home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #27 / NN_1992_27.iso / spool / sci / crypt / 4949 < prev    next >
Encoding:
Internet Message Format  |  1992-11-17  |  4.6 KB
  1. Xref: sparky sci.crypt:4949 comp.org.eff.talk:7109 alt.privacy:2320 talk.politics.guns:24236
  2. Newsgroups: sci.crypt,comp.org.eff.talk,alt.privacy,talk.politics.guns
  3. Path: sparky!uunet!charon.amdahl.com!pacbell.com!sgiblab!darwin.sura.net!Sirius.dfn.de!news.DKRZ-Hamburg.DE!rzsun2.informatik.uni-hamburg.de!fbihh!bontchev
  4. From: bontchev@fbihh.informatik.uni-hamburg.de (Vesselin Bontchev)
  5. Subject: Re: Risks of Using PGP 2.0
  6. Message-ID: <bontchev.722038231@fbihh>
  7. Keywords: legal, patent, export, ITAR
  8. Sender: news@informatik.uni-hamburg.de (Mr. News)
  9. Reply-To: bontchev@fbihh.informatik.uni-hamburg.de
  10. Organization: Virus Test Center, University of Hamburg
  11. References: <1e9ka5INNbmt@roche.csl.sri.com>
  12. Date: 17 Nov 92 22:10:31 GMT
  13. Lines: 90
  14.  
  15. boucher@csl.sri.com (Peter K. Boucher) writes:
  16.  
  17. > First, it is illegal to "make, use, or sell" a patented device
  18. > without a license.  PGP's disclaimer does not protect anyone making,
  19. > distributing, or using PGP.  PKP owns the patent and sells licenses
  20. > to companies who want to make and sell products that use RSA and
  21.  
  22. In the RSA FAQ it is stated that PKP allows free usage of RSA for
  23. non-commercial use. I was unable to obtain an official answer from
  24. them why (and if) this excludes PGP.
  25.  
  26. > other public-key cryptography.  PGP is not licensed.  A license to
  27. > the maker of PGP has always been (and still is) available, but it
  28. > would not be free (which would be unfair to other licensees, whose
  29. > licenses were not free).
  30.  
  31. Nope, PKP promptly refuses to issue licenses for PGP, even if you
  32. offer to pay them.
  33.  
  34. > Second, PGP may be illegal with respect to US export law.  The
  35.  
  36. True, it is illegal to export PGP from the USA. Fortunately, the world
  37. does not consist of the USA alone, so you can safely IMPORT the
  38. package from dozens of ftp sites around the world. Importing it in the
  39. USA is NOT illegal (actually using it is another story).
  40.  
  41. > author states in the documentation that he "guided" its development
  42. > overseas.  This might be construed an export of "technical know-how"
  43. > under the ITAR (International Traffic in Arms Regulations).  By
  44.  
  45. If anybody wants to sue the author (which one? PGP 2.0 has been
  46. written by several people; none of them has done anything illegal,
  47. even according to the USA laws), s/he must first prove that he has
  48. indeed "guided its development overseas". What is stated in the docs
  49. has no value as a proof.
  50.  
  51. > distributing or using PGP 2.0, you may be involved directly or
  52. > indirectly in an illegal act.  Ignorance before the law, of course,
  53.  
  54. 1) Importing PGP in the USA is not illegal.
  55.  
  56. 2) Distributing PGP is not illegal anywhere.
  57.  
  58. 3) Using PGP for non-commercial purpose in the USA is probably not
  59. illegal, but this needs further checking. Using PGP outside the USA is
  60. not illegal.
  61.  
  62. 4) Exporting PGP from the USA is probably illegal, but who the hell
  63. needs it?
  64.  
  65. > making a decision.  It could be a serious mistake to assume that
  66. > because this software "appeared" in the US or elsewhere, it and those
  67. > who use it are not at any risk of violating export law.
  68.  
  69. Sure, don't export it from the USA, if you want to be on the safe
  70. side.
  71.  
  72. > The risks to those actively promoting PGP, and/or distributing it, are
  73. > of course, greater than those for simple users, but even simple users
  74.  
  75. You probably mean "risks to the US users", but even then your claim
  76. needs proofs. For everybody else (outside the USA, which is still the
  77. majority), there are absolutely no risks in actively promoting,
  78. distributing, and using PGP.
  79.  
  80. > would do well to seek an acceptable alternative, such as RIPEM.
  81.  
  82. A better solution IMHO would be if PGP becomes PEM-compatible. This
  83. way the US users will be able to use RIPEM and people in the rest of
  84. the world will be able to use PGP.
  85.  
  86. > RIPEM is built on a piece of software called RSAREF.  RSAREF contains
  87. > an embedded patent license, and is perfectly legal to use for
  88. > non-commercial purposes.  Any software whatsoever can be built on
  89. > RSAREF, even PGP-like programs, and distributed freely.  RSAREF does
  90. > carry strong restrictions on export.  RIPEM source and executables can
  91. > be found using archie.
  92.  
  93. Because "RSAREF does carry strong restrictions on export", nobody
  94. outside the USA is able to obtain it legally. That's why, we are
  95. sticking to PGP. If only PGP were PEM-compatible, everybody could
  96. choose his/her favourite/allowed program, not worry, and be happy...
  97.  
  98. Regards,
  99. Vesselin
  100. -- 
  101. Vesselin Vladimirov Bontchev          Virus Test Center, University of Hamburg
  102. Tel.:+49-40-54715-224, Fax: +49-40-54715-226      Fachbereich Informatik - AGN
  103. < PGP 2.0 public key available on request. > Vogt-Koelln-Strasse 30, rm. 107 C
  104. e-mail: bontchev@fbihh.informatik.uni-hamburg.de    D-2000 Hamburg 54, Germany
  105.