密鑰託管：Clipper III

1996年5月20日，跨機構加密政策工作組發布了一份名為《在全球信息基礎設施中促進隱私、商業、安全和公共安全》的草案，該草案被稱為Clipper III。該文件概述了對密鑰託管政策的演變，允許“密鑰管理基礎設施，並由私營部門的密鑰管理組織自願支持”，並且將“允許用戶和製造商自由選擇加密算法。”工作組概述了新系統的一些原則。除了自願參與外，該系統將使產業領導開發託管產品和相關協議，並將逐步放寬對託管產品的出口管制。根據這份報告，白宮於1996年7月12日正式宣布了新的密鑰託管政策；政府提議開發一個由產業制定的託管框架，供國內和國際使用。“受信任的私營部門方”將持有恢復密鑰，並設有機制讓個人和企業在需要時恢復自己的密鑰。政府表示，這一方法類似於其他國家的做法，並將“允許各國建立一個具有國際互操作性的密鑰管理基礎設施，並設有適合每個國家需求且符合執法協議的訪問規則。”政府將與業界合作，開發適當的密鑰恢復系統標準，以便他們能夠獲得出口許可。值得注意的是，這次新聞稿中使用了“密鑰恢復”而非“密鑰託管”這一術語，後者顯然已經在經過三年的辯論中遭遇了不小的負面反響。

參議員康拉德·伯恩斯（Conrad Burns）評論道：“這是三振出局……我會說政府的Clipper晶片提案的第三版是一次揮空。”1996年5月，包括鮑勃·古德拉特（Bob Goodlatte）和佐伊·洛夫格倫（Zoe Lofgren）在內的27名國會成員敦促總統撤回其密鑰託管政策並放寬出口限制。

1996年7月，FBI局長路易斯·弗里（Louis Freeh）在國會作證時呼籲開發“社會負責的”加密產品。弗里指出，加密技術已經或即將在多個方面阻礙執法機構的工作。舉例來說，包括間諜奧爾德里奇·艾姆斯（Aldrich Ames）被俄羅斯處理人建議使用加密傳遞美國機密、一名兒童色情目標使用加密傳遞淫穢圖像、一宗“重大”毒品走私案件中的目標使用加密電話，以及主張加密使用的反政府民兵組織等。

弗里還試圖將國際密鑰託管描繪為一個不可避免的趨勢，宣稱：

“目前，全球許多地方有一種新興觀點，認為對這種由傳統加密技術帶來的國內外公共安全威脅，只有一個解決方案……那就是密鑰託管加密。”

司法部長珍妮特·雷諾（Janet Reno）支持這一觀點，表示：

“現在在全球範圍內有一個共識認為，實現這一平衡的最佳方式是創建一個系統，也就是所謂的密鑰託管，將加密密鑰托付給中立的第三方。”

弗里認為，雖然“強大的加密產品在海外可得，但它們並不普遍，且迄今為止，這些加密技術尚未嵌入到海外的基本操作系統和應用程序中。”他指出，當討論更強的美國加密技術的出口時，國際合作夥伴表達了“強烈的關切”，擔心美國將“向全球市場灌輸無法破解的加密技術，從而增加犯罪組織和恐怖分子在歐洲及全球範圍內使用這些技術的可能性。”弗里反思道：“諷刺的是，美國放寬出口管制可能會導致海外實施進口管制。”他認為：

“如果強大的密鑰託管加密產品在國內外都普及，並且這些產品將來（至少在長期內）與非密鑰託管產品不互操作，那麼密鑰託管加密產品將成為全球標準，並將被幾乎所有人使用，包括犯罪分子。”

弗里補充道，密鑰託管能夠：

“允許執法機構和國家安全機構保護美國公眾免受犯罪和恐怖主義的壓迫。我們相信，正如世界上許多人所相信的那樣，技術應該為社會服務，而不是統治社會；技術應該被設計來促進公共安全，而不是對抗它。”

1996年10月1日，副總統戈爾（Al Gore）提供了一項激勵措施，促使業界合作推行密鑰託管政策。戈爾宣布56位加密（如DES）將在一次性審查後可以出口，並“取決於業界承諾建設和銷售支持密鑰恢復的未來產品”；這項安排將持續兩年，之後，僅允許出口40位及以下的未託管加密。56位加密的出口是一個重大的升級，相較於當前允許出口的40位加密技術。然而，出口許可證僅會授予六個月期限——如果公司未能展示推進密鑰託管的進展，可能會失去許可證。

11家公司迅速組成了“密鑰恢復聯盟”，以“開發可出口的、全球適用的強加密方法”，這些公司包括蘋果、DEC、惠普、IBM和RSA等世界上最大的技術製造商——兩年內能夠出口56位加密是一次實質性的獎勳。吉姆·比佐斯（Jim Bidzos）曾是最強烈反對密鑰託管的人之一，但他現在是聯盟的一部分：“出口管制是現實，”他評論道，並補充道：

“密鑰恢復聯盟的方法將允許公司以互操作的方式使用不同級別的安全性……在一個不完美的世界中，這項技術至少讓你可以利用全球各國政府所允許的東西。”

IBM的歐文·瓦達斯基-伯格（Irving Wladawsky-Berger）表示：“密鑰恢復將真正開放互聯網給認真做生意的人，一旦企業有信心他們的電子交易是安全的，並且他們能控制密鑰恢復，將會打開一片新的市場機會。”聯盟很快擴展到超過五十家公司。戈爾副總統辦公室的海蒂·庫基斯（Heidi Kukis）評論道：“我認為我們已經有了足夠數量的公司願意與我們合作。”EPIC的大衛·索貝爾（David Sobel）評論道：

“雖然一些公司可能選擇支持政府的密鑰託管政策，但市場很可能會拒絕這些經批准的產品……用戶需要強大的安全性，而不是政府能夠訪問他們通信的保證。”

儘管他們的言辭和行動，尚不清楚商業機構是否真正打算支持密鑰託管。

在一份政府內部備忘錄中，威廉·雷因施（William Reinsch）於1996年11月承認，託管產品“比非託管產品更昂貴且效率較低。”雷因施還承認，“有真實的風險，即跨國公司將把這些非密鑰恢復產品的生產轉移到海外，以避開新的美國限制。”國際社會對密鑰託管的態度分歧。在經濟合作與發展組織（OECD）中，法國和英國支持美國的密鑰恢復提案，而澳大利亞、加拿大、丹麥和芬蘭則基於公民自由問題在1997年3月表示反對。歐盟委員會也於1997年10月拒絕了美國提出的密鑰恢復提案，他們的報告擔心這一提案可能會破壞數字商務和互聯網的普及：“如果公民和企業必須擔心他們的通信和交易會通過密鑰訪問或類似機制被監控，他們可能會更願意選擇保持在匿名的離線世界中。”雷因施評論道：

“我有點驚訝……我對歐洲委員會的問題是，他們認為市場將會走向哪裡？我們的觀點是，從事電子商務的公司希望在某種形式上擁有密鑰恢復，因為他們希望能夠恢復自己的記錄，並監控他們自己的員工。”

1997年9月，FBI局長弗里在參議院小組委員會作證時，首次公開承認FBI希望在國內實施加密管制：

“從執法的角度來看，我們建議立法中包含一項規定，要求加密產品和服務的製造商，這些產品將在美國使用或進口到美國使用，必須包括一個功能，允許立即且合法地解密通信或電子信息。”

這一評論是對問題的回答，而不是事先準備好的聲明——很快就顯示出他的言論並未獲得政府的批准。雷因施表示：“政府已經非常清楚地告訴局長，他有責任告訴國會什麼對執法有利，他這麼做了。但這並不意味著他代表所有人發言。”雷因施補充道：“他（弗里）提出的並不是政府的政策。”商業軟體聯盟的貝卡·古爾德（Becca Gould）稱該計劃為糟糕的計劃，並評論道：“這基本上是在說，政府應該擁有對所有私人公民記錄的後門密鑰。”

大衛·韋爾登（David Weldon）和羅納德·德盧姆斯（Ronald Dellums）議員在SAFE法案中添加了一項修正案，這是當時國會中許多與加密相關的法案之一。該修正案將使在美國銷售未託管加密技術的行為變為非法：

從1999年1月1日起，任何人在美國境內製造、分銷、銷售或進口任何能夠加密通信或電子信息的產品，除非該產品包括如密鑰恢復、可信第三方兼容性或其他手段，允許在授權方收到解密信息後，無需加密產品使用者的知識或合作，即可立即解密，否則將被視為非法。

幾天後，由議員奧克斯利（Oxley）和曼頓（Manton）提出了一項更具攻擊性的修正案——他們的文本將禁止所有加密技術，除非它允許“立即訪問明文”。立即訪問在先前概述的密鑰託管訪問方法中是不可行的，因此，這些過程需要重新設計，可能會降低一些內建的防濫用保護。奧克斯利評論道：“守法的公民無需擔心這項修正案。”奧克斯利-曼頓修正案遭到了廣泛的反對，商界領袖和隱私遊說者都寫信給國會。民主與技術中心的傑瑞·伯曼（Jerry Berman）評論道：“這不是通向監控社會的第一步——它就是監控社會。” 密碼龐克安東尼·加西亞（Anthony Garcia）寫信給前FBI官員、國會議員奧克斯利，提供了自己的姓名和地址，聲明：“我完全打算在這項法律生效後的第一分鐘故意違反它。”加西亞告訴奧克斯利：“所以，準備好逮捕我吧，大麥克。拿出你的舊FBI徽章，擦亮它，因為我會違反你的法律，明白了嗎？”一群著名的法學教授向國會寫信，抗議這一“前所未有的提案，要求對不含政府強制後門的國內加密產品的製造或分銷處以刑事處罰”。這些教授辯稱，這項立法將使美國“不再成為保護個人權利的領導者；我們將成為冷戰結束以來，世界上最全面監控計劃的設計者。”他們認為這項計劃“既不明智，也違憲。”教授們寫道：

“國會面臨著對未來一世自由言論和隱私形態的歷史性選擇。在做出這一選擇時，無疑會有許多與我們憲法價值觀息息相關的問題。但毫無疑問，情報委員會的替代方案和奧克斯利-曼頓修正案將激發創建一個前所未有的全球監控系統，擴大執法機構的權力，並繞過第一和第四修正案的保護。這樣的變革過於激進，不應如此輕率地推進。我們敦促你們抵制這一提案。”

“這將把我們帶入一個全新的監控世界，一個極具侵入性的監控世界，每個人的每一條通信都可以被FBI訪問。”參議員洛特（Lott）問道：“合理的原因在哪裡？”“為什麼FBI假定所有美國人都會參與犯罪活動？憲法在哪裡？”洛特認為：“FBI的提案將：侵入我們的隱私；對FBI幾乎沒有用處；將需要不存在的技術；將創造新的行政負擔；並將嚴重損害我們的國外市場。”洛特補充道：“我了解到即使是政府也不支持這個新的FBI提案。那麼，為什麼FBI認為現在必須讓所有美國人接受越來越多的監控？”洛特總結道：“美國人不應該被迫僅以方便執法官員的方式進行通信。這不是我們的國家傳統。這與我們的傳統不符。”

經過四小時的辯論，奧克斯利-曼頓修正案於1997年9月在眾議院商業委員會以35票對16票被擊敗。隨著奧克斯利-曼頓修正案的失敗，安全和情報機構或許開始慢慢意識到——國會和美國人民將優先考慮商業和隱私，而非安全——這一國家狀況將一直持續到2001年9月11日。

到了1998年，Clipper的影響逐漸消退。密鑰託管/恢復並未正式撤回，但經歷了多次失敗嘗試，國會對加密管制的態度越來越敵對，法院確認憲法保護適用於網絡空間，並且技術產業的蓬勃發展，政府悄然允許Clipper消失於歷史的長河中。除了司法部為了試圖播種市場而採購的少數AT&T 3600之外，幾乎沒有多少這些設備被製造。NSA於1998年7月解密了SKIPJACK。儘管不清楚是什麼打擊了Clipper的最後一擊，且從未舉行過葬禮，但密鑰託管的計劃確實已經死去。第二次密碼戰爭的另一場主要戰鬥，即挑戰出口法規，仍在進行中；要講述這個故事，我們得回溯到1991年。