<div dir="ltr">Andre,<div><br></div><div>> <span style="font-size:12.8px">you want to use gpgv.exe from the "Simple installer for GnuPG classic"</span></div><div><span style="font-size:12.8px"><br></span></div><div><span style="font-size:12.8px">Thank you! At first 1.4.x/classic made me nervous because I thought it was old & unmaintained, but then I read <a href="http://security.stackexchange.com/a/78840/72611">this post</a> which assured me that this wasn't the case. The small, self-contained executable is ideal for our use-case. </span></div><div><span style="font-size:12.8px"><br></span></div><div><span style="font-size:12.8px">I tried "gpgv.exe" (isn't in "classic", just "modern"), but it looks like it can only verify files, it can't decrypt them. And it's actually a larger filesize (when combined with dependencies like libgcrypt) than the standalone classic exe, so I think I'm going to go with the classic gpg.exe.</span></div><div><span style="font-size:12.8px"><br></span></div><div><span style="font-size:12.8px">> if you distribute a binary you are responsible to also provide the code</span></div><div><span style="font-size:12.8px">> </span><span style="font-size:12.8px">(at least when asked)</span></div><div><span style="font-size:12.8px"><br></span></div><div><span style="font-size:12.8px">I did some more reading & found this on the GPL FAQ (<a href="http://www.gnu.org/licenses/gpl-faq.en.html#SourceAndBinaryOnDifferentSites">#SourceAndBinaryOnDifferentSites</a>):</span></div><div><span style="font-size:12.8px"><br></span></div><div><blockquote style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex" class="gmail_quote"><span style="font-size:12.8px">Can I put the binaries on my Internet server and put the source on a different Internet site?</span></blockquote><div style=""><span style="font-size:12.8px"><br></span></div><blockquote style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex" class="gmail_quote"><span style="font-size:12.8px">Yes. Section 6(d) allows this. However, you must provide clear instructions people can follow to obtain the source, and you must take care to make sure that the source remains available for as long as you distribute the object code.</span></blockquote></div><div><span style="font-size:12.8px"><br></span></div><div><span style="font-size:12.8px">There's some further explanation in <a href="http://www.softwarefreedom.org/resources/2008/compliance-guide.html#x1-130004.1.4">this section of the Software Freedom GPL Compliance Guide</a> and I found that <a href="http://www.gnu.org/licenses/gpl-3.0.en.html#section6">section 6</a>(d) of the GPL itself surprisingly readable and helpful regarding putting the source on 3rd party servers (like github):</span></div><div><span style="font-size:12.8px"><br></span></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><span style="font-size:12.8px">... If the place to copy the object code is a network server, the Corresponding Source may be on a different server (operated by you or a third party) that supports equivalent copying facilities, provided you maintain clear directions next to the object code saying where to find the Corresponding Source. Regardless of what server hosts the Corresponding Source, you remain obligated to ensure that it is available for as long as needed to satisfy these requirements.</span></blockquote><div><span style="font-size:12.8px"><br></span></div><div><span style="font-size:12.8px">My takeaway (but I also Am Not A Lawyer) is that I can redistribute gpg.exe inside a commercial application, so long as I provide clear directions next to the exe for where to find the source code (<a href="https://github.com/CSNW/gnupg/tree/gnupg-1.4.19">https://github.com/CSNW/gnupg/tree/gnupg-1.4.19</a>) and that I ensure that the source is available for 3 full years after our last distribution.</span></div><div><span style="font-size:12.8px"><br></span></div><div><span style="font-size:12.8px">The 3 years part is a bit annoying, but I think I prefer it over including a 3mb source tarball. I'll double-check with the owner of the company and the guy who deals with legal compliance to see if they agree.</span></div><div><span style="font-size:12.8px"><br></span></div><div><span style="font-size:12.8px">Again, thank you for your help & advice on this, especially since it turned out that I didn't even need gpg4win.</span></div><div><span style="font-size:12.8px"><br></span></div><div><span style="font-size:12.8px">-- peter</span></div><div><span style="font-size:12.8px"><br></span></div><div><span style="font-size:12.8px"><br></span></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Thu, Oct 15, 2015 at 8:08 AM, Andre Heinecke <span dir="ltr"><<a href="mailto:aheinecke@intevation.de" target="_blank">aheinecke@intevation.de</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi,<br>
<span class=""><br>
On Thursday 15 October 2015 07:43:49 Peter Rust wrote:<br>
> So the only piece of gpgp4win that I'm redistributing / including in our<br>
> application's client is the "gpg" executable and a few DLLs that it depends<br>
> on. I got these from the gpg4win project because it was the only place I<br>
> could find precompiled binaries, but I suppose the source code for these<br>
> binaries is all from the gpg project itself.<br>
<br>
</span>Uh in that case providing completely unrelated sources from Gpg4win (e.g. for<br>
Kleopatra and Qt) would really not be the right thing.<br>
<br>
Take a look at:<br>
<a href="https://gnupg.org/download/index.html" rel="noreferrer" target="_blank">https://gnupg.org/download/index.html</a><br>
<br>
At the bottom of this page is "GnuPG binary releases" your use case sounds<br>
like you want to use gpgv.exe from the "Simple installer for GnuPG classic".<br>
<br>
This is a dedicated tool to verify OpenPGP signatures.<br>
<span class=""><br>
> > My suggestion would be that you make the source installer and the source<br>
><br>
> package available<br>
><br>
> I assume you mean putting source installer on our website & allowing users<br>
> to download it from us -- that would work and we'll do it if necessary, but<br>
> it's a bit more work and IMO less useful to any interested parties than a<br>
> link to the official gpg/gpg4win source installer, which (from what I've<br>
> read) the GPLv3 allows but the GPLv2 doesn't.<br>
><br>
> But since the binary/DLLs I'm distributing is from the GnuPG GPLv3 sources,<br>
> I think I'm fine...<br>
<br>
</span>The point is afaik that if you distribute a binary you are responsible to also<br>
provide the code (at least when asked). But I am not a Lawyer ;-)<br>
<div class="HOEnZb"><div class="h5"><br>
Regards,<br>
Andre<br>
<br>
--<br>
Andre Heinecke |  <a href="tel:%2B%2B49-541-335083-262" value="+49541335083262">++49-541-335083-262</a>  | <a href="http://www.intevation.de/" rel="noreferrer" target="_blank">http://www.intevation.de/</a><br>
Intevation GmbH, Neuer Graben 17, 49074 Osnabrück | AG Osnabrück, HR B 18998<br>
Geschäftsführer: Frank Koormann, Bernhard Reiter, Dr. Jan-Oliver Wagner</div></div></blockquote></div><br></div>