home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #31 / NN_1992_31.iso / spool / sci / crypt / 6069 < prev    next >
Encoding:
Text File  |  1992-12-22  |  14.3 KB  |  349 lines
  1. Newsgroups: sci.crypt
  2. Path: sparky!uunet!zaphod.mps.ohio-state.edu!cis.ohio-state.edu!magnus.acs.ohio-state.edu!csn!neocad!bunte
  3. From: bunte@neocad.com (Dave Bunte)
  4. Subject: PGP server offers full two way encription
  5. Message-ID: <1992Dec22.202244.9159@neocad.com>
  6. Organization: NeoCAD, Inc.
  7. X-Newsreader: TIN [version 1.1 PL8]
  8. Date: Tue, 22 Dec 1992 20:22:44 GMT
  9. Lines: 338
  10.  
  11. [ Article crossposted from alt.drugs ]
  12. [ Author was  ]
  13. [ Posted on Sat, 19 Dec 1992 23:42:22 GMT ]
  14.  
  15.  
  16. | PAX - Public Access Unix (Adelaide,South Australia) - Anonymous Posting Host
  17. | ============================================================================
  18. |
  19. |Last modified: Fri Nov 20 18:55:52 CST 1992
  20. |
  21. | Information about Anonymous & Privacy-Enhanced Posting.
  22. | =======================================================
  23. |
  24. |PAX is conducting research into the viability of anonymous privacy-
  25. |enhanced mail as a means of providing practical, secure and confidential
  26. |electronic mail and news. An experimental server has been setup and
  27. |you are encouraged to use it.
  28. |
  29. |There are many anonymous posting services in existence which provide
  30. |anonymous electronic mail and posting to specific newsgroups where
  31. |posting is sometimes harmful to one's health or reputation ! Such
  32. |services allow you to:
  33. |
  34. | - post anonymously to those news groups
  35. |
  36. | - reply anonymously to posts by email
  37. |
  38. | - converse anonymously with another anonymous user, neither of
  39. |   you knowing your real identities
  40. |
  41. |Privacy-enhanced electronic mail refers to the concept of encrypting
  42. |one's mail prior to sending it off into the ether, presumably to
  43. |someone at the other end capable of decrypting it. If one uses a
  44. |so-called "public key" method of encryption, then one can make one's
  45. |"public" key widely known so that anyone can encrypt mail to you, but only
  46. |you can decrypt it using your "secret" key. There is much development
  47. |going on in this area, but one quite popular public-domain implementation
  48. |is Philip Zimmermann's "Pretty Good Privacy 2.0" which makes use of a
  49. |number of cryptographic methods including the RSA algorithm in places
  50. |(See Legal Issues later on). PGP allows you to:
  51. |
  52. | - exchange public keys with another individual
  53. |
  54. | - encode messages to them that only they can read
  55. |
  56. | - receive messages from them that only you can read
  57. |
  58. |These tools are all very well for the specific purposes for which they
  59. |were designed, but unfortunately your anonymous message or post is not
  60. |actually anonymous until it gets to the machine that host's the service.
  61. |Anyone in between, including your own administrators, can in theory
  62. |read your post, even though they won't know to whom it is directed. What
  63. |is more they can also read replies addressed back to you. This can be
  64. |highly embarrassing at best, and result in dismissal or disconnection
  65. |at worst if your thoughts, beliefs or activities are disapproved of by
  66. |the powers that be, even if they are perfectly legal.
  67. |
  68. |PAX's privacy-enhanced anonymous services were conceived in the belief
  69. |that free speech and privacy are fundamental rights and that it is
  70. |high time the networks to which we are connected provided such services
  71. |on a routine basis. Seeing as they don't we have to make a start somewhere.
  72. |
  73. |This service provides:
  74. |
  75. | - conventional anonymous mailing and posting services via a "normal"
  76. |   alias assigned in the usual fashion
  77. |
  78. | - the ability to post to ANY newsgroup that is carried out of PAX
  79. |   (which includes most non-regional groups)
  80. |
  81. | - PGP 2.0 based privacy-enhanced mail & posting, including:
  82. |
  83. |   - ability to register your "public" key with PAX, so that PAX
  84. |     can send encrypted messages to you
  85. |
  86. |   - local generation of a unique public key which is sent to you,
  87. |     so that you can send encrypted messages to PAX
  88. |
  89. |   - any encoded messages from you mailed to a user or newsgroup are
  90. |     decrypted at PAX before being passed on in anonymous form
  91. |
  92. |   - any anonymous replies to your "pgp" alias are encrypted before
  93. |     being mailed to you
  94. |
  95. |For example, once you have obtained your PGP 2.0 software (as described
  96. |later) and got it going, and once you have generated and registered
  97. |your public key and received PAX's key in response, you will be able
  98. |to post to any newsgroup without anyone beyond your machine having
  99. |access to the plaintext of your post.
  100. |
  101. |Furthermore, if another user has registered in the same manner, and
  102. |you know their anonymous alias or are responding to one of their
  103. |anonymous posts, even though you don't know who they are and haven't
  104. |exchanged keys to communicate directly, the PAX service will automatically
  105. |decrypt any encrypted messages from you and re-encrypt them before
  106. |passing them on to the other person !
  107. |
  108. | How to use it.
  109. | ==============
  110. |
  111. |All transactions are handled by email, and commands are selected by
  112. |the name of the alias to which you mail, not by the subject or body
  113. |of the message (which are ignored unless sending or posting a message).
  114. |The separator between the "anon" and the command is a dot (period,'.')
  115. |and nothing else will work ! Not '-', not '_', not ":", only a dot.
  116. |
  117. |The site to address mail is "pax.tpa.com.au". If this fails for some
  118. |reason, you may need to address it to the specific host (at present)
  119. |ie. "flash.pax.tpa.com.au".
  120. |
  121. |"Normal" (unencrypted) commands:
  122. |
  123. | - To get information (this message):
  124. |
  125. |    mail anon.info@pax.tpa.com.au
  126. |
  127. | - To see what your "normal" alias is, or get one:
  128. |
  129. |    mail anon.ping@pax.tpa.com.au
  130. |
  131. | - To send a reply to another anonymous user:
  132. |
  133. |    mail anon.###@pax.tpa.com.au
  134. |
  135. |    NB:
  136. |      - eg. mail anon.36@pax.tpa.com.au
  137. |
  138. |      - don't be creative ... anon.036 won't work
  139. |
  140. |      - an attempt is made to strip off signature lines by discarding
  141. |        everything after a line starting with "--" or "__"
  142. |
  143. | - To send a post to a newsgroup:
  144. |
  145. |    mail anon.post.groupname@pax.tpa.com.au
  146. |
  147. |    NB:
  148. |      - eg. "mail anon.post.talk.abortion" will send a
  149. |        post to "talk.abortion"
  150. |
  151. |      - only the Subject field from your post is used, the rest of
  152. |        the header is discarded
  153. |
  154. |      - the newsgroup is selected by the alias; Newsgroup header
  155. |        fields are discarded; hence cross-posting isn't feasible
  156. |
  157. |      - signatures are stripped as above
  158. |
  159. |"PGP" (encryption) commands:
  160. |
  161. | - To register your public key with PAX: (ABSOLUTELY NECESSARY)
  162. |
  163. |    mail anon.key@pax.tpa.com.au
  164. |
  165. |    NB:
  166. |      - first you have to make install pgp and make a key then send it
  167. |        in a "anon.key" command
  168. |
  169. |      - the body of the message MUST contain an ascii encoded public key
  170. |        generated by PGP V2.0. You may use your regular public key that
  171. |        you give to other people if you wish. The user ID name must be
  172. |        unlikely to conflict with one PAX already has, so use your full
  173. |        name, or include your email address or something. If you want
  174. |        you can use a unique key just for PAX - it makes no difference.
  175. |        If PAX already has a key of the same user-id it will reject yours.
  176. |        Note that this means that you need different key user-id's on
  177. |        different machines (or mail addresses anyway).
  178. |
  179. |        # makes new keys & adds to your "keyring"
  180. |        pgp -kg
  181. |        Enter a user ID for your public key: First M. Last of somefirm
  182. |
  183. |        # extract key in ascii form suitable for a message body
  184. |        pgp -kxa "First M. Last of somefirm" savedfile pubring
  185. |
  186. |        # send it to PAX
  187. |        mail anon.key@pax.tpa.com.au <savedfile.asc
  188. |
  189. |      - PAX will respond by sending you a new alias number and a
  190. |        public key to add to your keyring to use to encrypt messages
  191. |        to PAX. It will have a user ID name of "paxanon.publickey"
  192. |        and you should add it to your public key ring by saving the
  193. |        message in a file and presenting it as follows:
  194. |
  195. |        pgp -ka savedfile
  196. |
  197. |        Your life will be easier in future if you reply yes to the
  198. |        certify question.
  199. |
  200. |      - Note that now you may have two aliases, that sent in response to
  201. |        the anon.key command and that sent in response to the anon.ping
  202. |        command or previous unencrypted replies or posts. Any sunsequent
  203. |        replies or posts that you encrypt before sending will be seen
  204. |        to others as having come from the new alias, and replies will be
  205. |        encrypted before being passed on to you. Any plaintext messages
  206. |        you send will appear to have come from the original alias and
  207. |        responses will also come back in plaintext.
  208. |
  209. | - Sending encrypted posts and replies.
  210. |
  211. |     There are no other commands. If you encrypt a message and send it
  212. |     using the "anon.reply" and "anon.post" groups, the software will
  213. |     detect that they are encrypted, select the appropriate alias as
  214. |     a return address, decrypt the message, and mail or post it.
  215. |
  216. |     You should use PGP 2.0 to encrypt messages sent to PAX, using
  217. |     the public key that PAX sent to you. DON'T FORGET TO SIGN your
  218. |     message using the secret key corresponding to the public key
  219. |     that you sent to PAX !!! Unsigned messages will be rejected
  220. |     to ensure that the message is really from you and not someone
  221. |     pretending to be you using your account or mailpath.
  222. |
  223. |     Eg.:
  224. |
  225. |        # sign and encrypt message for mailing to pax.
  226. |        pgp -east message "paxanon.publickey" -u "First M. Last of somefirm"
  227. |        mail -s "A test post" anon.post.alt.test <message.asc
  228. |
  229. |     Note the -a (armor) and -t (text) options. Note also the subject
  230. |     flag to mail - PAX will whinge if you post something without a
  231. |     subject.
  232. |
  233. |     Similarly, all messages to you will be signed using PAX's secret
  234. |     key corresponding to the public key PAX sent to you, hence you
  235. |     will know if the message really came from PAX and not someone
  236. |     else using your public key.
  237. |
  238. |     ***** NB. The ENTIRE encrypted segment will be passed on after
  239. |     it has been decrypted. There is no processing of any contained
  240. |     header (though it won't work as a header), nor any removal of
  241. |     signature information within the encrypted text. Take great care
  242. |     to ensure that there is no identifying information within the
  243. |     encrypted text. *****
  244. |
  245. |     Any plain text accompanying the encrypted text will be discarded.
  246. |     The Subject header field is still passed on during postings as
  247. |     with "normal" unencrypted posts.
  248. |
  249. |     More work may be done on these "features" if there is sufficient
  250. |     demand for it :).
  251. |
  252. |Miscellaneous administrative commands:
  253. |
  254. | - To see the current status of the system (message of the day):
  255. |
  256. |    mail anon.status@pax.tpa.com.au
  257. |
  258. | - To send mail to a human administrator:
  259. |
  260. |    mail anon.admin@pax.tpa.com.au
  261. |
  262. | Mailing List
  263. | ============
  264. |
  265. |To send mail to/join/unjoin a mailing list about this service, and
  266. |anonymous services in general:
  267. |
  268. |    mail anon.list@pax.tpa.com.au
  269. |    mail anon.subscribe@pax.tpa.com.au
  270. |    mail anon.unsubscribe@pax.tpa.com.au
  271. |
  272. |
  273. | How secure is it ?
  274. | ==================
  275. |
  276. |Not bad. Clearly it depends on the security of the underlying PGP 2.0
  277. |software which is discussed at length in its documentation.
  278. |
  279. |The keys are stored, and the messages encrypted and decrypted on
  280. |a server which also hosts a Public Access Unix system. These files
  281. |are protected by the usual Unix security mechanisms, but in the
  282. |event of a security breach could conceivably become visible. The
  283. |keys would hence be compromised and any messages passing through
  284. |could be decrypted. The PAX administration could theoretically
  285. |access the keys and files at will of course.
  286. |
  287. |It is hard to conceive of an alternative implementation which links
  288. |anonymity with privacy enhancement however. This is no substitute for
  289. |a direct person to person link with certified keys and this service
  290. |should not be used as a substitute for such if security is a primary
  291. |concern.
  292. |
  293. | Legal Issues.
  294. | =============
  295. |
  296. |PGP 2.0's use of the RSA algorithm is a problem in the US where a patent
  297. |is now held on the algorithm, despite its widespread promulgation before
  298. |the patent was obtained. The PGP documentation discusses this issue at
  299. |length.
  300. |
  301. |Sufficeth to say, this service is provided by a site in Australia and
  302. |hence should not be subject to the constraints imposed by the US patent.
  303. |The service is offered to anyone who can reach this site by mail, in
  304. |addition to PAX's own users, and there is no intention of obtaining any
  305. |commercial gain by providing the privacy-enhanced anonymous service.
  306. |
  307. |Whether individuals in the US can legally use the PGP software to use the
  308. |service provided by PAX for their own personal use, without first obtaining
  309. |a license to use the RSA algorithm is an untested issue. Certainly the
  310. |software is widely available even though it is now maintained outside the
  311. |US.
  312. |
  313. |No such concerns should apply anywhere other than the US.
  314. |
  315. |This project is an experiment to see if the concept is feasible and if
  316. |there is any demand for it. The software is crude, but functional,
  317. |but it is quite possible that it will fail in unforeseen circumstances.
  318. |It is designed to loose or fail to pass on a message rather than post or
  319. |return plaintext (which would be very undesirable) but there can be no
  320. |guarantees. It is conceivable that plaintext might get sent where it
  321. |was not intended, and PAX assumes no responsibility for the consequences.
  322. |At least this would be no worse than the situation that prevails with
  323. |current anonymous services.
  324. |
  325. |THIS IS EXPERIMENTAL SOFTWARE IN A STATE OF FLUX - YOU HAVE BEEN WARNED.
  326. |
  327. |END OF FILE
  328. |
  329. |- --
  330. |** Anonymity & Privacy by PAX - Public Access Unix (Adelaide,South Australia)
  331. **
  332. |anon.admin@pax.tpa.com.au (a human)    anon.info@pax.tpa.com.au   (for help)
  333. |anon.ping@pax.tpa.com.au  (get alias)  anon.key@pax.tpa.com.au    (register
  334. key)
  335. |anon.###@pax.tpa.com.au   (reply)      anon.post.g@pax.tpa.com.au (post to g)
  336. |anon.list@pax.tpa.com.au  (to mailing list)
  337. |anon.subscribe@pax.tpa.com.au          anon.unsubscribe@pax.tpa.com.au
  338. |
  339. |For dialup Unix access phone +61-8-235-9010 - online registration.
  340. -------------------------------------------------------------------------
  341. To find out more about the anon service, send mail to help@anon.penet.fi.
  342. Due to the double-blind system, any replies to this message will be anonymized,
  343. and an anonymous id will be allocated automatically. You have been warned.
  344. -- 
  345. The author makes no representations about the suitability of these
  346. opinions for any purpose.  They are provided "as is" without express
  347. or implied warranty...
  348.  
  349.