home *** CD-ROM | disk | FTP | other *** search
/ BBS in a Box 2 / BBS in a box - Trilogy II.iso / Files / Mag / D-G / Electronic Frontier / FBI Report < prev    next >
Encoding:
Text File  |  1993-08-04  |  25.2 KB  |  439 lines  |  [TEXT/EDIT]
  1. AN ANALYSIS OF THE FBI DIGITAL TELEPHONY PROPOSAL
  2.  
  3. September 18, 1992
  4.  
  5. Executive Summary
  6. .c.
  7. Although the FBI has characterized its proposed “Digital Telephony” 
  8. legislation as relating to the preservation of government’s ability to engage in 
  9. authorized wiretapping, the proposal actually requires that all 
  10. communications and computer systems be designed to facilitate interception 
  11. of private messages, on a concurrent and remote basis — thus imposing new 
  12. engineering standards that go far beyond any existing law. As currently 
  13. drafted, the proposal would impose substantial costs and create significant 
  14. uncertainties, despite the absence of any clear showing that the proposed 
  15. measures would be either effective or necessary. In addition, the proposal 
  16. raises serious security and privacy concerns.
  17. Beginning in 1991, the FBI expressed concern that technological changes 
  18. occurring in the telecommunications industry might have an adverse effect 
  19. on the ability of law enforcement officials to conduct lawful, authorized 
  20. wiretapping. For example, the FBI raised questions about its ability to extract 
  21. individual telephone calls from multiplexed signals sent over light fibers 
  22. using new digital protocols. Various FBI proposals have generated concern 
  23. on the part of industry that the security and privacy of electronic 
  24. communications and computer systems might be weakened and that the 
  25. competitiveness or technical advancement of various systems might be 
  26. undercut. No one in industry challenges the FBI’s right to cooperation in 
  27. seeking to implement wiretaps or disagrees with the proposition that law 
  28. enforcement officials need communications interception tools to do their vital 
  29. job. The communications industry, network users and public interest groups 
  30. are concerned with the sweep of the FBI’s draft proposal and the potential 
  31. uncertainties and costs it would impose.
  32. Although the FBI proposal is described as relating to “digital telephony,” 
  33. it actually applies to all forms of communication, including all computer 
  34. networks. The proposal requires that equipment be designed to give access to 
  35. communications on a “concurrent” basis, regardless of the mobility of a 
  36. target, in isolation from messages being exchanged by any other persons. 
  37. These requests may have complex and differing application in different 
  38. contexts, but they would certainly introduce additional costs and 
  39. uncertainties for both equipment manufacturers and everyone who offers 
  40. messaging service to others. These days, the list of those covered by the 
  41. proposal (“providers of electronic communications services” and “PBX 
  42. owners”) includes just about everyone. Because the wiretap statute was 
  43. written to protect the privacy of a broad range of communications types, and 
  44. because of the growing interdependence and intermixing of all forms of 
  45. communications, the statutory language of the FBI proposal could turn out to 
  46. require redesign or expensive alteration of:
  47.  
  48.     •    public electronic mail systems, like those offered by MCI, 
  49. AT&T and others;
  50.     •    all telephone switches and the equipment used by long 
  51. distance carriers;
  52.     •     software used by online information services like Prodigy, 
  53. GEnie, Compuserve, America Online and many others;
  54.     •    local area networks, linking all kinds of computers, operated 
  55. by small businesses, colleges and universities and other 
  56. organizations, including links into these systems from homes and 
  57. offices;
  58.     •    PBXs owned by small and large businesses;
  59.     •    high speed networks connecting workstations with 
  60. mainframes and supercomputers, as well as those carrying traffic 
  61. across the “Internet;”
  62.     •    radio-based and cellular communications systems, including 
  63. pocket telephones and computers with radio-based modems;
  64.     •    the thousands of personal computers owned by businesses, 
  65. hobbyists, local governments, and political organizations that 
  66. communicate with others via computer bulletin boards;
  67.     •    private metropolitan wide area communications systems used 
  68. by businesses such as large banks;
  69.     •    satellite uplink and downlink equipment supporting radio 
  70. and television transmissions and other communications; and
  71.     •    air-to-ground equipment serving general aviation and 
  72. commercial aircraft.
  73.  
  74. The United States is becoming an information economy. Imposing mandatory 
  75. system design requirements on those involved in the transfer of information 
  76. has an impact on large numbers of people and most sectors of the economy.
  77. There is no doubt that evolving technologies will challenge law 
  78. enforcement officials and industry alike. We need effective law enforcement 
  79. tools, as well as appropriate levels of privacy and security in communications 
  80. and computer systems. The goals underlying the FBI proposal are valid and 
  81. important ones. But they may well be best achieved without additional 
  82. legislation. Industry has historically cooperated with law enforcement and is 
  83. presently engaged in ongoing discussions to identify specific problems and 
  84. concrete solutions. This cooperative process will lead to needed exchanges of 
  85. technical information, better understanding on all sides of the real policy 
  86. issues, and better, more cost-effective solutions. Congress should reject the 
  87. FBI proposal and encourage continuing discussions that will lead to more 
  88. specific identification of any problems and to more concrete, cost-effective 
  89. solutions.
  90.  
  91.  
  92.  
  93. The Digital Telephony Report
  94.  
  95. .c.Introduction:  What Is Proposed? 
  96. The most recent FBI proposal imposes obligations to provide various generic 
  97. interception “capabilities and capacities” and empowers the Attorney 
  98. General to grant exemptions, after consultation with the Federal 
  99. Communications Commission, the Department of Commerce and the Small 
  100. Business Administration. Any person who manufactures equipment or 
  101. provides a service that does not comply with the broad and vague 
  102. requirements of the proposed statute would be subject to a civil penalty of 
  103. $10,000 per day.
  104.  
  105. .c.How Serious Is the Problem? 
  106. The predicate for the FBI proposal is that advances in technology have made 
  107. it more difficult for the government to intercept particular telephone 
  108. conversations in the course of legally-authorized wiretapping. There have 
  109. been few actual problems, historically, in executing authorized wiretaps. 
  110. None have stemmed from characteristics of communications equipment 
  111. design (as distinct from limitations in equipment capacity). On the other 
  112. hand, it is clear that changes in the technologies used for communications will 
  113. require the FBI (and the communications industry as a whole) to use new 
  114. techniques and to acquire additional equipment and skills. Some 
  115. developments, such as encryption, may make interception (or, at least, 
  116. understanding the contents of what has been “intercepted”) much more 
  117. difficult — but in ways that are not even addressed and cannot be fixed by the 
  118. proposed legislation. (It is difficult to evaluate the FBI argument that it would 
  119. have asked for more interceptions if some technological barriers had not 
  120. existed. There have always been and will always be some technological 
  121. barriers to interception of the content of communications the participants 
  122. seek to protect.)
  123. Existing law requires all companies providing electronic communications 
  124. services to cooperate fully with lawful requests from the FBI and other law 
  125. enforcement officials — and there is no history of any general failure to 
  126. provide such cooperation.
  127. Existing law contemplates that the government will bear the costs imposed 
  128. by requests for access to communications. (As noted below, the proposal does 
  129. not specifically extend that principle.) There is no showing that the 
  130. government lacks the financial resources to modernize its communications 
  131. equipment or to fund the costs of lawful interceptions that it initiates. 
  132. Since the total number of content wiretaps in 1991 authorized by Federal 
  133. and State courts was only 856 taps (and almost 60% of these were at the State 
  134. level, 356 Federal versus 500 State), and since the call-set-up or pen register 
  135. tap orders for 1991 at the Federal level were only 2,445, (thus, implying a 
  136. national total under 7,000), it appears the costs may be better targeted to the 
  137. specific lines or ports necessary, instead of burdening all lines or ports 
  138. existing in the network. 
  139. By comparison, there were over 138 million access lines as of December 31, 
  140. 1990 according to the United States Telephone Association, and this does not 
  141. include ports used for cellular or many other network accesses. (We 
  142. understand the current FBI budget provides for $9 million for new digital 
  143. telephony interception equipment.) Thus, although there is valid reason to be 
  144. concerned that changes in technology will challenge law enforcement 
  145. agencies to find and adopt new techniques, there is no immediate crisis 
  146. requiring swift action.
  147. .c.
  148. .c.Broad Scope of the Current Proposal. 
  149. The FBI proposal covers all providers of “electronic communications 
  150. services” and all “private branch exchange operators” (PBXs). These days, that 
  151. means just about everybody, including every business that has its own phone 
  152. switch and every company that operates its own local or wide area computer 
  153. network. The Electronic Communications Privacy Act defines “electronic 
  154. communications services” to include electronic mail, file transfers over a 
  155. Local Area Network (“LAN”) and, indeed, every form of transmission of a 
  156. message other than voice telephone calls (which are also covered by the 
  157. proposal as “wire” communications) and sound waves in the open air (the 
  158. only form of communication not covered by the proposal). (See 18 U.S.C. 
  159. 2510(12),(15).)   All “providers” of such services would be affirmatively 
  160. required, within three years, to provide law enforcement officials with the 
  161. “capability and capacity” to intercept communications. This capability 
  162. would have to be provided “concurrently” with the communication, without 
  163. detection (apparently without regard to the target of the wiretap possibly 
  164. employing sophisticated wiretap detection capabilities), exclusive of any 
  165. communications between other parties, regardless of the mobility of the 
  166. target, and without degradation of service. 
  167. These absolute requirements might not be capable of being met, as a 
  168. technical matter, in some contexts, regardless of costs. The proposal is 
  169. redundant, in the sense that it requires the ability to access communications at 
  170. all points during their transmission, even though access at one point is all that 
  171. is needed in any given circumstance. Although current wiretap law requires 
  172. “minimization” and use of wiretaps as a “last resort,” the proposal imposes 
  173. obligations on all communications systems as if preserving the ability to 
  174. wiretap at any point should be the system designer’s highest priority. The 
  175. application of these requirements would have substantially different costs 
  176. and other implications depending upon where in a communications pathway 
  177. they were actually applied. In any event, they dramatically expand the nature 
  178. and reach of current law — which requires cooperation but does not grant the 
  179. government a right to redesign the communications network or the 
  180. equipment used by large numbers of businesses.
  181. The FBI has defended its proposal on the ground that it is only seeking to 
  182. “preserve the status quo,” by preventing changes in technology from taking 
  183. away capabilities that Congress meant to assure when it passed the 1968 and 
  184. 1986 wiretap statutes. But that mischaracterizes the “status quo.” The current 
  185. wiretap statutes take the communications networks as they find them and do 
  186. not require any provider of communications service to redesign the system, 
  187. or to refrain from using any particular technology, solely on the ground that 
  188. such a technology would make interception more difficult. While there may 
  189. well be sound reasons for all concerned to cooperate to seek to preserve for 
  190. the government a practical ability to engage in authorized wiretapping, there 
  191. is simply no existing legal authority for law enforcement officials to mandate 
  192. the use of particular technologies and, thus, contrary to the claims made by 
  193. the FBI, the proposal does not simply maintain the status quo, but greatly 
  194. expands the jurisdiction of the Attorney General and would represent a giant 
  195. step beyond current law and congressional intent going back to 1968.
  196. While the proposal imposes substantial uncertainties, there is no question 
  197. that, as drafted, it would have an extremely broad reach. As a result, it could 
  198. complicate the development of various new technologies. Even though the 
  199. language of the proposal would extend to cable information systems and 
  200. Automated Teller Machines (“ATMs”), the FBI has stressed in its proposal 
  201. that various systems might be exempted by executive action. But the 
  202. exemption authority is vague and standardless — so the net effect is that every 
  203. system provider has to worry on a continuing basis about whether or not its 
  204. system is covered. Moreover, the proposal is clearly designed to cover any 
  205. system facilitating two-way conversation, regardless of the size of the 
  206. communications service provider. In consequence, any small business that 
  207. installs its own local PBX system for forwarding calls from customers could 
  208. be required to replace its equipment with new switches that meet the law’s 
  209. requirements. If current online information services do not track the 
  210. “services” and “features” used by those who send messages through their 
  211. electronic mail channels, then expensive modifications might be mandated. 
  212. Because these electronic mail systems are all being joined together, and some 
  213. function as links that forward messages between other systems, all might have 
  214. to be designed to allow “real time” interception by retransmission to a remote 
  215. site — even though delayed searches of stored files would seem to make a lot 
  216. more sense in the context of electronic mail.
  217.  
  218. .c.Costs Likely to Be Imposed by the Proposal.
  219. The costs imposed by this proposal would be passed on to consumers and all 
  220. subscribers to electronic communications services. The total costs, including 
  221. costs imposed by its potentially disruptive impact on planning for new 
  222. computer and communication technologies, cannot be fully assessed — but 
  223. would be very substantial. In its report on the FBI’s proposal, the General 
  224. Accounting Office (“GAO”), page 1, stated: “[N]either the FBI nor the 
  225. telecommunications industry has systematically identified the alternatives, or 
  226. evaluated their costs, benefits, or feasibility.” And further at page 4 of the 
  227. GAO Report: [T]he [FBI’s] May proposal does not address what the 
  228. telecommunications industry would need to do to be in full compliance with 
  229. the proposal in the event it is enacted, the meaning of certain technical terms, 
  230. or who would pay for the cost of wiretapping solutions.”
  231. The proposal mandates compliance with very broadly stated functional 
  232. standards and contemplates that exemptions (available from the Attorney 
  233. General, without the benefit of any specific standards or criteria) will be 
  234. granted only after this broad new governmental authority has been enacted 
  235. into law. The most recent proposal assumes that the costs of compliance will 
  236. become a cost of doing business imposed on all communications service 
  237. providers — and passed on to telephone ratepayers and other subscribers to 
  238. electronic communications services. (The current law’s provision that the 
  239. government will pay reasonable expenses incurred in cooperating with a 
  240. specific request for interception has not been expressly applied to this new 
  241. requirement to “provide the capability and capacity” to respond to such 
  242. requests.) Communication service providers and computer equipment 
  243. manufacturers could suffer major losses as a result of delays, mandatory 
  244. redesigns, and even prohibition of certain technological options. There has 
  245. been no opportunity as yet to compare (1) the costs the FBI would incur to 
  246. modernize its approach to interception (especially given the data on the small 
  247. number of taps performed annually) with (2) the costs that would be incurred 
  248. by consumers as a result of mandatory limitations on new technology design 
  249. applied to all technologies nationwide.
  250.  
  251. .c.Uncertainties Created by the Proposal.
  252. .c.By attempting to establish open-ended duties, broadly defined, in statutory 
  253. language, the current proposal creates substantial uncertainties and could 
  254. cause controversy to supplant cooperation. For example, although current 
  255. interception orders predominantly relate to voice communications, the draft 
  256. proposal covers all forms of communication. This approach could sweep up 
  257. systems ranging from the cellular pager to the high-speed network designed 
  258. to transfer digital data between supercomputers. It raises a wide variety of 
  259. questions:
  260. .c.
  261. •    What exactly are the boundaries of the “public switched network” to 
  262. which the proposal refers?
  263. •    On what basis would the Attorney General choose, or be required, to 
  264. provide exemptions?
  265. •    How would the proposal affect systems that regularly encode messages 
  266. at the point of origin?
  267. •    Does the required provision of capacity to intercept “concurrent with 
  268. the transmission to the recipient” mean that an electronic mail or voice 
  269. mail or facsimile mail system must be designed to signal the system 
  270. operator every time a message from a target of an investigation is 
  271. accessed by the person to whom that message might have been 
  272. addressed?
  273. •    Will it be technically feasible to detect and separate just those parts of a 
  274. communication signal coming from a particular residence or other 
  275. source, that “exclusively” represent the content coming from a 
  276. particular individual?
  277. •    What is meant by the new, broad requirement that the government be 
  278. told what “services, systems, and features” have been used by the 
  279. subject of the interception?
  280. •    Does the required provision of interception capacity “notwithstanding 
  281. ... the use by the subject ... of any features of the ... system” have the 
  282. effect of requiring the system provider to offer to defeat any encryption 
  283. mechanism it may provide to subscribers?
  284. •    Does the requirement to provide interception despite the target’s 
  285. mobility mean that systems that inherently allow users to send and 
  286. receive from multiple points, without notice, cannot be used at all?
  287. •    Will it be physically possible or economically feasible to prevent 
  288. “degradation of services” if the functional requirement for real time 
  289. tracking of any target means that some central database must be 
  290. checked by the service provider’s computers every time a 
  291. communication is made?
  292.  
  293. We don’t know the answers to these questions, despite their importance. 
  294. More importantly, the answers to key policy questions may differ 
  295. substantially depending on what particular technology and interception need 
  296. (and minimization goal) is being addressed. And we don’t even know by what 
  297. means providers of electronic communications services and designers and 
  298. users of electronic communications and computing equipment will find out 
  299. how the requirements will be applied to their systems. In short, the FBI’s 
  300. proposal, as currently drafted, may generate new and unnecessary 
  301. controversy, despite its legitimate goals, by attacking perceived problems at 
  302. the wrong level of generality.
  303.  
  304. .c.Threat to Security and Privacy. 
  305. Ironically, in addition to creating uncertainty and imposing costs, the 
  306. proposal would itself create new and serious security risks and undermine 
  307. the privacy of electronic communications. If electronic communications 
  308. service providers must design their systems to allow and ensure FBI access, 
  309. then the resulting mandatory “back doors” may become known to and be 
  310. exploited by criminals. Business is currently attempting to achieve greater 
  311. security in its communications, to counter the threats posed by unauthorized 
  312. access, computer viruses, and electronic theft. A proposal the FBI seeks to 
  313. justify in terms of law enforcement could well have the effect of facilitating 
  314. violations of law and reducing or preventing effective security measures.
  315.  
  316. .c.Threat to International Trade and Security Interests. 
  317. As drafted, the proposal appears to threaten U.S. interests in international 
  318. trade and competitiveness. Potential purchasers abroad may not buy 
  319. products or systems that they know have a “trap door” the United States 
  320. Government can easily open. If U.S. manufacturers of communications 
  321. systems and equipment and computer software have to go through a 
  322. bureaucratic certification or clearance process that is not applicable to their 
  323. foreign competitors, their race to the market with new technologies will be 
  324. slowed and their products and designs will be disadvantaged.
  325.  
  326. .c.Legitimate Law Enforcement Concerns Should Be Served. 
  327. There is no doubt that authorized wiretapping is an important weapon 
  328. properly used by the FBI to fight serious crime. And there is general 
  329. agreement among communications service providers, and the makers of 
  330. communications and computing equipment, that the FBI is entitled to full 
  331. cooperation in its efforts to exercise the powers granted to it in the wiretap 
  332. statute. If new technologies require changes in police tactics, then 
  333. accommodations may be needed on all sides to make sure that new tactics 
  334. that do not threaten the effectiveness or safety of law enforcement (or 
  335. unreasonably threaten privacy interests) are available. The FBI proposal has 
  336. served a valuable purpose in drawing attention to the need for adequate 
  337. planning and redoubled cooperative efforts.
  338.  
  339. .c.It Is Too Soon to Know if Legislation Will Be Necessary. 
  340. Despite the good intentions underlying the FBI proposal, there is certainly no 
  341. demonstrated need to hamper U.S. technological advances, harm the 
  342. competitiveness of the U.S. communications or computer industries, or 
  343. hinder efforts by business to increase computer security, just to make sure 
  344. that law enforcement officials can continue indefinitely to use the same 
  345. equipment and procedures that were appropriate for an earlier technology. 
  346. There has as yet been no clear showing that the design of new technologies 
  347. will not permit reasonable, affordable and effective techniques to be used for 
  348. authorized interception. There has been no showing that the industry will not 
  349. or cannot cooperate fully, share technical information under appropriate 
  350. protections, and even design and supply new equipment at reasonable cost, 
  351. insofar as these steps prove necessary for the FBI to accomplish its mission. 
  352. There has been no clear showing that any capacity limitations could not 
  353. readily be remedied with the provision of adequate financing for government 
  354. law enforcement operations.
  355.  
  356. .c.The Proposal Is Premature in Light of Industry Efforts.
  357.  An ad hoc coalition of interested parties has joined together to study the 
  358. issues posed by the FBI’s proposal and to begin discussions involving various 
  359. business interests, public interest groups, the law enforcement community, 
  360. legislative staff, and representatives of the Administration. All involved 
  361. recognize that the FBI is entitled to have adequate tools to fulfill its law 
  362. enforcement objectives. For its part, the FBI has recognized the value of 
  363. industry cooperation and the need for a more robust exchange of technical 
  364. information. Once the technical issues come into focus, particular policy 
  365. issues may be ripe for decision, in a context in which the costs and 
  366. implications of such decisions for trade, security and privacy concerns will 
  367. be much more clear. Technical Working Groups representing both the 
  368. telephone companies and the computer industry are hard at work — but the 
  369. issues are complex and even the first stage of identifying serious potential 
  370. problems for law enforcement will take some time. Consideration of 
  371. proposed solutions should await the results of these detailed and technical 
  372. discussions.
  373.  
  374. .c.Conclusion.
  375. .c.As the broad collaboration that accompanied consideration of the 1986 
  376. amendments to the wiretap statute showed, the public interest in sound law 
  377. enforcement, and public expectations of privacy and security, are best served 
  378. by encouraging a constructive exchange of views among industry, concerned 
  379. citizens and government before any new legislation is enacted. Congress 
  380. should reject the FBI proposal and encourage continuing discussions that will 
  381. lead to more specific identification of any problems and to concrete, cost-
  382. effective solutions.
  383.  
  384.  
  385. For further information contact:
  386.  
  387. Leah Gurowitz, Coalition Coordinator   (202) 393-1010
  388. David Johnson, Coalition Counsel    (202) 663-6722
  389. Jerry Berman, EFF Executive Director    (202) 347-5400
  390.  
  391.  
  392. This Report was Prepared by:
  393.  
  394. Electronic Frontier Foundation
  395. 1001 G Street, NW
  396. Suite 950 East
  397. Washington, DC  20001
  398. (202) 347-5400 tel
  399. (202) 393-5509 fax
  400. eff@eff.org internet
  401.  
  402.  in coaltion with:
  403.  
  404. abcd - The Microcomputer Industry Association
  405. Advanced Network & Services, Inc.
  406. Agson, Inc.
  407. American Civil Liberties Union
  408. Arrow
  409. AT&T
  410. Business Software Alliance 
  411. Cellular Telecommunications Industry Association
  412. Computer and Business Equipment Manufacturers Association
  413. Computer and Communications Industry Association
  414. Computer Professionals for Social Responsibility
  415. Digital Equipment Corporation
  416. Eastman Kodak
  417. Electronic Mail Association
  418. Graphics Technologies, Inc.
  419. IBM
  420. Information Industry Association 
  421. Information Technology Association of America 
  422. Iris Associates 
  423. Logistics Management, Inc.
  424. Lotus Development Corporation
  425. Merisel, Inc.
  426. Micro Computer Centers Inc.
  427. Microsoft Corporation
  428. Okidata
  429. Oracle
  430. Panamax
  431. P C Parts Express
  432. Prodigy
  433. Seneca Data Distributors, Inc.
  434. Software Publishers Association
  435. Sun Microsystems
  436. Telecommunications Industry Association
  437. United States Telephone Association
  438. Westbrook Technologies
  439.