[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: Request for PGP?

To: debate@fitug.de
Subject: Re: Request for PGP?
From: Bodo_Moeller@public.uni-hamburg.de (Bodo Moeller)
Date: Wed, 21 Apr 99 00:44 +0200
Comment: This message comes from the debate mailing list.
In-Reply-To: <19990418190021.O28901@greenie.muc.de>
Organization: Hamburg University
Sender: owner-debate@fitug.de

Gert Doering <gert@greenie.muc.de>:

>> fuer ein kommerzielles Projekt brauche ich Verschluesselung fuer E-Mail.
>> Plattform ist Linux.
>> Frage an die Experten: welche *PGP*-version verwenden?

>>   - PGP 2.6/5.x? Lizenz fuer kommerziellen Einsatz?  Wo kaufen?

PGP 2.6.x ist selbst Freeware, Lizenzen werden bloß für IDEA
gebraucht; dazu <URL:http://www.ascom.ch/infosec/idea/licensing.html>.

> Die diesbezueglichen Aussagen von Network Associates sind beim besten
> Willen nur als "wirr" zu bezeichnen.

www.pgpinternational.com verrät gar nicht erst eine E-Mail-Adresse für
Anfragen, so viel Wert scheint NAI hierzulande aufs Verkaufen also gar
nicht zu legen.

>   * Um eine "Unix-Lizenz" zu kaufen, moege man doch einfach das fertige
>     shrinkwrapped "commercial PGP"-Paket fuer Windows kaufen, damit habe
>     man eine Lizenz, die koenne man dann auch auf anderen Betriebssystemen
>     einsetzen.

Hat jemand das Produkt mal in Händen gehabt oder sich sonstwie davon
überzeugen können, dass es das tatsächlich außerhalb der USA gibt?
Über www.pgpi.com habe ich gar nicht die Sourcen aller Komponenten
ausfindig machen können, die im teuren Paket enthalten sein sollen,
obwohl sie sicherlich in den USA entstanden sind (z. B.
Zertifikatsserver).

>>   - OpenPGP? Was ist der Status?
>>   - GnuPG (oder wie auch immer das heisst)?  Was ist der Status?

OpenPGP ist der Name des Protokolls (Standards-Track-RFC 2440). GnuPG
ist eine Implementierung davon und funktioniert in der aktuellen
Version 0.95 ganz gut -- jedenfalls auf Systemen mit /dev/random --,
d. h. weist jedenfalls nicht mehr Merkürdigkeiten auf als PGP 2.x. Die
Kompatibilität damit ist allerdings eingeschränkt: Signaturüberprüfung
ist kein Problem, aber beim Verschlüsseln an Empfänger mit
PGP-2.x-Schlüsseln kommt etwas heraus, womit die in der Regel nichts
anfangen können (Triple-DES; bei Benutzung des IDEA-Moduls im
kommerziellen Umfeld wären ohnehin auch Lizenzzahlungen nötig). Bei
der automatischen Überprüfung der vermuteten Glaubwürdigkeit von
Schlüsseln gibt es noch Lücken im Programm (revocations werden zwar
erkannt, aber ihre durchgehende Beachtung ist noch nicht
implementiert).

References:
- Re: Request for PGP?
  - From: Gert Doering <gert@greenie.muc.de>

Prev by Date: Re: AGB im US-Filmgeschaeft
Next by Date: [FYI] Microsoft steigert Gewinn um 40 Prozent
Prev by thread: Re: Request for PGP?
Next by thread: [FYI] (Fwd) Fwd: New battle lines being drawn over encryption de
Index(es):
- Date
- Thread