吉姆·丹尼斯，Linux Gazette 的“解答先生”专栏作家，最近为 Linux Journal 采访了 Sameer Parekh。Sameer Parekh 是 C2Net Software Inc. 的创始人，该公司网址为 http://www.c2.net/，该公司进口 Stronghold web 服务器。Parekh 先生自 1990 年以来一直活跃于互联网，尤其是在与隐私、电子公民自由、安全和密码学相关的领域。Stronghold 为流行的 Apache web 服务器添加了完全授权的商业 SSL 支持和其他功能。吉姆访谈的节选在此处刊登；完整访谈将刊登在 8 月 1 日发行的 Linux Gazette，网址为 http://www.ssc.com/lg/。

吉姆： 您能告诉我关于 C2Net 这个组织的情况吗？我知道它以前是 Community Connexions。

Sameer： 是的，我们最初是一家互联网提供商和隐私提供商——在网络上保护人们的隐私。人们可以获得匿名账户并建立匿名网页。我们是重发邮件网络的坚定支持者；我们建立了人们可以通过我们的代理匿名浏览网络的手段。这项业务进展顺利。我当时在伯克利大学读书，在业余时间将其作为一种爱好来经营。后来，我离开了学校，开始在南湾（旧金山湾区南端——靠近“硅谷”）的 SGI 做合同工。

去年年底，我们推出了 Stronghold，尽管最初不叫这个名字。它最初被称为“Apache-SSL U.S.”，并且发展势头良好。我们清楚地意识到，销售密码学产品比销售隐私服务要好得多。因此，我们将重点从隐私服务转移开，并将我们的名称更改为 c2.net，以反映这种重点的转变，并主要专注于在全球范围内部署强大的密码学技术。几个月前，我们正式将名称更改为 C2Net Software Inc.。

吉姆： 您将您的客户转移到了 Dave Sharnoff 的 idiom.com 了吗？

Sameer： 大约在 1996 年 4 月左右，我们已经将拨号客户转移到了 idiom。直到去年年底，我们仍在支持隐私服务，那时我们将所有的网络托管和匿名账户持有人转移到了圣地亚哥的一家公司 Cyberpass。Cyberpass 由一位密码朋克（一个讨论密码学和隐私问题的政治、技术和社会影响的邮件列表）运营，他非常活跃于隐私和重发邮件网络。

吉姆： 您刚才提到了“密码朋克”——您和我在帕洛阿尔托斯坦福大学校园的一次会议上见过面。您的大部分员工都来自这个群体吗？

Sameer： 我的大部分员工都来自这个群体。其他人则来自我在学校认识的人、其他私人关系以及现有员工的推荐。在我拥有的 11 名员工中，大约一半是通过密码朋克认识的。

我认为我对隐私的许多立场都与我参与密码朋克以及我参与最初提议的 Clipper 芯片的争议有关。

我们是唯一一家愿意处理以下事实的公司：美国政府试图通过其出口限制所做的事情不仅仅是阻碍或限制出口——它正在产生一种寒蝉效应，以至于美国境内的公司甚至会为了其国内产品而削弱其密码学技术。我们所有的开发都在海外进行，这样我们就可以在全球范围内进行密码学工作，并且我们产品的国际版本不必削弱到可以在三个半小时内被破解的 40 位密钥。

吉姆： 那么您的方法与 John Gilmore 和 Hugh Daniels 在 Free S/WAN 项目中使用的方法类似——将开发人员留在另一端，而您在这边提供质量保证。

Sameer： 嗯，实际上，我们主要提供营销和销售。我们做一些 QA，但这太接近出口问题了。我们也做文档——所有文档都在美国编写。此外，所有的协议和标准化工作都在美国进行。Stronghold 符合 Netscape、W3 联盟和 IETF 等机构开发和发布的协议。

吉姆： 现在，我有些好奇。您将 Apache 和 SSLeay，Eric A. Young 的 SSL（安全套接字层）实现结合起来，并将它们集成到 Stronghold 中。然后，您从 RSA 获得了许可，以便您可以包含他们的公钥库。您是如何与 Apache 组织接洽，提出他们的免费软件包的商业版本的想法的？

Sameer： 嗯，Apache 在 Berkeley 风格的许可下是免费的，而不是 GPL，这意味着我不必与 Apache 组有任何联系。Apache 的许可证允许您，只要您插入适当的版权声明，就可以开始销售基于 Apache 的产品，而无需其他延迟。

但我认为这有点粗鲁。在我打算改变我的业务重点之前，我就已经参与了这个小组。我看到了美国国内对 SSL 版本的 Apache 的需求，所以我开始着手开发它，并找到了 SSLeay 和 Ben Laurie 的 Apache-SSL 补丁，他在英国完成了这些补丁。我将这些集成起来，以便在美国境内进行有限的分发。

我已经从社交上认识了许多湾区成员。我成为了 Apache 组的贡献者——虽然不像那些完成大量代码的人那样重要——我做测试并帮助编写文档。C2Net 聘请的一位全职技术作家编写文档，她将文档贡献回 Apache 组。

我们的产品表现良好，因此我们与 Apache 组的联系是互惠互利的。我们从客户那里收到的任何错误报告都会反馈给他们；我们发现的任何错误，我们都会修复并捐赠回去。我们添加的许多功能，我们也捐赠了回去。当然，我们没有捐赠 所有 我们添加的功能，因为我们需要保持一些专有价值，以便我们也能赚一些钱。

吉姆： 您如何看待 GPL 与 Berkeley 的问题？我知道这是 FreeBSD 和 Linux 阵营之间持续存在的争论焦点。

Sameer： 我通常更喜欢 Berkeley 而不是 GPL，因为我认为自由软件最好在各种不同的环境中完成。特别是，在加密环境中，如果涉及到任何公钥技术，那么在美国境内是不可能完全实现自由软件的，因为存在专利。RSA 拥有一套专利，几乎涵盖了所有已知的公钥加密形式——专利与版权截然不同，因为即使是相同算法的重新实现仍然受到保护。

我认为我们对软件的限制越少，使用它的人就越多。

吉姆： 您有多少国际程序员，他们位于哪里？

Sameer： 我们有两位，我们不透露他们在哪里。我们不希望美国政府知道他们在哪个国家，否则他们可能会向这些国家施压，要求在其法律中增加出口限制。

美国国家安全局 (NSA) 任命了一位名叫 David Aaron 的人，他唯一的工作就是说服其他国家采用与我们类似的限制——这样我们的策略就不会继续奏效。显然，如果所有其他国家都有类似的出口限制，那么在任何一个国家进行开发都只能在该地区销售。在全球经济中，这将毫无意义。我们希望确保我们进行开发的国家不会成为目标。

吉姆： 您或任何其他公司是否与 NSA 有过任何官方接触？

Sameer： 我没有，但我从一些公司那里听到很多传言，他们曾被 NSA 拜访，并被告知：“你们正在做的事情是错误的；你们应该停止它，否则会对你们的其他业务造成不好的影响。”NSA 不能对我这样做，因为我没有其他业务。我们做密码学，并且我们反对对知识产权的出口限制。

吉姆： 您是否认为这是您相对于微软、Netscape 和 Sun 的优势——他们业务的其他方面可能会因反对密码学出口限制的斗争而受到严重阻碍？

Sameer： 嗯，这对他们来说不值得。这对他们来说没有好的商业意义。与此同时，这对我们来说是商业上的必需品。

任何不想打这场仗的公司都可以让我们承担这个责任。他们（及其海外分销代理）可以获得我们软件的许可，而他们不必进行任何开发。他们不必为了密码学技术问题而将他们的业务置于风险之中。

吉姆： 您已经将 Stronghold 移植到多少个平台？

Sameer： Stronghold 支持近 20 种不同形式的 Unix，包括 Linux。它同时支持 ELF 和 a.out 库。它适用于 1.2 和 2.0 版本，尽管我们建议使用最新的稳定内核。

吉姆： 您认为哪个实现是您销量最大的？它们的价格都一样，对吗？

Sameer： 是的，它们的价格都一样。Linux 是我们销量第一的产品——其次是 Solaris 和 Irix。我实际上还没有做过数字统计，因为我们不是“按平台销售”。我们销售 Stronghold 许可证，购买者可以在他们希望的任何平台上使用它。

吉姆： 现在您分别统计了获得的评估副本和许可副本的数量。每个月大约有多少评估副本被下载？

Sameer： 每天大约 20 到 30 个，每周大约是几百个，每月大约是 1,000 个。

Netcraft 显示我们在公共互联网上的安装基数约为 20,000 个，但这包括虚拟主机，所以这不是 20,000 个实际主机——而是由 Stronghold 服务器服务的域名数量。这有点误导性，因为他们只检查非 SSL 站点，很多人在他们的未加密服务器上运行 Apache，在加密服务器上运行 Stronghold。许多人在两者上都运行 Stronghold。

Netcraft 对 SSL 服务器进行了另一项调查，我们在其中排名第二。也就是说，对于一般的服务器，我们在商业 Unix 服务器中排名第二，在商业总体中排名第四。

吉姆： 您一直在引用的 Netcraft 调查，在您的网页上是否有指向它们的链接？

Sameer： 嗯，网址是 www.netcraft.com。我认为调查也在我们的网站上。我为我们的 Netcraft 评级感到自豪，所以我们突出地提到了它们。

吉姆： 您还在开发哪些其他产品？

Sameer： 我们有我们的“Safe Passage”网络代理。这为全球的网络浏览器提供全强度 SSL。它目前处于 beta 测试阶段，可在我们的英国站点上获得。它提供了一个本地托管的代理，为国际版本的 Netscape 和 Microsoft 浏览器提供全强度的加密功能。如您所知，当在美国境外销售时，这些浏览器的加密强度仅限于 40 位——拒绝他们访问需要国内可用的更强密钥的站点。

基本上，“Safe Passage”允许用户的浏览器以 40 位与他系统上的代理通信，而代理又与 Web 上的主机通信。目前，它仅在 Windows 下运行。

吉姆： 您如何看待 Free S/WAN 项目？

S/WAN 是 RSA 的“安全广域网络”协议——Free S/WAN 是另一个密码朋克团体和 EFF 的 John Gilmore 正在导入的工作。

Sameer： 我认为这是一件好事。除了 Stronghold 或 PGP 等程序提供的特定于应用程序的安全之外，我们还需要提供 IP 级别的加密。关于我们的产品线，我们还没有评估这可能如何融入我们的战略，所以我从商业角度没有任何评论。

然而，从更个人的角度来看，我认为制作一个免费可用的 IP 级别加密实现是一件伟大的事情。我们希望部署它，以便所有互联网流量都经过加密，从而得到身份验证。

吉姆： 回到 Stronghold 作为“商业支持的 Apache 服务器”，并撇开它对 SSL 和商业的支持……是否有任何公司仅仅提供这个——仅仅是一个商业包装的 Apache？

Sameer： 有一些公司提供 Apache 支持服务——但没有任何公司销售受支持的软件包——您可以在其中获得一个收缩包装的盒子，其中包含二进制文件和预印的文档，所以这些公司只提供服务。我们提供一种产品——当然，包括电子邮件支持。

Cygnus 也做一些 Apache 支持，但我相信他们可能已经放弃了。然后是南非的一家公司 Thawte，它有一个名为 Sioux 的产品。我们最终收购了它，并将其功能与 Stronghold 的功能集成在一起。

Sioux 在我们推出“Apache SSL U.S.”几个月后发布。我们开始与 Thawte 谈判——并决定从他们那里购买 Sioux，以消除我们想要与他们进行的某些其他业务的利益冲突。您看，Thawte 的主要业务是作为 CA（证书颁发机构）。这是一个友好的安排，因为 Sioux 不是他们想要涉足的那种软件业务。我们现在以仅多 50 美元的价格将 Thawte 证书捆绑在 Stronghold 软件包中——这大约是 Thawte 常规价格的一半。

吉姆： 我一直在 Apache 的模块列表中阅读关于 phps 的内容；它们是什么？

Sameer： php 最初代表“Personal Home Page”——但它不再意味着这个，所以它只是 php，不代表任何东西。

php 是一个特定的模块，它执行动态内容——我喜欢用这个短语来表示服务器端包含、扩展 ssi、php、e-perl 等。它们都在提供动态内容——页面由服务器解析，发送到客户端的数据基于原始文档内部的脚本。

我们喜欢 php，因为它易于使用，非常健壮，并且它提供了与几乎所有数据库的连接。嗯，我不应该这么说——“那里”有很多数据库。它可以连接到 Postgres '95、mSQL、Solid、Sybase、ODBC 等。

这是一种将脚本嵌入到 HTML 中的方法。例如，您可以有条件部分，其中包含基于某些代码片段结果的 HTML 代码块。您可以有一个 HTML 页面，该页面执行数据库查询，格式化并发送数据库中的信息。php 比 CGI 提供显着的速度优势，因为它直接加载到 web 服务器中。您可以节省分叉 Perl 进程的负载，这是在使用 CGI 时必须做的。

Stronghold 2.0 与 php 模块捆绑在一起——2.0 现在处于 beta 测试阶段。我们在内部为我们的数据库连接和我们的外部网站大量使用了 php。

我们也支持服务器端包含——它在早期的 CERN 服务器中。Stronghold 基于 Apache，Apache 也包括“扩展 SSI”。XSSI 添加了条件之类的东西。

吉姆： 您认为这些工具比 CGI 更好吗？

Sameer： 是的，构建应用程序要容易得多——特别是当它不是一个复杂的应用程序时——当您只想在 HTML 中直接包含少量脚本时。如果您使用 CGI 脚本，则该脚本必须输出所有 HTML。它对浏览器来说是透明的——但它速度更快，并且 web 管理员更容易维护。

吉姆： 目前，由 Netscape Commerce Server 带给我们的整个 SSL 世界观，都是关于服务器向客户端验证自身——关于网站说“您已到达我这里——而不是某个冒名顶替者，并且没有 中间人，我们可以私下交换信息”。这种方法似乎除了手动输入的密码之外，没有提供任何其他东西。也许我们需要一些用于 SSL 的客户端身份验证证书。

Sameer： 实际上，这已经存在了。Stronghold 已经支持客户端身份验证。SSL 协议在版本 2 中添加了该功能。Netscape 从 Navigator 版本 3 开始支持客户端证书身份验证，Navigator 版本 3 的构建时间与 SSL 版本 3 大致相同。

Stronghold 是第一个广泛使用的商业服务器，支持 SSL 客户端身份验证。现在我们在浏览器和我们的服务器中都提供了支持，现在只是用户接受度和站点开始使用它的问题。

SSL 客户端身份验证是一项出色的技术。我们正在 C2Net 这里广泛使用它。因为我们有来自世界各地的人，所以我们不能拥有这个庞大的私有 WAN，我们也无法使用像 Free S/WAN 这样的东西设置 VPN6——它还没有准备好。

吉姆： 您是否认为 C2Net 会推出，也许，ssltelnet 和 sslftp 来与 ssh 竞争？

Sameer： 嗯，我们不能谈论我们所有产品想法的所有细节。实际上，ssltelnet 和 sslftp 已经存在——没有人支持它们，也没有人使用它们。

我认为对于加密安全 shell 登录和文件传输，ssh 是最好的产品。虽然它是一种不同的身份验证协议，不同于我的浏览器和我的 web 服务器之间的 SSL——它是基于 RSA 的，我可以通过我的 Ricochet 使用我的 ssh 副本并登录到我的服务器。

吉姆： 您还能想到什么 必须 要说的吗？

Sameer： 我们 C2Net 关注的关键是密码学在全球范围内的部署。我认为在不久的将来在全球范围内部署强大的加密技术至关重要。

美国政府已经明确表示，他们的目的是使个人使用强大的密码学技术完全非法。部署必须在他们这样做之前发生。如果这些加密产品在那之前没有普及，我们将更难保护我们的隐私。

我看到密码学被用于比仅仅保护信用卡更有趣的事情。虽然在通过网络发送信用卡号之前对其进行加密是明智的，但这并不是强大的密码学技术的一个有趣的应用。

我们希望建立一个基础设施，以便对个人使用隐私技术的限制将产生重大的商业影响……以便隐私本身不会被定为非法。