home *** CD-ROM | disk | FTP | other *** search
/ Hackers Underworld 2: Forbidden Knowledge / Hackers Underworld 2: Forbidden Knowledge.iso / LEGAL / EFF505.TXT < prev    next >
Text File  |  1994-07-17  |  28KB  |  541 lines
  1. ·  Newsgroup: comp.org.eff.talk
  2. · Message-ID: <1993Apr2.214920.10432@eff.org>
  3. ·    Subject: EFFector Online 5.05
  4.  
  5.                   -==--==--==-<>-==--==--==-
  6.                         In this issue:
  7.           Keys to Privacy in the Digital Information Age
  8.         What's Important About the Medphone Libel Case?
  9.                    -==--==--==-<>-==--==--==-
  10.  
  11.           Keys to Privacy in the Digital Information Age
  12.               by Jerry Berman and Daniel J. Weitzner
  13.  
  14.    With dramatic increases in reliance on digital media for
  15. communications, the need for comprehensive protection of privacy in
  16. these media grows.  For many reading this newsletter, the point may
  17. seem trite, but the scope of the digital communications revolution (of
  18. which we only stand at the very beginning), poses major new
  19. challenges for those concerned about protecting communications
  20. privacy.  Communication carried on paper through the mail system,
  21. or over the wire-based public telephone network, is relatively secure
  22. from random intrusion by others.  But the same communication
  23. carried, for example, over a cellular or other wireless communication
  24. system is vulnerable to being intercepted by anyone who has very
  25. inexpensive, easy-to-obtain, scanning technology.  If designed and
  26. deployed properly, communications technology has the potential to
  27. actually support and enhance the level of privacy that we all enjoy.
  28. But if, in the design process, privacy concerns are slighted, whether
  29. consciously or not, privacy may be compromised.
  30.  
  31.    Public policy has a critical impact on the degree of privacy
  32. protection afforded by the new communications systems now being
  33. designed and deployed for public use.  Two ongoing public policy
  34. issues present the challenges of digital privacy protection in sharp
  35. relief.  In the first case, government policy seeks to limit the
  36. introduction of robust encryption technologies.  Motivated by
  37. national security concerns, the National Security Agency is using
  38. export control regulations to discourage the widespread foreign and
  39. domestic adoption of strong encryption systems.  The NSA's
  40. reasoning is if uncrackable encryption is available, the NSA will be
  41. powerless to intercept the communications of foreign espionage
  42. agents operating in and around the United States.  However, the
  43. NSA's restriction on the use of powerful encryption systems limits
  44. the ability of all who rely on electronic communication systems to
  45. protect their privacy.
  46.  
  47.    Second, on the domestic front, the FBI has proposed a
  48. comprehensive licensing regime that would require all new
  49. communications systems to be certified as "wire-tappable" before
  50. their introduction into the market.  This proposal threatens to force
  51. the widespread use of communications systems that have "back
  52. doors" in them that make them inherently insecure and to expand
  53. the scope of the FBI's wiretapping authority to an unspecified degree.
  54. Although these two proposals are now being pursued in independent
  55. policy arenas, it is critical to view them together in order to
  56. appreciate the full implications for privacy.
  57.  
  58. Encryption Policy
  59.    For the individual who relies on digital communications media,
  60. reliable privacy protection cannot be achieved without the protection
  61. of robust encryption technology.  While legal restrictions on the use
  62. of scanners or other technology that might facilitate such invasions of
  63. privacy seem to be attractive preventative measures, these are not
  64. lasting or comprehensive solutions.  We should have a guarantee --
  65. with physics and mathematics, not only  with laws -- that we can
  66. give ourselves real privacy of personal communications through
  67. technical means.  We already know how to do this, but we have not
  68. made encryption technology widely available for public use because
  69. of public policy barriers.  The actual debate going on involves both
  70. the National Security Agency and the National Institute of Standards
  71. and Technology.  They are in the process of deciding what version of
  72. a particularly strong type of encryption system ought to be promoted
  73. for public use.  Called Public Key Encryption systems, these coding
  74. systems derive their strength, in part, from the size of the ╥key╙ used
  75. to encrypt the message.
  76.  
  77.    In examining discrete issues such as the desirability of various
  78. cryptography standards, we take a comprehensive view of "digital
  79. privacy" policy as a whole.  Such a comprehensive view requires a
  80. clear vision of the underlying civil liberties issues at stake:  privacy
  81. and free speech.  It also requires looking beyond the cryptography
  82. questions raised by many to include some of law enforcement's
  83. recent concerns about the pace of digital infrastructure innovation.
  84. For the sake of promoting innovation and protecting civil liberties,
  85. we must also bear in mind the principle that computer security
  86. policy is fundamentally a concern for domestic, civilian agencies.
  87.  
  88.    Inasmuch as digital privacy policy has broad implications for
  89. constitutional rights of free speech and privacy, these issues must be
  90. explored and resolved in an open, civilian policy context.  This
  91. principle is clearly articulated in the Computer Security Act of 1987.
  92. These questions are simply too important to be decided by the
  93. national security establishment alone.  The structure of the Act arose,
  94. in significant part, from the concern that the national security
  95. establishment was exercising undue control over the flow of public
  96. information and the use of information technology.  When
  97. considering the law in 1986, the Congress asked the question,
  98. "Whether it is proper for a super-secret agency [the NSA] that
  99. operates without public scrutiny to involve itself in domestic
  100. activities...?"  The answer was a clear no, and the authority for
  101. establishing computer security policy was vested in NIST (then the
  102. National Bureau of Standards).
  103.  
  104.    In this context, we need a robust public debate over our
  105. government's continuing heavy-handed efforts to control
  106. commercially developed cryptography.  It is no secret that
  107. throughout the cold war era, the Defense and State Departments and
  108. the National Security Agency have used any and all means, including
  109. threats of prosecution, control over research and denial of export
  110. licenses, to prevent advanced secret coding capabilities from getting
  111. into the hands of our adversaries.  NSA does this to maximize its
  112. ability to intercept and crack all international communications of
  113. national security interest.
  114.  
  115.    Now the Cold War is over, but the practice continues.  In recent
  116. years, Lotus, Microsoft, and others have developed or tried to
  117. incorporate powerful encryption means into mass market software to
  118. enhance the security and privacy of business, financial, and personal
  119. communications.  In an era of computer crime, sophisticated
  120. surveillance technologies and industrial espionage, it is a laudable
  121. goal.
  122.  
  123.    Although NSA does not have the authority to interfere with
  124. domestic distribution encryption systems, its licensing stranglehold
  125. over foreign distribution has significant domestic consequences.
  126. United States firms have been unable to sell competitive security and
  127. privacy products in international markets.  More important, because
  128. the cost of producing two different products is often prohibitive, NSA
  129. policy encourages firms to produce a single product for both
  130. domestic  and worldwide use, resulting in sub-standard privacy and
  131. security  for users both here and abroad.
  132.  
  133.    While we all recognize that NSA has legitimate national security
  134. concerns in the post cold war era, this is a seriously flawed process.
  135. Foreign countries or entities who want to obtain advanced encryption
  136. technology can purchase it through intermediaries in the United
  137. States or from companies in a host of foreign countries who are not
  138. subject to US export restrictions.  By taking a page out of the
  139. Emperor's New Clothes, NSA opts to act as if the process works by
  140. continuing to block export.
  141.  
  142.    In order to get some improvement in mass market encryption, the
  143. computer industry had to resort to using the threat of legislation to
  144. get