<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Thu, Apr 14, 2016 at 3:15 AM, Benjamin Kreuter <span dir="ltr"><<a href="mailto:brk7bx@virginia.edu" target="_blank">brk7bx@virginia.edu</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-style:solid;border-left-color:rgb(204,204,204);padding-left:1ex"><span class="">On Thu, 2016-04-14 at 00:14 +0000, John Levine wrote:<br>
<br>
> Dunno if this is deliberately aimed at Apple,<br></span></blockquote><div>... </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-style:solid;border-left-color:rgb(204,204,204);padding-left:1ex"><span class="">
<br>
</span>Relevant quote from Section 3, part (C):<br>
<br>
10 (c) LICENSE DISTRIBUTORS .—A provider of remote</blockquote><div>... <br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-style:solid;border-left-color:rgb(204,204,204);padding-left:1ex">  It would also<br>
cover Linux distros, Github, etc., though given the overall technical<br>
illiteracy of the proposal I have some doubts that Burr or Feinstein<br>
are even aware of such things.<br></blockquote><div><br></div><div>Or of FFIEC guidelines and regulations. </div><div>"The outstanding feature of the FFIEC guidelines is the requirement that encryption be used in all online transaction processing (OLTP) done by financial institutions. The level of encryption must be sufficient to prevent unauthorized disclosure within a bank's internal networks and among shared external networks."<br>----   <a href="http://searchfinancialsecurity.techtarget.com/definition/FFIEC-compliance">http://searchfinancialsecurity.techtarget.com/definition/FFIEC-compliance</a><br><br>Or of FERPA (Family Educational Rights and Privacy Act)</div><div><a href="http://www2.ed.gov/policy/gen/guid/fpco/pdf/reasonablemtd_agreement.pdf">http://www2.ed.gov/policy/gen/guid/fpco/pdf/reasonablemtd_agreement.pdf</a><br><br>Multiple states have enacted laws mandating data encryption.  <br>Some make it clear that key management as implied in Feinstein-Burr </div><div>crypto daft-discussion would not be acceptable (Nevada and Mass).</div><div>Footnote 32. </div><div>Among notable state efforts, Nevada, for example, requires both
businesses and government agencies to use encryption when
externally transmitting personal information, and Massachusetts
imposes much more extensive encryption requirements on
personal information."</div><div><br></div><div>i.e. At a glance key management rules and tracking as specified in state and federal  law would require</div><div>any and all vendors, individuals and law enforcement agents with these keys to be enumerated and </div><div>audited.  Such a vast list of key holders is also a list of phone book and rubber hose coercion targets.<br>As a federal obligation the Feds would have to pull all others into their uber top level data base.  A reverse would </div><div>place the identity of agents in the hands of school boards etc. <br><br>This is not a topic for a 15 second sound bite.<br><br><br></div><div><br></div><div><br></div><div> </div></div><br clear="all"><div><br></div>-- <br><div class="gmail_signature"><div dir="ltr">  T o m    M i t c h e l l</div></div>
</div></div>