home *** CD-ROM | disk | FTP | other *** search
/ Shareware Overload Trio 2 / Shareware Overload Trio Volume 2 (Chestnut CD-ROM).ISO / dir33 / hr_5199.zip / EN.DRA < prev    next >
Text File  |  1994-07-16  |  19KB  |  374 lines
  1. COMMITTEE ON SCIENCE, SPACE, AND TECHNOLOGY
  2. U.S. House of Representatives
  3. Washington, DC 20515
  4.  
  5. July 13, 1994
  6. MEMORANDUM
  7.  
  8. To:       ALL INTERESTED PARTIES
  9.  
  10. From:   Tony Clark
  11.             Professional Staff Member
  12.  
  13. Subject: Encryption Standards and Procedures Act
  14.  
  15. Attached for your review and comment is a staff discussion draft 
  16. of legislation to authorize the Administration to develop and issue, 
  17. by regulation, federal encryption standards for ensuring the privacy, 
  18. security, and authenticity of domestic and international electronic 
  19. communications in a way that preserves privacy rights and 
  20. maintains the government's authority and ability to conduct 
  21. electronic surveillance. The bill has been drafted as a means to 
  22. facilitate debate and resolve differences on the controversial 
  23. "Clipper Chip" encryption standard that the Administration formally 
  24. adopted in February.
  25.  
  26. The proposed legislation would allow the Administration to issue 
  27. voluntary encryption standards for public and private use, but only 
  28. under a rulemaking process where all stakeholders would have an 
  29. opportunity to influence the final program. With respect to policy, it 
  30. would permit wider use of encryption technology while reasserting 
  31. Fourth Amendment privacy rights and the government's authority to 
  32. conduct electronic surveillance. To ensure those rights are 
  33. preserved, the bill would impose new legal requirements on escrow 
  34. agents that may be part of an encryption standard established under 
  35. the legislation. It would also establish an R&D program at NIST to 
  36. develop next generation encryption technology, and would authorize 
  37. funding to implement the legislation.
  38.  
  39. I would welcome your views and comments on the draft bill. You 
  40. can reach me by phone at 202-225-9662 or by fax at 202-225-8057.
  41.  
  42. Attachment:
  43.  
  44.  
  45. [STAFF DISCUSSION DRAFT]
  46.     July 12, 1994
  47.  
  48.  
  49. 103D CONGRES   H.R. ___________
  50.                                   2D SESSION     
  51.  
  52.  
  53. IN THE HOUSE OF REPRESENTATIVES
  54.  
  55. Mr. ______________ introduced the following bill; which was referred to 
  56. the Committee  on ______________________
  57.  
  58. A BILL
  59.  
  60. To amend the National Institute of Standards and Technology Act to 
  61. provide for the establishment and management of voluntary encryption 
  62. standards to protect the privacy and security of electronic 
  63. information, and for other purposes.
  64.  
  65.        Be it enacted by the Senate and House of Representatives of the 
  66. United States of America in Congress assembled,
  67.  
  68.  SECTION 1. SHORT TITLE.
  69.  
  70. This Act may be cited as the "Encryption Standards
  71.  and Procedures Act of 1994".
  72.  
  73. SEC. 2. FINDINGS AND PURPOSES.
  74. (a) FINDINGS.╤The Congress finds the following:
  75. (1) Advancements in communications and information technology and 
  76. the widespread use of that technology have enhanced the volume and value 
  77. of domestic and international communication of electronic information as 
  78. well as the ability to secure the privacy and authenticate the origin of 
  79. that information.
  80. (2) The proliferation of communications and information technology 
  81. has made it increasingly difficult for the government to obtain and 
  82. interpret, in a timely manner, electronic information that is necessary 
  83. to provide for public safety and national security-
  84. (3) The development of the Nation's information infrastructure and 
  85. the realization of the full benefits of that infrastructure require that 
  86. electronic information resident in, or communicated over, that 
  87. infrastructure is sufficiently secure, private, and authentic.
  88. (4) Security, privacy, and authentication of electronic information 
  89. resident in, or communicated over, the Nation's information 
  90. infrastructure are enhanced with the use of encryption technology.
  91. (5) The rights of individuals and other persons to security, 
  92. privacy, and protection in their communications and in the dissemination 
  93. and receipt of electronic information should be preserved and protected.
  94. (6) The authority and ability of the government to obtain and 
  95. interpret, in a timely manner, electronic information necessary to 
  96. provide for public safety and national security should also be 
  97. preserved.
  98. (7) There is a national need to develop, adopt, and use encryption 
  99. methods and procedures that advance the development of the Nation's 
  100. information infrastructure and that preserve the personal rights 
  101. referred to in paragraph (5) and the governmental authority and ability 
  102. referred to in paragraph (6).
  103. (b) PURPOSES.╤It is the purpose of this Act╤
  104. (1) to promote the development of the Nation's information 
  105. infrastructure consistent with public welfare and safety, national 
  106. security, and the privacy and protection of personal property;
  107. (2) to encourage and facilitate the development, adoption, and use 
  108. of encryption standards and procedures that provide sufficient privacy, 
  109. protection, and authentication of electronic information and
  110. that reasonably satisfy the needs of government to provide for public 
  111. safety and national security; and
  112. (3) to establish federal policy governing the development, 
  113. adoption, and use of encryption standards and procedures and a federal 
  114. program to carry out that policy.
  115.  
  116.  
  117. SEC. 3. ENCRYPTION STANDARDS AND PROCEDURES.
  118.  
  119. The National Institute of Standards and Technology
  120.  Act is amended╤
  121.  
  122. (1) by redesigning section 31 as section 32;
  123.  
  124. and
  125.  
  126. (2) by inserting after section 30 the following new section 31:
  127.  
  128.  "SEC. 31. ENCRYPTION STANDARDS AND PROCEDURES.
  129.        "(a) ESTABLISHMENT AND AUTHORITY.╤The Secretary, acting through 
  130. the Director, shall establish an Encryption Standards and Procedures 
  131. Program to carry out this section. In carrying out this section, the 
  132. Secretary, acting through the Director, may (in addition to  the 
  133. authority provided under section 2) conduct research and development on 
  134. encryption standards and procedures,  make grants, and enter into 
  135. contracts, cooperative agreements, joint ventures, royalty arrangements, 
  136. and licensing agreements on such terms and conditions the Secretary 
  137. considers appropriate.
  138.         "(b) FEDERAL ENCRYPTION STANDARDS.╤
  139.            "(1) IN GENERAL.╤The Secretary, acting through the Director 
  140. and after providing notice to the public and an opportunity for comment, 
  141. may by regulation develop encryption standards as part of
  142.  the program established under subsection (a)
  143.            "(2) REQUIREMENTS.╤Any encryption standard developed under 
  144. paragraph (1)╤
  145. "(A) shall seek to ensure and verify, to the maximum extent 
  146. practicable, the confidentiality, integrity, or authenticity of 
  147. electronic information;
  148. "(B) shall advance the development of the Nation's information 
  149. infrastructure;
  150. "(C) shall contribute to public safety and national security;
  151. "(D) shall not diminish existing privacy rights of individuals and 
  152. other persons;
  153. "(E) shall preserve the functional ability of the government to 
  154. interpret, in a timely manner, electronic information that has been 
  155. obtained pursuant to an electronic surveillance permitted by law;
  156. "(F) may be implemented in software, firmware, hardware, or any 
  157. combination thereof; and
  158. "(G) shall include a validation program to determine the extent to 
  159. which such standards have been implemented in conformance with the 
  160. requirements set forth in this paragraph.
  161.            "(3) PROCEDURES.╤Standards developed
  162. under paragraph (1) shall be developed in colsulta-tion with the 
  163. Attorney General, the Director of the Federal Bureau of Investigation, 
  164. the Director of the National Security Agency, and the heads of other
  165. appropriate federal agencies. The Computer Systems and Privacy Advisory 
  166. Board established in section shall review any such standards before such
  167. standards are issued and submit recommendations and advice regarding 
  168. such standards to the Secretary.
  169.     "(e) PERMITTED USE OF STANDARDS.╤The federal
  170. Government shall make available for public use any standard established 
  171. under subsection (b), except that nothing
  172. in this Act may be construed to require such use by any
  173. individual or other person.
  174.              "(d) ESCROW AGENTS.╤
  175.         "(1) DESIGNATION.╤If a key escrow encryption standard is 
  176. established under subsection (b), the President shall designate at least 
  177. 2, but not more  than 3, Federal agencies that satisfy the 
  178. qualifications referred to in paragraph (2) to act as key escrow agents 
  179. for that standard.
  180. " (2) QUALIFICATIONS╤A key escrow agent designated under paragraph 
  181. (1) shall be a Federal agency that╤
  182.      "(A) possesses the capability, competency, and resources to 
  183. administer the key escrow encryption standard, to safeguard sensitive 
  184. information related to it, and to carry out the responsibilities set 
  185. forth in paragraph (3) in a timely manner; and
  186.       "(B) is not a Federal agency that is authorized by law to 
  187. conduct electronic surveillance.
  188.        "(3) RESPONSIBILITIES.╤A key escrow agent
  189. designated under paragraph (1) shall, by regulation and in consultation 
  190. with the Secretary and any other key escrow agent designated under such 
  191. paragraph, establish procedures and take other appropriate steps╤
  192. " (A) to safeguard the confidentiality of keys or components 
  193. thereof held by the agent pursuant to this subsection;
  194. "(B) to preserve the integrity of the key escrow encryption 
  195. standard established under subsection (b) for which the agent holds the 
  196. keys or components thereof;
  197. "(C) to hold and manage the keys or components thereof consistent 
  198. with the requirements of this section and the encryption standard 
  199. established under subsection (b); and
  200. "(D) to carry out the responsibilities set forth in this paragraph 
  201. in the most effective and efficient manner practicable.
  202. " (4) AUTHORITY.╤A key escrow agent designated under paragraph (1) 
  203. may enter into contracts, cooperative agreements, and joint ventures and 
  204. take other appropriate steps to carry out its responsibilities.
  205.  (e) LIMITATIONS ON ACCESS AND USE.╤
  206. " (1) RELEASE OF KEY TO CERTAIN AGENCIES.╤A key escrow agent designated 
  207. under subsection (d) may release a key or component thereof held by the 
  208. agent pursuant to that subsection only to a government agency, 
  209. instrumentality, or political subdivision thereof that is authorized by 
  210. law to conduct electronic surveillance and that is authorized to obtain 
  211. and use the key or component by court order or other provision of law. 
  212. An entity to whom a key or component thereof has been released under 
  213. this paragraph may use the key or component thereof only in the manner 
  214. and for the purpose and duration that is expressly provided for in the 
  215. court order or other provision of law authorizing such release and use.
  216. "(2) LIMITATION ON USE BY PRIVATE PERSONS AND FOREIGN CITIZENS.╤
  217. "(A) IN GENERAL.╤Except as provided in subparagraph (B), a person 
  218. (including a person not a citizen or permanent resident of the United 
  219. States) that is not an agency of the federal Government or a State or 
  220. local government shall not have access to or use keys associated with an 
  221. encryption standard established under subsection (b).
  222. "(B) EXCEPTION.╤A representative of a foreign government may have access 
  223. to and use a key associated with an encryption standard established 
  224. under subsection (b) only if the President determines that such access 
  225. and use is in the national security and foreign policy interests of the 
  226. United States. The President shall prescribe the manner and conditions 
  227. of any such access and use.
  228. "(3) LIMIT ON USE BY GOVERNMENT AGENCIES.╤A government agency, 
  229. instrumentality, or political subdivision thereof shall not have access 
  230. to or use a key or component thereof associated with an encryption 
  231. standard established under subsection (b) that is held by a key escrow 
  232. agent under subsection (d) unless such access or use is authorized by 
  233. this title, by court order, or by other law.
  234. " (f) REVIEW AND REPORT.╤
  235. "(1) IN GENERAL.╤Within 3 years after the date of the enactment of 
  236. this Act and at least once every 3 years thereafter, the Secretary shall 
  237. conduct a hearing on the record in which all interested parties shall 
  238. have an opportunity to comment on the extent to which encryption 
  239. standards, procedures, and requirements established under this section 
  240. have succeeded in fulfilling the purposes of this section and the manner 
  241. and extent to which such standards, procedures, and requirements can be 
  242. improved.
  243. "(2) REPORT.╤Upon completion of a hearing conducted under paragraph         
  244. (1), the Secretary shall submit to the Congress a report containing a 
  245. statement of the Secretary's findings pursuant to the hearing along with     
  246. recommendations and a plan for correcting any deficiencies in achieving 
  247. the purposes of this section that are identified as a result of the
  248.  hearing.
  249.     " [ (g)   VIOLATIONS,    ENFORCEMENT,    AND    PEN
  250.  PENALTIES.╤
  251.  
  252. "[(1) CIVIL PENALTIES.╤
  253. "[(A) IN GENERAL.╤The Attorney General may impose a civil penalty 
  254. against any individual or other person (including an officer or employee 
  255. of government) who commits any of the violations described in paragraph 
  256. (2). The amount of a civil penalty imposed under this paragraph may not 
  257. exceed $1,000 per day for each such violation.
  258. "[(B) PROCEDURES FOR IMPOSITION O* CIVIL PENALTIES.╤The Attorney General 
  259. shall establish standards and procedures governing the imposition of 
  260. civil penalties under subparagraph (A). The standards and procedures 
  261. shall provide for the imposition of a penalty only after the individual 
  262. or other person has been given an opportunity for a hearing on the 
  263. record in accordance with section 554 of title 5, United States Code.
  264.         
  265. "[(2) VIOLATIONS.╤It shall be a violation of this section for╤
  266.             "[(A) any individual or other person (except an officer 
  267. or employee of government authorized by this section to hold or use a 
  268. key or component thereof) to hold or use a key or component thereof 
  269. other than a key or component thereof that corresponds to a device which 
  270. is
  271. the property of that individual or person; or
  272.             "[(B) any officer or employee of government, including 
  273. a key escrow agent╤
  274.                 "[(i) to intentionally make available a
  275.             key or component thereof to any person
  276.             not authorized to have access to or use
  277.             such key or component thereof under this
  278.             section; or
  279.                 "[(ii) to use a key or component
  280.             thereof in a manner or for a purpose not
  281.             authorized under this section.
  282.         "[(3) INJUNCTION.╤The Attorney General may
  283.     enjoin any individual or other person (including an
  284.     officer or employee of government) from committing
  285.     a violation of this section. The district courts of the
  286.  United States shall have jurisdiction of any action brought by 
  287. the Attorney General under this paragraph. ]
  288.  "(h) REGULATIONS.╤Within one year after the date  of the enactment of 
  289. this Act, the Secretary and each key escrow agent designated by the 
  290. President under subsection (d) shall, after notice to the public and 
  291. opportunity for comment, issue any regulations necessary to carry out 
  292. this section.
  293. "(i) LIABILITY╤The United States shall not be liable for any loss 
  294. incurred by any individual or other person resulting from any compromise 
  295. or security breach of any encryption standard established under 
  296. subsection (b) or 14 any violation of this section or any regulation or 
  297. procedure  established by or under this section by╤
  298.              "(1) any person who is not an official or employee of the 
  299. United States; or 
  300.              "(2) any person who is an official of the United States, 
  301. unless such compromise, breach, or violation is willful.
  302.       "(j) SEVERABILITY.╤If any provision of this section,
  303.  or the application thereof, to any person or circumstance, is held 
  304. invalid, the remainder of this section, and the application thereof, to 
  305. other persons or circumstances shall not be affected thereby.
  306.              "(k) DEFINITIONS.╤*Or purposes of this section:
  307. "(1) The term 'content', when used with respect to electronic 
  308. information, includes the substance, purport, or meaning of that 
  309. information.
  310. "(2) The term 'electronic communications system' has the meaning 
  311. given such term in section 2510(14) of title 18, United States Code.
  312. "(3) The term 'encryption' means a method╤
  313. "(A) to encipher and decipher the content
  314. of electronic information to protect the privacy
  315. and security of such information; or
  316. " (B) to authenticate the origin of electronic information.
  317. "(4) The term 'encryption standard' means a technical, management, 
  318. physical, or administrative standard or associated guideline or 
  319. procedure for conducting encryption, including key escrow encryption, to 
  320. ensure or verify the integrity, authenticity, or confidentiality of 
  321. electronic information that, regardless of application or purpose, is 
  322. stored, processed, transmitted, or otherwise communicated domestically 
  323. or internationally in any public or private electronic communications 
  324. system.
  325. "(5) The term 'key escrow encryption' means an encryption method that 
  326. allows the government, pursuant to court order or other provision of 
  327. law, to decipher electronic information that has been encrypted with 
  328. that method by using a unique secret code or key that is, in whole or in 
  329. part, held by and obtained from a key escrow agent.
  330. "(6) The term 'key escrow agent' means an entity designated by the 
  331. President under subsection (d) to hold and manage keys associated with 
  332. an encryption standard established under subsection (b)
  333. "(7) The term 'key' means a unique secret code that enables a party 
  334. other than the sender, holder, or intended recipient of electronic 
  335. information to decipher such information that has be enciphered with a 
  336. corresponding encryption standard established under subsection (b).
  337. " (8) The term 'electronic information' means
  338.  the content, source, or destination of any information in any 
  339. electronic form and in any medium which has not been specifically 
  340. authorized by a Federal statute or an Executive Order to be kept secret 
  341. in
  342. the interest of national defense or foreign policy and which is stored, 
  343. processed, transmitted or otherwise communicated, domestically or 
  344. internationally, in an electronic communications system, and
  345.       "(A) electronic communication within the meaning of section 
  346. 2510(12) of title 18, United States Code; or
  347.       "(B) wire communication within the meaning of section 2510(1) of 
  348. such title.
  349. "(9) The term 'government' means the Federal Government, a State or 
  350. political subdivision of a State, the District of Columbia, or a 
  351. commonwealth, territory, or possession of the United States. " (l) 
  352.  
  353. AUTHORIZATION OF APPROPRIATIONS.╤
  354. "(1) IN GENERAL.╤There is hereby authorized to be appropriated to 
  355. the Secretary, to carry out this section, $50,000,000 for fiscal years 
  356. 1995 through 1997, to remain available until e*pended. Of the amount 
  357. authorized by this paragraph, $1,000,000 shall be available for the 
  358. National Research Council study on national cryptography policy 
  359. authorized under section 267 of the National Defense Authorization Act 
  360. for Fiscal Year 1994 (10 U.S.C 421 note).
  361.        "(2) TRANSFER AUTHORITY.╤The Secretary may transfer funds 
  362. appropriated pursuant to paragraph (1) to a key escrow agent other than 
  363. the Secretary in amounts sufficient to cover the cost of carrying out 
  364. the responsibilities of the agent under this section. Funds so 
  365. transferred shall remain available until expended.".
  366.  
  367.  
  368.  
  369.  
  370.  
  371.  
  372.  
  373.  
  374.