מהדורת GnuPG 2.4.0

לאחר חמש שנים של פיתוח, מוצגת ההפצה של ערכת הכלים GnuPG 2.4.0 (GNU Privacy Guard), התואמת לתקני OpenPGP (RFC-4880) ו-S/MIME, ומספקת כלי עזר להצפנת נתונים, עבודה עם חתימות אלקטרוניות, מפתח ניהול וגישה למפתחות אחסון ציבוריים.

GnuPG 2.4.0 ממוקמת כגרסה הראשונה של ענף יציב חדש, המשלב שינויים שהצטברו במהלך הכנת מהדורות 2.3.x. סניף 2.2 ירד לסניף האורווה הוותיק, שייתמך עד סוף 2024. ענף GnuPG 1.4 ממשיך להישמר כסדרה קלאסית הצורכת משאבים מינימליים, מתאימה למערכות משובצות ותואמת לאלגוריתמי הצפנה מדור קודם.

שינויים מרכזיים ב-GnuPG 2.4 בהשוואה לענף היציב הקודם 2.2:

• נוסף תהליך רקע להטמעת מסד נתונים של מפתחות, תוך שימוש ב- SQLite DBMS לאחסון והדגמה של חיפוש מהיר משמעותית של מפתחות. כדי להפעיל את המאגר החדש, עליך להפעיל את האפשרות "use-keyboxd" ב-common.conf.
• נוסף תהליך רקע tpm2d כדי לאפשר שימוש בשבבי TPM 2.0 כדי להגן על מפתחות פרטיים ולבצע פעולות הצפנה או חתימה דיגיטלית בצד מודול TPM.
• נוסף כלי עזר חדש של gpg-card, שיכול לשמש כממשק גמיש לכל סוגי הכרטיסים החכמים הנתמכים.
• נוסף כלי עזר חדש ל-gpg-auth לאימות.
• נוסף קובץ תצורה נפוץ חדש, common.conf, המשמש להפעלת תהליך רקע keyboxd מבלי להוסיף הגדרות ל-gpg.conf ול-gpgsm.conf בנפרד.
• ניתנת תמיכה בגרסה החמישית של מפתחות וחתימות דיגיטליות, המשתמשת באלגוריתם SHA256 במקום SHA1.
• אלגוריתמי ברירת המחדל עבור מפתחות ציבוריים הם ed25519 ו-cv25519.
• נוספה תמיכה במצבי הצפנת בלוק AEAD OCB ו-EAX.
• נוספה תמיכה עבור עקומות אליפטיות X448 (ed448, cv448).
• מותר להשתמש בשמות קבוצות ברשימות מפתחות.
• נוספה אפשרות "--chuid" ל-gpg, gpgsm, gpgconf, gpg-card ו-gpg-connect-agent כדי לשנות את מזהה המשתמש.
• בפלטפורמת Windows, תמיכה מלאה ב-Unicode מיושמת בשורת הפקודה.
• נוספה אפשרות בנייה "--with-tss" כדי לבחור את ספריית ה-TSS.
• gpgsm מוסיפה תמיכת ECC בסיסית ויכולת ליצור אישורי EdDSA. נוספה תמיכה בפענוח נתונים מוצפנים באמצעות סיסמה. נוספה תמיכה בפענוח AES-GCM. נוספו אפשרויות חדשות "--ldapserver" ו-"--show-certs".
• הסוכן מאפשר שימוש בערך "תווית:" בקובץ המפתח כדי להגדיר את בקשת ה-PIN. הטמיעה תמיכה בהרחבות ssh-agent עבור משתני סביבה. נוספה אמולציית Win32-OpenSSH דרך gpg-agent. כדי ליצור טביעות אצבע של מפתחות SSH, נעשה שימוש באלגוריתם SHA-256 כברירת מחדל. נוספו אפשרויות "--pinentry-formatted-passphrase" ו-"--check-sym-passphrase-pattern".
• ל-SCD יש תמיכה משופרת לעבודה עם מספר קוראי כרטיסים ואסימונים. הוטמעה היכולת להשתמש במספר יישומים עם כרטיס חכם ספציפי. נוספה תמיכה עבור כרטיסי PIV, Telesec Signature Cards v2.0 ו-Rohde&Schwarz Cybersecurity. נוספו אפשרויות חדשות "--application-priority" ו-"--pcsc-shared".
• האפשרות "--show-configs" נוספה לכלי השירות gpgconf.
• שינויים ב-gpg:
  • נוסף פרמטר "--list-filter" להפקה סלקטיבית של רשימת מפתחות, למשל "gpg -k --list-filter 'select=revoked-f && sub/algostr=ed25519′".
  • נוספו פקודות ואפשרויות חדשות: "--quick-update-pref", "show-pref", "show-pref-verbose", "-export-filter export-revocs", "-full-timestrings", "-min - rsa-length", "--forbid-gen-key", "--override-compliance-check", "--force-sign-key" ו-"--no-auto-trust-new-key".
  • נוספה תמיכה בייבוא ​​רשימות ביטול אישורים מותאמים אישית.
  • אימות החתימות הדיגיטליות הואץ פי 10 או יותר.
  • תוצאות האימות תלויות כעת באפשרות "--sender" ובזיהוי של יוצר החתימה.
  • נוספה היכולת לייצא מפתחות Ed448 עבור SSH.
  • רק מצב OCB מותר להצפנת AEAD.
  • פענוח ללא מפתח ציבורי מותר אם מוכנס כרטיס חכם.
  • עבור האלגוריתמים ed448 ו-cv448, יצירת המפתחות של הגרסה החמישית מופעלת כעת בכוח
  • כאשר מייבאים משרת LDAP, האפשרות של-sigs עצמי בלבד מושבתת כברירת מחדל.
• gpg כבר לא משתמש באלגוריתמים בגודל בלוקים של 64 סיביות להצפנה. השימוש ב-3DES אסור, ו-AES מוכרז כאלגוריתם המינימלי הנתמך. כדי להשבית את ההגבלה, אתה יכול להשתמש באפשרות "--allow-old-cipher-algos".
• כלי השירות symcryptrun הוסר (עטיפה מיושנת על גבי כלי השירות החיצוני Chiasmus).
• שיטת גילוי מפתחות PKA מדור קודם הופסקה והאפשרויות הקשורות אליה הוסרו.

מקור: OpenNet.ru