home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #30 / NN_1992_30.iso / spool / sci / crypt / 5654 < prev    next >
Encoding:
Internet Message Format  |  1992-12-14  |  2.7 KB
  1. Path: sparky!uunet!ogicse!verdix!islabs!fasttech!zeke
  2. From: zeke@fasttech.com (Bohdan Tashchuk)
  3. Newsgroups: sci.crypt
  4. Subject: Re: Spies using PGP
  5. Message-ID: <1992Dec14.054304.1311@fasttech.com>
  6. Date: 14 Dec 92 05:43:04 GMT
  7. Article-I.D.: fasttech.1992Dec14.054304.1311
  8. References: <1992Dec10.064145.21209@fasttech.com> <hmiller.724028396@lucpul.it.luc.edu>
  9. Organization: Fast Technology
  10. Lines: 44
  11.  
  12. In <hmiller.724028396@lucpul.it.luc.edu> hmiller@lucpul.it.luc.edu (Hugh Miller) writes:
  13.  
  14. >>>    Other interesting note.  He spoke with the FBI  about the matter and
  15. >>>    they indicated that they have also run into PGP. Once case involving
  16. >>>    espionage.
  17.  
  18. >>In hindsight, I guess this is quite obvious.
  19.  
  20. >>If he sticks to PGP, which is in relatively widespread use, what's on his
  21. >>laptop is much less incriminating than if he had a custom encrypt/decrypt
  22. >>application.
  23.  
  24. >    I do not find this story obvious at all.  Unless we are talking about
  25. >Burkina Fasso or Sudan, I doubt that any country would trust its diplomatic or
  26. >intelligence traffic to a product like PGP.  Real intelligence and diplomatic
  27. >services have had practically secure computer crypto for quite a while now.
  28. >If most American corporations won't let their employees use software that
  29. >hasn't been vetted by the folks in their MIS department, I can't imagine that
  30. >an intelligence agent of a decent government would be permitted to wing it
  31. >with PGP.
  32.  
  33. >    It would not be above some folks at State or the FBI to circulate such a
  34. >rumor.  Absent any specifics, which you are not going to get, consider this
  35. >story nothing but the usual _desinformatsiya_.
  36.  
  37. >    _Industrial_ espionage, now -- that's a real possibility.
  38.  
  39. It's important for a spy to not be obvious. A custom crypto program is more
  40. obvious than one in "widespread" use. Mailing to boris@kremvax.Xussr is more
  41. obvious than posting GIFs (as someone else suggested). You didn't comment on
  42. this aspect. For a fictitious example, The Cardinal of the Kremlin disguised
  43. his messages as diary entries. That way he could plausibly deny that they
  44. were anything more than diary entries.
  45.  
  46. We (readers of sci.crypt) have a belief that PGP is secure because we believe
  47. that very large numbers are "impossible" to factor, and that IDEA is difficult
  48. to break given frequent key changes. Perhaps the NSA and its counterparts have
  49. reached the same conclusions. In that case, it would be quite reasonable to
  50. have lower level spies (perhaps only industrial ones as you suggest) use PGP.
  51.  
  52. I'm not really a student of bureaucracy but I'll suggest that Not Invented
  53. Here would be a bigger obstacle keeping an agency from adopting PGP than any
  54. weaknesses in it. There is a general consensus that real spooks disparage the
  55. use of factoring based cryptosystems, but perhaps *that* is disinformation.
  56.