home *** CD-ROM | disk | FTP | other *** search
/ Hacker's Secrets 4 / Hacker's Secrets 4.iso / crypto / pgp26mit.txt < prev    next >
Text File  |  1994-06-02  |  15KB  |  368 lines
  1.  
  2.             Questions and Answers
  3.             about MIT's Release of PGP 2.6
  4.                    
  5.                   by
  6.     Hal Abelson, Jeff Schiller, Brian LaMacchia, and Derek Atkins
  7.  
  8.                  June 2, 1994
  9.  
  10.  
  11. Q: Is PGP 2.6 an official release from MIT?
  12.  
  13. A: Yes.  PGP 2.6 is distributed via the Internet to non-commercial
  14. U.S. users by MIT Information Systems, via anonymous ftp from
  15. net-dist.mit.edu in the directory pub/PGP.  Planning for the PGP 2.6
  16. release was conducted with the knowledge and approval of the MIT
  17. administration.  The MIT News Office officially announced the
  18. availability of PGP 2.6 in a press release dated May 26, 1994.
  19.  
  20. ***
  21.  
  22. Q: Was PGP 2.6 released in cooperation with RSA Data Security, Inc.?
  23.  
  24. A: Yes.  PGP 2.6 uses the RSAREF(TM) Free Cryptographic Toolkit
  25. (Version 1) licensed by RSADSI.  RSADSI has granted MIT permission to
  26. access the non-published routines in RSAREF required to support PGP.
  27.  
  28. ***
  29.  
  30. Q: Was Phil Zimmermann involved in the PGP 2.6 release?
  31.  
  32. A: Yes.  Zimmermann has been fully involved in the release process.
  33. In addition, he approved all code changes from earlier versions of
  34. PGP and updated the PGP documentation for version 2.6.
  35.  
  36. ***
  37.  
  38. Q:  Can PGP 2.6 interoperate with previous versions of PGP?
  39.  
  40. A: Not completely.  There are two different incompatibilities between
  41. PGP 2.6 and earlier versions of PGP.  The first incompatibility is a
  42. deliberate format change that will trigger on September 1, 1994.  The
  43. intent of this change is to discourage PGP users in the U.S. from
  44. using PGP 2.3a, which potentially infringes patents.  The second
  45. incompatibility is that PGP 2.6 requires signatures to be in PKCS
  46. format, which has been the default since PGP 2.3, although PGP 2.3
  47. was able to process non-PKCS signatures.
  48.  
  49. ***
  50.  
  51. Q: What's the effect of the September 1 format change?  Will I still
  52. be able to use my old keys?  Will I still be able to decrypt old
  53. messages?
  54.  
  55. A: Both now and after September 1, PGP 2.6 will decrypt messages and
  56. uses keys generated by PGP 2.3a.  To quote from the PGP 2.6 manual:
  57.  
  58.         PGP version 2.6 can read anything produced by versions 2.3,
  59.         2.3a, 2.4, or 2.5.  However, because of a negotiated
  60.         agreement between MIT and RSA Data Security, PGP 2.6 will
  61.         change its behavior slightly on 1 September 1994, triggered
  62.         by a built-in software timer.  On that date, version 2.6 will
  63.         start producing a new and slightly different data format for
  64.         messages, signatures and keys. PGP 2.6 will still read and
  65.         process messages, signatures, and keys produced under the old
  66.         format, but it will generate the new format.
  67.  
  68. ***
  69.  
  70. Q: What about the PKCS requirement?
  71.  
  72. A: PKCS Stands for Public Key Cryptography Standards and is a
  73. voluntary standard created by RSA Data Security and several industry
  74. leading organizations, including MIT. PKCS specifies standard
  75. encodings for encrypted and signed objects as well as some key
  76. formats. The standard documents themselves may be obtained via
  77. anonymous FTP from rsa.com.
  78.  
  79. Starting with PGP version 2.3, PGP signatures have conformed to the
  80. PKCS signature standard.  Although PGP version 2.3 generated PKCS
  81. format signatures, it was capable of understanding the non-PKCS format
  82. generated by PGP 2.2 and earlier versions.  PGP 2.6 removes this
  83. compatibility code. This makes some of the PGP 2.6 code cleaner and
  84. ensures compatibility with future versions of RSAREF and other future
  85. standard software.  Making the change now also encourages people to
  86. obtain fresh signatures on their keys, which is a prudent thing to do
  87. every so often.
  88.  
  89. Note: The PKCS requirement has nothing to do with the September 1 PGP
  90. format change. It is an independent decision of the PGP development
  91. team.
  92.  
  93. ***
  94.  
  95. Q: Is there a technical reason for the September 1 format change?
  96.  
  97. A: No. The format change is being made for legal reasons, not
  98. technical reasons.  MIT wanted to bring out a version of PGP that
  99. would have the support of RSADSI.  RSADSI would not lend their support
  100. to a product that fully interoperates with PGP 2.3, which, when used
  101. in the United States, potentially infringes patents licensed to them
  102. by Stanford and MIT.  The intent of this format change is to
  103. discourage people from continuing to use the earlier software, which
  104. will mitigate the patent-caused problems that have hampered use of PGP
  105. within the U.S.  The time delay between now and September is to give
  106. people adequate time to upgrade to the new software.
  107.  
  108. ***
  109.  
  110. Q:  Does using RSAREF make PGP 2.6 run more slowly than previous
  111. versions of PGP?
  112.  
  113. A: No.  The speed-critical portions of PGP 2.6 use the same
  114. multi-precision integer libraries as in PGP 2.3a.  We have noticed no
  115. appreciable speed difference between PGP 2.3a and PGP 2.6 on any of
  116. the platforms we have tried.  If you observe a performance problem
  117. with PGP 2.6, please send details to pgp-bugs@mit.edu.  Be sure to
  118. tell us what platform and compiler you are using.
  119.  
  120. ***
  121.  
  122. Q: Is there a back door in PGP 2.6?
  123.  
  124. A: No. You need not take our word for it.  PGP is distributed in
  125. source code, so that you can verify its integrity yourself, or get
  126. someone you trust to verify it for you.  The 2.6 MSDOS executable file
  127. that we distribute has been digitally signed, so you will know that it
  128. has not been tampered with.  In general, you should be wary of using
  129. encryption programs that you receive as object code, whose origin you
  130. cannot authenticate.
  131.  
  132. ***
  133.  
  134. Q: Why is PGP 2.6 limited to 1024-bit keys?  Does this compromise the
  135. security of PGP 2.6?
  136.  
  137. A: To quote from the PGP 2.6 manual:
  138.  
  139.         Beginning with version 2.4 (which was ViaCrypt's first
  140.         version) through at least 2.6, PGP does not allow you to
  141.         generate RSA keys bigger than 1024 bits.  The upper limit was
  142.         always intended to be 1024 bits.  But because of a bug in
  143.         earlier versions of PGP, it was possible to generate keys
  144.         larger than 1024 bits.  These larger keys caused
  145.         interoperability problems between different older versions of
  146.         PGP that used different arithmetic algorithms with different
  147.         native word sizes.  On some platforms, PGP choked on the
  148.         larger keys.  In addition to these older key size problems,
  149.         the 1024-bit limit is now enforced by RSAREF.  A 1024-bit key
  150.         is very likely to be well out of reach of attacks by major
  151.         governments.
  152.  
  153. Cracking a 1024-bit key is far beyond any publicly known computational
  154. capability.  The table below, originally posted to Usenet in October,
  155. 1993, gives some numbers for the expected amount of work required to
  156. crack keys of various sizes. The prediction for RSA129, which was
  157. finally factored in April, 1994, was very close to the actual time
  158. required.  (The time was about 5000 MIPS-years, depending on your
  159. definition of a MIPS.)
  160.  
  161.     RSA129 (429 bits):      4,600 MIPS-YEARS
  162.     a 512 bit key         420,000 MIPS-YEARS (safe for a little while!) 
  163.     a 700 bit key   4,200,000,000 MIPS-YEARS (seems pretty safe to me!)
  164.     a 1024 bit key    2.8 x 10^15 MIPS-YEARS (Wow!)
  165.  
  166. The above table is based on the Multiple-Polynomial Quadratic Sieve
  167. (MPQS). Other algorithms under development may have slightly better
  168. performance.
  169.  
  170. The bottom line is that cracking a 1024-bit key using anything like
  171. presently known factoring methods will probably not happen within the
  172. lifetime of anyone reading this FAQ at the time of this writing
  173. (1994).  A breakthrough in computer technology or algorithm efficiency
  174. that threatens a 1024 bit key is likely to be so powerful that it will
  175. threaten much larger keys as well, and then all bets are off!
  176.  
  177. Any successful attack on PGP with large key sizes is more likely to
  178. come from exploiting other aspects of the system (such as the prime
  179. number generation algorithm) than by brute-force factoring of keys.
  180. Given this, it is not at all clear that key sizes larger than 1024
  181. bits provide increased security in any practical sense.
  182.  
  183. Nevertheless, RSADSI has granted MIT permission to modify RSAREF to
  184. increase the key size, and larger keys will be supported in a future
  185. PGP release.  These larger keys, however, will not be manipulated by
  186. PGP 2.6 and earlier releases, so users will need to upgrade in order
  187. to use them.
  188.  
  189. ***
  190.  
  191. Q: There is no patent problem with using PGP 2.3a outside the U.S.
  192. Isn't it offensive to impose a change on PGP users around the world
  193. to accommodate a legal problem in the U.S.?
  194.  
  195. A: To quote from the PGP 2.6 manual:
  196.  
  197.         Outside the United States, the RSA patent is not in force, so
  198.         PGP users there are free to use implementations of PGP that
  199.         do not rely on RSAREF and its restrictions.  Hopefully,
  200.         implementors of PGP versions outside the US will also switch
  201.         to the new format, whose detailed description is available
  202.         from MIT.  If everyone upgrades before 1 September 1994, no
  203.         one will experience any discontinuity in interoperability.
  204.  
  205. We apologize to PGP users outside the U.S.  We are asking them to
  206. undergo the inconvenience of making a change to the non-U.S. version
  207. of PGP for no technical reason.  We hope that the effect of this
  208. change, which will remove any legal controversy from the use of PGP in
  209. the U.S., will benefit PGP users outside the U.S. as well as within
  210. the U.S.
  211.  
  212. ***
  213.  
  214. Q: How can PGP users outside the U.S. upgrade, if PGP 2.6 might be
  215. subject to U.S. export controls?
  216.  
  217. A: The format change that will become effective on September 1, 1994
  218. can be accomplished by a simple modification to the PGP 2.3a code,
  219. which was developed outside the U.S.  MIT has published the new format
  220. specification.  Consequently, a non-U.S. version of PGP that
  221. interoperates with PGP 2.6 can be produced without the need
  222. for anyone to attempt to export PGP software from the U.S.
  223.  
  224. ***
  225.  
  226. Q: With this incompatible change, what provisions are being made for
  227. users of ViaCrypt PGP (PGP 2.4) ?
  228.  
  229. A: ViaCrypt has announced a new release of their product, called PGP
  230. 2.7, that supports both the old and new formats.  They will also
  231. provide upgrade kits for users for version 2.4.  For further
  232. information, contact
  233.  
  234.     Paul E. Uhlhorn
  235.     Director of Marketing, ViaCrypt Products
  236.     Mail:          2104 W. Peoria Ave
  237.            Phoenix AZ 85029
  238.     Phone:         (602) 944-0773
  239.     Fax:           (602) 943-2601
  240.     Internet:      viacrypt@acm.org
  241.     Compuserve:    70304.41
  242.  
  243. ***
  244.  
  245. Q: Does PGP 2.6 use RSAREF version 1, or RSAREF 2.0?
  246.  
  247. A: PGP 2.6 uses RSAREF version 1.  PGP 2.5 used RSAREF version 2.0.
  248. During the discussions that led to the creation of PGP 2.6, RSA Data
  249. Security requested that MIT switch to RSAREF 1.  Furthermore, RSADSI
  250. gave MIT formal written permission to make calls to internal program
  251. interfaces in RSAREF 1, consistent with the RSAREF 1 license.  From
  252. a technical standpoint, it doesn't matter which version of RSAREF is
  253. used by PGP.  The major enhancements to RSAREF 2.0 have to do with
  254. functionality not required by PGP.  Also, RSADSI's licensing
  255. restrictions (which require non-commercial use only) are not
  256. significantly different from RSAREF 1 to RSAREF 2.  It is possible that
  257. later releases of PGP from MIT may use a different release of RSAREF,
  258. but we see no reason to do so at this time.
  259.  
  260. ***
  261.  
  262. Q: What is PGP 2.5 and what is its status?
  263.  
  264. A: MIT initially released PGP 2.5 for beta test on May 9, 1994.
  265. During the beta test period, we continued discussions with RSA Data
  266. Security.  These discussions led us to decide to install the September
  267. 1 format change, as well to use RSAREF 1 (see question above).  PGP
  268. 2.5 contained several important bugs that have been fixed in PGP 2.6.
  269. PGP 2.5 does *not* contain the software necessary to understand
  270. messages generated by PGP 2.6 after September 1. We therefore urge all
  271. U.S.  users to upgrade to PGP 2.6 (or a subsequent version).
  272.  
  273. ***
  274.  
  275. Q: What is PGP 3.0?
  276.  
  277. A: PGP 3.0 is an anticipated upgrade to PGP.  Unlike PGP 2.6, PGP 3.0
  278. will be a major rewrite and reconstruction of the PGP internal
  279. software.  PGP 3.0 might be ready before the end of 1994, but there
  280. are no specific release plans yet.
  281.  
  282. ***
  283.  
  284. Q: Will there be further incompatible changes to PGP?
  285.  
  286. A: Almost certainly.  As new features are added, the format of
  287. messages and other data structures will no doubt be changed.  For
  288. example, we have considered adding a new packet type for signatures
  289. that places the signature at the end of a signed packet rather then
  290. the beginning.  This will permit restructuring the PGP software so
  291. that it can operate in one pass, with no need to create the numerous
  292. temporary files that PGP now creates. This will facilitate
  293. applications that are not now currently possible.  For example, a
  294. one-pass PGP could be used to encrypt data to a tape drive during
  295. backup.  This cannot be done with PGP today because it would need to
  296. create temporary files that consume almost twice as much disk space as
  297. the data being backed up!
  298.  
  299. ***
  300.  
  301. Q: Will keys generated prior to PGP 2.6 continue to be usable?
  302.  
  303. A: Yes. PGP 2.6 will always be able to use keys created by prior
  304. versions. New keys, generated *after* September 1 will *not* be
  305. usable by prior versions of PGP. However we hope that all PGP users
  306. will have upgraded to PGP 2.6 or better (or its non-U.S. equivalent)
  307. by September.
  308.  
  309. ***
  310.  
  311. Q: Why did MIT release PGP 2.6, when PGP 2.3 is already available?
  312.  
  313. A: Using PGP 2.3 in the U.S. potentially infringes patents licensed
  314. exclusively to Public Key Partners by Stanford University and MIT.
  315. This sticky patent situation has deterred the spread of PGP, because
  316. many people and institutions did not wish to risk violating
  317. intellectual property restrictions.
  318.  
  319. MIT has addressed this problem in PGP 2.6 by using RSAREF, which is
  320. licensed by RSA Data Security, Inc. RSADSI acknowledges that PGP 2.6
  321. is a legitimate RSAREF application.  The RSAREF license includes
  322. rights to all of the relevant U.S. patents on public key cryptography
  323. for non-commercial use.
  324.  
  325. ***
  326.  
  327. Q: Will there be version of PGP 2.6 for the Mac?
  328.  
  329. A: People are working on this, but it's not ready yet.  We hope it
  330. will be available within a couple of weeks.
  331.  
  332. ***
  333.  
  334. Q: Is MIT distributing PGP 2.6 to Canada?
  335.  
  336. A: No, or at least not yet.  There are some legal issues involved,
  337. having to do with possible U.S. export control restrictions, and we're
  338. getting advice on how to deal with these.  We hope to sort this out
  339. next week.
  340.  
  341. ***
  342.  
  343. Q: Who are the people who are working on the PGP 2.6 release?
  344.  
  345. A: People outside MIT working directly on the 2.6 release are Phil
  346. Zimmermann and Colin Plumb.
  347.  
  348. People at MIT coordinating the PGP 2.6 release are Jeff Schiller, MIT
  349. Network Manager; Hal Abelson, Prof. of Computer Science and
  350. Engineering; Brian LaMacchia, graduate student in Computer Science;
  351. and Derek Atkins, graduate stomputer Science;
  352. and Derek Atkins, graduate student in Media Arts and Sciences.
  353. Support from the MIT administration was provided by Jim Bruce, MIT
  354. Vice-President for Information Systems; David Litster, MIT
  355. Vice-President and Dean for Research; Karen Hersey, MIT Intellectual
  356. Property Counsel; and John Preston, MIT Director of Technology
  357. Development.
  358.  
  359. ***
  360.  
  361. Q: Are there more questions?
  362.  
  363. A: Certainly.  If there are other questions about PGP 2.6 that you
  364. think ought to be answered here, please send us to them (at
  365. pgp-bugs@mit.edu) and we will try to include answers in future versions
  366. of this FAQ.
  367.  
  368.