home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #30 / NN_1992_30.iso / spool / sci / crypt / 5618 < prev    next >
Encoding:
Internet Message Format  |  1992-12-12  |  9.2 KB
  1. Xref: sparky sci.crypt:5618 alt.security.pgp:146
  2. Path: sparky!uunet!zaphod.mps.ohio-state.edu!caen!nic.umass.edu!m2c!crackers!transfer.stratus.com!ellisun.sw.stratus.com!cme
  3. From: cme@ellisun.sw.stratus.com (Carl Ellison)
  4. Newsgroups: sci.crypt,alt.security.pgp
  5. Subject: PKP/RSA comments on PGP legality
  6. Message-ID: <1galtnINNhn5@transfer.stratus.com>
  7. Date: 11 Dec 92 18:16:23 GMT
  8. Organization: Stratus Computer, Software Engineering
  9. Lines: 181
  10. NNTP-Posting-Host: ellisun.sw.stratus.com
  11.  
  12. I went to the horse's mouth and asked some folks at PKP & RSA to comment
  13. on PGP legality.  Here's their reply.  I have permission to post it.
  14.  
  15. This was inspired by my original question, to them, whether I could buy
  16. an individual license to permit me to use PGP.  [I have since concluded
  17. that I would like to get a copy of the PGP interface spec so that I could
  18. write a program, using RSAREF, which interoperates with PGP.  I see PGP
  19. as setting a kind of new standard format -- an alternative to PEM.]
  20.  
  21. So -- on to the reply from PKP (much from a lawyer there) and RSA:
  22.  
  23.  
  24. - - -----------------------------------------------------
  25.  
  26. Risks of using pgp
  27.  
  28. One should be careful about assuming that the documentation in
  29. electronically distributed software is accurate, especially where
  30. law is concerned.  
  31.  
  32. There is much that the documentation for pgp does not tell you about
  33. patent and export law that you should be aware of.  Some of the
  34. statements and interpretations of patent and export law are simply
  35. false. This note will attempt to offer some clarification and accurate
  36. information.
  37.  
  38. pgp seems to be an attempt to mislead netters into joining an
  39. illegal activity that violates patent and export law, letting them
  40. believe that they run no serious risk in doing so.  
  41.  
  42. PATENTS
  43.  
  44. Patent law prohibits anyone from making, using, or selling a device
  45. that practices methods described in a U.S. patent.  pgp admits
  46. practicing methods described in US patent #4,405,829, issued to the
  47. Massachusetts Institute of Technology, and licensed by Public Key
  48. Partners.
  49.  
  50. Those who send signed or encrypted messages, post the pgp program, 
  51. or encourage others to do so are inducing infringement. Under 
  52. patent law, there is no distinction between inducement to infringe and 
  53. direct infringement. You are just as liable.  
  54.  
  55. Being aware of the RSA patent makes infringement willful and
  56. deliberate. Under patent law, a patent holder is entitled to seek
  57. triple damages and legal fees from deliberate infringers.  While the
  58. pgp documentation suggests you that you probably won't get sued, it
  59. doesn't tell you what can happen when patent holders assert their
  60. rights against infringement.
  61.  
  62. Free and legal RSA software is available. RSA Data Security has
  63. released a program, including source code, called RSAREF. This program
  64. is available free to any U.S. person for non-commercial use.
  65. Applications may be built on RSAREF and freely distributed, subject to
  66. export law.  An application that provides email privacy, based on
  67. RSAREF, which uses the RSA and DES algorithms, called RIPEM is an
  68. example. For information, send email to rsaref-info@rsa.com or
  69. rsaref-users@rsa.com.  
  70.  
  71. NOTE: The pgp documentation states that PKP acquired the patent rights
  72. to RSA "... which was developed with your tax dollars..." This is very
  73. misleading.  U.S. tax dollars only partially funded researchers at MIT
  74. who developed RSA. The U.S. government itself received royalty-free
  75. use in return.  This is standard practice whenever the government
  76. provides financial assistance.  The patents on public-key are no
  77. different and were handled no differently than any others developed at
  78. universities with partial government funding. In fact, almost every
  79. patent granted to a major university includes government support,
  80. returns royalty-free rights to the government, and is then licensed
  81. commercially by the universities to private parties.
  82.  
  83. EXPORT LAW
  84.  
  85. pgp leads users to believe that it has circumvented export controls
  86. when it says "...there are no import restrictions on bringing
  87. cryptographic technology into the USA."  You are led to believe that
  88. since you didn't import it, it's legal for you to use it in the US.
  89. The "no import restrictions" claim has been made so many times, many
  90. people probably believe it.
  91.  
  92. One would be well advised not to accept this legal opinion.  While
  93. stated as if it were a well-known fact, the claim that "there are no
  94. import restrictions" is simply false.  Section 123.2 of the ITAR
  95. (International Traffic in Arms Regulations) reads:
  96.  
  97. "123.2 Imports. No defense article may be imported into the United
  98. States unless (a) it was previously exported temporarily under a
  99. license issued by the Office of Munitions Control; or (b) it
  100. constitutes a temporary import/intransit shipment licensed under
  101. Section 123.3; or (c) its import is authorized by the Department of
  102. the Treasury (see 27 CFR parts 47, 178, and 179)."
  103.  
  104. Was pgp illegally exported? Was pgp illegally imported?  Of course.
  105. It didn't export or import itself.  pgp 1 was illegally exported from
  106. the U.S., and pgp 2, based on pgp 1, is illegally imported into the
  107. U.S.  Is a license required? According to the ITAR, it is.  ITAR
  108. Section 125.2, "Exports of unclassified technical data," paragraph (c)
  109. reads:
  110.  
  111. "(c) Disclosures. Unless otherwise expressly exempted in this
  112. subchapter, a license is required for the oral, visual, or documentary
  113. disclosure of technical data...  A license is required regardless of
  114. the manner in which the technical data is transmitted (e.g., in
  115. person, by telephone, correspondence, electronic means, telex, etc.)."
  116.                 
  117. What is "export?" Section 120.10, "Export," begins:
  118.  
  119. "'Export' means, for purposes of this subchapter: ...(c) Sending or
  120. taking technical data outside of the United States in any manner
  121. except that by mere travel outside of the United States by a person
  122. whose technical knowledge includes technical data; or..."
  123.  
  124. Is pgp subject to the ITAR? See Part 121, the Munitions List, in
  125. particular Category XIII, of which paragraph (b) reads, in part,
  126. "...privacy devices, cryptographic devices and software (encoding and
  127. decoding), and components specifically designed or modified
  128. therefore,..."
  129.  
  130. A further definition in 121.8, paragraph (f) reads: "Software 
  131. includes but is not limited to the system functional design, 
  132. logic flow, algorithms, application programs, ..."
  133.  
  134. pgp encourages you to post it on computer bulletin boards.  Anybody
  135. who considers following this advice is taking quite a risk.  When you
  136. make a defense item available on a BBS, you have exported it.
  137.  
  138. pgp's obvious attempts to downplay any risk of violating export law
  139. won't help you a bit if you're ever charged under the ITAR.
  140.  
  141. Penalties under the ITARs are quite serious.  The ITARs were clearly
  142. designed to put teeth into laws that make exporting munitions illegal.
  143. It's unfortunate that cryptography is on the munitions list. But it
  144. is.  pgp is software tainted by serious ITAR violations.
  145.  
  146. These points on patent and export law are straightforward and can
  147. easily be confirmed with legal advice. However, there are other
  148. statements in the pgp documentation that should not go unchallenged.
  149.  
  150. In pgp 2.0, the author says, "I did not steal any software from PKP."
  151. (PKP is the patent holder for the RSA patent.)  Of course not; PKP
  152. doesn't make any software. However, not mentioned is a software
  153. product by RSA Data Security called MailSafe.  This product was first
  154. shipped in July of 1986.  Features such as a digital signatures on the
  155. program itself for verification, internal self-check for virus
  156. detection, compression of plaintext and ASCII recoding of encrypted
  157. binary files, direct and extended trust of public keys through
  158. certification, including the publisher's public key in the
  159. distribution, display of a message digest, security and password
  160. advice, and many others are in MailSafe and are carefully documented
  161. in the user manual.  The authors of pgp have had a copy of MailSafe
  162. and the user manual since 1987.
  163.  
  164. There may be nothing illegal about using ideas from another product,
  165. but there's something dishonest about misleading people into believing 
  166. these ideas were your own in the interest of recruiting "fans."
  167.  
  168. pgp calls itself "public-key for the masses." Even this isn't
  169. original.  The September 12, 1986 issue of the Christian Science
  170. Monitor contains a page one story on cryptography, and discusses
  171. MailSafe. In that story, an RSA spokesman is quoted as saying
  172. "MailSafe is public-key for the masses." Reprints of this story were
  173. widely circulated in RSA press kits, and received by the pgp authors
  174. in 1987.
  175.  
  176. The documentation to pgp would have readers believe that pgp was the
  177. result of a noble desire to save everyone from an evil government
  178. threatening to deny rights to privacy; that users and distributors of
  179. pgp have little or nothing to fear from the patent holders, who, it is
  180. implied, are probably dishonest anyway; and that one shouldn't be
  181. concerned about export controls because pgp beat the system for
  182. everyone by having been developed overseas and imported legally.  The
  183. facts simply don't support these claims.
  184.  
  185.  
  186. - - -----------------------------------------------------
  187.  
  188. -- 
  189. -- <<Disclaimer: All opinions expressed are my own, of course.>>
  190. -- Carl Ellison                        cme@sw.stratus.com
  191. -- Stratus Computer Inc.    M3-2-BKW        TEL: (508)460-2783
  192. -- 55 Fairbanks Boulevard ; Marlborough MA 01752-1298    FAX: (508)624-7488
  193.