GnuPG/Kryptografie: Unterschied zwischen den Versionen

GnuPG - Pretty Good Privacy

Beschreibung

OpenPGP definiert

• asymmetrischen und symmetrischen Verschlüsselungsalgorithmen
• Signaturverfahren und Kompressionsprotokollen

GnuPG, eine FOSS-Implementierung des OpenPGP-Standards

• Häufig für die Verschlüsselung von E-Mails verwendet
• GnuPG signiert eine Nachricht, verschlüsselt sie symmetrisch und verschlüsselt den symmetrischen Schlüssel und den Hash mit dem öffentlichen Schlüssel von Bob asymmetrisch
• Forschungen zu SHA-1 aus dem Jahr 2005 (siehe: SHA-1 Broken) sowie die erste erfolgreiche Kollision in der Praxis Anfang 2017 (siehe: SHAttered) haben deutlich gemacht, dass Kollisionsangriffe eine echte Bedrohung für die Sicherheit der SHA-1-Hash-Funktion darstellen

Da SHA-1 in der OpenPGP-Spezifikation als Pflichtimplementierung definiert ist, wird es von GnuPG weiterhin verwendet

SHA-1

Derzeit sollten die Einstellungen so angepasst werden, dass die Verwendung von SHA-1 möglichst vermieden wird Bei der Verwendung von GnuPG gibt es einige Dinge zu beachten:* Schlüssellängen (siehe: Schlüssellängen)

• Zufälligkeit (siehe: Zufallszahlengeneratoren)
• Bevorzugung des symmetrischen Verschlüsselungsalgorithmus (siehe: Architektonischer Überblick)
• Bevorzugung der Hash-Funktion (siehe: Architektonischer Überblick)

Der korrekte Umgang mit Schlüsselmaterial, Passphrasen und dem Web-of-Trust liegt außerhalb des Rahmens dieses Dokuments

• Die GnuPG-Website bietet ein gutes Tutorial zu GnuPG

Nach dem 31. Dezember 2017 wird GnuPG Version 2.0.x nicht mehr unterstützt und soll nicht mehr verwendet werden

• Verwenden Sie stattdessen die neue Langzeitversion 2.1

Anwendungen

Hashing

Vermeiden Sie SHA-1, indem Sie bessere Hashing-Methoden bevorzugen

• GnuPG

Bearbeiten Sie $HOME/.gnupg/gpg.conf:

Digest selection in GnuPG

personal-digest-preferences SHA512
cert-digest-algo SHA512
default-preference-list AES256 CAMELLIA256 AES192 CAMELLIA192 AES CAMELLIA128 TWOFISH SHA512 SHA384 SHA256 BZIP2 ZLIB ZIP

Key Generation

Because of lack of forward secrecy (see: [pfs]) in OpenPGP it is preferable to use large asymmetric keys for long term communication protection

• A RSA key of 4096 bits should provide enough confidentiality for the next 10 years (see: Cryptographic Key Length Recommendation)

New key generation with GnuPG version 2.1

$ gpg --batch --full-gen-key $HOME/Desktop/params.txt`

Parameters for key generation with GnuPG version 2.1

Key-Type: RSA
Key-Length: 4096
Subkey-Type: RSA
Subkey-Length: 4096
Name-Real: <your-name>
Name-Email: <your-email-address>
Passphrase: <password>
Expires: 2y
# My preferences: AES256, CAMELLIA256, AES192, CAMELLIA192, AES128, CAMELLIA128, TWOFISH, SHA512, SHA384, SHA256, BZIP2, ZLIB and ZIP

Preferences: S9 S13 S8 S12 S7 S11 S10 H10 H9 H8 Z3 Z2 Z1

Elliptic Curve Cryptography

Elliptic Curve Cryptography (ECC)

Since the release of GnuPG version 2.1 end-2014 ECC is supported

• Older versions though are still widely used therefore ECC is not yet applicable in practice

Anhang

Siehe auch

Dokumentation

Links

Weblinks

1. https://gnupg.org
2. OpenPGP-Protokoll