Tres años y medio desde la formación de la última rama importante, se ha presentado una nueva versión del kit de herramientas GnuPG 2.3.0 (GNU Privacy Guard), compatible con los estándares OpenPGP (RFC-4880) y S/MIME, y que proporciona utilidades para el cifrado de datos y el trabajo con firmas electrónicas, gestión de claves y acceso a almacenes de claves públicas.
GnuPG 2.3.0 se posiciona como la primera versión de un nuevo código base que incluye los últimos desarrollos. GnuPG 2.2 se considera una rama estable, óptima para uso general y será compatible al menos hasta 2024. GnuPG 1.4 continúa manteniéndose como una serie clásica que consume recursos mínimos, es adecuada para sistemas integrados y es compatible con algoritmos de cifrado heredados.
Principales innovaciones de GnuPG 2.3.0:
- Se propone un proceso experimental en segundo plano con una implementación de base de datos de claves, utilizando el DBMS SQLite para el almacenamiento y demostrando una búsqueda más rápida de claves. Para habilitar el nuevo repositorio, debe habilitar la opción “use-keyboxd” en gpg.conf y gpgsm.conf.
- Se ha agregado una nueva utilidad gpg-card, que se puede utilizar como una interfaz flexible para todos los tipos de tarjetas inteligentes compatibles.
- Se agregó un nuevo proceso en segundo plano tpm2d que le permite usar chips TPM 2.0 para proteger claves privadas y realizar operaciones de cifrado o firma digital en el lado de TPM.
- Los algoritmos predeterminados para claves públicas son ed25519 y cv25519.
- gpg ya no utiliza algoritmos de tamaño de bloque de 64 bits para el cifrado. El uso de 3DES está prohibido y AES se declara como el algoritmo mínimo admitido. Para desactivar la restricción, puede utilizar la opción “--allow-old-cipher-algos”.
- Se agregó soporte para los modos de cifrado de bloques AEAD OCB y EAX.
- Se proporciona soporte para la versión 5 de claves y firmas digitales.
- Se agregó soporte para curvas X448 (ed448, cv448).
- Se permite utilizar nombres de grupos en listas de claves.
- En gpg, los resultados de la verificación ahora dependen de la opción “--sender” y del ID del creador de la firma.
- Se agregó la opción "--chuid" a gpg, gpgsm, gpgconf, gpg-card y gpg-connect-agent para cambiar la ID de usuario.
- Se agregaron las opciones "--full-timestrings" (salida de fecha y hora), "--force-sign-key" y "--no-auto-trust-new-key" a gpg.
- El método heredado de descubrimiento de claves PKA se suspendió y se eliminaron las opciones asociadas con él.
- Se agregó la capacidad de exportar claves Ed448 para SSH a gpg.
- gpgsm agrega soporte ECC básico y la capacidad de crear certificados EdDSA.
- El agente permite el uso del valor "Etiqueta:" en el archivo de clave para configurar la solicitud de PIN. Se implementó soporte para extensiones de agente ssh para variables de entorno.
- Scd ha mejorado el soporte para múltiples lectores de tarjetas y tokens. Se ha implementado la posibilidad de utilizar varias aplicaciones con una tarjeta inteligente específica. Se agregó soporte para tarjetas PIV, Telesec Signature Cards v2.0 y Rohde&Schwarz Cybersecurity. Se agregaron nuevas opciones "--application-priority" y "--pcsc-shared".
- Se eliminó la utilidad symcryptrun (envoltorio obsoleto de la utilidad externa Chiasmus).
- En la plataforma Windows, la compatibilidad total con Unicode se implementa en la línea de comando.
Fuente: opennet.ru