home *** CD-ROM | disk | FTP | other *** search

---

/ DP Tool Club 17 / CD_ASCQ_17_101194.iso / vrac / pspr22.zip / ENCRYPT.DOC

< prev

next >

Wrap

Text File  |  1994-07-15  |  15KB  |  329 lines

---

1. WHY SECURITY?
2. -------------
3.  
4. Security is not a topic many Internet users think about commonly as they
5. send electronic mail, log in to other machines, and otherwise
6. communicate.  However, as the Internet grows, security issues become
7. more and more of a problem, especially when it is used to transmit
8. sensitive data (such as your credit card number).
9.  
10. With the current system as it is, traffic on the Internet is very easily
11. accessible by people other than the sender and recipient of the traffic.
12. Anyone with even a small bit of technological know-how and physical
13. access to the right locations can easily intercept and copy all traffic
14. from a particular site or sites.  The physical location does not even
15. have to be in the same place as the site; any routing point between the
16. two sites might become a point of weakness.
17.  
18. In addition, for system administration purposes technicians are
19. routinely given total access to the computer(s) they maintain,
20. including the ability to read mail or news stored on those computers.
21. This does not just include the sender's and recipient's sites; any site
22. in between that acts as a forwarding agent for the mail could have its
23. batches read by its technicians (including your mail message).
24.  
25. Electronic mail sent to Control Enterprises travels over the Internet to
26. at least some degree, and is batched on at least three different sites
27. in transit (your computer, our computer, and a gateway computer in
28. between that is run by a service provider).  This means that, if someone
29. decided to monitor or read mail travelling between our sites, they would
30. be able to possibly read your registration request and obtain your
31. credit card number.  It could then be used to charge horrendous amounts
32. of money to your account without your knowledge!
33.  
34. For this reason, we discourage registration of our products via
35. electronic mail without some method of securing the communications line
36. from "snoopers."  The best way we have come up with to do this is to
37. encrypt (or "encode") messages using the Pretty Good Privacy program
38. (PGP).
39.  
40. ABOUT PGP
41. ---------
42.  
43. Control Enterprises has selected the Pretty Good Privacy program (or PGP
44. for short) for servicing our secure communications needs.  PGP is at
45. this point the most popular standalone encryption program available, and
46. versions of the program are available for free both nationally and
47. internationally.  This allows us to receive secure communication from
48. anyone in the world.
49.  
50. PGP works by taking a file that usually contains plain text (although it
51. could contain any information), encrypting its contents, and putting the
52. result in another file.  The program uses a key, usually a very large
53. number, to encrypt the data.  The method used by PGP is called "public
54. key encryption"; under this system, there are two keys, one that can
55. only encrypt and one that can only decrypt.  You should have received
56. the encryption key (commonly called the "public key") with this Control
57. Enterprises software package; in case you didn't, here is a copy of it:
58.  
59. -----BEGIN PGP PUBLIC KEY BLOCK-----
60. Version: 2.7
61.  
62. mQCNAi4diMcAAAEEAJso2VGfxKyXltHk/4SE9p39AMMU3rx+kv8VzWyRtBRFA2iV
63. nDsv8StCHA+eJheYmRzbRosSYcGyWkXlrPGcleajjw/rqjHNEYT5mxb5k3SOT38u
64. Mw6pXvoglX9EUeeWNfWJfzFVDl9m2rsEIysd8ZDkazCQ0ixF8+7SKIDDzIOpAAUR
65. tCtDb250cm9sIEVudGVycHJpc2VzLCBJbmMuIDxzdXBwb3J0QGNlaS5jb20+iQCV
66. AgUQLh2JH+7SKIDDzIOpAQE3OAQAgh+CvRDIztVJW+MIwpu8AIQ1HTOIihg/7Zgb
67. 51QOs9AbU3AZ7Lf9Y0p5uSiKjGpk1KxwEB5Z5sXJOy6SU8x8U9M3Pa5n0MQjhEyl
68. ppQ37ikaQnPpS4z41im13P8RL3CfF3F39wfQqUAXl3mdtHfYATJyOeMFjnMuGtOa
69. o97kqbw=
70. =XkkH
71. -----END PGP PUBLIC KEY BLOCK-----
72.  
73. Messages encrypted with this key using PGP can only be decrypted by our
74. programmers and technicians at Control Enterprises.  Thus, even if
75. someone were to intercept your registration message to us, all they
76. would be able to get out of it would be gibberish looking similar to the
77. key above.
78.  
79. AVAILABILITY OF PGP
80. -------------------
81.  
82. PGP is available freely from several sources; however, there are some
83. legal issues surrounding it that must be discussed.
84.  
85. PGP is encryption software that may be classified or regulated by your
86. local government.  Some governments (notably the United States and
87. Canada) do not allow this program to be exported, and others (notably
88. France) have made it illegal to use it for encryption. Before using PGP,
89. you may want to make sure that you are doing nothing illegal either in
90. obtaining it or using it.
91.  
92. In particular, this issue causes a problem with usage outside the United
93. States or Canada.  Since PGP's "home base" is inside the USA, exporting
94. certain versions of PGP is illegal.  Be sure to read below the relevant
95. sections for where you live.
96.  
97. There are two versions of the freeware PGP available; the reason for
98. this has to do with licensing issues for one of the patents used by PGP.
99. The first, MIT PGP, was developed by the Massachusetts Institute of
100. Technology for use in the USA or Canada only.  The second, PGP 2.6ui,
101. was derived from an older version of PGP and is freely available around 
102. the world.  In addition, there is a third version, ViaCrypt PGP,
103. available for sale within the USA or Canada; it is commercial software,
104. and may be used for commercial purposes.  All three of these programs
105. work with each other; the only practical differences between the three
106. programs involve the legalities and licenses with each one.
107.  
108. For Users in the USA or Canada
109. ------------------------------
110.  
111. PGP uses patented technology to do its work.  A license is therefore
112. required to use it for commercial purposes; the freeware versions of PGP
113. do not contain a commercial license.  A commercial version of the
114. program is available from a company in the USA called ViaCrypt; this
115. program contains a license to use it for any purpose, commercial or
116. noncommercial.  You may contact ViaCrypt as follows:
117.  
118.   Phone:    602/944-0773
119.   Fax:      602/943-2601
120.   Address:  ViaCrypt
121.             2104 West Peoria Avenue
122.             Phoenix, Arizona 85029
123.   CIS:      70304,41
124.   Internet: viacrypt@acm.org
125.  
126. Note that their version of PGP is completely compatible with the free
127. versions of PGP available.  Control Enterprises uses ViaCrypt PGP, since
128. we use it for commercial purposes.  Note also that since ViaCrypt is a
129. US company, ViaCrypt PGP is export-controlled and prohibited for export
130. to anywhere except Canada without a special license from the Department
131. of State, USA.
132.  
133. If you live in the United States and do not wish to buy ViaCrypt PGP,
134. you should use MIT PGP.  The latest version (as of this writing) is 2.6,
135. and it is available over the Internet from net-dist.mit.edu.  To ensure
136. that the program is not exported illegally over the Internet, there is a
137. procedure that must be followed:
138.  
139. 1.  Read the files MITLICEN.TXT and RSALICEN.TXT, the usage licenses
140. granted by MIT and RSA Data Security, Inc. (holder of a patent on a part
141. of PGP) for using MIT PGP.  These files should have been included with
142. this Control Enterprises software package; if they were omitted, you may
143. get them via FTP from net-dist.mit.edu in the directory /pub/PGP.
144.  
145. 2.  Telnet to net-dist.mit.edu and log in as "getpgp".
146.  
147. 3.  Read the information given and answer the questions asked.
148.  
149. 4.  When the program displays the directory where PGP itself is stored,
150. write it down.
151.  
152. 5.  FTP to net-dist.mit.edu and immediately change to that directory.
153. Do it in one command, not in several; i.e. "cd /pub/PGP/dist/U.S.-only-
154. xxxx".
155.  
156. 6.  Download the files as you would normally.
157.  
158. If you experience any problems with this system, you can get a more
159. comprehensive description of the process via anonymous FTP from
160. net-dist.mit.edu under /pub/PGP/README.
161.  
162. International Users (Outside the USA and Canada)
163. ------------------------------------------------
164.  
165. If you live outside the United States or Canada, you should use PGP
166. 2.6ui.  The "ui" stands for "unofficial international" version.  Please 
167. note that although it is considered "unofficial", it is no less secure
168. and no less robust than either the ViaCrypt or the MIT versions!  It is 
169. available freely from several places on the Internet via FTP:
170.  
171.   UK:    ftp.demon.co.uk: /pub/pgp/pgp26uix.zip
172.   Italy: ftp.dsi.unimi.it: /pub/security/crypt/PGP/pgp26uix.zip
173.  
174. This is not an exhaustive list; if you know how to use "archie", you
175. should be able to find other sites.  The program is also available on
176. many BBSs around the world.
177.  
178. USING PGP
179. ---------
180.  
181. Once you have acquired a copy of PGP, installed it, and followed the
182. directions for setting it up and generating a key, you can now use it
183. with your Control Enterprises software.
184.  
185. Adding Our Public Key
186. ---------------------
187.  
188. The first thing you should do is add the Control Enterprises key to your
189. public key ring and verify that it is, indeed, our key and not a fake.
190.  
191. Besides being provided with the software, our public key is available on
192. the keyservers (see the PGP documentation for a description of the
193. keyservers and how they work).  You can also get a copy via electronic
194. mail by sending a blank mail message to pgp-key@cei.com; you will
195. receive an automatic reply from us containing our public key which you
196. can save to a file.
197.  
198. Once our key has been saved to a file, you can add it by running PGP on
199. it:
200.  
201.   PGP -ka CEIKEY.PGP
202.  
203. The file name for the key may be different; if so, substitute the proper
204. filename for "CEIKEY.PGP".  This file may be used if you do not have any
205. other copies of the key; we strongly recommend getting our key from
206. several other sources as well.
207.  
208. Once you've added the key, you should verify that it is the correct key.
209. If the key has been signed by someone you trust as an introducer, that
210. should be enough.  Otherwise, you will need to verify the "fingerprint"
211. on the key.  A key's fingerprint is a special number calculated from the
212. key; it is specially designed to be impossible to copy.  You may view
213. the fingerprint with the command:
214.  
215.   PGP -kvc "Control Enterprises"
216.  
217. You may, if you wish, call Control Enterprises and read this fingerprint
218. over the phone to us; we can then confirm that the fingerprint is
219. correct.  Alternatively, here is the information PGP should return when
220. you ask for the fingerprint:
221.  
222. -----
223. Type bits/keyID    Date       User ID
224. pub  1024/C3CC83A9 1994/07/08 Control Enterprises, Inc. <support@cei.com>
225.           Key fingerprint =  00 06 40 1E C8 D7 A8 E1  8D 04 71 BC E9 8A BD D4
226. 1 matching key found.
227. -----
228.  
229. If this does not match EXACTLY what PGP tells you, then the key
230. distributed with the software is invalid.  DO NOT USE THIS KEY IF THIS
231. HAPPENS!  Obtain a new key (from a different source) and verify it.  If
232. the key distributed with the software is wrong, you will want to be
233. doubly sure to check the program; it is likely that the key was tampered
234. with to hide tampering that may have been done to the program itself.
235.  
236. Checking Our Software for Tampering
237. -----------------------------------
238.  
239. Secondly, you should verify that the program you received is in fact
240. the correct software, and that it has not been tampered with and does
241. not contain a virus.  
242.  
243. A program may be provided with your software package that runs PGP
244. automatically for you to check the program.  Check the program's
245. documentation for details.
246.  
247. If not, you can still run the command manually.  To do this, you should
248. look for a file with the same name as the program file with an extension
249. of .SIG.  Run PGP with this file and the program file names as
250. arguments.  For example, if the program name is PSPRINT.EXE, you should
251. look for a file called PSPRINT.SIG; after you have found it, you may run
252. the command:
253.  
254.   PGP PSPRINT.SIG PSPRINT.EXE
255.  
256. At that point, you should see the following:
257.  
258. -----
259. File has signature.  Public key is required to check signature.
260. File 'psprint.sig' has signature, but with no text.
261. Text is assumed to be in file 'psprint.exe'.
262. .
263. Good signature from user "Control Enterprises, Inc. <support@cei.com>".
264. Signature made 1994/07/08 19:44 GMT
265.  
266. WARNING:  Because this public key is not certified with a trusted
267. signature, it is not known with high confidence that this public key
268. actually belongs to: "Control Enterprises, Inc. <support@cei.com>".
269.  
270. Signature and text are separate.  No output file produced.
271. -----
272.  
273. The WARNING: message indicates that you have not told PGP that the key
274. has been verified; if you have verified the key and told PGP that you
275. have, this message may not appear.  The date and time on the signature
276. itself may also be different than what is shown here, and (obviously) if
277. you are testing a different software program, the filenames may be
278. different.
279.  
280. If you get any other message from PGP, do not use it.  In particular, 
281. you may get the following message:
282.  
283. -----
284. WARNING: Bad signature, doesn't match file contents!
285.  
286. Bad signature from user "Control Enterprises, Inc. <support@cei.com>".
287. Signature made 1994/07/08 19:44 GMT
288. -----
289.  
290. If you see this message, STOP USING THE PROGRAM IMMEDIATELY and contact
291. Control Enterprises!  We can get you a clean copy of the program and
292. also make sure that the source for the copy you received (which has
293. almost certainly been tampered with in some way) gets a clean copy for
294. download also.
295.  
296. Sending a Message to Control Enterprises
297. ----------------------------------------
298.  
299. Finally, if you wish to register the program via electronic mail or
300. otherwise contact us securely, you may do so with the following steps:
301.  
302. 1.  Write your message.  This can be done with any regular text editor
303. such as DOS EDIT, Windows Notepad, or some other program.  Be sure that
304. the message is stored as ASCII/ANSI text.  If you are registering, you
305. can use the registration form provided with your software and fill in
306. the blanks with a text editor.
307.  
308. 2.  Encrypt the message.  This is done with PGP:
309.  
310.     PGP -eta <filename> "Control Enterprises"
311.  
312. This will encrypt the file <filename> into a file with the same name as
313. the original, but with an extension of .ASC.
314.  
315. 3.  Mail the encrypted file to us at "support@cei.com".  The file format
316. is of a type that it will not get corrupted in transit through almost
317. all electronic mail networks, including the Internet, UUCP, FidoNet,
318. BitNet/EARN/NetNorth, CompuServe, and many others.
319.  
320. If you wish, you may include your own public key in the message if you
321. want us to respond to you securely.  Be sure to export the key to an
322. "ASCII-armored" file so it won't be corrupted in transit with:
323.  
324. PGP -kxa <name>
325.  
326. Alternatively, if your key is available by other means, you may indicate
327. in your message how we can get your key.
328.  
329.