home *** CD-ROM | disk | FTP | other *** search
/ Info-Mac 4 / Info_Mac IV CD-ROM (Pacific HiTech Inc.)(August 1994).iso / Information / General / macpgp-guide-27.txt < prev    next >
Internet Message Format  |  1994-06-09  |  21KB
  1. Date: Sun, 20 Feb 1994 17:46:34 -0800
  2. From: qwerty@netcom.com (Xenon)
  3. Subject: "Here's How to MacPGP!" guide
  4.  
  5. Here's the latest version (2.7) of my "Here's How to MacPGP!" guide, to
  6. replace /info-mac/info/macpgp-guide-18.txt.
  7.  
  8. Hey Mac user, having too much fun? Don't want your plans made public?
  9. You're sending e-mail on "postcards" if you don't have the free public key
  10. encryption program PGP. You heard about it in the news; here's your easy
  11. guide to getting and using it. It will get non-Mac users started too.
  12.  
  13.  -=Xenon=- <qwerty@netcom.com>
  14.  
  15. Send mail to qwerty@netcom.com with Subject "Bomb me!", for my "Here's How
  16. to MacPGP!" guide (this document) and Gary Edstrom's PGP FAQ. If you
  17. received this unexpectedly, it means I found your post on Usenet or
  18. elsewhere asking about PGP, or I have made a mistake. People can now get
  19. these by anonymous ftp to netcom.com in /pub/gbe and /pub/qwerty as well.
  20.  
  21.  -=Xenon=-
  22.  
  23. Note: Don't try to get MacPGP from the ftp site soda.berkeley.edu, since
  24. it is mislabelled as being a Mac BinHex file, but it happens to also
  25. be Unix gzipped, without being labelled as such (no .gz at the end). They are
  26. being slow about fixing this.
  27.  
  28. Also: ViaCrypt should be coming out with a licenced MacPGP version. I
  29. suggest you buy it when it is available. It would be nice to get over
  30. this patents stigma.
  31.  
  32. Archie search for macpgp2.3 ftp sites, done 2-20-94:
  33.  
  34. Host athene.uni-paderborn.de
  35.     Location: /unix/network/security
  36.            FILE -rw-r--r--     422851  macpgp2.3.cpt.hqx
  37. Host cs.huji.ac.il
  38.     Location: /pub/security/pgp/2.3A
  39.            FILE -r--r--r--     422851  macpgp2.3.cpt.hqx
  40. Host ghost.dsi.unimi.it
  41.     Location: /pub/security/crypt
  42.            FILE -rw-r--r--     422851  macpgp2.3.cpt.hqx
  43. Host isy.liu.se
  44.     Location: /pub/misc/pgp/2.3A
  45.            FILE -rw-r--r--     422851  macpgp2.3.cpt.hqx
  46. Host ftp.luth.se
  47.     Location: /pub/mac/appl/encryption
  48.            FILE -rw-r--r--     422900  macpgp2.3.cpt.hqx
  49. Host ftp.cc.adfa.oz.au    (131.236.1.2)
  50.     Location: /pub/security/pgp23
  51.       FILE    -rw-r--r--  422885  macpgp2.3.cpt.hqx
  52.  
  53. -----BEGIN PGP SIGNED MESSAGE-----
  54.  
  55. Hey Mac user you're sending e-mail on "postcards" if you don't have PGP.
  56. You heard about it in the news; here's....
  57.  
  58. How to MacPGP:
  59. Version 2.7 (Feb. 19, '94)
  60.  
  61. PGP will encrypt files so not even crazy people with supercomputers can
  62. decrypt them. You write e-mail on a word processor, encrypt it using a
  63. someone's public key, and send it off. They use their private key to
  64. decrypt it. Public keys are just that; give yours out freely. Once a person
  65. encrypts a message with your public key, not even they can read it again.
  66. Only you, using your private key. Phil Zimmerman's PGP is the grassroots
  67. alternative to the Clipper Chip, which gives the government your secret
  68. key. I will send the PGP FAQ and this guide to anyone who sends mail to
  69. qwerty@netcom.com with Subject "Bomb me!".
  70.  
  71. [Non-Mac users: READ THIS, and the "PGP FAQ" by Gary B. Edstrom (available
  72. on alt.security.pgp or ftp to netcom.com in /pub/gbe in parts as
  73. pgpfq*.asc)! A beginner's guide like this one by Out and About
  74. <an50928@anon.penet.fi> called "DOS PGP Guide" exists (ftp to ftp.eff.org
  75. in /pub/EFF/Policy/Crypto as pgpstart.tutorial). Answers to questions (not
  76. in the FAQ) are available on the Usenet group alt.security.pgp. If you
  77. don't have Usenet, mail questions to alt.security.pgp@news.cs.indiana.edu
  78. (or @anon.penet.fi) and ask for e-mailed replies. There are versions for
  79. DOS (and friendly add-on interfaces), Windows, Unix, VAX/VMS, Atari ST,
  80. Amiga, OS/2, Archimedes and others. Get "The Big Dummy's Guide to the
  81. Internet" as shown below.]
  82.  
  83. Get a Unix e-mail account (student or commercial) with internet access, and
  84. a modem. GET A COPY OF THE FREE MAC PROGRAM STUFFIT EXPANDER (you NEED it,
  85. not just BinHex!). Log into your e-mail account. If you are stuck in a
  86. menu-driven place, figure out how to "escape to Unix" which will give you a
  87. $ or % prompt. Welcome to the internet. Let's find PGP. Type 'telnet
  88. archie.internic.net', login as 'archie', and type 'prog macpgp2.3'. A list
  89. of sites around the world having PGP will appear. Type 'bye'. One of the
  90. sites it gave me was:
  91.  
  92. Host isy.liu.se    (130.236.1.3)
  93. Last updated 08:14  3 Nov 1993
  94.  
  95.  Location: /pub/misc/pgp/2.3A
  96.   FILE  -rw-r--r-- 422851 bytes  10:58 19 Sep 1993  macpgp2.3.cpt.hqx
  97.  
  98. This archie server is fast, rarely overloaded, but limited. Another is
  99. archie.sura.net. Trying this site may fail but gives a list of other sites
  100. (and a hint to try 'qarchie' at this site). Do archies at night (same for
  101. ftp). You want a macpgp2.3 that ends in .hqx (or try leaving out the .gz
  102. when you do 'get' below, OR use 'binary' instead of 'ascii' below, then
  103. 'gunzip macpgp2.3.cpt.hqx.gz' in your account). Hqx (BinHex) is a way to
  104. code Mac stuff as text. The .cpt is a Mac compression method, as are .sit
  105. or .sea. The lists from other servers will be longer. I will use the above
  106. macpgp2.3.cpt.hqx at site isy.liu.se as an EXAMPLE.
  107.  
  108. Type 'ftp isy.liu.se', login as 'anonymous' and use an e-mail address as
  109. the password. For fun type 'ls -l'. You are in their hard disk's main
  110. directory and this is what's on it. Lines starting with 'd' are directories
  111. that you can move into using 'cd' ('cd ..' to backup). (During ftp use 'get
  112. filename "|more"' if you want to read a text file called "filename"; 'q' to
  113. stop). Based on the archie search, type 'cd /pub/misc/pgp/2.3A', and again
  114. 'ls -l'. There it is! Type 'ascii', 'get macpgp2.3.cpt.hqx', and wait; it
  115. is being transferred to your account. When you get the ftp> prompt type
  116. 'bye'. Back to e-mail and the hard part. Type 'ls -l' to see it. 
  117.  
  118. Find out how to DOWNLOAD a text file from your account to your desktop.
  119. [Try 'kermit', 'set file type text', 'send macpgp2.3.cpt.hqx', and initiate
  120. a receive in your software (set to do kermit transfers). Or 'sz
  121. macpgp2.3.cpt.hqx' (with software set to zmodem)]. Drag this file onto the
  122. icon of Stuffit Expander. MacPGP2.3 will appear. In your account 'rm
  123. macpgp2.3.cpt.hqx' will remove it.
  124.  
  125. You naughty thing. PGP on another Mac. Print the documentation. It is
  126. indeed cryptic. Better is the help feature of MacPGP2.3 itself, which is
  127. also printable. Start PGP. Make yourself a public/private key pair with
  128. 'Generate key', select '1024' ("slow" is only key generation), leave the
  129. '17' alone, and enter a name. Your secret key is really a long file that
  130. you will never have to manually type in, but you have to remember a "pass
  131. phrase" to use it (and keep others from using it if they steal your secret
  132. key). Check 'Show pass phrase' and enter a very memorable, very obscure
  133. sentence. Don't use all normal words! Make up tricks like "Pile?driver" or
  134. "Here1we2go3you2stupid1bozo." Type away as requested to make some random
  135. numbers. Wait. You can see your public key with 'View keyring' on
  136. pubring.pgp. DON'T FORGET YOUR PASS PHRASE! Writing it down is better than
  137. a slight chance of forgetting it.
  138.  
  139. Sign your own key to prevent others from changing its ID: 'Certify key',
  140. select pubring.pgp, select your own key, and again your own key. This is
  141. also how you sign other people's public keys [then extract it as shown
  142. below to send to them, so they can add ('Add keys') your signature to their
  143. public key]. Once you have a circle of friends who have signed each other's
  144. keys, you have a trusted network. If someone mails you a key signed by
  145. someone in this network, you can better trust it. There is no way for
  146. someone to forge your friend's signature on that key unless they stole your
  147. friend's secret key AND knows its pass phrase. [You need the public key of
  148. a friend to verify ('Check signatures') a signature they have placed on a
  149. key.]
  150.  
  151. Write some e-mail on a word processor and save it ('Save As') to the
  152. desktop as TEXT ONLY (ascii) and close its window. Do 'Encrypt/Sign' on the
  153. file. Double click on the public key you want to encrypt it with (for now
  154. your own) and hit 'OK'. Check 'Treat source as text', 'Produce output in
  155. ASCII format', and hit 'OK'. A file ending in .asc will be made. Don't let
  156. the icon fool you; this is a simple text file that you can open with a word
  157. processor. Do this. You will see,
  158.  
  159.  -----BEGIN PGP MESSAGE-----  
  160.  Version: 2.3
  161.  
  162.  Lines of random looking text characters here.  
  163.  -----END PGP MESSAGE-----
  164.  
  165. This text (lines included) can be sent by e-mail to anyone on any computer
  166. running PGP. But since it is encrypted with your public key, let's pretend
  167. a friend made it and sent it to you. Toss the original. In PGP, do
  168. 'Open/decrypt', and choose the .asc file. Enter your pass phrase so PGP can
  169. use your secret key. A text file, the decrypted message, will appear. [The
  170. System 7 Control Panel "defaultappliction" by L. D'Oliveiro will allow a
  171. double-click to open text files to the word processor of your choice (ftp
  172. to ftp.luth.se in /pub/mac/system/controlpanels). If you use Microsoft
  173. Word, removing the "Text with Layout" filter from the "Word Commands" file
  174. will kill that annoying choices window too.] When you receive a PGP
  175. message, it will have e-mail headers, but PGP will ignore (and edit out!)
  176. anything outside the PGP header and footers.
  177.  
  178. Shortcut: write text in a word processor, copy it to the Clipboard and have
  179. PGP encrypt it THERE ('Clipboard' button in 'Encrypt/sign' dialog box),
  180. then paste it into e-mail. This also works for decryption, allowing you to
  181. paste the decrypted text anywhere. The Finder also has 'Show Clipboard', or
  182. you can check 'Decrypt to screen only' but I do NOT recommend this feature
  183. (fails if lines >80 characters, and crashes during saves). There is a nasty
  184. bug in MacPGP2.3 which causes a crash if you use the Clipboard to check a
  185. signed message and you don't have the public key to check it with. If you
  186. get mail from someone who's key you don't have, don't use the Clipboard
  187. feature!
  188.  
  189. [You can just paste small text blocks into e-mail. Your software should
  190. also have a "send" feature to autotype LARGE text files to the screen. This
  191. is what I use, but it can be tricky AND there may be no error control
  192. (characters may get lost, ruining the message). If lines get cut wrong,
  193. turn off word-wrapping in your account or software. More reliable is to
  194. upload a file ('rz'; or 'kermit', 'set file type text', 'receive') and
  195. include it in e-mail (in Unix 'mail', '~r filename' as a line in e-mail, or
  196. use 'mail -s "Hi there!" name@site < filename'). You can view text files
  197. with 'more filename', 'q' to stop. Flow control should be 'hardware' (in
  198. software or modem setup string). If you RECEIVE long e-mail, use the
  199. "capture" feature of your software when you view it, OR save it to a file
  200. and download it. Making windows tiny lets text scroll faster. Ask questions
  201. on comp.dcom.modems.]
  202.  
  203. Checking 'Encrypt and sign' also SIGNS a message you are encrypting.
  204. Signatures are a trick, in that they are ENCRYPTED with your secret key,
  205. meaning a message must be from you (unaltered) since only your public key
  206. can decode them. If you want to SIGN NON-encrypted text, use the menu item
  207. 'Sign Only' and check 'Append clear signature'. A text file will appear
  208. containing your readable e-mail between the header and footers of the
  209. signature. Anyone can check that this message is from you and is unaltered
  210. (copy to Clipboard, then 'Open/Decrypt'), if they have your public key.
  211.  
  212. [Problem with signing NON-encrypted messages: If you don't cut lines to
  213. about 75 characters BEFORE signing, the carriage returns added on uploading
  214. (by Unix or your software) will spoil the signature! For this I use
  215. Drop*TextBreak by Robert Gibson (ftp to sumex-aim.stanford.edu in /info-
  216. mac/text as drop-text-break.hqx). Another problem: certain characters may
  217. be altered upon uploading text. Don't use smart quotes (curly symbols for '
  218. and ") or control characters. E-mailing a message to yourself will reveal
  219. problems (use a text comparison utility). This ONLY concerns "clearsigning"
  220. of NON-encrypted messages.]
  221.  
  222. To send your public key to a friend do 'Extract key' with 'aciify' checked,
  223. and name it "My public key". A text file of your public key will appear:
  224.  
  225.  -----BEGIN PGP PUBLIC KEY BLOCK-----  
  226.  Version: 2.3
  227.  
  228.  About 8 lines of random looking characters here.  
  229.  -----END PGP PUBLIC KEY BLOCK-----
  230.  
  231. When you get a friend's public key, get it to your desktop (paste into
  232. blank document and save as TEXT ONLY). Do 'Add keys', select the file, and
  233. select pubring.pgp to add it to your public key ring. Try this with my key.
  234. ('Fingerprint key' will give you a short string of characters unique to
  235. that key, for verbal confirmation of key origins.) 
  236.  
  237. Now you can encrypt text files with their public key to send to them. You
  238. can also send non-text files (ANY Mac file) by using 'Treat source as a Mac
  239. file' and 'Produce output in ASCII format'. You will again get PGP text
  240. block to send. To decrypt this, it is the same as before. Presently MacPGP
  241. wont let you select a Macintosh folder full of stuff, so use a compression
  242. program (Stuffit Lite or Compact Pro, shareware) to put items into one
  243. archive file (PGP itself compresses files so make NON-compressed
  244. archives).
  245.  
  246. [To encrypt a file on your hard disk only, you can use the menu item
  247. 'Conventional Encryption' (and even create "self-decrypting" Mac files)
  248. with 'Treat source as Mac file' checked. However the pass phrase in this
  249. case is ITSELF the key used to encrypt the file, so you must be VERY
  250. careful in typing it and remembering it (and why not use the drag-and-drop
  251. utility Curve Encrypt by Will Kinney instead, even though it doesn't
  252. compress files like PGP does, it can do multiple files at once; from
  253. ripem.msu.edu in pub/crypt/other/curve-encrypt-idea-for-mac as
  254. curve_encrypt.sea.hqx). I prefer to just encrypt such files with my public
  255. key, again checking only 'Treat source as Mac file". The result of these is
  256. not a text file!]
  257.  
  258. When you have PGP up and running, with a few signatures on your key, send
  259. your public key to a keyserver. You can find most anyone's key on these
  260. servers. See the "PGP FAQ" and the blurb in the PGP documentation for
  261. details. (There are people who will plop your public key onto the
  262. keyservers, even if you send it in e-mail and especially if posted to
  263. Usenet. Be happy with your key first. You can still add new signatures to
  264. your key on the servers by adding your the signed key to any server.) There
  265. is also a finger server for public keys. Do 'finger keyword@wasabi.io.com'
  266. to check for someone's public key, and to find out what its Key ID is,
  267. where "keyword" is part of his name or e-mail address. Then do 'finger
  268. 0x123456@wasabi.io.com', if 123456 is the Key ID.
  269.  
  270. [Bug: if you are sent a PGP message by e-mail (ascii text-format), and you
  271. don't end the name of this text file on your Mac with .asc, PGP will ask
  272. you if you want to replace it. If you say yes and give it another name, it
  273. may fail to immediately update the finder views. You wont be able to see
  274. the output file (ignore the temporary files ending in .$01 and such), but
  275. you CAN see it in the 'Open' dialog of a word processor. Three solutions:
  276. add .asc (or just a period!), enter a new name while you are STILL in the
  277. decryption options dialog box (not possible if you use the drag-and-drop
  278. feature of System 7), or LET IT OVERWRITE THE ORIGINAL TEXT FILE (you loose
  279. any text outside the PGP message). This is not a problem with binary PGP
  280. messages, which normally end in .pgp but don't have to.]
  281.  
  282. Realize that a PGP message tells anyone the name of the public key it was
  283. encrypted with. On creating a new key pair with an anonymous nickname and
  284. using an anonymous remailer (send blank mail to help@anon.penet.fi or read
  285. about remailers in the PGP FAQ), this information is removed. A commercial
  286. Unix account is good too, as e-mail errors wont route to your LOCAL system
  287. administrators. Netcom (408-554-UNIX) even lets you keep your real name
  288. private (but call by phone or the sites you have telnetted in from are
  289. told). Note though, that sending a floppy with no return address is much
  290. more secure than using anonymous remailers on the Word Wide Wiretap, er...
  291. internet.
  292.  
  293. Another trick is to HIDE your use of encryption. Stego by Romana Machado
  294. (ftp to sumex-aim.stanford.edu in /info-mac/cmp) will hide text as the
  295. least significant bit in a Mac PICT file, but this increases the size of a
  296. message by 8-24 times. I prefer to type a message in a word processor, cut
  297. it out, encrypt it within the Clipboard, paste it back, save it as a real
  298. word processor file, then BinHex that (using the Drag and Drop utility
  299. hqxer-11.hqx by John Stiles: ftp to sumex-aim.stanford.edu in /info-
  300. mac/cmp), and finally have my software autotype the file into e-mail. This
  301. is fast, and it's business as usual sending BinHex encoded Mac files. This
  302. way PGP is simply a Clipboard utility that adds encryption to a word
  303. processor. On receiving such a file, download it, drag it onto Stuffit
  304. Expander, and again use PGP as a Clipboard utility to decrypt it. [You may
  305. need to put 'set escape=~' into a file called .mailrc, if your Unix system
  306. doesn't use the normal tilde (~) escape character for e-mail, to avoid
  307. stripping any lines out of BinHex files!]
  308.  
  309. You can set many defaults by editing the text file config.txt. 'TextMode =
  310. on' checks 'Treat source as text'. 'Recycle_Passwords = on' means you only
  311. have to type a pass phrase once per PGP session (but get it right the first
  312. time!). 'Armor = on' checks 'Produce output in ascii format'. 'ClearSig =
  313. on' checks 'append clear signature'. 'Verbose = 0' sets Quiet Mode, which I
  314. prefer. You can always uncheck them; they are only defaults. I do NOT
  315. recommend setting 'showpass = on' which checks 'show pass phrase', since it
  316. leaves it on the screen! Just check 'Show pass phrase' manually to avoid
  317. this. Even so, your pass phrase is really only safe after you have quit
  318. MacPGP, so don't leave it running if you put a PowerBook to sleep.
  319.  
  320. Read the manual and the Usenet groups alt.security.pgp, alt.privacy and
  321. talk.politics.crypto. If MacPGP ever freezes hold down the option, command,
  322. and escape keys to force it to quit. Get a program to erase data from your
  323. hard disk after you "empty" the Trash and a replacement for the Trash
  324. itself (FlameFile by Josh Goldfoot does both; ftp to mac.archive.umich.edu
  325. in /mac/util/security as flamefile1.38.cpt.hqx). Get "The Big Dummy's Guide
  326. to the Internet" by Adam Gaffin and Joerg Heitkoetter (ftp to ftp.eff.org
  327. in /pub/Net_info/Big_Dummy, as the text file bigdummy.txt). Get "Anonymity
  328. FAQ" (ftp to rtfm.mit.edu, in /pub/usenet/news.answers/net-anonymity, in
  329. four parts) and "Privacy and Anonymity FAQ" (in
  330. /pub/usenet/news.answers/net-privacy, in three parts) by L. Detweiler. If
  331. you find PGP hard to use, live with it; new versions will arrive. I know
  332. nothing about non-Mac PGP. Go figure; don't ask me. I don't care about you.
  333. I just want more people to use PGP so I can hide my wonderfully important
  334. messages in the noise of your boring ones ;-).
  335.  
  336. [If you get tired of the tiny scrollable list of keys when you select a
  337. public key for encryption, open a COPY of MacPGP2.3 with ResEdit (ftp to
  338. ftp.apple.com in /dts/mac/tools/resedit as resedit-2-1-1.hqx) and open
  339. DLOG, #129, set 'MiniScreen' in the menu bar to the size of your screen,
  340. and resize the little window to make it taller. Double click on it, then
  341. move the buttons to the bottom, after dragging a rectangle around them to
  342. select them. Make the selection box taller now too. Quit. Now you will get
  343. a full-sized scrollable box which shows many more keys at once. Do NOT
  344. distribute this modified form of MacPGP.]
  345.  
  346. Note that PGP is very controversial, both legally (patent rights and export
  347. laws) and politically (as a tool it empowers individuals to ensure their
  348. own right to privacy). Despite this it is becoming the standard encryptor.
  349. It may change the world.
  350.  
  351. Comments on when and where I should post this and suggestions as to content
  352. are invited. I see too many "How do I get PGP?" inquiries needing real
  353. answers, and too many copies of PGP added to unused novelty collections.
  354. POST THIS EVERYWHERE. Please do not alter it. (Copyright Xenon, 1994).
  355.  
  356.  -=Xenon=-  <qwerty@netcom.com or slower, na48138@anon.penet.fi>
  357.  
  358. My key (remove the '-' and 'space' from the lines, added on signing this
  359. document):
  360. - -----BEGIN PGP PUBLIC KEY BLOCK-----
  361. Version: 2.3
  362.  
  363. mQCPAizgA+EAAAEEAMzQAf9ff0q9tVD5oBxtVlPYAito4RBM+hJvX4irXzYgJWsA
  364. Fhc4b/RfLcbGQVHwm0Q74cp/KhijXqGeLE2Tk62x04u1mjfBevoOHUltOOWxrIbU
  365. y6ros1cThAzVL03lkh6OHR3DbfUJWld9WtmamGWFGHYvt1WSagSzG6zrQn1RABEB
  366. AAG0BVhlbm9uiQCVAgUQLPj9XgSzG6zrQn1RAQEvhwP8Cpm7gxR1mkgnGA8TPHXo
  367. vyjiUKpoXJlbMizz/yKzIHfPXDqKq9bcEz15mS5t7Jl9ZFBKs+n39D79lbB5ZLcn
  368. 2qKuT5f+A9+++3bCcFlqRQqoHMzRfhIPCDYY5XNDLpR+vsUadxrC8N200qpvLvpL
  369. Wb7LQ+hXkrskvFwpJErIS1Y=
  370. =bZeo
  371. - -----END PGP PUBLIC KEY BLOCK-----
  372.  
  373. -----BEGIN PGP SIGNATURE-----
  374. Version: 2.3
  375.  
  376. iQCVAgUBLWe8UASzG6zrQn1RAQEq7wP9E0T733caOhgi6lBoVu1ThRdywl6dMopD
  377. U+OBnM5EXgHtkmUKMIdUmL/AY9Jv7y/QwsfjziTXr0po5XaGH0vOI4tDm4+o3c6u
  378. 5gyE412XeGs5JqZxdIQcopp5XwboQGhDLjZqua3sFq0tl0OJRVea1K8jJGof1ISf
  379. are5gyKQ3vo=
  380. =GSbx
  381. -----END PGP SIGNATURE-----
  382.  
  383.