托马斯·R。MOREHOUSE,SOURCEFILE总裁兼首席执行官
《加密安全自由法案》
1997年3月20日-众议院法院和知识产权司法小组委员会
主席先生和委员会成员,感谢你们给我这个机会分享我对加密产品商业的看法。今天我很荣幸来到你们面前。正如国家研究委员会1996年关于密码学在确保信息社会安全方面的作用的研究所说,我们面临的是政策危机,而不是技术危机——技术就在这里。因此,这次听证会既及时又极其重要。
我的公司SourceFile通过其SourceKey部门,是唯一一家被美国政府授权为出口批准的含有强加密的产品提供密钥恢复服务的公司。公司将SourceFile视为可信赖的第三方,以保护他们的版权、商业秘密和其他知识产权。通过我们的源代码托管服务,财富1000强企业依靠我们来保护它们在关键任务计算机软件方面的投资。因此,我们对保护私有知识产权的公共政策非常感兴趣。作为美国公民,我们也关心保护我们的隐私,保护我们的国家安全和防止犯罪。
关于加密出口政策的辩论涉及到三个不同利益方:公民自由主义者和言论自由倡导者、工商界、执法机构和国家安全机构。各方都有正当的关切和利益。让我先说一句,我认为妥协是必要的。接受任何一方的关切而排除其他方的关切,将破坏个人自由或美国在计算机行业的领导地位,或我们作为一个国家的安全,或两者的结合。这些选择中的任何一个都是绝大多数美国人无法接受的。
目前美国的出口政策要求在强大的加密产品中内置一个密钥恢复系统。由众议员古德拉特发起并由本小组委员会的许多成员共同发起的外管局立法,将有效地禁止联邦政府强制实施关键托管或关键回收机制。考虑到SourceFile作为唯一被授权提供关键恢复服务的公司的独特地位,您可能会对我接下来的评论感到惊讶。
虽然我的公司将从政府命令使用密钥恢复中获利,但我在这里不一定要支持这样的要求。
一方面保护隐私和财产,另一方面支持执法官员打击犯罪,在这两者之间的取舍问题上,美国人存在严重分歧。我最近看到一个Equifax/Harris的民意调查,显示了这个部门在实时通信方面的表现。对于“政府是否需要能够扫描互联网信息和用户通信,以防止欺诈和其他犯罪”,网民分成了51%和49%。非互联网用户2-1同意这一说法(见表)。
表2
隐私与执法部门对互联网通信的访问
“政府需要能够扫描互联网信息和用户通信,以防止欺诈和其他犯罪。”
|
互联网用户(百分比) |
非互联网用户(百分比) |
|
|
|
| 强烈同意 |
18 |
35 |
| 同意有些 |
33 |
29 |
| 有些不同意 |
25 |
19 |
| 强烈反对 |
24 |
15 |
来源:1986年Equifax/Harris消费者隐私调查,互联网,出版于公司。技术,1997年,第1期,第18页。
允许开发和使用足够强大的加密技术,以保护美国人免受侵犯隐私和经济间谍活动的侵害,同时允许国防抵御其他形式的间谍活动和执法,这需要一个微妙的平衡。我并不认为确切地知道什么样的政策将提供大多数美国人寻求的平衡。但我知道我们不能止步不前。我们必须打破这种僵局。
市场已经走在前面,朝着某种关键的复苏体系前进。无论政府是否需要使用关键恢复中心,SourceFile都将处于关键恢复业务中,因为市场力量需要我们的服务。商业用户和个人用户都将密钥恢复视为其密钥管理基础设施的重要组成部分,并将其视为安全、管理和控制加密数据文件的管理和恢复的首选方法。
如果加密用户丢失了一个密钥,他们不会冒失去所有机密访问权的风险。我从来没有见过一个车主没有至少一把备用的车钥匙。没有人愿意投资一辆汽车,却丢了钥匙,开不了门。丢失可靠加密的钥匙是灾难性的,因为你不能叫锁匠来打开你的数据之门。
使用强加密的人这样做是为了保护极其宝贵的资产。在一个没有备份系统的组织中,任何头脑正常的人都不会在丢失密钥时使用加密技术来检索信息。再说一遍,无论政府是否授权,市场都将要求关键复苏。唯一不会利用备份系统的人是鲁莽的人。甚至许多罪犯也会想要钥匙。
必须权衡加密对刑事调查的影响和它在预防犯罪方面的好处。一个人不能“锁定”执法机构的需要,以适当的法院命令,拦截和解密电子邮件;任何政府实体也不应该有自由端来浏览和阅读加密通信。正如我在证词开始时所说,这是一个找到正确平衡的问题。
几十年来,美国企业一直在寻求私人和政府的保护,以防止工业间谍活动。今天的电子商务和数字化数据在互联网上的流动,使无价的信息容易受到工业间谍的攻击,除非有强大的加密保护。
正如犯罪问题小组委员会在去年5月的一次听证会上所了解到的那样,窃取专有商业信息每年给美国公司造成的损失从240亿美元增加到1000多亿美元。
(见脚注1)这是一个很大的范围。但是,即使人们假设这个较低的数字是正确的,它仍然代表着对我们国家的经济福祉的巨大打击。一个好的、获得专利的想法可能会产生成百上千的新工作,并导致新公司甚至一个行业的诞生。个人和公司必须能够保护专有信息不受确定的经济间谍活动的影响。
我的公司SourceFile是国际领先的知识产权保护公司。来自20多个国家的数百名开发人员和用户组织依赖SourceFile来托管他们的程序源代码。作为可信赖的第三方,SourceFile的母公司持有数百万高度机密的公司和财务记录、医院记录,也许最敏感的是艾滋病检测记录。我提这一点是为了说明两点。首先,有先例允许第三方拥有适当的装备、安全保障和保险,可信赖地掌握最机密的信息。其次,SourceFile和类似的公司受到严格的法律的约束,这些法律保护我们持有记录的人的隐私。如果第三方违反了对其的信任,应该并将受到严厉的惩罚。
SourceFile认为,对私有财产权的保护要求对滥用信任的关键恢复中心处以严厉的惩罚。这类处罚将类似于对挪用或挪用储户资金的银行的处罚。
在新的信息时代,知识产权是许多公司最有价值的资产。例如,我们的一个客户设计和开发基因序列和表达数据库。他们的收入来自租用这些数据库的使用权。如果有人破解了他们的加密并窃取了他们的数据库,该公司的资产和市场价值就会暴跌。安全传输数据的方法对这家公司和越来越多类似的公司都至关重要。我想补充一下,这些公司大多数是美国公司,代表着我们国家就业和经济繁荣的重要新来源。
如果这些公司能够在全球范围内使用强大的加密技术,它们现在将受益。不确定的政策和法律将控制他们的行动,阻止他们使用强大的加密。
我相信作为我们客户的公司希望并期望政府通过强有力的执法来帮助他们保护他们的知识产权和商业秘密。我进一步相信,我们的客户认识到,执法部门有时会要求访问加密数据。
但对于政府来说,限制这些新的基于信息的公司可以使用的加密强度,要么会让它们的知识产权容易被窃取,要么会把它们推向海外。不管怎样,随着我们进入信息时代,这对美国来说都是站不住脚的政策。
加州大学伯克利分校的一位名叫Ian Goldberg的研究生在一月证明需要更强的加密。据新闻报道,戈德伯格只用了3个半小时就破解了美国允许自由出口的最安全的加密代码。他通过将250个空闲工作站连接在一起,每小时可以测试1000亿个可能的“钥匙”。据我所知,戈德伯格先生不是什么罪犯。但是,如果一个单独的研究生ReportsReports能够集中计算能力来破解这种加密,那么你可以肯定,一个外国情报机构、一家大公司,甚至一个技术娴熟的小偷也可以这么做。
当然,像《安全法案》那样对军事应用的硬件和软件保持出口管制是有意义的。但政府阻止加密技术进步的任何企图都是徒劳的。微处理器技术正在无情地发展。无论是在美国还是其他地方生产的加密技术,都将迅速变得越来越强大。即使政府成功地阻止了守法人士使用加密技术的改进,那些决心违法的人也会找到他们想要的强大加密和破译密码产品的来源。
与其试图控制时间或把精灵放回瓶子里,不如对那些使用密码技术犯罪的人处以刑事处罚。保险公司的账单可以做到这一点。
最后,我们认为,期望密钥恢复中心遵守执法机关的规定是合理的,执法机关通过正当程序向法院下达获取加密密钥的命令。这种合作类似于电话公司,允许获得适当法律授权的官员安装窃听器。根据这一类比,遵守法院命令的关键恢复中心不应因此类遵守而受到民事处罚。
主席先生,我感谢你和本小组委员会的其他成员有荣幸在你面前发言并请注意。我很乐意回答你们的问题。
(脚注1申报表)
犯罪小组委员会关于经济间谍活动的听证会记录,众议院,1996年5月9日,第1和59页。
1997年国会听证会