home *** CD-ROM | disk | FTP | other *** search
/ ftp.pasteur.org/FAQ/ / ftp-pasteur-org-FAQ.zip / FAQ / pgp-faq / where-is-PGP < prev   
Internet Message Format  |  2004-05-13  |  17KB
  1. Path: senator-bedfellow.mit.edu!dreaderd!not-for-mail
  2. Message-ID: <pgp-faq/where-is-PGP_1084363323@rtfm.mit.edu>
  3. Supersedes: <pgp-faq/where-is-PGP_1081853942@rtfm.mit.edu>
  4. Expires: 24 Jun 2004 12:02:03 GMT
  5. X-Last-Updated: 2002/08/23
  6. From: Michael Paul Johnson <mpj@ebible.org>
  7. Newsgroups: alt.security.pgp,alt.answers,news.answers
  8. Subject: Where to get the latest PGP (Pretty Good Privacy) FAQ
  9. Followup-To: poster
  10. Summary: Where to get the latest version of Pretty Good Privacy (PGP)
  11. Approved: news-answers-request@MIT.EDU
  12. Keywords: pgp, privacy, security, encryption, cryptology
  13. Distribution: world
  14. Organization: http://cryptography.org
  15. Originator: faqserv@penguin-lust.MIT.EDU
  16. Date: 12 May 2004 12:04:00 GMT
  17. Lines: 386
  18. NNTP-Posting-Host: penguin-lust.mit.edu
  19. X-Trace: 1084363440 senator-bedfellow.mit.edu 564 18.181.0.29
  20. Xref: senator-bedfellow.mit.edu alt.security.pgp:171648 alt.answers:72863 news.answers:271209
  21.  
  22. Archive-name: pgp-faq/where-is-PGP
  23. Posting-Frequency: monthly
  24. Last-modified: 23 August 2002
  25. URL: http://cryptography.org/getpgp.htm
  26. URL: http://cryptography.org/getpgp.txt
  27.  
  28. -----BEGIN PGP SIGNED MESSAGE-----
  29. Hash: SHA1
  30.  
  31.  
  32. WHERE TO GET PGP and GPG
  33. WHERE TO GET THE PRETTY GOOD PRIVACY PROGRAM (PGP) FAQ
  34.  
  35. Revised 23 August 2002
  36.  
  37. This FAQ applies to Pretty Good Privacy (PGP), Gnu Privacy Guard (GPG),
  38. and some other OpenPGP implementations.
  39.  
  40. Disclaimer: some of this information may be outdated or otherwise
  41. inaccurate. I don't update it very often, but you should by all means be
  42. able to find an appropriate copy of PGP and its documentation using the
  43. information contained herein. Use it at your own risk.
  44.  
  45. The master copies of this FAQ are at http://cryptography.org/getpgp.htm
  46. and http://cryptography.org/getpgp.txt
  47.  
  48. The official (much more complete) PGP FAQ is available at:
  49. http://www.pgp.net/pgpnet/pgp-faq/
  50.  
  51. WHERE ARE SOME OF THE BEST PLACES TO GET PGP ON THE WEB?
  52.  
  53. PGP freeware - for personal, noncommercial use
  54. http://www.pgpi.com - The best source for the current versions.
  55. http://web.mit.edu/network/pgp.html - A trustworthy source for North
  56. Americans.
  57. http://cryptography.org - Archives of older versions and versions for
  58. various platforms for North Americans.
  59.  
  60. Gnu Privacy Guard - free even for commercial use
  61. http://www.gnupg.org
  62. http://www.pgpi.com
  63. http://cryptography.org
  64.  
  65. PGP Mail commercial version
  66. PGP Mail is now published and supported by PGP Corporation. See
  67. http://www.pgp.com for information on their current prices, versions,
  68. and support. For commercial applications where having a corporation to
  69. back up a product with support is important, or where maximum
  70. integration with Windows is also important, this is the preferable
  71. option. For commercial applications where low cost is the primary option
  72. and you want to use a command line interface, Gnu Privacy Guard
  73. (http://www.gnupg.org) is better.
  74.  
  75. Note: you may need an unzip utility, such as the InfoZip unzip that you
  76. can get from http://www.info-zip.org to decompress the files you
  77. download.
  78.  
  79. WHERE CAN I GET MORE PGP INFORMATION?
  80.  
  81. The best source of PGP information is in the PGP documentation that
  82. comes with PGP. For additional information, you may want to read:
  83. http://www.cryptorights.org/pgp-help-team/hello.html
  84. http://www.pgp.net/pgpnet/pgp-faq/
  85. http://www.mit.edu:8001/people/warlord/pgp-faq.html
  86. ftp://ds.internic.net/internet-drafts/draft-pgp-pgpformat-01.txt
  87. http://cryptography.org/getpgp.htm
  88. http://web.cnam.fr/Network/Crypto/ (c'est en francais)
  89. http://www.freedomfighter.net/crypto/pgp-history.html
  90. http://www.paranoia.com/~vax/pgp_versions.html
  91. http://www.faqs.org/faqs/pgp-faq/
  92. The PGP-Users Mailing List home page at http://pgp.rivertown.net
  93. contains many PGP related resources, including resources on privacy,
  94. anonymous remailers, and other related fields. The PGP-Users list
  95. archives are also linked to the page as is an HTML version of the
  96. PGP-FAQ (may not be the most recent), the PGP documentation, resources
  97. for MacPGP, links to another mailing list dedicated to PGPfone (which
  98. includes one of its authors, Will Price) and the one of a kind, PGPfone
  99. Registry, where PGPfone users who would like to test PGPfone with each
  100. other can leave messages in a browsable data base to let others find
  101. them to connect with each other.
  102. A good place to discuss PGP and ask questions about it is in the PGP
  103. news groups (i. e. comp.security.pgp).
  104.  
  105. CAN I GET PGP DOCUMENTATION IN MY OWN LANGUAGE?
  106.  
  107. Yes. You can get the official PGP documentation in several languages at
  108. http://www.pgpi.com. See also:
  109. German: http://www.geocities.com/Athens/1802/
  110. French: http://www.geocities.com/SiliconValley/Bay/9648/
  111.  
  112. WHAT COMPATIBILITY ISSUES EXIST BETWEEN PGP AND GPG VERSIONS
  113.  
  114. PGP 5.0 introduces some new algorithms for both public key and
  115. conventional encryption. These changes are good from both technical
  116. (security & efficiency) and political (patent) standpoints. With the
  117. death of the Diffie-Hellman key exchange patent, the freeware PGP new
  118. algorithms are 100% free of patent problems, and free of legalese such
  119. as come with the RSAREF toolkit. The Diffie-Hellman key exchange key
  120. size limit is also larger than the old RSA limit, so PGP encryption is
  121. actually more secure, now.
  122.  
  123. The new SHA1 hash function is better than MD5, so signatures are more
  124. secure, now, too. The conventional encryption used is all sound, and
  125. definitely not the weak link in the chain. This much is good news.
  126.  
  127. The bad news, of course, is that there will be some interoperability
  128. problems, since no earlier versions of PGP can handle these algorithm,
  129. and some PGP freeware issued before the RSA algorithm math patent
  130. expired doesn't support RSA signatures and encryption.
  131.  
  132. Gnu Privacy Guard was written from the ground up to be free software
  133. under the Gnu Public License. That means that it cannot use the IDEA
  134. symmetric key algorithm, and also that some versions were issued before
  135. the RSA patent expired in the USA, and therefore some older versions of
  136. GPG didn't support RSA signatures or encryption.
  137.  
  138. For more information on PGP and GPG compatibility, please see
  139. http://www.openpgp.org.
  140.  
  141. WHAT ARE SOME GOOD PGP BOOKS?
  142.  
  143.  Protect Your Privacy: A Guide for PGP Users
  144.  by William Stallings
  145.  Prentice Hall PTR
  146.  ISBN 0-13-185596-4
  147.  US $19.95
  148.  
  149.  PGP: Pretty Good Privacy
  150.  by Simson Garfinkel
  151.  O'Reilly & Associates, Inc.
  152.  ISBN 1-56592-098-8
  153.  US $24.95
  154.  
  155.  E-Mail_Security,
  156.  How To Keep Your Electronic Messages Private (covers PGP & PEM)
  157.  by Bruce Schneier
  158.  365 pages
  159.  1995
  160.  pub: John Wiley & Sons, Inc.
  161.  ISBN 0-471-05318-X
  162.  $24.95 US
  163.  
  164.  The Computer Privacy Handbook: A Practical Guide to E-Mail Encryption, Data
  165.  Protection, and PGP PRivacy Software
  166.  by Andr=E9 Bacard
  167.  Peachpit Press
  168.  ISBN 1-56609-171-3
  169.  US $24.95
  170.  800-283-9444 or 510-548-4393
  171.  
  172.  THE OFFICIAL PGP USER'S GUIDE
  173.  by Philip R. Zimmermann
  174.  MIT Press
  175.  April 1995 - 216 pp. - paper - US $14.95 - ISBN 0-262-74017-6 ZIMPP
  176.  Standard PGP documentation neatly typeset and bound.
  177.  
  178.  PGP SOURCE CODE AND INTERNALS
  179.  by Philip R. Zimmermann
  180.  April 1995 - 804 pp. -
  181.  US $55.00 - 0-262-24039-4 ZIMPH
  182.  
  183.  How to Use PGP, 61 pages,  (Pub #121) from the Superior Broadcasting
  184.  Company, Box 1533-N, Oil City, PA 16301, phone: (814) 678-8801
  185.  (about US $10-$13).
  186.  
  187. IS PGP LEGAL?
  188.  
  189. Using and distributing Pretty Good Privacy is legal if you are careful
  190. to obey the intellectual property and export rules, as well as any local
  191. rules that may apply in the nation you are in.
  192.  
  193. U. S. export regulations are not as bad as they were, but you may be
  194. required to give a notice to the U. S. Government to export or publicly
  195. post source code (and the executable compiled from it) under license
  196. exception TSU. You can't intentionally export PGP or GPG from the USA to
  197. certain forbidden destination (state sponsors of terrorism, etc.) Check
  198. the Department of Commerce web site at
  199. http://www.bxa.doc.gov/Encryption/Default.htm for current rules.
  200.  
  201. The RSA patent caused considerable expense in the USA for PGP users,
  202. until the Diffie-Hellman patent expired and DSA was offered by the U. S.
  203. Government as not infringing. Some people still like to use older
  204. versions of PGP that use RSA, especially outside of the USA.
  205. Fortunately, the RSA patent is dead and anyone in the USA may use RSA
  206. for either business or personal use without restrictions, just like
  207. people in the rest of the world have been able to do for many years.
  208.  
  209. If you want to use PGP for commercial use, the most legal approach is to
  210. use Gnu Privacy Guard (http://www.gnupg.org) for free, but you may also
  211. be able to buy a license for the commercial version of PGP, still.
  212.  
  213. If you are in a country where the IDEA cipher patent holds in software
  214. (including the USA and some countries in Europe), make sure you are
  215. licensed to use the IDEA cipher commercially before using PGP
  216. commercially, or avoid it by using Gnu Privacy Guard or a version of PGP
  217. that allows the use of alternate algorithms like CAST, instead. (No
  218. separate license is required to use the freeware PGP for personal,
  219. noncommercial use). For direct IDEA licensing, contact Ascom Systec:
  220.  
  221. Erhard Widmer, Ascom Systec AG, Dep't. CMVV
  222. Phone +41 64 56 59 83
  223. Peter Hartmann, Ascom Systec AG, Dep't. CMN
  224. Phone +41 64 56 59 45
  225. Fax: +41 64 56 59 90
  226. e-mail: IDEA@ascom.ch
  227. Mail address: Gewerbepark, CH-5506 Maegenwil (Switzerland)
  228.  
  229. Network Associates, Inc., has an exclusive marketing agreement for
  230. commercial distribution of Philip Zimmermann's copyrighted code.
  231. (Selling shareware/freeware disks or connect time is OK, as is building
  232. on older GPL versions of PGP or the new GPG.)
  233.  
  234. If you modify PGP (other than porting it to another platform, fixing a
  235. bug, or adapting it to another compiler), don't call it PGP (TM) or
  236. Pretty Good Privacy (TM) without Philip Zimmermann's permission.
  237.  
  238. Within the U.S. there is no legal obstacle for use of strong encryption.
  239. Export regulations used to be quite draconian in the USA, and are still
  240. partially irrational, but they have greatly improved to the point where
  241. U. S. Citizens no longer need to hesitate to publish (even on the
  242. Internet) and use strong cryptography, as long as they send the required
  243. notices of export and/or posting on the Internet described by
  244. http://www.bxa.doc.gov/Encryption/Default.htm.
  245.  
  246. In an ideal world every honest person would have the right to use
  247. encryption. Unfortunately, this isn't an ideal world.
  248.  
  249. France used to be quite restrictive, but now that nation allows its
  250. citizens to use strong cryptography, recognizing its value in preventing
  251. some crimes and strengthening electronic commerce.
  252.  
  253. Germany once considered banning the use and distribution of strong
  254. cryptographic software in the name of "national security," but now the
  255. German government has actually endorsed and helped fund the development
  256. of Gnu Privacy Guard.
  257.  
  258. In Russia, you can be arrested for using cryptography and even be put in
  259. jail for using a GPS receiver.
  260.  
  261. U. S. Citizens may want to view travel advisories at
  262. http://travel.state.gov before visiting another country.
  263.  
  264. For a recent update on the legal situation see The Crypto Law
  265. Survey http://cwis.kub.nl/~frw/people/koops/lawsurvy.htm
  266.  
  267. WHAT IS PHILIP ZIMMERMANN'S LEGAL STATUS?
  268.  
  269. Philip Zimmermann was under investigation for alleged violation of
  270. export regulations, with a grand jury hearing evidence for about 28
  271. months, ending 11 January 1996. The Federal Government chose not to
  272. comment on why it decided to not prosecute, nor is it likely to. The
  273. Commerce Secretary stated that he would seek relaxed export controls for
  274. cryptographic products, since studies show that U. S. industry is being
  275. harmed by current regulations. Philip endured some serious threats to
  276. his livelihood and freedom, as well as some very real legal expenses,
  277. for the sake of your right to electronic privacy.
  278.  
  279. See:
  280. http://www.epic.org
  281. http://www.crypto.com
  282. http://www.eff.org
  283.  
  284. HOW DO I SELECT A GOOD SECURE PASSPHRASE?
  285.  
  286. See:
  287. http://world.std.com/~reinhold/diceware.page.html
  288. http://www.wepin.com/pgp/passfraz.html
  289.  
  290. WHAT OTHER FILE ENCRYPTION (DOS, MAC) TOOLS ARE THERE?
  291.  
  292. PGP can do conventional encryption only of a file (-c) option, but you
  293. might want to investigate some of the other alternatives if you do this
  294. a lot.
  295.  
  296. Alternatives include Atbash2 for DOS, DLOCK2 for DOS & UNIX, Curve
  297. Encrypt (for the Mac), HPACK (many platforms), and a few others.
  298.  
  299. Atbash2 is interesting in that it generates ciphertext that can be read
  300. over the telephone or sent by Morse code. DLOCK2 is a no-frills strong
  301. encryption program with complete source code. Curve Encrypt has certain
  302. user-friendliness advantages. HPACK is an archiver (like ZIP or ARC),
  303. but with strong encryption. A couple of starting points for your search
  304. are:
  305. http://cryptography.org/
  306. ftp://ftp.informatik.uni-hamburg.de/pub/virus/crypt/file/
  307. ftp://idea.sec.dsi.unimi.it/pub/crypt/code/
  308.  
  309. HOW DO I SECURELY DELETE FILES?
  310.  
  311. If you have the Norton Utilities, Norton WipeInfo is pretty good. I use
  312. DELETE.EXE in del210.zip, which is really good at deleting existing
  313. files, but doesn't wipe "unused" space.
  314.  
  315. ftp://eBible.org/pub/del210.zip
  316. ftp://ftp.demon.co.uk/pub/ibmpc/security/realdeal.zip
  317.  
  318. WHERE DO I GET PGPfone(tm)?
  319.  
  320. PGPfone is for private telephone calls over a modem or the Internet.
  321. http://web.mit.edu/network/pgpfone
  322. ftp://basement.replay.com/pub/replay/pub/voice/
  323.  
  324. WHERE DO I GET NAUTILUS?
  325.  
  326. Bill Dorsey, Pat Mullarky, and Paul Rubin have come out with a program
  327. called Nautilus that enables you to engage in secure voice conversations
  328. between people with multimedia PCs and modems capable of at least 7200
  329. bps (but 14.4 kbps is better). See:
  330. ftp://sable.ox.ac.uk/pub/crypto/misc
  331. ftp://ripem.msu.edu/pub/crypt/GETTING_ACCESS
  332. ftp://ripem.msu.edu/pub/crypt/other/nautilus-phone-0.9.2-source.tar.gz
  333. http://www.cryptography.org
  334. ftp://basement.replay.com/pub/replay/pub/voice/
  335. The official Nautilus home page is at: http://www.lila.com/nautilus/
  336.  
  337.  
  338. WHERE IS PGP'S COMPETITION?
  339.  
  340. Gnu Privacy Guard (GPG) is a serious OpenPGP standard competitor to PGP,
  341. but really it is more of a growth from the initial Gnu Public License
  342. versions of PGP itself, with some independently-written code added where
  343. necessary. It is a serious alternative, and quite secure.
  344.  
  345. S/MIME is gaining a foothold on the secure email market, but my
  346. experience with it has been rather negative. Current implementations of
  347. S/MIME (1) don't always use secure key lengths, (2) often require
  348. payment of an annual fee to a central key certification authority, (3)
  349. have much more limited key management facilities than PGP, and (4)
  350. usually don't have source code open to inspection like GPG and most
  351. versions of PGP. On the positive side, S/MIME is integrated into email
  352. packages like Microsoft Outlook and Netscape Messenger.
  353.  
  354. HOW DO I PUBLISH MY PGP PUBLIC KEY?
  355.  
  356. The latest PGP and GPG versions will interact with key servers
  357. automatically if you are connected to the Internet and if you configure
  358. them to. For manual key publication, send mail to one of these addresses
  359. with the single word "help" in the subject line to find out how to use
  360. them. These servers synchronize keys with each other. There are other
  361. key servers, too.
  362.  
  363. pgp-public-keys@keys.pgp.net
  364. pgp-public-keys@keys.de.pgp.net
  365. pgp-public-keys@keys.no.pgp.net
  366. pgp-public-keys@keys.uk.pgp.net
  367. pgp-public-keys@keys.us.pgp.net
  368.  
  369. IS PGP REALLY SECURE?
  370.  
  371. Yes and no. Yes, it is secure against most attackers when used on a
  372. physically secure system in accordance with its instructions. This
  373. includes using a good passphrase to protect your private keys and
  374. keeping your passphrase and private keys truly private. You must also
  375. never run or allow to be run any rogue software (including viruses,
  376. worms, and Trojan horses) that might send your passphrase keystrokes and
  377. your PGP key file back to some spy.
  378.  
  379. If an adversary of yours has physical access to the computer that you
  380. use with PGP, it is not hard to install a hardware or software keystroke
  381. logger that can capture your passphrase, and to copy your private
  382. keyring. With that combination, any of your PGP-encrypted messages can
  383. be read. PGP is not secure if you don't understand what you are doing.
  384. It is also true that God knows your thoughts even before you encrypt
  385. them, so you can't hide anything from Him.
  386. http://ebible.org/bible/web/Psalms.htm#C139V1
  387.  
  388. MAY I COPY AND REDISTRIBUTE THIS FAQ?
  389.  
  390. Yes. Please only do so in appropriate forums, and provide pointers to
  391. the home location of this FAQ.
  392.  
  393. WHO MAINTAINS THIS FAQ?
  394.  
  395. Michael Paul Johnson mpj@ebible.org maintains this FAQ. My PGP and Gnu
  396. Privacy Guard public keys can be downloaded from my contact page at
  397. http://eBible.org/mpj/, as well as from the public key servers.
  398.  
  399. -----BEGIN PGP SIGNATURE-----
  400. Version: GnuPG v1.0.7 (Cygwin32)
  401.  
  402. iD8DBQE9ZcmuRI/gxxfXR7sRAju5AJ4/RkKcG291AGSTS/RtAbrjOjc/2wCg0uOR
  403. CjpPHBAD8FRffFrWev+SWyg=3D
  404. =3DDChL
  405. -----END PGP SIGNATURE-----
  406.  
  407.  
  408.