LibrePGP, en uppdaterad gaffel av OpenPGP

Darkcrizt

4 minuter

librepgp

LibrePGP är en uppdaterad alternativ specifikation av OpenPGP-krypteringsstandarden

Huvudutvecklare och underhållare av krypterings- och signeringsverktyget Huvudutvecklaren och underhållaren av, Werner Koch gjorde det känt för några dagar sedan nyheten omSkapande av LibrePGP-projektet, vilket är en gaffel fokuserat på att ta fram en uppdaterad alternativ specifikation till OpenPGP-standarden.

Det nämns det inom skälen av skapandet av denna gaffel Det är tydligen ett svar på en tvist inom Internet Engineering Task Force (IETF) om den framtida utvecklingen av OpenPGP-standarden, eftersom Koch uppfattade den kommande uppdateringen av OpenPGP-specifikationen som tveksam ur ett kompatibilitets- och säkerhetsperspektiv.

Enligt Koch:

Utgångspunkten för separeringen av arbetet inom IETF och för starten av LibrePGP är att de planerade uppdateringarna av OpenPGP-standarden (RFC 4880) är "skadliga för den nuvarande användningen av OpenPGP-mjukvara", konstaterade han. I Annonsen skriver han. Utan att gå in på specifika tekniska detaljer går tvisten tillbaka till frågan om hur man anpassar den nuvarande OpenPGP-standarden för framtiden.

Och jagETF, istället för att gradvis uppdatera specifikationen, försökte återuppfinna standarden och göra betydande ändringar i det som kränkte interoperabiliteten, förutom att införa stöd för GCMs symmetriska krypteringsläge, vilket är svårt att implementera korrekt, och ignorera OCB (Offset codebook mode), vars patent gick ut för flera år sedan.

Utvecklare av GnuPG-, RNP- (Thunderbird OpenPGP-implementering) och Gpg4win-projekt som stödde gaffeln fruktar att de planerade förändringarna kommer att vara skadliga för befintliga implementeringar av OpenPGP-baserade applikationer, vars användare förväntar sig att specifikationen ska vara stabil på lång sikt. inte redo att stödja ändringar som bryter kompatibiliteten.

Utöver det har LibrePGP-skapare ifrågasätter att lägga till valfria paket med slumpmässig utfyllnad för att skydda mot trafikanalys. Enligt dem utgör dessa paket med icke verifierbar initial slumpmässig fyllning ett hot om att användas för att skapa dolda dataöverföringskanaler och kringgå dataläckageförebyggande system. Tidigare avvisades idén om att inkludera utfyllnad som ett problem på applikationsnivå snarare än ett problem på krypteringsnivå.

Dessutom, De ifrågasätter också användningen av ett modifierat ECDH-krypteringsschema, istället för att använda alternativet som redan beskrivs i RFC-6637 och implementerat i PGP och GnuPG, samt eliminering av några praktiska funktioner, såsom den klassiska metoden för återkallande av nyckel, "m"-flaggan för att markera MIME-data och "t" "-flagga för att separera text från binär data ("t"-flaggan ersattes med "u"-flaggan för UTF-8-kodad text).

Med tanke på detta och andra frågor, var skälen till skapandet av LibrePGP, som nämns som innehållande användbara förbättringar som har utvecklats under de senaste åren för en framtida version av OpenPGP-specifikationen, men undviker ändringar som skulle påverka kompatibiliteten negativt. Till exempel, jämfört med den nuvarande RFC-4880-standarden, LibrePGP har antagit följande funktioner:

  • Stöd för Camellia-krypteringsalgoritmen (RFC-5581),
  • ECC (Elliptic Curve Cryptography) tillägg för OpenPGP (RFC-6637).
  • Obligatoriskt stöd för SHA2-256-hashar (SHA-1 och MD5 klassificeras som inte rekommenderade, och möjligheten att dekryptera data utan integritetskontroll klassificeras som helt utfasad).
  • Ökar fingeravtrycksstorleken till 256 bitar.
  • Stöder EdDSA digitala signaturscheman och BrainpoolP256r1, BrainpoolP384r1, BrainpoolP512r1, Ed25519, Curve25519, Ed488 och X448 elliptiska kurvsignaturscheman.
  • Stöd för CRYSTALS-Kyber-algoritmen, som är resistent mot urval i kvantdatorer.
  • Stöd för OCB (Offset Codebook Mode) autentiserade krypteringslägen.
  • Implementering av den femte versionen av det digitala signaturformatet med metadataskydd.
  • Stöd för utökade underpaket med digitala signaturer.

Slutligen är det värt att nämna att OpenPGP-supportrar De har redan publicerat kritik efter kritik. Som ett resultat, om en kompromiss inte kan hittas, kan uppdelning leda till ökande inkompatibiliteter i OpenPGP/LibrePGP-implementeringar. För att delvis lösa detta problem fixade OpenPGP-utvecklarna den femte versionen av signaturformatet som kompatibel med LibrePGP och gick vidare till arbetet med den sjätte versionen.

Om du är det intresserad av att veta mer om detkan du kontrollera detaljerna I följande länk.


Lämna din kommentar

Din e-postadress kommer inte att publiceras. Obligatoriska fält är markerade med *

*

*

  1. Ansvarig för data: AB Internet Networks 2008 SL
  2. Syftet med uppgifterna: Kontrollera skräppost, kommentarhantering.
  3. Legitimering: Ditt samtycke
  4. Kommunikation av uppgifterna: Uppgifterna kommer inte att kommuniceras till tredje part förutom enligt laglig skyldighet.
  5. Datalagring: databas värd för Occentus Networks (EU)
  6. Rättigheter: När som helst kan du begränsa, återställa och radera din information.