比尔·赖因施1999年6月10日在参议院商务会议上的证词 - 乐动登陆,乐动冠军,乐动体育赛事

证词的
威廉。a . Reinsch
出口管理局副局长
商务部

前
参议院商务委员会
1999年6月10日

谢谢主席先生，有机会在政府的加密政策方面作证。自本届主题委员会之前的最后一次见证以来，我们提出了很大的进步。

即便如此，加密仍然是一个备受争议的问题。政府继续支持一种平衡的方法，既考虑私隐和商业，又保护重要的执法和国家安全权益。我们一直在与行业及其客户密切磋商，以制定一项政策，以提供这种平衡的方式，也反映了不断变化的市场现实。

互联网的众多用途之一是电子商务，它将对我们的日常生活产生重大影响。互联网和其他数字媒体在国际商务活动中变得越来越重要。去年1月，全球共有4320万个互联网主机，而1995年1月仅有580万个。根据最近的一项研究，1996年的电子商务交易额为1200万美元。二零零零年电子商务的预计总值为21.6亿元。举个例子，自1997年以来，微软网站上的旅游预订每年都在翻倍，从50万增加到今年的220万。许多传统上需要面对面互动的服务行业，如银行、金融机构和零售商户，现在都提供了网络服务。现在，客户可以坐在家里的电脑前，只需敲击键盘几下，就可以进入银行和投资账户，或者购买一件冬季夹克。

此外，大多数企业以数字方式维护其记录和其他专有信息。他们现在通过互联网和电子邮件进行许多日常通信和商业交易。这种电子商务增长的不可避免的副产品是需要强大加密，为数字通信，交易和网络提供必要的安全基础设施。如果他们认为基础设施可能无法安全，计算机犯罪和电子间谍的令人不安的增加的人和企业旨在发布电子网络上的私人和公司专有信息。强大的安全基础设施可以帮助消除这些恐惧，并允许电子商务继续爆炸增长。

制定加密政策一直很复杂，因为我们不想妨碍它的合法使用——尤其是在电子商务中;但与此同时，我们希望保护我们至关重要的国家安全、外交政策和执法利益。我们的结论是，实现这一目标的最佳方法是继续采取一种平衡的方法:促进开发强大的加密产品，使政府能够在仔细界定的情况下合法地存取明文;促进合法使用强加密技术，以保障机密性;并继续寻找其他方法来保护重要的执法和国家安全利益。

在过去三年中，我们了解到有很多方法可以帮助合法进入。没有单尺寸适合的解决方案。我们从60多家公司收到的恢复加密产品的计划表明，存在许多不同的恢复技术方法。在各个许可证下加密产品的出口许可，我们还了解到，虽然一些产品可能无法符合我们规定的严格技术标准，但它们仍然与我们的政策目标一致。

此外，我们决定在某些值得信赖的行业范围内使用强大的非恢复加密是我们保护私人消费者信息的政策的重要组成部分，并允许我们的美国高新技术产业维持信息安全市场的领先优势。考虑到我们所学到并审查国际市场趋势和现实的所有内容，我们在1998年对我们现在汇总的加密政策进行了几次变化。

1998年9月，我们发表了一项规定，允许在46个国家的银行和金融机构的许可证异常下出口的监管，该机构允许美国公司向世界领先经济销售加密产品的新机会。该政策认识到需要保护我们的金融网络，银行和金融社区在何时应对金融和其他罪行时与政府当局有关的合作历史。

更重要的是，9月16日，副总统戈尔公布了我们加密政策的更新。本次政策更新是与美国行业、执法部门和隐私团体进行对话的结果，讨论如何改进我们的政策，以找到除关键恢复外的技术解决方案，以协助执法部门打击犯罪的努力。与此同时，我们希望找到确保美国技术继续领先的方法，促进安全的电子商务，并保护隐私问题。我们当时和现在都认为，在这个问题上取得进展的最佳途径是通过建设性的合作对话，而不是通过立法解决办法。通过持续一年多的对话，各方之间的了解有所增加，我们也取得了进展。

12月31日，我们发布了执行副总统政策声明的法规。这些法规不会结束关于加密控制的辩论，但我们认为，通过开放大型市场和进一步简化出口，该法规解决了私营部门的一些担忧。

该更新允许向几个重要的行业部门输出128位加密产品和更高的加密产品(有或没有密钥恢复)。现在，银行、金融机构、卫生设施和在线商户可以以数字形式保护其敏感的金融、医疗和在线交易。这一更新还允许美国公司出口128位或更高级的加密产品，包括技术给世界各地的子公司，以保护其专有信息和开发新产品。此外，这项更新允许根据加密发牌安排输出128位或以上的“可恢复”或“可恢复”加密产品。这类产品包括市场上现成的产品，如通用路由器、防火墙和虚拟专用网络。这些可恢复产品通常由网络或公司安全管理员管理，没有任何第三方的参与。自更新公告以来，行业一直在利用这一新的自由化和简化程序授予此类产品。

许多更新都允许在许可证异常下导出加密到这些最终用户。也就是说，在产品收到技术审查后，它可以由制造商，经销商和分销商出口，而无需许可或其他其他审查。这些许可证例外目前适用于国家/地区或一组最终用户。我们还通过加密许可安排（ELA），批量许可，批准对这些部门的一般政策进行批准，以允许对全球部门的强大加密的无限制货物。

我们还进一步简化了关键恢复产品的出口，不再需要审查外国钥匙恢复代理商，不再需要公司提交业务计划。

我们认识到，我们的政策的发展是一个渐进的过程，我们打算继续与工业界进行对话。我们的政策将继续适应技术和市场的变化。我们今年会再次检讨我们的政策，以期作出进一步的改变。我们的审查的一个重要组成部分是来自行业的投入，这是我们通过持续对话获得的。

在过去的一年中，我们还通过Wassenaar安排制定共同的国际加密控制方法。成立于1996年作为CoCom的继任者，这是33个国家的多边出口管制安排，其目的是防止稳定稳定的武器和工业设备在各国或地区的武器和工业设备累积。Wassenaar为我们的许多出口管制提供了基础。

去年12月，在总统加密问题特使大卫•亚伦(David Aaron)大使的努力下，瓦塞纳安排成员就加密控制方面的几项变化达成了一致。通过为各国提供一个更强有力的监管框架来管理可靠加密的传播，这些变化对提高国际安全和公共安全大有帮助。多边加密控制的具体变化包括取消对所有56位或以下加密产品和某些不论密钥长度的消费品的多边控制，例如娱乐电视系统、DVD产品和设计用于家庭或办公室使用的无线电话系统。

最重要的是，瓦森纳成员同意将加密软件从瓦森纳的通用软件笔记中删除，并用一个新的加密笔记取而代之。《通用软件说明》起草于1991年，当时银行、政府和军队是加密的主要用户，允许各国不受限制地出口大众市场加密软件。GSN的创建是为了发布用于个人电脑的通用软件，但它无意中也允许一些国家发布加密。必须使GSN现代化，堵住允许不受控制地输出无限密钥长度的加密的漏洞。在新的密码学说明中，增加了大众市场的硬件，并将64位或以下的密钥长度设置为一个适当的阈值。这将促使各国政府审查64位及以上加密技术的传播。

我想澄清的是，这并不意味着不能导出超过64位的加密产品。我们自己的政策允许这样做，瓦塞纳的大多数其他成员的政策也是如此。然而，这确实意味着，政府现在可以根据其国家出口管制程序对此类出口进行审查。

没有多边办法的出口管制政策几乎没有成功的机会。瓦森纳成员就如何处理大众市场加密产品达成的协议强烈表明，其他国家也有我们的公共安全和国家安全关切。与许多人两年前的想法相反，我们发现大多数主要加密产生国都有兴趣开发一种加密控制的共同方法。

保护法案

关于S.798，当时，行政当局反对这项立法。总体而言，该法案不会促进这次政府在过去几年中努力实现的余额。现在让我讨论一些更有问题的部分。

根据第505条，撤销对公开或一般可用的加密技术的出口管制，实际上是在局长同意的情况下，由私营机构和政府代表组成的谘询委员会负责。我们认为这样一个委员会是行不通的。虽然可用性是我们用来决定是否可以输出加密产品的因素之一，但它不是唯一的因素，不应该高于其他因素。在作出出口管制决定时，我们必须能够考虑包括国家安全和公共安全在内的所有因素。不允许或降低重要考虑的重要性，只会削弱我们的出口管制体系。该法案中使用的广泛定义将使执行局有广泛的余地就现有资料作出调查结果。这可能使部长处于在重要的国家安全和执法利益受到威胁时，不得不经常反对取消出口管制的地位。该法案使这一决定受到司法审查。政府认为由法院裁决行政部门在这些问题上的决定是不明智的公共政策。

第501节从加密出口许可证咨询过程中删除司法部。由于执法利益在加密方面是一个重要的考虑因素，因此我们无法支持这一规定。

我们支持法案中要求对许可证例外情况下出口加密的资格进行技术审查的条款。事实上，这与现行的规定是一致的。然而，我们不能支持的是504条款的一部分，即如果出口商没有收到政府的决定，则在15天后自动获得资格。在所有情况下，都要完成非常仔细的技术审查，以确定产品在技术上符合特定许可例外的条件。尽管我们试图尽快执行这些审查，但15天的自动批准将严重限制我们进行仔细审查的能力。

第504节还提出了超出行政当局所能接受范围的控制参数和出口自由化，这将违反我们的国际出口管制义务。例如，Wassenaar同意解除对56位加密产品的控制，而该法案将解除对密钥长度为64位或更少的加密产品的控制。第504节还扩展了在许可证例外情况下有资格接受加密的产品、最终用户和国家的范围，超出了我们认为谨慎的范围。

该法案另一个令人不安的部分是102条款，该条款将允许位于世界任何地方的美国人开发、制造、销售或使用任何类型的加密技术。如果这一条款被解释为允许美国公民在海外开发、制造和销售加密产品，即使使用他们在美国获得的非公共控制技术，实际上，防止政府要求美国人在国外开发和制造加密技术需要许可证。因此，美国公司可能会将所有加密技术的开发和制造移出美国，以利用这一漏洞。这不符合我国的经济或国家安全利益。

第103条包含一项规定，该条款将禁止美国政府对产品可收回的事实的任何批准。我们的加密政策的基本特征是，我们为公司开发提供强有力的产品的激励，并满足国家安全和执法的需求。该法案将消除我们政策的可诉特征，即行业希望我们在去年的更新中包含。此外，这项条例草案与第504条不一致，允许可收回产品的许可证异常治疗。

第506节将取消对使用即将实施的高级加密标准(AES)的产品的任何出口控制。我们反对取消对加密产品的出口管制，仅仅是因为它们执行了政府标准。采用AES的产品应与采用类似强度加密的任何其他产品在相同程度上可出口。根据我们目前的政策，基于aes的产品可以不受限制地出口到银行、大公司、网上商户和许多其他安全的最终用户，这取决于产品的性质。我们认为将AES的发展与出口管制联系起来是不明智的。这样的链接可能给NIST带来不必要的压力，使其比计划的更快地完成AES过程，因此可能不允许在选择之前谨慎地研究候选算法的安全特性。

关于与出口管制无关的条例草案的规定，我们有一些问题和疑虑。

第202条中的一个这样的规定要求政府使用的加密产品必须与其他商业加密产品互操作。在账单中不清楚互操作性的程度，但我们相信这一要求的实际结果是，政府无法使用加密，因为没有单一加密产品与所有其他产品互操作。似乎，这一规定可以禁止使用政府开发的加密，以便在有目的地设计不与其他系统互操作的“关闭”系统中使用的内部使用。

在与美国联邦，州和地方政府沟通时，还似乎防止强制使用可收回加密。这似乎妨碍了一个代理商需要用于商业目的的关键恢复或可收回产品。我们相信这一规定的效果可能比仅在与公众打交道时使用可收回的加密，这一规定的影响可能远远大。实际效果是政府网站必须能够使用市场上所有加密方法支持安全通信。这是荒谬的。

我们担心302条款的法案可能会阻止NIST与推荐性标准组织的工作,因为它禁止商业部长进行任何政策,建立一个加密标准供企业使用或其他实体以外的其他计算机系统由美国政府。商务部长被禁止制定商业标准;然而，当标准组织邀请NIST这样做时，作为一个政策问题，NIST会与这些组织一起工作。NIST和标准组织之间的合作对NIST和行业来说都很重要，并且使用自愿标准和购买商用现货产品符合政府政策。如果政府不能输入标准流程，我们最终可能会为政府机构提供更不安全的产品。我们希望尽可能鼓励制定符合政府需求的自愿性标准。这降低了政府和工业的成本。

关于关于“信息技术实验室”的401节，我们有两个顾虑。首先，我们认为NIST不适合研究和开发新技术，以方便合法获取通讯和电子信息。这项工作最好由联邦调查局来做。第二，我们担心该法案将为NIST提供新的任务，但没有新的资金来开展这项工作。我们对402部分也有类似的担忧。该顾问委员会的法定名称是“电脑系统安全和隐私顾问委员会”，由13名志愿者组成。同样，分配给这个委员会的任何额外任务都需要必要的资金。

政府不寻求加密出口管制立法，我们也不认为需要这样的立法。目前的监管结构提供了对出口控制的平衡监督，以及调整我们的经济、外交政策和国家安全利益以适应技术进步所需的灵活性。这是实现加密政策的最佳途径，该政策可以促进安全的电子商务，保持美国在信息技术方面的领先地位，保护隐私，保护公共安全和国家安全利益。

如您所知，对加密政策的公开辩论一直活泼而且往往是绰号的。辩论双方的一些人对寻找能够满足我们所有需求的中间地面不感兴趣。我们与行业的对话已经走向弥合这种差距并找到共同点。我们将继续进行合作交流的政策，这显然是追求我们平衡公共安全，国家安全和美国公司竞争利益的最佳方式。