An zukünftige Kunden der PGP Corporation

03. August 2005

Die PGP Corporation stellt Software für Informationssicherheit her, die Kryptographie nutzt, um den Zugang zu Nachrichten und Daten zu regeln. Benutzer kryptographischer Software hatten immer wieder Bedenken über die Qualität dieser Software. Diese Bedenken betreffen nicht nur die Qualität der Software an sich, sondern auch die Möglichkeit beabsichtigter Schwachstellen in der Software, die eingebaut wurden, um Behörden oder anderen den Zugang zu verschlüsselten Daten zu ermöglichen. Die Geschichte kryptographischer Systeme hat gezeigt, dass diese Bedenken nicht grundlos waren.

PGP-Software enthält keinerlei Hintertüren. Sie enthält keine beabsichtigten Schwachstellen und wurde mit der ganzen kryptographischen Stärke der implementierten Algorithmen gestaltet. Kein Dritter, wie zum Beispiel nationale Regierungen oder andere Behörden, hat die PGP-Software beeinflusst. Wir, der Vorstand der PGP Corporation, geben unser Wort darauf, dass PGP-Software so arbeitet wie es unsere Benutzer erwarten würden. Die Software, die von uns signiert und vertrieben wird, wurde mit der größtmöglichen Sorgfalt erstellt.

Dennoch können wir verstehen, dass Kunden mehr brauchen als einen einfachen Brief mit einer Zusicherung. Ein altbekanntes Motto in der Sicherheitsbranche ist: "Vertrauen ist gut, Kontrolle ist besser". Einige Kunden mögen die berechtigte Angst haben, dass die PGP Corporation unwissentlich kompromittiert wurde und unsere Software trotz bester Vorsätze Hintertüren oder beabsichtigte Schwachstellen enthält. Daher bieten wir unseren Kunden mehrere Möglichkeiten, wie sie die Binärdateien überprüfen und sogar selbst herstellen können. Kurz gesagt müssen unsere Kunden in Bezug auf die Qualität unserer Software nicht allein auf unser Wort vertrauen, sondern können selbst die PGP-Software überprüfen und deren Richtigkeit bestätigen.

Wir veröffentlichen grundsätzlich den Quellcode für PGP® Desktop auf unserer Website unter http://www.pgp.com/de/downloads/sourcecode/index.html. Die Software, die hier bereit gestellt wird, ist der Quellcode des PGP-Desktop-Produktes und schließt den Quellcode des PGP Software Development Kits (SDK) ein, des kryptographischen Systems auf dem alle unsere Produkte aufgebaut sind. Jedermann kann von überall den Code per Internet herunterladen und sicherstellen, dass dieser so arbeitet wie angegeben. Bitte beachten Sie, dass dieser Quellcode weder die benötigten Compiler enthält, um die Programme zu erstellen, noch den Quelltext der Installationsprogramme. Wir sind allerdings bereit, auch diese für unsere Kunden bereit zu stellen.

Wir bieten nicht den kompletten Quellcode der PGP®-Universal-Produkte zum uneingeschränkten Download an. PGP Universal ist kein Anwendungsprogramm sondern ein komplettes Computersystem, einschließlich kryptographischer Software, einem Betriebssystem, Installations- und Abschaltmechanismen sowie einer Verwaltungskonsole. Der komplette Quellcode für PGP Universal ist als Produkt erhältlich, welches wir zu einem angemessenen Preis anbieten können. Wir bieten den Quellcode aller GPL-lizenzierten Software an, die wir während der Entwicklung von PGP Universal verändert haben. Der Quellcode dieser veränderten GPL-Software ist ebenfalls im Downloadbereich unserer Website erhältlich.

Wir sehen ein, dass die alleinige Bereitstellung des Quellcodes für einige Organisationen nicht ausreichend ist, um der Qualität der PGP-Software zu vertrauen. Auch nach der Überprüfung des Quellcodes auf Hintertüren ist es ein Vertrauensvorschuss anzunehmen, dass die Software, die wir herstellen, aus eben diesem - und nur aus diesem - Quellcode erzeugt wurde. Konsequenterweise können wir gerne durch unsere technischen Mitarbeiter die komplette Umgebung, die wir zur Erstellung unserer Programme nutzen, zu einem angemessenen Preis bereitstellen. Indem sie die Programme selbst erstellen, können unsere Kunden sicher gehen, dass die Software, die sie benutzen aus dem Quellcode erzeugt wurde, den sie überprüft haben. Selbstverständlich müssen sich auch diese Kunden an die Softwarelizenzen halten, für die sie die Produkte erstellen. Bitte beachten Sie außerdem, dass wir keinerlei Software signieren, die von anderen erstellt wurde; wir signieren nur Software, die in unserer Umgebung mit unseren eigenen Prozessen erzeugt wurde.

Sollte ein Kunde es verlangen, können wir sogar das komplette System zur Verwaltung des Quellcodes, welches wir zur Softwareverwaltung nutzen, zu einem angemessenen Preis anbieten. Diese Versionskontrolle für unseren Quellcode enthält alle Änderungen, die an PGP-Software seit Version 5.0 bis hin zur neuesten Version vorgenommen wurden. Auf diese Weise können Kunden jede Änderung am Quellcode seit 1997 nachverfolgen.

Zusammengefasst bieten wir zusätzlich zu unserer Zusicherung zur Qualität der PGP-Software folgende Leistungen an:

• Quellcode der Software für jedes erworbene Produkt, so dass Kunden die Qualität der PGP-Produkte selbst überprüfen können.
• Versionsgeschichte des Quellcodes von PGP-Produkten, so dass Kunden ihre Software als Gesamtes und auf einzelne Veränderungen durch die Entwickler untersuchen und überprüfen können.
• Kompilierumgebungen für diese Produkte, die es den Kunden ermöglichen, die Produkte selbst zu erstellen und daher sicher zu gehen, dass die Software aus überprüftem Quelltext erstellt wurde.

Wir schätzen die Bedenken unserer Kunden über die Qualität unserer Software. Wir verstehen, dass Software für Informationssicherheit, insbesondere kryptographische Software, nicht wie andere Software ist, und wir sind froh, unseren Kunden dabei helfen zu können, die Qualität der PGP-Produkte zu überprüfen. Sollte es andere Wünsche oder Anforderungen von Kundenseite betreffend der Überprüfung unserer Software geben, sollten unsere Kunden nicht zögern, diese bei uns anzusprechen.

Mit freundlichen Grüßen,

Jon Callas,
CTO und Chief Security Officer

Olivia Dillan,
Group Vice President Technology

Phillip Dunkelberger,
CEO und Präsident