home *** CD-ROM | disk | FTP | other *** search
/ Amiga ISO Collection / AmigaUtilCD2.iso / Misc / pgp262is.lha / PGPAmiga262i.lha / PGP-2.6.2i / readme.1st < prev    next >
Encoding:
PGP Message  |  1995-05-25  |  15.7 KB  |  358 lines
  1. -----BEGIN PGP SIGNED MESSAGE-----
  2.  
  3.  
  4.               Pretty Good Privacy version 2.6.2i - READ ME FIRST
  5.                           Notes by Stale Schumacher
  6.                                  1995/05/07
  7.  
  8.  
  9. You are looking at the README file for PGP release 2.6.2i. PGP, short for
  10. Pretty Good Privacy, is a public key encryption package; with it, you can
  11. secure messages you transmit against unauthorized reading and digitally sign
  12. them so that people receiving them can be sure they come from you.
  13.  
  14.  
  15. ABOUT THIS VERSION
  16.  
  17. PGP 2.6.2i is not an official PGP version. It is based on the source code for
  18. MIT PGP 2.6.2 (the latest official version of PGP) and has been modified for
  19. international use. PGP 2.6.2i is probably illegal to use within the USA, but
  20. is fine in almost every other country in the world. This file only explains
  21. what is special to version 2.6.2i. For a more thorough installation and usage
  22. guide, refer to the file setup.doc and the documentation for PGP 2.6.2, which
  23. is included unmodified in the doc/ subdirectory that is created when you unpack
  24. the distribution archive.
  25.  
  26.  
  27. BACKGROUND
  28.  
  29. Until about a year ago, there were only two "real" PGP versions around: PGP
  30. 2.3a which was the international freeware version, and 2.4 which was a
  31. commercial version sold in USA by a company called ViaCrypt. However, this
  32. situation changed dramatically in May 1994 when MIT released a special US
  33. freeware version of PGP (2.5), in order to put an end to the legal problems
  34. surrounding PGP. (PGP 2.3a was believed to be illegal in USA because of patent
  35. restrictions.) The new version had a number of limitations to encourage
  36. Americans that were using 2.3a illegally to upgrade to the legal version.
  37. However, these limitations resulted in a well of new PGP versions, more or
  38. less professionally put together by well-intending individuals who wanted a
  39. more flexible PGP than that offered by MIT. Suddenly, we had ten different PGP
  40. versions, not two.
  41.  
  42. Even though PGP 2.5 and later releases from MIT introduced many bug-fixes and
  43. improvements over 2.3a, many non-US users of PGP have been reluctant to
  44. upgrade to the new versions because they feel that the PGP developers have
  45. abandoned the international PGP community by adding a number of restrictions
  46. that are only necessary within the USA. That is why I decided to make PGP
  47. 2.6.i (and later 2.6.2i): to put an end to all the PGP "hack versions" that
  48. flourish, and by giving the non-US users of PGP a version that is more
  49. "digestible" than those offered by MIT, and at the same time let them benefit
  50. from all the improvements that the new versions have introduced over PGP 2.3a.
  51. PGP 2.6.2i is a "real" 2.6 version, as it is based on the code tree for PGP
  52. 2.6.2 and not 2.3a. This release is basically a bug-fix for PGP 2.6.i, which
  53. was based on PGP 2.6.1.
  54.  
  55.  
  56. HOW WAS IT DONE?
  57.  
  58. PGP 2.6.2i was put together by taking all the source files from PGP 2.6.2,
  59. adding a few #ifdef's and modifying a handful of lines - and that's it. In
  60. fact, the use of #ifdef's wherever a change has been made allows you to compile
  61. a version that is byte-identical to MIT PGP 2.6.2. This is accomplished by
  62. adding the -DMIT option when building the program, and by linking it with the
  63. RSAREF library (rsaglue2) rather than MPILIB (rsaglue1). Many of the
  64. accompanying text and documentation files for PGP 2.6.2 have also been updated
  65. in this release, as this had not been done since PGP 2.3a. In addition, a few
  66. minor but annoying bugs in PGP 2.6.2 have been corrected. For a detailed list
  67. of all the changes between 2.6.2 and 2.6.2i, see the file diffs.doc.
  68.  
  69.  
  70. DISTRIBUTION
  71.  
  72. PGP 2.6.2i is distributed in the following files:
  73.  
  74. - - pgp262i.zip      This is the MS-DOS executable release, which includes the
  75.                    executable, support files, and basic documentation.
  76.  
  77. - - pgp262is.zip     This is a source code release, which includes all the
  78.                    source code needed to compile PGP and examples of usage.
  79.                    It also contains all the files in pgp26i.zip except the
  80.                    pgp.exe binary.
  81.  
  82. - - pgp262is.tar.gz  This contains exactly the same files as pgp26is.zip,
  83.                    except that they use Unix rather than MS-DOS line end
  84.                    conventions.
  85.  
  86. If you are within the USA, you should download the files pgp262.zip,
  87. pgp262s.zip or pgp262s.tar.gz instead.
  88.  
  89.  
  90. DIFFERENCES BETWEEN PGP 2.6.2i AND 2.6.2
  91.  
  92. PGP 2.6.2i differs from MIT PGP 2.6.2 in the following ways:
  93.  
  94.   (1) It identifies itself as version 2.6.2i
  95.  
  96.       This is to clearly distinguish it from PGP 2.6.2. This is important
  97.       because users within the USA should not use PGP 2.6.2i, and also because
  98.       script files, shells and other PGP add-ons may need to know exactly how
  99.       your copy of PGP will behave under different circumstances.
  100.  
  101.   (2) It uses PRZ's MPILIB instead of RSAREF
  102.  
  103.       PGP 2.3a and earlier versions use a special library for all the RSA
  104.       encryption/decryption routines, called MPILIB, and written by Philip R.
  105.       Zimmermann (PRZ), the original author of PGP. However, starting with
  106.       version 2.5, all official releases of PGP have been using the RSAREF
  107.       library from RSADSI Inc, a US company that holds the patent on the RSA
  108.       algorithm in the USA. This change was made in order to make PGP legal
  109.       to use within the USA.
  110.  
  111.       Please observe that PGP 2.6.2i does NOT use RSAREF, but rather PRZ's
  112.       original MPILIB library, which is functionally identical to RSAREF and
  113.       slightly faster on most platforms. Because 2.6.2i uses MPILIB rather
  114.       than RSAREF, this PGP version is also able to verify key signatures made
  115.       with PGP 2.2 or earlier versions. This is not true for MIT PGP, because
  116.       the RSAREF library only understands the new PKCS signature format
  117.       introduced in PGP 2.3.
  118.  
  119.       The use of the MPILIB library is the main reason why PGP 2.6.2i is
  120.       probably illegal to use within the USA. If you are in the USA, you
  121.       should compile the source code using the -DMIT option and link it with
  122.       the RSAREF library rather than MPILIB. Note that RSAREF is NOT included
  123.       in this distribution, so if you are a US user, it is probably easier to
  124.       get a copy of the original MIT 2.6.2 release.
  125.  
  126.   (3) It lets you disable the "legal kludge"
  127.  
  128.       PGP 2.6.2 contains a "feature" that will cause it to generate keys and
  129.       messages that are not readable by PGP 2.3a and earlier versions. This
  130.       is the "legal kludge", and was introduced to encourage users in the USA
  131.       to upgrade from PGP 2.3a.
  132.  
  133.       PGP 2.6.2i provides you with a way to disable the "legal kludge". This
  134.       means that messages and keys generated with PGP 2.6.2i can be used and
  135.       understood by all existing 2.x versions of PGP. To disable the legal
  136.       kludge, uncomment the following line in your config.txt file so that it
  137.       reads:
  138.  
  139.       legal_kludge = off
  140.  
  141.       This option may also be set on the command line: "pgp +le=off <command>".
  142.  
  143.   (4) It allows you to generate keys up to and including 2048 bits
  144.  
  145.       Because of a bug in PGP 2.6.2, this version would not let you generate
  146.       keys bigger than 2047 bits on some platforms. This problem has been
  147.       corrected in PGP 2.6.2i.
  148.  
  149.   (5) It contains a number of bug-fixes
  150.  
  151.       PGP 2.6.2i also fixes a number of other bugs found in PGP 2.6.2, most
  152.       notably the signature bug for keys over 2034 bits, as reported by
  153.       ViaCrypt.
  154.  
  155.   (6) It can be compiled on many new platforms
  156.  
  157.       PGP 2.6.2i has been modified in order to let it compile "out of the box"
  158.       for such platforms as Amiga, Atari, FreeBSD, UnixWare and various
  159.       flavours of VMS. It can also be compiled under MS-DOS using Borland C
  160.       (MIT PGP 2.6.2 only supports Microsoft C).
  161.  
  162.   (7) It includes updated documentation and language files
  163.  
  164.       The language files for MIT PGP 2.6.2 had not been updated for a long
  165.       time. This has been fixed in this version. PGP 2.6.2i comes with
  166.       standard language files for French, Spanish and Norwegian. All the other
  167.       text and documentation files for PGP 2.6.2i have also been brought up to
  168.       date.
  169.  
  170.  
  171. DIFFERENCES BETWEEN PGP 2.6.2i and 2.6ui
  172.  
  173. A PGP version that has been very popular among non-US users of PGP is 2.6ui.
  174. If you have been using PGP 2.6ui up to now, you should note that PGP 2.6.2i
  175. differs from this version in the following ways:
  176.  
  177.   (1) It is a "real" 2.6 version
  178.  
  179.       PGP 2.6.2i is based on the source code for PGP 2.6.2, whereas PGP 2.6ui
  180.       is based on the source code for 2.3a. This means that 2.6.2i contains a
  181.       lot of bug-fixes that are not present in 2.6ui, and it also adds a
  182.       number of new features that are lacking in 2.6ui. These include the new
  183.       PUBRING, SECRING, RANDSEED and COMMENT options in config.txt.
  184.  
  185.   (2) It doesn't have the version_byte option
  186.  
  187.       PGP 2.6ui has an option to allow you to choose which message format to
  188.       use when generating keys and messages. This is the version_byte option,
  189.       and can be set both in the config.txt file and on the command line:
  190.  
  191.       version_byte = 2    (use backwards-compatible format, default)
  192.       version_byte = 3    (use new 2.6 format)
  193.  
  194.       In PGP 2.6.2i, the same is accomplished using the legal_kludge flag:
  195.  
  196.       legal_kludge = off  (use backwards-compatible format)
  197.       legal_kludge = on   (use new 2.6 format, default)
  198.  
  199.   (3) It doesn't have the armor_version option
  200.  
  201.       PGP 2.6ui has an option to let you "forge" the version number in the
  202.       ASCII armored files produced by PGP. In PGP 2.6.2i, the armor_version
  203.       option is NOT supported, as this is a feature that is heavily misused.
  204.       If you must change the version number of your keys and messages, you can
  205.       do so in the language.txt file instead.
  206.  
  207.  
  208. LEGAL STUFF
  209.  
  210. PGP 2.6.2i is not approved by MIT or PRZ or NSA or the Pope or anyone else.
  211. However, it should be possible to use it legally by anyone in the free world
  212. (i.e. all countries except USA, Iraq and a few others). There are three
  213. reasons why people may claim (incorrectly) that PGP 2.6.2i is illegal:
  214.  
  215.    (1) It is based on source code that was illegally exported from the USA
  216.  
  217.        The ITAR regulations classifies cryptography in the same category as
  218.        munitions, and so it is very likely that exporting PGP from the USA
  219.        is considered illegal by US authorities. In the case of PGP 2.6.2i,
  220.        large portions of the code were written inside the USA, and later
  221.        exported to the rest of the world. However, this is not a problem,
  222.        because it is the _export_ that is illegal, not the _use_ of the
  223.        program. Once the software is (illegally) exported, anyone may use it
  224.        legally. (I didn't export it, and I strongly recommend that you won't
  225.        do it either.) As long as you make sure that you get your copy of PGP
  226.        2.6.2i from somewhere outside the USA, then you should be on the safe
  227.        side.
  228.  
  229.    (2) It infringes the RSA patent
  230.  
  231.        This is not a problem either, because PGP 2.6.2i is not intended for use
  232.        in the USA (which just happens to be the only country in the world where
  233.        the RSA patent is valid, and still the validity of this patent is
  234.        somewhat dubious). If you are inside the USA, you should obtain a copy
  235.        of PGP 2.6.2 instead, or compile the source using the -DMIT option and
  236.        link it with the RSAREF library, which will in fact give you a version
  237.        that is identical to MIT PGP 2.6.2. 
  238.  
  239.    (3) It violates the MIT license
  240.  
  241.        The second point in the MIT license for PGP 2.6.2 explicitly forbids
  242.        anyone to remove the so-called "legal kludge". Still, this is exactly
  243.        what PGP 2.6.2i does. However, it should be clear that this limitation
  244.        only refers to the RSAREF versions of PGP. PGP 2.6.2i, on the other
  245.        hand, does not use RSAREF, and so this point becomes irrelevant. If you
  246.        still feel uncomfortable about this, take a look at the file
  247.        przon26i.asc which is included in the distribution archive. This file
  248.        contains a statement by Phil Zimmermann on PGP 2.6.i and the various
  249.        "unofficial international" versions of PGP. (PGP 2.6.2i is simply a bug-
  250.        fix for PGP 2.6.i, so everything that covers 2.6.i applies to 2.6.2i as
  251.        well.)
  252.  
  253.  
  254. COMMENTS AND BUG REPORTS
  255.  
  256. PGP 2.6.2i was put together by Stale Schumacher <staalesc@ifi.uio.no> with the
  257. help of many individuals around the world (see the file diffs.doc for details).
  258. All questions regarding PGP 2.6.2i should be addressed directly to him, or to
  259. <pgp-bugs@ifi.uio.no>. Please note that PRZ, MIT and the University of Oslo
  260. have nothing to do with this release. Comments, bug reports and suggestions for
  261. future releases are welcome.
  262.  
  263.  
  264. I WANT TO KNOW MORE!
  265.  
  266. If you want to find out more about PGP and encryption in general, there are a
  267. number of resources available, both on paper and in electronic form. Here are a
  268. few, to get you started:
  269.  
  270. FAQs:
  271.  
  272.     PGP Frequently Asked Questions
  273.       http://www.prairienet.org/~jalicqui/pgpfaq.txt
  274.       ftp://ftp.prairienet.org/pub/providers/pgp/pgpfaq.txt
  275.     Where to Get the Latest PGP Program FAQ
  276.       ftp://ftp.uu.net/usenet/news.answers/pgp-faq/where-is-PGP.Z
  277.     
  278. WWW:
  279.  
  280.     The International PGP Home Page
  281.       http://www.ifi.uio.no/~staalesc/PGP/home.html
  282.     Fran Litterio's PGP Page (from the Virtual Library)
  283.       http://draco.centerline.com:8080/~franl/pgp/pgp.html
  284.     The Official Bug List for MIT PGP 2.6.2
  285.       http://www.mit.edu:8001/people/warlord/pgp-faq.html
  286.     The Phil Zimmermann Legal Defense Fund Page
  287.       http://www.netresponse.com/zldf
  288.  
  289. FTP:
  290.  
  291.     ftp://ftp.dsi.unimi.it/pub/security/crypt/PGP/
  292.     ftp://ftp.informatik.uni-hamburg.de/pub/virus/crypt/pgp/
  293.     ftp://ftp.csua.berkeley.edu/pub/cypherpunks/pgp/
  294.  
  295. Newsgroups:
  296.  
  297.     alt.anonymous               discussion of anonymity and anon remailers
  298.     alt.anonymous.messages      for anonymous encrypted message transfer
  299.     alt.privacy.clipper         Clipper, Capstone, Skipjack, Key Escrow
  300.     alt.security                general security discussions
  301.     alt.security.index          index to alt.security
  302.     alt.security.pgp            discussion of PGP
  303.     alt.security.ripem          discussion of RIPEM
  304.     alt.security.keydist        key distribution via Usenet
  305.     alt.society.civil-liberty   general civil liberties, including privacy
  306.     comp.compression            discussion of compression algorithms
  307.     comp.org.eff.news           news reports from EFF
  308.     comp.org.eff.talk           discussion of EFF related issues
  309.     comp.patents                discussion of S/W patents, including RSA
  310.     comp.risks                  some mention of crypto and wiretapping
  311.     comp.society.privacy        general privacy issues
  312.     comp.security.announce      announcements of security holes
  313.     misc.legal.computing        software patents, copyrights, computer laws
  314.     sci.crypt                   methods of data encryption/decryption
  315.     sci.math                    general math discussion
  316.     talk.politics.crypto        general talk on crypto politics
  317.  
  318. Books:
  319.  
  320.     The Official PGP User's Guide
  321.     by Philip R. Zimmermann
  322.       MIT Press 1995 
  323.       ISBN 0-262-74017-6
  324.       216 pp. $14.95 
  325.  
  326.     PGP: Pretty Good Privacy
  327.     by Simson Garfinkel
  328.       O'Reilly & Associates 1994
  329.       ISBN 1-56592-098-8
  330.       430 pp. $24.95
  331.  
  332.     Protect Your Privacy: The PGP User's Guide
  333.     by William Stallings
  334.       Prentice Hall PTR 1995
  335.       ISBN 0-13-185596-4
  336.       302 pp. $19.95
  337.  
  338.     Applied Cryptography: Protocols, Algorithms, and Source Code in C
  339.     by Bruce Schneier
  340.       Wiley Publishing 1994
  341.       ISBN 0-471-59756-2
  342.  
  343.     E-Mail Security: How to Keep Your Electronic Mail Private
  344.     by Bruce Schneier
  345.       Wiley Publishing
  346.       ISBN 0-471-05318-X 
  347.  
  348.  
  349. -----BEGIN PGP SIGNATURE-----
  350. Version: 2.6.2i
  351.  
  352. iQCVAwUBL60KZrCfd7bM70R9AQGKMAP+NMNFIZup8Mwk7lTHJDYHAxJ1Exk7xOmF
  353. WnZE28Q7by2VlY7o/5eAr+mPAOuwh+jyEKBWbmNF+dpJvQ4ZRs480/GWVMRk7d9U
  354. 7pga9MCCA5Ob2cFoj0hngA10voMs6PWViFV2JkshCMMacnZVFMfkzqx7LISRwMxd
  355. /LCM+k5ovSQ=
  356. =AEW+
  357. -----END PGP SIGNATURE-----
  358.