1997年国会听证会情报和安全
1997年国会听证会政府加密政策
参议院商务委员会
1997年3月19日
主席先生,自上次委员会在今年7月25日之前出现了很多事情。总统已决定加密政策,我们在执行它的路上。它旨在平衡我在上次讨论的竞争利益:隐私,电子商务,执法和国家安全。
广泛使用强大的商业加密技术最符合美国的利益。事实上,这是不可避免的,因为强大的计算机和先进的电信技术迅速导致广泛的电子网络的建立,这些网络将成为未来通信和商业的基础。对电子信息和数据进行加密的能力对于电子商务和信息技术的充分发展至关重要。企业和个人需要加密产品来保护敏感的商业信息和保护隐私,他们对这些产品的需求将进一步促进加密的传播。
这种趋势在经济上也是可取的。保护商业信息的机密性将减少工业间谍活动造成的损失。或许更重要的是,我们是全球领先的信息技术生产国,全球近一半的生产者和大约一半的收入来自出口。我们想保持这种状态。
为了保留这一领先的位置和它产生的工作,我们必须确保我们的生产者继续捕捉外国市场份额。我们的公司必须能够满足具有强大加密产品的日益增长的需求。如果他们没有,外国公司将介入填补空白。美国不能允许其加密政策成为这一重要工业部门的脆弱点。我们必须塑造我们的出口管制政策,让美国公司在追求全球市场的信息技术中利用他们的优势。
但加密技术的使用增加也给执法和国家安全带来了严重的风险。任何有关加密的政策,如果要符合国家利益,也必须解决这些风险。我们的政策提供了这一平衡,并与私营机构密切磋商,与市场合作,而不是与市场对抗。
总统的平衡政策是基于努力促进市场的关键复苏。我所说的“密钥恢复”指的是一系列技术,一些已经存在,一些正在开发中,一些仍在构思中,这些技术被设计为允许以明文方式恢复加密数据或通信。在这场辩论中,有一种倾向是把这个术语和其他术语狭义地集中在一种技术上,我想说明的是,这不是我们的意图。我们希望市场能够做出这些判断。为了促进这些产品的发展和推广,我们采取了以下步骤:
1996年12月30日,我们公布了新的规定,将商业加密产品的许可证从国务院军需清单转移到商务部的两用清单。这一管辖权的变化强调了政府的决定,即强加密不是主要由政府或军事力量使用的东西,而是将成为正常商业活动的一个可接受的组成部分。
新规定规定了几项程序,支持开发关键管理基础设施。其中最重要的是创造许可证豁免,这将允许在商业,正义和国防部进行单一审查后自由出口的任何强度和关键长度的可收回加密产品。
我们还扩展了符合此键恢复许可证豁免的产品的定义,不仅包括使用可信第三方的“键托管”系统,还包括其他系统,允许恢复键或纯文本。这意味着我们超出了一个简单的处方,以便关键托管和可信第三方作为所有加密需求的解决方案。
新规定还允许在某些情况下在海外自行托管和托管钥匙,这将使关键回收产品在出口市场上更具吸引力。由于建立关键管理基础设施可能需要一些时间,条例明确规定,即使在政府就进入协议或建立恢复代理网络到位之前,我们也会考虑自我托管和海外托管的请求。
为鼓励发展这些可收回的加密产品的发展,我们还创造了一个特殊的,两年的自由化期间,在此期间公司可能会出口56位DES或同等产品,只要他们提交计划并表明他们正在努力发展关键管理基础设施由管理设立。这种暂时的救济将有助于为制造商提供促进奖励和过渡期,以便转向关键管理基础设施。
为了帮助创建将指导联邦政府在自己的加密重点管理努力中,商务部已形成“技术咨询委员会,为联邦重点管理基础设施制定联邦信息处理标准”。该委员会将向商务秘书提出联邦机构利用加密信息的恢复,建议发行标准。这些标准也可以在自愿的基础上由私营部门使用。我们认为,该委员会活动与1996年的国家研究委员会建议一致,即政府为自己的用途探索托管加密。六次外国政府的代表举行两次委员会,委员会介绍,以帮助确保在多边的协调和兼容性。
此外,我们还继续讨论我们的主要贸易伙伴,以常见的加密政策方法。主席致力于努力,任命大卫亚伦,我们的大使经济合作与发展组织作为他对加密的特使。他今天的证词将讨论我们所做的进展。
我们还就这项新规定征求了公众意见。我们收到43。它们被发布在BXA的网站上供所有人查阅。有一些是关键的,但许多是非常有用的。或许更好地衡量行业反应的是政策改变后的申请流。在头两个月,我们收到近400份出口许可证申请,总值近5亿元。12家公司已经提交了承诺计划,列出了他们将如何制造和销售关键的恢复产品,我们知道其他公司也在准备这些计划。这12家公司包括美国最大的一些软件和硬件制造商。我们已经批准了其中的六个计划,我们预计很快会批准更多的计划。
许可证的流动和公司承诺计划告诉我们,我们的政策是有效的。也就是说,我们打算在不久的将来修改我们的规定,以反映我们从业界收到的许多有益的意见。我们希望确保我们监管可恢复加密出口的努力与现在开始成形的更大的电子商务结构兼容。
我们还支持了10个试点项目的发展,旨在展示处理电子赠款和国际专利申请等不同应用的关键恢复。我随身带着一份关于这些项目的描述,我要求将其列入记录。
该行政当局在许多场合中表示,我们不支持强制性主要托管和关键恢复。我们的目标是实现开发和建立公钥基于密钥加密的自愿关键管理系统。我们认为,政府的政策正在成功地将关键恢复产品带到市场上。我们的注意力现在转向如何最好地促进将支持这些产品的关键管理基础设施的发展。为此,我们将不久提交旨在执行以下操作的立法:
- 明确证实了国内用户的自由选择任何类型或强度加密。
明确声明参与关键管理基础设施是自愿的。
——依法规定向执法人员公开追偿信息的法律条件,对依法公开追偿信息的重点追偿人提供责任保障。
——将滥用密钥和使用加密技术进一步犯罪定为犯罪。
——在自愿的基础上,提供公共密码学密钥业务的公司有机会获得政府认可,允许他们营销政府批准所暗示的可信性。
在审查待定的票据时,S. 376和S. 377,让我首先说我们欣赏参议员leahh的勤奋,并燃烧在试图将各方携带共同达到共同观点。我们欢迎,并敦促他们继续这样的努力。
同时,我必须告诉你,像S. 377这样的立法是没有帮助的,政府也不能支持它。它没有提供我们正在寻求的平衡方法,因此将不必要地牺牲我们的执法和国家安全重点。我允许其他证人描述该法案对执法的影响,但让我描述一下它的其他一些问题。
——该法案似乎解除了对最强加密产品的控制。通过限制军事和恐怖活动的许可要求,该法案严重限制了政府对高度敏感交易的审查。此外,通过极大地限制监管当局,该法案的意外效果可能是通过阻碍标准的创建来减缓电子商务的发展,即使是在商界寻求标准的时候。
- 无论是意图吗,我们都认为,如起草的账单仍然会阻止关键复苏的发展,即使是一种选择。政府一再表示,它不支持强制性的重点恢复,但我们肯定是批准并鼓励发展自愿关键恢复系统,我们认为我们不想切断的强大和日益增长的需求。
——从商务部的角度来看,我们对该法案还有许多具体的担忧。我们尤其认为,它误解和曲解了NIST在监管和标准制定方面的作用。NIST并不“规范”美国业界对加密产品的使用。它编制和发布联邦信息处理标准(F金博宝正规网址IPS),该标准仅适用于政府机构,并与私营部门协商制定。这些标准(DES是其中之一)往往是私营部门为了标准化而自愿采用和利用的。这是私营部门的一个重要目标,但它将由市场而不是政府决定。私营部门一直支持nsts在这一领域的努力,我们很难理解为什么该法案的作者想要排除他们。
——相比之下,莱希参议员的第376号法案与我们即将提交的法案有许多相似之处,但它也提出了远远超出政府能力范围的出口自由化,这将违背我们的国际出口控制义务。政府有一个长期的政策,即广泛取消加密管制将给国家安全和执法带来风险,因此有理由继续限制出口。我们对该法案的总体目标表示赞同,包括对钥匙持有者未经授权释放的刑事和民事处罚,但我们对该法案在建立钥匙追回制度方面的指引和标准表示关注。
我说过我在去年的时候,主席先生,加密是一个最困难的问题在今天的公共政策,但是我们致力于解决与行业的合作,执法社区和国会的方式加强了市场原则和实现不同的目标。金博宝正规网址我们希望你们能与我们合作,通过我们提出的立法,促进这一进程。