简介:望远镜和互联网

早上好。我的名字是Tim Krauskopf，我是联合创始人和首席技术官望远镜,位于伊利诺伊州纳普维尔。我们是一家雇用137人的小型企业，去年有1000万美元的收入。我们正在迅速增长，并在互联网软件行业中占据了独特的地位，该行业将独家权利持有Mosaic的商业版本，最初在伊利诺伊州伊利诺伊大学的超级普通应用中心开发。Mosaic是开发的软件，允许人们浏览互联网的图形部分，特别是万维网。Spyglass也是独一无二的，因为我们许可了我们的互联网技术到70多家公司，这些公司在各种产品中融入其中。因此，我们的技术在更广泛的互联网软件行业的增长中起着核心作用。

我们公司的第一款产品是一套供科学家和工程师使用的数据可视化工具。我们于1994年5月进入互联网和万维网市场，当时我们完成了与NCSA的授权协议，开发和销售NCSA Mosaic的商业版本。“望远镜”的入选有以下几个原因:首先，我参与了早期互联网技术的开发，参与编写了NCSA/Telnet软件，这是一种让研究人员和学生可以上网的软件。其次，Spyglass已经为商业市场建立了强大的跨平台软件开发记录。1994年8月，NCSA延长其协议，排他地向Spyglass提供所有未来的商业许可权利。我们的核心业务是将Spyglass Mosaic技术授权给其他公司，以包括在他们的互联网和intranet相关产品中。随着Web市场的发展和演变，Spyglass及其技术也在不断发展。你可能已经听说了我们最近收购的Surfwatch，过滤和家长控制技术的领先供应商。

美国信息技术协会

我今天在这里代表林门望远镜和我们的主要贸易协会，是美国信息技术协会。对许多其他ITAA成员公司（如）望远镜授权网站技术甲骨文公司，计算机员工，IBM，微软,铂金技术，和别的。

美国信息技术协会代表了高科技产业的软件，互联网，信息技术服务，电信和系统集成段的广泛横截面。ITAA直接和联盟会员在美国伊塔赛中有超过9,000人的号码是各州的25个区域高科技组织的伞组织，代表在华盛顿，D.C.会员公司包括Netscape Communications，微软,甲骨文公司，计算机员工，Novell，IBM，AT＆T，MCI，和eds，命名几个。

ITAA的软件部门为自己创造了名称，作为代表互联网，内联网和以网络为中心的商业软件行业的领先组织。专注于互联网和内联网市场的最大软件公司在协会中处于活动状态。优先问题包括加密，金博宝正规网址国际，联邦和州的软件，服务和互联网，电信改革，版权，移民和2000年软件危机。

ITAA支持S. 1726的目标

ITAA支持S. 1726的目标，推广数字时代的电子商务（Pro-Code），因为它承认：

1.计算机网络和Internet上的加密和信息安全问题不再是Astereric，Arcane主题。如何对网络网络的安全性得到解决，对互联网，商业和社会的未来具有广泛的普遍影响。公司对保护竞争对手和外国政府的专有信息有合理的担忧。

2.互联网是全球媒介，世界各地加密产品的可用性必须是设置美国出口政策的基本因素。虽然有合法的执法和国家安全考虑，但美国政策不能忽视这些市场现实。

3.政府当前加密政策的经济成本将是巨大的，不仅会给美国软件行业带来就业和收入，还会对美国企业利用互联网进入新市场的能力产生影响。

我们将依次讨论这些要点中的每一个，然后阐述我们向前发展的具体建议。

信息安全和加密在网络世界中的重要性：威胁是真实的

封面故事工作周去年宣称，“网络改变了一切。”虽然这可能会略有夸张，但互联网确实是开始改造，而不仅仅是如何进行商业，而且更广泛地进行社会。

在几年内，将有超过1亿人连接到互联网。带的研究估计，企业“Intranets”单独的企业 - 企业利用内部和企业间应用程序的互联网技术 - 将于1998年的超过60亿美元。

对加密的过时的美国出口限制是实现全球信息基础设施的潜力的主要障碍，以及商业通信，金融交易，医疗保健和个人医疗信息以及消费者隐私。

一种纽约时报社论一周是有效的：“一旦大部分是政府和他们的情报服务领域，加密技术现在通常由公司，银行，证券公司和个人计算机运营商使用。现在是时候修改政府加密政策以适应这个新的时候了宇宙。”

最近，国家研究委员会的权威报告（包括前任国家安全局副局长Benjamin Civiltenti和Ann Caracristi）还指出了通信网络对全球社会日益增长的影响：

随着以计算机为基础的系统的可用性和使用的增长，它们的互联性也在增长。其结果是一个信息、计算和通信资源的共享基础设施，这促进了远程协作、操作的地理分散和数据共享。……如今，人们对计算机系统的熟悉程度不断提高，与工业、教育、医疗保健、政府和个人设置中的信息和通信基础设施实验的爆炸式增长相结合，激发了对不断发展的基础设施的新用途和社会期望。”

简而言之，我们正在经历一个范式转变，其中保护关于计算机网络信息安全性的重要性以几何速率增长。

对互联网信息安全的威胁是真实的。公司不仅涉及竞争对手进入专有信息的能力，还担心外国情报机构。法国智力局的两名前董事表示，他们聚集了经济情报，包括来自某些已针对的公司的信息。附件是国家研究委员会报告中包含的一个框，铺设了“威胁来源”。去年8月，一名法国学生能够在他的大学在业余时间使用电脑来破解由Netscape通信分发的40位加密方案（他花了8天才违反代码）。一群计算机科学家最近发布了一份报告，即10,000美元的计算机硬件可以在12分钟内打破40位钥匙。本集团估计，使用1000万美元的公司计算机可以在12秒内打破56位密钥。外国公司或智力机构可以证明，试图窃取财务信息，商业秘密或宝贵技术的这种成本是合理的。

在威胁威胁时，我们的责任是三倍：要了解社会中发生的转变，以确定新的漏洞，并建立必要的技术解决方案，包括强烈加密，以抵消不恰当或非法行为。

互联网是全球媒介，外国可用性必须是美国政策的基本因素

互联网不会在美国边界停留。它是一个无法认识国家，国家或大陆之间的界限。如果信息或产品在互联网上的某个地方提供，则无论地理位置如何，都可以访问任何人。S. 1726允许美国软件和计算机公司在这个快速增长的全球市场中与我们的外国竞争对手进行级别的竞争场。我们特别高兴S. 1726认识到，在互联网上分配软件将增长和经济意义，应作为确定产品是否普遍可用的因素。

One of the most perplexing aspects of the Administration's position is that it has decided to turn a blind eye to the issue of what strength of encryption products are broadly available outside of the U.S. The Administration's position is reminiscent of the Reagan Administration's decision to ban the export of Apple II computers to Eastern Europe in the 1980s. The Clinton Administration used foreign availability as a key factor in its decision last year to change the definition of supercomputer and relax its control on the export of computer workstations. It has elected to stick its head in the sand and ignore this key factor in its deliberations on encryption.

基于其研究最初由乔治华盛顿大学的乔治霍夫曼博士的研究与1993年的软件出版商协会一起进行，可信信息系统（TIS）已确定全球1181个加密产品（完整的研究提供http://www.tis.com.）。TIS已从28个国家发现497家外国产品。这些产品中的193年使用DES，其具有56位钥匙长度，不允许由美国公司出口。最近由商务部和国家安全机构的研究结果结论。

轶事例子强调为什么美国公司正在迅速失去市场份额。在市场上有一个名为Sioux的外国产品，其中公司使用美国的出口限制作为客户的主要销售点。该公司的网页（http://www.thawte.com/products/sioux/）proclaims that, "The U.S. ITAR regulations prohibit the export of strong encryption technology from North America. This means that companies such as Netscape, Microsoft and Open Market have to ship "Export Versions" of their software which have limited encryption capability - using 40-bit keys which can be trivially deciphered…since Sioux was developed outside of the ITAR framework it ships with full encryption enabled all over the world. Why limit your security?" These are real competitive handicaps faced by U.S. companies.

在过去的星期天，在我的电脑上工作，我去了全球网络，看看很容易下载。我听说有一个叫做“Apache”的SSL的免费应用程序和搜索数字的Altavista.“Apache使用SSL的Apache”目录会很快导致我到Web上的名称和位置。这是我发现的摘要。

[SSL或安全套接字层是一种用于保护在客户端和服务器程序之间传输期间的任何数据量的协议。SSL提供服务器身份验证，数据加密和消息完整性。它是由Netscape通信设计的，以用于互联网应用程序。这是我们客户的一种非常值的功能，而且Spyglass提供兼容的产品。加密库允许软件开发人员使用各种操作系统和平台构建安全应用程序。]

我找到了一个www服务器，它大致匹配了一个名为Apache的自己的Spyglass服务器的功能集。在牛津大学网站上，我发现一个可以使用SSL配置的版本，如果您有SSL库。在该网站上，我发现指向澳大利亚的指针获取SSL。我还发现指向从南非的商业化版本的商业化版本，称为Sioux。我认为这款产品是我们自己的直接竞争对手。

特别是，我下载了“SSLeay”库。虽然是在澳大利亚写的，但我是从日本的一个网站上下载的，因为网络连接更快。在韩国、德国、台湾、英国、日本，当然还有澳大利亚，都可以找到复制品。网址:ftp://ftp.psy.uq.oz.au/pub/crypto/ssl/（原澳大利亚网站）ftp://ftp.epistat.m.u-tokyo.ac.jp/pub/crypto.（日本镜子网站）

此库包含用于实现任何加密位长度，DES，RC2，RC4，IDEA和RSA加密方案的源代码。即使没有任何代码源自任何US源，文档吹嘘是与所有美国实现互操作。他们只是在美国里面有人测试结果。我能够下载500k文件，仔细阅读并编译源代码，在大约30分钟内没有任何问题。我不相信我违反了任何法律，因为我只导入了代码，永远不会导出它。

结论是，这些算法和源代码完全可供访问互联网的任何人提供。因为它们以源代码形式提供，所以甚至64位或128位功能可能会竞争。

ITAA认为，外国可用性问题是改变政府政策的关键因素。S. 1726允许出口加密“一般可用”，但我们认为立法的本部分可能需要更详细的定义。我们今天正在宣布，我们将与国会合作，为评估加密产品的全球可用性提供详细的具体方法。此类立法必须确保分析是客观的并且有牙齿。鉴于技术和市场发展步伐，此评估必须及时至少三次进行。互联网行业中有一个笑话，技术变革和市场增长的步伐在我们的业务中如此迅速，每个日历年都更像是七年或狗的一年。我们需要以持续的方式评估外国可用性，以确保美国工业在全球市场上不公平地处于不公平的劣势。

行政管理加密政策对美国工作，软件行业和小企业的影响

美国软件产业居世界领先地位。美国公司在全球预包装软件市场上占有70%以上的份额。软件行业在全美创造了50多万个就业岗位。美国在新兴的互联网软件市场也占据主导地位，ITAA的成员公司如网景(Netscape)、微软(Microsoft)、望远镜(Spyglass)、IBM、甲骨文(Oracle)等在全球处于领先地位。

计算机系统策略项目估计，除非美国的加密政策放宽，否则将在未来四年内收取200,000个工作岗位和600亿美元的收入。由于世界越来越依赖于计算机网络而不是独立工作站的软件，而不是独立的工作站，因此美国软件行业对加密的限制变大而且更大。

然而，美国限制性出口政策的影响将不仅仅影响美国的软件行业。预计美国小企业将越来越依赖互联网作为帮助他们进入外国市场的有效途径。互联网商业通信最大的潜在好处之一是它降低了小企业进入这些新市场的壁垒。随着越来越多的公司开始依赖数字商务，努力保护在这个网络上的机密和敏感的公司信息变得越来越重要。

如果公司允许政府认证的第三方持有解锁加密信息的“键”，则管理政策允许将加密软件的加密软件导出高于40位密钥长度限制。[如上所示，40位键长太弱，无法通过互联网保护信息。]

这种主要托管计划的成本将由个别公司支付。因此，公司将面临着选择1）其信息的安全级别，这些信息不是100％安全或接受2）的额外的行政负担和额外成本。此外，这种关键的托管要求可能成为一个“事实上”的全球标准，它将生效，实际上是国际互联网“税”。这种“税收”将成为在全球网络网络上进行业务成本的一部分。

因此，政府的政策将提高小企业进入新市场的成本和障碍。S. 1726通过拒绝强制性主要托管计划来认识到这一事实。ITAA正在对小企业进行调查，以收集更多关于互联网对他们的重要性的信息以及管理机制加密策略的影响（见http://www.itaa.org）。我们还将更详细地分析与管理主要托管计划相关的成本。

我们今后工作的具体建议和原则

我们支持S. 1726的目标，即代码立法。以下是我们对政府政策的立场和我们的建议，其次是我们赞同信息安全的一系列原则。应该指出的是，望远镜作为公司的立场超越了ITAA姿势，我也会扩大。

• 政府的立场忽略了一个现实，即当今存在一种事实上的全球加密标准，即DES:一种56位加密方法。计算能力的增长促使消费者寻找强加密，最近有人打破了40位的密钥长度。DES在世界各地广泛使用，许多终端用户要求他们的通信超出这个56位标准的安全性。这些现实是由市场驱动的，不会因为美国政府的干预而改变。鉴于这些市场现实，政府应立即取消对64位密钥长度不附加任何附加条件的加密软件的出口控制。

• 即使在技术的3月和计算能力的快速增长，也必须在不太遥远的未来再次解决这种水平的Decontrol。

• S. 1726禁止联邦政府或任何国家施加强制性主要托管要求作为州际商务州销售的条件。我们也反对这种“大哥”方法。此外，如果行业同意政府要求投资和建立潜在昂贵且技术复杂的重点托管计划，以换取出口权，则非托管技术可以处于国内市场的劣势。这种发展可以抑制技术创新，缓慢发展更强大的信息安全水平。政府的主要托管要求也可以鼓励当今允许在美国内部无限制加密的政策变化。没有主要托管。

ITAA通过美国国际业务委员会制定的加密，赞同以下行业原则：

• 自由选择 - 用户可以自由选择
• 向公众开放 - 未分类的算法
• 国际认可-被商界和政府广泛接受
• 实现的灵活性-硬件或软件
• 用户密钥管理 - 用户管理键

虽然Spyglass完全支持ITAA的建议和在此提出的所有支持理由，但由于Spyglass在市场上的独特地位，我想进一步超越ITAA的立场。

望远镜只有72名客户。其中近一半收到我们的WWW技术的源代码，作为我们的服务的一部分。NEC，Nippon电话和电报，Dacom和Siemens-Nixdorf等公司不会收到我们的全部产品。我们消除了所有加密库和对它们的任何引用。通过在网络上免费提供额外的功能，Spyglass可以针对免费的Apache WWW技术或SIOUX产品进行竞争。当某些功能不能法律发货时，我们无法竞争。每周提供更多WWW技术，越来越多的技术包括加密功能。

我们的源代码客户，英国公司JSB，上周告诉我，他们需要具有加密的SSL（安全套接字层）库以供其产品使用。他愿意，但不能从美国购买。我相信他会发现从美国以外获得的。我更担心有多少其他公司有没有联系我们的公司。

望远镜将添加以下建议：

a）对于RC2，RC4，DES和RSA加密方案，在所有键位长度处释放所有功能。本算法（或等效）的源代码在互联网上全球可用。我对S. 1726的阅读是它会实现这一目标。

b）对于所有情况，请消除对调用加密库的软件“钩子”的限制。然后，间谍将能够将源代码和其他Internet安全方案运送到SSL和其他Internet安全方案以及使用受限密钥长度（或密钥托管）的二进制库。具有讽刺意味的是，不让我们让我们的客户轻松使用短关键长度，我们强迫他们找到没有关键长度限制（或钥匙托管）的外国替代方案。虽然S. 1726将完成这一目标，但政府当局可以通过在武器规定或itar中的国际交通中改变语言来消除明天的限制（见22 CFR第121.1节）。

最后，让我说我们认识到执法和国家安全社区的担忧。但政府当前的政策并没有，不会通过忽视全球互联网的爆炸性增长和性质以及技术变革的步伐。政府政策也将证明对美国软件行业的破坏。

一种纽约时报编辑成为“政府保护其窃取国内外罪犯窃取能力的最佳方式是在技术上保持技术领先地位......出口限制无需将加密软件脱离犯罪分子和敌对政府，但不必要地推动美国出口外国市场。“国家研究委员会还倡导美国政府基金强大的研究计划，以便在技术上延伸我们的执法部门和情报机构。ITAA赞同本建议书，以及第1726款的规定，指导商务秘书“禁止出口或重新出口计算机软件和计算机硬件......”如果它将被转移或修改外国军事或恐怖主义使用。

谢谢，我期待着你的问题。