ProHoster > Blog > actualités internet > Version GnuPG 2.4.0

Version GnuPG 2.4.0

Après cinq ans de développement, la sortie de la boîte à outils GnuPG 2.4.0 (GNU Privacy Guard), compatible avec les standards OpenPGP (RFC-4880) et S/MIME, et fournissant des utilitaires pour le chiffrement des données, les signatures électroniques, la gestion des clés et l'accès aux clés des référentiels publics.

GnuPG 2.4.0 se positionne comme la première version d'une nouvelle branche stable qui intègre les modifications accumulées lors de la préparation des versions 2.3.x. La branche 2.2 a été déplacée dans la catégorie de l'ancienne branche stable, qui sera prise en charge jusqu'à fin 2024. La branche GnuPG 1.4 continue d'être maintenue comme une série classique qui consomme un minimum de ressources, convient aux systèmes embarqués et est compatible avec les algorithmes de chiffrement hérités.

Principaux changements dans GnuPG 2.4 par rapport à la précédente branche stable 2.2 :

  • Ajout d'un processus d'arrière-plan avec implémentation de la base de données de clés à l'aide du SGBD SQLite pour le stockage et démonstration d'une recherche de clé beaucoup plus rapide. Pour activer le nouveau stockage, vous devez activer l'option "use-keyboxd" dans common.conf.
  • Un processus d'arrière-plan tpm2d a été ajouté pour permettre l'utilisation de puces TPM 2.0 pour protéger les clés privées et effectuer des opérations de chiffrement ou de signature numérique côté TPM.
  • Un nouvel utilitaire gpg-card a été ajouté qui peut être utilisé comme une interface flexible pour tous les types de cartes à puce pris en charge.
  • Ajout d'un nouvel utilitaire gpg-auth pour l'authentification.
  • Un nouveau fichier de configuration commun, common.conf, a été ajouté, qui est utilisé pour activer le processus d'arrière-plan keyboxd sans ajouter séparément des paramètres à gpg.conf et gpgsm.conf.
  • La prise en charge de la cinquième version des clés et des signatures numériques est fournie, qui utilise l'algorithme SHA256 au lieu de SHA1.
  • Les algorithmes par défaut pour les clés publiques sont ed25519 et cv25519.
  • Ajout de la prise en charge des modes de chiffrement par bloc AEAD OCB et EAX.
  • Ajout de la prise en charge des courbes elliptiques X448 (ed448, cv448).
  • L'utilisation de noms de groupe dans les listes de clés est autorisée.
  • Ajout de l'option "--chuid" à gpg, gpgsm, gpgconf, gpg-card et gpg-connect-agent pour changer l'identifiant de l'utilisateur.
  • La plate-forme Windows prend entièrement en charge Unicode sur la ligne de commande.
  • Ajout de l'option de construction "--with-tss" pour sélectionner la bibliothèque TSS.
  • gpgsm ajoute la prise en charge ECC de base et la possibilité de générer des certificats EdDSA. Ajout de la prise en charge du déchiffrement des données chiffrées avec un mot de passe. Ajout de la prise en charge du décryptage AES-GCM. Ajout de nouvelles options "--ldapserver" et "--show-certs".
  • L'agent est autorisé à utiliser la valeur "Label :" dans le fichier de clé pour configurer l'invite PIN. Implémentation de la prise en charge des extensions ssh-agent pour les variables d'environnement. Ajout de l'émulation Win32-OpenSSH via gpg-agent. Par défaut, l'algorithme SHA-256 est utilisé pour créer des empreintes digitales de clés SSH. Ajout des options "--pinentry-formatted-passphrase" et "--check-sym-passphrase-pattern".
  • La prise en charge de plusieurs lecteurs de cartes et jetons a été améliorée dans scd. Implémentation de la possibilité d'utiliser plusieurs applications avec une carte à puce spécifique. Ajout de la prise en charge des cartes PIV, des cartes de signature Telesec v2.0 et de Rohde&Schwarz Cybersecurity. Ajout de nouvelles options "--application-priority" et "--pcsc-shared".
  • Ajout de l'option "--show-configs" à l'utilitaire gpgconf.
  • gpg change :
    • Ajout du paramètre "--list-filter" pour générer sélectivement une liste de clés, par exemple "gpg -k --list-filter 'select=revoked-f && sub/algostr=ed25519'".
    • Ajout de nouvelles commandes et options : "--quick-update-pref", "show-pref", "show-pref-verbose", "--export-filter export-revocs", "--full-timestrings", " --min-rsa-length", "--forbid-gen-key", "--override-compliance-check", "--force-sign-key" et "--no-auto-trust-new -clé".
    • Ajout de la prise en charge de l'importation de CRL personnalisées.
    • La vérification des signatures numériques est au moins 10 fois plus rapide.
    • Les résultats de la validation dépendent désormais de l'option "--sender" et de l'ID du créateur de la signature.
    • Ajout de la possibilité d'exporter des clés Ed448 pour SSH.
    • Seul le mode OCB est autorisé pour le chiffrement AEAD.
    • Le déchiffrement sans clé publique est autorisé si une carte à puce est insérée.
    • Les algorithmes ed448 et cv448 sont désormais obligés d'activer la génération de clé version XNUMX
    • Lors de l'importation à partir d'un serveur LDAP, l'option d'auto-signature uniquement est désactivée par défaut.
  • gpg a cessé d'utiliser des algorithmes 64 bits pour le chiffrement. L'utilisation de 3DES est interdite et AES est déclaré comme l'algorithme minimum pris en charge. Vous pouvez utiliser l'option "--allow-old-cipher-algos" pour désactiver la restriction.
  • Suppression de l'utilitaire symcryptrun (liaison obsolète sur l'utilitaire Chiasmus externe).
  • La méthode obsolète de découverte de clé PKA est obsolète et les options qui lui sont associées ont été supprimées.

Source: opennet.ru

Ajouter un commentaire