托马斯·r·莫尔豪斯的声明,总裁兼首席执行官,来源文件
通过加密(安全)行为安全和自由
1997年3月20日-众议院司法机构法院和知识产权小组委员会
主席先生及委员们,感谢你们给我这个机会,分享我对加密产品商业的看法。今天我很荣幸站在你们面前。正如国家研究委员会1996年关于密密学在确保信息社会安全中的作用的研究报告所说,我们面临的是一场政策危机,而不是技术危机——技术已经出现了。因此,这次听证会既及时又极其重要。
我的公司Sourcefile通过其SourceKey师,是美国政府授权的唯一公司,为含有强加密的出口批准产品提供关键恢复服务。公司希望作为可信任的第三方来保护他们的版权,商业秘密和其他知识产权。通过我们的源代码托管服务,财富1000家公司依靠我们来保护他们对关键任务计算机软件的投资。因此,我们对保护私立知识产权的公共政策有着敏锐的兴趣。作为美国公民,我们也关注维护我们的隐私,保护我们的国家安全和预防犯罪。
关于加密出口政策的辩论涉及三个不同的利益群体:公民自由主义者和言论自由倡导者,商业和工业,以及执法和国家安全机构。各方都有正当的关切和利益。让我先说,我认为妥协是必要的。对任何一方的关注加以排斥,都将损害个人自由、损害美国在计算机行业的领导地位、损害我们国家的安全,或两者的结合。这些选择中的任何一种都是绝大多数美国人无法接受的。
当前的美国导出策略要求建立一个密钥恢复系统,强制加密产品。由代表赞助的安全立法。在本小组委员会的许多人上,Goodlatte和Co-Suponsoration会有效地禁止联邦政府授权关键托管或关键恢复制度。鉴于Sourcefile的独特地位,因为授权提供关键恢复服务的唯一公司,您可能会惊讶于我的下一个评论。
虽然我的公司无法从政府授权使用钥匙恢复,但我不一定争辩支持此类要求。
美国人在保护隐私和财产与支持执法官员打击犯罪之间的权衡问题上存在严重分歧。我最近看到Equifax/Harris的一项民意调查显示,在实时通信方面,这一划分是存在的。对于“政府是否需要能够扫描互联网消息和用户通讯以防止欺诈和其他犯罪行为”,网民的意见存在51%和49%的分歧。非互联网用户有2-1人同意这一说法(见表)。
表2
隐私vs.执法人员对互联网通信的访问
“政府需要能够扫描互联网信息和用户通信,以防止欺诈和其他犯罪。”
|
互联网用户(百分比) |
非互联网用户(百分比) |
|
|
|
| 强烈同意 |
18 |
35 |
| 同意有些 |
33 |
29. |
| 有些不同意 |
25. |
19 |
| 强烈不同意 |
24. |
15 |
来源:1986年Equifax/Harris消费者隐私调查,互联网,出版Inc.技术,1997年,第18页,第18页。
允许开发和使用足以保护美国人免受隐私侵犯和经济间谍活动的加密技术,同时又允许国防抵御其他形式的间谍活动和执法,需要一个微妙的平衡。我并不认为自己确切知道什么样的政策能提供大多数美国人所寻求的平衡。但我知道我们不能停滞不前。我们必须打破这个僵局。
市场已经领先地位,朝着某种关键恢复系统移动。以及政府是否要求使用关键恢复中心,SourceFile将在关键恢复业务中,因为市场部队需要我们的服务。商业和个人用户希望恢复为关键管理基础架构的重要组成部分,作为安全,管理和控制管理和恢复加密数据文件的首选方法。
如果丢失密钥,加密用户根本不会导致对所有秘密的风险失败。我从未遇到过车主,没有至少一个对他的汽车的重复钥匙。没有人想投资汽车,失去钥匙,无法打开门。失去强大的加密关键是更灾难性的,因为您无法调用锁匠打开您的数据的大门。
使用强加密技术的人这样做是为了保护极其宝贵的资产。没有一个头脑正常的人会在没有备份系统的情况下使用密码学来检索信息,如果他丢失了钥匙。再重复一遍,无论政府是否下令,市场都将要求关键的复苏。只有那些有勇无谋的人才不会使用后备系统。甚至很多罪犯也想要钥匙。
对加密对刑事调查的影响的担忧必须与它在预防犯罪方面的好处相权衡。我们不能用一份适当的法庭命令“锁定”执法机构拦截和解密电子邮件的需求;任何政府机构也不应该有自由浏览和阅读加密通信的权利。正如我在开始作证时所说,这是一个找到适当平衡的问题。
几十年来,美国企业私下和政府的保护,反对工业间谍活动。今天,通过互联网的数字化数据流和数字化数据的流量使得宝贵的信息容易受到工业间谍的群体,除非它有强加密。
正如犯罪小组委员会(Subcommittee on Crime)在去年5月的一场听证会上了解到的那样,美国公司每年因窃取商业信息而损失的资金从240亿美元增加到1000多亿美元。
(见脚注1)这是一个很大的范围。但是,即使假设这个较低的数字是正确的,它仍然代表着对我国经济福祉的巨大打击。一个好的、获得专利的创意可能会创造数百或数千个新工作岗位,并导致新公司甚至新行业的诞生。个人和公司必须能够保护专有信息不受确定的经济间谍活动的影响。
我的公司Sourcefile是一种保护知识产权的国际领导者。来自20多个国家的数百名开发人员和用户组织依赖于Sourcefile来持有他们的计划源代码。作为一个值得信赖的第三方,SourceFile的母公司持有数百万个高度机密的企业和金融记录,医院记录,也许是最敏感的艾滋病试验的记录。我提到这是为了制作两点。首先,第三方的先例是正确的配备,担保和保险,以信任最具可想到的最机密信息。其次,Sourcefile和类似的公司受到严格的法律,这些法律保护我们持有的记录的人的隐私。如果第三方违反其被呼吁的信任,则应存在并且是严重的惩罚。
Sourcefile认为,保护私有财产权利要求应征收严厉的惩罚,以滥用滥用其信任的关键恢复中心。这种处罚与银行的罚款类似于挪用挪用存款人的资金。
在新的信息时代,知识产权是许多公司最有价值的资产。例如,我们的客户之一设计和开发基因序列和表达数据库。他们的收入来自租赁对这些数据库的访问。如果有人违反了他们的加密并窃取了他们的数据库,公司的资产和市场价值将会暴跌。安全地传输数据的手段对于这家公司至关重要,以及像素一样快速地增加其他人。大多数这些公司,我可能会增加美国人,代表我们国家的重要新的就业和经济繁荣来源。
如果他们可以在全球范围内使用强加密,这些公司现在将受益。在哪些政策和法律管理其行为的不确定性抑制了他们使用鲁棒加密。
我相信,作为我们客户的公司希望并期待政府通过强有力的执法来帮助他们保护知识产权和商业秘密。我进一步相信,我们的客户意识到,执法部门有时会要求访问加密数据。
但是,如果政府限制这些以信息为基础的新公司可以使用的加密强度,要么会使它们的知识产权很容易被窃取,要么会把它们推向海外。无论如何,在我们进入信息时代之际,这对美国来说都是一项站不住脚的政策。
今年1月,加州大学伯克利分校(University of California at Berkeley)一名名叫伊恩·戈德堡(Ian Goldberg)的研究生证明,需要更强的加密技术。据新闻报道,戈德堡只用了三个半小时就ReportsReports破解了美国允许自由出口的最安全的加密代码。他将250个闲置的工作站连接起来,这样他就可以每小时测试1000亿个可能的“键”。据我所知,戈德堡先生并不是罪犯。但是,如果一个研究生能够调动计算能力来破解这种加密,那么可以肯定的是,一个外国情报机构、一家大公司,甚至一个精通技术的小偷也能做到这一点。
当然,像国家外汇管理局的法案那样,对军用硬件和软件保持出口管制是有意义的。但政府任何阻止加密技术进步的企图都将是徒劳的。微处理器技术正在不断进步。加密技术将迅速变得越来越强大,无论是在美国还是在其他地方。即使政府成功地阻碍了守法人士使用加密技术的改进,那些决心违法的人还是会找到他们想要的强大加密和密码破解产品的来源。
与其试图阻止时间或把精灵放回瓶子里,不如对使用密码技术犯罪的人实施刑事处罚更有意义。外管局的法案可以做到这一点。
最后,我们认为有理由期望密钥恢复中心遵守执法当局的规定,他们通过正当程序提供了访问加密密钥的法院命令。这种合作类似于电话公司,电话公司允许有适当合法授权的官员安装窃听装置。按照这个类比,遵守法庭命令的关键恢复中心不应因这种遵守而受到民事处罚。
主席先生,我感谢你和本小组委员会的其他成员有幸来到你面前,并感谢你的关注。我很乐意回答你们的问题。
(脚注1回)
关于犯罪小组委员会的经济间谍活动的成绩单,犯罪,代表,1996年5月9日,PP。1和59。
1997年国会听证会