home *** CD-ROM | disk | FTP | other *** search

---

/ Ian & Stuart's Australian Mac: Not for Sale / Another.not.for.sale (Australia).iso / hold me in your arms / PGP Info / ZIMMBW.LST

< prev

next >

Wrap

File List  |  1993-12-02  |  23KB  |  422 lines

---

1.                                                                        $3.95
2.  
3.          B  O  A  R  D  W  A  T  C  H      M  A  G  A  Z  I  N  E
4.  
5.                    Guide to the World of Online Services
6.  
7.  ÕÕÕÕÕÕÕÕÕÕÕÕÕÕÕÕÕÕÕÕÕÕÕÕÕÕÕÕÕÕÕÕÕÕÕÕÕÕÕÕÕÕÕÕÕÕÕÕÕÕÕÕÕÕÕÕÕÕÕÕÕÕÕÕÕÕÕÕÕÕÕÕÕÕÕÕ
8.  Editor: Jack Rickard   Volume VII: Issue 11   ISSN:1054-2760   November 1993
9.  ÕÕÕÕÕÕÕÕÕÕÕÕÕÕÕÕÕÕÕÕÕÕÕÕÕÕÕÕÕÕÕÕÕÕÕÕÕÕÕÕÕÕÕÕÕÕÕÕÕÕÕÕÕÕÕÕÕÕÕÕÕÕÕÕÕÕÕÕÕÕÕÕÕÕÕÕ
10.  
11.               Copyright 1993 Jack Rickard - ALL RIGHTS RESERVED
12.  
13.  Boardwatch Magazine is published monthly in printed form at an annual
14.  subscription rate of $36. In most cases, the operator of the local system
15.  carrying Boardwatch Online Edition can process your subscription order.
16.  Editorial comment may be addressed to Editor, BOARDWATCH MAGAZINE, 8500 West
17.  Bowles Ave, Suite 210, Littleton, CO 80123. (303)973-6038 voice,
18.  (303)973-4222 data, (303)973-3731 fax. These files may not be posted on
19.  electronic bulletin board systems without written permission of the
20.  publisher.
21.  
22.                SUBSCRIPTION VOICE ORDER LINE - 1-800-933-6038
23.  
24.  
25.       EDITOR'S NOTES
26.       ==============
27.   1   One Man - One Vote - One Program
28.  
29.       LETTERS TO THE EDITOR
30.       =====================
31.   2   Marlboro Again 
32.   3   More From Russia
33.   4   The Best BBS in Africa Contest
34.   5   Our Schools
35.   6   More on Schools
36.   7   A National BBS Association
37.   8   Our Public School System
38.   9   The August 93 Editorial
39.  10   The Missing Page
40.  11   Col Dave Says NAPLPS
41.  12   Boardwatch in Japan
42.  13   You Have the Vision
43.  14   Ziff, Zat, and the Other
44.  15   Online Taxes
45.  16   Demos, We Want Demos 
46.  17   More on Demos
47.  18   Photo Bad, Caricatures Good
48.  19   Gutenberg Lives, Really
49.  
50.       TELEBITS
51.       ========
52.  20   Rumors and Factoids
53.  21   Wireless May Still Have A Shot
54.  22   Mustang Upgrades QModem to do Compuserve Forum Mail
55.  23   MHS/Fidonet Mail Gateway
56.  24   Norton Commander Version 4.0
57.  25   70 Million White Pages Telephone Numbers on CD-ROM
58.  26   Fubar Systems Voice Market Place BBS
59.  27   STB 4-COM Serial Port Card - A Bit of a Find
60.  28   The Lost Page
61.  29   National Online Media Association
62.  30   Sound, Video, Modem, Fax, Voice - All On a Single Card
63.  
64.       INTERNET NEWS
65.       =============
66.  31   It's About Time on The Internet
67.  32   Internet Online Book Store
68.  33   Senator Edward Kennedy - Pressing the Flesh by BBS
69.  34   Online Compact Audio Disk Storel
70.  35   Movies by Modem
71.  36   Galacticomm Releases Major Gateway/Internet Version 1.1
72.  
73.       ACCESS TO GOVERNMENT
74.       ====================
75.  37   State Legislative Information, Online
76.  
77.       MACINTOSH BBS NEWS
78.       ==================
79.  38   Resnova to Market MacKennel FidoNet Mailer
80.  39   Softarc to Release FirstClass 2.5
81.  40   Spider Island Adds Windows Client to TeleFinder
82.  41   Mac BBS of the Year
83.  
84.       EDUCATION LINK
85.       ==============
86.  42   K12Net Continues Expansion
87.  43   Humanities Courses Online
88.  
89.       SPECIAL REPORT
90.       ==============
91.  44   The NII AGANDA
92.  
93.       LEGALLY ONLINE
94.       ==============
95.  45   Phil Zimmermann: Pretty Good Encryption Hero?
96.  
97.       DIRECT DIAL
98.       ==============
99.  46   The Library of Congress Online
100.  47   ANSI Artist in the Rhinoceros Kitchen
101.  48   OS/2 Shareware BBS
102.  49   This Months List
103.  
104.       BBS LISTS
105.       =========
106.  50   This Month's List: 312 Ontario Canada Area BBSs
107.  51   145 Alberta Canada Area BBSs
108.  52   Sysop Modem Discount Programs
109.  53   List of BBS Software Vendors
110.  54   Internet UUCP Host List
111.  55   BOARDWATCH List of BBS List Keepers
112.  56   BOARDWATCH National List
113.  
114.  
115. 45
116.  
117.  
118.  ==============
119.  LEGALLY ONLINE
120.  ==============
121.  by Lance Rose
122.  
123. Phil Zimmermann is a computer programmer and good citizen with an earnest
124. desire to help others. For much of his adult life he expressed his concern
125. through political activism, from marches in the 70's through teaching classes
126. in military policy in the 80's. Along the way, Zimmermann became a computer
127. network user. As the 90's began, he saw a new threat to our civil rights
128. surface: a movement to curtail the ability of network users to discuss
129. matters in private. Many others on the net saw the same thing, but Zimmermann
130. actually did something about it. He melded his humanitarian ideals with his
131. programming and cryptographic skills to create an e-mail encryption program
132. for Everyman called Pretty Good Privacy, or PGP. He did this at no small cost
133. to himself. An independent computer consultant, Zimmermann shelved most of
134. his paying gigs while finishing up PGP, missing five mortgage payments on his
135. family's home in the process.
136.  
137. Zimmermann finished PGP in early 1991, released it in the U.S. on the
138. Internet from his home in Colorado, and it instantly achieved worldwide
139. popularity among network cognoscenti. PGP is free, and its customers get a
140. lot more than they bargained for. It uses a powerful RSA public key
141. encryption system, in which each participant owns one or more private
142. key/public key pairs. Messages encrypted by one key in the pair can only be
143. decrypted using the other key. The great advantage of public key encryption
144. is that, unlike older schemes, like DES, (the current U.S. standard), you can
145. publicly circulate the key for encrypting messages sent to you by others,
146. since only your secret private key can decrypt those messages. When someone
147. sends you a private message using PGP, first it encrypts the message text
148. using the IDEA algorithm, (the International Data Encryption Algorithm,
149. developed in Europe and comparable to DES), and generates a unique,
150. confidential key just for decrypting the message (we'll call it the "text
151. key"). Then he or she uses the RSA public key they received from you to
152. encrypt the text key, and sends you both the IDEA-encrypted message and the
153. RSA-encrypted text key. You would then use your RSA private key to decrypt
154. the text key, and finally use the text key in turn to decrypt IDEA-encrypted
155. message.
156.  
157. It would be conceptually simpler to use only the RSA public and private keys
158. for encrypting and decrypting the text, and cut out the IDEA encryption step,
159. but there is a practical cost. Text encryption using RSA requires far more
160. computer processing time and power than IDEA-based encryption. Zimmermann
161. wanted to give people the full benefit of PGP without wasting time watching
162. their computers crunch numbers, so he used the far easier to process, (but
163. still highly secure), IDEA technique for message texts, and saved the public
164. key RSA process for encrypting only the IDEA text keys, which are a mere 128
165. bits long. Thus, PGP creates securely encrypted texts, gives people the
166. ability to distribute their public keys far and wide with no compromise in
167. security, and extends strong encryption capabilities to those with small
168. computers.
169.  
170. After its release PGP became something of a community development project,
171. and it is now in version 2.3. Other programmers and cryptographers work on
172. enhancing the source code, creating foreign language translations of the user
173. interface, and porting PGP from its original DOS platform to other popular
174. computer platforms such as Mac, Vax, and most flavors of Unix, further
175. increasing its usefulness to network users of all stripes. In the past two
176. months, however, some dramatic new chapters swiftly opened in the ongoing
177. saga of Phil Zimmermann and PGP.
178.  
179. First, on the positive side, some patent-related questions nagging PGP from
180. the very beginning finally may be close to resolution. As soon as PGP
181. appeared, a West Coast company called Public Key Partners, headed by Jim
182. Bidzos, claimed it violated a patent they held in computer implementations of
183. the RSA encryption algorithm. While Bidzos did not rush into court, he did
184. seek to suppress PGP's distribution. Among other things, he sought out the
185. major online distribution points for PGP, such as large online services like
186. CompuServe and GEnie BBS's including The Well, and requested that they
187. immediately remove the PGP files from distribution because they infringed on
188. his patents. Most services discontinued providing PGP,and it soon became an
189. underground classic, difficult to find unless you asked the right people.
190. Fortunately, there were many such spread across the net. Rather than
191. challenge the patent claim, which some net observers think a worthwhile
192. effort, Zimmermann made many requests to Bidzos to obtain a license to use
193. RSA without hassle in PGP. Eventually, network community and industry leaders
194. tried to obtain some sort of compromise between Zimmermann and Bidzos. Bidzos
195. refused all entreaties and continues to oppose PGP.
196.  
197. In the meantime, a software company named ViaCrypt obtained a license a year
198. or two ago from Public Key Partners, (who appear willing to license virtually
199. anyone but Zimmermann), to use the RSA algorithm in software. ViaCrypt took
200. some time after securing the rights to figure out how it would use them.
201. Finally, last August, it approached Zimmermann with a proposal to create a
202. commercial version of PGP. This was a great business opportunity. ViaCrypt
203. could use its license to legitimize PGP for the commercial market, and both
204. could profit from PGP's high profile among companies interested in
205. encryption. To bring PGP within ViaCrypt's license from Bidzos, Zimmermann
206. and ViaCrypt have been replacing PGP's existing RSA encryption subroutines
207. with comparable licensed subroutines developed by ViaCrypt. Bidzos, through
208. his attorney, publicly expressed some doubt about whether the new ViaCrypt
209. product will fall within its RSA license rights. Anticipating this
210. possibility, ViaCrypt shrewdly trumped it in advance by securing a legal
211. opinion from Brown and Bain, considered by many computer lawyers, (this
212. author included), to be the leading computer law firm in the country, that
213. the hybrid product is within the scope of ViaCrypt's license from Public Key
214. Partners. The new program, tentatively brand named ViaCrypt PGP, is scheduled
215. for rollout on November 8th of this year.
216.  
217. If ViaCrypt PGP succeeds in the market, Zimmermann will make some money,
218. though he was never really was in it for the money. He is also working on a
219. new approach to the free version of PGP that may end the patent threats that
220. continually hinder its open distribution on the net. His current efforts
221. center on a set of encryption subroutines called RSAREF, released by Bidzos
222. through another of his companies, RSA Data Securities Inc. (RSADSI). There is
223. a license to the public to use the RSAREF subroutines free for noncommercial
224. purposes: you can't make money selling it, and you can't use it for
225. commercial messaging. By replacing PGP's custom RSA subroutines with publicly
226. licensed equivalents from RSAREF, Zimmermann could end the patent
227. infringement problem.
228.  
229. RSAREF was designed to let programmers develop privacy-enhanced mail (PEM)
230. programs using a scheme similar to that used by PGP. The text is encrypted
231. using an easy-to-process encryption algorithm involving a single key, ending
232. the patent infringement problem may not have been as easy at it first seemed.
233. The text key is encrypted using the processing-intensive RSA public key
234. scheme. The problem is that for the text encryption stage, RSADSI chose the
235. DES algorithm instead of the IDEA algorithm used in PGP.
236.  
237. DES was not perceived as a problem cipher until August of this year, at a
238. cryptographers' trade show called Crypto `93. A respected Bell Northern
239. Research scientist named Michael Weiner dropped a bombshell on the conference
240. by asserting, in essence, that DES was dead, as a dependably secure
241. encryption algorithm. Weiner had designed a high-speed "inside-out" DES
242. processor chip that could test 50 million keys per second, and serve as a the
243. basis for a highly effective DES-cracking machine. He had also priced
244. production of the chip with a chip fabricator, and in large but not enormous
245. quantities it would cost about $10.50 per chip. Using these figures, he said
246. a computer with 7,000 such chips would cost a vast amount, and could find the
247. key to any DES-encrypted message within 7 hours by testing every possible key
248. within that time, with a mean key-cracking time of 3.5 hours per encrypted
249. message. For $100 million, well within intelligence agency budgets, a
250. computer could be built that would crack the keys for DES-encrypted messages
251. at a clip of two minutes per key. This result would be achieved for texts
252. encrypted with 56 bit DES keys, where the decryptor has a little bit of plain
253. text he knows would be in the encrypted message, such as someone's name, or a
254. word or two. There are DES encryption schemes using longer keys, but the 56
255. bit key is the U.S. government standard, and the official or de facto
256. standard in many industry applications as well.
257.  
258. Weiner's brute force approach would be marvelously effective despite its lack
259. of elegance. For PEM computer programs using RSAREF in its current form,
260. there can no longer be dependable privacy. All texts encrypted using RSAREF's
261. standard 56 bit DES approach will, from this point forward, be vulnerable to
262. cracking at some point by a Weiner-type supercomputer. It will be pointless
263. to hide the DES key inside RSA encryption. Owners of the supercomputer could
264. find the key directly from the text, and need not bother with the encrypted
265. key. As Phil puts it, the RSA encryption of the DES key is like those little
266. secure boxes for holding front-door keys that realtors mount on houses being
267. shown to prospective buyers. The little box may be nearly impossible to break
268. into without the proper code, but there's always another possibility for
269. getting into the house without permission: break down the door or smash in
270. the window.
271.  
272. There's a way to avoid this with RSAREF, by invoking deeper subroutines in
273. the package to create PEM programs that use text encryption schemes more
274. dependable than the suddenly-reduced DES, such as the IDEA algorithm used
275. today in PGP. IDEA uses a 128 bit key instead of the 56 bit key standard in
276. DES, and its security has not been seriously questioned to date, despite
277. spirited attacks by some of the world's mightiest cryptographers.
278. Unfortunately, the current RSAREF public license only permits programmers to
279. use the high-level routines that require DES, and prohibits using the deeper
280. routines to bring in other encryption algorithms - the very use necessary for
281. PGP to remain dependably secure. However, after the Weiner revelation, RSAREF
282. will not be in much demand if it continues to restrict PEM programmers to 56
283. bit DES. Accordingly, it is rumored that a public license to the deeper,
284. roll-your-own algorithm subroutines in RSAREF may soon be forthcoming from
285. RSADSI. If this new license is issued, Zimmermann may finally be home free in
286. his quest to create a free, effective PGP with no specter of patent
287. infringement hovering over it. It is possible that by the end of this year or
288. early in the next, we will see both a commercial ViaCrypt PGP, and a free PGP
289. for personal noncommercial use.
290.  
291. That's the good news. The bad news is that Phil Zimmermann is now the target
292. of an investigation by the U.S. attorney's office into violations of the
293. International Traffic in Arms Regulations, or ITAR. ITAR is a set of laws
294. administered by the State Department, designed to keep war-grade weapons from
295. being exported out of the U.S. to certain foreign countries. While ITAR
296. mainly regulates weapons-like parts for tanks, jets and submarines, it also
297. regulates encryption devices, including encryption software, as "munitions"
298. due to their military intelligence value. The U.S. attorney is not commenting
299. at this early stage, but observers agree the investigation relates to PGP's
300. worldwide distribution through the Internet. This distribution constituted a
301. clean end run around the State Department's normal procedure of placing a
302. roadblock against all cryptography exports, until they are reviewed by the
303. National Security Agency for military potential. What is unclear, is whether
304. Zimmermann did anything wrong by placing PGP on the Internet on computers
305. located within the U.S.
306.  
307. There are very good reasons for saying that Zimmermann's actions were totally
308. legal, and that he should not have this cloud over his head. For one thing,
309. Zimmermann did not intend for PGP to be exported. He was never motivated to
310. put out an international encryption standard. To the contrary, his motivation
311. was the perception that political forces within the U.S. seemed to be pushing
312. towards outlawing private encryption in this country. In fact, he acted
313. specifically to put PGP into circulation quickly while it was still legal in
314. this country, before any laws might go into place prohibiting domestic use of
315. privately developed encryption software.
316.  
317. For another, Internet users outside the U.S. helped themselves to PGP.
318. Zimmermann did not send PGP anywhere outside the country. He made it
319. available on computers within U.S. borders, which is perfectly legal in
320. itself. By analogy, I could legally go door-to- door in this country selling
321. devices enabling people to encrypt their telephone discussions. I can even
322. leave an open box of them in front of my house in New Jersey, and tell all my
323. neighbors to pick one up for their own use. If some foreign tourists take a
324. few and spirit them back into their own countries, why should I be held
325. guilty for export violations?
326.  
327. In addition, Zimmermann and all the users of PGP in this country have their
328. First Amendment rights. Zimmermann has the right to freely publish the PGP
329. program in this country. The Constitution says Congress will enact "no law"
330. restricting freedom of speech and of the press. There are no Amendments to
331. the Constitution that contain exceptions for speech or press distributed
332. through the Internet. Additionally, people who send electronic messages to
333. each other have the right to send them encrypted without government
334. interference, and legal action against PGP would certainly interfere with
335. such activities. In this instance, PGP's free speech rights derive from its
336. assistance of PGP users in exercising their own rights of free speech. This
337. kind of derivative free speech protection is very powerful. It is analogous
338. to the protection of speech distributors applied in the past by the Supreme
339. Court and other federal courts to book sellers, magazine distributors, and
340. even CompuServe.
341.  
342. Finally, there are privacy considerations. This is not really a legal
343. argument, as much as a question of the limits of appropriate government
344. intrusion into peoples' private lives. The question comes up almost daily
345. these days, in settings ranging from the privacy of employee e-mail to the
346. swelling commercial market for extensive data on each citizen in our country
347. of consumers. A government push against the availability of PGP, regardless
348. of the legal cause, would count as yet another blow against the dwindling
349. ability of us all to retain a modicum of personal privacy. As the cypherpunks
350. are often heard to say, "if privacy becomes outlawed, only outlaws will have
351. privacy."
352.  
353. Powerful as these and other arguments are, they will not deter government
354. action on their own. The government can offer the fairly standard legal
355. argument that Zimmermann "knew or should have known," that placing PGP on the
356. Internet would result in worldwide export in violation of the ITAR. After
357. speaking with Zimmermann, I am not sure he actually knew, in particular, that
358. there was a law called ITAR, or that it applied to encryption software. As
359. mentioned above, he certainly was not out to distribute PGP worldwide.
360. Whether the government proceeds will depend as much on political factors as
361. on its view of the legalities involved.
362.  
363. The investigation is at an early stage, and in fact, has not been directed
364. formally at Zimmermann. The only activity in public view so far was the
365. service of subpoenas for document production by the U.S. Attorney's office in
366. San Jose, CA on Viacrypt in Phoenix, AZ and another company named Austin Code
367. Works in Austin, TX. Austin Code Works distributes PGP and other free
368. software for encryption and other uses in source code form, for little more
369. than the price of a computer disk. According to Zimmermann, he has no
370. business relationship with Austin Code Works. He also had no idea they were
371. distributing PGP until he read about the subpoena served on them. As soon as
372. Austin Code Works was served, its president, Grady Ward, went public on the
373. Internet with a ringing defense of its position. Ward claims they do not
374. distribute executable programs, but only "source code algorithmic
375. descriptions" of encryption techniques, thus falling under a "technical data"
376. exception to ITAR. The State Department publicly countered that position, and
377. is requiring Austin Code Works to register as a munitions dealer.
378.  
379. There is no telling whether the investigation will proceed to charges against
380. Zimmermann or others, but Zimmermann and others in the network community
381. intend to be prepared. Phil Zimmermann's attorney, Colorado criminal lawyer
382. Philip Dubois, is accepting contributions for Zimmermann's defense, (He can
383. be reached at Philip Dubois, Esq., 2305 Broadway, Boulder, CO 80304,
384. (303)444-3885, dubois@csn.org). The Electronic Frontier Foundation is also
385. stepping forward in Zimmermann's defense, with financial commitments from EFF
386. and several of its individual board members, and efforts to rally public
387. support for Zimmermann and PGP.
388.  
389. A lingering question in the current investigation is why the government
390. waited over two years after PGP's release to start it up. Some speculate it
391. is due to a link between the investigation and the government's efforts to
392. establish a new encryption standard named CLIPPER as the replacement for the
393. aging DES standard. The government has repeatedly stated it will not seek to
394. make Clipper the only legal encryption standard in this country by outlawing
395. all others. But if it proceeds to charge Zimmermann and PGP as a result of
396. the current investigation, it could have the effect of using the government's
397. legal artillery to blow away one of Clipper's most prominent competitors.
398.  
399. Speculation aside, PGP's legal situation is slowly maturing, and within
400. another year or so we should know for sure whether it's legal or illegal in
401. the U.S. By that time, it will be in the hands of millions of people the
402. world over, each using PGP to create his or her own private communications
403. channel. Hopefully, we will not have to witness the ironic spectacle of PGP
404. being banned in the country of its birth, while freely in use in the rest of
405. the world.
406.  
407. [Lance Rose is an attorney practicing high-tech and information law in
408. Montclair, NJ. He can be found on the Internetat elrose@well.sf.ca.us, and on
409. Compuserve at 72230,2044. He is also author of SysLaw, the legal guide for
410. online service providers, available from PC Information Group at
411. 800-321-8285.
412.  
413. Pretty Good Privacy is available in it's latest July 1, 1993 release as
414. PGP23A.ZIP with C language source code in PGP23ASR.ZIP. Phil Zimmermann can
415. be reached at Boulder Software Engineering, 3021 Eleventh Street, Boulder,
416. Colorado 80304; (303)541-0140 voice/fax; or via Internet at prz@acm.org
417.  
418. ViaCrypt will make the commercial PGP available at an intro price of $100.
419. ViaCrypt, 2104 W. Peoria, Phoenix, AZ 80209, (602) 944-1543. - Editor
420.  
421.  
422.