Erklärung
PGP 7 wird von mir nicht in Form der PGP Anleitung unterstützt.
Gründe:
- die ADK-Funktion.
Selbst nach Auftreten des ADK-GAU's ist Network Associates und PGP.COM nicht bereit, eine vollständig ADK freie Version anzubieten, vielmehr wird ADK noch auf das propietäre v.4 Format der "neuen" RSA-Keys ausgeweitet.
Für weitere Informationen siehe GAK, CMR, ARR, MRK, ADK und PGP 5/6 und Der ADK-GAU - mit PGP 7 wurden einige obskure Sicherheitsfunktionen integriert,
die ich missbillige:
- die Speicherung des Secret Keys über Key Sharing auf dem Key Reconstruction Server
- neben dem alten v.3 RSA-Keys (Legacy RSA) gibt es jetzt v.4 Format RSA-Keys mit ADK
- für PGP 7 ist der komplette Sourcecode nicht veröffentlicht.
Am 31.08.01 erfolgte die Veröffentlichung des Source Codes für das PGPsdk 2.1.1.
Aus dem Readme:This source release contains the source code used by PGP 7.1 and above. These are the same libraries used by the released products, and may be swapped out for modules in those products. These libraries may be used for peer review, or for writing plugins based on the 7.1+ products. An official, and fully documented release of the PGPsdk is available now for those developing commercial use products based on this SDK.
Aus der Lizenz:2. Restrictions. Except as otherwise provided herein, you may not, without prior written permission from NAI:
(...)
(vi) Provide, or otherwise disclose information regarding any discovered bugs, errors, architecture issues or problems with the Source Code or Compiled Code to any party other than Network Associates, or disclose the results of any benchmark test any third parties without Network Associates prior written consent. - die integrierte Firewall ist unzureichend und zusammen mit dem IDS fest mit PGPnet verknüpft
- einige kleinere Bugs, welche die Funktionalität stören
- die geplante Auflösung der PGP Abteilung bei NAI und der geplante Verkauf von PGP durch NAI
- Favorisierung von GnuPG, für das eine Windowsversion namens GPA in der Vorbereitung ist, bzw. zwei Windowsshells verfügbar sind.
Kai Raven, 14.10.2000
PGP 8 wird von mir nicht in Form der PGP Anleitung unterstützt.
Gründe:
- mit PGP 8 hat PGP.com die Tradition wieder aufgenommen, den vollen Sourcecode statt des SDK Sourcecodes zu veröffentlichen.
Bestandteil der Lizenzbestimmungen sind folgende Abschnitte:"What You Cannot Do. Under this license you do not have the right to, and you may not:
(...)
use executable code versions of PGP software programs created by compiling these source code files for any purpose or reason other than verifying that there are no unknown vulnerabilities
(...)
Reporting Bugs and the Like
(...)
You agree that you will not post any information about any bug, problem, deficiency, or weakness in the PGP software on any web site or electronic bulletin board, or otherwise disclose or provide any such information to anyone else, unless you have first reported it to PGP and until at least 30 days after PGP sends its email acknowledgement to you.(...)
PGP cannot promise that it will respond to, analyze, attempt to correct, or correct each and every bug or security weakness that is reported to PGP
(...)D. h. selbst kompilierte Versionen dürfen nicht zur Verschlüsselung von Daten oder E-Mails an andere Personen eingesetzt werden.
Bugs oder Sicherheitslöcher dürfen erst 30 Tage nach der Entdeckung und der E-Mail Erlaubnis durch PGP.com veröffentlicht werden.
PGP.com garantiert keine Analyse oder Korrektur von Bugs oder Sicherheitslöchern. - die Freeware Version kommt ohne Plug-Ins für E-Mail Clients, die Plug-Ins müssen gesondert von PGP.com gekauft werden.
PGP.com behindert damit die Verbreitung und Nutzung von PGP und bricht mit der Tradition, dass Freewareversionen mit den gängigen und unterstützten E-Mail Clients per Plug-In zusammenarbeitet. - sonstige Merkmale und Gründe wie bei PGP 7 (s. o.) Kai Raven, 05.12.2002
Alternativ zu GnuPG kann auch die CKT PGP Version 6.5.8 Build 09 eingesetzt werden.
- Für die Vorgängerversion PGP CKT Build 08 ist der Sourcecode verfügbar
- Implementation der gleichen Algorithmen wie bei GnuPG und PGP 7.X, kompatibel zu GnuPG und NAI PGP
- Präferenzen für symmetrische A. voll konfigurierbar
- Unterstützung des v.4 RSA-Keyformats
- gegen bekannte Sicherheitsbugs gefixt
Ich bitte von weiteren Nachfragen zu den Gründen per E-Mail abzusehen und sich über das Internet und die Anleitung selbst ein Bild zu machen.