GnuPG 2.4.4 / 2.4.5 のリリース【セキュリティ・アップデートを含む】

no extension

仕事の忙しさにかまけて色々と放っぽり出してたので,少しずつ回復中。

遅まきながらであるが, 2024-01-25 に GnuPG 2.4.4 がリリースされた。 さらに先日 2024-03-12 に 2.4.5 がリリースされている。

詳細については割愛する。 GnuPG 2.4.4 については次節で紹介する脆弱性の修正がある。

【脆弱性】スマートカード生成時に保護されていないバックアップ鍵が PC 上に残る

GnuPG 2.4.4 より前の一部のバージョンでスマートカード生成時に保護されていないバックアップ鍵が PC 上に残る脆弱性があるらしい。

The standard way to generate keys on a smartcard with GnuPG is to create the encryption subkey with gpg and to move this key to the smartcard. A password protected backup file named sk_<keyid>.gpg is also created so that in the case of a lost or broken smartcard, the key can be restored to a new smartcard to allow decryption of existing data. Unfortunately with some versions of GnuPG an additional unprotected copy of the encryption subkey is also kept on disk.

All possibly affected users should check whether such an unintended copy of a smartcard key exists and delete it.

該当するバージョンは以下の通り。

  • Gpg4win version 4.2.0
  • GnuPG versions 2.4.2 and 2.4.3 iff the card generation was done with the command gpg --card-edit.
  • GnuPG version 2.2.42 iff the card generation was done with the command gpg --card-edit.
  • GnuPG VS-Desktop version 3.2.0 and 3.2.1 iff the card generation was done with the non-approved command gpg --card-edit. The documented way to create keys on OpenPGP cards and Yubikeys is not affected.

確認方法等については以下を参照のこと。

GnuPG 関連パッケージ

GnuPG 関連の各パッケージのバージョンは以下の通り(数字は大体のビルド順)。

# パッケージ名 バージョン 公開日 更新
1 Libgpg-error 1.48 2024-02-23
2 Libgcrypt 1.8.11 (LTS) 2023-11-16
Libgcrypt 1.10.3 2023-11-14
3 Libassuan 2.5.7 2024-03-06
4 Libksba 1.6.6 2024-02-23
5 nPth 1.7 2024-02-23
6 ntbTLS 0.3.2 2024-01-12
7 GnuPG 2.4.5 2024-03-07

ありゃ。 2.2 系のコードが一覧から消えてるな。

現在 GnuPG には 2.2 系と 2.4 系があり1, 2.4 系では AEAD (Authenticated Encryption with Associated Data) 等 RFC 4880bis で検討されている機能が実装されている。 2.2 系は 2.4 系のサブセットという位置づけで,少なくとも2024年末まではサポートが続けられる予定である。

別記事でも書いたが,どうも Ubuntu は真面目に GnuPG のメンテナンスをやる気がないようである。 なので,自前でビルドを行おうかと考えているが,遅々として進まず…

ブックマーク

参考図書

photo
暗号化 プライバシーを救った反乱者たち
スティーブン・レビー (著), 斉藤 隆央 (翻訳)
紀伊國屋書店 2002-02-16
単行本
4314009071 (ASIN), 9784314009072 (EAN), 4314009071 (ISBN)
評価     

20世紀末,暗号技術の世界で何があったのか。知りたかったらこちらを読むべし!

reviewed by Spiegel on 2015-03-09 (powered by PA-APIv5)

photo
暗号技術入門 第3版 秘密の国のアリス
結城 浩 (著)
SBクリエイティブ 2015-08-25 (Release 2015-09-17)
Kindle版
B015643CPE (ASIN)
評価     

SHA-3 や Bitcoin/Blockchain など新しい知見や技術要素を大幅追加。暗号技術を使うだけならこれ1冊でとりあえず無問題。

reviewed by Spiegel on 2015-09-20 (powered by PA-APIv5)

photo
科学2024年3月号[雑誌]
岩波書店『科学』編集部 (編集)
岩波書店 2024-02-22 (Release 2024-03-01)
Kindle版
B0CW1DZS1W (ASIN)
評価     

この号の特集は「現代暗号の展開と応用」。耐量子計算機暗号や格子暗号といった今どきなキーワードも出てくる。

reviewed by Spiegel on 2024-03-01 (powered by PA-APIv5)

  1. 厳密には1.4系もあるが,これは legacy 版と位置付けられており,よほどのバグか脆弱性がない限りは更新されない。もし今だに1.4系(あるいは既にサポートされていない2.0/2.1系)を使っているのなら2.4系以降にアップグレードすることを強くお勧めする。 ↩︎