home *** CD-ROM | disk | FTP | other *** search
/ Usenet 1993 July / InfoMagic USENET CD-ROM July 1993.ISO / answers / ripem / faq < prev    next >
Encoding:
Text File  |  1993-05-31  |  19.2 KB  |  423 lines
  1. Newsgroups: alt.security.ripem,sci.crypt,comp.security.misc,alt.security,alt.privacy,comp.mail.misc,alt.answers,comp.answers,news.answers
  2. Path: senator-bedfellow.mit.edu!enterpoop.mit.edu!usc!howland.reston.ans.net!ux1.cso.uiuc.edu!usenet.ucs.indiana.edu!silver.ucs.indiana.edu!mvanheyn
  3. From: Marc VanHeyningen <mvanheyn@cs.indiana.edu>
  4. Subject: RIPEM Frequently Asked Questions
  5. Message-ID: <C7vnF5.24u@usenet.ucs.indiana.edu>
  6. Followup-To: alt.security.ripem
  7. Originator: mvanheyn@silver.ucs.indiana.edu
  8. Sender: news@usenet.ucs.indiana.edu (USENET News System)
  9. Nntp-Posting-Host: silver.ucs.indiana.edu
  10. Organization: Computer Science, Indiana University
  11. Date: Mon, 31 May 1993 06:01:53 GMT
  12. Approved: news-answers-request@MIT.EDU
  13. Expires: Fri, 20 Aug 1993 00:00:00 GMT
  14. Lines: 406
  15. Xref: senator-bedfellow.mit.edu alt.security.ripem:234 sci.crypt:16868 comp.security.misc:4029 alt.security:10628 alt.privacy:7059 comp.mail.misc:12911 alt.answers:352 comp.answers:823 news.answers:8865
  16.  
  17. Archive-name: ripem/faq
  18. Last-update: 30 May 1993 00:00:00 GMT
  19.  
  20. ABOUT THIS POSTING
  21. ------------------
  22. This is a listing of likely questions and information about RIPEM, a
  23. program for public key mail encryption.  It (this FAQ, not RIPEM) was
  24. written and will be maintained by Marc VanHeyningen
  25. <mvanheyn@cs.indiana.edu>.  It will be posted to a variety of
  26. newsgroups on a monthly basis; follow-up discussion specific to RIPEM
  27. is redirected to the group alt.security.ripem.
  28.  
  29. WHAT'S NEW
  30. ----------
  31. I am now running a World Wide Web archive of RIPEM information.  It
  32. does not contain much of anything that isn't available elsewhere, but
  33. it has convenient pointers to the most current version of this FAQ and
  34. some other stuff.  The URL is "http://cs.indiana.edu/ripem/dir.html".
  35.  
  36. The PGP section is now new and improved, with more quotations!
  37.  
  38. I'm now going to post the companion "RIPEM vulnerabilities" article
  39. less often, probably every 3 months.
  40.  
  41. DISCLAIMER
  42. ----------
  43. Nothing in this FAQ should be considered legal advice, or anything
  44. other than one layperson's opinion.  If you want real legal advice,
  45. talk to a real lawyer, preferably one with experience in patent law,
  46. export regulations, or whatever area of law is in question.  Nothing
  47. that I say should be considered the opinions of Indiana University or
  48. the Computer Science Department; likewise, opinions of other persons
  49. quoted in this document should be considered their own, which may or
  50. may not represent the opinions of their affiliated institutions.
  51.  
  52. LIST OF QUESTIONS
  53. -----------------
  54. 1)  What is RIPEM?
  55. 2)  How can I get RIPEM?
  56. 3)  Will RIPEM run on my machine?
  57. 4)  Will RIPEM work with my mailer?
  58. 5)  What is RSA?
  59. 6)  What is DES?
  60. 7)  What is a fingerprint, like MD5?
  61. 8)  What is PEM?
  62. 9)  What's this about distributing and authenticating keys?
  63. 10)  Isn't it a bad idea to use patented algorithms in standards like PEM?
  64. 11)  What about RSADSI/PKP?
  65. 12)  Why do all RIPEM public keys look very similar?
  66. 13)  What is PGP?
  67. 14)  What about RPEM?
  68. 15)  What is MIME?
  69. 16)  What is TIS/PEM?
  70. 17)  I have this simple way to defeat the security of RIPEM...
  71.  
  72. QUESTIONS AND ANSWERS
  73. ---------------------
  74.  
  75. 1)  What is RIPEM?
  76.  
  77.  Riordan's Internet Privacy Enhanced Mail (RIPEM) is a (not yet
  78.  complete, but useful) implementation of Privacy Enhanced Mail (PEM).
  79.  RIPEM allows your electronic mail to have the four security
  80.  facilities provided by PEM: disclosure protection (optional),
  81.  originator authenticity, message integrity measures, and
  82.  non-repudiation of origin (always).  (See: "What is PEM?")
  83.  
  84.  RIPEM was written primarily by Mark Riordan <mrr@scss3.cl.msu.edu>.
  85.  Most of the code is in the public domain, except for the RSA routines,
  86.  which are a library called RSAREF licensed from RSA Data Security Inc.
  87.  
  88.  The current version of RIPEM is 1.0.7 (1.1 RSN); the current version
  89.  of the Macintosh port of RIPEM is 0.8b1.
  90.  
  91. 2)  How can I get RIPEM?
  92.  
  93.  RIPEM uses the library of cryptographic routines RSAREF, which is
  94.  considered munitions and thus is export-restricted from distribution
  95.  to persons who are not citizens or permanent residents in the U.S or
  96.  Canada without an export license.  No such license has been obtained
  97.  (nor would one likely be granted unless the RSA key exchange were
  98.  shortened to 512 bits and the symmetric cipher changed to something
  99.  weaker than DES.  There were some suggestions that this situation may
  100.  change now that Clinton is in office, but that is looking less and
  101.  less likely.)  The author requests in the README file that this law
  102.  not be violated:
  103.  
  104.  #Please do not export the cryptographic code in this distribution
  105.  #outside of the USA or Canada.  This is a personal request from me,
  106.  #the author of RIPEM, and a condition of your use of RIPEM.
  107.  
  108.  Note that RSAREF is not in the public domain, and a license for it is
  109.  included with the distribution.  You should read it before using
  110.  RIPEM.
  111.  
  112.  RIPEM is available via anonymous FTP to citizens and permanent
  113.  residents in the U.S. from rsa.com; cd to rsaref/ and read the README
  114.  file for info.  Note that the non-RSAREF portion of RIPEM is not a
  115.  product of RSA Data Security, Incorporated; they merely are helping
  116.  distribute it.
  117.  
  118.  RIPEM, as well as some other crypt stuff, has its "home site" on
  119.  ripem.msu.edu, which is open to non-anonymous FTP for users in the
  120.  U.S. and Canada who are citizens or permanent residents.  To find out
  121.  how to obtain access, FTP there, cd to pub/crypt/, and read the file
  122.  GETTING_ACCESS.  For convenience, binaries for many architectures are
  123.  available here in addition to the full source tree.
  124.  
  125. 3)  Will RIPEM run on my machine?
  126.  
  127.  Probably.  It has already been ported to MS-DOS and most flavors of
  128.  Unix (SunOS, NeXT, Linux, AIX, ULTRIX, Solaris, etc.)  Ports to
  129.  Macintosh include a standard UNIX-style port and a rather nice
  130.  Mac-like port written by Raymond Lau, author of StuffIt.  More ports
  131.  are welcomed.
  132.  
  133. 4)  Will RIPEM work with my mailer?
  134.  
  135.  Probably.  How easy and clean the effective interface is will depend
  136.  on the sophistication and modularity of the mailer, though.  The users
  137.  guide, included with the distribution, discusses ways to use RIPEM
  138.  with many popular mailers, including Berkeley, mush, Elm, and MH.
  139.  Code is also included in elisp to allow easy use of RIPEM inside GNU
  140.  Emacs.
  141.  
  142.  If you make a new interface for RIPEM or create an improvement on one
  143.  in the distribution which you believe is convenient to use, secure,
  144.  and may be useful to others, feel free to post it to alt.security.ripem.
  145.  
  146. 5)  What is RSA?
  147.  
  148.  RSA is a crypto system which is asymmetric, or public-key.  This means
  149.  that there are two different, related keys: one to encrypt and one to
  150.  decrypt.  Because one cannot (reasonably) be derived from the other,
  151.  you may publish your encryption, or public, key widely and keep your
  152.  decryption, or private, key to yourself.  Anyone can use your public
  153.  key to encrypt a message, but only you hold the private key needed to
  154.  decrypt it.  Note that the "message" sent with RSA is normally just
  155.  the DES key to the real plaintext. (See "What is DES?")
  156.  
  157.  Note that the above only provides for disclosure protection.  For
  158.  originator authenticity, message integrity, and non-repudiation of
  159.  origin services to be implemented, the fingerprint of the message
  160.  (See "What is a fingerprint, like MD5?") is encrypted with the
  161.  sender's private key.  The recipient, or a dispute-resolving
  162.  authority, can use the sender's public key to decrypt it and confirm
  163.  that the message must have come from the sender and was not altered.
  164.  
  165.  RSA was named for the three men (Rivest, Shamir and Adleman) who
  166.  invented it.  To find out lots more about RSA and modern cryptography
  167.  in general, ftp to rsa.com and look in pub/faq/.  Some information
  168.  also may be in sci.crypt.
  169.  
  170. 6)  What is DES?
  171.  
  172.  DES is the Data Encryption Standard, a widely used symmetric, or
  173.  secret-key, crypto system.  Unlike RSA, DES uses the same key to
  174.  encrypt and decrypt messages.  However, DES is much faster than RSA.
  175.  
  176.  RIPEM uses both DES and RSA; it generates a random key and encrypts
  177.  your mail with DES using that key.  It then encrypts that key with the
  178.  recipient's public RSA key and includes the result in the letter,
  179.  allowing the recipient to recover the DES key.
  180.  
  181.  DES is sometimes considered weak because it is somewhat old and uses a
  182.  key length considered too short by modern standards.  However, it
  183.  should be reasonably safe against an opponent smaller than a large
  184.  corporation or government agency.  RIPEM will soon include a stronger
  185.  system using multiple encryptions with DES.
  186.  
  187. 7)  What is a fingerprint, like MD5?
  188.  
  189.  MD5 is a message digest algorithm produced by RSA Data Security Inc.
  190.  It provides a 128-bit fingerprint, or cryptographically secure hash,
  191.  of the plaintext.  It is cryptographically secure because it is not
  192.  possible (in a reasonable amount of computation) to produce a
  193.  different plaintext which produces the same fingerprint.  Thus,
  194.  instead of signing the entire message with the sender's private key,
  195.  only the MD5 of the message needs to be signed for authentication.
  196.  
  197.  MD5s can also be exchanged directly for authentication; for example,
  198.  RIPEM public keys include an MD5 of the public key in the file, so
  199.  parties wishing to confirm their keys are authentic via a separate
  200.  channel merely need exchange MD5s of keys and verify their accuracy.
  201.  
  202.  MD5 is sometimes used for other purposes; for example, it is often
  203.  used to map an input of arbitrary length to 128 bits of data, as a
  204.  passphrase interpreter or cookie generator.
  205.  
  206.  MD5 is described in its entirety (including an implementation in C) in
  207.  RFC 1321.
  208.  
  209.  There have been some recent suggestions that MD5 may not be as strong
  210.  a hash as was originally believed; however, thus far it is still
  211.  regarded as secure.
  212.  
  213. 8)  What is PEM?
  214.  
  215.  PEM is Privacy Enhanced Mail, a standard for allowing transfer of
  216.  encrypted electronic mail generated over a long period of time by a
  217.  working group of experts.  It is described in RFCs 1421-1424; these
  218.  documents have been approved and obsolete the old RFCs 1113-1115.
  219.  
  220.  RIPEM is not really a complete implementation of PEM, because PEM
  221.  specifies certificates for authenticating keys, which RIPEM does not
  222.  handle at this time.  Their addition is planned.  They have already
  223.  been added to the Macintosh version.
  224.  
  225. 9)  What's this about distributing and authenticating keys?
  226.  
  227.  For a remote user to be able to send secure mail to you, she must know
  228.  your public key.  For you to be able to confirm that the message
  229.  received came from her, you must know her public key.  It is important
  230.  that this information be accurate; if a "bad guy" convinces her that
  231.  his key is in fact yours, she will send messages which he can read.
  232.  
  233.  RIPEM allows for three methods of key management: a central server,
  234.  the distributed finger servers, and a flat file.  All three are
  235.  described in the RIPEM users guide which is part of the distribution.
  236.  None of them provide perfect security.  The PEM standard calls for
  237.  key management by certificates; the addition of this feature to RIPEM
  238.  is planned, but the hierarchy of certifying authorities is still
  239.  developing and thus few people have certificates yet.
  240.  
  241. 10)  Isn't it a bad idea to use patented algorithms in standards like PEM?
  242.  
  243.  This issue has been considered in the standards process.  RFC 1310,
  244.  the specification for Internet standards, has a discussion (section
  245.  6) on what specifications for nondiscriminatory availability must be
  246.  met for a patented method to be included in a standard.  RFC 1421
  247.  addresses this issue with regard to the patents covering public-key
  248.  cryptography.
  249.  
  250.  This does not, of course, mean that all questions are settled or that
  251.  everyone is in agreement.  An interesting exchange on the use of
  252.  patented algorithms in standards with regard to public-key
  253.  cryptography is in the League for Programming Freedom archive
  254.  (available via FTP: ftp.uu.net:/doc/lpf) in the files bidzos.letter
  255.  and bidzos.response.
  256.  
  257. 11)  What about RSADSI/PKP?
  258.  
  259.  RSA Data Security, Inc. (RSADSI) is a California-based company
  260.  specializing in cryptographic technologies.  Public Key Partners
  261.  (PKP) is a firm which holds exclusive sub-licensing rights of the
  262.  following U.S. patents and all of their corresponding foreign
  263.  patents:
  264.  
  265.       Cryptographic Apparatus and Method
  266.       ("Diffie-Hellman")............................... No. 4,200,770
  267.  
  268.       Public Key Cryptographic Apparatus
  269.       and Method ("Hellman-Merkle").................... No. 4,218,582
  270.  
  271.       Cryptographic Communications System and
  272.       Method ("RSA")................................... No. 4,405,829
  273.  
  274.       Exponential Cryptographic Apparatus
  275.       and Method ("Hellman-Pohlig").................... No. 4,424,414
  276.  
  277.  PKP claims these four patents cover all known methods of public key
  278.  cryptography.  PKP and RSADSI are rather closely related (for
  279.  example, the same person, Jim Bidzos, is president of both of them.)
  280.  PKP has licensed this technology to a considerable number of
  281.  companies (IBM, DEC, Motorola, AT&T, Lotus...) for use in their
  282.  products.  PKP has also threatened and filed lawsuits defending their
  283.  patents.
  284.  
  285.  RIPEM was originally created with no connection to RSADSI other than
  286.  its use of the RSAREF library, and for no reason other than its
  287.  author's desire to see widespread use of public-key cryptography.
  288.  However, after the ball started rolling, people at RSADSI got
  289.  interested.  RSADSI decided to carry RIPEM on its FTP site, and some
  290.  people there started making their own RIPEM keys and contributing
  291.  code.  RIPEM even won the "Best Application Built on RSAREF in 1992"
  292.  award.
  293.  
  294. 12)  Why do all RIPEM public keys look very similar?
  295.  
  296.  RIPEM public keys begin with a PKCS (Public-Key Cryptography
  297.  Standards) identifier describing various characteristics about the
  298.  key, so the first bunch of characters in your key may be the same as
  299.  those of lots of other people's keys.  This does not mean your keys
  300.  are similar, but only that they are the same class of key, were
  301.  generated with the same program, are of the same length, etc.
  302.  
  303. 13)  What is PGP?
  304.  
  305.  PGP is another cryptographic mail program called Pretty Good Privacy.
  306.  PGP has been around longer than RIPEM, and works somewhat differently.
  307.  PGP is not compatible with RIPEM in any way, though PGP does also use RSA.
  308.  
  309.  A few major differences between PGP and RIPEM:
  310.  
  311.  * PGP has more key management features for users without a direct
  312.    network connection.  Its key verification mechanism is
  313.    non-hierarchical, which means it's more available today, while
  314.    probably the best key distribution with RIPEM is to automatically
  315.    finger the recipient for a public key.
  316.  
  317.  * RIPEM conforms to the PEM RFCs and thus has a greater probability
  318.    of working with other PEM software.  PGP makes no attempt to be
  319.    compatible with anything other than itself; i.e. it's not a
  320.    "standard."
  321.  
  322.  * RIPEM uses RSAREF, a library of RSA routines from RSADSI which
  323.    comes with a license allowing noncommercial use.  PGP uses its own
  324.    implementation of RSA which is not licensed. (See: "DISCLAIMER")
  325.    (See: "What about RSADSI/PKP?")  There are rumors that a
  326.    PGP-compatible product implemented with RSAREF is in the works.
  327.  
  328.    Some various legal perspectives on using PGP in the U.S.:
  329.  
  330.    ``an illegal activity that violates patent and export law.''
  331.        - Jim Bidzos <jim@rsa.com>, President of PKP and RSADSI,
  332.       _Wired_ (the magazine), May/June 1993
  333.  
  334.    ``In fact, if you live in the USA, and you are not a Federal
  335.      agency, you shouldn't actually run PGP on your computer, because
  336.      Public Key Partners wants to forbid you from running my software.
  337.      PGP is contraband.''
  338.  
  339.        - Phil Zimmermann <prz@sage.cgd.ucar.edu>, author of PGP, PGP
  340.       Users' Guide, Volume 2.
  341.       Phil stopped being openly involved with PGP distribution
  342.       after being threatened with legal action by PKP.
  343.  
  344.    ``PKP can test the validity of its patent and recover its damages,
  345.      if any, in a suit against the developers and distributors of PGP,
  346.      if it cares to.  [ ... ]  It is virtually unheard-of to sue
  347.      individual end-use consumers of allegedly infringing technology.''
  348.  
  349.         - Eben Moglen <em21@cunixf.cc.columbia.edu>, Professor of Law
  350.       & Legal History, Columbia University, archived in
  351.       ftp.informatik.uni-hamburg.de:/pub/virus/misc/pgplegal.zip.
  352.       Note that PKP has, in fact, threatened some developers and
  353.       distributors who are within the reach of U.S. law;
  354.       generally, some agreement has been reached without going to
  355.       court.  This is why, for example, few U.S. FTP sites are
  356.       willing to carry PGP.
  357.  
  358.    ``Using PGP is like having a Morganti weapon; if "they" need a
  359.      reason to give you a hassle, "they" have one.  "They" can be the
  360.      legal authorities, your sysadmin, or just someone who wants to
  361.      make trouble for you.  [ ... ]  The tradeoffs should be
  362.      considered.''
  363.  
  364.     - Christopher Davis <ckd@eff.org>, System Manager &
  365.       Postmaster, Electronic Frontier Foundation & Kapor
  366.       Enterprises, Inc., id <CKD.93Mar18114533@loiosh.eff.org>.
  367.       Some system administrators have instructed their users that
  368.       using PGP on their systems is not permitted.
  369.  
  370.  * Both PGP and RIPEM are export-restricted, and may not be lawfully
  371.    sent outside the U.S. and Canada without an export license.
  372.    However, PGP is already used and available internationally.
  373.  
  374.  Whether you use PGP or RIPEM or whatever, the documentation to PGP is
  375.  recommended reading to anyone interested in such issues.
  376.  Unfortunately, it's difficult to find the documentation separate from
  377.  the program.
  378.  
  379.  I do not consider PGP and RIPEM to be in ``competition.''  The two
  380.  programs were designed with different guidelines and priorities, and
  381.  each does a reasonably decent job of doing what it was written to do.
  382.  The authors and users of both programs generally share the goal of
  383.  seeing widespread use of free cryptographic tools to enhance privacy
  384.  and security.  It is unfortunate that they cannot interoperate (yet).
  385.  
  386. 14)  What about RPEM?
  387.  
  388.  RPEM stands for Rabin Privacy Enhanced Mail.  It was similar to RIPEM,
  389.  but used a public-key cipher invented by Rabin (which is not RSA) in
  390.  an attempt to avoid the patents on public-key systems.  It was
  391.  written by Mark Riordan, who later wrote RIPEM.
  392.  
  393.  Its distribution was halted when, contrary to the beliefs of many
  394.  (including Rabin), PKP claimed that their patents were broad enough
  395.  to cover the cipher employed.  This claim is not universally
  396.  accepted, but was not challenged for pragmatic reasons.
  397.  
  398.  RPEM is not really used anymore.  It is not compatible with RIPEM or PGP.
  399.  
  400. 15)  What is MIME?
  401.  
  402.  MIME stands for Multipurpose Internet Mail Extensions, and is
  403.  described in RFC 1341.  You can find out about it in the newsgroup
  404.  comp.mail.mime; a FAQ exists on it.  How PEM should interact with
  405.  MIME is not yet entirely clear; some people use the stopgap solution
  406.  of having a MIME type application/x-ripem in order to send RIPEM
  407.  messages as MIME ones.  I hope some standards will emerge.  Draft
  408.  Internet documents exist on the matter.
  409.  
  410. 16)  What is TIS/PEM?
  411.  
  412.  Trusted Information Systems is working on a version of Privacy
  413.  Enhanced Mail for general availability.  It is rumored to be
  414.  integrated into an existing mail user agent (MH) rather than a
  415.  stand-alone system, and in beta test.
  416.  
  417. 17)  I have this simple way to defeat the security of RIPEM...
  418.  
  419.  You may wish to check the companion post "ripem-attacks" which
  420.  discusses some of the more obvious attacks on RIPEM's security and
  421.  what procedures will minimize the risk.  RIPEM's main "weak area" is
  422.  probably key distribution.
  423.