Пасля пяці гадоў распрацоўкі прадстаўлены рэліз інструментара GnuPG 2.4.0 (GNU Privacy Guard), сумяшчальнага са стандартамі OpenPGP (RFC-4880) і S/MIME, і які прадстаўляе ўтыліты для шыфравання дадзеных, працы з электроннымі подпісамі, кіраванні ключамі і доступу да публічных сховішчаў ключоў.
GnuPG 2.4.0 пазіцыянуецца як першы выпуск новай стабільнай галіны, якая ўвабрала ў сябе змены, назапашаныя пры падрыхтоўцы выпускаў 2.3.x. Ветка 2.2 пераведзена ў разрад старой стабільнай галіны, якая будзе падтрымлівацца да канца 2024 года. Галінка GnuPG 1.4 працягвае суправаджацца ў якасці класічнай серыі, якая спажывае мінімальныя рэсурсы, прыдатнай для ўбудавальных сістэм і сумяшчальнай з састарэлымі алгарытмамі шыфравання.
Ключавыя змены ў GnuPG 2.4 у параўнанні з мінулай стабільнай галінкай 2.2:
- Дададзены фонавы працэс з рэалізацыяй базы дадзеных ключоў, які выкарыстоўвае для захоўвання СКБД SQLite і які дэманструе значна хутчэйшы пошук ключоў. Для ўключэння новага сховішча варта актываваць у common.conf опцыю "use-keyboxd".
- Дададзены фонавы працэс tpm2d, які дазваляе выкарыстоўваць чыпы TPM 2.0 для абароны зачыненых ключоў і выкананні аперацый шыфравання ці стварэнні лічбавых подпісаў на боку TPM-модуля.
- Дададзена новая ўтыліта gpg-card, якую можна выкарыстоўваць як гнуткі інтэрфейс для ўсіх падтрымліваемых тыпаў смарткарт.
- Дададзена новая ўтыліта gpg-auth для аўтэнтыфікацыі.
- Дададзены новы агульны файл канфігурацыі common.conf, які задзейнічаны для ўключэння фонавага працэсу keyboxd без паасобнага дадання налад у gpg.conf і gpgsm.conf.
- Забяспечана падтрымка пятай версіі ключоў і лічбавых подпісаў, у якой выкарыстоўваецца алгарытм SHA256 замест SHA1.
- У якасці алгарытмаў па змаўчанні для адчыненых ключоў задзейнічаны ed25519 і cv25519.
- Дададзена падтрымка AEAD-рэжымаў блокавага шыфравання OCB і EAX.
- Дададзена падтрымка эліптычных крывых X448 (ed448, cv448).
- Дазволена выкарыстанне імён груп у спісах ключоў.
- У gpg, gpgsm, gpgconf, gpg-card і gpg-connect-agent дададзена опцыя "-chuid" для змены ідэнтыфікатара карыстальніка.
- На платформе Windows рэалізавана поўная падтрымка Unicode у камандным радку.
- Дададзена зборачная опцыя “with-tss” для выбару бібліятэкі TSS.
- У gpgsm дададзена базавая падтрымка ECC і магчымасць стварэння сертыфікатаў EdDSA. Дададзена падтрымка расшыфроўкі дадзеных, зашыфраваных з выкарыстаннем пароля. Дададзена падтрымка расшыфроўкі AES-GCM. Дададзеныя новыя опцыі "-ldapserver" і "-show-certs".
- У агенце дазволена выкарыстанне значэння «Label:» у файле ключоў для налады запрашэння ўводу PIN-кода. Рэалізавана падтрымка пашырэнняў ssh-agent для зменных асяроддзі. Дададзена эмуляцыя Win32-OpenSSH праз gpg-agent. Для стварэння fingerprint-адбіткаў SSH-ключоў па змаўчанні задзейнічаны алгарытм SHA-256. Дададзеныя опцыі "pinentry-formatted-passphrase" і "check-sym-passphrase-pattern".
- У scd палепшана падтрымка працы з некалькімі кардрыдарамі і токенамі. Рэалізавана магчымасць выкарыстання некалькіх прыкладанняў з пэўнай смарткартай. Дададзена падтрымка карт PIV, Telesec Signature Cards v2.0 і Rohde \uXNUMX Schwarz Cybersecurity. Дададзеныя новыя опцыі "-application-priority" і "-pcsc-shared".
- Ва ўтыліту gpgconf дададзена опцыя "-show-configs".
- Змены ў gpg:
- Дададзены параметр "-list-filter" для выбарачнага фармавання спісу ключоў, напрыклад "gpg -k -list-filter 'select=revoked-f && sub/algostr=ed25519′".
- Дададзеныя новыя каманды і опцыі: quick-update-pref, show-pref, show-pref-verbose, export-filter export-revocs, full-timestrings, min- rsa-length", "-forbid-gen-key", "-override-compliance-check", "-force-sign-key" і "-no-auto-trust-new-key".
- Дададзена падтрымка імпарту адвольных спісаў адкліканых сертыфікатаў.
- У 10 ці больш разоў паскорана праверка лічбавых подпісаў.
- Вынікі праверкі зараз залежаць ад опцыі "-sender" і ідэнтыфікатара стваральніка подпісу.
- Дададзена магчымасць экспарту ключоў Ed448 для SSH.
- Дазволена выкарыстанне толькі рэжыму OCB пры AEAD-шыфраванні.
- Дазволена расшыфроўка без публічнага ключа пры наяўнасці ўстаўленай смарткарты.
- Для алгарытмаў ed448 і cv448 зараз прымусова ўключаецца стварэнні ключоў пятай версіі.
- Пры імпарце з сервера LDAP па змаўчанні адключана ўжыванне опцыі self-sigs-only.
- У gpg спынена выкарыстанне для шыфравання алгарытмаў з памерам блока ў 64 біта. Выкарыстанне 3DES забаронена, а ў якасці мінімальна падтрымоўванага алгарытму заяўлены AES. Для адключэння абмежавання можна выкарыстоўваць опцыю "-allow-old-cipher-algos".
- Выдалена ўтыліта symcryptrun (састарэлая абвязка над вонкавай утылітай Chiasmus).
- Спынена падтрымка састарэлага метаду выяўлення ключоў PKA і выдалены злучаныя з ім опцыі.
Крыніца: opennet.ru