Nach fünf Jahren Entwicklung wurde die Version 2.4.0 des GnuPG-Tools (GNU Privacy Guard) veröffentlicht, die mit den Standards von OpenPGP (RFC-4880) und S/MIME kompatibel ist und Werkzeuge für die Datenverschlüsselung, die Arbeit mit digitalen Signaturen, das Schlüsselmanagement und den Zugriff auf öffentliche Schlüssel-Speicher bereitstellt.
GnuPG 2.4.0 wird als die erste Veröffentlichung eines neuen stabilen Zweigs positioniert, der alle Änderungen der Vorbereitung der Versionen 2.3.x integriert. Der Zweig 2.2 wird in den Status eines alten stabilen Zweigs überführt, der bis Ende 2024 unterstützt wird. Der GnuPG 1.4-Zweig wird weiterhin als klassische Serie unterstützt, die minimalen Ressourcenverbrauch aufweist, für eingebettete Systeme geeignet ist und mit veralteten Verschlüsselungsalgorithmen kompatibel ist.
Wesentliche Änderungen in GnuPG 2.4 im Vergleich zum vorherigen stabilen Zweig 2.2:
- Ein Hintergrundprozess wurde hinzugefügt, der eine Schlüssel-Datenbank implementiert, die SQLite zur Speicherung verwendet und eine erheblich schnellere Schlüsselsuche demonstriert. Um das neue Speicher zu aktivieren, sollte die Option „use-keyboxd“ in der common.conf aktiviert werden.
- Ein Hintergrundprozess tpm2d wurde hinzugefügt, der die Verwendung von TPM 2.0-Chips zur Sicherung von privaten Schlüsseln sowie zur Durchführung von Verschlüsselungsoperationen oder zur Erstellung digitaler Signaturen auf der TPM-Modul-Seite ermöglicht.
- Ein neues gpg-card-Dienstprogramm wurde hinzugefügt, das als flexibles Interface für alle unterstützten Smartcard-Typen verwendet werden kann.
- Ein neues gpg-auth-Dienstprogramm zur Authentifizierung wurde hinzugefügt.
- Eine neue gemeinsame Konfigurationsdatei common.conf wurde hinzugefügt, die zur Aktivierung des Hintergrundprozesses keyboxd verwendet wird, ohne separate Einstellungen in gpg.conf und gpgsm.conf hinzuzufügen.
- Unterstützung für die fünfte Version von Schlüsseln und digitalen Signaturen wurde bereitgestellt, bei der der Algorithmus SHA256 anstelle von SHA1 verwendet wird.
- Die Standardalgorithmen für öffentliche Schlüssel sind jetzt ed25519 und cv25519.
- Unterstützung für AEAD-Modi der Blockverschlüsselung OCB und EAX wurde hinzugefügt.
- Unterstützung für elliptische Kurven X448 (ed448, cv448) wurde hinzugefügt.
- Die Verwendung von Gruppennamen in Schlüsselverzeichnissen wurde erlaubt.
- In gpg, gpgsm, gpgconf, gpg-card und gpg-connect-agent wurde die Option "—chuid" zum Wechseln der Benutzer-ID hinzugefügt.
- Unter Windows wurde die volle Unterstützung von Unicode in der Befehlszeile implementiert.
- Eine Build-Option "—with-tss" wurde hinzugefügt, um die Auswahl der TSS-Bibliothek zu ermöglichen.
- In gpgsm wurde die grundlegende Unterstützung für ECC sowie die Möglichkeit zur Erstellung von EdDSA-Zertifikaten hinzugefügt. Unterstützung für die Entschlüsselung von Daten, die mit einem Passwort verschlüsselt wurden, wurde implementiert. Unterstützung für AES-GCM-Entschlüsselung wurde hinzugefügt. Neue Optionen „—ldapserver“ und „—show-certs“ wurden eingeführt.
- Im Agenten wurde die Verwendung des Wertes „Label:“ in der Schlüsseldatei zur Anpassung der PIN-Eingabeaufforderung erlaubt. Unterstützung für Erweiterungen des ssh-agent für Umgebungsvariablen wurde implementiert. Win32-OpenSSH wird über gpg-agent emuliert. Der SHA-256-Algorithmus wird standardmäßig zur Erstellung von Fingerabdrücken für SSH-Schlüssel verwendet. Die Optionen „—pinentry-formatted-passphrase“ und „—check-sym-passphrase-pattern“ wurden hinzugefügt.
- In scd wurde die Unterstützung für die Arbeit mit mehreren Kartenlesern und Token verbessert. Es wurde die Möglichkeit implementiert, mehrere Anwendungen mit einer bestimmten Smartcard zu nutzen. Unterstützung für PIV-Karten, Telesec Signature Cards v2.0 und Rohde&Schwarz Cybersecurity wurde hinzugefügt. Neue Optionen „—application-priority“ und „—pcsc-shared“ wurden eingeführt.
- In das gpgconf-Tool wurde die Option „—show-configs“ hinzugefügt.
- Änderungen in gpg:
- Der Parameter „—list-filter“ wurde hinzugefügt, um eine Auswahl von Schlüssellisten zu ermöglichen, beispielsweise „gpg -k —list-filter ‘select=revoked-f && sub/algostr=ed25519’“.
- Neue Befehle und Optionen hinzugefügt: «—quick-update-pref», «show-pref», «show-pref-verbose», «—export-filter export-revocs», «—full-timestrings», «—min-rsa-length», «—forbid-gen-key», «—override-compliance-check», «—force-sign-key» und «—no-auto-trust-new-key».
- Unterstützung für den Import von beliebigen Listen von zurückgezogenen Zertifikaten hinzugefügt.
- Die Überprüfung digitaler Signaturen wurde um das 10-fache beschleunigt.
- Die Ergebnisse der Überprüfung hängen jetzt von der Option «—sender» und der Identifikationsnummer des Signaturerstellers ab.
- Export von Ed448-Schlüsseln für SSH ermöglicht.
- Nur der OCB-Modus bei AEAD-Verschlüsselung erlaubt.
- Entschlüsselung ohne öffentlichen Schlüssel erlaubt, wenn eine eingesteckte Smartcard vorhanden ist.
- Für die Algorithmen ed448 und cv448 wird jetzt das Erstellen von Schlüsseln der fünften Version erzwungen.
- Beim Import von Server LDAP ist die Anwendung der Option self-sigs-only standardmäßig deaktiviert.
- Die Verwendung von Algorithmen mit einer Blockgröße von 64 Bit wird in gpg für die Verschlüsselung eingestellt. 3DES ist verboten, und als minimal unterstützter Algorithmus wird AES angegeben. Um die Einschränkung aufzuheben, kann die Option «—allow-old-cipher-algos» verwendet werden.
- Das Utility symcryptrun (veraltete Wrapper über das externe Tool Chiasmus) wurde entfernt.
- Die Unterstützung für die veraltete Methode zur Schlüsselermittlung PKA wurde eingestellt und die damit verbundenen Optionen entfernt.
Quelle: opennet.ru
