home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1993 #1 / NN_1993_1.iso / spool / sci / crypt / 6572 < prev    next >
Encoding:
Internet Message Format  |  1993-01-09  |  2.7 KB
  1. Xref: sparky sci.crypt:6572 alt.security:5288 alt.security.pgp:475
  2. Path: sparky!uunet!wupost!waikato.ac.nz!aukuni.ac.nz!cs18.cs.aukuni.ac.nz!pgut1
  3. Newsgroups: sci.crypt,alt.security,alt.security.pgp
  4. Subject: Re: PGP 2.1 source posted to alt.sources
  5. Message-ID: <1993Jan9.000722.27138@cs.aukuni.ac.nz>
  6. From: pgut1@cs.aukuni.ac.nz (Peter Gutmann)
  7. Date: Sat, 9 Jan 1993 00:07:22 GMT
  8. References: <1993Jan7.115335.1216@cs.aukuni.ac.nz> <C0IFAw.3vy@bcstec.ca.boeing.com> <1993Jan8.155007.16181@csi.uottawa.ca>
  9. Organization: Computer Science Dept. University of Auckland
  10. Lines: 46
  11.  
  12. In <1993Jan8.155007.16181@csi.uottawa.ca> cbbrowne@csi.uottawa.ca (Christopher Browne) writes:
  13.  
  14. >In article <C0IFAw.3vy@bcstec.ca.boeing.com> vanzwol@bcstec.ca.boeing.com (Ted Van Zwol) writes:
  15. >>This intrigues me.  I'm not accusing you (Peter) of anything, but consider:
  16. >>
  17. >>How do we know the PGP sources on alt.sources (or even that on any FTP site
  18. >>for that matter) are "safe".  What kind of precautions or checks exist to
  19. >>prevent bogus code from cropping up.  Why couldn't some intelligence agency
  20. >>get their hands on the code and weaken the encryption algorithm just enough
  21. >>for them and then distribute the modified source to the rest of the world.
  22. >>
  23. >>I haven't looked at the source or the comments myself, so I don't know if
  24. >>this is already addressed.  But, it concerns me.  Who's to say the copies of
  25. >>PGP available are trustworthy?  I'm terribly confused...
  26.  
  27. >The best idea would probably be to have an MD5 signature of (say) the actual
  28. >text of each post appended to the end.  Said signatures could then be
  29. >published either in:
  30. >a) sci.crypt
  31. >b) Some moderated newsgroup?
  32. >c) The C Users Group magazine?
  33.  
  34. >or somewhere such.
  35.  
  36. I thought of clear-signing the post with PGP, but then decided against it
  37. since it would have involved shipping the entire thing home to sign (I won't
  38. use PGP on a multiuser system) and back again, and would have almost
  39. certainly screwed up the automatic unsharing process.  Unfortunately until
  40. there's some organised way of authenticating postings (eg PEM or the
  41. equivalent functionality in PGP) there isn't any easy way to authenticate
  42. the posting.
  43.  
  44. (On the other hand I doubt very much whether the NZ govt could be bothered
  45. messing around with usenet postings, and if there were discrepancies
  46. caused by mainpulation on non-NZ sites it would probably be discovered
  47. pretty quickly when differing versions of the code were found floating
  48. around).
  49.  
  50. Peter.
  51. --
  52.  pgut1@cs.aukuni.ac.nz||p_gutmann@cs.aukuni.ac.nz||gutmann_p@kosmos.wcc.govt.nz
  53. peterg@kcbbs.gen.nz||peter@nacjack.gen.nz||peter@phlarnschlorpht.nacjack.gen.nz
  54.               (In order of preference - one of 'ems bound to work)
  55.            -- Whoever dies with the most email addresses ... wins --
  56.  
  57.  
  58.