---

Efter at have skimmet lidt sikkerheds relateret materiale på nettet igennem,
faldt jeg over en artikel, der hurtigt nævnte at PGP havde en bagdør...
Der stod ikke noget udspecificeret!
Er der nogen der kan af-/bekræfte det jeg læste, eller henvise til en side?

Har før læst indlæg om, at PGP måtte være 'the real mccoy', da kildekoden
følger med. Men med et så komplekst prg, er det vel muligt at gemme et par
ting eller to?

/Dreamslay

---

On Tue, 6 Mar 2001 23:43:02 +0100, "Dreamslay"
<amlet36_NOSPAM_@hotmail.com> wrote:

>Efter at have skimmet lidt sikkerheds relateret materiale på nettet igennem,
>faldt jeg over en artikel, der hurtigt nævnte at PGP havde en bagdør...
>Der stod ikke noget udspecificeret!
>Er der nogen der kan af-/bekræfte det jeg læste, eller henvise til en side?

Har læst det samme i en artikel på nettet om nagdør i PGP og mener at
huske at man lagde frem at det var i versionren til MS DOS og MS
Windows , alle versioner , at der er en bagdør i PGP . Så her er det
altså lidt mere konkretieseret som at i versionerne af PGP der kører
i Micor Soft D.O,S. sysmester ER der en bagdør i PGP.

Jeg mener også at huske der var en strre debat på PGP´s
interenationele site , husker ikke adressen men stedet er nemt at
finde. Håber du kome en smule nærmere svaret du søger med det her, som
imdrømmey ikke tilføjer så forfærdeligt meget af det du vil vide.Men
dog lidt

Med venlig Hilsen
Henning Vedsegaard

---

En bagdør i PGP er aldrig blevet påvist. Fuld kildekode er
blevet frigivet fra følgende versioner af PGP:
2.6.2, 5.0, 5.5.3, 6.0.2, 6.5.1 og 6.5.8.

Da alverdens eksperter i kryptologi gennemlæser denne
kode, ville en eventuel bagdør uden tvivl blive fundet og
offentliggjort med masser af bulder og brag.

Hvis du stadig er paranoid, vil du måske gerne vide at:
- Version 7.0.3 er den sidste udgivelse inden Phil Zimmermann
(oprindelig programmør af PGP) forlod NAI (Network Associates
der nu står for distribution og salg af PGP).

- Version 6.5.8 er den sidste udgivelse hvor den komplette
kildekode er frigivet..

- Version 5.5.3 er den sidste udgivelse inden PGP blev købt
af NAI.

Mvh.

--
Kenneth Hansen

---

Kenneth Hansen <kenneth.hansen@probemail.com> wrote in
<3AA65625.8DC87F6F@probemail.com>:

>En bagdør i PGP er aldrig blevet påvist. Fuld kildekode er
>blevet frigivet fra følgende versioner af PGP:
>2.6.2, 5.0, 5.5.3, 6.0.2, 6.5.1 og 6.5.8.
>
>Da alverdens eksperter i kryptologi gennemlæser denne
>kode, ville en eventuel bagdør uden tvivl blive fundet og
>offentliggjort med masser af bulder og brag.
>
>Hvis du stadig er paranoid, vil du måske gerne vide at:
>- Version 7.0.3 er den sidste udgivelse inden Phil Zimmermann
> (oprindelig programmør af PGP) forlod NAI (Network Associates
> der nu står for distribution og salg af PGP).
>

Phil har selv fastslået, at version 7.0.3 er fri for bagdøre - se evt link i
min signatur. Umiddelbart har jeg ikke grund til at tro, at han taler
usandt.

Jesper


--
Philip Zimmermann quits NAI. See his post in sci.crypt - msg-ID:
<news:96r393$n35$1@kermit.esat.net>

- Jesper Stocholm

---

Kenneth Hansen <kenneth.hansen@probemail.com> wrote:

> Da alverdens eksperter i kryptologi gennemlæser denne
> kode, ville en eventuel bagdør uden tvivl blive fundet og
> offentliggjort med masser af bulder og brag.

Sikker på, at de ville finde enhver fejl inden næste version?

Men under alle omstændigheder øger det sandsynligheden for, at fejl
bliver fundet, i forhold til hvis koden ikke var tilgængelig,
betydeligt.

--
Niels, The Offspring Mailinglist www.image.dk/~teglsbo
PGP ID: 0x79701FB3 FP: 14CE E6BA 29CC 4ECE D7A3 30D3 FB74 A1CB 7970 1FB3

---

Dreamslay <amlet36_NOSPAM_@hotmail.com> wrote in message
news:983p23$413$1@news.inet.tele.dk...
> Efter at have skimmet lidt sikkerheds relateret materiale på nettet
igennem,
> faldt jeg over en artikel, der hurtigt nævnte at PGP havde en bagdør...
> Der stod ikke noget udspecificeret!
> Er der nogen der kan af-/bekræfte det jeg læste, eller henvise til en
side?
>
> Har før læst indlæg om, at PGP måtte være 'the real mccoy', da kildekoden
> følger med. Men med et så komplekst prg, er det vel muligt at gemme et par
> ting eller to?
>
> /Dreamslay

Jeg takker for alle jeres svar!
Lige en lille opfølgning:
Så vidt jeg har set på steder rundt omkring, er der 2 forskellige versioner
(måske flere?) af PGP. Den fra NAI (version 7) og en der er blevet videre
udviklet af ... andre (version 2.6...).
Hvilken grund er der til det?

På forhånd tak.

/Dreamslay

---

Der er 2 udgaver af PGP.

Der er den udgave NAI udgiver som er en US only version dvs. den må kun
bruges af Amerikanske statsborgere i USA.
den anden udgave hedder PGPi og er lavet af en lille gruppe folk der henter
source koden på papir og tager den med til europa hvorefter de indtaster
source koden selv og kompilere den og udgiver den som PGPi, dette gør de
fordi USA har meget strenge sanktioner om hvor god en kryptereings kode man
må eksportere fra USA, mn den regel dækker kun det færdige produkt... og
elektronisk lagret data, så hvis de bare har sourcen på papir må de godt
eksportere den...

Leo "kuruderu" Knøsgaard
icq# 78152492
"Dreamslay" <amlet36_NOSPAM_@hotmail.com> wrote in message
news:988phq$irt$1@news.inet.tele.dk...
> Dreamslay <amlet36_NOSPAM_@hotmail.com> wrote in message
> news:983p23$413$1@news.inet.tele.dk...
> > Efter at have skimmet lidt sikkerheds relateret materiale på nettet
> igennem,
> > faldt jeg over en artikel, der hurtigt nævnte at PGP havde en bagdør...
> > Der stod ikke noget udspecificeret!
> > Er der nogen der kan af-/bekræfte det jeg læste, eller henvise til en
> side?
> >
> > Har før læst indlæg om, at PGP måtte være 'the real mccoy', da
kildekoden
> > følger med. Men med et så komplekst prg, er det vel muligt at gemme et
par
> > ting eller to?
> >
> > /Dreamslay
>
> Jeg takker for alle jeres svar!
> Lige en lille opfølgning:
> Så vidt jeg har set på steder rundt omkring, er der 2 forskellige
versioner
> (måske flere?) af PGP. Den fra NAI (version 7) og en der er blevet videre
> udviklet af ... andre (version 2.6...).
> Hvilken grund er der til det?
>
> På forhånd tak.
>
> /Dreamslay
>
>
>

---

"Kuruderu" <kuruderu@dak.kollegie6400.dk> wrote in
<3aa8a59f$1@server.kollegie6400.dk>:

>Der er 2 udgaver af PGP.
>

ja

>Der er den udgave NAI udgiver som er en US only version dvs. den må kun
>bruges af Amerikanske statsborgere i USA.

nej

>den anden udgave hedder PGPi og er lavet af en lille gruppe folk der
>henter source koden på papir og tager den med til europa hvorefter de
>indtaster source koden selv og kompilere den og udgiver den som PGPi,
>dette gør de fordi USA har meget strenge sanktioner om hvor god en
>kryptereings kode man må eksportere fra USA, mn den regel dækker kun det
>færdige produkt... og elektronisk lagret data, så hvis de bare har
>sourcen på papir må de godt eksportere den...
>

din information er ikke helt up-to-date. I efteråret kom der nye eksport-
regler i USA, der bla. bevirkede, at man som udbyder af et produkt med stærk
kryptering skal sende en teknisk beskrivelse til USAs regering (læs: NSA),
der har den til en slags "one-time-review" [1]. Derefter kan man lægge
software ud til download (til hele verden) - uanset krypteringsstyrke. Denne
ret har man, hvis produktet er gratis og til umiddelbar download. Hvis det
er et specielt-designet kommercielt produkt, så er det ikke tilladt, og
produktet skal til review - hver gang det sælges.

Det er korrekt, at de i "gamle dage" sendte en bog (til Norge), hvor de så
scannede den ind, smed den efter noget OCR-sw og så compilede de koden til
et færdigt produkt. Tidligere var der også noget, der hed en "international
version", men dette skyldtes, at de ikke kunne lave en freeware-version af
den kommercialle PGP til brug i USA, da den indeholdt support for RSA, der
på det tidspunkt var beskyttet af patenter.

Freeware-versionen er i øvrigt tilgængelig fra bla. pgpi.com ganske få dage
efter den er tilgængelig fra NAIs servere, og selv med vore dages teknologi
er jeg ikke sikker på, at det kan lade sig gøre at OCR-konvertere flere
tusinde sider kode så hurtigt.


[1] Efter signende blot en formalitet - de skal vist ikke engang se koden
til programmet.

--
Læs mit midtvejsprojekt om digitale signaturer på Smart Cards på
http://stocholm.dk/pmp

- Jesper Stocholm

---

"Kuruderu" <kuruderu@dak.kollegie6400.dk> wrote in
<3aa8a59f$1@server.kollegie6400.dk>:

>Der er 2 udgaver af PGP.
>

ja

>Der er den udgave NAI udgiver som er en US only version dvs. den må kun
>bruges af Amerikanske statsborgere i USA.

nej

>den anden udgave hedder PGPi og er lavet af en lille gruppe folk der
>henter source koden på papir og tager den med til europa hvorefter de
>indtaster source koden selv og kompilere den og udgiver den som PGPi,
>dette gør de fordi USA har meget strenge sanktioner om hvor god en
>kryptereings kode man må eksportere fra USA, mn den regel dækker kun det
>færdige produkt... og elektronisk lagret data, så hvis de bare har
>sourcen på papir må de godt eksportere den...
>
din information er ikke helt up-to-date. I efteråret kom der nye eksport-
regler i USA, der bla. bevirkede, at man som udbyder af et produkt med stærk
kryptering skal sende en teknisk beskrivelse til USAs regering (læs: NSA),
der har den til en slags "one-time-review" [1]. Derefter kan man lægge
software ud til download (til hele verden) - uanset krypteringsstyrke. Denne
ret har man, hvis produktet er gratis og til umiddelbar download. Hvis det
er et specielt-designet kommercielt produkt, så er det ikke tilladt, og
produktet skal til review - hver gang det sælges.

Microsoft og Netscape bruger i øvrigt deres ret i dette tilfælde, når de gør
deres patches til 128-bit kryptering i deres browsere frit tilgængelige fra
deres website.

Det er korrekt, at de i "gamle dage" sendte en bog (til Norge), hvor de så
scannede den ind, smed den efter noget OCR-sw og så compilede de koden til
et færdigt produkt. Tidligere var der også noget, der hed en "international
version", men dette skyldtes, at de ikke kunne lave en freeware-version af
den kommercialle PGP til brug i USA, da den indeholdt support for RSA, der
på det tidspunkt var beskyttet af patenter.

Freeware-versionen er i øvrigt tilgængelig fra bla. pgpi.com ganske få dage
efter den er tilgængelig fra NAIs servere, og selv med vore dages teknologi
er jeg ikke sikker på, at det kan lade sig gøre at OCR-konvertere flere
tusinde sider kode så hurtigt.




[1] Efter signende blot en formalitet - de skal vist ikke engang se koden
til programmet. Se også http://www.pgp.com/aboutus/press/pr_template.asp?
PR=/PressMedia/01202000.asp&Sel=664

--
Læs mit midtvejsprojekt om digitale signaturer på Smart Cards på
http://stocholm.dk/pmp

- Jesper Stocholm