home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #27 / NN_1992_27.iso / spool / comp / risks / 128 next >
Encoding:
Internet Message Format  |  1992-11-17  |  30.3 KB
  1. Path: sparky!uunet!charon.amdahl.com!pacbell.com!sgiblab!zaphod.mps.ohio-state.edu!uwm.edu!linac!att!ucbvax!CSL.SRI.COM!risks
  2. From: risks@CSL.SRI.COM (RISKS Forum)
  3. Newsgroups: comp.risks
  4. Subject: RISKS DIGEST 14.05
  5. Message-ID: <CMM.0.90.1.721967678.risks@chiron.csl.sri.com>
  6. Date: 17 Nov 92 02:34:38 GMT
  7. Sender: daemon@ucbvax.BERKELEY.EDU
  8. Reply-To: risks@csl.sri.com
  9. Distribution: world
  10. Organization: The Internet
  11. Lines: 704
  12. Approved: risks@csl.sri.com
  13.  
  14. RISKS-LIST: RISKS-FORUM Digest  Monday 16 November 1992  Volume 14 : Issue 05
  15.  
  16.         FORUM ON RISKS TO THE PUBLIC IN COMPUTERS AND RELATED SYSTEMS 
  17.    ACM Committee on Computers and Public Policy, Peter G. Neumann, moderator
  18.  
  19.   Contents:
  20. Voting fraud (is it an accident?) (Ray Todd Stevens)
  21. Safe Conduct (Jonathan Bowen)
  22. Retirement award trips up a crook (Ray Todd Stevens)
  23. PINs and Needles (Dik Winter)
  24. Re: "End-Running" Key Registration (Bob Frankston)
  25. Re: Cellular Phones in Aircraft (Berry Kercheval)
  26. Re: Voice mail systems (Jim Purtilo)
  27. Radio to remote computer protocol design (Edward J. Huff)
  28. Re: RISKS of technical people disengaging brain (Daniel Lance Herrick)
  29. Re: Credit Thieves (and learning from mistakes) (Michael J. Zehr)
  30. Re: Accountant's error catches thief! (D King)
  31. Re: Caller-ID (yet again) (Greg Rose)
  32. UNIX security Tutorials (7 Dec, San Jose) (Sun User Group Conference)
  33.     (Nancy Frishberg)
  34. Papers accepted for AUSCRYPT'92 (Yuliang Zheng)
  35.  
  36.  The RISKS Forum is moderated.  Contributions should be relevant, sound, in 
  37.  good taste, objective, coherent, concise, and nonrepetitious.  Diversity is
  38.  welcome.  CONTRIBUTIONS to RISKS@CSL.SRI.COM, with relevant, substantive 
  39.  "Subject:" line.  Others may be ignored!  Contributions will not be ACKed.  
  40.  The load is too great.  **PLEASE** INCLUDE YOUR NAME & INTERNET FROM: ADDRESS,
  41.  especially .UUCP folks.  REQUESTS please to RISKS-Request@CSL.SRI.COM.     
  42.  
  43.  Vol i issue j, type "FTP CRVAX.SRI.COM<CR>login anonymous<CR>AnyNonNullPW<CR>
  44.  CD RISKS:<CR>GET RISKS-i.j<CR>" (where i=1 to 14, j always TWO digits).  Vol i
  45.  summaries in j=00; "dir risks-*.*<CR>" gives directory; "bye<CR>" logs out.
  46.  The COLON in "CD RISKS:" is essential.  "CRVAX.SRI.COM" = "128.18.10.1".
  47.  <CR>=CarriageReturn; FTPs may differ; UNIX prompts for username, password.
  48.  
  49.  For information regarding delivery of RISKS by FAX, phone 310-455-9300
  50.  (or send FAX to RISKS at 310-455-2364, or EMail to risks-fax@cv.vortex.com).
  51.  
  52.  ALL CONTRIBUTIONS CONSIDERED AS PERSONAL COMMENTS; USUAL DISCLAIMERS APPLY.
  53.  Relevant contributions may appear in the RISKS section of regular issues
  54.  of ACM SIGSOFT's SOFTWARE ENGINEERING NOTES, unless you state otherwise.
  55.  
  56. ----------------------------------------------------------------------
  57.  
  58. Date: 12 Nov 92 12:39:21 EST
  59. From: "Ray Todd Stevens" <RAY@safety.nwscc.sea06.navy.mil>
  60. Subject:  Voting fraud (is it an accident?)
  61.  
  62. Our voting machines are a series of buttons on the outside of a continuous
  63. sheet of paper.  You can go page to page with buttons.  each button is supposed
  64. to point at a candidate/proposal.  It didn't work that way.
  65.  
  66. When I went through the ballot I found several pages that pointed at the lines
  67. between the selections, and not at a selection.  I found that it was not
  68. possible to push the button for Clinton, but was possible to push the button
  69. above Bush.  I also found that went I paged forward, and back that the lit
  70. buttons didn't point at the people I had voted for.
  71.  
  72. I pointed this out to the election judges and was told that "They
  73. only deal with the totals, and therefore it would all average out"
  74.  
  75. Ray Todd Stevens, Contractor, Resource Protection Dept NSWC Crane Div.
  76. Ray@safety.nwscc.sea06.navy.mil  (812) 854-3292  854-3294  854-3289
  77.  
  78. ------------------------------
  79.  
  80. Date: Fri, 13 Nov 92 12:40:01 GMT
  81. From: Jonathan.Bowen@prg.ox.ac.uk
  82. Subject: Safe Conduct
  83.  
  84. The 12 November 1992 issue of the weekly UK newspaper "Computing" has a three
  85. page spread (pp18-21) on safety-critical systems entitled "Safe Conduct" by
  86. Clair Neesham. In particular, new piece of EC legislatation, the Machine Safety
  87. Directive, comes into effect in the UK on 1 January 1993. This encompasses
  88. software and if there is an error in the machine's logic that results in injury
  89. then a claim can be made under civil law against the supplier. If negligence
  90. can be proved during the product's design or manufacture then criminal
  91. proceedings may be taken against the director or manager in charge.  There will
  92. be a maximum penalty of three months in jail or a large fine.  (This actually
  93. sounds rather low to me.) Suppliers will have to demonstrate that they are
  94. using best working practice including, for example, risk analysis and project
  95. planning. The DTI-funded (Department of Trade and Industry) Safety-Critical
  96. Systems Club is helping to raise awareness of the issues in the UK with regular
  97. meetings and a newsletter.  A knowledge of relevant standards is important
  98. (e.g., ISO9001, 00-55 & 00-56, DO-178, ...). Formal methods (e.g., Z, VDM and
  99. B) are cited as one way of improving matters, but judging from the "site study"
  100. boxes in the article, there is still considerable scepticism in industry about
  101. their applicability at the moment, due to lack of trained personnel, problems
  102. of scaling up, worries about extra cost, etc.  However, they are seen as
  103. promising for the future.
  104.                                 Jonathan Bowen, Oxford University
  105.  
  106. ------------------------------
  107.  
  108. Date: 12 Nov 92 12:39:21 EST
  109. From: "Ray Todd Stevens" <RAY@safety.nwscc.sea06.navy.mil>
  110. Subject:  Retirement award trips up a crook
  111.  
  112. I number of years ago I was called in as a consultant to look into a suspected
  113. case of fraud.  The reason for the belief that there was fraud involved was
  114. that one of their low paid clerks had retired, and at the end of the year they
  115. give out attendance awards.  They wanted this person to pick up his "20 years
  116. without a sick day" award at the awards banquet, and attempted to invite him.
  117. They found out that this guy had been living it up as a jet setter.  Someone
  118. decided to find out how he could afford it.  It was not hard to figure out.
  119.  
  120. This guy was in charge of all office supplies for the Corp (a large
  121. multinational).  This meant that he was in charge of ordering and then
  122. confirming receipt of supplies.  He was supposed to keep an inventory on hand,
  123. (central management to the max) and ship out supplies as needed.  The supposed
  124. control was the the office managers were supposed to confirm that they received
  125. what he said he sent them.  He was able to set up a phony company and order
  126. goods from it he then receipted in the goods, and include these in shipments.
  127. If he had missed just one day he would never have been caught.
  128.  
  129. By the way he basically got a way with it.  I return for keeping his mouth shut
  130. about where he got the money he got to keep all of the interest, and way not
  131. prosecuted.
  132.  
  133. Ray Todd Stevens, Contractor, Resource Protection Dept NSWC Crane Div.
  134. Ray@safety.nwscc.sea06.navy.mil  (812) 854-3292  854-3294  854-3289
  135.  
  136. ------------------------------
  137.  
  138. Date: Wed, 11 Nov 1992 02:28:13 +0100
  139. From: Dik.Winter@cwi.nl
  140. Subject: PINs and Needles
  141.  
  142. (Based on an article in Vrij Nederland of 31 October, 1992.)
  143.  
  144. For years the Dutch banks have stated that they do not store the PIN code
  145. required for many transactions using cards.  They imply that if somebody
  146. reports illegal use of the card plus PIN code this is only because the owner of
  147. the card has not been careful enough with his code.  They also told us that
  148. there is no way to calculate the code given an account number only.  And they
  149. also imply that a 4-digit PIN code is sufficient for security (as many know,
  150. this is not true).
  151.  
  152. It has now been revealed that some banks routinely tell customers their PIN
  153. code if they did forget it.  There is one case on record where during a
  154. criminal investigation the police wondered whether a particular number written
  155. down by the person under investigation was the PIN code connected to a
  156. particular account.  They just asked the bank for the PIN code for the account
  157. and received it back, the number as written down was just the code in reverse.
  158.  
  159. More interesting is here that even though the banks do not store actual PIN
  160. codes (and as such are technically correct in some of their statements), some
  161. have the data available to calculate the code even if the card is not
  162. available.
  163.  
  164. They still maintain the system is safe.
  165.  
  166. dik t. winter, cwi, kruislaan 413, 1098 sj  amsterdam, nederland
  167. home: bovenover 215, 1025 jn  amsterdam, nederland; e-mail: dik@cwi.nl
  168.  
  169. ------------------------------
  170.  
  171. Date: Thu 12 Nov 1992 10:08 -0400
  172. From: Bob_Frankston@frankston.com
  173. Subject: Re: "End-Running" Key Registration
  174.  
  175. When I talk on cellular phones, I already take precautions by making 
  176. allusions to other events and taking full advantage of the shared context so 
  177. that the message is innocuous the the casual listeners. This is the norm for 
  178. aware people in any case where there is a concern about the possibility of 
  179. being overheard.  Teflon John wouldn't be caught dead (or would be dead if 
  180. caught?) being too direct over a potentially public (i.e. tappable) channel.  
  181. This technique works even without intent to be secret -- just listen to two 
  182. MIT students planning their courses for the following semester.
  183.  
  184. The real issue is exchanging large amounts of data or regular transmissions
  185. such as financial transactions among a large community of users so that all the
  186. information about the techniques is public and all that is hidden are the keys.
  187.  
  188. BTW, it has long been the case that encryping over Telex by using code words, 
  189. or even nonEnglish words, has been illegal in many countries.
  190.  
  191. ------------------------------
  192.  
  193. Date: Thu, 12 Nov 92 15:30:46 PST
  194. From: berry@athos.pei.com (Berry Kercheval)
  195. Subject: Cellular Phones in Aircraft
  196.  
  197. Mr. Robert Gezelter writes in RISKS-14.04 about cellular phones being used "in
  198. aircraft (at least those operating under Instrument Flight Rules)".
  199.  
  200. First of all, the FAA (Federal Aviation Administration) leaves the decision of
  201. the use of electronic equipment in aircraft up to the operator of the aircraft.
  202. This means, essentially, the aircraft's owner: either me, in the case of my own
  203. plane, or the company operating the aircraft: American Airlines, for instance.
  204.  
  205. The frequencies that cellular phones operate on do not directly conflict with
  206. aviation frequencies, but some poorly designed phones could emit RFI (harmonics
  207. of the carrier, or IF frequencies for example) in frequencies that could
  208. interfere with navigation equipment.  Usually this is not a problem, though, as
  209. most avionics gear is tolerably well shielded.
  210.  
  211. Secondly, the FCC (Federal Communications Commission) is the one that bans
  212. cellular phone use in aircraft, whether under Instrument Flight rules or not.
  213. It turns out that when a cellular phone at, say, 20,000 feet tries to make a
  214. call it will wake up cells for hundreds of miles around and badly confuse the
  215. system, which is expecting to get a signal from only a few cells at once.
  216.  
  217. The blanket ban *is* due to cell overlap, then, and my guess is the reason
  218. there is not an altitude restriction is that it's too hard to figure out; the
  219. number of cells reached is a complex function of altitude, position of the
  220. aircraft and cells, and the topography of the surrounding landscape.  I can
  221. just picture the FCC bureaucrat saying ``Hell, that's too hard.  Let's just ban
  222. 'em all.''.
  223.                                         --berry
  224.  
  225. ------------------------------
  226.  
  227. Date: Thu, 12 Nov 92 09:33:57 -0500
  228. From: purtilo@cs.UMD.EDU (Jim Purtilo)
  229. Subject: voice mail systems
  230.  
  231. CMARTIN@nswc.navy.mil wrote about the then-new voice mail system installed at
  232. Maryland, and the problems which ensued when students discovered that all the
  233. pass codes were set the same.  One lesson he suggested from this was to the
  234. engineers, who should either make the codes different, or make a better attempt
  235. to warn users about the situation.
  236.  
  237. The education needs to be given regularly to new employees and also visitors,
  238. else they can become special targets of locals who already "know the system".
  239. As case in point, I cite one of my own (many) experiences with the UM voice
  240. mail system that CMARTIN mentions.  A few months ago I was given a new office,
  241. whose previous occupant had been a prestigious visitor.  My own phone number
  242. lagged behind the move by a few days, so I temporarily got use of phone account
  243. of our visitor, Nancy Leveson.  Guess who didn't get the word to change the
  244. default passcode!
  245.  
  246. Don't worry, Nancy, none of the messages sounded urgent.  :-)
  247.  
  248. I discovered you can learn a lot about someone by playing with their
  249. intelligent phone system.  The "redial" button suggested a last user might have
  250. ordered a carry out meal from Cluck-U-Chicken, a popular campus town eatery at
  251. the time.  (If the place had used caller-ID like so many carry-out businesses
  252. these days, then I suppose I could have just ordered the "usual" and found out
  253. the previous user's tastes too.)  I thought it best not to see where the "speed
  254. dialing" buttons got me.  But does anyone know of stock brokers or doctors
  255. offices use caller-ID as a check for letting callers request a transaction or
  256. access info?
  257.  
  258. CMARTIN did not report the most fun aspect of the voice mail system, which was
  259. not generally open to students.  It was (notice past tense) "call pickup"....
  260. intended, I presume, as convenience in a large office, it lets you answer a
  261. call to your number from someone else's phone. After hearing a distinctive
  262. ring, say while you are down the hall, you can hit one button and get the next
  263. incoming call, picking it up.  Well .... as we know so much in this business,
  264. "programming in the small" is not the same as "programming in the large".  The
  265. call pickup feature does not scale, as we demonstrated empirically.  Some
  266. thoughtful soul had spec'd call pickup in our new system, but, to save money
  267. set up the entire CS department on the same "group". (We were told this was to
  268. save money...  one paid per group, where "group" was a set of numbers within
  269. which the pickup feature would work.)  The net result of this was that whenever
  270. a professor got bored, he or she could play call-pickup-roulette ...  that is,
  271. pick up the phone, punch the "pickup number" and see if anyone was calling
  272. *anyone* in the building.  That is, you could intercept any incoming call with
  273. lucky timing.  (I should note that John Gannon had demonstrated a keen
  274. proficiency in this technique.)  The entertaining part of this was how you
  275. handled the call, which I leave to the reader's imagination.
  276.  
  277. John has a fertile imagination, especially when egged on by his office
  278. neighbor.  The feature didn't last long.
  279.                                                      Jim
  280.  
  281. ------------------------------
  282.  
  283. Date: 12 Nov 1992 07:55:05 -0500
  284. From: huff@MCCLB0.MED.NYU.EDU (Edward J. Huff)
  285. Subject: Radio to remote computer protocol design
  286.  
  287. Here is a chance to help get some equipment which will be widely used by the
  288. public to work right from the start.  A friend of mine in the communications
  289. industry is a member of a committee made of representatives of equipment
  290. manufacturers.  They are not experts in designing or testing protocols, but are
  291. designing several which will be used to accept messages from the public, carry
  292. them between equipment made by the several companies, ending in a radio
  293. receiver interfaced to the end user's computer.  If things go as they have in
  294. the past, the protocols may be far from robust.  I am not identifying the
  295. parties involved, and I hope that none of them take offense.  None is intended.
  296. Learning to design protocols is not so easy.  Just being smart is not enough.
  297.  
  298. No doubt the "obviously difficult" parts, like the radio forward error
  299. correction, will be done properly.  It is the "easy" parts involving
  300. asynchronous communications that are likely to be defective in nonobvious ways.
  301. One likely defect is that not every manufacturer's equipment will work properly
  302. with the others.  This is a source of cost, and is the primary reason the
  303. question of validating the equipment and protocols came up.  But of course, if
  304. that sort of defect can arise, probably others which cause the public harm
  305. might also arise.
  306.  
  307. Anyway, I will capture and forward any e-mail I receive on the subject to the
  308. committee.  Maybe they can be persuaded to publish the protocols in a suitable
  309. Usenet newsgroup, or elsewhere, for comment.  Maybe they can also be persuaded
  310. to make eavesdropping difficult.  Recommendations of books, papers, testing
  311. software, or qualified experts, is solicited.
  312.  
  313. The correct reply address is "huff@mcclb0.med.nyu.edu"
  314.  
  315. ------------------------------
  316.  
  317. Date: Fri, 13 Nov 92 12:26:35 EST
  318. From: ICCGCC.dnet!HERRICKD@cs.hh.ab.com (daniel lance herrick)
  319. Subject: RISKS of technical people disengaging brain
  320.  
  321. >It's already a cliche, but it's still true: when cryptography is outlawed, 
  322. >only outlaws will use cryptography. (And no, I *don't* believe the same 
  323. >is true for guns.)
  324.  
  325. Realizing that anyone who wants it can recover it, I have excised the signature
  326. from this quotation because the author only made himself a representative of a
  327. large class of fuzzy thinkers when he wrote it.
  328.  
  329. Consider the proposition:
  330.  
  331. If X is outlawed, then only outlaws will {have|use} X.
  332.  
  333. The hypothesis of that proposition is merely a statement that some legislative
  334. body has declared the consequent to be true.  The proposition is a tautology,
  335. true for all possible values of the variable X.
  336.  
  337. In particular, it is true for typewriters.  I believe the samizdat caused at
  338. least one legislative body to substitute typewriter into the proposition for X.
  339. It is true for photocopiers.  It is true for orange peels, though I don't know
  340. of any legislature that has outlawed orange peels.
  341.  
  342. Most of us are in professions where logic is of some importance.  It hurts
  343. credibility to declare in public, "I *don't* believe" a tautology.
  344.  
  345. dan herrick     dlh%dlhpfm@NCoast.org
  346.  
  347. ------------------------------
  348.  
  349. Date: Wed, 11 Nov 92 14:13:08 -0500
  350. From: tada@Athena.MIT.EDU
  351. Subject: Re: Credit Thieves (and learning from mistakes)
  352.  
  353. Credit fraud is a particular concern of mine because I'm going through a
  354. similar situation.  What I found interesting about the article posted by Mr.
  355. Robinson was a parallel to previous well known computer system failures.
  356.  
  357. In his October 20 talk at MIT, Mr. Neumann pointed out [some of the problems
  358. of] not learning from our mistakes.  The 1980 ARAPANET failure and the 1990
  359. AT&T failure were both caused by propagation of invalid packets across a
  360. network (conceptually speaking, at least).  Cleaning up a corrupted credit
  361. record is a similar problem.  Given the sharing of credit data, one has to
  362. remove the incorrect information from all credit database simultaneously, or
  363. it's likely to spread throughout the system again!
  364.  
  365. In addition, there's a security risk: the owner of any credit database can
  366. insert faulty information and it will then be propagated throughout the system.
  367.  
  368. michael j. zehr
  369.  
  370. ------------------------------
  371.  
  372. Date: Wed, 11 Nov 92 13:24:30 GMT
  373. From: king@ukulele.reasoning.com
  374. Subject: Re: Accountant's error catches thief! (RISKS-14.03)
  375.  
  376. >>  ...  Eventually a screw-up elsewhere in the system
  377. >>  forced a thorough enough audit to plug the hole for one set of
  378. >>  transactions, leading to the transgressor's arrest]
  379.  
  380. The error, of course, had no essential role in catching the embezzler.  What
  381. had to happen is that occasionally the accounting thoroughness had to far
  382. exceed the bounds of cost-effectiveness.
  383.  
  384. The random process is all too often an error of some sort, but i understand
  385. that banks do an extreme audit on each branch every six months or so, at random
  386. times.
  387.                                         -dk
  388.  
  389. ------------------------------
  390.  
  391. Date: Wed, 11 Nov 92 14:01:26 +1100
  392. From: "Greg Rose" <ggr@nareen.acci.com.au>
  393. Subject: Re: Caller-ID (yet again) 
  394.  
  395. I just thought that readers of RISKS might like to know that IBM Australia has
  396. a newly installed phone system that shows the calling number much of the time.
  397. There has been no public comment (that I have seen) about the availability of
  398. such information, or any way to turn it off. Most people I have talked to don't
  399. know that the feature is available.
  400.  
  401. I spoke to our Telecom representative. Both ACCI and IBM Australia are ISDN
  402. customers, and Caller-ID is a standard feature of ISDN.  Individual customers
  403. get to enable or disable outgoing caller identification at the time they get
  404. the service. By default the outgoing information is the phone number, but the
  405. PABX can be programmed to send alphanumeric information, such as the caller's
  406. name!  (According to the techie I talked to, most ISDN customers do allow their
  407. identification information to go out, although some don't.  Either way, the
  408. customer has to specifically address the question.  ACCI allows the Caller-ID
  409. information even though our own handsets don't have display capability.)
  410.  
  411. Caller-ID for non-ISDN customers is technically available on most newer
  412. exchanges, but AUSTEL, the regulatory authority now that Telecom has
  413. competition, has not yet allowed general access until they address the privacy
  414. issues.
  415.  
  416. I was impressed by this answer, both that it seems Australia is addressing the
  417. issues pro-actively rather than waiting for a hoo-haa to occur, and also
  418. because it was not particularly difficult to get the information.
  419.  
  420. Greg Rose                 Australian Computing and Communications Institute
  421. ggr@acci.com.au                                              +61 18 174 842
  422.  
  423. ------------------------------
  424.  
  425. Date: Thu, 12 Nov 1992 20:00:01 GMT
  426. From: nancyf@sug.org (Nancy Frishberg)
  427. Subject: Tutorials (12/7, San Jose) - UNIX security (Sun User Group Conference)
  428.  
  429. If you're concerned about UNIX security, you might plan to be at the
  430. Sun User Group Conference (San Jose Convention Center) on Monday,
  431. December 7, 1992. The Conference and Exhibition extends through Thursday.
  432.  
  433. In the all-day tutorial "Advanced Unix Security",  Matt Bishop
  434. (Dartmouth University) will examine four areas critical to the
  435. functioning of secure Unix systems: user authentication, management of
  436. privileges, defending against malicious logic, and networking.
  437.  
  438. Concurrently Brent Chapman (Great Circle Associates) will lead
  439. a morning session on "Preparing for Disaster" and Bob Baldwin (Tandem
  440. Computers) will answer the question "Why have Computer Security?" during
  441. the afternoon.
  442.  
  443. Special offer: 5 full conference registrations (each includes a day of 
  444. tutorial) for the price of 4 when preregistering with a single payment.
  445.  
  446. Other full-day tutorials:
  447. * Sun Network Debugging (Smoot Carl-Mitchell, Texas Internet Consulting)
  448. * Topics in Perl (Tom Christiansen, Convex Computer Corporation)    
  449. * Programming in POSIX (Jeffrey S. Haemer, Canary Software)    
  450. * UNIX Programming Tools (Kenneth Ingham, consultant)
  451. * The Internet and its Protocols (William LeFebvre, Northwestern University)
  452. * Introduction to UNIX System Administration (Dinah McNutt, Tivoli Systems)
  453. * Integrating C Code and Xt Widgets (Craig Rudlin, MD, Medical Software and 
  454.   Computer Systems)
  455.  
  456. If you just want to go to the exhibits, ask for a free show-only pass.
  457.  
  458. To get more information by email about these tutorials, the technical program,
  459. or exhibits at the Sun User Group conference, send requests to sugshow@sug.org .
  460.  
  461. You will receive the full tutorials and program description with
  462. registration information.  Or call 1-800/727-EXPO.  (Outside the U.S.,
  463. use 512/331-7761 (voice) or 512/331-3950 (FAX).)  
  464.  
  465. Nancy Frishberg, Sun User Group.
  466.  
  467. ------------------------------
  468.  
  469. Date: Fri, 13 Nov 1992 14:57:16 +1100
  470. From: Yuliang Zheng <yuliang@cs.uow.edu.au>
  471. Subject: Papers accepted for AUSCRYPT'92 -- Schedule
  472.  
  473.         MONDAY, 14TH DECEMBER 1992
  474.  
  475. Session 1: AUTHENTICATION AND SECRET SHARING I
  476.  
  477. (9.00-9.50)
  478. Threshold cryptography (invited talk)
  479. Y. Desmedt (University of Wisconsin-Milwaukee, US),
  480.  
  481. (9.50-10.10)
  482. Authentication codes with perfect protection,
  483. L. Tombak, R. Safavi-Naini (University of Wollongong, Australia)
  484.  
  485. (10.10-10.30)
  486. Practical proven secure authentication with arbitration
  487. Y. Desmedt (University of Wisconsin-Milwaukee, US),
  488. J. Seberry (university of Wollongong, Australia)
  489.  
  490. Session 2: AUTHENTICATION AND SECRET SHARING II
  491.  
  492. (11.00-11.20)
  493. Authentication codes under impersonation attack,
  494. R. Safavi-Naini, L. Tombak (University of Wollongong, Australia)
  495.  
  496. (11.20-11.40)
  497. Cumulative arrays and geometric secret sharing schemes,
  498. W.A. Jackson (Royal Holloway and Bedford New College, UK),
  499. K.M. Martin (University of Adelaide, Australia)
  500.  
  501. (11.40-12.00)
  502. Nonperfect secret sharing schemes,
  503. W. Ogata, K. Kurosawa (Tokyo Institute of Technology, Japan)
  504.  
  505. (12.00-12.20)
  506. A construction of practical secret sharing schemes
  507. using linear block codes,
  508. M. Bertilsson, I. Ingemarsson (Linkoping University, Sweden)
  509.  
  510. Session 3: SIGNATURES AND HASHING ALGORITHMS
  511.  
  512. (13.40-14.00)
  513. HAVAL --- a one-way hashing algorithm with variable length of output,
  514. Y. Zheng, J. Pieprzyk, J. Seberry (University of Wollongong, Australia)
  515.  
  516. (14.00-14.20)
  517. On the power of memory in the design of collision
  518. resistant hash functions,
  519. B. Preneel, R. Govaerts, J. Vandewalle (Katholieke Univesiteit
  520. Leuven, Belgium)
  521.  
  522. (14.20-14.40)
  523. A practical digital multisignature scheme based on discrete logarithms,
  524. T. Hardjono (ATR Communication Research, Japan),
  525. Y. Zheng (University of Wollongong, Australia)
  526.  
  527. (14.40-15.00)
  528. Group-oriented undeniable signature schemes without
  529. the assistance of a mutually trusted party,
  530. L. Harn (University of Missouri-Kansas City, US),
  531. S. Yang (University of Science and Technology of China, PRC)
  532.  
  533. Session 4: THEORY OF S-BOXES
  534.  
  535. (15.30-15.50)
  536. Highly nonlinear 0-1 balanced Boolean functions satisfying
  537. strict avalanche criterion,
  538. X.M. Zhang, J. Seberry (University of Wollongong, Australia)
  539.  
  540. (15.50-16.10)
  541. Linear nonequivalence versus nonlinearity,
  542. C. Charnes, J. Pieprzyk University of Wollongong, Australia)
  543.  
  544. (16.10-16.30)
  545. Constructing large cryptographically strong S-boxes,
  546. J. Detombe, S. Tavares (Queen's University, Canada)
  547.  
  548.              TUESDAY, 15TH DECEMBER 1992
  549.  
  550. Session 5: CRYPTANALYSIS
  551.  
  552. (9.00-9.50)
  553. Wire tape channel (invited talk)
  554. V. Korjik (Bronch-Bruevitch Technical Communications University,
  555. St Petersburg, Russia)
  556.  
  557. (9.50-10.10)
  558. Cryptanalysis of LOKI91,
  559. L.R. Knudsen (Aarhus University, Denmark)
  560.  
  561. (10.10-10.30)
  562. Cryptanalysis of summation generator,
  563. E. Dawson (Queensland University of Technology, Australia)
  564.  
  565. Session 6: PROTOCOLS I
  566.  
  567. (11.00-11.20)
  568. Secure addition sequence and its application
  569. on the server aided secret computation protocols,
  570. C.S. Laih, S.M. Yen (National Cheng Kung University, Taiwan)
  571.  
  572. (11.20-11.40)
  573. Subliminal channels for signature transfer and their
  574. application to signature distribution schemes,
  575. K. Sakurai (Mitsubishi Electric Co., Japan),
  576. T. Itoh (Tokyo Institute of Technology, Japan)
  577.  
  578. (11.40-12.00)
  579. A practical secret voting scheme for large scale elections,
  580. A. Fujioka, T. Okamoto, K. Ohta (NTT, Japan)
  581.  
  582. (12.00-12.20)
  583. Privacy for multi-party protocols,
  584. T. Satoh, K. Kurosawa (Tokyo Institute of Technology, Japan)
  585.  
  586. Session 7: PROTOCOLS II
  587.  
  588. (13.30-13.50)
  589. New protocols for electronic money,
  590. J.C. Pailles (SEPT, France)
  591.  
  592. (13.50-14.10)
  593. Modeling and analyzing cryptographic protocols using Petri nets,
  594. B.B. Nieh, S.E. Tavares (Queen's University, Canada)
  595.  
  596. (14.10-14.30)
  597. On verifiable implicit asking protocols for RSA computation, 
  598. T. Matsumoto, H. Imai (Yokohama National University, Japan), 
  599. C-S. Laih, S-M. Yen (National Cheng Kung University, Taiwan)
  600.  
  601. (14.30-14.50)
  602. Modified Maurer-Yacobi's scheme and its applications,
  603. C.H. Lim, P.J. Lee (Pohang Institute of Science and Technology, Korea)
  604.  
  605. Session 8: SEQUENCES
  606.  
  607. (15.20-15.40)
  608. The vulnerability of geometric sequences based on
  609. fields of odd characteristic,
  610. A. Klapper (University of Manitoba, Canada)
  611.  
  612. (15.40-16.00)
  613. A fast cryptographic checksum algorithm based on stream ciphers,
  614. X. Lai, R.A. Rueppel, J. Woollven (R^3 Security Engineering, 
  615. Switzerland)
  616.  
  617. (16.00-16.20)
  618. An approach to the initial state reconstruction of a clock-controlled
  619. shift register based on a novel distance measure,
  620. M. Mihaljevic (University of Belgrade, Yugoslavia)
  621.  
  622. (16.20-16.40)
  623. Construction of m-ary de-Bruijn sequences,
  624. J.H. Yang, Z.D. Dai (Academia Sinica, China)
  625.  
  626.      WEDNESDAY, 16TH DECEMBER 1992
  627.  
  628. Session 9: PSEUDORANDOMNESS
  629.  
  630. (9.00-9.50)
  631. Information technology security standards (invited talk)
  632. J. Snare (Telecom Research Laboratories, Australia)
  633.  
  634. (9.50-10.10)
  635. Non-interactive generation of shared pseudorandom sequences,
  636. M. Cerecedo, T. Matsumoto, H. Imai (Yokohama National University, Japan)
  637.  
  638. (10.10-10.30)
  639. A generalized description of DES-based and Benes-based
  640. permutation generators,
  641. M. Portz (RWTH Aachen, Germany)
  642.  
  643. Session 10: ODDS AND ENDS
  644.  
  645. (11.00-11.20)
  646. Prime generation with the Demytko-Miller-Trbovich algorithm,
  647. L. Condie (University of New England, Australia)
  648.  
  649. (11.20-11.40)
  650. Construction of feebly-one-way families of permutations,
  651. A.P. Hiltgen (Swiss Federal Institute of Technology, Switzerland)
  652.  
  653. (11.40-12.00)
  654. On bit correlations among preimages of "many to one" one-way functions,
  655. K. Sakurai (Mitsubishi Electric Co., Japan),
  656. T. Itoh (Tokyo Institute of Technology, Japan)
  657.  
  658. (12.00-12.20)
  659. A fast cascade exponentiation algorithm and its
  660. application on cryptography,
  661. S.M. Yen, C.S. Laih (National Cheng Kung University, Taiwan)
  662.  
  663. Session 11: PUBLIC KEY CRYPTOGRAPHY I
  664.  
  665. (13.30-14.20)
  666. Public key generation --- state-of-the-art (invited talk)
  667. P. Landrock (Aarhus University, Denmark)
  668.  
  669. (14.20-14.40)
  670. The design of a conference key distribution system,
  671. C.C. Chang (National Chung Cheng University, Taiwan),
  672. T.C. Wu (National Chiao Tung University, Taiwan),
  673. C.P. Chen (National Chung Cheng University, Taiwan)
  674.  
  675. (14.40-15.00)
  676. Public-key cryptosystem based on the discrete logarithm problem,
  677. L. Harn (University of Missouri-Kansas City, US),
  678. S. Yang (University of Science and Technology of China, PRC)
  679.  
  680. Session 12: PUBLIC KEY CRYPTOGRAPHY II
  681.  
  682. (15.30-15.50)
  683. Elliptic curves over Fp suitable for cryptosystems,
  684. A. Miyaji (Matsushita Electric Industrial Co., Japan)
  685.  
  686. (15.50-16.10)
  687. New public-key cryptosystems based on factorization of finite groups,
  688. M. Qu, S.A. Vanstone (University of Waterloo, Canada)
  689.  
  690. (16.10-16.30)
  691. The probability distribution of the Diffie-Hellman key,
  692. C.P. Waldvogel, J.L. Massey
  693. (Swiss Federal Institute of Technology, Switzerland)
  694.  
  695. (16.30-16.50)
  696. A modular unit based on systolic arrays,
  697. J. Sauerbrey (Technische Universitat Munchen, Germany)
  698.  
  699. (16.50-17.10)
  700. A comparison of key distribution patterns 
  701. constructed from circle geometries,
  702. C.M. O'Keefe (University of Adelaide, Australia)
  703.  
  704. For more information, please contact
  705.  
  706.      Auscrypt'92 Secretary,      Office of Educational Services
  707.      Queensland University of Technology,      G.P.O. Box 2434
  708.      Brisbane, QLD 4001       Australia
  709.  
  710.      Fax:   +61-7-864 3529         Phone: +61-7-864 2822
  711.      Email: zsrcdawson@qut.edu.au (Ed Dawson)  or
  712.             w_caelli@qut.edu.au   (Bill Caelli)
  713.  
  714. ------------------------------
  715.  
  716. End of RISKS-FORUM Digest 14.05
  717. ************************
  718.