LINUX.ORG.RU

новость! теперь GnuPG будет подписывать через SHA256 а не SHA1

 , , ,


0

2

дорый вечер друзья!

(писать новости я не умею, поэтому оставлю это тут).

теперь наконец-то GnuPG будет делать цифровые подписи — через использование SHA256 а не SHA1 (по умолчанию).

официальная ссылка на новость: [git-d332467]

ну и ещё в добавок — дополнительная мини-новость:

при шифровании — будет использоваться AES-128 вместо CAST5 (по умолчанию).

официальная ссылка на мини-новость: [git-57df112]

отпразднуем это событие <методом-который-вы-используете-для-отпразнования-событий>!

------------------------------------------------------------

"""
GNU Privacy Guard (GnuPG, GPG) — свободная программа для шифрования информации и создания электронных цифровых подписей. Разработана как альтернатива PGP и выпущена под свободной лицензией GNU General Public License. GnuPG полностью совместима со стандартом IETF OpenPGP. Текущие версии GnuPG могут взаимодействовать с PGP и другими OpenPGP-совместимыми системами.
""" (c) Wikipedia

по умолчанию

расходимся

anonymous ()
Ответ на: комментарий от Black_Roland

а почему должно сломаться?

наоборот! всё должно только улучшиться! :-)

user_id_68054 ★★★★★ ()
Последнее исправление: user_id_68054 (всего исправлений: 1)
Ответ на: комментарий от user_id_68054

Старые бэкапы делались со старым дефолтом, и теперь Duplicity не сможет их расшифровать. Вроде на случай смены алгоритма шифрования там ничего не предусмотрено.

Black_Roland ★★★★ ()
Ответ на: комментарий от Black_Roland

Старые бэкапы делались со старым дефолтом, и теперь Duplicity не сможет их расшифровать.

а он расшифровывает сам или использует опять же GnuPG?

[ясное дело что GnuPG сможет рсшифровать то что само нашифровало :).. главное, был бы только нужный ключ]

user_id_68054 ★★★★★ ()
Ответ на: комментарий от Black_Roland

я бы конечно рад был бы, если бы старые алгоритмы не только убрали бы из дефорта, но и вообще удалили бы :) ...

...но реальность такова что обратную совместимость — будут держать даже при угрозе лёгкой небезопасности

user_id_68054 ★★★★★ ()

Ну чо, хорошо!

Deleted ()

Это же означает только то, что по умолчанию ключи будут с нужным порядком chiper'ов и mac'ов. Лучше бы уже по умолчанию сделали ECDSA.

ValdikSS ★★★★★ ()
Ответ на: комментарий от ValdikSS

ECDSA — эт хорошо.

но ведь придётся тогда себе новый ключ делать (и старый переименовывать в что-то типа «это мой бывший ключ я его больше не использую, используйте 0x12345678»)

:-)

user_id_68054 ★★★★★ ()
Последнее исправление: user_id_68054 (всего исправлений: 1)
Ответ на: комментарий от user_id_68054

Нет, не придется. Достаточно будет сгенерировать субключи ECDSA, а RSA (или DSA) пусть остаются.

ValdikSS ★★★★★ ()
Ответ на: комментарий от ValdikSS

Лучше бы уже по умолчанию сделали ECDSA.
...
Достаточно будет сгенерировать субключи ECDSA, а RSA (или DSA) пусть остаются.

так, стоп, погоди...

вот я делаю следующее:

$ gpg --edit-key 15E6F6C7

gpg (GnuPG) 2.0.26; Copyright (C) 2013 Free Software Foundation, Inc.
This is free softwareblahblahblah... ... ...

gpg> addkey
This key is not protected.
Please select what kind of key you want:
   (3) DSA (sign only)
   (4) RSA (sign only)
   (5) Elgamal (encrypt only)
   (6) RSA (encrypt only)

дальше какой пункт (3,4,5,6,...?) мне нужно выбрать чтобы сгенерировать бы ещё и ECDSA в дополнение к этому уже существующему RSA-ключу?

или я что-то не так пытаюсь сделать? :)

# UPD: такое ощущение что мне нужна версия gnupg-2.1

user_id_68054 ★★★★★ ()
Последнее исправление: user_id_68054 (всего исправлений: 1)
Ответ на: комментарий от ValdikSS

тык это получается, что нарушится обратная совместимость(!), в случае если сгенерировать ключ «ECDSA and ECDH» без «RSA and RSA»?

в таком случае поумлчанию «ECDSA and ECDH» — не будет выбираться для генерирования утилитой gnupg в ближайние N лет её развития — это гарантировано :) ..

...ясное дело что тянуть обратную совместимость (относительно более старых версий gnupg) — важнее чем устранение небезопасностей (такой вывод можно сделать — судя по тому сколько лет тянулся дефолтный SHA1-алгоритм для подписей). :-)

user_id_68054 ★★★★★ ()
Последнее исправление: user_id_68054 (всего исправлений: 2)
Ответ на: комментарий от user_id_68054

Никакая обратная совместимость не нарушается. Некоторые другие PGP-клиенты умеют ECDSA. А иметь в ключе несколько сабключей разных типов не несет в себе проблемы. Подписи станут короткими-короткими.

ValdikSS ★★★★★ ()
Ответ на: комментарий от ValdikSS

А иметь в ключе несколько сабключей разных типов не несет в себе проблемы

это я понимаю.. да :) ..

но если рассмотреть ситуацию про «по-умолчанию»:

«что будет если вдруг ECDSA and ECDH стенет default, вместо RSA and RSA, в диалоговом окне gpg --gen-key

а в этом случае — предполагаю, что RSA-субключи даже не будут генерироваться! (до тех пор пока ты сам вручную их не сгенерируешь через gpg --edit-key ...). верно я предположил? :)

Подписи станут короткими-короткими.

это несомненный плюс!

именно из-за этого, кстати, я несколько лет назад избавился от своего 4096-RSA-ключа , поменяв его на новый (более слабый) 2048-RSA-ключ .. так как слишком длинные подписи — подзадолбали меня (не культурно это!) :)

но опять-же проблемка, следующая:

тот кто подпишет своё сообщение через ECDSA — молодца и почёт ему! однако кто сможет проверить его цифровую подпись? только лишь тот у кого gnupg-утилита имеет свежую внрсию (верно?) — а это значит что gnupg-разработчики врядли пойдут на такой шаг :) .

Некоторые другие PGP-клиенты умеют ECDSA.

начиная с какой версии — gnupg умеет проверять подпись, сделанную через ECDSA? (это я не упрекнуть пытаюсь, а просто сам не знаю.. потому и спрашиваю)

user_id_68054 ★★★★★ ()
Последнее исправление: user_id_68054 (всего исправлений: 2)
Ответ на: комментарий от user_id_68054

GnuPG еще не умеет ECDSA, только в beta-версии 2.1.

Вы могли бы сгенерировать себе 1024 DSA subkey для подписи, а не удалять старый RSA 4096.

ValdikSS ★★★★★ ()
Ответ на: комментарий от ValdikSS

а оправь пожалуйста что-нибудь сюда в эту тему — какое-нибудь сообщение подписанное (gpg -a --sign ...) через ECDSA ..

было бы интересно глянуть как это воспримит мой gnupg-2.0.26 ([gpg --version]). какую ошибку напишет..

Вы могли бы сгенерировать себе 1024 DSA subkey для подписи, а не удалять старый RSA 4096.

ды, верно, вобщем-то.. (ды давно было дело.. в тот момент — не хотел тянуть всю legacy. подумал что пока могу поменять ключ без особых последствий, поменяю)

user_id_68054 ★★★★★ ()
Последнее исправление: user_id_68054 (всего исправлений: 3)
Ответ на: комментарий от user_id_68054

Я не пользуюсь ECDSA PGP-ключами, у меня их нет, поэтому и хочу, чтобы побыстрее зарелизили версию с поддержкой.

ValdikSS ★★★★★ ()
Ответ на: комментарий от ValdikSS

ясно.. ну ради такого эксперимента — исходники беты думаю компилировать не стоит :)

user_id_68054 ★★★★★ ()
Ответ на: комментарий от user_id_68054
-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: GnuPG v2
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=wkBs
-----END PGP PUBLIC KEY BLOCK-----
-----BEGIN PGP MESSAGE-----
Version: GnuPG v2
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=FGus
-----END PGP MESSAGE-----
edigaryev ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.