id: Гость   вход   регистрация
текущее время 20:25 28/03/2024
Владелец: sentaus (создано 06/11/2014 15:39), редакция от 07/11/2014 10:03 (автор: sentaus) Печать
Категории: софт, gnupg, openpgp, спецификации, стандарты, свободный софт
создать
просмотр
редакции
ссылки

06.11 // Релиз GnuPG 2.1.0 modern


Выпущено большое обновление GnuPG – версия 2.1.0 "modern". Начиная с этого момента будут существовать три поддерживаемые ветки GnuPG


  • "modern" 2.1 – последняя версия с большим количеством новых возможностей.
  • "stable" 2.0 – текущая стабильная версия.
  • "classic" 1.4 – старая версия, не разделённая на компоненты, ныне рекомендуемая для встраиваемых систем.

Разработчики предупреждают, что будет невозможно установить одновременно "modern" и "stable" версию. Однако, можно установить "classic" вместе с любой другой.

Новые возможности версии 2.1


  • Файл "secring.gpg" больше не используется для хранения закрытых ключей. Теперь поддерживается объединение закрытых ключей.
  • Полностью удалена поддержка PGP2 ключей по соображениям безопасности.
  • Добавлена поддержка ECC
  • Теперь доступны команды для создания и подписи ключей без каких-либо дополнительных запросов.
  • Pinentry теперь умеет показывать поля для ввода и подтверждения парольной фразы в одном диалоге.
  • Теперь не нужно запускать вручную gpg-agent. Он будет запущен самим GnuPG, если понадобится.
  • Исправлены ошибки при импорте ключей с совпадающими длинными идентификаторами.
  • Dirmngr теперь часть GnuPG и используется для доступа к серверам ключей.
  • Улучшения в использовании пулов серверов ключей.
  • Публичные ключи на локальных связках теперь хранятся в новом формате. Это должно ускорить операции с большими связками.
  • Сертификаты отзыва теперь создаются по умолчанию.
  • Поддержка смарткарт была обновлена, теперь поддерживается больше новых считывателей и токенов.
  • Формат вывода ключей был обновлён.
  • gpg-agent теперь может использоваться под Windows как замена pagent для putty точно так же, как он используется в роли замены ssh-agent под Unix.
  • Улучшения в создании X.509 сертификатов. Теперь поддерживается экспорт в PKCS#8 и PEM для использования в TLS-серверах.

Детальное описание изменений доступно здесь.


Источник: http://lists.gnupg.org/pipermail/gnupg-announce/2014q4/000358.html


 
На страницу: 1, 2 След.
Комментарии [скрыть комментарии/форму]
— unknown (06/11/2014 17:27)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Ждём GnuPG "postmodern" :)
— SATtva (06/11/2014 17:33)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Тоже думал так пошутить, но решил не петросянить. :Р
— ressa (06/11/2014 23:14, исправлен 06/11/2014 23:21)   профиль/связь   <#>
комментариев: 1079   документов: 58   редакций: 59

Господа, не могу протестировать, нет доступа к компьютеру, подскажите а эта версия в batch-mode 8192-битные ключи генерирует или тоже патчить нужно?
Ну вот почему все упрощается?
"Упрощён штатный интерфейс генерации ключей (gpg2 --gen-key), который стал более прост для генерации подходящих ключей начинающими пользователями. Для создания ключей теперь можно ввести только имя и email."
Теперь вообще размер ключа вводить не нужно?

— unknown (07/11/2014 09:38)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

Рискну предположить, что --expert-mode никуда не делся.
— Гость (07/11/2014 10:35)   <#>
Теперь вообще размер ключа вводить не нужно?

Его и раньше не нужно было вводить, если согласен с дефолтным значением.
— sentaus (07/11/2014 15:33, исправлен 07/11/2014 15:35)   профиль/связь   <#>
комментариев: 1060   документов: 16   редакций: 32
Рискну предположить, что expert-mode никуда не делся.

А ещё есть --full-gen-key, который совпадает со старым.

— ressa (07/11/2014 15:59)   профиль/связь   <#>
комментариев: 1079   документов: 58   редакций: 59
Господа, а на счет 8192 нет информации? Может тоже в --expert-mode работает или нет?
— sentaus (08/11/2014 13:54)   профиль/связь   <#>
комментариев: 1060   документов: 16   редакций: 32
Кажется, таки надо патчить
— ressa (08/11/2014 20:13, исправлен 08/11/2014 20:20)   профиль/связь   <#>
комментариев: 1079   документов: 58   редакций: 59

Эх, вот почему нельзя в --expert-mode добавить.. Попробую на днях собрать и пропатчить, хотя наверняка там полный game over, код то переписан, еще найти бы.
Кому не сложно – прокомментируйте, пожалуйста, в двух словах этот этап генерации ключа:

Принципиальное различие и что целесообразнее выбирать. Заранее благодарен.

— unknown (09/11/2014 23:12, исправлен 09/11/2014 23:17)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

Если верить Бернштейну, то обе кривые — плохи. Открытое сообщество (но не разработчики GnuPG?) негласно предпочитает кривые от самого Бернштейна. Кривые от НИСТа вроде и Шнайер критиковал, опасаясь, что там в очередной раз могут выявиться манипуляции с константами, возникшие под давлением АНБ. В том же Tor решили, что если не НИСТ, то только кривые Бернштейна. Хотя сами Brainpool-кривые специально задумывались как выбранные с обоснованно неподтасованными псевдослучайнми числами даже в ущерб оптимизации производительности.


Что касается параметра размера ключа в самой кривой, то можно смело выбирать максимальный — в отличие от RSA это никак существенно не отразится на скорости при (рас)шифровании индивидуальной почты.

— ressa (10/11/2014 02:34)   профиль/связь   <#>
комментариев: 1079   документов: 58   редакций: 59
unknown, спасибо тебе. Я бы как раз по глупому наитию выбрал бы NIST P-521, лишь потому, что последние цифры больше, чем у Brainpool P-512... Печально быть недалеким..
— SATtva (10/11/2014 09:19)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
NIST P-521

А не опечатка ли это в коде?
— Гость (10/11/2014 09:51)   <#>

The sequence may seem suggestive of a typographic error. Nevertheless, the last value is 521 and not 512 bits.
Why do the elliptic curves recommended by NIST use 521 bits rather than 512?
it's to related to the fact that $2^{521}-1$ is prime.
— unknown (10/11/2014 10:00, исправлен 10/11/2014 11:33)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Prime Field Binary Field
||p|| = 192 m = 163
||p|| = 224 m = 233
||p|| = 256 m = 283
||p|| = 384 m = 409
||p|| = 521 m = 571

Curve P-521:
The modulus for this curve is p = 2521 – 1. Every integer A less than p2 can be written A = A1 • 2521 + A0


The expression for B is
B := A0 + A1 mod p


© fileFIPS PUB 186-2


FEDERAL INFORMATION
PROCESSING STANDARDS PUBLICATION
2000 January 27
U.S. DEPARTMENT OF COMMERCE/National Institute of Standards and Technology


Или более общая и свежая версия: FIPS 168-4.


В таблице Binary Field на самом деле — простые числа, а Prime Field, символизирующие стойкость, подбираются, чтобы по ним подобрать ближайшее Binary Field. Чем больше Prime Field, тем сложнее подобрать к нему соотв. Binary Field, так что приходиться использовать 521.


P.S. По поводу этих стандартов НИСТа напрашивается местное крылатое:
© Работу, набранную в ворде, хочется отправлять в мусорное ведро, не читая.

— unknown (10/11/2014 10:42, исправлен 10/11/2014 10:42)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

Разметка поехала… Или мне кажется?

На страницу: 1, 2 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3