PGP:版本2.0與密碼龐克的發行
齊默曼承認了「自製」加密算法的危險。在大學時期的一次經歷中,齊默曼創建了一個他認為可靠的算法,結果後來發現它很容易被破解。他保持著一種健康的懷疑態度,並結合謹慎的樂觀:
「我現在對PGP的安全性並不像以前對我大學時代的加密軟件那麼自信。如果我還那麼自信,那才是壞兆頭……源代碼是開放的,其他密碼學家可以審查其設計。它經過了相當程度的研究,並基於許多聲譽良好的密碼學家的工作。」
齊默曼將他自製的對稱加密算法命名為Bass-O-Matic,這個名字來自一種可以將魚液化的攪拌機,就像PGP「液化」數據一樣。Bass-O-Matic作為PGP的核心算法,雖然是一個尚未經過充分測試的算法——這一事實是齊默曼需要解決的問題,若要讓PGP能夠真正為大眾提供保護。
自1981年以來,每年夏末,密碼學家們會在加州大學聖塔芭芭拉分校舉行年度的密碼學會議。1991年,齊默曼也參加了此次會議,目的是讓世界級的密碼學家分析Bass-O-Matic。齊默曼接觸了阿迪·沙米爾(Adi Shamir),沙米爾提出,如果齊默曼將代碼發送到以色列,他願意進行審查——但這樣做會違反出口法規。以色列魏茨曼科學研究所的伊萊·比哈姆(Eli Biham)則提供了更多幫助。在一次與齊默曼的午餐中,比哈姆翻閱了幾頁打印出來的代碼,並發現了大量錯誤。十分鐘後,顯然Bass-O-Matic對差分密碼分析等攻擊是脆弱的——這意味著PGP版本2將需要一個替代的算法。
在PGP 2.0開發過程中,齊默曼從程序員轉變為項目經理和設計專家,大部分代碼工作現在在美國以外的地方進行,這也意味著將完成的PGP產品進口到美國,能夠避開出口國內生產代碼的問題。密碼龐克哈爾·費尼(Hal Finney)評論說,齊默曼的最大技能是人際關係,他能夠「引導一個容易分心的程序員網絡」來完成複雜的任務。齊默曼決定將國際數據加密算法(IDEA)作為有缺陷的Bass-O-Matic的替代算法。IDEA由瑞士聯邦理工學院的來學嘉(Xuejia Lai)和詹姆斯·L·馬西(James L. Massey)開發,作為DES的潛在替代方案。齊默曼認識到,來和馬西在密碼學界已經建立了「卓越的聲譽」,再加上IDEA經受了嚴格的測試,這個算法可以被視為值得信賴的。齊默曼在創建自己的算法時違背了密碼學的核心原則,他推出Bass-O-Matic時,並未經過世界級密碼分析師的持續攻擊驗證。齊默曼可能知道這一錯誤,他的計算基於這樣的假設:在S.266成為法律之前,先推出一個不完美的產品總比推出一個完美的產品,但後來無法分發要好。也許在提到他早期的錯誤時,齊默曼在PGP版本2的文檔中提到新算法不是一個「自製算法」。IDEA於1990年發布,並經受住了持續的密碼分析攻擊。齊默曼認為IDEA可能比DES更能防止比哈姆(Biham)和沙米爾(Shamir)提出的差分密碼分析技術。齊默曼懷疑IDEA比DES更好,可能是因為IDEA擁有128位密鑰,而DES只有56位,並且在軟件中運行得更快。Ascom Tech AG授予齊默曼使用IDEA的許可,包括商業用途,這樣就不會有專利相關的挑戰。然而,RSA算法的專利挑戰依然存在。
1992年9月,密碼龐克首次實體會議在PGP 2.0發布後的幾天內舉行。密碼龐克亞瑟·亞伯拉罕(Arthur Abraham)將PGP 2.0的軟盤分發給與會者。會後,蒂姆·梅(Tim May)在密碼龐克的郵件列表上發表了他的看法,認為他們正在進入「長期期待的‘密碼奇點’」,即密碼學的進步將變得不可逆轉。梅認為,包括PGP、完全加密的重發郵件(這使得可以匿名發送電子郵件)以及記者對密碼學的興趣等因素都促成了這個即將到來的奇點。梅寫道:「接下來幾個月,事情可能會變得非常有趣也非常棘手。」他認為這樣的時間框架,比他預期的要快得多,並且他推測政府可能會嘗試以「涉及毒品或性侵犯者的高曝光案件……作為打壓加密技術的藉口。」
齊默曼並不認為自己是密碼龐克,他曾打趣說,「我不是密碼龐克——當我去拜訪客戶時,我會穿西裝」,但他確實共享他們對數位隱私和言論自由的理想。齊默曼加入了密碼龐克郵件列表,但在幾天後離開了,因為信息量太大,分散了他工作的注意力——他偶爾會回來,但參與很少。齊默曼對密碼龐克的感情是矛盾的。與密碼龐克的意識形態差距常常十分顯著;梅曾評論道,齊默曼「在PGP上的成就不容小覷,但我知道根據第一手經驗,他的政治觀點是非常非自由主義的,實際上是與自由相對立的。」其他人也同意,明確表示齊默曼不是密碼龐克。然而,密碼龐克擁有多樣的政治觀點,梅代表的是最極端的派別。儘管梅的譴責,齊默曼的行為常常與自由派密碼龐克一致。事實上,許多密碼龐克支持他並為PGP的進一步開發做出貢獻。例如,MIT計算機科學學生德里克·阿特金斯(Derek Atkins)成為了PGP的程序員、錯誤跟蹤員,甚至後來成為PGP版本的項目負責人。
PGP 2.0發布後不久,齊默曼接到了來自某個方面的電話,這使他成為整個密碼學運動的旗幟人物,同時也面臨著坐牢的危險。