The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Выпуск GnuPG 2.4.0

21.12.2022 09:57

После пяти лет разработки представлен релиз инструментария GnuPG 2.4.0 (GNU Privacy Guard), совместимого со стандартами OpenPGP (RFC-4880) и S/MIME, и предоставляющего утилиты для шифрования данных, работы с электронными подписями, управления ключами и доступа к публичным хранилищам ключей.

GnuPG 2.4.0 позиционируется как первый выпуск новой стабильной ветки, которая вобрала в себя изменения, накопленные при подготовке выпусков 2.3.x. Ветка 2.2 переведена в разряд старой стабильной ветки, которая будет поддерживаться до конца 2024 года. Ветка GnuPG 1.4 продолжает сопровождаться в качестве классической серии, потребляющей минимальные ресурсы, подходящей для встраиваемых систем и совместимой с устаревшими алгоритмами шифрования.

Ключевые изменения в GnuPG 2.4 по сравнению с прошлой стабильной веткой 2.2:

  • Добавлен фоновый процесс с реализацией базы данных ключей, использующий для хранения СУБД SQLite и демонстрирующий значительно более быстрый поиск ключей. Для включения нового хранилища следует активировать в common.conf опцию "use-keyboxd".
  • Добавлен фоновый процесс tpm2d, позволяющий использовать чипы TPM 2.0 для защиты закрытых ключей и выполнения операций шифрования или создания цифровых подписей на стороне TPM-модуля.
  • Добавлена новая утилита gpg-card, которую можно использовать как гибкий интерфейс для всех поддерживаемых типов смарткарт.
  • Добавлена новая утилита gpg-auth для аутентификации.
  • Добавлен новый общий файл конфигурации common.conf, который задействован для включения фонового процесса keyboxd без раздельного добавления настроек в gpg.conf и gpgsm.conf.
  • Обеспечена поддержка пятой версии ключей и цифровых подписей, в которой используется алгоритм SHA256 вместо SHA1.
  • В качестве алгоритмов по умолчанию для открытых ключей задействованы ed25519 и cv25519.
  • Добавлена поддержка AEAD-режимов блочного шифрования OCB и EAX.
  • Добавлена поддержка эллиптических кривых X448 (ed448, cv448).
  • Разрешено использование имён групп в списках ключей.
  • В gpg, gpgsm, gpgconf, gpg-card и gpg-connect-agent добавлена опция "--chuid" для смены идентификатора пользователя.
  • На платформе Windows реализована полная поддержка Unicode в командной строке.
  • Добавлена сборочная опция "--with-tss" для выбора библиотеки TSS.
  • В gpgsm добавлена базовая поддержка ECC и возможность создания сертификатов EdDSA. Добавлена поддержка расшифровки данных, зашифрованных с использованием пароля. Добавлена поддержка расшифровки AES-GCM. Добавлены новые опции "--ldapserver" и "--show-certs".
  • В агенте разрешено использования значения "Label:" в файле ключей для настройки приглашения ввода PIN-кода. Реализована поддержка расширений ssh-agent для переменных окружения. Добавлена эмуляция Win32-OpenSSH через gpg-agent. Для создания fingerprint-отпечатков SSH-ключей по умолчанию задействован алгоритм SHA-256. Добавлены опции "--pinentry-formatted-passphrase" и "--check-sym-passphrase-pattern".
  • В scd улучшена поддержка работы с несколькими кардридерами и токенами. Реализована возможность использования нескольких приложений с определённой смарткартой. Добавлена поддержка карт PIV, Telesec Signature Cards v2.0 и Rohde&Schwarz Cybersecurity. Добавлены новые опции "--application-priority" и "--pcsc-shared".
  • В утилиту gpgconf добавлена опция "--show-configs".
  • Изменения в gpg:
    • Добавлен параметр "--list-filter" для выборочного формирования списка ключей, например "gpg -k --list-filter 'select=revoked-f && sub/algostr=ed25519'".
    • Добавлены новые команды и опции: "--quick-update-pref", "show-pref", "show-pref-verbose", "--export-filter export-revocs", "--full-timestrings", "--min-rsa-length", "--forbid-gen-key", "--override-compliance-check", "--force-sign-key" и "--no-auto-trust-new-key".
    • Добавлена поддержка импорта произвольных списков отозванных сертификатов.
    • В 10 или более раз ускорена проверка цифровых подписей.
    • Результаты проверки теперь зависят от опции "--sender" и идентификатора создателя подписи.
    • Добавлена возможность экспорта ключей Ed448 для SSH.
    • Разрешено использование только режима OCB при AEAD-шифровании.
    • Разрешена расшифровка без публичного ключа при наличии вставленной смарткарты.
    • Для алгоритмов ed448 и cv448 теперь принудительно включается создания ключей пятой версии
    • При импорте из сервера LDAP по умолчанию отключено применение опции self-sigs-only.
  • В gpg прекращено использование для шифрования алгоритмов с размером блока в 64 бита. Использование 3DES запрещено, а в качестве минимально поддерживаемого алгоритма заявлен AES. Для отключения ограничения можно использовать опцию "--allow-old-cipher-algos".
  • Удалена утилита symcryptrun (устаревшая обвязка над внешней утилитой Chiasmus).
  • Прекращена поддержка устаревшего метода обнаружения ключей PKA и удалены связанные с ним опции.


  1. Главная ссылка к новости (https://lists.gnupg.org/piperm...)
  2. OpenNews: Уязвимость в LibKSBA, приводящая к выполнению кода при обработке S/MIME в GnuPG
  3. OpenNews: Выпуск GnuPG 2.2.0
  4. OpenNews: Критическая уязвимость в библиотеке Libgcrypt 1.9.0, затрагивающая GnuPG и systemd
  5. OpenNews: Релиз Sequoia 1.0, реализации OpenPGP на языке Rust
  6. OpenNews: Предложен метод определения коллизий в SHA-1, пригодный для атаки на PGP
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/58365-gnupg
Ключевые слова: gnupg, pgp
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (40) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.2, Аноним (2), 10:07, 21/12/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    Вся эта магия основана на неверном принципе: что шифрование невозможно без подписи.

    Но если ты сам всё подписал (сам во всём признался), то никакое шифрование уже не нужно будет расшифровывать, чтобы тебя арестовать, потому что ты уже сам с повинной явился.

    В общем, бессмысленный инструмент.

     
     
  • 2.5, 1 (??), 10:18, 21/12/2022 [^] [^^] [^^^] [ответить]  
  • +3 +/
    пффф ... Откуда такая сидельческая философия ? М.б. PGP используется для того, чтоб быть на 90% уверенным что пишет тебе конкретный человек, а не вован с лексусом.
     
  • 2.6, ффф (?), 10:21, 21/12/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    $ gpg file.txt

    Это шифрование с подписью?

     
  • 2.9, Анним (?), 10:26, 21/12/2022 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Твой довод основан на неверном принципе что это как-то связано с шифрованием. Так тебе не обязательно что-то шифровать, чтобы тебя заставили что-то подписать.

    А шифровать можно не только от тех кто может тебя заставить что-то подписать, а от обычного дефолтного Васяна, который если видит что-то сложнее просто текста впадает в ступор.  

     
     
  • 3.18, Аноним (2), 11:21, 21/12/2022 [^] [^^] [^^^] [ответить]  
  • +/
    От дефолтного Васяна есть rot13.
     
  • 2.15, Sw00p aka Jerom (?), 11:09, 21/12/2022 [^] [^^] [^^^] [ответить]  
  • +/
    а смысл подписи если не расшифрован основной контент?
     
     
  • 3.19, Аноним (2), 11:23, 21/12/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Значит, тебе есть что скрывать от одного государства, username.
     
     
  • 4.20, Admino (ok), 11:27, 21/12/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    СШАпроблемы.
     
  • 4.24, Sw00p aka Jerom (?), 12:11, 21/12/2022 [^] [^^] [^^^] [ответить]  
  • +/
    >Значит, тебе есть что скрывать

    ну конечно, у меня карманы на распашку, мне нечего скрывать, "особо крупный" - не мое

     
  • 2.16, Sw00p aka Jerom (?), 11:11, 21/12/2022 [^] [^^] [^^^] [ответить]  
  • +/
    >(сам во всём признался)

    мало ли в чем вы признались, подпись необходимо проверить, а как проверить? читаем выше

     
  • 2.26, Аноним (26), 12:24, 21/12/2022 [^] [^^] [^^^] [ответить]  
  • +/
    У тебя в ключе твои фио и адрес стоят?
     
  • 2.34, Аноним (34), 15:17, 21/12/2022 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Скажу больше - чтобы арестовать не нужно даже подписи, даже преступление за тебя может выбрать следователь. Автоматизация однако.
    Из этого факта и вашей логики следует что все инструменты бесполезны.
     
     
  • 3.39, Аноним (2), 07:13, 22/12/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >Из этого факта и вашей логики следует что все инструменты бесполезны.

    Отнюдь же. Есть стеганография, анонимизация, средства избежания назойливого внимания.

     

  • 1.7, Аноним (7), 10:23, 21/12/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • –6 +/
    >После пяти лет разработки представлен релиз инструментария GnuPG 2.4.0 (GNU Privacy Guard), совместимого со стандартами OpenPGP (RFC-4880) и S/MIME, и предоставляющего утилиты для шифрования данных, работы с электронными подписями, управления ключами и доступа к публичным хранилищам ключей.

    А это вообще законно?

     
  • 1.10, Аноним (10), 10:27, 21/12/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    А внутре у него - помойка. Вот до чего Си головного мозга доводит.
     
     
  • 2.40, Аноним (40), 11:23, 22/12/2022 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Будь мужЫком, перепеши на Rust!
     
  • 2.47, Аноним (-), 18:50, 23/12/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Фрактальчик, залогинься)
     

  • 1.12, Аноним (12), 10:29, 21/12/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    >  Добавлен фоновый процесс tpm2d, позволяющий использовать чипы TPM 2.0 для защиты закрытых ключей и выполнения операций шифрования или создания цифровых подписей на стороне TPM-модуля.

    Вот так тихо и незаметно внедрили использование аппаратных проприетарных троянов…

     
     
  • 2.13, Аноним (10), 10:37, 21/12/2022 [^] [^^] [^^^] [ответить]  
  • +/
    главное, чтобы аппаратныe проприетарныe трояны не использовали тебя.
     
  • 2.29, Аноним (29), 13:05, 21/12/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Продолжаем пользоваться OpenPGP card без безвозвратной привязки к TPM ноутбука.
     
     
  • 3.41, x3who (?), 14:43, 22/12/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Это тоже стремновато - карту можно сломать или потерять, и как потом жыдь если у тебя всё зашифровано этим ключом и бэкапы тоже?
     
     
  • 4.43, Аноним (43), 15:38, 22/12/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Ноутбук с TPM тоже можно сломать или потерять. Храните этот ключ на второй OpenPGP card в другом месте.
     
     
  • 5.44, x3who (?), 19:10, 22/12/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Так о том и речь, что привязка к TPM, что привязка к карте.. А по поводу хранения ключа из одного аппаратного модуля на на другом - разве там приватные ключи извлекаемы?
     
     
  • 6.48, Анони (?), 20:17, 23/12/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Сгенерируй на компьютере и запиши хоть на десять карт. Или шифруй симметричный мастер-ключ произвольной длины всеми картами. Ну и какую-то букварь по практическому шифрованию данных прочитай, там обычно такие детсадовские вопросы разжёваны.
     
  • 6.51, Аноним (51), 22:16, 24/12/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Новые ноутбуки покупают чаще, чем карты OpenPGP. И TPM всегда включены (поэтому с ними вы не можете ограничить злоумышленника, который присутствует в вашем ноутбуке, просто удалив смарт-карту).

    Ключи либо генерируются непосредственно на OpenPGP card, либо импортируются. А вот экспорту они действительно не подлежат, и все операции выполняются внутри самой OpenPGP card…

     

  • 1.17, Аноним (17), 11:19, 21/12/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Добавлен фоновый процесс…
    > Добавлен фоновый процесс…

    Давайте каждую примитивную команду вынесем в фоновый процесс.

     
     
  • 2.23, Аноним (23), 11:52, 21/12/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Это GnuPG то примитивный? Что тогда НЕ примитивное?
     
     
  • 3.27, Аноним (27), 12:25, 21/12/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Речь не про весь gnupg. На мой взгляд, добавлять фоновый процесс для поиска ключей слишком жирно. ПРоцесс должен создаваться в момент запроса поиска и завершаться.
     
     
  • 4.33, Аноним (33), 15:15, 21/12/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Тру! Вроде это дело на раст уже давно переписали.. может там лучше?
     
  • 4.36, Аноним (36), 00:47, 22/12/2022 [^] [^^] [^^^] [ответить]  
  • +/
    так оно так и работает при use-keyboxd no
     
  • 2.49, Анони (?), 20:18, 23/12/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Людям с одним ключом не понять, да.
     

  • 1.28, Аноним (28), 12:43, 21/12/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А разве gpg-card уже не давно была?
     
  • 1.30, Вася (??), 13:16, 21/12/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Осталось дождаться когда flowcrypt обновят для Gmail почты или Mailvelope для прочих почт. Если веб интерфейсом в модных почтах обмазываться, конечно, а так хоть из консоли в mutt можно наяривать шифрованную электропочту.
     
  • 1.31, Аноним (31), 13:44, 21/12/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    подскажите для бекапа достаточно ли только приватного ключа? Имею ввиду можно ли восстановить публичный ключ имея только приватный ключ.
     
     
  • 2.32, Аноним (29), 14:13, 21/12/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Да.
     
  • 2.35, Аноним (35), 21:56, 21/12/2022 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Рекомендую как следует разобраться с использованием шифрования, прежде чем им пользоваться. По вопросу вижу, что тебе пока что такие инструменты противопоказаны.
     
  • 2.42, x3who (?), 14:57, 22/12/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А в чем юзкейс? Приватный ключ потерять легче, ведь публичный можно раскидать в открытом виде где угодно, в том числе и вложить в сам зашифрованный архив, и оттуда и восстановить если уж такое случится, что приватный ключ есть, а публичный надо как-то восстанавливать. К тому же в gpg  инфраструктуре присутствуют сервера ключей, где как раз публичные ключи и публикуются (гуглить по "gpg key server" например).
     
  • 2.45, Аноним (45), 19:46, 22/12/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Для бекапа достаточно классического симметричного шифрования, если нет необходимости посылать его кому-то другому.
     

  • 1.37, Аноним (36), 00:48, 22/12/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    А в чём разница между keyboxd и gpg-agent?
     
  • 1.50, Аноним (35), 05:52, 24/12/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    SSH-сертификаты агент как не понимал, так и дальше не понимает.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру