home *** CD-ROM | disk | FTP | other *** search
/ Hacker Chronicles 2 / HACKER2.BIN / 1085.PGPSTORY.TXT < prev    next >
Text File  |  1993-10-07  |  31KB  |  576 lines

  1.                  A Cure for the Common Code
  2.                        Eric Dexheimer
  3.                        October 5, 1993
  4.  (Published in Westword vol. 17 no. 5, a free paper distributed in Denver)
  5.                               
  6.      Late last month, much to the satisfaction of sheriff's
  7. deputies in Sacramento County, California, William Steen
  8. began serving 68 months in prison for trafficking in child
  9. pornography over computers and then attempting to hire a man
  10. to kill one of the teenagers who testified against him.
  11. Detectives who worked on the case say the sentence
  12. represents an almost entirely gratifying end to the two-year-
  13. old effort to track down and convict Steen.
  14.      The prosecution was not quite perfect, though. Police
  15. were unable to nail any of Steen's network of child porn
  16. associates, which officials suspect was extensive. Neither
  17. were Sacramento County law enforcement officers- nor outside
  18. computer experts, for that matter- able to read Steen's
  19. computer diary, which police think may contain the names of
  20. his other teenage victims.
  21.      The reason is that Steen, of Santa Clara, California,
  22. had installed a powerful code on his computer to
  23. electronically scramble what he had written. Although
  24. experts were quickly able to determine the name of the
  25. encoding program- called Pretty Good Privacy, or PGP-
  26. efforts to break it failed miserably. "The task was given to
  27. us to decrypt this stuff," recalls William Sternow, a
  28. California computer-crime expert called in on the case. "And
  29. to this day we have not been able to do it."
  30.      Sternow and the other experts- including the Los
  31. Angeles Police Department, which tried to dismantle PGP as
  32. well- probably shouldn't hold their breaths waiting for a
  33. breakthrough. It is unlikely that they will crack Steen's
  34. diaries anytime soon, probably not in their lifetimes.
  35.      Forget your cereal-box secret rings. Pretty Good
  36. Privacy, a computer program designed by a short, slightly
  37. round Boulder programmer named Philip Zimmermann, is, as far
  38. as current technology is concerned, about as accessible as
  39. Fort Knox.
  40.      While PGP has frustrated the California cops, it has
  41. done wonders for its inventor's reputation among a thriving
  42. underground network of electronic cowboys. In the two years
  43. since he published Pretty Good Privacy, the program has
  44. propelled Zimmermann from a struggling Colorado software
  45. author missing mortgage payments to something of a folk hero
  46. among hackers, both in the U.S. and across the world, where
  47. the program has been translated into nearly a dozen
  48. languages. "I can go anywhere in Europe," boasts Zimmermann,
  49. "and not have to buy lunch."
  50.      Not everyone wants to feed Phil Zimmermann. Count among
  51. his enemies the U.S. Customs Service, which is investigating
  52. him for violating export laws. Add RSA Data Security, a
  53. Redwood City, California, company that says it is
  54. considering taking him to court for swiping its encoding
  55. technology. And, of course, top off the list with any number
  56. of frustrated law enforcement agencies, from the supersecret
  57. National Security Agency (NSA) all the way down to the
  58. Sacramento sheriff's department.
  59.      "Phil Zimmermann? He's a dirtbag," spits out Brian
  60. Kennedy, the detective who headed up the Steen
  61. investigation. "He's an irresponsible person who takes
  62. credit for his invention without taking responsibility for
  63. its effect. He's protected people who are preying on
  64. children. I hope that someday he'll get what he deserves."
  65.  
  66.                           -*-*-*-*-
  67.                               
  68.      What Phil Zimmermann deserves more than anything this
  69. gray morning is a few more hours of sleep. "I was up until
  70. four this morning working on the computer," he grumbles with
  71. not-very-well-disguised irritation. "Give me 45 minutes to
  72. become human."
  73.      One hour later, this is what Phil Zimmermann looks
  74. like, human: a short guy, a little paunchy. He wears large
  75. aviator glasses, a heavy beard and an easy elfin grin. Today
  76. he is also wearing beige pants, a green shirt and blue
  77. Etonic sneakers. Although separately none of the parts looks
  78. askew, for some reason the package still looks rumpled.
  79.      His living room feels small and is crammed with books,
  80. a respectable percentage of which are bona fide, Noam
  81. Chomsky-certified leftist tracts. The back room of the north
  82. Boulder house serves as Zimmermann's computer lab. Three
  83. machines are on-line. Outside light is denied entrance by
  84. shaded windows. Books and magazines- The Journal of
  85. Cryptology- carpet the floor in no discernible order.
  86.      In the southwest corner of the room lies a small
  87. mattress, where for the past several days a Toronto college
  88. student has slept. The student, whose name is Colin Plumb,
  89. learned about the Boulder programmer about a year ago after
  90. plucking PGP off a computer network. He composed a letter to
  91. Zimmermann expressing admiration for the encrypting
  92. software, one of the thousands of pieces of fan mail that
  93. have poured into Zimmermann's mailbox and computer since
  94. June 1991, when PGP was first published.
  95.      Now Plumb is here for two weeks as a volunteer
  96. assistant, helping Zimmermann update Pretty Good Privacy. He
  97. is not the first admirer to make the hajj to Boulder. "I get
  98. people here all the time," says Zimmermann. "A month ago I
  99. got a visit from a guy from Brazil. He used PGP back in Rio
  100. de Janeiro, and he was touring the country and wanted to
  101. meet the guy who invented it."
  102.      Zimmermann continues: "I get mail from people in the
  103. Eastern Bloc saying how much they appreciate PGP- you know,
  104. 'Thanks for doing it.' When I'm talking to Americans about
  105. this, a lot of them don't understand why I'd be so paranoid
  106. about the government. But people in police states, you don't
  107. have to explain it to them. They already get it. And they
  108. don't understand why we don't."
  109.      What we don't understand, at least according to an
  110. explanation of Pretty Good Privacy that accompanies the
  111. software, is this: "You may be planning a political
  112. campaign, discussing your taxes, or having an illicit
  113. affair. Or you may be doing something that you feel
  114. shouldn't be illegal, but is. Whatever it is, you don't want
  115. your private electronic mail or confidential documents read
  116. by anyone else. There's nothing wrong with asserting your
  117. privacy. Privacy is as apple-pie as the Constitution."
  118.      Simple stuff. But Zimmermann and PGP have done more
  119. than provide an electronic cloak for the steamy computer
  120. messages of a few straying husbands. In fact, the
  121. publication of Pretty Good Privacy has probably done more
  122. than any other single event to shove the arcane- and, until
  123. recently, almost exclusively government-controlled- science
  124. and art of cryptology into the public consciousness.
  125.      Much of that is inevitable. The explosion of electronic
  126. mail and other computer messaging systems begs a megabyte of
  127. privacy questions. While a 1986 federal law prevents people
  128. from snooping into computer mail without legal
  129. authorization, the fact remains that electronic
  130. eavesdropping is relatively simple to do.
  131.      To an experienced hacker, unprotected computer
  132. communications are like so many postcards, free for the
  133. reading. Encryption systems simply put those postcards
  134. inside secure electronic envelopes. This may sound
  135. innocuous. But it is highly distressing to those branches of
  136. the government that say they occasionally need to listen in
  137. to what citizens are saying.
  138.      In recent public debates in Congress and in private
  139. meetings, representatives of the FBI and the NSA have argued
  140. vigorously that they need high-tech tools to provide for the
  141. public and national security. They contend that this
  142. includes the capability to read any and all encoded messages
  143. that whip across the ether. To these computocops, widely
  144. available encryption in general- and specifically, PGP- is
  145. dangerous.
  146.      "PGP," warns Dorothy Denning, a Georgetown University
  147. professor who has worked closely with the National Security
  148. Agency, "could potentially become a widespread problem."
  149.      To those who increasingly rely on the swelling network
  150. of computer superhighways to send, receive, and store
  151. everything from business memos to medical records to
  152. political mailing lists, however, the idea of a CIA spook or
  153. sheriff's department flunky listening in to their
  154. conversations and peeking at their mail is chilling. They
  155. fear that without basic privacy protection, the promise of
  156. the Information Age also carries with it the unprecedented
  157. threat of an electronic Big Brother more powerful than
  158. anything ever imagined by George Orwell.
  159.  
  160.                           -*-*-*-*-
  161.                               
  162.      When Phil Zimmermann moved to Boulder from Florida in
  163. 1978, he had every intention of earning a master's degree in
  164. computer science. Instead he went to work for a local
  165. software company. And he began fighting the good fight
  166. against big bombs.
  167.      "In the early 1980s it looked like things were going to
  168. go badly," he recalls. "There was talk of the Evil Empire.
  169. Reagan was going berserk with the military budget. Things
  170. looked pretty hopeless. So my wife and I began preparing to
  171. move to New Zealand. By 1982 we had our passports and
  172. traveling papers. That year, though, the national nuclear
  173. freeze campaign had their conference in Denver. We attended,
  174. and by the time the conference was over we'd decided to stay
  175. and fight."
  176.      He attended meetings. He gave speeches. He marched on
  177. nuclear test sites in Nevada. ("I've been in jail with Carl
  178. Sagan and Daniel Ellsberg," he says. "Daniel Ellsberg
  179. twice.") He taught a course out of the Boulder Teacher's
  180. Catalogue called "Get Smart on the Arms Race." ("The class
  181. is not anti-U.S.; it is anti-war," a course summary in the
  182. 1986 catalogue explains.)
  183.      In the snatches of free time between nuke battles,
  184. Zimmermann continued feeding a lifelong fascination with
  185. secret codes. "I've always been interested in cryptology,
  186. ever since I was a kid," he says. "I read Codes and Secret
  187. Writings by Herbert Zimm, which showed you how to make
  188. invisible ink out of lemon juice. It was pretty cool.
  189.      "When I got to college I discovered that you could use
  190. computers to encode things. I started writing codes, and I
  191. thought they were so cool and impossible to break. I now
  192. know that they were trivial and extremely easy to break."
  193.      For Zimmermann, who is 39 years old, writing and
  194. breaking codes had always been just a hobby, albeit an
  195. increasingly intensive one. Up until 1976, that is, when his
  196. hobby became an obsession that would absorb the next fifteen
  197. years of his life. That's because, like everyone else who
  198. had been dabbling in encryption at the time, Phil Zimmermann
  199. was swept away by the revolutionary concept of public-key
  200. cryptography and the RSA algorithms.
  201.  
  202.                          -*-*-*-*-*-
  203.  
  204.      Secret codes have been used for thousands of years, but
  205. they have always operated on the same principle: The words
  206. or letters of the message to be encoded- called the
  207. "plaintext"- are replaced by other words, letters, numbers,
  208. and symbols. These are then shuffled, rendering the
  209. communication incomprehensible.
  210.      As spies and other secretive sorts began to use
  211. computers, the basic idea remained the same. But the
  212. substitution and shuffling became increasingly complex.
  213. (Just how complex is difficult to grasp. This summer a panel
  214. of experts met to evaluate NSA's most recent encryption
  215. system. They concluded that it would take a Cray
  216. supercomputer 400 billion years of continuous operation to
  217. exhaust all the possible substitutions.)
  218.      Yet even with the most scrambled substitutions,
  219. encryption always suffered from a glaring weakness: A code
  220. is only as secure as the channel over which it travels. What
  221. this has meant practically is that messages- whether flown
  222. by pigeon or broadcast over a shortwave- could always be
  223. intercepted by the enemy.
  224.      This was particularly dangerous when it came time to
  225. share the code's "key." Traditionally, codes were always
  226. encrypted by a key that would garble, say, plain English
  227. into unreadable gobbledygook. The encoded message would then
  228. be sent to the recipient, who would use the same key to
  229. translate the message back into English.
  230.      The problem with this, of course, is: How do you get
  231. the key from one place to another without danger of its
  232. being intercepted? After all, once a key is swiped by the
  233. bad guys, the entire code is rendered useless. Worse yet,
  234. what if you had no idea the key had been stolen, and your
  235. enemies continued to freely read messages you thought were
  236. protected?  This is especially troublesome when you're
  237. trying to maintain a large network of secret sharers.
  238.      Surprisingly, this ancient glitch was not cleared up
  239. until the spring of 1975. That's when a Stanford computer
  240. junkie named Whitfield Diffie created a crypto-revolution
  241. called public-key cryptology, a system simple in theory- but
  242. complicated in practice- that effectively solved the problem
  243. of key sharing.
  244.      What Diffie did was imagine a system with two
  245. mathematically related keys, one public and one private. The
  246. public key could be as public as a published address. The
  247. private key would not be shared by anyone. The connection
  248. was that a message encoded with one key could be decoded
  249. with the other.
  250.      To understand how this works, imagine the keys as
  251. public and private telephone numbers. The sender garbles a
  252. message with the receiver's public key, obtained from the
  253. computer equivalent of a phone book. Once sent, the only way
  254. the message can be decoded is with the receiver's
  255. mathematically related private key.
  256.      Since each receiver has his own private key, no one has
  257. to share keys, and there is no danger of having the solution
  258. to the code intercepted. Equally important, each encoded
  259. message could bear the unique signature of its sender. (The
  260. sender encodes the message with his private key. The
  261. receiver affirms the message's authenticity by using the
  262. sender's mathematically related public key to unscramble the
  263. communication.) This eliminates the potential for some
  264. meddling third party to send a false message.
  265.      Diffie's idea of two keys instead of one ignited a bomb
  266. among the burgeoning community of computer hackers and
  267. academic math types, who immediately began toying with
  268. public-key encryption. Not surprisingly, it didn't take long
  269. for the theory to be applied to real-life codemaking.
  270.      In 1977 three MIT scientists named Ronald Rivest, Adi
  271. Shamir and Leonard Adelman constructed a series of
  272. algorithms, or mathematical instructions, that put Diffie's
  273. idea into practice. The three men named their public-key
  274. encryption system RSA, after their initials. They patented
  275. the algorithms and formed a company, RSA Data Security.
  276.      Today the company practically enjoys a monopoly on
  277. public-key encryption. It puts out an eye-catching
  278. advertising pamphlet ("RSA. Because some things are better
  279. left unread.") and sells millions of dollars' worth of
  280. encoding software packages (one example: BSAFE 2.0)
  281.      RSA's president is D. James Bidzos. He is not lining up
  282. to buy lunch for Phil Zimmermann. In fact, he claims that
  283. Zimmermann is little more than a poseur whose only real
  284. contribution to cryptology was to swipe RSA's technology.
  285.      "Phil seems very eager to let people believe what he
  286. wants them to believe," complains Bidzos. "He likes to
  287. perpetuate the idea of his being a folk hero."
  288.  
  289.                          -*-*-*-*-*-
  290.  
  291.      Phil Zimmermann says that while he became fascinated
  292. with public-key encryption in the mid-1970s, he didn't begin
  293. seriously contemplating designing a useful application until
  294. 1984, when he was researching an article about the subject
  295. for a technical magazine. In 1986 he began fiddling with the
  296. RSA algorithms- what he describes as "RSA in a petri dish."
  297. He says he enjoyed some mathematical successes, but that his
  298. work was still a far cry from any program that could be used
  299. to encode information.
  300.      After dabbling in crypto-math and computers for four
  301. years, Zimmermann decided at the end of 1990 to construct a
  302. workable encoding package. In December, he says, he began
  303. working twelve-hour days exclusively on what was to become
  304. Pretty Good Privacy. The work took its toll- he neglected
  305. his software consulting business and missed five payments on
  306. his house- but by the middle of 1991, the program was ready
  307. to go.
  308.      In June Pretty Good Privacy was released over Internet
  309. as software free for the taking. It was faster and simpler
  310. to use than other public-key encryption programs on the
  311. market, and the price was right. The feedback was almost
  312. instantaneous. Thousands of people quickly downloaded PGP
  313. and began using it to encrypt their own messages.
  314.      Although PGP didn't contribute a lot to the theory of
  315. encryption, it did make cryptology usable and available to
  316. the average computer jock, says David Banisar, an analyst
  317. for the nonprofit Computer Professionals for Social
  318. Responsibility in Washington, D.C. "Phil didn't invent the
  319. engine," he says, "but he did fit it inside the Ford."
  320.      Indeed, the father of public-key cryptology himself
  321. says Zimmermann's proletarian privacy program is the closest
  322. thing yet to what he had in mind when he invented public-key
  323. encryption nearly two decades ago- a nongovernment encoding
  324. system that would give the average computer user the means
  325. to communicate without fear.
  326.      "PGP has done a good deal for the practice of
  327. cryptology," says Whitfield Diffie, who now works for Sun
  328. Microsystems near San Francisco. "It's close to my heart
  329. because it's close to my original objectives."
  330.      In perhaps the greatest testimony to Zimmermann's
  331. program, even those who condemn the programmer for
  332. irresponsibly releasing PGP continue to use his software.
  333. "It's a great program," concedes Sacramento computer expert
  334. Sternow. "We recommend it in our training to cops that they
  335. use it to encrypt their stuff." Sternow estimates that more
  336. than 500 law enforcement officers currently use PGP.
  337.      PGP also spurred a loose-knit California-based group of
  338. computer users with a passion for cryptology to form a new
  339. organization to carry the torch. The group, whose members
  340. call themselves the Cypherpunks, espouses an unabashed
  341. libertarian philosophy when it comes to electronic privacy-
  342. specifically, that privacy is far too crucial a civil right
  343. to be left to the governments of the world, and that the
  344. best way to head off government control of cryptology is to
  345. spread the capability to shroud messages to everyone.
  346.      "Phil showed that an ordinary guy just reading the
  347. papers that already existed could put together an encryption
  348. system that the National Security Agency couldn't break,"
  349. says John Gilmore, one of three founders of the Silicon
  350. Valley-based Cypherpunks. "It took a certain amount of
  351. bravery to put this out, because at the time the government
  352. was talking about restrictions on cryptography."
  353.      James Bidzos failed to see Zimmermann's courage,
  354. however. In fact, all he saw was theft. After concluding
  355. that Pretty Good Privacy was based on RSA's patented
  356. algorithms, he placed a call to Boulder. "Basically," he
  357. recalls, "we said, 'What the fuck?'"
  358.      Bidzos also contends that Zimmermann hardly wrote the
  359. program out of altruism, even though Pretty Good Privacy is
  360. technically free. "The documentation he distributes with PGP
  361. is misleading," he says. "It gives the impression that
  362. Zimmermann is a hero hell-bent on saving you from the evil
  363. government and an evil corporation. Gee, strike a blow for
  364. freedom."
  365.      Yet, Bidzos continues, "he did this with every
  366. intention of making money. It was clearly to make money, no
  367. doubt about it. He told me just before he released it, 'Hey,
  368. I've been working on it for six years, I've put my whole
  369. life into it, I'm behind on my mortgage payments and I need
  370. to get something out of it.'"
  371.      Bidzos says he approached Zimmermann again several
  372. months later after PGP was published and it was clear the
  373. free privacy program was not going to go away anytime soon.
  374. "We told him that if he stopped distributing PGP, we
  375. wouldn't sue, and he signed an agreement," Bidzos recalls.
  376. "He was very quick to sign it. But he's been violating the
  377. agreement ever since he signed it."
  378.      Zimmermann replies that at one time he did entertain
  379. the idea of making some money off PGP. But he insists he
  380. gave that up before the software package was published.
  381.      "I decided to give PGP away in the interest of changing
  382. society, which it is now doing," he says. "The whole reason
  383. I got involved was politics. I did not miss mortgage
  384. payments in the hopes of getting rich. Just look at my
  385. bookshelf. I'm a politically committed person with a history
  386. of political activism."
  387.      Zimmermann adds he's uncertain whether he's violated
  388. any of RSA's patents, but he contends that if he did, the
  389. law doesn't make much sense to him. "I respect copyrights,"
  390. he says. "But what we're talking about here is a patent on a
  391. math formula. It's like Isaac Newton patenting Force = Mass
  392. * Acceleration. You'd have to pay a royalty every time you
  393. threw a baseball."
  394.      He also acknowledges that he signed a nondistribution
  395. agreement with RSA Data Security for Pretty Good Privacy.
  396. But he insists that he has abided by it- although admittedly
  397. only in the strictest legal sense. For example, while
  398. Zimmermann says he doesn't update or distribute PGP himself,
  399. he concedes that he freely gives direction to a worldwide
  400. "cadre of volunteers" who then implement the advice.
  401.      The legal problems stemming from Zimmermann's invention
  402. don't end with James Bidzos and RSA. In February two agents
  403. from the U.S. Customs Service flew to Boulder to meet with
  404. Zimmermann and his lawyer, Phil Dubois. According to Dubois,
  405. the two agents were investigating how PGP had found its way
  406. overseas, a violation of U.S. law forbidding the export of
  407. encryption systems.
  408.      Contacted at their San Jose office, the agents declined
  409. to comment on the investigation. Yet there is little doubt
  410. as to the agency's intent. On September 14, Leonard Mikus,
  411. the president of ViaCrypt, an Arizona company that recently
  412. signed a deal with Zimmermann to distribute a PGP-like
  413. encryption package, received a grand jury subpoena asking
  414. him to turn over to the U.S. Attorney's office any documents
  415. related to PGP and Phil Zimmermann.
  416.      Two days later the Austin, Texas, publisher of "Moby
  417. Crypt," a software encryption collection that includes PGP
  418. in it, received a similar subpoena. The subpoena demanded
  419. that the company, Austin Codeworks, turn over all documents
  420. related to the international distribution of "Moby Crypt,"
  421. as well as "any other commercial product related to PGP."
  422.      The San Jose-based assistant U.S. attorney who signed
  423. the subpoenas, William Keane, acknowledges only that since
  424. subpoenas have been issued, a federal grand jury
  425. investigation is in progress. Beyond that, he says, "I can't
  426. comment on the investigation."
  427.      Zimmermann acknowledges that with thousands of people
  428. copying and distributing PGP, it was inevitable the program
  429. would make its way to Europe and Asia. But he adds that he
  430. had nothing to do with exporting Pretty Good Privacy- and
  431. says he couldn't have prevented it if he tried. "When
  432. thousands and thousands of people have access to it, how
  433. could it not be exported?" he asks.
  434.      Adds Dubois: "The law just can't keep up with the
  435. technology. Somebody in Palo Alto learns something, and
  436. pretty soon somebody in Moscow is going to know about the
  437. same thing. There's nothing you can do about it."
  438.  
  439.                           -*-*-*-*-
  440.  
  441. Not that the U.S. government hasn't made a very serious
  442. effort to do something about the spread of unofficial
  443. encryption systems. Indeed, until very recently, governments
  444. have enjoyed what amounted to an exclusive franchise for the
  445. science of codes and codebreaking. Advances have been made
  446. in fits and starts, with much activity occurring during
  447. times of national tension and war. In the past forty years,
  448. Washington's attraction to encryption has been kept humming
  449. by the spy-fests of the Cold War.
  450.      Because the government has always controlled the medium
  451. of codes, it has controlled the message as well. In The
  452. Codebreakers, a 1967 book widely considered the definitive
  453. history of cryptology, David Kahn wrote that the U.S.
  454. government has not been shy about exercising censorship and
  455. grand-scale privacy invasions in the name of breaking enemy
  456. codes, perceived or real.
  457.      Fearful of encoded messages slipping to and from
  458. traitors, for instance, the U.S. government by the end of
  459. World War II had constructed a censorship office that
  460. employed nearly 15,000 people and occupied 90 buildings
  461. throughout the country. These censors opened a million
  462. pieces of overseas mail a day, listened in on telephone
  463. conversations and cast a suspicious eye on movies and
  464. magazine articles that flooded across their desks.
  465.      The code watchdogs were not content simply with
  466. intercepting and examining communications, though. Officials
  467. also found reason to ban some communications even before
  468. they could be written. Incomplete crossword puzzles were
  469. pulled from letters in case their answers contained some
  470. secret code. Chess games by mail were stopped for fear they
  471. concealed directions to spies. Knitting instructions, whose
  472. numbers might hide some security-threatening message, were
  473. intercepted.
  474.      The government's interest in controlling secret codes
  475. did not evaporate with the end of World War II, or even with
  476. the thawing of the Cold War. RSA Data Security's Bidzos says
  477. the inventors of the RSA algorithms were approached by the
  478. NSA in the mid-1970s and discouraged from publishing their
  479. discovery. And Washington still classifies encoding systems
  480. as munitions, right alongside tanks and missiles. As a
  481. result, the export of any encryption system is against the
  482. law, considered a breach of the national security.
  483.      Ad technology has surged forward, lawmakers have tried
  484. to maintain a grip on encryption through legislation. In
  485. 1991 a version of the U.S. Senate's Omnibus Crime Bill
  486. contained a provision would have effectively mandated that
  487. any private encoding system contain a "back door" that law
  488. enforcement agencies could enter if they suspected any
  489. misdeeds by the sender of receiver of a message. The clause
  490. was pulled after an uproar from computer users, data
  491. security companies and civil liberty organizations.
  492.      Despite the failure of the 1991 bill (as well as a 1992
  493. FBI-sponsored version that would have outlawed the use of
  494. tap-proof cryptology over digital phone systems), the
  495. government has not given up on its attempts to control
  496. encryption. Rather, it has simply shifted strategy.
  497.      Six months ago the Clinton administration announced
  498. plans to flood the market with the government's own public-
  499. key electronic voice-encoding system, called, alternately,
  500. "Clipper" or "Skipjack." The catch: An as-yet unnamed
  501. federal agency or agencies would hold the private keys in
  502. case any legally appropriate eavesdropping was necessary.
  503.      The administration has stopped short of saying it will
  504. outlaw private encoding devices and mandate use of the new
  505. Clipper system. "The standard would be voluntary," assures
  506. Jan Kosko, a spokeswoman for the National Institute of
  507. Standards and Technology in Maryland, which teamed up with
  508. the NSA to develop the system.
  509.      That said, officials acknowledge that the federal
  510. government will smile on those companies that choose Clipper
  511. over other, private encryption systems. If, for example, a
  512. private company is seeking to do business with a federal
  513. government agency requiring encoding, the company would be
  514. well advised to use Clipper if it wants to win contracts. "A
  515. manufacturer not using it," Kosko points out, "could not
  516. compete very well" for federal contracts.
  517.      On the same day the administration revealed its
  518. intention to implement Clipper, AT&T announced it would use
  519. the system in its new secure-telephone product line, thereby
  520. becoming the first company to agree to spread the
  521. government's encryption throughout the country.
  522.      And, while AT&T will continue to sell other, non-
  523. government-approved encoding devices for its phones, the new
  524. Clipper model will sell for less than half the price of
  525. AT&T's in-house encryption model, according to David Arneke,
  526. a spokesman for the company's Secure Communications Systems
  527. division in North Carolina. He says the first models- which
  528. with a price tag of $1,200 will appeal mostly to law
  529. enforcement agencies and businesses hoping to keep their
  530. industrial secrets secret- should hit the shelves by the end
  531. of the year.
  532.  
  533.                          -*-*-*-*-*-
  534.  
  535.      Despite the notoriety and acclaim Pretty Good Privacy
  536. has brought him, Zimmermann admits he is not entirely
  537. comfortable with some of the popular reaction to his
  538. software. "PGP tends to attract fringe elements- radicals,
  539. conspiracy theorists and so on- and I'm a little embarrassed
  540. by it," he says.
  541.      For instance, Zimmermann says he recently received a
  542. packet of fan mail from a group of people whose obsession is
  543. cryogenics- the notion that newly dead people ought to be
  544. frozen until the technology that can revive them is
  545. developed. While the group seemed enthusiastic about PGP,
  546. Zimmermann says their recognition did little for his ego. "I
  547. don't want to be admired by people who are loonies," he
  548. says.
  549.      He also concedes that, despite what law enforcement
  550. officers say about him being irresponsible for publishing
  551. PGP, he is troubled by people who use the software for
  552. unsavory purposes. The William Steen case, for instance,
  553. unnerved him. "This is not a black-and-white issue to me,"
  554. Zimmermann says. "The thought of a child molester out there
  555. using PGP does keep me up at nights. I think the benefits
  556. will outweigh the cost to society, though."
  557.      Despite his misgivings about it, after nearly two years
  558. Pretty Good Privacy may be paying off for Zimmermann. Not
  559. only is his software consulting business hopping ("If you're
  560. a consultant, you get more work as a famous consultant. And
  561. now I'm a famous consultant"), but four weeks ago he
  562. finalized the deal with ViaCrypt to sell a version of PGP.
  563. The Arizona company has purchased a license from RSA Data
  564. Security to use its algorithms. So in theory, anyway,
  565. Zimmermann should be out of reach of RSA's patent-
  566. infringement claims.
  567.      In the meantime, Zimmermann says he simply is pleased
  568. to have gotten a rise out of the government. "In the nuclear
  569. freeze movement, it was like I was a flea on the back of a
  570. dinosaur," he says. "Now I feel like I'm a hamster on the
  571. back of a dinosaur. Or maybe a poodle."
  572.  
  573.  
  574. -----------------------------
  575. Westword Magazine, Box 5970, Denver, CO 80217. 303-296-7744
  576.