The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Выпуск GnuPG 2.3.0

08.04.2021 22:16

Спустя три с половиной года с момента формирования прошлой значительной ветки представлен новый выпуск инструментария GnuPG 2.3.0 (GNU Privacy Guard), совместимого со стандартами OpenPGP (RFC-4880) и S/MIME, и предоставляющего утилиты для шифрования данных, работы с электронными подписями, управления ключами и доступа к публичным хранилищам ключей.

GnuPG 2.3.0 позиционируется как первый выпуск новой кодовой базы, включающей самые свежие разработки. GnuPG 2.2 рассматривается как стабильная ветка, оптимальная для повсеместного использования, которая будет поддерживаться как минимум до 2024 года. GnuPG 1.4 продолжает сопровождаться в качестве классической серии, потребляющей минимальные ресурсы, подходящей для встраиваемых систем и совместимой с устаревшими алгоритмами шифрования.

Основные новшества GnuPG 2.3.0:

  • Предложен экспериментальный фоновый процесс с реализацией базы данных ключей, использующий для хранения СУБД SQLite и демонстрирующий более быстрый поиск ключей. Для включения нового хранилища следует активировать в gpg.conf и gpgsm.conf опцию "use-keyboxd".
  • Добавлена новая утилита gpg-card, которую можно использовать как гибкий интерфейс для всех поддерживаемых типов смарткарт.
  • Добавлен новый фоновый процесс tpm2d, позволяющий использовать чипы TPM 2.0 для защиты закрытых ключей и выполнения операций шифрования или создания цифровых подписей на стороне TPM-модуля.
  • В качестве алгоритмов по умолчанию для открытых ключей задействованы ed25519 и cv25519.
  • В gpg прекращено использование для шифрования алгоритмов с размером блока в 64 бита. Использование 3DES запрещено, а в качестве минимально поддерживаемого алгоритма заявлен AES. Для отключения ограничения можно использовать опцию "--allow-old-cipher-algos".
  • Добавлена поддержка AEAD-режимов блочного шифрования OCB и EAX.
  • Обеспечена поддержка пятой версии (с идентификатором на базе SHA256 вместо SHA1) ключей и цифровых подписей.
  • Добавлена поддержка кривых X448 (ed448, cv448).
  • Разрешено использование имён групп в списках ключей.
  • В gpg результаты проверки теперь зависят от опции "--sender" и идентификатора создателя подписи.
  • В gpg, gpgsm, gpgconf, gpg-card и gpg-connect-agent добавлена опция "--chuid" для смены идентификатора пользователя.
  • В gpg добавлены опции "--full-timestrings" (вывод даты и времени), "--force-sign-key" и "--no-auto-trust-new-key".
  • Прекращена поддержка устаревшего метода обнаружения ключей PKA и удалены связанные с ним опции.
  • В gpg добавлена возможность экспорта ключей Ed448 для SSH.
  • В gpgsm добавлена базовая поддержка ECC и возможность создания сертификатов EdDSA.
  • В агенте разрешено использования значения "Label:" в файле ключей для настройки приглашения ввода PIN-кода. Реализована поддержка расширений ssh-agent для переменных окружения.
  • В scd улучшена поддержка нескольких кардридеров и токенов. Реализована возможность использования нескольких приложений с определённой смарткартой. Добавлена поддержка карт PIV, Telesec Signature Cards v2.0 и Rohde&Schwarz Cybersecurity. Добавлены новые опции "--application-priority" и "--pcsc-shared".
  • Удалена утилита symcryptrun (устаревшая обвязка над внешней утилитой Chiasmus.
  • На платформе Windows реализована полная поддержка Unicode в командной строке.


  1. Главная ссылка к новости (https://lists.gnupg.org/piperm...)
  2. OpenNews: Критическая уязвимость в библиотеке Libgcrypt 1.9.0, затрагивающая GnuPG и systemd
  3. OpenNews: Обновление GnuPG 2.2.23 с устранением критической уязвимости
  4. OpenNews: Разработчики GnuPG предупредили о трудноустранимой атаке на серверы ключей
  5. OpenNews: Доступен NeoPG 0.0.6, форк GnuPG 2
  6. OpenNews: Выпуск GnuPG 2.2.0
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/54928-gnupg
Ключевые слова: gnupg, crypt
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (64) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, InuYasha (??), 22:22, 08/04/2021 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ]     [к модератору]
  • –1 +/
     

     ....ответы скрыты (4)

  • 1.2, timur.davletshin (ok), 22:46, 08/04/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Всё бы хорошо, но осилить его так массы и не смогли. А про обмен ключами вообще молчу. Его не осилили даже массы из целевой аудитории. Плюс, опять какая-то фрагментация наметилась с этими новыми autocrypt'ами и p≡p.

    Короче, нет в жизни счастья )))

    P.S. ироничность в том, что auto-key-retrieve вроде как даже по дефолту сделали и оно даже работает в первом приближении (доверять или нет скаченному всё же приходится ручками). Но перевыгрузить ключи на новый дефолтный сервер, который не подвержен спаму подписями, смогли далеко не все. Увы.

     
     
  • 2.9, Аноним (7), 23:05, 08/04/2021 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Массы ленивы, от SSH бывает закрытый ключ присылают
     
     
  • 3.11, timur.davletshin (ok), 23:12, 08/04/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    О, это отдельная песня! Ещё с SSL сертификатами вообще швах. У меня тут как-то вполне себе успешный (уже давно руководитель) коллега утверждал на кислых щах, что какой-нибудь CA (пускай Digicert) может читать HTTPS трафик условно того же whitehouse.gov )))
     
     
  • 4.18, DeerFriend (?), 00:38, 09/04/2021 [^] [^^] [^^^] [ответить]  
  • +10 +/
    В зависимости от контекста, он мог быть даже прав. Любой CA, присутствующий у тебя в браузере в списке доверенных, договорившись с твоим провайдером, может выпустить сертификаты для митм, с помощью которых сможет читать твой трафик.
    На этом была основана попытка Казахстана обязать своих граждан добавить национальный сертификат в список доверенных в браузер.
     
     
  • 5.20, Аноним (20), 00:43, 09/04/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Хех, опередили на секунды
     
  • 5.24, Lex (??), 05:03, 09/04/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    В рамках «защиты от терроризма», в сша могут не только прослушивать всех кого не лень.
    Более-менее крупные конторы, работающие с сетью, регулярно «куда надо» ключи передают.. или не передают и не работают в сша.

    Казахстан решил более простым путём пойти, но чем закончилось - неизвестно( вроде бы, особо ничем )

     
     
  • 6.26, Аноним (26), 08:30, 09/04/2021 [^] [^^] [^^^] [ответить]  
  • +/
    >Более-менее крупные конторы, работающие с сетью, регулярно «куда надо» ключи передают.. или не передают и не работают в сша.

    По какому закону?

     
     
  • 7.38, Lex (??), 12:06, 09/04/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > По какому закону?

    Ты не в РФ, чтобы конкретный закон спрашивать - у каждого штата весьма большая свобода в законотворчестве.

    Происходит это на базе жирного федерального закона - т.н Патриотического акта, принятого по итогу того_самого 11 сентября.  Закон, в частности, расширил права ФБР по подслушиванию и электронной слежке, что многими было расценено как нарушение четвёртой поправки к конституции.
    Принят, кстати, еще осенью далекого 2001-го.

    С 2015-го для АНБ формально запретили неограниченную электронную слежку и прослушивание. Но возможность подобного по суду - оставили. Другое дело, что помимо анб еще куча ведомств информацию любыми способами добывала.
    Для остальных ведомств - когда как. Отдельно стоит упомянуть, что запрет( ограничение. По суду или при наличии подозрений - можно ) прослушивания и электронной слежки относился лишь к гражданам сша.

     
  • 5.28, timur.davletshin (ok), 08:49, 09/04/2021 [^] [^^] [^^^] [ответить]  
  • –6 +/
    > В зависимости от контекста, он мог быть даже прав. Любой CA, присутствующий
    > у тебя в браузере в списке доверенных, договорившись с твоим провайдером,
    > может выпустить сертификаты для митм, с помощью которых сможет читать твой
    > трафик.
    > На этом была основана попытка Казахстана обязать своих граждан добавить национальный сертификат
    > в список доверенных в браузер.

    Ну вот и ещё один "специалист" нашёлся.

     
  • 5.41, DmA (??), 17:11, 09/04/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    поэтому фсб и требует предустановка отечественных программ на пк и телефоны, с программами проставтятся и нужные СА,  чтобы можно было любой трафик смотреть.
    Странные эти госконторы, на заборе пишешь, недовольны, незаметно пишешь, хотят, чтобы им видно было! Начитались роман "1984", про мыслепреступление :)
     
     
  • 6.59, timur.davletshin (ok), 17:21, 10/04/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Что сможет приложение яндекса, посаженное в "песочницу" с отключенными правами (уже не говорю, если я его вообще банально отключу)? Ах, да, непоправимо травмировать психику мнительных личностей оно сможет.
     
  • 4.19, Аноним (20), 00:42, 09/04/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Вообще-то может. Делает mitm, подсовывает сертификат закрывающий whitehouse.gov и свой рутовый (ну или свой промежуточный, удостоверенный рутовым). Собственно стать удостоверяющим центром и было неудачным планом казахстана по захвату мира. Собственно фишинг на том и живет, за исключением того что не может выпустить серт на сам домен и выпускает на whiteh0use.gov.
     
     
  • 5.45, timur.davletshin (ok), 18:51, 09/04/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > подсовывает сертификат закрывающий whitehouse.gov

    Поподробнее с этого момента.

     
  • 2.39, suffix (ok), 12:14, 09/04/2021 [^] [^^] [^^^] [ответить]  
  • –3 +/
    А простому пользователю в обычной жизни зачем он нужен ?

    Для шифрования переписки хватает s/mime который и без сабжа можно бесплатно получить и обмен ключами s/mime прост как валенок !

     
     
  • 3.46, timur.davletshin (ok), 18:54, 09/04/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > А простому пользователю в обычной жизни зачем он нужен ?
    > Для шифрования переписки хватает s/mime который и без сабжа можно бесплатно получить
    > и обмен ключами s/mime прост как валенок !

    Смеялсо. А что там с обменом "ключами"? Найдёшь ключ по адресу почты? В реальности единственное преимущество s/mime в том, что оно в коммерческих почтовиках реализовано "изкаропки". В остальном всё ещё хуже, чем в PGP/GPG (включая безопасность). Но зато его реально используют в некоторых конторах, контор же, где было бы PGP/GPG обязательным, я не видел.

    P.S. простому пользователю знать про шифрование не нужно вообще. Ему нужен тикток/ютуб и вотсап с инстой.

     
     
  • 4.47, suffix (ok), 19:08, 09/04/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Ну то что есть целые, доступные всем сервисы для хранения публичных ключей понятно что Вы не знаете - там как раз по почте и ищется.

    Но в моём случае всё ещё проще - мой ник suffix, общаюсь на русском - достаточно зайти на https://suffix.ru

     
     
  • 5.48, timur.davletshin (ok), 19:12, 09/04/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Ну то что есть целые, доступные всем сервисы для хранения публичных ключей понятно что Вы не знаете - там как раз по почте и ищется.

    И конечно же вы назовёте их и ткнёте меня моськой в инструкцию, как это подцепить в Outlook или почту на Андроиде. Прямо жду )))

     
     
  • 6.49, suffix (ok), 19:28, 09/04/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Да, пожалуйста:

    https://www.globaltrustpoint.com/

    И мой там есть :)

     
     
  • 7.50, timur.davletshin (ok), 19:35, 09/04/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    И как ты себе предлагаешь общение данного самодельного сервиса с любой из почтовых программ? Я же говорил, в случае с s/mime всё ещё хуже, чем с PGP/GPG.
     
     
  • 8.51, suffix (ok), 19:37, 09/04/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Главное что можно скачать public key - а уж ручками куда угодно вставить можно -... текст свёрнут, показать
     
     
  • 9.52, timur.davletshin (ok), 19:44, 09/04/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    У PGP GPG хоть какой-то механизм поиска и дефолтные сервера имеются, а тут полто... текст свёрнут, показать
     
     
  • 10.53, suffix (ok), 19:47, 09/04/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    1 Вообще-то там и инструкция есть по интеграции https www globaltrustpoint c... текст свёрнут, показать
     
     
  • 11.54, timur.davletshin (ok), 19:52, 09/04/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Спасибо, я лучше бесплатно себе GPG PGP выпущу ... текст свёрнут, показать
     
     
  • 12.55, suffix (ok), 19:55, 09/04/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ну на год-то и s mime бесплатные есть - и таки для простых людей они в разы ле... текст свёрнут, показать
     
  • 2.60, Аноним (60), 17:54, 10/04/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > осилить его так массы и не смогли.

    Другого пути нет. Массы программистов должны осилить PGP для подписи комитов и релизов.

     
     
  • 3.62, timur.davletshin (ok), 18:19, 10/04/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Массы программистов должны осилить PGP для подписи комитов и релизов.

    Зачем? Большая часть проектов без этого обходится.

     

  • 1.3, Аноним (3), 22:47, 08/04/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –6 +/
    Жуткий комбайн. Сколько ни пытался начать разобираться в этом всём, ни разу не смог. А нужно ли? Вот тут нелестно отзываются о GPG: https://latacora.micro.blog/2019/07/16/the-pgp-problem.html
     
     
  • 2.5, timur.davletshin (ok), 22:54, 08/04/2021 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Вот и все так. Forward secrecy же банально не нужен. Напрямую им вообще никто не пользуется. Зачем мне знать все эти опции, если я шифрую сообщения в почтовике или мессенджере? Надо только уметь секретный ключ хранить и не забыть пароль. Но и это осилили единицы. Поэтому и юзаем двухфакторную аутентификацию с привязкой к номеру телефона. Три четверти вон каждый раз при покупке нового телефона округляет глаза и спрашивает "какой такой логин и пароль? я ничего не помню".
     
     
  • 3.61, Аноним (60), 17:58, 10/04/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Надо только уметь секретный ключ хранить

    Научи. Я на полном чертеже, но буду критиковать.


     
     
  • 4.63, timur.davletshin (ok), 18:24, 10/04/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Научи. Я на полном чертеже, но буду критиковать.

    Критикуй: https://www.kernel.org/doc/html/latest/process/maintainer-pgp-guide.html

     
  • 2.8, Аноним (8), 23:01, 08/04/2021 [^] [^^] [^^^] [ответить]  
  • +/
    может ты еще и SELinux не осилил?
     
     
  • 3.16, Аноним (-), 00:13, 09/04/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > SELinux

    в отличии от крайне нужного сабжа, SELinux - малополезная шляпа.
    крутые малварщики и вирмейкры под линукс пренебрежительно отзываются о SELinux.
    на лоре или опеннете малограмотные юзеры уповают на этот SELinux. что как бы показывает неказистый уровень... лучше статьи хермита почитайте...

     
     
  • 4.27, Аноним (26), 08:35, 09/04/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >SELinux - малополезная шляпа

    ... для анонимов опеннета. После обработки высокооплачиваемыми специалистами на фуллтайме- весьма полезная. Напр. почти полностью прибивает dirty cow на старых вёдрах, при использовании методов обхода рут получается ненадёжно, прошивкой рекавери, с тройной перезагрузкой и риском кирпича.

     
     
  • 5.68, Аноним (-), 02:52, 05/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    а ты шо сам не аноним с опеннета и хватит ссылаться на высокооплачиваемых с... большой текст свёрнут, показать
     
  • 2.22, Аноним (20), 00:49, 09/04/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Конечно нужно, это ж самое распространенное и надежное из альтернатив.
    Для разработчиков и вовсе грех такое не знать, множество софта используют gpg и не понимать как он абстрактно работает автоматически отправляет в лигу макак.
    Для пользователя тоже будет не лишним, хотя бы чтобы переписываться без ограничений и бекапы шифровать.
    Основы то легко учатся, достаточно потратить вечер (а то и 3-4 часа), а вчитываться во всевозможные алгоритмы и запоминать все ключи смысла нет никакого.
     
     
  • 3.35, Аноним (3), 11:36, 09/04/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Не знаю, что это и зачем оно для разработчика, но для пользователя точно не нужно. Переписка шифруется мессенджером, бекап и прочие файлы — luks2, veracrypt и ещё уйма средств для шифрования файлов. И на освоение всего это уйдёт меньше часа. Потому что это не древнее легаси с криптографией времён говна мамонтов, а продукт сделанный для пользователя.
     

  • 1.10, Аноним (10), 23:11, 08/04/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –5 +/
    С тех пор как задудосили сервера 2 года назад все дружно отказались от повсеместного использования и полезность упала.
     
     
  • 2.13, timur.davletshin (ok), 23:20, 08/04/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Сервера не прекращали работать, пострадали только те, у кого были в связках ключи, подписанные кучей левых подписей. Да и запилили новые дефолтные сервера давно. Но, как я писал выше, осилить gpg --refresh-keys смогли не все.
     
     
  • 3.31, Аноним (10), 09:49, 09/04/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Ну конечно, проблемы не у серверов (которые позволяют слишком много и не верифицируют), а у клиентов (gnupg). Однако, факт имеет место, все дружно перешли с публичных серверов на васяносервера (которым уже нет никакого доверия и которые могут быть скомпроментированы одновременно, поскольку являются частью одной инфраструктуры) и в итоге это никому не надо стало ssl is good enough и вообще заигрались с верификациями: так нужный пейлоад не подсунешь и сообщение не подменишь.
     
     
  • 4.44, timur.davletshin (ok), 18:44, 09/04/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Какие васяносервера? Там все сервера от васяна, просто один по дефолту.
     

  • 1.12, timur.davletshin (ok), 23:17, 08/04/2021 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ]     [к модератору]
  • –2 +/
     

     ....ответы скрыты (8)

  • 1.25, Аноним (26), 07:42, 09/04/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >Предложен экспериментальный фоновый процесс

    Неужели без фоновых процессов нельзя?

     
     
  • 2.30, анон (?), 09:21, 09/04/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Это же электрон.
     

  • 1.34, Аноним (33), 11:19, 09/04/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Оффтоп, но вы обратили внимание, что админы освоили Let's encrypt?
     
     
  • 2.37, Anonizmus (?), 12:04, 09/04/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Let's Encrypt - да, но вот всякие certbot осилить без помощи индусских статеек я так и не сумел. Мне проще было открыть RFC и наговнокодить свой клиент, чем допиливать то, что есть.
     

  • 1.42, DmA (??), 17:12, 09/04/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    кто-нибудь пробовал использоват  OpenPGP_card с GnuPG https://en.wikipedia.org/wiki/OpenPGP_card ?
     
  • 1.57, Аноним (57), 12:43, 10/04/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Столько жалоб при этом в комментах к новостям альтернативных реализаций пишут "НИНУЖНО".

    Как же не нужно, если для использования этой реализации нужно сначала получить степень в Computer Science? И то не факт, что поможет.

     
  • 1.64, Аноним (64), 19:04, 10/04/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Новая кривая)) А люди, до сих пор юзают говно-RSA
     
  • 1.65, Аноним (64), 19:09, 10/04/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Блин, вот бы Bitwarden умел в публичные ключи GPG и шифрование оными
     
  • 1.66, Anona (?), 22:16, 10/04/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Что разработчики думают о проблеме 2038 года? В стандарте RFC4880 для таймштампов 4 байта.
     
  • 1.67, leibniz (ok), 11:35, 12/04/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Слава PGP! PGP слава!
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру