home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #30 / NN_1992_30.iso / spool / sci / crypt / 5691 < prev    next >
Encoding:
Internet Message Format  |  1992-12-15  |  12.1 KB
  1. Xref: sparky sci.crypt:5691 alt.security.pgp:181
  2. Newsgroups: sci.crypt,alt.security.pgp
  3. Path: sparky!uunet!cis.ohio-state.edu!pacific.mps.ohio-state.edu!linac!uchinews!lucpum.it.luc.edu!lucpul.it.luc.edu!hmiller
  4. From: hmiller@lucpul.it.luc.edu (Hugh Miller)
  5. Subject: Re: PKP/RSA comments on PGP legality
  6. Message-ID: <hmiller.724397340@lucpul.it.luc.edu>
  7. Sender: root@lucpum.it.luc.edu (System PRIVILEGED Account)
  8. Organization: Loyola University Chicago
  9. References: <1galtnINNhn5@transfer.stratus.com>
  10. Date: Tue, 15 Dec 1992 05:29:00 GMT
  11. Lines: 178
  12.  
  13.     Mr. Bidzos gives the appearance of being a very effective lawyer,
  14. representing the interests of his company, RSADSI/PKP, well.
  15.     Consider the post via Carl Ellison.  By not making it under his own
  16. name, but under Carl's headers, he achieves a double purpose.  First, he
  17. veils his threat.  A veiled threat, of course, works better than a naked
  18. one, since it leaves a greater measure of uncertainty in the mind of
  19. potential end-users.  And, after all, that is one of the principal aims
  20. of the posting: to scare off potential end-users of PGP, currently the
  21. world's most popular public-key encryption program.  Second, he presents
  22. the spectacle to the Net of an intimidated potential end-user, to wit,
  23. Carl.  This is also psychologically quite effective, as we in the
  24. Internet community have the tendency to identify with Carl, being like
  25. him.  There has been a rush of postings on alt.security.pgp lately
  26. urging the dropping of PGP for RIPEM.  How very convenient.  Success, so
  27. far.
  28.     The issuance of credible and effective threats constitutes a large part
  29. of the work of a lawyer.  Threats are much less expensive than actual
  30. lawsuits, and less risky (one can lose a lawsuit; one cannot `lose' a
  31. threat).  It is a cardinal rule of actual legal practice that one should
  32. postpone as long as possible going to court over a situation which is
  33. already favorable to you _in re_.  Mr. Bidzos's company makes a modest
  34. income from the (few) licenses it has issued to software developers, and
  35. it wouldn't be prudent, as they say, for him to risk going to court and
  36. subjecting the RSA patent (and his investors' capital) to the glaring
  37. light of a public trial, when he can achieve his ends by intimidation
  38. and innuendo.  But this does not means that we, the readers and targets
  39. of his threats, need to take them at face value.
  40.     Mr. Bidzos claims that we should avoid using PGP because it is
  41. "tainted by serious ITAR violations."  If it has fallen to the likes of
  42. Mr. Bidzos to prosecute PGP developers, distributors, and users under
  43. the ITAR, then the Reagan Revolution's privatization-of-government
  44. schemes have gone farther than we thought.  Mr. Bidzos does _not_ speak
  45. for the federal government, although he may well have been speaking _to_
  46. that government's agents about PGP.  Some branch or other of the federal
  47. government may well be bothered by the existence of PGP, but it would be
  48. unlikely that any prosecution would be mounted by a federal agency
  49. without a prolonged consideration of the political risks this would
  50. involve.  The Feds are still smarting over the Phasorphone and DES
  51. debacles, not to mention NSA's failed attempt to wangle control of
  52. crypto funding from the NSF, and the current bad publicity over the
  53. FBI's "digital telephony" scheme.  I hardly think they would be eager to
  54. climb back into that saddle just yet, knowing the public outcry that
  55. would greet such an attempt.
  56.     As to Mr. Bidzos's claim that by simply posting PGP on a BBS, "you
  57. have exported it," this is laughably absurd.  There are literally
  58. hundreds of "data security" programs floating around the Internet and
  59. the BBS world.  Some employ DES; some their own `miracle' proprietary
  60. schemes.  All are examples of "privacy devices, cryptographic devices
  61. and software (encoding and decoding), and components specifically
  62. designed or modified therefore."  For all the years these little
  63. file-scramblers have been making it into the public domain, Mr. Bidzos
  64. has managed to keep his zeal for the law in check. But ah, all of a
  65. sudden up pops a public-key cryptosystem with source code supplied and
  66. he is filled with patriotic elan.
  67.     Is Mr. Bidzos actually trying to goad the federal government into
  68. launching some kind of major criminal prosecution against everyone who
  69. has had a hand in the development or distribution of PGP?  ITAR statutes
  70. are criminal statutes; if you're convicted under them, you're looking at
  71. hard time in Leavenworth.  Is he seriously advocating prison sentences
  72. for these persons, or for end-users of PGP? Is such a position really in
  73. the best interests of his company, from any standpoint, since he is
  74. actively promoting the same technology himself? If such a prosecution
  75. actually were to go forward, cryptography in general would suffer, and
  76. RSADSI/PKP along with it.
  77.     But what about the protection of the patent rights held by Mr.
  78. Bidzos's company -- which it is his true and only aim to protect, ITAR
  79. burblings being a side issue?  What, then, are we to do, if we wish to
  80. avail ourselves of the powerful assymetric cryptosystems which,
  81. RSADSI/PKP claims, are all covered by their patent?  It appears that we
  82. cannot just go to the library, Xerox up Rivest, Shamir, and Adleman's "A
  83. method for obtaining digital signatures and public key cryptosystems"
  84. (CACM 21(2), 120-6, Feb. 1978), and devote a few hundred hours to
  85. banging up an C implementation.  The RSA algorithm is covered by a
  86. patent, #4,405,829 (issued 20 Sept. 1983).  RSADSI/PKP is the sole
  87. assignee of the patent, held by MIT.  They also have acquired the rights
  88. to three other PK systems and are apparently claiming patent rights to
  89. the very idea of public-key cryptography, which, unless I read the
  90. literature wrong, was first published by Whit Diffie and Martin Hellman
  91. ("New directions in cryptography," IEEE Trans. Info. Theory, IT22,
  92. 644-54, Nov. 1976).
  93.     Mr. Bidzos advocates adoption of "a program, including source code,
  94. called RSAREF," from RSADSI.  Yet RSAREF is, to my knowledge, not a
  95. complete program, but a set of subroutines which do a specific, limited,
  96. and inflexible number of mathematical operations on given input data.
  97. It is by no means a full program, and it would require a great deal of
  98. work to build it up into one.  (I have never seen any "rsaref" compiled
  99. object code for any machine, any platform; only source code.  And it is
  100. my understanding that we would not even have RSAREF in the public domain
  101. had it not been crowbarred out of RSADSI/PKP by the terms of one of
  102. their federal grants. So RSAREF represents an algorithm for which we, the
  103. taxpayers, have paid _twice_.  Mr. Bidzos claims that it is being
  104. offered for "free.")  Even if one were to build a PK system upon RSAREF,
  105. it would lack much of the flexibility and functionality of PGP, which
  106. utilizes quite different data structures for its keys, key certificates,
  107. keyrings, etc. etc. RIPEM, built upon RSAREF, from the beta version I
  108. have seen (and which I downloaded by anonymous ftp from scss3.cl.msu.edu
  109. two weeks ago, before the ftp archive there was closed to anon-ftp
  110. access), is a slower program with fewer options and much less
  111. functionality than PGP, especially on a non-Unix platform.  It keeps
  112. both the plaintext and encrypted text in memory together, and thus
  113. imposes limitations on many end-users with small memory allocations.
  114. Unlike PGP, it cannot do symmetric (private-key) encryption.  It lacks
  115. the ability to sign public keys.  It relies heavily upon a centralized key
  116. distribution authority (although it can be used without such), which PGP
  117. does not.  For its single-key cipher it utilizes, ahem, DES.  Unlike
  118. PGP, there is no current version for Macintosh and compatible computers.
  119. And the docs for 4.2(beta) indicate that even its own author, Mark
  120. Riordan, is unsure that "the current RSAREF license allows free personal
  121. use of RIPEM by citizens of the United States and Canada."  He _thinks_
  122. it does. "However," he notes, "this personal interpretation has no legal
  123. standing, and RIPEM users are urged to read the RSAREF license agreement
  124. themselves."  And Mr. Bidzos would like us to be reassured by this?
  125.     Mr. Bidzos urges us to avail ourselves of MailSafe, RSADSI's
  126. proprietary end-user package (for Mess-DOS environments).  Apparently
  127. MailSafe is obtainable only by direct mail order from RSADSI.  A call
  128. this morning to the biggest local retailer of PC hardware and software
  129. in Chicago, Elek-Tek, revealed that they had never heard of MailSafe,
  130. and none of their distributors carries it.  The same with CompUSA, in
  131. Skokie.  A call to Egghead Software, one of the biggest national chain
  132. software retail dealerships, revealed that they had never heard of
  133. MailSafe, and none of their distributors carries it.  One could go on
  134. and on.  This is hardly the aggressive marketing one would expect from a
  135. firm with a lock on a patent of critical importance to Americans in the
  136. Information Age.  Albert Einstein worked in a patent office, but it
  137. never occurred to him to patent the theory of special relativity.  If he
  138. had, and had assigned the patent to Bidzos & co., the world's first
  139. cyclotron would still be nothing but drawings in a grant proposal.
  140.     Mr. Bidzos and his co-workers at RSADSI/PKP may feel that, at some
  141. point, they must go to court to protect the patents they claim.  But as
  142. prudent lawyers they must not relish the prospect.  They risk a lot: not
  143. just the patent(s), but the immensely bad publicity they would get from
  144. such an action.  Any victory they would win would be Pyrrhic, given the
  145. immense fund of ill-will towards the issue of algorithmic patents
  146. generally and these ones in particular evident in the computing
  147. community.  The ACM recently adopted a code of ethics which includes
  148. among its "General Moral Imperatives" the stipulations that, "As an ACM
  149. member I will... 1.5 Honor property rights including copyrights and
  150. patents, ... 1.6 Give proper credit for intellectual property."  These
  151. stipulations are already generating heat among ACM members.
  152. (Ironically, "General Moral Imperative" # 1.7 obliges ACM members to
  153. "Respect the privacy of others.")  I cannot believe that RSADSI/PKP
  154. would think it worth their while to pursue a suit like this against a
  155. freeware product produced by a worldwide group of relatively penniless
  156. but widely admired computer professionals.
  157.     In the Information Age, in which we have been living for a long time
  158. now, innovations like PK cryptosystems and David Chaum's untraceable-
  159. transactions techniques will become crucial to the protection of our
  160. rapidly diminishing privacy.  They afford end-users the ability to take
  161. effective control of the security of their communications and of the
  162. availability of information about them, without having to trust to the
  163. benignity of government agencies.  In this new world, they ought to be
  164. freely and widely available.  To bar their use, or the dissemination of
  165. knowledge concerning them, would be to deprive citizens of effective
  166. means of preserving their own privacy.  Privacy means nothing if
  167. effective means to preserve it are lacking.
  168.     Consequently, I for one am not afraid to stand up and be counted as
  169. a supporter of the fine work of the PGP development team, and especially
  170. of Phil Zimmermann, who got the ball rolling with version 1.0.  The
  171. program currently has far more users and admirers than any other
  172. public-key encryption system, and for good reason.  It is an elegant
  173. piece of work, made more elegant with each revision.  Nor am I afraid to
  174. put myself on record as a principled opponent of the RSA patent (and of
  175. algorithm/software patents generally), and as an opponent of the
  176. regulation by the government of cryptographic import/export/use in any
  177. form.  If my doing so creates any legal exposure for me, then that is a
  178. risk I am prepared to take for the sake of the proverbial `eternal
  179. vigilance.'  If it actually ends up costing me or other like-minded
  180. American citizens, then, in my view, this country's Constitution will
  181. have suffered yet another humiliating debasement.
  182.  
  183.     Hugh Miller
  184.     Department of Philosophy
  185.     Loyola University Chicago
  186.     Moderator, Info-PGP Digest
  187.     info-pgp-request@lucpul.it.luc.edu
  188. -- 
  189. Hugh Miller         | Dept. of Philosophy | Loyola University of Chicago
  190. Voice: 312-508-2727 |  FAX: 312-508-2292  |    hmiller@lucpul.it.luc.edu
  191.