PGP - Versionen
Um PGP tobt in letzter Zeit ein 'Krieg der Versionen'. Das liegt
hauptsächlich an der Gesetzgebung in den USA. Zum einen verbietet
ITAR (International Traffic in Arms Regulations, oder so ähnlich)
den Export von Kryptographischer Software, zum anderen hält die
Firma PKP ein Patent auf den von PGP verwendeten Algorithmus. Dieses
Patent gilt nur in den USA und Kanada.
Die PGP-Versionen bis 2.3a
(inclusive) verletzen dieses Patent (in den USA). Die Firma ViaCrypt
vertreibt (in den USA) die Version 2.4, die im wesentlichen identisch
mit 2.3a ist, allerdings ist ViaCrypt offiziell lizenziert zum Verkauf
von PGP.
Um dem Schutz des Patents (in den USA) Nachdruck zu
verleihen, wurden am MIT nacheinander die Versionen 2.5 und 2.6
entwickelt. Diese benutzen zur Verschlüsselung die RSAREF-Library,
die von der Firma RSADSI (Lizenznehmer von PKP) zur Verfügung
gestellt wurde. Diese Versionen sind ebenfalls (in den USA) frei
verfügbar,
eine entsprechende Lizenz zur Verwendung der RSAREF-Library liegt dem
Source-Code dieser Versionen bei.
An der Sache sind zwei Haken:
- Um an eine dieser Versionen zu gelangen, muss man unter bestimmten
Voraussetzungen der RSAREF-Lizenz zustimmen. Das bedeutet aber, daß
man diese Programme aus den USA holen muß, womit man allerdings
gegen ITAR verstößt. Um eventuellen juristischen Problemen
vorzubeugen hat RSADSI also die Lizenz entsprechend eingeschränkt.
Das bedeutet, das eine Benutzung dieser Versionen außerhalb der
USA das Urheberrecht von RSADSI an der Library verletzt, d.h. diese
Versionen sind auch außerhalb der USA
illegal.
- Um die Verwendung der (in den USA) illegalen Versionen bis 2.3a
einzuschränken, ist Version 2.6 nicht mehr voll kompatibel zu
diesen Versionen. Genauer gesagt, ab dem ersten September werden mit
Version 2.6 verschlüsselte Dateien nicht mehr mit älteren
Versionen zu entschlüsseln sein.
Um diesen Mankos abzuhelfen wurde in England die Version 2.6ui (ui
steht für unofficial international release) auf der Basis von
Version 2.3a entwickelt. Diese ist wieder voll kompatibel mit Version
2.6, und frei von urheberrechtlichen Problemen.
Um die Verwirrung komplett zu machen, 'versteht' Version 2.6
bestimmte Signatures nicht mehr. Signatures, die mit einer Version bis
2.2 (inclusive) gemacht wurden, entsprechen einem bestimmten
Quasi-Standard nicht und werden daher nicht erkannt.
Inzwischen gibt es vom MIT die Versionen 2.6.1 und 2.6.2, die im
wesentlichen 2.6 entsprechen und einige kleinere Bugfixes enthalten.
Um diese Bugfixes in eine internationale Version zu übernehmen, hat
Stale Schumacher <staalesc@ifi.uio.no> Version 2.6.i
veröffentlicht, die auf 2.6.1 basiert und die Möglichkeit bietet,
statt der RSAREF-Library den RSA-Code von PGP 2.3a zu verwenden.
Dadurch fällt 2.6.i nicht unter das RSAREF-Copyright.
Die Firma Viacrypt vertreibt in den USA nun die auf 2.6 basierende Version 2.7.
Verfügbare Versionen:
PGP main page
Meine Homepage
UNIX-AG Homepage
Impressum