Marc Rotenberg,电子隐私信息中心主任Marc Rotenberg声明
安全和自由通过加密(SAFE)法案
1997年3月20日 - 法院和知识产权的议院司法小组委员会
我是马克·罗滕伯格。我是华盛顿特区电子隐私信息中心的主任。我最近担任了经济合作与发展组织密码指南小组的隐私专家。自1991年以来,我还在乔治城大学法律中心教授信息隐私法。
我今天在众议院小组委员会出庭的机会表示感谢。我感谢代表古德拉特和外汇立法的其他提案国愿意解决一个复杂但极其重要的问题,两者在美国和世界各地的互联网用户。
一、密码学角色的变化
在整个互联网社区中,我相信有一个信息是用户、专家和协会希望传达给这个委员会的,因为它正在考虑密码政策,那就是当前的政策正处于危机之中,现在是改革的时候了。从Whitfield Diffie到Bruce Schneier, Matt Blaze和Phil Zimmermann等密码学家,互联网协会和全球互联网自由运动等组织,美国国家研究委员会(National research Council)等知名研究团体都表示,目前试图通过出口管制政策来控制密码学发展的做法是错误的,应该结束。
原因并不难理解。目前的系统是另一个时代的遗物,在那个时代,密码学由军方控制,在使用加密方面几乎没有实际的商业用途,也没有什么公共利益。我们的政策是在一个加密主要是间谍和士兵的领域的时代制定的。我们政府的政策,强调保密和控制,在他们那个时代是恰当的。但是世界已经改变了。
今天加密用于从沟通到商业的一切,从电子发布到新支付系统。它不仅可以保护通信的机密性,而且还可以提供身份验证和验证。加密甚至可以为匿名交易提供可能一天推广商业和保护隐私的匿名交易技术。
电子通信基础设施显然不再是政府的独家领域。今天的网络不仅在较早的一天内携带外交公报和军事计划 - 它是全球电子商务,私人信函和最敏感的个人信息的渠道,包括医疗和财务记录。
我们还知道政府试图强迫这种快速发展的区域的技术结果总是有缺陷的。这并不奇怪。当政府牺牲市场的运作和消费者的需求,对自己的最佳猜测有关它的安全赌博的赌注。即使我们同意政府的目标,也没有理由认为政府的加密策略将成功。安全技术不再是美国政府的垄断 - 事实上,它有史以来。技术诀窍现在是全球性的,如果美国计算机行业不允许将这些关键产品送到市场,其他提供商将迅速填补空白。
在这样一个世界里,最好的策略是那些寻求以适应不断变化的环境。这将是愚蠢的我们的政府不预期强烈,牢不可破的加密将是在互联网上广泛使用。这将是同样是错误的,以防止美国公民和美国企业的利用可用来保护自己的敏感信息的潜在犯罪威胁的最佳工具。
因此,当必须更新法律以反映新的现实时,我们在一段时间内。改革出口管制制度,使其反映了商业产品中良好加密的需求,保护个人隐私是一个明智的第一步。进一步的延迟可能只是为了增加用户和企业的风险。
II。与当前政策中的问题
我们当前关于加密政策的争论的核心是一个简单的问题,即鼓励开发允许第三方访问加密通信的技术是否明智。政府在1993年最初建议克利伯计划时认为这是一个好主意,并以总统令支持该提议。随后,白宫承认,克利伯不是一个可行的解决方案,并在让纳税人付出巨大代价后,放弃了在联邦政府内部进行的一项精心设计的试验。
接下来是密钥托管提议,认为第三方可以取代政府并持有私钥。但人们对成本和实施提出了担忧,因此建议修订一项名为“关键回收”的建议,但该建议也存在问题。现在,政府不愿明确表示它是否支持密钥托管或密钥恢复。它只是知道,它不希望良好的加密技术广泛可用。
寻找执法部门的圣杯是一项永无止境的探索。保护互联网隐私的新技术在某些情况下会使刑事调查更加困难,就像任何新技术的引入都会给执法带来挑战一样。但是加密技术的广泛应用带来的好处是巨大的,限制加密技术发展的努力将带来巨大的成本。
许多与白宫位置的问题是,它继续将提前预防犯罪,并在这过程中也牺牲了破案,隐私安全,业务发展,最终用户信心的利益。因此,它已日益受到影响,如果市民是要广泛地使用这些新系统必须开发必要的信任。
你不能有'中介“在密钥托管”,其中键将没有谁沉积在按键的用户的知识予以披露。
在可信第三方,您无法在可信任第三方中“信任”,其义务向政府披露您的机密信息可能超过保护您信息隐私的义务。
你不能有合法的中介'代理“”,其中代理行为在政府的授意下,而不是在该试剂采用的公司。
这些新提议中的每一个都试图将政府对监控私人通信的兴趣隐藏在一个不明确或模糊的政策目标之后,只会增加公众的关注程度。还有更多的理由让人担心。去年,EPIC的信息自由法案诉讼产生了联邦调查局的文件,这些文件显示,关键的联邦机构在三年多前得出结论,只有在替代安全技术被禁止,密钥托管被强制执行的情况下,克利伯芯片密钥托管计划才能成功。
包含在频繁管理局索赔的文件冲突使用快船技术仍将是“结论”是自愿的。“”政府的举措的批评,其中包括史诗,长期以来坚持认为快船密钥托管技术只会其明确的目的,如果强制性的。根据美国联邦调查局的文件,这一观点是由局,国家安全局(NSA)和司法部(DOJ)共享。
在简报文件题为“”加密:威胁,应用和可能的解决方案“”在1993年2月发送到国家安全局,联邦调查局,国家安全局和司法部的结论是:
技术解决方案,如他们,只会在纳入所有加密产品中。为确保发生这种情况,需要立法授权使用政府核准的加密产品或遵守政府加密标准。
同样,一份未注明日期的FBI报告《新兴电信技术对执法的影响》指出,“尽管美国出口加密产品受到控制,但国内使用不受监管。”报告的结论是,“需要制定一项体现在立法中的国家政策。”根据FBI的说法,这样的政策必须确保“通过执法部门进行实时解密”,并“禁止无法达到政府标准的加密技术”。
这些文档表明,管理部门的密码策略的架构师始终认识到,最终必须强制执行密钥托管。正如隐私倡导者和行业代表经常说的那样,克利伯在执法方面几乎没有什么贡献,除非其他选择都是非法的。但这样一项法律的影响将是广泛的,难以维持。出于这个原因,我们对国家外汇管理局确认使用和销售任何形式加密的权利的规定感到特别高兴。
毫无疑问,执法有合理的担忧。会有沮丧,因为一些数据进行加密合法的刑事调查。但是,正如著名的美国国家研究委员会小组发现,强加密的普及也将预防犯罪。
政府当局目前的政策,是想方设法建立一种技术,让政府查阅私人讯息,不论是储存在数据档案中,还是以数据传送方式传送。这样的建议既不可行,也不可取。
III。经合组织
在过去的几个月里,你可能听说过其他政府在密码学上的立场。我不能谈论加密在其他国家的可用性,但我可以为委员会提供第一手资料,说明经合组织,一个真正研究和努力解决这些问题的国际组织,如何解决政府合法访问的要求。金博宝正规网址
在过去的一年里,我在华盛顿州和堪培拉举行了华盛顿经合组织专家小组的会议。我参加了指导方针的起草和发展。我向会员政府提供了技术援助,这些政府对隐私事项有疑问,并帮助提供了许多世界各地的加密专家,以便审议经合组织。
基于直接参与制定经合发组织指导方针以及熟悉将于本月晚些时候提交经合发组织理事会供其通过的最后文件,我可以告诉你,经济合作与发展组织内部并没有达成共识来支持政府当局正在寻求的那种政府访问私人密钥的方式。
事实上,政府委托专门嘱咐经合组织成员国是否愿意核准密钥托管的概念。只有一个国家,一个已经需要密钥托管代理人建立一个法律制度的国家,支持议案。所有其他国家的代表团在发言明确表示反对密钥托管的认可。
这不是经合组织拒绝关键托管提案的不仅仅是,经合组织在相反的方向进一步走了很多,并采纳了一个最强烈的陈述,以支持国际法或政策中的任何地方可以找到。这原则清楚地说:
在国家密码政策以及密码方法的实施和使用中,应尊重个人的基本隐私权,包括通信保密和个人数据保护。
经合组织认识到,一些政府“可能”选择促进合法访问加密通信,这确实是政府目前所追求的政策,但除了这一认识之外,几乎没有人支持密钥托管努力。
我尤其感到高兴的是,OECD给予的隐私这样的强有力的支持,并选择不认可密钥托管。我认为,促进世界各地的密钥托管可能对人权组织的工作产生严重影响,并威胁要转向公民的权利和政府在错误的方向权威之间的微妙平衡。我们自己国务院每年都报道越来越多地使用电子监控政府对持不同政见者,记者和人权组织。这是特别重要的是民主政府,以及美国特别发出一个明确的信息,即新兴的信息基础设施的技术不应被设计成便于政府私人通信的监控。
Iv.安全立法
安全立法响应着越来越高的认可,即当前的加密策略不可行,应该更改。出于这个原因,我们认为这是一个进程中的一个重要步骤,最终将提供商业增长和在二十一世纪的生长和保护自由所必需的强大隐私工具和技术。
特别地,我们支持拟议中的第2802,2803,2803条到标题18,这将明确表明使用加密、出售加密以及避免强制密钥托管的自由将受到该国法律的保护。综上所述,这三项规定为一项新的加密政策奠定了基础,该政策将真正将美国带入下一个世纪,并为互联网用户和企业提供至关重要的隐私和安全工具。
美国政府曾多次表示,无意监管加密技术在国内的使用。如果是这样的话,那么就没有人会反对颁布这三个关键条款。如果政府将表示支持这些改变,目前笼罩美国政策的许多困惑可能会很快得到解决。
与此同时,虽然我们赞成这三个规定,但我们非常关注第2805条并要求小组委员会仔细审查这一规定,目标是将其缩小或将其放在一起。第2805章。这将使其成为“任何故意利用刑事犯罪委员会促进加密的人”的犯罪行为,这可能会有一系列意外后果,这将容易破坏票据的其他可参赛规定。
首先,正如我在1989年《计算机欺诈和滥用法案》听证会上所说,我认为对使用特定技术或设备进行刑事处罚是错误的。这样的条款往往会把人们的注意力从潜在的犯罪行为上转移开,并给一项本应很少令人害怕的技术投下阴影。对法医调查人员来说,从打字机发出的勒索信可能比手写样本更困难。但是,仅仅因为在某些情况下使用打字机使调查犯罪变得更加困难,就将使用打字机定为犯罪行为是错误的。
其次,它刑事犯罪使用加密,即使在犯罪的赞助的规定,将给予检察官很大的自由度调查活动,其中犯罪行为的唯一标记可能是加密的仅仅存在。在数字时代,我们不能更多的看法密码作为犯罪的工具性,那么我们就可以使用钢笔或在当前的时代回形针。
第三,该条款还可能对强加密技术的广泛采用起到实质性的抑制作用。正如国家研究委员会所承认的那样,强大加密的可用性是降低犯罪风险和促进公共安全的最佳途径之一,法案中保留这一条款将向用户和企业传递一个复杂的信息,即我们希望人们可以自由使用加密技术,但在使用时我们将持怀疑态度。
如果担心加密技术可能被用来阻碍获取与刑事调查有关的证据,那么更好的办法可能是依靠刑法中的其他条款,包括与妨碍司法有关的条款,来解决这个问题。
至于第3节,这将修改出口管理法,我们对任何形式的加密出口管制的合宪性表示怀疑。我们支持他在联邦法院的诉讼与菲尔·卡恩加入,因为我们认为,使用加密的权利受到宪法第一修正案的保护。而且,正如你可能知道,丹·伯恩斯坦博士已与加利福尼亚州联邦法院提起了类似的要求实质性的进展。
我们相信随着时间的推移,由于法院将体会到密码学和相关技术总统的权威和公众和商业意义来规范这一技术在国家安全的名义将变得越来越可疑。
因此,我们不准备承认,商业秘书应拥有“控制硬件,软件和技术出口的独家权力(包括加密)”,因为法案提出。但我们确实认为,这些变化将通过确保强大的加密将更广泛地提供加密政策。
总而言之,我们支持这项法例,并赞赏提案人及委员会在这个问题上所做的工作,但我们促请大家仔细阅读建议的第2805条,看看是否有更有限的方法来解决这个问题。
1997年国会听证会