*** empty log message ***
[arla.git] / rx / transarc
blobd2ade14194c31631a2cec1209939542bc52f68f5
1 From Tony_Mauro@transarc.com Wed Nov 20 22:08:16 1996
2 Date: Wed, 17 Jul 1996 15:35:18 -0400 (EDT)
3 From: Tony_Mauro@transarc.com
4 To: shadow@dementia.org
5 Cc: Ken_Ziolkowski@transarc.com, Kathleen_Rizzuti@transarc.com
6 Subject: answer on TR-20916
8 Dear Derrick:
10 Transarc's licensing coordinator, Ken Ziolkowski, asked me to write to you
11 about TR-20916, to share what he learned at a recent IBM seminar on
12 export controls in Washington DC.
14 While at the seminar, he discussed with several IBM experts on US
15 export regulations your proposed mechanisms for protecting the
16 "DES-contaminated" parts of Rx.  Unfortunately, they do not feel that
17 your proposals are sufficient.  I'm referring specifically to the
18 possibilities you described in your mail of 6-21-96:
20  2) Create a patch and do one of:
22   a) place it in a hidden directory on an ftp server, forcing users who
23   wish to fetch it to telnet to the machine and log in as
24   "getrx". (telnet to bitsy.mit.edu and log in as getpgp, for
25   instance) The directory is moved every 30 minutes.
27   b) have users send me email certifying that they are U.S. citizens, at
28   which point they will be given a pointer to the hidden
29   directory. The directory would be moved daily, like getting Kerberos
30   from Cygnus.
32 Possibility (b) is more secure than (a), but it still falls short in
33 two respects:
35   - email certification of US citizenship is not sufficient.  It is
36     not that hard to masquerade as someone other than your true
37     identity, and even (I believe) to fake a US/Canada origination
38     address when outside those countries.  You need to get written
39     certification, as I'll detail below.
41   - in addition to certification of citizenship, requesters need to
42     certify that they will not redistribute the software to anyone
43     ineligible to receive it.
45 Transarc could approve your third possibility
47   c) I have contacted people at MIT to see if they would be interested
48   in doing distribution; It may be possible to arrange with someone
49   there to do distribution using their existing channels.
51 on the assurance that MIT's channels would control access to DES
52 as strictly as Transarc must do when it distributes software.
54 The forms of redistribution that Transarc can approve are:
56 First, you may redistribute the Rx source code that does not "contain any
57 DES algorithms which can be used to encrypt data."  In other words,
58 you may implement the following part of your 6-21-96 mail:
60   1) Strip away anything which might possibly be export-controlled, and
61   create a "clean" version, which will be advertised, and put in a
62   public place. Presumably removing des and rxkad, plus possibly a bit
63   more (I haven't looked yet) will be sufficient for this purpose.
65 The US Government classifies such software as "GDTA" (I don't know
66 what that stands for).  Here are some guidelines that Ken picked up at
67 the seminar about distributing it:
69   When providing GTDA software over the network (whether
70   by FTP, Web Site or other electronic means):
72   1. software must be provided on a 'no charge' basis.
74   2. the provider may not impose limitations or constraints on
75   the use of the software; e.g. no 'license or use' provisions are
76   applicable. The software is truly 'publicly' available.
78   3. generally, it should be made available on an anonymous basis; that
79   is, you aren't collecting names and addresses. While we may be able to
80   preserve the characteristics of GTDA if we collect names and addresses
81   e.g. for future marketing purposes, I think it's much easier to
82   reconcile when we don't collect the names.
84 Second, for your own protection against prosecution, we must strongly
85 recommend that you drop the idea of distributing the DES source
86 version of Rx.  The US Government classifies software that uses the DES
87 algorithms to encrypt data as a ``munition'' and imposes strict
88 penalties for non-authorized distribution. If you use mechanism (a) or
89 (b) from above, you would be in violation of Federal law.
91 To comply with the law, you would need to have requestors sign a
92 written copy of something like the following, which is taken from the 
93 AFS License Agreement:
95   The End-user hereby agrees and acknowledges that any technology and
96   technical data obtained by the end-user, including the
97   ___________________ software, are under the jurisdiction of the export
98   control laws and regulations of the United States and that any direct
99   or indirect export, re-export, license, sale or other transfer of such
100   technology may require the prior authorization of the United States
101   government. The end-user expressly warrants that in its activities
102   under this Agreement it will comply with all applicable laws and
103   regulations of the United States and its departments and agencies
104   relating to the export of technical data.  In the event of any breach
105   of the foregoing warranty, the end-user hereby indemnifies
106   _________________(the parties providing the technology/technical
107   data/software) and agrees to hold such parties harmless from and
108   against any loss, liability, cost, damage or expense that such parties
109   incurs or suffers as a result in any way of the end-user's failure to
110   comply with such United States laws and regulations.
112 Obviously, you would need to protect the software against access by
113 anyone who had not signed such a statement.
115 The US Government's attitude toward this issue is serious enough that
116 Transarc would be liable for prosecution if we were aware you were
117 planning to (or actually did) go ahead and use one of your proposed
118 mechanisms, and did not try to get you to stop.  Therefore, Ken will
119 be sending you a written confirmation basically repeating what I've
120 said here.
122 Ken and I would both like to apologize for any damper this puts on our
123 plans.  We recognize that you are trying to do a service to the
124 software community, but unfortunately the export laws do not take good
125 intentions into consideration.  Further, we appreciate very much that
126 you asked us about redistributing Rx before actually doing it.  I'm
127 sorry if you feel penalized for being honest.
129 Please feel free to call or write me (mauro@transarc.com; 281-5852
130 x7376) or Ken (kenz@transarc.com; 338-4480) if you have any further
131 questions.
134 Tony Mauro
135 Transarc AFS Support