Der folgende Abschnitt ist eine Übersetzung des von Philip Zimmermann geschriebenen englischen Handbuches und bezieht sich daher im Wesentlichen auf die rechtliche Lage in den USA. Eine deutschsprachige Ergänzung, die rechtliche Fragen für die BRD, die Schweiz oder Österreich behandelt, wäre zwar sinnvoll, ist aber zur Zeit nicht in Sicht.
"Pretty Good Privacy", "Phil's Pretty Good Software", und "Pretty Good" als Warenzeichen für Computerhard- und Software sind Warenzeichen von Philip Zimmermann und von Phil's Pretty Good Software. PGP ist (c) copyright by Philip R. Zimmermann 1990-1993. Philip Zimmermann hat auch das Copyright für das PGP-Handbuch und für Übersetzungen von Handbuch und Software in andere Sprachen.
MS-DOS und MS Windows sind eingetragene Warenzeichen der Firma Microsoft. Amiga ist eingetragenes Warenzeichen der Firma Commodore Business Machines Inc.
Das MIT kann ein Copyright auf die spezielle Zusammenstellung auf ihrer ftp-Site beanspruchen. Dieses "compilation copyright" beinhaltet keine Rechte am Pogramm, der Dokumentation oder sonstigen begleitenden Dateien.
Der Autor übernimmt keine Haftung für Schäden, die aus der Nutzung der Software entstehen, auch dann nicht, wenn die Schäden aus Fehlern der Software resultieren. Der Autor macht keine Angaben über die Verkaufbarkeit der Software oder ihre Brauchbarkeit für bestimmte Anwendungen. Die Software wird nur in der bestehenden Form zur Verfügung gestellt, ohne jede explizite oder implizite Garantie.
Das Verschlüsselungsverfahren RSA wurde am MIT entwickelt. Dem MIT wurde ein Patent auf RSA erteilt (U.S. patent #4,405,829, erteilt am 20. September 1983). Eine kalifornische Firma namens Public Key Partners (PKP) besitzt die alleinigen Rechte an diesem Patent für den Verkauf und die Lizensierung des RSA-Verschlüsselungsverfahrens.
Für Anwender außerhalb der USA sei angemerkt, daß das US-Patent auf RSA nur innerhalb der USA(*) gilt und daß es kein RSA-Patent in anderen Ländern gibt. US-Bundesbehörden können RSA nutzen, weil die Entwicklung von RSA staatlich durch Zuschüsse der National Science Foundation und der US-Navy finanziert wurde. Die Verwendung von PGP durch Stellen der US-Regierung unterliegt jedoch Einschränkungen, die sich aus meiner Einigung mit ViaCrypt ergeben. Hierzu später mehr.
PKP erhielt nicht nur die ausschließlichen Patentrechte für RSA, sondern auch die ausschließlichen Rechte für drei andere Patente für asymmetrische Verschlüsselungsverfahren, die an der Stanford University mit Bundeszuschüssen entwickelt wurden. Im Prinzip entscheidet damit in den USA eine einzige Firma über die Verwendung von public key Verschlüsselungssystemen. PKP beansprucht sogar das Patentrecht an dem grundlegenden Konzept der Kryptographie mit öffentlichen Schlüsseln, unabhängig davon, wie intelligent auch immer ein neuer Algorithmus sein wird, der unabhängig von PKP entwickelt werden könnte. Ich halte ein derart umfassendes Monopol für gefährlich, weil ich der Meinung bin, daß Kryptographie mit öffentlichen Schlüsseln einen zentralen Beitrag zum Schutz der Bürgerrechte und der Privatsphäre in unserer immer mehr verkabelten Gesellschaft leisten kann. Zumindest setzt das Monopol von PKP diese lebenswichtige Technologie dem Risiko der Einflußnahme durch die Regierung aus.
Seit der Version 2.5 (vertrieben vom MIT, dem Inhaber des originalen Patentes auf RSA) verwendet die Freeware-Version von PGP die RSAREF-Routinen, die innerhalb der USA für nichtkommerzielle Anwendungen benutzt werden dürfen.
Die PGP Version 2.0 entstand aus der gemeinsamen Arbeit eines internationalen Programmierteams, das unter meiner Leitung Verbesserungen gegenüber der ersten Version implementierte. Diese Version wurde von Branko Lancaster in Holland und von Peter Gutmann in Neuseeland veröffentlicht, außerhalb der Reichweite des Patentgesetzes der USA. Obwohl es nur in Europa und Neuseeland veröffentlicht wurde, verbreitete sich PGP spontan in die USA, ohne daß ich oder das Entwicklungsteam etwas damit zu tun gehabt hätten.
Das bei PGP ebenfalls verwendete blockorientierte Verschlüsselungsverfahren IDEA unterliegt in Europa einem Patent, das der ETH Zürich und einer Schweizer Firma namens Ascom Tech AG gehört. Die Patentnummer ist PCT/CH91/00117. Die US-Patentnummer ist US005214703, die europäische Patentnummer lautet EP 0 482 154 B1. Für die nicht-kommerzielle Verwendung von IDEA werden keine Lizenzgebühren verlangt. Die Ascom-Tech AG hat eine Lizenz für die nicht-kommerzielle Nutzung von IDEA bei PGP erteilt. In den USA müssen staatliche und kommerzielle Anwenderinnen eine lizensierte PGP-Version von ViaCrypt beziehen, diese schließt eine Lizenz für IDEA mit ein.
Die Verwendung der IDEA-Routinen aus PGP in anderen, kommerziellen Produkten ist ohne eine Lizenz von Ascom Tech nicht erlaubt. Kommerzielle Anwender von IDEA können Details zur Lizensierung bei Dieter Profos, Ascom Tech AG, Solothurn Lab, Postfach 151, 4502 Solothurn, Switzerland, Tel +41-65-242885, Fax +41-65-235761, E-Mail: <profos@tech.ascom.ch> erfahren.
Die bei PGP verwendeten ZIP-Kompressionsroutinen stammen aus Freeware-Quellcode und werden mit Erlaubnis des Autors verwendet. Mir sind keine Patente bekannt, die für die Kompressionsalgorithmen erteilt worden wären, aber Sie können diese Frage gerne selbst genauer untersuchen. Ascom hat vor kurzem seine Politik bezüglich der kommerziellen Nutzung außerhalb der USA geändert, hierbei scheint noch einiges in Bewegung zu sein.(*)
PGP 2.6 ist in den USA unter den Bedingungen der RSAREF Lizenz vom Massachusetts Institute of Technology erhältlich. Ich stelle mich niemandem in den Weg, der die Freeware-Versionen von PGP frei verbeitet oder verwendet, ohne mir dafür etwas zu bezahlen, vorausgesetzt, dies dient privaten, nicht-kommerziellen Zwecken. Kommerzielle Anwender in den USA wenden sich bitte an ViaCrypt in Phoenix, Arizona, Telefon-Nummer V+1-602-944-0773. Alle Hinweise auf Copyright, Patente und geschützte Handelsnamen müssen bei der Verbreitung PGPs erhalten bleiben, die Dokumentation muß mitverbreitet werden.
Unabhängig von den komplizierten und teilweise überlappenden Beschränkungen und Bedingungen der verschiedenen Patent- und Urheberrechte (RSA, RSAREF und IDEA), die verschiedene Institutionen haben, gilt eine weitere Beschränkung auf die Benutzung von PGP, die sich aus meiner Einigung mit ViaCrypt ergibt: Die Freeware-Version darf nur privat und nichtkommerziell genutzt werden.(*)
PGP ist keine Shareware, es ist Freeware, veröffentlicht als gesellschaftliche Dienstleistung. Daß PGP kostenlos ist, ermutigt viele Menschen, PGP auch zu verwenden. Dies wird hoffentlich größere soziale Auswirkungen haben, woraus sich ein großer Bekanntheitsgrad und eine weite Verbreitung von RSA ergeben könnte.
Scheuen Sie sich nicht, das vollständige PGP-Paket soweit wie möglich zu verbreiten. Geben Sie es allen Ihren Freunden. Wenn Sie Zugang zu MailBoxen haben, stellen Sie PGP in möglichst allen MailBoxen öffentlich zur Verfügung. Auch den Quellcode können Sie beliebig verbreiten. Die ausführbare PGP-Version 2.6 für MS-DOS steht zusammen mit der Dokumentation, einigen öffentlichen Schlüsseln, darunter mein eigener, sowie Unterschriften unter das Programm in einer Datei namens PGP26[MIT].ZIP.(*) Die Quelldateien für MS-DOS sind in einer Datei namens pgp26src.zip enthalten.
Kostenlose Kopien und Updates von PGP finden Sie weltweit in tausenden von MailBoxen und anderen öffentlich zugänglichen Archiven, wie ftp-Servern im Internet. Der Ursprung von PGP ist das MIT, speziell der ftp-Server net-dist.mit.edu im Verzeichnis /pub/PGP. Mich selbst brauchen Sie nicht nach PGP zu fragen, insbesondere, wenn Sie außerhalb der USA und Kanadas wohnen.
Nach all der Arbeit an PGP möchte ich noch anmerken, daß ich gegen Fanpost nichts einzuwenden habe, allein schon, um seine Popularität abschätzen zu können. Teilen Sie mir mit, was Sie von PGP halten und wieviele Ihrer Freunde es verwenden. Hinweise auf Fehler und Verbesserungsvorschläge sind natürlich ebenfalls gerne gesehen. In künftigen PGP-Versionen werden Ihre Anregungen möglicherweise berücksichtigt werden.
Das PGP-Projekt wurde nicht finanziell gefördert und hat mir beinahe die Haare vom Kopf gefressen. Sie dürfen deshalb nicht mit einer Antwort auf Ihren Brief rechnen, es sei denn, Sie legen einen frankierten Rückumschlag bei. Lieber antworte ich auf E-Mail. Bitte schreiben Sie auf Englisch, weil meine Fremdsprachenkenntnisse begrenzt sind. Wenn Sie mich anrufen, und ich bin nicht da, probieren Sie am besten etwas später noch einmal. Rückrufe auf Ferngespräche mache ich in der Regel nicht, es sei denn, Sie akzeptieren ein R-Gespräch. Falls Sie mich für längere Zeit brauchen: Ich stehe als Berater auf entsprechender finanzieller Basis zu Verfügung und antworte auch auf derartige Anfragen.
Die ungelegenste Post, die ich bekomme, stammt von Menschen, die mir in der besten Absicht ein paar Dollar schicken mit der Bitte, ihnen PGP zuzusenden. Ich mache das nicht, um rechtlichen Problemen mit PKP aus dem Weg zu gehen. Noch schlechter ist es, wenn so eine Anfrage aus dem Ausland kommt. In dem Fall würde ich es riskieren, die US-amerikanischen Gesetze über den Export von Kryptographie zu verletzen. Aber auch wenn es keine rechtliche Auseinandersetzung um PGP gäbe: Normalerweise reicht das Geld in so einem Brief nicht aus, um den Zeitaufwand zu rechtfertigen, den ich mit dem Versand hätte. Ich bin nicht darauf eingerichtet, im Nebenberuf preiswertes Versandhaus zu spielen. Andererseits kann ich das Geld auch nicht einfach behalten, weil es als Honorar für eine Leistung gedacht ist. Um das Geld aber zurückzuschicken, muß ich mich in mein Auto setzen, zum Postamt fahren und Briefmarken kaufen. Normalerweise kommen diese Anfragen ohne frankierten Rückumschlag. Als nächstes muß ich mir die Zeit nehmen, eine freundliche Antwort zu schreiben, daß ich dem Wunsch der Absender nicht nachkommen kann. Wenn ich die Beantwortung zurückstelle und den Brief einfach auf meinen Schreibtisch lege, kann es passieren, das er innerhalb von Minuten unter Papierstapeln vergraben wird, und erst Monate später wieder ans Tageslicht kommt. Wenn Sie all diese kleinen Unbequemlichkeiten mit der Anzahl der Anfragen multiplizieren, wird Ihnen das Problem klar. Reicht es nicht, daß PGP nichts kostet? Wie schön wäre es, wenn diese Leute versuchen würden, PGP aus irgendeiner der unzähligen vorhandenen Quellen zu beziehen. Wenn Sie kein Modem haben, fragen Sie in Ihrem Bekanntenkreis. Wenn Sie keine Bezugsquelle finden, können Sie mich kurz anrufen.(*)
Es gibt so viele fremdsprachige Übersetzungen von PGP, daß die meisten Sprachkits nicht im Standardpaket von PGP enthalten sind, um Speicherplatz zu sparen. Einzelne Sprachkits können Sie aus einer großen Zahl unabhängiger Quellen beziehen. Häufig sind es die gleichen Quellen, bei denen Sie auch das eigentliche PGP-Paket finden. Diese Kits enthalten übersetzte Versionen von language.txt, pgp.hlp und vom Handbuch. Falls Sie daran denken, PGP in Ihre Muttersprache zu übersetzen, setzen Sie sich mit mir in Verbindung, damit Sie die neuesten Informationen und Standardisierungsrichtlinien bekommen, und um herauszufinden, ob es bereits eine Übersetzung in Ihre Sprache gibt. Wenn Sie ein Sprachkit für eine bestimmte Sprache suchen, probieren Sie es am besten in den entsprechenden Internetgruppen oder fragen sie Mike Johnson (<mpj@csn.org>).
Wenn Sie Usenet-Anschluß haben, beobachten Sie die Newsgroups sci.crypt und die PGP-spezielle Newsgroup alt.security.pgp, um Ankündigungen von neuen PGP-Versionen zu erhalten. Wenn sie PGP suchen, versuchen Sie es zunächst via ftp bei net-dist.mit.edu. Oder fragen Sie Mike Johnson (<mpj@csn.org>) nach einer Liste von ftp-Sites und BBS-Nummern.
Bitte beachten Sie bei obigen Ausführungen, daß es die US-Regierung als illegalen Export betrachtet, wenn Sie von außerhalb der USA PGP, andere Programme oder Daten, die den Exportbeschränkungen unterliegen von einem US-amerikanischen ftp-Server oder einer US-amerikanischen MailBox kopieren. Möglicherweise gefährden Sie damit sogar einen amerikanischen MailBoxbetreiber. Nach einer Meldung in alt.security.pgp wurde in den USA schon gegen einen MailBoxbetreiber ermittelt, der PGP öffentlich angeboten hat.
In Deutschland ist zu erwarten, daß neue Versionen von PGP nach kurzer Zeit, in der der Sourcecode auf offensichtliche Manipulationen geprüft wird, in der //BIONIC zu finden sein werden. Diese MailBox ist erreichbar unter der Nummer 0521-68000, Loginname PGP, kein Passwort. Wieder mal ein bißchen Werbung in eigener Sache... Weiterhin auch in der HIT, 0681-399426, Username SAUGER, im Brett /BINAER/SAUGER, letztere Adresse gilt allerdings nur für die MS-DOS-Version. Die Amiga-Version wird in sämtlichen Boxen, die das Aminet führen, weitergegeben werden, im FrAS in größeren Abständen wohl auch. Mit kurzer zeitlicher Verzögerung werden Sie neue PGP-Versionen auch auf ftp-Servern außerhalb der USA finden.
Bei künftigen Versionen von PGP kann sich unter Umständen das Datenformat von Nachrichten, Unterschriften, Schlüsseln oder Schlüsseldateien ändern, wenn dadurch wichtige neue Funktionen ermöglicht werden. Daraus können sich Probleme mit der Kompatibilität zur gegenwärtig aktuellen Version ergeben. Diese Versionen werden möglicherweise Konvertierungsprogramme für alte Schlüssel enthalten, aber Nachrichten, die mit alten PGP-Versionen erzeugt wurden, werden nicht unbedingt kompatibel zu den neuen Versionen von PGP sein.
Die US-Regierung hat schon häufig den Export guter kryptographischer Technologie verboten, und dieses Verbot kann auch PGP betreffen. Diese Art von Programmen wird wie Kriegswaffen behandelt. Die Rechtsgrundlage hierfür ist eine einfache Verordnung des State Departement, des Defense Departement und des Commerce Departement, kein richtiges Gesetz. Ich selbst werde diese Art Software nicht aus den USA oder Kanada exportieren, für den Fall, daß dies gemäß den Verordnungen des State Departement illegal ist, und ich übernehme keine Verantwortung für den möglichen Export durch andere.
Wenn Sie außerhalb der USA und Kanadas leben, rate ich Ihnen, gegen diese Verordnungen des State Departement nicht dadurch zu verstoßen, daß Sie sich PGP aus den USA besorgen. Tausende von US-Bürgern haben sich PGP nach seiner ersten Veröffentlichung besorgt, und irgendwie ist es dann aus den USA herausgekommen und hat sich dann wie Unkraut von selbst weiterverbreitet. Wenn PGP bereits den Weg in Ihr Land gefunden hat, dann werden Sie wahrscheinlich keine US-Exportgesetze verletzen, wenn Sie sich PGP aus einer Quelle außerhalb der USA besorgen.
Die Versionen 2.0 bis 2.3a von PGP entstanden außerhalb der USA und wurden dort veröffentlicht, auf öffentlich zugänglichen Computern in Europa. Jede dieser Veröffentlichungen hat ihren Weg in die USA gefunden. Es gibt einige Beschränkungen in den USA, die die Einfuhr von Kriegswaffen reglementieren, aber diese sind meines Wissens nie auf Software angewendet worden. Juristische Maßnahmen gegen einen solchen Import dürften eine spektakuläre Auseinandersetzung ergeben.
Die Versionen 2.4-2.6 entstanden in den USA und dürfen nicht von dort exportiert werden.(*) Die ftp-Site des MIT ergreift Schutzmaßnahmen gegen den Export dieser Software, wie sie auf anderen Rechnern bereits seit langem praktiziert werden. Bitte versuchen Sie nicht, diese Schutzmechanismen zu umgehen, um die zukünftige Entwicklung von PGP nicht zu gefährden.
"documentation: PGP is export restricted by the Office of Export Administration, United States Departement of Commerce and the Offices of Defense Trade Controls and Munitions Control, United States Departement of State. PGP cannot be exported or reexported, directly or indirectly, (a) without all export or reexport licenses and governmental approvals required by any applicable laws, or (b) in violation of any prohibition against the export or reexport of any part of PGP."
Aber! Falls Sie jemand darum bittet, unverschlüsselt zu senden, beachten Sie bitte diese Aufforderung unbedingt. In Kriegsgebieten kann das Empfangen einer verschlüsselten Nachricht für die Empfängerin bedeuten, als Spionin sofort und ohne gerichtliches Verfahren standrechtlich erschossen zu werden!
Im ZCONNECT-Datenaustauschverfahren der Zerberus GmbH ist deswegen ein eigener Header definiert worden, der auffordert, beim Antworten auf gar keinen Fall verschlüsselte Texte zu senden (was zum Beispiel von MailBox- oder Pointsoftware ausgewertet werden kann). Übrigens: Auch die Briefumschläge des Roten Kreuzes werden in Krisenregionen immer unverschlossen transportiert.
Zu dem Zeitpunkt, da ich dies schreibe, bin ich das Ziel eines Ermittlungsverfahrens der US-Zollbehörde in Nordkalifornien. Mein Verteidiger wurde vom stellvertretenden US-Staatsanwalt darüber informiert, daß die Untersuchung mit dem Export von Verschlüsselungssoftware zusammenhänge. Nach derzeit gültigem US-Recht drohen mir bei dieser Anklage 41 bis 51 Monate in einem Bundesgefängnis. Offensichtlich stellen sich die US-Behörden auf den Standpunkt, daß die Veröffentlichung von Software auf einem öffentlich zugänglichen Rechner mit dem Export dieser Software gleichzusetzen ist. Der Staatsanwalt hat eine Reihe von Vorladungen vor ein großes Geschworenengericht (Grand Jury) ausgestellt. Es kann noch Monate dauern, bis eine Entscheidung gefällt wurde, ob Anklage gegen mich erhoben wird. Da sich diese Situation von Tag zu Tag ändern kann, kann es sein, daß diese Information zu dem Zeitpunkt, da Sie dies lesen, bereits überholt ist. Sollte es zu einer Anklage gegen mich kommen, wird es sich um einen großen Prozeß von grundlegender Bedeutung handeln.
Um diesen Prozeß finanzieren zu können, habe ich ein Spendenkonto eingerichtet.(*)