home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #27 / NN_1992_27.iso / spool / sci / crypt / 4984 < prev    next >
Encoding:
Internet Message Format  |  1992-11-18  |  7.2 KB
  1. Xref: sparky sci.crypt:4984 alt.privacy:2336
  2. Path: sparky!uunet!ogicse!clark!nsrvan.vanc.wa.us!sysevm
  3. From: sysevm@nsrvan.vanc.wa.us
  4. Newsgroups: sci.crypt,alt.privacy
  5. Subject: White Paper on SCIPH version 1
  6. Message-ID: <1992Nov18.110055.56@nsrvan.vanc.wa.us>
  7. Date: 18 Nov 92 19:00:55 GMT
  8. Article-I.D.: nsrvan.1992Nov18.110055.56
  9. References: <921114182202.126812@DOCKMASTER.NCSC.MIL> <1992Nov14.204512.17407@csi.uottawa.ca> <hugh.721982357@gargoyle.uchicago.edu> <1992Nov18.105748.55@nsrvan.vanc.wa.us>
  10. Organization: National Systems & Research, Vancouver WA
  11. Lines: 110
  12.  
  13.  
  14.              White Paper on Strong Cryptography in Public Use
  15.  
  16.  GROUND RULES.
  17.  
  18.  1) the white paper shall start with the ground rules
  19.  2) a version code shall be used to identify competing versions of the white
  20.     paper
  21.  3) each version of the white paper shall be indicated in the subject line in
  22.     the following format  'White Paper on SCIPH version n' Where n indicates the
  23.     specific version.
  24.  4) the creation of a new version will occur when major changes to the content
  25.     of the white paper are proposed or at any time the ground rules change. 
  26.  5) No Discussion or debate of the white paper(s) shall occur under the white
  27.     paper subject line (see rune 3)
  28.  6) DISCUSSION and debate of proposed changes to a specific version of the
  29.     white paper shall be noted in the subject line in the following format
  30.     'Discussion on SCIPH WP version n'
  31.  7) All persons are open to participate in the formulation of these white papers
  32.  
  33. -------------------------------------------------------------------------------
  34.  
  35.              White Paper on Strong Cryptography in Public Use
  36.  
  37.  
  38.    I.    Freely accessible practically secure cryptography (FAPSC) is an
  39.          area in which the interests of private corporations and the
  40.          interests (some would say rights) of private individuals to be
  41.          secure in their persons and papers converge.  (They, ahem, don't
  42.          always.)  As one of the recent contributors to the discussion on
  43.          sci.crypt noted (I can't remember who, sorry!), it was supremely
  44.          ironic that in the same Congressional testimony in which he
  45.          lamented the explosive growth in recent years of industrial
  46.          espionage, FBI Director William Sessions went on record as
  47.          opposing FAPSC.  Making FAPSC illegal for the general populace
  48.          will severely impact the security of internal corporate
  49.          communications.  (Individual corporations are, I think, unlikely
  50.          to win exemptions to such legislation unless they do contract
  51.          work with the government, and then only on those specific
  52.          contracts.)  Such a general ukase on FAPSC would thus hurt
  53.          American business in a competitive world market.  This kind of
  54.          argument is already being made by many corporations, and loudly.
  55.  
  56.    II.   From my educated layman's view of the intelligence-gathering
  57.          process, two critical problems faced by analysts are (1)
  58.          identifying the needles of valuable information in the haystack
  59.          of more-or-less irrelevant data, and (2) correctly interpreting
  60.          that information for the end-user.  The presence of FAPSC would
  61.          not affect the second problem at all, as it is internal to the
  62.          relationship of the intelligence-gatherer and the end-user. It
  63.          _would_ affect the first problem, in certain ways.  It would of
  64.          course reduce the size of the haystack, since most of the bits
  65.          flowing into the intercept horns and linetaps would be
  66.          encrypted.  Some informational `needles' would doubtless be
  67.          obscured as well, and it is this prospect which exercises those
  68.          who oppose FAPSC.  But consider that the kind of
  69.          information-gathering facility which would be most impacted by
  70.          FAPSC is the one about which almost everybody in this debate has
  71.          the most misgivings: brute-force keyword searches on very-broad-
  72.          band comm trunks.  Here the analogy with paper mail is most apt
  73.          and should be played up for all it's worth: no one (or almost no
  74.          one) would agree that the government ought to be in the business
  75.          of steaming open and reading every letter passing through the
  76.          U.S. Postal Service in the hopes of catching someone plotting to
  77.          sell drugs or distribute kiddie porn, reprehensible as we find
  78.          such activities to be.  (Wartime mail censorhip is, of course,
  79.          the sole exception to this rule; but we haven't been formally at
  80.          war in a _very_ long time, and we have shown no inclination to
  81.          accept it or other related wartime expediencies even at the
  82.          height of the Korean, Vietnam, Drug, and Persian Gulf wars.)  If
  83.          by some other means (e.g. HUMINT) an intelligence-gathering
  84.          agency discovers several parties communicating for possibly
  85.          illegal purposes, it may obtain a court order by due process and
  86.          proceed to eavesdrop.  That the data stream that it intercepts
  87.          will be encrypted may not turn out to be a big problem, for
  88.          reasons given below.  So, taken all in all, when one counts the
  89.          (small) possible losses in information from ubiquitous FAPSC
  90.          against the enormous benefits to business and private citizens
  91.          from having it in place, it is clear that the balance of utility
  92.          is on the side of the latter option.  (Most folks love
  93.          cost-benefit analyses.)
  94.  
  95.     III. I propose that -- and this is, admiitedly, a stretch --
  96.          ubiquitous FAPSC would tend to _improve_ the quality of
  97.          intelligence gathered from telecomm.  Suppose, for the sake of
  98.          argument, that Agency N gets information that individuals A and
  99.          B are involved in what appears to be a conspiracy to, say, sell
  100.          illicitly acquired industrial secrets to company C. Further
  101.          assume that A and B are not professionals, i.e., trained spies;
  102.          assume rather that they use common carriers for their
  103.          communications and a trusted FAPSC package such as RIPEM or PGP.
  104.          Such persons are likely, given the current understanding of
  105.          FAPSC in the general populace, to be rather too credulous and
  106.          trusting of their security system.  This makes them easy
  107.          pickings for Agency N.  A quick trip in a Tempest van or a
  108.          black-bag job to obtain the secret keys of one or both parties,
  109.          and a wiretap, and Agency N can listen to their correspondence
  110.          until at least the next keychange, and maybe beyond.  It can
  111.          even spoof one or both parties and insert disinformation into
  112.          the communications stream between A and B, and have that
  113.          information acted on in complete trust of its authenticity.
  114.          This is the key point: a shallow understanding of current crypto
  115.          security (especially asymmetric cryptosystem) would lead the
  116.          likes of A and B to be more easily monitored and duped.  Shallow
  117.          understanding is about all that most nonprofessionals would ever
  118.          exhibit.  As for the professionals, of course, special means
  119.          will, and have always been, required to catch them; and the
  120.          presence of ubiquitous FAPSC will not make that task any more
  121.          onerous than it already is.
  122.  
  123.