Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 5 reacties
Bron: Gpg4win, submitter: ironx

Gpg4win heeft als doel om een eenvoudige installatie van GnuPG en aanverwante tools op het Windows-platform te bewerkstelligen. Met GnuPG kun je communicatiestromen en data beveiligen met encryptie en digitale handtekeningen. Het ondersteunt zowel OpenPGP als s/mime-standaarden. De ontwikkelaars van Gpg4win hebben versie 2.3.3 uitgebracht en voorzien van de volgende aankondiging:

Gpg4win 2.3.3 released

while development is still going on for Gpg4win-3.0 we are pleased to announce the availability of the new stable Gpg4win version 2.3.3. This version contains a fix for a potential security issue in the cryptography library Libgcrypt. Details about the problem can be found in the release announcement of libgcrypt.

New in Gpg4win Version 2.3.3:
  • The cryptography library libgcrypt has been updated to version 1.6.6 to include a fix a problem with the random number generator. [CVE-2016-6313]. Details: https://lists.gnupg.org/pipermail/gnupg-announce/2016q3/000395.html
  • Included Gpg4win components are:
    • GnuPG: 2.0.30
    • Kleopatra: 2.2.0-gitfb4ae3d
    • GPA: 0.9.9
    • GpgOL: 1.4.0
    • GpgEX: 1.0.4
    • Kompendium DE: 3.0.0
    • Kompendium EN: 3.0.0
Versienummer:2.3.3
Releasestatus:Final
Besturingssystemen:Windows 7, Windows Vista, Windows Server 2008, Windows Server 2012, Windows 8, Windows 10
Website:Gpg4win
Download:http://www.gpg4win.org/download.html
Licentietype:GPL
Moderatie-faq Wijzig weergave

Reacties (5)

The certificate is not trusted because the issuer certificate is unknown.
Ik wacht nog heel even...
Over welk certificaat heb je het? Ik krijg geen meldingen bij installatie.
Ik vermoed het certificaat van de eerder gelinkte mailinglijst. De linkjes heb ik net rechtgezet in het artikel.
Je kan het ook gebruiken om de ondertekening van veilige binaries (Keepass, Veracrypt) te verifieren. Waarschijnlijk nog steeds niet veilig met alle andere troep die op een systeem draait, maar alle beetjes helpen.
Ik heb een tutorial gevold, maar ben er nog niet helemaal uit. Ik geloof dat het zo gaat.
Kleopatra op GPA opstarten. (niet tegelijk, bij interface voor zelfde programma?)
daarin een nieuwe key voor jezelf aanmaken.
de key van de software opzoeken via emailadres (of Key-ID?) in zoekfunctie, of op site downloaden.
deze key verifyeren aan de hand van de fingerprint (ook op website?) en als die overeenkomt de key signeren met je eigen key.
Dan de exe openen met Decrypt/verify files, die dan de signature-file die bij de exe hoort vergelijkt.
(Als je de uitgever niet zelf gesigneerd heeft geeft hij een foutmelding, zelfs al komt de signature overeen)

Het is erg omslachtig, en hopelijk maken ze het in de toekomst simpeler.

Jammer, had net geupgrade naar 3.2, u kan ik waaarschijnlijk alle keys weer opnieuw gaan signen..

Toevoeging:
PGP certificaat lijkt te zijn
of het asc bestand
The signatures have been created with the following OpenPGP certificate
Intevation File Distribution Key (Key ID: EC70B1B8 of 0xEC70B1B8
ik denk dit asc bestand: https://ssl.intevation.de/Intevation-Distribution-Key.asc
- ik kan geen bijbehorende fingerprint vinden om deze te controleren
NB: Google op de door Kleopatra gegeven fingerprint 61AC3F5EE4BE593C13D68B1E7CBD620BEC70B1B8 (die vergeleken moet worden) geeft 1 hit: https://bitcointalk.org/index.php?topic=356303.0


Win4pgp signature:
gpg4win-2.3.3.exe win4pgp sha1
67e13c4f90ff6a70ad57bd31af64a238c9315308
https://www.gpg4win.org/package-integrity.html
https://files.gpg4win.org/gpg4win-2.3.3.exe.sig

Wat mij NIET duidelijk is aan het systeem: wat belet een hacker om naast naar een valse exe te linken, ook een foute fingerprint op te geven? Of zijn file- en webserver meestal gescheiden?

En een aantekening over de betrouwbaardheid van dit systeem waar ik toevallig op stuitte, maar niet op waarde kan schatten:
https://evil32.com/


PS: Links naar eerdere vermeldingen ontbreken;
https://tweakers.net/downloads/zoeken/?keyword=Gpg4win
heeft blijkbaar geen eigen hoofd-topic in de pricewatch;
De tags bij 3.2.3 waren Software, Encryptie, Pgp (lijkt bij elke versie te verschillen, maar dat lijken me de beste tags, beter dan antivirus in elk geval)

[Reactie gewijzigd door mbb op 19 augustus 2016 21:54]

<verwijderd door mij>

[Reactie gewijzigd door jeff2 op 19 augustus 2016 20:23]

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True