home *** CD-ROM | disk | FTP | other *** search
/ Hacker Chronicles 2 / HACKER2.BIN / 1098.ZIMMBW.LST < prev    next >
File List  |  1993-12-02  |  24KB  |  422 lines

  1.                                                                        $3.95
  2.  
  3.          B  O  A  R  D  W  A  T  C  H      M  A  G  A  Z  I  N  E
  4.  
  5.                    Guide to the World of Online Services
  6.  
  7.  ════════════════════════════════════════════════════════════════════════════
  8.  Editor: Jack Rickard   Volume VII: Issue 11   ISSN:1054-2760   November 1993
  9.  ════════════════════════════════════════════════════════════════════════════
  10.  
  11.               Copyright 1993 Jack Rickard - ALL RIGHTS RESERVED
  12.  
  13.  Boardwatch Magazine is published monthly in printed form at an annual
  14.  subscription rate of $36. In most cases, the operator of the local system
  15.  carrying Boardwatch Online Edition can process your subscription order.
  16.  Editorial comment may be addressed to Editor, BOARDWATCH MAGAZINE, 8500 West
  17.  Bowles Ave, Suite 210, Littleton, CO 80123. (303)973-6038 voice,
  18.  (303)973-4222 data, (303)973-3731 fax. These files may not be posted on
  19.  electronic bulletin board systems without written permission of the
  20.  publisher.
  21.  
  22.                SUBSCRIPTION VOICE ORDER LINE - 1-800-933-6038
  23.  
  24.  
  25.       EDITOR'S NOTES
  26.       ==============
  27.   1   One Man - One Vote - One Program
  28.  
  29.       LETTERS TO THE EDITOR
  30.       =====================
  31.   2   Marlboro Again 
  32.   3   More From Russia
  33.   4   The Best BBS in Africa Contest
  34.   5   Our Schools
  35.   6   More on Schools
  36.   7   A National BBS Association
  37.   8   Our Public School System
  38.   9   The August 93 Editorial
  39.  10   The Missing Page
  40.  11   Col Dave Says NAPLPS
  41.  12   Boardwatch in Japan
  42.  13   You Have the Vision
  43.  14   Ziff, Zat, and the Other
  44.  15   Online Taxes
  45.  16   Demos, We Want Demos 
  46.  17   More on Demos
  47.  18   Photo Bad, Caricatures Good
  48.  19   Gutenberg Lives, Really
  49.  
  50.       TELEBITS
  51.       ========
  52.  20   Rumors and Factoids
  53.  21   Wireless May Still Have A Shot
  54.  22   Mustang Upgrades QModem to do Compuserve Forum Mail
  55.  23   MHS/Fidonet Mail Gateway
  56.  24   Norton Commander Version 4.0
  57.  25   70 Million White Pages Telephone Numbers on CD-ROM
  58.  26   Fubar Systems Voice Market Place BBS
  59.  27   STB 4-COM Serial Port Card - A Bit of a Find
  60.  28   The Lost Page
  61.  29   National Online Media Association
  62.  30   Sound, Video, Modem, Fax, Voice - All On a Single Card
  63.  
  64.       INTERNET NEWS
  65.       =============
  66.  31   It's About Time on The Internet
  67.  32   Internet Online Book Store
  68.  33   Senator Edward Kennedy - Pressing the Flesh by BBS
  69.  34   Online Compact Audio Disk Storel
  70.  35   Movies by Modem
  71.  36   Galacticomm Releases Major Gateway/Internet Version 1.1
  72.  
  73.       ACCESS TO GOVERNMENT
  74.       ====================
  75.  37   State Legislative Information, Online
  76.  
  77.       MACINTOSH BBS NEWS
  78.       ==================
  79.  38   Resnova to Market MacKennel FidoNet Mailer
  80.  39   Softarc to Release FirstClass 2.5
  81.  40   Spider Island Adds Windows Client to TeleFinder
  82.  41   Mac BBS of the Year
  83.  
  84.       EDUCATION LINK
  85.       ==============
  86.  42   K12Net Continues Expansion
  87.  43   Humanities Courses Online
  88.  
  89.       SPECIAL REPORT
  90.       ==============
  91.  44   The NII AGANDA
  92.  
  93.       LEGALLY ONLINE
  94.       ==============
  95.  45   Phil Zimmermann: Pretty Good Encryption Hero?
  96.  
  97.       DIRECT DIAL
  98.       ==============
  99.  46   The Library of Congress Online
  100.  47   ANSI Artist in the Rhinoceros Kitchen
  101.  48   OS/2 Shareware BBS
  102.  49   This Months List
  103.  
  104.       BBS LISTS
  105.       =========
  106.  50   This Month's List: 312 Ontario Canada Area BBSs
  107.  51   145 Alberta Canada Area BBSs
  108.  52   Sysop Modem Discount Programs
  109.  53   List of BBS Software Vendors
  110.  54   Internet UUCP Host List
  111.  55   BOARDWATCH List of BBS List Keepers
  112.  56   BOARDWATCH National List
  113.  
  114.  
  115. 45
  116.  
  117.  
  118.  ==============
  119.  LEGALLY ONLINE
  120.  ==============
  121.  by Lance Rose
  122.  
  123. Phil Zimmermann is a computer programmer and good citizen with an earnest
  124. desire to help others. For much of his adult life he expressed his concern
  125. through political activism, from marches in the 70's through teaching classes
  126. in military policy in the 80's. Along the way, Zimmermann became a computer
  127. network user. As the 90's began, he saw a new threat to our civil rights
  128. surface: a movement to curtail the ability of network users to discuss
  129. matters in private. Many others on the net saw the same thing, but Zimmermann
  130. actually did something about it. He melded his humanitarian ideals with his
  131. programming and cryptographic skills to create an e-mail encryption program
  132. for Everyman called Pretty Good Privacy, or PGP. He did this at no small cost
  133. to himself. An independent computer consultant, Zimmermann shelved most of
  134. his paying gigs while finishing up PGP, missing five mortgage payments on his
  135. family's home in the process.
  136.  
  137. Zimmermann finished PGP in early 1991, released it in the U.S. on the
  138. Internet from his home in Colorado, and it instantly achieved worldwide
  139. popularity among network cognoscenti. PGP is free, and its customers get a
  140. lot more than they bargained for. It uses a powerful RSA public key
  141. encryption system, in which each participant owns one or more private
  142. key/public key pairs. Messages encrypted by one key in the pair can only be
  143. decrypted using the other key. The great advantage of public key encryption
  144. is that, unlike older schemes, like DES, (the current U.S. standard), you can
  145. publicly circulate the key for encrypting messages sent to you by others,
  146. since only your secret private key can decrypt those messages. When someone
  147. sends you a private message using PGP, first it encrypts the message text
  148. using the IDEA algorithm, (the International Data Encryption Algorithm,
  149. developed in Europe and comparable to DES), and generates a unique,
  150. confidential key just for decrypting the message (we'll call it the "text
  151. key"). Then he or she uses the RSA public key they received from you to
  152. encrypt the text key, and sends you both the IDEA-encrypted message and the
  153. RSA-encrypted text key. You would then use your RSA private key to decrypt
  154. the text key, and finally use the text key in turn to decrypt IDEA-encrypted
  155. message.
  156.  
  157. It would be conceptually simpler to use only the RSA public and private keys
  158. for encrypting and decrypting the text, and cut out the IDEA encryption step,
  159. but there is a practical cost. Text encryption using RSA requires far more
  160. computer processing time and power than IDEA-based encryption. Zimmermann
  161. wanted to give people the full benefit of PGP without wasting time watching
  162. their computers crunch numbers, so he used the far easier to process, (but
  163. still highly secure), IDEA technique for message texts, and saved the public
  164. key RSA process for encrypting only the IDEA text keys, which are a mere 128
  165. bits long. Thus, PGP creates securely encrypted texts, gives people the
  166. ability to distribute their public keys far and wide with no compromise in
  167. security, and extends strong encryption capabilities to those with small
  168. computers.
  169.  
  170. After its release PGP became something of a community development project,
  171. and it is now in version 2.3. Other programmers and cryptographers work on
  172. enhancing the source code, creating foreign language translations of the user
  173. interface, and porting PGP from its original DOS platform to other popular
  174. computer platforms such as Mac, Vax, and most flavors of Unix, further
  175. increasing its usefulness to network users of all stripes. In the past two
  176. months, however, some dramatic new chapters swiftly opened in the ongoing
  177. saga of Phil Zimmermann and PGP.
  178.  
  179. First, on the positive side, some patent-related questions nagging PGP from
  180. the very beginning finally may be close to resolution. As soon as PGP
  181. appeared, a West Coast company called Public Key Partners, headed by Jim
  182. Bidzos, claimed it violated a patent they held in computer implementations of
  183. the RSA encryption algorithm. While Bidzos did not rush into court, he did
  184. seek to suppress PGP's distribution. Among other things, he sought out the
  185. major online distribution points for PGP, such as large online services like
  186. CompuServe and GEnie BBS's including The Well, and requested that they
  187. immediately remove the PGP files from distribution because they infringed on
  188. his patents. Most services discontinued providing PGP,and it soon became an
  189. underground classic, difficult to find unless you asked the right people.
  190. Fortunately, there were many such spread across the net. Rather than
  191. challenge the patent claim, which some net observers think a worthwhile
  192. effort, Zimmermann made many requests to Bidzos to obtain a license to use
  193. RSA without hassle in PGP. Eventually, network community and industry leaders
  194. tried to obtain some sort of compromise between Zimmermann and Bidzos. Bidzos
  195. refused all entreaties and continues to oppose PGP.
  196.  
  197. In the meantime, a software company named ViaCrypt obtained a license a year
  198. or two ago from Public Key Partners, (who appear willing to license virtually
  199. anyone but Zimmermann), to use the RSA algorithm in software. ViaCrypt took
  200. some time after securing the rights to figure out how it would use them.
  201. Finally, last August, it approached Zimmermann with a proposal to create a
  202. commercial version of PGP. This was a great business opportunity. ViaCrypt
  203. could use its license to legitimize PGP for the commercial market, and both
  204. could profit from PGP's high profile among companies interested in
  205. encryption. To bring PGP within ViaCrypt's license from Bidzos, Zimmermann
  206. and ViaCrypt have been replacing PGP's existing RSA encryption subroutines
  207. with comparable licensed subroutines developed by ViaCrypt. Bidzos, through
  208. his attorney, publicly expressed some doubt about whether the new ViaCrypt
  209. product will fall within its RSA license rights. Anticipating this
  210. possibility, ViaCrypt shrewdly trumped it in advance by securing a legal
  211. opinion from Brown and Bain, considered by many computer lawyers, (this
  212. author included), to be the leading computer law firm in the country, that
  213. the hybrid product is within the scope of ViaCrypt's license from Public Key
  214. Partners. The new program, tentatively brand named ViaCrypt PGP, is scheduled
  215. for rollout on November 8th of this year.
  216.  
  217. If ViaCrypt PGP succeeds in the market, Zimmermann will make some money,
  218. though he was never really was in it for the money. He is also working on a
  219. new approach to the free version of PGP that may end the patent threats that
  220. continually hinder its open distribution on the net. His current efforts
  221. center on a set of encryption subroutines called RSAREF, released by Bidzos
  222. through another of his companies, RSA Data Securities Inc. (RSADSI). There is
  223. a license to the public to use the RSAREF subroutines free for noncommercial
  224. purposes: you can't make money selling it, and you can't use it for
  225. commercial messaging. By replacing PGP's custom RSA subroutines with publicly
  226. licensed equivalents from RSAREF, Zimmermann could end the patent
  227. infringement problem.
  228.  
  229. RSAREF was designed to let programmers develop privacy-enhanced mail (PEM)
  230. programs using a scheme similar to that used by PGP. The text is encrypted
  231. using an easy-to-process encryption algorithm involving a single key, ending
  232. the patent infringement problem may not have been as easy at it first seemed.
  233. The text key is encrypted using the processing-intensive RSA public key
  234. scheme. The problem is that for the text encryption stage, RSADSI chose the
  235. DES algorithm instead of the IDEA algorithm used in PGP.
  236.  
  237. DES was not perceived as a problem cipher until August of this year, at a
  238. cryptographers' trade show called Crypto `93. A respected Bell Northern
  239. Research scientist named Michael Weiner dropped a bombshell on the conference
  240. by asserting, in essence, that DES was dead, as a dependably secure
  241. encryption algorithm. Weiner had designed a high-speed "inside-out" DES
  242. processor chip that could test 50 million keys per second, and serve as a the
  243. basis for a highly effective DES-cracking machine. He had also priced
  244. production of the chip with a chip fabricator, and in large but not enormous
  245. quantities it would cost about $10.50 per chip. Using these figures, he said
  246. a computer with 7,000 such chips would cost a vast amount, and could find the
  247. key to any DES-encrypted message within 7 hours by testing every possible key
  248. within that time, with a mean key-cracking time of 3.5 hours per encrypted
  249. message. For $100 million, well within intelligence agency budgets, a
  250. computer could be built that would crack the keys for DES-encrypted messages
  251. at a clip of two minutes per key. This result would be achieved for texts
  252. encrypted with 56 bit DES keys, where the decryptor has a little bit of plain
  253. text he knows would be in the encrypted message, such as someone's name, or a
  254. word or two. There are DES encryption schemes using longer keys, but the 56
  255. bit key is the U.S. government standard, and the official or de facto
  256. standard in many industry applications as well.
  257.  
  258. Weiner's brute force approach would be marvelously effective despite its lack
  259. of elegance. For PEM computer programs using RSAREF in its current form,
  260. there can no longer be dependable privacy. All texts encrypted using RSAREF's
  261. standard 56 bit DES approach will, from this point forward, be vulnerable to
  262. cracking at some point by a Weiner-type supercomputer. It will be pointless
  263. to hide the DES key inside RSA encryption. Owners of the supercomputer could
  264. find the key directly from the text, and need not bother with the encrypted
  265. key. As Phil puts it, the RSA encryption of the DES key is like those little
  266. secure boxes for holding front-door keys that realtors mount on houses being
  267. shown to prospective buyers. The little box may be nearly impossible to break
  268. into without the proper code, but there's always another possibility for
  269. getting into the house without permission: break down the door or smash in
  270. the window.
  271.  
  272. There's a way to avoid this with RSAREF, by invoking deeper subroutines in
  273. the package to create PEM programs that use text encryption schemes more
  274. dependable than the suddenly-reduced DES, such as the IDEA algorithm used
  275. today in PGP. IDEA uses a 128 bit key instead of the 56 bit key standard in
  276. DES, and its security has not been seriously questioned to date, despite
  277. spirited attacks by some of the world's mightiest cryptographers.
  278. Unfortunately, the current RSAREF public license only permits programmers to
  279. use the high-level routines that require DES, and prohibits using the deeper
  280. routines to bring in other encryption algorithms - the very use necessary for
  281. PGP to remain dependably secure. However, after the Weiner revelation, RSAREF
  282. will not be in much demand if it continues to restrict PEM programmers to 56
  283. bit DES. Accordingly, it is rumored that a public license to the deeper,
  284. roll-your-own algorithm subroutines in RSAREF may soon be forthcoming from
  285. RSADSI. If this new license is issued, Zimmermann may finally be home free in
  286. his quest to create a free, effective PGP with no specter of patent
  287. infringement hovering over it. It is possible that by the end of this year or
  288. early in the next, we will see both a commercial ViaCrypt PGP, and a free PGP
  289. for personal noncommercial use.
  290.  
  291. That's the good news. The bad news is that Phil Zimmermann is now the target
  292. of an investigation by the U.S. attorney's office into violations of the
  293. International Traffic in Arms Regulations, or ITAR. ITAR is a set of laws
  294. administered by the State Department, designed to keep war-grade weapons from
  295. being exported out of the U.S. to certain foreign countries. While ITAR
  296. mainly regulates weapons-like parts for tanks, jets and submarines, it also
  297. regulates encryption devices, including encryption software, as "munitions"
  298. due to their military intelligence value. The U.S. attorney is not commenting
  299. at this early stage, but observers agree the investigation relates to PGP's
  300. worldwide distribution through the Internet. This distribution constituted a
  301. clean end run around the State Department's normal procedure of placing a
  302. roadblock against all cryptography exports, until they are reviewed by the
  303. National Security Agency for military potential. What is unclear, is whether
  304. Zimmermann did anything wrong by placing PGP on the Internet on computers
  305. located within the U.S.
  306.  
  307. There are very good reasons for saying that Zimmermann's actions were totally
  308. legal, and that he should not have this cloud over his head. For one thing,
  309. Zimmermann did not intend for PGP to be exported. He was never motivated to
  310. put out an international encryption standard. To the contrary, his motivation
  311. was the perception that political forces within the U.S. seemed to be pushing
  312. towards outlawing private encryption in this country. In fact, he acted
  313. specifically to put PGP into circulation quickly while it was still legal in
  314. this country, before any laws might go into place prohibiting domestic use of
  315. privately developed encryption software.
  316.  
  317. For another, Internet users outside the U.S. helped themselves to PGP.
  318. Zimmermann did not send PGP anywhere outside the country. He made it
  319. available on computers within U.S. borders, which is perfectly legal in
  320. itself. By analogy, I could legally go door-to- door in this country selling
  321. devices enabling people to encrypt their telephone discussions. I can even
  322. leave an open box of them in front of my house in New Jersey, and tell all my
  323. neighbors to pick one up for their own use. If some foreign tourists take a
  324. few and spirit them back into their own countries, why should I be held
  325. guilty for export violations?
  326.  
  327. In addition, Zimmermann and all the users of PGP in this country have their
  328. First Amendment rights. Zimmermann has the right to freely publish the PGP
  329. program in this country. The Constitution says Congress will enact "no law"
  330. restricting freedom of speech and of the press. There are no Amendments to
  331. the Constitution that contain exceptions for speech or press distributed
  332. through the Internet. Additionally, people who send electronic messages to
  333. each other have the right to send them encrypted without government
  334. interference, and legal action against PGP would certainly interfere with
  335. such activities. In this instance, PGP's free speech rights derive from its
  336. assistance of PGP users in exercising their own rights of free speech. This
  337. kind of derivative free speech protection is very powerful. It is analogous
  338. to the protection of speech distributors applied in the past by the Supreme
  339. Court and other federal courts to book sellers, magazine distributors, and
  340. even CompuServe.
  341.  
  342. Finally, there are privacy considerations. This is not really a legal
  343. argument, as much as a question of the limits of appropriate government
  344. intrusion into peoples' private lives. The question comes up almost daily
  345. these days, in settings ranging from the privacy of employee e-mail to the
  346. swelling commercial market for extensive data on each citizen in our country
  347. of consumers. A government push against the availability of PGP, regardless
  348. of the legal cause, would count as yet another blow against the dwindling
  349. ability of us all to retain a modicum of personal privacy. As the cypherpunks
  350. are often heard to say, "if privacy becomes outlawed, only outlaws will have
  351. privacy."
  352.  
  353. Powerful as these and other arguments are, they will not deter government
  354. action on their own. The government can offer the fairly standard legal
  355. argument that Zimmermann "knew or should have known," that placing PGP on the
  356. Internet would result in worldwide export in violation of the ITAR. After
  357. speaking with Zimmermann, I am not sure he actually knew, in particular, that
  358. there was a law called ITAR, or that it applied to encryption software. As
  359. mentioned above, he certainly was not out to distribute PGP worldwide.
  360. Whether the government proceeds will depend as much on political factors as
  361. on its view of the legalities involved.
  362.  
  363. The investigation is at an early stage, and in fact, has not been directed
  364. formally at Zimmermann. The only activity in public view so far was the
  365. service of subpoenas for document production by the U.S. Attorney's office in
  366. San Jose, CA on Viacrypt in Phoenix, AZ and another company named Austin Code
  367. Works in Austin, TX. Austin Code Works distributes PGP and other free
  368. software for encryption and other uses in source code form, for little more
  369. than the price of a computer disk. According to Zimmermann, he has no
  370. business relationship with Austin Code Works. He also had no idea they were
  371. distributing PGP until he read about the subpoena served on them. As soon as
  372. Austin Code Works was served, its president, Grady Ward, went public on the
  373. Internet with a ringing defense of its position. Ward claims they do not
  374. distribute executable programs, but only "source code algorithmic
  375. descriptions" of encryption techniques, thus falling under a "technical data"
  376. exception to ITAR. The State Department publicly countered that position, and
  377. is requiring Austin Code Works to register as a munitions dealer.
  378.  
  379. There is no telling whether the investigation will proceed to charges against
  380. Zimmermann or others, but Zimmermann and others in the network community
  381. intend to be prepared. Phil Zimmermann's attorney, Colorado criminal lawyer
  382. Philip Dubois, is accepting contributions for Zimmermann's defense, (He can
  383. be reached at Philip Dubois, Esq., 2305 Broadway, Boulder, CO 80304,
  384. (303)444-3885, dubois@csn.org). The Electronic Frontier Foundation is also
  385. stepping forward in Zimmermann's defense, with financial commitments from EFF
  386. and several of its individual board members, and efforts to rally public
  387. support for Zimmermann and PGP.
  388.  
  389. A lingering question in the current investigation is why the government
  390. waited over two years after PGP's release to start it up. Some speculate it
  391. is due to a link between the investigation and the government's efforts to
  392. establish a new encryption standard named CLIPPER as the replacement for the
  393. aging DES standard. The government has repeatedly stated it will not seek to
  394. make Clipper the only legal encryption standard in this country by outlawing
  395. all others. But if it proceeds to charge Zimmermann and PGP as a result of
  396. the current investigation, it could have the effect of using the government's
  397. legal artillery to blow away one of Clipper's most prominent competitors.
  398.  
  399. Speculation aside, PGP's legal situation is slowly maturing, and within
  400. another year or so we should know for sure whether it's legal or illegal in
  401. the U.S. By that time, it will be in the hands of millions of people the
  402. world over, each using PGP to create his or her own private communications
  403. channel. Hopefully, we will not have to witness the ironic spectacle of PGP
  404. being banned in the country of its birth, while freely in use in the rest of
  405. the world.
  406.  
  407. [Lance Rose is an attorney practicing high-tech and information law in
  408. Montclair, NJ. He can be found on the Internetat elrose@well.sf.ca.us, and on
  409. Compuserve at 72230,2044. He is also author of SysLaw, the legal guide for
  410. online service providers, available from PC Information Group at
  411. 800-321-8285.
  412.  
  413. Pretty Good Privacy is available in it's latest July 1, 1993 release as
  414. PGP23A.ZIP with C language source code in PGP23ASR.ZIP. Phil Zimmermann can
  415. be reached at Boulder Software Engineering, 3021 Eleventh Street, Boulder,
  416. Colorado 80304; (303)541-0140 voice/fax; or via Internet at prz@acm.org
  417.  
  418. ViaCrypt will make the commercial PGP available at an intro price of $100.
  419. ViaCrypt, 2104 W. Peoria, Phoenix, AZ 80209, (602) 944-1543. - Editor
  420.  
  421.  
  422.