Trois ans et demi depuis la formation de la dernière branche significative, une nouvelle version de la boîte à outils GnuPG 2.3.0 (GNU Privacy Guard) a été présentée, compatible avec les standards OpenPGP (RFC-4880) et S/MIME, et offrant utilitaires pour le cryptage des données et l'utilisation des signatures électroniques, la gestion des clés et l'accès aux magasins de clés publiques.
GnuPG 2.3.0 se positionne comme la première version d'une nouvelle base de code incluant les derniers développements. GnuPG 2.2 est considérée comme une branche stable, optimale pour un usage général, et sera prise en charge au moins jusqu'en 2024. GnuPG 1.4 continue d'être maintenu comme une série classique qui consomme un minimum de ressources, convient aux systèmes embarqués et est compatible avec les algorithmes de chiffrement existants.
Principales innovations de GnuPG 2.3.0 :
- Un processus expérimental en arrière-plan avec une implémentation de base de données de clés est proposé, utilisant le SGBD SQLite pour le stockage et démontrant une recherche plus rapide des clés. Pour activer le nouveau référentiel, vous devez activer l'option « use-keyboxd » dans gpg.conf et gpgsm.conf.
- Un nouvel utilitaire gpg-card a été ajouté qui peut être utilisé comme une interface flexible pour tous les types de cartes à puce pris en charge.
- Ajout d'un nouveau processus en arrière-plan tpm2d qui vous permet d'utiliser des puces TPM 2.0 pour protéger les clés privées et effectuer des opérations de cryptage ou de signature numérique du côté TPM.
- Les algorithmes par défaut pour les clés publiques sont ed25519 et cv25519.
- gpg n'utilise plus d'algorithmes de taille de bloc de 64 bits pour le cryptage. L'utilisation de 3DES est interdite et AES est déclaré comme l'algorithme minimum pris en charge. Pour désactiver la restriction, vous pouvez utiliser l'option « --allow-old-cipher-algos ».
- Ajout de la prise en charge des modes de chiffrement par bloc AEAD OCB et EAX.
- Le support de la version 5 des clés et signatures numériques est fourni.
- Ajout de la prise en charge des courbes X448 (ed448, cv448).
- L'utilisation de noms de groupe dans les listes de clés est autorisée.
- Dans gpg, les résultats de la vérification dépendent désormais de l'option « --sender » et de l'ID du créateur de la signature.
- Ajout de l'option "--chuid" à gpg, gpgsm, gpgconf, gpg-card et gpg-connect-agent pour changer l'identifiant de l'utilisateur.
- Ajout des options "--full-timestrings" (sortie de date et d'heure), "--force-sign-key" et "--no-auto-trust-new-key" à gpg.
- La méthode obsolète de découverte de clé PKA est obsolète et les options qui lui sont associées ont été supprimées.
- Ajout de la possibilité d'exporter les clés Ed448 pour SSH vers gpg.
- gpgsm ajoute une prise en charge ECC de base et la possibilité de créer des certificats EdDSA.
- L'agent autorise l'utilisation de la valeur « Label : » dans le fichier de clé pour configurer l'invite PIN. Implémentation de la prise en charge des extensions ssh-agent pour les variables d'environnement.
- Scd a amélioré la prise en charge de plusieurs lecteurs de cartes et jetons. La possibilité d'utiliser plusieurs applications avec une carte à puce spécifique a été implémentée. Ajout de la prise en charge des cartes PIV, des cartes de signature Telesec v2.0 et de la cybersécurité Rohde&Schwarz. Ajout de nouvelles options "--application-priority" et "--pcsc-shared".
- L'utilitaire symcryptrun a été supprimé (wrapper obsolète sur l'utilitaire externe Chiasmus.
- La plate-forme Windows prend entièrement en charge Unicode sur la ligne de commande.
Source: opennet.ru