密碼學在保障訊息社會中的角色(CRISIS)
1993年11月,國會指示國家研究委員會(National Research Council),這個機構的成員包括國家科學院和工程院的成員,成立一個委員會來研究並提供有關國家加密政策的建議。該委員會由16名成員組成,代表了各種利益。委員會成員包括前NSA副主任、前司法部長,以及來自商業和學術界的代表,如馬丁·赫爾曼(Martin Hellman)。他們的研究得到了公共法案103-160的資助,該法案指示所有聯邦部門,包括NSA,應“充分合作”進行該研究。13名研究小組成員獲得了安全許可,允許他們接受NSA的機密簡報。委員會指出,雖然“某些機密仍然是合法的”,但他們希望在不妥協NSA的合法利益的情況下,公開儘可能多的資訊。委員會承認,NSA的傳統立場是“如果你知道我們知道的,你會同意我們的看法”,這種立場不利於對加密政策的透明辯論,因此他們宣布將試圖“充當那些擔心最壞情況被隱藏在秘密的牆後的人們的代理人。”
代表密碼龐克的約翰·吉爾莫(John Gilmore)編制了一個問題清單,並將其發送給國家研究委員會,用於質詢執法機構。這些問題反映了密碼龐克社群的立場,從相關和深入的問題到符合陰謀論者的問題不等。收到這份問題清單後,NRC代表赫布·林(Herb Lin)友好地請求吉爾莫將其重新整理成“合理的問題”。
在研究了這些問題後,獲得安全許可的委員會成員得出結論,雖然機密材料對操作事務很重要,但“它對為何加密政策是這樣的整體圖景並不重要,也不需要對未來技術和政策如何發展的總體大綱。”因此,委員會認為,“關於國家加密政策的辯論可以在非機密的基礎上進行。”這種方法並非旨在減少加密對執法和情報機構帶來的合法挑戰;報告引用了最近的政府評估,強調了威脅:
專門的技術操作(包括計算機入侵、通信目標鎖定和攔截、以及私營部門加密的弱點)是美國企業失去最大比例經濟和工業信息的原因。
這份報告《密碼學在保障訊息社會中的角色》於1996年發布。委員會主席肯尼斯·W·達姆(Kenneth W. Dam)寫道:“委員會並非沒有注意到本報告的縮寫——CRISIS——並且認為這個縮寫恰如其分。”然而,達姆認為這場危機是一場“政策危機,而非技術危機、產業危機、執法危機或情報收集危機”[原文斜體]。委員會評估道:“長期來看,美國國內外廣泛的商業和私人加密使用是不可避免的,且總體上,其優勢超過其劣勢。”報告結論指出:“政府和國家的整體利益將通過一項政策得到最佳服務,這項政策促進了朝向廣泛使用加密技術的謹慎過渡。”然而,報告建議,“尊重執法和情報機構對國家安全和外交政策目的的合法需求,但必須與良好的信息保護相一致。”委員會評估道:“當前的國家加密政策無法支持信息社會對信息安全的需求。”其建議包括:“不應有法律禁止在美國製造、銷售或使用任何形式的加密技術”,“國家加密政策……應該更多地與市場力量對接。”關於出口政策,報告指出:“出口管制也有效地減少了具有強大加密能力的產品在國內的可得性”;這是因為廠商通常只會生產一個版本,來最小化生產成本,而不是為國內市場生產具有更強加密技術的版本,並為出口市場生產更弱的版本。委員會建議:“對加密技術的出口管制應逐步放寬,但不應完全消除。”
報告引發爭議,委員會建議制定一項新法律,將在非法行為中使用加密技術的行為定為犯罪,就像使用郵件系統進行犯罪一樣,對罪犯加重處罰。委員會認識到這樣的法律可能會在無法證明基礎犯罪的情況下,或當加密技術與正在調查的實際犯罪沒有直接關聯時,用來起訴目標。他們建議這不是他們建議的目的,並且“最終的防範措施將是司法和刑事司法過程的完整性,這將是防止此類法律被用於此目的的最終保障。”
委員會敦促政府加速適應新的加密時代:“應給予優先考慮研究、開發和部署額外的技術能力,幫助執法和國家安全機構應對新技術挑戰。”委員會建議56位DES應該可以輕鬆出口,目前允許的加密強度為40位,研究表明,40位的加密技術正變得越來越容易受到暴力破解攻擊。出口將取決於製造商提供“完整的技術規格,並在要求時提供合理的技術支持,以協助美國政府理解產品的內部運作。”
蒂姆·梅(Tim May)在報告發布後發帖說:“我並不像我預期的那樣失望,”他表示:
“我認為這份NRC報告充分支持商業和個人使用加密技術,這將有效地擱置並延遲目前政府的提案……並至少延遲密鑰託管系統的實施幾年。這應該足以確保我們的勝利。”
哈爾·費尼(Hal Finney)對該報告感到沮喪,認為它過多採納了“那些反對加密技術使用力量的觀點。”費尼辯稱:
“最多,這似乎是承認變革是不可避免的,且最多能做的是促進過渡到一個人們可以自由訪問隱私工具的世界。但在此期間,它似乎旨在延遲過渡,而非推進它。”
費尼認識到,將出口加密強度從40位提升到56位是一個進步,並認為56位可能是NSA能夠破解的最大密鑰長度。理查德·格雷夫斯(Rich Graves)發帖表示,儘管報告中的技術建議(如56位的限制)與報告的積極信息並不完全一致,但大眾和政治家只會理解報告中的更積極的標題:“NRC報告支持加密出口和真正的安全”;他告訴密碼龐克們:“運用這個標題,宣稱他們100%同意你們(即使你知道他們並不同意),繼續說出你們的看法。這就是政治。” 委員會提出了一個明確的戰略方向,但留下了許多戰術和技術問題未解決,尤其是如何建立合法的訪問方法。比佐斯(Bidzos)評論道:“下一個戰場將是國會山,因為政府不會輕易放棄。”