IRA rubinstein的声明,
高级企业律师,Microsoft Corp。,
我代表商业软件联盟
《加密安全自由法案》
1997年3月20日 - 法院和知识产权的议院司法小组委员会
早上好。我叫艾拉·鲁宾斯坦,是微软公司在华盛顿州雷德蒙德总部的高级律师。在过去的二十年中,微软公司通过开发软件使个人电脑用户更方便地在家里和工作中使用个人电脑,以达到越来越多的目的。为了实现这一目标,微软不断地成长、改变、适应和重塑自身,今天我们拥有近19,000名员工,其中9,000人位于华盛顿州雷德蒙德的总部。我们现在是领先的软件出版商之一,产品范围从操作系统,应用软件,如文字处理和电子表格程序,软件开发工具和编程语言产品,帮助人们开发和编写创造性的软件,以及互联网在线服务,微软网络(“MSN”)。
我非常感谢今天委员会代表商业软件联盟('BSA')之前今天出现的机会。业务软件联盟通过北美,欧洲,亚洲和拉丁美洲65个国家的国际公共政策,教育和执法方案促进软件行业的持续增长。BSA Worldwide成员包括个人电脑的领先出版商,包括Adobe,Apple Computer,Autodesk,Bentley Systems,Lotus Development,Microsoft,Novell,Syda Cruz操作和Symantec。BSA的政策委员会包括这些软件发布商和其他领先的计算机技术公司,包括计算机员工,康柏和Sybase。
但我们今天真的在这里代表美国软件产品的数量数千万用户发言。美国软件行业成功地取得了成功,因为我们已经听取并回应了全球计算机用户的需求。我们开发和销售用户想要的产品,并愿意为此付费。
计算机用户要求最重要的功能之一是能够保护其电子信息并安全地在全球范围内进行沟通。美国公司拥有创新的产品,可以满足这种需求并在国际上竞争。但是,我们的方式有一件事是通过美国政府的过度广泛,单方面出口管制的持续应用。
因此,BSA强烈支持H.R.695,通过加密(安全)行为的安全和自由。在开始时,我希望赞扬代表性的Goodlatte在介绍这项法案时的愿景和领导。我要衷心感谢您,为您的支持和意愿如此迅速地举行此账单。我还希望认识到这一小组委员会的其他成员,这些委员会核对账单代表康乃馨,Sensenbrenner,Bono,Pease,Cannon,Boucher和Lofgren。您也已加入司法委员会,史密斯,英格丽斯,布莱恩特,Chabot,Barr,Jackson Lee和Waters的一些其他成员。虽然去年的房子和参议院的听证会发生,但没有足够的时间来向前移动立法。通过今年年初开始,我们希望立法将在不久的将来颁布。当然,迄今为止的共同赞助商的61个是指示广泛的双党派支持。
我还要感谢伯恩斯参议员提出了S. 377,即《数字时代在线商业促进法案》,感谢莱希参议员提出了S. 376,即《加密通信隐私法案》。
它们的虽然这些账单在某些方面有所不同全部使具有加密能力的软件和硬件的出口法律现代化,以允许美国软件公司在公平的国际竞争环境中竞争,并为计算机用户提供对其机密信息的适当保护的选择。
美国软件业的重要性
如今,计算机用户 - 我们的客户 - 享受前所未有的信息进入正在改变我们所有生活和工作方式的信息。这是正确的,无论用户是城市最大的城市还是最孤立的农村社区。重要的是,通过路由数据和帮助用户导航信息的软件,使得正在推动当前的“信息时代”''的全球信息基础设施。幸运的是,迄今为止,美国计算机软件行业一直是世界领导者。
的确,充满活力的美国计算机软件产业是美国的一个成功故事。自1980年以来,该行业的增长速度是其他行业的7倍,如今其规模已超过除5个制造业以外的所有制造业。据保守估计,软件、硬件和半导体行业的从业人员超过120万人,其中仅计算机软件行业就有50多万人。这种经济上的成功推动了研究和开发,并刺激了众多市场领先产品的创造。
计算机软件产业是我国最具国际竞争力的产业之一。美国生产的软件占世界软件市场的70%以上,美国软件程序的出口占许多软件公司收入的一半。该行业令人难以置信的增长及其出口的成功,通过在美国创造高技能、高薪的工作,使美国受益。
需要立即出口管制救济
1.加密的重要性
强大的加密在网络世界中变得至关重要。今天,数百万个人计算机通过私人兰斯和旺兰和公共互联网连接。目前,公司,政府和个人目前无法再通过依靠对计算机的物理访问或依赖独立的集中大型机来保护入侵者的数据和通信。
强烈的加密对于保护敏感的个人和机密商业电子信息的机密性和隐私至关重要,并确保其真实性和完整性。如果没有加密,企业和个人将不会委托他们有价值的专有信息,创意内容和敏感的个人信息,以电子网络和风险未经授权的披露,盗窃或改变他们的信息或交易。全球信息基础设施的承诺和潜力根本不会实现。公司将毫不犹豫地从远程位置设计新产品或工作。除非您的记录可以保密,否则对医生的日常访问成为一个侵入性的过程。如果没有强烈加密,电子银行和商业不会发生“在线”。
普遍使用加密是为了保护我们的国家和经济安全。如果没有加密,则控制如航空公司航班,医疗保健功能,电力和金融市场的电子网络仍然非常脆弱。事实上,美国概要会计局于1996年5月发布的报告中题为《信息安全:国防部电脑攻击风险不断增加》发现:电脑攻击日益成为一种威胁,特别是通过互联网进行的攻击;这类攻击代价高昂且具有破坏性;这类针对国防和美国其他计算机系统的攻击对国家安全构成了严重威胁。
由于所有这些原因,全世界的计算机用户都要求更强的加密技术来保护他们电子信息的安全和隐私。美国电脑软件和硬件公司的反应是开发具有强大加密功能的程序和产品。
2.当前单边美国出口管制的问题
目前,没有限制美国在美国在美国使用密码。但是,美国政府在电脑软件上保持严格的单方面出口管制,提供了强大的加密能力。因此,虽然我们可以为美国客户提供强烈加密的程序,但我们无法销售,并且他们不能在海外使用同一节目。这对于国际客户来说是有问题的,因为他们需要全局互操作性;对于美国软件公司来说,由于外国客户拒绝购买加密产品的较弱版本,开发,市场和分发全球计划的两个版本非常昂贵。
美国软件公司一直无法将其加密强度升级到超过1992年设定的40位密钥长度水平,尽管当时政府承诺定期增加密钥长度,以考虑到技术和市场发展。这个40位关卡忽略了以下事实:
I.当前的世界基准测试至少是DES(56位键)和三级(112位键)和128位密钥RC4越来越普遍;
2从外国制造商和互联网上可以找到数百种替代方案(大约一半使用DES或更强的加密);和
340位加密越来越容易受到商业攻击。
具有讽刺意味的是,受政府出口管制伤害最大的是美国公司和美国电脑用户——这是“尾巴摇狗”的完美例子。由于出口占美国软件业收入的一半以上,美国软件公司主要专注于能够在国内和国外运输的软件。因此,政府政策的影响是限制了美国加密产品的有效性、多样性和可用性。
此外,美国公司面临着海外竞争力的竞争劣势,正在失去加密产品销售。如果加密产品与其他应用程序相结合,例如Internet浏览器和服务器,则可能会失去销售。最近的一项研究估计,到2000年,根据美国出口管制的计算产业收入损失将每年600亿美元。因此,政府的政策正在损害美国行业的国际竞争力。美国的软件公司不应被迫在市场上追赶,他们目前在全球范围内拥有70%的市场份额。
简而言之,美国软件和硬件公司的无能为力为他们的用户提供强大的加密,以满足信息安全的合法需求直接威胁到我们行业的持续成功。此外,这意味着美国计算机用户的电子信息仍然很脆弱。最后,也许最重要的是,美国出口管制威胁要脱落持续的美国领导,不仅在开发全球信息基础设施方面,而且是下一代安全技术。
答:目前的世界基准测试至少为56位DES,Triple-des和128位RC4越来越常见
56位密钥长度的数据加密标准(DES)算法是在20世纪70年代由政府和业界开发的。它仍然是美国政府对非机密机密信息的标准(尽管它似乎正在减弱)。因此,所有提出的解决安全问题的“互联网协议”都要求至少在56位DES级别进行加密,并认识到对“三重DES”(112位密钥)和带有128位密钥的RC4算法日益流行的需求。
了解全球信息基础设施的支柱是至关重要的是互联网 - 一个由任何一个政府或组织控制的网络网络。在过去的几年里,美国公司已认识到他们必须调整他们的业务计划工作与互联网,而不是,甚至是除了互联网。希望为互联网提供软件或在互联网上做生意的公司,如果他们的产品或服务有任何机会获得广泛接受,就必须承认这些标准。
B.持续单方面美国出口管制在限制外国加密产品的可用性方面没有有效
美国持续的单边出口管制并没有有效地限制加密在国外的可用性。外国软件和硬件制造商抓住了这个机会,开发出了复杂的加密产品,并抢占了销量。1996年商务部的一项研究证实,外国制造的加密程序和产品广泛存在。一项正在进行的行业研究显示,截至1996年1月,有来自28个国家的497个国外程序和产品,其中193个使用DES(还有684个美国程序和产品——330个使用DES的程序和产品,通过调制解调器和公用电话线可以很容易地转移到国外)。
关于国外的加密产品,我只想举两个具体的例子。首先,基于unix的Apache服务器是头号互联网服务器产品,市场份额从去年4月的29%上升到43%。英国公司Stronghold推出了一款安全版本的Apache,其中包含了128位的安全通信协议。其次,我们已经确定了至少6家外国软件公司(在德国、比利时、瑞士、英国、爱尔兰、为了满足当地客户对更强大的加密产品的需求,他们开发了附加产品,让任何有网络浏览器的人都能轻松地从网上下载软件,从而将他们“出口受损”的美国产品从40位升级到128位。这些供应商认识到了美国出口管制对互联网安全产品造成的空白,并做出了相应的反应。此外,在开发这些附加产品时,他们既不需要也不依赖美国公司的任何技术援助。相反,他们利用标准编程技术和免费的、公共领域版本的加密算法和互联网安全协议,开发完全避开美国出口管制的产品。精灵已经从瓶子里出来了,还需要更明确的证据吗?
1995年,美国会计总署(General Accounting Office)也证实,在美国以外的网站上,外国用户可以广泛使用复杂的加密软件。例如,拥有128位密钥的“相当好的隐私”(Pretty Good Privacy,简称“PGP”)在互联网上免费提供,而且越来越受欢迎。而且,个人可以利用调制解调器和公共电话网,轻松地将美国开发的程序传送到海外,而不用担心被发现。显然,美国政府的出口管制并没有阻止外国人获得加密产品,更不用说那些有犯罪意图的人了。
C. 40位加密越来越容易受到商业攻击
最后,我们认为,在40位电平加密的信息中可以有很少的争议,不再为使用空闲计算机提供足够的休闲黑客来提供足够的保护。法国和我们自己的麻省理工学院的学生成功地对40位加密进行了“蛮力”攻击。此外,最近在1月份举行的RSA加密会议上,加州大学的一名学生在伯克利响应了RSA的挑战,并仅在3 1/2小时内解密了40位加密的消息。事实上,去年七个领先的私营部门加密医生和计算机科学家发布的报告突出了40位钥匙对商业攻击的脆弱性。
3. NRC的危机报告呼应了这些观点
如您所知,在1996年5月危机报告(“加密在确保信息社会”中的作用),蓝丝带国家研究委员会(NRC)委员会呼吁美国政策促进广泛使用加密技术。委员会的报告呼应了多年来有关出口管制救济的必要性的几年的说法。重要的是,委员会得出结论认为,随着对加密能力的产品需求,外国竞争可能会出现足以损害当前美国领导力的信息技术产品中的普及。委员会认为,确保在越来越多的全球经济中,在包括美国电脑,软件和通信公司,在内的主要美国和企业的持续经济增长和领导力很重要。因此,委员会呼吁立即易于出口的产品,以满足一般商业要求 - 目前56位DES级加密。委员会还指出,这必须定期更新。
政府的“新”政策不是解决办法
1996年10月1日,该行政当局宣布了一个新的加密政策,声称它会让行业让领先地位开发全球的重点管理基础设施并声称,以便更容易出口56位加密产品。这是专家的专家国家研究理事会委员会(经过两年后的研究),许多人希望政府决定遵循这一建议。
1996年11月15日,政府将国务院美国弹药名单上市的所有商业加密项目转移到商务部的商务控制清单。然而,虽然这种管辖权转移应该导致出口更容易,但行政继续征收许多相同严格的国家安全和传统上适用于弹药的外交政策控制!例如,当美国公司展示来自外国来源的类似产品的可用性或这些产品的公开可用性时,这些规定将被视为可用于加密项目。简而言之,论坛改变了,但不是那种物质。
1996年12月30日,商务部出口管理局发布了临时规则修订出口行政条例(“耳朵”),以进一步执行政府政策。不幸的是,该结果未能提供政府的前面的承诺。法规不提供56位加密产品的容易出口。此外,法规没有保证,可以出口各种市场驱动,商业发达的自愿的“关键恢复”或“数据恢复”产品,可以出口使用更长的关键长度。
政府的政策并没有提供轻松的出口管制缓解措施。美国国家研究委员会(National Research Council)在1996年5月的《危机报告》(CRISIS Report)中呼吁,新规定不允许56位加密产品轻易出口。相反,如果企业承诺生产或销售符合政府要求(而不是基于市场的要求)的“关键托管”或“关键回收”产品,它们只允许此类产品的出口期限最长为2年。此外,要想在此期间继续出口56位加密产品,企业必须向政府提交详细的业务和营销计划,并每6个月通过一份进展报告。(两年后,公司将仅限于为现有56位产品的现有客户提供服务和支持。)这一要求需要6个月的可更新许可,且需接受美国政府的持续审查,这是一种负担和侵入性的要求,可能会抑制软件供应商对开发关键恢复产品的兴趣。
政府政策只允许美国软件和硬件制造商在其产品提供加密密钥(“密钥托管”)或其他解密手段(“密钥恢复”)的情况下出口强加密(1)预先,(2)向政府批准的第三方,(3)如果政府根据法院命令要求,可以解密用户的存储数据和通信。不幸的是,市场驱动、商业驱动的存储数据恢复产品的出口能力仍然非常不确定。这些规定通常也忽略了面向大众市场的软件发行的现实。大众市场软件出版商已经投资数亿美元开发多种分销渠道,如原始设备制造商(即在计算机上预装软件的硬件制造商)、增值分销商、零售商店和新兴的在线分销渠道。大众市场分销模式假定软件发布者将充分利用这些多种渠道,在全球范围内发布相同或本质上相似的产品(只允许由于本地化而产生的差异),而不考虑特定的客户位置或特征。但这些法规要求客户具备特定的知识,以便使他们有资格成为关键的回收代理人,并强加了不适合大众市场产品的报告和记录保存要求。如果不对当前的软件分发方法以及下游信息的收集进行实质性的改变,这些信息既不容易获得,也对执法官员没有任何明显的用处,就不可能遵守这些要求。
政府的政策是有缺陷的,最终会弄巧成拙。政府的计划似乎与客户希望的存储数据的自愿密钥恢复或数据恢复功能有很大不同。
有很多关于获取用户加密信息的密钥的访问的讨论。例如,它肯定可以设想希望访问员工钥匙的公司或组织,以便在工作过程中恢复生成的加密信息。几位美国供应商提供允许组织内部某人的商业产品,或者由该组织自愿委托的第三方,以便根据界定的政策访问解密密钥。在家中的个人也可能希望在忘记或失去关键的情况下恢复信息的便利和保证。
但与政府关键托管或关键恢复建议不同,对关键恢复或数据恢复加密的商业需求仅限于存储的数据(包括电子邮件,即''商店和转发'产品)。它确实如此不是有几个原因延伸到实时通信:
商业加密应用程序的用户几乎没有理由恢复用于保护其通信的“会话”密钥。如果通信成功,则加密通信的发送方和接收方已经可以访问明文;如果不成功,最简单和最明显的解决方案是使用新的会话密钥重新发送加密的通信。
许多流行的Internet协议生成新的会话密钥每次和每次用户通过互联网连接到网站或以任何方式进行通信。因此,数亿互联网和内联网用户将创建数百千米零的会话键,并且这些数字将随着预期的通信革命推动更多人网上的数量级来增长。
开发和维护用于存储和检索这一广泛通信会话密钥的关键管理基础设施增加了对加密系统的成本和复杂性,主要享受从事监测活动的执法机构。
此外,允许恢复数据的用户不同强迫向必须得到美国政府批准的第三方提供密钥或其他解密手段。
此外,政府的新规定太过薄弱,使我们的许多公司无法投资发展大众市场符合管理局计划要求的加密产品。目前还不清楚该计划将如何对数百万中小企业或个人实施,这些企业或个人可能缺乏大企业和政府机构的专业知识和资源。如果企业不能确定产品是否会被购买,是否会被批准出口,它们就不太可能开发产品。
我想指出的是,由于所有这些原因,NRC委员会建议对密钥托管和密钥回收采取“蓄意探索”的政策,而不是“积极推广”的政策。我们完全同意。
为了使任何加密政策成功,它必须市场驱动。它必须是灵活的,并认识到,各种设置中的个人使用加密以及广泛的目的(例如,用户身份验证和完整性检查,存储的数据,财务应用,通信)。
重要的是,密钥恢复到一定程度或数据恢复到加密产品是如果广泛使用,那么政府将在适当的司法程序下为执法目的提供大量信息,就像今天的物理财产,包括备忘录、信件和文件一样。但是用户必须看到关键恢复特性的价值并希望使用它们。然而,如果政府强制要求使用不受欢迎的加密产品,可能的结果是没有人会使用实现这些功能的产品,从而阻碍执法目标。简而言之,任何关键回收系统都必须由用户驱动、市场主导的过程产生。它不能做一个强制性的、政府设计的、自上而下的、一刀切的、复杂的解决方案。
政府的政策是试图利用出口政策来控制国内对加密的使用。随着最近的国会研究服务,“[U]唱出出口进程来限制强加密的可用性仍然是克林顿管理政策的核心原则。”对政府政策的真正推动有点毫无疑问:确实,在15页详细的联邦注册文本中,只有一句话可以成为可接受的外国主要代理人 - 大概对外国用户感兴趣!正如我之前解释的那样,国内软件产业通过出口制定了大约一半的收入,客户越来越需要统一的加密能力;因此,大多数大多数大众市场软件和硬件旨在提供国内外同一加密功能。因此,这项新政策有效地迫使国内加密硬件和软件进入霍布森的选择为国内和国际市场维护单独的产品线或遵守政府的出口限制。此外,联邦调查局表示,如果努力利用出口管制失败,愿意寻求立法授权国内加密限制。
政府的新政策将很快得到测试。最后,我们想借此机会通知您,两周前,BSA成员公司Sybase提交了一个软件产品的出口申请,该产品加密存储的数据和电子通信。本产品的用户可以选择允许访问一个或多个用户选择(并且不一定是政府批准的)第三方可以访问用于加密存储数据的密钥(但是没有通信功能)。
12月30日的条例规定,行政当局可以批准出口允许政府根据法院授权在用户不知情的情况下访问未加密数据和通信的“可恢复加密”产品。然而,该条例没有为此类产品的出口提供指导或保证。因此,需要一个“测试案例”,以确定政府是否会批准出口市场驱动的加密产品是确定了商业需求。我们期待确定此类类型的“可恢复加密”产品将在许可证异常PagekMI下可出口。
BSA强烈支持待定立法,因为它提供了所需的出口管制救济
安全,职业代码和ECPA账单认识到美国应该的基本命题不是尝试控制导出的东西,即其本质,无法控制。当我们的政府在零售店中的公众提供时,我们的政府需要为大众市场软件出口的个人出口许可证而言几乎没有意义,在互联网上,在电脑上,在互联网上和公共领域。计算机硬件也不是如此控制的,因为它包含这种软件。简而言之,继续试图控制已经可用的软件的出口有很大的意义,这些软件的出口无论是关于加密软件都没有改变这个结论:它仍然是软件,在全球范围内仍然很容易和容易地提供。
重要的是,这些法案确实允许商务部长根据《与敌国贸易法》或《国际紧急经济权力法》继续防止向恐怖主义关注的国家或其他禁运国家出口。
条例草案规定,如果已允许强大的加密产品将出口到外资银行,那么他们应该出口到该国的其他外国商业购买者。请注意,我们在这里谈论的软件和硬件类型是“自定义”产品(如果通常可以在其他规定下提供个人许可)。因为至少从理论上可以控制这种出口,所以那么问题就会发生允许的允许加密水平。
再一次,这些法案在放松此类产品出口管制时确实包含了保障措施——如果有实质性证据表明这些软件将被转移或修改用于军事或恐怖主义用途,或在没有必要的美国授权的情况下重新出口,那么商务部长就不需要允许此类出口。
最后,我要指出,我们认为各项法案的提案国和支持者在寻求作出这一决定方面作出了明智的决定expl现在在现有法律下隐含的是,没有任何关于国内使用,选择或销售强加密的任何限制。有些人认为已经是法律,因为没有任何相反的东西。尽管如此,我们认为,明确重申美国人的权利是重要的,很有帮助。
结论
美国出口管制防止美国软件和硬件公司向其客户提供强烈加密,以满足信息安全的合法需求,从而直接威胁到我们行业的持续成功。此外,由于美国供应商在开发世界各地的开发产品中,出口管制也推迟了美国市场的精致安全产品,让美国计算机用户易受黑客和其他入侵者群体的电子信息。美国出口管制也威胁要脱落持续的美国领导力在制定全球信息基础设施方面。
最后一个和非常重要的一点。计算机用户,硬件和软件公司和隐私组的利益是不是反对执法和国家安全的人。正如NRC委员会发现,加密防止犯罪保护企业的商业秘密和专有信息,相应地减少经济间谍活动。加密还通过保护国家关键的信息系统和网络免受未经授权的渗透率来促进美国的国家安全。Thus, the Committee found that on balance the advantages of more widespread use of encryption outweighed the disadvantages and that the U.S. Government has ''an important stake in assuring that its important and sensitive ... information ... is protected from foreign government or other parties whose interests are hostile to those of the United States.''
现在是采取行动的时候了。为了使美国供应商在国际竞争环境中处于一个公平的地位,并使美国计算机用户得到充分保护,必须立即更新出口管制措施,以反映技术和国际市场现实。
谢谢你。
1997年国会听证会