home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #30 / NN_1992_30.iso / spool / sci / crypt / 5746 < prev    next >
Encoding:
Internet Message Format  |  1992-12-16  |  5.6 KB
  1. Xref: sparky sci.crypt:5746 alt.security.pgp:210
  2. Newsgroups: sci.crypt,alt.security.pgp
  3. Path: sparky!uunet!caen!hellgate.utah.edu!hellgate!moore
  4. From: moore@cs.utah.edu (Tim Moore)
  5. Subject: Re: PKP/RSA comments on PGP legality
  6. Message-ID: <MOORE.92Dec16131218@defmacro.cs.utah.edu>
  7. In-reply-to: cme@ellisun.sw.stratus.com's message of 11 Dec 92 18:16:23 GMT
  8. Organization: University of Utah CS Dept
  9. References: <1galtnINNhn5@transfer.stratus.com>
  10. Date: 16 Dec 92 13:12:18
  11. Lines: 110
  12.  
  13. In article <1galtnINNhn5@transfer.stratus.com> cme@ellisun.sw.stratus.com (Carl Ellison) writes:
  14.  
  15.    I went to the horse's mouth and asked some folks at PKP & RSA to comment
  16.    on PGP legality.  Here's their reply.  I have permission to post it.
  17.  
  18. PKP's description of the export laws reads like a Bobby Inman wet
  19. dream.  I'd like clarification of some of the points below.
  20.  
  21.    EXPORT LAW
  22. ...
  23.    "123.2 Imports. No defense article may be imported into the United
  24.    States unless (a) it was previously exported temporarily under a
  25.    license issued by the Office of Munitions Control; or (b) it
  26.    constitutes a temporary import/intransit shipment licensed under
  27.    Section 123.3; or (c) its import is authorized by the Department of
  28.    the Treasury (see 27 CFR parts 47, 178, and 179)."
  29.  
  30. Is "defense article" a synonym for "anything on the Munitions List",
  31. or does it mean something else in the context of this paragraph?
  32.  
  33.    Was pgp illegally exported? Was pgp illegally imported?  Of course.
  34.    It didn't export or import itself.  pgp 1 was illegally exported from
  35.    the U.S., and pgp 2, based on pgp 1, is illegally imported into the
  36.    U.S.  Is a license required? According to the ITAR, it is.  ITAR
  37.    Section 125.2, "Exports of unclassified technical data," paragraph (c)
  38.    reads:
  39.  
  40. What, exactly, is the "technical data" refered to here?  The
  41. implication is that it is information about any item otherwise on the
  42. munitions list, but that seems ridiculous.  An F16 would be on the
  43. munitions list, but its dimensions are surely not classified.
  44. Japanese model makers got that information somehow, and I doubt that
  45. they violated the ITAR in doing so.
  46.  
  47. Or does the ITAR restrict the export of any technical data whatsoever?
  48. am I violating the ITAR when I correspond with a colleague in Sweden
  49. about details of gcc?
  50.  
  51. The concept of restricting "unclassified technical data" seems
  52. unconstitutional, but I realize that that might not have any bearing on
  53. import/export regulations.  
  54.  
  55.    "(c) Disclosures. Unless otherwise expressly exempted in this
  56.    subchapter, a license is required for the oral, visual, or documentary
  57.    disclosure of technical data...  A license is required regardless of
  58.    the manner in which the technical data is transmitted (e.g., in
  59.    person, by telephone, correspondence, electronic means, telex, etc.)."
  60.  
  61.    What is "export?" Section 120.10, "Export," begins:
  62.  
  63.    "'Export' means, for purposes of this subchapter: ...(c) Sending or
  64.    taking technical data outside of the United States in any manner
  65.    except that by mere travel outside of the United States by a person
  66.    whose technical knowledge includes technical data; or..."
  67.  
  68.    Is pgp subject to the ITAR? See Part 121, the Munitions List, in
  69.    particular Category XIII, of which paragraph (b) reads, in part,
  70.    "...privacy devices, cryptographic devices and software (encoding and
  71.    decoding), and components specifically designed or modified
  72.    therefore,..."
  73.  
  74.    A further definition in 121.8, paragraph (f) reads: "Software 
  75.    includes but is not limited to the system functional design, 
  76.    logic flow, algorithms, application programs, ..."
  77.  
  78. This paragraph seems to be trying to restrict the import and export of
  79. source code and more.  What is an algorithm?  Is it a description of a
  80. process, or the process itself?  Did my university's library violate
  81. the ITAR by recieving copies of EUROCRYPT proceedings which include,
  82. among other things, descriptions of the IDEA algorithm?  Is it
  83. illegal to export the DES specification?
  84.  
  85.    pgp encourages you to post it on computer bulletin boards.  Anybody
  86.    who considers following this advice is taking quite a risk.  When you
  87.    make a defense item available on a BBS, you have exported it.
  88.  
  89. I doubt that very much.  Whoever downloads the defense item exports
  90. it, not the owner of the BBS.  Is every BBS that makes available
  91. implementations of DES exporting it, and therefore violating the ITAR?
  92.  
  93. ...
  94.  
  95.    These points on patent and export law are straightforward and can
  96.    easily be confirmed with legal advice.
  97. :-)
  98.  
  99.  Phil Zimmerman's lawyer seems to disagree.  From the pgp docs:
  100. "I wrote my PGP software from scratch, with my own implementation of
  101. the RSA algorithm.  I didn't steal any software from PKP.  Before
  102. publishing PGP, I got a formal written legal opinion from a patent
  103. attorney with extensive experience in software patents.  I'm
  104. convinced that publishing PGP the way I did does not violate patent
  105. law."
  106. ...
  107.  
  108.    The documentation to pgp would have readers believe that pgp was the
  109.    result of a noble desire to save everyone from an evil government
  110.    threatening to deny rights to privacy; that users and distributors of
  111.    pgp have little or nothing to fear from the patent holders, who, it is
  112.    implied, are probably dishonest anyway; and that one shouldn't be
  113.    concerned about export controls because pgp beat the system for
  114.    everyone by having been developed overseas and imported legally.  The
  115.    facts simply don't support these claims.
  116.  
  117. Maybe not, but this missive from PKP does.
  118.  
  119. --
  120. Tim Moore                    moore@cs.utah.edu {bellcore,hplabs}!utah-cs!moore
  121. "Wind in my hair - Shifting and drifting - Mechanical music - Adrenaline surge"
  122.     - Rush
  123.