GnuPG 2.2.18 リリース: さようなら SHA-1

no extension

GnuPG 2.2.18 がリリースされた。

今回は(GnuPG 自体には)脆弱性もなく通常のメンテナンス・リリースなのだが,ひとつ大きな修正というか対策があって

This release also retires the use of SHA-1 key signatures created since this year.
via GnuPG 2.2.18 released

らしい。 厳密には 2019-01-19 以降に鍵に付与された SHA-1 ベースの電子署名を全て削除するというもの(CVE-2019-14855)。

とはいえ,ずいぶん前から GnuPG が生成する電子署名は SHA2-256 ベースが既定なので影響は限定的だと思うが1わざわざ SHA-1 ベースの電子署名を鍵に付与している方はご注意を。

一応 --allow-weak-key-signatues オプションを付けることで今回の措置を回避できるようだが,腹を括ったほうがいいだろう。 なお,鍵への電子署名にどのようなアルゴリズムが使われているかを調べるために拙作の gpgpdump を宣伝しておく(笑)

例えば,こんな感じで鍵を取り出して調べることができる。

$ gpg -a --export alice@example.com | gpgpdump

その他,詳細はこちら。

  • gpg: Changed the way keys are detected on a smartcards; this allows the use of non-OpenPGP cards. In the case of a not very likely regression the new option --use-only-openpgp-card is available. [#4681]
  • gpg: The commands --full-gen-key and --quick-gen-key now allow direct key generation from supported cards. [#4681]
  • gpg: Prepare against chosen-prefix SHA-1 collisions in key signatures. This change removes all SHA-1 based key signature newer than 2019-01-19 from the web-of-trust. Note that this includes all key signature created with dsa1024 keys. The new option --allow-weak-key-signatues can be used to override the new and safer behaviour. [#4755,CVE-2019-14855]
  • gpg: Improve performance for import of large keyblocks. [#4592]
  • gpg: Implement a keybox compression run. [#4644]
  • gpg: Show warnings from dirmngr about redirect and certificate problems (details require --verbose as usual).
  • gpg: Allow to pass the empty string for the passphrase if the ‘--passphase=’ syntax is used. [#4633]
  • gpg: Fix printing of the KDF object attributes.
  • gpg: Avoid surprises with --locate-external-key and certain --auto-key-locate settings. [#4662]
  • gpg: Improve selection of best matching key. [#4713]
  • gpg: Delete key binding signature when deletring a subkey. [#4665,#4457]
  • gpg: Fix a potential loss of key sigantures during import with self-sigs-only active. [#4628]
  • gpg: Silence “marked as ultimately trusted” diagnostics if option --quiet is used. [#4634]
  • gpg: Silence some diagnostics during in key listsing even with option --verbose. [#4627]
  • gpg, gpgsm: Change parsing of agent’s pkdecrypt results. [#4652]
  • gpgsm: Support AES-256 keys.
  • gpgsm: Fix a bug in triggering a keybox compression run if --faked-system-time is used.
  • dirmngr: System CA certificates are no longer used for the SKS pool if GNUTLS instead of NTBTLS is used as TLS library. [#4594]
  • dirmngr: On Windows detect usability of IPv4 and IPv6 interfaces to avoid long timeouts. [#4165]
  • scd: Fix BWI value for APDU level transfers to make Gemalto Ezio Shield and Trustica Cryptoucan work. [#4654,#4566]
  • wkd: gpg-wks-client --install-key now installs the required policy file.

Release-info: https://dev.gnupg.org/T4684

via GnuPG 2.2.18 released

アップデートは計画的に。

ブックマーク

参考図書

photo
暗号化 プライバシーを救った反乱者たち
スティーブン・レビー (著), 斉藤 隆央 (翻訳)
紀伊國屋書店 2002-02-16
単行本
4314009071 (ASIN), 9784314009072 (EAN), 4314009071 (ISBN)
評価     

20世紀末,暗号技術の世界で何があったのか。知りたかったらこちらを読むべし!

reviewed by Spiegel on 2015-03-09 (powered by PA-APIv5)

photo
暗号技術入門 第3版 秘密の国のアリス
結城 浩 (著)
SBクリエイティブ 2015-08-25 (Release 2015-09-17)
Kindle版
B015643CPE (ASIN)
評価     

SHA-3 や Bitcoin/Blockchain など新しい知見や技術要素を大幅追加。暗号技術を使うだけならこれ1冊でとりあえず無問題。

reviewed by Spiegel on 2015-09-20 (powered by PA-APIv5)


  1. ちなみに私が普段遣いしている鍵は2013年に作ったものだが, SHA2-256 ベースの電子署名が付与されている。 ↩︎