A tre anni e mezzo dalla formazione dell'ultimo ramo significativo, è stata presentata una nuova versione del toolkit GnuPG 2.3.0 (GNU Privacy Guard), compatibile con gli standard OpenPGP (RFC-4880) e S/MIME, e che fornisce utilità per la crittografia dei dati e l'utilizzo delle firme elettroniche, la gestione delle chiavi e l'accesso agli archivi di chiavi pubbliche.
GnuPG 2.3.0 si posiziona come la prima versione di una nuova base di codice che include gli ultimi sviluppi. GnuPG 2.2 è considerato un ramo stabile, ottimale per un uso generale, e sarà supportato almeno fino al 2024. GnuPG 1.4 continua a essere mantenuta come una serie classica che consuma risorse minime, è adatta per sistemi embedded ed è compatibile con algoritmi di crittografia legacy.
Principali innovazioni di GnuPG 2.3.0:
- Viene proposto un processo sperimentale in background con l'implementazione di un database di chiavi, utilizzando il DBMS SQLite per l'archiviazione e dimostrando una ricerca più rapida delle chiavi. Per abilitare il nuovo repository, è necessario abilitare l'opzione "use-keyboxd" in gpg.conf e gpgsm.conf.
- È stata aggiunta una nuova utility gpg-card, che può essere utilizzata come interfaccia flessibile per tutti i tipi di smart card supportati.
- Aggiunto un nuovo processo in background tpm2d che consente di utilizzare i chip TPM 2.0 per proteggere le chiavi private ed eseguire operazioni di crittografia o firma digitale sul lato TPM.
- Gli algoritmi predefiniti per le chiavi pubbliche sono ed25519 e cv25519.
- gpg non utilizza più algoritmi di dimensione del blocco a 64 bit per la crittografia. L'uso di 3DES è vietato e AES è dichiarato come l'algoritmo minimo supportato. Per disabilitare la restrizione, puoi utilizzare l'opzione “--allow-old-cipher-algos”.
- Aggiunto supporto per le modalità di crittografia a blocchi AEAD OCB ed EAX.
- Viene fornito il supporto per la versione 5 delle chiavi e delle firme digitali.
- Aggiunto il supporto per le curve X448 (ed448, cv448).
- Autorizzato a utilizzare i nomi dei gruppi negli elenchi di chiavi.
- In gpg, i risultati della verifica ora dipendono dall'opzione "--sender" e dall'ID del creatore della firma.
- Aggiunta l'opzione "--chuid" a gpg, gpgsm, gpgconf, gpg-card e gpg-connect-agent per modificare l'ID utente.
- Aggiunte le opzioni "--full-timestrings" (output di data e ora), "--force-sign-key" e "--no-auto-trust-new-key" a gpg.
- Il metodo di rilevamento delle chiavi PKA legacy è stato interrotto e le opzioni ad esso associate sono state rimosse.
- Aggiunta la possibilità di esportare le chiavi Ed448 per SSH su gpg.
- gpgsm aggiunge il supporto ECC di base e la possibilità di creare certificati EdDSA.
- L'agente consente l'utilizzo del valore "Label:" nel file della chiave per configurare la richiesta del PIN. Supporto implementato per le estensioni ssh-agent per le variabili di ambiente.
- Scd ha migliorato il supporto per più lettori di carte e gettoni. È stata implementata la possibilità di utilizzare più applicazioni con una smart card specifica. Aggiunto supporto per carte PIV, carte Telesec Signature v2.0 e Rohde&Schwarz Cybersecurity. Aggiunte nuove opzioni "--application-priority" e "--pcsc-shared".
- L'utilità symcryptrun è stata rimossa (wrapper obsoleto sull'utilità esterna Chiasmus.
- Sulla piattaforma Windows, il supporto Unicode completo è implementato sulla riga di comando.
Fonte: opennet.ru