Despois de cinco anos de desenvolvemento, preséntase o lanzamento do conxunto de ferramentas GnuPG 2.4.0 (GNU Privacy Guard), compatible cos estándares OpenPGP (RFC-4880) e S/MIME, e que proporciona utilidades para o cifrado de datos, traballando con sinaturas electrónicas, claves. xestión e acceso ás claves de almacenamento público.
GnuPG 2.4.0 sitúase como a primeira versión dunha nova rama estable, que incorpora os cambios acumulados durante a preparación das versións 2.3.x. A rama 2.2 quedou relegada á antiga rama estable, que se manterá ata finais de 2024. A rama GnuPG 1.4 segue mantendo como unha serie clásica que consome recursos mínimos, é apta para sistemas integrados e é compatible con algoritmos de cifrado legados.
Cambios clave en GnuPG 2.4 en comparación coa rama estable anterior 2.2:
- Engadiuse un proceso en segundo plano para implementar unha base de datos de claves, utilizando o DBMS SQLite para o almacenamento e demostrando unha busca de claves significativamente máis rápida. Para activar o novo repositorio, debes activar a opción "use-keyboxd" en common.conf.
- Engadiuse un proceso de fondo tpm2d para permitir que os chips TPM 2.0 se utilicen para protexer as claves privadas e realizar operacións de cifrado ou sinatura dixital no lado do módulo TPM.
- Engadiuse unha nova utilidade gpg-card, que se pode usar como unha interface flexible para todos os tipos de tarxetas intelixentes compatibles.
- Engadida unha nova utilidade gpg-auth para a autenticación.
- Engadiuse un novo ficheiro de configuración común, common.conf, que se usa para activar o proceso de fondo keyboxd sen engadir configuracións a gpg.conf e gpgsm.conf por separado.
- Ofrécese soporte para a quinta versión de claves e sinaturas dixitais, que utiliza o algoritmo SHA256 en lugar de SHA1.
- Os algoritmos predeterminados para as chaves públicas son ed25519 e cv25519.
- Engadido soporte para os modos de cifrado de bloques AEAD OCB e EAX.
- Engadido soporte para curvas elípticas X448 (ed448, cv448).
- Permítese usar nomes de grupos nas listas de claves.
- Engadiuse a opción "--chuid" a gpg, gpgsm, gpgconf, gpg-card e gpg-connect-agent para cambiar o ID de usuario.
- Na plataforma Windows, o soporte completo de Unicode está implementado na liña de comandos.
- Engadiuse a opción de compilación "--with-tss" para seleccionar a biblioteca TSS.
- gpgsm engade soporte ECC básico e a posibilidade de crear certificados EdDSA. Engadido soporte para descifrar datos cifrados mediante un contrasinal. Engadido soporte para o descifrado AES-GCM. Engadíronse novas opcións "--ldapserver" e "--show-certs".
- O axente permite o uso do valor "Etiqueta:" no ficheiro de chave para configurar a solicitude de PIN. Implementouse soporte para extensións ssh-agent para variables de ambiente. Engadida a emulación Win32-OpenSSH mediante gpg-agent. Para crear impresións dixitais das claves SSH, utilízase o algoritmo SHA-256 por defecto. Engadíronse as opcións "--pinentry-formatted-passphrase" e "--check-sym-passphrase-pattern".
- Scd mellorou a compatibilidade para traballar con varios lectores de tarxetas e fichas. Implementouse a posibilidade de utilizar varias aplicacións cunha tarxeta intelixente específica. Engadido soporte para tarxetas PIV, Telesec Signature Cards v2.0 e Rohde&Schwarz Cybersecurity. Engadíronse novas opcións "--application-priority" e "--pcsc-shared".
- A opción "--show-configs" engadiuse á utilidade gpgconf.
- Cambios en gpg:
- Engadiuse o parámetro "--list-filter" para xerar selectivamente unha lista de claves, por exemplo "gpg -k --list-filter 'select=revoked-f && sub/algostr=ed25519′".
- Engadíronse novos comandos e opcións: "--quick-update-pref", "show-pref", "show-pref-verbose", "-export-filter export-revocs", "-full-timestrings", "-min - rsa-length", "--forbid-gen-key", "--override-compliance-check", "--force-sign-key" e "--no-auto-trust-new-key".
- Engadido soporte para importar listas de revogación de certificados personalizadas.
- A verificación das sinaturas dixitais acelerouse 10 veces ou máis.
- Os resultados da verificación agora dependen da opción "--sender" e do ID do creador da sinatura.
- Engadida a posibilidade de exportar claves Ed448 para SSH.
- Só se permite o modo OCB para o cifrado AEAD.
- Permítese o descifrado sen chave pública se se introduce unha tarxeta intelixente.
- Para os algoritmos ed448 e cv448, a creación de claves da quinta versión agora está habilitada á forza
- Ao importar desde un servidor LDAP, a opción de só autosignos está desactivada de forma predeterminada.
- gpg xa non usa algoritmos de tamaño de bloque de 64 bits para o cifrado. O uso de 3DES está prohibido e AES declárase como o algoritmo mínimo admitido. Para desactivar a restrición, pode usar a opción "--allow-old-cipher-algos".
- Eliminouse a utilidade symcryptrun (envoltorio desactualizado encima da utilidade externa Chiasmus).
- O método de descubrimento de chaves PKA heredado descontinuouse e elimináronse as opcións asociadas a el.
Fonte: opennet.ru