Wir übernehmen keine Haftung für Schäden, die aus der Nutzung der Software entstehen, auch dann nicht, wenn die Schäden aus Fehlern des Handbuchs oder der Software resultieren. Wir machen keine rechtsverbindlichen Angaben über die Verkaufbarkeit der Software oder ihre Brauchbarkeit für bestimmte Anwendungen. Die Software wird nur in der bestehenden Form zur Verfügung gestellt, ohne jede explizite oder implizite Garantie.
Vervielfältigungen, Änderungen oder Übertragungen in andere Formen, auch auszugsweise, sind nur nach schriftlicher Erlaubnis der Autoren oder des Verlages gestattet. Dies gilt auch für evtl. zur Verfügung gestellte elektronische Versionen.
Für Anwender außerhalb der USA sei angemerkt, daß das US-Patent auf RSA nur innerhalb der USA gilt und daß es kein RSA-Patent in anderen Ländern gibt.
US-Bundesbehörden können RSA nutzen, weil die Entwicklung von RSA staatlich durch Zuschüsse der National Science Foundation und der US-Navy finanziert wurde. Die Verwendung von PGP durch Stellen der US-Regierung unterliegt jedoch Einschränkungen, die sich aus der Einigung Philip Zimmermanns mit ViaCrypt ergeben. Hierzu später mehr.
PKP erhielt nicht nur die ausschließlichen Patentrechte für RSA, sondern auch die ausschließlichen Rechte für drei andere Patente für asymmetrische Verschlüsselungsverfahren, die an der Stanford University mit Bundeszuschüssen entwickelt wurden. Im Prinzip entscheidet damit in den USA eine einzige Firma über die Verwendung von public key Verschlüsselungssystemen. PKP beansprucht sogar das Patentrecht an dem grundlegenden Konzept der Kryptographie mit öffentlichen Schlüsseln, unabhängig davon, wie intelligent auch immer ein neuer Algorithmus sein mag, der unabhängig von PKP entwickelt werden könnte.
Wir halten ein derart umfassendes Monopol für gefährlich, weil wir der Meinung sind, daß Kryptographie und insbesondere Kryptographie mit öffentlichen Schlüsseln einen zentralen Beitrag zum Schutz der Bürgerrechte und der Privatsphäre in unserer immer mehr verkabelten Gesellschaft leisten kann. Zumindest setzt das Monopol von PKP diese lebenswichtige Technologie dem Risiko der Einflußnahme durch Regierungen und mächtige Firmen aus. Das Patent auf Diffie-Hellman ist am 29. April 1997 ausgelaufen, damit sollte auch dem Argument, das grundlegende Konzept der asymmetrischen Verschlüsselung sei patentiert, jegliche Grundlage entzogen sein. ElGamal war niemals patentiert, die Firma PKP stand jedoch auf dem Standpunkt, ElGamal falle unter das Diffie-Hellman-Patent [Sch95]. Das RSA-Patent wird am 20. September 2000 auslaufen. Ein weiteres Patent, für einen Algorithmus namens "knapsack algorithm" auch "Merkle-Hellman" genannt, ist in den USA am 19. August 1997 ausgelaufen. Dieser Algorithmus ist 1983 geknackt worden, inzwischen auch sämtliche Variationen. Daher verwendet den Algorithmus ohnehin niemand mehr, folgerichtig sind auch die entsprechenden Patente auf Variationen in anderen Ländern uninteressant.
Seit der Version 2.5 (vertrieben vom MIT, dem Inhaber des originalen Patentes auf RSA) verwendet die Freeware-Version von PGP die RSAREF-Routinen, die innerhalb der USA für nicht-kommerzielle Anwendungen benutzt werden dürfen. Seit Version 5.0 wird ElGamal als asymmetrischer Verschlüsselungsalgorithmus und DSA/DSS (eine weitere Variante derselben Mathematik wie in Diffie-Hellman und ElGamal) als Algorithmus für die Unterschriften verwendet. Gerüchten zufolge beansprucht der deutsche Mathematiker Schnorr für sich, daß der DSA eine Patentrechtsverletzung seines Algorithmus darstellt. Die weltweiten Rechte am entsprechenden Patent liegen laut [Sch95] seit 1993 bei PKP, das US-Patent läuft am 19. Februar 2008 aus. Die weiteren Patente, gegen die der DSA nach Meinung der jeweiligen Rechte-Inhaber verstößt (Diffie-Hellman und Merkle-Hellman), sind, wie eben erwähnt, inzwischen ausgelaufen. Die NSA (genauer: David Kratz) hat ein US-Patent auf den DSA erhalten und das NIST (das "National Institute of Standards and Technology", die Behörde die den DSS wie auch ehemals den DES und in naher Zukunft den AES veröffentlicht und zum Standard erklärt hat) hat veröffentlicht, die Technologie sei weltweit frei einsetzbar. (Wozu sie dann ein Patent beantragt haben, ist mir unklar, aber ich bin auch kein Anwalt.)
Die PGP Version 2.0 entstand aus der gemeinsamen Arbeit eines internationalen Programmierteams, das unter Philip Zimmermanns Leitung Verbesserungen gegenüber der ersten Version implementierte. Diese Version wurde von Branko Lancaster in den Niederlanden und von Peter Gutmann in Neuseeland veröffentlicht, außerhalb der Reichweite des Patentgesetzes der USA. Obwohl es nur in Europa und Neuseeland veröffentlicht wurde, verbreitete sich PGP spontan in die USA, ohne daß das Entwicklungsteam etwas damit zu tun gehabt hätte.
Das blockorientierte Verschlüsselungsverfahren IDEA, das die meisten PGP-Varianten verwenden (können), unterliegt in Europa und den USA einem Patent, das der ETH Zürich und der Schweizer Firma Ascom Systec AG gehört. Die schweizerische Patentnummer ist PCT/CH91/00117. Die US-Patentnummer ist US005214703, die europäische Patentnummer lautet EP 0482154B1. Für die nicht-kommerzielle Verwendung von IDEA werden keine Lizenzgebühren verlangt. Staatliche und kommerzielle Anwenderinnen benötigen eine lizensierte PGP-Version von Network Associates, die Kosten schließen eine Lizenz für IDEA und RSA mit ein.
Die bei PGP verwendeten ZIP-Kompressionsroutinen stammen aus Freeware-Quellcode und werden mit Erlaubnis des Autors verwendet. Uns sind keine Patente bekannt, die für die Kompressionsalgorithmen erteilt worden wären, aber Sie können diese Frage gerne selbst genauer untersuchen.
PGP 2.6 ist in den USA unter den Bedingungen der RSAREF-Lizenz vom Massachusetts Institute of Technology erhältlich. Jeder darf die Freeware-Versionen von PGP frei verbreiten und verwenden, ohne dafür etwas zu bezahlen, vorausgesetzt, dies dient privaten, nicht-kommerziellen Zwecken. Kommerzielle Anwender wenden sich bitte an Network Associates, unter der URL http://www.pgp.com werden Sie direkt auf die entsprechenden Webseiten geleitet. Alle Hinweise auf Copyright, Patente und geschützte Handelsnamen müssen bei der Verbreitung PGPs erhalten bleiben, die Dokumentation (im US-englischen Original) muß mitverbreitet werden.
Philip Zimmermann mußte im Sommer 1993 ein Abkommen mit ViaCrypt schließen, das dieser Firma die exklusiven Rechte an einer kommerziellen Version von PGP gab, um Unternehmen einen rechtlich abgesicherten Weg zu bieten, PGP zu verwenden, ohne von PKP wegen Patentrechtsverletzungen belangt zu werden. Um PGP auf lange Sicht als Standard etablieren zu können, mußte das juristische Stigma, das mit der Verwendung von RSA verbunden war, beseitigt werden. ViaCrypt besaß bereits eine Lizenz von PKP, Produkte herzustellen, zu benutzen und zu vertreiben, die RSA verwenden. ViaCrypt bot sich als Weg aus der Illegalität an, in der PGP vorher operierte. Sie konnten eine kommerzielle Version von PGP verkaufen, wenn er ihnen die Lizenz dazu geben würde. Um PGP eine Zukunft im kommerziellen Sektor zu bieten, hat Philip Zimmermann diesen Weg eingeschlagen. Das war notwendig, um PGP das Überleben zu sichern.
Im Jahre 1996 schließlich wurde diese Zusammenarbeit beendet und Philip Zimmermann gründete gemeinsam mit Joanthan Seybold, Dan Lynch und anderen die Firma PGP Inc., von der alle PGP-Versionen ab 5.0 veröffentlicht wurden. Diese Firma ist Ende 1997 von der Firma Network Associates aufgekauft worden; dies führte zu einigem Aufruhr, da diese Firma als Mitglied in der "key recovery alliance" bekannt war, dem Zusammenschluß einiger US-amerikanischer Firmen, die sich als Ziel gesetzt haben, Verschlüsselungssysteme zu etablieren, bei denen staatliche Stellen und Vorgesetzte Zugriff auf die "geheimen" Schlüssel haben.
PGP ist keine Shareware. Es gibt Freeware-Versionen, veröffentlicht als gesellschaftliche Dienstleistung, und kommerzielle Versionen, ursprünglich aus patentrechtlichen Gründen ins Leben gerufen. Daß PGP (in den Freeware-Versionen) für den Privatgebrauch kostenlos verwendet werden kann und darf, ermutigt viele Menschen, PGP auch zu verwenden. Dies wird hoffentlich größere soziale Auswirkungen haben, woraus sich eine weite Verbreitung starker Verschlüsselung ergeben könnte, was seinerseits wiederum wünschenswerte soziale Auswirkungen hätte.
Scheuen Sie sich nicht, die Freeware-Versionen als vollständiges Paket soweit wie möglich zu verbreiten. Geben Sie es allen Ihren Freunden. Wenn Sie Zugang zu MailBoxen haben, stellen Sie PGP in möglichst allen MailBoxen öffentlich zur Verfügung. Auch den Quellcode können Sie beliebig verbreiten.
Unabhängig von den komplizierten und teilweise überlappenden Beschränkungen und Bedingungen der verschiedenen Patent- und Urheberrechte (mindestens RSA, RSAREF und IDEA), die verschiedene Institutionen haben, gilt eine weitere Beschränkung auf die Benutzung von PGP, die sich aus der oben genannten Einigung mit ViaCrypt und für die aktuellen Versionen aus den Lizenzbestimmungen der Firmen PGP Inc. und Network Associates, Inc. ergibt: Die Freeware-Versionen dürfen nur privat und nicht kommerziell genutzt werden.
PGP darf unter keinen Umständen ohne die Dokumentation verbreitet werden. Das schließt die US-englischsprachige Anleitung und bei den Versionen, die mit RSAREF arbeiten, die RSAREF-Lizenz mit ein.
Es gibt so viele fremdsprachige Übersetzungen von PGP, daß die meisten Sprachkits nicht im Standardpaket von PGP enthalten sind, um Speicherplatz zu sparen. Einzelne Sprachkits können Sie aus einer großen Zahl unabhängiger Quellen beziehen. Häufig sind es die gleichen Quellen, bei denen Sie auch das eigentliche PGP-Paket finden. Diese Kits enthalten übersetzte Versionen von language.txt, pgp.hlp und manchmal auch Teile des Handbuchs. Wenn Sie ein Sprachkit für eine bestimmte Sprache suchen, probieren Sie es am besten in den entsprechenden Internetgruppen oder auf www.pgpi.org.
Wenn Sie Usenet-Anschluß haben, beobachten Sie die Newsgroups sci.crypt und die PGP-speziellen Newsgroups alt.security.pgp und z-netz.alt.pgp.allgemein, um Ankündigungen neuer PGP-Versionen zu erhalten. Als weitere Informationsquelle ist natürlich www.pgpi.com und www.pgpi.org zu nennen.
Bitte beachten Sie bei obigen Ausführungen, daß es die US-Regierung als illegalen Export betrachtet, wenn Sie von außerhalb der USA PGP oder andere Programme oder Daten, die den Exportbeschränkungen unterliegen von einem US-amerikanischen ftp-Server oder einer US-amerikanischen MailBox kopieren. Möglicherweise gefährden Sie damit sogar einen US-amerikanischen Systembetreiber. Nach einer Meldung in alt.security.pgp wurde in den USA schon gegen einen MailBoxbetreiber ermittelt, der PGP öffentlich angeboten hat.
In Deutschland ist zu erwarten, daß neue Versionen von PGP nach kurzer Zeit, in der der Sourcecode auf offensichtliche Manipulationen geprüft wird, in diversen Systemen und auf diversen ftp-Servern, u.a. in der //BIONIC zu finden sein werden. Diese MailBox ist erreichbar unter der Nummer 0521-68000 (ISDN: 0521-9685869), Loginname PGP, kein Paßwort. Ebenso werden wir diese Versionen auch auf ftp://ftp.foebud.org/pub/pgp zur Verfügung stellen.
Bei künftigen Versionen von PGP kann sich unter Umständen das Datenformat von Nachrichten, Unterschriften, Schlüsseln oder Schlüsseldateien ändern, wenn dadurch wichtige neue Funktionen ermöglicht werden. Daraus können sich Probleme mit der Kompatibilität zur gegenwärtig aktuellen Version ergeben. Diese Versionen werden möglicherweise Konvertierungsprogramme für alte Schlüssel enthalten, aber Nachrichten, die mit neuen PGP-Versionen verschlüsselt wurden, werden eventuell nicht kompatibel zu den alten Versionen von PGP sein.