После пяти лет разработки представлен релиз инструментария GnuPG 2.4.0 (GNU Privacy Guard), совместимого со стандартами OpenPGP (RFC-4880) и S/MIME, и предоставляющего утилиты для шифрования данных, работы с электронными подписями, управления ключами и доступа к публичным хранилищам ключей.
GnuPG 2.4.0 позиционируется как первый выпуск новой стабильной ветки, которая вобрала в себя изменения, накопленные при подготовке выпусков 2.3.x. Ветка 2.2 переведена в разряд старой стабильной ветки, которая будет поддерживаться до конца 2024 года. Ветка GnuPG 1.4 продолжает сопровождаться в качестве классической серии, потребляющей минимальные ресурсы, подходящей для встраиваемых систем и совместимой с устаревшими алгоритмами шифрования.
Ключевые изменения в GnuPG 2.4 по сравнению с прошлой стабильной веткой 2.2:
- Добавлен фоновый процесс с реализацией базы данных ключей, использующий для хранения СУБД SQLite и демонстрирующий значительно более быстрый поиск ключей. Для включения нового хранилища следует активировать в common.conf опцию “use-keyboxd”.
- Добавлен фоновый процесс tpm2d, позволяющий использовать чипы TPM 2.0 для защиты закрытых ключей и выполнения операций шифрования или создания цифровых подписей на стороне TPM-модуля.
- Добавлена новая утилита gpg-card, которую можно использовать как гибкий интерфейс для всех поддерживаемых типов смарткарт.
- Добавлена новая утилита gpg-auth для аутентификации.
- Добавлен новый общий файл конфигурации common.conf, который задействован для включения фонового процесса keyboxd без раздельного добавления настроек в gpg.conf и gpgsm.conf.
- Обеспечена поддержка пятой версии ключей и цифровых подписей, в которой используется алгоритм SHA256 вместо SHA1.
- В качестве алгоритмов по умолчанию для открытых ключей задействованы ed25519 и cv25519.
- Добавлена поддержка AEAD-режимов блочного шифрования OCB и EAX.
- Добавлена поддержка эллиптических кривых X448 (ed448, cv448).
- Разрешено использование имён групп в списках ключей.
- В gpg, gpgsm, gpgconf, gpg-card и gpg-connect-agent добавлена опция “–chuid” для смены идентификатора пользователя.
- На платформе Windows реализована полная поддержка Unicode в командной строке.
- Добавлена сборочная опция “–with-tss” для выбора TSS-библиотеки TSS.
- В gpgsm добавлена базовая поддержка ECC и возможность создания сертификатов EdDSA. Добавлена поддержка расшифровки данных, зашифрованных с использованием пароля. Добавлена поддержка расшифровки AES-GCM. Добавлены новые опции “–ldapserver” и “–show-certs”.
- В агенте разрешено использования значения “Label:” в файле ключей для настройки приглашения ввода PIN-кода. Реализована поддержка расширений ssh-agent для переменных окружения. Добавлена эмуляция Win32-OpenSSH через gpg-agent. Для создания fingerprint-отпечатков SSH-ключей по умолчанию задействован алгоритм
SHA-256. Добавлены опции “–pinentry-formatted-passphrase” и “–check-sym-passphrase-pattern” - В scd улучшена поддержка работы с несколькими кардридерами и токенами. Реализована возможность использования нескольких приложений с определённой смарткартой. Добавлена поддержка карт PIV, Telesec Signature Cards v2.0 и Rohde&Schwarz Cybersecurity. Добавлены новые опции “–application-priority” и “–pcsc-shared”.
- Изменения в gpg:
- Добавлен параметр “–list-filter” для выборочного формирования списка ключей, например “gpg -k –list-filter ‘select=revoked-f && sub/algostr=ed25519′”.
- Добавлены новые команды и опции: “–quick-update-pref”, “show-pref”, “show-pref-verbose”, “–export-filter export-revocs”, “–full-timestrings”, “–min-rsa-length”, “–forbid-gen-key”, “–override-compliance-check”, “–force-sign-key” и “–no-auto-trust-new-key”.
- Добавлена поддержка импорта произвольных списков отозванных сертификатов.
- В 10 или более раз ускорена проверка цифровых подписей.
- Результаты проверки теперь зависят от опции “–sender” и идентификатора создателя подписи.
- Добавлена возможность экспорта ключей Ed448 для SSH.
- Разрешено использование только режима OCB при AEAD-шифровании.
- Разрешена расшифровка без публичного ключа при наличии вставленной смарткарты.
- Для алгоритмов ed448 и cv448 теперь принудительно включается создания ключей пятой версии
- При импорте из сервера LDAP по умолчанию отключено применение опции self-sigs-only.
- В утилиту gpgconf добавлена опция “–show-configs”.
- В gpg прекращено использование для шифрования алгоритмов с размером блока в 64 бита. Использование 3DES запрещено, а в качестве минимально поддерживаемого алгоритма заявлен AES. Для отключения ограничения можно использовать опцию “–allow-old-cipher-algos”.
- Удалена утилита symcryptrun (устаревшая обвязка над внешней утилитой Chiasmus.
- Прекращена поддержка устаревшего метода обнаружения ключей PKA и удалены связанные с ним опции.