介绍
“早上好。我的名字是迈克尔·ZISMAN,我是莲花开发公司的首席执行官和执行副总裁,总部位于马萨诸塞州剑桥。莲花开发并销售商业软件,包括莲花笔记等高度流行的课程。我以前首席执行官软件开关公司的创始人,Inc。在1994年被莲花收购之前。在此之前,我是Massachusetts理工学院管理斯隆学校的教授。
“我非常感谢您代表企业软件联盟(BSA)在立法的强大支持之前进行作证的机会。BSA的成员包括这个国家领先的软件制造商。BSA的成员生产通常被称为“大众市场”的软件。BSA通过其终止软件盗版和推进理想的公共政策的计划来促进美国软件业的利益。
“但我非常感谢能有机会代表数百万人发言用户美国软件产品。美国企业之所以成功,是因为我们倾听并回应了世界各地计算机用户的需求。很简单,我们不能出售用户不想要也不会买的东西。
“在开始时,我想赞扬你,参议员烧伤,介绍
S. 1726年,促进商业在数字时代(Pro-Code)法案中的商务。I also want to recognize Chairman Pressler's strong support, acknowledge the leading roles of Senator Leahy and Representative Goodlatte in introducing their bills as well (S. 1587, EPIC; H.R. 3011, SAFE), and thank all the other co-sponsors of the various bills. These badly needed bills modernize export laws regarding software and hardware with encryption capabilities thereby permitting American software companies to compete on a level international playing field and computer users to properly protect their information.美国软件业的重要性
“令人难以置信的动态电脑软件行业是美国成功的故事。自1980年以来,该行业已经比其余的经济增长了7倍,现在现在大于除五个制造业所有的所有制造业。保守估计是超过500,000人受雇在计算机软件行业中,软件,硬件和半导体行业采用了超过120万。这种经济成功刺激了丰富的产品和选择。今天,计算机用户 - 消费者 - 享受前所未有的信息正在改变我们所有人的生活和工作的方式。一个主要示例是全局信息基础架构,其通过路由信息的软件可以实现,并有助于用户导航信息的海洋。
计算机软件行业也是我国最具国际竞争力的行业之一。美国生产的软件占世界市场的70%以上,美国程序的出口占许多公司收入的一半。这意味着工作——高技能、高薪的工作——和美国的经济繁荣
立即放宽出口管制的必要性
1.加密的重要性
“每个人都认为,强大的加密技术对于实现全球信息基础设施(GII)的承诺至关重要。加密可以保护电子信息的保密性和私密性,保证电子信息的真实性和完整性。没有加密,企业和个人将不会将其宝贵的专有信息、创造性内容、电子商务和敏感的个人信息委托给电子网络。这样做的人将面临未经授权泄露、盗窃和更改其信息的风险。
“此外,如果没有加密电子网络,以控制这些关键作用作为航空公司航班,医院气候,电力和银行功能仍然很容易受到远程中断的影响。在上个月内,国家的主要论文已经报告了”以网络万有主义“的可能性。“infowar。”另外两位参议院委员会 - 武装部队和政府事务 - 曾审议了防御和民用计算机网络对这种威胁的脆弱性。
2.当前美国单方面出口管制的问题。
“目前在美国没有对加密技术的使用进行限制。然而,美国政府对提供强大加密能力的计算机软件——甚至大众市场软件程序——保持严格的单边“军火”出口管制。因此,我们可以在美国提供加密能力强的程序,但不能出口。这是一个问题,因为计算机用户要求全球互操作性,而软件公司想要开发和销售他们的程序的单一版本,以满足用户的需求。
“美国软件公司无法通过强大加密提供全球的美国软件公司,以满足信息安全的合法需求直接威胁到我们行业的持续成功。此外,美国计算机用户的信息仍然脆弱。最后,也许最重要的是最重要的Committee, U.S. export controls threaten to dislodge continued American leadership in developing the Global Information Infrastructure.
美国软件公司被迫继续将加密强度限制在1992年的40位密钥长度水平,尽管当时政府承诺根据技术和市场的发展定期增加密钥长度。但这一关卡忽略了以下事实:
- 当前世界基准是56位密钥的DES;
- 国外厂商和互联网上提供了数百种替代品(大约一半的使用);和
- 40位加密容易受到商业攻击。
3.des级强度加密是当今厂商竞争和用户信息得到适当保护的最低必要条件。
56位密钥长度的数据加密标准(DES)算法(由政府和业界在20世纪70年代开发)仍然是世界范围内的“基准”算法。世界各地的教室都在教授这门课。它仍然是美国政府对非机密信息的标准。此外,所有提出的解决安全问题的“互联网协议”都要求加密在至少在DES级别(识别“三重DES”的流行度,带有112位键和带有128位键的PGP)。必须了解全球信息基础设施的骨干是互联网——一个不受任何政府或组织控制的网络的网络。在过去的几年里,美国公司已经认识到,他们必须调整自己的商业计划以使其发挥作用与互联网,而不是互联网的互联网。如果他们有机会获得广泛的接受,互联网必须承认这些标准,希望为软件提供软件或做生意。
继续单方面美国出口管制也没有有效限制国外加密的可用性。最近的一个商务部研究证实了外国制造加密计划和产品的广泛可用性。一项正在进行的行业研究表明,截至1995年12月,有497个外国方案和产品可从21个国家提供,其中193年雇用DES。(也有684名美国方案和产品 - 330带DES - 随心所欲地在国外转移,带有调制解调器和公共电话线)。总会计办公室还确认了去年行业的断言,外国互联网网站的复杂加密软件广泛可供外国用户使用。一种新的算法,称为相当良好的隐私(“PGP”) - 具有128位键 - 可在Internet上免费提供,流行飙升。
我想提到两个特定的例子,了解产品的外国可用性。首先,上周我们了解到,世界上最大的电信公司 - 尼普电话和电报(NTT) - 即将推出全球的三级筹码。我想你今天早上会听到更多信息。其次,基于U.K的Apache组在4月份宣布,它的Apache UNIX Internet Server软件现在具有非常强大的加密,现在市场份额为29%。
同样可以肯定的是,40位加密级别的信息不再能够提供足够的保护,即使是偶尔使用闲置电脑的黑客。巴黎综合理工学院和麻省理工学院的学生已经“蛮力破解”了这样的40位加密。事实上,今年早些时候由7位领先的私营部门密码学家和计算机科学家发布的一份报告得出的结论是,一个愿意花400美元购买现成的商业技术的人只需要5个小时就可以获得40位密钥。一个花费1万美元的小型企业可以在12分钟内恢复一个40位的密钥!
由于所有这些原因,为了让美国软件公司在国际上公平竞争,并允许计算机用户适当保护他们的电子信息,有必要立即:
- 根据商务部通用许可证,允许出口使用具有56位密钥的DES算法和具有同等优势的其他算法(如RC2/RC4)的软件程序;
- 根据“摩尔定律”,相同成本下的计算能力每两年翻一番(例如,建立一个破解调整成本或“COCA”);
- 扩大使用更强加密技术的程序的现有许可;和
- 删除所有导出控制限制加密(即关键管理,授权,诚信,签名),就美国公民和美国跨国公司的个人使用加密计划。
这是需要完成的最低 - 并完成现在!
4.美国核管理委员会的危机报告呼应了这些观点。
如你所知,蓝丝带国家研究委员会(NRC)委员会呼吁美国制定政策,促进加密技术的广泛使用。该委员会的报告呼应了工业界多年来关于放宽出口管制的必要性的说法。重要的是,该委员会的结论是,随着全球对具有加密能力的产品的需求增长,外国竞争可能会出现,其严重程度足以损害美国目前在信息技术产品方面的世界领先地位。委员会认为,重要的是要确保持续的经济增长,并确保美国关键行业和企业在日益全球化的经济中发挥领导作用,包括美国计算机、软件和通信公司。委员会呼吁立即方便地出口采用DES级加密的产品。委员会还注意到,必须定期增订。
BSA强烈支持未决立法,因为它提供了所需的出口管制救济
《亲法法案》认为美国应该这样做不是尝试控制事件,实际上是无法控制的。对于我们的政府要求出口的软件出口许可证,这一点毫无意义,这些产品通常通过商业销售,通过互联网分发,或在公共领域中发现。计算机硬件也不是如此控制的,因为它包含这种软件。简而言之,如果它是“在那里”,如果它已经可用的数百万人类容易和容易地以电子方式转移,那么继续试图控制这种出口很少有意义。
重要的是,你们的法案确实使商务部长能够继续根据《与敌国贸易法》或《国际紧急经济权力法》对恐怖分子关注的国家或其他禁运国家进行控制。
此外,您的账单还规定,如果des级产品已被允许出口到外国银行,那么它们应该可以出口到该国的其他外国商业买家。请注意,我们在这里讨论的软件和硬件类型是一种“定制”产品(如果它是普遍可用的,它将符合法案的其他条款下的自动通用许可证处理)。因为控制这样的输出至少在理论上是可能的,所以接下来的问题是允许的加密级别应该是多少。由于我前面解释过的原因,只有DES和它的等价物才可以。
再次,您的法案确实包含保障措施:商务秘书不需要允许此类出口如果有大量证据表明该软件将被转移或修改用于军事或恐怖分子的使用或重新出口而没有必要的美国授权。
最后,我要指出,我们认为你和其他各项法案的提案国和支持者已经作出了一个明智的决定显式的在现有法律下隐含的是,对国内使用、选择或销售强加密技术没有也不应该有任何限制。有些人认为它已经是法律了,因为没有与之相反的东西。这是正确的——尽管如此,我们认为,发表一份积极的声明,重申美国人在这一领域的权利是重要的,也是有帮助的。
密钥托管加密不是圣杯
关于获取用户用来加密信息的密钥的访问权,已经进行了很多讨论。例如,当然可以设想公司或组织希望访问其雇员的密钥,以便能够访问在其工作过程中产生的信息。大概是该组织内部的某个人,或者该组织委托的第三方,掌握着钥匙。
然而,密钥恢复加密——更不用说密钥托管加密——是一种新的和未开发的加密技术。密钥恢复加密需要长是时候理清头绪了。特别是关于使产品在国际上销售的国际安排。可行性、成本和便利性问题都必须加以解决。
但是是即使是现在,清楚的是任何关键的恢复系统必须由用户驱动的市场LED过程产生。它不能做一个强制性的、政府设计的、自上而下的、一刀切的解决方案。
我想指出的是,由于所有这些原因,NRC委员会建议的政策是“蓄意探索”,而不是“积极推广”。我们完全同意。
此外,因为这是这需要很长时间,是基本的即时出口控制救济授予非关键托管加密产品。正如我希望我已经解释的那样,我们根本不能再等了。
结论——加快立法进程
总之,我想说NRC危机报告中的两个基本要点的一句话。
首先,委员会发现更广泛使用加密不仅可以保护个人隐私并帮助美国企业 - 但也是如此促进通过保护民用信息基础设施和促进通过防止经济犯罪来执行法律。委员会发现,总的来说,更广泛使用加密的好处大于坏处。
其次,委员会得出结论,可以在一个上讨论和建立加密政策未分类基础。这是至关重要的。我们常常在工业中听到政府的声称,“如果你知道我知道的话,那么你会同意我们,你不会要求出口管制救济。”重要的是,NRC委员会16名成员中有13名有安全许可和收到的分类简报。然而,他们得出结论,尽管对特定情况很重要,但分类材料是不是对于理解当前的加密策略或技术应该如何发展至关重要。
现在是采取行动的时候了。为了在短期内使美国的供应商处于一个公平的国际竞争环境中,并使美国的计算机用户得到充分的保护,具有DES级别加密能力的软件程序必须立即可出口。你面前的立法将会这样做——以及其他一些积极的事情。我们敦促委员会和国会迅速采取行动。
谢谢你。