Спустя восемь лет с момента выпуска GnuPG 2.0 представлен (http://lists.gnupg.org/pipermail/gnupg-announce/2014q4/00035...) релиз новой значительной ветки инструментария GnuPG 2.1.0 (GNU Privacy Guard), совместимого со стандартами OpenPGP (RFC-4880 (https://tools.ietf.org/html/rfc4880)) и S/MIME, и предоставляющего утилиты для шифрования данных, работы с электронными подписями, управления ключами и доступа к публичным хранилищам ключей.
GnuPG 2.1.0 позиционируется как первый выпуск новой кодовой базы, включающей самые свежие разработки. GnuPG 2.0 рассматривается как стабильная ветка, оптимальная для повсеместного использования. GnuPG 1.4 отнесен в разряд классических версий, подребляющей минимальные ресурсы и подходящей для встраиваемых систем. Ветка 2.1 не может быть установлена одновременно с 2.0. Ветка 1.4 может применяться одновременно с выпусками 2.1 или 2.0.
Особенности (https://gnupg.org/faq/whats-new-in-2.1.html) GnuPG 2.1:
- Поддержка шифрования по эллиптическим кривым (ECC, Elliptic Curve Cryptography). Поддерживаются NIST P-256/P-384/P-521 и Brainpool P-256/P-384/P-512;
- Прекращение поддержки устаревших ключей PGP2, не отвечающих современным требованиям к безопасности.- Прекращено использование файла "secring.gpg" для хранения закрытых ключей. Добавлена поддержка слияния закрытых ключей;
- Задействован новый формат для локального хранения публичных ключей, обеспечивающий большой прирост производительности для больших таблиц ключей (keyring);
- Упрощён штатный интерфейс генерации ключей, который стал более прост для генерации подходящих ключей начинающими пользователями.- Добавлены команды для создания и подписания ключей из командной строки без дополнительных запросов ввода параметров;
- В Pinentry обеспечена возможность показа полей ввода нового пароля и его подтверждения в одном диалоге;
- Пользователь избавлен от необходимости ручного запуска gpg-agent, который теперь вызывается автоматически из других частей GnuPG;- Улучшена обработка пулов серверов ключей (keyserver), используемых для балансировки нагрузки. Кроме распределения запросов на основе DNS в новой версии представлен процесс dirmngr, распределяющий запросы с учётом возможного выхода из строя отдельных серверов (если сервер не отвечает, выбирается другой сервер);
- По умолчанию теперь для всех пар ключей создаётся отзывающий сертификат (revocation certificate);- Обеспечена возможность использования gpg-agent на платформе Windows в качестве замены Pageant для Putty;
- Улучшен процесс создания сертификатов X.509. Обеспечена возможность экспорта сертификатов X.509 в форматы PKCS#8 и PEM для использования на серверах TLS.
URL: http://lists.gnupg.org/pipermail/gnupg-announce/2014q4/00035...
Новость: https://www.opennet.ru/opennews/art.shtml?num=41014
Интересно, на Yosemite работает?
Через одно место и ты как пользователь мака должен знать через какое.
>>> Для создания ключей теперь можно ввести только имя и email.?!
А как же теперь быть нам, простым не начинающим пользователям?
> можно ввестиА можно не вводить.
> Обеспечена возможность использования gpg-agent на платформе Windows в качестве замены Pageant для Putty;Вот это реально интересная возможность!
Всякие там winscp, putty и теперь pgp будут в одной удобной связке ключей.
Надо бы поискать рекомендации по организации использования множества ключей в среде с различными уровнями доступа.
Есть такие рекомендации и стандарты?
Cтандарт1:
- отказ от вантуза (pussy, winscp)
Разве только в твоих влажных мечтах
> Разве только в твоих влажных мечтахА что вы на опеннете делаете?
> Пользователь избавлен от необходимости ручного запуска gpg-agent, который теперь вызывается автоматически из других частей GnuPG;Чиво? O_o
Как-то за меня всю жизнь gpg-agent session-менеджером запускался и я проблем не знал.
>> Пользователь избавлен от необходимости ручного запуска gpg-agent, который теперь вызывается автоматически из других частей GnuPG;
> Чиво? O_o
> Как-то за меня всю жизнь gpg-agent session-менеджером запускался и я проблем не
> знал.Session-менеджер зато должен был знать проблемы о необходимости запуска gpg-agent...
> Доступ к закрытым ключам теперь возможен только через gpg-agent, который хранит ключи в директории private-keys-v1.d. Напрямую gpg к закрытым ключам отныне обращаться не может.Зачем?
>> Доступ к закрытым ключам теперь возможен только через gpg-agent, который хранит ключи в директории private-keys-v1.d. Напрямую gpg к закрытым ключам отныне обращаться не может.
> Зачем?Ачо, в директорию консолькой зайти теперь никак? :))))) Какие-то проблемы с этим?
возможно из соображений безопасности
> возможно из соображений безопасностиВот мне тоже не понятно как и предыдущему оратору
> (Ачо, в директорию консолькой зайти теперь никак? :))))) Какие-то проблемы с этим?)Если директория принадлежит мне, тогда в чем безопасность (если Я сам "опасный" ;)
Может gpg-agent запускается из под пользователя gpg-agent и директория (ну скажем) /var/spool/gpg-agent принадлежит ему же, и имеет права 0700 (где он в поддиректориях пользователей хранит эти ключики).
Может кто знает как на самом деле?
>> возможно из соображений безопасности
> Вот мне тоже не понятно как и предыдущему оратору
>> (Ачо, в директорию консолькой зайти теперь никак? :))))) Какие-то проблемы с этим?)
> Если директория принадлежит мне, тогда в чем безопасность (если Я сам "опасный"
> ;)
> Может gpg-agent запускается из под пользователя gpg-agent и директория (ну скажем) /var/spool/gpg-agent
> принадлежит ему же, и имеет права 0700 (где он в поддиректориях
> пользователей хранит эти ключики).
> Может кто знает как на самом деле?На локалхосте рута нет?
Thus there is no more code in the gpg binary for handling private keys.
> Thus there is no more code in the gpg binary for handling
> private keys.Неужели вспомнили о DJB.
> Thus there is no more code in the gpg binary for handling
> private keys.Неужели вспомнили о DJB.
gpgwin пока даже беты нет с версией 2.1. будем ждать немцев,когда сделают.
> gpgwin пока даже беты нет с версией 2.1. будем ждать немцев,когда сделают.Ты ж вроде СПОшник. Типа. Взял исходники, сбилдил, поставил. Или ты только номинально так называешься?
И - да, вантузоиды должны страдать. :)))))))
не все Линуксоиды обязательно СПОшники, но я спошник... Кроме виндовской версии GnuPG в GPGWin ещё несколько компонент, зависящих от GnuPG. Так что кроме сборки скорей всего поребуется и доработка, а тут мало быть СПОшником, нужно и ещё и переделывать что-то!
> не все Линуксоиды обязательно СПОшники, но я спошник... Кроме виндовской версии GnuPG
> в GPGWin ещё несколько компонент, зависящих от GnuPG. Так что кроме
> сборки скорей всего поребуется и доработка, а тут мало быть СПОшником,
> нужно и ещё и переделывать что-то!Еще раз - в чем для тебя проблема в условиях наличия полных сорцов? В генах?
он не СПО-ник, а просто любитель халявы. Как большинство GNU-образных.. могут только кричать что-то, а сделать имея исходники - ничего не могут.