1996年国会听证会情报与安全
1996年国会听证会主席先生,感谢您为我的立法——《加密安全与自由法案》举行今天的听证会。该法案有45个共同提案人,包括许多本委员会的成员,包括共和党和民主党人。
虽然会议即将结束,但这是一个非常宝贵的机会,让本委员会成员更多地了解加密政策的复杂问题。
我首先要说明的是,我和本委员会的其他成员一样,百分之百致力于为执法部门提供必要的工具,打击犯罪,包括国内和国际恐怖主义。这是我们每个人都极其认真对待的责任。我们中没有一个人会支持危及公共安全或国家安全的政策变化。
然而,我也认为,在互联网上进行电子商务的主要障碍是政府对加密的监管。无论决策者多么希望和希望全球信息基础设施取得成功,在这个障碍被消除之前,它不会蓬勃发展。
主席先生,确保强大加密的可用性和确保执法能够继续有效的目标并不是相互排斥的。我们两者都可以。
加密是保护存储数据和在电子网络上通信的信息的能力。通过使用数学算法对信息进行编码,发送者可以对信息进行置乱,以便只有预期的接收者才能对其进行解码。正如今天邮寄信件的个人将信件放入信封以确保其隐私不被窥探者窥视一样,计算机用户可以将通过计算机系统发送的信息封装起来,以确保任何不应该阅读的人都不会阅读。
加密是一项需求量很大的基础技术。全世界的计算机用户都希望能够保护他们计算机通信的机密性。
美国人目前有权使用我们可能选择的任何级别的加密。这是我一直在努力保护的权利。然而,政府过时的出口管制正危及这一权利。尽管计算机用户要求强大的加密技术,但美国企业不能在美国以外销售这种强大的加密技术。然而,外国竞争对手在开发和销售强大的加密技术方面并没有拖延。这些外国竞争对手即将为加密技术制定全球标准。
现在全世界有3500多万互联网用户,21000多家企业连接到互联网,我们已经进入了网络空间的电子商务时代。随着越来越多的公司开始依赖数字商务,保护网络上的机密和敏感公司信息变得更加重要。对安全通信的需求已经远远超出了政府对普通公民和企业隐私的关注。
经济间谍活动的威胁对美国企业来说是非常现实的。强大的加密将使美国企业能够保护自己免受这种威胁。由于专有经济信息被窃取,美国公司目前每年损失数十亿美元。随着数字商务的发展,这种威胁呈指数级增长。由于缺乏良好的加密,计算机用户很容易受到黑客、公司竞争对手甚至外国政府的窥探。
位于匹兹堡的卡耐基梅隆大学的计算机紧急响应小组(简称CERT)报告说,报告的入侵美国计算机系统的数量从1992年的773起增加到1994年的2300多起,两年内增加了197个百分点。ReportsReports此外,CERT报告称,同一时期受到攻击的网站数量增加了89%以上。
一旦进入计算机系统,黑客就有能力窃取、修改或破坏敏感数据——因此,这给企业带来的潜在成本是惊人的。
如果加密技术可用来保护在电子网络上发送的信息,人们应该能够使用这种技术,这似乎是合乎逻辑的。我在与政府官员就这一问题举行的多次会议中了解到,他们对他们对形势的看法完全不同。例如,美国联邦调查局(FBI)的官员曾告诉我,出口管制是防止国内用户获得强大加密的一种手段。政府正在利用出口管制来决定国际上使用什么加密技术,进而决定美国可以使用什么加密技术。这种威胁应该让这个国家的每一个电脑用户都感到恐惧,但它不会起作用。
我以前说过,现在我还要再说一遍——执法部门就是不能把技术精灵放回瓶子里。外国竞争对手正在销售优质且强大的加密技术——罪犯和国际恐怖分子将获得这种强大的加密技术。研究表明,有超过500种外国产品和程序具有强大的加密能力——比美国公司的出口能力强得多。此外,还可以从网上下载“Pretty Good encryption”等128位以上的加密程序。
美国的出口管制根本无法阻止加密技术落入那些想要将其用于犯罪目的的人手中。美国出口管制可以有效限制外国加密的日子已经一去不复返了。任何拥有计算机和调制解调器的罪犯都能获得强大的安全保障。
我赞扬政府当局正视这个问题,并认识到我们必须朝着开放出口管制的方向迈进。然而,从我与政府官员的讨论以及关于最新“即将发布”加密方案的新闻报道来看,我认为政府走错了路。ReportsReports
今年早些时候,美国国家研究委员会(National Research Council)发布了一份报告,主张政府立即放开对56位加密的出口管制,而不实施他们认为不会奏效的“密钥托管”计划。这份报告对我们这些一直主张采取这一行动的人来说是非常好的消息。从我在与政府官员的会议中以及最近的新闻报道中收集到的信息来看,我不认为政府准备遵循NRC报告中的建议。ReportsReports我的理解是,政府提出了一个“密钥恢复”计划,允许加密出口高达56位,只有当公司承诺实施密钥恢复。这是非常坏的消息。
1996年,联邦调查局、中央情报局和国家安全局为证明大规模“密钥托管”或现在称之为“密钥恢复”计划的必要性而向我提出的论点听起来并不正确。他们声称他们无法有效破解56位DES加密。然而,一组密码学专家最近的一份报告表明,政府可以用0.001美元,在0.0002秒内破解一条用40位加密编码的消息。他们可以在12秒内破解56位,花费38美元。这是很好的证据,证明将控制提升到56位DES甚至更高并不能阻止FBI和NSA完成他们的工作。
稍微改变一句关于另一个有争议问题的老话——“如果你宣布加密为非法,只有非法者才会拥有加密。”
一个非常有说服力的观点是,使用加密技术实际上会减少恐怖主义。对电子网络安全的使用可以防止一种全新的恐怖主义。它可以阻止恐怖分子操纵发电厂的运作或空中交通管制系统,甚至改变产品的工程设计,从而可能危及我们所有人。
目前的出口管制并没有成功地使加密产品远离其他国家的电脑用户,但却使美国电脑公司处于竞争劣势。美国商务部1995年12月公布的一项经济研究表明,如果到2000年不能解决这些出口管制问题,美国经济将损失600亿美元和20万个就业岗位。
美国电脑公司——世界尖端科技的领导者——必须有自由开发具有强大安全功能的产品,以满足美国和国外电脑用户的需求和隐私问题。政府不应该每次开发出一项挑战执法的新技术时就削弱计算机产业。
政府仍有许多问题没有回答,今天我将向他们询问一些有关他们未公布的建议的问题。许多问题仍然没有答案。我的第一个问题是为什么现在?数月来,政府一直承诺提交加密方案。为什么他们选择在国会休会前一周开始讨论这个问题?
许多实质性问题仍然存在。政府当局的建议会否放宽只出口56位DES或其他算法强度?它只适用于定制软件还是大众市场软件?它只适用于存储数据还是存储数据和通信?参与是真正自愿的吗?密钥恢复产品是否能够与非密钥恢复产品互操作?因此,我想看看术语键恢复是如何定义的。如果密钥必须由政府认证的代理机构持有,这意味着在美国至少有一些雇员拥有秘密安全许可,该提议将引发许多关键的隐私问题。
这一提案涉及大量成本,将给美国公司带来巨大的行政负担,并威胁到美国公民的隐私。
此外,如果这不起作用,个人不自愿接受密钥托管,那么政府官员在与我的会议上表示,他们将寻求立法,迫使美国人只使用政府可以访问的加密。
这样的行动可能会让美国公民和企业的机密数据和有价值的专有信息被政府毫无根据的拦截、搜查和扣押。执法官员和联邦调查局特工将能够获取金融交易和个人通信信息。
这代表了一个巨大的飞跃,因为美国人现在可以使用和出售任何他们想要的加密,而不必给任何人密钥-更不用说政府。政府将如何内置访问美国的电子信息?政府打算利用用户对计算机系统全球互操作性的需求;以及美国工业界希望能够在世界范围内销售单一项目(即出口),以满足需求和迎接外国竞争的愿望。国内执法机构和美国国家安全局正在推动这项倡议——他们想要访问加密信息。
这就是为什么国会在下一届国会早期通过立法来防止这种情况发生是如此重要。
我提出了《加密安全与自由法案》(Security and Freedom Through Encryption Act, S.A.F.E.),以保护每个美国人使用和出售加密技术的权利以及他们的隐私,同时放宽当前的出口管制。我的立法将:
继续确保所有美国人都有权选择任何安全系统来保护他们的机密信息。
禁止“老大哥”强行进入人们的计算机系统。
将使用加密进行犯罪或故意掩盖犯罪定为非法。
并允许美国计算机行业出口一般可用的软件和硬件,前提是可以从外国供应商那里获得具有同等安全性的产品。
参议员伯恩斯和莱希也在参议院提出了类似的立法,即PROCODE。参议院商务委员会(Senate Commerce Committee)就他们的法案举行了一系列听证会,对这些问题进行了彻底的辩论。金博宝正规网址
这项立法得到了主要行业团体的支持。意识形态范围内的隐私倡导者:不仅像ACLU和EPIC这样的“自由派”团体,还有像美国人这样的自由主义和保守派团体,支持税收改革,NRA也在背后联合起来。
他们支持我的提案,因为政府的提案是反市场、反消费者、反企业的。
当我们进入一个新的世纪时,技术所创造的机会比比皆是——作为一个国家,我们必须愿意利用这种技术来取得成功。我们不能让我们的政府在世界其他国家蓬勃发展的时候阻碍我们。制定立法改革加密出口管制应该是本委员会在第105届国会上要解决的首要问题。金博宝正规网址谢谢主席先生。