home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #31 / NN_1992_31.iso / spool / alt / drugs / 20116 < prev    next >
Encoding:
Text File  |  1992-12-22  |  14.2 KB  |  315 lines
  1. Newsgroups: alt.drugs
  2. Path: sparky!uunet!cs.utexas.edu!zaphod.mps.ohio-state.edu!sol.ctr.columbia.edu!titan.ucc.umass.edu!locklin
  3. From: locklin@titan.ucc.umass.edu (Space for Rent )
  4. Subject: PGP warning (ooo; I am scared)
  5. Sender: nobody@ctr.columbia.edu
  6. Organization: Campus Crusade for Cthulhu
  7. Date: Tue, 22 Dec 1992 04:12:19 GMT
  8. Message-ID: <1992Dec22.041219.7935@sol.ctr.columbia.edu>
  9. X-Posted-From: titan.ucc.umass.edu
  10. NNTP-Posting-Host: sol.ctr.columbia.edu
  11. Lines: 302
  12.  
  13.  
  14. I recieved this from a freind who gave me a copy of pgp; just goes to show
  15. ya that big bro doesn't want us to have nice toys like this...
  16.  
  17. @@@@@@@@@@@@@@@@@@@@@@@@@@@@CUT@@@@@@@FOLD@@@@@@@@@@MANIPULATE@@@@@@@@@@@@@@@
  18.  
  19. This is what was posted as info on pgp.
  20.  
  21.  
  22. Risks of using pgp
  23.  
  24. One should be careful about assuming that the documentation in
  25. electronically distributed software is accurate, especially where
  26. law is concerned.
  27.  
  28. There is much that the documentation for pgp does not tell you about
  29. patent and export law that you should be aware of.  Some of the
  30. statements and interpretations of patent and export law are simply
  31. false. This note will attempt to offer some clarification and accurate
  32. information.
  33.  
  34. pgp seems to be an attempt to mislead netters into joining an
  35. illegal activity that violates patent and export law, letting them
  36. believe that they run no serious risk in doing so.
  37.  
  38. PATENTS
  39.  
  40. Patent law prohibits anyone from making, using, or selling a device
  41. that practices methods described in a U.S. patent.  pgp admits
  42. practicing methods described in US patent #4,405,829, issued to the
  43. Massachusetts Institute of Technology, and licensed by Public Key
  44. Partners.
  45.  
  46. Those who send signed or encrypted messages, post the pgp program,
  47. or encourage others to do so are inducing infringement. Under
  48. patent law, there is no distinction between inducement to infringe and
  49. direct infringement. You are just as liable.
  50.  
  51. Since you are aware of the RSA patent, your infringement is willful
  52. and deliberate. Under patent law, a patent holder is entitled to seek
  53. triple damages and legal fees from deliberate infringers.  While the
  54. pgp documentation suggests that you probably won't get sued, it
  55. doesn't tell you what can happen when patent holders assert their
  56. rights against infringement.
  57.  
  58. Free and legal RSA software is available. RSA Data Security has
  59. released a program, including source code, called RSAREF. This program
  60. is available free to any U.S. person for non-commercial use.
  61. Applications may be built on RSAREF and freely distributed, subject to
  62. export law.  An application that provides email privacy, based on
  63. RSAREF, which uses the RSA and DES algorithms, called RIPEM is an
  64. example. For information, send email to rsaref-info@rsa.com or
  65. rsaref-users@rsa.com.
  66.  
  67. NOTE: The pgp documentation states that PKP acquired the patent rights
  68. to RSA "... which was developed with your tax dollars..." This is very
  69. misleading.  U.S. tax dollars only partially funded researchers at MIT
  70. who developed RSA. The U.S. government itself received royalty-free
  71. use in return.  This is standard practice whenever the government
  72. provides financial assistance.  The patents on public-key are no
  73. different and were handled no differently than any others developed at
  74. universities with partial government funding. In fact, almost every
  75. patent granted to a major university includes government support,
  76. returns royalty-free rights to the government, and is then licensed
  77. commercially by the universities to private parties.
  78.  
  79. EXPORT LAW
  80.  
  81. pgp leads users to believe that it has circumvented export controls
  82. when it says "...there are no import restrictions on bringing
  83. cryptographic technology into the USA."  You are led to believe that
  84. since you didn't import it, it's legal for you to use it in the US.
  85. The "no import restrictions" claim has been made so many times, many
  86. people probably believe it.
  87.  
  88. One would be well advised not to accept this legal opinion.  While
  89. stated as if it were a well-known fact, the claim that "there are no
  90. import restrictions" is simply false.  Section 123.2 of the ITAR
  91. (International Traffic in Arms Regulations) reads:
  92.  
  93. "123.2 Imports. No defense article may be imported into the United
  94. States unless (a) it was previously exported temporarily under a
  95. license issued by the Office of Munitions Control; or (b) it
  96. constitutes a temporary import/intransit shipment licensed under
  97. Section 123.3; or (c) its import is authorized by the Department of
  98. the Treasury (see 27 CFR parts 47, 178, and 179)."
  99.  
  100. Was pgp illegally exported? Was pgp illegally imported?  Of course.
  101. It didn't export or import itself.  pgp 1 was illegally exported from
  102. the U.S., and pgp 2, based on pgp 1, is illegally imported into the
  103. U.S.  Is a license required? According to the ITAR, it is.  ITAR
  104. Section 125.2, "Exports of unclassified technical data," paragraph (c)
  105. reads:
  106.  
  107. "(c) Disclosures. Unless otherwise expressly exempted in this
  108. subchapter, a license is required for the oral, visual, or documentary
  109. disclosure of technical data...  A license is required regardless
  110. of the manner in which the technical data is transmitted (e.g., in
  111. person, by telephone, correspondence, electronic means, telex, etc.)."
  112.  
  113. What is "export?" Section 120.10, "Export," begins:
  114.  
  115. "'Export' means, for purposes of this subchapter: ...(c) Sending or
  116. taking technical data outside of the United States in any manner
  117. except that by mere travel outside of the United States by a person
  118. whose technical knowledge includes technical data; or..."
  119.  
  120. Is pgp subject to the ITAR? See Part 121, the Munitions List, in
  121. particular Category XIII, of which paragraph (b) reads, in part,
  122. "...privacy devices, cryptographic devices and software (encoding and
  123. decoding), and components specifically designed or modified
  124. therefore,..."
  125.  
  126. A further definition in 121.8, paragraph (f) reads: "Software
  127. includes but is not limited to the system functional design,
  128. logic flow, algorithms, application programs, ..."
  129.  
  130. pgp encourages you to post it on computer bulletin boards.  Anybody
  131. who considers following this advice is taking quite a risk.  When you
  132. make a defense item available on a BBS, you have exported it.
  133.  
  134. pgp's obvious attempts to downplay any risk of violating export law
  135. won't help you a bit if you're ever charged under the ITAR.
  136.  
  137. Penalties under the ITARs are quite serious.  The ITARs were clearly
  138. designed to put teeth into laws that make exporting munitions illegal.
  139. It's unfortunate that cryptography is on the munitions list. But it
  140. is.  pgp is software tainted by serious ITAR violations.
  141.  
  142. From J024330@lmsc5.is.lmsc.lockheed.com Thu Dec 17 17:59:29 1992
  143. Resent-From: J024330@lmsc5.is.lmsc.lockheed.com
  144. Received: by eagle.is.lmsc.lockheed.com (5.57/Ultrix3.0-C)
  145.     id AA29823; Thu, 17 Dec 92 14:53:37 -0800
  146. Date: Thu, 17 Dec 92 14:53:37 -0800
  147. From: J024330@lmsc5.is.lmsc.lockheed.com
  148. Resent-Message-Id: <9212172253.AA29823@eagle.is.lmsc.lockheed.com>
  149. Message-Id: <9212172253.AA29823@eagle.is.lmsc.lockheed.com>
  150. Received: from LMSC5 by LMSC5.IS.LMSC.LOCKHEED.COM (IBM VM SMTP V2R1)
  151.    with BSMTP id 2232; Thu, 17 Dec 92 13:33:22 PST
  152. Subject:      pgp
  153. Comments:     Converted from PROFS to RFC822 format by PUMP V2.2
  154. Resent-Date:  Thu, 17 Dec 92  13:33:20 PST
  155. Resent-To: John Newlin <John_Newlin@qm.is.lmsc.lockheed.com>,
  156.         Judy Birmingham <cp131@cleveland.freenet.edu>,
  157.         SCOTT C LOCKLIN <locklin@titan.ucc.umass.edu>,
  158.         JAY ALBERTS <70214.155@compuserve.com>,
  159.         Ed Railey <NTMTV!RAILEY@ames.arc.nasa.gov>,
  160.         "Cooper, G.T." <LJ05540@lmsc5>, "Sutton, A.F." <6884580@lmsc5>
  161. Apparently-To: <NTMTV!RAILEY@AMES.ARC.NASA.GOV>
  162. Apparently-To: <70214.155@COMPUSERVE.COM>
  163. Apparently-To: <locklin@titan.ucc.umass.edu>
  164. Apparently-To: <cp131@cleveland.freenet.edu>
  165. Status: OR
  166.  
  167.       Internet:ccolvin@lmsc.lockheed.com
  168.  
  169. I may have sent you a program entitled PGP2.1. Before using it, you may
  170. want to read this note from the prez of the company that developed the
  171. algorithem.
  172.  
  173. ***************************************************************
  174. *  Phone:408.524.6617     In Plant:46617   Mail Stop:27A1/509 *
  175. *                           ><IXOYE>                          *
  176. ***************************************************************
  177. *** Forwarding note from JIM     --CMSNAMES 12/17/92 11:38 ***
  178. Received: from eagle.is.lmsc.lockheed.com by LMSC5.IS.LMSC.LOCKHEED.COM
  179.    (IBM VM SMTP V2R1) with TCP; Thu, 17 Dec 92 11:38:01 PST
  180. Received: by eagle.is.lmsc.lockheed.com (5.57/Ultrix3.0-C)
  181.     id AA26101; Thu, 17 Dec 92 11:34:11 -0800
  182. Received: by RSA.COM
  183.     id AA07980; Thu, 17 Dec 92 11:35:59 PST
  184. Date: Thu, 17 Dec 92 11:35:59 PST
  185. From: jim@rsa.com (Jim Bidzos)
  186. Message-Id: <9212171935.AA07980@RSA.COM>
  187. To: ccolvin@lmsc.lockheed.com
  188. Subject: pgp
  189.  
  190.  
  191. This is what was posted as info on pgp.
  192.  
  193.  
  194.  
  195. Risks of using pgp
  196.  
  197. One should be careful about assuming that the documentation in
  198. electronically distributed software is accurate, especially where
  199. law is concerned.
  200.  
  201. There is much that the documentation for pgp does not tell you about
  202. patent and export law that you should be aware of.  Some of the
  203. statements and interpretations of patent and export law are simply
  204. false. This note will attempt to offer some clarification and accurate
  205. information.
  206.  
  207. pgp seems to be an attempt to mislead netters into joining an
  208. illegal activity that violates patent and export law, letting them
  209. believe that they run no serious risk in doing so.
  210.  
  211. PATENTS
  212.  
  213. Patent law prohibits anyone from making, using, or selling a device
  214. that practices methods described in a U.S. patent.  pgp admits
  215. practicing methods described in US patent #4,405,829, issued to the
  216. Massachusetts Institute of Technology, and licensed by Public Key
  217. Partners.
  218.  
  219. Those who send signed or encrypted messages, post the pgp program,
  220. or encourage others to do so are inducing infringement. Under
  221. patent law, there is no distinction between inducement to infringe and
  222. direct infringement. You are just as liable.
  223.  
  224. Since you are aware of the RSA patent, your infringement is willful
  225. and deliberate. Under patent law, a patent holder is entitled to seek
  226. triple damages and legal fees from deliberate infringers.  While the
  227. pgp documentation suggests that you probably won't get sued, it
  228. doesn't tell you what can happen when patent holders assert their
  229. rights against infringement.
  230.  
  231. Free and legal RSA software is available. RSA Data Security has
  232. released a program, including source code, called RSAREF. This program
  233. is available free to any U.S. person for non-commercial use.
  234. Applications may be built on RSAREF and freely distributed, subject to
  235. export law.  An application that provides email privacy, based on
  236. RSAREF, which uses the RSA and DES algorithms, called RIPEM is an
  237. example. For information, send email to rsaref-info@rsa.com or
  238. rsaref-users@rsa.com.
  239.  
  240. NOTE: The pgp documentation states that PKP acquired the patent rights
  241. to RSA "... which was developed with your tax dollars..." This is very
  242. misleading.  U.S. tax dollars only partially funded researchers at MIT
  243. who developed RSA. The U.S. government itself received royalty-free
  244. use in return.  This is standard practice whenever the government
  245. provides financial assistance.  The patents on public-key are no
  246. different and were handled no differently than any others developed at
  247. universities with partial government funding. In fact, almost every
  248. patent granted to a major university includes government support,
  249. returns royalty-free rights to the government, and is then licensed
  250. commercially by the universities to private parties.
  251.  
  252. EXPORT LAW
  253.  
  254. pgp leads users to believe that it has circumvented export controls
  255. when it says "...there are no import restrictions on bringing
  256. cryptographic technology into the USA."  You are led to believe that
  257. since you didn't import it, it's legal for you to use it in the US.
  258. The "no import restrictions" claim has been made so many times, many
  259. people probably believe it.
  260.  
  261. One would be well advised not to accept this legal opinion.  While
  262. stated as if it were a well-known fact, the claim that "there are no
  263. import restrictions" is simply false.  Section 123.2 of the ITAR
  264. (International Traffic in Arms Regulations) reads:
  265.  
  266. "123.2 Imports. No defense article may be imported into the United
  267. States unless (a) it was previously exported temporarily under a
  268. license issued by the Office of Munitions Control; or (b) it
  269. constitutes a temporary import/intransit shipment licensed under
  270. Section 123.3; or (c) its import is authorized by the Department of
  271. the Treasury (see 27 CFR parts 47, 178, and 179)."
  272.  
  273. Was pgp illegally exported? Was pgp illegally imported?  Of course.
  274. It didn't export or import itself.  pgp 1 was illegally exported from
  275. the U.S., and pgp 2, based on pgp 1, is illegally imported into the
  276. U.S.  Is a license required? According to the ITAR, it is.  ITAR
  277. Section 125.2, "Exports of unclassified technical data," paragraph (c)
  278. reads:
  279.  
  280. "(c) Disclosures. Unless otherwise expressly exempted in this
  281. subchapter, a license is required for the oral, visual, or documentary
  282. disclosure of technical data...  A license is required regardless
  283. of the manner in which the technical data is transmitted (e.g., in
  284. person, by telephone, correspondence, electronic means, telex, etc.)."
  285.  
  286. What is "export?" Section 120.10, "Export," begins:
  287.  
  288. "'Export' means, for purposes of this subchapter: ...(c) Sending or
  289. taking technical data outside of the United States in any manner
  290. except that by mere travel outside of the United States by a person
  291. whose technical knowledge includes technical data; or..."
  292.  
  293. Is pgp subject to the ITAR? See Part 121, the Munitions List, in
  294. particular Category XIII, of which paragraph (b) reads, in part,
  295. "...privacy devices, cryptographic devices and software (encoding and
  296. decoding), and components specifically designed or modified
  297. therefore,..."
  298.  
  299. A further definition in 121.8, paragraph (f) reads: "Software
  300. includes but is not limited to the system functional design,
  301. logic flow, algorithms, application programs, ..."
  302.  
  303. pgp encourages you to post it on computer bulletin boards.  Anybody
  304. who considers following this advice is taking quite a risk.  When you
  305. make a defense item available on a BBS, you have exported it.
  306.  
  307. pgp's obvious attempts to downplay any risk of violating export law
  308. won't help you a bit if you're ever charged under the ITAR.
  309.  
  310. Penalties under the ITARs are quite serious.  The ITARs were clearly
  311. designed to put teeth into laws that make exporting munitions illegal.
  312. It's unfortunate that cryptography is on the munitions list. But it
  313. is.  pgp is software tainted by serious ITAR violations.
  314.  
  315.