1996年国会听证会
情报和安全

见证
尊敬的威廉·赖因施
在商务秘书长
出口控制和加密技术
议院司法委员会
1996年9月25日

以均衡的方式处理加密的传播是我们今天面临的最困难的公共政策问题之一。金博宝正规网址我们的回应必须解决三个重要利益:执法,国家安全和我们的商业和隐私利益。我想向政府的政策如何余额,我们对全球加密市场的研究结果以及我们对委员会之前等待的观点来提供一些评论。

使得强大的商业加密广泛可用,符合美国的最佳利益。实际上,这是不可避免的,因为我们学习利用强大的计算机和高级电信的优势。这些技术正在迅速导致创建广泛的电子网络,这将成为未来沟通和商业的基础。加密电子消息和数据的能力对于电子商务至关重要,并为信息技术的全面开发。企业和个人需要加密产品来保护敏感的商业信息,并保留隐私,他们对这些产品的需求将进一步促进加密的传播。

这种趋势在经济上也是可取的。保护商业信息的机密性将减少工业间谍活动造成的损失。或许更重要的是,我们是全球领先的信息技术生产商,全球近一半的生产商都来自我们,而它们的收入大约有一半来自出口。

为了保留这一领先地位和对我们经济卫生的大量利益产生,我们必须确保我们的生产者继续捕捉外国市场份额。我们的公司必须能够满足具有强大加密产品的日益增长的需求。如果他们没有,外国公司最终将逐步填补空白。美国加密政策必须推进这一重要工业部门的利益。我们必须塑造我们的出口管制政策,让美国公司在追求全球市场的信息技术中利用他们的优势。

我们的问题来自这样一个事实,即加密的使用增加带来了严重的风险。正如我的同事证实的那样,强大加密产品的传播给执法部门和我们的国家安全带来了非常现实的问题。任何有关加密的政策如果要符合国家利益,就必须解决这些风险。克林顿政府正在非常认真地努力制定一项政策,在经济增长和个人隐私所需的强大加密的扩大可用性与我们的国家安全和执法需要之间取得平衡。最重要的是,我们正试图与我们的盟友和私营部门进行密切磋商,并与市场合作,而不是反对它。

政府的方法

我们一直与业界合作,在密钥管理基础设施的基础上,制定一个框架,使政府可以在必要时恢复密钥。这将鼓励使用强加密技术,同时保护执法和国家安全利益。该框架将由行业开发和实施,而不是政府,并可在国内和国际上使用。参与将是自愿的,美国人将继续自由地使用他们在美国选择的任何加密技术。这一方法明显不同于之前的努力,比如“Clipper Chip”,它设想政府扮演主导角色。我们的做法则相反——政府扮演有限的角色,与行业合作,开发将在关键管理环境下运行的产品的供求关系。联邦政府将与该行业合作,为联邦政府使用这些产品制定标准,为不适当认证或发放密钥确立刑事和民事责任,为政府机构提供购买市场,鼓励试点项目的发展,并与我们的贸易伙伴协商一种通用的加密方法。我们不会规定基础设施的范围或风格,也不会规定其中使用的加密。

该基础设施将基于可信赖的缔约方,谁将持有钥匙给机密数据。在某些情况下,如果他们愿意达到执法​​要求,公司将持有自己的钥匙;在其他情况下,用户可能会选择使用受信任的第三方提供的密钥恢复服务。这些值得信赖的第三方将是私人实体。将仅向所有者提供对钥匙的访问权限,他们丢失或损坏了自己的关键或在法院权威下行事的执法官员。这种方法平衡了执法问题的经济需求,是我们许多主要贸易伙伴,最重要的是英国也在采用。美国在经合组织双边工作,并在经合组织工作,为一个关键管理基础设施制定国际框架,将确保对消费者的平等保护和对生产者市场的平等机会。我们的观点是全球重点管理基础设施提供了以负责任的方式使用强加密的最佳方法。

经过大量工作,我们想提到的一个元素 - 出口管理局和国家安全机构联合完成的一个元素。

加密研究的背景和目的

计算机软件和硬件公司认为,目前的加密出口管制已经过时和无效,正导致它们失去全球竞争力。他们声称国外有很多强大的加密产品。1994年年底,为了履行戈尔副总统早些时候的承诺,国家安全顾问安东尼·莱克(Anthony Lake)指示准备一份报告,评估含有加密技术的软件产品目前和未来的国际市场以及出口管制对美国软件产业的影响。

The Department of Commerce and the National Security Agency jointly prepared the report, which was completed in July, 1995. The Bureau of Export Administration took the lead in assessing domestic and international markets for encryption and the impact of export controls on U.S. industry, while NSA was responsible for identifying and evaluating foreign encryption software products and international laws and controls governing use, export and import of encryption. A declassified version of the final report was made available to the public in January 1996.

方法和行业参与

联系了各种各样的政府机构,学术专家,商业信息来源,行业协会和行业代表。没有关于加密软件的美国市场的大小和组成的明确统计数据。BXA与计算机安全专家,市场研究人员和学者咨询,为这些产品创造了目前和未来国内市场的图片。我们补充了这些信息,具有来自十大财富500强公司的一个非正式投票的信息安全专家,以确定这些公司目前如何使用加密软件。

为了评估国际市场,BXA利用了31个美国大使馆的外国商务服务。他们在东道国提供加密需求的输入,以及美国市场的估计份额。美国海外官员和外国政府官员提供了有关影响加密的外国法律、法规和政策的信息。我们利用这一信息来确定监管控制对加密软件产品的国际销路的影响程度。

还确定并购买了外国加密软件产品进行审查。NSA Cryptanalysts研究了28种外国产品,最终获得了评估其优势和劣势。最后,为了确定现有的出口管制对美国软件供应商的影响,BXA与软件出版商协会,商业软件联盟和其他行业团体密切合作,以开发行业问卷。自愿问卷邮寄至约200家公司,被认为参与加密软件市场。它也发布在互联网上。Thirty six encryption software producers elected to respond to the questionnaire, which gave them an opportunity to explain and quantify the impact of export controls on sales, employment, profitability, and product development.坦率地说,这是一个令人失望的反应,尽管对该行业反复上诉,但它导致我们得出的结论,许多公司不愿意或无法量化控制对其业务的影响。

主要发现

让我来总结一下我们的一些主要发现:

- 所有国家都是商业加密产品的主要生产者在某种程度上控制出口,但许可实践和政策有很大差异。一些国家,特别是法国,俄罗斯和以色列,也控制进口和/或国内使用加密。欧洲和其他地方的一些国家比美国对这些国家的差异更自由地将出口对待美国的差饷地位,这使得我们通过旨在利用DES宣称的能力来证明。美国通常允许仅向金融机构出口基于DES的产品。

- 虽然加密软件目前仅占软件市场总量的小百分比(1-3%),但我们预计未来的增长趋势是伟大的。大多数大多数通用软件产品(如文字处理器,数据库程序等),U.S.和国外市场可用加密能力是U.S.原产地。美国目前在这个市场上有很少有可行的外国竞争对手。绝大多数这些产品可以在未经前方的美国政府授权的情况下出口,因为它们包含较弱的加密算法(40位或更少)。

然而,在特定于安全特定的软件市场中,美国制造商面临着英国,德国和以色列等国家的国外市场的竞争。在很大程度上,这些产品的市场往往是“国家”,当地供应商捕获大部分家庭市场,部分原因是出口管制的影响。在许多调查的外国,可通畅美国加密产品被认为是不足的力量。在大约一半的国家,海外消息人士认为,美国出口管制有限公司。一些保持美国出口管制促进了加密软件的土着生产。

——在缺乏重大外国竞争的情况下,出口管制对通用软件生产商的影响迄今为止微乎其微。对于这些产品,客户倾向于基于软件的主要功能(电子表格、文字处理)来做出购买决定,而不是基于加密功能。绝大多数通用产品是专门设计的加密算法,以符合出口资格。但是,出口管制影响了通用软件制造商提高加密能力以满足预期需求的计划。它们担心外国竞争对手可能试图利用加密功能来区分它们的产品,并夺取市场份额。

——由于出口管制,许多国内专门针对安全的软件生产商被限制在美国市场。因为安全是他们产品的主要功能,所以他们不可能使用可以出口的较弱的加密算法。这些公司相信,有巨大的海外销售潜力,但他们无法量化,因为他们没有海外市场。此外,外国买家普遍认为,强大的美国产品可能无法出口,可出口的美国产品不令人满意。这种看法抑制了对美国产品的需求。

- 外国产品的存在广告DES或其他强大的加密已经损坏了国内外的美国竞争力,无论这些声明的准确性如何。一些美国公司要么使用或考虑使用外国加密产品与客户,供应商和国际合作伙伴一起沟通全球。

下一个步骤

我们的研究鼓励我们继续采用我提到的新方法。这项政策的基础是关键的复苏,但它将是一种由私营部门制定并以私营部门为基础的灵活办法。与行业的合作是至关重要的,我们发现许多公司都愿意合作解决问题。由于新方法的发展需要一段时间,我们正考虑采取一些临时措施,以减轻业界的负担,使其转向关键管理基础设施。副总统在7月12日表示,希望在这方面开展行业合作,这些措施可能包括:

——放宽某些商业加密产品的现有出口管制。

- 试点管理计划,以测试与业界和贸易伙伴的关键恢复。

- 创建私营部门咨询委员会,以制定政府购买的产品履行和技术标准。

——可能还会将商业加密产品的管辖权从国务院转移到商务部。

我们的工作还没有完成。我们正在继续与业界和国际合作伙伴磋商,以完善我们的建议,我们计划在今年9月向总统发送建议。我们的目标是制定一种灵活的、以市场为导向的方法,平衡公共安全、国家安全和经济活力。

在这项努力的中,H.R.3011等立法不会有所帮助。它的根本缺陷是它没有提供我们正在寻求的平衡方法,而是不必要地牺牲我们的执法和国家安全需求。加密的立法将破坏对政策建立共识的任何希望;我们的国际合作伙伴令人沮丧地呼吁;它会对美国人的安全构成真正的风险。

正如我所说,当我开始我的言论时,加密是今天公共政策中最困难的问题之一,但这是这一政府致力于与行业合作的问题,以便加强市场原则,实现我们不同的目标金博宝正规网址。我们希望国会能与我们合作,以方便这种过程,而不是通过不必要和有害的立法来阻碍它。