1996年国会听证会情报和安全
1996年国会听证会使用加密功能的软件和硬件的导出控制必须立即现代化。出口管制救济是使美国软件公司能够:在国际上保持竞争力;提供全球用户,并使用工具保护其电子信息;并继续领导全球信息基础设施的发展。
计算机软件行业是一个美国成功故事。这是该国发展最快和最具国际竞争力的产业之一。我们的大众市场的软件产品目前有75%的全球市场份额。
但是现有的单边美国。在具有加密功能的软件上出口控制直接威胁到结束这个故事。尽管如此,美国软件公司被迫将其加密的强度限制为40位键。
-现时的基准是56位密码匙的数据加密标准(DES);
- 国外厂商和互联网上提供了数百种替代品(大约一半用DES,也可提供NTT三重芯片和128位PGP);和
- 40位加密容易受到攻击的商业化。
为了让美国软件公司在一级国际竞争领域,并许可计算机用户正确保护他们的电子信息是必要的:
-准许在DOC一般许可证下出口使用56位密钥的DES算法(及其他具有同等能力的算法)的软件程序;
-通过破解成本调整(或“COCA”)自动增加密钥长度,以跟上计算机能力的进步;
-扩大使用更强加密技术(如金融应用的128位)的程序的现有许可;和
-取消对加密API、加密的非机密性使用、海外美国人和美国跨国公司的个人使用加密的剩余控制。
重要的是,美国国家研究委员会(National Research Council)最近发布的《危机报告》(CRISIS Report)呼应了这些观点,并为缓解出口管制提供了关键的独立支持。
BSA强烈支持即将通过的第3011号法案(SAFE Act),因为它提供了必要的出口管制救济。这些法案承认,美国不应该试图控制普遍可用的软件的出口,因为这是不可控制的。它还提供了des级定制软件和硬件产品的出口。但政府可以也应该自己改变当前的政策。
密钥托管加密不是圣杯。相反,密钥恢复——对存储数据进行加密——承诺既要解决在密钥丢失时恢复加密数据的商业需求,又要解决执法部门在刑事调查中获取加密数据的要求。但要解决这个问题需要很长时间。有许多问题必须解决。明确的是,这样的系统必须是由用户驱动、市场主导的过程产生的。它不能是强制性的、政府设计的、自上而下的、一刀切的
解决方案。早上好。我是梅琳达·布朗,我是莲花发展公司的副总裁兼总法律顾问,该公司总部位于马萨诸塞州剑桥市。Lotus开发并销售商业软件,包括Lotus Notes这样非常流行的程序。
我非常感谢今天有机会代表商业软件联盟(BSA)出席这个委员会。商业软件联盟通过其在北美、欧洲、亚洲和拉丁美洲的65个国家的国际公共政策、教育和执行计划,促进软件产业的持续增长。BSA的全球成员包括领先的个人电脑软件出版商,包括Adobe、Autodesk、Bentley Systems、Lotus Development、Microsoft、Novell、the Santa Cruz Operation和Symantec。BSA的政策委员会由这些软件出版商和其他领先的计算机技术公司组成,包括苹果电脑,计算机协会,数字设备公司,IBM,英特尔和Sybase。
但我们今天在这里实际上是代表数千万美国软件产品的用户发言。美国软件业之所以成功,是因为我们倾听并对世界各地计算机用户的需求作出了反应。我们开发和销售用户想要并愿意为之付费的产品。我们没有能力强迫用户购买他们不想要的东西。
计算机用户要求的最重要的功能之一是能够保护他们的电子信息和在世界范围内安全地交互。美国公司拥有能够满足这一需求并在国际上竞争的创新产品。但有一件事阻碍了我们——美国政府继续实施过时的、单方面的“军火”出口管制。
出于这个原因BSA大力支持H.R。3011,安全和行动自由,通过加密(SAFE)法案。在一开始我要赞扬代表古德拉特他的远见和领导在介绍这项法案,以及本委员会谁已经联合发起该法案的其他成员 - 代表穆尔黑德,施罗德,科布尔,巴尔,波诺,洛夫格伦,鲍彻,夏波,弗兰克海涅曼和杰克逊 - 李。我们也感谢尊敬的高级成员,科尼尔斯先生,对他的支持。最后,感谢你,主席先生,召开这次hearing.I也想感谢参议员伯恩斯引入S.1726,商务部在线在数字时代(亲CODE)法和参议员莱希促进引入小号0.1587。加密通讯隐私法案(ECPA),以及识别董事长普莱斯勒的大力支持。
虽然这些账单在某些方面有所不同,但它们都将有关软件和硬件的出口法则,加密能力,允许美国软件公司在国际竞争范围内竞争,并为计算机用户提供足够的保护。但是,重要的是要记住,政府当局可以在自己的倡议下随时自由化这些控件。
美国软件产业的重要性
充满活力的美国计算机软件产业是美国的一个成功故事。
自1980年以来,该行业的增长速度是其他行业的7倍,如今其规模已超过除5个制造业以外的所有制造业。据保守估计,仅计算机软件行业就有50多万人就业,软件、硬件和半导体行业就有120多万人就业。这种经济上的成功推动了新一代产品的研发,催生了大量领先市场的产品和选择。今天,计算机用户——消费者——可以前所未有地获取信息,这些信息正在改变我们所有人的生活和工作方式。一个典型的例子是全球信息基础设施(Global Information Infrastructure),它是由引导信息并帮助用户在信息海洋中导航的软件实现的。
计算机软件行业也是我国最具国际竞争力的一个。美国生产的软件占软件在世界市场的70%以上,与构成许多软件公司的收入有一半的美国节目的出口。这意味着就业机会,高技能,高薪就业机会,经济繁荣在这里U.S.The需要立即出口管制救济
1.加密的重要性
每个人都同意强烈的加密对于履行全球信息基础设施(GII)的承诺至关重要。加密可以保护电子信息的机密性和隐私,并确保其真实性和完整性。如果没有加密,企业和个人不会委托他们有价值的专有信息,创意内容,电子商务和敏感的个人信息,以在电子网络中移动/旅行。那些确实冒险未经授权的披露,盗窃和更改他们的信息或交易的人。
加密技术的广泛使用对保护国家安全也是必要的。如果不加密,控制航空航班、医疗保健功能、电力和金融市场等关键功能的电子网络仍然非常脆弱。事实上,最近美国的主要报纸都更加关注“网络恐怖主义”和“信息战”的可能性。
2.问题电流单侧美国出口管制
目前在美国,对密码学的使用没有限制。然而,美国政府对提供强大加密能力的计算机软件——甚至像Lotus Notes这样的大众市场软件——实行严格的单边“军需”出口管制。因此,我们可以向美国的客户提供加密能力强的程序,但我们——以及他们——不能出口同样的程序。对于用户来说,这是一个问题,因为他们需要全球互操作性,而对于软件公司来说,为了满足用户的需求,在全球范围内开发和销售两个版本的软件需要额外的成本。美国软件公司无法向全世界的用户提供强大的加密技术,以满足他们对信息安全的合法需求,这直接威胁到我们行业的持续成功。此外,美国计算机用户的信息仍然脆弱。最后,或许也是最重要的一点,美国的出口管制有可能使美国在发展全球信息基础设施方面继续保持领导地位。
美国软件公司被迫继续将其加密的力量限制在1992年的40位关键长度 - 尽管当时管理承诺,但定期增加关键长度,以考虑技术和市场发展。这个40位级别忽略了以下事实:
- 目前的世界基准测试为56位键;
- 数百种替代品可从外国制造商和互联网上获得(大约一半);和
- 40位加密容易受到商业攻击。
3.des级强度加密是当今厂商竞争和用户信息得到适当保护的最低必要条件
56位密钥长度的数据加密标准(DES)算法(由政府和业界在20世纪70年代开发)仍然是世界范围内的“基准”算法。世界各地的教室都在教授这门课。它仍然是美国政府对非机密信息的标准。此外,所有拟议的Internet协议“至少要求在DES级别进行加密”(认识到使用112位密钥的“三重DES”和使用128位密钥的PGP日益流行)。必须认识到,全球信息基础设施的支柱是互联网——一个不受任何政府或组织控制的网络的网络。在过去的几年里,美国公司已经认识到,他们必须调整自己的商业计划,与互联网合作,而不是取代互联网,甚至是在互联网之外。希望为互联网提供软件或在互联网上做生意的公司必须承认这些标准,如果他们有任何机会获得广泛的接受。
美国持续的单边出口管制也未能有效地限制在国外使用加密技术。美国商务部最近的一项研究证实,外国制造的加密程序和产品广泛存在。一项正在进行的行业研究显示,截至1995年12月,有来自21个国家的497个国外程序和产品,其中193个使用DES。(还有684个美国程序和产品,其中330个使用DES,通过调制解调器和公用电话线可以随时转移到国外)。美国会计总署(General Accounting Office)也证实了去年业界的说法,即外国用户可以广泛使用外国网站上的复杂加密软件。拥有128位密钥的“相当不错的隐私”(Pretty Good Privacy,简称PGP)在互联网上免费提供,而且越来越受欢迎。
我想提到两个特定的例子,了解产品的外国可用性。首先,我们了解世界上最大的电信公司 - 尼普蒙电话和电报(NTT) - 即将推出全球三重芯片。有些人会告诉你日本政府承诺我们的政府,他们不允许筹码出口:但这不是上个月在日本在日本被告知的,当然不是在最近的日本中采取的方法计算。其次,基于U.K的Apache组在4月份宣布,它的Apache UNIX Internet Server软件现在具有非常强大的加密,现在市场份额为29%。
在40位级别加密的信息也可能几乎没有争议,不再为使用空闲计算机提供足够的休闲黑客来提供足够的保护。eCole Polytechnique和我们自己的技能的学生有“蛮力破裂”这样的40位加密。Indeed, a report released earlier this year by seven of the leading private sector cryptologists and computer scientists highlighted the vulnerability of 40-bit keys to commercial attack.For all these reasons, in order to keep U.S. software companies on a level international playing field and permit computer users to properly protect their electronic information. it is necessary to immediately:
-在商务部的通用许可证下,允许出口使用具有56位密钥的DES算法和具有同等强度的其他算法(如RC2/RC4)的软件程序(对密钥管理具有无限密钥长度);
-根据“摩尔定律”,相同成本下的计算能力每两年翻一番(即建立“破解成本调整”或“COCA”),每三年自动增加密钥长度2位;
-扩大使用更强加密技术(例如金融应用的128位加密)的程序的现有许可;
-允许出口带有“挂钩”或应用程序编程接口的软件,使外国客户能够
“插入”他们可能在其他国家获得和使用的任何加密;和
-取消对非机密使用密码(即密钥管理、授权、完整性、签名)、美国公民和美国跨国公司在国外个人使用密码程序的剩余出口控制限制。
这是需要做的最小的事情——现在就做!美国核管理委员会的危机报告呼应了这些观点。
如你所知,一个蓝丝带国家研究委员会(NRC)委员会呼吁促进其广泛使用加密技术的美国政策。该委员会的报告相呼应什么行业一直说的对需要出口管制救济几年。重要的是,委员会的结论是,作为产品的加密功能的需求增长全球,国外的竞争可以在水平出现显著足以损坏信息技术产品本美国的世界领导地位。委员会认为,以确保在日益全球化的经济关键的美国行业和企业的经济持续增长和领导,包括美国计算机,软件和通信公司是非常重要的。委员会要求产品具有DES加密级别直接和简单的出口能力。委员会还指出,这将有定期更新。
我还想说一下NRC危机报告的另外两个重要结论。
首先,委员会发现,更广泛地使用密码学不仅可以保护个人隐私,帮助美国企业,还可以通过保护民用信息基础设施促进国家安全,并通过防止经济犯罪促进执法。委员会发现,总的来说,更广泛使用加密的好处大于坏处。
第二,委员会的结论是,加密政策可以在非保密的基础上讨论和制定。这是至关重要的。我们在工业界经常听到政府说:“如果你知道我知道的事情,你就会同意我们,你就不会要求放松出口管制了。”重要的是,NRC委员会的16名成员中有13人获得了安全许可,并收到了机密简报。然而,他们得出的结论是,尽管机密材料对特定情况很重要,但对于理解当前的加密政策或技术应该如何发展而言,并非必不可少的。
BSA强烈支持未决立法,因为它提供了所需的出口管制救济
国家外汇管理局,ECPA和Pro-CODE票据识别为根本,主张美国不应试图控制的东西,其实,不可控的出口。它没有什么意义了我国政府要求对软件出口即通常由于是大规模商业化销售可独立验证的出口许可证。通过互联网传播,或者在公共领域找到。也不应将计算机硬件加以控制,只是因为它采用了这样的软件。总之,如果是如果是“在那里,”已有数以百万计的人都能很容易地转移电子,则意义不大,继续试图控制这些产品出口。
重要的是,这些法案确实使商务部长能够根据《敌国贸易法》或《国际紧急经济权力法》继续对恐怖主义国家或其他禁运国家进行控制。
此外,法案规定,如果DES-级产品已获准出口到外国银行,那么他们就应该导出到该国其他外资商业买家。需要注意的是软件,我们这里所说的硬件类型为“定制”的产品(如果它是一般可将晋级下该法案的其他规定自动通用许可证处理)。因为至少在理论上可以控制这样的出口,问题随之出现,什么应该是加密的允许水平。对于原因,我刚才解释,无外乎DES及其等价物会做。
再一次,这些法案包含了保障措施:如果有实质性证据表明,这些软件将被转移或修改用于军事或恐怖主义用途,或在没有必要的美国授权的情况下再出口,那么商务部长就不需要批准此类出口。
最后,我想指出,我们认为,赞助商和各种法案的支持者们做出了一个明智的决定在寻求明确现在的隐式根据现有法律,不,不应该有任何限制在国内使用,选择或出售强加密。有些人认为它已经是法律了,因为没有与之相反的东西。这是正确的,但我们认为,明确重申美国人在这一领域的权利是重要的,也是有帮助的。
主要托管加密不是圣杯
有很多关于获取用户加密信息的密钥的访问的讨论。例如,它肯定可以设想希望访问员工钥匙的公司或组织,以便能够恢复在工作过程中生成的加密信息。大概是组织内的某人,或者由该组织自愿委托的第三方将担任关键。我们调用此密钥恢复加密。
我们的许多企业客户已开始对关键恢复系统表达兴趣。然而,与政府关键托管建议不同,对关键恢复加密的商业需求仅限于存储的数据(包括存储和发送的电子邮件)。它不会扩展到通信。
重要的是,在这种密钥恢复加密产品被广泛使用的程度上,政府将在适当的司法程序下为执法目的提供大量信息——就像今天的物理财产,包括备忘录、信件和文件一样。但是用户必须看到关键恢复特性的价值并希望使用它们。然而,如果政府为了服务器出口控制政策而要求密钥托管,可能的结果是没有人会使用实现这些特性的产品,从而阻碍执法目标。简而言之,任何关键回收系统都必须由用户驱动、市场主导的过程产生。它不能是一个强制性的、政府设计的、自上而下的、一刀切的解决方案。由于所有这些原因,我将注意到。NRC委员会推荐的政策是“刻意探索”而不是“积极推广”。我们完全同意。
此外,因为它要花费很长的时间来实现对出口,进口和使用的实现密钥托管或键恢复功能产品的国际协定,至关重要的是,眼前的出口管制救济被授予非密钥托管加密产品。正如我希望我已经解释过,我们根本买不起再等下去。
结论 - 机会窗口很快就结束了
总之,我想说的是,政府内部有些人似乎存在一个根本性的误解,即不作为和延迟更新出口管制有利于政府。我强烈不同意。世界并不是静止的。主要的外国公司已经在提供三重DES硬件产品。几家美国公司已经开始在美国销售128位软件产品。目前美国的出口管制迫使BSA成员公司承担额外的成本,以开发和支持我们的两个版本的产品。而且,随着越来越多的美国软件供应商开始在国内提供128位非密钥托管加密,目前还无法看出这在短期内对执法部门有什么好处,或者在128位外国程序成为常态的情况下,对情报机构有什么长远的好处。
行动的时间现在。为了保持与加密上水平的国际竞争环境的美国厂商,并在短期内得到充分保护美国的计算机用户,软件程序在DES级的优势必须立即导出。目前在国会悬而未决的立法会做到这一点 - 虽然政府可以充当它自己的任何时候改变其现行政策。
谢谢你!