home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #27 / NN_1992_27.iso / spool / sci / crypt / 4896 < prev    next >
Encoding:
Internet Message Format  |  1992-11-17  |  2.8 KB
  1. Xref: sparky sci.crypt:4896 comp.org.eff.talk:7094 alt.privacy:2312 talk.politics.guns:24204
  2. Path: sparky!uunet!nntp1.radiomail.net!csl.sri.com!boucher
  3. From: boucher@csl.sri.com (Peter K. Boucher)
  4. Newsgroups: sci.crypt,comp.org.eff.talk,alt.privacy,talk.politics.guns
  5. Subject: Risks of Using PGP 2.0
  6. Date: 17 Nov 1992 02:10:13 GMT
  7. Organization: Computer Science Lab, SRI International
  8. Lines: 44
  9. Distribution: world
  10. Message-ID: <1e9ka5INNbmt@roche.csl.sri.com>
  11. NNTP-Posting-Host: affirmed.csl.sri.com
  12. Summary: PGP may appear to be "freeware," but there are two areas
  13.         of legal risk for those who use it: patent law, and export
  14.         law.
  15. Keywords: legal, patent, export, ITAR
  16.  
  17.  
  18. DISCLAIMER:  The following information is provided as a public
  19. service.  It is explicitly NOT a commercial advertisement, and
  20. does not in any way represent, express or imply any policy or
  21. viewpoint of SRI International.
  22.  
  23. First, it is illegal to "make, use, or sell" a patented device
  24. without a license.  PGP's disclaimer does not protect anyone making,
  25. distributing, or using PGP.  PKP owns the patent and sells licenses
  26. to companies who want to make and sell products that use RSA and
  27. other public-key cryptography.  PGP is not licensed.  A license to
  28. the maker of PGP has always been (and still is) available, but it
  29. would not be free (which would be unfair to other licensees, whose
  30. licenses were not free).
  31.  
  32. Second, PGP may be illegal with respect to US export law.  The
  33. author states in the documentation that he "guided" its development
  34. overseas.  This might be construed an export of "technical know-how"
  35. under the ITAR (International Traffic in Arms Regulations).  By
  36. distributing or using PGP 2.0, you may be involved directly or
  37. indirectly in an illegal act.  Ignorance before the law, of course,
  38. is no excuse.  It's the responsibility of every one to seek their
  39. own legal advice.  I strongly urge potential PGP users to have their
  40. company's lawyers read the ITAR and read the PGP statement before
  41. making a decision.  It could be a serious mistake to assume that
  42. because this software "appeared" in the US or elsewhere, it and those
  43. who use it are not at any risk of violating export law.
  44.  
  45. The risks to those actively promoting PGP, and/or distributing it, are
  46. of course, greater than those for simple users, but even simple users
  47. would do well to seek an acceptable alternative, such as RIPEM.
  48. RIPEM is built on a piece of software called RSAREF.  RSAREF contains
  49. an embedded patent license, and is perfectly legal to use for
  50. non-commercial purposes.  Any software whatsoever can be built on
  51. RSAREF, even PGP-like programs, and distributed freely.  RSAREF does
  52. carry strong restrictions on export.  RIPEM source and executables can
  53. be found using archie.
  54.  
  55.  
  56.  
  57. -- 
  58. Peter K. Boucher
  59. --
  60. RIPEM public key available upon request.
  61.