home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #27 / NN_1992_27.iso / spool / sci / crypt / 4827 < prev    next >
Encoding:
Internet Message Format  |  1992-11-15  |  4.7 KB
  1. Path: sparky!uunet!europa.asd.contel.com!darwin.sura.net!zaphod.mps.ohio-state.edu!cs.utexas.edu!sun-barr!news2me.EBay.Sun.COM!exodus.Eng.Sun.COM!cloudbase!jfarrell
  2. From: jfarrell@cloudbase (Jerry Farrell)
  3. Newsgroups: sci.crypt
  4. Subject: Re: Limits on the Use of Cryptography?
  5. Date: 15 Nov 1992 20:04:59 GMT
  6. Organization: Sun Microsystems Inc., Mountain View, CA
  7. Lines: 74
  8. Message-ID: <lgdbbbINNrfv@exodus.Eng.Sun.COM>
  9. References: <1992Nov11.061210.9933@cactus.org>
  10. NNTP-Posting-Host: cloudbase
  11. X-Newsreader: Tin 1.1 PL4
  12.  
  13. First, let me express my awe and admiration for the patient persistence
  14. Terry Ritter has shown in returning this discussion to its topic (or
  15. at least to the topic *he* proposed), whenever it veered toward one
  16. of the surrounding infernos.  Thank you, Terry.
  17.  
  18. Now, to return myself to the topic:  It seems to me there are three
  19. usable arguments that have come up so far, of varying applicability.
  20.  
  21. 1) Futility.  The means to strong encryption are readily available from
  22. numerous sources within and without the country.  Pre-registration would
  23. not prevent the use of secure channels by parties willing to break the
  24. law; quite possibly, it would only be detectable by an abuse on the part
  25. of snooping authorities.  Post-facto demands for a key could be met by
  26. stonewalling or legitimate ignorance of a session key; a simple "I
  27. don't rmember" sufficed for James R. Hoffa, and would likely reappear
  28. as needed.  And the penalty for failure to provide a key on (warranted)
  29. demand would very likely be less than the penalty for the hidden crime;
  30. we could expect some people to accept jail for contempt (or whatever)
  31. in lieu of revealing the keys LE would *really* like to see.  There
  32. seems to be *some* force to an argument that making unenforceable laws
  33. is a waste of effort and tax dollars (although there are plenty of
  34. counterexamples).
  35.  
  36. 2) Potential for abuse.  There is sufficient history of people in
  37. positions of trust abusing their powers to give this some weight.  Examples
  38. include tax records under the Nixon administration, the State department
  39. records of the Clintons, mere et fils, and various reported leaks of
  40. information from the NCIC to private investigators.  At lower levels
  41. of government, the record seems worse.  At the extreme, we have the case
  42. of Dutch population records falling into the hands of the Nazis.
  43.  
  44. All these examples argue primarily against pre-registration.  It seems to
  45. me opposition to post-facto demands would be stronger if based on (1) or
  46. (3).
  47.  
  48. 3) Restraint of progress.
  49.  a. Much of the most interesting research in the use of cryptography
  50.     involves one-time or session keys.  The user is hardly expected to know,
  51.     far less retain these keys.  A requirement to produce such keys on
  52.     demand effectively prohibits protocols where that is impractical.
  53.     This in turn severely restricts the use of electronic media in
  54.     domains where privacy, authentication, and accountability are critical.
  55.  b. The research mentioned in (a) has immediate application in the
  56.     economic life of this country.  Making it impossible (or even
  57.     too painfully impractical) to use cryptography will put our
  58.     information industries at a competetive disadvantage, open all our
  59.     industries to espionage, and put our financial structure at risk.
  60.  
  61. I expect these points could be better expressed, but they seem to
  62. address the arguments I have seen proposed.  I'd be very interested to
  63. see something new.
  64.  
  65. [Note added in proof:  another argument might be constructed, parallel
  66. to the use of time-clocks in safes to protect bank officials against
  67. threats designed to get them to reveal the combination.  In fact, many
  68. of the arguments in this cable of threads take on an interesting light if
  69. you view a bank or corporation as a conspiracy to commit commerce.]
  70.  
  71. It seems to me the arguments against pre-registration are quite strong,
  72. perhaps even strong enough to sway a drug-crazed congress.  I am less
  73. certain about post-facto demands for revelation.  If it could be arranged
  74. not to obstruct the use of transient keys, I might even be persuaded that
  75. the power to compel keys might be tolerable, *as long as it does not
  76. imply the necessity of retaining keys simply to respond to such a demand.*
  77. That is, as long as it is a legitimate response to a warrant for my keys
  78. to say "I don't know them; I threw them all away as soon as the session
  79. ended" or "I never knew them", I'm not sure I'd object to such a warrant
  80. issuing (except as a taxpayer concerned about the waste of my dollars on
  81. on futile pursuits).  My suspicion is that arguments of the form (3a)
  82. would be most effective in securing this middle ground.  This is vaguely
  83. troublesome: must we stoop to bashing NEC or Peugeot or the gnomes of
  84. Zurich to get our government to Do the Right Thing?
  85.  
  86. jf
  87.