Três anos e meio desde a formação do último ramo significativo, foi apresentada uma nova versão do kit de ferramentas GnuPG 2.3.0 (GNU Privacy Guard), compatível com os padrões OpenPGP (RFC-4880) e S/MIME, e fornecendo utilitários para criptografia de dados e trabalho com assinaturas eletrônicas, gerenciamento de chaves e acesso a armazenamentos de chaves públicas.
GnuPG 2.3.0 está posicionado como o primeiro lançamento de uma nova base de código que inclui os desenvolvimentos mais recentes. O GnuPG 2.2 é considerado um branch estável, ideal para uso geral e terá suporte até pelo menos 2024. O GnuPG 1.4 continua a ser mantido como uma série clássica que consome recursos mínimos, é adequada para sistemas embarcados e é compatível com algoritmos de criptografia legados.
Principais inovações do GnuPG 2.3.0:
- É proposto um processo experimental em segundo plano com implementação de banco de dados de chaves, utilizando o SGBD SQLite para armazenamento e demonstrando uma busca mais rápida por chaves. Para habilitar o novo repositório, você deve habilitar a opção “use-keyboxd” em gpg.conf e gpgsm.conf.
- Foi adicionado um novo utilitário gpg-card, que pode ser usado como uma interface flexível para todos os tipos de cartões inteligentes suportados.
- Adicionado um novo processo em segundo plano tpm2d que permite usar chips TPM 2.0 para proteger chaves privadas e realizar operações de criptografia ou assinatura digital no lado do TPM.
- Os algoritmos padrão para chaves públicas são ed25519 e cv25519.
- gpg não usa mais algoritmos de tamanho de bloco de 64 bits para criptografia. O uso de 3DES é proibido e o AES é declarado como o algoritmo mínimo suportado. Para desabilitar a restrição, você pode usar a opção “--allow-old-cipher-algos”.
- Adicionado suporte para modos de criptografia de bloco AEAD OCB e EAX.
- É fornecido suporte para a versão 5 de chaves e assinaturas digitais.
- Adicionado suporte para curvas X448 (ed448, cv448).
- Tem permissão para usar nomes de grupos em listas de chaves.
- No gpg, os resultados da verificação agora dependem da opção “--sender” e do ID do criador da assinatura.
- Adicionada opção "--chuid" ao gpg, gpgsm, gpgconf, gpg-card e gpg-connect-agent para alterar o ID do usuário.
- Adicionadas opções "--full-timestrings" (saída de data e hora), "--force-sign-key" e "--no-auto-trust-new-key" ao gpg.
- O método legado de descoberta de chave PKA foi descontinuado e as opções associadas a ele foram removidas.
- Adicionada a capacidade de exportar chaves Ed448 para SSH para gpg.
- gpgsm adiciona suporte ECC básico e a capacidade de criar certificados EdDSA.
- O agente permite o uso do valor "Label:" no arquivo de chave para configurar o prompt do PIN. Implementado suporte para extensões ssh-agent para variáveis de ambiente.
- O Scd melhorou o suporte para vários leitores de cartões e tokens. Foi implementada a capacidade de usar vários aplicativos com um cartão inteligente específico. Adicionado suporte para cartões PIV, Telesec Signature Cards v2.0 e Rohde&Schwarz Cybersecurity. Adicionadas novas opções "--application-priority" e "--pcsc-shared".
- O utilitário symcryptrun foi removido (wrapper desatualizado sobre o utilitário externo Chiasmus.
- Na plataforma Windows, o suporte completo a Unicode é implementado na linha de comando.
Fonte: opennet.ru