home *** CD-ROM | disk | FTP | other *** search
/ ftp.wwiv.com / ftp.wwiv.com.zip / ftp.wwiv.com / pub / BBS / PGP21OS2.ZIP / PGPDOC2.DOC < prev    next >
Text File  |  1992-12-07  |  113KB  |  2,279 lines

  1.  
  2.      PGPDOC2.TXT            Friday, December  4, 1992 3:02 pm             Page 1
  3.  
  4.  
  5.                           Phil's Pretty Good Software
  6.                                     Presents
  7.       
  8.                                       ===
  9.                                       PGP
  10.                                       ===
  11.       
  12.                               Pretty Good Privacy
  13.                       Public Key Encryption for the Masses
  14.       
  15.       
  16.                            -------------------------
  17.                                 PGP User's Guide
  18.                            Volume II: Special Topics
  19.                            -------------------------
  20.                               by Philip Zimmermann
  21.                                 Revised 3 Dec 92
  22.       
  23.       
  24.                            PGP Version 2.1 - 6 Dec 92
  25.                               Software Written by
  26.                                Philip Zimmermann
  27.                                       with
  28.                 Hal Finney, Branko Lankester, and Peter Gutmann
  29.       
  30.       
  31.       
  32.       
  33.      Synopsis:  PGP uses public-key encryption to protect E-mail and data
  34.      files.  Communicate securely with people you've never met, with no
  35.      secure channels needed for prior exchange of keys.  PGP is well
  36.      featured and fast, with sophisticated key management, digital
  37.      signatures, data compression, and good ergonomic design.
  38.       
  39.       
  40.      Software and documentation (c) Copyright 1990-1992 Philip Zimmermann. 
  41.      For information on PGP licensing, distribution, copyrights, patents,
  42.      trademarks, liability limitations, and export controls, see the
  43.      "Legal Issues" section.
  44.       
  45.       
  46.  
  47.      PGPDOC2.TXT            Friday, December  4, 1992 3:02 pm             Page 2
  48.  
  49.  
  50.       
  51.      Contents
  52.      ========
  53.       
  54.      Quick Overview
  55.      Special Topics
  56.        Selecting Keys via Key ID
  57.        Separating Signatures from Messages
  58.        Decrypting the Message and Leaving the Signature on it
  59.        Sending ASCII Text Files Across Different Machine Environments
  60.        Leaving No Traces of Plaintext on the Disk
  61.        Displaying Decrypted Plaintext on Your Screen
  62.        Making a Message For Her Eyes Only
  63.        Preserving the Original Plaintext Filename
  64.        Editing Your User ID or Pass Phrase
  65.        Editing the Trust Parameters for a Public Key
  66.        Checking If Everything is OK on Your Public Key Ring
  67.        Verifying a Public Key Over the Phone
  68.        Using PGP as a Unix-style Filter
  69.        PGP Returns Exit Status to the Shell
  70.        Environmental Variable for Pass Phrase
  71.        Setting Configuration Parameters: CONFIG.TXT
  72.          TMP - Directory Pathname for Temporary Files
  73.          LANGUAGE - Foreign Language Selector
  74.          MYNAME - Default User ID for Making Signatures
  75.          TEXTMODE - Assuming Plaintext is a Text File
  76.          CHARSET - Specifies Local Character Set for Text Files
  77.          ARMOR - Enable ASCII Armor Output
  78.          ARMORLINES - Size of ASCII Armor Multipart Files
  79.          KEEPBINARY - Keep Binary Ciphertext Files After Decrypting
  80.          VERBOSE - Enable Verbose Mode
  81.          COMPRESS - Enable Compression
  82.          BAKRING - Filename for Backup Secret Keyring
  83.          COMPLETES_NEEDED - Number of Completely Trusted Introducers Needed
  84.          MARGINALS_NEEDED - Number of Marginally Trusted Introducers Needed
  85.          CERT_DEPTH - How Deep May Introducers Be Nested
  86.          PAGER - Selects Shell Command to Display Plaintext Output
  87.          SHOWPASS - Echo Pass Phrase to User
  88.          TZFIX - Timezone Adjustment
  89.          CLEARSIG - Enable Signed Messages to be Encapsulated as Clear Text
  90.        Protecting Against Bogus Timestamps
  91.        A Peek Under the Hood
  92.          Random Numbers
  93.          PGP's Conventional Encryption Algorithm
  94.          Data Compression
  95.          Message Digests and Digital Signatures
  96.        Compatibility with Previous Versions of PGP
  97.      Vulnerabilities
  98.        Compromised Pass Phrase and Secret Key
  99.        Public Key Tampering
  100.        "Not Quite Deleted" Files
  101.        Viruses and Trojan Horses
  102.        Physical Security Breach
  103.        Tempest Attacks
  104.        Exposure on Multi-user Systems
  105.        Traffic Analysis
  106.  
  107.      PGPDOC2.TXT            Friday, December  4, 1992 3:02 pm             Page 3
  108.  
  109.  
  110.        Cryptanalysis
  111.      Legal Issues
  112.        Trademarks, Copyrights, and Warranties
  113.        Patent Rights on the Algorithms
  114.        Licensing and Distribution
  115.        Export Controls
  116.      Recommended Readings
  117.      To Contact the Author
  118.      Where to Get PGP
  119.       
  120.       
  121.  
  122.      PGPDOC2.TXT            Friday, December  4, 1992 3:02 pm             Page 4
  123.  
  124.  
  125.       
  126.      Quick Overview
  127.      =============
  128.       
  129.      Pretty Good(tm) Privacy (PGP), from Phil's Pretty Good Software, is a
  130.      high security cryptographic software application for MSDOS, Unix,
  131.      VAX/VMS, and other computers.  PGP combines the convenience of the
  132.      Rivest-Shamir-Adleman (RSA) public key cryptosystem with the speed of
  133.      conventional cryptography, message digests for digital signatures,
  134.      data compression before encryption, good ergonomic design, and
  135.      sophisticated key management. 
  136.       
  137.      This volume II of the PGP User's Guide covers advanced topics about
  138.      PGP that were not covered in the "PGP User's Guide, Volume I:
  139.      Essential Topics".  You should first read the Essential Topics
  140.      volume, or this manual won't make much sense to you.  Reading this
  141.      Special Topics volume is optional.
  142.       
  143.       
  144.       
  145.      Special Topics
  146.      ===============
  147.       
  148.       
  149.      Selecting Keys via Key ID
  150.      -------------------------
  151.       
  152.      In all commands that let the user type a user ID or fragment of a
  153.      user ID to select a key, the hexadecimal key ID may be used instead. 
  154.      Just use the key ID, with a prefix of "0x", in place of the user ID. 
  155.      For example:
  156.       
  157.          pgp -kv 0x67F7
  158.       
  159.      This would display all keys that had 67F7 as part of their key IDs.
  160.       
  161.      This feature is particularly useful if you have two different keys
  162.      from the same person, with the same user ID.  You can unambiguously
  163.      pick which key you want by specifying the key ID.
  164.       
  165.       
  166.      Separating Signatures from Messages
  167.      -----------------------------------
  168.       
  169.      Normally, signature certificates are physically attached to the text
  170.      they sign.  This makes it convenient in simple cases to check
  171.      signatures.  It is desirable in some circumstances to have signature
  172.      certificates stored separately from the messages they sign.  It is
  173.      possible to generate signature certificates that are detached from
  174.      the text they sign.  To do this, combine the 'b' (break) option with
  175.      the 's' (sign) option.  For example:
  176.       
  177.          pgp -sb letter.txt
  178.       
  179.      This example produces an isolated signature certificate in a file
  180.      called "letter.sig".  The contents of letter.txt are not appended to
  181.  
  182.      PGPDOC2.TXT            Friday, December  4, 1992 3:02 pm             Page 5
  183.  
  184.  
  185.      the signature certificate.
  186.       
  187.      After creating the signature certificate file (letter.sig in the
  188.      above example), send it along with the original text file to the
  189.      recipient.  The recipient must have both files to check the signature
  190.      integrity.  When the recipient attempts to process the signature
  191.      file, PGP notices that there is no text in the same file with the
  192.      signature and prompts the user for the filename of the text. Only
  193.      then can PGP properly check the signature integrity.  If the
  194.      recipient knows in advance that the signature is detached from the
  195.      text file, she can specify both filenames on the command line:
  196.       
  197.          pgp letter.sig letter.txt
  198.      or: pgp letter letter.txt
  199.       
  200.      PGP will not have to prompt for the text file name in this case.
  201.       
  202.      A detached signature certificate is useful if you want to keep the
  203.      signature certificate in a separate certificate log.  A detached
  204.      signature of an executable program is also useful for detecting a
  205.      subsequent virus infection.  It is also useful if more than one party
  206.      must sign a document such as a legal contract, without nesting
  207.      signatures.  Each person's signature is independent.
  208.       
  209.      If you receive a ciphertext file that has the signature certificate
  210.      glued to the message, you can still pry the signature certificate
  211.      away from the message during the decryption.  You can do this with
  212.      the -b option during decrypt, like so:
  213.       
  214.          pgp -b letter
  215.       
  216.      This decrypts the letter.pgp file and if there is a signature in it,
  217.      PGP checks the signature and detaches it from the rest of the
  218.      message, storing it in the file letter.sig.
  219.       
  220.       
  221.      Decrypting the Message and Leaving the Signature on it
  222.      ------------------------------------------------------
  223.       
  224.      Usually, you want PGP to completely unravel a ciphertext file,
  225.      decrypting it and checking the nested signature if there is one,
  226.      peeling away the layers until you are left with only the original
  227.      plaintext file.
  228.       
  229.      But sometimes you want to decrypt an encrypted file, and leave the
  230.      inner signature still attached, so that you are left with a decrypted
  231.      signed message.  This may be useful if you want to send a copy of a
  232.      signed document to a third party, perhaps re-enciphering it.  For
  233.      example, suppose you get a message signed by Charlie, encrypted to
  234.      you.  You want to decrypt it, and, leaving Charlie's signature on it,
  235.      you want to send it to Alice, perhaps re-enciphering it with Alice's
  236.      public key.  No problem.  PGP can handle that.
  237.       
  238.      To simply decrypt a message and leave the signature on it intact,
  239.      type:
  240.       
  241.  
  242.      PGPDOC2.TXT            Friday, December  4, 1992 3:02 pm             Page 6
  243.  
  244.  
  245.          pgp -d letter
  246.       
  247.      This decrypts letter.pgp, and if there is an inner signature, it is
  248.      left intact with the decrypted plaintext in the output file.
  249.       
  250.      Now you can archive it, or maybe re-encrypt it and send it to someone
  251.      else.
  252.       
  253.       
  254.       
  255.      Sending ASCII Text Files Across Different Machine Environments
  256.      --------------------------------------------------------------
  257.       
  258.      You may use PGP to encrypt any kind of plaintext file, binary 8-bit
  259.      data or ASCII text.  Probably the most common usage of PGP will be for
  260.      E-mail, when the plaintext is ASCII text.  
  261.       
  262.      ASCII text is sometimes represented differently on different
  263.      machines.  For example, on an MSDOS system, all lines of ASCII text
  264.      are terminated with a carriage return followed by a linefeed.  On a
  265.      Unix system, all lines end with just a linefeed.  On a Macintosh, all
  266.      lines end with just a carriage return.  This is a sad fact of life.
  267.       
  268.      Normal unencrypted ASCII text messages are often automatically
  269.      translated to some common "canonical" form when they are transmitted
  270.      from one machine to another.  Canonical text has a carriage return
  271.      and a linefeed at the end of each line of text.  For example, the
  272.      popular KERMIT communication protocol can convert text to canonical
  273.      form when transmitting it to another system.  This gets converted
  274.      back to local text line terminators by the receiving KERMIT.  This
  275.      makes it easy to share text files across different systems.
  276.       
  277.      But encrypted text cannot be automatically converted by a
  278.      communication protocol, because the plaintext is hidden by
  279.      encipherment.  To remedy this inconvenience, PGP lets you specify
  280.      that the plaintext should be treated as ASCII text (not binary data)
  281.      and should be converted to canonical text form before it gets
  282.      encrypted.  At the receiving end, the decrypted plaintext is
  283.      automatically converted back to whatever text form is appropriate for
  284.      the local environment.
  285.       
  286.      To make PGP assume the plaintext is text that should be converted to
  287.      canonical text before encryption, just add the "t" option when
  288.      encrypting or signing a message, like so:
  289.       
  290.         pgp -et message.txt her_userid
  291.       
  292.      This mode is automatically turned off if PGP detects that the
  293.      plaintext file contains what it thinks is non-text binary data.
  294.       
  295.      For PGP users that use non-English 8-bit character sets, when PGP 
  296.      converts text to canonical form, it may convert data from the local
  297.      character set into the LATIN1 (ISO 8859-1 Latin Alphabet 1) character
  298.      set, depending on the setting of the CHARSET parameter in the PGP
  299.      configuration file.  LATIN1 is a superset of ASCII, with extra
  300.      characters added for many European languages.
  301.  
  302.      PGPDOC2.TXT            Friday, December  4, 1992 3:02 pm             Page 7
  303.  
  304.  
  305.       
  306.       
  307.       
  308.      Leaving No Traces of Plaintext on the Disk
  309.      ------------------------------------------
  310.       
  311.      After PGP makes a ciphertext file for you, you can have PGP
  312.      automatically overwrite the plaintext file and delete it, leaving no
  313.      trace of plaintext on the disk so that no one can recover it later
  314.      using a disk block scanning utility.  This is useful if the plaintext
  315.      file contains sensitive information that you don't want to keep
  316.      around.
  317.       
  318.      To wipe out the plaintext file after producing the ciphertext file,
  319.      just add the "w" (wipe) option when encrypting or signing a message,
  320.      like so:
  321.       
  322.          pgp -esw message.txt her_userid
  323.       
  324.      This example creates the ciphertext file "message.pgp", and the 
  325.      plaintext file "message.txt" is destroyed beyond recovery.
  326.       
  327.      Obviously, you should be careful with this option.  Also note that
  328.      this will not wipe out any fragments of plaintext that your word
  329.      processor might have created on the disk while you were editing the
  330.      message before running PGP.  Most word processors create backup
  331.      files, scratch files, or both.  Also, it overwrites the file only
  332.      once, which is enough to thwart conventional disk recovery efforts,
  333.      but not enough to withstand a determined and sophisticated effort to
  334.      recover the faint magnetic traces of the data using special disk
  335.      recovery hardware.
  336.       
  337.       
  338.       
  339.      Displaying Decrypted Plaintext on Your Screen
  340.      ---------------------------------------------
  341.       
  342.      To view the decrypted plaintext output on your screen (like the
  343.      Unix-style "more" command), without writing it to a file, use the -m
  344.      (more) option while decrypting:
  345.       
  346.           pgp -m ciphertextfile
  347.       
  348.      This displays the decrypted plaintext display on your screen one
  349.      screenful at a time.
  350.       
  351.       
  352.       
  353.      Making a Message For Her Eyes Only
  354.      ----------------------------------
  355.       
  356.      To specify that the recipient's decrypted plaintext will be shown
  357.      ONLY on her screen and cannot be saved to disk, add the -m option:
  358.       
  359.           pgp -sem message.txt her_userid
  360.       
  361.  
  362.      PGPDOC2.TXT            Friday, December  4, 1992 3:02 pm             Page 8
  363.  
  364.  
  365.      Later, when the recipient decrypts the ciphertext with her secret key
  366.      and pass phrase, the plaintext will be displayed on her screen but
  367.      will not be saved to disk.  The text will be displayed as it would if
  368.      she used the Unix "more" command, one screenful at a time.  If she
  369.      wants to read the message again, she will have to decrypt the
  370.      ciphertext again.
  371.       
  372.      This feature is the safest way for you to prevent your sensitive
  373.      message from being inadvertently left on the recipient's disk.  This
  374.      feature was added at the request of a user who wanted to send
  375.      intimate messages to his lover, but was afraid she might accidentally
  376.      leave the decrypted messages on her husband's computer.
  377.       
  378.       
  379.       
  380.      Preserving the Original Plaintext Filename
  381.      ------------------------------------------
  382.       
  383.      Normally, PGP names the decrypted plaintext output file with a name
  384.      similar to the input ciphertext filename, but dropping the 
  385.      extension.  Or, you can override that convention by specifying an
  386.      output plaintext filename on the command line with the -o option.
  387.      For most E-mail, this is a reasonable way to name the plaintext file,
  388.      because you get to decide its name when you decipher it, and your
  389.      typical E-mail messages often come from useless original plaintext
  390.      filenames like "to_phil.txt".  
  391.       
  392.      But when PGP encrypts a plaintext file, it always saves the original
  393.      filename and attaches it to the plaintext before it compresses and
  394.      encrypts the plaintext.  Normally, this hidden original filename is
  395.      discarded by PGP when it decrypts, but you can tell PGP you want to
  396.      preserve the original plaintext filename and use it as the name of
  397.      the decrypted plaintext output file.  This is useful if PGP is used
  398.      to on files whose names are important to preserve.
  399.       
  400.      To recover the original plaintext filename while decrypting, add 
  401.      the -p option, like so:
  402.       
  403.           pgp -p ciphertextfile
  404.       
  405.      I usually don't use this option, because if I did, about half of my
  406.      incoming E-mail would decrypt to the same plaintext filenames of
  407.      "to_phil.txt" or "prz.txt".
  408.       
  409.       
  410.       
  411.      Editing Your User ID or Pass Phrase
  412.      -----------------------------------
  413.       
  414.      Sometimes you may need to change your pass phrase, perhaps because
  415.      someone looked over your shoulder while you typed it in.  
  416.       
  417.      Or you may need to change your user ID, because you got married and
  418.      changed your name, or maybe you changed your E-mail address.  Or
  419.      maybe you want to add a second or third user ID to your key, because
  420.      you may be known by more than one name or E-mail address or job
  421.  
  422.      PGPDOC2.TXT            Friday, December  4, 1992 3:02 pm             Page 9
  423.  
  424.  
  425.      title.  PGP lets you attach more than one user ID to your key, any
  426.      one of which may be used to look up your key on the key ring.
  427.       
  428.      To edit your userid or pass phrase for your secret key:
  429.       
  430.           pgp -ke userid [keyring]
  431.       
  432.      PGP prompts you for a new user ID or a new pass phrase.
  433.       
  434.       
  435.       
  436.      Editing the Trust Parameters for a Public Key
  437.      ---------------------------------------------
  438.       
  439.      Sometimes you need to alter the trust parameters for a public key on
  440.      your public key ring.  For a discussion on what these trust
  441.      parameters mean, see the section "How Does PGP Keep Track of Which
  442.      Keys are Valid?" in the Essential Topics volume of the PGP User's
  443.      Guide.
  444.       
  445.      To edit the trust parameters for a public key:
  446.       
  447.           pgp -ke userid [keyring]
  448.       
  449.       
  450.       
  451.      Checking If Everything is OK on Your Public Key Ring
  452.      ----------------------------------------------------
  453.       
  454.      Normally, PGP automatically checks any new keys or signatures on your
  455.      public key ring and updates all the trust parameters and validity
  456.      scores.  In theory, it keeps all the key validity status information
  457.      up to date as material is added to or deleted from your public key
  458.      ring.  But perhaps you may want to explicitly force PGP to perform a
  459.      comprehensive analysis of your public key ring, checking all the
  460.      certifying signatures, checking the trust parameters, updating all
  461.      the validity scores, and checking your own ultimately-trusted key
  462.      against a backup copy on a write-protected floppy disk.  It may be a
  463.      good idea to do this hygienic maintenance periodically to make sure
  464.      nothing is wrong with your public key ring.  To force PGP to perform
  465.      a full analysis of your public key ring, use the -kc (key ring check)
  466.      command:
  467.       
  468.           pgp -kc
  469.       
  470.      You can also make PGP check all the signatures for just a single
  471.      selected public key by:
  472.       
  473.           pgp -kc userid [keyring]
  474.       
  475.      For further information on how the backup copy of your own key is
  476.      checked, see the description of the BAKRING parameter in the
  477.      configuration file section of this manual.
  478.       
  479.       
  480.       
  481.  
  482.      PGPDOC2.TXT            Friday, December  4, 1992 3:02 pm            Page 10
  483.  
  484.  
  485.      Verifying a Public Key Over the Phone
  486.      -------------------------------------
  487.       
  488.      If you get a public key from someone that is not certified by anyone
  489.      you trust, how can you tell if it's really their key?  The best way
  490.      to verify an uncertified key is to verify it over some independent
  491.      channel other than the one you received the key through.  One
  492.      convenient way to tell, if you know this person and would recognize
  493.      them on the phone, is to call them and verify their key over the
  494.      telephone.  Rather than reading their whole tiresome (ASCII-armored)
  495.      key to them over the phone, you can just read their key's
  496.      "fingerprint" to them.  To see this fingerprint, use the -kvc
  497.      command:
  498.       
  499.           pgp -kvc userid [keyring]
  500.       
  501.      This will display the key with the 16-byte digest of the public key
  502.      components.  Read this 16-byte fingerprint to the key's owner on the
  503.      phone, while she checks it against her own, using the same -kvc
  504.      command at her end.  
  505.       
  506.      You can both verify each other's keys this way, and then you can sign
  507.      each other's keys with confidence.  This is a safe and convenient way
  508.      to get the key trust network started for your circle of friends.
  509.       
  510.       
  511.       
  512.      Using PGP as a Unix-style Filter
  513.      --------------------------------
  514.       
  515.      Unix fans are accustomed to using Unix "pipes" to make two
  516.      applications work together.  The output of one application can be
  517.      directly fed through a pipe to be read as input to another
  518.      application.  For this to work, the applications must be capable of
  519.      reading the raw material from "standard input" and writing the
  520.      finished output to "standard output".  PGP can operate in this mode.
  521.      If you don't understand what this means, then you probably don't need
  522.      this feature.
  523.       
  524.      To use a Unix-style filter mode, reading from standard input and
  525.      writing to standard output, add the -f option, like so:
  526.       
  527.           pgp -feast her_userid <inputfile >outputfile
  528.       
  529.      This feature makes it easier to make PGP work with electronic mail
  530.      applications.
  531.       
  532.      When using PGP in filter mode to decrypt a ciphertext file, you may
  533.      find it useful to use the PGPPASS environmental variable to hold the
  534.      pass phrase, so that you won't be prompted for it.  The PGPPASS
  535.      feature is explained below.
  536.       
  537.       
  538.       
  539.      PGP Returns Exit Status to the Shell
  540.      ------------------------------------
  541.  
  542.      PGPDOC2.TXT            Friday, December  4, 1992 3:02 pm            Page 11
  543.  
  544.  
  545.       
  546.      To facilitate running PGP in "batch" mode, such as from an MSDOS
  547.      ".bat" file or from a Unix shell script, PGP returns an error exit
  548.      status to the shell.  An exit status code of zero means normal exit,
  549.      while a nonzero exit status indicates some kind of error occurred.
  550.      Different error exit conditions return different exit status codes to
  551.      the shell.
  552.       
  553.       
  554.       
  555.      Environmental Variable for Pass Phrase
  556.      --------------------------------------
  557.       
  558.      Normally, PGP prompts the user to type a pass phrase whenever PGP 
  559.      needs a pass phrase to unlock a secret key.  But it is possible to
  560.      store the pass phrase in an environmental variable from your
  561.      operating system's command shell.  The environmental variable PGPPASS
  562.      can be used to hold the pass phrase that PGP will attempt to use
  563.      first.  If the pass phrase stored in PGPPASS is incorrect, PGP 
  564.      recovers by prompting the user for the correct pass phrase.
  565.       
  566.      For example, on MSDOS, the shell command:
  567.       
  568.          SET PGPPASS=zaphod beeblebrox for president
  569.       
  570.      would eliminate the prompt for the pass phrase if the pass phrase
  571.      were indeed "zaphod beeblebrox for president". 
  572.       
  573.      This dangerous feature makes your life more convenient if you have to
  574.      regularly deal with a large number of incoming messages addressed to
  575.      your secret key, by eliminating the need for you to repeatedly type
  576.      in your pass phrase every time you run PGP.
  577.       
  578.      I added this feature because of popular demand.  However, this is a
  579.      somewhat dangerous feature, because it keeps your precious pass
  580.      phrase stored somewhere other than just in your brain.  Even worse,
  581.      if you are particularly reckless, it may even be stored on a disk on
  582.      the same computer as your secret key.  It would be particularly
  583.      dangerous and stupid if you were to install this command in a batch
  584.      or script file, such as the MSDOS AUTOEXEC.BAT file.  Someone could
  585.      come along on your lunch hour and steal both your secret key ring and
  586.      the file containing your pass phrase.  
  587.       
  588.      I can't emphasize the importance of this risk enough.  If you are
  589.      contemplating using this feature, be sure to read the sections
  590.      "Exposure on Multi-user Systems" and "How to Protect Secret Keys from
  591.      Disclosure" in this volume and in the Essential Topics volume of the 
  592.      PGP User's Guide.
  593.       
  594.      If you must use this feature, the safest way to do it would be to
  595.      just manually type in the shell command to set PGPPASS every time you
  596.      boot your machine to start using PGP, and then erase it or turn off
  597.      your machine when you are done.  And you should definitely never do
  598.      it in an environment where someone else may have access to your
  599.      machine.  Someone could come along and simply ask your computer to
  600.      display the contents of PGPPASS.
  601.  
  602.      PGPDOC2.TXT            Friday, December  4, 1992 3:02 pm            Page 12
  603.  
  604.  
  605.       
  606.       
  607.       
  608.      Setting Configuration Parameters: CONFIG.TXT
  609.      ============================================
  610.       
  611.      PGP has a number of user-settable parameters that can be defined in a
  612.      special configuration text file called "config.txt", in the directory
  613.      pointed to by the shell environmental variable PGPPATH.  Having a
  614.      configuration file enables the user to define various flags and
  615.      parameters for PGP without the burden of having to always define
  616.      these parameters in the PGP command line.
  617.       
  618.      Configuration parameters may be assigned integer values, character
  619.      string values, or on/off values, depending on what kind of
  620.      configuration parameter it is.  A sample configuration file is
  621.      provided with PGP, so you can see some examples.
  622.       
  623.      In the configuration file, blank lines are ignored, as is anything
  624.      following the '#' comment character.  Keywords are not
  625.      case-sensitive.  
  626.       
  627.      Here is a short sample fragment of a typical configuration file:
  628.       
  629.         # TMP is the directory for PGP scratch files, such as a RAM disk.
  630.         TMP = "e:\"    # Can be overridden by environment variable TMP.
  631.         Armor = on     # Use -a flag for ASCII armor whenever applicable.
  632.         # CERT_DEPTH is how deeply introducers may introduce introducers.
  633.         cert_depth = 3
  634.       
  635.      If some configuration parameters are not defined in the configuration
  636.      file, or if there is no configuration file, or if PGP can't find the
  637.      configuration file, the values for the configuration parameters
  638.      default to some reasonable value.
  639.       
  640.      Note that it is also possible to set these same configuration
  641.      parameters directly from the PGP command line, by preceding the
  642.      parameter setting with a "+" character.  For example, the following
  643.      two PGP commands produce the same effect:
  644.       
  645.           pgp -e +armor=on message.txt smith
  646.      or:  pgp -ea message.txt smith
  647.       
  648.       
  649.      The following is a summary of the various parameters than may be
  650.      defined in the configuration file.
  651.       
  652.       
  653.      TMP - Directory Pathname for Temporary Files
  654.      --------------------------------------------
  655.       
  656.      Default setting:  TMP = ""
  657.       
  658.      The configuration parameter TMP specifies what directory to use for
  659.      PGP's temporary scratch files.  The best place to put them is on a
  660.      RAM disk, if you have one.  That speeds things up quite a bit, and
  661.  
  662.      PGPDOC2.TXT            Friday, December  4, 1992 3:02 pm            Page 13
  663.  
  664.  
  665.      increases security somewhat.  If TMP is undefined, the temporary
  666.      files go in the current directory.  If the shell environmental
  667.      variable TMP is defined, PGP instead uses that to specify where the
  668.      temporary files should go.
  669.       
  670.       
  671.      LANGUAGE - Foreign Language Selector
  672.      ------------------------------------
  673.       
  674.      Default setting:  LANGUAGE = "en"
  675.       
  676.      PGP displays various prompts, warning messages, and advisories to the
  677.      user on the screen.  For example, messages such as "File not found.",
  678.      or "Please enter your pass phrase:".  These messages are normally in
  679.      English.  But it is possible to get PGP to display its messages to
  680.      the user in other languages, without having to modify the PGP
  681.      executable program.
  682.       
  683.      A number of people in various countries have translated all of PGP's
  684.      display messages, warnings, and prompts into their native languages. 
  685.      These hundreds of translated message strings have been placed in a
  686.      special text file called "language.txt", distributed with the PGP
  687.      release.  The messages are stored in this file in English, Spanish,
  688.      Dutch, German, French, Italian, Russian, Latvian, and Lithuanian. 
  689.      Other languages may be added later.  
  690.       
  691.      The configuration parameter LANGUAGE specifies what language to
  692.      display these messages in.  LANGUAGE may be set to "en" for English,
  693.      "es" for Spanish, "de" for German, "nl" for Dutch, "fr" for French,
  694.      "it" for Italian, "ru" for Russian, "lt3" for Lithuanian, "lv" for
  695.      Latvian, "esp" for Esperanto.  For example, if this line appeared in
  696.      the configuration file:
  697.       
  698.         LANGUAGE = "fr"
  699.       
  700.      PGP would select French as the language for its display messages.
  701.      The default setting is English.
  702.       
  703.      When PGP needs to display a message to the user, it looks in the
  704.      "language.txt" file for the equivalent message string in the selected
  705.      foreign language and displays that translated message to the user.
  706.      If PGP can't find the language string file, or if the selected
  707.      language is not in the file, or if that one phrase is not translated
  708.      into the selected language in the file, or if that phrase is missing
  709.      entirely from the file, PGP displays the message in English.
  710.       
  711.      To conserve disk space, most foreign translations are not included 
  712.      in the standard PGP release package, but are available separately.
  713.       
  714.       
  715.      MYNAME - Default User ID for Making Signatures
  716.      ----------------------------------------------
  717.       
  718.      Default setting:  MYNAME = ""
  719.       
  720.      The configuration parameter MYNAME specifies the default user ID to
  721.  
  722.      PGPDOC2.TXT            Friday, December  4, 1992 3:02 pm            Page 14
  723.  
  724.  
  725.      use to select the secret key for making signatures.  If MYNAME is not
  726.      defined, the most recent secret key you installed on your secret key
  727.      ring will be used.  The user may also override this setting by
  728.      specifying a user ID on the PGP command line with the -u option.
  729.       
  730.       
  731.      TEXTMODE - Assuming Plaintext is a Text File
  732.      --------------------------------------------
  733.       
  734.      Default setting:  TEXTMODE = off
  735.       
  736.      The configuration parameter TEXTMODE is equivalent to the -t command
  737.      line option.  If enabled, it causes PGP to assume the plaintext is a
  738.      text file, not a binary file, and converts it to "canonical text"
  739.      before encrypting it.  Canonical text has a carriage return and a
  740.      linefeed at the end of each line of text.
  741.       
  742.      This mode will be automatically turned off if PGP detects that the
  743.      plaintext file contains what it thinks is non-text binary data.
  744.       
  745.      For VAX/VMS systems, the current version of PGP defaults TEXTMODE=ON.
  746.       
  747.      For further details, see the section "Sending ASCII Text Files Across
  748.      Different Machine Environments".
  749.       
  750.       
  751.      CHARSET - Specifies Local Character Set for Text Files
  752.      ------------------------------------------------------
  753.       
  754.      Default setting:  CHARSET = NOCONV
  755.       
  756.      Because PGP must process messages in many non-English languages with
  757.      non-ASCII character sets, you may have a need to tell PGP what local
  758.      character set your machine uses.  This determines what character
  759.      conversions are performed when converting plaintext files to and from
  760.      canonical text format.  This is only a concern if you are in a
  761.      non-English non-ASCII environment.
  762.       
  763.      The configuration parameter CHARSET selects the local character set. 
  764.      The choices are NOCONV (no conversion), LATIN1 (ISO 8859-1 Latin
  765.      Alphabet 1), KOI8 (used by most Russian Unix systems), ALT_CODES
  766.      (used by Russian MSDOS systems), ASCII, and CP850 (used by most
  767.      western European languages on standard MSDOS PCs).
  768.       
  769.      LATIN1 is the internal representation used by PGP for canonical text,
  770.      so if you select LATIN1, no conversion is done.  Note also that PGP
  771.      treats KOI8 as LATIN1, even though it is a completely different
  772.      character set (Russian), because trying to convert KOI8 to either
  773.      LATIN1 or CP850 would be futile anyway.  This means that setting
  774.      CHARSET to NOCONV, LATIN1, or KOI8 are all equivalent to PGP.
  775.       
  776.      If you use MSDOS and expect to send or receive traffic in western
  777.      European languages, set CHARSET = "CP850".  This will make PGP
  778.      convert incoming canonical text messages from LATIN1 to CP850 after
  779.      decryption.  If you use the -t (textmode) option to convert to
  780.      canonical text, PGP will convert your CP850 text to LATIN1 before
  781.  
  782.      PGPDOC2.TXT            Friday, December  4, 1992 3:02 pm            Page 15
  783.  
  784.  
  785.      encrypting it.
  786.       
  787.      For further details, see the section "Sending ASCII Text Files Across
  788.      Different Machine Environments".
  789.       
  790.       
  791.      ARMOR - Enable ASCII Armor Output
  792.      ---------------------------------
  793.       
  794.      Default setting:  ARMOR = off
  795.       
  796.      The configuration parameter ARMOR is equivalent to the -a command
  797.      line option.  If enabled, it causes PGP to emit ciphertext or keys in
  798.      ASCII Radix-64 format suitable for transporting through E-mail
  799.      channels.  Output files are named with the ".asc" extension.
  800.       
  801.      If you tend to use PGP mostly for E-mail, it may be a good idea to
  802.      enable this parameter.
  803.       
  804.      For further details, see the section "Sending Ciphertext Through
  805.      E-mail Channels: Radix-64 Format" in the Essential Topics volume. 
  806.       
  807.       
  808.      ARMORLINES - Size of ASCII Armor Multipart Files
  809.      ------------------------------------------------
  810.       
  811.      Default setting:  ARMORLINES = 720
  812.       
  813.      When PGP creates a very large ".asc" radix-64 file for sending
  814.      ciphertext or keys through the E-mail, it breaks the file up into
  815.      separate chunks small enough to send through Internet mail
  816.      utilities.  Normally, Internet mailers prohibit files larger than
  817.      about 50000 bytes, which means that if we restrict the number of
  818.      lines to about 720, we'll be well within the limit.  The file chunks
  819.      are named with suffixes ".as1", ".as2", ".as3", ... 
  820.       
  821.      The configuration parameter ARMORLINES specifies the maximum number
  822.      of lines to make each chunk in a multipart ".asc" file sequence.  If
  823.      you set it to zero, PGP will not break up the file into chunks.
  824.       
  825.      Fidonet email files usually have an upper limit of about 32K bytes,
  826.      so 450 lines would be appropriate for Fidonet environments.
  827.       
  828.      For further details, see the section "Sending Ciphertext Through
  829.      E-mail Channels: Radix-64 Format" in the Essential Topics volume.
  830.       
  831.       
  832.      KEEPBINARY - Keep Binary Ciphertext Files After Decrypting
  833.      ----------------------------------------------------------
  834.       
  835.      Default setting:  KEEPBINARY = off
  836.       
  837.      When PGP reads a ".asc" file, it recognizes that the file is in
  838.      radix-64 format and will convert it back to binary before processing
  839.      as it normally does, producing as a by-product a ".pgp" ciphertext
  840.      file in binary form.  After further processing to decrypt the ".pgp"
  841.  
  842.      PGPDOC2.TXT            Friday, December  4, 1992 3:02 pm            Page 16
  843.  
  844.  
  845.      file, the final output file will be in normal plaintext form.
  846.       
  847.      You may want to delete the binary ".pgp" intermediate file, or you
  848.      may want PGP to delete it for you automatically.  You can still rerun
  849.      PGP on the original ".asc" file.
  850.       
  851.      The configuration parameter KEEPBINARY enables or disables keeping
  852.      the intermediate ".pgp" file during decryption.
  853.       
  854.      For further details, see the section "Sending Ciphertext Through
  855.      E-mail Channels: Radix-64 Format" in the Essential Topics volume.
  856.       
  857.       
  858.      VERBOSE - Enable Verbose Mode
  859.      -----------------------------
  860.       
  861.      Default setting:  VERBOSE = off
  862.       
  863.      The configuration parameter VERBOSE enables "verbose" diagnostic
  864.      messages during PGP's operation, which is mainly useful for debugging
  865.      PGP.  Otherwise, there is not much use for it.
  866.       
  867.       
  868.      COMPRESS - Enable Compression
  869.      -----------------------------
  870.       
  871.      Default setting:  COMPRESS = on
  872.       
  873.      The configuration parameter COMPRESS enables or disables data
  874.      compression before encryption.  It is used mainly for debugging PGP. 
  875.      Normally, PGP attempts to compress the plaintext before it encrypts
  876.      it.  Generally, you should leave this alone and let PGP attempt to
  877.      compress the plaintext.
  878.       
  879.       
  880.      COMPLETES_NEEDED - Number of Completely Trusted Introducers Needed
  881.      ------------------------------------------------------------------
  882.       
  883.      Default setting:  COMPLETES_NEEDED = 1
  884.       
  885.      The configuration parameter COMPLETES_NEEDED specifies the minimum
  886.      number of completely trusted introducers required to fully certify a
  887.      public key on your public key ring.  This gives you a way of tuning
  888.      PGP's skepticism.
  889.       
  890.      For further details, see the section "How Does PGP Keep Track of 
  891.      Which Keys are Valid?" in the Essential Topics volume.
  892.       
  893.       
  894.      MARGINALS_NEEDED - Number of Marginally Trusted Introducers Needed
  895.      ------------------------------------------------------------------
  896.       
  897.      Default setting:  MARGINALS_NEEDED = 2
  898.       
  899.      The configuration parameter MARGINALS_NEEDED specifies the minimum
  900.      number of marginally trusted introducers required to fully certify a
  901.  
  902.      PGPDOC2.TXT            Friday, December  4, 1992 3:02 pm            Page 17
  903.  
  904.  
  905.      public key on your public key ring.  This gives you a way of tuning
  906.      PGP's skepticism.
  907.       
  908.      For further details, see the section "How Does PGP Keep Track of 
  909.      Which Keys are Valid?" in the Essential Topics volume.
  910.       
  911.       
  912.      CERT_DEPTH - How Deep May Introducers Be Nested
  913.      -----------------------------------------------
  914.       
  915.      Default setting:  CERT_DEPTH = 4
  916.       
  917.      The configuration parameter CERT_DEPTH specifies how many levels deep
  918.      you may nest introducers to certify other introducers to certify
  919.      public keys on your public key ring.  For example, If CERT_DEPTH is
  920.      set to 1, there may only be one layer of introducers below your own
  921.      ultimately-trusted key.  If that were the case, you would be required
  922.      to directly certify the public keys of all trusted introducers on
  923.      your key ring.  If you set CERT_DEPTH to 0, you could have no
  924.      introducers at all, and you would have to directly certify each and
  925.      every key on your public key ring in order to use it.  The minimum
  926.      CERT_DEPTH is 0, the maximum is 8.
  927.       
  928.      For further details, see the section "How Does PGP Keep Track of 
  929.      Which Keys are Valid?" in the Essential Topics volume.
  930.       
  931.       
  932.      BAKRING - Filename for Backup Secret Keyring
  933.      --------------------------------------------
  934.       
  935.      Default setting:  BAKRING = ""
  936.       
  937.      All of the key certification that PGP does on your public key ring
  938.      ultimately depends on your own ultimately-trusted public key (or
  939.      keys).  To detect any tampering of your public key ring, PGP must
  940.      check that your own key has not been tampered with.  To do this, PGP
  941.      must compare your public key against a backup copy of your secret key
  942.      on some tamper-resistant media, such as a write-protected floppy
  943.      disk.  A secret key contains all the information that your public key
  944.      has, plus some secret components.  This means PGP can check your
  945.      public key against a backup copy of your secret key.
  946.       
  947.      The configuration parameter BAKRING specifies what pathname to use
  948.      for PGP's trusted backup copy of your secret key ring.  On MSDOS, you
  949.      could set it to "a:\secring.pgp" to point it at a write-protected
  950.      backup copy of your secret key ring on your floppy drive.  This check
  951.      is performed only when you execute the PGP -kc option to check your
  952.      whole public key ring.
  953.       
  954.      If BAKRING is not defined, PGP will not check your own key against
  955.      any backup copy.
  956.       
  957.      For further details, see the sections "How to Protect Public Keys
  958.      from Tampering" and "How Does PGP Keep Track of Which Keys are
  959.      Valid?" in the Essential Topics volume.
  960.       
  961.  
  962.      PGPDOC2.TXT            Friday, December  4, 1992 3:02 pm            Page 18
  963.  
  964.  
  965.       
  966.      PAGER - Selects Shell Command to Display Plaintext Output
  967.      ---------------------------------------------------------
  968.       
  969.      Default setting:  PAGER = ""
  970.       
  971.      PGP lets you view the decrypted plaintext output on your screen (like
  972.      the Unix-style "more" command), without writing it to a file, if you
  973.      use the -m (more) option while decrypting.  This displays the
  974.      decrypted plaintext display on your screen one screenful at a time.
  975.       
  976.      If you prefer to use a fancier page display utility, rather than
  977.      PGP's built-in one, you can specify the name of a shell command that
  978.      PGP will invoke to display your plaintext output file.  The
  979.      configuration parameter PAGER specifies the shell command to invoke
  980.      to display the file.  For example:
  981.       
  982.         PAGER = "more"
  983.       
  984.      However, if the sender specified that this file is for your eyes
  985.      only, and may not be written to disk, PGP always uses its own
  986.      built-in display function.
  987.       
  988.      For further details, see the section "Displaying Decrypted Plaintext 
  989.      on Your Screen".
  990.       
  991.       
  992.      SHOWPASS - Echo Pass Phrase to User
  993.      -----------------------------------
  994.       
  995.      Default setting:  SHOWPASS = off
  996.       
  997.      Normally, PGP does not let you see your pass phrase as you type it
  998.      in.  This makes it harder for someone to look over your shoulder
  999.      while you type and learn your pass phrase.  But some typing-impaired
  1000.      people have problems typing their pass phrase without seeing what
  1001.      they are typing, and they may be typing in the privacy of their own
  1002.      homes.  So they asked if PGP can be configured to let them see what
  1003.      they type when they type in their pass phrase.
  1004.       
  1005.      The configuration parameter SHOWPASS enables PGP to echo your typing 
  1006.      during pass phrase entry.
  1007.       
  1008.       
  1009.      TZFIX - Timezone Adjustment
  1010.      ---------------------------
  1011.       
  1012.      Default setting:  TZFIX = 0
  1013.       
  1014.      PGP provides timestamps for keys and signature certificates in
  1015.      Greenwich Mean Time (GMT), or Coordinated Universal Time (UTC), which
  1016.      means the same thing for our purposes.  When PGP asks the system for
  1017.      the time of day, the system is supposed to provide it in GMT.  
  1018.       
  1019.      But sometimes, because of improperly configured MSDOS systems, the
  1020.      system time is returned in US Pacific Standard Time time plus 8
  1021.  
  1022.      PGPDOC2.TXT            Friday, December  4, 1992 3:02 pm            Page 19
  1023.  
  1024.  
  1025.      hours.  Sounds weird, doesn't it?  Perhaps because of some sort of US
  1026.      west-coast jingoism, MSDOS presumes local time is US Pacific time,
  1027.      and pre-corrects Pacific time to GMT.  This adversely affects the
  1028.      behavior of the internal MSDOS GMT time function that PGP calls. 
  1029.      However, if your MSDOS environmental variable TZ is already properly
  1030.      defined for your timezone, this corrects the misconception MSDOS has
  1031.      that the whole world lives on the US west coast.  
  1032.       
  1033.      The configuration parameter TZFIX specifies the number of hours to
  1034.      add to the system time function to get GMT, for GMT timestamps on
  1035.      keys and signatures.  If the MSDOS environmental variable TZ is
  1036.      defined properly, you can leave TZFIX=0.  Unix systems usually
  1037.      shouldn't need to worry about setting TZFIX at all.  But if you are
  1038.      using some other obscure operating system that doesn't know about
  1039.      GMT, you may have to use TZFIX to adjust the system time to GMT. 
  1040.       
  1041.      On MSDOS systems that do not have TZ defined in the environment, you
  1042.      should make TZFIX=0 for California, -1 for Colorado, -2 for Chicago,
  1043.      -3 for New York, -8 for London, -9 for Amsterdam.  In the summer,
  1044.      TZFIX should be manually decremented from these values.  What a mess.
  1045.       
  1046.      It would be much cleaner to set your MSDOS environmental variable TZ
  1047.      in your AUTOEXEC.BAT file, and not use the TZFIX correction.  Then
  1048.      MSDOS gives you good GMT timestamps, and will handle daylight savings
  1049.      time adjustments for you.  Here are some sample lines to insert into
  1050.      AUTOEXEC.BAT, depending on your time zone:
  1051.       
  1052.      For Los Angeles:  SET TZ=PST8PDT
  1053.      For Denver:       SET TZ=MST7MDT
  1054.      For Arizona:      SET TZ=MST7
  1055.         (Arizona never uses daylight savings time)
  1056.      For Chicago:      SET TZ=CST6CDT
  1057.      For New York:     SET TZ=EST5EDT
  1058.      For London:       SET TZ=GMT0BST
  1059.      For Amsterdam:    SET TZ=MET-1DST
  1060.      For Moscow:       SET TZ=MSK-3MSD
  1061.      For Aukland:      SET TZ=NZT-13
  1062.       
  1063.       
  1064.      CLEARSIG - Enable Signed Messages to be Encapsulated as Clear Text
  1065.      ------------------------------------------------------------------
  1066.       
  1067.      Default setting:  CLEARSIG = off
  1068.       
  1069.      Normally, unencrypted PGP signed messages have a signature
  1070.      certificate prepended in binary form.  To send this through a 7-bit
  1071.      E-mail channel, radix-64 ASCII armor is applied (see the ARMOR
  1072.      parameter), rendering the message unreadable to casual human eyes,
  1073.      even though the message is not actually encrypted.  The recipient
  1074.      must use PGP to strip the armor off before reading the message.
  1075.       
  1076.      If the original plaintext message is in text (not binary) form, there
  1077.      is a way to send it through an E-mail channel in such a way that the
  1078.      ASCII armor is applied only to the binary signature certificate, but
  1079.      not to the plaintext message.  This makes it possible to read the
  1080.      signed message with human eyes, without the aid of PGP.  Of course,
  1081.  
  1082.      PGPDOC2.TXT            Friday, December  4, 1992 3:02 pm            Page 20
  1083.  
  1084.  
  1085.      you still need PGP to actually check the signature.
  1086.       
  1087.      To enable this feature, set CLEARSIG=ON, and set ARMOR=ON (or use
  1088.      the -a option), and set TEXTMODE=ON (or use the -t option).  For
  1089.      example, you can set CLEARSIG directly from the command line:
  1090.       
  1091.           pgp -sta +clearsig=on message.txt
  1092.       
  1093.      This message representation is analogous to the MIC-CLEAR message type
  1094.      used in Internet Privacy Enhanced Mail (PEM).  It is important to
  1095.      note that since this method only applies ASCII armor to the binary
  1096.      signature certificate, and not to the message text itself, there is
  1097.      some risk that the unarmored message may suffer some accidental
  1098.      molestation while en route.  This can happen if it passes through
  1099.      some E-mail gateway that performs character set conversions, or in
  1100.      some cases extra spaces may be added to or stripped from the ends of
  1101.      lines.  If this occurs, the signature will fail to verify, which may
  1102.      give a false indication of intentional tampering.  But since PEM
  1103.      lives under a similar vulnerability, it seems worth having this
  1104.      feature despite the risks.
  1105.       
  1106.       
  1107.  
  1108.      PGPDOC2.TXT            Friday, December  4, 1992 3:02 pm            Page 21
  1109.  
  1110.  
  1111.       
  1112.      Protecting Against Bogus Timestamps
  1113.      ===================================
  1114.       
  1115.      A somewhat obscure vulnerability of PGP involves dishonest users
  1116.      creating bogus timestamps on their own public key certificates and
  1117.      signatures.  You can skip over this section if you are a casual user
  1118.      and aren't deeply into obscure public key protocols.
  1119.       
  1120.      There's nothing to stop a dishonest user from altering the date and
  1121.      time setting of his own system's clock, and generating his own public
  1122.      key certificates and signatures that appear to have been created at a
  1123.      different time.  He can make it appear that he signed something
  1124.      earlier or later than he actually did, or that his public/secret key
  1125.      pair was created earlier or later.  This may have some legal or
  1126.      financial benefit to him, for example by creating some kind of 
  1127.      loophole that might allow him to repudiate a signature.
  1128.       
  1129.      A remedy for this could involve some trustworthy Certifying Authority
  1130.      or notary that would create notarized signatures with a trustworthy
  1131.      timestamp.  This might not necessarily require a centralized
  1132.      authority.  Perhaps any trusted introducer or disinterested party
  1133.      could serve this function, the same way real notary publics do now. 
  1134.      A public key certificate could be signed by the notary, and the
  1135.      trusted timestamp in the notary's signature would have some legal
  1136.      significance.  The notary could enter the signed certificate into a
  1137.      special certificate log controlled by the notary.  Anyone can read
  1138.      this log. 
  1139.       
  1140.      The notary could also sign other people's signatures, creating a
  1141.      signature certificate of a signature certificate.  This would serve
  1142.      as a witness to the signature the same way real notaries do now with
  1143.      paper.  Again, the notary could enter the detached signature
  1144.      certificate (without the actual whole document that was signed) into
  1145.      a log controlled by the notary.  The notary's signature would have a
  1146.      trusted timestamp, which might have greater credibility than the
  1147.      timestamp in the original signature.  A signature becomes "legal" if
  1148.      it is signed and logged by the notary.
  1149.       
  1150.      This problem of certifying signatures with notaries and trusted
  1151.      timestamps warrants further discussion.  This can of worms will not
  1152.      be fully covered here now.  There is a good treatment of this topic
  1153.      in Denning's 1983 article in IEEE Computer (see references).  There
  1154.      is much more detail to be worked out in these various certifying
  1155.      schemes.  This will develop further as PGP usage increases and other
  1156.      public key products develop their own certifying schemes.
  1157.       
  1158.       
  1159.  
  1160.      PGPDOC2.TXT            Friday, December  4, 1992 3:02 pm            Page 22
  1161.  
  1162.  
  1163.       
  1164.      A Peek Under the Hood
  1165.      =====================
  1166.       
  1167.      Let's take a look at a few internal features of PGP.
  1168.       
  1169.       
  1170.      Random Numbers
  1171.      --------------
  1172.       
  1173.      PGP uses a cryptographically strong pseudorandom number generator for
  1174.      creating temporary conventional session keys.  The seed file for this
  1175.      is called  "randseed.bin".  It too can be kept in whatever directory
  1176.      is indicated by the PGPPATH environmental variable.  If this random
  1177.      seed file does not exist, it is automatically created and seeded with
  1178.      truly random numbers derived from timing your keystroke latencies.  
  1179.       
  1180.      This generator reseeds the disk file each time it is used by mixing
  1181.      in new key material partially derived with the time of day and other
  1182.      truly random sources.  It uses the conventional encryption algorithm
  1183.      as an engine for the random number generator.  The seed file contains
  1184.      both random seed material and random key material to key the
  1185.      conventional encryption engine for the random generator.
  1186.       
  1187.      If you feel uneasy about trusting any algorithmically derived random
  1188.      number source however strong, keep in mind that you already trust the
  1189.      strength of the same conventional cipher to protect your messages. 
  1190.      If it's strong enough for that, then it should be strong enough to
  1191.      use as a source of random numbers for temporary session keys.  Note
  1192.      that PGP still uses truly random numbers from physical sources
  1193.      (mainly keyboard timings) to generate long-term public/secret key
  1194.      pairs.
  1195.       
  1196.       
  1197.       
  1198.      PGP's Conventional Encryption Algorithm
  1199.      ---------------------------------------
  1200.       
  1201.      As described earlier, PGP "bootstraps" into a conventional single-key
  1202.      encryption algorithm by using a public key algorithm to encipher the
  1203.      conventional session key and then switching to fast conventional
  1204.      cryptography.  So let's talk about this conventional encryption
  1205.      algorithm.  It isn't the DES.
  1206.       
  1207.      The Federal Data Encryption Standard (DES) is a good algorithm for
  1208.      most commercial applications.  However, the Government does not trust
  1209.      the DES to protect its own classified data.  Perhaps this is because
  1210.      the DES key length is 56 bits, short enough for a brute force attack
  1211.      with a special purpose machine built from massive numbers of DES
  1212.      chips.  Also, Biham and Shamir have had some success recently on
  1213.      attacking the full 16-round DES.
  1214.       
  1215.      PGP does not use the DES as its conventional single-key algorithm to
  1216.      encrypt messages.  Instead, PGP uses a different conventional
  1217.      single-key block encryption algorithm, called IDEA(tm).  A future
  1218.      version of PGP may support the DES as an option, if enough users
  1219.  
  1220.      PGPDOC2.TXT            Friday, December  4, 1992 3:02 pm            Page 23
  1221.  
  1222.  
  1223.      ask for it.  But I suspect IDEA is better than DES.
  1224.       
  1225.      For the cryptographically curious, the IDEA cipher has a 64-bit block
  1226.      size for the plaintext and the ciphertext.  It uses a key size of 128
  1227.      bits.  It is based on the design concept of "mixing operations from
  1228.      different algebraic groups".  It runs much faster in software than
  1229.      the DES.  Like the DES, it can be used in cipher feedback (CFB) and
  1230.      cipher block chaining (CBC) modes.  PGP uses it in 64-bit CFB mode.
  1231.       
  1232.      The IPES/IDEA block cipher was developed at ETH in Zurich by James L.
  1233.      Massey and Xuejia Lai, and published in 1990.  This is not a 
  1234.      "home-grown" algorithm.  Its designers have a distinguished
  1235.      reputation in the cryptologic community.  Early published papers on
  1236.      the algorithm called it IPES (Improved Proposed Encryption Standard),
  1237.      but they later changed the name to IDEA (International Data
  1238.      Encryption Algorithm).  So far, IDEA has resisted attack much better
  1239.      than other ciphers such as FEAL, REDOC-II, LOKI, Snefru and Khafre. 
  1240.      And preliminary evidence suggests that IDEA may be more resistant
  1241.      than the DES to Biham & Shamir's highly successful differential
  1242.      cryptanalysis attack.  Biham and Shamir have been examining the IDEA
  1243.      cipher for weaknesses, without success.  Academic cryptanalyst groups
  1244.      in Belgium, England, and Germany are also attempting to attack it, as
  1245.      well as the military services from several European countries.  As
  1246.      this new cipher continues to attract attack efforts from the most
  1247.      formidable quarters of the cryptanalytic world, confidence in IDEA is
  1248.      growing with the passage of time.
  1249.       
  1250.      A famous hockey player once said, "I try to skate to where I think
  1251.      the puck will be."  A lot of people are starting to feel that the
  1252.      days are numbered for the DES.  I'm skating toward IDEA.
  1253.       
  1254.      It is not ergonomically practical to use pure RSA with large keys to
  1255.      encrypt and decrypt long messages.  Absolutely no one does it that way
  1256.      in the real world.  But perhaps you are concerned that the whole
  1257.      package is weakened if we use a hybrid public-key and conventional
  1258.      scheme just to speed things up.  After all, a chain is only as strong
  1259.      as its weakest link.  Many people less experienced in cryptography
  1260.      mistakenly believe that RSA is intrinsically stronger than any
  1261.      conventional cipher.  It's not.  RSA can be made weak by using weak
  1262.      keys, and conventional ciphers can be made strong by choosing good
  1263.      algorithms.  It's usually difficult to tell exactly how strong a good
  1264.      conventional cipher is, without actually cracking it.  A really good
  1265.      conventional cipher might possibly be harder to crack than even a
  1266.      "military grade" RSA key.  The attraction of public key cryptography
  1267.      is not because it is intrinsically stronger than a conventional
  1268.      cipher-- its appeal is because it helps you manage keys more
  1269.      conveniently.
  1270.       
  1271.       
  1272.       
  1273.      Data Compression
  1274.      ----------------
  1275.       
  1276.      PGP normally compresses the plaintext before encrypting it.  It's too
  1277.      late to compress it after it has been encrypted; encrypted data is
  1278.      incompressible.  Data compression saves modem transmission time and
  1279.  
  1280.      PGPDOC2.TXT            Friday, December  4, 1992 3:02 pm            Page 24
  1281.  
  1282.  
  1283.      disk space and more importantly strengthens cryptographic security.  
  1284.      Most cryptanalysis techniques exploit redundancies found in the
  1285.      plaintext to crack the cipher.  Data compression reduces this
  1286.      redundancy in the plaintext, thereby greatly enhancing resistance to 
  1287.      cryptanalysis.  It takes extra time to compress the plaintext, but 
  1288.      from a security point of view it seems worth it, at least in my 
  1289.      cautious opinion. 
  1290.       
  1291.      Files that are too short to compress or just don't compress well are
  1292.      not compressed by PGP.  
  1293.       
  1294.      If you prefer, you can use PKZIP to compress the plaintext before
  1295.      encrypting it.  PKZIP is a widely-available and effective MSDOS
  1296.      shareware compression utility from PKWare, Inc.  Or you can use ZIP,
  1297.      a PKZIP-compatible freeware compression utility on Unix and other
  1298.      systems, available from Jean-Loup Gailly.  There is some advantage in
  1299.      using PKZIP or ZIP in certain cases, because unlike PGP's built-in
  1300.      compression algorithm, PKZIP and ZIP have the nice feature of
  1301.      compressing multiple files into a single compressed file, which is
  1302.      reconstituted again into separate files when decompressed.  PGP will
  1303.      not try to compress a plaintext file that has already been
  1304.      compressed.  After decrypting, the recipient can decompress the
  1305.      plaintext with PKUNZIP.  If the decrypted plaintext is a PKZIP
  1306.      compressed file, PGP automatically recognizes this and advises the 
  1307.      recipient that the decrypted plaintext appears to be a PKZIP file.
  1308.       
  1309.      For the technically curious readers, the current version of PGP uses
  1310.      the freeware ZIP compression routines written by Jean-loup Gailly,
  1311.      Mark Adler, and Richard B. Wales.  This ZIP software uses
  1312.      functionally-equivalent compression algorithms as those used by
  1313.      PKWare's new PKZIP 2.0.  This ZIP compression software was selected
  1314.      for PGP mainly because of its free portable C source code
  1315.      availability, and because it has a really good compression ratio, and
  1316.      because it's fast.  
  1317.       
  1318.       
  1319.       
  1320.      Message Digests and Digital Signatures
  1321.      --------------------------------------
  1322.       
  1323.      To create a digital signature, PGP encrypts with your secret key. 
  1324.      But PGP doesn't actually encrypt your entire message with your secret
  1325.      key-- that would take too long.  Instead, PGP encrypts a "message
  1326.      digest".  
  1327.       
  1328.      The message digest is a compact (128 bit) "distillate" of your
  1329.      message, similar in concept to a checksum.  You can also think of it
  1330.      as a "fingerprint" of the message.  The message digest "represents"
  1331.      your message, such that if the message were altered in any way, a
  1332.      different message digest would be computed from it.  This makes it
  1333.      possible to detect any changes made to the message by a forger.  A
  1334.      message digest is computed using a cryptographically strong one-way
  1335.      hash function of the message.  It would be computationally infeasible
  1336.      for an attacker to devise a substitute message that would produce an
  1337.      identical message digest.  In that respect, a message digest is much
  1338.      better than a checksum, because it is easy to devise a different
  1339.  
  1340.      PGPDOC2.TXT            Friday, December  4, 1992 3:02 pm            Page 25
  1341.  
  1342.  
  1343.      message that would produce the same checksum.  But like a checksum,
  1344.      you can't derive the original message from its message digest.  
  1345.       
  1346.      A message digest alone is not enough to authenticate a message.  The
  1347.      message digest algorithm is publicly known, and does not require
  1348.      knowledge of any secret keys to calculate.  If all we did was attach
  1349.      a message digest to a message, then a forger could alter a message
  1350.      and simply attach a new message digest calculated from the new
  1351.      altered message.  To provide real authentication, the sender has to
  1352.      encrypt (sign) the message digest with his secret key.  
  1353.       
  1354.      A message digest is calculated from the message by the sender.  The
  1355.      sender's secret key is used to encrypt the message digest and an
  1356.      electronic timestamp, forming a digital signature, or signature
  1357.      certificate.  The sender sends the digital signature along with the
  1358.      message.  The receiver receives the message and the digital
  1359.      signature, and recovers the original message digest from the digital
  1360.      signature by decrypting it with the sender's public key.  The
  1361.      receiver computes a new message digest from the message, and checks
  1362.      to see if it matches the one recovered from the digital signature.  If
  1363.      it matches, then that proves the message was not altered, and it came
  1364.      from the sender who owns the public key used to check the signature.
  1365.       
  1366.      A potential forger would have to either produce an altered message
  1367.      that produces an identical message digest (which is infeasible), or
  1368.      he would have to create a new digital signature from a different
  1369.      message digest (also infeasible, without knowing the true sender's
  1370.      secret key).
  1371.       
  1372.      Digital signatures prove who sent the message, and that the message
  1373.      was not altered either by error or design.  It also provides
  1374.      non-repudiation, which means the sender cannot easily disavow his
  1375.      signature on the message.
  1376.       
  1377.      Using message digests to form digital signatures has other advantages
  1378.      besides being faster than directly signing the entire actual message
  1379.      with the secret key.  Using message digests allows signatures to be
  1380.      of a standard small fixed size, regardless of the size of the actual
  1381.      message.  It also allows the software to check the message integrity
  1382.      automatically, in a manner similar to using checksums.  And it allows
  1383.      signatures to be stored separately from messages, perhaps even in a
  1384.      public archive, without revealing sensitive information about the
  1385.      actual messages, because no one can derive any message content from a
  1386.      message digest.
  1387.       
  1388.      The message digest algorithm used here is the MD5 Message Digest
  1389.      Algorithm, placed in the public domain by RSA Data Security, Inc.
  1390.      MD5's designer, Ronald Rivest, writes this about MD5:
  1391.       
  1392.      "It is conjectured that the difficulty of coming up with two messages
  1393.      having the same message digest is on the order of 2^64 operations,
  1394.      and that the difficulty of coming up with any message having a given
  1395.      message digest is on the order of 2^128 operations.  The MD5
  1396.      algorithm has been carefully scrutinized for weaknesses.  It is,
  1397.      however, a relatively new algorithm and further security analysis is
  1398.      of course justified, as is the case with any new proposal of this
  1399.  
  1400.      PGPDOC2.TXT            Friday, December  4, 1992 3:02 pm            Page 26
  1401.  
  1402.  
  1403.      sort.  The level of security provided by MD5 should be sufficient for
  1404.      implementing very high security hybrid digital signature schemes
  1405.      based on MD5 and the RSA public-key cryptosystem."
  1406.       
  1407.       
  1408.       
  1409.      Compatibility with Previous Versions of PGP
  1410.      ===========================================
  1411.       
  1412.      I'm sorry, PGP version 2.0 is not compatible with PGP version 1.0.  
  1413.      If you have keys generated with version 1.0, you will have to
  1414.      generate new keys to use with this version.  This version of PGP uses
  1415.      all new algorithms for conventional cryptography, compression, and
  1416.      message digests, as well as using a much better approach to key
  1417.      management.  There were just too many changes to make it compatible
  1418.      with the old format messages, signatures, and keys.  Perhaps we could
  1419.      have provided a special conversion utility to convert old keys into
  1420.      new keys, but we were all tired and wanted to get the new release out
  1421.      the door.  Besides, converting the old keys into new keys would
  1422.      probably create more problems than it would solve, because we have
  1423.      changed to a new recommended uniform style for the user ID that
  1424.      includes the full name and E-mail address in a particular syntax.
  1425.       
  1426.      We made some effort to design the internal data structures of this
  1427.      version of PGP to be adaptable to future changes, so that hopefully
  1428.      you will not be required to discard and regenerate your keys in future
  1429.      versions.
  1430.       
  1431.       
  1432.  
  1433.      PGPDOC2.TXT            Friday, December  4, 1992 3:02 pm            Page 27
  1434.  
  1435.  
  1436.       
  1437.      Vulnerabilities
  1438.      ===============
  1439.       
  1440.      No data security system is impenetrable.  PGP can be circumvented in
  1441.      a variety of ways.  In any data security system, you have to ask
  1442.      yourself if the information you are trying to protect is more
  1443.      valuable to your attacker than the cost of the attack.  This should
  1444.      lead you to protecting yourself from the cheapest attacks, while not
  1445.      worrying about the more expensive attacks.  
  1446.       
  1447.      Some of the discussion that follows may seem unduly paranoid, but
  1448.      such an attitude is appropriate for a reasonable discussion of
  1449.      vulnerability issues. 
  1450.       
  1451.       
  1452.      Compromised Pass Phrase and Secret Key
  1453.      --------------------------------------
  1454.       
  1455.      Probably the simplest attack is if you leave your pass phrase for
  1456.      your secret key written down somewhere.  If someone gets it and also
  1457.      gets your secret key file, they can read your messages and make
  1458.      signatures in your name.  
  1459.       
  1460.      Don't use obvious passwords that can be easily guessed, such as the
  1461.      names of your kids or spouse.  If you make your pass phrase a single
  1462.      word, it can be easily guessed by having a computer try all the words
  1463.      in the dictionary until it finds your password.  That's why a pass
  1464.      phrase is so much better than a password.  A more sophisticated
  1465.      attacker may have his computer scan a book of famous quotations to
  1466.      find your pass phrase.  An easy to remember but hard to guess pass
  1467.      phrase can be easily constructed by some creatively nonsensical
  1468.      sayings or very obscure literary quotes.  
  1469.       
  1470.      For further details, see the section "How to Protect Secret Keys from
  1471.      Disclosure" in the Essential Topics volume of the PGP User's Guide.
  1472.       
  1473.       
  1474.      Public Key Tampering
  1475.      --------------------
  1476.       
  1477.      A major vulnerability exists if public keys are tampered with.  This
  1478.      may be the most crucially important vulnerability of a public key
  1479.      cryptosystem, in part because most novices don't immediately
  1480.      recognize it.  The importance of this vulnerability, and appropriate
  1481.      hygienic countermeasures, are detailed in the section "How to Protect
  1482.      Public Keys from Tampering" in the Essential Topics volume.    
  1483.       
  1484.      To summarize:  When you use someone's public key, make certain it has
  1485.      not been tampered with.  A new public key from someone else should be
  1486.      trusted only if you got it directly from its owner, or if it has been
  1487.      signed by someone you trust.  Make sure no one else can tamper with
  1488.      your own public key ring.  Maintain physical control of both your
  1489.      public key ring and your secret key ring, preferably on your own
  1490.      personal computer rather than on a remote timesharing system.  Keep a
  1491.      backup copy of both key rings.
  1492.  
  1493.      PGPDOC2.TXT            Friday, December  4, 1992 3:02 pm            Page 28
  1494.  
  1495.  
  1496.       
  1497.       
  1498.      "Not Quite Deleted" Files
  1499.      -------------------------
  1500.       
  1501.      Another potential security problem is caused by how most operating
  1502.      systems delete files.  When you encrypt a file and then delete the
  1503.      original plaintext file, the operating system doesn't actually
  1504.      physically erase the data.  It merely marks those disk blocks as
  1505.      deleted, allowing the space to be reused later.  It's sort of like
  1506.      discarding sensitive paper documents in the paper recycling bin
  1507.      instead of the paper shredder.  The disk blocks still contain the
  1508.      original sensitive data you wanted to erase, and will probably
  1509.      eventually be overwritten by new data at some point in the future. 
  1510.      If an attacker reads these deleted disk blocks soon after they have
  1511.      been deallocated, he could recover your plaintext. 
  1512.       
  1513.      In fact this could even happen accidentally, if for some reason
  1514.      something went wrong with the disk and some files were accidentally
  1515.      deleted or corrupted.  A disk recovery program may be run to recover
  1516.      the damaged files, but this often means some previously deleted files
  1517.      are resurrected along with everything else.  Your confidential files
  1518.      that you thought were gone forever could then reappear and be
  1519.      inspected by whomever is attempting to recover your damaged disk.  
  1520.      Even while you are creating the original message with a word
  1521.      processor or text editor, the editor may be creating multiple
  1522.      temporary copies of your text on the disk, just because of its
  1523.      internal workings.  These temporary copies of your text are deleted
  1524.      by the word processor when it's done, but these sensitive fragments
  1525.      are still on your disk somewhere.  
  1526.       
  1527.      Let me tell you a true horror story.  I had a friend, married with
  1528.      young children, who once had a brief and not very serious affair. 
  1529.      She wrote a letter to her lover on her word processor, and deleted
  1530.      the letter after she sent it.  Later, after the affair was over, the
  1531.      floppy disk got damaged somehow and she had to recover it because it
  1532.      contained other important documents.  She asked her husband to
  1533.      salvage the disk, which seemed perfectly safe because she knew she
  1534.      had deleted the incriminating letter.  Her husband ran a commercial
  1535.      disk recovery software package to salvage the files.  It recovered
  1536.      the files alright, including the deleted letter.  He read it, which 
  1537.      set off a tragic chain of events.  
  1538.       
  1539.      The only way to prevent the plaintext from reappearing is to somehow
  1540.      cause the deleted plaintext files to be overwritten.  Unless you know
  1541.      for sure that all the deleted disk blocks will soon be reused, you
  1542.      must take positive steps to overwrite the plaintext file, and also
  1543.      any fragments of it on the disk left by your word processor.  You can
  1544.      overwrite the original plaintext file after encryption by using the
  1545.      PGP -w (wipe) option.  You can take care of any fragments of the
  1546.      plaintext left on the disk by using any of the disk utilities
  1547.      available that can overwrite all of the unused blocks on a disk.  For
  1548.      example, the Norton Utilities for MSDOS can do this.
  1549.       
  1550.      Even if you overwrite the plaintext data on the disk, it may still be
  1551.      possible for a resourceful and determined attacker to recover the
  1552.  
  1553.      PGPDOC2.TXT            Friday, December  4, 1992 3:02 pm            Page 29
  1554.  
  1555.  
  1556.      data.  Faint magnetic traces of the original data remain on the disk
  1557.      after it has been overwritten.  Special sophisticated disk recovery
  1558.      hardware can sometimes be used to recover the data.
  1559.       
  1560.       
  1561.      Viruses and Trojan Horses
  1562.      -------------------------
  1563.       
  1564.      Another attack could involve a specially-tailored hostile computer
  1565.      virus or worm that might infect PGP or your operating system.  This
  1566.      hypothetical virus could be designed to capture your pass phrase or
  1567.      secret key or deciphered messages, and covertly write the captured
  1568.      information to a file or send it through a network to the virus's
  1569.      owner.  Or it might alter PGP's behavior so that signatures are not
  1570.      properly checked.  This attack is cheaper than cryptanalytic attacks.
  1571.       
  1572.      Defending against this falls under the category of defending against
  1573.      viral infection generally.  There are some moderately capable
  1574.      anti-viral products commercially available, and there are hygienic
  1575.      procedures to follow that can greatly reduce the chances of viral
  1576.      infection.  A complete treatment of anti-viral and anti-worm
  1577.      countermeasures is beyond the scope of this document.  PGP has no
  1578.      defenses against viruses, and assumes your own personal computer is a
  1579.      trustworthy execution environment.  If such a virus or worm actually
  1580.      appeared, hopefully word would soon get around warning everyone.  
  1581.       
  1582.      Another similar attack involves someone creating a clever imitation
  1583.      of PGP that behaves like PGP in most respects, but doesn't work the
  1584.      way it's supposed to.  For example, it might be deliberately crippled
  1585.      to not check signatures properly, allowing bogus key certificates to
  1586.      be accepted.  This "Trojan horse" version of PGP is not hard for an
  1587.      attacker to create, because PGP source code is widely available, so
  1588.      anyone could modify the source code and produce a lobotomized zombie
  1589.      imitation PGP that looks real but does the bidding of its diabolical
  1590.      master.  This Trojan horse version of PGP could then be widely
  1591.      circulated, claiming to be from me.  How insidious.
  1592.       
  1593.      You should make an effort to get your copy of PGP from a reliable
  1594.      source, whatever that means.  Or perhaps from more than one
  1595.      independent source, and compare them with a file comparison utility.
  1596.       
  1597.      There are other ways to check PGP for tampering, using digital
  1598.      signatures.  If someone you trust signs the executable version of
  1599.      PGP, vouching for the fact that it has not been infected or tampered
  1600.      with, you can be reasonably sure that you have a good copy.  You
  1601.      could use an earlier trusted version of PGP to check the signature on
  1602.      a later suspect version of PGP.  But this will not help at all if
  1603.      your operating system is infected, nor will it detect if your
  1604.      original copy of PGP.EXE has been maliciously altered in such a way
  1605.      as to compromise its own ability to check signatures.  This test also
  1606.      assumes that you have a good trusted copy of the public key that you
  1607.      use to check the signature on the PGP executable.
  1608.       
  1609.       
  1610.      Physical Security Breach
  1611.      ------------------------
  1612.  
  1613.      PGPDOC2.TXT            Friday, December  4, 1992 3:02 pm            Page 30
  1614.  
  1615.  
  1616.       
  1617.      A physical security breach may allow someone to physically acquire
  1618.      your plaintext files or printed messages.  A determined opponent
  1619.      might accomplish this through burglary, trash-picking, unreasonable
  1620.      search and seizure, or bribery, blackmail or infiltration of your
  1621.      staff.  Some of these attacks may be especially feasible against
  1622.      grassroots political organizations that depend on a largely volunteer
  1623.      staff.  It has been widely reported in the press that the FBI's
  1624.      COINTELPRO program used burglary, infiltration, and illegal bugging
  1625.      against antiwar and civil rights groups.  And look what happened at
  1626.      the Watergate Hotel.  
  1627.       
  1628.      Don't be lulled into a false sense of security just because you have
  1629.      a cryptographic tool.  Cryptographic techniques protect data only
  1630.      while it's encrypted-- direct physical security violations can still
  1631.      compromise plaintext data or written or spoken information.  
  1632.       
  1633.      This kind of attack is cheaper than cryptanalytic attacks on PGP.
  1634.       
  1635.       
  1636.      Tempest Attacks
  1637.      ---------------
  1638.       
  1639.      Another kind of attack that has been used by well-equipped opponents
  1640.      involves the remote detection of the electromagnetic signals from
  1641.      your computer.  This expensive and somewhat labor-intensive attack is
  1642.      probably still cheaper than direct cryptanalytic attacks.  An
  1643.      appropriately instrumented van can park near your office and remotely
  1644.      pick up all of your keystrokes and messages displayed on your
  1645.      computer video screen.  This would compromise all of your passwords,
  1646.      messages, etc.  This attack can be thwarted by properly shielding all
  1647.      of your computer equipment and network cabling so that it does not
  1648.      emit these signals.  This shielding technology is known as "Tempest",
  1649.      and is used by some Government agencies and defense contractors.  
  1650.      There are hardware vendors who supply Tempest shielding commercially,
  1651.      although it may be subject to some kind of Government licensing.  Now
  1652.      why do you suppose the Government would restrict access to Tempest
  1653.      shielding?
  1654.       
  1655.       
  1656.      Exposure on Multi-user Systems
  1657.      ------------------------------
  1658.       
  1659.      PGP was originally designed for a single-user MSDOS machine under
  1660.      your direct physical control.  I run PGP at home on my own PC, and
  1661.      unless someone breaks into my house or monitors my electromagnetic
  1662.      emissions, they probably can't see my plaintext files or secret keys. 
  1663.       
  1664.      But now PGP also runs on multi-user systems such as Unix and VAX/VMS.
  1665.      On multi-user systems, there are much greater risks of your plaintext
  1666.      or keys or passwords being exposed.  The Unix system administrator or
  1667.      a clever intruder can read your plaintext files, or perhaps even use
  1668.      special software to covertly monitor your keystrokes or read what's
  1669.      on your screen.  On a Unix system, any other user can read your
  1670.      environment information remotely by simply using the Unix "ps"
  1671.      command.  Similar problems exist for MSDOS machines connected on a
  1672.  
  1673.      PGPDOC2.TXT            Friday, December  4, 1992 3:02 pm            Page 31
  1674.  
  1675.  
  1676.      local area network.  The actual security risk is dependent on your
  1677.      particular situation.  Some multi-user systems may be safe because
  1678.      all the users are trusted, or because they have system security
  1679.      measures that are safe enough to withstand the attacks available to
  1680.      the intruders, or because there just aren't any sufficiently
  1681.      interested intruders.  Some Unix systems are safe because they are
  1682.      only used by one user-- there are even some notebook computers
  1683.      running Unix.  It would be unreasonable to simply exclude PGP from
  1684.      running on all Unix systems.
  1685.       
  1686.      PGP is not designed to protect your data while it is in plaintext
  1687.      form on a compromised system.  Nor can it prevent an intruder from
  1688.      using sophisticated measures to read your secret key while it is
  1689.      being used.  You will just have to recognize these risks on
  1690.      multi-user systems, and adjust your expectations and behavior
  1691.      accordingly.  Perhaps your situation is such that you should consider
  1692.      only running PGP on an isolated single-user system under your direct
  1693.      physical control.  That's what I do, and that's what I recommend.
  1694.       
  1695.       
  1696.      Traffic Analysis
  1697.      ----------------
  1698.       
  1699.      Even if the attacker cannot read the contents of your encrypted
  1700.      messages, he may be able to infer at least some useful information by
  1701.      observing where the messages come from and where they are going, the
  1702.      size of the messages, and the time of day the messages are sent. 
  1703.      This is analogous to the attacker looking at your long distance phone
  1704.      bill to see who you called and when and for how long, even though the
  1705.      actual content of your calls is unknown to the attacker.  This is
  1706.      called traffic analysis.  PGP alone does not protect against traffic
  1707.      analysis.  Solving this problem would require specialized 
  1708.      communication protocols designed to reduce exposure to traffic
  1709.      analysis in your communication environment, possibly with some
  1710.      cryptographic assistance.
  1711.       
  1712.       
  1713.      Cryptanalysis
  1714.      -------------
  1715.       
  1716.      An expensive and formidable cryptanalytic attack could possibly be
  1717.      mounted by someone with vast supercomputer resources, such as a
  1718.      Government intelligence agency.  They might crack your RSA key by
  1719.      using some new secret factoring breakthrough.  Perhaps so, but it is
  1720.      noteworthy that the US Government trusts the RSA algorithm enough in
  1721.      some cases to use it to protect its own nuclear weapons, according to
  1722.      Ron Rivest.  And civilian academia has been intensively attacking it
  1723.      without success since 1978. 
  1724.       
  1725.      Perhaps the Government has some classified methods of cracking the
  1726.      IDEA(tm) conventional encryption algorithm used in PGP.  This is
  1727.      every cryptographer's worst nightmare.  There can be no absolute
  1728.      security guarantees in practical cryptographic implementations.  
  1729.       
  1730.      Still, some optimism seems justified.  The IDEA algorithm's designers
  1731.      are among the best cryptographers in Europe.  It has had extensive
  1732.  
  1733.      PGPDOC2.TXT            Friday, December  4, 1992 3:02 pm            Page 32
  1734.  
  1735.  
  1736.      security analysis and peer review from some of the best cryptanalysts
  1737.      in the unclassified world.  It appears to have some design advantages
  1738.      over the DES in withstanding differential cryptanalysis, which has
  1739.      been used to crack the DES.  
  1740.       
  1741.      Besides, even if this algorithm has some subtle unknown weaknesses,
  1742.      PGP compresses the plaintext before encryption, which should greatly
  1743.      reduce those weaknesses.  The computational workload to crack it is
  1744.      likely to be much more expensive than the value of the message.
  1745.       
  1746.      If your situation justifies worrying about very formidable attacks of
  1747.      this caliber, then perhaps you should contact a data security
  1748.      consultant for some customized data security approaches tailored to
  1749.      your special needs.  Boulder Software Engineering, whose address and
  1750.      phone are given at the end of this document, can provide such
  1751.      services.
  1752.       
  1753.       
  1754.      In summary, without good cryptographic protection of your data
  1755.      communications, it may have been practically effortless and perhaps
  1756.      even routine for an opponent to intercept your messages, especially
  1757.      those sent through a modem or E-mail system.  If you use PGP and
  1758.      follow reasonable precautions, the attacker will have to expend far
  1759.      more effort and expense to violate your privacy. 
  1760.       
  1761.      If you protect yourself against the simplest attacks, and you feel
  1762.      confident that your privacy is not going to be violated by a
  1763.      determined and highly resourceful attacker, then you'll probably be
  1764.      safe using PGP.  PGP gives you Pretty Good Privacy.
  1765.       
  1766.       
  1767.  
  1768.      PGPDOC2.TXT            Friday, December  4, 1992 3:02 pm            Page 33
  1769.  
  1770.  
  1771.       
  1772.      Legal Issues
  1773.      ============
  1774.       
  1775.       
  1776.      Trademarks, Copyrights, and Warranties
  1777.      --------------------------------------
  1778.       
  1779.      "Pretty Good Privacy", "Phil's Pretty Good Software", and the "Pretty
  1780.      Good" label for computer software and hardware products are all
  1781.      trademarks of Philip Zimmermann and Phil's Pretty Good Software.  PGP
  1782.      is (c) Copyright Philip R. Zimmermann, 1990-1992.  Philip Zimmermann
  1783.      also holds the copyright for the PGP User's Manual, as well as any
  1784.      foreign language translations of the manual or the software.
  1785.       
  1786.      The author assumes no liability for damages resulting from the use of
  1787.      this software, even if the damage results from defects in this
  1788.      software, and makes no representations concerning the merchantability
  1789.      of this software or its suitability for any specific purpose.  It is
  1790.      provided "as is" without express or implied warranty of any kind.
  1791.       
  1792.       
  1793.      Patent Rights on the Algorithms
  1794.      -------------------------------
  1795.       
  1796.      When I first released PGP, I half-expected to encounter some form of
  1797.      legal harassment from the Government.  Indeed, there has been legal 
  1798.      harrassment, but it hasn't come from the Government-- it has come
  1799.      from a private corporation.
  1800.       
  1801.      The RSA public key cryptosystem was developed at MIT with Federal
  1802.      funding from grants from the National Science Foundation and the
  1803.      Navy.  It is patented by MIT (U.S. patent #4,405,829, issued 20 Sep
  1804.      1983).  A company in California called Public Key Partners (PKP) holds
  1805.      the exclusive commercial license to sell and sub-license the RSA
  1806.      public key cryptosystem.  The author of this software implementation
  1807.      of the RSA algorithm is providing this implementation for educational
  1808.      use only.  Licensing this algorithm from PKP is the responsibility of
  1809.      you, the user, not Philip Zimmermann, the author of this software
  1810.      implementation.  The author assumes no liability for any patent
  1811.      infringement that may result from the unlicensed use by the user of
  1812.      the underlying RSA algorithm used in this software.  Foreign users
  1813.      should note that the RSA patent does not apply outside the US, and
  1814.      there is no RSA patent in any other country.  Federal agencies may
  1815.      use it because the Government paid for the development of RSA.  
  1816.       
  1817.      Unfortunately, PKP is not offering any licensing of their RSA patent
  1818.      to end users of PGP.  This essentially makes PGP contraband in the
  1819.      USA.  Jim Bidzos, president of PKP, threatened to take legal action
  1820.      against me unless I stop distributing PGP, until they can devise a
  1821.      licensing scheme for it.  I agreed to this, since PGP is already in
  1822.      wide circulation and waiting a while for a licensing arrangement from
  1823.      PKP seemed reasonable.  Mr. Bidzos assured me (he even used the word
  1824.      "promise") several times since the initial 5 June 91 release of PGP
  1825.      that they were working on a licensing scheme for PGP.  Apparently, my
  1826.      release of PGP helped provide the impetus for them to offer some sort
  1827.  
  1828.      PGPDOC2.TXT            Friday, December  4, 1992 3:02 pm            Page 34
  1829.  
  1830.  
  1831.      of a freeware-style license for noncommercial use of the RSA
  1832.      algorithm.  However, in December 1991 Mr. Bidzos said he had no plans
  1833.      to ever license the RSA algorithm to PGP users, and denied ever
  1834.      implying that he would.  Meanwhile, I have continued to refrain from
  1835.      distributing PGP, although I've recently updated the PGP User's
  1836.      Guide, and have provided the design guidance for these new revisions
  1837.      of PGP.  Ironically, all this legal controversy from PKP has imparted
  1838.      a forbidden flavor to PGP that has only served to amplify its
  1839.      universal popularity. 
  1840.       
  1841.      I wrote my PGP software from scratch, with my own implementation of
  1842.      the RSA algorithm.  I didn't steal any software from PKP.  Before
  1843.      publishing PGP, I got a formal written legal opinion from a patent
  1844.      attorney with extensive experience in software patents.  I'm
  1845.      convinced that publishing PGP the way I did does not violate patent
  1846.      law.  However, it is a well known axiom in the US legal system that
  1847.      regardless of the law, he with the most money and lawyers prevails, 
  1848.      if not by actually winning then by crushing the little guy with legal
  1849.      expenses.  
  1850.       
  1851.      Not only did PKP acquire the exclusive patent rights for the RSA
  1852.      cryptosystem, which was developed with your tax dollars, but they 
  1853.      also somehow acquired the exclusive rights to three other patents
  1854.      covering rival public key schemes invented by others, also developed
  1855.      with your tax dollars.  This essentially gives one company a legal
  1856.      lock in the USA on nearly all practical public key cryptosystems. 
  1857.      They even appear to be claiming patent rights on the very concept of
  1858.      public key cryptography, regardless of what clever new original
  1859.      algorithms are independently invented by others.  And you thought
  1860.      patent law was designed to encourage innovation!  PKP does not
  1861.      actually develop any software-- they don't even have an engineering
  1862.      department-- they are essentially a litigation company.  
  1863.       
  1864.      Public key cryptography is destined to become a crucial technology in
  1865.      the protection of our civil liberties and privacy in our increasingly
  1866.      connected society.  Why should the Government try to limit access to 
  1867.      this key technology, when a single monopoly can do it for them?  
  1868.       
  1869.      It appears certain that there will be future releases of PGP,
  1870.      regardless of the outcome of licensing problems with Public Key
  1871.      Partners.  If PKP does not license PGP, then future releases of PGP
  1872.      might not come from me.  There are countless fans of PGP outside the
  1873.      US, and many of them are software engineers who want to improve PGP
  1874.      and promote it, regardless of what I do.  The second release of PGP
  1875.      was a joint effort of an international team of software engineers,
  1876.      implementing enhancements to the original PGP with design guidance
  1877.      from me.  It is being released by Peter Gutmann in New Zealand, out
  1878.      of reach of US patent law.  It is being released only in Europe and
  1879.      New Zealand, but it may spontaneously spread to the USA without any
  1880.      help from me or the PGP development team.
  1881.       
  1882.      The IDEA(tm) conventional block cipher used by PGP is covered by a
  1883.      patent in Europe, held by ETH and a Swiss company called Ascom-Tech
  1884.      AG.  The patent number is PCT/CH91/00117.  International patents are
  1885.      pending.  IDEA(tm) is a trademark of Ascom-Tech AG.  There is no
  1886.      license fee required for noncommercial use of IDEA.  Ascom Tech AG
  1887.  
  1888.      PGPDOC2.TXT            Friday, December  4, 1992 3:02 pm            Page 35
  1889.  
  1890.  
  1891.      has granted permission for PGP to use the IDEA cipher, and places no
  1892.      restrictions on using PGP for any purpose, including commercial use. 
  1893.      You may not extract the IDEA cipher from PGP and put it in another
  1894.      commercial product without a license.  Commercial users of IDEA may
  1895.      obtain licensing details from Dieter Profos, Ascom Tech AG, Solothurn
  1896.      Lab, Postfach 151, 4502 Solothurn, Switzerland, Tel +41 65 242885,
  1897.      Fax +41 65 235761.   
  1898.       
  1899.      The ZIP compression routines in PGP come from freeware source code,
  1900.      with the author's permission.  I'm not aware of any patents on the
  1901.      ZIP algorithm, but you're welcome to check into that question
  1902.      yourself.  If there are any obscure patent claims that apply to ZIP,
  1903.      then sorry, you'll have to take care of the patent licensing, not me.
  1904.       
  1905.      All this patent stuff reminds me of a Peanuts cartoon I saw in the
  1906.      newspaper where Lucy showed Charlie Brown a fallen autumn leaf and
  1907.      said "This is the first leaf to fall this year."  Charlie Brown said,
  1908.      "How do you know that?  Leaves have been falling for weeks."  Lucy
  1909.      replied, "I had this one notarized."
  1910.       
  1911.       
  1912.      Licensing and Distribution
  1913.      --------------------------
  1914.       
  1915.      In the USA PKP controls, through US patent law, the licensing of the
  1916.      RSA algorithm.  But I have no objection to anyone freely using or
  1917.      distributing my PGP software, without payment of fees to me.  You must
  1918.      keep the copyright notices on PGP and keep this documentation with
  1919.      it.  However, if you live in the USA, this may not satisfy any legal
  1920.      obligations you may have to PKP for using the RSA algorithm as
  1921.      mentioned above.  
  1922.       
  1923.      In fact, if you live in the USA, and you are not a Federal agency, 
  1924.      you shouldn't actually run PGP on your computer, because Public Key
  1925.      Partners wants to forbid you from running my software.  PGP is
  1926.      contraband.  
  1927.       
  1928.      Of course, I can't give any assurances, but my guess is that it seems
  1929.      unlikely that PKP would waste their time pursuing PGP end users for
  1930.      patent infringement.  There are just too many PGP users to go after. 
  1931.      And why would they single you out?  But I certainly wouldn't want to
  1932.      imply that you do anything improper-- if PKP were offering licenses,
  1933.      I would urge you to obtain one.  But since they aren't, well, I guess
  1934.      you should just refrain from using PGP if you live in the USA.  
  1935.       
  1936.      PGP is not shareware, it's freeware.  Forbidden freeware.  Published
  1937.      as a community service.  If I sold PGP for money, then I would get
  1938.      sued by PKP for using their RSA algorithm.  More importantly, giving
  1939.      PGP away for free will encourage far more people to use it, which
  1940.      hopefully will have a greater social impact.  This could lead to
  1941.      widespread awareness and use of the RSA public key cryptosystem,
  1942.      which will probably make more money for PKP in the long run.  If only
  1943.      they could see that.  
  1944.       
  1945.      All the source code for PGP is available for free under the "Copyleft" 
  1946.      General Public License from the Free Software Foundation (FSF).  A
  1947.  
  1948.      PGPDOC2.TXT            Friday, December  4, 1992 3:02 pm            Page 36
  1949.  
  1950.  
  1951.      copy of the FSF General Public License is included in the source
  1952.      release package of PGP.
  1953.       
  1954.      Regardless of and perhaps contrary to some provisions of the FSF
  1955.      General Public License, the following terms apply:
  1956.       
  1957.      1)  Written discussions of PGP in magazines or books may include
  1958.          fragments of PGP source code and documentation, without 
  1959.          restrictions.
  1960.       
  1961.      2)  Although the FSF General Public License allows non-proprietary
  1962.          derivative products, it prohibits proprietary derivative products. 
  1963.          Despite this, I may grant you a special license if you want to 
  1964.          derive a proprietary commercial product from some of PGP's parts.  
  1965.          There may or may not be a fee depending on what kind of a deal you 
  1966.          plan to pursue with PKP.  Retaining my copyright notice and 
  1967.          attribution might suffice in some cases.  Give me a call and we'll 
  1968.          discuss it.  I'm real easy to please.
  1969.       
  1970.      Feel free to disseminate the complete PGP release package as widely
  1971.      as possible.  Give it to all your friends.  If you have access to any
  1972.      electronic Bulletin Boards Systems, please upload the complete PGP
  1973.      executable object release package to as many BBS's as possible.  You
  1974.      may disseminate the PGP source release package too, if you've got
  1975.      it.  The PGP version 2.1 executable object release package for MSDOS
  1976.      contains the PGP executable software, documentation, sample key rings
  1977.      including my own public key, and signatures for the software and this
  1978.      manual, all in one PKZIP compressed file called PGP21.ZIP.  The PGP
  1979.      source release package for MSDOS contains all the C source files in
  1980.      one PKZIP compressed file called PGP21SRC.ZIP.
  1981.       
  1982.      You may obtain free copies or updates to PGP from thousands of BBS's
  1983.      worldwide or from other public sources such as Internet FTP sites. 
  1984.      Don't ask me for a copy directly from me, since I'd rather avoid
  1985.      further legal problems with PKP at this time.  I might be able to
  1986.      tell you where you can get it, however.  
  1987.       
  1988.      After all this work I have to admit I wouldn't mind getting some fan
  1989.      mail for PGP, to gauge its popularity.  Let me know what you think
  1990.      about it and how many of your friends use it.  Bug reports and
  1991.      suggestions for enhancing PGP are welcome, too.  Perhaps a future PGP
  1992.      release will reflect your suggestions.  
  1993.       
  1994.      This project has not been funded and the project has nearly eaten me
  1995.      alive.  This means you can't count on a reply to your mail, unless
  1996.      you only need a short written reply and you include a stamped
  1997.      self-addressed envelope.  But I do reply to E-mail.  Please keep it in
  1998.      English, as my foreign language skills are weak.  If you call and I'm
  1999.      not in, it's best to just try again later.  I usually don't return
  2000.      long distance phone calls, unless you leave a message that I can call
  2001.      you collect.  If you need any significant amount of my time, I am
  2002.      available on a paid consulting basis, and I do return those calls.
  2003.       
  2004.      The most inconvenient mail I get is for some well-intentioned person
  2005.      to send me a few dollars asking me for a copy of PGP.  I can't send
  2006.      it to them because of the legal threats from PKP (or worse--
  2007.  
  2008.      PGPDOC2.TXT            Friday, December  4, 1992 3:02 pm            Page 37
  2009.  
  2010.  
  2011.      sometimes these requests are from foreign countries, and I would be
  2012.      risking violating cryptographic export control laws).  Even if there
  2013.      were no legal hassles involved in sending PGP to them, they usually
  2014.      don't send enough money to make it worth my time ($50 might be worth
  2015.      my time if I were actually selling this stuff).  I'm just not set up
  2016.      as a low cost low volume mail order business.  I can't just ignore
  2017.      the request and keep the money, because they probably regard the
  2018.      money as a fee for me to fulfill their request.  If I return the
  2019.      money, I might have to get in my car and drive down to the post
  2020.      office and buy some postage stamps, because these requests rarely
  2021.      include a stamped self-addressed envelope.  And I have to take the
  2022.      time to write a polite reply that I can't do it.  If I postpone the
  2023.      reply and set the letter down on my desk, it might be buried within
  2024.      minutes and won't see the light of day again for months.  Multiply
  2025.      these minor inconveniences by the number of requests I get, and you
  2026.      can see the problem.  Isn't it enough that the software is free?  It
  2027.      would be nicer if people could try to get PGP from any of the myriad
  2028.      other sources.  If you don't have a modem, ask a friend to get it for
  2029.      you.  If you can't find it yourself, I don't mind answering a quick
  2030.      phone call. 
  2031.       
  2032.      If anyone wants to volunteer to improve PGP, please let me know.  It
  2033.      could certainly use some more work.  Some features were deferred to
  2034.      get it out the door.  A number of PGP users have since donated their
  2035.      time to port PGP to Unix on Sun SPARCstations, to Ultrix, to VAX/VMS,
  2036.      to OS/2, to the Amiga, and to the Atari ST.  Perhaps you can help
  2037.      port it to some new environments.  But please let me know if you plan
  2038.      to port PGP, to avoid duplication of effort, and to avoid starting
  2039.      with an obsolete version of the source code.  
  2040.       
  2041.      Because so many foreign language translations of PGP have been
  2042.      produced, most of them are not distributed with the regular PGP
  2043.      release package because it would require too much disk space. 
  2044.      Separate language translation "kits" are available from a number of
  2045.      independent sources, and are sometimes available separately from the
  2046.      same distribution centers that carry the regular PGP release
  2047.      software.  These kits include translated versions of the file 
  2048.      LANGUAGE.TXT, PGP.HLP, and the PGP User's Guide.  If you want to
  2049.      produce a translation for your own native language, contact me first
  2050.      to get the latest information and standard guidelines, and to find out
  2051.      if it's been translated to your language already.
  2052.       
  2053.      Future versions of PGP may have to change the data formats for
  2054.      messages, signatures, keys and key rings, in order to provide
  2055.      important new features.  This may cause backward compatibility
  2056.      problems with this version of PGP.  Future releases may provide
  2057.      conversion utilities to convert old keys, but you may have to dispose
  2058.      of old messages created with the old PGP.
  2059.       
  2060.      If you have access to the Internet, watch for announcements of new
  2061.      releases of PGP on the Internet newsgroups "sci.crypt" and PGP's own
  2062.      newsgroup, "alt.security.pgp".  There is also an interest group
  2063.      mailing list called info-pgp, which is intended for users without
  2064.      access to the "alt.security.pgp" newsgroup.  Info-pgp is moderated by
  2065.      Hugh Miller, and you may subscribe to it by writing him a letter at 
  2066.      info-pgp-request@lucpul.it.luc.edu.  Include your name and Internet
  2067.  
  2068.      PGPDOC2.TXT            Friday, December  4, 1992 3:02 pm            Page 38
  2069.  
  2070.  
  2071.      address.  If you want to know where to get PGP, Hugh can send you a
  2072.      list of Internet FTP sites and BBS phone numbers.  Hugh may also be
  2073.      reached at hmiller@lucpul.it.luc.edu. 
  2074.       
  2075.       
  2076.       
  2077.      Export Controls
  2078.      ---------------
  2079.       
  2080.      The Government has made it illegal in many cases to export good
  2081.      cryptographic technology, and that may include PGP.  They regard this
  2082.      kind of software as munitions.  This is determined by volatile State
  2083.      Department policies, not fixed laws.  I will not export this software
  2084.      out of the US or Canada in cases when it is illegal to do so under US
  2085.      State Department policies, and I assume no responsibility for other
  2086.      people exporting it on their own.
  2087.       
  2088.      If you live outside the US or Canada, I advise you not to violate US
  2089.      State Department policies by getting PGP from a US source.  Since
  2090.      thousands of domestic users got it after its initial publication, it
  2091.      somehow leaked out of the US and spread itself widely abroad, like
  2092.      dandelion seeds blowing in the wind.  If PGP has already found its
  2093.      way into your country, then I don't think you're violating US export
  2094.      law if you pick it up from a source outside of the US.  And there are
  2095.      no import restrictions on bringing cryptographic technology into the
  2096.      USA.
  2097.       
  2098.      Some foreign governments impose serious penalties on anyone inside
  2099.      their country using encrypted communications.  In some countries they
  2100.      might even shoot you for that.  
  2101.       
  2102.       
  2103.       
  2104.  
  2105.      PGPDOC2.TXT            Friday, December  4, 1992 3:02 pm            Page 39
  2106.  
  2107.  
  2108.       
  2109.      Recommended Introductory Readings
  2110.      =================================
  2111.       
  2112.      1)  Dorothy Denning, "Cryptography and Data Security", Addison-Wesley,
  2113.          Reading, MA 1982
  2114.      2)  Dorothy Denning, "Protecting Public Keys and Signature Keys",
  2115.          IEEE Computer, Feb 1983
  2116.      3)  Martin E. Hellman, "The Mathematics of Public-Key Cryptography," 
  2117.          Scientific American, August 1979
  2118.       
  2119.      Other Readings
  2120.      ==============
  2121.       
  2122.      4)  Ronald Rivest, "The MD5 Message Digest Algorithm", MIT Laboratory
  2123.          for Computer Science, 1991
  2124.      5)  Xuejia Lai, "On the Design and Security of Block Ciphers", 
  2125.          Institute for Signal and Information Processing, ETH-Zentrum, 
  2126.          Zurich, Switzerland, 1992
  2127.      6)  Xuejia Lai, James L. Massey, Sean Murphy, "Markov Ciphers and 
  2128.          Differential Cryptanalysis", Advances in Cryptology- EUROCRYPT'91
  2129.      7)  Philip Zimmermann, "A Proposed Standard Format for RSA 
  2130.          Cryptosystems", Advances in Computer Security, Vol III, edited by
  2131.          Rein Turn, Artech House, 1988
  2132.       
  2133.       
  2134.       
  2135.      To Contact the Author
  2136.      =====================
  2137.       
  2138.      Philip Zimmermann may be reached at:
  2139.       
  2140.      Boulder Software Engineering
  2141.      3021 Eleventh Street
  2142.      Boulder, Colorado 80304  USA
  2143.      Phone 303-541-0140 (voice or FAX)  (10:00am - 7:00pm Mountain Time)
  2144.      Internet:  prz@sage.cgd.ucar.edu
  2145.       
  2146.       
  2147.       
  2148.  
  2149.      PGPDOC2.TXT            Friday, December  4, 1992 3:02 pm            Page 40
  2150.  
  2151.  
  2152.       
  2153.      Where to Get PGP
  2154.      ================
  2155.       
  2156.      The following describes how to get the freeware public key
  2157.      cryptographic software PGP (Pretty Good Privacy) from an anonymous
  2158.      FTP site on Internet, or from other sources.  
  2159.       
  2160.      PGP has sophisticated key management, an RSA/conventional hybrid 
  2161.      encryption scheme, message digests for digital signatures, data
  2162.      compression before encryption, and good ergonomic design.  PGP is
  2163.      well featured and fast, and has excellent user documentation.  Source
  2164.      code is free.
  2165.       
  2166.      PGP uses the RSA cryptosystem which is claimed by a US patent held by
  2167.      a company called Public Key Partners.  PGP users outside the US take
  2168.      note that there is no RSA patent outside the US.  Also, bear in mind
  2169.      that there are US and Canadian export laws prohibiting anyone inside
  2170.      the US and Canada from exporting cryptographic software like this. 
  2171.      If you live outside the US, you're probably not violating US export
  2172.      law if you pick it up from a source outside of the US.
  2173.       
  2174.      What follows is a small sample of places that allegedly have PGP, as
  2175.      of 3 December 1992.  This information is not guaranteed to be
  2176.      correct.
  2177.       
  2178.      There are two compressed archive files in the PGP 2.1 MSDOS release. 
  2179.      You must get pgp21.zip which contains the MSDOS binary executable and
  2180.      the PGP User's Guide, and you can optionally get pgp21src.zip which
  2181.      contains the source files.  These files can be decompressed with the
  2182.      MSDOS shareware archive decompression utility PKUNZIP.EXE.  For Unix
  2183.      users who lack an implementation of UNZIP, the source code can also
  2184.      be found in the compressed tar file pgp21src.tar.Z.
  2185.       
  2186.      A reminder:  Set mode to binary or image when doing an FTP transfer.
  2187.      Here are a few Internet sites that have PGP via anonymous FTP:
  2188.          
  2189.      Finland:    nic.funet.fi  (128.214.6.100)
  2190.                  Directory: /pub/unix/security/crypt/
  2191.       
  2192.      Italy:      ghost.dsi.unimi.it  (149.132.2.1)
  2193.                  Directory: /pub/security/
  2194.       
  2195.      USA:        pencil.cs.missouri.edu  (128.206.100.207)
  2196.                  Directory: /pub/crypt/
  2197.       
  2198.      For those lacking FTP connectivity to the net, nic.funet.fi also
  2199.      offers the files via email.  Send the following mail message to
  2200.      mailserv@nic.funet.fi:
  2201.       
  2202.          ENCODER uuencode
  2203.          SEND pub/unix/security/crypt/pgp21src.zip
  2204.          SEND pub/unix/security/crypt/pgp21.zip
  2205.       
  2206.      This will deposit the two zipfiles, as (about) 15 batched messages in
  2207.      your mailbox within about 24 hours.  Save and uudecode.
  2208.  
  2209.      PGPDOC2.TXT            Friday, December  4, 1992 3:02 pm            Page 41
  2210.  
  2211.  
  2212.       
  2213.      In the US, PGP may be found on God knows how many BBS systems, far
  2214.      too many to list here.  Still, if you don't have any local BBS phone
  2215.      numbers handy, here are some BBS's you might try.
  2216.       
  2217.      The GRAPEVINE BBS in Little Rock Arkansas has set up a special
  2218.      account for people to download PGP for free.  The SYSOP is Jim Wenzel,
  2219.      at jim.wenzel@grapevine.lrk.ar.us.  The following phone numbers are
  2220.      applicable and should be dialed in the order presented (i.e., the
  2221.      first one is the highest speed line):  (501) 753-6859, (501)
  2222.      753-8121, (501) 791-0124.  When asked to login use the following
  2223.      information:
  2224.       
  2225.          name: PGP USER        ('PGP' is 1st name, 'USER' is 2nd name)
  2226.          password: PGP
  2227.       
  2228.      The Northern Lights BBS in Troy, NY, has PGP for free download.  It
  2229.      is run by Daniel Ray.  Call (518) 237-2163 at 300-2400 bps 8N1.  Then
  2230.      login directly to the pgp account as follows:
  2231.       
  2232.          tnllogin: pgp
  2233.          Password: key
  2234.       
  2235.      In Colorado, try this single-line BBS:  303 443-8292.  It is often
  2236.      busy, so keep trying.  Log in with your own name.
  2237.       
  2238.      PGP is also widely available on Fidonet, a large informal network of
  2239.      PC-based bulletin board systems interconnected via modems.  Check
  2240.      your local bulletin board systems.  It is available on many foreign
  2241.      and domestic Fidonet BBS sites.
  2242.       
  2243.      In New Zealand, try this (supposedly free) dial-up BBS system:
  2244.         Kappa Crucis:  +64 9 817-3714, -3725, -3324, -8424, -3094, -3393
  2245.       
  2246.      For information on PGP implementations on the Apple Macintosh,
  2247.      contact Eric Hughes, at hughes@soda.berkeley.edu, phone (510)
  2248.      849-4729.  For information on PGP on the Commodore Amiga and 
  2249.      Atari ST, or any other questions about where to get PGP for any
  2250.      other platform, contact Hugh Miller at hmiller@lucpul.it.luc.edu.
  2251.       
  2252.      Here are a few people and their email addresses or phone numbers you
  2253.      can contact in some countries to get information on local PGP 
  2254.      availability:
  2255.       
  2256.      Peter Gutmann                 Hugh Kennedy
  2257.      pgut1@cs.aukuni.ac.nz         70042.710@compuserve.com
  2258.      New Zealand                   Germany
  2259.       
  2260.      Branko Lankester              Miguel Angel Gallardo
  2261.      lankeste@fwi.uva.nl           gallardo@batman.fi.upm.es
  2262.      +31 2159 42242                (341) 474 38 09
  2263.      The Netherlands               Spain
  2264.       
  2265.      Hugh Miller                   Eric Hughes
  2266.      hmiller@lucpul.it.luc.edu     hughes@soda.berkeley.edu
  2267.      (312) 508-2727                (510) 849-4729
  2268.  
  2269.      PGPDOC2.TXT            Friday, December  4, 1992 3:02 pm            Page 42
  2270.  
  2271.  
  2272.      USA                           USA
  2273.       
  2274.      Jean-loup Gailly
  2275.      jloup@chorus.fr
  2276.      France
  2277.       
  2278.       
  2279.