home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / pc / crypto / ipgp0202.txt < prev    next >
Encoding:
Text File  |  2003-06-11  |  23.6 KB  |  528 lines
  1.  
  2.    Info-PGP: PGP Digest   Wednesday 16 December 1992  Volume 2 : Number 2
  3.                 Hugh Miller, List Manager / Moderator
  4.  
  5.     Info-PGP is a digested mailing list dedicated to discussion of Philip
  6. Zimmermann's `Pretty Good Privacy' (PGP) public-key encryption program for
  7. MS-DOS, Unix, VMS, Atari, Amiga, SPARC, Macintosh, and (hopefully) other
  8. operating systems.  It is primarily intended for users on Internet sites
  9. without access to the `alt.security.pgp' newsgroup.  Most submissions to
  10. alt.security.pgp will be saved to Info-PGP, as well as occasional relevant
  11. articles from sci.crypt or other newsgroups.  Info-PGP will also contain
  12. mailings directed to the list address.
  13.     To SUBSCRIBE to Info-PGP, please send a (polite) note to
  14. info-pgp-request@lucpul.it.luc.edu.  This is not a mailserver; there is a
  15. human being on the other end, and bodiless messages with "Subject:" lines
  16. reading "SUBSCRIBE INFO-PGP" will be ignored until the sender develops
  17. manners.  To SUBMIT material for posting to Info-PGP, please mail to
  18. info-pgp@lucpul.it.luc.edu.  In both cases, PLEASE include your name and
  19. Internet "From:" address.  Submissions will be posted pretty well as received,
  20. although the list maintainer / moderator reserves the right to omit redundant
  21. messages, trim bloated headers & .sigs, and other such minor piffle.  I will
  22. not be able to acknowledge submissions, nor, I regret, will I be able to pass
  23. posts on to alt.security.pgp for those whose sites lack access.
  24.     Due to U.S. export restrictions on cryptographic software, I regret that I
  25. cannot include postings containing actual source code (or compiled binaries)
  26. of same.  For the time being at least I am including patches under the same
  27. ukase.  I regret having to do this, but the law, howbeit unjust, is the law.
  28. If a European reader would like to handle that end of things, perhaps run a
  29. "Info-PGP-Code" digest or somesuch, maybe this little problem could be worked
  30. around.
  31.     I have received a promise of some space on an anonymous-ftp'able Internet
  32. site for back issues of Info-PGP Digest.  Full details as soon as they firm
  33. up.
  34.     Oh, yes: ALL CONTRIBUTIONS CONSIDERED AS PERSONAL COMMENTS; STANDARD
  35. DISCLAIMERS APPLY.
  36.  
  37. Hugh Miller       | Asst. Prof. of Philosophy |  Loyola University Chicago
  38. FAX: 312-508-2292 |    Voice: 312-508-2727    |  hmiller@lucpul.it.luc.edu
  39.  Signed PGP v.2.1 public key certificate available by e-mail & finger(1)
  40.  
  41. =-=-=-=-=-=
  42.  
  43. From: ujacampbe@memstvx1.memst.edu (James Campbell)
  44. Newsgroups: alt.security.pgp
  45. Subject: Re: pgp2.1 signed announcement botched by usenet?
  46. Date: 11 Dec 92 16:06:09 -0600
  47.  
  48. In article <1992Dec10.052939.692@colnet.cmhnet.org>, res@colnet.cmhnet.org 
  49.    (Rob Stampfli) writes:
  50.  
  51. > I missed the official announcement of pgp2.1 which was apparently posted
  52. > here several days ago, but I found a copy of it posted to alt.privacy.
  53. > The message was signed by Phil with the new pgp "+clearsig=on" option.
  54. > Unfortunately, Phil's concern about mailers slightly corrupting the message
  55. > in innocuous ways so that it no longer matches the original, and therefore
  56. > no longer has a valid signature, appears to be borne out by the posting to
  57. > alt.privacy:  All empty lines in that post have one space added to them.
  58. > The signature only checks out when one edits the posted file and ":%s/^ $//".
  60. > BTW, excellent job on the 2.1 release -- a clean compile the first time.
  61. > -- 
  62. > Rob Stampfli  rob@colnet.cmhnet.org      The neat thing about standards:
  63. > 614-864-9377  HAM RADIO: kd8wk@n8jyv.oh  There are so many to choose from.
  64. > =-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
  65. > Here's a copy of the actual (bad) message:
  67. > Path: colnet!n8emr!zaphod.mps.ohio-state.edu!malgudi.oar.net!caen!uunet!cs.utexas.edu!wupost!emorys2!memstvx1!ujacampbe
  68. > From: ujacampbe@memstvx1.memst.edu (James Campbell)
  69. > Newsgroups: alt.privacy
  70. > Subject: PGP v. 2.1 Released
  71. > Message-ID: <1992Dec9.013038.4470@memstvx1.memst.edu>
  72. > Date: 9 Dec 92 01:30:38 -0600
  73. > Organization: MSU Cryptosystems
  74. > Lines: 54
  75. >
  76.   [Bad Message Omitted]
  77.  
  78. Sorry, USENET ain't the culprit; Procomm Plus and I were.  Unbeknownst to me
  79. (but knownst to everyone in alt.privacy), Procomm's ASCII Upload feature was
  80. secretly adding an ASCII 32 to each blank line in the post.  It's a big help
  81. when posting to bulletin boards which interpret a blank line as the end of a
  82. post, but a royal pain in the neck when posting signed cleartext messages, I
  83. see.  Please, don't send messages on how to fix it; I know how, but I didn't
  84. think about it before posting.  Sorry, folks.
  85.  
  86.  ===========================================================================
  87.  James Campbell, Math Sciences Department, MSU; ujacampbe@memstvx1.memst.edu
  88.  ---------------------------------------------------------------------------
  89.  
  90. =-=-=-=-=-=
  91.  
  92. From: palmer@icat.larc.nasa.gov (Michael T. Palmer)
  93. Newsgroups: alt.security.pgp,alt.security,sci.crypt,talk.politics.misc,talk.politics.guns
  94. Subject: Re: PGP v. 2.1 Released
  95. Date: 11 Dec 92 17:49:40 GMT
  96.  
  97. cme@ellisun.sw.stratus.com (Carl Ellison) writes:
  98.  
  99. >Sounds like a good reason to switch from PGP to RIPEM.
  100.  
  101. Okay, could you please point us to where we can find a PGP-type program
  102. that uses RIPEM?  I would love to not have to even *consider* patent stuff
  103. when using a crypt program.
  104.  
  105. Ftp sites are preferable!  Thanks.
  106.  
  107. -- 
  108. Michael T. Palmer, M/S 152, NASA Langley Research Center, Hampton, VA 23681
  109. Voice: 804-864-2044,   FAX: 804-864-7793,   Email: m.t.palmer@larc.nasa.gov
  110. PGP 2.0 Public Key now available -- Consider it an envelope for your e-mail
  111.  
  112. =-=-=-=-=-=
  113.  
  114. Newsgroups: alt.security.pgp
  115. From: rlglende@netcom.com (Robert Lewis Glendenning)
  116. Subject: Re: PGP v. 2.1 Released
  117. Date: Fri, 11 Dec 1992 18:41:27 GMT
  118.  
  119. In article <101547@netnews.upenn.edu> yee@mipg.upenn.edu (Conway Yee) writes:
  120. >>Would it be possible to to devise a public key
  121. >>encryption program that would, when used to encrypt a message with
  122. >>someone's private key, emit a series of bytes that would appear to be
  123. >>essentially random?  
  124. >
  125. >If a series of bytes were to be random, no message could possibly be
  126. >encoded within it.  The question, then becomes, is it possible that
  127. >two entirely different encoding schemes would produces bytestreams
  128. >which are statistically indistinguishable from each other.
  129.  
  130. I think this is wrong.  Shannon's Information Theory says that a perfectly
  131. non-redundant message is statistically random.
  132.  
  133. Compression engines remove redundancy.  Scrambling the output (randomly
  134. re-assigning the bytes into another file) produces a pretty good cypher.
  135. Scrambling at the bit level might be better, but the problem of decoding
  136. is of O(n!) complexity where N is the length of the message.  If you add
  137. some random padding, it pushes up n as large as you want.
  138.  
  139. I believe that different compression schemes will produce identical
  140. statistics to the extent that they are "perfect" and to the extent that
  141. the "compression information bytes" are scrambled into the rest of the
  142. compressed information.
  143.  
  144. Lew
  145. -- 
  146. Lew Glendenning         rlglende@netcom.com
  147. "Perspective is worth 80 IQ points."    Nils Bohr (or somebody like that).
  148.  
  149. =-=-=-=-=-=
  150.  
  151. From: speth@cats.ucsc.edu (James Gustave)
  152. Newsgroups: alt.security.pgp
  153. Subject: Re: PGP v. 2.1 Released
  154. Date: 11 Dec 1992 18:48:16 GMT
  155.  
  156. The concern over the PGP tag-lines raises two questions in my mind.
  157.   First, can you distinguish between a PGP file encrypted using RSA and one
  158. encrypted using the plain encryption (IDEA only)?
  159.   Second, how public is IDEA?  Are there copyright or import/export laws
  160. governing its use?
  161.  
  162. As far as I can tell, the two types of encryption look the same to the naked
  163. eye (ie. both have those tag-lines).  If there are no restrictions on IDEA,
  164. then we can all just plead that we are only using the standard encryption
  165. option of PGP, not the RSA stuff.
  166. ________________________________________________________________________________
  167. james speth          finger for pgp 2.0 public-key           speth@cats.ucsc.edu
  168.  
  169. =-=-=-=-=-=
  170.  
  171. Newsgroups: alt.security.pgp,alt.security,sci.crypt,talk.politics.misc,talk.politics.guns
  172. From: uri@watson.ibm.com (Uri Blumenthal,35-016,8621267,)
  173. Subject: Re: PGP v. 2.1 Released
  174. Date: Fri, 11 Dec 1992 20:07:37 GMT
  175.  
  176. From article <1992Dec11.030807.29118@shearson.com>, by pmetzger@snark.shearson.com (Perry E. MetzgerWhy does PGP has those ugly lines "----BEGIN PGP...."
  177. >>and so on? PGP-2.1 is much better than PGP-2.0. Let's
  178. >>make it really good now -  GET RID OF THOSE BETRAYING
  179. >>TAGS! NOW!
  181. > I guess you never read the docs. Those "betraying tags" have a purpose
  182. > -- they allow the system to automatically find the beginning and end
  183. > of messages. 
  184.  
  185. I guess you
  186.         a) are deprived of sense of humor;
  187.         b) have too little experience with real crypto...
  188.  
  189. > You can feed mail messages into PGP without even
  190. > stripping the headers. 
  191.  
  192. Ge, thanks for explaining! And I was sure they are there
  193. just to attract feds' attention... Oh, my...
  194.  
  195. > Its all very well engineered, and the feds can
  196. > tell you are using PGP anyway by looking at the magic numbers in the
  197. > Radix 64 text. 
  198.  
  199. And what sense would a hexadecimal number prepended to an
  200. encrypted (hexadecimal) data make to an eavesdropper?
  201.  
  202. > I don't think there is any point in stripping them,
  203. > since it adds no security for you and will make the program a lot more
  204. > inconvenient to use. 
  205.  
  206. I do, since it can increase security via making it 
  207. "unprovable" that the message is encrypted/created
  208. my PGP. Yes, this will prohibit one from simply
  209. piping the whole message through PGP and 
  210. getting plaintext. Well, it depends
  211. on which concern is bigger - to
  212. have to strip head/tail off
  213. the arriving e-mail,  or
  214. fear to get caught with 
  215. using "guerilla" PGP... (:-)
  216.  
  217. > Its inconvenient enough already....
  218.  
  219. It depends. For me, PGP-2.1 is perfectly convenient and nice.
  220. If only it didn't advertise itself so loudly with "---BEGIN"... (:-)
  221. -- 
  222. Regards,
  223. Uri.            uri@watson.ibm.com
  224. ------------
  225. <Disclaimer>
  226.  
  227. =-=-=-=-=-=
  228.  
  229. Newsgroups: alt.security.pgp
  230. From: uri@watson.ibm.com (Uri Blumenthal,35-016,8621267,)
  231. Subject: Re: PGP v. 2.1 Released
  232. Date: Fri, 11 Dec 1992 20:21:36 GMT
  233.  
  234. From article <1g7ubgINNfb7@transfer.stratus.com>, by cme@ellisun.sw.stratus.com (Carl Ellison):
  235. >>----BEGIN PGP *  along with the usual mundane stuff?  Then go after    
  236. >>people for patent infringement; confiscating burglary tools, a.k.a 
  237. >>citizens' computers.....
  239. > Sounds like a good reason to switch from PGP to RIPEM.
  240.  
  241. A) Since RIPEM doesn't have and [probably] isn't going to have
  242.    key management [other than your favorite text editor :-],
  243.    and since Public Key Servers are far from reality for
  244.    many of us - RIPEM still has too long a way to go
  245.    before it becomes even close to usable. [I'm not
  246.    even starting to talk about other lacks of PEM].
  247.  
  248. B) RSAREF license is a funny thing: Jim Bidzos promised to
  249.    release his new license for RSAREF first Tuesday after
  250.    Thanksgiving (in his personal e-mail to me). Well,
  251.    I don't have to tell you, that several Tuesdays 
  252.    came, but no license arrived (:-). Therefore,
  253.    concerns Mr. Atkins had about modifying
  254.    RSAREF are still valid...
  255.  
  256. > More to the point, someone should publish an interface description for
  257. > PGP so that someone else can write a totally legal program which sends
  258. > and receives in PGP format but uses RSAREF and its individual license.
  259.  
  260. As Mr. Atkins showed, it's not possible, because RSAREF doesn't
  261. have granularity fine enough to do it, and while PKP *draft*
  262. license allows modification, their *legal* *real* one does
  263. not. And the "relaxed" license is "about to be released",
  264. but that about can take forever.
  265.  
  266. On the other hand, I could envision development of PGP turning
  267. the way real "guerilla" software should go - achieving stealth
  268. capabilities (:-).
  269. -- 
  270. Regards,
  271. Uri.            uri@watson.ibm.com
  272. ------------
  273. <Disclaimer>
  274.  
  275. =-=-=-=-=-=
  276.  
  277. From: mathew <mathew@mantis.co.uk>
  278. Newsgroups: alt.security.pgp
  279. Subject: Re: PGP-compatible archiver released
  280. Date: Fri, 11 Dec 92 13:21:56 GMT
  281.  
  282. pgut1@cs.aukuni.ac.nz (Peter Gutmann) writes:
  283. > In <5TXiVB38w165w@mantis.co.uk> mathew <mathew@mantis.co.uk> writes:
  284. > >pgut1@cs.aukuni.ac.nz (Peter Gutmann) writes:
  285. > >>   - Quality Postscript documentation (600K worth)
  287. > >Any chance of making the documentation available in some sort of document
  288. > >format, rather than as a printer dump file?  I mean, how would you like it i
  289. > >I posted this article in HPGL?
  291. > There's a flat ASCII file included with the source code and executables if
  292. > you can't handle Postscript (that's why I put the PS docs in a seperate file 
  293. > not everyone will want them.  You get the ASCII docs by default, and if you
  294. > want better-quality ones you can grab the PS stuff).
  295.  
  296. OK, thanks.  When you said "Quality Postscript documentation" I thought you
  297. meant that it was *only* in Postscript -- I've seen quite a few packages with
  298. ps-only documentation.
  299.  
  300. But can't you provide some nice documentation in some sort of editable and
  301. portable format?  TeX, LaTeX, RTF, ...?
  302.  
  303. mathew
  304. -- 
  305. You can communicate with me securely via PGP 2.1.  For information, send mail
  306. to pgpinfo@mantis.co.uk.  For a big block of keys, mail pgpkeys@mantis.co.uk.
  307. PGP public key fingerprint = B2 41 30 5F 5B 20 B9 D5  7C 8F 75 88 7C DA D8 C5
  308.  
  309. =-=-=-=-=-=
  310.  
  311. Date: Sat, 12 Dec 92 17:52:51 EST
  312. From: gray@antaire.com (Gray Watson)
  313. To: info-pgp@lucpul.it.luc.edu
  314. Subject: Info-PGP licensing...
  315.  
  316. Excuse me if this has been discussed before.  I'm new to the group.
  317.  
  318. So PKP does not want to distribute licenses to PGP.  But PGP is
  319. spreading all around.  PKP is missing an opportunity and we in the
  320. U.S. are missing the use of PGP or are using it illegally.
  321.  
  322. So, question: How much would you pay for a license to use PGP?  $20,
  323. $50, $100, less, more?  Be realistic because no one will give a
  324. license for $5 (and maybe not even for $100).
  325.  
  326. If PGP users settled on a certain amount and then put some money into
  327. a pool to hire a decent legal representative/negotiater, I would be
  328. surprised if PKP was not at least a tiny bit interested.
  329.  
  330. Let's say $50.  I would bet a couple of hundred computer professionals
  331. might be interested in being able to use PGP.  I know that I would.
  332. So PKP gets $10k or so for generating some paperwork maybe more if
  333. people saw legal PGP keys flying around.
  334.  
  335. Anyone know if there are pressures on PKP from the NSA or other
  336. organizations to not generate licenses for PGP?
  337.  
  338. gray
  339.  
  340. =-=-=-=-=-=
  341.  
  342. From: cme@ellisun.sw.stratus.com (Carl Ellison)
  343. Newsgroups: sci.crypt,alt.security.pgp
  344. Subject: PKP/RSA comments on PGP legality
  345. Date: 11 Dec 92 18:16:23 GMT
  346.  
  347. I went to the horse's mouth and asked some folks at PKP & RSA to comment
  348. on PGP legality.  Here's their reply.  I have permission to post it.
  349.  
  350. This was inspired by my original question, to them, whether I could buy
  351. an individual license to permit me to use PGP.  [I have since concluded
  352. that I would like to get a copy of the PGP interface spec so that I could
  353. write a program, using RSAREF, which interoperates with PGP.  I see PGP
  354. as setting a kind of new standard format -- an alternative to PEM.]
  355.  
  356. So -- on to the reply from PKP (much from a lawyer there) and RSA:
  357.  
  358. - - -----------------------------------------------------
  359.  
  360. Risks of using pgp
  361.  
  362. One should be careful about assuming that the documentation in
  363. electronically distributed software is accurate, especially where
  364. law is concerned.  
  365.  
  366. There is much that the documentation for pgp does not tell you about
  367. patent and export law that you should be aware of.  Some of the
  368. statements and interpretations of patent and export law are simply
  369. false. This note will attempt to offer some clarification and accurate
  370. information.
  371.  
  372. pgp seems to be an attempt to mislead netters into joining an
  373. illegal activity that violates patent and export law, letting them
  374. believe that they run no serious risk in doing so.  
  375.  
  376. PATENTS
  377.  
  378. Patent law prohibits anyone from making, using, or selling a device
  379. that practices methods described in a U.S. patent.  pgp admits
  380. practicing methods described in US patent #4,405,829, issued to the
  381. Massachusetts Institute of Technology, and licensed by Public Key
  382. Partners.
  383.  
  384. Those who send signed or encrypted messages, post the pgp program, 
  385. or encourage others to do so are inducing infringement. Under 
  386. patent law, there is no distinction between inducement to infringe and 
  387. direct infringement. You are just as liable.  
  388.  
  389. Being aware of the RSA patent makes infringement willful and
  390. deliberate. Under patent law, a patent holder is entitled to seek
  391. triple damages and legal fees from deliberate infringers.  While the
  392. pgp documentation suggests you that you probably won't get sued, it
  393. doesn't tell you what can happen when patent holders assert their
  394. rights against infringement.
  395.  
  396. Free and legal RSA software is available. RSA Data Security has
  397. released a program, including source code, called RSAREF. This program
  398. is available free to any U.S. person for non-commercial use.
  399. Applications may be built on RSAREF and freely distributed, subject to
  400. export law.  An application that provides email privacy, based on
  401. RSAREF, which uses the RSA and DES algorithms, called RIPEM is an
  402. example. For information, send email to rsaref-info@rsa.com or
  403. rsaref-users@rsa.com.  
  404.  
  405. NOTE: The pgp documentation states that PKP acquired the patent rights
  406. to RSA "... which was developed with your tax dollars..." This is very
  407. misleading.  U.S. tax dollars only partially funded researchers at MIT
  408. who developed RSA. The U.S. government itself received royalty-free
  409. use in return.  This is standard practice whenever the government
  410. provides financial assistance.  The patents on public-key are no
  411. different and were handled no differently than any others developed at
  412. universities with partial government funding. In fact, almost every
  413. patent granted to a major university includes government support,
  414. returns royalty-free rights to the government, and is then licensed
  415. commercially by the universities to private parties.
  416.  
  417. EXPORT LAW
  418.  
  419. pgp leads users to believe that it has circumvented export controls
  420. when it says "...there are no import restrictions on bringing
  421. cryptographic technology into the USA."  You are led to believe that
  422. since you didn't import it, it's legal for you to use it in the US.
  423. The "no import restrictions" claim has been made so many times, many
  424. people probably believe it.
  425.  
  426. One would be well advised not to accept this legal opinion.  While
  427. stated as if it were a well-known fact, the claim that "there are no
  428. import restrictions" is simply false.  Section 123.2 of the ITAR
  429. (International Traffic in Arms Regulations) reads:
  430.  
  431. "123.2 Imports. No defense article may be imported into the United
  432. States unless (a) it was previously exported temporarily under a
  433. license issued by the Office of Munitions Control; or (b) it
  434. constitutes a temporary import/intransit shipment licensed under
  435. Section 123.3; or (c) its import is authorized by the Department of
  436. the Treasury (see 27 CFR parts 47, 178, and 179)."
  437.  
  438. Was pgp illegally exported? Was pgp illegally imported?  Of course.
  439. It didn't export or import itself.  pgp 1 was illegally exported from
  440. the U.S., and pgp 2, based on pgp 1, is illegally imported into the
  441. U.S.  Is a license required? According to the ITAR, it is.  ITAR
  442. Section 125.2, "Exports of unclassified technical data," paragraph (c)
  443. reads:
  444.  
  445. "(c) Disclosures. Unless otherwise expressly exempted in this
  446. subchapter, a license is required for the oral, visual, or documentary
  447. disclosure of technical data...  A license is required regardless of
  448. the manner in which the technical data is transmitted (e.g., in
  449. person, by telephone, correspondence, electronic means, telex, etc.)."
  450.                 
  451. What is "export?" Section 120.10, "Export," begins:
  452.  
  453. "'Export' means, for purposes of this subchapter: ...(c) Sending or
  454. taking technical data outside of the United States in any manner
  455. except that by mere travel outside of the United States by a person
  456. whose technical knowledge includes technical data; or..."
  457.  
  458. Is pgp subject to the ITAR? See Part 121, the Munitions List, in
  459. particular Category XIII, of which paragraph (b) reads, in part,
  460. "...privacy devices, cryptographic devices and software (encoding and
  461. decoding), and components specifically designed or modified
  462. therefore,..."
  463.  
  464. A further definition in 121.8, paragraph (f) reads: "Software 
  465. includes but is not limited to the system functional design, 
  466. logic flow, algorithms, application programs, ..."
  467.  
  468. pgp encourages you to post it on computer bulletin boards.  Anybody
  469. who considers following this advice is taking quite a risk.  When you
  470. make a defense item available on a BBS, you have exported it.
  471.  
  472. pgp's obvious attempts to downplay any risk of violating export law
  473. won't help you a bit if you're ever charged under the ITAR.
  474.  
  475. Penalties under the ITARs are quite serious.  The ITARs were clearly
  476. designed to put teeth into laws that make exporting munitions illegal.
  477. It's unfortunate that cryptography is on the munitions list. But it
  478. is.  pgp is software tainted by serious ITAR violations.
  479.  
  480. These points on patent and export law are straightforward and can
  481. easily be confirmed with legal advice. However, there are other
  482. statements in the pgp documentation that should not go unchallenged.
  483.  
  484. In pgp 2.0, the author says, "I did not steal any software from PKP."
  485. (PKP is the patent holder for the RSA patent.)  Of course not; PKP
  486. doesn't make any software. However, not mentioned is a software
  487. product by RSA Data Security called MailSafe.  This product was first
  488. shipped in July of 1986.  Features such as a digital signatures on the
  489. program itself for verification, internal self-check for virus
  490. detection, compression of plaintext and ASCII recoding of encrypted
  491. binary files, direct and extended trust of public keys through
  492. certification, including the publisher's public key in the
  493. distribution, display of a message digest, security and password
  494. advice, and many others are in MailSafe and are carefully documented
  495. in the user manual.  The authors of pgp have had a copy of MailSafe
  496. and the user manual since 1987.
  497.  
  498. There may be nothing illegal about using ideas from another product,
  499. but there's something dishonest about misleading people into believing 
  500. these ideas were your own in the interest of recruiting "fans."
  501.  
  502. pgp calls itself "public-key for the masses." Even this isn't
  503. original.  The September 12, 1986 issue of the Christian Science
  504. Monitor contains a page one story on cryptography, and discusses
  505. MailSafe. In that story, an RSA spokesman is quoted as saying
  506. "MailSafe is public-key for the masses." Reprints of this story were
  507. widely circulated in RSA press kits, and received by the pgp authors
  508. in 1987.
  509.  
  510. The documentation to pgp would have readers believe that pgp was the
  511. result of a noble desire to save everyone from an evil government
  512. threatening to deny rights to privacy; that users and distributors of
  513. pgp have little or nothing to fear from the patent holders, who, it is
  514. implied, are probably dishonest anyway; and that one shouldn't be
  515. concerned about export controls because pgp beat the system for
  516. everyone by having been developed overseas and imported legally.  The
  517. facts simply don't support these claims.
  518. - - -----------------------------------------------------
  519. -- <<Disclaimer: All opinions expressed are my own, of course.>>
  520. -- Carl Ellison                                         cme@sw.stratus.com
  521. -- Stratus Computer Inc.        M3-2-BKW                TEL: (508)460-2783
  522. -- 55 Fairbanks Boulevard ; Marlborough MA 01752-1298   FAX: (508)624-7488
  523.  
  524. ***** End Info-PGP Digest *****
  526.  
  527.  
  528.