Після п'яти років розробки представлений реліз інструментарію GnuPG 2.4.0 (GNU Privacy Guard), сумісного зі стандартами OpenPGP (RFC-4880) і S/MIME, що надає утиліти для шифрування даних, роботи з електронними підписами, управління ключами та доступу до публічних сховищ ключів.
GnuPG 2.4.0 позиціонується як перший випуск нової стабільної гілки, яка увібрала зміни, накопичені при підготовці випусків 2.3.x. Гілка 2.2 переведена в розряд старої стабільної гілки, яка буде підтримуватись до кінця 2024 року. Гілка GnuPG 1.4 продовжує супроводжуватися як класична серія, що споживає мінімальні ресурси, придатна для вбудованих систем і сумісна з застарілими алгоритмами шифрування.
Ключові зміни в GnuPG 2.4 порівняно з минулою стабільною гілкою 2.2:
- Додано фоновий процес з реалізацією бази даних ключів, який використовує для зберігання СУБД SQLite і демонструє значно швидший пошук ключів. Для включення нового сховища слід активувати опцію «use-keyboxd» у common.conf.
- Додано фоновий процес tpm2d, що дозволяє використовувати чіпи TPM 2.0 для захисту закритих ключів та виконання операцій шифрування або створення цифрових підписів на стороні TPM-модуля.
- Додана нова утиліта gpg-card, яку можна використовувати як гнучкий інтерфейс для всіх типів смарткарт, що підтримуються.
- Додано нову утиліту gpg-auth для аутентифікації.
- Додано новий спільний файл конфігурації common.conf, який задіяний для включення фонового процесу keyboxd без роздільного додавання налаштувань gpg.conf і gpgsm.conf.
- Забезпечено підтримку п'ятої версії ключів та цифрових підписів, в якій використовується алгоритм SHA256 замість SHA1.
- Як алгоритми за промовчанням для відкритих ключів задіяні ed25519 і cv25519.
- Додано підтримку AEAD-режимів блокового шифрування OCB та EAX.
- Додано підтримку еліптичних кривих X448 (ed448, cv448).
- Дозволено використання імен груп у списках ключів.
- gpg, gpgsm, gpgconf, gpg-card і gpg-connect-agent додана опція «—chuid» для зміни ідентифікатора користувача.
- На платформі Windows реалізовано повну підтримку Unicode у командному рядку.
- Додано збірну опцію «—with-tss» для вибору бібліотеки TSS.
- gpgsm додана базова підтримка ECC і можливість створення сертифікатів EdDSA. Додано підтримку розшифрування даних, зашифрованих з використанням пароля. Додано підтримку розшифрування AES-GCM. Додані нові опції «ldapserver» і show-certs.
- В агенті дозволено використання значення Label: у файлі ключів для налаштування запрошення введення PIN-коду. Реалізовано підтримку розширень ssh-agent для змінних оточення. Додано емуляцію Win32-OpenSSH через gpg-agent. Для створення fingerprint-відбитків SSH-ключів за замовчуванням задіяний алгоритм SHA-256. Додані опції «pinentry-formatted-passphrase» і «check-sym-passphrase-pattern».
- У scd покращена підтримка роботи з кількома кардрідерами та токенами. Реалізовано можливість використання кількох додатків із певною смарткартою. Додана підтримка карт PIV, Telesec Signature Cards v2.0 та Rohde&Schwarz Cybersecurity. Додані нові опції "-application-priority" і "-pcsc-shared".
- В утиліту gpgconf додано опцію «-show-configs».
- Зміни до gpg:
- Додано параметр "-list-filter" для вибіркового формування списку ключів, наприклад "gpg -k -list-filter 'select=revoked-f && sub/algostr=ed25519'".
- Додані нові команди та опції: quick-update-pref, show-pref, show-pref-verbose, export-filter export-revocs, full-timestrings, min- rsa-length», «forbid-gen-key», override-compliance-check, force-sign-key і no-auto-trust-new-key.
- Додано підтримку імпорту довільних списків відкликаних сертифікатів.
- У 10 чи більше разів прискорено перевірку цифрових підписів.
- Результати перевірки тепер залежать від опції «sender» та ідентифікатора творця підпису.
- Додано можливість експортувати ключі Ed448 для SSH.
- Дозволено використання лише режиму OCB при AEAD-шифруванні.
- Дозволено розшифровку без публічного ключа за наявності вставленої смарткарти.
- Для алгоритмів ed448 та cv448 тепер примусово включається створення ключів п'ятої версії
- При імпорті із сервера LDAP за промовчанням вимкнено застосування опції self-sigs-only.
- gpg припинено використання для шифрування алгоритмів з розміром блоку в 64 біта. Використання 3DES заборонено, а як мінімально підтримуваний алгоритм заявлений AES. Для відключення обмеження можна використовувати опцію "-allow-old-cipher-algos".
- Видалена утиліта symcryptrun (застаріла обв'язка над зовнішньою утилітою Chiasmus).
- Припинено підтримку застарілого методу виявлення ключів PKA та видалено пов'язані з ним опції.
Джерело: opennet.ru