这本杂志应该在九月份出版，大约在 RSA 公司美国专利号 4,405,829 到期的时候。如果您在 9 月 20 日之前收到这本杂志，请务必访问“RSA 自由时钟”网站（参见资源），在那里您可以倒计时天、小时、分钟和秒。（没有法律先例明确规定专利何时到期，所以请在时钟结束后等待一两天，以免冒侵权的风险。）

RSA 专利涵盖了什么？许多使用公钥加密的安全敏感软件，包括常用网络浏览器和服务器中的安全套接字层实现，以及常用安全远程管理的 SSH 协议版本 1。在我撰写本文时，Linux 发行版在法律上仍然无法分发许多有用的、可互操作的安全软件。当专利到期时，这种情况将会改变，我的朋友和我将在硅谷地区的某个地方举办一个盛大的派对来庆祝。请查看您当地的 Linux 用户组，了解您所在地区的专利到期派对。

在过去一年左右的时间里，我们听到了很多关于软件专利（于 1981 年在美国合法化）如何扼杀创新的说法。James Bessen 和 Eric Maskin 进行了一项研究，表明“这些更强的产权远未释放出大量新的创新活动，反而为那些申请专利最多的行业和公司带来了一个停滞不前，甚至研发活动下降的时期”。并且，相互交叉的专利法律雷区威胁着所有软件开发，无论是免费的还是专有的。当软件专利的混乱局面与重要的基础安全工作（如加密）相交时，软件专利会干扰最佳实践的传播，并可能成为重大的安全问题。

软件专利也会通过扭曲专利持有者对现实的看法来伤害他们。不知何故，这些专利持有者认为，仅仅因为人们给他们钱，这些人就一定喜欢他们。想象一下，一群强盗在沙漠中的一口井周围扎营，开始向旅行者收取水费。真正的强盗会在晚上把武器放在身边。但是，今天的专利强盗似乎认为人们想要与他们做生意。

例如，Unisys 拥有一项关于名为 LZW 的压缩算法的软件专利，该算法用于网络上过时但常见的 GIF 文件格式。Unisys 的网站上发布了荒谬的声明，声称“网络开发人员对 LZW 相关技术的需求持续增长”，而网络开发人员仅仅是为了与不支持 PNG 等免费格式的旧浏览器兼容而使用 GIF。这里没有人喜欢 Unisys。就像井边的强盗一样，Unisys 获得报酬是因为旅行者目前别无选择。但与强盗不同的是，Unisys 似乎认为旅行者来找他们是因为他们想来。当足够多的浏览器安装基础支持 PNG 时，Unisys 可以告别他们的版税，而网络可以告别这群相当愚蠢的强盗。

RSA Security, Inc. 是另一群强盗，他们现在就要感到惊讶了。在他们所有关于“合作伙伴”和“解决方案”的花言巧语背后，他们只是在向人们收费，让他们从美国纳税人在 MIT 资助密码学研究时帮助挖掘的井中取水。作为一个国家，我们给予教育机构特殊的税收待遇。这不仅仅是因为他们给我们的论文评分，并在办公时间回答我们的问题。教育机构也与研究有关，与扩展有用的、人类知识的范围有关。以非营利为目的进行研究，并将好的部分申请专利以获取利润，无论从哪个角度来看都是一种巨大的欺诈行为。当美国国税局最终开始突击搜查大型研究“大学”（如 MIT）和 google.com 的小型避税所斯坦福大学时，我将再举办一个派对。

稍加审查，并希望进行期待已久的软件专利改革，专利强盗将开始作为一种安全威胁而逐渐消失。美国政府国家标准与技术研究院正在选择一种算法作为新的国家高级加密标准，并且他们足够警惕，不会让下一个 RSA 或 Unisys 控制这口井。AES 网站上写道：“NIST 特此公开声明，它可能会根据美国反垄断法，对未来任何可能寻求对 AES 用户行使专利权但未按此信息请求向 NIST 披露的当事方寻求补救。” 这基本上是官僚式的语言，意思是“试图对我们进行专利烧钱，我们将像约翰·吴一样对付你这个可怜的家伙”。

感谢 NIST。但是，Linux 安全的下一个重大威胁并非来自公司软件专利持有者或寻求“无处不在的 IP 窃听”的政府机构。自今年年初以来，如果您免费提供源代码，那么糟糕的旧美国密码出口法规实际上已经消失了。威胁来自内部。如果您进行 Linux 发行版，请注意。本月之后，没有理由不提供最好的工业级加密技术。因此，没有理由不将安全性作为设计考虑因素，而不是在发行版发布漏洞后才发出羞怯的警告。购买每本杂志都会附赠免费线索：阅读 OpenBSD 安全页面，并照做。如果您负担不起从事安全业务的费用，那么您也负担不起从事 Linux 业务的费用。

在Linux Journal，我们希望看到 OpenSSL 和 OpenSSH 很好地集成到发行版中。这是容易的部分。困难的部分是：不要让用户加载可能被利用的服务。请不要让营销部门说服您在 Linux 中附带一把装满子弹的枪用胶带粘在用户的脚上，只是为了您可以在软件包中添加一个复选框功能。每次有人发布 SquirrelTech Linux 的网络橡子平衡守护进程 d<\#230>mon 中的安全漏洞时，想要在其公司安装 Linux 的人都会在斗争中受挫。我不在乎您提供所有时髦的新软件——任何希望他的盒子成为虚拟美食街的用户都应该提出要求。Bastille Linux 项目是朝着正确方向迈出的重要一步，但它的存在本身就表明，主流 Linux 发行版对安全性的考虑就像猪对费曼图的思考一样。最需要安全性的用户（初学者）没有开箱即用就获得安全性。

世界现在比以往任何时候都更需要具有安全意识的网络管理员。但是用户不应该仅仅为了运行 Linux 就必须成为一名网络管理员。如果您发布的发行版具有为普通用户 Joe Six-Pack 设计的安装程序，并且安全姿势如此开放，以至于您需要成为 Rick Moen 才能锁定，那么就存在非常、非常严重的问题。而且您再也没有借口了。“我们不能发布加密。” 错了。见上文。“用户期望标准服务。” 错了。也许使用 UNIX 的研究生会这样想；普通人期望安全。“别担心，它会在防火墙后面。” 错了。它赤身裸体地挂在 DSL 连接上。或者也许它是防火墙。“如果我们改变它，将更难支持。” 错了。“支持”根入侵有多容易？感谢 RSA 专利的到期，安全借口的时代已经结束。不要让营销部门的庸才制定安全策略，您将发布更少的安全公告。

资源