home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #27 / NN_1992_27.iso / spool / sci / crypt / 4981 < prev    next >
Encoding:
Text File  |  1992-11-18  |  5.0 KB  |  96 lines
  1. Newsgroups: sci.crypt
  2. Path: sparky!uunet!destroyer!ncar!uchinews!gargoyle.uchicago.edu!hugh
  3. From: hugh@gargoyle.uchicago.edu (Hugh Miller)
  4. Subject: Re: Demons and Ogres
  5. Message-ID: <hugh.722121298@gargoyle.uchicago.edu>
  6. Sender: news@uchinews.uchicago.edu (News System)
  7. Organization: University of Chicago Computing Organizations
  8. References: <921114182202.126812@DOCKMASTER.NCSC.MIL> <hugh.721982357@gargoyle.uchicago.edu> <1992Nov17.103439.19143@cactus.org>
  9. Date: Wed, 18 Nov 1992 21:14:58 GMT
  10. Lines: 84
  11.  
  12.     Terry Ritter writes:
  13.  
  14. >What corporations (e.g., banks) have typically screamed about is the
  15. >right to continue to use DES. A few months ago, corporations were
  16. >screaming about possibly being required to provide remote monitoring
  17. >access to their private telephone switches.  None that I know of is
  18. >fighting, say, for the right of their employees to use cryptography for
  19. >personal communications or data storage.
  20.  
  21.     But there _have_ been calls for the continued legality of public-key
  22. cryptosystems, since businesses recognize the key-management advantages
  23. such systems provide over single-key ones like DES.  Most corporations
  24. seem happy with the security DES affords, but would like to dispense
  25. with single-key management problems.  It is trivially true that
  26. corporations have no interest in supporting such crypto for the personal
  27. communications of their employees, since they don't want to pay
  28. employees for personal affairs, only for business ones; and it is
  29. equally trivially true that they would not be concerned with using
  30. crypto for internal data storage, since other systems already in place
  31. (physical security, access control, tape lockups, etc.) have been paid
  32. for and can be expected to do their jobs reasonably well.
  33.  
  34. > I see no reason to think that corporations would not be granted
  35. > easy-to-get licenses if they use particular types of equipment.
  36. >
  37. > In fact, a March 1987 article in Data Communications magazine
  38. > described NSA's Commercial Comsec Endorsement Program (CEEP) and
  39. > Project Overtake encryption equipment in two classes:  Types I
  40. > and II.  Type I would be available only to government agencies and
  41. > contractors, but a Type II "module" would be a replacement for DES
  42. > equipment, and would be built into a computer or communications
  43. > device and sold by a vendor.
  44. >
  45. > This program was not a success (they "ran it up the flagpole" and
  46. > nobody saluted), but, clearly, NSA *is* prepared to support the
  47. > concept of data encryption for business.  Not unexpectedly, there
  48. > was no proposal to provide low-cost consumer encryption, a topic
  49. > which has been at the heart of the argument here for the past week.
  50.  
  51.     As I pointed out in my original post, the government would likely
  52. support practically secure crypto for communications between its
  53. contractors and itself.  (There's your `Type I' equipment.)  For
  54. everybody else who wants it, NSA will be happy to ship you a board with
  55. some proprietary blackbox chips on it for use in your PC, plus a 16-page
  56. manual containing instructions and a mantra, "Trust us." (There's your
  57. Type II.)  This is not `practically secure' crypto, since it violates
  58. Kerckhoff's Assumption.  Corporations, who pay good money to hire good
  59. security people who know about such things, did not `salute,' as you put
  60. it.  On the basis of clumsy proposals like this I think it can be
  61. reasonably concluded that NSA supports "data encryption" if you are
  62. Martin Marietta communicating with Pentagon boffins about weapons
  63. systems; otherwise, it supports "data encryption" which we can be
  64. reasonably sure cannot be read by anybody but your intended recipient
  65. and the NSA.
  66.     _Of course_ NSA will not support freely available practically secure
  67. crypto for the masses.  In its view, such a thing would only make its
  68. own task, and that of domestic LE, harder.  But the burden of my
  69. argument (and that of others in this thread) is that we must try to come
  70. up with arguments, convincing to the public and legislators, why FAPSC
  71. should be allowed anyway.
  72.  
  73. > Business use and personal use are two different things.  I think
  74. > it quite likely that the government would like to license the
  75. > first, and minimize the second.
  76.  
  77.     I disagree (about business use).  A great deal of intelligence is (I
  78. understand) gotten from intercepts of business communications.  Why
  79. should intelligence agencies want to see that stream dry up?  (That's
  80. the whole reason, as I see it, for the `Type II' Overtake equipment.)
  81.  
  82. > Consequently, arguments based on American business competitiveness may
  83. > be totally irrelevant to the continued use of strong cryptography by
  84. > individuals.
  85.  
  86.     I still think that we have to try to construct _rhetorically_
  87. convincing arguments which, for example, piggyback FAPSC for the general
  88. public on the need for its use by business.  Politics makes strange
  89. bedfellows, and if keeping FAPSC legal for the use of business allows us
  90. to keep it legal for use by the masses, let's not kick our allies in 
  91. business out of the sack.
  92.  
  93.     -=- Hugh
  94. Hugh Miller         | Dept. of Philosophy | Loyola University of Chicago
  95. Voice: 312-508-2727 |  FAX: 312-508-2292  |    hmiller@lucpul.it.luc.edu
  96.