home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #27 / NN_1992_27.iso / spool / sci / crypt / 5003 < prev    next >
Encoding:
Internet Message Format  |  1992-11-18  |  5.7 KB
  1. Path: sparky!uunet!nntp1.radiomail.net!csl.sri.com!boucher
  2. From: boucher@csl.sri.com (Peter K. Boucher)
  3. Newsgroups: sci.crypt
  4. Subject: Re: Risks of Using PGP 2.0
  5. Date: 19 Nov 1992 09:24:11 GMT
  6. Organization: Computer Science Lab, SRI International
  7. Lines: 129
  8. Distribution: world
  9. Message-ID: <1efmfrINN1e1@roche.csl.sri.com>
  10. References: <1e9ka5INNbmt@roche.csl.sri.com> <a_rubin.722037007@dn66> <1992Nov18.084909.7437@netcom.com>
  11. NNTP-Posting-Host: affirmed.csl.sri.com
  12. Keywords: legal, patent, export, ITAR
  13.  
  14. In article <bontchev.722038231@fbihh>, bontchev@fbihh.informatik.uni-hamburg.de (Vesselin Bontch
  15. ev) writes:
  16. |> boucher@csl.sri.com (Peter K. Boucher) writes:
  17. |>
  18. |> > First, it is illegal to "make, use, or sell" a patented device
  19. |> > without a license.  PGP's disclaimer does not protect anyone making,
  20. |> > distributing, or using PGP.  PKP owns the patent and sells licenses
  21. |> > to companies who want to make and sell products that use RSA and
  22. |>
  23. |> In the RSA FAQ it is stated that PKP allows free usage of RSA for
  24. |> non-commercial use. I was unable to obtain an official answer from
  25. |> them why (and if) this excludes PGP.
  26.  
  27. Provided you use it in compliance with their license.  PGP doesn't.
  28.  
  29. |> > other public-key cryptography.  PGP is not licensed.  A license to
  30. |> > the maker of PGP has always been (and still is) available, but it
  31. |> > would not be free (which would be unfair to other licensees, whose
  32. |> > licenses were not free).
  33. |>
  34. |> Nope, PKP promptly refuses to issue licenses for PGP, even if you
  35. |> offer to pay them.
  36.  
  37. They told me that they would be happy to sell a license to Zimmerman,
  38. who created PGP, but not to individual PGP users.
  39.  
  40.  
  41. |> > Second, PGP may be illegal with respect to US export law.  The
  42. |>
  43. |> True, it is illegal to export PGP from the USA. Fortunately, the world
  44. |> does not consist of the USA alone, so you can safely IMPORT the
  45. |> package from dozens of ftp sites around the world. Importing it in the
  46. |> USA is NOT illegal (actually using it is another story).
  47.  
  48. Are you sure it's not illegal to import it?
  49.  
  50. How do you read the following sections of the ITAR:
  51.  
  52. 123.2 Imports.
  53.  
  54. No defense article may be imported into the United States unless (a)
  55. it was previously exported temporarily under a license issued by the
  56. Office of Munitions Control; or (b) it constitutes a temporary
  57. import/intransit shipment licensed under Section 123.3; or (c) its
  58. import is authorized by the Department of the Treasury (see 27 CFR
  59. parts 47, 178, and 179).
  60.  
  61. Part 127 - Violations and Penalties - states in 127.1 (a):
  62.  
  63. (a) It is unlawful
  64.     (1) to export or to attempt to export from the United States
  65.         any defense article or technical data or to furnish any
  66.         defense service for which a license or written approval
  67.         is required by this subchapter without first obtaining
  68.         the required license or written approval from the Office
  69.         of Munitions Control;
  70.     (2) to import or attempt to import any defense article whenever
  71.         a license is required by this subchapter without first
  72.         obtaining the required license or written approval from
  73.         the Office of Munitions Control;
  74.  
  75.  
  76. 125.2 Exports of unclassified technical data.
  77.  
  78. Paragraph (c) reads:
  79.  
  80. (c) Disclosures. Unless otherwise expressly exempted in this
  81. subchapter, a license is required for the oral, visual, or documentary
  82. disclosure of technical data to foreign nationals in connection with
  83. visits by U.S. persons to foreign countries, visits by foreign persons
  84. to the United States, or otherwise.  A license is required regardless
  85. of the manner in which the technical data is transmitted (e.g., in
  86. person, by telephone, correspondence, electronic means, telex, etc.).
  87.  
  88. Also, 120.21 Technical Data.
  89.  
  90. "Technical data" means, for purposes of this subchapter:
  91.  
  92. (a) Classified information relating to defense articles or defense
  93. services;
  94.  
  95. (b) Information covered by an invention secrecy order;
  96.  
  97. (c) Information which is directly related to the design, engineering,
  98. development, production, processing, manufacture, use, operation,
  99. overhaul, repair, maintenance, modification, or reconstruction of
  100. defense articles.  This includes, for example, information in the form
  101. of blueprints,drawings, photographs, plans, instructions, computer
  102. software and documentation. (There's little more, not relevant.)
  103.  
  104. |> Using PGP outside the USA is
  105. |> not illegal.
  106.  
  107. You may be right about this. (It might be illegal in the 
  108. People's Republic of China  :-)
  109.  
  110. In article <a_rubin.722037007@dn66>, a_rubin@dsg4.dse.beckman.com (Arthur Rubin) writes:
  111. |> DISCLAIMER: I am not a lawyer, the company I work for probably disagrees
  112. |> with everything I say.
  113.  
  114. I'm not either.  Therefore I would never advise someone about what they should
  115. do with PGP.  I advised people to get their own legal advice, in order to form
  116. an informed decision.
  117.  
  118. |> Irrelevant.  Only Phil, himself, might be liable.  The is no restriction
  119. |> under ITAR against importing arms that were illegal to export.  (If
  120. |> datapaths from one foreign site to another pass through the US, it seems
  121. |> likely the the re-exporter could also be prosecuted, if anyone can trace
  122. |> the links to find out who it is.)
  123.  
  124. See above.  Do you read it differently than I do?
  125.  
  126. |> Are RSAREF sources available?  If not, there is little benefit to it's use
  127. |> by people who don't trust RSA/PKP not have put in a "trap door".
  128.  
  129. Yes.  Send email to rsaref-info@rsa.com
  130.  
  131. DISCLAIMER 1:  I have no affiliation whatsoever with RSADSI, PKP, or RIPEM.
  132.  
  133. DISCLAIMER 2:  The opinions expressed here are strictly my own, not necessarily
  134.                SRI International's.
  135.  
  136. METADISCLAIMER:  Any place where disclaimers like these appear can be safely
  137.                  assumed to have *WAY* too many lawyers.
  138.  
  139. --
  140. Peter K. Boucher
  141. --
  142. RIPEM public key available upon request.
  143.