipment for conformance with NIST
  632. standards, and information about obtaining approval of security
  633. equipment are available from the Computer Systems Laboratory, NIST,
  634. Gaithersburg, MD 20899.
  635.  
  636.  Export Control: Implementations of this standard are subject to
  637. Federal Government export controls as specified in title 22, Code of
  638. Federal Regulations, parts 120 through 131 (International Traffic of
  639. Arms Regulations -ITAR). Exporters of encryption devices, equipment
  640. and technical data are advised to contact the U.S. Department of
  641. State, Office of Defense Trade Controls for more information.
  642. Patents: Implementations of this standard may be covered by U.S. and
  643. foreign patents.
  644.  
  645.  Implementation Schedule: This standard becomes effective thirty days
  646. following publication of this FIPS PUB.
  647.  
  648.  Specifications: Federal Information Processing Standard (FIPS
  649. XXX)(affixed).
  650.  
  651.  Cross Index:
  652.  
  653.    a. FIPS PUB 46-2, Data Encryption Standard.
  654.  
  655.    b. FIPS PUB 81, Modes of Operation of the DES
  656.  
  657.    c. FIPS PUB 140-1, Security Requirements for Cryptographic
  658. Modules.
  659.  
  660.  
  661.  Glossary:
  662.  
  663.    The following terms are used as defined below for purposes of
  664. this standard:
  665.  
  666.    Data-Voice, facsimile and computer information communicated in
  667. a telephone system.
  668.  
  669.    Decryption-Conversion of ciphertext to plaintext through the
  670. use of a cryptographic algorithm.
  671.  
  672.    Device (cryptographic)-An electronic implementation of the
  673. encryption/decryption algorithm and the LEAF creation method as
  674. specified in this standard.
  675.  
  676.    Digital data-Data that have been converted to a binary
  677. representation.
  678.  
  679.    Encryption-Conversion of plaintext to ciphertext through the
  680. use of a cryptographic algorithm.
  681.  
  682.    Key components-The values from which a key can be derived (e.g., KU
  683. sub 1 + KU sub 2).
  684.  
  685.    Key escrow -A process involving transferring one or more components
  686. of a cryptographic key to one or more trusted key component escrow
  687. agents for storage and later use by government agencies to decrypt
  688. ciphertext if access to the plaintext is lawfully authorized.
  689.  
  690.    LEAF Creation Method 1-A part of a  key escrow  system that is
  691. implemented in a cryptographic device and creates a Law Enforcement
  692. Access Field.
  693.  
  694.    Type I cryptography-A cryptographic algorithm or device approved by
  695. the National Security Agency for protecting classified information.
  696.  
  697.    Type II cryptography-A cryptographic algorithm or device
  698. approved by the National Security Agency for protecting sensitive
  699. unclassified information in systems as specified in section 2315
  700. of Title 10 United State Code, or section 3502(2) of Title 44,
  701. United States Code.
  702.  
  703.    Type III cryptography-A cryptographic algorithm or device
  704. approved as a Federal Information Processing Standard.
  705.  
  706.    Type III(E) cryptography-A Type III algorithm or device that is
  707. approved for export from the United States.
  708.  
  709.  Qualifications. The protection provided by a security product or
  710. system is dependent on several factors. The protection provided by
  711. this standard against key search attacks is greater than that
  712. provided by the DES (e.g., the cryptographic key is longer).
  713. However, provisions of this standard are intended to ensure that
  714. information encrypted through use of devices implementing this
  715. standard can be decrypted by a legally authorized entity.
  716.  
  717.  Where to Obtain Copies of the Standard: Copies of this
  718. publication are for sale by the National Technical Information
  719. Service, U.S. Department of Commerce, Springfield, VA 22161. When
  720. ordering, refer to Federal Information Processing Standards
  721. Publication XX (FIPS PUB XX), and identify the title. When
  722. microfiche is desired, this should be specified. Prices are
  723. published by NTIS in current catalogs and other issuances. Payment
  724. may be made by check, money order, deposit account or charged to a
  725. credit card accepted by NTIS.
  726.  Specifications for the Escrowed Encryption Standard
  727.  
  728.  
  729.  1. Introduction
  730.  
  731.    This publication specifies Escrowed Encryption Standard (EES)
  732. functions and parameters.
  733.  
  734.  2. General
  735.  
  736.    This standard specifies use of the SKIPJACK cryptographic algorithm
  737. and the LEAF Creation Method 1 (LCM-1) to be implemented in an
  738. approved electronic device (e.g., a very large scale integration
  739. electronic chip). The device is contained in a logical cryptographic
  740. module which is then integrated in a security product for encrypting
  741. and decrypting telecommunications.
  742.  
  743.    Approved implementations may be procured by authorized
  744. organizations for integration into security equipment. Devices must be
  745. tested and validated by NIST for conformance to this standard.
  746. Cryptographic modules must be tested and validated by NIST for
  747. conformance to FIPS 140-1.
  748.  
  749.  3. Algorithm Specifications
  750.  
  751.    The specifications of the encryption/decryption algorithm
  752. (SKIPJACK) and the LEAF Creation Method 1 (LCM-1) are classified.  The
  753. National Security Agency maintains these classified specifications and
  754. approves the manufacture of devices which implement the
  755. specifications. NIST tests for conformance of the devices implementing
  756. this standard in cryptographic modules to FIPS 140-1 and FIPS 81.
  757.  
  758.  4. Functions and Parameters
  759.  
  760.  4.1 Functions
  761.  
  762.    The following functions, at a minimum, shall be implemented:
  763.  
  764.    1. Data Encryption: A session key (80 bits) shall be used to
  765. encrypt plaintext information in one or more of the following modes of
  766. operation as specified in FIPS 81: ECB, CBC, OFB (64) CFB (1, 8, 16,
  767. 32, 64).
  768.  
  769.    2. Data Decryption: The session key (80 bits) used to encrypt the
  770. data shall be used to decrypt resulting ciphertext to obtain the data.
  771.  
  772.    3.  Key Escrow:  The Family Key (KF) shall be used to create the
  773. Law Enforcement Access Field (LEAF) in accordance with the LEAF
  774. Creation Method 1 (LCM-1). The Session Key shall be encrypted with the
  775. Device Unique Key and transmitted as part of the LEAF.  The security
  776. equipment shall ensure that the LEAF is transmitted in such a manner
  777. that the LEAF and ciphertext may be decrypted with legal
  778. authorization. No additional encryption or modification of the LEAF is
  779. permitted.
  780.  
  781.  4.2 Parameters
  782.  
  783.    The following parameters shall be used in performing the prescribed
  784. functions:
  785.  
  786.    1. Device Identifier (DID): The identifier unique to a particular
  787. device and used by the  Key Escrow  System.
  788.  
  789.    2. Device Unique Key (KU): The cryptographic key unique to a
  790. particular device and used by the  Key Escrow  System.
  791.  
  792.    3. Cryptographic Protocol Field (CPF): The field identifying the
  793. registered cryptographic protocol used by a particular application and
  794. used by the  Key Escrow  System (reserved for future specification and
  795. use).
  796.  
  797.    4. Escrow Authenticator (EA): A binary pattern that is inserted in
  798. the LEAF to ensure that the LEAF is transmitted and received properly
  799. and has not been modified, deleted or replaced in an unauthorized
  800. manner.
  801.  
  802.    5. Initialization Vector (IV): A mode and application dependent
  803. vector of bytes used to initialize, synchronize and verify the
  804. encryption, decryption and key escrow  functions.
  805.  
  806.    6. Family Key (KF): The cryptographic key stored in all devices
  807. designated as a family that is used to create the LEAF.
  808.  
  809.    7. Session Key (KS): The cryptographic key used by a device to
  810. encrypt and decrypt data during a session.
  811.  
  812.    8. Law Enforcement Access Field (LEAF): The field containing the
  813. encrypted session key and the device identifier and the escrow
  814. authenticator.
  815.  
  816.  5. Implementation
  817.  
  818.    The Cryptographic Algorithm and the LEAF Creation Method shall be
  819. implemented in an electronic device (e.g., VLSI chip) which is highly
  820. resistant to reverse engineering (destructive or non-destructive) to
  821. obtain or modify the cryptographic algorithms, the KU, the EA, the
  822. CPF, the operational KS, or any KU, the EA, the CPF, the operational
  823. KS, or any other security or  Key Escrow  System relevant information.
  824. The device shall be able to be programmed/personalized (i.e., made
  825. unique) after mass production in such a manner that the DID, KU (or
  826. its components), KF (or its components) and EA fixed pattern can be
  827. entered once (and only once) and maintained without external
  828. electrical power.
  829.  
  830.    The LEAF and the IV shall be transmitted with the ciphertext.  The
  831. specifics of the protocols used to create and transmit the LEAF, IV,
  832. and encrypted data shall be registered and a CPF assigned. The CPF
  833. shall then be transmitted in accordance with the registered
  834. specifications.
  835.  
  836.    The specific electric, physical and logical interface will vary
  837. with the implementation. Each approved, registered implementation
  838. shall have an unclassified electrical, physical and logical interface
  839. specification sufficient for an equipment manufacturer to understand
  840. the general requirements for using the device. Some of the
  841. requirements may be classified and therefore would not be specified in
  842. the unclassified interface specification.
  843.  
  844. ------------------------------
  845.  
  846. End of Computer Underground Digest #5.62
  847. ************************************
  848.