home *** CD-ROM | disk | FTP | other *** search
/ PC World 1999 June / PCWorld_1999-06_cd.bin / Komunik / PGP / Dos / PGP263II.ZIP / DOC / FAQ.TXT < prev    next >
Text File  |  1996-04-24  |  15KB  |  379 lines
  1.  
  2.                FREQUENTLY ASKED QUESTIONS ABOUT PGP 2.6.3i
  3.                *******************************************
  4.  
  5.                         Last update: 24 April 1996
  6.  
  7.  
  8. [The following is a list of Frequently Asked Questions about PGPi (the
  9. international PGP versions) with answers. This document is also available
  10. in HTML format from http://www.ifi.uio.no/pgp/FAQ.shtml. Comments
  11. and corrections may be sent to stale@hypnotech.com.]
  12.  
  13.  
  14. CONTENTS
  15.  
  16. 1. International vs US version
  17.    1.1. Why create an international PGP version?
  18.    1.2. What is the latest international version of PGP?
  19.    1.3. How does PGP 2.6.3i differ from MIT PGP 2.6.2?
  20.    1.4. How is PGP 2.6.3i compatible with other PGP versions?
  21.    1.5. What is RSAREF? MPILIB? What is the difference?
  22.  
  23. 2. Legal issues
  24.    2.1. What does "international" mean? Who may use it?
  25.    2.2. Why isn't it official? Is it illegal to use?
  26.    2.3. Can I use PGP 2.6.3i for commercial purposes?
  27.  
  28. 3. Getting it
  29.    3.1. Where can I get a copy of PGP 2.6.3i?
  30.    3.2. Is there a Windows version of PGP 2.6.3i?
  31.    3.3. How can I check the integrity of PGP 2.6.3i?
  32.    3.4. Where can I get updated language modules for PGP 2.6.3i?
  33.  
  34. 4. Miscellaneous
  35.    4.1. Isn't PGP 2.6.3i the version that was weakened for export by the NSA?
  36.    4.2. Are there any bugs in PGP 2.6.3i?
  37.    4.3. Who is responsible for PGP 2.6.3i?
  38.    4.4. Where can I learn more about PGP?
  39.  
  40.  
  41. WHY CREATE AN INTERNATIONAL PGP VERSION?
  42.  
  43. The official PGP versions from MIT (the latest of which is 2.6.2) were made
  44. inside the USA and intended for use in the USA alone. Due to special patent
  45. and copyright issues in the US, these versions contain a number of limitations
  46. and restrictions that are totally irrelevant for users elsewhere. When PGP
  47. has spread to the rest of the world, it is only natural that these limitations
  48. are removed. That's why we have the international PGP versions. :-)
  49.  
  50.  
  51. WHAT IS THE LATEST INTERNATIONAL VERSION OF PGP?
  52.  
  53. The latest international version of PGP is 2.6.3i. It was first released on
  54. 18 January 1996. PGP 2.6.3i is based on the source code for MIT PGP 2.6.2
  55. and modified for international use. PGP 2.6.3i replaced PGP 2.6.2i.
  56.  
  57.  
  58. HOW DOES PGP 2.6.3i DIFFER FROM MIT PGP 2.6.2?
  59.  
  60. The following are the most important differences:
  61.  
  62.   1. It does not use the RSAREF encryption library
  63.   2. It is compatible with all other PGP 2.x versions
  64.   3. It corrects a number of bugs present in PGP 2.6.2(i)
  65.   4. It compiles "out of the box" for many new platforms
  66.   5. It adds some new features without breaking compatibility with earlier
  67.      versions
  68.  
  69. For a complete list of changes, refer to the PGP263I.DIF file in the
  70. source code distribution.
  71.  
  72.  
  73. HOW IS PGP 2.6.3i COMPATIBLE WITH OTHER PGP VERSIONS?
  74.  
  75. PGP 2.6.3i can read and understand messages, keys and signatures created
  76. with any 2.x version of PGP. (Note, however, that the keys cannot be
  77. larger than 2048 bits. No official PGP version uses larger keys, though.)
  78. Because it uses MPILIB rather than RSAREF, PGP 2.6.3i is even capable of
  79. understanding the old key signature format in PGP 2.2 and earlier versions
  80. (pkcs_compat=0). It cannot write such signatures, though.
  81.  
  82. PGP 2.6.3i can generate messages, keys and signatures that can be read
  83. and understood by any PGP 2.x version of PGP. However, if you want your
  84. messages to be readable by PGP 2.3a and earlier versions, it is necessary
  85. to uncomment the "legal_kludge = off" line in your CONFIG.TXT file.
  86.  
  87.  
  88. WHAT IS RSAREF? MPILIB? WHAT IS THE DIFFERENCE?
  89.  
  90. RSAREF is a software library that implements the RSA cryptography
  91. routines. (RSA is one of the encryption routines used in PGP, and the very
  92. heart of public key encryption.) RSAREF is freeware, and is released by
  93. RSA Data Security Inc., the patent holder of the RSA algorithm in the US.
  94. Everyone in the US who wants to make use of RSA in their programs and
  95. give it away for free (e.g. PGP), must use RSAREF. All official MIT
  96. versions of PGP, starting with version 2.5, have been using RSAREF.
  97.  
  98. MPILIB is simply another implementation of the same RSA routines as found
  99. in RSAREF. The MPILIB routines were originally written by Phil Zimmermann,
  100. and were used in all PGP versions up to and including version 2.3a.
  101. Functionally, MPILIB is identical to RSAREF, but the routines are
  102. generally faster than the RSAREF routines (although the speed difference
  103. varies between machine platforms). In addition, MPILIB is capable of
  104. understanding the old key signature format in PGP 2.2 and earlier versions
  105. (pkcs_compat=0). RSAREF, on the other hand, cannot read such signatures.
  106. Furthermore, MPILIB is published under the terms of the GPL, whereas
  107. RSAREF is not.
  108.  
  109. Please note that PGP 2.6.3i uses MPILIB, _not_ RSAREF. This is the main
  110. reason why PGP 2.6.3i should not be used within the US. Phil Zimmermann
  111. said this about PGP 2.6.i, the predecessor to 2.6.3i:
  112.  
  113. "The unofficial variant of PGP named PGP 2.6.i by its developers
  114. replaces RSAREF routines with other code implementing RSA-related
  115. algorithms.  I am very familiar with that code, and while I tried to
  116. make PGP use RSAREF in a manner that did not suffer a performance
  117. penalty, I believe that these other subroutines are at least as
  118. efficient, as well as being functionally identical for PGP's purposes.
  119. Since the RSA patent does not exist outside the USA, it seems
  120. reasonable to not encumber European users with the RSAREF subroutine
  121. library and its own additional copyright restrictions..."
  122.  
  123.  
  124. WHAT DOES "INTERNATIONAL" MEAN? WHO MAY USE IT?
  125.  
  126. PGP 2.6.3i was put together to provide an alternative to the American
  127. versions of PGP, which are distributed by MIT and contain a number of
  128. restrictions that are not relevant for users outside the USA. In general,
  129. "international" means "non-US", i.e. it may be used by anyone except
  130. those who live in the US.
  131.  
  132.  
  133. WHY ISN'T IT OFFICIAL? IS IT ILLEGAL TO USE?
  134.  
  135. PGP 2.6.3i is perfectly legal to use provided that you:
  136.  
  137.   1. Don't live in a country where encryption is illegal (such as France,
  138.      Russia, Iran, Iraq or China).
  139.   2. Are not physically inside the USA.
  140.   3. Make sure that you don't download a copy of PGP that is physically
  141.      inside the USA.
  142.  
  143. The reason why PGP 2.6.3i is not official, is that is was based on source
  144. code that was once illegaly exported from the USA. However, once the
  145. program has been exported, anyone may use it freely.
  146.  
  147.  
  148. CAN I USE PGP 2.6.3i FOR COMMERCIAL PURPOSES?
  149.  
  150. Yes, you can, but you need to buy a separate license for the IDEA algorithm
  151. used in PGP. (RSA is not patented outside the US, so you don't need a
  152. license for this algorithm.) IDEA licenses can be purchased from Ascom Systec
  153. AG in Switzerland. (The licensing of the IDEA algorithm was formerly
  154. administrated by Ascom Tech, but this responsibility has been transferred to
  155. Ascom Systec. Please, do not contact Ascom Tech about this matter!) The fee
  156. is charged on a per-user basis as follows:
  157.  
  158.     1..  50 users     15 US$ per copy
  159.    51.. 100 users     10 US$ per copy 
  160.   101.. 250 users      8 US$ per copy
  161.   251.. 500 users      7 US$ per copy
  162.   501..1000 users      6 US$ per copy
  163.      > 1000 users          on request
  164.  
  165. The end-user license can be ordered online via WWW:
  166.  
  167.   http://www.ascom.ch/Web/systec/security/enduser.htm
  168.  
  169. For more information, contact Licensing Manager Roland Weinhart at:
  170.  
  171.   Ascom Systec AG
  172.   IDEA Licensing
  173.   Gewerbepark
  174.   CH-5506 Maegenwil
  175.   Switzerland
  176.  
  177.   Phone : +41 62 889 59 54
  178.   Fax   : +41 62 889 59 54
  179.   Email : idea@ascom.ch
  180.   WWW   : http://www.ascom.ch/Web/systec/
  181.  
  182.  
  183. WHERE CAN I GET A COPY OF PGP 2.6.3i?
  184.  
  185. PGP 2.6.3i is available both as source code and as precompiled binaries
  186. for some of the most popular platforms, such as MS-DOS, OS/2, Atari,
  187. Amiga and Macintosh. To obtain a copy of PGP 2.6.3i, try:
  188.  
  189. WWW:
  190.   http://www.ifi.uio.no/pgp/
  191.  
  192. FTP:
  193.   ftp.ifi.uio.no/pub/pgp/
  194.   ftp.dsi.unimi.it/pub/security/crypt/PGP/
  195.   ftp.encomix.es/pub/pgp/
  196.   ftp.ox.ac.uk/pub/crypto/pgp/
  197.  
  198. E-mail:
  199.   Send a message to pgp@hypnotech.com with your request in the
  200.   Subject field.
  201.  
  202.   Subject              What you will get
  203.   -------              -----------------
  204.   GET pgp263i.zip        MS-DOS executable (uuencoded)
  205.   GET pgp263ix.zip       32-bit MS-DOS executable (uuencoded)
  206.   GET pgp263i-os2.zip    OS/2 executable (uuencoded)
  207.   GET pgp263i-win32.zip  Windows 95/NT text-mode executable (uuencoded)
  208.   GET Amiga-PGP          Amiga executable (uuencoded)
  209.   GET Atari-PGP          Atari executable (uuencoded)
  210.   GET MacPGP             Macintosh executable (HexBin)
  211.   GET pgp263is.zip       Source code, MS-DOS line feeds (uuencoded)
  212.   GET pgp263is.tar.gz    Source code, UNIX line feeds (uuencoded)
  213.   GET MacPGP source      Additional source code for Macintosh (HexBin)
  214.  
  215.   Note: The uuencoded files are not split in any way, but sent in one
  216.   portion. Because some of the files are very big (more than 800 kbytes),
  217.   this may cause problems if your mail system cannot handle messages of
  218.   this size. If you don't get a reply, this is probably the reason.
  219.  
  220.  
  221. IS THERE A WINDOWS VERSION OF PGP 2.6.3i?
  222.  
  223. No. There is no "true" Windows 3.1/NT/95 version of PGP, but there exists
  224. a number of front-end shells that wrap around the DOS versions. Precompiled
  225. binaries exist for MS-DOS (16-bit & 32-bit), OS/2, Amiga, Atari and Macintosh.
  226. There is also a Win32 (Windows 95/NT) compilation, but it's only a text-mode
  227. application without any fancy GUI.
  228.  
  229.  
  230. HOW CAN I CHECK THE INTEGRITY OF PGP 2.6.3i?
  231.  
  232. All the PGP 2.6.3i distribution archives contain a signature file so that
  233. you can verify that the files have not been tampered with. In order to
  234. verify the signature, you need the signatory's public key:
  235.  
  236. Stale Schumacher (0xCCEF447D): source code, MS-DOS, Mac and OS/2 versions
  237. Peter Simons (0x34D74DC1)    : Amiga version
  238. Guy Geens (0xAB2A3F25)       : Atari version
  239.  
  240. All keys are available from a public keyserver. For details, send email to
  241. pgp-public-keys@keys.pgp.net with HELP as the Subject.
  242.  
  243.  
  244. WHERE CAN I GET UPDATED LANGUAGE MODULES FOR PGP 2.6.3i?
  245.  
  246. An updated collection of translation files for both PGP 2.6.3 and 2.6.3i can
  247. be found at the PGPi Language Page, available via WWW from:
  248.  
  249.   http://www.ifi.uio.no/pgp/modules.shtml
  250.  
  251. Alternatively, you can get them via anonymous FTP from:
  252.  
  253.   ftp.ifi.uio.no/pub/pgp/lang/
  254.   ftp.encomix.es/pub/pgp/lang/
  255.   ftp.ox.ac.uk/pub/crypto/pgp/language/
  256.  
  257.  
  258. ISN'T PGP 2.6.3i THE VERSION THAT WAS WEAKENED FOR EXPORT BY THE NSA?
  259.  
  260. No. PGP 2.6.3i is just as secure as any other version of PGP. Neither
  261. Phil Zimmermann, MIT, NSA, myself nor anybody else have put any backdoor
  262. into PGP 2.6.3i, limited the effecive key size or otherwise done anything
  263. to compromise the security of the program. If you don't believe it,
  264. download the source code and see for yourself. The PGP source is free for
  265. anyone to scrutinize, and has been so for many years now. Still, nobody
  266. has been able to find any backdoors. Strange, isn't it?
  267.  
  268.  
  269. ARE THERE ANY BUGS IN PGP 2.6.3i?
  270.  
  271. No program is 100% error free. Yet PGP 2.6.3i is probably the most bug-
  272. free PGP version available today. To see a list of known bugs and how to
  273. fix them, please refer to the PGPi Bugs Page, available via WWW from:
  274.  
  275.   http://www.ifi.uio.no/pgp/bugs.shtml
  276.  
  277. To report new bugs, send email to pgp-bugs@ifi.uio.no.
  278.  
  279.  
  280. WHO IS RESPONSIBLE FOR PGP 2.6.3i?
  281.  
  282. PGP 2.6.3i was put together and published by Stale Schumacher in Norway.
  283. However, this work would not have been possible without the help of many
  284. individuals around the world. The international PGP versions are now
  285. maintained and supported by an international development team, who
  286. coordinate their work through an Internet mailing list. If you would like
  287. to join this list, please contact stale@hypnotech.com.
  288.  
  289. All questions regarding PGP 2.6.3i should be addressed to
  290. pgp-bugs@ifi.uio.no. Please note that Phil Zimmermann, MIT and the
  291. University of Oslo have nothing to do with PGP 2.6.3i. Comments, bug
  292. reports and suggestions for future releases are welcome.
  293.  
  294.  
  295. WHERE CAN I LEARN MORE ABOUT PGP?
  296.  
  297. The README.1ST file in the PGP 2.6.3i distribution covers most of the
  298. details that are special to the international PGP versions. If you have
  299. access to WWW, the PGPi Home Page is an excellent starting point for
  300. further PGP exploration:
  301.  
  302.   http://www.ifi.uio.no/pgp/
  303.  
  304. For information on PGP and encryption in general, check out the following
  305. resources:
  306.  
  307. Other FAQs:
  308.  
  309.     PGP Frequently Asked Questions from alt.security.pgp
  310.       http://www.prairienet.org/~jalicqui/pgpfaq.txt
  311.       ftp://ftp.prairienet.org/pub/providers/pgp/pgpfaq.txt
  312.     Where to Get the Latest PGP Program FAQ
  313.       ftp://ftp.uu.net/usenet/news.answers/pgp-faq/where-is-PGP.Z
  314.     
  315. WWW:
  316.  
  317.     Fran Litterio's PGP Page (from the Virtual Library)
  318.       http://world.std.com/~franl/pgp/pgp.html
  319.     The Official Bug List for MIT PGP 2.6.2
  320.       http://www.mit.edu:8001/people/warlord/pgp-faq.html
  321.  
  322. FTP:
  323.  
  324.     ftp://ftp.ifi.uio.no/pub/pgp/
  325.     ftp://ftp.dsi.unimi.it/pub/security/crypt/PGP/
  326.     ftp://ftp.ox.ac.uk/pub/crypto/pgp/
  327.  
  328. Newsgroups:
  329.  
  330.     alt.anonymous              discussion of anonymity and anon remailers
  331.     alt.anonymous.messages     for anonymous encrypted message transfer
  332.     alt.privacy.clipper        Clipper, Capstone, Skipjack, Key Escrow
  333.     alt.security               general security discussions
  334.     alt.security.pgp           discussion of PGP
  335.     alt.security.ripem         discussion of RIPEM
  336.     alt.security.keydist       key distribution via Usenet
  337.     alt.society.civil-liberty  general civil liberties, including privacy
  338.     comp.compression           discussion of compression algorithms
  339.     comp.org.eff.news          news reports from EFF
  340.     comp.org.eff.talk          discussion of EFF related issues
  341.     comp.patents               discussion of S/W patents, including RSA
  342.     comp.risks                 some mention of crypto and wiretapping
  343.     comp.society.privacy       general privacy issues
  344.     comp.security.announce     announcements of security holes
  345.     misc.legal.computing       software patents, copyrights, computer laws
  346.     sci.crypt                  methods of data encryption/decryption
  347.     sci.math                   general math discussion
  348.     talk.politics.crypto       general talk on crypto politics
  349.  
  350. Books:
  351.  
  352.     The Official PGP User's Guide
  353.     by Philip R. Zimmermann
  354.       MIT Press 1995 
  355.       ISBN 0-262-74017-6
  356.       216 pp. $14.95 
  357.  
  358.     PGP: Pretty Good Privacy
  359.     by Simson Garfinkel
  360.       O'Reilly & Associates 1994
  361.       ISBN 1-56592-098-8
  362.       430 pp. $24.95
  363.  
  364.     Protect Your Privacy: The PGP User's Guide
  365.     by William Stallings
  366.       Prentice Hall PTR 1995
  367.       ISBN 0-13-185596-4
  368.       302 pp. $19.95
  369.  
  370.     Applied Cryptography: Protocols, Algorithms, and Source Code in C
  371.     2nd Edition, by Bruce Schneier
  372.       Wiley Publishing 1996
  373.       ISBN 0-471-11709-9
  374.  
  375.     E-Mail Security: How to Keep Your Electronic Mail Private
  376.     by Bruce Schneier
  377.       Wiley Publishing
  378.       ISBN 0-471-05318-X 
  379.