1997年国会听证会
情报和安全

4.的医生

1903年 - 1997年的计算机安全增强法案 - 修改国家标准与技术研究所，以提高国家标准与技术研究所改善计算机安全，以及其他目的的能力
1997年6月19日星期四
美国房子，
科学委员会，
技术小组委员会，
华盛顿特区。

小组委员会在上午10:47见面，在雷伯恩州办公楼的2318室，Hon。康斯坦茨A. Morella，小组委员会主席，主席。
太太。梅里拉。我要召集科学委员会，技术小组委员会开会。
我感谢我们的小组成员是为了患者。我们确实在投票中决定不要休会。
(笑声。)
太太。梅里拉。本来计划进行一系列其他投票，所以我和小组委员会其他成员都被推迟了。他们刚刚决定，他们将尝试协商他们在国防法案规则上的一个问题。因此，我们将开始听证会，这是非常重要的。
Today's hearing is going to focus on H.R. 1903, the Computer Security Enhancement Act of 1997. I would like to begin by complimenting the Subcommittee's Ranking Member, Bart Gordon, for his hard work in helping craft a bipartisan bill to address our government's computer security needs.
与戈登先生一道，科学委员会主席森森布伦纳、资深民主党成员布朗、委员会副主席埃勒斯、众议员戴维斯、斯塔贝诺、杰克逊李、塞申斯、皮克林、特拉菲坎特、库克、坎农和我都介绍了1903年的H.R.。该法案修改并更新了1987年的《计算机安全法案》(Computer Security Act)，该法案赋予美国国家标准与技术协会(National Institute of Standards and Technology)为民间政府机构的计算机安全制定安全标准和技术指南的主要责任。

第2页上一个的医生

具体地说，我将简要介绍该法案的要点，它要求NIST促进联邦政府使用现成的产品，以满足民用机构的计算机安全需求，从而降低了联邦机构的计算机安全技术的成本，提高了计算机安全技术的可用性。其次，它加强了独立的计算机系统安全和隐私咨询委员会在NIST决策过程中的作用。该委员会由来自工业、联邦机构和其他外部专家的代表组成，应该协助NIST制定联邦系统的标准和指导方针。
它还要求NIST开发标准化测试和程序，以评估外国加密产品的实力。通过这种测试和程序，NIST在私营部门的协助下将能够判断外国加密的相对强度，从而消除与出口国内加密产品有关的一些担忧。
第四，阐明了NIST的标准和指导方针将用于收购联邦政府的安全技术，并不旨在限制私营部门的生产或使用加密。
该法案还涉及学习计算机安全的大学生短缺。我发现这非常出色，在加拿大和美国的过去5年中获得的5,500博士学位，只有16个与计算机安全有关的领域。
为了帮助解决此类不足，该法案为研究计算机安全的研究生和本科生建立了新的计算机科学奖学金计划。该法案为每年25万美元，每年2个财政年度一年，以使NIST为现有的NIST拨款计划提供资金计算机安全奖学金。
最后，该法案要求美国国家研究委员会(National Research Council)进行一项研究，评估创建公钥基础设施的可取性。这项研究还将讨论公开密钥基础设施所需的技术进步。

页3.上一个的医生

你知道，我带来的所有这些措施都旨在实现两个目标。首先，协助NIST在满足联邦民用机构的不断增加的计算机安全需求;其次，允许联邦政府通过NIST，利用私营部门的聪明才智来帮助解决其计算机安全需求。
自电脑安全法通过以来，网络革命提高了联邦机构处理和转移数据的能力。它还使得与腐败和盗窃更容易受到相同的数据。
您知道，在2月，总体会计局突出了计算机安全，作为其“高风险系列的政府高风险问题。”“高”专门确定了联邦民用计算机系统缺乏足够的安全性作为一个重大问题。
虽然这是政府问责局第一次将计算机安全纳入其高风险系列，但这并不是政府问责局第一次解决这个问题。自1993年6月以来，总会计办公室发布了30多份报告，详细说明了联邦机构存在的严重信息安全漏洞。ReportsReports
并于1996年9月的报告报告称，在过去的2年中，在15个最大的联邦机构中的10个中存在严重的信息控制弱点。这些弱点的重要性无法低估。
根据另一个高报告称，仅在1995年，国防部可能会经历多达250,000次攻击其计算机系统。据估计，这些攻击的完全有64％成功获得了潜水系统的访问。
在GAO高风险报告发布的同时，这个小组委员会举行了第二次计算机安全简报，这是我在第104届国会上发起的。在简报会上，科学委员会的成员听取了该领域一些最受尊敬的专家的意见。他们都同意联邦政府必须采取更多措施保护其拥有的敏感电子数据。

4.上一个的医生

In response, I included increased authorizations, with the approval of this Subcommittee, of $10 million a year in H.R. 1271, the Federal Aviation Administration Research, Engineering and Development Authorization Act of 1997, and $4 million a year in H.R. 1274, which was the NIST Authorization Act of 1997. These increases, if appropriated, should allow the FAA to conduct the research required to improve the security of its computer systems and enable NIST to increase its efforts to improve computer security in federal agencies.
但是，授权的增加仅是解决方案的一部分。更新计算机安全性，使NIST能够更好地利用计算机安全技术的私营部门的进步是另一个。
联邦政府并不是唯一需要保护电子信息安全的国家。电子数据的腐败威胁着我们经济的每一个部门。
高质量的计算机安全产品的市场是巨大的。美国的软件和硬件行业也在做出回应。我相信1903号决议的通过，将使联邦政府，通过NIST，从这些技术进步中受益。
我期待着今天尊敬的小组成员的回复。并且，在我的估计中，这是一个很好的账单。而且，我希望我们可以简短地通过立法过程。
而且，我现在很高兴并荣幸能够认识到本小组委员会的排名成员，以便他的评论，戈登先生。
[H.R. 1903的文本遵循：]
插入偏移FOLIO 1-12

先生。戈登。谢谢你！我想和莫雷拉主席一起欢迎大家来参加这次听证会。
不是一天，我们没有看到互联网新闻中的一些参考和电子商务的爆炸性增长。最初设想的是国防通信和大学研究的网络现在是一个国际通信网络，我们刚刚开始意识到其潜力。

第5页上一个的医生

技术评估办公室和国家研究委员会报告都确定了电子商务增长的主要障碍 - 缺乏加密产品的广泛使用。ReportsReports1997年的计算机安全增强法是鼓励联邦机构和私营部门使用加密产品的第一步。这反过来或者反过来将支持电子商务的增长。
1997年的计算机安全增强法修改了1987年的计算机安全法，取决于国家标准与技术与工业研究所与商业关键的标准参考资料和参考标准的密切合作与合作。本立法突出了NIST的需求，扩大其在电子商务领域的活动。
H.R.1903加强了NIST在协调联邦机构利用加密和数字识别产品的努力方面的作用。它鼓励联邦机构在尽可能采用和使用市售的加密技术。
此外，这项立法允许NIST评估业界对一般可获得的外国加密产品的强度的技术价值。希望这将缓解围绕国内加密产品出口问题的一些紧张局势。
该立法不仅与技术评估办公室和国家研究委员会的建议一致，它还符合1997年6月6日NIST计算机系统安全和隐私咨询委员会通过的一系列决议。最后，我相信这项法案与克林顿总统即将到来的电子商务政策公布的目标一致。
我认为，1903年的最重要的基础元素是，它承认政府和私营部门的计算机安全需求是相似的。希望结果将较低的成本和更好的每个人的安全。

第6页上一个的医生

很高兴与主席莫琳一起制作这一立法。我期待着与她合作通过立法程序将本条例草案搬迁。
我要感谢我们的见证人，以花时间出现在我们面前。而且，我期待着听到您的评论。
太太。梅里拉。谢谢，戈登先生。我想认识到德克萨斯州的布拉迪先生。您是否有任何您想要的开放评论？
先生。布雷迪。不，谢谢。
太太。梅里拉。密歇根河女士。
Ms。河流。不，谢谢。
太太。梅里拉。好的。而且，杰斯先生也来自密歇根州。
先生。ehlers。谢谢你，主席女士。只是几句话。我为迟到而道歉，但我很有意思地，我在与发言者和几个成员在加密问题，出口加密问题上进行了会面，并具有非常丰硕的讨论。
我认为很少有人意识到计算机安全的重要性，以及对流经互联网和其他公共通信手段的数据进行适当加密的重要性。我很高兴我们能举行这次听证会。
我对主席女主人主席的兴趣感到满意。而且，我很高兴我们正在采取行动。
我认为这对我们的国家领先于曲线非常重要。而且，我希望我们很快就会改变 - 即使没有直接关注这里，我希望我们很快就会改变我们的国家出口政策加密，以便我们可以继续保持这个问题的领导，并可以显示世界其他地方它应该如何完成。
非常感谢。

4上一个的医生

太太。梅里拉。谢谢，杰斯先生。我很高兴你在那次会议上。
我还注意到，在我的开场白中，我指出你也是我们正在考虑的这项立法的共同提案人。
而且，现在听到我们拥有的杰出小组。再次谢谢你，首先，为了你的耐心。你发现它喜欢在代表院里作证。我相信，参议院甚至可能就像我们一样。
我想只是识别 - 我们将按此顺序进行，可能要求您发言可能不超过5分钟，知道您的总值将包含在记录中;因此，如果您愿意，缩写 - 议会Gary Bachula，在美国商务部技术管理局局长秘书处行事;Whitfield Diffie先生，他在山景，加利福尼亚山脉的杰出工程师，杰出的工程师，欢迎;斯蒂芬沃克先生，谁是可信信息系统的总统兼首席执行官，加拿大马里兰州格伦伍德;RSA数据安全总裁兼首席执行官James Bidzos先生谢谢于此，谢谢于此;而且，Marc Rotenberg，董事，电子隐私信息中心，华盛顿特区，ESQuire，也谢谢。
我很感激。而且，我们将与Bachla先生开始。
HON的陈述。隶属于工商秘书，美国商务科技管理部，华盛顿特区，隶属于

先生。BACHULA。谢谢你，主席女士，给我机会就《1997年计算机安全增强法案》(H.R. 1903)作证。
首先，我要赞扬您和委员会成员以及您的工作人员将国会的注意力转移到保护我国政府和国家信息基础设施的重要问题上。我确实有一份较长的书面陈述，我想列入记录，如果你允许，我将在我的口头证词中提供一些亮点。

4.上一个的医生

太太。梅里拉。没有异议，就是这样。
先生。BACHULA。主席女士，我们今天站在一个全新的电子商务世界的曙光，使用新兴信息基础设施进行数字化。这个新的时代将改变我们所有的生活。
它将允许企业购买和销售，招聘工人，汇合合同，交换资金，并在全球范围内组织瞬时供应链。它将允许消费者在银行业务中进行令人耳目敬的选择，使旅行预订，家庭购物和字面意思，最终将允许它们定制产品，其中击中家用PC上的回程按钮将开始动作，是材料的自定义设计的材料的过程，可能在一两天中发生的制造和运输。
在几年之内，您可以订购自定义拟合符合高度交互式电子目录的精确测量，这将让您在模型上看到套装，甚至是自己的模型，将其转到三个尺寸，让您在眼睛之前尝试不同的样式，颜色或织物。然后，当您订购此诉讼时，您将在动作中设置一个过程，其中织物将从供应商以一个州发货到另一个状态的工厂。非常高的技术切割机将组装那块衣服，西装将在几天内送到您家。
而且，订购该诉讼的系统将安排付款，保留记录，以便您可以订购另一个。而且，也许它将在一年后向您发送一两年，折扣优惠券询问您是否已准备好了。
或者，想象一下家具和适当的计算机程序，试图在您自己的家庭房间非常现实但虚拟代表的家具中尝试不同的家具和风格。如果您喜欢特定的沙发，但需要它缩短3英寸以适应您的表格，您可以制作该请求以及测试不同颜色和样式的外观。

4.上一个的医生

再次强调，当你下单时，你将启动一系列活动，一些人称之为按需生产。其他人可能会说这很酷。
但是，电子商务，成长并成功地实现这种愿景，需要可靠，安全可靠的环境。要通过网络购买和销售，我们需要有信心我是我说的。
我们需要对某些信息的完整性有信心，有些信息没有也不能被黑客篡改。我们需要知道我们可以私下和我们的医生做生意。
我们需要获得公共信息，但同时也要保证不会有错误的人获得机密或私人信息。使电子商务成为可能的工具就是我们今天在这里讨论的工具。
讨论可以非常详细和深奥。有时辩论变得充满激情。
我本人不是计算机专家，也没有参与过这些情绪化的辩论。我今天在这里要谈论的是NIST在计算机安全方面的作用，以及使这个令人兴奋的，快速发展的，对美国经济来说可能非常有利可图的电子商务领域成为可能。
10年前计算机安全法案颁布时，事情更加简单，特别是在联邦政府中。总的来说，我们的计算机系统集中了;孤立网络;综合综合性申请。
对系统的身体威胁是当时的主要问题。术语“病毒”刚开始成为我们词汇的一部分。而且，数字战或数字恐怖主义等事情是非常抽象的概念。
今天，政府机构越来越多地通过强大的计算机应用程序直接向公民提供服务和信息，使用跨越大型系统的技术，以便在分散网络中经常连接的桌面和笔记本电脑。这些应用程序越来越互动。

4.上一个的医生

几乎在世界任何地方的个人可以访问政府系统。在许多情况下，政府想要鼓励和应该提供的那种访问。在其他情况下，不幸的是，它不是。
在这一新兴全球信息基础设施中，政府和私营部门的系统和网络越来越多地交织在一起，因此面临共同的威胁和风险。政府必须敏锐地意识到公众对电子获得机密信息的问题敏感，因为对获得社会保障福利记录的投诉中的投诉所证明。金博宝正规网址
政府和私营部门的认识到，系统的可靠性取决于个人隐私的保证。两个部门还具有类似的机密性要求，数据的完整性和对公共信息的访问。
在这个迅速变化的环境中，商务部已经并将继续与管理和预算执行办公室建立的信息技术安全框架合作。行政管理和预算局最近修改了机构计算机安全程序应建立的基本管理结构，并确定了NIST等机构的具体支援角色。
NIST在这一领域的主要职责是提供具体的技术标准和指导，以协助联邦机构履行其安全职责。重要的是要记住，保护自己的系统和网络是每个机构的责任，但是OMB提供了一个共同的管理框架来做这件事，NIST提供技术指导和标准。
而且，早在1987年《计算机安全法案》通过之前，我们就在美国政府的计算机安全方面发挥了核心作用。联邦信息处理标准(FIPS)为政府提供了一个具有成本效益和可靠的信息技术和安全的共同基础。

4.上一个的医生

By Andlow，在联邦机构的这些标准的发展中，NIST参考资料和建立在私营部门开发的标准上。今天，政府将在自愿标准过程中充分参与NIST越来越多地使用此类行业开发的标准。
我想突出一些重要的举措，即目前正在承担的重要举措，我们认为对更有效的计算机安全实践做出重大贡献。首先，在过去的一年中，我们已经重组并重新分为我们的信息技术活动，并在新的信息技术实验室中巩固了它们。计算机安全在这种新的组织结构中起着重要和关键作用。
先生。布雷迪。秘书长先生，如果我可能会中断一会儿，我们为您的言论保留了另一分钟。
先生。BACHULA。一分钟吗?好吧。谢谢你！NIST已经发布了一种新的高级加密标准，或者说已经发布了一种新的高级加密标准征求意见。我们正在寻求对数字签名领域的其他算法的评论，寻找与现有算法一起使用的新技术。
我们非常从事努力在关键协议或交换协议领域看一个新的FIP。底线是，我们为两者都提供了大量的方式，提供了最前沿，新技术，并协助联邦机构遵守他们所拥有的安全要求。
关于拟议的计算机安全法案，我又为其领导委员会赞扬委员会。我们支持本条例草案的许多规定。
我们强烈支持并赞扬票据的一部分，使NIST能够在建立非联邦公共关键管理基础设施方面根据私营部门提供协助。我们支持与NIST有关的规定，为联邦机构提供指导和援助，包括评估和测试市售的安全技术。

4.上一个的医生

我们支持第5节，该第5条规定NIST将强调技术中立的政策指导方针，并必须积极推广商业上可获得的产品，以满足联邦机构的安全和隐私要求。
关于第6节和第8节，我们支​​持那些背后的意图和原则。我们认为，我们需要找到一些改进的语言，因为有些可能性对意图有一些误解。
法案中我们必须反对的一部分，也是政府必须反对的一部分，是第7条，它规定NIST评估外国可用加密技术的可用性和强度，因为它们涉及加密出口限制。在该法案中包含这些监管条款，使该法案所宣称的提高联邦政府系统安全的目标变得模糊。
它将辩论注入了可能属于其他地方的房间。此外，目前的法律和程序已经建立了制定此类评估的政府范围内的过程。
根据现行的出口管制法律，外国可得性评价被适当地视为影响出口管制政策决定的众多因素之一，包括加密技术领域。
拟议部分将在第二次猜测现行监管程序和现有的执行分支机构中间，将NIST，非监管机构，非监管机构正方形放置。我们对委员会的请求是让NIST做到最好，而不是在这个监管辩论中抛出我们。
我们支持这项法案。我们想在两部分中与委员会合作。
第7节给我们带来了一个问题。但是，总的来说，这是一项很好的立法，我们非常赞赏委员会的努力。

页面13.上一个的医生

[Bachula先生的准备好的声明遵循：]
插入偏移Folios 13-23

先生。布雷迪。谢谢你，副国务卿先生。我知道，在小组讨论结束后，委员会中会有一些成员想和你们谈谈第七部分。
先生。BACHULA。当然。
先生。布雷迪。谢谢你！Diffie博士。
美国加利福尼亚州山景市太阳微系统公司杰出工程师whitfield diffie的陈述

先生。diffie。非常感谢。我要感谢委员会邀请我。
我将从计算机安全的未来转向我们是如何走到现在这个位置的历史。当我坐下来发表这些评论时，我意识到NIST和我在密码行业的时间几乎是一样的。25年前的今年8月，发生了一件我认为值得注意的事情。
作为ARPANET的资助者的Larry Roberts接近Howard Rosenbloom，他是NSA的安全或副主任的副主任，并要求帮助为ARPANET开发安全技术。但是，他不希望课程分类，他们无法同意。而且，这两个机构之间的任何内容都没有进一步。
但是，拉里·罗伯茨转身开始和其他人谈论网络的安全问题。其中一个是我的老板，约翰·麦卡锡。然后，约翰·麦卡锡反过来和我谈了谈。

41.上一个的医生

而且，有效地，从1972年秋天开始，我在加密中全职工作，从而从计算机科学的以前理论上工作。在大约同时，标准局正在征求最终成为联邦信息处理标准46的算法，数据加密标准。
而且，虽然当建议时，我们争论它的充分率是一个很好的协议 - 而且我是一个大的论证之一 - 我必须承认它在过去的25年里很好。我们比没有它好多了。
而且，我们在斯坦福制定公钥加密的工作已经补充了标准局的发展，加密发展。而且，这两件事已在过去的一代中开发适当的商业保护系统。现在，这是1970年代。
当时，国家安全局合作了——我认为那是真正的合作——在数据加密标准的开发上。到20世纪80年代初，他们似乎有了新的想法，不再像以前那样直接控制密码系统。
并且，在迅速的继承中，有一个国家安全决策指令，大大扩大了在联邦政府的安全安排中扩大了国防部的权威。NSA的计划称为“商业COMSEC认可计划”，以便首次在NSA的ImprImatur下直接生产，并通过其标准技术来生产 - 即使用将在篡改硬件中保护的秘密密码系统 -为了保护“II型”的加密，以保护政府未分类的敏感信息和所有商业和其他信息。
而且，他们有效地，已经成功地重新控制了美国的加密。国会没有考虑适当。
这是工业界普遍抗议的主题，尤其是银行界，他们认为它需要一个更自由、更开放的技术。1987年，国会通过了《计算机安全法案》，授权商务部，特别是——大约在同一时间更名为——国家标准与技术协会，负责民用政府通信的计算机安全、网络安全、通信安全标准。

4.上一个的医生

但是，该法案中有NIST与NSA协商的条款。而且，这两家机构之间的谅解备忘录(Memorandum of Understanding)进一步扩大，实际上赋予了国安局对NIST行动的控制权。
这是一个自然的大多数，使其成为另一个方式和金钱的权力。NIST没有必要的资源，独立，已分配给它的工作。
在那个体制下，我想追溯到，比方说，从1989年到1990年代初，我们看到了三个联邦信息处理标准的发展和颁布其中只有一个，我想，得到了外部社会的普遍认可。这些是数字签名标准，顺便说一句，其中三分之二是用学术技术开发的。但是，它们是由国家安全局开发的。
数字签名标准，它并没有成为事实上的行业标准，尽管在技术层面上，每个标准都有利弊，但其效果与标准化的目的相反。它造成了裂痕。这是一种试图取代现有标准的尝试。而且，到目前为止，它只取得了有限的成功。
更有技术含量的叫做“安全哈希算法”。这是基于麻省理工学院的研究成果，但在美国国家安全局进行了详细阐述。总的来说，这是很受欢迎的。
而且，三者中最奇怪的是，托管加密标准或剪切芯片，其奇异的特征到我的思想，这是它是一个商业部门，该部是根据秘密技术在法律上和物理上的控制下的控制国防及其承包商。因此，虽然商业部在法律上颁布了该标准，但可以通过国防部行动削减该标准。
顺便说一下，我昨天在华盛顿参加了武装部队通信电子展。政府和那里的业界人士似乎都相信这项技术即将被解密。

第16页上一个的医生

美国国家安全局的人说，他们试图赶在节目开始前完成，但没有成功。但是，这种情况可能是正规化的。
现在，我很高兴地说NIST最近已经开始采取行动，我认为这些行动更符合计算机安全法的精神。他们已经颁布并开始发展所谓的高级加密标准，以取代现有的数据加密标准，并且这样做了——我的意思是，我想韦伯斯特在上个世纪说过，如果他的对手那样计划的话，这场辩论就不会这么好了。
我必须承认他们遵循了一门课程，这是我推荐的课程。他们开始征求关于应判断新标准的拟议标准的意见。
他们宣称这个标准是开放的，是不保密的。他们鼓励提交者解释关于标准的一切，以及他们所能解释的建议。
,我相信这是有必要在现代世界为了有一个加密技术,适合不同社区的需求,给了我们美好未来的互联网商务的承诺和在通信通常是一个巨大的进步,技术的承诺。
网络通信的多样性在网络所在的数千英里或数百万台连接到它的机器中没有测量。它是在权限的多样性，目的的数据的衡量标准与网络连接的所有权。
而且，为了在那个环境中拥有安全，这与我们在历史上所经历的很相似——你必须在商业环境中拥有安全;人们必须保护商品;他们必须保证订单;他们必须保守某些秘密——我们需要一种公开开发的技术，因此可以被每个使用它的人信任。所以我很,很高兴找到这个立法,似乎我跟NIST的独立执行这个任务,向需要的资源在执行这个任务,而且我认为这个法案已经在正确的时间来支持和鼓励NIST在什么似乎是一个返回,如我所说,这是1987年计算机安全法案的精神。

41.上一个的医生

谢谢你！
[迪菲先生的发言稿如下:]
插入偏移花foltios 24-29

先生。布雷迪。谢谢Diffie博士。而且，我知道，每个成员都知道，尝试在5分钟内总结一下它有多困难。但是，我们确实有你的书面陈述。
而且，我们之后确实有很多问题。所以，我很欣赏它。
先生。diffie。我从来没有觉得这是重复声明的任何一点。你可以读到这个。我试着说别的别的。
先生。布雷迪。你们所有人都很耐心。而且，我们很感激。
沃克先生。
马里兰州格伦伍德信赖信息系统股份有限公司总裁兼首席执行官斯蒂芬·沃克声明

先生。沃克。谢谢你！我很高兴今天上午有机会来到这里。我会尽量简短一些。
我认为，我今天的经验是，相关。我作为一名政府雇员花了20年，从国家安全机构开始，然后国防高级研究项目代理机构回来，当时ARPANET正在入门，以及国防部长办公室。
在过去的14年里，我已经增长了我公司，信任的信息系统，从一个人咨询商店到一家公开交易公司的300名员工。但是，也许比任何一个更重要，我有机会在20世纪90年代早期花费5年作为计算机系统安全和隐私咨询委员会的成员。

第18页上一个的医生

当我被要求成为会员时，我真的没有任何关系。有时候董事会真的不太了解它应该做什么。
但是,当加密倡议和数字签名标准和其他东西在1990年代初,董事会中扮演一个重要角色,我很高兴你认识到需要董事会和董事会的努力需要加强。
我强烈支持1987年计算机安全法和您今天在这里考虑的账单。我强烈支持公众在电脑安全问题中开放的讨论。金博宝正规网址在我的30多年的经验中，我在许多场合中观察到，当这些讨论漂移后闭门时，事情不会很好。我是咨询委员会的强烈信徒，并且在其一些最有效的时期内产生了相当大的第一手经验。
正如该法案所指出的，NIST在指导对民间机构的援助方面扮演着非常重要的角色，出于各种原因，威利斯·韦尔指出，最近通过的决议以及他的证词，这里的书面证词，它并没有做得很好。我认为这项法案的条款加强了NIST在为民间机构提供帮助方面的作用是非常非常重要的。
我确实担心——稍后将对法案中赋予NIST新产品评估责任的条款进行评论。我不确定我的担忧是否与政府的担忧相同;但事实上，我认为这些都是非常困难的工作，没有人真正知道如何去做。
除其他外，他们将严重分散NIST的注意力，只有它在为民用机构提供帮助，以了解他们的计算机安全评论。
我想花几分钟的时间来填补怀特雄辩地评论过的历史中的几个空缺。我们在这里讨论的问题并不新鲜。它们至少可以追溯到1975年至1977年引入DES的时候。即使在那时，关于应该由谁向民间机构提供计算机安全和加密方面的建议，仍然存在分歧。

页19上一个的医生

1970年末，卡特总统签署了总统指令24.许多人忘记了这一点。它给了国家电信和信息管理局对未分类使用加密的责任。
我知道，从智力界的人们的个人互动中，这导致了极大的激情，事实上，它是促使1984年NSDD-145总统签署的或者在1984年被委任为此的事情之一指示。这是惠特指出，给予国家安全社区，特别是国家安全机构在民间政府领域的重大责任。
当然，1987年的计算机安全法是一个反弹，如果您愿意，则反击反击 - 145。而且，它给了今天它的责任，这是一个非常重要的重要性，为处理敏感和未分类信息的人提供援助，包括国防部。而且，这总是困扰着各种人的曲折。
但是，当然，辩论并没有结束那里。理解备忘录和斗争，惠特对此发表评论而且我相信马克会告诉我们一些关于稍后的事情 - 但我认为遵循该法案的最重要的问题是金钱不是的事实在那里。给我看看钱款。
NIST没有能力完成法案中规定的任务。我很高兴你们都在考虑改善这种状况。
我注意到，在1980年代末国防部计算机安全活动的高峰时期，他们拥有的人员和资源是NIST在这一领域所有努力的10倍。我想惠特已经说得很清楚了。
我已阅读并同意Willis Ware的书面声明，其主要内容是，该法案的结构令人满意，但其执行存在重大缺陷。NIST在使用资源的时候选择把更多的精力放在研究新的问题，下一个问题上，而不是在这里强烈指出的问题上，有一些民间机构迫切需要帮助来解决这些问题。金博宝正规网址他们没有足够的资源来解决这个问题。

介上一个的医生

我想，正如我所说，这个法案的重点是非常重要的。
咨询委员会可能是1987年的计算机安全法案最重要的发展。董事会已培养开放讨论和公共记录的计算机安全问题，如Clipper政府重点托管系统和数字签名标准辩论。金博宝正规网址
这些不会发生这种情况，没有董事会在这方面带来，并帮助政府 - 帮助公共部门更好地了解政府关键托管的危险。我强烈赞扬这里努力加强董事会。
要求联邦信息处理标准必须在向商务秘书发送之前提出建议，我希望有些原因在那里占上风，因为董事会常常没有关于其中一些标准的信息。但是，在那里提供了这种规定，我们早先谈过的托管加密标准可能会被不同地处理。而且，可能会越来越昂贵和失败的努力。
我很高兴地注意到2月，政府当局决定放弃在Fortezza卡上的政府关键托管。并且，所以我们实际上可能在政府计划的正常演变中的相对较短的时间内修复了这个问题。
我担心指示NIST执行信息技术的评估和测试的条例草案的一部分。在条例草案第4节中，新段6是一项非常艰巨的任务，我会说，NIST不合格表演，但这并不是要放下。没有人有资格执行那份工作。
国防部花了大量时间，其中一些我负责开始，试图在20世纪80年代和1990年代初。而且，他们没有成功。而且，我担心在这里，我们可能会在一个非常昂贵的任务上推出它们，我们不会对结果非常满意。

第21页上一个的医生

同样，第7节任务要评估外国加密的能力，同时代表非常非常理想的目标，我们都希望看到自己的结果，也是一个非常艰巨的任务，也没有人在政府或行业中能够在这一点上有效地执行。
这两个条款都在困难，昂贵和耗时的情况下发送NIST，我害怕，野鹅追逐，结果，我害怕，没有人会满意。请仔细审查这些规定，同时他们将消耗丰富的资源，并从重要的作用，从为民用机构提供一致和明智的建议，从重要的作用中取消巨大的资源。
最后，我想说的最后一点，虽然我并不从根本上反对NRC对密码学的另一项研究，但我很想知道，在这里提出的研究之后，我们离有效的公钥基础设施还有多远。也许我会感到惊喜。
非常感谢您给我机会提出我的观点，希望对您有所帮助。
[沃克先生的准备好的声明遵循：]
插入偏移Folios 30-37

先生。布雷迪。你打赌。谢谢沃克先生。贝迪斯先生，我明白你有一个大的一周。所以，我期待着你的言论。
美国加州红木城rsa数据安全公司总裁d . James bidzos的声明

先生。Bidzos。谢谢主席先生。我还要感谢委员会给我这个机会来到这里。

42.上一个的医生

我讲几句话，尽量简短些。当然，我已经提交了一份声明。
Let me just say right up front that I'm very supportive of H.R. 1903. I think it is timely, important and offers the potential for the best return on investment in legislation that I've seen in the 12 years, half the time of some of these other gentlemen, that I've been in the business.
但是，在我开始之前，我希望我能偷了45秒来回应我们听到了关于账单第7节的内容。我认为委员会表现出比获得信誉的智慧。而且，让我建议Bachla先生，也向我的朋友史蒂夫，为什么我认为这可能非常非常恰当。
德国增长最快的软件公司是Braukat公司。Braukat的业务完全是为在德国销售的美国制造产品替换加密技术。
因此，当Netscape和Microsoft将产品发货到德国，到德国客户时，随着我们的出口法规所要求的加密，Braukat进来并用它的强烈加密替换，这就是我公司所设计的所有加密，similar to the encryption that is in the U.S. version.
所以，首先，如果这不是商业部门通过识别和监测这种类型的活动来保护美国行业的责任，其工作是呢？我认为该法案是关于任务NIST的资金与这些责任。
我认为商务部，我一会儿会讲到，在加密领域在很多方面让业界失望。这是把它拿回来的绝佳机会。
这并不困难。这不是一种分心。如果外国公司能够成功替代密码学，则在技术上难以简单地确定。

第23页上一个的医生

而且，我绝对有信心，如果NIST要求他们，网景和微软将很高兴提供技术资源，如果有哪怕是最微弱的希望一些政策改变，可以通过他们的努力。所以，我认为NIST承担这个角色既不困难也不不合适。
这适合商业部门以这种方式帮助美国工业。
首先，让我只是对自己和我公司说几句话。我公司是RSA数据安全。自1982年以来一直存在。我已经在11年里跑了一会儿。
我们一直幸运的是，我们设计了一些非常有用的技术，已找到巨大的商业成功。我们的加密技术嵌入在我怀疑这个房间里的每个人的每个产品。
如果你上网浏览过Netscape Navigator, Microsoft Internet Explorer，如果你使用Lotus notes，如果你使用Oracle, IBM, AT&T等400家公司的产品，1亿份包含我们加密技术的产品，那么你就是一个加密用户。下次你使用网景导航仪的时候，到关于网景的网站去看看关于安全的部分，你会发现一个令人难以置信的关于加密的教程它会告诉你很多关于这项技术的事情。
现在,正如我所说的听起来很不可思议,尽管这些1亿份现成的产品存在,正被美国工业投资自己,让自己更有效率,做所有我们读过的东西,被万维网颠覆的公司和行业，这是本届政府的政策，这些产品不能被联邦政府的民间机构使用。他们被要求使用基于迪菲博士所描述的标准的产品，托管加密标准，而不是NIST在标准化领域的巨大成功或者美国国家安全局在商业产品营销和开发方面的短暂尝试;数字签名标准，正如迪菲博士所说，是一种试图取代现有标准的尝试——总是一件很难做到的事情，也不是很成功。

44.上一个的医生

该政策的不幸受害者是联邦政府的民用机构，他只是试图提供更多的安全，该行为在1987年指导他们做。这是一个非常及时而非常好的行为。
他们发现这很难做到。他们要么要为产品支付一大笔钱，这些产品包含的技术没有人真正想要支持，这是现有的联邦标准;或者，他们必须通过一个非常复杂和困难的豁免程序，尽管环境保护局和农业部都已经这样做了;或者，他们什么都不做，让这些系统变得脆弱。显然，这是不可接受的。
本委员会已认识到这一点。这是这个法案可以解决的非常重要的问题之一。
计算机安全法案是1987年良好时机和良好领导的一个例子。显然，国会确定了对计算机安全的需求。
它使NIST负责为政府联邦机构提供计算机安全领导。不幸的是，由于我们没有时间在这里讨论的原因，NIST无法利用国会为其创造的机会。
也许是因为谅解备忘录。也许还有很多其他的原因。
NIST在计算机安全领域做了很多好事。但是，说到加密，我担心他们已经把与业界的关系变成了一种对抗关系，而实际上，与业界合作是一个巨大的机会;虽然我们错过了这个机会，但我们现在有机会纠正它。我想这就是H.R. 1903所做的。
我提到的是多么难以置信,在这个时代,这种分布的1亿种产品,可用于改造政府,根据副总统的主动,40 45飞行员的副总统倡议,顺便说一下,使用“非法技术。“这项法案将解决所有这些问题。

第25页上一个的医生

这个法案将指导NIST与工业界合作，采用市场解决方案，给NIST一个机会来恢复它的领导地位和它在美国工业界的信誉，这将提供一个极好的利益，一个极好的结果，这将给民间的联邦机构，所有120个，有机会简单地解决他们理解的计算机安全需求，这对他们来说是非常重要的。
所以，账单会做精彩的事情。它会导致NIST采用市场解决方案。它将让他们有机会跟进这三个举措 - 讨论的高级加密标准，根据当今在“华尔街日报”的故事中，如果你看到它，这是批评性的重要性。这位25岁的DES在历史上第一次打破了。
在麦凯恩/克莱伊票据的出现时，发生了一个重大的活动。今天没有时间进入这个。
但是，无论如何，这证明了NIST主动的重要性是多么重要。不幸的是，在DES被打破后的48小时内我们正在谈论一个晚期加密标准过程，可能需要几年。
如果这一进程已开始2或3年前，我们将不是非常非常好的，对我们来说更好吗？我们将领先于曲线而不是背后。
NIST可以做的另一件事是完成其签名标准的修正，并识别行业的内容。
它能做的第三件事是完成它的关键管理FIPS的努力，顺便说一下，Epic发现的FOYI文件显示，NIST在1989年发现，确定并认识到关键管理标准的需要。而且，我们今天仍然没有一个。这项法案将使他们能够开始行动。
所以，总的来说，这项立法的总体投资回报是非常高的。我认为这是一个典型的例子，说明一小部分立法会带来巨大的回报，这将使整个联邦政府受益，提供更强的计算机安全。

页面26.上一个的医生

这很难看到任何侧面。而且，我提交了关于第7节的评论。我不会再说了。
所以，基本上，好处是联邦系统的额外安全，恢复NIST的机会发挥领导作用并与行业合作，从所有的技术中受益，把它带到联邦机构，成为计算机安全解决方案的展示，领导而不是和这些联邦机构在豁免和其他事情上争斗。
因此，我强烈支持这项立法。我要感谢委员会和主席女士的领导，感谢他们愿意追求这一目标并投入时间。
这是及时的。这很重要。我对此非常高兴。
非常感谢。
[Bidzos先生的发言稿如下:]
插入偏移folios 38-46

先生。布雷迪。谢谢Bidzos先生。而且，正如我们将迈克传递给Rotenberg先生，我将担任主席担任主席。谢谢你！
太太。梅里拉。布拉迪先生做得很好。Rotenberg先生，我们期待着听到您的证词。
Marc Rotenberg，导演，电子隐私信息中心和乔治城大学律师中心，华盛顿特区，DC主任

先生。Rotenberg。非常感谢，主席女士。感谢小组委员会今天上午给我这个机会。

第27页上一个的医生

只要小组上的一些其他成员，我就没有参与了密码学，但我在10年前的计算机安全法案的诞生中。而且，我想说几句关于这段立法的几句话。
你知道，在80年代末，我们还没有互联网，我们还没有万维网。在金融服务行业之外，密码学并没有太多的商业用途。
与此同时，我们非常关注苏联对西方技术的收购。尽管如此，国会通过两党支持，认识到有必要让NIST在技术标准的发展中发挥主要作用，以保护联邦政府内部的计算机安全，并创建一个开放的过程，公共问责制和私营部门参与这些决定。
现在，过去10年来的道路上有一些颠簸。谅解备忘录，于1989年签署，我认为我们承担了一个不幸的绕行。
而且，早些时候讨论了一些技术标准 - 托管加密标准和DSS，也创造了一些问题。尽管如此，我认为这项立法的根本目的已经支撑了时间的考验。
1903年的何处是加强了1987年的计算机安全法，在坚实的基础上，并确保计算机安全标准对民用机构的需求响应，充分利用私营部门投入和公共建议。而且，10年后，我不能强调这是多么紧急，因为今天，事实上，我们越来越依赖互联网和万维网，为您的所有商业活动和机遇和电子商务。听到了早些时候讨论过。
而且，我们在同一时间非常了解人们今天在线上遇到的计算机安全风险。如果您查看最近的计算机用户的一些民意调查，他们最关心的是什么？隐私在那里在那里就在那里。

第28页上一个的医生

并且，他们正在联邦政府的计算机系统中谈论他们在计算机系统中的信息。而且，您知道我们有保护该信息的立法。但是，如果没有确保系统安全的技术标准，则还不够。
然后，1903年的是什么，是确保私营部门领导将继续在这些标准的发展中发挥关键作用。它将加强计算机系统安全和隐私咨询委员会 - 我想在计算机安全决策的领域中说，为任何与董事会一起工作的人来说，这是我一直有许多人的过去5年或6年的时间并继续对董事会承诺获得公共投入，最佳技术咨询，并确保将其纳入决策的最佳技术咨询的非常周到的合作努力印象深刻。
H.R. 1903加强了顾问委员会。我认为这很好。
此外，我想在第7节上说一句话。早些时候的一对见证人提出了一些担忧，也许可能第7节将在做一些不应该做的事情的工作中。
第7节实际上，我认为，对于这项立法的成功至关重要，因为第7节所做的是在商业秘书能够做出决定和建议之前，要求商业部门需要注意的外国可用性。关于这一领域的政策。这只是，你知道，常识。
我的意思是，显然这些是令人争议的问题，不同的群体对外国可用性的重要性有不同的看法金博宝正规网址。但是，没有联邦政府内的某种机制，以确保该信息可用于政策制定者，我认为这方面的许多决定将继续与盲体作出。而且，这不是制造政策的好方法。

第29页上一个的医生

最后，如果我能就国家研究委员会拟议的研究进行一项简短的建议。正如您所知道的，NRC去年完成了对加密政策的一项非常良好的研究，一个非常复杂的问题，全面的审查和收到良好。而且，我认为他们做得很好，应该继续在计算机安全领域工作。
我想在这里提出的唯一问题是，是否也可以考虑公钥管理之外的主题。特别是，这意味着寻找新技术来促进网上隐私和安全，以及其他国家正在探索的促进匿名或伪匿名商业和通信的技术。
我认为这对我们来说也是一个机会和成长的重要领域。也许NRC也会在这个区域进行研究。
但是，代表今天使用互联网的很多人发言并关注隐私和安全问题，我可以告诉你，1903年是一个非常重要的阶梯，前进的正确方向。金博宝正规网址它建立在坚实的基础上。
而且，我们很乐意提供我们能够移动的任何支持。谢谢你。
[Rotenberg先生的准备好的声明如下：]
插入胶印对开页47-56

太太。梅里拉。谢谢你，罗滕伯格先生。我们正在考虑新技术的概念，并期待与你们在这方面合作。
我认为我会做什么 - 在我们去投票之前，也许是为了第一轮询问，我会 - 自从我出去的是礼貌，推迟到戈登先生的任何问题。

介上一个的医生

先生。戈登。谢谢你！我们在这里有一个紧张的框架。而且，我有一个5分钟的规则，就像你一样。
而且，让我对你构成一个问题。然后，我想要的是委员会中的任何人都希望解决它来清除一些建议，然后跟进你想要的任何类型的书面评论。
一些国家已经开始建立数字签名的法律框架。如果有的话，联邦政府应该扮演怎样的角色来鼓励开发这种要求，即为认证机构开发统一的数字签名标准或程序?
所以，我们将刚刚开始任何人进行一些快速评论。然后，我希望您跟进任何书面评论。
先生。Bidzos。我很乐意为这个问题提供一个简短的回答。您是正确的，因为各种州都有许多努力。犹他州有一个数字签名法，许多国家，合法化，识别和标准化这种数字签名技术的使用。许多私营公司正在与大量的本地和州政府合作。
我之前谈到过联邦政府的不同标准。从本质上说，这整个过程所做的就是在工业和联邦政府之间筑起了一堵高墙。
而且，这种墙导致问题，因为联邦政府在整个过程中没有发挥作用。因此，如果我们继续追求这一点，我们冒着不相容岛屿的风险。
事实上，参议院最近的一项立法提议，根据新规范建造的标准和产品将取代各州的所有努力。我想我们在那个方向上走错路了。

页31.上一个的医生

因此，在过去几年NIST缺乏领导作用的情况下，行业、州、地方和联邦政府都在走自己的路。我认为1903年法案的一个好处是它将迫使联邦政府与工业、州和地方政府联合起来。
先生。戈登。打扰一下。任何其他建议？是的先生。
先生。沃克。我发现自己同意吉姆的看法。在过去的一年里，政府的一些人提出了一些建议，他们认为政府应该以某种方式批准一些公共基础设施。我发现这是一个非常令人沮丧的想法。
我认为，把它与出口控制之类的事情联系起来是非常错误的。我们很难看到行业会自然而然地这么做。这就是我们的目标。
但是，鉴于在过去的7或8年里发生了什么历史，数字签名和这些事情的所有其他事情，我宁愿看到联邦政府留下来。如果NIST可以帮助行业协调其活动，那没关系。
我真的反对 -
先生。戈登。我不是故意令人沮丧，但有没有人想快速评论？
是的先生。
先生。BACHULA。国会议员、白宫和商务部以及其他联邦机构，已经与全国州长协会合作了大约6个月，致力于一项名为“美国创新伙伴关系”的努力。“这是一种尝试，旨在共同解决技术领域的某些问题。
在电子商务领域，各州已经确定了一种协作的利益，某种程度上不是自上而下的过程，通过这种过程，它们可以与联邦政府合作，以达成共同的解决方案，而不是由联邦政府指示它们。但是，他们确实在寻找一个共同的解决方案，而不是50个单独的解决方案。

第32页上一个的医生

而且，他们也认识到这不仅仅是一种技术的问题，而且经常是国家法律的情况，因为他们有可能在这方面更新的商业代码。
先生。戈登。谢谢你！我担心我的时间跑了。而且，我会欢迎您想要提交的任何进一步评论。
谢谢你！
太太。梅里拉。因为我们在地板上有另一个投票，我们将休会10分钟。而且，无论多数人的成员首先都会回来，我会让椅子拿走，以便我们可以继续提问。
感谢您的耐心等待。
(简短的休息。)
休息后
先生。戴维斯（主持。）谢谢。其他成员在投票的中间，我们的第二票，今天在房屋楼层休息。所以，我是第一个回来。
我错过了一些证词。我昨晚读了一些我们进入的，但我今天有一个标记。事实上，我们带着默里拉夫人离开了。
但是，我想我知道的足够多，可以在这里问几个问题。如果我已经讲过你可能已经讲过的地方，请纠正我。
沃克先生，让我在这一点上问你:我想你是说NIST的工作不是做评估，但你可以帮助和协助。如果NIST不做评估，他们怎么知道给其他公司提供什么样的帮助呢?
你知道，如果你没有在评估过程中，哪种产品是最好的?

33.上一个的医生

先生。沃克。这是一个困难的情况 - 因为如果它可以存在，我并不反对这种能力。如果NIST或政府可以这样做，我只是害怕。
我想起了NIST在其他一些领域的努力在过去被要求对一个特定的商业产品发表评论,评论它认为是一个诚实的评价,然后从人们承受了巨大的压力,对特定的评论,无论是对还是错,给当时的国家标准局造成了很多困难。
在某种程度上，当我理解的情况下，他们在董事会上几乎没有退出，因为在没有对产品的定性评估中，因为他们违背了与行业组被要求的事情相反，他们有一个困难的时间。它。例如，通过数据加密标准，NIST所做的唯一测试是它，本质上，将采用您的假设DES算法，放入已知的键，磨削它百万次，看看你是否得到了正确的答案。他们会这样做，但他们不会进一步发表评论。
我们在本票据中提出的是，实际上是进入并尝试不仅要了解产品的素质，即据称提交的人愿意给予他们大量背景，但我们据说我们已经到了为您无权访问信息的外国产品进行。你所能做的就是尝试运行产品，看看它的内容。
当您所能做的只是运行产品并查看它的功能时，您可以对可能运行一致性测试的非常特定的测试进行注释。在安全方面很难确定产品没有做什么或者做错了什么。
我认为国防部在过去15年的计算机安全倡议中，已经花了大量的能量试图提出评估好的计算机系统的标准。而且，尽管我希望这将是一个成功的努力，但我认为现在看起来几乎是一个失败的努力。

第34页上一个的医生

而且，我担心我们可能会把它推向另一个重复的阶段，这将需要大量的资源，而结果，人们将不会满意。
先生。戴维斯。但是，您担心NIST现在在设定优先事项方面正在有限预算的事实的一部分？这可能不是 -
先生。沃克。好吧，当然，有限的预算是问题的开始。但是，我曾经害怕你可以为他们提供一个巨大的预算，并且他们会做国防部与值得信赖的计算机系统评估标准的同样的事情 - 创造了300人的巨大官僚机构，仍然没有产生那种结果我们都想要的事情。
我们希望人们能够说，“是的，这个产品真的很好，”或者，“那个产品真的不好。””But, whenever the government says that product is not very good, it suddenly makes the government subject to all kinds of attacks and, as I understand it, all kinds of pressure through various legislative processes and elsewhere to, ''Oh, no, amend your comment, because it's not favorable to my constituent,'' or whatever. And, that's the situation that I don't think we want to get an organization like NIST into.
先生。戴维斯。好哒。谢谢你们。如果他对此有任何评论，请让我们问Bidzos先生？
先生。Bidzos。我不同意史蒂夫。我认为NIST不会那么雄心勃勃，因为我认为他们会理解它会对待。
让我使用类比。我们不想做的是，如果我们在谈论汽车而不是加密，我们不想要求NIST决定哪辆车更好，因为史蒂夫是对的，人们，你知道，他们要开始思考关于座位的舒适程度，刹车如何感觉。这不是我们所在的。
比方说，美国汽车制造商在海外销售产品，但政府限制使他们将车速限制在每小时40英里。然后，我们发现一家外国公司正在销售一种升级套件，可以让汽车再次运行120英里，就像在美国销售的那样。

第35页上一个的医生

问题是:在海外的汽车，升级套件增加后，能走120路吗?我们要求NIST操作雷达炮，而不是评估他们是否喜欢这辆车或者这辆车是否和美国车一样好。
并且，如果答案是，如果商务部不会帮助我们理解这一问题，那么答案是没有任何原因的行业，就没有出于填写出口政策的空白，而不是填补出口政策的空白。
在那种情况下，谁的工作是保护美国行业，如果不是商业部门？
我认为1903年H.R.提供的资金会解决这个问题，会给NIST权力，资金去做这项工作。而且，我认为他们足够聪明，不会去追求没有意义的事情，特别是在国防部有充分的历史证明这不是一件好事的时候。
先生。戴维斯。让我问 - 我会给你一个机会，沃克先生，但是让我只是询问巴拉先生，在你的证词中，你指出，NIST安全计划的关键技术焦点区域，我认为你所拥有的第三个是提供客观标准，用于测试和评估产品安全技术的功能和保证。
顺便说一下，这不是NIST应该已经在做的事情吗?
先生。BACHULA。重要的是要看所有的词在那句话-测试的客观标准，但不是做实际的产品测试。NIST不是承销商的实验室。这不是一份消费者报告。
我们离那个只有一步之遥。有许多私营部门实体——我现在谈论的是广泛的标准测试和测量领域——为美国工业提供某种直接的服务。

第36页上一个的医生

我们离那个只有一步之遥。我们维持基本的测量单位，导出单位。
标准和校准必须追溯到NIST。但是，我们不是在实际的产品测试业务。我觉得我们也不想这样。这里已经给出了很好的理由。
先生。戴维斯。Bachla先生，让我只是添加，第7节，正如我现在读到的那样，不会影响加密产品的出口控制。但是，我认为国会肯定会在加密政策上肯定滚动。
你看到了司法票。而且，我认为这将是一项完成的交易，如果政府逆转它，我就不会感到惊讶。
我猜这是在你的薪酬等级之上，因为这是如此。
先生。BACHULA。这超出了…的范围
先生。戴维斯。对。
先生。BACHULA。（持续） - 目前。
先生。戴维斯。但是，您认为仅仅通过量化外国加密产品的强度就会损害国家安全吗?
先生。BACHULA。我认为我们现在拥有的是现有的过程，现有的监管程序，现有的执行分支裁定如何如何评估出口管制。这将在该过程中，在该过程中，基本上，第二次猜测其他机构，这将具有效果。
这不是我们欢迎的角色。这里有人建议，这也许是我们可以做得很好的角色。
并且，可能最终需要提出优先事项问题的资源。我们可以在这场普遍区域提供更好的作用，而不是进入该业务。

第37页上一个的医生

先生。戴维斯。让我来问一下——沃克先生，我马上给你一个机会发表意见。但是，我还没有其他几个小组成员的消息。
让我问Rotenberg先生，如果你对此有任何意见吗？
先生。Rotenberg。是的,国会议员。你知道，商务部已经在加密政策中扮演了重要角色。我不认为这有什么问题。
这个法案的第7部分试图做的是确保他们所扮演的角色是基于一些可靠的证据，我认为这不仅对科学有好处，对公共政策也有好处。基本上，它说，如果你要对美国的密码学提出一些建议，你真的必须注意世界各地可用的东西。
而且，我认为这是，你知道，只是一个基线。我的意思是，你可能会在其他地方掉下来，你仍然可能有一些分歧。
但是，在这一点上，我确实不同意巴丘拉先生的观点。我认为这是NIST应该扮演的关键角色。
先生。戴维斯。好吧。是的，迪菲先生，你什么都没说。
先生。diffie。我觉得自己很纠结，因为我倾向于同意
先生。戴维斯。你将在这里打破绑架。我认为这是2到2。
先生。diffie。我倾向于同意这部分的目标，但我倾向于认为人们低估了这项活动的难度。
三年前参议院前，NSA主任John McConnell海军上将说是一件美妙的事情。他说，''我每24小时对世界上加密进行市场调查。''

38.上一个的医生

现在，我认为这是（a）真的;而且，（b）你知道他们花了多少亿美元。并且，在某种意义上，评估加密系统是加密和加密分析的核心。
而且，这是一项非常困难的工作。而且，我怀疑这些资源足以产生有意义的结果，以回答你所说，你所知道的，你知道的那些问题，“这只是出口到有等同产品的市场中或者是金博宝正规网址那些实际上并没有等同于这个的产品？''
所以，我热衷于这个想法。我无法谈论其成功。
先生。戴维斯。沃克先生，我想给你另一个机会。
先生。沃克。谢谢你！我很感激。
我完全同意刚才所说的。我赞成这个目标。我非常关心它如何完成。
让我给你一些我们拥有的实践经历。回到1993年，就在剪刀出来的时候，软件出版社协会和Lance Hoffman和Tis教授在一起结束并说道，“让我们出去看看那里的外国加密。让我们做一项调查。''
而且，我们有 - 我们对这些人进行了调查。我们一直持续下去。它可以在我们的网页上找到。它是每季度更新。我们已找到成千上万的外国产品和成千上万的美国产品。
我在1993年秋季和1994年春天作证并带来了我们买的外国产品。而且，它真的很整洁，因为员工在证词之前说，'''嗯，政府当局告诉我们，没有任何外国产品。“，我能说，”“当然，有。我们有所有这些的名单。''
然后他们说，“你买不到的。”And, then I was able to prove that we could buy them, because we had a stack of them.

39.上一个的医生

而且，那么问题是，“好的，但他们并不是任何好事。”“而且，问题是，”他们是好的？你如何使用这些？''
嗯，其中一些实际上是des，例如或其他算法的实现。但是，加密产品的棘手问题是关键管理。你如何管理钥匙？
其中一些人告诉你 - 这些都是很小的简单文件加密产品，这些产品可以说，“在通过代码中的类型。”嗯，他们使用该传递代码，然后，生成密钥。
嗯，它们可能会生成完整的56位键或112位键。但是，它们可能会生成8位键或2位密钥。你不知道。
事实上，有指控称，一些国家的政府影响了本国的公司，在系统中植入缺陷，然后将这些缺陷卖给美国或其他地方。事实上，我们很难知道，在密钥管理系统中，甚至在算法中，是否存在你无法判断的缺陷。
因此，所以我担心，要求NIST将NIST放在能够说某处的特定产品比其他一些产品和制作更好的地方，使政府根据此作出决定，你真的很沮丧滑坡非常非常快，这里非常快。
先生。Rotenberg。主席先生,
先生。戴维斯。当然。
先生。Rotenberg。我想说一点。
先生。戴维斯。当然。
先生。Rotenberg。你知道，我的朋友，惠特·迪菲，我认为，是对的，做评估是一项困难的任务。但是，这部分的起草方式几乎是一种权利申诉。

40上一个的医生

你看，要求NIST进行这项研究的是在商务部部长对某种产品实施或提议实施出口限制的情况下。所以，这里你看到美国政府告诉一家美国公司，“你不能把这个产品送到海外。”And, the U.S. firm simply wants to say, ''Well, would you at least consider the fact that a similar product is currently available overseas?''
什么第7节确实基本上对商业部表示，“如果你要采取这一步骤，秘书长，你必须至少考虑类似产品已经可以使用的事实。”，我认为这是非常明智的，因为如果你不这样做，你只给了这款毯子权威，我知道，你知道，是不明智的。
坦率地说，我认为这是法案的关键部分。
先生。戴维斯。好吧。还有人吗?比德斯先生。
先生。Bidzos。我可以再次添加一个评论吗？
先生。戴维斯。当然。
先生。Bidzos。我会发出史蒂夫的评论和惠特的问题，因为我认为在过去的几年里，事情发生了如此多的事情，这不再是真的，这很难衡量事情。
当您通过除了专门替换那些小型加密部分之外的任何内容时，您遇到了开发我们的出口管制法的公司，代表了作为产品的一部分，审查过程是非常可管理的。
另外，去年夏天，当我在参议院伯恩斯委员会作证时，我带来了几块芯片，加密芯片，是世界上最大的公司NTT制造的。史蒂夫说的所有这些事情——你如何生成密钥和密码，也许是2位的——都在芯片里。它的工作原理。
这是一家2000亿美元的公司，每年销售数亿芯片，它知道如何制作它们。而且，他们工作。而且，他们没有任何问题。这很容易指出他们并说''这些工作。''

41.上一个的医生

这是政府的其他部分提出的论点，也就是，你知道，你没有受到竞争的威胁，因为其他产品没有那么好。现在很容易证明这些产品也一样好。
而且，正如马克所指出的那样，我们想要做的就是了解这是否真实。如果你告诉NIST，他们要做的是，由H.R. 1903年提供的钱，请转到第7节，并重复NSA在1980年代和1990年代尝试做什么，肯定会失败。
如果您告诉他们他们将根据NSA进行全面的评估，因为当IT攻击一个加密系统时它识别，确定，它们会失败。这绝对不是第7节要求NIST做的事情。
先生。戴维斯。我想最后一个关于国外可用性的研究已经有两年了，是NIST做的。
让我再问一个问题稍微提一下。你认为如果联邦政策剥夺了NIST的管辖权而将这些职责交给国家安全局会是什么结果?
先生。沃克。我想我可以向我们所有人发言，这将是一个完全灾难。
先生。戴维斯。好吧。每个人都同意吗？
先生。Bidzos。我想你会有一个局势，国防部的机构正在进行经济政策。所以，也许这是正确的问题。
NSA还可以继续经营经济政策吗？而且，我提交答案是否定的。
先生。戴维斯。实际上，我出现在一个小组上，与Magaziner先生和一群高科技管理人员一起。而且，他刚才说，''我同意你的同意加密，但NSA男孩赢得了这场战斗。''所以，也许他们正在制定政策。

42上一个的医生

我现在要把它转向主席的梅里拉，让她承担她的主席的角色。康妮。
太太。梅里拉。好吧，先生们，我们终于到达了结局。而且，我感谢您在这里和历史上的耐心，特别是您对我们对本票据的理解所做的贡献。
我们可能不同意你们中的一些人对第7部分的看法，但我认为我们可以解决这些问题。我很感谢戴维斯先生提出的问题和你们的回答。
我想，Rotenberg先生，我想问你你在美国以外的加密标准设置努力评估或评估是什么？
并且，您认为我们是否正确地解决了本条例草案，H.R. 1903年？
先生。Rotenberg。谢谢你的问题。过去一年，我一直在与经济合作与发展组织(Organization for Economic Cooperation and Development)合作，研究国际密码政策框架。
而且，看着其他政府如何处理这个问题的事情是如何确保商业和贸易和电信部门在这一技术标准设定竞技场中发挥积极作用的重要性，因为我认为是其他的政府今天意识到，你知道，这是未来。而且，这些技术是在21世纪将为商业提供商业的技术。
所以，在其他国家观察这些发展的感觉是，今天需要加强我们的商业方面，民营方面，政策发展至关重要。而且，我想在这方面，H.R. 1903年，你绝对是课程。
我认为了解需要确保强大和充满活力的经济的国家的方向。
太太。梅里拉。我想我看到你肯定地点点头。而且，我猜这意味着你赞成他的反应，我们确实需要在H.R. 1903年出来？

43.上一个的医生

先生。Bidzos。是的。
太太。梅里拉。我想，你知道，我们试图专注于加强计算机安全行为，而不是压倒性。而且，我猜，宽大，你认为我们是否已经做好了这项法案？
现在，我认为Rotenberg先生Bidzos先生所做的。沃克先生吗？
先生。沃克。是的。
太太。梅里拉。好吧。你现在被记录在案了。好的,非常好。我只是想——
先生。沃克。我认为这是一个很好的法案。我认为有几个方面需要考虑。
但是，我完全同意你所说的，在这里试图完成的事情。
太太。梅里拉。如果你能给这个小组委员会任何你的建议，如果其中有一些你认为可能的语言
先生。沃克。嗯，这是证词的一部分 - 是 -
太太。梅里拉。你所拥有的。你给了我们这个。
先生。沃克。而且，我不同意。这是第7节，我想，此外，新款6在某处，表示他们应该是评估产品和所有的。
我只是担心，正如我的联系人在这里说，所有第7节都在做以下。好吧，如果这是第7节正在做的一切，那么我也完全同意它。
太太。梅里拉。好吧。

44.上一个的医生

先生。沃克。我担心的是，我有几年是政府的一部分，从那时起我看了政府。而且，当你说''''''''''''''''他们倾向于说，''哦，但为了确保我做得对，我必须这样做和这个。''和，那变成了一个巨大的情况，这是非常昂贵的，最终到任何人都不令人满意。
这是我在这里真正关注的是，无论您是在讲究的是，语言是否足够清晰，这是我认为是唯一值得争议的唯一事情，因为我们已经读了不同的看法。我担心的是，如果不是很清楚，你希望他们有多限制你可能会造成巨大的官僚机构。
这真的是我在这里的担忧，而不是试图完成的原则。我们确实需要了解这些系统如何工作，外国和国内。
我只是发现它很难 - 直到现在才努力，因为人们为此做到这一点。如果它全部内置于芯片中，则很容易测试它。
但是，很多产品都涉及很多软件。事实上，其他国家的政府也有指示企业在这些系统中植入缺陷的威胁。我不会提及细节，但这些事情在媒体上出现已经有一段时间了。很难弄清楚这是真的还是假的。
而且，如果您希望NIST能够进入该细节水平，他们不会成功，因为没有其他人拥有。这真的 - 这是一个程度的问题，而不是是否存在原则。
太太。梅里拉。我感谢你的声明，感谢你对误解的担忧，感谢你承担了太多的责任。
罗滕伯格先生，我想你会对此做出回应。
先生。Rotenberg。主席女士，此前有一些讨论。而且，我真的很高兴史蒂夫沃克的评论。

45.上一个的医生

我认为如果在这里有关于第7节的意图的理解 - 我当然要将这些部分意味着简单地认为，商业秘书计划通过出口管制权力施加一些限制，看起来很明智外国可用性。我认为如果我们在这一点达成协议，那么，你知道，那么这里也许没有真正的问题。
我认为我们在互补点上也达成了一致，这不是在实时的基础上做这种大规模的调查。这对NIST来说不是一个合适的角色。
但是,如果商务部长行使出口控制权限,我想,你知道,开发人员和公司和其他的权利,应该能够说,“听着,在你做出这个决定影响我或我的公司,你知道的,请考虑在其他国家正在发生的事情。”
先生。沃克。我同意你所说的。我认为我对第7条的真正担忧——我并没有把它放在我面前——是说，法案通过180天后，NIST将制定如何实施这一切的标准。我们要走多远?
我的意思是，你是否必须了解密钥管理系统是否真的有效，是否存在任何缺陷?因为如果你想说某件事是好的或者是好的，我的意思是，这是，这真的是第二部分，它谈论的是建立这些标准并发布它们，这将是一件困难的事情。
如果我们能想出那些标准，每个人都可以对他们感到满意，那么30天对特定产品的回应很好。我刚刚观看政府制定测试的标准，因为我害怕这将是一件艰难的事情。
太太。梅里拉。我明白你在说什么。很简单，如果你远离任何时间框架，有时这些东西就会丢失。这就是倾角。

46.上一个的医生

在报告语言中还有可能伴随本条例草案可能会澄清，只是，您知道，也可以解决可能解决的可能性。
但是，我真的没有给你，德国先生，有机会回应。我非常想。
先生。diffie。好吧，我认为实际上，在听这个讨论时，我提醒了用户对安全系统的信任是底线问题，在某种意义上，是所有安全中最困难的问题。,我突然的热情比我当我走在NIST应该得到它的脚趾深入这水技术间接的问题,不是一个问题,我认为问题的情报政策和竞争,你知道,分配责任和所有这些东西。金博宝正规网址
但是，我认为很重要的一点是，看看像我这样的老年人是否会坚持自己的方式。当你不在的时候，我说，你知道，我同意这里的目标，但我担心，毕竟，在某种意义上，这是国家安全局的大部分活动，这是一个数十亿美元的活动。
而且，我绝望地完成了一百万美元的预算。但是，我开始认为，你知道，在我的思想中可能有隐藏要求阻止，这绝对值得调查这是否可以以一种旨在满足这些目标的方式来完成，而不会在你没有的东西中陷入困境真的需要做。
而且，我不是第一次认为有人会被恩赐，有人比我所做的更多步法，并绕过它。
太太。梅里拉。哦，是一个开心的男人。我非常感激。
(笑声。)
太太。梅里拉。而且，现在前往巴拉先生。我想让你说德里先生所做的同样的事情。

47.上一个的医生

(笑声。)
先生。BACHULA。梅雷利亚女士，你的原始问题是委员会做得很好 -
太太。梅里拉。是的。
先生。BACHULA。（持续） - 起草这项法案。
(笑声。)
先生。BACHULA。而且，让我说我认为这个委员会总是做得很好，特别是在其监督技术管理和NIST。
(笑声。)
先生。BACHULA。我认为，虽然我们已经讨论了这项法案的一些部分和一些明显带来激情和强烈观点的一些问题，但我们不应该忽视我们在这里和委员会所有见证人中拥有的强大协议领金博宝正规网址域NIST在计算机安全领域的作用更强，更新行动对时代的匹配，强调与行业合作，抵达与商业标准一致的联邦标准，并不试图分开。
虽然在这方面有一些非常非常好的讨论，但我认为我们今天在努力寻求对高级加密标准的评论，修改DSS，朝着这些方向前进，大多数证人基本上同意，我们今天所处的位置，以及我们相信我们要去的地方，是我们应该去的地方。因此，我们在很多方面都达成了一致，无论是证人之间还是委员会之间。
而且，对一两个部分的强调不应该凌驾于此。
太太。梅里拉。谢谢你！只是一个最后的问题，再次向Bachla先生。
我想知道，在您看来，昨天DES被打破的意义是什么?

48.上一个的医生

您能否告诉我们NIST在开发此数据加密标准中的角色，即NIST遵循的程序是什么 - NIST接收的哪些输入？
先生。BACHULA。如您所知，DES标准已有大约20岁。它一直非常成功。
它仍然有效。我认为这可能是消费者在那里争议，以认为他们的ATM交易现在威胁或他们不能使用软件与他们的银行沟通。
在今天涉及的“华尔街日报”中描述的事件，至少根据报纸故事 - 我的意思是，我没有独立的信息 - 像10,000人，4个月的工作，跑步蛮力突破代码所需的72个千兆子组合。普通黑客没有这种能力和能力。
与此同时，它确实强调了我们在与行业开放过程中正在开展的高级加密标准的需求。因此，目标保持不断变化。
我们将需要跟上那些不断变化的技术，非常从事该过程。但是，我不认为我们希望拥有当今报纸故事中的公民，他们不能 - 他们在银行账户中的资金以某种方式被盗。
太太。梅里拉。您是否想对Bidzos先生发表评论，因为您是一个专家的专家？
先生。Bidzos。谢谢你！我不确定我是一个专家，但我想做几点评论。
这让我想起了一段对话。巴丘拉先生的回答让我想起了我听到的一段对话，那是两个军人之间的对话，他们谈论的是美国士兵在一个特定的地方服役，他们谈论的是成为伤亡人员之一的可能性。

49.上一个的医生

而且，它很遥远。你知道，你的机会在这个地方杀死了80,000人。
然后，一个人说，“还不错。”And, the other one said, ''Well, unless you are that one in 80,000.''
而且，只要它不是你的关键，我猜这没关系。问题是 - 另一个问题是，在全球范围内使用互联网的8000万或9000万人中有10,000人是一个易缺的数量。
可以办到。已经证明它可以完成。必须认真对待。
我认为更相关的评论是我只是认为这是不幸的 - 我赞扬了AES项目的NIST。这很重要。
而且，关于H.R.1903的众多美妙的事情之一是它为NIST提供了资金和授权，以继续这项努力。这令人统计学。
我只是想指出，现在也许还不算太晚。这当然不会太快。
但是，我们只是听到48小时前听到了Des被打破了，我们正处于一个进程的开始，该过程将在获得新的加密标准到位时至少为1或2年。我认为这项条例草案在未来的规定将阻止这种情况发生。
NIST将有授权和思考未来的钱，展望未来，计划未来。而且，我们不会处于我们现在所在的位置。
太太。梅里拉。我要将会议转向国会议员的ehlers在他的质疑后结束，并要求您的许可，他们希望向您提交问题的成员可能会这样做，因为我们非常喜欢去做。

40.上一个的医生

我想谢谢你们在这里，并继续在1903年与我们一起随访。
埃勒斯医生先生。
先生。ehlers。谢谢你，主席女士。我怀疑我可以让你在下午的下午有问题，但我不会这样做，因为我有一个下午1点。会议，你可能会休息一下。
听到这个左右面板后，我决定了一件事。加密人员不是隐秘的，其中包括。
(笑声。)
先生。ehlers。而且，我真的很困惑这个词的起源。我将不得不调查一段时间。
它与墓地或屠杀或言论模式没有任何关系。
几个其他方面评论。Bachla先生，我不知道你还记得，但是当你为州长Blanchard工作时，我是密歇根立法机关的成员。我怀疑这一点，我们都希望在这里坐在这样的房间里坐在这里。
我想我们都没料到你的老板，布兰查德州长，会和我的朋友多尔参议员在同一家律师事务所工作。所以，生活充满了有趣的巧合。
在当天的问题上金博宝正规网址，我对有关第7节和意见，专业和康明的讨论听取了兴趣。而且，一个问题，您可以回答的一个问题是，如果我们删除了加密时的当前导出控制，请在第7节上的问题消失吗？显然，它必须有所改变。
比德斯先生。

51.上一个的医生

先生。Bidzos。我想拯救你的图书馆，杰斯先生。
密码学由两个希腊词根词krupto和graphia组成。作为一个土生土长的希腊人，我对此特别感兴趣。
而且，他们分别翻译成秘密写作。
先生。ehlers。我一次读过那个。它滑倒了，因为你变老了。谢谢你！
您对此问题的回应，沃克先生。
先生。沃克。Well, if the motivation for Section 7 is to be able to provide the response to U.S. companies when they are concerned about not being able to export their product, if a foreign product that's better is already out there, if the export controls went away, then you wouldn't need Section 7.
无论我们仍然希望有能力是否有人评估那里的不同产品的质量，那么无论他们是美国产品，还是它们是外国产品还是其他什么。而且，对这些事情有多好的评估我记得在我在这里发表的3或4年前在这里发表了一些东西，我们买了一些外国产品，问题只是他们有多好。而且，非常难以解决这一点。
所以，对人们的愿望被告知，''是的，这个产品很好，'或者，“产品不好，”即使出口管道走开，也仍然会在那里。
我怀疑推动第7节的动机将消失，事实上，出口管制被淘汰。
先生。ehlers。你提到的这种需求，值得政府花钱吗?

第52页上一个的医生

先生。沃克。是的。但是，我希望它不会再变成巨型官僚机构。
我的意思是，国防部在20世纪70年代有一个问题——现在仍然存在——叫做“多层次安全问题”。”They were building computer systems around the world, and everyone who had access into the system had to have a top secret clearance because you couldn't trust the computer not to reveal top secret information to somebody with a lower clearance.
WWMCCS系统，我参与其中我在五角大楼，一个巨大的问题。清除每个人到最佳秘密层面非常昂贵;然而，我们无法相信计算机。
我很多人继续其视为实质性努力找出我们可以确定商用系统是否足够好了,我们可以用在一个绝密信息的环境,但人们较低间隙可以访问它。从某种意义上说，这比我们现在要解决的问题要简单。
国防部没能做到这一点。我是说，他们努力了。但是，我们今天仍然有多层次的安全问题。
我希望第7节的措辞可以以这样的方式完成，即它不会成为另一个多级安全问题。但是，我看过这些事情在我的职业生涯中发生了足够的时间，即我非常害怕，如果我是对的，我可能错了，我可能错了，在试图建立这些标准时投入了很多能量因为您在180天内要求在此过程实际生效之前的标准。而且，他们会失败。他们不会得到正确的。
人们不会满意的。2到3年后，你会在这里举行另一次听证会你会说，该死，你们NIST的人在这方面做得不好，你会惩罚他们，让他们停止这样做。

35.上一个的医生

而且，我只是担心我们会在这里白费力气。这并不是说它的目标不好或没用;并不是说，如果我们能以某种方式限制它，它就能工作。
我担心的是 - 我看到这一切发生在国防部进程中，我们试图提出简单的标准，然后人们说，''嗯，是的，但假设有人发现有问题？假设我认可了一些东西，有人发现它有问题吗？我最好让那些标准有点强壮。我最好尝试询问更多。“我们称之为'标准蠕变。'这是一项技术术语。
而且，发生了什么是仅为良好的系统，突然突然对文件的要求变得巨大。而且，我只是吓坏了这个过程。
如果我们能做到这一点，那么这是一件好事。即使取消了出口管制，政府也应该这么做。
先生。ehlers。还有人想评论吗?罗滕伯格先生。
先生。Rotenberg。只是简要介绍，国会议员先生。如果出口管制将消失，您将询问问题第7节。而且，我认为在某些方面，预计问题会议第7节将自行承担，因为局长不会行使权威。并且，进行评估的必要性会消失。
而且，我想在这方面，这实际上是一个非常明智的规定。它基本上说，如果你要锻炼这个权威，你确实想要限制美国公司在海外出售产品的能力，那么我们需要一些机制。
而且，我一直在重读这种语言。我实际上认为它是一个非常简化的过程，这里在创建机制的立法中描述。

54.上一个的医生

我们需要一些机制来评估外国可用性。现在，如果你选择不锻炼权威，你知道，它消失了。
但是，正如我所说，它真的 - 我听到了沃克先生的担忧，而且你知道，不是因为我不同意他可能有这种情况，你知道，昂贵和官僚主义。但是，我真的没有在账单中看到它。这似乎并不是意图。
而且，我实际上没有看到你所描述的权威。
先生。ehlers。其他的建议？德国先生。
先生。diffie。我认为问题是评估安全系统的能力有多重要。我认为答案是独立于它在判断出口决定的特殊情况下的应用对于NIST来说是非常合适的，作为一个工作是技术基础标准的发展的机构，要想获得授权去开发一种足够的评估技术，这种技术将适用于很多方面——一旦技术被开发出来，他们不一定会对单个系统进行评估，但在决定你必须向人们询问关于一个拟议的加密系统的什么问题时，以便能够以合理的成本根据标准来判断它。
我认为这是非常，非常合适的事情，在这个时候，NIST。
先生。ehlers。Bachla先生。
先生。BACHULA。先生，我认为这里的证人的证词已经表明这里涉及两个问题。金博宝正规网址一个是NIST能力，刚才已经描述过了，它是否应该有，资源是什么，它是否能做得很好，它是否很难做，它是否容易做。关于这个问题，我们已经听到了各种各样的证词。

45.上一个的医生

但是，第二个问题是本条例草案的规定，基本上修改了现行的监管程序。而且，将NIST投入监管职能的该部分是管理对象。
它让NIST，一个非监管机构，一个从未在这项业务中的一个，在第二次猜测其他机构的工作的过程中。外国可用性问题是现行监管过程可以考虑的考虑因素之一。
这似乎有点地提高了这个问题的赌注。而且，改变现有的监管过程可能应该在不同的场地，而不是本条例草案所做的。
先生。ehlers。我怀疑，我并没有参与，大量的写作，但我相信我的意图并不是让你参与监管过程。如果你担心的话，也许工作人员会想和你谈谈语言。
先生。BACHULA。但是，如果你今天听了其他一些证人的话，你会发现这正是他们所称赞的，他们读到的条款，因为他们认为这会改变整个程序。
先生。ehlers。沃克先生，上次评论。
先生。沃克。在试图找出如何推进这一问题的过程中，我似乎是提出技术异议的那个人。
我认为这个法案的优势之一是如果你继续执行第七节，也就是顾问委员会，我们就能摆脱困境。我认为，加强咨询委员会的作用，使它能够参与这一工作，将是一种极好的方式，可以设法确保我所关心的在建立官僚程序时可能出现的问题以及所有问题都能得到解决。
我的意思是，你们所有人都不能每年或每两年或其他任何事情看一下，而是咨询委员会可以。而且，条例草案的规定加强了咨询委员会的作用，也许在陪同票据的文件中你可以说，“嘿，咨询委员会，密切关注第7节，使其并不是那样T变成了一个官僚主义的噩梦。''而且，它可能只是马克和我能够同意的那种东西，这将是一个好的方法。

56.上一个的医生

先生。ehlers。谢谢你！比德佐斯先生，你有任何意见吗？你还没有机会。
先生。Bidzos。我想指出，随着Bachla先生的一切，NIST现在正在监管加密行业的业务，因为它最近承担了对来自国家部门的加密输出的加密责任行政 - 我很抱歉，商业部。
但是，在我看来，1903年H.R.计划做的是说，“天啊，如果这是你的工作，那么这里有一些基金，你可以进行一些调查和研究，应该会帮助你做得更好。”
而且，你知道，我觉得史蒂夫的痛苦。我的意思是，它很明显，他之前在政府中度过了非常痛苦的经历。但是，这并不意味着我们不应该让NIST尝试这样做。
并且，在一个意义上，只要NSA一直在进行计算机安全性的许多事情，即设想的NIST并不意味着我们应该假设NIST，如果我们纠正，现在将尝试做所有的事情NSA试图做。
先生。ehlers。谢谢你！我很欣赏这些评论。还有几个小问题。
巴库拉先生，你在讨论中提到过一点我不记得具体提到了法案的哪一方面了，你担心需要建立额外的专业知识，也许我是在说你。但是，你似乎很关心NIST是否能够处理我们在这里分配给它的一些函数。
一个问题我只是想问一下：你是否与NSA联系了？他们是否可以为您提供任何专业知识？
显然，他们似乎拥有世界上最伟大的密码专家集合之一。难道根据宪章，他们不能帮助你或给你建议吗?

57.上一个的医生

先生。BACHULA。我认为他们有一个很棒的技能。在基础知识或技术专业知识方面，NIST可以访问政府周围的NSA和其他专家，该行政管理部门是商务局，该部门是商业部的一部分，即现在涉及出口规定。他们可以获得同样的专业知识。
而且，就外国可用性和正在谈论的这些类型而言，他们现在在该大道上做到这一点。
但是，NIST有很长的关系 - 其中一些是在今天早期的历史中描述的 - 与NSA。而且，他们再次有很多资源。
有关其他见证人提出的资源的一个问题是做这项工作需要多少。而且，我不能引用NSA在这一领域花费的美元，但我可以告诉你它 - 我们可以用幅度的秩序取代NIST。
先生。ehlers。我怀疑你可能是对的。在第12节中，我注意到另一个NRC研究呼叫。
而且，我想知道，首先，小组的意见是什么。这是必要的吗？
第二，即使是针对这一主题的先前NRC研究的任何方面，即使是针对其他特定主题是有用的？
那有什么意思吗？罗滕伯格先生。
先生。Rotenberg。国会议员先生，我在我的证词中简短地提到，首先，NRC在过去的一年里在他们的计算机安全报告中做了很好的工作。我认为这是非常周到的，非常全面的，也得到了很好的评价。
而且，我认为这是联邦政府，国家研究委员会的巨大资源。

58.上一个的医生

我在我的证词中特别提出，美国核管理委员会开始关注有时被称为“隐私增强技术”的东西，保护个人隐私的方法，促进网上商业，可能是合适的。很明显，人们对公钥管理很感兴趣。也许有办法把它们结合起来。
但是，这个领域，我认为对今天的互联网用户来说是特别重要的，也是NRC可能会做得很好的地方。
先生。ehlers。谢谢你！任何其他意见吗?沃克先生。
先生。沃克。我也相信NRC去年的研究很有帮助。而且，这是一个全面的调查，并提出了一些最好的建议，这些建议是由当时最博学的机构提出的。
事实上，这些人被清除了，并且能够参加NSA和其他人的简报，并能够回来并说出那些对那些令人担忧的问题，“嗯，它被分类，我不能告诉你，''不值得制造的论据。而且，我认为这是小组所做的主要贡献。而且，所以我不反对NRC面板。
我确实相信，公开密钥基础设施是一个行业真正带头的问题，而且需要带头。事实上，我还担心政府提出的建议是，加密技术的出口或密钥恢复或其他必须以某种方式与政府批准的公开密钥基础设施相结合，这是我们都应该关注的一个严重问题。
所以，在我的证词中，我做了一些评论，我想我还想说一点。当我想应该是1993年的秋天第一次为1996年的研究拨出经费时，“哦，太好了。他们至少要花2年的时间才能做到这一点，在他们完成研究之前，我们什么都不用做。”And, public key infrastructure is something we need so badly that the notion that let's put it off to a study for—I mean, it's going to take 6 or 8 months for it to get started and then 18 months for it to conclude.

第59页上一个的医生

说我们是不会做任何关于推进公共密钥基础设施,直到NRC的研究结果后再做,我认为这是真的,在这个本研究如果可以扩展更多的事情的马克讨论,可能是一件非常有用的事情。让我们把重点放在公钥基础设施上，这些东西实际上是有害的，因为它们推迟了——不是推迟结果，而是推迟了需要两年时间才能实现的事实。所以，这就是我关注我们迫切需要的东西，这可能会导致很多人决定，“我不会对公钥基础设施做任何事，直到结果发生。这就把我们带入了下一个千年。我们不需要这样。
先生。ehlers。任何其他意见吗?Diffie博士。
先生。diffie。公钥基础设施的优点几乎完全来自于标准化。我们现在有一个标准的标准化问题;也就是说，我们迫切需要一些东西。
我们倾向于急于进入它。许多人都倾向于，因此，在竞争中出来。
如果按照规定，你选择了一个竞争对手，你就冒着类似NTSC在电视领域的经历的风险，这种经历已经在北美折磨了我们两代人。但是，作为回报，我们比其他人更早地拥有电视。
我认为有一次，还有一个研究问题，即NIST的工作，“'我们可以在公钥基础设施中协调努力，同时，绑在人的手中，强调不必要的限制，等等？''我不知道这个问题的答案。
但是，我不相信NRC - 即在此处是正确的行动。这是一个更像是一个在似乎需要的协调委员会。

60页上一个的医生

而且，我突然想到，也许计算机安全顾问委员会是一个更合适的小组，可以与所有人交谈，并作为一个论坛，协调已经在进行的各种公开密钥基础设施活动。
先生。ehlers。比德斯先生。
先生。Bidzos。好吧，我认为发生了什么是我们在行业和政府之间获得了这堵墙，因为我们完全不同的标准。Diffie博士绝对是正确的，我们等待NRC报告的那些2年导致政府外部公共关键基础设施的发展迅速和进展。
正如我在早些时候的评论中提到的那样，我们拥有1亿产品，可以互操作，与他们大多数人互相交谈。它们基于标准，不仅要转到加密和算法，而且是格式化的格式和这些凭据，称为“证书”，“所有这些东西。这一切都有效。
而且，我认为，该法案在告诉NIST看看市场正在做的事情并插入它，请插入该基础设施;不要试图建立自己的，因为你试过它，这没有工作。
而且，票据解决了这个问题，我认为那样。
现在，有人看着如何确保这些都是协调努力的方式，这非常重要。而且，这是我的解释，确保。
但是，基本上如果我们正在纠正10年前推出的立法，值得一年的时间，以确保它在1998年而不是2008年，我们真的得到了我们所想的事情从这个账单中得到。
先生。ehlers。任何其他意见吗?还有谁想要提出的问题金博宝正规网址或者你想要提出的问题吗?
[没有反应。]

61页上一个的医生

先生。ehlers。如果没有，我肯定感谢您的时间和您的关注，最重要的是，您的专业知识。这是一个非常好的面板。
我学到了很多东西，我相信委员会有。感谢您对账单的评论，期待与您进一步联系。
非常感谢。会议支撑休会。
[所以，1997年6月19日，星期四下午12:50，听证会休会。]
[已收到下列材料以备存档:]
插入偏移Folios 57-105

44 - 187 cc

1997

1997年的计算机安全增压法案修订国家标准与技术研究所，提升国家标准与技术研究所的能力，以改善计算机安全，以及其他目的

听力

之前

科学委员会

技术小组委员会

62页上一个的医生

美国众议院

一百五年大会

第一次会议

1997年6月19日

(没有。XX)

印刷供科学委员会使用

科学委员会

F. James Sensenbrenner，Jr.，威斯康星州，主席
Sherwood L. Boehlert，纽约
哈里斯W. Fawell，伊利诺伊州
CONSTANCE A. MORELLA，马里兰州
宾夕法尼亚州CURT韦尔登
达娜罗巴赫赫，加利福尼亚州
史蒂文席夫，新墨西哥州
德克萨斯州乔巴顿
加州肯卡尔特
ROSCOE G. BARTLETT，马里兰州

63页上一个的医生

弗农·j·埃勒斯(VERNON J. EHLERS)，密歇根州
Dave Weldon，佛罗里达州
马特鲑鱼，亚利桑那州
托马斯M. Davis，弗吉尼亚州
吉尔GUTKNECHT,明尼苏达州
马克·弗利,佛罗里达
托马斯W.埃夫明，伊利诺伊州
Charles W.''Chip''Pickering，Mississippi
犹他州克里斯大炮
凯文布拉迪，德克萨斯州
美林厨师，犹他州
菲尔英语，宾夕法尼亚州
George R. Nethercutt，JR。，华盛顿
汤姆A. Coburn，俄克拉荷马州
Pete会议，德克萨斯州

乔治E.Brown，Jr.，加利福尼亚州RMM *
德克萨斯州拉尔夫米大厅
巴特·戈登,田纳西
JAMES A. TRAFICANT, Jr.，俄亥俄州
蒂姆罗默，印第安纳州
罗伯特·E。阿拉巴马州小“巴德”克莱默
JAMES A. BARCIA，密歇根
Paul Mchale，宾夕法尼亚州
德克萨斯州Eddie Bernice Johnson

64页上一个的医生

ALCEE L. HASTINGS，佛罗里达州
Lynn N. Rivers，Michigan
Zoe Lofgren，加利福尼亚州
劳埃德·道根,德克萨斯
迈克尔F.Doyle，宾夕法尼亚州
Sheila Jackson Lee，德克萨斯州
比尔·路德，明尼苏达州
加利福尼亚州沃尔特H.Capps
黛比稳定，密歇根州
Bob Etheridge，北卡罗来纳州
尼克•兰普森德州
达琳胡利,俄勒冈州

托德·r·舒尔茨 办公厅主任
巴里·c·贝灵哲酒庄 首席顾问
Patricia S. Schwartz， 首席职员/管理员
Vivian A. Tessieri， 立法职员
罗伯特·e·帕尔默 民主党办公室主任

技术委员会
马里兰州康斯坦斯A. Morella，主席
宾夕法尼亚州CURT韦尔登
ROSCOE G. BARTLETT，马里兰州
弗农·j·埃勒斯(VERNON J. EHLERS)，密歇根州
托马斯M. Davis，弗吉尼亚州

65.上一个的医生

吉尔GUTKNECHT,明尼苏达州
托马斯W.埃夫明，伊利诺伊州
犹他州克里斯大炮
凯文布拉迪，德克萨斯州
美林厨师，犹他州

巴特·戈登,田纳西
德克萨斯州Eddie Bernice Johnson
Lynn N. Rivers，Michigan
黛比稳定，密歇根州
JAMES A. BARCIA，密歇根
Paul Mchale，宾夕法尼亚州
迈克尔F.Doyle，宾夕法尼亚州
艾伦奥·塔斯仔，加利福尼亚州

*排名少数民族成员
* *副主席
（ii）

内容

1997年6月19日:
尊敬的Gary R. Bachula，美国商务部技术管理代理副部长，华盛顿特区
Whitfield Diffie，杰出工程师，Sun Microsystems, Mountain View, CA

第66页上一个的医生

Stephen T. Walker, Trusted Information Systems, Inc.总裁兼首席执行官，Glenwood, MD
D. James Bidzos, RSA Data Security总裁兼首席执行官，Redwood City, CA
Marc Rotenberg收。华盛顿特区电子隐私信息中心主任
附录
Willis H. Ware，董事长，计算机系统安全和隐私咨询委员会声明
对听证后问题的回应：
HON。Gary R. Bachla.
Whitfield Diffie
斯蒂芬T.沃克
D. James Bidzos.
Marc Rotenberg
（iii）