home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #27 / NN_1992_27.iso / spool / sci / crypt / 4916 < prev    next >
Encoding:
Text File  |  1992-11-17  |  8.8 KB  |  143 lines
  1. Newsgroups: sci.crypt
  2. Path: sparky!uunet!cis.ohio-state.edu!pacific.mps.ohio-state.edu!linac!uchinews!gargoyle.uchicago.edu!hugh
  3. From: hugh@gargoyle.uchicago.edu (Hugh Miller)
  4. Subject: Re: Demons and Ogres
  5. Message-ID: <hugh.721982357@gargoyle.uchicago.edu>
  6. Sender: news@uchinews.uchicago.edu (News System)
  7. Organization: University of Chicago Computing Organizations
  8. References: <921114182202.126812@DOCKMASTER.NCSC.MIL> <1992Nov14.204512.17407@csi.uottawa.ca>
  9. Date: Tue, 17 Nov 1992 06:39:17 GMT
  10. Lines: 131
  11.  
  12.     Chris Browne's wonderful post is the very voice of reason, although
  13. it's a gone a little short of replies due, I suppose, to the clang of
  14. various metallic balloons.  (Phil Zimmermann's post of Nov. 17, I note
  15. happily, makes many of the same points.)
  16.  
  17.     He is, of course, exactly right.  It does those of us who support
  18. freely accessible practically secure cryptography no good at all to get
  19. tied up in endless wrangles amongst ourselves as to, in effect, who is
  20. the true keeper of the privacy (etc.) flame.  Phil Zimmermann's joke
  21. about the leftist firing squad is apropos.  (When I was in graduate
  22. school at Toronto a friend of a friend in the St. George Graduate
  23. Residence used to play a game he called `Anarchist Snooker.' It was set
  24. up like regular snooker, only the balls had meanings: the yellow ball
  25. stood for `The Press,' the green for `Capital,' the brown for `Fascism,'
  26. the blue for `The Military-Industrial Complex,' the pink for
  27. `Socialism,' the black for `Anarchism,' the white (cue) ball for `The
  28. Will of the People,' and the 15 reds, each differently labelled with a
  29. grease pen, stood for the various communist factions.  After each shot
  30. you had to stop and expound the politics of the layout of the table. The
  31. game pointed up the endless, senseless wrangling among the factions of
  32. the left, and what was especially cute was that, as in regular snooker,
  33. once all the red balls were in the pockets and gone, the other balls
  34. (`The Press,' `Capital,' `Fascism,' `The Military-Industrial Complex,')
  35. remained on the table and still in play.)
  36.  
  37.     Dr. Denning speaks from the perspective of one who deals with the
  38. sorts of people to whom Chris Browne refers -- the sort of people who
  39. would be likely to find even the `Modest Proposal' she floats in her
  40. initial (`lead') and revised (`copper') key-registration schemes too
  41. anarchistic and subversive for their tastes.  A genuine defense of
  42. freely accessible practically secure cryptography must attempt to
  43. address some of their concerns, even if we cannot hope to win over the
  44. more pathologically control-minded.  In the battle for the hearts and
  45. minds of the general public and the legislators we have to provide
  46. arguments which will be, as Browne says, "convincing to someone who has
  47. no problem with `strong government' as well as to someone who believes
  48. the government should either be small or nonexistent."  And, as Phil Z.
  49. notes, one has got to take into account the misuse of crypto, and
  50. provide convincing, not just abstract or logically valid, arguments for
  51. its use despite that potential for misuse.
  52.  
  53.     To start the ball rolling, a few initial efforts:
  54.  
  55.   I.    Freely accessible practically secure cryptography (FAPSC) is an
  56.         area in which the interests of private corporations and the
  57.         interests (some would say rights) of private individuals to be
  58.         secure in their persons and papers converge.  (They, ahem, don't
  59.         always.)  As one of the recent contributors to the discussion on
  60.         sci.crypt noted (I can't remember who, sorry!), it was supremely
  61.         ironic that in the same Congressional testimony in which he
  62.         lamented the explosive growth in recent years of industrial
  63.         espionage, FBI Director William Sessions went on record as
  64.         opposing FAPSC.  Making FAPSC illegal for the general populace
  65.         will severely impact the security of internal corporate
  66.         communications.  (Individual corporations are, I think, unlikely
  67.         to win exemptions to such legislation unless they do contract
  68.         work with the government, and then only on those specific
  69.         contracts.)  Such a general ukase on FAPSC would thus hurt
  70.         American business in a competitive world market.  This kind of
  71.         argument is already being made by many corporations, and loudly.
  72.  
  73.   II.   From my educated layman's view of the intelligence-gathering
  74.         process, two critical problems faced by analysts are (1)
  75.         identifying the needles of valuable information in the haystack
  76.         of more-or-less irrelevant data, and (2) correctly interpreting
  77.         that information for the end-user.  The presence of FAPSC would
  78.         not affect the second problem at all, as it is internal to the
  79.         relationship of the intelligence-gatherer and the end-user. It
  80.         _would_ affect the first problem, in certain ways.  It would of
  81.         course reduce the size of the haystack, since most of the bits
  82.         flowing into the intercept horns and linetaps would be
  83.         encrypted.  Some informational `needles' would doubtless be
  84.         obscured as well, and it is this prospect which exercises those
  85.         who oppose FAPSC.  But consider that the kind of
  86.         information-gathering facility which would be most impacted by
  87.         FAPSC is the one about which almost everybody in this debate has
  88.         the most misgivings: brute-force keyword searches on very-broad-
  89.         band comm trunks.  Here the analogy with paper mail is most apt
  90.         and should be played up for all it's worth: no one (or almost no
  91.         one) would agree that the government ought to be in the business
  92.         of steaming open and reading every letter passing through the
  93.         U.S. Postal Service in the hopes of catching someone plotting to
  94.         sell drugs or distribute kiddie porn, reprehensible as we find
  95.         such activities to be.  (Wartime mail censorhip is, of course,
  96.         the sole exception to this rule; but we haven't been formally at
  97.         war in a _very_ long time, and we have shown no inclination to
  98.         accept it or other related wartime expediencies even at the
  99.         height of the Korean, Vietnam, Drug, and Persian Gulf wars.)  If
  100.         by some other means (e.g. HUMINT) an intelligence-gathering
  101.         agency discovers several parties communicating for possibly
  102.         illegal purposes, it may obtain a court order by due process and
  103.         proceed to eavesdrop.  That the data stream that it intercepts
  104.         will be encrypted may not turn out to be a big problem, for
  105.         reasons given below.  So, taken all in all, when one counts the
  106.         (small) possible losses in information from ubiquitous FAPSC
  107.         against the enormous benefits to business and private citizens
  108.         from having it in place, it is clear that the balance of utility
  109.         is on the side of the latter option.  (Most folks love
  110.         cost-benefit analyses.)
  111.  
  112.    III. I propose that -- and this is, admiitedly, a stretch --
  113.         ubiquitous FAPSC would tend to _improve_ the quality of
  114.         intelligence gathered from telecomm.  Suppose, for the sake of
  115.         argument, that Agency N gets information that individuals A and
  116.         B are involved in what appears to be a conspiracy to, say, sell
  117.         illicitly acquired industrial secrets to company C. Further
  118.         assume that A and B are not professionals, i.e., trained spies;
  119.         assume rather that they use common carriers for their
  120.         communications and a trusted FAPSC package such as RIPEM or PGP.
  121.         Such persons are likely, given the current understanding of
  122.         FAPSC in the general populace, to be rather too credulous and
  123.         trusting of their security system.  This makes them easy
  124.         pickings for Agency N.  A quick trip in a Tempest van or a
  125.         black-bag job to obtain the secret keys of one or both parties,
  126.         and a wiretap, and Agency N can listen to their correspondence
  127.         until at least the next keychange, and maybe beyond.  It can
  128.         even spoof one or both parties and insert disinformation into
  129.         the communications stream between A and B, and have that
  130.         information acted on in complete trust of its authenticity.
  131.         This is the key point: a shallow understanding of current crypto
  132.         security (especially asymmetric cryptosystem) would lead the
  133.         likes of A and B to be more easily monitored and duped.  Shallow
  134.         understanding is about all that most nonprofessionals would ever
  135.         exhibit.  As for the professionals, of course, special means
  136.         will, and have always been, required to catch them; and the
  137.         presence of ubiquitous FAPSC will not make that task any more
  138.         onerous than it already is.
  139.  
  140.     More needs to be done.  Add to the list, or tear these apart.
  141. Hugh Miller         | Dept. of Philosophy | Loyola University of Chicago
  142. Voice: 312-508-2727 |  FAX: 312-508-2292  |    hmiller@lucpul.it.luc.edu
  143.