ProHoster > Blog > wiadomości internetowe > Wydanie GnuPG 2.4.0

Wydanie GnuPG 2.4.0

Po pięciu latach prac zaprezentowano zestaw narzędzi GnuPG 2.4.0 (GNU Privacy Guard), zgodny ze standardami OpenPGP (RFC-4880) i S/MIME, zapewniający narzędzia do szyfrowania danych, pracy z podpisami elektronicznymi, kluczami zarządzanie i dostęp do kluczy pamięci publicznej.

GnuPG 2.4.0 jest pozycjonowane jako pierwsze wydanie nowej stabilnej gałęzi, która zawiera zmiany zgromadzone podczas przygotowywania wydań 2.3.x. Branch 2.2 został zdegradowany do starej stabilnej gałęzi, która będzie wspierana do końca 2024 roku. Gałąź GnuPG 1.4 jest nadal utrzymywana jako klasyczna seria, która zużywa minimalne zasoby, jest odpowiednia dla systemów wbudowanych i jest kompatybilna ze starszymi algorytmami szyfrowania.

Kluczowe zmiany w GnuPG 2.4 w porównaniu do poprzedniej stabilnej gałęzi 2.2:

  • Dodano proces działający w tle w celu zaimplementowania bazy danych kluczy, wykorzystujący SQLite DBMS do przechowywania i demonstrujący znacznie szybsze wyszukiwanie kluczy. Aby włączyć nowe repozytorium, musisz włączyć opcję „use-keyboxd” w pliku common.conf.
  • Dodano proces w tle tpm2d, aby umożliwić użycie chipów TPM 2.0 do ochrony kluczy prywatnych i wykonywania operacji szyfrowania lub podpisu cyfrowego po stronie modułu TPM.
  • Dodano nowe narzędzie gpg-card, którego można używać jako elastycznego interfejsu dla wszystkich obsługiwanych typów kart inteligentnych.
  • Dodano nowe narzędzie gpg-auth do uwierzytelniania.
  • Dodano nowy wspólny plik konfiguracyjny common.conf, który służy do włączania procesu keyboxd w tle bez konieczności dodawania ustawień oddzielnie do gpg.conf i gpgsm.conf.
  • Zapewniona jest obsługa piątej wersji kluczy i podpisów cyfrowych, która wykorzystuje algorytm SHA256 zamiast SHA1.
  • Domyślne algorytmy kluczy publicznych to ed25519 i cv25519.
  • Dodano obsługę trybów szyfrowania bloków AEAD OCB i EAX.
  • Dodano obsługę krzywych eliptycznych X448 (ed448, cv448).
  • Zezwolono na używanie nazw grup na listach kluczy.
  • Dodano opcję „--chuid” do gpg, gpgsm, gpgconf, gpg-card i gpg-connect-agent w celu zmiany identyfikatora użytkownika.
  • Na platformie Windows pełna obsługa Unicode jest zaimplementowana w wierszu poleceń.
  • Dodano opcję kompilacji „--with-tss”, aby wybrać bibliotekę TSS.
  • gpgsm dodaje podstawową obsługę ECC i możliwość tworzenia certyfikatów EdDSA. Dodano obsługę odszyfrowywania danych zaszyfrowanych hasłem. Dodano obsługę deszyfrowania AES-GCM. Dodano nowe opcje „--ldapserver” i „--show-certs”.
  • Agent umożliwia użycie wartości „Label:” w pliku klucza w celu skonfigurowania monitu o podanie kodu PIN. Zaimplementowano obsługę rozszerzeń ssh-agent dla zmiennych środowiskowych. Dodano emulację Win32-OpenSSH poprzez gpg-agent. Do tworzenia odcisków palców kluczy SSH domyślnie używany jest algorytm SHA-256. Dodano opcje „--pinentry-sformatowane-hasło” i „--check-sym-passphrase-pattern”.
  • Scd poprawiło obsługę pracy z wieloma czytnikami kart i tokenami. Wprowadzono możliwość korzystania z kilku aplikacji za pomocą określonej karty inteligentnej. Dodano obsługę kart PIV, kart Telesec Signature Cards v2.0 i Rohde&Schwarz Cybersecurity. Dodano nowe opcje „--application-priority” i „--pcsc-shared”.
  • Do narzędzia gpgconf dodano opcję „--show-configs”.
  • Zmiany w gpg:
    • Dodano parametr „--list-filter” do selektywnego generowania listy kluczy, na przykład „gpg -k --list-filter 'select=revoked-f && sub/algostr=ed25519′”.
    • Dodano nowe polecenia i opcje: „--quick-update-pref”, „show-pref”, „show-pref-verbose”, „-export-filter eksport-revocs”, „-full-timestrings”, „-min - długość-rsa", "--forbid-gen-key", "--override-compliance-check", "--force-sign-key" i "--no-auto-trust-new-key".
    • Dodano obsługę importowania niestandardowych list odwołanych certyfikatów.
    • Weryfikacja podpisów cyfrowych została przyspieszona 10 lub więcej razy.
    • Wyniki weryfikacji zależą teraz od opcji „--sender” i identyfikatora twórcy podpisu.
    • Dodano możliwość eksportu kluczy Ed448 dla SSH.
    • Do szyfrowania AEAD dozwolony jest wyłącznie tryb OCB.
    • Odszyfrowanie bez klucza publicznego jest dozwolone, jeśli włożona jest karta inteligentna.
    • W przypadku algorytmów ed448 i cv448 tworzenie kluczy piątej wersji jest teraz wymuszone
    • Podczas importowania z serwera LDAP opcja tylko do samodzielnego podpisania jest domyślnie wyłączona.
  • gpg nie używa już do szyfrowania 64-bitowych algorytmów rozmiaru bloku. Używanie 3DES jest zabronione, a AES jest deklarowany jako minimalny obsługiwany algorytm. Aby wyłączyć ograniczenie, możesz użyć opcji „--allow-old-cipher-algos”.
  • Narzędzie symcryptrun zostało usunięte (przestarzałe opakowanie na zewnętrznym narzędziu Chiasmus).
  • Starsza metoda wykrywania kluczy PKA została wycofana, a opcje z nią związane zostały usunięte.

Źródło: opennet.ru

Dodaj komentarz