Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Software-update: GnuPG 2.2.9

GnuPG staat voor GNU Privacy Guard en wordt ook vaak afgekort tot GPG. Dit is een verzameling tools voor het beveiligen van communicatiestromen en data. Het kan worden gebruikt om data te versleutelen en digitale handtekeningen aan te maken, en voor het aanbieden van een framework voor public-keycryptografie. Het ondersteunt zowel OpenPGP als s/mime-standaarden. Voor meer informatie verwijzen we naar deze pagina. De ontwikkelaars hebben GnuPG 2.2.9 uitgebracht met de volgende aankondiging:

GnuPG 2.2.9 released

Hello!

We are pleased to announce the availability of a new GnuPG release: version 2.2.9. This is a maintenance release; see below for a list of fixed bugs.

Noteworthy changes in version 2.2.9
  • dirmngr: Fix recursive resolver mode and other bugs in the libdns code. [#3374,#3803,#3610]
  • dirmngr: When using libgpg-error 1.32 or later a GnuPG build with NTBTLS support (e.g. the standard Windows installer) does not anymore block for dozens of seconds before returning data. If you still have problems on Windows, please consider to use one of the options disable-ipv4 or disable-ipv6.
  • gpg: Fix bug in --show-keys which actually imported revocation certificates. [#4017]
  • gpg: Ignore too long user-ID and comment packets. [#4022]
  • gpg: Fix crash due to bad German translation. Improved printf format compile time check.
  • gpg: Handle missing ISSUER sub packet gracefully in the presence of the new ISSUER_FPR. [#4046]
  • gpg: Allow decryption using several passphrases in most cases. [#3795,#4050]
  • gpg: Command --show-keys now enables the list options show-unusable-uids, show-unusable-subkeys, show-notations and show-policy-urls by default.
  • gpg: Command --show-keys now prints revocation certificates. [#4018]
  • gpg: Add revocation reason to the "rev" and "rvs" records of the option --with-colons. [#1173]
  • gpg: Export option export-clean does now remove certain expired subkeys; export-minimal removes all expired subkeys. [#3622]
  • gpg: New "usage" property for the drop-subkey filters. [#4019]
Versienummer 2.2.9
Releasestatus Final
Besturingssystemen Windows 7, Linux, BSD, macOS, Solaris, UNIX, Windows Server 2008, Windows Server 2012, Windows 8, Windows 10, Windows Server 2016
Website GnuPG
Download https://gnupg.org/download/
Licentietype GPL

Door Japke Rosink

Meukposter

17-07-2018 • 09:42

16 Linkedin

Bron: GnuPG

Update-historie

Meer historie

Reacties (16)

Wijzig sortering
Uit oprechte nieuwsgierigheid. Wie gebruikt dit in de praktijk. En dan bedoel ik 'voor het echie', dus niet alleen 'omdat het geeky is en omdat het kan'. Ik heb er zelf wel is naar zitten kijken, maar voor bijvoorbeeld e-mails versleutelen moet ik mijn kennissenkring ook zover krijgen dit te gebruiken om dat zinvol te laten zijn. Dat gaat hem in mijn geval niet worden :) .
Verder heb ik geen data die ik versleuteld op wil slaan met een systeem als dit (ik heb een externe schijf die ik met DiskCryptor heb gecodeerd).

Heeft er iemand een goed praktijkvoorbeeld die hij of zij ook echt serieus toepast en niet alleen omdat het kan?
Ik heb de toepassing van PGP en GPG alleen in (financiele) bedrijfssituaties teruggezien (buiten het al eerder aangehaalde dissident en journalistiek stukje). Aangezien het de OpenPGP standaard gebruikt ben je dan flexibel in de technische implementatie aan beide kanten. Wij gebruikten de implementatie van Symantec en een aantal andere contactkanten gebruikte GPG (of eigenlijk Gpg4win of GPG Suite) voornamelijk vanwege de kosten.
Ik zou juist denken dat je voor dat soort situaties gebruikt maakt van een vpn? Of bedoel je dat je daarboven nog een encryptie laag toepast?
Ja, zodat de data versleuteld is, niet alleen tijdens transport, maar ook in ruste. De communicatie gaat ook via beveiligde verbindingen maar vanwege regelgeving en bedrijfspolicies moet ook de data in ruste versleuteld zijn. Daar komt dan ook bijvoorbeeld versleuteling van de datadisks in de servers bij. Zo ingeregeld dat deze specifieke data alleen door het eindstation (de eindgebruiker) ontsleuteld kan worden. Dat zijn dus verschillende lagen van encryptie op verschillende punten waar de data zich kan bevinden.
Dank, klinkt inderdaad ook wel logisch, als er fysiek in je datacenter wordt ingebroken wil je ook niet dat al je gegevens op straat liggen en daar had ik niet over nagedacht.
Inderdaad dit dus.
Ik werk zelf ook bij een financiële organisatie, en toen ik je reactie las, herinnerde ik me dat wij inderdaad ook (minimaal) één derde partij hebben die op deze manier haar bestanden codeert en ondertekent.
Verreweg de meeste bestanden die we ontvangen gebruiken een één of ander proprietary systeem om de boel te ondertekenen en coderen en/of communiceren communiceren via MQ-achtige oplossingen.
Packages in linux distro's worden met behulp van gpg beheerd, zodat het zeker is dat de package afkomstig is van de beheerder. Ook op git kan je gpg gebruiken om te bewijzen dat de code die gepushed wordt ook echt van jou afkomstig is. Encryptie wordt misschien minder gebruikt, maar de authenticatie-kant is wel nog altijd erg relevant.
Klopt inderdaad. Had ik even niet meer aan gedacht. Dit gebeurd in de praktijk natuurlijk transparant voor de gebruiker, maar het inderdaad GPG dat de boel ondertekent en valideert.
Play Store Services gebruikt het ook.
Wij niet, maar als je dissident ben in Iran / Rusland en dergelijke landen dan zal je hier makkelijker een use case voor vinden ;)
We gebruiken GPG op een Yubikey. Momenteel is dat nog beperkt tot de ssh sleutel maar we willen dit ook gaan gebruiken voor dingen als signed commits (in git). Een sleutel voor ssh is veiliger dan een wachtwoord, vooral als deze niet op je computer staat maar op een security token als een Yubikey. En het is ook nog eens erg makkelijk omdat je bij een leenmachine je Yubikey er weer inplugt en meteen je key weer tot je beschikking hebt. Die signed commits zijn er vooral voor bewustwording: dat je doelbewust die commit doet.

Encryptie is dus zeker niet het enige wat je met gpg kunt doen. Gegevens veilig delen doen we overigens via andere wegen omdat we daar ook het nodige aan rechten en een tijdsduur in kunnen stellen. Misschien dat we hier ooit ook gpg bij gaan betrekken.
Het is goed dat je nieuwsgierig hierover bent. GPG wordt meer gebruikt dan je denkt, en public key cryptography op zichzelf idem.
Verder heb ik geen data die ik versleuteld op wil slaan met een systeem als dit (ik heb een externe schijf die ik met DiskCryptor heb gecodeerd).
Maakt gebruik van dezelfde techniek.

Ik gebruik GPG bijvoorbeeld op mijn laptops. Ik heb mijn IMAP en SMTP wachtwoord versleuteld in een bestand en roep GPG aan om dat te ontsleutelen vanuit mijn e-mail client (Mutt) met een ander, uniek wachtwoord. Zonder die GPG key en dat wachtwoord kan men dus niet bij mijn e-mail (ik weet zelf niet eens dat IMAP en SMTP wachtwoord uit mijn hoofd, ze staan ook in m'n wachtwoord manager FWIW).

Verder kun je met GPG iets als Google Drive of TransIP STACK of Dropbox of Amazon Drive of welke WebDAV dan ook gebruiken om de data te versleutelen. Er zijn diverse FDE die dat ook kunnen (ik gebruik Cryptomator maar je zou het ook met bijv Duplicity kunnen doen en die gebruikt GPG under the hood). In de praktijk komt het op hetzelfde neer.

Je komt het ook nog wel 'ns tegen in e-mail om data integrity te garanderen. Ook bij WiFi gebruikt met in plaats van een pre-shared key public key authentication, en ook SSH gebruikt dat.

Verder is het misschien interessant om te lezen wat de waarschijnlijke programmeur van TrueCrypt zoal met FDE deed. Om nog maar te zwijgen over hedendaagse Tor.
Was PGP niet meer veilig ondertussen?
In May 2018, a bug in certain implementations of PGP named EFAIL was discovered which could reveal the plaintext contents of emails encrypted with it.[28][29]
https://en.wikipedia.org/wiki/Pretty_Good_Privacy

PGP kan meerdere encryptie methodes gebruiken, er zijn behalve bovenstaande ook problemen met bepaalde keys die gegenereerd waren met systemen met buggy firmware maar dat ligt dus niet aan de encryptie zelf.
Er zat recent een kwetsbaarheid in, zie Marv's post.

Maar er zijn in het verleden diverse kwetsbaarheden in gevonden. Of elders, dat weer invloed er op heeft, zoals:

https://www.schneier.com/...8/05/random_number_b.html

Er zijn dus mensen die met zo'n slechte random number generator GPG keys hebben lopen genereren. En ze vervolgens niet hebben gerevoked!!!!!!! Of de data die ze hebben versleuteld ligt nu op straat.

Snowden heeft heel wat aan het licht gebracht. Behoorlijk veel zorgwekkende programmas & kwetsbaarheden. Maar ook een positieve: cryptografie werkt.

Op dit item kan niet meer gereageerd worden.


Apple iPhone 12 Microsoft Xbox Series X LG CX Google Pixel 5 Sony XH90 / XH92 Samsung Galaxy S21 5G Sony PlayStation 5 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True