home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #27 / NN_1992_27.iso / spool / sci / crypt / 5023 < prev    next >
Encoding:
Internet Message Format  |  1992-11-19  |  5.5 KB
  1. Path: sparky!uunet!caen!zaphod.mps.ohio-state.edu!not-for-mail
  2. From: fiedorow@function.mps.ohio-state.edu (Zbigniew Fiedorowicz)
  3. Newsgroups: sci.crypt
  4. Subject: Re: Key registration proposal in CACM
  5. Date: 19 Nov 1992 14:58:29 -0500
  6. Organization: Department of Mathematics, The Ohio State University
  7. Lines: 87
  8. Distribution: world
  9. Message-ID: <1egrl5INN1ig@function.mps.ohio-state.edu>
  10. References: <1eg9gqINN9u0@hal.com>
  11. NNTP-Posting-Host: function.mps.ohio-state.edu
  12.  
  13.  
  14. In a previous article in this newsgroup, Howard Gayle writes
  15. >The November 1992 issue of Communications of the ACM has a
  16. >letter (pp. 19-20) by Brad Knowles of the Defense Information 
  17. >Systems Agency, calling for key registration.
  18.  
  19. Here is the letter in question:
  20.  
  21. -------------------------------------------------------------------------------
  22. After reading all the National Security Agency bashing in the July issue of
  23. Communications, I was both amazed and appalled that one very important topic
  24. was omitted.  Namely, that the NSA, through its actions to squelch the
  25. publication of good encryption algorithms and attempts to force standardization
  26. on poor ones, has defeated its very purpose, in addition to causing very grave
  27. harm to national security.
  28.  
  29. Firstly, the former Soviet Union (now the Commonwealth of Independent States) 
  30. has had good cheap working copies of both DES and RSA for years now according
  31. to [1].  Secondly, anyone who wants either the algorithms themselves or the
  32. executable code, can easily get what they want.  In fact, I have found the
  33. source code to DES available via anonymous ftp on the Internet.  The RSA
  34. algorithm is somewhat more difficult to acquire, but not much.  Clearly the NSA
  35. has failed miserably in keeping these algorithms from circulating outside
  36. certain circles within the U.S.
  37.  
  38. Many people already know that government agencies are required by law, to
  39. adhere to the various different standards enacted by NIST through their Federal
  40. Information Processing Standards (FIPS).  What they may not realize is that, by
  41. congressional order, the federal agencies are required to use Commercial Off-
  42. The-Shelf (COTS) Software, wherever feasible.  If American companies refrain
  43. from producing a quality encryption product due to the FIPS or influences by
  44. the NSA, and the federal agencies desire to use a quality product, then they
  45. must go to contractors to have one specially written at a good deal of cost. 
  46. We end up spending significantly more simply because the products we need are
  47. not commercially available.
  48.  
  49. Additionally, since American companies are not given a good standardization
  50. method method of efficiently and appropriately protecting their confidential
  51. data, they are very prone to industrial espionage.  Most of the countries which
  52. have been our national security espionage adversaries in the past have since
  53. turned a significant portion of their efforts over to industrial espionage,
  54. making them very vulnerable.  Since national security depends, in large part,
  55. upon the welfare of defense industry and other high-technology companies, NSA
  56. has succeeded in doing very grave harm to national security interests by
  57. leaving these companies to the wolves.  Of course, these companies can also
  58. contract to have good encryption algorithms implemented for them, but then that
  59. puts them in the same boat as the federal government, in that they would be
  60. spending much more money than necessary.
  61.  
  62. Then we have the issue of interoperability -- if we are using known commercial
  63. implementations of some standard encryption algorithm, then we could be
  64. reasonably sure that we could communicate with each other with a minimum of
  65. additional difficulty.  However, if we have our own private versions of even
  66. good encryption algorithms, no matter how well-written the standard, then there
  67. are very serious questions about compatibility, which means, more likely than
  68. not, encrypting something would most likely not be done, which would mean it is
  69. effectively totally unprotected.  If only the FIPS standard encryption
  70. algorithm were a good one to begin with, and a good implementation of it
  71. (through the proper choice of long keys, etc., ..., as suggested by Rivest et
  72. al. [4]) were included as part of this standard, then these additional and
  73. totally unnecessary costs could be avoided.
  74.  
  75. In order to balance the needs of the users and the government's needs, I
  76. suggest the following:
  77.  
  78.  
  79. Have a central Key Distribution Facility (KDF) that is run under the auspices
  80. of the IEEE, ANSI, FBI, NIST, another government agency, or some neutral third
  81. party -- one that gives a reasonable guarantee (one which I will not attempt to
  82. define here) that the keys will be kept safely from prying eyes, even those
  83. that belong to the government.  Specify that the RSA encryption algorithm (or
  84. some other public-key encryption algorithm) will be used to safely encrypt
  85. messages, and that all keys for this implementation will be issued by this KDF.
  86. Furthermore, if law enforcement agencies can present a legitimate wiretap order
  87. to this KDF, then issue them the private key(s) for the person(s) or
  88. organizations that is/are going to be wiretapped.
  89.  
  90. There are many implementation details that have been omitted from this
  91. discussion, but I feel that this will allow the public the same reasonable
  92. guarantee today, namely that no one is illegally listening to conversations.
  93. If an international implementation of the encryption scheme is desired, then
  94. the organization could be sponsored under the CCITT, ISO, UN, or some other
  95. appropriate international organization.
  96.  
  97. Brad Knowles,
  98. Defense Information Systems Agency
  99. BLKNOWLE@JDSSC.DCA.MIL
  100.