home *** CD-ROM | disk | FTP | other *** search
/ linuxmafia.com 2016 / linuxmafia.com.tar / linuxmafia.com / pub / linux / security / pgp-redhat-tips.txt < prev    next >
PGP Signed Message  |  1998-03-29  |  9KB  |  214 lines
  1. -----BEGIN PGP SIGNED MESSAGE-----
  2.  
  3.     This file contains a few tips on how to get started with PGP on
  4. Red Hat Linux.  It explains how to install but not how to use the RPM for
  5. the International version of PGP.  It in no way replaces the excellent
  6. documentation already available.  I am not, after all, an expert in any
  7. way on PGP or encryption.
  8.  
  9.  
  10.  
  11. * Where to Get It
  12.  
  13.     I prepared this document before uploading the RPM, so I don't know
  14. if it will be accepted and (if it will) where it will go on the archive
  15. site(s).  I intend to upload it to the FTP site ftp.pgp.net and also to
  16. put it on ftp.vggas.com, which is a local machine for me.  It may well not
  17. be possible to put the RPM on the latter machine; my employer may be
  18. somewhat nervous (I work for a UK company owned by a US one).  As soon as
  19. I know where you can FTP the RPM from, I'll post announcements to Usenet
  20. and the Red Hat mailing lists.  You will need version 2 of the RPM utility
  21. in order to install this RPM; users of versions of Red Hat earlier than
  22. 3.0.3 will need to upgrade (the new version is much improved anyway).  See
  23. http://www.redhat.com/ for instructions.
  24.  
  25.  
  26.  
  27. * Background and Waffle
  28.  
  29.     Because of the difficult legal situation in the USA surrounding
  30. encryption, Red Hat cannot provide archive facilities for programs
  31. containing encryption facilities.  This includes PGP, and also other
  32. packages for example SSH.  This means that ftp.redhat.com can not carry
  33. PGP.
  34.  
  35.     PGP is available, however, from MIT.  The simplest way to obtain
  36. it wherever you are in the world is by FTP to ftp.pgp.net.  You will be
  37. directed to versions of the software appropriate for your location.  For
  38. example, US users will be directed towards the US version, which uses the
  39. RSAREF library.  Non-US users will be directed toward the international
  40. version, which does not.  I do not know what happens for those who live in
  41. countries such as France where the right to privacy is completely
  42. suppressed.  I strongly urge you not to break either US export regulations
  43. or your own national laws.  It is possible to use PGP legally in many
  44. countries -- if you obtain it in the right way.  In Philip Zimmerman's own
  45. words:-
  46.  
  47.     "Some foreign governments impose serious penalties
  48.     on anyone inside their country for merely using
  49.     encrypted communications.  In some countries they
  50.     might even shoot you for that.  But if you live in
  51.     that kind of country, perhaps you need PGP even
  52.     more."
  53.  
  54.     Red Hat Linux users benefit greatly from the Red Hat Package
  55. Manager, which installs and keeps track of packages and their contents.
  56. Although making an RPM package is fairly easy, none has existed until now,
  57. mainly because of the legal difficulties.
  58.  
  59.     I recently downloaded the international (non-US) version 2.6.3i
  60. and some patch files.  It turns out that the patch files posted on Usenet
  61. News are inappropriate for this version; support for ELF on Linux is
  62. already present.  The whole thing compiles beautifully without patching
  63. (this is under Red Hat 2.1).
  64.  
  65.     I then prepared the RPM of pgp (pgp-2.6.3i-1).  The RPM itself
  66. bears my PGP signature.  Here we have a chicken-and-egg situation; you
  67. will need PGP installed to verify the RPM.  See the "Authenticity" section
  68. for more information.
  69.  
  70.  
  71. The RPM is signed with my 1024-bit PGP public key, which is this:-
  72.  
  73. Type Bits/KeyID    Date       User ID
  74. pub  1024/64A95EE5 1996/04/04 James Youngman <JYoungman@vggas.com>
  75.  
  76. - -----BEGIN PGP PUBLIC KEY BLOCK-----
  77. Version: 2.6.3i
  78.  
  79. mQCNAzFkVGEAAAEEAMsmvW+yEzxc4h7LuEQmUYQcZSvU978BgdkWVYfEMjp44W7v
  80. UMZsIoy7PfLu9jHLn4n/syv44AmhwnbZ67xuHEZuEo4v/2woM4Gq/1R/kCAfIdH1
  81. 7+ESy2lqx+UQavckgOOGSRkUojUHgL9MUmsJJP0qahhWaROUXaFbcllkqV7lAAUX
  82. tCRKYW1lcyBZb3VuZ21hbiA8SllvdW5nbWFuQHZnZ2FzLmNvbT6JAJUDBRAxZFRh
  83. oVtyWWSpXuUBAfxCA/410MRngpBjFzzNaVfyK+Nr0ir6Y8h10FGoxUB9eyO6rYOj
  84. NY9fwVarQovVyk6D/EbUo18Sa7kVF/IdpTO3X7xJIfDA3SglmFSfYHCx4eOw6WiT
  85. 6yxC6mKN+Ps1BHGb2tPjq03yz5blc8s3czxJOm11t3Rgpq8o9Wgh0d68jxashQ==
  86. =K9Qw
  87. - -----END PGP PUBLIC KEY BLOCK-----
  88.  
  89.  
  90. * Configuration
  91.  
  92.     The out-of-the-box configuration works fine, but I soon added
  93. these lines to my config.txt:-
  94.  
  95. CharSet = latin1
  96. Armor = on            # Use -a flag for ASCII armor whenever applicable
  97. TextMode = on         # Attempt to use -t option where applicable
  98. BakRing = "/mnt/floppy/secring.pgp"
  99.  
  100.     The intent of these is to make signed files readable ASCII, that
  101. is, "pgp -s /etc/motd" will produce a file that is still readable with a
  102. PGP signature appended.  Since I use an xterm or Linux console for using
  103. PGP, I can use the latin1 CharSet.  Lastly, as with most Red Hat systems,
  104. my floppy disk is mounted on /mnt/floppy.  Your usage may differ from
  105. mine, and so these options may be inappropriate for you.
  106.     
  107.     These modifications were not presented as patches, because
  108. patching PGP is a sensitive issue and I wanted conspicuous authenticity,
  109. as far as that was possible.
  110.     
  111.  
  112. * Authenticity 
  113.  
  114.     This RPM was created using (unpatched) the pristine source code
  115. for version 2.6.3i, as digitally signed by Stale Schumacher.  You can
  116. verify its intactness yourself by installing the source RPM.
  117.  
  118. You will also need a copy of my public key in order to verify the RPM.  My
  119. public key appears above.  You can go through the verification process by
  120. using "rpm -bc" to build but not install PGP, and then use the compiled
  121. binary (which is /usr/src/redhat/BUILD/pgp-2.6.3i/src/pgp) to import my
  122. public key; you can then verify the RPM (using "rpm -K -vv" on the source
  123. *AND* binary RPMs) and if the signature is valid you can execute the
  124. install stage or install the binary RPM.  Alternatively you could install
  125. the binary RPM and then verify it afterwards, but the big question then is
  126. what to do if the package then fails to verify...  Seriously, I suggest
  127. that you examine the output of the "rpm -K -vv" command to find out if the
  128. verification failed because it had never seen my public key before (in
  129. which case you feed it the one above) or the package had indeed been
  130. signed with a different signature.  In either case, it is also a good idea
  131. to check the signature on the pristine source archive in
  132. /usr/src/redhat/BUILD/pgp-2.6.3i/ against the signature certificate in the
  133. same directory.  Read the PGP documentation about how to do this.
  134.  
  135.     To a large extent this is a very strange RPM; the idea of RPM is
  136. that you can install and uninstall them painlessly and with some
  137. expectation that they will work well on a Red Hat system.  To further this
  138. end, Red Hat have provided the functionality for you to assure yourself of
  139. the authenticity of the package you're considering installing.  Unhappily,
  140. the software in *this* RPM is what you need to verify it with.  That's why
  141. the above paragraph outlines a weird verification approach -- it verifies
  142. the RPM using itself without actually performing an installation.  Future
  143. RPMs -- including future versions of this RPM -- can simply be verified by
  144. using an already installed version of this RPM.
  145.     
  146.     Since the authenticity of versions of PGP is a delicate matter, I
  147. suggest that you install PGP by installing the source RPM whenever
  148. possible.  In the build directory is the file pgp263ii.tar, and the file
  149. pgp263ii.asc, which is the source code archive and a detached signature
  150. certificate for it, which matches the key given for "Stale Schumacher
  151. <stale@hypnotech.com>".  His public key has not been introduced to me, so
  152. I am not *absolutely* certain that the tar file is "authentic" (whatever
  153. that means).  I'm merely pretty sure.  However, *you* can take steps to
  154. verify it for yourself.  Read the manual to find out how to do this.
  155.  
  156.     It's no good getting the RPM and the public key to verify it
  157. against at the same time in the same way unless you trust absolutely
  158. the integrity, source, and distribution method.  It's better to use
  159. separate channels.  This document will be posted -- signed -- to
  160. Usenet and several mailing lists and you could use the key it provides
  161. to verify the separately-obtained RPM.
  162.  
  163.  
  164. * What To Do Now
  165.  
  166.     Read the manual.
  167.  
  168.     Read the documentation in the /usr/doc/pgp* directory.
  169.  
  170.     Verify the RPM and the source archive inside it in the 
  171.     build directory, if only for practice.
  172.  
  173.     Read the PGP newsgroups, or the Cypherpunks mailing list.
  174.  
  175.     Look out for a second, signed, RPM.    
  176.  
  177.     Read the manual.
  178.  
  179.     Look out for an RPM of extra PGP documentation, probably "pgpinfo".
  180.  
  181.     Read the manual.
  182.  
  183.  
  184.     
  185. * About Me
  186.  
  187.     All I've done is produce the RPM; all kudos for the software goes,
  188. of course, to Philip Zimmerman.  I send and receive personal email on an
  189. account provided by my employer; however, my employer in no way endorses
  190. any action or statement of mine.  Further, if the RPM does turn up on
  191. ftp.vggas.com (which is soon to come into being) then that also implies no
  192. endorsement of PGP or its use by my employer.
  193.  
  194.  
  195.  
  196. * Afterword
  197.  
  198.     This document is signed by me (James Youngman
  199. <JYoungman@vggas.com>), but my public key has almost certainly not been
  200. introduced to you.  Therefore, the signature certificate is not currently
  201. much use to you.  However, you can take steps to obtain my public key
  202. later, and *then* verify it.
  203.  
  204. -----BEGIN PGP SIGNATURE-----
  205. Version: 2.6.3i
  206. Charset: latin1
  207.  
  208. iQCVAwUBMWZlmqFbcllkqV7lAQG/EgP8DE5H66ip5MoozrhmHxCXrkjNv7BSzZ/g
  209. tHQK0jkRzvj7piJ8/jzeIaxxPk+9fOCkztW0yWtG7oo5t3rXXDPwqd/1eyzPoENI
  210. JO7WBxaz2MpUNldP5HG//WZLX8ex1Wpw3c/6g8rsUNWXJf7pMOO4Os6FRtm0PHY+
  211. 6dS/wYiRd24=
  212. =NleI
  213. -----END PGP SIGNATURE-----
  214.