PGP - Versionen

Um PGP tobt in letzter Zeit ein 'Krieg der Versionen'. Das liegt hauptsächlich an der Gesetzgebung in den USA. Zum einen verbietet ITAR (International Traffic in Arms Regulations, oder so ähnlich) den Export von Kryptographischer Software, zum anderen hält die Firma PKP ein Patent auf den von PGP verwendeten Algorithmus. Dieses Patent gilt nur in den USA und Kanada.

Die PGP-Versionen bis 2.3a (inclusive) verletzen dieses Patent (in den USA). Die Firma ViaCrypt vertreibt (in den USA) die Version 2.4, die im wesentlichen identisch mit 2.3a ist, allerdings ist ViaCrypt offiziell lizenziert zum Verkauf von PGP.

Um dem Schutz des Patents (in den USA) Nachdruck zu verleihen, wurden am MIT nacheinander die Versionen 2.5 und 2.6 entwickelt. Diese benutzen zur Verschlüsselung die RSAREF-Library, die von der Firma RSADSI (Lizenznehmer von PKP) zur Verfügung gestellt wurde. Diese Versionen sind ebenfalls (in den USA) frei verfügbar, eine entsprechende Lizenz zur Verwendung der RSAREF-Library liegt dem Source-Code dieser Versionen bei.

An der Sache sind zwei Haken:

Um an eine dieser Versionen zu gelangen, muss man unter bestimmten Voraussetzungen der RSAREF-Lizenz zustimmen. Das bedeutet aber, daß man diese Programme aus den USA holen muß, womit man allerdings gegen ITAR verstößt. Um eventuellen juristischen Problemen vorzubeugen hat RSADSI also die Lizenz entsprechend eingeschränkt. Das bedeutet, das eine Benutzung dieser Versionen außerhalb der USA das Urheberrecht von RSADSI an der Library verletzt, d.h. diese Versionen sind auch außerhalb der USA illegal.
Um die Verwendung der (in den USA) illegalen Versionen bis 2.3a einzuschränken, ist Version 2.6 nicht mehr voll kompatibel zu diesen Versionen. Genauer gesagt, ab dem ersten September werden mit Version 2.6 verschlüsselte Dateien nicht mehr mit älteren Versionen zu entschlüsseln sein.

Um diesen Mankos abzuhelfen wurde in England die Version 2.6ui (ui steht für unofficial international release) auf der Basis von Version 2.3a entwickelt. Diese ist wieder voll kompatibel mit Version 2.6, und frei von urheberrechtlichen Problemen.

Um die Verwirrung komplett zu machen, 'versteht' Version 2.6 bestimmte Signatures nicht mehr. Signatures, die mit einer Version bis 2.2 (inclusive) gemacht wurden, entsprechen einem bestimmten Quasi-Standard nicht und werden daher nicht erkannt.

Inzwischen gibt es vom MIT die Versionen 2.6.1 und 2.6.2, die im wesentlichen 2.6 entsprechen und einige kleinere Bugfixes enthalten.

Um diese Bugfixes in eine internationale Version zu übernehmen, hat Stale Schumacher <staalesc@ifi.uio.no> Version 2.6.i veröffentlicht, die auf 2.6.1 basiert und die Möglichkeit bietet, statt der RSAREF-Library den RSA-Code von PGP 2.3a zu verwenden. Dadurch fällt 2.6.i nicht unter das RSAREF-Copyright.

Die Firma Viacrypt vertreibt in den USA nun die auf 2.6 basierende Version 2.7.

Verfügbare Versionen:

PGP main page
Meine Homepage
UNIX-AG Homepage

Impressum