home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / zines / cud / cud579.txt < prev    next >
Encoding:
Text File  |  2003-06-11  |  45.2 KB  |  973 lines
  1. Computer underground Digest    Sun  Oct 10 1993   Volume 5 : Issue 79
  2.                            ISSN  1004-042X
  3.  
  4.        Editors: Jim Thomas and Gordon Meyer (TK0JUT2@NIU.BITNET)
  5.        Archivist: Brendan Kehoe
  6.        Shadow-Archivists: Dan Carosone / Paul Southworth
  7.                           Ralph Sims / Jyrki Kuoppala
  8.                           Ian Dickinson
  9.     Copie Editor: Etaoin Shrdlu, III
  10.  
  11. CONTENTS, #5.79 (Oct 10 1993)
  12. File 1--FOIA Releases  10-4-93
  13. File 2--CPSR Key Escrow Comments
  14. File 3--Sea Joins the Encryption Game
  15. Shown 1%, press <SPACE> for more, 'q' to quit, or 'h' for helpArticle #1 (1 is last):
  16. Newsgroups: comp.society.cu-digest
  17. Subject: Cu Digest, #5.79
  18. From: Cu-Digest (tk0jut2@mvs.cso.niu.edu)              <TK0JUT2%NIU.BITNET@UICVM.UIC.EDU>
  19. Reply-To: tk0jut2@mvs.cso.niu.edu
  20. Date: Sun Oct 10 15:06:40 1993
  21.  
  22.  
  23. Computer underground Digest    Sun  Oct 10 1993   Volume 5 : Issue 79
  24.                            ISSN  1004-042X
  25.  
  26.        Editors: Jim Thomas and Gordon Meyer (TK0JUT2@NIU.BITNET)
  27.        Archivist: Brendan Kehoe
  28.        Shadow-Archivists: Dan Carosone / Paul Southworth
  29.                           Ralph Sims / Jyrki Kuoppala
  30.                           Ian Dickinson
  31.     Copie Editor: Etaoin Shrdlu, III
  32.  
  33. CONTENTS, #5.79 (Oct 10 1993)
  34. File 1--FOIA Releases  10-4-93
  35. File 2--CPSR Key Escrow Comments
  36. File 3--Sea Joins the Encryption Game
  37. File 4--Re: ITAR and export regulations
  38. File 5--Sexual harassment via computers (newspaper article).
  39. File 6--The Net and Netizens (Paper)
  40. File 7--E-mail Announcements From O'Reilly & Associates
  41. File 8--A Few More CuD-Carrying BBSes
  42. File 9--Survey: what harassment _is_ there on the Net?
  43.  
  44. Cu-Digest is a weekly electronic journal/newsletter. Subscriptions are
  45. available at no cost electronically from tk0jut2@mvs.cso.niu.edu. The
  46. editors may be contacted by voice (815-753-0303), fax (815-753-6302)
  47. or U.S. mail at:  Jim Thomas, Department of Sociology, NIU, DeKalb, IL
  48. 60115.
  49.  
  50. Issues of CuD can also be found in the Usenet comp.society.cu-digest
  51. news group; on CompuServe in DL0 and DL4 of the IBMBBS SIG, DL1 of
  52. LAWSIG, and DL1 of TELECOM; on GEnie in the PF*NPC RT
  53. libraries and in the VIRUS/SECURITY library; from America Online in
  54. the PC Telecom forum under "computing newsletters;"
  55. On Delphi in the General Discussion database of the Internet SIG;
  56. on the PC-EXEC BBS at (414) 789-4210; and on: Rune Stone BBS (IIRG
  57. WHQ) (203) 832-8441 NUP:Conspiracy; RIPCO BBS (312) 528-5020
  58. CuD is also available via Fidonet File Request rom 1:11/70; unlisted
  59. nodes and points welcome.
  60. EUROPE:   from the ComNet in LUXEMBOURG BBS (++352) 466893;
  61.           In ITALY: Bits against the Empire BBS: +39-461-980493
  62.  
  63. ANONYMOUS FTP SITES:
  64.   AUSTRALIA:      ftp.ee.mu.oz.au (128.250.77.2) in /pub/text/CuD.
  65.   EUROPE:         nic.funet.fi in pub/doc/cud. (Finland)
  66.   UNITED STATES:
  67.                   aql.gatech.edu (128.61.10.53) in /pub/eff/cud
  68.                   etext.archive.umich.edu (141.211.164.18)  in /pub/CuD/cud
  69.                   ftp.eff.org (192.88.144.4) in /pub/cud
  70.                   halcyon.com( 202.135.191.2) in /pub/mirror/cud
  71.                   ftp.warwick.ac.uk in pub/cud (United Kingdom)
  72.  
  73. COMPUTER UNDERGROUND DIGEST is an open forum dedicated to sharing
  74. information among computerists and to the presentation and debate of
  75. diverse views.  CuD material may  be reprinted for non-profit as long
  76. as the source is cited. Authors hold a presumptive copyright, and
  77. they should be contacted for reprint permission.  It is assumed that
  78. non-personal mail to the moderators may be reprinted unless otherwise
  79. specified.  Readers are encouraged to submit reasoned articles
  80. relating to computer culture and communication.  Articles are
  81. preferred to short responses.  Please avoid quoting previous posts
  82. unless absolutely necessary.
  83.  
  84. DISCLAIMER: The views represented herein do not necessarily represent
  85.             the views of the moderators. Digest contributors assume all
  86.             responsibility for ensuring that articles submitted do not
  87.             violate copyright protections.
  88.  
  89. ----------------------------------------------------------------------
  90.  
  91. Date: Tue, 5 Oct 1993 15:58-0400
  92. From: The White House <75300.3115@COMPUSERVE.COM>
  93. Subject: File 1--FOIA Releases  10-4-93
  94.  
  95.  Clinton Memorandum on Administration of Freedom of Information Act
  96.  
  97.  Contact: The White House, Office of the Press Secretary,
  98.           202-456-2100
  99.  
  100.  Oct. 4, 1993
  101.  
  102.  MEMORANDUM FOR HEADS OF DEPARTMENTS AND AGENCIES
  103.  
  104.  SUBJECT: The Freedom of Information Act
  105.  
  106.    I am writing to call your attention to a subject that is of great
  107. importance to the American public and to all Federal departments and
  108. agencies -- the administration of the Freedom of Information Act, as
  109. amended (the "Act").  The Act is a vital part of the participatory
  110. system of government.  I am committed to enhancing its effectiveness
  111. in my Administration.
  112.  
  113.    For more than a quarter century now, the Freedom of Information
  114. Act has played a unique role in strengthening our democratic form of
  115. government.  The statute was enacted based upon the fundamental
  116. principle that an informed citizenry is essential to the democratic
  117. process and that the more the American people know about their
  118. government the better they will be governed.  Openness in government
  119. is essential to accountability and the Act has become an integral
  120. part of that process.
  121.  
  122.    The Freedom of Information Act, moreover, has been one of the
  123. primary means by which members of the public inform themselves about
  124. their government.  As Vice President Gore made clear in the National
  125. Performance Review, the American people are the Federal Government's
  126. customers.  Federal departments and agencies should handle requests
  127. for information in a customer-friendly manner.  The use of the Act by
  128. ordinary citizens is not complicated, nor should it be.  The
  129. existence of unnecessary bureaucratic hurdles has no place in its
  130. implementation.
  131.  
  132.    I therefore call upon all Federal departments and agencies to
  133. renew their commitment to the Freedom of Information Act, to its
  134. underlying principles of government openness, and to its sound
  135. administration.  This is an appropriate time for all agencies to take
  136. a fresh look at their administration of the Act, to reduce backlogs
  137. of Freedom of Information Act requests, and to conform agency
  138. practice to the new litigation guidance issued by the Attorney
  139. General, which is attached.
  140.  
  141.    Further, I remind agencies that our commitment to openness
  142. requires more than merely responding to requests from the public.
  143. Each agency has a responsibility to distribute information on its own
  144. initiative, and to enhance public access through the use of
  145. electronic information systems.  Taking these steps will ensure
  146. compliance with both the letter and spirit of the Act.
  147.  
  148.  (s) William J. Clinton
  149.  
  150.                           ------
  151.  
  152.  Oct. 4, 1993
  153.  
  154.  MEMORANDUM FOR HEADS OF DEPARTMENTS AND AGENCIES
  155.  
  156.  Subject--The Freedom of Information Act
  157.  
  158.    President Clinton has asked each Federal department and agency to
  159. take steps to ensure it is in compliance with both the letter and the
  160. spirit of the Freedom of Information Act (FOIA), 5 U.S.C. 552.  The
  161. Department of Justice is fully committed to this directive and stands
  162. ready to assist all agencies as we implement this new policy.
  163.  
  164.    First and foremost, we must ensure that the principle of openness
  165. in government is applied in each and every disclosure and
  166. nondisclosure decision that is required under the Act.  Therefore, I
  167. hereby rescind the Department of Justice's 1981 guidelines for the
  168. defense of agency action in Freedom of Information Act litigation.
  169. Te Department will no longer defend an agency's withholding of
  170. information merely because there is a "substantial legal basis" for
  171. doing so.  Rather, in determining whether or not to defend a
  172. nondisclosure decision, we will apply a presumption of disclosure.
  173.  
  174.    To be sure, the Act accommodates, through its exemption structure,
  175. the countervailing interests that can exist in both disclosure and
  176. nondisclosure of government information.  Yet while the Act's
  177. exceptions are desgned to guard against harm to governmental and
  178. private interests, I firmly believe that these exemptions are best
  179. applied with specific reference to such harm, and only after
  180. consideration of the reasonably expected consequences of disclosure
  181. in each particular case.
  182.  
  183.    In short, it shall be the policy of the U.S. Department of Justice
  184. to defend the assertion of a FOIA exemption only in those cases where
  185. the agency reasonably foresees that disclosure would be harmful to an
  186. interest protected by that exemption.  Where an item of information
  187. might technically or arguably fall within an exemption, it ought not
  188. to be withheld from a FOIA requester unless it need be.
  189.  
  190.    It is my belief that this change in policy serves the public
  191. interest by achieving the Act's primary objective -- maximum
  192. responsible disclosure of government information -- while preserving
  193. essential confidentiality.  Accordingly, I strongly encourage your
  194. FOIA offcers to make "discretionary disclosures" whenever possible
  195. under the Act.  Such disclosures are possible under a number of FOIA
  196. exemptions, especially when only a governmental interest would be
  197. affected.  The exemptions and opportunities for "discretionary
  198. disclosures" are discussed in the Discretionary Disclosure and Waiver
  199. section of the "Justice Department Guide to the Freedom of
  200. Information Act." As that discussion points out, agencies can make
  201. discretionary FOIA disclosures as a matter of good public policy
  202. without concern for future "waiver consequences" for similar
  203. information.  Such disclosures can also readily satisfy an agency's
  204. "reasonable segregation" obligation under the Act in connection with
  205. marginally exempt information, see 5 U.S.C. 552(b), and can lessen an
  206. agency's administrative burden at all levels of the administrative
  207. process and in litigation.  I note that this policy is not intended
  208. to create any substantive or procedural rights enforceable t law.
  209.  
  210.    In connection with the repeal of the 1981 guidelines, I am
  211. requesting that the Assistant Attorneys General for the Department's
  212. Civil and Tax Divisions, as well as the United States Attorneys,
  213. undertake a review of the merits of all pending FOIA cases handled by
  214. them, according to the standards set forth above.  The Department's
  215. litigating attorneys will strive to work closely with your general
  216. counsels and their litigation staffs to implement this new policy on
  217. a case-by-case basis.  The Dpartment's office of Information and
  218. Privacy can also be called upon for assistance in this process, as
  219. well as for policy guidance to agency FOIA officers.
  220.  
  221.    In addition, at the Department of Justice we are undertaking a
  222. complete review and revision of our regulations implementing the
  223. FOIA, all related regulations pertaining to the Privacy Act of 1974,
  224. 5 U.S.C. 552a, as well as the Department's disclosure policies
  225. generally.  We are also planning to conduct a Department-wide "FOIA
  226. Form Review." Envisioned is a comprehensive review of all standard
  227. FOIA forms and correspondence utilized by the Justice Department's
  228. various components.  These items will be reviewed for their
  229. correctness, completeness, consistency and particularly for their use
  230. of clear language.  As we conduct this review, we will be especially
  231. mindful that FOIA requesters are users of a government service,
  232. participants in an administrative process, and constituents of our
  233. democratic society.  I encourage you to do likewise at your
  234. departments and agencies.
  235.  
  236.    Finally, I would like to take this opportunity to raise with you
  237. the longstanding problem of administrative backlogs under the Freedom
  238. of Information Act.  Many Federal departments and agencies are often
  239. unable to meet the Act's ten-day time limit for processing FOIA
  240. requests, and some agencies -- especially those dealing with
  241. high-volume demands for particularly sensitive records -- maintain
  242. large FOIA backlogs greatly exceeding the mandated time period.  The
  243. reasons for this may vary, but principally it appears to be a problem
  244. of too few resources in the face of too heavy a workload.  This is a
  245. serious problem -- one of growing concern and frustration to both
  246. FOIA requesters and Congress, and to agency FOIA officers as well.
  247.  
  248.    It is my hope that we can work constructively together, with
  249. Congress and the FOIA-requester community, to reduce backlogs during
  250. the coming year.  To ensure that we have a clear and current
  251. understanding of the situation, I am requesting that each of you send
  252. to the Department's Office of Information and Pivacy a copy of your
  253. agency's Annual FOIA Report to Congress for 1992.  Please include
  254. with this report a letter describing the extent of any present FOIA
  255. backlog, FOIA staffing difficulties and any other observations in
  256. this regard that you believe would be helpful.
  257.  
  258.    In closing, I want to reemphasize the importance of our
  259. cooperative efforts in this area.  The American public's
  260. understanding of the workings of its government is a cornerstone of
  261. our democracy.  The Department of Justice stands prepared to assist
  262. all federal agencies as we make government throughout the executive
  263. branch more open, more responsive, and more accountable.
  264.  
  265.    /s/ Janet Reno
  266.  
  267. ------------------------------
  268.  
  269. From: David Sobel <dsobel@WASHOFC.CPSR.ORG>
  270. Date: Tue, 5 Oct 1993 16:51:12 EST
  271. Subject: File 2--CPSR Key Escrow Comments
  272.  
  273.                        CPSR Key Escrow Comments
  274.  
  275.  
  276.                                    September 27, 1993
  277.  
  278. Director, Computer Systems Laboratory
  279. ATTN: Proposed FIPS for Escrowed Encryption Standard
  280. Technology Building, Room B-154
  281. National Institute of Standards and Technology
  282. Gaithersburg, MD 20899
  283.  
  284.   Re: Request for Comments; Docket No. 930659-3159
  285.  
  286.      This letter constitutes the formal comments of Computer
  287. Professionals for Social Responsibility (CPSR) on the proposed
  288. Federal Information Processing Standard for an Escrowed Encryption
  289. Standard (EES), as described in the Federal Register on July 30,
  290. 1993 (58 FR 40791).  CPSR, a national organization of
  291. professionals in the computing field, has a long-standing interest
  292. in government policies concerning cryptography and computer
  293. security.  During the past several years we have pursued an
  294. extensive study of cryptography policy in the United States.  We
  295. have organized several public conferences, conducted litigation
  296. under the Freedom of Information Act, and appeared on a number of
  297. panels to discuss the importance of cryptography for privacy
  298. protection and the need to scrutinize carefully government
  299. proposals designed to limit the use of this technology.  While we
  300. do not represent any particular computer company or trade
  301. association, we do speak for a great many people in the computer
  302. profession who value privacy and are concerned about the
  303. government's key escrow initiative.
  304.  
  305.      To properly evaluate the key escrow proposal, it is necessary
  306. to consider the Computer Security Act of 1987, which made clear
  307. Congress' intent that in the area of unclassified computing
  308. systems NIST -- and not the National Security Agency (NSA) --
  309. would be responsible for the development of technical standards.
  310. The Act emphasizes public accountability and stresses open
  311. decision-making.
  312.  
  313.      In the spirit of the Act, NIST set out in 1989 to develop a
  314. public key cryptography standard.  According to documents obtained
  315. by CPSR through the Freedom of Information Act (FOIA), NIST
  316. recommended that the algorithm be "public, unclassified,
  317. implementable in both hardware or software, usable by federal
  318. Agencies and U.S. based multi-national corporations."  However,
  319. the key escrow proposal and the proposed Clipper and Capstone
  320. configurations are quite different: the underlying Skipjack
  321. algorithm is classified; public access to the reasons behind the
  322. proposal is restricted; Skipjack can be implemented only in
  323. tamper-proof hardware; the key escrow system is unlikely to be
  324. used by multi-national corporations; and the security of the
  325. algorithm remains unproved.
  326.  
  327.      The key escrow proposal undermines the central purpose of the
  328. Computer Security Act and conflicts with the goals NIST itself
  329. articulated in 1989.  The most significant deficiencies of the
  330. proposal are set forth below.
  331.  
  332. *     The potential risks of the proposal have not been assessed
  333. and many questions about the implementation remain unanswered.
  334. The Federal Register notice states that the current proposal "does
  335. not include identification of key escrow agents who will hold the
  336. keys for the key escrow microcircuits or the procedures for access
  337. to the keys."  Ina recent briefing for Congressional staffers,
  338. however, Justice Department representatives indicated that NIST
  339. and a "non-law enforcement" component of the Treasury Department
  340. will be designated as the escrow agents.  Such an arrangement
  341. would be cause for serious concern and would not constitute a true
  342. "escrow" system.  As described in the Federal Register notice,
  343.  
  344.      To escrow something (e.g., a document, an encryption
  345.      key) means that it is "delivered to a third person to be
  346.      given to the grantee only upon the fulfillment of a
  347.      condition" (Webster's Seventh New Collegiate
  348.      Dictionary).  A key escrow system is one that entrusts
  349.      components of a key used to encrypt telecommunications
  350.      to third persons, called key component escrow agents.
  351.  
  352.      It is, we submit, disingenuous to apply the word "escrow" to
  353. an arrangement whereby two components of the Executive branch
  354. (NIST and Treasury) would be providing cryptographic keys to
  355. another component of the Execuive branch (a law enforcement
  356. agency).  By any stretch of the imagination, such a system would
  357. lack the "third party" that is an integral part of any true escrow
  358. system.
  359.  
  360.      Notwithstanding the identity of the escrow agents, the
  361. proposed key escrow configuration may also create a dangerous
  362. vulnerability in the nation's communications networks.  The risks
  363. of misuse of this feature greatly outweigh any perceived benefit.
  364.  
  365. *     The Federal Register notice states that the escrow agents
  366. will provide the key components to a governent agency that
  367. "properly demonstrates legal authorization to conduct electronic
  368. surveillance of communications which are encrypted."  The crucial
  369. term "legal authorization" has not been defined.  The vagueness of
  370. the term leaves open the possibility that court-issued warrants
  371. may not be required in some circumstances.  Indeed, in NIST's
  372. letter of invitation to the five experts who were selected to
  373. evaluate the Skipjack algorithm (recently released to CPSR under
  374. the FOIA), the agency describes the escrow system and states that
  375. the key components will be made available "only to authorized
  376. government officials under proper legal authorizations, usually a
  377. court order."  Network users cannot be expected to embrace a
  378. communications security system that -- in the words of the agency
  379. proposing the system -- will "usually" require a court order
  380. before the privacy of a communication is compromised.  Those
  381. circumstances i which judicial warrants will not be required must
  382. be precisely and unambiguously described before any meaningful
  383. public debate of the proposal can proceed.
  384.  
  385. *     The classification of the Skipjack algorithm as a "national
  386. security" matter is inappropriate for technology that will be used
  387. primarily in civilian and commercial applications.  Classification
  388. of such technical information limits the computing community's
  389. ability to evaluate fully the proposal and the general public's
  390. right to know about the activities of government in this vitally
  391. important area.  CPSR has initiated litigation in federal district
  392. court challenging NSA's failure to disclose information relevant
  393. to the key escrow system.  CPSR v. NSA, et al., Civil Action No.
  394. 93-1074 (D.D.C.).  NSA recently requested a one-year delay in
  395. those judicial proceedings.  We submit that complete and
  396. meaningful public comment on the key escrow proposal is impossible
  397. until all relevant documentation has been made available for
  398. public review.
  399.  
  400. *     The key escrow proposal was not developed in response to a
  401. public concern or a request from industry.  It was put forward by
  402. the National Security Agency and the Federal Bureau of
  403. Investigation so that those two agencies could more easily conduct
  404. surveillance of electronic communications. It has not been
  405. established that such surveillance is necessary for crime
  406. prevention.  The number of arrests resulting from wiretaps has
  407. remained essentially unchanged since the federal wiretap law was
  408. enacted in 1968.  Likewise, it has not been demonstrated that the
  409. use of encryption technology has in any way hampered the ability
  410. of law enforcement agencies to execute court-ordered electronic
  411. surveillance warrants.
  412.  
  413. *     Adoption of the proposed key escrow standard would have an
  414. adverse impact upon the ability of U.S. manufacturers to market
  415. cryptographic products abroad.  It is unlikely that non-U.S. users
  416. would purchase communication security products to which the U.S.
  417. government holds keys.  The key escrow proposal is the most recent
  418. manifestation of the government's outdated and unrealistic attempt
  419. to "control" the dissemination of emerging information
  420. technologies, often to the detriment of American developers and
  421. innovators.  In a recent letter to the President, a bi-partisan
  422. group of Congressmen (including Majority Leader Gephardt and
  423. Minority Whip Gingrich) noted the folly of this course:
  424.  
  425.           Encrypted mass market software has been subject
  426.      to ... outdated controls.  Mass market software is
  427.      available from foreign manufacturers and distributors
  428.      and is easily transmitted using only a long distance
  429.      telephone line and a modem.  Yet, the United States
  430.      continues to control this computer software as a
  431.      Munitions List item.
  432.  
  433.           It is difficult to understand the utility of
  434.      controlling such equipment and technology when it is
  435.      so easily available to those from whom we are trying to
  436.      keep it.  Yet, by imposing controls, we are limiting the
  437.      ability of American businesses to export some of their
  438.      most marketable items.  As a result, we are losing our
  439.      competitive edge in these areas.
  440.  
  441.  
  442.                *               *               *
  443.  
  444.  
  445.      In summary, we believe the key escrow proposal is an ill-
  446. conceived and futile attempt to control the development and wide
  447. dissemination of effective, privacy-enhancing encryption
  448. technology.  The proposal was spawned by highly dubious and
  449. unproven "law enforcement" assertions and, if adopted, would
  450. create unacceptable vulnerabilities in our information infra-
  451. structure.  Network users have a right to secure and effective
  452. means of communication, uninhibited by law enforcement and
  453. intelligence agency attempts to monitor and control telecommuni-
  454. cations systems.  NIST should abandon the key escrow proposal and,
  455. pursuant to its mandate under the Computer Security Act and the
  456. Omnibus Trade and Competitiveness Act, encourage the development
  457. and use of the strongest possible communications security
  458. technologies.
  459.  
  460.  
  461.  
  462.  
  463.                            Sincerely,
  464.  
  465.  
  466.  
  467. Marc Rotenberg                                David L. Sobel
  468. Director, CPSR Washington Office              CPSR Legal Counsel
  469.  
  470. ------------------------------
  471.  
  472. From: ygoland@HURRICANE.SEAS.UCLA.EDU
  473. Subject: File 3--Sea Joins the Encryption Game
  474. Date: Sun, 3 Oct 1993 05:34:33 -0800 (PDT)
  475.  
  476. To:                                             September 28, 1993
  477.  
  478. Director, Computer Systems Laboratory
  479. ATTN: Proposed FIPS for Escrowed Encryption Standard
  480. Technology Building, Room B-154
  481. National Institute of Standards and Technology
  482. Gaithersburg, MD 20899
  483.  
  484. ~From:
  485.  
  486. The Society for Electronic Access
  487. P.O. Box 3131
  488. Church Street Station
  489. New York, New York 10008-3131
  490. Voice telephone: (212) 592-3801
  491. Internet e-mail: Sea@Sea.org
  492.  
  493.  
  494. The Society for Electronic Access's response to the call for Public
  495. Comment contained in:
  496.  
  497. FEDERAL REGISTER
  498. VOL. 58, No. 145
  499. DEPARTMENT OF COMMERCE (DOC)
  500. National Institute of Standards and Technology (NIST)
  501.  
  502. Docket No. 930659-3159
  503. RIN 0693-AB19
  504.  
  505. A Proposed Federal Information Processing Standard
  506. for an Escrowed Encryption Standard (EES)  58 FR 40791
  507.  
  508.  
  509. The Society for Electronic Access would like to register its concern
  510. with the proposed implementation of the Clipper Chip/Skipjack
  511. Algorithm key escrow scheme. These related protocols will be referred
  512. to as a group as "Clipper" in the body of this letter. While we do not
  513. object to classification of Federal Information Processing Standards
  514. (FIPS) for encryping information vital to national security, we
  515. believe that a system for transferring sensitive but unclassified
  516. information used by civilian Government offices, corporations and
  517. private citizens should be open to public review.
  518.  
  519. NIST, by calling for public comment, would seem to be inviting just
  520. such a review. However, NIST will not let the public examine either
  521. the Clipper Chip or the Skipjack algorithm, has not commissioned
  522. studies concerning either the cost or impact of the Clipper plan, ad
  523. will not let the public examine studies undertaken by the NSA on the
  524. issue of escrow agency security. Furthermore, since an escrow scheme
  525. requires a trusted third party while in the proposed scheme NIST
  526. itself is one of the key holders, we feel that NIST will not be able
  527. to review public comment as a disinterested party. Under these
  528. circumstances we feel a call for public comment is hampered.
  529.  
  530. Our concerns with Clipper fall into four broad categories: it is
  531. unnecessary; the present Administration has promoted its "voluntary"
  532. use by the public without abjuring the possibility of outlawing
  533. competing systems; the key escrow scheme is not a true escrow; and
  534. attempts to gather information necessary for a public assessment of
  535. Clipper have met obstacles raised by the Government. These concerns
  536. are enumerated below.
  537.  
  538. 1) Clipper is unnecessary.
  539.  
  540. Clipper is not a response to any public need. In a reply to questions
  541. about Clipper from RSA, NIST states that "[the decisions made about
  542. Clipper] offer a balance among the various needs of corporations and
  543. citizens for improved security and privacy and of the law enforcement
  544. community for continued legal access to the communications of
  545. criminals."
  546.  
  547. Corporations and citizens can already obtain "improved security and
  548. privacy" from a wide variety of sources, as there are several
  549. commercially available encryption standards currently on the market.
  550. Since the public already has what NIST says it needs, it follows that
  551. the only reason for Clipper to exist s the addition of the Law
  552. Enforcement Access Field (LEAF), which allows the government to
  553. decrypt all messages encrypted by Clipper. Furthermore, the phrase
  554. "legal access to the communications of criminals" is particularly
  555. chilling, as it demonstrates a lack of sensitivity to the rule of law.
  556. Neither the FBI nor any other agency entrusted with surveillance
  557. activities can determine in advance of a trial whether a citizen is a
  558. criminal or not. We believe NIST's attitude belies a misunderstanding
  559. of the rghts of American citizens.
  560.  
  561. 2) The Administration has promoted its "voluntary" use by the public
  562. without abjuring the possibility of outlawing competing systems.
  563.  
  564. NIST has consistently maintained that outside Federal use, adoption of
  565. Clipper by citizens and individuals will be strictly voluntary. When
  566. pressed on this point by RSA, NIST responded "There are no current
  567. plans to legislate the use of Clipper. Clipper will be a government
  568. standard, which can be - and likely will be - used vluntarily by the
  569. private sector. The option for legislation may be examined during the
  570. policy review ordered by the President." We are concerned that asking
  571. for public approval of Clipper as one of several encryption
  572. possibilities open to the public while the possibility of outlawing
  573. all other options still exists will prevent legitimate assessment of
  574. Clipper's ultimate impact.
  575.  
  576. Furthermore, many organizations from small companies to multi-national
  577. corporations have invested in alternative encryption schemes like RSA,
  578. Diffie-Hellman and IDEA, many of them based solely on software and
  579. therefore incompatible with Clipper even as a retro-fit. To outlaw
  580. these schemes would cause them an enormous fiscal burden, as well as
  581. mandating a US-only standard incompatible with the protocols chosen by
  582. many international standard-setting organizations, thereby reducing
  583. the competitiveness of US companies doing business in the
  584. international arena.
  585.  
  586. We feel that unless the present administration publicly abjures the
  587. possibility of banning alternate methods of encryption, no true
  588. analysis of Clipper is possible.
  589.  
  590. 3) The escrow scheme does not use true escrow agencies.
  591.  
  592. This scheme has been publicly promoted as an escrow scheme, but the
  593. core of any functioning escrow scheme is the presence of a trusted
  594. third party (or in this case two trusted third parties.) We are
  595. concerned with the idea that  Governmental agencies will hold these
  596. positions, as they are not truly third parties. In addition, we are
  597. particularly concerned that the same agency is responsible for
  598. reviewing Public Comment on the proposed encryption scheme and
  599. occupying the position of one of the two key holders. We are not
  600. convinced that NIST can fulfill both roles without conflict of
  601. interest.
  602.  
  603. 4) Attempts to gain information necessary for public review of Clipper
  604. have met obstacles raised by the Government.
  605.  
  606. The National Security Agency has asked for an increased period of time
  607. to respond to FOIA requests for information about Clipper, from 10
  608. business days to one year. Ten business days falls within the Public
  609. Comment period. One year does not. We feel that if NSA requires this
  610. period of time to comply with requests for information that the period
  611. for public analysis and comment should also be extended for an equal
  612. period of time.
  613.  
  614. Based on these concerns, the Society for Electronic Access feels that
  615. NIST should not implement the Clipper plan without commissioning
  616. studies on the cost and impact of implementing Clipper, without
  617. providing real assurances that Clipper is not a prelude to outlawing
  618. other encryption schemes, without an implementation of an escrow
  619. scheme in which NIST does not both review and participate in the proposal,
  620. and without NSA complying with FOIA requests outstanding from before
  621. September 28, 1993.
  622.  
  623. Respectfully submitted,
  624.  
  625.  
  626.  
  627.  
  628. Clay Shirky
  629. Board Member,
  630. Society for Electronic Access
  631.  
  632. ------------------------------
  633.  
  634. Date: Mon, 4 Oct 93 04:29:19 PDT
  635. From: Fredrick B. Cohen <fc@JUPITER.SAIC.COM>
  636. Subject: File 4--Re: ITAR and export regulations
  637.  
  638. Your discussion seems very strange to me.  I seem to think I have
  639. heard it all before - about 3 years ago - when I got permission from
  640. the government to export an RSA cryptosystem with no restriction on
  641. key length or anything else.
  642.  
  643. It took a few weeks (6-8 as I recall), but all I did was submit the
  644. software to the government (in 12 copies or so), and request a ruling.
  645. After a few call-backs, I got permission.
  646.  
  647. I'm not an authorized arms dealer, and of course I can't reimport what
  648. I have exported, but then I rarely have a reason to do so.
  649.  
  650. By the way, my understanding is that it is not the concept of modular
  651. exponentiation that is covered by the RSA, but rather their particular
  652. algorithm for key generation.  Am I mistaken?  I do key generation
  653. with a slightly different algorithm - more efficient at some things,
  654. less efficient at others.
  655.  
  656. All of this is not to say that I think it is reasonable to prevent us
  657. from doing as we please in this area, and I certainly wish I didn't
  658. have to wait so long before distributing new versions overseas, but
  659. why not just apply for export and see what happens?  Maybe you'll get
  660. permission and it will all be no problem.
  661.  
  662. IBM has been exporting DES for quite a few years according to sources
  663. I have in EC who have seen IBM chips with DES on them in EC computers.
  664. I believe they simply asked for permission and got it.
  665.  
  666. I applaud the EFF for helping defend people in this area, but maybe if
  667. they tried to work within the law in the first place, they would have
  668. found it was easier to obey the law than break it.  Maybe if they
  669. apply now, they will end up with a no-case (assuming they get
  670. permission).  The court is generally pretty lenient under these
  671. circumstances, and who would want to prosecute you once they find out
  672. that there was no damage caused?
  673.  
  674. ------------------------------
  675.  
  676. Date: Fri, 8 Oct 1993 05:43:44 GMT
  677. From: emr@EE.MU.OZ.AU(Elizabeth Reid)
  678. Subject: File 5--Sexual harassment via computers (newspaper article).
  679.  
  680. This article appeared on Page 8 of the Australian newspaper _The Age_
  681. on Tuesday 5 October 1993. Permission has been granted by the author
  682. and the newspaper for the article's reproduction in the Computer
  683. Underground Digest and the Computers and Academic Freedom electronic
  684. digests and Usenet newsgroups.
  685.  
  686.            UNI TO LOOK INTO SEXUAL HARASSMENT VIA COMPUTER
  687.  
  688.                           By JOANNE PAINTER
  689.                           Education reporter
  690.  
  691. Computers have been blamed for many social ills but sexual misconductwas never one of them. Now, however, the University of Melbourne is
  692. investigating the link between computers and sexual harassment on
  693. campus.
  694.  
  695. A five-member group was formed last month to investigate the extent of
  696. sexual harassment occurring via the university's computer networks and
  697. electronic mail systems.  It follows several cases in which people
  698. received sexually explicit and harassing letters.  Some of the
  699. instances occurred after ackers got into the system.
  700.  
  701. The existence of sexually explicit material in networks and personal
  702. attacks carried out through the networks are also believed to have
  703. offended people.
  704.  
  705. The university's sexual harassment adviser, Dr Murray Seiffert, said
  706. that the university was aware of such sexual harassment.  But he said
  707. the group was formed to "nip the problem in the bud" rather than
  708. respond to an existing pattern of harassment.  "We know there has been
  709. the odd case come up and in a place like ours that does take place,"
  710. he said.  "We have said we have a problem and (we) want to find out
  711. how big it is."
  712.  
  713. The director of the Advanced Computer Graphics Centre at the Royal
  714. Melbourne Institute of Technology, Mr Mike Gigante, said the exchange
  715. f sexually explicit and harassing material was common on electronic
  716. mail systems.  He said it was difficult to monitor and police the
  717. exchange of such material.
  718.  
  719. "People tend to be far more abusive on bulletin boards or EMAIL than
  720. they would face to face.. Some of the exchanges I have seen on these
  721. news groups have been outrageous.  If they said it face to face, the
  722. person saying it would be in court with libel and slander suits."
  723.  
  724. Dr Seiffert said electronic-based sexual harassment was almost
  725. inevitable in an organisation with 25,000 staff and students,
  726. thousands of computers that was [sic] linked into the global Internet
  727. information network.
  728.  
  729. He acknowledged the difficulty of preventing harassment but he said
  730. offenders would face disciplinary proceedings, including expulsion.
  731.  
  732. "Potentially it's a fairly big problem here because of the place
  733. having a large number of computers," he said.  The group will report
  734. back to the university's equal opportunity committee next month.
  735.  
  736. ------------------------------
  737.  
  738. Date: Sun, Oct 4 1993 21:32:32 CDT
  739. From: Michael Hauben <hauben@columbia.edu>
  740. Subject: File 6--The Net and Netizens (Paper)
  741.  
  742. ((Moderators' Note: The following excerpt is from Michael Hauben's
  743. substantial and useful paper: "The Net and Netizen's: The Impact the
  744. Net has on People's Lives." The full text, about 80 K, can be obtained
  745. from the CuD ftp sites)).
  746.  
  747. ++++
  748.  
  749.  
  750.                         II. INTRODUCTION
  751.  
  752.      The world of the Netizen was envisioned some twenty five years ago by
  753. J.C.R. Licklider and Robert Taylor in "The Computer as a Communication
  754. Device" (Science and Technology, April 1968).  Licklider brought to his
  755. leadership of the Department of Defense's ARPANET a vision of "the
  756. intergalatic computer network." Whenever he would speak of ARPANET, he
  757. would mention this vision. J.C.R. Licklider was a prophet of the Net. In
  758. his paper, "The Computer as a Communication Device", Licklider establishes
  759. several helpful principles as to make the computer play a helpful role in
  760. human communication. Licklider clarified his definition of communication as
  761. a creative process by writing:
  762.  
  763.      "But to communicate is more than to send and to receive.  Do two
  764. tape recorders communicate when they play to each other and record from
  765. each other? Not really - not in our sense. We believe that
  766. communicators have to do something nontrivial with the information they
  767. send and receive. And to interact with the richness of living
  768. information -- not merely in the passive way that we have become
  769. accustomed to using books and libraries, but as active participants in
  770. an ongoing process, bringing something to it through our interaction
  771. with it, and not simply receiving from it by our connection to it...We
  772. want to emphasize something beyond its one-way transfer: the increasing
  773. significance of the jointly constructive, the mutually reinforcing
  774. aspect of communication - the part that transcends 'now we both know a
  775. fact that only one of us knew before.' When minds interact, new ideas
  776. emerge. We want to talk about the creative aspect of communication."
  777.  
  778.      Licklider defines four principles for computers to make a
  779. contribution towards human communication. They are:
  780.  
  781. 1) Communication is defined as an interactive creative process.
  782. 2) Response times needs to be short to make the "conversation"
  783. free and easy.
  784. 3) The larger network would form out of smaller regional networks.
  785. 4) Communities would form out of affinity and common interests.
  786.  
  787.      In this paper I will explore the uses Netizens have discovered for
  788. the Net. Licklider's understandings from his 1968 paper have stood the test
  789. of time, and do represent the Net today. In a later paper he co-wrote with
  790. Albert Vezza, "Applications of Information Networks" (Proceedings of
  791. IEEE, Vol 66, No 11, Nov 1978) Licklider explores possible business
  792. applications of information networks. Licklider's survey of business
  793. applications in 1978 come short of the possibilities he outlaid in his
  794. earlier paper, and represent but a tiny fraction of the resources the Net
  795. currently embodies.
  796.  
  797. ------------------------------
  798.  
  799. Date: Fri, 20 Aug 1993 13:19:32 -0700
  800. From: Richard Budrevich <rich@ORA.COM>
  801. Subject: File 7--E-mail Announcements From O'Reilly & Associates
  802.  
  803.                     SUBSCRIBING TO ORA-NEWS
  804.  
  805. If you would like to receive this service, we now have an easy
  806. automated way for you to subscribe to our "ora-news" mailing list.
  807. To subscribe, address an e-mail message to:
  808.  
  809. listproc@online.ora.com
  810.  
  811. Put the following information on the first line of your message
  812. (not in the Subject:, because commands there are ignored):
  813.  
  814. subscribe ora-news "Your Name" of "Your Company"
  815.  
  816. for example:
  817.  
  818. subscribe ora-news Jane Doe of Bland University
  819.  
  820. Within the next day or so (usually much sooner), you should get a
  821. reply message welcoming you to the list. If you don't get a reply,
  822. or you have other problems or questions, please send mail to:
  823. listown@online.ora.com -- tell us when you sent your message
  824. and include your telephone number.
  825.  
  826. (If you have more than one computer account or read e-mail on several
  827. different services, be sure to send your subscription request from the
  828. place where you want to read "ora-news." Our system automatically
  829. reads your e-mail address from your message and registers you at that
  830. particular address.)
  831.  
  832. ------------------------------
  833.  
  834. Date: Sun, 10 Oct 1993 16:35:06 CDT
  835. From: CuD Modeators <cudigest@mindvox.phantom.com>
  836. Subject: File 8--A Few More CuD-Carrying BBSes
  837.  
  838. Here are a few more BBSes carrying CuDs, PHRACKs, and other
  839. 'Zines. One of these days, perhaps an ambitious reader could
  840. compile a substantial BBS directory, organized by area code, of
  841. BSSes specializing in text files.
  842. From--aphelps%vicstoy%alfred@OSCEOLA.CS.UCF.EDU(Austin Phelps)
  843. Subject--CuD BBS
  844. Date--Mon, 13 Sep 1993 23:14:43 -0400 (EDT)
  845.  
  846. LIGHTNING STRIKE  BBS carries CuDs as well.
  847.  
  848. Lightning Strikes Here   14.4 down to 1200.
  849.  
  850. I have all CuD with the Index. Packed up with PKZIP 2 format.
  851.  
  852. More Info is in the Sig.
  853.  
  854. Thanks.
  855.  
  856. --
  857. \  Austin C. Phelps             \   Internet:aphelps@vicstoy.oau.org
  858. /   Lightning Strikes Here      /       UUCP: ucf-cs!vicstoy!aphelps
  859. \  FutureNet #44  (407) 297-7288   FutureNet: #1@#44 or #2@#10 or #59@#1
  860. /   Apple II Forever          / \    FidoNet: Austin Phelps@1:363/18
  861.  
  862. =================================================================
  863.  
  864. Date--Thu, 09 Sep 93 20:54:35 EDT
  865. From--System Operator <system%decode%anagld@UUNET.UU.NET>
  866.  
  867. The Decode BBS in Columbia, Maryland, carries both
  868. comp.society.cu-digest and back issues under /public/cud-arch.
  869. It also offers a complete set of Phrack issues in
  870. /public/phrack.  There are also various computer underground
  871. documents and programs in the files section.
  872.  
  873. Decode BBS is reachable at +1 410 730 6734.  I am available
  874. at uunet!anagld!decode!system.
  875. system@decode.UUCP (System Operator)
  876. Cryptography, Security, Privacy   +1 410 730 6734   Data/FAX
  877.  
  878. ====================================================================
  879. From--metal@PNET01.CTS.COM(Conal .)
  880.  
  881. RABBS is officially going to be open 5 October 1993.  The number is
  882. 612.251.8596 and will (crossing fingers%) be online Internet within a
  883. month (er two).  RABBS has changed names to "the Alliance BBS"...but
  884. will hopefully use RABBS.whatever for mailing.
  885.  
  886. ------------------------------
  887.  
  888. Date: 10 Oct 1993 17:51:14 +0100
  889. From: mch@DOC.IC.AC.UK(Mike C Holderness)
  890. Subject: File 9--Survey: what harassment _is_ there on the Net?
  891.  
  892. ((MODERATORS' NOTE: Mike Holderness's past writings, including some
  893. some published in CuD, the Times Higher Education Supplement, and
  894. elsewhere, demonstrate that he is competent, non-sensationalistic, and
  895. incisive. We trust that he will share some of his findings with CuD
  896. readers when the story is finished. The following is reprinted from
  897. Carl Kadie's alt.comp.acad-freedom.talk, a Usenet group devoted to
  898. issues of net policy and events related to academic freedom)).
  899.  
  900. The Times Higher Education Supplement wants me to do a piece on
  901. harassment on the Net. No, I am not about to go all sensationalist.
  902. Neither am I about to abstain from the phone system, let alone call
  903. for it to be monitored or shut down; in my lifetime I have received
  904. one nearly-obscene call, one bomb threat and dozens of silent
  905. harassers through that technology, but I find it, like the Net, rather
  906. useful. Neither am I at all interested right now in pictures, except
  907. for specific reports of their being used to harass an individual.
  908.  
  909. I want to look at this phenomenon as a form of harassment, not as a
  910. nasty mysterious technological thang. And I want to look at the
  911. _debate_ around it. I hope readers will see this attempt to communicte
  912. calmly with largely non-Net-connected academics as a useful use of
  913. bandwidth.
  914.  
  915. I'm hoping for answers to the following. I don't expect any one person
  916. to answer them all.
  917.  
  918. * How would you say that email harassment is different from other
  919. forms of harassment -- by mail, by phone, in person?
  920.  
  921. * Would you comment on a _guess_ I make about the phenomenon,
  922. which is this:
  923.       To senders, a harassing message takes place in the
  924. "privacy" of their computer environment and/or may seem
  925. impersonal; whereas to recipients the harassing message is as
  926. deeply personal as a phone call, is addressed to them
  927. individually, and is harder to "put down" than a phone.
  928.  
  929. * Have you experienced any form of harassment on the Net? Are you
  930. prepared to (can you bear to?) describe the incident?
  931. Do you personally know anyone else who has/can?
  932.  
  933. * Do you know of any statistics and where I can get them?
  934.  
  935. * What do you think is the best way of dealing with harassment?
  936. With Net harassment specifically? Is there an appropriate
  937. institutional response (e.g. from a harasser's system
  938. administrator?)
  939.  
  940. * Why do you think the issue generates such excitement on the Net?
  941.  
  942. * Ironically, in dealing with the some of the preconceptions
  943. which I know many Net users to have about journalists dealing
  944. with this and similar issues, I have had to set out a pretty
  945. thorough pre-agenda for the piece rather than asking open
  946. questions. Do you have a comment on this?
  947.  
  948. Please indicate how you would prefer your comments to be used.
  949.      [ ] With full attribution including where you work
  950.      [ ] With name and occupation/post only
  951.      [ ] Anonymously
  952.      [ ] This is background. It never happened.
  953. (Please check one in response and give any relevant info).
  954.  
  955. I look forward to hearing from you! Please reply by email. I will
  956. summarise. Replies before Wednesday October 13 are more likely to be used.
  957.  
  958.   ---
  959. The THES is _the_ weekly publication for people working in higher
  960. education in the UK. I also write for New Scientist and (right to
  961. left) the Daily Telegraph, the Independent and the Guardian.
  962.   ---
  963. I tried to post this on Monday Oct 5, but it never got back to
  964. my site. Apologies for any multiple-posting to individual groups.
  965.  
  966. Mike Holderness
  967.   mch@doc.ic.ac.uk
  968.   mikeh@gn.apc.org
  969.  
  970. ------------------------------
  971.  
  972. End of Computer Underground Digest #5.79
  973.